下一代USG系列統(tǒng)一安全網(wǎng)關技術建議書范本

下一代USG系列統(tǒng)一安全網(wǎng)關技術建議書TIME\@"yyyy-M-d"2017-10-22機密，未經(jīng)許可不得擴散第頁目錄TOC\o"1-4"\h\z\u1 概述 61.1 網(wǎng)絡安全 61.2 威脅管理 61.3 網(wǎng)絡安全管理 71.4 新網(wǎng)絡帶來的新威脅 72 ××企業(yè)網(wǎng)絡安全分析 82.1 ××企業(yè)網(wǎng)絡現(xiàn)狀 82.2 ××企業(yè)網(wǎng)絡業(yè)務流分析 82.3 ××企業(yè)網(wǎng)絡安全問題與分析 83 ××企業(yè)網(wǎng)絡安全需求 93.1 ××企業(yè)網(wǎng)絡安全設計原則 93.2 ××企業(yè)網(wǎng)絡安全需求 104 網(wǎng)絡安全解決方案 104.1 ××企業(yè)網(wǎng)絡安全解決方案 104.1.1 大中型企業(yè)邊界防護方案 104.1.2 內網(wǎng)管控與安全隔離方案 124.1.3 數(shù)據(jù)中心邊界防護方案 134.1.4 VPN遠程接入與移動辦公 144.1.5 云計算網(wǎng)關防護方案 164.1.6 MPLSVPN解決方案 174.1.7 IPv4向IPv6網(wǎng)絡過渡解決方案 184.2 ××企業(yè)網(wǎng)絡安全設備選擇 195 安全解決方案特點 195.1 ××企業(yè)安全網(wǎng)絡業(yè)務流分析 195.2 ××企業(yè)網(wǎng)絡安全解決方案優(yōu)點 196 USG系列防火墻統(tǒng)一安全網(wǎng)關 206.1 下一代USG系列防火墻簡介 206.2 下一代USG系列防火墻功能特點 206.2.1 完善的傳統(tǒng)防火墻安全功能 206.2.2 強大的內容安全防護 296.2.3 靈活的用戶管理 366.2.4 精細的流量管理 376.2.5 領先的IPV6支持 386.2.6 多樣的VPN接入方式 396.2.7 易用的虛擬防火墻 416.2.8 IDS聯(lián)動 426.2.9 豐富的日志與報表 436.2.10 靈活的維護管理 446.2.11 符合多項測試和認證要求 457 服務 457.1 服務理念 457.2 服務內容 457.3 服務保障 45概述Internet的普及為社會的發(fā)展帶來了巨大的推動力，但同時也產(chǎn)生了大量的網(wǎng)絡安全問題，越來越受到金融、教育、電力、交通等機構以及眾多企業(yè)的重視。網(wǎng)絡安全問題主要包括兩個層面：網(wǎng)絡本身的安全問題和網(wǎng)絡安全管理問題。隨著電信網(wǎng)絡向融合、開放、和寬帶不斷演進，電信網(wǎng)絡變得龐大而又復雜了，其面臨著來自多個網(wǎng)絡的各種安全威脅，網(wǎng)絡安全事件頻頻發(fā)生，主要集中在病毒、蠕蟲、惡意代碼，網(wǎng)頁篡改，垃圾郵件等方面，政府網(wǎng)站常常成為攻擊目標。傳統(tǒng)的防火墻設備對上述威脅難以應付采用單一的安全防范技術很難行之有效?；诮y(tǒng)一威脅管理的UTM技術應運而生。UTM設備采用專用多核架構平臺，將IPS、Anti-Virus、UTRL過濾、VPN、防火墻和上網(wǎng)行為管理等安全特性集成于一體，形成立體的威脅防御解決方案。網(wǎng)絡安全Internet由于其開放性，使得非常容易遭受攻擊。隨著攻擊手段的變化多樣而且攻擊工具更容易獲取，以及基于僵尸網(wǎng)絡DDoS攻擊的出現(xiàn)，使得基于網(wǎng)絡層的攻擊層出不窮。主要的攻擊包括：ARPFlood、ICMPFlood、IPSpoofing、UDPFlood、Synflood、Smurf攻擊、Land攻擊、超大ICMP攻擊、Fragile攻擊、PingofDeath、TearDrop、PingScan、PortScan、IP路由選項攻擊、Tracert攻擊等等。網(wǎng)絡層攻擊的目標主要有三個：帶寬攻擊、主機或者網(wǎng)絡設備攻擊以及入侵前的主機掃描。帶寬攻擊指通過大量的攻擊數(shù)據(jù)包占用正常業(yè)務數(shù)據(jù)的帶寬，導致網(wǎng)絡帶寬擁擠，正常業(yè)務受到影響；主機或者網(wǎng)絡設備攻擊指的是攻擊者通過攻擊主機或者網(wǎng)絡設備的某個應用端口導致被攻擊設備處理不過來或者癱瘓使其不能處理正常業(yè)務數(shù)據(jù)；主機掃描指的是黑客在入侵之前通過IP或者端口掃描獲取網(wǎng)絡中活動的主機信息，為下一步入侵提供必要的信息。威脅管理越來越復雜的威脅、持續(xù)提高的規(guī)章要求以及持續(xù)發(fā)展的應用程序，不斷給企業(yè)帶來新的網(wǎng)絡安全問題。威脅越來越復雜化，并且新的應用和技術也帶來了更多漏洞。給IT管理者也帶來巨大的挑戰(zhàn)。統(tǒng)一威脅管理平臺為企業(yè)提供全面的安全解決方案，提前扼殺網(wǎng)絡威脅。網(wǎng)絡安全管理網(wǎng)絡安全管理指的是企業(yè)對自身的網(wǎng)絡資源進行有效的安全區(qū)域、等級劃分，使得在網(wǎng)絡安全運行的基礎上，促進企業(yè)自身的信息安全管理水平，更好的保證企業(yè)正常運作。安全區(qū)域指的是在網(wǎng)絡中擁有相同網(wǎng)絡資源訪問權限的主機集合，安全區(qū)域的劃分主要依據(jù)企業(yè)內部部門的劃分，例如財務部門、研發(fā)部門、市場部門分別劃分為三個不同安全等級的安全區(qū)域。將一個企業(yè)進行清晰的安全區(qū)域劃分，大大簡化了企業(yè)的網(wǎng)絡資源控制與管理，在此基礎上，實施適合企業(yè)管理要求的安全策略管理，提高企業(yè)信息安全管理水平。新網(wǎng)絡帶來的新威脅隨著網(wǎng)絡的發(fā)展，層出不窮的新應用雖然給人們的網(wǎng)絡生活帶來了更多的便利，但是同時也帶來更多的安全風險：（1）IP地址不等于使用者在新網(wǎng)絡中，通過操縱僵尸主機借用合法IP地址發(fā)動網(wǎng)絡攻擊，或者偽造、仿冒源IP地址來進行網(wǎng)絡欺騙和權限獲取已經(jīng)成為最簡單的攻擊手段。一個報文的源IP地址已經(jīng)不能真正反映發(fā)送這個報文的網(wǎng)絡使用者的身份。同時，由于遠程辦公、移動辦公等新興的辦公形式的出現(xiàn)，同一使用者所使用的主機IP地址可能隨時在發(fā)生變化，所以通過IP地址進行流量控制已經(jīng)不能滿足現(xiàn)代網(wǎng)絡的需求。（2）端口和協(xié)議不等于應用傳統(tǒng)網(wǎng)絡業(yè)務總是運行在固定的端口之上。例如HTTP運行在80端口，F(xiàn)TP運行在20、21端口。然而在新網(wǎng)絡中，越來越多的網(wǎng)絡應用開始使用未經(jīng)因特網(wǎng)地址分配組織（InternetAssignedNumbersAuthority,IANA）明確分配的非知名端口，或者隨機指定的端口（例如P2P協(xié)議）。這些應用因為難以受到控制，濫用帶寬，往往造成網(wǎng)絡的擁塞。同時，一些知名端口也被用于運行截然不同的業(yè)務。最為典型是隨著網(wǎng)頁技術的發(fā)展，越來越多不同風險級別的業(yè)務借用HTTP和HTTPS協(xié)議運行在80和443端口之上，例如WebMail、網(wǎng)頁游戲、視頻網(wǎng)站、網(wǎng)頁聊天等等。（3）報文不等于內容單包檢測機制只能對單個報文的安全性進行分析。這樣無法防范在一次正常網(wǎng)絡訪問的過程中發(fā)生的病毒、木馬等網(wǎng)絡威脅?，F(xiàn)在內網(wǎng)主機在訪問Internet的過程中，很有可能無意中從外網(wǎng)引入蠕蟲、木馬及其他病毒，造成企業(yè)機密數(shù)據(jù)泄露，對企業(yè)經(jīng)營造成巨大損失。所以企業(yè)的網(wǎng)絡安全管理，有必要在控制流量的源和目的的基礎上，再對流量傳輸?shù)恼鎸崈热葸M行深入的識別和監(jiān)控?！痢疗髽I(yè)網(wǎng)絡安全分析[通過與××企業(yè)進行深入的交流，我們對其網(wǎng)絡進行了充分的了解與分析。……]××企業(yè)網(wǎng)絡現(xiàn)狀[此部分主要包括兩個部分(注意：要給出網(wǎng)絡的吞吐量)：1．××企業(yè)內部網(wǎng)絡拓撲圖，如果企業(yè)是新建網(wǎng)絡，則提供沒有安全設備的網(wǎng)絡拓撲圖，用來進行安全方案的分析。2．××企業(yè)內部網(wǎng)絡承載的業(yè)務，主要是內部業(yè)務以及出口網(wǎng)絡業(yè)務]××企業(yè)網(wǎng)絡業(yè)務流分析[給出企業(yè)現(xiàn)網(wǎng)的業(yè)務流分析圖，使得客戶對現(xiàn)有網(wǎng)絡安全問題理解的更加清晰]××企業(yè)網(wǎng)絡安全問題與分析[此部分主要包括以下幾個部分(主要根據(jù)與客戶的溝通以及我們自己的分析給出)：1．