华为USG6000系列下一代防火墙技术主打胶片培训资料.ppt

《华为USG6000系列下一代防火墙技术主打胶片培训资料.ppt》由会员分享，可在线阅读，更多相关《华为USG6000系列下一代防火墙技术主打胶片培训资料.ppt（76页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、华为华为USG6000USG6000系列下一系列下一代防火墙技术主打胶片代防火墙技术主打胶片1ICT&威胁的改变：推动了安全技术的变革移动化云计算社交化大数据ICT网络威胁威胁激增手段多样&隐蔽+APT蠕虫木马Web威胁僵尸网络移动威胁6XWEB+难以管控2防火墙：网络中必不可少的门卫Internet企业网络数据中心FWIPS办公网DMZ终端安全IPS分支机构FWSOC终端安全SSL VPN终端安全FWFWAnti-DDoSVFW云数据中心IPSFWWAF3目前只有不到20%的企业在网络出口部署了下一代防火墙（NGFWs），到2014年底，这个数字将上升到35%，同时有70%的企业在新的边界安

2、全防护采购中会选择下一代防火墙。Source:Gartner 15 April 2014Magic Quadrant for Enterprise Network Firewalls环境的复杂化、应用的多样化和威胁的不断进化推动下一代防火墙的需求。物理边界模糊化逻辑边界难定义 攻击离散复杂化全球感知难同步 攻击已知变未知潜在威胁难预测 网络应用多样化威胁传播多途径 下一代防火墙正成为市场主打Source：HENC2013 用户问卷调查 4为什么需要NGFW标准FW功能IPS一体化应用感知APP智能联动/分析最低要求NGFW大企业环境场景基础功能为什么要NGFW应用管不住：企业用社交网络办公越来

3、越多，微博微信越发普及，需要针对应用和用户来做管理，而不是IP和端口。攻击防不住：攻击越来越隐蔽，手段越来越多样，防护起来愈发吃力性能撑不住：出口流量越来越大，威胁防护越来越复杂，开启防护后性能已经成为网络瓶颈5NGFW需要不断优化基本FW功能IPS一体化应用感知APP大企业环境定 义升 级 管控能力管理优化防护范围处理性能6目录目录 USG6000 竞争分析USG6000USG6000产品亮点产品亮点USG6000 USG6000 硬件介绍硬件介绍 3 3 USG6000 应用场景介绍4 41 12 2荣誉荣誉&成功故事成功故事5 57最精准的访问控制1-6维管控，应用识别“多、细、准、快”

4、8管控能力管理优化防护范围处理性能“管控能力”的升级9为什么要基于“应用”做访问控制？端口应用传统FW（基于端口、IP）NGFW（基于应用、用户、内容）现实世界中，应用可能使用任意端口，传统现实世界中，应用可能使用任意端口，传统FWFW无法根据端口识别和控制应用。无法根据端口识别和控制应用。NGFWNGFW的进步在于的进步在于更精细更精细的访问控制，最佳使用原则：的访问控制，最佳使用原则：基于应用基于应用+白名单控制白名单控制+最小授权最小授权VS.10应用识别 业界No.1应用识别业界第一11覆盖最全面，管控最精细Huawei友商友商C友商友商CP友商友商P1181160050006000A

5、LLP2P450422GAME321183756212056ALLP2PGAMEALLP2PGAMEALLP2PGAMEWeChatGreat WisdomLINERapidShareFreenetGamesGamesGamesHalf-life语音/文本语音/文本上传/下载浏览/交易仅应用仅应用仅应用仅应用仅应用仅应用仅应用仅应用仅应用仅应用仅应用仅应用友商友商F3133148ALLP2P语音/文本语音/文本上传/下载不支持GAME21412应用用于“访问控制”而不是“上网行为管理”80 ERP CRM Mail Weibo Emule Games80需要识别尽量多的应用。最小授权，仅有业务

