華為USG6500E系列AI防火墻產(chǎn)品白皮書

1、華為USG6500E系列AI防火墻（盒式）隨著企業(yè)業(yè)務(wù)不斷的數(shù)字化、云服務(wù)化，網(wǎng)絡(luò)在企業(yè)運營中占據(jù)著重要的位置，出于各種目的， 網(wǎng)絡(luò)攻擊者通過身份仿冒、網(wǎng)站掛馬、惡意軟件等多種方式進行網(wǎng)絡(luò)滲透與攻擊，影響企業(yè)網(wǎng)絡(luò)的正常使用。采用防火墻部署網(wǎng)絡(luò)邊界是當前防護企業(yè)網(wǎng)絡(luò)安全的主要方式，但是防火墻通常只能基于簽名實現(xiàn)威脅的分析和阻斷，該方法對未知威脅無有效的處置方法，還會引起設(shè)備性能的降低。這種單點、被動、事中防御的方式已經(jīng)不能有效的解決未知威脅攻擊，對于隱匿于加密流量中的威脅在不損壞用戶隱私的情況下更是無法有效的識別。華為全新一代防火墻，在提供NGFW能力的基礎(chǔ)上，聯(lián)動其他安全設(shè)備，主動積極防御網(wǎng)絡(luò)

2、威脅， 增強邊界檢測能力，有效防御高級威脅，同時解決性能下降問題。自研網(wǎng)絡(luò)處理芯片提供模式匹配以及加解密業(yè)務(wù)處理加速能力，使得防火墻處理內(nèi)容安全檢測、IPSec等業(yè)務(wù)的性能顯著提升。產(chǎn)品圖USG6500E系列AI防火墻（盒式）9- PAGE 8華為USG6500E系列AI防火墻（盒式）華為USG6500E系列AI防火墻（盒式）9- PAGE 7產(chǎn)品亮點融合創(chuàng)“芯”智能全新自研安全芯片，內(nèi)置加速引擎處理性能提升至業(yè)界2倍基于AI技術(shù)的高級威脅檢測， 聯(lián)動云端，威脅檢測準確率大于99%采用虛擬化架構(gòu)，多業(yè)務(wù)融合，靈活集成第三方檢測能力降低Capex 80%1101100000101創(chuàng)“芯”：基于A

3、RM的自研芯片，業(yè)務(wù)性能提升顯著創(chuàng)“芯”：從“芯”開始，打造安全可信計算信任根安全設(shè)備核心芯片安全啟動設(shè)備上層軟件 代碼簽名OS (Kernel/Rootfs)代碼簽名BIOSBIOS簽名片外安全啟動代碼（ESBC）ESBC簽名安全啟動代碼（BSBC）Mask Key智能：基于AI，深度集成高級威脅檢測，降低Capex 80%傳統(tǒng)高級威脅防御，需要再追加5倍以上預(yù)算Capex80%防火墻集成高級威脅檢測能力，主動發(fā)現(xiàn)未知通信威脅WannaCryBlackEnergyGoogle AuroraBadRabbit大數(shù)據(jù)安全分析未知威脅檢測海蓮花震網(wǎng)沙箱已知威脅簽名庫蜜罐Firewall防火墻內(nèi)置A

4、I檢測模型，快速檢測惡意文件檢測結(jié)果上報云端，優(yōu)化AI檢測模型 基于AI的防火墻防火墻實時更新優(yōu)化后的AI檢測模型基于AI引擎的高級威脅檢測VNF3rd安全組件數(shù)據(jù)分發(fā)/探針基礎(chǔ)安全基于簽名檢測安全AI檢測模型99%未知威脅檢出率模型下載數(shù)據(jù)反饋 Firewall訓(xùn)練輸出檢測模型 黑樣本白樣本智能：采用AI技術(shù)免解密檢測加密流量Admin US合作伙伴VirusTotal公開樣本華為云沙箱合作伙伴/ 高校華為云沙箱報文時間間隔字節(jié)分布統(tǒng)計流持續(xù)時間TLS協(xié)商信息融合：內(nèi)置“誘捕”系統(tǒng)降低勒索軟件/APT擴散傳統(tǒng)蜜罐部署位置高，難大規(guī)模下沉，難踩中嘗試改變敵暗我明的狀態(tài)，但效果不明顯防火墻內(nèi)置輕

