Ⅰ,介绍常见网络安全设备
eSight统一网络管理
面向企业数据中心、园区/分支网络、统一通信、视讯会议、视频监控的一体化融合运维管理解决方案,为企业ICT设备提供自动化配置部署、可视化故障诊断、智能化容量分析等功能。 华为eSight主要应用于数据中心融合运维、平安城市智能运维、WLAN全生命周期管理等场景,能有效帮助企业提高运维效率、降低运维成本、提升资源使用率,有效保障企业ICT系统稳定运行
LogCenter安全事件管理中心
LogCenter 安全事件管理中心是一套功能领先的面向行业用户的统一安全管理平台。面向华为全系列安全产品,融合报表管理、日志审计、集中告警管理等功能,具有高集成度、高可靠性等特点。
CIS网络安全智能系统
CIS(Cybersecurity Intelligence System,网络安全智能系统)采用最新大数据分析和机器学习技术,可用于抵御APT攻击。它从海量数据中提取关键信息,通过多维度风险评估,采用大数据分析方法关联单点异常行为,从而还原出APT攻击链,准确识别和防御APT攻击,避免核心信息资产损失。
FireHunter6000沙箱
华为FireHunter6000系列沙箱产品是华为推出的新一代高性能APT威胁检测系统,可以精确识别未知恶意文件渗透和C&C(命令与控制,Command & Control,简称C&C)恶意外联。通过直接还原网络流量并提取文件或依靠下一代防火墙提取的文件,在虚拟的环境内进行分析,实现对未知恶意文件的检测。
华为FireHunter6000系列沙箱产品凭借独有的ADE高级威胁检测引擎,与下一代防火墙配合,面对高级恶意软件,通过信誉扫描、实时行为分析等本地和云端技术,分析和收集软件的静态及动态行为,对“灰度”流量实时检测、阻断和报告呈现,有效避免未知威胁攻击的迅速扩散和企业核心信息资产损失,特别适用于金融、政府机要部门、能源、高科技等关键用户。
WAF Web应用防火墙
WAF5000 Web应用防火墙采用独创的行为状态链检测技术,有效应对盗链、跨站请求伪造等Web特殊攻击。智能联动ms级锁定功能可有效降低入侵风险,以满足各类法律法规如PCI、等级保护、企业内部控制规范等要求,全方位保障客户的Web应用业务安全运行。
WAF5000系列产品是华为面向政府、企业和ISP推出的专业级Web应用防火墙。
UMA统一运维管理
UMA(Unified Maintenance and Audit )是为运营商、政府、金融、电力、大企业等设计的统一IT核心资源运维管理与安全审计平台,通过对各种IT资源的帐号、认证、授权和审计的集中管理和控制,实现了运维集中接入、集中认证、集中授权、集中审计功能,满足用户运维管理和内控外审需求。
AntiDDoS8000系列DDoS防御系统
华为AntiDDoS8000系列DDoS防御系统,运用大数据分析技术,针对60多种网络流量进行抽象建模,可以实现T级防护性能,秒级攻击响应速度和超百种攻击的全面防御。通过与华为云清洗中心联动,可以实现分层清洗,为用户提供从网络链路带宽到在线业务的全面防护。
NGFW下一代防火墙
NGFW Module是华为公司推出的一款单板形态的下一代防火墙产品。通过NGFW Module,用户可灵活、迅速的在主网络设备(如华为S9300和S9300E系列交换机)中整合防火墙、NAT、VPN、内容安全等安全功能,实现网络和安全防护的高度一体化。
将主网络设备的转发和业务处理有机融合在一起,在实现主网络设备高性能数据转发的同时,能够根据组网的特点处理安全业务,实现安全防护和监控。
• 对外提供4个GE接口,用于双机热备及设备的管理与维护;通过内部的2个高速20G以太网接口与主网络设备相连,保证了与主网络设备间通畅的数据转发。
• 采用了专用多核高性能处理器和高速存储器,在高速处理安全业务的同时,主网络设备的原有业务处理不会受到任何影响。
• 可以插在主网络设备上的多个槽位,并且在一台主网络设备上可插入多块NGFW Module进行性能扩展,轻松适应不断升级的网络。而且,无需占用更多的空间和重新布线,减少了在机房空间/制冷/辅料等方面的投资。
