HUAWEI - Secospace - USG6600系列下一代防火墙技术建议书范本

更新时间:2024-05-01 22:08:01 阅读量: 综合文库 文档下载

说明:文章内容仅供预览,部分内容可能不全。下载后的文档,内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的,是否完整无缺。

华为下一代 USG系列统一安全网关技术建议书

华为技术有限公司

华为下一代USG系列统一安全网关技术建议书

版权所有 ? 华为技术有限公司 2013。 保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

商标声明

和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标,由各自的所有人拥有。

注意

您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或默示的声明或保证。

由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

华为技术有限公司

地址: 网址:

客户服务邮箱: 客户服务电话:

深圳市龙岗区坂田华为总部办公楼 邮编:518129 http://www.huawei.com support@huawei.com 4008302118

2017-3-23

华为机密,未经许可不得扩散 第2页, 共45页

华为下一代USG系列统一安全网关技术建议书

声 明

本文档包含的所有信息属华为技术有限公司专有。仅供××有限责任公司(以下简称“××”)使用。所有内容均为机密信息,若未事先征得深圳市华为技术服务有限公司的书面同意,××确认将不会泄露给其它公司或与此项目无关的任何个人。××需确保遵守与此有关的法律、法规和条款,来谨慎地使用这些信息。

?2013 华为技术有限公司 版权所有,保留一切权利。

文 档 信 息

资料编码 使用对象 编写部门

市场行销 产品名称 产品版本 资料版本 USG系列 V1R1C00 V1.0 拟 制: 审 核: 审 核: 批 准:

日 期: 日 期: 日 期: 日 期: 2013-6-13 修 订 记 录

日 期 修订版本 作 者 描 述 2017-3-23

华为机密,未经许可不得扩散 第3页, 共45页

华为下一代USG系列统一安全网关技术建议书

目录

1

概述 ................................................................................................................................... 6 1.1 网络安全 ............................................................................................................... 6 1.2 威胁管理 ............................................................................................................... 6 1.3 网络安全管理 ....................................................................................................... 7 1.4 新网络带来的新威胁 ........................................................................................... 7 ××企业网络安全分析 ................................................................................................... 8 2.1 ××企业网络现状 ............................................................................................... 8 2.2 ××企业网络业务流分析 ................................................................................... 8 2.3 ××企业网络安全问题与分析 ........................................................................... 8 ××企业网络安全需求 ................................................................................................... 9 3.1 ××企业网络安全设计原则 ............................................................................... 9 3.2 ××企业网络安全需求 ..................................................................................... 10 华为网络安全解决方案 ................................................................................................. 10 4.1 ××企业网络安全解决方案 ............................................................................. 10

4.1.1 大中型企业边界防护方案 ........................................................................ 10 4.1.2 内网管控与安全隔离方案 ........................................................................ 12 4.1.3 数据中心边界防护方案 ............................................................................ 13 4.1.4 VPN远程接入与移动办公 ........................................................................ 14 4.1.5 云计算网关防护方案 ................................................................................ 16 4.1.6 MPLS VPN解决方案 .................................................................................. 17 4.1.7 IPv4向IPv6网络过渡解决方案 ............................................................ 18 4.2 ××企业网络安全设备选择 ............................................................................. 19 安全解决方案特点 ......................................................................................................... 19 5.1 ××企业安全网络业务流分析 ......................................................................... 19 5.2 ××企业网络安全解决方案优点 ..................................................................... 19 华为USG系列防火墙统一安全网关 ........................................................................... 20 6.1 华为下一代USG系列防火墙简介 ................................................................... 20 6.2 华为下一代USG系列防火墙功能特点 ........................................................... 20

6.2.1 完善的传统防火墙安全功能 .................................................................... 20 6.2.2 强大的内容安全防护 ................................................................................ 29 6.2.3 灵活的用户管理 ........................................................................................ 36 6.2.4 精细的流量管理 ........................................................................................ 37 6.2.5 领先的IPV6支持 ..................................................................................... 38 6.2.6 多样的VPN接入方式 .............................................................................. 39 6.2.7 易用的虚拟防火墙 .................................................................................... 41 6.2.8 IDS联动 ..................................................................................................... 42 6.2.9 丰富的日志与报表 .................................................................................... 43 6.2.10 灵活的维护管理 ...................................................................................... 44 6.2.11 符合多项测试和认证要求 ...................................................................... 45 华为服务 ......................................................................................................................... 45

华为机密,未经许可不得扩散

第4页, 共45页

2

3

4

5

6

7

2017-3-23

华为下一代USG系列统一安全网关技术建议书

7.1 7.2 7.3

服务理念 ............................................................................................................. 45 服务内容 ............................................................................................................. 45 服务保障 ............................................................................................................. 45

2017-3-23

华为机密,未经许可不得扩散 第5页, 共45页

华为下一代USG系列统一安全网关技术建议书

1 概述

Internet的普及为社会的发展带来了巨大的推动力,但同时也产生了大量的网络安全问题,越来越受到金融、教育、电力、交通等机构以及众多企业的重视。网络安全问题主要包括两个层面:网络本身的安全问题和网络安全管理问题。随着电信网络向融合、开放、和宽带不断演进,电信网络变得庞大而又复杂了,其面临着来自多个网络的各种安全威胁,网络安全事件频频发生,主要集中在病毒、蠕虫、恶意代码,网页篡改,垃圾邮件等方面,政府网站常常成为攻击目标。传统的防火墙设备对上述威胁难以应付采用单一的安全防范技术很难行之有效。

基于统一威胁管理的UTM技术应运而生。UTM设备采用专用多核架构平台,将IPS、Anti-Virus、UTRL过滤、VPN、防火墙和上网行为管理等安全特性集成于一体,形成立体的威胁防御解决方案。

1.1 网络安全

Internet由于其开放性,使得非常容易遭受攻击。随着攻击手段的变化多样而且攻击工具更容易获取,以及基于僵尸网络DDoS攻击的出现,使得基于网络层的攻击层出不穷。主要的攻击包括:ARP Flood、ICMP Flood、IP Spoofing、UDP Flood、Synflood、Smurf 攻击、Land 攻击、超大ICMP攻击、Fragile 攻击、Ping of Death、Tear Drop、Ping Scan、Port Scan、IP 路由选项攻击、Tracert 攻击等等。

网络层攻击的目标主要有三个:带宽攻击、主机或者网络设备攻击以及入侵前的主机扫描。带宽攻击指通过大量的攻击数据包占用正常业务数据的带宽,导致网络带宽拥挤,正常业务受到影响;主机或者网络设备攻击指的是攻击者通过攻击主机或者网络设备的某个应用端口导致被攻击设备处理不过来或者瘫痪使其不能处理正常业务数据;主机扫描指的是黑客在入侵之前通过IP或者端口扫描获取网络中活动的主机信息,为下一步入侵提供必要的信息。

1.2 威胁管理

越来越复杂的威胁、持续提高的规章要求以及持续发展的应用程序,不断给企业带来新的网络安全问题。威胁越来越复杂化,并且新的应用和技术也带来了更多漏洞。给IT

2017-3-23

华为机密,未经许可不得扩散

第6页, 共45页

华为下一代USG系列统一安全网关技术建议书

管理者也带来巨大的挑战。统一威胁管理平台为企业提供全面的安全解决方案,提前扼杀网络威胁。

1.3 网络安全管理

网络安全管理指的是企业对自身的网络资源进行有效的安全区域、等级划分,使得在网络安全运行的基础上,促进企业自身的信息安全管理水平,更好的保证企业正常运作。安全区域指的是在网络中拥有相同网络资源访问权限的主机集合,安全区域的划分主要依据企业内部部门的划分,例如财务部门、研发部门、市场部门分别划分为三个不同安全等级的安全区域。将一个企业进行清晰的安全区域划分,大大简化了企业的网络资源控制与管理,在此基础上,实施适合企业管理要求的安全策略管理,提高企业信息安全管理水平。

1.4 新网络带来的新威胁

随着网络的发展,层出不穷的新应用虽然给人们的网络生活带来了更多的便利,但是同时也带来更多的安全风险:

(1)IP地址不等于使用者

在新网络中,通过操纵僵尸主机借用合法IP地址发动网络攻击,或者伪造、仿冒源IP地址来进行网络欺骗和权限获取已经成为最简单的攻击手段。一个报文的源IP地址已经不能真正反映发送这个报文的网络使用者的身份。同时,由于远程办公、移动办公等新兴的办公形式的出现,同一使用者所使用的主机IP地址可能随时在发生变化,所以通过IP地址进行流量控制已经不能满足现代网络的需求。

(2)端口和协议不等于应用

传统网络业务总是运行在固定的端口之上。例如HTTP运行在80端口,FTP运行在20、21端口。然而在新网络中,越来越多的网络应用开始使用未经因特网地址分配组织(Internet Assigned Numbers Authority, IANA)明确分配的非知名端口,或者随机指定的端口(例如P2P协议)。这些应用因为难以受到控制,滥用带宽,往往造成网络的拥塞。

同时,一些知名端口也被用于运行截然不同的业务。最为典型是随着网页技术的发展,越来越多不同风险级别的业务借用HTTP和HTTPS协议运行在80和443端口之上,例如WebMail、网页游戏、视频网站、网页聊天等等。

(3)报文不等于内容

2017-3-23

华为机密,未经许可不得扩散

第7页, 共45页

华为下一代USG系列统一安全网关技术建议书

单包检测机制只能对单个报文的安全性进行分析。这样无法防范在一次正常网络访问的过程中发生的病毒、木马等网络威胁。现在内网主机在访问Internet的过程中,很有可能无意中从外网引入蠕虫、木马及其他病毒,造成企业机密数据泄露,对企业经营造成巨大损失。所以企业的网络安全管理,有必要在控制流量的源和目的的基础上,再对流量传输的真实内容进行深入的识别和监控。

2 ××企业网络安全分析

[通过与××企业进行深入的交流,我们对其网络进行了充分的了解与分析。??]

2.1 ××企业网络现状

[此部分主要包括两个部分(注意:要给出网络的吞吐量):

1.××企业内部网络拓扑图,如果企业是新建网络,则提供没有安全设备的网络拓扑图,用来进行安全方案的分析。

2.××企业内部网络承载的业务,主要是内部业务以及出口网络业务]

2.2 ××企业网络业务流分析

[给出企业现网的业务流分析图,使得客户对现有网络安全问题理解的更加清晰]

2.3 ××企业网络安全问题与分析

[此部分主要包括以下几个部分(主要根据与客户的沟通以及我们自己的分析给出): 1.××企业网络出口安全隐患:DoS攻击,端口扫描

2.××企业内部网络内部安全区域的划分问题:不同部门安全网络资源权限管理 3.××企业内部服务器保护:DMZ区域的FTP、WEB、MAIL、数据库服务器保护 4.××企业业务安全隐患:需要对不同安全区域的业务进行过滤,丰富企业管理手段 5.××企业NAT设备问题:统一安全网关是专业的NAT设备,具有良好的性能以及灵活的策略NAT功能,以及丰富的NAT ALG功能

6.××企业出差员工移动办公问题:统一安全网关提供丰富的VPN接入功能,实现内部资源的外部安全访问。

2017-3-23

华为机密,未经许可不得扩散

第8页, 共45页

华为下一代USG系列统一安全网关技术建议书

7.××企业入侵隐患:与业界多数IDS联动,实现入侵检测监控。

8.××企业NAT事后追踪:由于NAT隐藏了企业内部的网络结构,使得企业内部访问外网出现社会安全事件时,事后追踪措施变得极为重要。统一安全网关USG5300提供专用的日志服务器,二进制的NAT日志存储、查询为事后追踪提供重要的技术手段。

3 ××企业网络安全需求

[针对××企业网络安全问题与分析给出简要的描述,例如:通过深入的交流与分析,××企业网络安全需求分为四个部分:网络攻击防护、安全区域划分、NAT地址转换。]

3.1 ××企业网络安全设计原则

根据××企业对网络安全的需求以及华为公司对网络安全的积累,我们提出××企业网络安全设计必须满足以下原则:

1. 先进性原则:××企业网络中的安全设备必须采用专用的硬件平台和安全专业的软

件平台保证设备本身的安全,符合业界技术的发展趋势,既体现先进性又比较成熟,并且是各个领域公认的领先产品。

2. 高可靠性:××企业网络是其信息化的基础,网络的稳定性至关重要;网络安全设

备由于部署在关键节点,成为网络稳定性的重要因素。整个网络设计必须考虑到高可靠性因素。

3. 可扩展性:××企业处在发展阶段,其网络也会不断的扩充变化,要求在保证网络

安全的基础上整个网络具有灵活的可扩展性,特别是对安全区域的新增以及原有安全区域扩充等要求具有良好的支持。

4. 开放兼容性:××企业的安全产品设计规范、技术指标符合国际和工业标准,支持

多厂家产品,从而有效的保护投资。

5. 安全最小授权原则:××企业的安全策略管理必须遵从最小授权原则,即不同安全

区域内的主机只能访问属于相应网络资源,对××企业的网络资源必须完全等到控制保护,防止未授权访问,保证××企业的信息安全。

2017-3-23

华为机密,未经许可不得扩散 第9页, 共45页

华为下一代USG系列统一安全网关技术建议书

3.2 ××企业网络安全需求

[新增统一安全网关,用以满足××企业以下需求(根据××企业网络安全问题与分析给出需求):

1. 安全区域划分:将财务部、市场业务部、研发部、生产部、总裁办??划分为不同的安全区域。

2. 防范网络攻击:在网络出口和不同的安全区域之间启用网络攻击防范,防止外网网络攻击和部门之间网络攻击蔓延。

3. ??]

4 华为网络安全解决方案

4.1 ××企业网络安全解决方案

[根据对××企业的需求分析选择以下的一个方案或者进行方案综合]

4.1.1 大中型企业边界防护方案

eSight文件服务器邮件服务器Web服务器 DMZVPN隧道出差员工VPN隧道员工网络 USG双机热备分支机构TrustUntrust图1大中型企业边界防护典型部署

公网主机/服务器

2017-3-23

华为机密,未经许可不得扩散 第10页, 共45页

华为下一代USG系列统一安全网关技术建议书

大中型企业员工人数通常都比较多,一般在500人以上的企业。大中型企业通常具有以下业务特征:

? 企业人员众多,业务复杂,流量构成丰富多样。 ? 对外提供网络服务,例如公司网站、邮件服务等。

? 容易成为DDoS攻击的目标,而且一旦攻击成功,业务损失巨大。 ? 对设备可靠性要求较高,需要边界设备支持持续大流量运行,即使设备故障也

不能影响网络运转。

基于以上特征,USG系列防火墙作为大中型企业的出口网关提供如下功能: ? 将企业员工网络、公司服务器网络、外部网络划分到不同安全区域,对安全区

域间的流量进行检测和保护

? 根据公司对外提供的网络服务的类型开启相应的内容安全防护功能。例如针对

图1中的文件服务器开启文件过滤和数据过滤,针对邮件服务器开启邮件过滤,并且针对所有服务器开启反病毒和入侵防御。

? 针对内网员工访问外部网络的行为,开启URL过滤、文件过滤、数据过滤、

反病毒、应用行为控制等功能,既保护内网主机不受外网威胁,又可以防止企业机密信息的泄露,提高企业网络的安全性。

? 在USG系列防火墙与出差员工、分支机构间建立VPN隧道,使用VPN保护

公司业务数据,使其在Internet上安全传输。

? 开启DDoS防御功能,抵抗外网主机对内网服务器进行的大流量攻击,保证企

业业务的正常开展。

? 对内外网之间的流量部署带宽策略,控制流量带宽和连接数,避免网络拥塞,

同时也可辅助进行DDoS攻击的防御

? 部署eSight网管系统(需要单独采购),记录网络运行的日志信息。日志信

息可以帮助管理员进行配置调整、风险识别和流量审计

? 采用双机热备部署,提高系统可靠性。单机故障时可以将业务流量从主机平滑

切换至备机上运行,保证企业业务持续无间断的运行。

2017-3-23

华为机密,未经许可不得扩散 第11页, 共45页

华为下一代USG系列统一安全网关技术建议书

4.1.2 内网管控与安全隔离方案

市场部生产部服务器区MarketingProductionServer研发部1 USG出口网关研发部2ResearchUntrust区域间流量区域内流量图2 内网管控与安全隔离典型部署