××企業(yè)網(wǎng)絡出口安全隱患：DoS攻擊，端口掃描2．××企業(yè)內部網(wǎng)絡內部安全區(qū)域的劃分問題：不同部門安全網(wǎng)絡資源權限管理3．××企業(yè)內部服務器保護：DMZ區(qū)域的FTP、WEB、MAIL、數(shù)據(jù)庫服務器保護4．××企業(yè)業(yè)務安全隱患：需要對不同安全區(qū)域的業(yè)務進行過濾，豐富企業(yè)管理手段5．××企業(yè)NAT設備問題：統(tǒng)一安全網(wǎng)關是專業(yè)的NAT設備，具有良好的性能以及靈活的策略NAT功能，以及豐富的NATALG功能6．××企業(yè)出差員工移動辦公問題：統(tǒng)一安全網(wǎng)關提供豐富的VPN接入功能，實現(xiàn)內部資源的外部安全訪問。7．××企業(yè)入侵隱患：與業(yè)界多數(shù)IDS聯(lián)動，實現(xiàn)入侵檢測監(jiān)控。8．××企業(yè)NAT事后追蹤：由于NAT隱藏了企業(yè)內部的網(wǎng)絡結構，使得企業(yè)內部訪問外網(wǎng)出現(xiàn)社會安全事件時，事后追蹤措施變得極為重要。統(tǒng)一安全網(wǎng)關USG5300提供專用的日志服務器，二進制的NAT日志存儲、查詢?yōu)槭潞笞粉櫶峁┲匾募夹g手段。××企業(yè)網(wǎng)絡安全需求[針對××企業(yè)網(wǎng)絡安全問題與分析給出簡要的描述，例如：通過深入的交流與分析，××企業(yè)網(wǎng)絡安全需求分為四個部分：網(wǎng)絡攻擊防護、安全區(qū)域劃分、NAT地址轉換。]××企業(yè)網(wǎng)絡安全設計原則根據(jù)××企業(yè)對網(wǎng)絡安全的需求以及公司對網(wǎng)絡安全的積累，我們提出××企業(yè)網(wǎng)絡安全設計必須滿足以下原則：先進性原則：××企業(yè)網(wǎng)絡中的安全設備必須采用專用的硬件平臺和安全專業(yè)的軟件平臺保證設備本身的安全，符合業(yè)界技術的發(fā)展趨勢，既體現(xiàn)先進性又比較成熟，并且是各個領域公認的領先產(chǎn)品。高可靠性：××企業(yè)網(wǎng)絡是其信息化的基礎，網(wǎng)絡的穩(wěn)定性至關重要；網(wǎng)絡安全設備由于部署在關鍵節(jié)點，成為網(wǎng)絡穩(wěn)定性的重要因素。整個網(wǎng)絡設計必須考慮到高可靠性因素。可擴展性：××企業(yè)處在發(fā)展階段，其網(wǎng)絡也會不斷的擴充變化，要求在保證網(wǎng)絡安全的基礎上整個網(wǎng)絡具有靈活的可擴展性，特別是對安全區(qū)域的新增以及原有安全區(qū)域擴充等要求具有良好的支持。開放兼容性：××企業(yè)的安全產(chǎn)品設計規(guī)范、技術指標符合國際和工業(yè)標準，支持多廠家產(chǎn)品，從而有效的保護投資。安全最小授權原則：××企業(yè)的安全策略管理必須遵從最小授權原則，即不同安全區(qū)域內的主機只能訪問屬于相應網(wǎng)絡資源，對××企業(yè)的網(wǎng)絡資源必須完全等到控制保護，防止未授權訪問，保證××企業(yè)的信息安全?！痢疗髽I(yè)網(wǎng)絡安全需求[新增統(tǒng)一安全網(wǎng)關，用以滿足××企業(yè)以下需求(根據(jù)××企業(yè)網(wǎng)絡安全問題與分析給出需求)：安全區(qū)域劃分：將財務部、市場業(yè)務部、研發(fā)部、生產(chǎn)部、總裁辦……劃分為不同的安全區(qū)域。防范網(wǎng)絡攻擊：在網(wǎng)絡出口和不同的安全區(qū)域之間啟用網(wǎng)絡攻擊防范，防止外網(wǎng)網(wǎng)絡攻擊和部門之間網(wǎng)絡攻擊蔓延?！璢網(wǎng)絡安全解決方案××企業(yè)網(wǎng)絡安全解決方案[根據(jù)對××企業(yè)的需求分析選擇以下的一個方案或者進行方案綜合]大中型企業(yè)邊界防護方案圖1大中型企業(yè)邊界防護典型部署大中型企業(yè)員工人數(shù)通常都比較多，一般在500人以上的企業(yè)。大中型企業(yè)通常具有以下業(yè)務特征：企業(yè)人員眾多，業(yè)務復雜，流量構成豐富多樣。對外提供網(wǎng)絡服務，例如公司網(wǎng)站、郵件服務等。容易成為DDoS攻擊的目標，而且一旦攻擊成功，業(yè)務損失巨大。對設備可靠性要求較高，需要邊界設備支持持續(xù)大流量運行，即使設備故障也不能影響網(wǎng)絡運轉?；谝陨咸卣?，USG系列防火墻作為大中型企業(yè)的出口網(wǎng)關提供如下功能：將企業(yè)員工網(wǎng)絡、公司服務器網(wǎng)絡、外部網(wǎng)絡劃分到不同安全區(qū)域，對安全區(qū)域間的流量進行檢測和保護根據(jù)公司對外提供的網(wǎng)絡服務的類型開啟相應的內容安全防護功能。例如針對圖1中的文件服務器開啟文件過濾和數(shù)據(jù)過濾，針對郵件服務器開啟郵件過濾，并且針對所有服務器開啟反病毒和入侵防御。針對內網(wǎng)員工訪問外部網(wǎng)絡的行為，開啟URL過濾、文件過濾、數(shù)據(jù)過濾、反病毒、應用行為控制等功能，既保護內網(wǎng)主機不受外網(wǎng)威脅，又可以防止企業(yè)機密信息的泄露，提高企業(yè)網(wǎng)絡的安全性。在USG系列防火墻與出差員工、分支機構間建立VPN隧道，使用VPN保護公司業(yè)務數(shù)據(jù)，使其在Internet上安全傳輸。開啟DDoS防御功能，抵抗外網(wǎng)主機對內網(wǎng)服務器進行的大流量攻擊，保證企業(yè)業(yè)務的正常開展。對內外網(wǎng)之間的流量部署帶寬策略，控制流量帶寬和連接數(shù)，避免網(wǎng)絡擁塞，同時也可輔助進行DDoS攻擊的防御部署eSight網(wǎng)管系統(tǒng)（需要單獨采購），記錄網(wǎng)絡運行的日志信息。日志信息可以幫助管理員進行配置調整、風險識別和流量審計采用雙機熱備部署，提高系統(tǒng)可靠性。單機故障時可以將業(yè)務流量從主機平滑切換至備機上運行，保證企業(yè)業(yè)務持續(xù)無間斷的運行。內網(wǎng)管控與安全隔離方案圖2內網(wǎng)管控與安全隔離典型部署如上圖所示，對于一個大中型企業(yè)網(wǎng)絡，通常其內部網(wǎng)絡也需要劃分安全等級。例如研發(fā)網(wǎng)絡、生產(chǎn)網(wǎng)絡、營銷網(wǎng)絡之間需要進行隔離，并對不同網(wǎng)絡間的流量進行監(jiān)控，以實現(xiàn)以下目的：不同網(wǎng)絡的業(yè)務類型和安全風險不同，需要部署不同的安全策略；不同網(wǎng)絡間的流量需要受控，避免企業(yè)核心信息資產(chǎn)通過網(wǎng)絡泄露將網(wǎng)絡進行隔離，避免一個網(wǎng)絡感染病毒擴散到整個企業(yè)內網(wǎng)大部分流量主要發(fā)生在同一網(wǎng)絡內，而同一網(wǎng)絡內的流量傳輸往往無需過多干預。所以通過網(wǎng)絡劃分，可以降低安全設備的檢測負擔，提高檢測效率，使網(wǎng)絡更加通暢。基于以上特征，USG系列防火墻作為大中型企業(yè)的內網(wǎng)邊界，提供如下功能：在內網(wǎng)部署一個或多個USG系列防火墻作為內部不同網(wǎng)絡的邊界網(wǎng)關，隔離不同網(wǎng)絡。建立用戶管理體系，對內網(wǎng)主機接入進行用戶權限控制。相同安全等級的網(wǎng)絡劃分到同一個安全區(qū)域，只部署少量的安全功能，例如“研發(fā)部1”和“研發(fā)部2”同屬于Research安全區(qū)域，但是兩者間通信的流量仍可進行簡單的包過濾、黑白名單、反病毒等功能。不同安全等級的網(wǎng)絡劃分到不同的安全區(qū)域，根據(jù)業(yè)務需求部署不同的安全功能，例如僅允許部分研發(fā)網(wǎng)絡主機訪問指定的市場部主機，并在Research與Marketing、Production、Server之間應用反病毒、文件類型過濾、數(shù)據(jù)過濾等功能。在各個區(qū)域之間應用帶寬策略，控制帶寬與連接數(shù)，避免內網(wǎng)網(wǎng)絡擁塞。內網(wǎng)各個區(qū)域與外網(wǎng)之間應用入侵防御、反病毒、文件類型過濾、數(shù)據(jù)過濾、URL過濾、應用行為控制等功能。數(shù)據(jù)中心邊界防護方案圖3數(shù)據(jù)中心邊界防護部署數(shù)據(jù)中心（InternetDataCenter，IDC），是基于Internet網(wǎng)絡提供的一整套設施與相關維護服務體系。它可以實現(xiàn)數(shù)據(jù)的集中式收集、存儲、處理和發(fā)送。通常由大型網(wǎng)絡服務器提供商建設，為中小型企業(yè)或個人客戶提供服務器托管、虛擬域名空間等服務。數(shù)據(jù)中心的網(wǎng)絡結構通常具有以下特征：主要針對數(shù)據(jù)中心內的服務器進行保護，使用的安全功能需要根據(jù)服務器類型綜合考慮。數(shù)據(jù)中心可能部署有多家企業(yè)的服務器，更容易成為黑客的攻擊目標。