HUAWEI_Secospace_USG6600系列下一代防火墙技术建议书范本

HUAWEI_Secospace_USG6600系列下一代防火墙技术建议书范本 HUAWEI_Secospace_USG6600系列下一代防火墙技术建议书 范本 华为下一代 USG系列统一安全网关技术建议书 华为技术有限公司 华为下一代USG系列统一安全网关技术建议书 版权所有 ? 华为技术有限公司 2013。 保留一切权利。 非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。 商标声明 和其他华为商标均为华为技术有限公司的商标。 本文档提及的其他所有商标或注册商标，由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受华为公司商业 合同 劳动合同范本免费下载装修合同范本免费下载租赁合同免费下载房屋买卖合同下载劳务合同范本下载 和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。 由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 华为技术有限公司 地址: 网址: 客户服务邮箱: 客户服务电话: 深圳市龙岗区坂田华为总部办公楼 邮编:518129 support@huawei.com 4008302118 2017-3-23 华为机密，未经许可不得扩散 华为下一代USG系列统一安全网关技术建议书 声 明 本文档包含的所有信息属华为技术有限公司专有。仅供××有限责任公司(以下简称“××”)使用。所有内容均为机密信息，若未事先征得深圳市华为技术服务有限公司的书面同意，××确认将不会泄露给其它公司或与此项目无关的任何个人。××需确保遵守与此有关的法律、法规和条款，来谨慎地使用这些信息。 ?2013 华为技术有限公司 版权所有，保留一切权利。 文 档 信 息 修 订 记 录 2017-3-23 华为机密，未经许可不得扩散 华为下一代USG系列统一安全网关技术建议书 目录 1 概 述 ................................................................................................................................... 6 1.1 网络安 全 ............................................................................................................... 6 1.2 威胁管 理 ............................................................................................................... 6 1.3 网络安全管 理 ....................................................................................................... 7 1.4 新网络带来的新威 胁 ........................................................................................... 7 ××企业网络安全分 析 ................................................................................................... 8 2.1 ××企业网络现 状 ............................................................................................... 8 2.2 ××企业网络业务流分 析 ................................................................................... 8 2.3 ××企业网络安全问题与分 析 ........................................................................... 8 ××企业网络安全需 求 ................................................................................................... 9 3.1 ××企业网络安全设计原 则 ............................................................................... 9 3.2 ××企业网络安全需 求 ..................................................................................... 10 华为网络安全解决方 案 ................................................................................................. 10 4.1 ××企业网络安全解决方 案 ............................................................................. 10 4.1.1 大中型企业边界防护方 案 ........................................................................ 10 4.1.2 内网管控与安全隔离方 案 ........................................................................ 12 4.1.3 数据中心边界防护方 案 ............................................................................ 13 4.1.4 VPN远程接入与移动办 公 ........................................................................ 14 4.1.5 云计算网关防护方 案 ................................................................................ 16 4.1.6 MPLS VPN解决方 案 .................................................................................. 17 4.1.7 IPv4向IPv6网络过渡解决方 案 ............................................................ 18 4.2 ××企业网络安全设备选 择 ............................................................................. 19 安全解决 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 特 点 ......................................................................................................... 19 5.1 ××企业安全网络业务流分 析 ......................................................................... 19 5.2 ××企业网络安全解决方案优 点 ..................................................................... 19 华为USG系列防火墙统一安全网 关 ........................................................................... 20 6.1 华为下一代USG系列防火墙简 介 ................................................................... 20 6.2 华为下一代USG系列防火墙功能特 点 ........................................................... 20 6.2.1 完善的传统防火墙安全功 能 .................................................................... 20 6.2.2 强大的内容安全防 护 ................................................................................ 