6、需要的应用被允许，无法识别的应用被阻断被阻断不会带来危害。典型的FW式管理方式更安全。白白名名单单模模式式黑黑名名单单模模式式仅识别少量的应用。无法识别的应用被放行被放行可能带来危害。“上网行为管理”方式的NGFW，不够安全。VS13多种技术保障最精确的检测多种分析技术让加密应用无所遁形分片分段重组协议去干扰统计识别启发式行为识别独家数据驱动语言引擎免升级识别不中断“PCREX”SignatureProtocol BehaviorPCREX 特征库升级一体化规则特征行为标准协议加密协议+14PCREX-可编程的“应用”描述语言华为 PCREX 正则表达式变量定义内置函数逻辑计算条件分支关联能力

7、等等 迅雷特征描述片段迅雷特征描述片段非常复杂非常复杂15防混淆防加密华为 NGFW 能搞定所有这些伎俩。16基于应用、内容、时间的管控网络环境ACTUAL感知体系ApplicationLocationTimeAttackContentUser10101100010101000010101110101001111011011010110111100100101010100001110100111110NGFW是谁在哪什么时候用什么应用什么内容有什么攻击应用感知：基于应用的统计分析和访问控制基于应用的带宽管理，保障关键业务服务质量上网行为管理，提升员工效率内容感知识别真正的文件类型，对文件内容进

8、行检查，防止数据泄露（DLP）；对危险的文件类型进行深度防护（AV）；时间感知基于时间的应用统计分析发现异常行为，为安全防护提供依据。例如下班时间频繁问核心区数据。17基于用户、攻击、未知的管控网络环境ACTUAL感知体系ApplicationLocationTimeAttackContentUser10101100010101000010101110101001111011011010110111100100101010100001110100111110NGFW是谁在哪什么时候用什么应用什么内容有什么攻击用户感知：基于用户的应用统计分析；基于用户的威胁统计分析；基于用户的访问控制、上网行为

9、管理、流量控制；攻击感知：威胁统计分析，为安全防护提供依据；位置感知：流量地图：基于位置的应用统计分析攻击地图：基于位置的威胁统计分析基于位置的访问控制18“用户”感知：我知道你是谁8种认证方式：支持本地认证、Radius认证、LDAP认证、AD域认证、SecureID认证、TSM认证、HWTACACS认证等方式识别用户。价值：应对移动化办公趋势 基于用户的安全策略基于用户的带宽管理策略基于用户的上网行为管理19“位置”感知：我知道你在哪识别粒度：中国：地市级别 美国：州级别 其他：国家级别 支持根据地址段自定义位置应用场景：流量地图：基于位置的流量统计分析报表 威胁地图：基于位置的威胁统计分

10、析报表 位置策略：位置不同，访问权限不同举例：在公司总部可以访问的数据，在分公司不允许访问20一体化策略：安全防护一体化6维控制：应用识别基础上的入侵检测、防病毒 应用识别基础上的内容过滤用户不同、位置不同、时间不同，对应的访问权限也不同对放行的高风险应用，进行更深入的安全防护ApplicationLocationTimeAttackContentUser3500+新威胁识别500万恶意代码8500万URL30+文件内容识别120+文件类型识别全面环境感知位置信息库8种用户认证技术五元组应用内容时间用户威胁位置动作6000+应用识别NGFW安全策略：21最简单的策略管理2SmartPolicy

11、智能策略管理22管控能力管理优化防护范围处理性能23内容用户威胁应用位置IPPort协议VPNIPSAVDDoSDLPAntiSpamURL传统防火墙(L4)下一代防火墙(L7)NGFW管理，你真的准备好了吗？n管控维度增加1倍四层五元组管控七层应用威胁管控n管控粒度精细3-5倍应用识别、IPS、URL等你需要一名非常非常专业的安全管理员。下一代防火墙本身具备智能的自动化管理能力或者24策略精简策略精简策略优化策略优化快速部署快速部署Smart Policy Smart Policy：你身边的安全咨询专家新的分支机构的建立办公场地迁移员工加入离职业务流量发生变化员工部门调动对新设对新设备不熟备