數(shù)據(jù)中心的核心功能是對外提供網(wǎng)絡服務，保證外網(wǎng)對數(shù)據(jù)中心服務器的正常訪問極其重要，這不僅要求邊界防護設備擁有強大的處理性能和完善的可靠性機制，還可以在發(fā)生網(wǎng)絡攻擊時仍不影響正常的網(wǎng)絡訪問。數(shù)據(jù)中心流量復雜，如果流量可視度不高，則不能進行有針對性的配置調整?；谝陨咸卣鳎琔SG系列防火墻作為數(shù)據(jù)中心的邊界，提供如下功能：開啟流量統(tǒng)計功能，基于IP、用戶、應用對流量狀況進行長期統(tǒng)計分析，以幫助安全策略的制定?；贗P地址和應用進行限流，使服務器穩(wěn)定運行，也避免網(wǎng)絡出口擁塞，影響網(wǎng)絡服務。開啟入侵防御、反病毒功能，使服務器免受入侵以及蠕蟲、木馬等病毒危害。開啟DDoS及其他攻擊防范功能，避免服務器受到外網(wǎng)攻擊導致癱瘓。開啟垃圾郵件過濾功能，保護內網(wǎng)郵件服務器不受垃圾郵件侵擾，也避免其無意中轉發(fā)垃圾郵件被反垃圾郵件組織列入黑名單，影響正常郵件的發(fā)送。開啟文件過濾和數(shù)據(jù)過濾，避免數(shù)據(jù)泄露。部署eSight網(wǎng)管系統(tǒng)（需要單獨采購），記錄網(wǎng)絡運行的日志信息。日志信息可以幫助管理員進行配置調整、風險識別和流量檢查。采用雙機熱備部署，提高系統(tǒng)可靠性。單機故障時可以將業(yè)務流量平滑切換至備機上運行，保證服務器業(yè)務持續(xù)無間斷的運行。VPN遠程接入與移動辦公圖4VPN遠程接入與移動辦公典型部署方案現(xiàn)代企業(yè)為了在全球范圍內開展業(yè)務，通常都在公司總部之外設立了分支機構，或者與外地機構進行業(yè)務合作。分支機構、合作伙伴、出差員工都需要遠程接入企業(yè)總部網(wǎng)絡開展業(yè)務，目前通過VPN技術可以實現(xiàn)安全、低成本的遠程接入和移動辦公。遠程接入和移動辦公通常都具有以下特征：分支機構通常都需要無縫接入總部網(wǎng)絡，并且持續(xù)不間斷地開展業(yè)務。合作伙伴需要根據(jù)業(yè)務開展的情況，靈活進行授權，限制合作伙伴可以訪問的網(wǎng)絡范圍、可以傳輸?shù)臄?shù)據(jù)類型。出差員工的地理接入位置不固定，使用的IP地址不固定，接入時間不固定，需要靈活地隨時接入。而且出差員工所處位置往往不受企業(yè)其他信息安全措施的保護，所以需要對出差員工進行嚴格的接入認證，并且對出差員工可以訪問的資源和權限進行精確內網(wǎng)控制。所有遠程接入的通信過程都需要進行加密保護，防止竊聽、篡改、偽造、重放等行為，同時還需要從應用和內容層面防止機密數(shù)據(jù)的泄露?；谝陨咸卣鳎琔SG系列防火墻作為企業(yè)VPN的接入網(wǎng)關，提供如下功能：對于擁有固定VPN網(wǎng)關的分支機構和合作伙伴，使用IPSec或者L2TPoverIPSec建立靜態(tài)永久隧道。當需要進行接入賬號驗證時，建議使用L2TPoverIPSec。對于地址不固定的出差員工，可以使用VPNClient或者SSLVPN技術，對于VPNClient可以免費下載使用，對于SSLVPN無需安裝VPN客戶端，只需使用網(wǎng)絡瀏覽器即可與總部建立隧道，方便快捷。同時可以對出差員工可訪問的資源進行精細化控制。在上述隧道中，通過IPSec加密算法或者SSL加密算法，對網(wǎng)絡數(shù)據(jù)進行加密保護。對于通過VPN隧道接入后的用戶，進行接入認證，保證用戶合法性。并且基于用戶權限進行訪問授權。部署入侵防御、反病毒、文件過濾、數(shù)據(jù)過濾、DDoS攻擊防范，避免網(wǎng)絡威脅經(jīng)由遠程接入用戶穿過隧道進入公司總部，同時防止機密信息泄露。部署用戶行為審計，及時發(fā)現(xiàn)風險，并且便于后續(xù)的回溯。云計算網(wǎng)關防護方案圖5USG系列云計算網(wǎng)關防護方案云計算是目前一種新興的網(wǎng)絡服務提供模式，需要一系列技術的配合和支持。USG系列防火墻可以在云計算的部署中擔任云計算網(wǎng)關的角色。云計算技術目前存在多種應用方式，最為典型的方式是由網(wǎng)絡服務提供商為網(wǎng)絡用戶提供硬件資源和計算能力，網(wǎng)絡用戶只需使用一臺終端通過網(wǎng)絡接入云端，就可以像操作家庭電腦一樣操作自己保存在云端的資源。云計算的核心技術是通過服務器的集群為大量網(wǎng)絡用戶提供相互獨立而又完整的網(wǎng)絡服務，其中涉及到多種虛擬化技術。基于以上特征，USG系列防火墻作為云計算網(wǎng)關，提供如下功能：在這個場景中，USG系列防火墻擔任的是云計算網(wǎng)關的角色。通過虛擬系統(tǒng)功能，可以將一臺物理設備劃分為多臺相互的獨立的邏輯設備。每臺邏輯設備都可以擁有自己的接口、系統(tǒng)資源以及配置文件，可以獨立進行流量的轉發(fā)和安全防護，所以被稱為虛擬系統(tǒng)。虛擬系統(tǒng)從邏輯上相互隔離，所以對于每一個云終端看來都擁有一個獨享的防火墻設備。同時由于這些虛擬系統(tǒng)共用同一個物理實體，所以當需要虛擬系統(tǒng)之間進行流量轉發(fā)時，轉發(fā)效率非常高。所以USG系列防火墻在此場景中主要負責進行虛擬服務器之間的數(shù)據(jù)快速交換，以及在云終端接入云服務器的通信過程中進行網(wǎng)絡安全的防護，為云計算方案提供增值的安全業(yè)務MPLSVPN解決方案MPLS無縫地集成了IP路由技術的靈活性和ATM標簽交換技術的簡捷性。MPLS在無連接的IP網(wǎng)絡中增加了面向連接的控制平面，為IP網(wǎng)絡增添了管理和運營的手段。USG系列防火墻系列業(yè)務路由網(wǎng)關支持MPLSVPN功能，既可以做PE設備，也可以做P設備。支持VRF的路由表多實例支持L2TP方式接入VPN支持IPSEC方式接入VPN支持靈活的VPN組網(wǎng)，包括跨域、“運營商至運營商”等基于標準協(xié)議，能全面與其他主流廠家互通支持CE－PE間靜態(tài)路由或動態(tài)路由協(xié)議IPv4向IPv6網(wǎng)絡過渡解決方案目前還存在大量的IPV4網(wǎng)絡，隨著IPV6的部署，很長一段時間是IPV4與IPV6共存的過渡階段，USG系列防火墻系列業(yè)務路由網(wǎng)關支持多種IPV4向IPV6網(wǎng)絡過渡解決方案，主要包括雙棧技術、隧道技術以及IPV4/IPV6協(xié)議轉換技術。雙棧技術：USG系列防火墻系列業(yè)務路由網(wǎng)關與IPV4節(jié)點通訊時使用IPV4協(xié)議棧，與IPV6節(jié)點通訊時使用IPV6協(xié)議棧；USG系列防火墻系列業(yè)務路由網(wǎng)關具有三種工作模式：只運行IPv6協(xié)議，表現(xiàn)為IPv6節(jié)點；只運行IPv4協(xié)議，表現(xiàn)為IPv4節(jié)點；雙棧模式，同時打開IPv6和IPv4協(xié)議。隧道技術：提供兩個IPV6站點之間通過IPV4網(wǎng)絡實現(xiàn)通訊連接，以及兩個IPV4站點之間通過IPV6網(wǎng)絡實現(xiàn)通訊連接的技術；USG系列防火墻系列業(yè)務路由網(wǎng)關支持多種隧道技術，包括IPv6OverIPv4的GRE隧道、IPv6手工配置隧道、6over4隧道、IPv4兼容地址自動隧道以及6to4自動隧道。IPV4/IPV6協(xié)議轉換技術：提供了IPV4網(wǎng)絡與IPV6網(wǎng)絡之間的互訪技術。USG系列防火墻系列業(yè)務路由網(wǎng)關支持NAT-PT（NetworkAddressTranslation-ProtocolTranslation）技術，負責在IPv4報文與IPv6報文之間進行翻譯轉換，從而達到只支持IPv6協(xié)議的主機與只支持IPv4協(xié)議的主機能進行互聯(lián)互通的目的?！痢疗髽I(yè)網(wǎng)絡安全設備選擇[根據(jù)具體的情況選擇部署USG系列防火墻的網(wǎng)絡位置]安全解決方案特點[根據(jù)選用的方案進行具體的分析]××企業(yè)安全網(wǎng)絡業(yè)務流分析[(分析清楚網(wǎng)絡中的業(yè)務流圖，客戶對我們的安全方案理解更加清晰)]××企業(yè)網(wǎng)絡安全解決方案優(yōu)點[針對××企業(yè)原有網(wǎng)絡業(yè)務流分析、具體方案的選擇、××企業(yè)安全網(wǎng)絡業(yè)務流分析給出解決方案的優(yōu)點：網(wǎng)絡拓展性優(yōu)點；(針對××企業(yè)具體的網(wǎng)絡情況展開)高可靠性優(yōu)點；(針對××企業(yè)具體的網(wǎng)絡情況展開)高安全性特點；(針對××企業(yè)具體的網(wǎng)絡情況展開)高性價比特點；(針對××企業(yè)具體的網(wǎng)絡情況展開)]USG系列防火墻統(tǒng)一安全網(wǎng)關下一代USG系列防火墻簡介為了解決新網(wǎng)絡帶來的新威脅，下一代防火墻產(chǎn)品應運而生。通常要求下一代防火墻產(chǎn)品具有以下特征。