如上图所示,对于一个大中型企业网络,通常其内部网络也需要划分安全等级。例如研发网络、生产网络、营销网络之间需要进行隔离,并对不同网络间的流量进行监控,以实现以下目的:

? 不同网络的业务类型和安全风险不同,需要部署不同的安全策略; ? 不同网络间的流量需要受控,避免企业核心信息资产通过网络泄露 ? 将网络进行隔离,避免一个网络感染病毒扩散到整个企业内网

? 大部分流量主要发生在同一网络内,而同一网络内的流量传输往往无需过多干

预。所以通过网络划分,可以降低安全设备的检测负担,提高检测效率,使网络更加通畅。

基于以上特征,USG系列防火墙作为大中型企业的内网边界,提供如下功能: ? 在内网部署一个或多个USG系列防火墙作为内部不同网络的边界网关,隔离

不同网络。

? 建立用户管理体系,对内网主机接入进行用户权限控制。

2017-3-23

华为机密,未经许可不得扩散 第12页, 共45页

华为下一代USG系列统一安全网关技术建议书

? 相同安全等级的网络划分到同一个安全区域,只部署少量的安全功能,例如“研

发部1”和“研发部2”同属于Research安全区域,但是两者间通信的流量仍可进行简单的包过滤、黑白名单、反病毒等功能。

? 不同安全等级的网络划分到不同的安全区域,根据业务需求部署不同的安全

功能,例如仅允许部分研发网络主机访问指定的市场部主机,并在Research与Marketing、Production、Server之间应用反病毒、文件类型过滤、数据过滤等功能。

? 在各个区域之间应用带宽策略,控制带宽与连接数,避免内网网络拥塞。 ? 内网各个区域与外网之间应用入侵防御、反病毒、文件类型过滤、数据过滤、

URL过滤、应用行为控制等功能。

4.1.3 数据中心边界防护方案

网管及日志服务器DMZ黑客Web服务器邮件服务器个人客户文件服务器 USG双机热备Untrust图3 数据中心边界防护部署

企业客户Trust 数据中心(Internet Data Center,IDC),是基于Internet网络提供的一整套设施与相关维护服务体系。它可以实现数据的集中式收集、存储、处理和发送。通常由大型网络服务器提供商建设,为中小型企业或个人客户提供服务器托管、虚拟域名空间等服务。

数据中心的网络结构通常具有以下特征:

2017-3-23

华为机密,未经许可不得扩散

第13页, 共45页

华为下一代USG系列统一安全网关技术建议书

? 主要针对数据中心内的服务器进行保护,使用的安全功能需要根据服务器类型

综合考虑。

? 数据中心可能部署有多家企业的服务器,更容易成为黑客的攻击目标。 ? 数据中心的核心功能是对外提供网络服务,保证外网对数据中心服务器的正常

访问极其重要,这不仅要求边界防护设备拥有强大的处理性能和完善的可靠性机制,还可以在发生网络攻击时仍不影响正常的网络访问。

? 数据中心流量复杂,如果流量可视度不高,则不能进行有针对性的配置调整。 基于以上特征,USG系列防火墙作为数据中心的边界,提供如下功能: ? 开启流量统计功能,基于IP、用户、应用对流量状况进行长期统计分析,以

帮助安全策略的制定。

? 基于IP地址和应用进行限流,使服务器稳定运行,也避免网络出口拥塞,影

响网络服务。

? 开启入侵防御、反病毒功能,使服务器免受入侵以及蠕虫、木马等病毒危害。 ? 开启DDoS及其他攻击防范功能,避免服务器受到外网攻击导致瘫痪。 ? 开启垃圾邮件过滤功能,保护内网邮件服务器不受垃圾邮件侵扰,也避免其无

意中转发垃圾邮件被反垃圾邮件组织列入黑名单,影响正常邮件的发送。 ? 开启文件过滤和数据过滤,避免数据泄露。

? 部署eSight网管系统(需要单独采购),记录网络运行的日志信息。日志信

息可以帮助管理员进行配置调整、风险识别和流量检查。

? 采用双机热备部署,提高系统可靠性。单机故障时可以将业务流量平滑切换至

备机上运行,保证服务器业务持续无间断的运行。

4.1.4 VPN远程接入与移动办公

2017-3-23

华为机密,未经许可不得扩散 第14页, 共45页

华为下一代USG系列统一安全网关技术建议书

SSL VPN企业总部USGIPSecUSG分支机构合作伙伴L2TP over IPSecUSG图4 VPN远程接入与移动办公典型部署方案

现代企业为了在全球范围内开展业务,通常都在公司总部之外设立了分支机构,或者与外地机构进行业务合作。分支机构、合作伙伴、出差员工都需要远程接入企业总部网络开展业务,目前通过VPN技术可以实现安全、低成本的远程接入和移动办公。远程接入和移动办公通常都具有以下特征:

? 分支机构通常都需要无缝接入总部网络,并且持续不间断地开展业务。

? 合作伙伴需要根据业务开展的情况,灵活进行授权,限制合作伙伴可以访问的网络

范围、可以传输的数据类型。

? 出差员工的地理接入位置不固定,使用的IP地址不固定,接入时间不固定,需要

灵活地随时接入。而且出差员工所处位置往往不受企业其他信息安全措施的保护,所以需要对出差员工进行严格的接入认证,并且对出差员工可以访问的资源和权限进行精确内网控制。

? 所有远程接入的通信过程都需要进行加密保护,防止窃听、篡改、伪造、重放等行

为,同时还需要从应用和内容层面防止机密数据的泄露。

基于以上特征,USG系列防火墙作为企业VPN的接入网关,提供如下功能: ? 对于拥有固定VPN网关的分支机构和合作伙伴,使用IPSec或者L2TP over IPSec

建立静态永久隧道。当需要进行接入账号验证时,建议使用L2TP over IPSec。 ? 对于地址不固定的出差员工,可以使用VPN Client 或者SSL VPN技术,对于VPN

Client可以免费下载使用,对于SSL VPN无需安装VPN客户端,只需使用网络浏

2017-3-23

华为机密,未经许可不得扩散 第15页, 共45页

华为下一代USG系列统一安全网关技术建议书

览器即可与总部建立隧道,方便快捷。同时可以对出差员工可访问的资源进行精细化控制。

? 在上述隧道中,通过IPSec加密算法或者SSL加密算法,对网络数据进行加密保

护。

? 对于通过VPN隧道接入后的用户,进行接入认证,保证用户合法性。并且基于用

户权限进行访问授权。

? 部署入侵防御、反病毒、文件过滤、数据过滤、DDoS攻击防范,避免网络威胁经

由远程接入用户穿过隧道进入公司总部,同时防止机密信息泄露。 ? 部署用户行为审计,及时发现风险,并且便于后续的回溯。

4.1.5 云计算网关防护方案

云控制中心虚拟服务器A虚拟机1虚拟机2虚拟机3虚拟系统A云终端1USG……虚拟服务器B虚拟机4虚拟机5虚拟系统B云终端4虚拟服务器C虚拟机6虚拟机7虚拟机8虚拟系统C……云终端8

图5 华为USG系列云计算网关防护方案

云计算是目前一种新兴的网络服务提供模式,需要一系列技术的配合和支持。USG系列防火墙可以在云计算的部署中担任云计算网关的角色。

2017-3-23

华为机密,未经许可不得扩散 第16页, 共45页

华为下一代USG系列统一安全网关技术建议书

云计算技术目前存在多种应用方式,最为典型的方式是由网络服务提供商为网络用户提供硬件资源和计算能力,网络用户只需使用一台终端通过网络接入云端,就可以像操作家庭电脑一样操作自己保存在云端的资源。

云计算的核心技术是通过服务器的集群为大量网络用户提供相互独立而又完整的网络服务,其中涉及到多种虚拟化技术。

基于以上特征,USG系列防火墙作为云计算网关,提供如下功能:

? 在这个场景中,USG系列防火墙担任的是云计算网关的角色。通过虚拟系统功能,

可以将一台物理设备划分为多台相互的独立的逻辑设备。每台逻辑设备都可以拥有自己的接口、系统资源以及配置文件,可以独立进行流量的转发和安全防护,所以被称为虚拟系统。

? 虚拟系统从逻辑上相互隔离,所以对于每一个云终端看来都拥有一个独享的防火墙

设备。同时由于这些虚拟系统共用同一个物理实体,所以当需要虚拟系统之间进行流量转发时,转发效率非常高。所以USG系列防火墙在此场景中主要负责进行虚拟服务器之间的数据快速交换,以及在云终端接入云服务器的通信过程中进行网络安全的防护,为云计算方案提供增值的安全业务

4.1.6 MPLS VPN解决方案

MPLS 无缝地集成了IP 路由技术的灵活性和ATM 标签交换技术的简捷性。MPLS 在无连接的IP 网络中增加了面向连接的控制平面,为IP 网络增添了管理和运营的手段。USG系列防火墙系列业务路由网关支持MPLS VPN功能,既可以做PE设备,也可以做P设备。

? 支持VRF的路由表多实例 ? 支持L2TP方式接入VPN

2017-3-23

华为机密,未经许可不得扩散

第17页, 共45页

华为下一代USG系列统一安全网关技术建议书

? 支持IPSEC方式接入VPN

? 支持灵活的VPN组网,包括跨域、“运营商至运营商”等 ? 基于标准协议,能全面与其他主流厂家互通 ? 支持CE-PE间静态路由或动态路由协议

4.1.7 IPv4向IPv6网络过渡解决方案

目前还存在大量的IPV4网络,随着IPV6的部署,很长一段时间是IPV4与IPV6共存的过渡阶段,USG系列防火墙系列业务路由网关支持多种IPV4向IPV6网络过渡解决方案,主要包括双栈技术、隧道技术以及IPV4/IPV6协议转换技术。

? 双栈技术:USG系列防火墙系列业务路由网关与IPV4节点通讯时使用IPV4协

议栈,与IPV6节点通讯时使用IPV6协议栈;USG系列防火墙系列业务路由网关具有三种工作模式:只运行IPv6协议,表现为IPv6节点;只运行IPv4协议,表现为IPv4节点;双栈模式,同时打开IPv6和IPv4协议。 ? 隧道技术:提供两个IPV6站点之间通过IPV4网络实现通讯连接,以及两个

IPV4站点之间通过IPV6网络实现通讯连接的技术;USG系列防火墙系列业务

2017-3-23

华为机密,未经许可不得扩散 第18页, 共45页

华为下一代USG系列统一安全网关技术建议书

路由网关支持多种隧道技术,包括IPv6 Over IPv4的GRE隧道、IPv6手工配置隧道、6over4隧道、IPv4兼容地址自动隧道以及6to4自动隧道。 IPV4/IPV6协议转换技术:提供了IPV4网络与IPV6网络之间的互访技术。USG系列防火墙系列业务路由网关支持NAT-PT(Network Address Translation-Protocol Translation)技术,负责在IPv4报文与IPv6报文之间进行翻译转换,从而达到只支持IPv6协议的主机与只支持IPv4协议的主机能进行互联互通的目的。

4.2 ××企业网络安全设备选择

[根据具体的情况选择部署USG系列防火墙的网络位置]

5 安全解决方案特点

[根据选用的方案进行具体的分析]

5.1 ××企业安全网络业务流分析

[(分析清楚网络中的业务流图,客户对我们的安全方案理解更加清晰)]

5.2 ××企业网络安全解决方案优点

[针对××企业原有网络业务流分析、具体方案的选择、××企业安全网络业务流分析给出解决方案的优点:

1. 网络拓展性优点;(针对××企业具体的网络情况展开) 2. 高可靠性优点;(针对××企业具体的网络情况展开) 3. 高安全性特点;(针对××企业具体的网络情况展开) 4. 高性价比特点;(针对××企业具体的网络情况展开) ]

2017-3-23

华为机密,未经许可不得扩散 第19页, 共45页

华为下一代USG系列统一安全网关技术建议书

6 华为USG系列防火墙统一安全网关

6.1 华为下一代USG系列防火墙简介

为了解决新网络带来的新威胁,下一代防火墙产品应运而生。通常要求下一代防火墙产品具有以下特征。

? 使用签名和特征,而不是端口号和协议来对应用进行定义,以识别报文的真实属性

和所携带的不安全因素。

? 集成SA( Service Awareness,业务感知)功能,并且使用专业的硬件系统来检测

报文的真实应用和内容。

? 集成IPS功能,性能更高,威胁的识别和阻断结合得更加紧密。

? 丰富而完善的可视化管理、审计、报表功能,使得网络管理员可以掌握全面真实的

网络状况,以帮助管理员更好地做出防护措施。

华为公司推出的下一代防火墙USG系列产品不仅完全满足上述特征,而且还具有以下明显优势:

(1) 稳定高效的万兆多核全新硬件平台 (2) 专业内容安全防御技术 (3) 安全、路由、VPN多业务集成 (4) 基于应用和用户的精细化管理 (5) 可视化管理与丰富的日志报表 (6) 电信级可靠性保证方案 (7) 灵活的扩展能力

6.2 华为下一代USG系列防火墙功能特点 6.2.1 完善的传统防火墙安全功能 (1)安全区域管理

? 基于安全区域的隔离

华为USG系列防火墙统一安全网关的安全隔离是基于安全区域,这样的设计模型为用户在实际使用统一安全网关的时候提供了十分良好的管理模型。华为统一安全网关提供了基

2017-3-23

华为机密,未经许可不得扩散

第20页, 共45页

华为下一代USG系列统一安全网关技术建议书

于安全区域的隔离模型,每个安全区域可以按照网络的实际组网加入任意的接口,因此统一安全网关的安全管理模型是不会受到网络拓扑的影响。

? 可管理的安全区域

业界很多防火墙一般都提供受信安全区域(trust)、非受信安全区域(untrust)、非军事化区域(DMZ)三个独立的安全区域,这样的保护模型可以适应大部分的组网要求,但是在一些安全策略要求较高的场合,这样的保护模型还是不能满足要求。

华为统一安全网关默认提供四个安全区域:trust、untrust、DMZ、local,在提供三个最常用的安全逻辑区域的基础上还新增加了本地逻辑安全区域,本地安全区域可以定义到统一安全网关本身的报文,保证了统一安全网关本身的安全防护。例如,通过对本地安全区域的报文控制,可以很容易的防止不安全区域对统一安全网关本身的Telnet、ftp等访问。

华为统一安全网关还提供自定义安全区域,可以最大定义16个安全区域,每个安全区域都可以加入独立的接口。

? 基于安全区域的策略控制

华为统一安全网关支持根据不同的安全区域之间的访问设计不同的安全策略组(ACL访问控制列表),每条安全策略组支持若干个独立的规则。这样的规则体系使得统一安全网关的策略十分容易管理,方便用户对各种逻辑安全区域的独立管理。

基于安全区域的策略控制模型,可以清晰的分别定义从trust到untrust、从DMZ到untrust之间的各种访问,这样的策略控制模型使得华为统一安全网关的网络隔离功能具有很好的管理能力。

(2)NAT功能

? 优异的地址转换性能

华为统一安全网关采用基于连接的方式提供地址转换特性,针对每条连接维护一个Session表项,并且在处理的过程中采用优化的算法,保证了地址转换特性的优异性能。在启用NAT的时候,性能下降的非常少,这样就保证了在通过华为统一安全网关提供NAT业务的时候不会成为网络的瓶颈。 ? 灵活的地址转换管理