12、不熟悉悉.缺乏足够安全知识企业流量复杂策略移植到新设备缺乏足够优化技能对策略的生成、调整、消除，都能提供帮助。25即使第一次使用NGFW，在2个页面内，3次点击鼠标即可完成快速部署。Smart Policy实现快速部署上线系统预置安全策略模板系统预置应用类别和风险组26策略智能优化101011001011010110110001010101010101011010111010110010111010110010111010110101100011101001101011011010110101010100011101101101101101101011001111000101110110100

13、1101100110110001110100流量学习业务感知智能分析URLDLPIPSAV优化建议Policy A：*Policy B:*Policy C：*Policy D:*Policy E:*基于策略的流量学习，感知网络整体业务环境，基于业务和安全风险进行智能化分析，最终自动生成策略建议。最重要的是这一切都是自动进行的。策略下发27智能优化的管理方法安全风险自动评估策略风险分解安全策略自动调优安全风险降低28冗余策略分析策略命中分析自动帮你找出系统中重复的策略、无用的策略，你可以一键删除，也可以修改调整。Smart Policy提供了策略精简的方法29最全面的安全防护3功能最全的NGFW

14、，基于云沙箱和信誉防范未知威胁30管控能力管理优化防护范围处理性能31全面的威胁防护IPSAVVPNDLPDDoS带宽管理FW上网行为管理10100010000001110001111011010111100101001110100110集成了企业需要的各种防护功能。一机在手，安全我有。Check PointHuaweiMcAfeeCiscoPalo AltoWatchGuardF5Sonic WallFortinet功能匹配度高达95%（20/21），领先大多数厂商。最新报告32DLP：识破伪装，防止泄密XXXXXX价格XXXXXX身份证:XXXXXXXX信用卡:XXXXXXXXXXXXX设

15、计方案XXXXXX能识别常见文件的真实类型并对内容过滤检查。即使藏在压缩文件中，或更改扩展名也逃不过NGFW的火眼金睛。33业界领先的Anti-DDoS能力独家“V-ISA”信誉机制全面防护DDoS攻击“V-ISA”reputation mechanism to defense DDoS华为Others业界最多的DDoS防护数量100+30+业界最细的DDoS检测粒度逐包检测采样检测面向未来的DDoS防护技术支持IPv4/IPv6 DDoS防护仅支持IPv4DDoS防护VISA I：基于IP信誉机制的僵尸网络防御S：基于会话(Session)信誉的慢速攻击防御A：基于行为信誉的应用(App.)

16、攻击防御V：支持Virtual化定制，支持虚机保护34Anti-DDOS流量自学习35传统的IPSec VPN工作模式lSpoke-Hub-Spoke网络模型的网络模型的问题问题：pSpoke与与Hub之间建立之间建立VPN隧道，隧道，Spoke之间的通信需要通过之间的通信需要通过Hub节点中转，需要进行两次加解封装操节点中转，需要进行两次加解封装操作。作。p在网络中新增在网络中新增Spoke节点时，节点时，Hub节点需要新增对应的配置信息，增加维护成本。节点需要新增对应的配置信息，增加维护成本。36DSVPN工作模式lSpoke-Spoke网络模型的优势：pSpoke与Hub之间建立VPN隧

17、道，Spoke之间按需动态建立VPN隧道，Spoke之间的通信在动态建立的VPN隧道内传输，无需通过Hub中转。p采用点到多点的GRE（Multipoint GRE）技术，在网络中新增Spoke节点时，由Spoke节点主动向Hub节点注册，无需修改Hub节点的配置。37虚拟化全业务防护：一台设备当多台用ASession:XXBandwidth:XXSecurity:APolicy Num:XBSession:XXBandwidth:XXSecurity:BPolicy Num:XCSession:XXBandwidth:XXSecurity:CPolicy Num:X虚拟系统边界防护:最大支持

