USG6300下一代防火墻（盒式）

當前，智能手機、iPad等終端已經普及，移動應用程序、Web2.0、社交網絡應用于企業運營的方方面面。企業網絡邊界變得模糊，信息安全問題日益復雜。通過IP和端口進行訪問控制的傳統的防護墻無法應對層出不窮的應用層威脅。

華為USG6300系列下一代防火墻面向中小企業，通過對應用、用戶、內容、威脅、時間、位置6個維度的全面感知，提供精細的業務訪問控制和加速。入侵防御（IPS）和防病毒（AV）等應用層深度防御與應用識別相結合，有效提高了威脅防御的效率和準確性。具備全面的防護功能，一機多能，有效降低管理成本。精細的帶寬管理和QoS優化能力有效降低企業的帶寬租用費，確保關鍵業務體驗。持續、簡單、高效地提供下一代網絡安全。

產品外觀

 USG6300 下一代防火墻

產品特性

精準的訪問控制

傳統防火墻主要通過端口和IP進行訪問控制，下一代防火墻的核心功能依然是訪問控制。USG6000在控制的維度和精細程度上都有很大的提高：

• 一體化防護：

• 
  

• 從應用、用戶、內容、時間、威脅、位置6個維度進行一體化的管控和防御。內容層的防御與應用識別深度結合，一體化處理。例如： 識別出Oracle的流量，進而針對性地進行對應的入侵防御，效率更高，誤報更少。

• 基于應用：

• 
  

• 運用多種技術手段，準確識別包括移動應用及Web應用內的6000+應用協議及應用的不同功能，繼而進行訪問控制和業務加速。例如：區分微信的語音和文字后采取不同的控制策略。

• 基于用戶：

• 
  

• 通過Radius、LDAP、AD等8種用戶識別手段集成已有用戶認證系統簡化管理。基于用戶進行訪問控制、QoS管理和深度防護。

• 基于位置：

• 
  

• 與位置信息結合，識別流量發起的位置信息；掌控應用和攻擊發起的位置，時間發現網絡異常情況。根據位置信息可以實現對不同區域訪問流量的差異化控制。支持根據IP自定義位置

全面的防護范圍

越來越多的信息資產連接到了互聯網上，網絡攻擊和信息竊取形成巨大的產業鏈，這對下一代防火墻的防護范圍提出了更高要求。USG6000具備全面的防護功能：

• 一機多能：

• 
  

• 集傳統防火墻、VPN、入侵防御、防病毒、數據防泄漏、帶寬管理、上網行為管理等功能于一身，簡化部署，提高管理效率。

• 入侵防護（IPS）：

• 
  

• 超過3500+漏洞特征的攻擊檢測和防御。支持Web攻擊識別和防護，如跨站腳本攻擊、SQL注入攻擊等；

• 防病毒（AV）：

• 
  

• 高性能病毒引擎，可防護500萬種以上的病毒和木馬，病毒特征庫每日更新；

• 數據防泄漏：

• 
  

• 對傳輸的文件和內容進行識別過濾。可識別120+種常見文件類型，防止通過修改后綴名的病毒攻擊。能對Word、Excel、PPT、PDF、RAR等30+文件進行還原和內容過濾，防止企業關鍵信息通過文件泄露。

• SSL解密：

• 
  

• 作為代理，可對SSL加密流量進行應用層安全防護，如IPS、AV、數據防泄漏、URL過濾等。

• Anti-DDoS：

• 
  

• 可以識別和防范SYN flood、UDP flood等10+種DDoS攻擊，識別500多萬種病毒。

• 上網行為管理：

• 
  

• 采用基于云的URL分類過濾，預定義的URL分類庫已超過8500萬，阻止員工訪問惡意網站帶來的威脅。并可對員工的發帖、FTP等上網行為進行控制。可對上網記錄進行審計。