华为统一安全网关提供了基于安全区域的管理功能,利用“安全区域”的概念把统一安全网关管理的网络按照功能区域、安全要求等因素从逻辑上划分为几个逻辑子网,每个逻辑

2017-3-23

华为机密,未经许可不得扩散

第21页, 共45页

华为下一代USG系列统一安全网关技术建议书

子网称为一个“安全区域”。默认情况,统一安全网关提供了4个默认的安全区域:trust、untrust、DMZ、local,一般情况下,untrust区域是连接Internet的,trust区域是连接内部局域网的,DMZ区域是连接一些内部服务器的,例如放置邮件服务器、FTP服务器等。统一安全网关的地址转换功能是按照安全区域之间的访问进行配置的,这样就可以非常方便的进行网络管理。例如,对于内部服务器的网络如果有足够的IP地址,可以直接使用公网IP地址,在DMZ->untrust区域间不使用地址转换,而内部局域网使用私网地址,在trust->untrust区域间使用地址转换。

同时地址转换可以和ACL配合使用,利用ACL来控制地址转换的范围,因此即使在同一个网络区域,有公网、私网混合组网的情况,统一安全网关依然可以方便的设定地址转换的规则。

? 强大的内部服务器支持

内部服务器就是可以使得外部网络的用户可以访问到内部网络,比如可以对外提供Web服务器。很多统一安全网关实现内部服务器的时候是提供一个“静态映射”,将一个私有地址和一个公有地址绑定,这个方式的最大弱点就是浪费合法的IP地址。

例如有一个内部局域网的主机IP地址是10.110.0.0/24,而该局域网利用专线连接到Internet上,拥有从ISP申请来的合法的IP地址:202.38.160.1。如果该局域网想设置一台WEB服务器,IP地址为10.110.0.1,配置一个静态的映射,将地址202.38.160.1和地址10.110.0.1绑定,Internet如果想访问这台WEB服务器,使用202.38.160.1访问,就会实际访问到主机10.110.0.1,这样虽然可以提供内部服务器了,但是也使得内部网络的其他主机不能访问Internet了,因为该局域网只有一个合法的IP地址。该IP地址被内部服务器占用,因此其他主机就不能访问Internet了,同时该局域网不能再提供任何对外服务了(比如想提供一个DNS或者FTP服务器都是不可能的了)。

静态绑定方式存在如下弱点:

? 这个方式严重浪费IP地址,地址转换技术的最大优势就是节省IP地址,但是通过

这个静态绑定的方式,使得IP地址不能被充分利用,虽然解决了地址转换技术中“反向访问”的问题,但是同时带来了浪费地址的问题。

? 存在比较大的安全隐患,一般对外提供的服务器都是单一用途,例如WEB服务器

就是为了给外部提供Http服务,对于这个机器来说,只需要提供80端口的访问就

2017-3-23

华为机密,未经许可不得扩散

第22页, 共45页

华为下一代USG系列统一安全网关技术建议书

可以了。但是使用了静态绑定的方式提供WEB内部服务器的时候,存在这样的问题:外部网络的用户不但可以访问到内部服务器的80端口,而且可以访问任何的端口。这样就存在安全隐患。例如某个服务器可以通过Telnet进行维护,但是这种维护只能是内部网络本身的机器才可以进行,如果使用了静态绑定的地址转换方式,则外部网络的主机也可以Telnet到这个服务器上了。

? 提供不是标准端口的服务器存在困难。例如用户想提供2个WEB服务器,其中一

个WEB服务器不想使用80端口,而想使用8080端口,使用静态绑定的方式也很难实现。

华为统一安全网关的地址转换功能可以对内部服务器的支持到达端口级。允许用户按照自己的需要配置内部服务器的端口、协议、提供给外部的端口、协议。对于上面的例子使用的地址转换,不仅可以保证202.38.160.1做为WEB服务器的地址,同时可以做为FTP服务器的地址,同时可以使用http://202.38.160.1:8080提供第二台WEB服务器,还可以满足内部用户同时使用202.38.160.1的地址进行访问Internet。

华为统一安全网关提供了基于端口的内部服务器映射,可以使用端口来提供服务,同时也可以提供地址的一对一映射。同时,每台统一安全网关可以提供多达256个内部服务器映射,而且不会影响访问的效率。 ? 强大的业务支撑

地址转换比较难处理的情况是报文载荷中含有地址信息的情况,这种情况的代表协议是FTP。华为统一安全网关的地址转换现在已经非常完善的支持了ICMP重定向、不可达、FTP(支持被动主动两种模式)、H323、NetMeeting、PPTP、L2tp、DNS、NetBIOS、SIP、QQ、MSN等特殊协议。依靠现在支持的各种业务,统一安全网关已经可以提供非常好的业务支撑,可以满足绝大部分的Internet业务,使得地址转换不会成为网络业务的瓶颈。

为了更好的适应网络业务的发展,华为统一安全网关还提供了一种“用户自定义”的ALG功能,对于某些特殊业务应用,通过命令行进行配置就可以支持这种业务的ALG,通过这样的方式更可以保证华为统一安全网关对业务的支撑,达到快速响应的效果。

另外华为统一安全网关在结构上面,充分考虑了地址转换需要支持特殊协议的问题。从结构上保证可以非常快速的支持各种特殊协议,并且对报文加密的情况也做了考虑。因此在应用程序网关方面,统一安全网关在程序设计、结构方面做了很大的努力和考虑,在针对新

2017-3-23

华为机密,未经许可不得扩散

第23页, 共45页

华为下一代USG系列统一安全网关技术建议书

出现的各种特殊协议的开发方面上,华为统一安全网关可以保证会比其他设备提供更快、更好的反应,可以快速的响应支持用户的需求,支持多变的网络业务。 ? 无数目限制的PAT方式转换

华为统一安全网关可以提供PAT(Port Address Translation)方式的地址转换,PAT方式的地址转换使用了TCP/UDP的端口信息,这样在进行地址转换的时候使用的是“地址+端口”来区分内部局域网的主机对外发起的不同连接。这样使用PAT方式的地址转换技术,内部局域网的很多用户可以共享一个IP地址上网了。

因为TCP/UDP的端口范围是1~65535,一般1~1024端口范围是系统保留端口,因此从理论上计算,通过PAT方式的地址转换一个合法的IP地址可以提供大约60000个并发连接。但是华为统一安全网关采用专利技术提供了一种“无限制端口”连接的算法,可以保证使用一个公网IP地址可以提供无限个并发连接,通过这种技术就突破了PAT方式上网的65535个端口的限制,更大的满足了地址转换方式的实际使用,更加节省了公网的IP地址。 ? 多种NAT ALG

华为下一代USG系列防火墙支持多种协议的NAT ALG转换功能,包括:

? ? ? ? ? ? ? ? ? ? ?

支持FTP协议的NAT ALG。

支持NBT(NetBIOS over TCP)协议的NAT ALG。

支持ICMP(Internet Control Message Protocol)协议的NAT ALG。 支持H.323(包括T.120、RAS、Q.931和H.245等)协议的NAT ALG。 支持SIP(Session Initiation Protocol)协议的NAT ALG。 支持RTSP(Real-Time Streaming Protocol)协议的NAT ALG。 支持HWCC(Huawei Conference Control Protocol)协议的NAT ALG。 支持ILS(Internet Locator Service)协议的NAT ALG。

支持PPTP(Point to Point Tunneling Protocol)协议的NAT ALG。 支持对腾讯公司的QQ聊天会话的NAT ALG。

支持Microsoft公司提供的MSN聊天会话的NAT ALG。

(3)安全策略控制

? 灵活的规则设定

华为统一安全网关可以支持灵活的规则设定,可以根据报文的特点方便的设定各种规则。

? 可以依据报文的协议号设定规则

? 可以依据报文的源地址、目的地址设定规则

2017-3-23

华为机密,未经许可不得扩散

第24页, 共45页

华为下一代USG系列统一安全网关技术建议书

? 可以使用通配符设定地址的范围,用来指定某个地址段的主机 ? 针对UDP和TCP还可以指定源端口、目的端口

? 针对目的端口、源端口可以采用大于、等于、介入、不等于等方式设定端口的

范围

? 针对ICMP协议,可以自由的指定ICMP报文的类型和Code号,可以通过规

则针对任何一种ICMP报文

? 可以针对IP报文中的TOS域设定灵活的规则

? 可以将多个报文的地址形成一个组,作为地址本,在定义规则时可以按组来设

定规则,这样规则的配置灵活方便

? 高速策略匹配

通常,防火墙的安全策略都是由很多规则构成的,因此在进行策略匹配的时候会影响防火墙的转发效率。

华为统一安全网关采用了ACL匹配的专门算法,这样就保证了在很多规则的情况下,统一安全网关依然可以保持高效的转发效率,系统在进行上万条ACL规则的查找时,性能基本不受影响,处理速度保持不变,从而确保了ACL查找的高速度,提高了系统整体性能。 ? MAC地址和IP地址绑定