18、1000个虚拟系统的边界防护 应用识别、入侵防御、防病毒、URL过滤等 安全防护虚拟化资源虚拟化租户独享体验：不同租户个性化安全管理 不同租户个性化QoS管理38最全面的沙箱种类最全面的沙箱种类最全面的沙箱种类 有效抵御有效抵御APTAPTHuaweiCISCOCheckPointPalo AltoFireEyeWindowsWEBMobileSandbox独家支持手机沙箱，快速识别手机恶意威胁39应用识别应用识别策略重查策略重查IP处理处理协议解码协议解码字段处理字段处理文件处理文件处理RBLURL分类库AV特征库IPS特征库应用特征库PE安全沙箱 手机安全沙箱Web安全沙箱沙箱模拟运行系统

19、云端信誉库WebWeb信誉信誉文件信誉文件信誉IPIP信誉信誉邮件信誉邮件信誉云端特征库URLURL分类库分类库IPSIPS特征库特征库应用特征库应用特征库AVAV特征库特征库特征提取信誉计算本地特征库防范APT攻击快速发现未知威胁信誉库过滤，提高处理性能l1天的样本分析和协议识别时间l知识库实时升级l智能动态的信誉查询服务 l24小时安全事件应急响应l300+名安全研究人员l研发中心分布：中国深圳、北京、成都、杭州基于云沙箱技术抵御未知威胁40安全产品品质：威胁防御能力安全基础能力应用识别特征库IPS签名库病毒特征库URL分类库垃圾邮件列表文件信誉IP信誉Web信誉邮件信誉安全知识安全信誉设

20、备硬件设备软件安全能力：设备品质的关键41华为NGFW：自主知识产权的安全能力厂商厂商芯片芯片安全知识库安全知识库安全信誉库安全信誉库DPIIPSAVURL反垃圾邮件反垃圾邮件华为华为自研自研自研自研自研自研信誉库自研信誉库（IP/文件文件/web/邮件）邮件）天融信天融信自研自研 Kaspersky无自研自研 Commtouch无深信服深信服网御星云网御星云自研自研 Kaspersky CommtouchCommtouch无HillStone自研自研 Commtouch无H3C自研自研 Kaspersky Commtouch无绿盟绿盟自研自研 Kaspersky无迪普迪普自研自研 趋势科技无

21、国内主流安全厂商中，华为安全技术的自研程度最高；华为在国内的厂商中独家将安全信誉体系用于安全设备，信誉库同样是自研的。42最快速的性能体验4IAE一体化识别引擎43管控能力管理优化防护范围处理性能44最佳的防护性能：软硬兼施，全万兆防护单次解析引擎提升软件性能高速的应硬件平台和架构支撑安全特性全开启的情况下是否还能保持高性能最高的应用层处理性能（相同FW性能条件下）IPS性能和全威胁防御性能均达到业界顶尖水平华为USG6650友商 P友商CP友商F友商T友商H友商SFW应用识别IPS全威胁VPN20G20G15G20G20G20G20G20G20G12G无数据无数据3G10G12G不详8G6G

22、1.5G不支持5G10G10G6G3.1G0.4G不支持无4G12G4G2.5G8G6G无数据无数据20G档FW横向对比三位一体化助推NGFW高性能体验统一威胁描述统一威胁检测统一模式匹配华为行业现状VS分散的定义入侵木马渗透串行检查通过软件匹配IPSAVURL数据结果软件统一应用定义和威胁描述入侵木马渗透MTDL统一 安全检查IPSAVURL统一模式匹配识别与解析处理响应规则的不规则的数据结果软件硬件识别与解析处理响应45IAE 引擎简介46全新的一体化结构47软硬结合的算法消耗大量计算资源的操作模式匹配（正则表达式）文件解压缩 zip,gzip摘要计算(MD5,SHA)加解码加解密48基于