使用簽名和特征，而不是端口號和協(xié)議來對應用進行定義，以識別報文的真實屬性和所攜帶的不安全因素。集成SA（ServiceAwareness，業(yè)務感知）功能，并且使用專業(yè)的硬件系統(tǒng)來檢測報文的真實應用和內容。集成IPS功能，性能更高，威脅的識別和阻斷結合得更加緊密。豐富而完善的可視化管理、審計、報表功能，使得網(wǎng)絡管理員可以掌握全面真實的網(wǎng)絡狀況，以幫助管理員更好地做出防護措施。公司推出的下一代防火墻USG系列產(chǎn)品不僅完全滿足上述特征，而且還具有以下明顯優(yōu)勢：穩(wěn)定高效的萬兆多核全新硬件平臺專業(yè)內容安全防御技術安全、路由、VPN多業(yè)務集成基于應用和用戶的精細化管理可視化管理與豐富的日志報表電信級可靠性保證方案靈活的擴展能力下一代USG系列防火墻功能特點完善的傳統(tǒng)防火墻安全功能（1）安全區(qū)域管理基于安全區(qū)域的隔離USG系列防火墻統(tǒng)一安全網(wǎng)關的安全隔離是基于安全區(qū)域，這樣的設計模型為用戶在實際使用統(tǒng)一安全網(wǎng)關的時候提供了十分良好的管理模型。統(tǒng)一安全網(wǎng)關提供了基于安全區(qū)域的隔離模型，每個安全區(qū)域可以按照網(wǎng)絡的實際組網(wǎng)加入任意的接口，因此統(tǒng)一安全網(wǎng)關的安全管理模型是不會受到網(wǎng)絡拓撲的影響?？晒芾淼陌踩珔^(qū)域業(yè)界很多防火墻一般都提供受信安全區(qū)域（trust）、非受信安全區(qū)域（untrust）、非軍事化區(qū)域（DMZ）三個獨立的安全區(qū)域，這樣的保護模型可以適應大部分的組網(wǎng)要求，但是在一些安全策略要求較高的場合，這樣的保護模型還是不能滿足要求。統(tǒng)一安全網(wǎng)關默認提供四個安全區(qū)域：trust、untrust、DMZ、local，在提供三個最常用的安全邏輯區(qū)域的基礎上還新增加了本地邏輯安全區(qū)域，本地安全區(qū)域可以定義到統(tǒng)一安全網(wǎng)關本身的報文，保證了統(tǒng)一安全網(wǎng)關本身的安全防護。例如，通過對本地安全區(qū)域的報文控制，可以很容易的防止不安全區(qū)域對統(tǒng)一安全網(wǎng)關本身的Telnet、ftp等訪問。統(tǒng)一安全網(wǎng)關還提供自定義安全區(qū)域，可以最大定義16個安全區(qū)域，每個安全區(qū)域都可以加入獨立的接口?；诎踩珔^(qū)域的策略控制統(tǒng)一安全網(wǎng)關支持根據(jù)不同的安全區(qū)域之間的訪問設計不同的安全策略組（ACL訪問控制列表），每條安全策略組支持若干個獨立的規(guī)則。這樣的規(guī)則體系使得統(tǒng)一安全網(wǎng)關的策略十分容易管理，方便用戶對各種邏輯安全區(qū)域的獨立管理。基于安全區(qū)域的策略控制模型，可以清晰的分別定義從trust到untrust、從DMZ到untrust之間的各種訪問，這樣的策略控制模型使得統(tǒng)一安全網(wǎng)關的網(wǎng)絡隔離功能具有很好的管理能力。（2）NAT功能優(yōu)異的地址轉換性能統(tǒng)一安全網(wǎng)關采用基于連接的方式提供地址轉換特性，針對每條連接維護一個Session表項，并且在處理的過程中采用優(yōu)化的算法，保證了地址轉換特性的優(yōu)異性能。在啟用NAT的時候，性能下降的非常少，這樣就保證了在通過統(tǒng)一安全網(wǎng)關提供NAT業(yè)務的時候不會成為網(wǎng)絡的瓶頸。靈活的地址轉換管理統(tǒng)一安全網(wǎng)關提供了基于安全區(qū)域的管理功能，利用“安全區(qū)域”的概念把統(tǒng)一安全網(wǎng)關管理的網(wǎng)絡按照功能區(qū)域、安全要求等因素從邏輯上劃分為幾個邏輯子網(wǎng)，每個邏輯子網(wǎng)稱為一個“安全區(qū)域”。默認情況，統(tǒng)一安全網(wǎng)關提供了4個默認的安全區(qū)域：trust、untrust、DMZ、local，一般情況下，untrust區(qū)域是連接Internet的，trust區(qū)域是連接內部局域網(wǎng)的，DMZ區(qū)域是連接一些內部服務器的，例如放置郵件服務器、FTP服務器等。統(tǒng)一安全網(wǎng)關的地址轉換功能是按照安全區(qū)域之間的訪問進行配置的，這樣就可以非常方便的進行網(wǎng)絡管理。例如，對于內部服務器的網(wǎng)絡如果有足夠的IP地址，可以直接使用公網(wǎng)IP地址，在DMZ->untrust區(qū)域間不使用地址轉換，而內部局域網(wǎng)使用私網(wǎng)地址，在trust->untrust區(qū)域間使用地址轉換。同時地址轉換可以和ACL配合使用，利用ACL來控制地址轉換的范圍，因此即使在同一個網(wǎng)絡區(qū)域，有公網(wǎng)、私網(wǎng)混合組網(wǎng)的情況，統(tǒng)一安全網(wǎng)關依然可以方便的設定地址轉換的規(guī)則。強大的內部服務器支持內部服務器就是可以使得外部網(wǎng)絡的用戶可以訪問到內部網(wǎng)絡，比如可以對外提供Web服務器。很多統(tǒng)一安全網(wǎng)關實現(xiàn)內部服務器的時候是提供一個“靜態(tài)映射”，將一個私有地址和一個公有地址綁定，這個方式的最大弱點就是浪費合法的IP地址。例如有一個內部局域網(wǎng)的主機IP地址是/24，而該局域網(wǎng)利用專線連接到Internet上，擁有從ISP申請來的合法的IP地址：。如果該局域網(wǎng)想設置一臺WEB服務器，IP地址為，配置一個靜態(tài)的映射，將地址和地址綁定，Internet如果想訪問這臺WEB服務器，使用訪問，就會實際訪問到主機，這樣雖然可以提供內部服務器了，但是也使得內部網(wǎng)絡的其他主機不能訪問Internet了，因為該局域網(wǎng)只有一個合法的IP地址。該IP地址被內部服務器占用，因此其他主機就不能訪問Internet了，同時該局域網(wǎng)不能再提供任何對外服務了（比如想提供一個DNS或者FTP服務器都是不可能的了）。靜態(tài)綁定方式存在如下弱點：這個方式嚴重浪費IP地址，地址轉換技術的最大優(yōu)勢就是節(jié)省IP地址，但是通過這個靜態(tài)綁定的方式，使得IP地址不能被充分利用，雖然解決了地址轉換技術中“反向訪問”的問題，但是同時帶來了浪費地址的問題。存在比較大的安全隱患，一般對外提供的服務器都是單一用途，例如WEB服務器就是為了給外部提供Http服務，對于這個機器來說，只需要提供80端口的訪問就可以了。但是使用了靜態(tài)綁定的方式提供WEB內部服務器的時候，存在這樣的問題：外部網(wǎng)絡的用戶不但可以訪問到內部服務器的80端口，而且可以訪問任何的端口。這樣就存在安全隱患。例如某個服務器可以通過Telnet進行維護，但是這種維護只能是內部網(wǎng)絡本身的機器才可以進行，如果使用了靜態(tài)綁定的地址轉換方式，則外部網(wǎng)絡的主機也可以Telnet到這個服務器上了。提供不是標準端口的服務器存在困難。例如用戶想提供2個WEB服務器，其中一個WEB服務器不想使用80端口，而想使用8080端口，使用靜態(tài)綁定的方式也很難實現(xiàn)。統(tǒng)一安全網(wǎng)關的地址轉換功能可以對內部服務器的支持到達端口級。允許用戶按照自己的需要配置內部服務器的端口、協(xié)議、提供給外部的端口、協(xié)議。對于上面的例子使用的地址轉換，不僅可以保證做為WEB服務器的地址，同時可以做為FTP服務器的地址，同時可以使用:8080提供第二臺WEB服務器，還可以滿足內部用戶同時使用的地址進行訪問Internet。統(tǒng)一安全網(wǎng)關提供了基于端口的內部服務器映射，可以使用端口來提供服務，同時也可以提供地址的一對一映射。同時，每臺統(tǒng)一安全網(wǎng)關可以提供多達256個內部服務器映射，而且不會影響訪問的效率。強大的業(yè)務支撐地址轉換比較難處理的情況是報文載荷中含有地址信息的情況，這種情況的代表協(xié)議是FTP。統(tǒng)一安全網(wǎng)關的地址轉換現(xiàn)在已經(jīng)非常完善的支持了ICMP重定向、不可達、FTP（支持被動主動兩種模式）、H323、NetMeeting、PPTP、L2tp、DNS、NetBIOS、SIP、QQ、MSN等特殊協(xié)議。依靠現(xiàn)在支持的各種業(yè)務，統(tǒng)一安全網(wǎng)關已經(jīng)可以提供非常好的業(yè)務支撐，可以滿足絕大部分的Internet業(yè)務，使得地址轉換不會成為網(wǎng)絡業(yè)務的瓶頸。為了更好的適應網(wǎng)絡業(yè)務的發(fā)展，統(tǒng)一安全網(wǎng)關還提供了一種“用戶自定義”的ALG功能，對于某些特殊業(yè)務應用，通過命令行進行配置就可以支持這種業(yè)務的ALG，通過這樣的方式更可以保證統(tǒng)一安全網(wǎng)關對業(yè)務的支撐，達到快速響應的效果。