現狀與挑戰
隨著信息技術的發展,遍布全球的網際網路使任意一個角落的人都可以與遠在萬裡的陌生人即時進行信息交流,如發送電子郵件、傳輸各種文件、瀏覽網頁資料、網路遊戲、即時信息通訊等。它使各行各業都發生了深刻的變化,如今的網絡已成為人們生活中不可缺少的一部分,人類社會對信息網絡系統的需求和依賴程度正在日益增加。與此同時,網絡用戶安全問題也變得非常嚴重,主要表現如下:
計算機系統遭受病毒感染和破壞的情況相當嚴重。
據國家計算機病毒應急處理中心《2006年全國信息網絡安全狀況與計算機病毒疫情調查分析報告》分析,2005年5月至2006年5月,54%的被調查單位發生過信息網絡安全事件,比上一年上升5%;其中發生過3次以上的佔22%,比上一年上升7%。感染計算機病毒、蠕蟲和木馬程序仍然是最突出的網絡安全情況,佔發生安全事件總數的84%;遭到埠掃描或網絡攻擊(36%)和垃圾郵件(35%)次之。金融證券行業發生網絡安全事件的比例最低,商業貿易、製造業、廣電和新聞、教育科研、網際網路和信息技術等行業發生網絡安全事件的比例較高。
電腦黑客活動已形成重要威脅。
網絡信息系統具有致命的脆弱性、易受攻擊性和開放性,從國內情況來看,目前我國大部分與網際網路相連的網絡管理中心都遭受過境內外黑客的攻擊或侵入,其中銀行、金融和證券機構是黑客攻擊的重點。
安全意識淡薄是網絡安全的瓶頸。
目前,在網絡安全問題上還存在不少認知盲區和制約因素。網絡是新生事物,許多人一接觸就忙著用於學習、工作和娛樂等,對網絡信息的安全性無暇顧及,安全意識相當淡薄,對網絡信息不安全的事實認識不足。與此同時,網絡經營者和機構用戶注重的是網絡效應,對安全領域的投入和管理遠遠不能滿足安全防範的要求。總體上看,網絡信息安全處於被動的封堵漏洞狀態,從上到下普遍存在僥倖心理,沒有形成主動防範、積極應對的全民意識,更無法從根本上提高網絡監測、防護、響應、恢復和抗擊能力。近年來,國家和各級職能部門在信息安全方面已做了大量努力,但就範圍、影響和效果來講,迄今所採取的信息安全保護措施和有關計劃還不能從根本上解決目前的被動局面,整個信息安全系統在迅速反應、快速行動和預警防範等主要方面,缺少方向感、敏感度和應對能力。
華為UTM解決之道
華為安全服務模型融合了安全領域三大國際標準,以策略為核心,以管理為重點,以技術為支撐,以工程方法為指導為運營商提供以業務為核心,根據業務特點整網統一規劃,分期逐級實現的安全解決方案,如下圖所示:
這三大國際安全標準和模型是:
ISO17799(BS7799):信息安全管理業務規範
ISO7498-2:信息處理系統開放系統互連基本參考模型 第2部分:安全體系結構
SSE-CMM:系統安全工程能力成熟度模型
華為信息安全架構在網絡層次結構中,要求層層防護,建立端到端的安全體系架構。對於接入層的乙太網交換機,直接面向用戶的流量和攻擊,對安全的支持特性對於整個網絡的安全起到至關重要的作用。
USG 防火牆系列產品基於電信級的硬體平臺以及專用軟體平臺VRP,展現出了功能與性能的完美結合,在攻擊防範、VPN(虛擬專用網)、NAT(網絡地址轉換)以及P2P應用監控等方面都有卓越的表現,是電信、政府、金融、教育、能源等機構理想的網絡安全防護設備。對於有VoIP等多媒體應用的場合,USG防火牆也能夠提供完善的應用層保護。華為的USG防火牆系列產品能夠與眾多安全設備聯動協作,如IDS、終端安全管理系統以及業務監控網關等,從而提供更為有效完備的安全解決方案。
產品特點