华为统一安全网关根据用户配置,将MAC和IP地址进行绑定从而形成关联关系。对于从该IP地址发来的报文,如果MAC地址不匹配则被丢弃;对于发往该IP地址的报文都被强制发送到指定的MAC地址处,从而有效避免IP地址假冒的攻击行为。 ? 动态策略管理-黑名单技术

华为统一安全网关可以将某些可疑报文的源IP地址记录在黑名单列表中,系统通过丢弃黑名单用户的所有报文,从而有效避免某些恶意主机的攻击行为。

统一安全网关提供如下几种黑名单列表维护方式: ? 手工添加黑名单记录,实现主动防御

? 与攻击防范结合自动添加黑名单记录,起到智能保护

? 可以根据具体情况设定\白名单\,使得即使存在黑名单中的主机,依然可以使用部

分的网络资源。例如,即使某台主机被加入到了黑名单,但是依然可以允许这个用户上网。

2017-3-23

华为机密,未经许可不得扩散

第25页, 共45页

华为下一代USG系列统一安全网关技术建议书

黑名单技术是一种动态策略技术,属于响应体系。统一安全网关在动态运行的过程中,会发现一些攻击行为,通过黑名单动态响应系统,可以抑制这些非法用户的部分流量,起到保护整个系统的作用。

(4)攻击防范功能

? 优秀的Dos防御能力的必要条件

Internet上的DOS攻击已经成为很常见的攻击行为,Dos(Deny of service)是一类攻击方式的统称,其攻击的基本原理就是通过发送各种垃圾报文导致网络的阻塞、服务的瘫痪。Dos攻击方式其利用IP无连接的特点,可以制造各种不同的攻击手段,而且攻击方式非常简单,普通到一台PC、一个发包工具就可以制造Dos攻击,因此Dos攻击方式在Internet上非常流行,对企业网、甚至骨干网都造成了非常严重的影响,引发很大的网络事故,因此优秀的Dos攻击防范功能是统一安全网关的必备功能。

业界几乎所有的防火墙设备都宣传具有Dos攻击防御功能,但是那么为什么Dos攻击导致网络瘫痪的攻击事件为什么还是层出不穷呢?一个优秀的Dos攻击防御体系,应该具有如下最基本的特征:

? 防御手段的健全和丰富,因为Dos攻击手段种类比较多,因此必须具有丰富的防

御手段,才可以保证真正的抵御Dos攻击。

? 优秀的处理性能,因为Dos攻击伴随这一个重要特征就是网络流量突然增大,如

果防火墙本身不具有优秀的处理能力,则防火墙在处理Dos攻击的同时本身就成为了网络的瓶颈,根本就不可能抵御Dos攻击。因为Dos攻击的一个重要目的就是使得网络瘫痪,网络上的关键设备点发生了阻塞,则Dos攻击的目的就达到了。这里同时需要提醒大家注意的是,防火墙设备不但要考察转发性能,同时一定要考察对业务的处理能力。在进行Dos攻击防御的过程中,防火墙的每秒新建能力就成为保证网络通畅的一个重要指标,Dos攻击的过程中,攻击者都是在随机变化源地址因此所有的连接都是新建连接。

? 准确的识别攻击能力。很多防火墙在处理Dos攻击的时候,仅仅能保证防火墙后

端的流量趋于网络可以接受的范围,但是不能保证准确的识别攻击报文。这样处理虽然可以保证网络流量的正常,可以保证服务器不会瘫痪,但是这样处理还是会阻

2017-3-23

华为机密,未经许可不得扩散 第26页, 共45页

华为下一代USG系列统一安全网关技术建议书

挡正常用户上网、访问等的报文,因此虽然网络层面是正常的,但是真正的服务还是被拒绝了,因此还是不能达到真正的Dos攻击防御的目的。

华为统一安全网关产品,对上述各个方面都做了详尽的考虑,因此Dos防御的综合性能、功能等方面在同类防火墙产品中都具有很强的优势。 ? 丰富的Dos防御手段

华为统一安全网关产品根据数据报文的特征,以及Dos攻击的不同手段,可以针对ICMP Flood、SYN Flood、UDP Flood等各种Dos攻击手段进行Dos攻击的防御。

同时,华为统一安全网关可以主动识别出数十种常见的攻击种类,很多种攻击种类造成的后果就是Dos形式的攻击,华为统一安全网关可以主动发现并隔断这些非法攻击,消除了内部网络遭受攻击的可能。通过对各种攻击的防御手段,利用华为统一安全网关可以组建一个安全的防御体系,保证网络不遭受Dos攻击的侵害。

针对不同的攻击特点,华为统一安全网关采用了一些不同的防御技术,这样保证在抵御Dos攻击的时候更有针对性,使得设备的抵御特性更加完整。

华为统一安全网关不但在攻击手段上面进行了详细考虑,同时也在使用方式和网络适应性方面做了周全的考虑,攻击防范既可以针对一台特定的主机也可以针对一个安全区域的所有主机进行保护。

? 高级的TCP代理防御体系

华为统一安全网关支持使用TCP代理方式来防止SYN Flood类的Dos攻击,这种攻击可以很快的消耗服务器资源,导致服务器崩溃。在一般的Dos防范技术中,在攻击发生的时候不能准确的识别哪些是合法用户,哪些是攻击报文。华为统一安全网关采用了TCP透明代理的方式实现了对这种攻击的防范,统一安全网关通过精确的验证可以准确的发现攻击报文,对正常报文依然可以通过,允许这些报文访问统一安全网关资源,而攻击报文则被丢弃。

有些攻击是建立一个完整的TCP连接用来消耗服务器的资源。华为统一安全网关可以实现增强代理的功能,在客户端与统一安全网关建立连接以后察看客户是否有数据报文发送,如果有数据报文发送,再与服务器端建立连接否则丢弃客户端的报文。这样可以保证即使采用完成TCP三次握手的方式消耗服务器资源,也可以被统一安全网关发现。 ? 扫描攻击防范

2017-3-23

华为机密,未经许可不得扩散

第27页, 共45页

华为下一代USG系列统一安全网关技术建议书

扫描窥探攻击是利用ping扫描(包括ICMP和TCP)来标识网络上存活着的系统,从而准确的定位潜在的目标;利用TCP和UDP端口扫描,就能检测出操作系统监听的潜在服务。攻击者通过扫描窥探能大致了解目标系统提供的服务种类和潜在的安全漏洞,为进一步侵入系统做好准备。

华为统一安全网关通过比较分析,可以灵活高效地检测出这类扫描窥探报文,从而预先避免后续的攻击行为。这些扫描窥探包括:地址扫描、端口扫描、IP源站选路选项、IP路由记录选项、利用tracert工具窥探网络结构等。 ? 畸形报文防范

华为统一安全网关可以提供针对各种畸形报文的防范,主要包括 Land攻击、Smurf攻击、Fraggle攻击、WinNuke攻击、ICMP重定向或不可达报文、TCP报文标志位(如ACK、SYN、FIN等)不合法、Ping of Death攻击、Tear Drop攻击等,可以自动的检测出这些攻击报文。

(5)ASPF深度检测功能

华为统一安全网关提供了ASPF技术,ASPF是一种高级通信过滤技术,它检查应用层协议信息并且监控基于连接的应用层协议状态。华为统一安全网关依靠这种基于报文内容的访问控制,能够对应用层的一部分攻击加以检测和防范,包括对于FTP命令字、SMTP命令的检测、HTTP的Java、ActiveX控件等的检测。

ASPF技术是在基于会话管理的技术基础上提供深层检测技术的,ASPF技术利用会话管理维护的信息来维护会话的访问规则,通过ASPF技术在会话管理中保存着不能由静态访问列表规则保存的会话状态信息。会话状态信息可以用于智能的允许/禁止报文。当一个会话终止时,会话管理会将该会话的相关信息删除,统一安全网关中的会话也将被关闭。

