现状与挑战
随着信息技术的发展,遍布全球的互联网络使任意一个角落的人都可以与远在万里的陌生人即时进行信息交流,如发送电子邮件、传输各种文件、浏览网页资料、网络游戏、即时信息通讯等。它使各行各业都发生了深刻的变化,如今的网络已成为人们生活中不可缺少的一部分,人类社会对信息网络系统的需求和依赖程度正在日益增加。与此同时,网络用户安全问题也变得非常严重,主要表现如下:
计算机系统遭受病毒感染和破坏的情况相当严重。
据国家计算机病毒应急处理中心《2006年全国信息网络安全状况与计算机病毒疫情调查分析报告》分析,2005年5月至2006年5月,54%的被调查单位发生过信息网络安全事件,比上一年上升5%;其中发生过3次以上的占22%,比上一年上升7%。感染计算机病毒、蠕虫和木马程序仍然是最突出的网络安全情况,占发生安全事件总数的84%;遭到端口扫描或网络攻击(36%)和垃圾邮件(35%)次之。金融证券行业发生网络安全事件的比例最低,商业贸易、制造业、广电和新闻、教育科研、互联网和信息技术等行业发生网络安全事件的比例较高。
电脑黑客活动已形成重要威胁。
网络信息系统具有致命的脆弱性、易受攻击性和开放性,从国内情况来看,目前我国大部分与互联网相连的网络管理中心都遭受过境内外黑客的攻击或侵入,其中银行、金融和证券机构是黑客攻击的重点。
安全意识淡薄是网络安全的瓶颈。
目前,在网络安全问题上还存在不少认知盲区和制约因素。网络是新生事物,许多人一接触就忙着用于学习、工作和娱乐等,对网络信息的安全性无暇顾及,安全意识相当淡薄,对网络信息不安全的事实认识不足。与此同时,网络经营者和机构用户注重的是网络效应,对安全领域的投入和管理远远不能满足安全防范的要求。总体上看,网络信息安全处于被动的封堵漏洞状态,从上到下普遍存在侥幸心理,没有形成主动防范、积极应对的全民意识,更无法从根本上提高网络监测、防护、响应、恢复和抗击能力。近年来,国家和各级职能部门在信息安全方面已做了大量努力,但就范围、影响和效果来讲,迄今所采取的信息安全保护措施和有关计划还不能从根本上解决目前的被动局面,整个信息安全系统在迅速反应、快速行动和预警防范等主要方面,缺少方向感、敏感度和应对能力。
华为UTM解决之道
华为安全服务模型融合了安全领域三大国际标准,以策略为核心,以管理为重点,以技术为支撑,以工程方法为指导为运营商提供以业务为核心,根据业务特点整网统一规划,分期逐级实现的安全解决方案,如下图所示:
这三大国际安全标准和模型是:
ISO17799(BS7799):信息安全管理业务规范
ISO7498-2:信息处理系统开放系统互连基本参考模型 第2部分:安全体系结构
SSE-CMM:系统安全工程能力成熟度模型
华为信息安全架构在网络层次结构中,要求层层防护,建立端到端的安全体系架构。对于接入层的以太网交换机,直接面向用户的流量和攻击,对安全的支持特性对于整个网络的安全起到至关重要的作用。
USG 防火墙系列产品基于电信级的硬件平台以及专用软件平台VRP,展现出了功能与性能的完美结合,在攻击防范、VPN(虚拟专用网)、NAT(网络地址转换)以及P2P应用监控等方面都有卓越的表现,是电信、政府、金融、教育、能源等机构理想的网络安全防护设备。对于有VoIP等多媒体应用的场合,USG防火墙也能够提供完善的应用层保护。华为的USG防火墙系列产品能够与众多安全设备联动协作,如IDS、终端安全管理系统以及业务监控网关等,从而提供更为有效完备的安全解决方案。
产品特点
强大的防范DoS/DDoS攻击能力
USG防火墙采用NP高速处理器,拥有卓越的首包处理能力,能防范每秒百万包以上的,能防范每秒百万包以上的SYN FLOOD,UDP FLOOD,ICMP FLOOD,DNS FLOOD等DDoS攻击,同时还提供防CC攻击,蠕虫病毒流量的识别和防范能力,是业界顶极的DDoS防范能力的安全设备。同时采用华为专有ICA智能连接算法,保证在准确识别DDoS攻击流量的同时,不影响用户的正常访问,在复杂网络情况下实现真正的安全防护。
丰富的安全业务提供和灵活组网能力
USG防火墙支持多达100个虚拟防火墙,每个虚拟防火墙实现独立策略配置管理,如同同时拥有了多台防火墙,特别适用于数据中心的运营级访问防护,在提供便捷安全的服务的同时,降低成本。
USG防火墙与华为终端安全系统实现实时联动,保证只有合法身份的用户才能接入,并对存在安全风险的终端直接进行隔离,并引导用户打补丁和杀毒,高效保证网络安全。
USG防火墙支持路由模式、透明模式、混合模式,双机状态热备等多种工作方式,采用华为公司的强大的VRP平台,提供对BGP、OSPF等动态路由协议的支持,能够提供高可靠和高复杂的组网,具备非常灵活的组网能力。
高性能的VPN网关
USG防火墙支持L2TP、IPSec等多种VPN接入方式,采用高性能网络处理器和高速的硬件加密模块,支持DES、3DES、AES、国密专用算法等多种算法,并提供1G的加密性能,结合华为公司全系列的VPN设备,提供完整的VPN解决能力。USG 防火墙可支持高达1G的 L2TP接入能力,提供高性能的LNS服务,也是拥有大量出差用户接入内网办公的用户理想设备。
强大的NAT业务能力
USG防火墙提供私网地址重叠的NAT、双向NAT、一个公网对应多个私网地址(提供多种算法的负载均衡能力)、一个私网对应多个公网地址等应用,采用NP处理器实现高速NAT转换,是业界顶尖的NAT转换设备。
USG防火墙可以提供高达256个地址池,对于大量私网用户如数百个网吧的情况,也完全能够提供NAT转换。同时由于其采用NP处理器加速处理二进制日志,配合特别设计的日志服务器软件,在大流量冲击下也可以确保不丢任何NAT日志,不影响正常业务处理。
USG防火墙提供多ISP的支撑能力,在出口采用多个ISP的线路时,某条线路故障,流量可以自动倒换到其它线路负担。
USG防火墙采用华为公司成熟稳定的SIP,H.323,MGCP等协议栈,并及时同步最新协议版本,是视频会议、语音和视频电话等应用的理想NAT穿越设备。由于采用了业界顶尖的处理器,保证了ALG高速解析能力。
P2P联动流量识别和带宽管理
USG防火墙可以和华为公司专门研制的业务监控网关SIG联动,对P2P、VOIP、非法共享接入等进行增强识别,由防火墙进行精确限制,能够为城域网出口或者企业出口提供用户业务深度识别和控制的高效解决方案。
高可靠性的防火墙产品
USG防火墙具有优异的处理性能、灵活的业务和路由特性、完善的配置管理和高可靠性。支持电源,风扇的热插拔,支持双机热备并支持双机热备组网时来回路径部一直,从而提供简单方便的组网模式。在透明模式下,更提供BYPASS卡,可以确保设备在故障、掉电、升级版本操作等情况下,不影响现网的业务。
典型使用场景
USG防火墙在本次环境中放置于网络边界,主要用于限制内部用户访问Internet某些业务需要限制流量某些业务需要阻断。
限流部分主要体现P2P业务中对不同的P2P业务进行带宽及流量大小限制,对一些如IM等业务进行限制访问。
