华为正式发布下一代防火墙USG6000系列
秉承新思维、新架构、新技术创造新价值的理念,华为在推出敏捷网络架构和敏捷交换机之后,又在本届网络大会上正式发布了业界领先的USG6000系列下一代防火墙,旨在满足移动化、社交化、云计算以及大数据等IT消费化趋势引发的对下一代防火墙精细管控、简单管理、预知风险、高速性能的要求。
什么是下一代防火墙?对此,业界普遍认同的是Gartner于2009年发布的有关下一代防护墙(NGFW)的定义,即具备传统防火墙的全部功能、具备应用识别能力;支持与防火墙自动联动的集成化IPS、并提供智能分析等辅助功能;此外,其应用场景将主要面向大企业环境。然而随着随着IT的变化,企业网络需求的变化,感知是否够精细、管理是否够简单、防护性能是否够出色、未知威胁防护能力是否具备?都已成为传统定义的下一代防火墙不得不面临的挑战,为此,华为重新定义了下一代防火墙。
华为企业业务BG CTO梁永健发布下一代防火墙USG6000系列
华为企业业务BG CTO梁永健谈到:“在当前这个IT消费化的时代下,移动办公、社交网络和云计算在给企业注入蓬勃创造力的同时,也为安全防护带来了新的挑战。华为正是在这样的背景下,基于业界下一代防火墙理念,进行改善和升级,推出华为下一代防火墙产品。这款产品着重优化了应用识别能力,简化了配置管理难度,并一如既往地凭借华为在安全,软件,硬件以及芯片的雄厚研发实力,为客户提供全面威胁的防护能力,同时保障高性能体验。这是改变未来ICT世界的保障。”
华为下一代防火墙USG6000系列
华为USG6000是业界首个识别6000+应用的下一代防火墙,可以提供最精准的访问控制、最全面的威胁防护、最简单的配置管理、最高速的性能体验。提供6维环境感知及管控能力,以“ACTUAL(Application,Content,Time,User,Attack,Location)”全局环境感知为核心,将网络环境转换为具体的"应用+内容+时间+用户+威胁+位置"的应用层信息,可实现对移动办公、云计算等新环境下网络边界的感知,提供基于应用层的精确访问控制和动态威胁防御。
华为USG6000凭借智能管理实现了最简单的安全配置管理,华为认为实现智能管理的重要步骤是通过应用分类找到相应的配置。因此,华为把所有的应用进行多级、多维分类,通过应用类型、传输方式、应用分析三个维度描述应用,实现快速准确定位应用;同时将6000+应用分为5个大类,33个子类,基于应用子类实现快速部署。此外,华为USG6000的智能管理还会根据网络上的流量和应用进行主动分析,然后给用户提供一个优化的建议配置;同时会针对应用风险提供防护动作建议。而对于已经制定了一些应用策略的企业,随着需求的变化,应用策略也会发生变化,这就会造成策略作用重叠、策略数量越来越多,同时不知哪些策略可以删除,针对此情况,华为开发了策略冗余分析和策略命中率统计功能,通过精简策略,实现了简化管理。
华为USG6000基于独家“V-ISA”信誉机制来应对愈演愈烈的DDoS威胁,在支持虚拟化(Virtualization)防护的同时,能基于IP信誉机制实现僵尸网络防御,基于会话(Session)信誉抵御慢速攻击,同时基于行为信誉来防护应用(Application)层DDoS攻击。它同时基于云实现了最全面的威胁防护,在云端,通过PE、手机、Web安全沙箱模拟运行系统,从而提取特征数据,传送到云端特征库;同时还会生成信誉数据,传送到云端信誉库。其中通过云端特征库,可快速发现未知威胁,并防范APT攻击,而通过信誉库过滤,则可进一步提高防火墙的处理性能,从而提高整体的防护能力。
面向中小型企业采用固定配置的下一代防火墙
华为下一代防火墙提供了系列化的产品,包括面向中小型企业的固定配置产品,以及面向大型企业的可扩展产品——USG6000系列目前包含10余款设备,覆盖了1G-40G应用层性能,20G全威胁防护性能;接口最少8GE,最大扩展支持64GE+14*10GE。
华为NGFW将继续创新
而特别值得一提的是,在安全特性全开启的情况下,华为下一代防火墙的性能下降小于50%,满足了对性能有苛刻要求的用户的期望。然而这并非是华为NGFW的最终目标。据了解,华为的NGFW团队扔在不停地挑战性能极限,2014年性能将进一步提升(500G),并实现与CE12800/12700/9700/7700...系列产品的全面融合。