另外統(tǒng)一安全網(wǎng)關在結構上面，充分考慮了地址轉換需要支持特殊協(xié)議的問題。從結構上保證可以非常快速的支持各種特殊協(xié)議，并且對報文加密的情況也做了考慮。因此在應用程序網(wǎng)關方面，統(tǒng)一安全網(wǎng)關在程序設計、結構方面做了很大的努力和考慮，在針對新出現(xiàn)的各種特殊協(xié)議的開發(fā)方面上，統(tǒng)一安全網(wǎng)關可以保證會比其他設備提供更快、更好的反應，可以快速的響應支持用戶的需求，支持多變的網(wǎng)絡業(yè)務。無數(shù)目限制的PAT方式轉換統(tǒng)一安全網(wǎng)關可以提供PAT（PortAddressTranslation）方式的地址轉換，PAT方式的地址轉換使用了TCP/UDP的端口信息，這樣在進行地址轉換的時候使用的是“地址＋端口”來區(qū)分內部局域網(wǎng)的主機對外發(fā)起的不同連接。這樣使用PAT方式的地址轉換技術，內部局域網(wǎng)的很多用戶可以共享一個IP地址上網(wǎng)了。因為TCP/UDP的端口范圍是1~65535，一般1～1024端口范圍是系統(tǒng)保留端口，因此從理論上計算，通過PAT方式的地址轉換一個合法的IP地址可以提供大約60000個并發(fā)連接。但是統(tǒng)一安全網(wǎng)關采用專利技術提供了一種“無限制端口”連接的算法，可以保證使用一個公網(wǎng)IP地址可以提供無限個并發(fā)連接，通過這種技術就突破了PAT方式上網(wǎng)的65535個端口的限制，更大的滿足了地址轉換方式的實際使用，更加節(jié)省了公網(wǎng)的IP地址。多種NATALG下一代USG系列防火墻支持多種協(xié)議的NATALG轉換功能，包括：支持FTP協(xié)議的NATALG。支持NBT（NetBIOSoverTCP）協(xié)議的NATALG。支持ICMP(InternetControlMessageProtocol)協(xié)議的NATALG。支持H.323（包括T.120、RAS、Q.931和H.245等）協(xié)議的NATALG。支持SIP(SessionInitiationProtocol)協(xié)議的NATALG。支持RTSP(Real-TimeStreamingProtocol)協(xié)議的NATALG。支持HWCC(HuaweiConferenceControlProtocol)協(xié)議的NATALG。支持ILS(InternetLocatorService)協(xié)議的NATALG。支持PPTP（PointtoPointTunnelingProtocol）協(xié)議的NATALG。支持對騰訊公司的QQ聊天會話的NATALG。支持Microsoft公司提供的MSN聊天會話的NATALG。（3）安全策略控制靈活的規(guī)則設定統(tǒng)一安全網(wǎng)關可以支持靈活的規(guī)則設定，可以根據(jù)報文的特點方便的設定各種規(guī)則?？梢砸罁?jù)報文的協(xié)議號設定規(guī)則可以依據(jù)報文的源地址、目的地址設定規(guī)則可以使用通配符設定地址的范圍，用來指定某個地址段的主機針對UDP和TCP還可以指定源端口、目的端口針對目的端口、源端口可以采用大于、等于、介入、不等于等方式設定端口的范圍針對ICMP協(xié)議，可以自由的指定ICMP報文的類型和Code號，可以通過規(guī)則針對任何一種ICMP報文可以針對IP報文中的TOS域設定靈活的規(guī)則可以將多個報文的地址形成一個組，作為地址本，在定義規(guī)則時可以按組來設定規(guī)則，這樣規(guī)則的配置靈活方便高速策略匹配通常，防火墻的安全策略都是由很多規(guī)則構成的，因此在進行策略匹配的時候會影響防火墻的轉發(fā)效率。統(tǒng)一安全網(wǎng)關采用了ACL匹配的專門算法，這樣就保證了在很多規(guī)則的情況下，統(tǒng)一安全網(wǎng)關依然可以保持高效的轉發(fā)效率，系統(tǒng)在進行上萬條ACL規(guī)則的查找時，性能基本不受影響，處理速度保持不變，從而確保了ACL查找的高速度，提高了系統(tǒng)整體性能。MAC地址和IP地址綁定統(tǒng)一安全網(wǎng)關根據(jù)用戶配置，將MAC和IP地址進行綁定從而形成關聯(lián)關系。對于從該IP地址發(fā)來的報文，如果MAC地址不匹配則被丟棄；對于發(fā)往該IP地址的報文都被強制發(fā)送到指定的MAC地址處，從而有效避免IP地址假冒的攻擊行為。動態(tài)策略管理－黑名單技術統(tǒng)一安全網(wǎng)關可以將某些可疑報文的源IP地址記錄在黑名單列表中，系統(tǒng)通過丟棄黑名單用戶的所有報文，從而有效避免某些惡意主機的攻擊行為。統(tǒng)一安全網(wǎng)關提供如下幾種黑名單列表維護方式：手工添加黑名單記錄，實現(xiàn)主動防御與攻擊防范結合自動添加黑名單記錄，起到智能保護可以根據(jù)具體情況設定"白名單"，使得即使存在黑名單中的主機，依然可以使用部分的網(wǎng)絡資源。例如，即使某臺主機被加入到了黑名單，但是依然可以允許這個用戶上網(wǎng)。黑名單技術是一種動態(tài)策略技術，屬于響應體系。統(tǒng)一安全網(wǎng)關在動態(tài)運行的過程中，會發(fā)現(xiàn)一些攻擊行為，通過黑名單動態(tài)響應系統(tǒng)，可以抑制這些非法用戶的部分流量，起到保護整個系統(tǒng)的作用。（4）攻擊防范功能優(yōu)秀的Dos防御能力的必要條件Internet上的DOS攻擊已經(jīng)成為很常見的攻擊行為，Dos（Denyofservice）是一類攻擊方式的統(tǒng)稱，其攻擊的基本原理就是通過發(fā)送各種垃圾報文導致網(wǎng)絡的阻塞、服務的癱瘓。Dos攻擊方式其利用IP無連接的特點，可以制造各種不同的攻擊手段，而且攻擊方式非常簡單，普通到一臺PC、一個發(fā)包工具就可以制造Dos攻擊，因此Dos攻擊方式在Internet上非常流行，對企業(yè)網(wǎng)、甚至骨干網(wǎng)都造成了非常嚴重的影響，引發(fā)很大的網(wǎng)絡事故，因此優(yōu)秀的Dos攻擊防范功能是統(tǒng)一安全網(wǎng)關的必備功能。業(yè)界幾乎所有的防火墻設備都宣傳具有Dos攻擊防御功能，但是那么為什么Dos攻擊導致網(wǎng)絡癱瘓的攻擊事件為什么還是層出不窮呢？一個優(yōu)秀的Dos攻擊防御體系，應該具有如下最基本的特征：防御手段的健全和豐富，因為Dos攻擊手段種類比較多，因此必須具有豐富的防御手段，才可以保證真正的抵御Dos攻擊。優(yōu)秀的處理性能，因為Dos攻擊伴隨這一個重要特征就是網(wǎng)絡流量突然增大，如果防火墻本身不具有優(yōu)秀的處理能力，則防火墻在處理Dos攻擊的同時本身就成為了網(wǎng)絡的瓶頸，根本就不可能抵御Dos攻擊。因為Dos攻擊的一個重要目的就是使得網(wǎng)絡癱瘓，網(wǎng)絡上的關鍵設備點發(fā)生了阻塞，則Dos攻擊的目的就達到了。這里同時需要提醒大家注意的是，防火墻設備不但要考察轉發(fā)性能，同時一定要考察對業(yè)務的處理能力。在進行Dos攻擊防御的過程中，防火墻的每秒新建能力就成為保證網(wǎng)絡通暢的一個重要指標，Dos攻擊的過程中，攻擊者都是在隨機變化源地址因此所有的連接都是新建連接。準確的識別攻擊能力。很多防火墻在處理Dos攻擊的時候，僅僅能保證防火墻后端的流量趨于網(wǎng)絡可以接受的范圍，但是不能保證準確的識別攻擊報文。這樣處理雖然可以保證網(wǎng)絡流量的正常，可以保證服務器不會癱瘓，但是這樣處理還是會阻擋正常用戶上網(wǎng)、訪問等的報文，因此雖然網(wǎng)絡層面是正常的，但是真正的服務還是被拒絕了，因此還是不能達到真正的Dos攻擊防御的目的。統(tǒng)一安全網(wǎng)關產(chǎn)品，對上述各個方面都做了詳盡的考慮，因此Dos防御的綜合性能、功能等方面在同類防火墻產(chǎn)品中都具有很強的優(yōu)勢。豐富的Dos防御手段統(tǒng)一安全網(wǎng)關產(chǎn)品根據(jù)數(shù)據(jù)報文的特征，以及Dos攻擊的不同手段，可以針對ICMPFlood、SYNFlood、UDPFlood等各種Dos攻擊手段進行Dos攻擊的防御。同時，統(tǒng)一安全網(wǎng)關可以主動識別出數(shù)十種常見的攻擊種類，很多種攻擊種類造成的后果就是Dos形式的攻擊，統(tǒng)一安全網(wǎng)關可以主動發(fā)現(xiàn)并隔斷這些非法攻擊，消除了內部網(wǎng)絡遭受攻擊的可能。通過對各種攻擊的防御手段，利用統(tǒng)一安全網(wǎng)關可以組建一個安全的防御體系，保證網(wǎng)絡不遭受Dos攻擊的侵害。針對不同的攻擊特點，統(tǒng)一安全網(wǎng)關采用了一些不同的防御技術，這樣保證在抵御Dos攻擊的時候更有針對性，使得設備的抵御特性更加完整。統(tǒng)一安全網(wǎng)關不但在攻擊手段上面進行了詳細考慮，同時也在使用方式和網(wǎng)絡適應性方面做了周全的考慮，攻擊防范既可以針對一臺特定的主機也可以針對一個安全區(qū)域的所有主機進行保護。