USG6000产品
USG6000采用了全新设计的万兆多核硬件平台,性能优异。
• 提供多个高密度扩展接口卡槽位,支持丰富接口卡类型,实现海量业务处理。
• 关键部件冗余配置,成熟的链路转换机制,支持内置电Bypass插卡,为用户提供超长时间无故障的硬件保障,打造永久的办公环境。
USG6000产品特点:稳定高效的万兆多核全新硬件平台;专业内容安全防御技术;安全,路由,VPN多业务集成;基于应用和用户的精细化管理;可视化管理与丰富的日志报表;;电信级的可靠性保证方案;灵活的扩展能力
USG6000产品应用场景: 大中型企业边界维护;内网管控与安全隔离;数据中心边界防护;VPN远程接入与移动办公;云计算网关;敏捷网络
USG9000系列(USG9520;USG9560;USG9580)
华为USG9500高端下一代防火墙,定位于保护云服务提供商、大型数据中心、以及大型企业园区网络业务安全。提供高达T级处理性能,集成NAT、VPN、虚拟化、多种安全特性,和高达99.999%可靠性,帮助企业满足网络和数据中心环境中不断增长的高性能处理需求,降低机房空间投资和每Mbps总体拥有成本
USG9000产品特点:多核分布式架构,提高投资回报比;T级处理性能,应对激增流量;端到端可靠性方案,保证业务永续
USG9000产品应用场景: 数据中心边界防护;广电和二级运营商网络;大中型企业边界维护;企业分支机构互联;云计算网关
vNGFW虚拟化安全
随着云计算技术的发展与应用,传统数据中心向云数据中心转变,业务快速上线,业务按需迁移,定制化防护等客户需求激增,同时虚拟机攻击Hypervisor、虚拟机之间的攻击和嗅探、虚拟化网络可用性损失等新的虚拟网络安全问题出现,传统的业务网关无法适应云网络的部署,SDN和网络设备NFV需求和技术应运而生。SDN和NFV通过管理控制和数据面的分离和分布式化、网络功能的软件化、虚拟化,为各种新业务组合的灵活性以及动态部署提供了多种可能,同时,通过业务和平台接口的开放互联,可以为客户提供更好的生态系统融合。
华为USG6000V是一款运行在标准服务器虚拟机上的纯软件产品,面向云数据中心及NFV场景,提供全面软件化部署的虚拟网络安全防护。通过软件定义安全来实现安全能力的快速部署。USG6000V可以与华为公司Fusion Sphere、Agile Controller控制器、EMS/NMS,以及开源的Openstack平台构成开放的数据中心解决方案。丰富的下一代防火墙特性,为客户虚拟网络中提供了丰富的安全业务运营及防护。
USG6000V系列产品包括:USG6000V1;USG6000V2;USG6000V4;USG6000V8
USG6000V系列产品特点:高性能;弹性部署;丰富的业务特性;多样的开放互联平台
USG6000V系列产品应用场景:云数据中心vxlan
USG9000V产品定位
USG9000V是面向云数据中心安全的分布式大容量NFV(Network Function Virtualization )防火墙。
随着云计算技术的不断发展,数据中心及运营商网络架构正在向云化的、虚拟化的、自动化的网络架构转型。新的机遇也带来了新的挑战,云化网络对部署自动化、运维自动化、资源高利用率提出了更高的要求。华为公司推出的USG9000V通过对资源的集中调度实现弹性扩缩,达到资源的最优利用率;同时可自动化运维,能进行故障自检测和自恢复,助力企业和运营商全面提升云化安全能力。
USG9000V符合标准的ETSI NFV体系架构,如下图所示。USG9000V作为VNF(Virtualized Network Function)实现安全网元的功能,部署在通用的硬件平台上,提供标准化的接口与其他VNF协同部署。
USG9000V产品特点:云化架构,按需弹性扩缩;高性能;多级可靠性保障机制,自动化运维;业务特性丰富
USG9000V产品应用场景:云数据中心
SVN安全接入网关
