华为USG6000系列下一代防火墙技术主打胶片

华为USG6000系列下一代防火墙技术主打胶片1ICT&威胁的改变：推动了安全技术的变革移动化云计算社交化大数据…ICT网络威胁威胁激增手段多样&隐蔽+APT蠕虫木马Web威胁僵尸网络移动威胁6XWEB+难以管控2防火墙：网络中必不可少的门卫Internet企业网络数据中心FWIPS办公网DMZ终端安全IPS分支机构FWSOC终端安全SSLVPN终端安全FWFWAnti-DDoSVFW云数据中心IPSFWWAF3目前只有不到20%的企业在网络出口部署了下一代防火墙（NGFWs），到2014年底，这个数字将上升到35%，同时有70%的企业在新的边界安全防护采购中会选择下一代防火墙。Source:Gartner15April2014《MagicQuadrantforEnterpriseNetworkFirewalls》环境的复杂化、应用的多样化和威胁的不断进化推动下一代防火墙的需求。物理边界模糊化逻辑边界难定义攻击离散复杂化全球感知难同步攻击已知变未知潜在威胁难预测网络应用多样化威胁传播多途径下一代防火墙正成为市场主打4%4%22%70%安全网关产品70%首选NGFW传统防火墙传统防火墙+IPSUTM下一代防火墙Source：HENC2013用户问卷调查4为什么需要NGFW标准FW功能IPS一体化应用感知APP智能联动/分析最低要求NGFW大企业环境场景基础功能为什么要NGFW应用管不住：企业用社交网络办公越来越多，微博微信越发普及，需要针对应用和用户来做管理，而不是IP和端口。攻击防不住：攻击越来越隐蔽，手段越来越多样，防护起来愈发吃力性能撑不住：出口流量越来越大，威胁防护越来越复杂，开启防护后性能已经成为网络瓶颈5NGFW需要不断优化基本FW功能IPS一体化应用感知APP大企业环境定义升级管控能力管理优化防护范围处理性能6目录USG6000竞争分析USG6000产品亮点USG6000硬件介绍3USG6000应用场景介绍412荣誉&成功故事57最精准的访问控制1--6维管控，应用识别“多、细、准、快”8管控能力管理优化防护范围处理性能“管控能力”的升级9为什么要基于“应用”做访问控制？端口应用传统FW（基于端口、IP）NGFW（基于应用、用户、内容）现实世界中，应用可能使用任意端口，传统FW无法根据端口识别和控制应用。NGFW的进步在于更精细的访问控制，最佳使用原则：基于应用+白名单控制+最小授权VS.10应用识别业界No.1应用识别业界第一11覆盖最全面，管控最精细Huawei友商C友商CP友商P1181160050006000ALLP2P450422GAME321183756212056ALLP2PGAMEALLP2PGAMEALLP2PGAME✔✔✔✘✘✘WeChatGreatWisdomLINERapidShareFreenetGames✘✘✔✔✘✔GamesHalf-life语音/文本语音/文本上传/下载浏览/交易仅应用仅应用仅应用仅应用仅应用仅应用仅应用仅应用仅应用仅应用仅应用仅应用友商F3133148ALLP2P✘✘✔语音/文本语音/文本上传/下载不支持GAME21412应用用于“访问控制”而不是“上网行为管理”80•ERP•CRM•Mail•Weibo•Emule•Games80需要识别尽量多的应用。最小授权，仅有业务需要的应用被允许，无法识别的应用被阻断不会带来危害。典型的FW式管理方式更安全。白名单模式黑名单模式仅识别少量的应用。无法识别的应用被放行可能带来危害。“上网行为管理”方式的NGFW，不够安全。VS13多种技术保障最精确的检测多种分析技术让加密应用无所遁形分片分段重组协议去干扰统计识别启发式行为识别独家数据驱动语言引擎免升级识别不中断SignatureProtocolBehaviorPCREX特征库升级一体化规则特征行为标准协议加密协议+14PCREX-可编程的“应用”描述语言传统的应用识别规则华为PCREX规则硬编码规则规则Only!ⅹ只需规则更新需要软件包更新√数据驱动开发模型华为PCREX•正则表达式•变量定义•内置函数•逻辑计算•条件分支•关联能力•等等…(?Fdeclare_array(thunder_tmp_arr,4))(?Fdeclare_var(@int@,thunder_tmp_int,0))(?Fdeclare_var(@byte@,thunder_tmp_byte,0))(?Fdeclare_var(@byte@,thunder_tmp_byte1,0))(?Fdeclare_var(@byte@,thunder_tmp_byte2,0))(?Fif((%FLOW_PAYLOAD_LENGTH%=340&&%FLOW_PAYLOAD_LENGTH%=145)||(%FLOW_PAYLOAD_LENGTH%=135&&%FLOW_PAYLOAD_LENGTH%=70)||(%FLOW_PAYLOAD_LENGTH%=38&&%FLOW_PAYLOAD_LENGTH%=18));Fset_array_value(thunder_tmp_arr,0,0);Fset_array_value(thunder_tmp_arr,1,1);Fset_array_value(thunder_tmp_arr,2,0);Fset_array_value(thunder_tmp_arr,3,0);Fget_array_value_multi(thunder_tmp_arr,0,4,thunder_tmp_int);Fmemcpy(thunder_Buff,0,%FLOW_PAYLOAD%,0,13);Fif(thunder_tmp_int==256);Fget_array_value_multi(thunder_Buff,0,4,thunder_uiEntryLen);Felse();Fget_array