高級的TCP代理防御體系統(tǒng)一安全網(wǎng)關支持使用TCP代理方式來防止SYNFlood類的Dos攻擊，這種攻擊可以很快的消耗服務器資源，導致服務器崩潰。在一般的Dos防范技術中，在攻擊發(fā)生的時候不能準確的識別哪些是合法用戶，哪些是攻擊報文。統(tǒng)一安全網(wǎng)關采用了TCP透明代理的方式實現(xiàn)了對這種攻擊的防范，統(tǒng)一安全網(wǎng)關通過精確的驗證可以準確的發(fā)現(xiàn)攻擊報文，對正常報文依然可以通過，允許這些報文訪問統(tǒng)一安全網(wǎng)關資源，而攻擊報文則被丟棄。有些攻擊是建立一個完整的TCP連接用來消耗服務器的資源。統(tǒng)一安全網(wǎng)關可以實現(xiàn)增強代理的功能，在客戶端與統(tǒng)一安全網(wǎng)關建立連接以后察看客戶是否有數(shù)據(jù)報文發(fā)送，如果有數(shù)據(jù)報文發(fā)送，再與服務器端建立連接否則丟棄客戶端的報文。這樣可以保證即使采用完成TCP三次握手的方式消耗服務器資源，也可以被統(tǒng)一安全網(wǎng)關發(fā)現(xiàn)。掃描攻擊防范掃描窺探攻擊是利用ping掃描（包括ICMP和TCP）來標識網(wǎng)絡上存活著的系統(tǒng)，從而準確的定位潛在的目標；利用TCP和UDP端口掃描，就能檢測出操作系統(tǒng)監(jiān)聽的潛在服務。攻擊者通過掃描窺探能大致了解目標系統(tǒng)提供的服務種類和潛在的安全漏洞，為進一步侵入系統(tǒng)做好準備。統(tǒng)一安全網(wǎng)關通過比較分析，可以靈活高效地檢測出這類掃描窺探報文，從而預先避免后續(xù)的攻擊行為。這些掃描窺探包括：地址掃描、端口掃描、IP源站選路選項、IP路由記錄選項、利用tracert工具窺探網(wǎng)絡結構等?；螆笪姆婪督y(tǒng)一安全網(wǎng)關可以提供針對各種畸形報文的防范，主要包括Land攻擊、Smurf攻擊、Fraggle攻擊、WinNuke攻擊、ICMP重定向或不可達報文、TCP報文標志位（如ACK、SYN、FIN等）不合法、PingofDeath攻擊、TearDrop攻擊等，可以自動的檢測出這些攻擊報文。（5）ASPF深度檢測功能統(tǒng)一安全網(wǎng)關提供了ASPF技術，ASPF是一種高級通信過濾技術，它檢查應用層協(xié)議信息并且監(jiān)控基于連接的應用層協(xié)議狀態(tài)。統(tǒng)一安全網(wǎng)關依靠這種基于報文內容的訪問控制，能夠對應用層的一部分攻擊加以檢測和防范，包括對于FTP命令字、SMTP命令的檢測、HTTP的Java、ActiveX控件等的檢測。ASPF技術是在基于會話管理的技術基礎上提供深層檢測技術的，ASPF技術利用會話管理維護的信息來維護會話的訪問規(guī)則，通過ASPF技術在會話管理中保存著不能由靜態(tài)訪問列表規(guī)則保存的會話狀態(tài)信息。會話狀態(tài)信息可以用于智能的允許/禁止報文。當一個會話終止時，會話管理會將該會話的相關信息刪除，統(tǒng)一安全網(wǎng)關中的會話也將被關閉。針對TCP連接，ASPF可以智能的檢測“TCP的三次握手的信息”和“拆除連接的握手信息”，通過檢測握手、拆連接的狀態(tài)檢測，保證一個正常的TCP訪問可以正常進行，而對于非完整的TCP握手連接的報文會直接拒絕。在普通的場合，一般使用的是基于ACL的IP包過濾技術，這種技術比較簡單，但缺乏一定的靈活性，在很多復雜應用的場合普通包過濾是無法完成對網(wǎng)絡的安全保護的。例如對于類似于應用FTP協(xié)議進行通信的多通道協(xié)議來說，配置統(tǒng)一安全網(wǎng)關則是非常困難的。FTP包含一個預知端口的TCP控制通道和一個動態(tài)協(xié)商的TCP數(shù)據(jù)通道，對于一般的包過濾防火墻來說，配置安全策略時無法預知數(shù)據(jù)通道的端口號，因此無法確定數(shù)據(jù)通道的入口。這樣就無法配置準確的安全策略。ASPF技術則解決了這一問題，它檢測IP層之上的應用層報文信息，并動態(tài)地根據(jù)報文的內容創(chuàng)建和刪除臨時的規(guī)則，以允許相關的報文通過。ASPF使得統(tǒng)一安全網(wǎng)關能夠支持一個控制通道上存在多個數(shù)據(jù)連接的協(xié)議，同時還可以在應用非常復雜的情況下方便的制訂各種安全的策略。許多應用協(xié)議，如Telnet、SMTP使用標準的或已約定的端口地址來進行通信，但大部分多媒體應用協(xié)議（如H.323、SIP）及FTP、netmeeting等協(xié)議使用約定的端口來初始化一個控制連接，再動態(tài)的選擇端口用于數(shù)據(jù)傳輸。端口的選擇是不可預測的，其中的某些應用甚至可能要同時用到多個端口。ASPF監(jiān)聽每一個應用的每一個連接所使用的端口，打開合適的通道讓會話中的數(shù)據(jù)能夠出入統(tǒng)一安全網(wǎng)關，在會話結束時關閉該通道，從而能夠對使用動態(tài)端口的應用實施有效的訪問控制。當報文通過統(tǒng)一安全網(wǎng)關時，ASPF將對報文與指定的訪問規(guī)則進行比較，如果規(guī)則允許，報文將接受檢查，否則報文直接被丟棄。如果該報文是用于打開一個新的控制或數(shù)據(jù)連接，ASPF將動態(tài)的修改規(guī)則，對于回來的報文只有屬于一個已經(jīng)存在對應的有效規(guī)則，才會被允許通過。在處理回來的報文時，狀態(tài)表也會隨時更新。當一個連接被關閉或超時后，該連接對應的狀態(tài)表將被刪除，確保未經(jīng)授權的報文不能隨便通過。強大的內容安全防護（1）一體化檢測機制USG一體化檢測機制不僅提供了強大的內容安全功能，還使得即使在內容安全功能全開的情況下，也可以保持較高性能功能。一體化檢測機制是指設備僅對報文進行一次檢測，就可以獲取到后續(xù)所有內容安全功能所需的數(shù)據(jù)，從而大幅提升設備處理。（2）反病毒功能反病毒功能可以對網(wǎng)絡中傳輸?shù)奈募M行掃描，識別出其中攜帶的病毒，并且予以記錄或清除。病毒是指編制或者在計算機程序中插入的破壞計算機功能或者數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。病毒通常被攜帶在文件中，通過網(wǎng)頁、郵件、文件傳輸協(xié)議進行傳播。內網(wǎng)主機一旦感染病毒，就可能導致系統(tǒng)癱瘓、服務中止、數(shù)據(jù)泄露，令企業(yè)蒙受巨大損失。下一代USG防火墻提供的反病毒功能對最容易傳播病毒的文件傳輸與共享協(xié)議以及郵件協(xié)議進行檢測和掃描，可以防范多種躲避病毒檢測的機制，實現(xiàn)針對病毒的強大防護能力。支持豐富的應用層協(xié)議和應用程序支持對HTTP、FTP、SMTP、POP3、IMAP、NFS、SMB傳輸?shù)奈募M行病毒檢測。支持對部分常見的基于HTTP協(xié)議的應用程序設置例外動作。支持對壓縮文件進行病毒掃描支持對zip、gzip壓縮文件進行解壓，然后再進行病毒掃描。支持海量的病毒特征庫下一代USG系列防火墻自帶的病毒特征庫支持檢測3000多個主流的病毒家族，可以覆蓋100萬種常見的流行病毒，海量的病毒特征庫使得下一代USG系列防火墻擁有強大的病毒檢測能力。同時通過專業(yè)的病毒分析團隊，實時跟蹤最新出現(xiàn)的病毒類型，并對其進行分析，在第一時間更新病毒特征庫供網(wǎng)絡管理員下載使用，使得下一代USG系列防火墻始終擁有最新最強大的病毒識別能力。支持針對不同流量配置不同的防護措施，支持添加應用例外和病毒例外定制病毒防護策略通過安全策略，網(wǎng)絡管理員可以針對不同流量制定細粒度的防護策略，對不同的網(wǎng)絡環(huán)境采取不同級別的保護。同時，通過對部分常見的基于HTTP協(xié)議的應用程序設置額外的防護動作，或者根據(jù)日志將部分誤報的病毒類型添加到病毒例外中，可以對反病毒策略進行靈活的調整，以保證業(yè)務的正常傳輸。（3）入侵防御功能入侵防御功能主要可以防護應用層的攻擊或入侵，例如緩沖區(qū)溢出攻擊、木馬、后門攻擊、蠕蟲等。下一代USG系列防火墻的入侵防御功能可以通過監(jiān)控或者分析系統(tǒng)事件，檢測應用層攻擊和入侵，并通過一定的響應方式，實時地中止入侵行為。支持多種部署方式，支持針對不同流量配置不同的防護措施下一代USG系列防火墻支持直路部署和旁路部署兩種部署模式。在直路部署時可以作為IPS設備工作，實時檢測威脅事件的發(fā)生并及時中止其流量傳輸，保護內部網(wǎng)絡；在旁路部署時可以作為IDS設備工作，檢測并記錄網(wǎng)絡中發(fā)生的可疑事件，及時通知網(wǎng)絡管理員采取行動，或者幫助管理員進行事后檢查，同時又不影響流量的正常傳輸。通過安全策略，網(wǎng)絡管理員可以針對不同流量制定細粒度的防護策略，對不同的網(wǎng)絡環(huán)境采取不同級別的保護。