SVN5600/5800系列安全接入网关产品支持最高5万并发用户在线,具有完备的安全防护能力、丰富的终端支持、敏捷的访问体验、灵活的组网适应能力及电信级可靠性设计,可满足不同规模企业的远程接入、移动办公、分支机构互联等需求,并保证接入用户的一致体验,提升企业办公效率,是华为面向大中型企业、政府、运营商推出的新一代安全接入网关。
SVN产品定位
SVN集成了极为丰富的功能,包括SSL VPN、IPSec VPN、GRE VPN、MPLS VPN、防火墙、攻击防范功能以及领先的三层特性,例如IPv6、MPLS、动态路由、策略路由等,使得企业、政府和运营商用户可以在一台设备中部署各种所需的安全服务,能够有效降低安全方案的部署成本。
SVN产品特点:一体化VPN远程接入;丰富的权限管理手段;灵活的用户授权;高可靠性
SVN产品应用场景
通过安全的SSL隧道进行远程接入:
SSL为基于TCP的应用层协议提供安全连接,如SSL可以为HTTP协议提供安全连接。SSL协议广泛应用于电子商务、网上银行等领域,为网络上数据的传输提供安全性保证。
Web代理:Web代理是指SVN为终端用户与内网Web服务器通信提供的中转功能。终端用户登录SVN后,通过SVN虚拟网关下发的资源列表可以实现对内网资源的访问。
文件共享:文件共享将文件共享协议(SMB,NFS)转换成基于SSL的超文本传输协议(HTTPS),并通过Web的形式显示给终端用户,实现文件系统访问Web化。
端口转发:基于端口控制的内网访问方式,适用于所有TCP应用。转发的数据均经过SSL加密,保证了TCP应用数据的完整性和正确性。
网络扩展:通过在本地安装虚拟网卡,终端用户可以与SVN网关建立SSL隧道,实现了对所有基于IP的内网业务的全面安全访问。用户远程访问内网资源就像访问本地局域网一样方便,适用于各种复杂的业务功能。
通过IPSec为总部和分支机构建立安全通道:
SVN1与SVN2之间建立IPSec隧道,公司总部和分支机构能够通过IPSec VPN互访资源。
IPSec提供了一种建立和管理安全隧道的方式,通过对要传输的数据报文提供认证和加密服务来防止数据在网络内或通过公网传输时被非法查看或篡改,相当于为位于不同地域的用户创建了一条安全的通信隧道。IPSec应用最常用的组网方式是点到点(Site-to-Site)的组网方式,
(PS:此模式下两个网关之间的连接是加密的。但从客户到客户的网关之间的连接,服务器和服务器的网关之间的连接是未加密的。两侧的网关都必须支持IPSec。)
桌面云代理
ICA(Independent Computing Architecture)协议是当前主流的虚拟桌面显示协议,通常应用于企业的虚拟桌面解决方案中。
虚拟桌面方案的典型组网如下图;Client通过虚拟桌面协议和虚拟机建立TCP连接,访问远程的VM服务器。SVN作为桌面云代理设备,主要完成负载均衡网关(Load Balance Gateway)和安全云网关(Cloud Gateway)功能。
• 负载均衡网关:负载均衡网关可以负载均衡多个Web服务,使多个客户端的流量均衡到合适的实服务器。实服务器为客户端提供Web(HTTP/HTTPS)服务。
• 安全云网关:代理客户端和VM服务器的连接,提高连接安全性同时对外屏蔽内部结构。
(PS:负载均衡网关和安全网关功能可以部署在不同的SVN上,也可以部署在同一台SVN上)
NIP6000系列下一代入侵防御系统
NIP6000系列下一代入侵防御系统是在传统IPS(Intrusion Prevention System )产品的基础上增加对所保护的网络环境感知能力、深度应用感知能力、内容感知能力,以及对未知威胁的防御能力,实现了更精准的检测能力和更优化的管理体验。更好地保障客户应用和业务安全,实现对网络基础设施、服务器、客户端以及网络带宽性能的全面防护。
NIP6000系列是华为推出的下一代入侵防御系统,主要应用于企业、IDC、校园和运营商等网络,为客户提供应用和流量安全保障。
NIP6000系列产品既具备传统IPS产品的功能又在此基础上进行了扩展,更好地保障客户应用和业务安全:
• 标准的IPS功能
提供丰富的面向漏洞和威胁的签名库,及时检测并阻断攻击。