23、流的文件处理t1t2搞定！49USG6000产品和优势介绍产品和优势介绍USG6320USG6330/50/60USG6650/60/70/80精准管控简单管理高性能全面防护快速部署：根据使用场景预置策略模板智能优化：流量学习，推荐策略调整建议策略精简：发现冗余和长期不使用的策略业界最全沙箱技术：支持文件、Web、手机沙箱云端沙箱运行可以流量，快速发现零日威胁全面信誉体系（文件、Web、IP、邮件）：有效防范APT攻击，并提升性能集成FW、IPS、AV、DLP、VPN、AntiDDoS等全面功能，高性价比地提供安全防护方案最高20G全威胁处理性能，全威胁开启下性能损耗少于50%。WSIC-8S

24、FPWSIC-4GE-BYPASSWSIC-8GEWSIC-2SFP+&8GESAS-300GBModuleUSG6370/80/90USG6620/301.1.快速部署快速部署2.2.策略优化策略优化3.3.策略精简策略精简+云沙箱信誉微信大智慧LINERapidShareFreenetGamesGamesHalf-life语音/文本语音/文本上传/下载浏览/交易仅应用仅应用仅应用仅应用仅应用仅应用仅应用仅应用仅应用仅应用仅应用仅应用Huawei友商CP友商C友商P业界最多、最细的应用感知50目录目录 USG6000 竞争分析USG6000USG6000产品亮点产品亮点USG6000 USG

25、6000 硬件介绍硬件介绍 1 12 23 3 USG6000 应用场景介绍4 451USG9000 USG9000 系列系列20142014 性能提升性能提升高性能T级NGFW20132013大规模应用大规模应用13 款型号1G-40G FW+APP 应用层性能20G全威胁防御性能NGFW 安全插板20142014 全面融合全面融合S7700/9700/S12700S7700/9700/S12700CE12800CE12800华为NGFW产品家族52USG6000硬件主机介绍6300/6500系列（千兆产品）USG6320/6510-sjjUSG6330/6350/6360/6530USG6

26、370/6380/6390/6550/6570形态桌面（可用于可用于机架机架）1U1U固定接口8GE4GE+2Combo8GE+4SFP最大接口数量8GE20GE+2SFP+4*10G24GE+4SFP+4*10G槽位数无2个2个硬盘无单硬盘300G单硬盘300G电源单电源标配单电源（双电源选配，可热插拔）标配单电源（双电源选配，可热插拔）最大功耗60W170W170WUSG6320/USG 6510-sjjUSG6370/6380/6390/USG6550/USG6570USG6310USG6330/6350/6360/USG6530WSIC-8SFPWSIC-4GE-BYPASSWSIC-

27、8GEWSIC-2SFP+&8GESAS-300GB扩展模块53USG6000硬件主机介绍6600系列（万兆产品）USG6620/USG6630USG6650/USG6660USG6670USG6680形态3U3U3U3U固定接口8GE+4SFP8GE+8SFP+2*10GE16GE+8SFP+4*10GE16GE+8SFP+4*10GE最大接口数量24GE+4SFP+4*10G56GE+8SFP+14*10G56GE+8SFP+14*10G32GE+8SFP+8*10G槽位数2652硬盘选配2*300G（RAID1）选配2*300G（RAID1）选配2*300G（RAID1）选配2*300G

28、（RAID1）电源标配双电源标配双电源标配双电源标配双电源最大功耗350W350W350W350WUSG6650/USG6660USG6670/USG6680USG6620/USG6630WSIC-8SFPWSIC-4GE-BYPASSWSIC-8GEWSIC-2SFP+&8GESAS-300GB扩展模块54NGFW交换机插卡介绍NGFW/IPS插板交换机型号产品S7700系列S7703S7706S7712S9700系列S9703S9706S9712S12700系列S12708S1271255NGFW产品硬件概览性能最高的小盒子产品；可通过长挂耳上机架USG6320USG6320全系支持硬盘全