支持對應用層報文進行深度解析通過強大的報文深度識別功能，以及不斷更新的應用特征庫，下一代USG系列防火墻可以對數(shù)千種常見的應用程序進行報文深度解析，并檢測出其中攜帶的攻擊和入侵流量。根據(jù)基于應用的安全策略，可以對不同的應用程序作出不同的響應工作，方便管理員靈活部署入侵防御功能。支持進行報文分片重組和TCP流重組之后再進行威脅檢測支持網(wǎng)絡攻擊利用IP報文分片和TCP流亂序重組等技術躲避威脅檢測的行為，下一代USG系列防火墻支持將IP分片報文重組還原為原始報文后再進行檢測，還支持對TCP流進行重組，按照流序號還原為正序流后再進行檢測。支持海量的簽名庫，支持自定義簽名IPS設備通常使用簽名來識別攻擊流量的特征，簽名庫的容量就代表了設備識別應用層威脅的能力。然而新型的攻擊層出不窮，威脅日新月異，所以通過專業(yè)的簽名開發(fā)團隊密切跟蹤全球知名安全組織和軟件廠商發(fā)布的安全公告，對這些威脅進行分析和驗證，生成保護各種軟件系統(tǒng)（操作系統(tǒng)、應用程序、數(shù)據(jù)庫）漏洞的簽名庫。此外，通過遍布全球的蜜網(wǎng)（通過誘使黑客進行攻擊捕捉攻擊行為特征的站點），實時捕獲最新的攻擊、蠕蟲病毒、木馬，提取威脅的特征，發(fā)現(xiàn)威脅的趨勢。在此基礎上，當新的漏洞被發(fā)現(xiàn)時，能夠在最短時間內發(fā)布最新的簽名，及時升級檢測引擎和簽名庫，來防御針對該漏洞的已知的和未知的攻擊，真正實現(xiàn)零日防御。下一代USG系列防火墻自帶的簽名庫可以識別出數(shù)千種應用層攻擊行為。通過簽名庫的不斷升級，還可以持續(xù)獲取最新的識別和防護能力。網(wǎng)絡管理員還可以根據(jù)自己掌握的流量信息自行定義簽名，使得下一代USG系列防火墻的入侵防御功能更加完善。超低的簽名誤報率誤報率是衡量簽名庫質量的重要標準，代表著簽名的準確率。出現(xiàn)誤報有可能會影響網(wǎng)絡正常業(yè)務，同時會產(chǎn)生大量的攻擊事件，管理員需要在海量日志數(shù)據(jù)中尋找真正有價值的攻擊內容。誤報的原因一般是簽名不夠精確，或者檢測機制不夠完善。擁有眾多安全研究人員，具有豐富數(shù)據(jù)來源，從而可以分析更多的樣本，簽名編寫完成后經(jīng)過了完備的誤報測試，所以發(fā)布的簽名幾乎是零誤報率。得益于簽名的超低誤報，下一代USG系列防火墻默認開啟阻截的簽名的比率非常高，在不影響用戶正常業(yè)務的情況下，可以最大程度地化解威脅。這樣，管理員就無需對照冗長的日志來查看是否有誤報，以及是否需要關閉一些簽名。（4）數(shù)據(jù)泄露防護數(shù)據(jù)泄密防護（DateLeakagePrevention，DLP）是通過一定的技術手段，防止企業(yè)的指定數(shù)據(jù)或信息資產(chǎn)以違反安全策略規(guī)定的形式流出企業(yè)的一種策略。數(shù)據(jù)泄露防護的主要目的是保護企業(yè)或個人的重要數(shù)據(jù)。由于竊取數(shù)據(jù)的手段眾多，所以實現(xiàn)數(shù)據(jù)泄露防護需要一組技術來實現(xiàn)。下一代USG系列防火墻提供的數(shù)據(jù)泄露防護技術主要防止的是數(shù)據(jù)在網(wǎng)絡傳輸過程中發(fā)生泄露，例如：通過網(wǎng)絡通信工具將機密數(shù)據(jù)從企業(yè)內部網(wǎng)絡傳輸?shù)酵獠烤W(wǎng)絡。大部分的數(shù)據(jù)泄露都是由企業(yè)內部員工有意或無意造成的。外部網(wǎng)絡的黑客通過入侵技術進入企業(yè)內網(wǎng)主機，獲取控制權限并獲取機密數(shù)據(jù)，甚至長期監(jiān)控內網(wǎng)主機運行的情況。由于內網(wǎng)主機無意中感染木馬或其他間諜病毒，機密數(shù)據(jù)被病毒自動搜尋并發(fā)送至外部網(wǎng)絡。在內網(wǎng)主機與外網(wǎng)主機進行必要通信的過程中，由于黑客進行了監(jiān)聽或截取導致機密數(shù)據(jù)泄露。為了解決以上問題，根據(jù)數(shù)據(jù)泄露的途徑，下一代USG系列防火墻分別提供了不同的技術應對：表1數(shù)據(jù)泄露防護技術泄露途徑技術說明通過HTTP、FTP等文件傳輸協(xié)議，或者即時通信軟件等應用程序以文本或文件的方式泄露應用識別、文件過濾、數(shù)據(jù)過濾基于強大的應用識別能力，下一代USG系列防火墻可以對具有網(wǎng)絡通信功能的應用程序以及傳輸協(xié)議進行報文的深度解析，識別其中包含的文件和信息。數(shù)據(jù)過濾根據(jù)文本或文件中出現(xiàn)的關鍵詞，文件過濾根據(jù)文件的類型等信息分別對流量進行過濾。通過電子郵件程序以文本或附件的方式泄露郵件過濾、文件過濾、數(shù)據(jù)過濾郵件過濾根據(jù)郵件的收發(fā)件人地址、附件大小、附件個數(shù)等信息對郵件進行過濾。文件過濾根據(jù)郵件附件的文件類型信息對郵件進行過濾。數(shù)據(jù)過濾根據(jù)郵件的收發(fā)件人地址、主題、正文、附件文件名中出現(xiàn)的關鍵字對郵件進行過濾。外網(wǎng)中的黑客通過入侵內網(wǎng)方式竊取數(shù)據(jù)入侵防御對網(wǎng)絡攻擊、應用層攻擊以及入侵行為的監(jiān)控，及時阻斷外網(wǎng)隊內網(wǎng)的滲透和數(shù)據(jù)竊取。內網(wǎng)主機因為感染病毒無意中泄露反病毒對木馬及其他間諜病毒的掃描與識別，避免內網(wǎng)感染具有類似功能的病毒，防止危害在內網(wǎng)泛濫。在內網(wǎng)與外網(wǎng)的正常通信過程中，數(shù)據(jù)被黑客竊取VPN針對內網(wǎng)主機與外網(wǎng)主機的通信，或者兩個被Internet隔離的內網(wǎng)之間的通信，采用VPN加密技術對通信過程進行保護，防止數(shù)據(jù)被竊聽、篡改、偽造和重放。除了以上主動防御措施外，下一代USG系列防火墻還可以通過對網(wǎng)絡中出現(xiàn)的應用行為進行審計，記錄相應的源、目的、時間、傳輸?shù)奈募⑦M行的操作等等信息，從而實現(xiàn)對數(shù)據(jù)泄露行為的監(jiān)管、追溯與事后取證。通過下一代USG系列防火墻提供的這一系列技術，結合企業(yè)內部已有的對存儲介質的存放管理、文檔數(shù)據(jù)的加密管理、用戶認證與網(wǎng)絡資源的授權等等技術，可以對企業(yè)數(shù)據(jù)進行端到端的安全保護，實現(xiàn)完整的數(shù)據(jù)泄露防護方案。（5）WEB安全防護隨著云技術的發(fā)展，越來越多的應用開始往Web上進行遷移。Web已經(jīng)從單純的提供網(wǎng)頁瀏覽演變成為集金融、社交、音樂、視頻、游戲等領域為一身的綜合平臺。Web業(yè)務的豐富和發(fā)展同時也帶來了多種多樣的安全風險，通過綜合多種技術可以實現(xiàn)對Web站點和訪問行為的安全防護。Web安全問題中最為顯著的就是非法網(wǎng)站和惡意網(wǎng)站。非法網(wǎng)站是指暴力、色情等不被當?shù)胤煞ㄒ?guī)或者企業(yè)管理制度所允許訪問的網(wǎng)絡資源。非法網(wǎng)站帶來的危害包括影響社會穩(wěn)定、降低員工工作效率、占用企業(yè)帶寬、浪費企業(yè)網(wǎng)絡資源等；惡意網(wǎng)站是指掛馬網(wǎng)站、釣魚網(wǎng)站等試圖在用戶瀏覽過程中向用戶主機植入木馬、進行SQL注入和跨站腳本攻擊、利用瀏覽器/系統(tǒng)漏洞獲取主機權限或數(shù)據(jù)、騙取用戶錢財?shù)却嬖趷阂庑袨榈木W(wǎng)站。惡意網(wǎng)站有可能帶來用戶或企業(yè)的大量經(jīng)濟損失。惡意網(wǎng)站的顯著特征就是在沒有安全機制保護的情況下，用戶對其惡意行為完全不知情，往往在無意中就造成了損失；URL過濾根據(jù)用戶訪問的URL地址對URL訪問行為進行控制。管理員可以根據(jù)下一代USG系列防火墻提供的海量URL分類數(shù)據(jù)庫，以及自己定義的URL地址及分類，對不同的URL地址設置不同的處理措施。同時，下一代USG系列防火墻提供的URL分類數(shù)據(jù)包含了大量已知的掛馬網(wǎng)站、釣魚網(wǎng)站等惡意網(wǎng)站的網(wǎng)址。用戶在訪問URL時，設備可以自動查詢這個URL是否屬于惡意網(wǎng)站，并作出相應的處理措施。由于URL地址的數(shù)量極其龐大，而且每天都增加，作用也可能發(fā)生改變。提供的海量URL分類數(shù)據(jù)庫可以及時跟蹤Internet上的URL地址變化，實時更新URL分類信息，保證了URL過濾功能的不斷增強。同時，管理員也可以在本地網(wǎng)絡搭建URL分類查詢服務器。由本地URL分類查詢服務器從的查詢服務器上學習完整的URL分類信息，本地網(wǎng)絡中的多臺USG系列防火墻再向該服務器進行查詢。這種部署方式節(jié)約了網(wǎng)絡帶寬，提高了查詢速度，還可以在內網(wǎng)中的USG系列防火墻無法直接連接Internet時，仍能實現(xiàn)實時查詢。