• 安全互聯：

• 
  

• 豐富的VPN特性，確保企業總部和分支間高可靠安全互聯。支持IPSec VPN、SSL VPN、L2TP VPN、MPLS VPN、GRE等；

• QoS管理：

• 
  

• 基于應用靈活的管理流量帶寬的上限和下限，可基于應用進行策略路由和QoS標簽著色。支持對URL分類的QoS標簽著色，例如：優先轉發對財經類網站的訪問。

• 負載均衡：

• 
  

• 支持服務器間的負載均衡。對多出口場景，可按照鏈路質量、鏈路帶寬比例、鏈路權重基于應用進行負載均衡。

• 虛擬化：

• 
  

• 支持多種安全業務的虛擬化，包括防火墻、入侵防御、反病毒、VPN等。不同用戶可在同一臺物理設備上進行隔離的個性化管理。

簡單的安全管理

下一代防火墻的防護范圍和控制精度比傳統防火墻大大增加，這對使用者的經驗和技能提出了更高的要求。華為USG6000利用Smart Policy功能降低對使用者的要求，更好的進行防護。Smart Policy主要具備以下功能：

• 快速部署策略：

• 
  

• 內置場景策略模板，不依賴使用者的經驗也能快速地部署常用防護策略。例如：如果希望使用網絡存儲，管理員僅需基于“使用網盤”這個策略模板，就能建立一系列策略。在策略中，對網盤類應用允許下載并進行病毒檢測，但禁止文件上傳。

• 智能優化策略：

• 
  

• 根據內置應用風險庫和網絡實際流量對已部署的安全策略進行評估和優化，使其符合*小原則。在企業遺留大量端口防護策略，需要轉換為NGFW使用的應用防護策略時尤其有用。

• 智能精簡策略：

• 
  

• 自動發現重復的和長期沒有使用的策略，精簡策略規模，簡化管理；

高效防護性能

UTM產品當開啟應用層防護時性能下降明顯，無法滿足當前應用層防護的性能要求。下一代防火墻要求在多重防護的情況下仍保持高性能。



USG6000系列下一代防火墻采用全新架構的智能感知引擎（IAE, Intelligence Awareness Engine），采用了一次解析多業務并行處理的架構，確保多重防御下的高性能體驗。IAE使用了三大核心技術：

• 一體化描述語言：

• 
  

• 應用識別、IPS、AV采用統一的描述語言，一次性處理，一次性分析，減少重復的操作；

• 一體化處理架構：

• 
  

• 不同于UTM對各個安全功能串行處理，USG6000在完成統一解析后，各安全業務檢查是并行的，*后做統一處理。每個步驟一次性做好，確保多安全業務開啟情況下，對整體性能影響*小；

• 軟硬結合一體化：

• 
  

• 對有規律、大批量、高運算能力要求的報文處理，例如：報文加解密、特征匹配，采用專用多核平臺由專用的協處理器硬件處理。對小規模的運算，仍然用軟件處理。軟硬結合一體化的處理方式讓整體性能更高。

組網應用

企業內網邊界防護

• 
  

• 在企業內網部門和無線接入的匯聚網絡部署下一代防火墻。對PC用戶通過防火墻策略基于用戶信息進行訪問控制。

• 對移動用戶采用基于用戶+應用的策略控制，實現精細權限管理，并記錄日志。

• 對郵件、IM、文件傳輸等進行內容過濾和審計，監控社交類應用，避免數據泄露。

互聯網出口防護

• 
  

• 在互聯網出口部署下一代防火墻，在出口進行訪問控制，阻止一切非認證訪問。

• 啟用入侵防御功能，提供萬兆級應用層威脅實時防護。

• 對郵件、IM、文件傳輸等進行內容過濾和審計，監控社交類應用，避免數據泄露。

• 基于用戶、應用、時間進行QoS管理，優先保障核心用戶和關鍵業務的服務質量。

• 通過URL分類和應用阻斷進行上網行為管理。阻斷掛馬網站和工作無關網站，根據角色監控員工可以訪問的網站和可以使用的網絡應用。

云數據中心邊界防護

• 
  

• 數據中心出口部署下一代防火墻，進行安全業務和系統資源的虛擬化特性，可為每個虛擬環境提供超乎尋常的安全體驗。

• 萬兆級入侵防御可有效阻斷各類攻擊，并可根據不同的虛擬環境需求，提供差異化的防御特性，保障數據安全。

• 通過Anti-DDoS特性，對拒絕服務攻擊流量進行清洗，保障數據中心對外業務。

VPN遠程互聯

• 
  

• 通過下一代防火墻的VPN接入，在互聯網上構建一條可信、可控、可管的安全傳輸隧道。

• 在外人員和移動用戶可通過SSL VPN接入，提供Windows、IOS、Android、Blackberry，Symbian多種操作系統支持，提供泛終端的接入能力。

產品規格

整機規格：

功能：