起订量:
免费会员
USG6600下一代防火墙
当前,智能手机、iPad等终端已经普及,移动应用程序、Web2.0、社交网络应用于企业运营的方方面面。企业网络边界变得模糊,信息安全问题日益复杂。通过IP和端口进行访问控制的传统的防护墙无法应对层出不穷的应用层威胁。
华为USG6600系列下一代防火墙面向大中企业和数据中心,通过对应用、用户、内容、威胁、时间、位置6个维度的全面感知,提供精细的业务访问控制和加速。入侵防御(IPS)和防病毒(AV)等应用层深度防御与应用识别相结合,有效提高了威胁防御的效率和准确性。同时,采用业界的Smart Policy技术,智能地优化和精简已部署安全策略。降低了下一代防火墙的整体运营成本,持续、简单、高效地提供下一代网络安全。
传统防火墙主要通过端口和IP进行访问控制,下一代防火墙的核心功能依然是访问控制。USG6000在控制的维度和精细程度上都有很大的提高:
一体化防护:
从应用、用户、内容、时间、威胁、位置6个维度进行一体化的管控和防御。内容层的防御与应用识别深度结合,一体化处理。例如: 识别出Oracle的流量,进而针对性地进行对应的入侵防御,效率更高,误报更少。
基于应用:
运用多种技术手段,准确识别包括移动应用及Web应用内的6000+应用协议及应用的不同功能,继而进行访问控制和业务加速。例如:区分微信的语音和文字后采取不同的控制策略。
基于用户:
通过Radius、LDAP、AD等8种用户识别手段集成已有用户认证系统简化管理。基于用户进行访问控制、QoS管理和深度防护。
基于位置:
与位置信息结合,识别流量发起的位置信息;掌控应用和攻击发起的位置,时间发现网络异常情况。根据位置信息可以实现对不同区域访问流量的差异化控制。支持根据IP自定义位置
越来越多的信息资产连接到了互联网上,网络攻击和信息窃取形成巨大的产业链,这对下一代防火墙的防护范围提出了更高要求。USG6000具备全面的防护功能:
一机多能:
集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、上网行为管理等功能于一身,简化部署,提高管理效率。
入侵防护(IPS):
超过3500+漏洞特征的攻击检测和防御。支持Web攻击识别和防护,如跨站脚本攻击、SQL注入攻击等;
防病毒(AV):
高性能病毒引擎,可防护500万种以上的病毒和木马,病毒特征库每日更新;
数据防泄漏:
对传输的文件和内容进行识别过滤。可识别120+种常见文件类型,防止通过修改后缀名的病毒攻击。能对Word、Excel、PPT、PDF、RAR等30+文件进行还原和内容过滤,防止企业关键信息通过文件泄露。
SSL解密:
作为代理,可对SSL加密流量进行应用层安全防护,如IPS、AV、数据防泄漏、URL过滤等。
Anti-DDoS:
可以识别和防范SYN flood、UDP flood等10+种DDoS攻击,识别500多万种病毒。
上网行为管理:
采用基于云的URL分类过滤,预定义的URL分类库已超过8500万,阻止员工访问恶意网站带来的威胁。并可对员工的发帖、FTP等上网行为进行控制。可对上网记录进行审计。
安全互联:
丰富的VPN特性,确保企业总部和分支间高可靠安全互联。支持IPSec VPN、SSL VPN、L2TP VPN、MPLS VPN、GRE等;
QoS管理:
基于应用灵活的管理流量带宽的上限和下限,可基于应用进行策略路由和QoS标签着色。支持对URL分类的QoS标签着色,例如:优先转发对财经类网站的访问。
负载均衡:
支持服务器间的负载均衡。对多出口场景,可按照链路质量、链路带宽比例、链路权重基于应用进行负载均衡。
虚拟化:
支持多种安全业务的虚拟化,包括防火墙、入侵防御、反病毒、VPN等。不同用户可在同一台物理设备上进行隔离的个性化管理。
下一代防火墙的防护范围和控制精度比传统防火墙大大增加,这对使用者的经验和技能提出了更高的要求。华为USG6000利用Smart Policy功能降低对使用者的要求,更好的进行防护。Smart Policy主要具备以下功能:
快速部署策略:
内置场景策略模板,不依赖使用者的经验也能快速地部署常用防护策略。例如:如果希望使用网络存储,管理员仅需基于“使用网盘”这个策略模板,就能建立一系列策略。在策略中,对网盘类应用允许下载并进行病毒检测,但禁止文件上传。
智能优化策略:
根据内置应用风险库和网络实际流量对已部署的安全策略进行评估和优化,使其符合*小原则。在企业遗留大量端口防护策略,需要转换为NGFW使用的应用防护策略时尤其有用。
智能精简策略:
自动发现重复的和长期没有使用的策略,精简策略规模,简化管理;
UTM产品当开启应用层防护时性能下降明显,无法满足当前应用层防护的性能要求。下一代防火墙要求在多重防护的情况下仍保持高性能。
USG6000系列下一代防火墙采用全新架构的智能感知引擎(IAE, Intelligence Awareness Engine),采用了一次解析多业务并行处理的架构,确保多重防御下的高性能体验。IAE使用了三大核心技术:
一体化描述语言:
应用识别、IPS、AV采用统一的描述语言,一次性处理,一次性分析,减少重复的操作;
一体化处理架构:
不同于UTM对各个安全功能串行处理,USG6000在完成统一解析后,各安全业务检查是并行的,*后做统一处理。每个步骤一次性做好,确保多安全业务开启情况下,对整体性能影响*小;
软硬结合一体化:
对有规律、大批量、高运算能力要求的报文处理,例如:报文加解密、特征匹配,采用专用多核平台由专用的协处理器硬件处理。对小规模的运算,仍然用软件处理。软硬结合一体化的处理方式让整体性能更高。
在企业内网部门和无线接入的汇聚网络部署下一代防火墙。对PC用户通过防火墙策略基于用户信息进行访问控制。
对移动用户采用基于用户+应用的策略控制,实现精细权限管理,并记录日志。
对邮件、IM、文件传输等进行内容过滤和审计,监控社交类应用,避免数据泄露。
在互联网出口部署下一代防火墙,在出口进行访问控制,阻止一切非认证访问。
启用入侵防御功能,提供万兆级应用层威胁实时防护。
对邮件、IM、文件传输等进行内容过滤和审计,监控社交类应用,避免数据泄露。
基于用户、应用、时间进行QoS管理,优先保障核心用户和关键业务的服务质量。
通过URL分类和应用阻断进行上网行为管理。阻断挂马网站和工作无关网站,根据角色监控员工可以访问的网站和可以使用的网络应用。
数据中心出口部署下一代防火墙,进行安全业务和系统资源的虚拟化特性,可为每个虚拟环境提供超乎寻常的安全体验。
万兆级入侵防御可有效阻断各类攻击,并可根据不同的虚拟环境需求,提供差异化的防御特性,保障数据安全。
通过Anti-DDoS特性,对拒绝服务攻击流量进行清洗,保障数据中心对外业务。
通过下一代防火墙的VPN接入,在互联网上构建一条可信、可控、可管的安全传输隧道。
在外人员和移动用户可通过SSL VPN接入,提供Windows、IOS、Android、Blackberry,Symbian多种操作系统支持,提供泛终端的接入能力。
型号 | USG6620 | USG6630 | USG6650 | USG6660 | USG6670 | USG6680 |
---|---|---|---|---|---|---|
固定接口 | 8GE+4SFP | 2*10GE+8GE+8SFP | 4*10GE+16GE+8SFP | |||
扩展槽位 | 2*WSIC | 6*WSIC | 5*WSIC | |||
接口模块类型 | WSIC: 2×10GE(SFP+)+8×GE(RJ45)、8×GE(RJ45)、8×GE(SFP)、 4×GE(RJ45)BYPASS | |||||
产品形态 | 1U | 3U | ||||
尺寸(W×D×H)mm | 442 x 421 x 43.6 | 442×415×130.5 | ||||
满配重量 | 10kg | 22kg | 24kg | |||
HDD | 选配,支持300GB单硬盘,热插拔 | 选配,可支持300GB双硬盘(RAID1),热插拔 | ||||
冗余电源 | 选配 | 标配 | ||||
电源AC | 100~240V | |||||
电源DC | - | -48~-60V | ||||
*大功率 | 170W | 350W | 700W | |||
工作环境 | 温度:0~45℃(不含硬盘)/5℃~40℃ (包含硬盘) 湿度:10%~90% | |||||
非工作环境 | 温度:-40℃~70℃ /湿度:5%~95% |
功能全面 | 集成传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、Anti-DDoS、URL过滤、反垃圾邮件等多种功能。 支持服务器负载均衡和链路负载均衡。支持基于业务的策略路由,在多出口场景下可根据多种负载均衡算法(如带宽比例、链路健康状态等)进行智能选路。充分利用现有网络资源。 |
应用层安全 | 应用识别与入侵检测、防病毒、内容过滤相结合,提高检测性能和准确率。可识别6000+应用,识别粒度细化到具体动作。 准确检测并防御针对漏洞的攻击,包括SQL注入和跨站脚本攻击。迅速检出超过500万种病毒,支持对SSL加密流量进行检测。 对传输的文件和内容进行识别过滤,可准确识别常见文件的真实类型,如Word、Excel、PPT、PDF等,并对敏感内容进行过滤。 可基于用户的访问地址和内容进行审计、溯源。 |
网络层安全 | 全面支持IPV4/IPV6下的多种路由协议,如RIP、OSPF、BGP、IS-IS、IPv6RD、ACL6等; 丰富的VPN特性,如IPSec VPN、SSL VPN、L2TP VPN、MPLS VPN、GRE等; 支持DDoS攻击防护,防范SYN flood、UDP flood等10+种常见DDoS攻击。 |
用户认证 | 支持多种用户认证方式,包括本地、RADIUS、Hwtacacs、SecureID、AD、CA、LDAP、EndPoint Security等。 |
安全虚拟化 | 支持多种安全业务的虚拟化,包括防火墙、入侵防御、反病毒、VPN等。不同用户可在同一台物理设备上进行隔离的个性化管理。 |
QoS优化 | 基于应用管理每用户/IP使用的带宽,限制*大带宽或保障*小带宽。 并通过基于应用的策略路由和QoS优先级确保关键业务的良好体验。 可基于访问网站的类型QoS优先级。 |