精準(zhǔn)的訪問(wèn)控制

傳統(tǒng)防火墻主要通過(guò)端口和IP進(jìn)行訪問(wèn)控制，下一代防火墻的核心功能依然是訪問(wèn)控制。USG6000在控制的維度和精細(xì)程度上都有很大的提高：

• 一體化防護(hù)：從應(yīng)用、用戶(hù)、內(nèi)容、時(shí)間、威脅、位置6個(gè)維度進(jìn)行一體化的管控和防御。內(nèi)容層的防御與應(yīng)用識(shí)別深度結(jié)合，一體化處理。例如： 識(shí)別出Oracle的流量，進(jìn)而針對(duì)性地進(jìn)行對(duì)應(yīng)的入侵防御，效率更高，誤報(bào)更少。

• 基于應(yīng)用： 運(yùn)用多種技術(shù)手段，準(zhǔn)確識(shí)別包括移動(dòng)應(yīng)用及Web應(yīng)用內(nèi)的6000+應(yīng)用協(xié)議及應(yīng)用的不同功能，繼而進(jìn)行訪問(wèn)控制和業(yè)務(wù)加速。例如：區(qū)分微信的語(yǔ)音和文字后采取不同的控制策略。

• 基于用戶(hù)：通過(guò)Radius、LDAP、AD等8種用戶(hù)識(shí)別手段集成已有用戶(hù)認(rèn)證系統(tǒng)簡(jiǎn)化管理。基于用戶(hù)進(jìn)行訪問(wèn)控制、QoS管理和深度防護(hù)。

• 基于位置：與全球位置信息結(jié)合，識(shí)別流量發(fā)起的位置信息;掌控應(yīng)用和攻擊發(fā)起的位置，第一時(shí)間發(fā)現(xiàn)網(wǎng)絡(luò)異常情況。根據(jù)位置信息可以實(shí)現(xiàn)對(duì)不同區(qū)域訪問(wèn)流量的差異化控制。支持根據(jù)IP自定義位置。

全面的防護(hù)范圍

越來(lái)越多的信息資產(chǎn)連接到了互聯(lián)網(wǎng)上，網(wǎng)絡(luò)攻擊和信息竊取形成巨大的產(chǎn)業(yè)鏈，這對(duì)下一代防火墻的防護(hù)范圍提出了更高要求。USG6000具備全面的防護(hù)功能：

• 一機(jī)多能：集傳統(tǒng)防火墻、VPN、入侵防御、防病毒、數(shù)據(jù)防泄漏、帶寬管理、上網(wǎng)行為管理等功能于一身，簡(jiǎn)化部署，提高管理效率。

• 入侵防護(hù)(IPS)：超過(guò)5000種漏洞特征的攻擊檢測(cè)和防御。支持Web攻擊識(shí)別和防護(hù)，如跨站腳本攻擊、SQL注入攻擊等;

• 防病毒(AV)：高性能病毒引擎，可防護(hù)500萬(wàn)種以上的病毒和木馬，病毒特征庫(kù)每日更新;

• 數(shù)據(jù)防泄漏：對(duì)傳輸?shù)奈募蛢?nèi)容進(jìn)行識(shí)別過(guò)濾?？勺R(shí)別120+種常見(jiàn)文件類(lèi)型，防止通過(guò)修改后綴名的病毒攻擊。能對(duì)Word、Excel、PPT、PDF、RAR等30+文件進(jìn)行還原和內(nèi)容過(guò)濾，防止企業(yè)關(guān)鍵信息通過(guò)文件泄露。

• SSL解密：作為代理，可對(duì)SSL加密流量進(jìn)行應(yīng)用層安全防護(hù)，如IPS、AV、數(shù)據(jù)防泄漏、URL過(guò)濾等。

• Anti-DDoS： 可以識(shí)別和防范SYN flood、UDP flood等10+種DDoS攻擊，識(shí)別500多萬(wàn)種病毒。

• 上網(wǎng)行為管理：采用基于云的URL分類(lèi)過(guò)濾，預(yù)定義的URL分類(lèi)庫(kù)已超過(guò)8500萬(wàn)，阻止員工訪問(wèn)惡

意網(wǎng)站帶來(lái)的威脅。并可對(duì)員工的發(fā)帖、FTP等上網(wǎng)行為進(jìn)行控制。可對(duì)上網(wǎng)記錄進(jìn)行審計(jì)。

• 安全互聯(lián)：豐富的VPN特性，確保企業(yè)總部和分支間高可靠安全互聯(lián)。支持IPSec VPN、SSL VPN、L2TP VPN、MPLS VPN、GRE等;

• QoS管理：基于應(yīng)用靈活的管理流量帶寬的上限和下限，可基于應(yīng)用進(jìn)行策略路由和QoS標(biāo)簽著色。支持對(duì)URL分類(lèi)的QoS標(biāo)簽著色，例如：優(yōu)先轉(zhuǎn)發(fā)對(duì)財(cái)經(jīng)類(lèi)網(wǎng)站的訪問(wèn)。