针对TCP连接,ASPF可以智能的检测“TCP的三次握手的信息”和“拆除连接的握手信息”,通过检测握手、拆连接的状态检测,保证一个正常的TCP访问可以正常进行,而对于非完整的TCP握手连接的报文会直接拒绝。

在普通的场合,一般使用的是基于ACL的IP包过滤技术,这种技术比较简单,但缺乏一定的灵活性,在很多复杂应用的场合普通包过滤是无法完成对网络的安全保护的。例如对于类似于应用FTP协议进行通信的多通道协议来说,配置统一安全网关则是非常困难的。FTP包含一个预知端口的TCP控制通道和一个动态协商的TCP数据通道,对于一般的包过

2017-3-23

华为机密,未经许可不得扩散

第28页, 共45页

华为下一代USG系列统一安全网关技术建议书

滤防火墙来说,配置安全策略时无法预知数据通道的端口号,因此无法确定数据通道的入口。这样就无法配置准确的安全策略。ASPF技术则解决了这一问题,它检测IP层之上的应用层报文信息,并动态地根据报文的内容创建和删除临时的规则,以允许相关的报文通过。

ASPF使得统一安全网关能够支持一个控制通道上存在多个数据连接的协议,同时还可以在应用非常复杂的情况下方便的制订各种安全的策略。许多应用协议,如Telnet 、SMTP使用标准的或已约定的端口地址来进行通信,但大部分多媒体应用协议(如H.323、SIP)及FTP、net meeting等协议使用约定的端口来初始化一个控制连接,再动态的选择端口用于数据传输。端口的选择是不可预测的,其中的某些应用甚至可能要同时用到多个端口。ASPF监听每一个应用的每一个连接所使用的端口,打开合适的通道让会话中的数据能够出入统一安全网关,在会话结束时关闭该通道,从而能够对使用动态端口的应用实施有效的访问控制。

当报文通过统一安全网关时,ASPF将对报文与指定的访问规则进行比较,如果规则允许,报文将接受检查,否则报文直接被丢弃。如果该报文是用于打开一个新的控制或数据连接,ASPF将动态的修改规则,对于回来的报文只有属于一个已经存在对应的有效规则,才会被允许通过。在处理回来的报文时,状态表也会随时更新。当一个连接被关闭或超时后,该连接对应的状态表将被删除,确保未经授权的报文不能随便通过。

6.2.2 强大的内容安全防护 (1)一体化检测机制

USG一体化检测机制不仅提供了强大的内容安全功能,还使得即使在内容安全功能全开的情况下,也可以保持较高性能功能。一体化检测机制是指设备仅对报文进行一次检测,就可以获取到后续所有内容安全功能所需的数据,从而大幅提升设备处理。

应用类型一体化检测入侵行为病毒文本/URL??威胁防护处理反病毒处理邮件过滤处理URL过滤处理??流量

2017-3-23

华为机密,未经许可不得扩散

第29页, 共45页

华为下一代USG系列统一安全网关技术建议书

(2)反病毒功能

反病毒功能可以对网络中传输的文件进行扫描,识别出其中携带的病毒,并且予以记录或清除。病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。病毒通常被携带在文件中,通过网页、邮件、文件传输协议进行传播。内网主机一旦感染病毒,就可能导致系统瘫痪、服务中止、数据泄露,令企业蒙受巨大损失。下一代USG防火墙提供的反病毒功能对最容易传播病毒的文件传输与共享协议以及邮件协议进行检测和扫描,可以防范多种躲避病毒检测的机制,实现针对病毒的强大防护能力。

? 支持丰富的应用层协议和应用程序

支持对HTTP、FTP、SMTP、POP3、IMAP、NFS、SMB传输的文件进行病毒检测。支持对部分常见的基于HTTP协议的应用程序设置例外动作。

? 支持对压缩文件进行病毒扫描

支持对zip、gzip压缩文件进行解压,然后再进行病毒扫描。 ? 支持海量的病毒特征库

下一代USG系列防火墙自带的病毒特征库支持检测3000多个主流的病毒家族,可以覆盖100万种常见的流行病毒,海量的病毒特征库使得下一代USG系列防火墙拥有强大的病毒检测能力。同时华为通过专业的病毒分析团队,实时跟踪最新出现的病毒类型,并对其进行分析,在第一时间更新病毒特征库供网络管理员下载使用,使得下一代USG系列防火墙始终拥有最新最强大的病毒识别能力。

? 支持针对不同流量配置不同的防护措施,支持添加应用例外和病毒例外定制病毒防

护策略

通过安全策略,网络管理员可以针对不同流量制定细粒度的防护策略,对不同的网络环境采取不同级别的保护。同时,通过对部分常见的基于HTTP协议的应用程序设置额外的防护动作,或者根据日志将部分误报的病毒类型添加到病毒例外中,可以对反病毒策略进行灵活的调整,以保证业务的正常传输。

(3)入侵防御功能

2017-3-23

华为机密,未经许可不得扩散 第30页, 共45页

华为下一代USG系列统一安全网关技术建议书

? 向Internet上的RBL服务器实时查询邮件服务器是否属于垃圾邮件服务器。RBL服务

器可以提供完整、丰富、不断更新的已知垃圾邮件服务器清单。

? 根据邮件的发件人、主题与正文内容中出现的关键字对邮件进行过滤,实现对未知

垃圾邮件的基于内容的防护。

6.2.3 灵活的用户管理

随着应用协议的发展,IP地址已经不能代表网络使用者的真实身份,并且因此带来诸多安全隐患。通过基于用户的管理,可以有效解决这些问题。在网络发展之初,IP地址是一台主机在网络中的唯一标识,防火墙产品也都是基于IP地址进行流量控制。但是由于移动办公、无线办公以及远程办公等办公形式的出现,企业主机的IP地址难以受到集中管理。加上IP地址是以明文形式存储在报文中,极易窃取和篡改,所以通过仿冒IP地址形式进行的网络欺骗也日益增多。华为下一代USG系列防火墙所采用的基于用户部署安全措施的机制解决了上述问题。主机在接入网络时,首先需要输入用户名和密码,设备认证通过后才允许其接入网络。用户名和密码真正代表该主机当前使用者的真实身份,设备基于用户配置各种策略,就可以使资源授权、安全防护、流量管理等措施的部署更加精确。

华为下一代USG系列防火墙提供了用户信息的存储和管理、用户认证、权限控制与流量管理的一系列解决方案:

? 用户信息的存储和管理(用户名、密码等)

?

支持在USG上创建本地用户和用户组,支持树状的组织结构管理,支持组嵌套,满足大部分企业的组织结构需求。

?

支持在第三方认证服务器上管理用户,设备与其进行同步或导入。支持的认证服务器包括AD、RADIUS、LDAP、HWTACACS、SecurID、TSM。

? 用户认证

?

支持本地认证。即在设备上创建和管理的用户,由USG推送认证页面至用户的浏览器,由设备对其进行认证。

?

支持代理认证。即在第三方认证服务器上创建和管理用户。USG作为代理设备转发用户的认证请求,并获取用户是否认证成功的结果。为了使USG可以对这些用户部署策略,需要将用户名及其组织结构从服务器导入到USG中。

2017-3-23

华为机密,未经许可不得扩散 第36页, 共45页

?

华为下一代USG系列统一安全网关技术建议书

支持与AD服务器进行实时同步。当用户已通过AD服务器的认证时,设备可以直接从AD服务器同步到该用户已经认证通过的结果,就不再对其进行认证。

?

支持对使用VPN隧道接入内网的用户,根据接入方式的不同选择是否进行二次认证。

? 权限控制与流量管理

支持对本地创建和从服务器导入的用户部署以下策略:

? ? ? ?