29、系支持双电源全系支持万兆口全系支持Bypass卡USG6300/6500USG6300/6500全系支持硬盘和Bypass卡可扩展槽位数最多，接口密度最大：56GE+8SFP+14*10GUSG6650以上标配万兆口USG6600USG6600国内首家下一代防火墙插卡软件功能最全的NGFW插卡NGFWNGFW插卡插卡56目录目录 USG6000 竞争分析USG6000USG6000产品亮点产品亮点USG6000 USG6000 硬件介绍硬件介绍 1 12 23 3 USG6000 应用场景介绍4 4荣誉荣誉&成功故事成功故事5 557USG6000竞争分析HW天融信深信服/网康Cisco（AS

30、A系列）H3C 竞争优势应用识别的数量和精细程度20倍于友商（6000/300），基于位置的访问控制DLP功能强，支持真实文件类型的过滤和内容过滤；桌面型之外，全系列支持万兆接口，最大接口能力远超天融信安全能力积累深厚，远超友商应用识别的数量和精细度4倍于友商（6000/1800），基于位置的访问控制专业多核硬件平台，可靠性高，开启IPS等安全后的实际性能高DLP功能强，支持真实文件类型的过滤和内容过滤；应用识别的数量和精细程度5倍于友商（6000/1200）同档次产品性能更高（新建、并发、VPN吞吐、IPS吞吐等）支持基于应用的带宽策略和策略路由万兆接口能力和最大扩展能力强应用识别的数量和精

31、细程度7倍于友商（6000/800）真实性能高，尤其开启IPS后安全功能全：支持IPS、AV、DLP、反垃圾邮件；支持MPLS VPN和SSL VPN打击点应用层防护能力差：仅识别300+的应用，不能满足NGFW对应用访问控制的要求。真实性能差：真实网络环境性能低，尤其是开启IPS功能后，引导实测接口能力差：只有TG6xxxx系列才支持万兆扩展，扩展接口后商务高安全积累少：原上网行为管理厂商，安全能力积累很少，安全功能靠合作，安全功能的商务高硬件能力差：采用工控机，性能通常不高，且可靠性低，低端型号不支持双电源冗余。DLP能力差：只支持HTTP类型的文件过滤，不能识别office文件真实类型不

32、支持SSL VPN和DSVPN安全能力缺失：5585-X系列，IPS/CX特性以单板形态提供，槽位互斥，无法共同支持，不支持网关侧AV不支持基于应用的带宽管理和策略路由除5585-X系列，均不支持万兆。不支持硬件bypass真实性能差：真实网络环境无法达到宣传的性能指标。日薄西山：H3C安全领域投入持续减少，长期无新品推出，产品持续性成疑数通能力差：不支持VPN热备，和IKE V2通用打法：p 国外品牌：国内政府行业或涉密行业不能进入，扩展性差，VPN不支持国密算法；引导更多的接口和安全License，促使其抬高商务；p 国内品牌：营销层面包装出的NGFW，实际还是UTM，开启安全功能后的实际

33、性能差，应用识别数量有限；不支持DSVPN功能、智能策略优化功能。58目录目录 USG6000 竞争分析USG6000USG6000产品亮点产品亮点USG6000 USG6000 硬件介绍硬件介绍 1 12 23 3 USG6000 应用场景介绍4 4荣誉荣誉&成功故事成功故事5 559NGFW主要销售场景：下一代园区12345互联网边界防护广域网纵向安全互联接入网访问权限管控核心网访问流量安全管控数据中心边界防护全威胁防御，全业务管控，网络与安全最佳融合！全威胁防御，全业务管控，网络与安全最佳融合！互联网出口1广域网出口2接入网络边界3核心网络边界4数据中心边界560园区中NGFW部署示意出

34、差员工路由器核心交换机AP分支/合作伙伴数据中心管理区办公区办公区WAN(专网)办公区DMZ区互联网接入区广域网接入区61互联网边界防护利用Web、应用漏洞进行入侵；僵尸、木马、病毒、恶意代码入侵网络钓鱼（邮件、网页），APT攻击拒绝服务攻击（DDoS）带宽被滥用，关键业务QoS无法保障；挑战：园区内网NGFW入侵防御:基于流的特征检测3500+入侵防御特征库，接近0误报；防病毒：应用识别与病毒扫描结合，可检出超过500多万种病毒。防止数据泄露：对邮件，HTTP，FTP，IM、SNS等传输的文件和文本内容进行识别过滤。120+文件类型识别，30+文件内容还原及过滤。恶意URL过滤：8500万+