• 負(fù)載均衡：支持服務(wù)器間的負(fù)載均衡。對(duì)多出口場(chǎng)景，可按照鏈路質(zhì)量、鏈路帶寬比例、鏈路權(quán)重基于應(yīng)用進(jìn)行負(fù)載均衡。

• 虛擬化：支持多種安全業(yè)務(wù)的虛擬化，包括防火墻、入侵防御、反病毒、VPN等。不同用戶(hù)可在同一臺(tái)物理設(shè)備上進(jìn)行隔離的個(gè)性化管理。

簡(jiǎn)單的安全管理

下一代防火墻的防護(hù)范圍和控制精度比傳統(tǒng)防火墻大大增加，這對(duì)使用者的經(jīng)驗(yàn)和技能提出了更高的要求。華為USG6000利用Smart Policy功能降低對(duì)使用者的要求，更好的進(jìn)行防護(hù)。Smart Policy主要具備以下功能：

• 快速部署策略：內(nèi)置場(chǎng)景策略模板，不依賴(lài)使用者的經(jīng)驗(yàn)也能快速地部署常用防護(hù)策略。例如：如果希望使用網(wǎng)絡(luò)存儲(chǔ)，管理員僅需基于“使用網(wǎng)盤(pán)”這個(gè)策略模板，就能建立一系列策略。在策略中，對(duì)網(wǎng)盤(pán)類(lèi)應(yīng)用允許下載并進(jìn)行病毒檢測(cè)，但禁止文件上傳。

• 智能優(yōu)化策略：根據(jù)內(nèi)置應(yīng)用風(fēng)險(xiǎn)庫(kù)和網(wǎng)絡(luò)實(shí)際流量對(duì)已部署的安全策略進(jìn)行評(píng)估和優(yōu)化，使其符合最小授權(quán)原則。在企業(yè)遺留大量端口防護(hù)策略，需要轉(zhuǎn)換為NGFW使用的應(yīng)用防護(hù)策略時(shí)尤其有用。

• 智能精簡(jiǎn)策略：自動(dòng)發(fā)現(xiàn)重復(fù)的和長(zhǎng)期沒(méi)有使用的策略，精簡(jiǎn)策略規(guī)模，簡(jiǎn)化管理;

高效防護(hù)性能

UTM產(chǎn)品當(dāng)開(kāi)啟應(yīng)用層防護(hù)時(shí)性能下降明顯，無(wú)法滿(mǎn)足當(dāng)前應(yīng)用層防護(hù)的性能要求。下一代防火墻要求在多重防護(hù)的情況下仍保持高性能。USG6000系列下一代防火墻采用全新架構(gòu)的智能感知引擎(IAE, Intelligence Awareness Engine)，采用了一次解析多業(yè)務(wù)并行處理的架構(gòu)，確保多重防御下的高性能體驗(yàn)。IAE使用了三大核心技術(shù)：

• 一體化描述語(yǔ)言：應(yīng)用識(shí)別、IPS、AV采用統(tǒng)一的描述語(yǔ)言，一次性處理，一次性分析，減少重復(fù)的操作;

• 一體化處理架構(gòu)：不同于UTM對(duì)各個(gè)安全功能串行處理，USG6000在完成統(tǒng)一解析后，各安全業(yè)務(wù)檢查是并行的，最后做統(tǒng)一處理。每個(gè)步驟一次性做好，確保多安全業(yè)務(wù)開(kāi)啟情況下，對(duì)整體性能影響最小;

• 軟硬結(jié)合一體化：對(duì)有規(guī)律、大批量、高運(yùn)算能力要求的報(bào)文處理，例如：報(bào)文加解密、特征匹配，采用專(zhuān)用多核平臺(tái)由專(zhuān)用的協(xié)處理器硬件處理。對(duì)小規(guī)模的運(yùn)算，仍然用軟件處理。軟硬結(jié)合一體化的處理方式讓整體性能更高。

深圳市華思特科技有限公司由一群富有激情、志同道合、技術(shù)精湛的CIO/CTO發(fā)起并創(chuàng)辦于2007年，是一家以IT綜合服務(wù)、專(zhuān)業(yè)化解決方案、智能化弱電工程和互聯(lián)網(wǎng)應(yīng)用為核心業(yè)務(wù)的綜合型高科技企業(yè)。總部位于深港大灣區(qū)核心地帶的光明區(qū)中糧云景國(guó)際廣場(chǎng)，近三年來(lái)，公司堅(jiān)持“開(kāi)放平臺(tái)、有效激勵(lì)、智慧創(chuàng)新、價(jià)值共贏”的經(jīng)營(yíng)思路，發(fā)展迅速，于2015年度完成內(nèi)部股權(quán)激勵(lì)和合伙經(jīng)營(yíng)改制，先后在北京、上海設(shè)立分公司和技術(shù)中心，在廣州、長(zhǎng)沙、南昌、杭州設(shè)有辦事處...