（6）應用行為控制應用行為控制可以對企業(yè)網(wǎng)絡中的特定網(wǎng)絡行為進行控制，以避免安全風險，提高管理效率，在現(xiàn)代企業(yè)中，網(wǎng)絡是不可或缺的工作平臺和工具，但是同時因為員工濫用網(wǎng)絡的行為，會帶來一系列的問題：由于員工在工作時間內瀏覽與工作無關的網(wǎng)站網(wǎng)頁、下載音樂視頻等行為導致工作效率的下降和企業(yè)網(wǎng)絡資源的浪費。由于員工通過網(wǎng)絡向外傳輸文本或文件，泄露企業(yè)的機密信息。由于員工在網(wǎng)絡上發(fā)表不符合當?shù)胤煞ㄒ?guī)或者企業(yè)管理制度的言論，對企業(yè)形象或利益造成損失。下一代USG系列防火墻提供的應用行為控制功能，可以有效地監(jiān)控和控制以上網(wǎng)絡行為，避免企業(yè)利益的損失，提升企業(yè)效率：HTTP行為控制：支持對論壇發(fā)帖、表單提交、用戶登錄等HTTPPOST行為進行阻斷。支持對網(wǎng)頁瀏覽行為進行阻斷。支持對HTTP代理上網(wǎng)行為進行阻斷。支持根據(jù)HTTP上傳/下載的文件大小進行告警或阻斷。FTP行為控制：支持根據(jù)FTP上傳/下載的文件大小進行告警或阻斷。支持對FTP刪除文件行為進行阻斷。（7）垃圾郵件過濾垃圾郵件過濾功能可以根據(jù)郵件發(fā)送服務器的IP地址以及郵件內容對垃圾郵件進行攔截。通常來說，凡是未經(jīng)用戶許可就強行發(fā)送到用戶的郵箱中的任何電子郵件都可以稱之為垃圾郵件。垃圾郵件最初只是宣傳廣告的傳播途徑，但是演變至今已經(jīng)對網(wǎng)絡的正常運轉產(chǎn)生了非常惡劣的影響：占用網(wǎng)絡帶寬，造成郵件服務器擁塞，進而降低整個網(wǎng)絡的運行效率。侵犯收件人的隱私權，占用收件人信箱空間，耗費收件人的時間、精力和金錢。有的垃圾郵件還盜用他人的電子郵件地址做發(fā)信地址，嚴重損害了他人的信譽。包含木馬和病毒，被黑客利用，成為網(wǎng)絡攻擊的工具。嚴重影響ISP的形象。在國際上，頻繁轉發(fā)垃圾郵件的主機會被上級國際因特網(wǎng)服務提供商列入國際垃圾郵件數(shù)據(jù)庫，從而導致該主機不能訪問國外許多網(wǎng)絡。而且收到垃圾郵件的用戶會因為ISP沒有建立完善的垃圾郵件過濾機制，而轉向其它ISP。傳播虛假、反動、色情等內容，對現(xiàn)實社會造成危害。下一代USG系列防火墻提供的垃圾郵件過濾技術包括：本地定義黑白名單，對允許通過的郵件服務器進行控制。向Internet上的RBL服務器實時查詢郵件服務器是否屬于垃圾郵件服務器。RBL服務器可以提供完整、豐富、不斷更新的已知垃圾郵件服務器清單。根據(jù)郵件的發(fā)件人、主題與正文內容中出現(xiàn)的關鍵字對郵件進行過濾，實現(xiàn)對未知垃圾郵件的基于內容的防護。靈活的用戶管理隨著應用協(xié)議的發(fā)展，IP地址已經(jīng)不能代表網(wǎng)絡使用者的真實身份，并且因此帶來諸多安全隱患。通過基于用戶的管理，可以有效解決這些問題。在網(wǎng)絡發(fā)展之初，IP地址是一臺主機在網(wǎng)絡中的唯一標識，防火墻產(chǎn)品也都是基于IP地址進行流量控制。但是由于移動辦公、無線辦公以及遠程辦公等辦公形式的出現(xiàn)，企業(yè)主機的IP地址難以受到集中管理。加上IP地址是以明文形式存儲在報文中，極易竊取和篡改，所以通過仿冒IP地址形式進行的網(wǎng)絡欺騙也日益增多。下一代USG系列防火墻所采用的基于用戶部署安全措施的機制解決了上述問題。主機在接入網(wǎng)絡時，首先需要輸入用戶名和密碼，設備認證通過后才允許其接入網(wǎng)絡。用戶名和密碼真正代表該主機當前使用者的真實身份，設備基于用戶配置各種策略，就可以使資源授權、安全防護、流量管理等措施的部署更加精確。下一代USG系列防火墻提供了用戶信息的存儲和管理、用戶認證、權限控制與流量管理的一系列解決方案：用戶信息的存儲和管理（用戶名、密碼等）支持在USG上創(chuàng)建本地用戶和用戶組，支持樹狀的組織結構管理，支持組嵌套，滿足大部分企業(yè)的組織結構需求。支持在第三方認證服務器上管理用戶，設備與其進行同步或導入。支持的認證服務器包括AD、RADIUS、LDAP、HWTACACS、SecurID、TSM。用戶認證支持本地認證。即在設備上創(chuàng)建和管理的用戶，由USG推送認證頁面至用戶的瀏覽器，由設備對其進行認證。支持代理認證。即在第三方認證服務器上創(chuàng)建和管理用戶。USG作為代理設備轉發(fā)用戶的認證請求，并獲取用戶是否認證成功的結果。為了使USG可以對這些用戶部署策略，需要將用戶名及其組織結構從服務器導入到USG中。支持與AD服務器進行實時同步。當用戶已通過AD服務器的認證時，設備可以直接從AD服務器同步到該用戶已經(jīng)認證通過的結果，就不再對其進行認證。支持對使用VPN隧道接入內網(wǎng)的用戶，根據(jù)接入方式的不同選擇是否進行二次認證。權限控制與流量管理支持對本地創(chuàng)建和從服務器導入的用戶部署以下策略：安全策略：控制網(wǎng)絡訪問權限和進行內容安全防護。帶寬策略：控制用戶的帶寬、連接數(shù)占用，調整用戶流量轉發(fā)優(yōu)先級。策略路由：控制用戶流量的轉發(fā)出口。審計策略：對用戶網(wǎng)絡行為進行合法審計。精細的流量管理網(wǎng)絡業(yè)務在飛速發(fā)展，但是網(wǎng)絡帶寬不可能無限擴展。所以必要時管理員需要對流量的帶寬占用進管理，保證高優(yōu)先級的網(wǎng)絡業(yè)務，降低低優(yōu)先級的網(wǎng)絡業(yè)務的帶寬占用。目前網(wǎng)絡管理員在管理網(wǎng)絡帶寬時經(jīng)常遇到以下問題：P2P流量在網(wǎng)絡中建立了大量連接，占用了絕大部分網(wǎng)絡帶寬。由于遭受DDoS攻擊，普通主機無法正常訪問企業(yè)所提供的服務。無法為些特殊業(yè)務保證穩(wěn)定帶寬或連接數(shù)。超負荷的業(yè)務流量導致設備運行效率低下，影響網(wǎng)絡的體驗。針對以上問題，下一代USG系列防火墻提供的流量管理技術可以實現(xiàn)以下功能：基于IP地址、用戶、應用、時間分配帶寬和連接數(shù)，降低P2P流量的帶寬占用，只給特定用戶開放P2P的下載權限?；诎踩珔^(qū)域或接口限定最大帶寬，即使發(fā)生DDoS攻擊，也可以保證內網(wǎng)服務器和設備本身不會因為流量過大而性能下降甚至癱瘓。通過給不同的應用分配不同的保證帶寬和最大帶寬，實現(xiàn)帶寬的合理分配，保證特殊業(yè)務的需求。下一代USG系列防火墻強大的應用識別能力可以實現(xiàn)精細化的帶寬管理。下一代USG系列防火墻提供了靈活的帶寬分配方式，通過引入帶寬策略和帶寬通道，每個帶寬通道代表一個帶寬/連接數(shù)范圍，每個帶寬策略可以給一類流量分配一個帶寬通道，從而實現(xiàn)以下分配方式：多個帶寬策略共享帶寬通道，帶寬策略中的各條流量通過搶占的方式使用帶寬通道的帶寬/連接數(shù)資源，使得網(wǎng)絡資源得到充分利用。同時還可以限制其中每個IP或用戶的最大帶寬，既可以保證全局流量不擁塞，也可以保證單臺主機不會因為其他主機占用帶寬過多導致無法上網(wǎng)。一個帶寬策略獨享帶寬通道。通常用于保證特殊業(yè)務或主機的流量帶寬不受其他流量的影響，使高優(yōu)先級業(yè)務可以正常運行。領先的IPV6支持下一代USG系列防火墻對下一代IP網(wǎng)絡技術IPv6進行了全面支持，可以滿足多種IPv6組網(wǎng)模式，有效保護IPv6網(wǎng)絡的安全。IPv6（InternetProtocolVersion6）是新版本的網(wǎng)絡層協(xié)議，它是Internet工程任務組（IETF）設計的一套規(guī)范。IPv6和IPv4之間最顯著的區(qū)別就是IP地址的長度從32位升為128位。IPV6可以較為徹底的解決IP地址缺乏問題。同時，使用IPv6后，網(wǎng)絡中路由設備的路由表項將會變少，可以提高路由設備轉發(fā)報文的速率。在IPv6網(wǎng)絡的搭建中，主要涉及以下兩類IPv6技術：IPV6主機之間的通信技術，又被稱為IPv6基礎技術。在IPV4網(wǎng)絡逐漸向IPv6網(wǎng)絡演進的過程中，IPv6主機和IPv4主機之間的通信技術，又被稱為IPv6過渡技術。（1）IPv6基礎技術IPv6地址：支持IPv4和IPv6雙協(xié)議棧，支持對IPv6報文的報文頭進行解析，根據(jù)其中的IPv6地址進行報文轉發(fā)。支持IPv6地址的手工配置和自動配置，支持IPv6鄰居發(fā)現(xiàn)。支持ICMPv6、DNSv6、DHCPv6、PPPoEv6等配套技術。IPv6路由：支持IPv6的靜態(tài)路由、策略路由、路由策略，用于路由表的靈活調整。支持RIPng動態(tài)路由協(xié)議。支持OSPFv3動態(tài)路由協(xié)議支持BGP4+動態(tài)路由協(xié)議支持IS-IS動態(tài)路由協(xié)議的IPv6功能（2）IPv6過渡技術IPv4