35、URL分类库，URL过滤屏蔽DDoS攻击防护：防范多种类型DDoS攻击；安全性能：万兆级全威胁防护性能，最大性能40Gbps；应用QoS优化：识别6000+应用，基于应用的带宽限制、最小带宽保障、策略路由；未知威胁检测：基于云的沙箱检测技术，每日更新特征库 智能管理：自动生成最严格的安全策略，轻松调优。客户价值：62子网/分支安全互联WAN(专网)广域网接入区分支机构局域网局域网总部局域网局域网 传输中，业务数据泄露 内部用户的入侵行为 内部病毒扩散 内部人员的非法访问 资源滥用，挤占业务带宽挑战：VPN：支持IPSec和SSL VPN，IPSec双机热备，业务0中断；支持国密卡（屏蔽海外厂商

36、），支持DSVPN技术入侵防御，防病毒，防止数据泄露 应用QoS优化：识别6000+应用，基于应用的带宽限制、最小带宽保障、策略路由；未知威胁检测：基于云的沙箱检测技术，每日更新特征库客户价值：IPSec VPN63接入网访问安全管控APV-NGFWUSG6680内部资源（业务区）外部资源（互联网）合作资源（外联区）办公终端公共终端移动终端园区园区核心交换机核心交换机认证前域TSM 服务器服务器身份账号同步身份账号同步AD服务器 内部员工非法访问 应用滥用挑战：基于应用的访问控制 基于应用的QoS优化 防止数据泄露 内部的入侵防御、防病毒客户价值：One net方案中：（外部存在认证体系是）配

37、合TSM、交换机，同步用户信息 应用识别：6000+应用识别，识别主流企业网应用，应用快速自定义 性能：万兆级全威胁防护性能亮点：64核心网访问安全管控从内到外AP接入终端园区园区核心交换机核心交换机互联网/广域网管理区业务区(数据中心)内部的数据泄露 病毒、木马、蠕虫在内部传播 带宽滥用挑战：基于应用的访问控制 基于应用的QoS优化 防止数据泄露 内部的入侵防御、防病毒客户价值：应用识别：6000+应用识别，识别主流企业网应用，应用快速自定义 性能：万兆级全威胁防护性能亮点：65数据中心边界防护普通业务重要业务核心业务终端接入区广域接入区互联网接入区V-NGFW园区园区核心交换机核心交换机数

38、据中心数据中心V-NGFWUSG6680利用应用漏洞进行入侵；僵尸、木马、病毒、恶意代码入侵APT攻击、数据泄露拒绝服务攻击（DDoS）多租户，有独立安全管理的需要。挑战：入侵防御，防病毒，防止数据泄露，DDoS攻击防护 安全性能：万兆级全威胁防护性能，最高40Gpbs性能；虚拟化：最大1000个虚拟FW，全业务虚拟化；未知威胁检测：基于云的沙箱检测技术，每日更新特征库；智能管理：自动生成最严格的安全策略，轻松调优。客户价值：智能管理：安全策略轻松调优，自动生成最严格的安全策略。应用识别：6000+应用识别，内置应用风险库。性能：万兆级全威胁防护性能 虚拟化：最大1000个虚拟FW，全业务虚拟

39、化亮点：66目录目录 USG6000 竞争分析USG6000USG6000产品亮点产品亮点USG6000 USG6000 硬件介绍硬件介绍 1 12 23 3 USG6000 应用场景介绍4 4荣誉荣誉&成功故事成功故事5 5672013中国硬件安全市场领导地位防火墙市场37.7%UTM硬件市场25.1%FW系列市场份额华为安全市场排名UTM 系列TOP3TOP314.9%12.3%市场份额华为安全市场排名2013中国FW/UTM市场排名第一MQ for FW 2014MQ for FW 2014l首个进入Gartner FW MQ的中国厂商l首个进入Gartner FW MQ的中国厂商 So

