HUAWEI - Secospace - USG6600系列下一代防火墙技术建议书范本(4)

华为下一代USG系列统一安全网关技术建议书

览器即可与总部建立隧道，方便快捷。同时可以对出差员工可访问的资源进行精细化控制。

? 在上述隧道中，通过IPSec加密算法或者SSL加密算法，对网络数据进行加密保

护。

? 对于通过VPN隧道接入后的用户，进行接入认证，保证用户合法性。并且基于用

户权限进行访问授权。

? 部署入侵防御、反病毒、文件过滤、数据过滤、DDoS攻击防范，避免网络威胁经

由远程接入用户穿过隧道进入公司总部，同时防止机密信息泄露。 ? 部署用户行为审计，及时发现风险，并且便于后续的回溯。

4.1.5 云计算网关防护方案

云控制中心虚拟服务器A虚拟机1虚拟机2虚拟机3虚拟系统A云终端1USG……虚拟服务器B虚拟机4虚拟机5虚拟系统B云终端4虚拟服务器C虚拟机6虚拟机7虚拟机8虚拟系统C……云终端8

图5 华为USG系列云计算网关防护方案

云计算是目前一种新兴的网络服务提供模式，需要一系列技术的配合和支持。USG系列防火墙可以在云计算的部署中担任云计算网关的角色。

2017-3-23

华为机密，未经许可不得扩散 第16页, 共45页

华为下一代USG系列统一安全网关技术建议书

云计算技术目前存在多种应用方式，最为典型的方式是由网络服务提供商为网络用户提供硬件资源和计算能力，网络用户只需使用一台终端通过网络接入云端，就可以像操作家庭电脑一样操作自己保存在云端的资源。

云计算的核心技术是通过服务器的集群为大量网络用户提供相互独立而又完整的网络服务，其中涉及到多种虚拟化技术。

基于以上特征，USG系列防火墙作为云计算网关，提供如下功能：

? 在这个场景中，USG系列防火墙担任的是云计算网关的角色。通过虚拟系统功能，

可以将一台物理设备划分为多台相互的独立的逻辑设备。每台逻辑设备都可以拥有自己的接口、系统资源以及配置文件，可以独立进行流量的转发和安全防护，所以被称为虚拟系统。

? 虚拟系统从逻辑上相互隔离，所以对于每一个云终端看来都拥有一个独享的防火墙

设备。同时由于这些虚拟系统共用同一个物理实体，所以当需要虚拟系统之间进行流量转发时，转发效率非常高。所以USG系列防火墙在此场景中主要负责进行虚拟服务器之间的数据快速交换，以及在云终端接入云服务器的通信过程中进行网络安全的防护，为云计算方案提供增值的安全业务

4.1.6 MPLS VPN解决方案

MPLS 无缝地集成了IP 路由技术的灵活性和ATM 标签交换技术的简捷性。MPLS 在无连接的IP 网络中增加了面向连接的控制平面，为IP 网络增添了管理和运营的手段。USG系列防火墙系列业务路由网关支持MPLS VPN功能，既可以做PE设备，也可以做P设备。

? 支持VRF的路由表多实例 ? 支持L2TP方式接入VPN

2017-3-23

华为机密，未经许可不得扩散

第17页, 共45页

华为下一代USG系列统一安全网关技术建议书

? 支持IPSEC方式接入VPN

? 支持灵活的VPN组网，包括跨域、“运营商至运营商”等 ? 基于标准协议，能全面与其他主流厂家互通 ? 支持CE－PE间静态路由或动态路由协议

4.1.7 IPv4向IPv6网络过渡解决方案

目前还存在大量的IPV4网络，随着IPV6的部署，很长一段时间是IPV4与IPV6共存的过渡阶段，USG系列防火墙系列业务路由网关支持多种IPV4向IPV6网络过渡解决方案，主要包括双栈技术、隧道技术以及IPV4/IPV6协议转换技术。