29 6.2.3 灵活的用户管 理 ........................................................................................ 36 6.2.4 精细的流量管 理 ........................................................................................ 37 6.2.5 领先的IPV6支 持 ..................................................................................... 38 6.2.6 多样的VPN接入方 式 .............................................................................. 39 6.2.7 易用的虚拟防火 墙 .................................................................................... 41 6.2.8 IDS联 动 ..................................................................................................... 42 6.2.9 丰富的日志与报 表 .................................................................................... 43 6.2.10 灵活的维护管 理 ...................................................................................... 44 6.2.11 符合多项测试和认证要 求 ...................................................................... 45 华为服 务 ......................................................................................................................... 45 华为机密，未经许可不得扩散 2 3 4 5 6 7 2017-3-23 华为下一代USG系列统一安全网关技术建议书 7.1 7.2 7.3 服务理 念 ............................................................................................................. 45 服 务内容 ............................................................................................................. 45 服务保 障 ............................................................................................................. 45 2017-3-23 华为机密，未经许可不得扩散 华为下一代USG系列统一安全网关技术建议书 1 概述 Internet的普及为社会的发展带来了巨大的推动力，但同时也产生了大量的网络安全问题，越来越受到金融、教育、电力、交通等机构以及众多企业的重视。网络安全问题主要包括两个层面:网络本身的安全问题和网络安全管理问题。随着电信网络向融合、开放、和宽带不断演进，电信网络变得庞大而又复杂了，其面临着来自多个网络的各种安全威胁，网络安全事件频频发生，主要集中在病毒、蠕虫、恶意代码，网页篡改，垃圾邮件等方面，政府网站常常成为攻击目标。传统的防火墙设备对上述威胁难以应付采用单一的安全防范技术很难行之有效。 基于统一威胁管理的UTM技术应运而生。UTM设备采用专用多核架构平台，将IPS、Anti-Virus、UTRL过滤、VPN、防火墙和上网行为管理等安全特性集成于一体，形成立体的威胁防御解决方案。 1.1 网络安全 Internet由于其开放性，使得非常容易遭受攻击。随着攻击手段的变化多样而且攻击工具更容易获取，以及基于僵尸网络DDoS攻击的出现，使得基于网络层的攻击层出不穷。主要的攻击包括:ARP Flood、ICMP Flood、IP Spoofing、UDP Flood、Synflood、Smurf 攻击、Land 攻击、超大ICMP攻击、Fragile 攻击、Ping of Death、Tear Drop、Ping Scan、Port Scan、IP 路 由选项攻击、Tracert 攻击等等。 网络层攻击的目标主要有三个:带宽攻击、主机或者网络设备攻击以及入侵前的主机扫描。带宽攻击指通过大量的攻击数据包占用正常业务数据的带宽，导致网络带宽拥挤，正常业务受到影响;主机或者网络设备攻击指的是攻击者通过攻击主机或者网络设备的某个应用端口导致被攻击设备处理不过来或者瘫痪使其不能处理正常业务数据;主机扫描指的是黑客在入侵之前通过IP或者端口扫描获取网络中活动的主机信息，为下一步入侵提供必要的信息。 1.2 威胁管理 越来越复杂的威胁、持续提高的规章要求以及持续发展的应用程序，不断给企业带来新的网络安全问题。威胁越来越复杂化，并且新的应用和技术也带来了更多漏洞。给IT 2017-3-23 华为机密，未经许可不得扩散 华为下一代USG系列统一安全网关技术建议书 管理者也带来巨大的挑战。统一威胁管理平台为企业提供全面的安全解决方案，提前扼杀网络威胁。 1.3 网络安全管理 网络安全管理指的是企业对自身的网络资源进行有效的安全区域、等级划分，使得在网络安全运行的基础上，促进企业自身的信息安全管理水平，更好的保证企业正常运作。安全区域指的是在网络中拥有相同网络资源访问权限的主机集合，安全区域的划分主要依据企业内部部门的划分， 例如财务部门、研发部门、市场部门分别划分为三个不同安全等级的安全区域。将一个企业进行清晰的安全区域划分，大大简化了企业的网络资源控制与管理，在此基础上，实施适合企业管理要求的安全策略管理，提高企业信息安全管理水平。 1.4 新网络带来的新威胁 随着网络的发展，层出不穷的新应用虽然给人们的网络生活带来了更多的便利，但是同时也带来更多的安全风险: (1)IP地址不等于使用者 在新网络中，通过操纵僵尸主机借用合法IP地址发动网络攻击，或者伪造、仿冒源IP地址来进行网络欺骗和权限获取已经成为最简单的攻击手段。一个报文的源IP地址已经不能真正反映发送这个报文的网络使用者的身份。同时，由于远程办公、移动办公等新兴的办公形式的出现，同一使用者所使用的主机IP地址可能随时在发生变化，所以通过IP地址进行流量控制已经不能满足现代网络的需求。 (2)端口和 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 不等于应用 传统网络业务总是运行在固定的端口之上。例如HTTP运行在80端口，FTP运行在20、21端口。然而在新网络中，越来越多的网络应用开始使用未经因特网地址分配组织(Internet Assigned Numbers Authority, IANA)明确分配的非知名端口，或者随机指定的端口(例如P2P协议)。这些应用因为难以受到控制，滥用带宽，往往造成网络的拥塞。 同时，一些知名端口也被用于运行截然不同的业务。最为典型是随着网页技术的发展，越来越多不同风险级别的业务借用HTTP和HTTPS协议 运行在80和443端口之上，例如WebMail、网页游戏、视频网站、网页聊天等等。 (3)报文不等于内容 2017-3-23 华为机密，未经许可不得扩散 华为下一代USG系列统一安全网关技术建议书 单包检测机制只能对单个报文的安全性进行分析。这样无法防范在一次正常网络访问的过程中发生的病毒、木马等网络威胁。现在内网主机在访问Internet的过程中，很有可能无意中从外网引入蠕虫、木马及其他病毒，造成企业机密数据泄露，对企业经营造成巨大损失。所以企业的网络安全管理，有必要在控制流量的源和目的的基础上，再对流量传输的真实内容进行深入的识别和监控。 2 ××企业网络安全分析 [通过与××企业进行深入的交流，我们对其网络进行了充分的了解与分析。??] 2.1 ××企业网络现状 [此部分主要包括两个部分(注意:要给出网络的吞吐量): 1(××企业内部网络拓扑图，如果企业是新建网络，则提供没有安全设备的网络拓扑图，用来进行安全方案的分析。 2(××企业内部网络承载的业务，主要是内部业务以及出口网络业务] 2.2 ××企业网络业务流分析 [给出企业现网的业务流分析图，使得客户对现有网络安全问题理解的更加清晰] 2.3 ××企业网络安全问题与分析 [此部分主要包括以下几个部分(主要根据与客户的沟通以及我们自己的分析给出): 1(××企业网络出口安全隐患:DoS攻击，端口扫描 2(××企业内部网络内部安全区域的划分问题:不同部门安全网络资源权限管理 3(××企业内部服务器保护:DMZ区域的FTP、WEB、MAIL、数据库服务器保护 4(××企业业务安全隐患:需要对不同安全区域的业务进行过滤，丰富企业