40、urce:Gartner MQ for Enterprise Nerwork Firewalls Source:Gartner MQ for unified_Threat_ManagementMQ for UTM 2013MQ for UTM 2013安全安全 SWOTSWOTl给予SWOT分析的唯一中国厂商江湖地位，有口皆碑68【比特网】2013年度CIO信赖优秀产品奖【网络世界】2013年度下一代防火墙创新产品奖【计算机世界】2013年度创新产品奖【IT168】2013年度技术卓越奖媒体评价，载誉前行69横向测评，一马当先网络世界横评，综合第一性能第一每秒新建第一吞吐量第一并发连接第一No

41、.1Huawei99%181/183Fortinet98%180/183WatchGuard88%161/183威胁检出率第一HUAWEIFortinetWatchGuard4X1.2X1.3XCheck PointHuaweiMcAfeeCiscoPalo AltoWatchGuardF5Sonic WallFortinet要点：网络隔离网关是“零信任”网络的安全核心 21项评判标准中满足其中的20项，处于领先地位最新报告，华为明显领先Cisco70广东智能电网办公信息化安全广东智能电网办公信息化安全安全方案l首先采用USG6650下一代防火墙产品，部署在在互联网出口边界和综合信息网的边界位

42、置，提供10G全威胁防护，并针对互联网出口提供强大的NAT地址转换功能。同时全网设备通过统一管理中心实现调度管理和报表展现，为广东电网构建了一套简洁高效的安全防护体系。客户价值l基于特征+基于沙箱的全威胁防御手段，保障广东电网办公业务顺畅。l全威胁特性开启后性能下降小于50%，高性能防护、高品质用户体验，支撑大业务流量。l基于流量学习的自动策略管理，CTO降低30%以上71深圳广电下一代广播电视网信息安全平台深圳广电下一代广播电视网信息安全平台安全方案l数台USG6000系列下一代防火墙为深圳广电全网融合安全信息基础架构及信息安全等级保护工程提供全面的安全能力支撑。在不同业务系统边界实现精细的

43、访问控制。客户价值l华为NGFW精细的访问控制能力和智能化管理，有效支撑了深圳广电全网安全防护项目的顺利开展。高性能的应用层性能也很好的满足了广电当前业务及未来网络发展的性能需求。72葡萄牙教育部葡萄牙教育部客户挑战客户挑战20G承载能力，承载实时业务，必须保障业务延续和可靠性。攻击频繁，手段多样，缺乏有效地防御手段。解决解决方案方案业务边界部署USG6680，提供20G双向业务防护，并保证业务连续性开启全业务防护，防范DDoS攻击和应用层攻击，同时借助华为云端沙箱，实时防范各类未知威胁。葡萄牙教育部政府公共事务平台建设，高性能、高可靠和全面安全性建设需求，可靠承载全国范围内用户的实时在线访问

44、和公共事务查询。73多特蒙德体育场多特蒙德体育场客户挑战数据中心受到网络攻击，无法保证在线博彩、视频回放等关键业务稳定运行；球迷利用球场网络访问非法网站，带来法律风险；比赛期间，使用有限的租用带宽为8万名球迷带来满意的上网体验。解决方案业务边界部署USG6650，数据中心部署USG6680。开启全业务防护防范DDoS攻击和应用层攻击。用USG6000的流量管理功能限制P2P类应用流量，为关键业务流量保障最小带宽。与TSM联动识别用户，为VIP、普通球迷提供差异化的上网体验。多特蒙德体育场是德国最大，世界第九大的专业体育场，最大容量80645人。为了提高球忠诚度性并拓展新商机，决定在主场100%覆盖无线网络。74Huawei NGFW最精准管控能力最简单管理配置最全面最全面威胁防护最高速最高速性能体验性能体验掌控下一代网络安全结束结束