1、 防火墙的现状与挑战

防火墙作为传统网络安全设备，是在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。

在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。

防火墙逻辑位置示意图

当时间进入到21世纪，各种攻击手段层出不穷，传统防火墙对付日益增多的安全威胁早已力不从心。

为了应对越来越多的攻击手段，保证内网安全运行，客户不得不采购更多的安全设备，包括IDS、IPS、AV、URL过滤、终端安全系统等一系列产品，以期提高内网安全等级。

越来越多的安全设备充斥了整个网络，技术更新快，多套管理系统各自为政，维护管理人员缺乏。企业的安全方案日趋复杂，运维成本日益庞大。

那么，有没有一种设备，既能解决多种业务安全问题，也能实现真正有效的业务保护，在满足客户快速、高效的业务体验的同时，为用户节约投资、且管理简单、易于维护，同时还提供及时可靠的安全服务呢?

2、 华为解决之道

华为给力推出USG系列统一安全网关：

华为USG系列安全网关的架构：

高性能多核硬件，最大支持8核32个虚CPU并行处理，配合加速芯片实现性能业界领先。

安全能力融合入系统内核，主动完成安全检测

数据流在整个转发过程，通过安全内核

各模块并行工作，效率高，安全性高

基于用户的安全策略

华为USG系列安全网关的功能亮点：

基于漏洞的IPS引擎：

基于漏洞的签名：1条可检测识别成百上千的攻击，有效防止攻击变种

基于精确识别内容的威胁检测，避免盲目的扫描大量信息导致低效率

新增漏洞签名到2000+种

全球领先的AV引擎：

技术领先：文件级引擎，保证病毒检测的完整性;增加FTP协议扫描。仿真检测技术，让病毒暴露其不良活动企图或者现出原形。海量病毒检测能力，可检测700多万种病毒。

高检测率：病毒测试检出率高达99% ，自动化学习引擎，超125种特征扫描能力，快速检测病毒变种。

快速响应：刀片式引擎，可以特征库一样不断升级新的脚本引擎可以快速发布到工作中的反病毒引擎上。

全面的流量控制：

USG系列防火墙支持多种流量管控策略：

支持基于IP地址(地址段)的流量控制：IP(段)的流量控制是指根据报文源地址、源端口、目的地址、目的端口、协议这五元组信息匹配限流策略，如果匹配上了则进行相应的限流，否则不做限流。策略里面可以配置地址或地址的集合，协议或协议的集合。

基于DPI应用的流量控制：DPI(Deep Packet Inspection)作为一种较新的包检测技术，除了能够检测P2P、IM，还可以识别包括VOIP(skype、H.323、SIP、RTP、Net2Phone、Vonage)，Game(Diablo、Tantra)，web_Video(PPlive、QQlive、SopCast)，Stock，Attack等20多种大类，以及上千种应用协议，该DPI库支持在线升级，保证DPI库的实时更新。用户根据DPI应用类型分别采取不同的限流策略，包括允许通过、禁止通过、带宽限速、带宽保证、闲时复用、连接数限制等。

基于用户(用户组)的流量控制：在流量识别对应用户身份的基础上，防火墙只需要针对用户(组)信息配置限流策略，而不再需要根据复杂多变的IP网段来进行限流配置，这样不同的用户(组)身份可配置不同的流量控制策略，既简化了策略配置，又适应了企业复杂多变的网段规划，方便管理员的管理。

支持对流量进行双重控制：双重控制是指可对流量同时进行两种方式的限流。包括基于每IP的限流和基于整体带宽限流的两级控制。

支持对流量进行保证带宽控制：是指可以为每个IP地址设置最小保证能够通过的流量，在保证了这些最小带宽之余，当总体带宽有空余时，则每个IP地址能够通过大于保证带宽值，而小于最大带宽值的流量。对于大于保证带宽的报文(+微信关注网络世界)，转发还是丢弃是按照报文到达时带宽是否超过总体带宽来决定，超过时则丢弃，否则转发。

支持对流量进行连接数控制：连接数的限制是指对并发连接数进行限制，现网应用P2P等占用了很多连接资源，对连接数进行限制，从而达到对流量进行限制目的。包括基于每IP并发连接数限制，基于整体并发连接数限制等。

支持对流量进行选路控制：一些多出口的网络部署当中，需要对不同的流量进行选路控制。比如：要求P2P识别的流量从A接口发送出去，VOIP的流量从B接口发送出去;或者一开始所有流量都从主接口发送出去，当主接口的流量超过配置的流量阈值时则启动备份链路，使得超过主接口阈值的流量能从B接口发送出去。

智能上网行为管理：

上网行为管控功能，运用了内容过滤技术，内容过滤结合预分类技术和实时分析技术，对于网络访问进行控制。顾名思义，预先分类就是事先对网站进行分类，在过滤时直接查询网站所属的分类即可，响应速度快，性能高，预分类库内容支持实时动态更新。预分类技术可以解决大部分的web访问安全问题。同时，对于web及其他网络协议(如FTP、SMTP、POP3等)进行深度解析，实时分析用户的行为以及传输的内容，根据组织的需要，对于无用的、有信息安全风险的行为进行控制，阻止对于组织有害的网络访问行为的发生。两种技术的完美结合，极大提升了内容检测的检测效率和准确率。

丰富的路由特性：

华为USG系列防火墙全面支持IPv4\IPv6双栈，支持静态路由、RIP、OSPF、BGP等多种路由协议，同时提供先进的智能选路、全面的VPN能力、IPv6过渡技术、IPv6丰富特性。

一键配置：

传统UTM配置复杂，人为因素多，费时费力;

华为USG系列无需复杂管理，一键配置。

3、 华为解决方案

华为USG系列产品，集成了防病毒，反垃圾邮件，入侵防御，防火墙以及路由器等功能，结合其最优性价比，为企业用户提供了不二选择。

USG系列防火墙基于华为专业的多核硬件平台以及强大的VRP软件平台，不仅具备优异的攻击防范处理能力，而且能够提供完备的地址转换(NAT)功能。为了更好地满足企业的实际需要，USG系列防火墙还支持丰富的多媒体协议和路由协议，组网方式灵活多样，是各类型企业理想的网络安全防护设备。