強大的防範DoS/DDoS攻擊能力
USG防火牆採用NP高速處理器,擁有卓越的首包處理能力,能防範每秒百萬包以上的,能防範每秒百萬包以上的SYN FLOOD,UDP FLOOD,ICMP FLOOD,DNS FLOOD等DDoS攻擊,同時還提供防CC攻擊,蠕蟲病毒流量的識別和防範能力,是業界頂極的DDoS防範能力的安全設備。同時採用華為專有ICA智能連接算法,保證在準確識別DDoS攻擊流量的同時,不影響用戶的正常訪問,在複雜網絡情況下實現真正的安全防護。
豐富的安全業務提供和靈活組網能力
USG防火牆支持多達100個虛擬防火牆,每個虛擬防火牆實現獨立策略配置管理,如同同時擁有了多臺防火牆,特別適用於數據中心的運營級訪問防護,在提供便捷安全的服務的同時,降低成本。
USG防火牆與華為終端安全系統實現實時聯動,保證只有合法身份的用戶才能接入,並對存在安全風險的終端直接進行隔離,並引導用戶打補丁和殺毒,高效保證網絡安全。
USG防火牆支持路由模式、透明模式、混合模式,雙機狀態熱備等多種工作方式,採用華為公司的強大的VRP平臺,提供對BGP、OSPF等動態路由協議的支持,能夠提供高可靠和高複雜的組網,具備非常靈活的組網能力。
高性能的VPN網關
USG防火牆支持L2TP、IPSec等多種VPN接入方式,採用高性能網絡處理器和高速的硬體加密模塊,支持DES、3DES、AES、國密專用算法等多種算法,並提供1G的加密性能,結合華為公司全系列的VPN設備,提供完整的VPN解決能力。USG 防火牆可支持高達1G的 L2TP接入能力,提供高性能的LNS服務,也是擁有大量出差用戶接入內網辦公的用戶理想設備。
強大的NAT業務能力
USG防火牆提供私網地址重疊的NAT、雙向NAT、一個公網對應多個私網地址(提供多種算法的負載均衡能力)、一個私網對應多個公網地址等應用,採用NP處理器實現高速NAT轉換,是業界頂尖的NAT轉換設備。
USG防火牆可以提供高達256個地址池,對於大量私網用戶如數百個網吧的情況,也完全能夠提供NAT轉換。同時由於其採用NP處理器加速處理二進位日誌,配合特別設計的日誌伺服器軟體,在大流量衝擊下也可以確保不丟任何NAT日誌,不影響正常業務處理。
USG防火牆提供多ISP的支撐能力,在出口採用多個ISP的線路時,某條線路故障,流量可以自動倒換到其它線路負擔。
USG防火牆採用華為公司成熟穩定的SIP,H.323,MGCP等協議棧,並及時同步最新協議版本,是視頻會議、語音和視頻電話等應用的理想NAT穿越設備。由於採用了業界頂尖的處理器,保證了ALG高速解析能力。
P2P聯動流量識別和帶寬管理
USG防火牆可以和華為公司專門研製的業務監控網關SIG聯動,對P2P、VOIP、非法共享接入等進行增強識別,由防火牆進行精確限制,能夠為城域網出口或者企業出口提供用戶業務深度識別和控制的高效解決方案。
高可靠性的防火牆產品
USG防火牆具有優異的處理性能、靈活的業務和路由特性、完善的配置管理和高可靠性。支持電源,風扇的熱插拔,支持雙機熱備並支持雙機熱備組網時來迴路徑部一直,從而提供簡單方便的組網模式。在透明模式下,更提供BYPASS卡,可以確保設備在故障、掉電、升級版本操作等情況下,不影響現網的業務。
典型使用場景
USG防火牆在本次環境中放置於網絡邊界,主要用於限制內部用戶訪問Internet某些業務需要限制流量某些業務需要阻斷。
限流部分主要體現P2P業務中對不同的P2P業務進行帶寬及流量大小限制,對一些如IM等業務進行限制訪問。