? 双栈技术：USG系列防火墙系列业务路由网关与IPV4节点通讯时使用IPV4协

议栈，与IPV6节点通讯时使用IPV6协议栈；USG系列防火墙系列业务路由网关具有三种工作模式：只运行IPv6协议，表现为IPv6节点；只运行IPv4协议，表现为IPv4节点；双栈模式，同时打开IPv6和IPv4协议。 ? 隧道技术：提供两个IPV6站点之间通过IPV4网络实现通讯连接，以及两个

IPV4站点之间通过IPV6网络实现通讯连接的技术；USG系列防火墙系列业务

2017-3-23

华为机密，未经许可不得扩散 第18页, 共45页

华为下一代USG系列统一安全网关技术建议书

路由网关支持多种隧道技术，包括IPv6 Over IPv4的GRE隧道、IPv6手工配置隧道、6over4隧道、IPv4兼容地址自动隧道以及6to4自动隧道。 IPV4/IPV6协议转换技术：提供了IPV4网络与IPV6网络之间的互访技术。USG系列防火墙系列业务路由网关支持NAT-PT（Network Address Translation-Protocol Translation）技术，负责在IPv4报文与IPv6报文之间进行翻译转换，从而达到只支持IPv6协议的主机与只支持IPv4协议的主机能进行互联互通的目的。

4.2 ××企业网络安全设备选择

[根据具体的情况选择部署USG系列防火墙的网络位置]

5 安全解决方案特点

[根据选用的方案进行具体的分析]

5.1 ××企业安全网络业务流分析

[(分析清楚网络中的业务流图，客户对我们的安全方案理解更加清晰)]

5.2 ××企业网络安全解决方案优点

[针对××企业原有网络业务流分析、具体方案的选择、××企业安全网络业务流分析给出解决方案的优点：

1． 网络拓展性优点；(针对××企业具体的网络情况展开) 2． 高可靠性优点；(针对××企业具体的网络情况展开) 3． 高安全性特点；(针对××企业具体的网络情况展开) 4． 高性价比特点；(针对××企业具体的网络情况展开) ]

2017-3-23

华为机密，未经许可不得扩散 第19页, 共45页

华为下一代USG系列统一安全网关技术建议书

6 华为USG系列防火墙统一安全网关

6.1 华为下一代USG系列防火墙简介

为了解决新网络带来的新威胁，下一代防火墙产品应运而生。通常要求下一代防火墙产品具有以下特征。

? 使用签名和特征，而不是端口号和协议来对应用进行定义，以识别报文的真实属性

和所携带的不安全因素。

? 集成SA（ Service Awareness，业务感知）功能，并且使用专业的硬件系统来检测

报文的真实应用和内容。

? 集成IPS功能，性能更高，威胁的识别和阻断结合得更加紧密。

? 丰富而完善的可视化管理、审计、报表功能，使得网络管理员可以掌握全面真实的

网络状况，以帮助管理员更好地做出防护措施。

华为公司推出的下一代防火墙USG系列产品不仅完全满足上述特征，而且还具有以下明显优势：

（1） 稳定高效的万兆多核全新硬件平台 （2） 专业内容安全防御技术 （3） 安全、路由、VPN多业务集成 （4） 基于应用和用户的精细化管理 （5） 可视化管理与丰富的日志报表 （6） 电信级可靠性保证方案 （7） 灵活的扩展能力

6.2 华为下一代USG系列防火墙功能特点 6.2.1 完善的传统防火墙安全功能 （1）安全区域管理

? 基于安全区域的隔离

华为USG系列防火墙统一安全网关的安全隔离是基于安全区域，这样的设计模型为用户在实际使用统一安全网关的时候提供了十分良好的管理模型。华为统一安全网关提供了基

2017-3-23

华为机密，未经许可不得扩散

第20页, 共45页

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库HUAWEI - Secospace - USG6600系列下一代防火墙技术建议书范本(4)在线全文阅读。