_value(thunder_Buff,0,thunder_tmp_byte);迅雷特征描述片段非常复杂15防混淆防加密先尝试UDP再尝试TCP80(伪HTTP)最后尝试TCP443(伪HTTPS)先尝试UDP(Port:19302)再尝试TCP80(HTTP)最后尝试TCP443(HTTPS)先用明文再用加密(RC4/DH/SHA)最后是加密+混淆(随机填充))加密和混淆技术被普遍使用动态端口加密隧道TCP/UDP转换混淆üüüüüüüüüü混淆技术应用SkypeVBuzzeruTorrent16基于应用、内容、时间的管控网络环境ACTUAL感知体系ApplicationLocationTimeAttackContentUser10101100010101000010101110101001111011011010110111100100101010100001110100111110NGFW是谁在哪什么时候用什么应用什么内容有什么攻击网络环境业务环境应用感知：•基于应用的统计分析和访问控制•基于应用的带宽管理，保障关键业务服务质量•上网行为管理，提升员工效率内容感知•识别真正的文件类型，对文件内容进行检查，防止数据泄露（DLP）；•对危险的文件类型进行深度防护（AV）；时间感知•基于时间的应用统计分析•发现异常行为，为安全防护提供依据。例如下班时间频繁问核心区数据。17基于用户、攻击、未知的管控网络环境ACTUAL感知体系ApplicationLocationTimeAttackContentUser10101100010101000010101110101001111011011010110111100100101010100001110100111110NGFW是谁在哪什么时候用什么应用什么内容有什么攻击网络环境业务环境用户感知：•基于用户的应用统计分析；•基于用户的威胁统计分析；•基于用户的访问控制、上网行为管理、流量控制；攻击感知：•威胁统计分析，为安全防护提供依据；位置感知：•流量地图：基于位置的应用统计分析•攻击地图：基于位置的威胁统计分析•基于位置的访问控制18“用户”感知：我知道你是谁面对变化的用户IP8种认证方式：•支持本地认证、Radius认证、LDAP认证、AD域认证、SecureID认证、TSM认证、HWTACACS认证等方式识别用户。价值：•应对移动化办公趋势•基于用户的安全策略•基于用户的带宽管理策略•基于用户的上网行为管理19“位置”感知：我知道你在哪IP位置识别粒度：•中国：地市级别•美国：州级别•其他：国家级别•支持根据地址段自定义位置应用场景：•流量地图：基于位置的流量统计分析报表•威胁地图：基于位置的威胁统计分析报表•位置策略：位置不同，访问权限不同举例：•在公司总部可以访问的数据，在分公司不允许访问20一体化策略：安全防护一体化安全能力与应用识别深度融合6维控制：•应用识别基础上的入侵检测、防病毒•应用识别基础上的内容过滤•用户不同、位置不同、时间不同，对应的访问权限也不同•对放行的高风险应用，进行更深入的安全防护ApplicationLocationTimeAttackContentUser3500+新威胁识别500万恶意代码8500万URL30+文件内容识别120+文件类型识别全面环境感知位置信息库8种用户认证技术五元组应用内容时间用户威胁位置动作6000+应用识别NGFW安全策略：21最简单的策略管理2－－SmartPolicy智能策略管理22管控能力管理优化防护范围处理性能23内容用户威胁应用位置IPPort协议VPNIPSAVDDoSDLPAntiSpamURL传统防火墙(L4)下一代防火墙(L7)NGFW管理，你真的准备好了吗？管控维度增加1倍四层五元组管控七层应用威胁管控管控粒度精细3-5倍应用识别、IPS、URL等你需要一名非常非常专业的安全管理员。下一代防火墙本身具备智能的自动化管理能力或者24策略优化SmartPolicySmartPolicy：你身边的安全咨询专家对策略的生成、调整、消除，都能提供帮助。25即使第一次使用NGFW，在2个页面内，3次点击鼠标即可完成快速部署。SmartPolicy实现快速部署上线系统预置安全策略模板系统预置应用类别和风险组26策略智能优化1010110010110101101100010101010101010110101110101100101110101100101110101101011000111010011010110110101101010101000111011011011011011010110011110001011101101001101100110110001110100流量学习业务感知智能分析URLDLPIPSAV优化建议PolicyA：***PolicyB:****PolicyC：***PolicyD:*****PolicyE:*******************************基于策略的流量学习，感知网络整体业务环境，基于业务和安全风险进行智能化分析，最终自动生成策略建议。最重要的是这一切都是自动进行的。策略下发27智能优化的管理方法安全风险自动评估策略风险分解安全策略自动调优安全风险降低28冗余策略分析策略命中分析自动帮你找出系统中重复的策略、无用的策略，你可以一键删除，也可以修改调整。SmartPolicy提供了策略精简的方法29最全面的安全防护3——功能最全的NGFW，基于云沙箱和信誉防范未知威胁30管控能力管理优化防护范围处理性能31全面的威胁防护IPSAVVPNDLPDDoS带宽管理FW上网行为管理10100010000001110001111011010111100101001110100110集成了企业需要的各种防护功能。一机在手，安全我有。CheckPointHuaweiMcAfeeCiscoPaloAltoWatchGuardF