安全策略:控制网络访问权限和进行内容安全防护。

带宽策略:控制用户的带宽、连接数占用,调整用户流量转发优先级。 策略路由:控制用户流量的转发出口。 审计策略:对用户网络行为进行合法审计。

6.2.4 精细的流量管理

网络业务在飞速发展,但是网络带宽不可能无限扩展。所以必要时管理员需要对流量的带宽占用进管理,保证高优先级的网络业务,降低低优先级的网络业务的带宽占用。

目前网络管理员在管理网络带宽时经常遇到以下问题:

? P2P流量在网络中建立了大量连接,占用了绝大部分网络带宽。 ? 由于遭受DDoS攻击,普通主机无法正常访问企业所提供的服务。 ? 无法为些特殊业务保证稳定带宽或连接数。

? 超负荷的业务流量导致设备运行效率低下,影响网络的体验。

针对以上问题,华为下一代USG系列防火墙提供的流量管理技术可以实现以下功能: ? 基于IP地址、用户、应用、时间分配带宽和连接数,降低P2P流量的带宽占用,

只给特定用户开放P2P的下载权限。

? 基于安全区域或接口限定最大带宽,即使发生DDoS攻击,也可以保证内网服务器

和设备本身不会因为流量过大而性能下降甚至瘫痪。

? 通过给不同的应用分配不同的保证带宽和最大带宽,实现带宽的合理分配,保证特

殊业务的需求。华为下一代USG系列防火墙强大的应用识别能力可以实现精细化的带宽管理。

2017-3-23

华为机密,未经许可不得扩散

第37页, 共45页

华为下一代USG系列统一安全网关技术建议书

华为下一代USG系列防火墙提供了灵活的带宽分配方式,通过引入带宽策略和带宽通道,每个带宽通道代表一个带宽/连接数范围,每个带宽策略可以给一类流量分配一个带宽通道,从而实现以下分配方式:

? 多个带宽策略共享带宽通道,带宽策略中的各条流量通过抢占的方式使用带宽通道

的带宽/连接数资源,使得网络资源得到充分利用。同时还可以限制其中每个IP或用户的最大带宽,既可以保证全局流量不拥塞,也可以保证单台主机不会因为其他主机占用带宽过多导致无法上网。

? 一个带宽策略独享带宽通道。通常用于保证特殊业务或主机的流量带宽不受其他流

量的影响,使高优先级业务可以正常运行。

6.2.5 领先的IPV6支持

华为下一代USG系列防火墙对下一代IP网络技术IPv6进行了全面支持,可以满足多种IPv6组网模式,有效保护IPv6网络的安全。IPv6(Internet Protocol Version 6)是新版本的网络层协议,它是Internet工程任务组(IETF)设计的一套规范。IPv6和IPv4之间最显著的区别就是IP地址的长度从32位升为128位。IPV6可以较为彻底的解决IP地址缺乏问题。同时,使用IPv6后,网络中路由设备的路由表项将会变少,可以提高路由设备转发报文的速率。在IPv6网络的搭建中,主要涉及以下两类IPv6技术:

? IPV6主机之间的通信技术,又被称为IPv6基础技术。

? 在IPV4网络逐渐向IPv6网络演进的过程中,IPv6主机和IPv4主机之间的通信技

术,又被称为IPv6过渡技术。

(1)IPv6基础技术

? IPv6地址:

? ? ? ?

支持IPv4和IPv6双协议栈,

支持对IPv6报文的报文头进行解析,根据其中的IPv6地址进行报文转发。 支持IPv6地址的手工配置和自动配置,支持IPv6邻居发现。 支持ICMPv6、DNSv6、DHCPv6、PPPoEv6等配套技术。

? IPv6路由:

? ? 2017-3-23

支持IPv6的静态路由、策略路由、路由策略,用于路由表的灵活调整。 支持RIPng动态路由协议。

华为机密,未经许可不得扩散

第38页, 共45页

? ? ?

华为下一代USG系列统一安全网关技术建议书

支持OSPFv3动态路由协议 支持BGP4+动态路由协议

支持IS-IS动态路由协议的IPv6功能

(2)IPv6过渡技术

IPv4向IPv6的过渡阶段所采用的过渡技术主要包括:

? IPv6 over IPv4隧道:IPv6 over IPv4 隧道技术可以使两个被IPv4网络隔离的IPv6

网络进行正常通信。在IPv6发展的前期,IPv6网络较少,往往不能直接相连,还需要通过现有的IPv4网络进行通信。所以通过IPv6和IPv4的网络边界设备上建立IPv6 over IPv4隧道,使得IPv6报文可以跨越IPv4网络传输。

? IPv4 over IPv6隧道:IPv4 over IPv6 隧道技术可以使两个被IPv6网络隔离的IPv4

网络进行正常通信。在IPv6发展的后期,IPv6网络将属于主要的网络形式,仅存的少数IPv4就会被IPv6网络隔离。所以通过IPv6和IPv4的网络边界设备上建立IPv4 over IPv6隧道,使得IPv4报文可以跨越IPv6网络传输。

? NAT64:当IPv6网络和IPv4网络共存的时候,存在IPv6主机和IPv4主机互访的

需求。通过NAT64技术,可以对报文中的IPv4地址和IPv6地址进行相互转换。比如将IPv6主机发往IPv4主机的报文的源地址和目的地址转换为指定的IPv4地址,使得该报文可以在IPv4网络中正常传输,再将IPv4主机回复报文的源地址和目的地址转换为指定的IPv6地址,使IPv6主机可以正常接收,以此来完成两者之间的通信。

除了全面支持IPv6网络的组建技术外,还提供了IPv6网络的安全功能。USG支持基于IPv6地址部署安全策略,进行IPv6网络的安全防护。可以基于IPv6地址对网络主机的报文进行包过滤和内容安全的检测处理,所能实现的功能和达到的防护效果与IPv4一致

6.2.6 多样的VPN接入方式

? IP VPN特色服务

华为下一代USG系列防火墙可以通过DES、3DES提供IPSec(IP Security)安全机制,为通讯双方提供访问控制、无连接完整性、数据来源认证、反重放、加密以及对数据流

2017-3-23

华为机密,未经许可不得扩散 第39页, 共45页

华为下一代USG系列统一安全网关技术建议书

分类加密等服务。通过AH(Authentication Header)和ESP(Encapsulating Security Payload)这两个安全协议来实现对IP数据报或上层协议的保护,支持隧道封装模式。

华为下一代USG系列防火墙不仅支持IPSec VPN(Virtual Private Network)应用,为用户提供高可靠的安全传输通道,而且还能结合L2TP(Layer 2 Tunneling Protocol)和GRE(Generic Routing Encapsulation)构建多种VPN应用:

? IPSEC VPN ? L2TP VPN ? GRE VPN

? L2TP over IPSec VPN ? GRE over IPSec VPN

利用防火墙构建Intranet VPN,通过公用网络互连企业各个分支机构,作为传统专线网络或其它企业网的扩展及替代形式;构建Access VPN,为SOHO(Small Office / Home Office)等小型用户搭建通过PSTN(Public Switched Telephone Network)/ISDN(Integrated Services Digital Network)网络访问公司总部资源的安全通路;构建Extranet VPN将企业网络延伸至合作伙伴与客户处,使不同企业间通过公网进行安全、私有的通讯。

华为下一代USG系列防火墙支持以下VPN功能,可以满足客户多种组网需求: ? 支持各分支机构和总部之间的VPN互联,保证分支机构和总部传输数据的机密性。 ? 支持远程用户的VPN连接,远程用户可通过L2TP OVER IPSEC,或者SSL VPN

的方式动态的连接入企业内部。

? 支持手机终端的VPN连接,当今企业用户使用智能手机已经成为普遍现象,用户

可通过IPHONE\\IPAD\\Android操作系统的终端自带的VPN客户端和USG动态的建立VPN隧道,安全的接入企业内网。

? 支持IPSEC VPN的CA证书认证功能,以及SCEP和OCSP功能,可动态下载和

查看证书的有效性。

? 支持单设备双链路的VPN互备功能,产品可实现动态触发VPN隧道建立功能,在

双链路上行VPN的场景,可灵活触发VPN隧道的建立和拆除,满足客户单设备双链路VPN互备的场景。

2017-3-23

华为机密,未经许可不得扩散 第40页, 共45页

本文来源:https://www.bwwdw.com/article/jreg.html

Top