• 应用感知、应用层威胁防御
具备强大的网络应用识别和管控能力,管理员可以基于应用配置安全策略、带宽策略等进行应用管控,而不仅限于基于端口、协议、服务的策略配置。
同时,NIP6000可防御针对各类应用的攻击,保障应用安全。
• 环境感知
通过录入资产信息(操作系统、资产类型、资产价值等),NIP6000结合资产情况对攻击事件进行风险评估,标识攻击事件风险级别,为管理员提供可靠的事件结果。
同时管理员可以根据资产信息,选择合适的操作系统、应用等生成入侵防御策略,进行有针对性地防护。
• 未知威胁检测
通过与沙箱联动检测APT攻击、零日攻击等新型网络攻击。
NIP6000系列产品特点:签名更新快,漏洞及时检测;即插即用,部署灵活;全新软件架构,产品性能业界领先;沙箱联动检测APT,潜在威胁无所遁形;网络环境动态感知,策略配置及风险评估智能化;专业的病毒查杀,保护网络免受病毒侵扰
NIP6000系列产品应用场景:互联网边界;IDC/服务器前端;网络边界;旁路检测
AgileController
Agile Controller-Campus是华为推出的新一代园区与分支网络控制器,支持网络部署自动化,策略自动化,SD-WAN等创新方案,帮助企业降低OPEX运维成本,加速业务上云与数字化转型,让网络管理更便捷,让网络运维更智能;支持园区网络、SD-WAN、用户接入管理等多种应用场景。
Agilecontroller产品特点:以用户和业务为中心重定义网络;全网资源集中化控制与灵活调整;产品开放合作
AC-Campus系统包括四部分:管理中心(Management Center,简称MC)、业务管理器(Service Manager,简称SM)、业务控制器(Service Controller,简称SC)以及客户端,网络接入设备(Network Access Device,简称NAD)作为方案的组成部分与业务控制器联动实现基于用户的接入控制和业务随行。
Anyoffice
AnyOffice是一个统一的移动办公安全工作台,为企业提供统一的移动办公入口和灵活的应用发布平台,在 “端、管、云”三点构筑核心能力,通过对网络、设备、应用、数据的统一管控,为企业移动业务创新提供强劲动力和坚实保护。 AnyOffice集成安全沙箱、安全邮件、安全浏览器、企业移动管理(EMM)、企业应用商店等功能和组件,通过单点登录框架实现所有应用的SSO体验,帮助用户实现5W1H(Who, Whose Device, What Device, Where, When, How)的情景感知和策略联动,从而享受自由办公和移动信息安全。
防火墙主要组网应用
企业内网管控和隔离:精细化访问控制;IPS/AV/DLP/URL过滤/QOS管理
互联网边界防护:精细化访问控制;IPS/AV/DLP/URL/DDOS/Spam;QOS管理
数据中心隔离:高性能安全防护;IPS/AV/DLP/DDoS;安全业务虚拟化
企业分支互联:VPN传输安全;wifi上网,接入身份证;IPS/AV/DLP/URL/Spam
网络安全设备管理
设备登录:console登录/web界面登录/ssh/telnet登录
console:使用PC终端通过连接设备的Console口来登录设备,进行第一次上电和配置。当用户无法进行远程访问设备时,可通过Console进行本地登录;当设备系统无法启动时,可通过console口进行诊断或进入BootRom进行系统升级
web:在客户端通过Web浏览器访问设备,进行控制和管理。适用于配置终端PC通过Web方式登录
ssh:提供安全的信息保障和强大认证功能,保护设备系统不受IP欺骗、明文密码截取等攻击。SSH登录能更大限度的保证数据信息交换的安全
telnet:通过PC终端连接到网络上,使用Telnet方式登录到设备上,进行本地或远程的配置,目标设备根据配置的登录参数对用户进行验证。Telnet登录方式方便对设备进行远程管理和维护
设备管理:默认情况下,USG6000系列产品主面板上有一个固定的管理接口G0/0/0,用于设备管理