5、量誘捕+重度誘捕針對所有不存在IP和未開放端口的誘騙大規(guī)模輕量誘捕+動態(tài)引流到重度誘捕進行聯(lián)動業(yè)務(wù)系統(tǒng)Internet蜜罐核心交換機匯聚交換機接 入 交換機L2VS.輕量誘捕大數(shù)據(jù)分析平臺按需引流全面監(jiān)控控制器調(diào)度控制及時切斷攻擊源重度蜜罐聯(lián)動誘捕FFirewall二級子網(wǎng)D二級子網(wǎng)Eirewall.Firewall Firewall子網(wǎng)C輕量誘捕圖標注釋：蜜罐節(jié)點真實節(jié)點子網(wǎng)AFirewall子網(wǎng)B.輕量誘捕融合：可信可控的視頻終端安全接入，威脅全網(wǎng)可視非法終端阻斷非授權(quán)業(yè)務(wù)阻斷惡意流量阻斷 ?？蛋卜罉I(yè)務(wù)可信接入、安全、易部署后續(xù)可擴展至其他物聯(lián)終端大華安防業(yè)務(wù)認證突破后可實施第二道防線深度

6、防仿冒、防入侵持續(xù)更新安全能力111011010010101111010011101011Firewall11101101000011101011持續(xù)關(guān)注攝像頭漏洞，形成漏洞簽名庫，防止利用攝像頭漏洞攻擊，導(dǎo)致大面積攝像頭癱瘓實時升級IPS漏洞庫3 基于協(xié)議漏洞防護動態(tài)感知安防業(yè)務(wù)流量，形成流量指紋基于流量指紋進行訪問控制2 基于流量指紋過濾動態(tài)采集攝像頭設(shè)備指紋基于指紋形成認證因子實現(xiàn)唯一指紋認證1 基于設(shè)備指紋認證融合：云管理方式簡化設(shè)備上線運維華為公有云業(yè)務(wù)管理業(yè)務(wù)管理Internet主動注冊主動注冊總部防火墻FWFW分支分支中小企業(yè)租戶中小企業(yè)租戶即插即用，快速上線中小企業(yè)托管，大型企

7、業(yè)海量分支互聯(lián)FW設(shè)備主動注冊，快速納入云管理平臺實現(xiàn)設(shè)備快速部署，無需人工值守通道加密，安全可靠云網(wǎng)管和FW設(shè)備關(guān)鍵交互進行加密分支防火墻和總部防火墻建立IPSec隧道通訊分支防火墻IPSec智能選路自動探測鏈路質(zhì)量，進行 隧道切換策略下發(fā)，統(tǒng)一管理云網(wǎng)管遠程業(yè)務(wù)級配置管理遠程設(shè)備監(jiān)控，故障管理實現(xiàn)海量設(shè)備的云端管理，簡化運維分支站點地址自動管理，合理利用地址資源FWFW軟件特性功能特性描述一體化防護集傳統(tǒng)防火墻、VPN、入侵防御、防病毒、數(shù)據(jù)防泄漏、帶寬管理、Anti-DDoS、URL 過濾、反垃圾郵件等多種功能于一身，全局配置視圖和一體化策略管理。應(yīng)用識別與管控可識別6000+應(yīng)用，訪問

8、控制精度到應(yīng)用功能。應(yīng)用識別與入侵檢測、防病毒、內(nèi)容過濾相結(jié)合，提高檢測性能和準確率。云管理模式設(shè)備自行向云管理平臺發(fā)起認證注冊，實現(xiàn)即插即用，簡化網(wǎng)絡(luò)創(chuàng)建和開局。遠程業(yè)務(wù)配置管理、設(shè)備監(jiān)控故障管理，實現(xiàn)海量設(shè)備的云端管理。云應(yīng)用安全感知可對企業(yè)云應(yīng)用進行精細化和差異化的控制，滿足企業(yè)對用戶使用云應(yīng)用的管控需求。入侵防御與Web防護第一時間獲取最新威脅信息，準確檢測并防御針對漏洞的攻擊。可防護各種針對web的攻擊，包括SQL注入攻擊和跨站腳本攻擊等。防病毒病毒庫每日更新，可迅速檢出超過500萬種病毒。APT防御與本地/云端沙箱聯(lián)動，對惡意文件進行檢測和阻斷。支持流探針信息采集功能, 對流量信息

9、進行全面的信息采集，并將采集的信息發(fā)送到網(wǎng)絡(luò)安全智能系統(tǒng)(CIS)進行分析、評估、識別網(wǎng)絡(luò)中的威脅和APT攻擊。加密流量無需解密，聯(lián)動CIS，實現(xiàn)對加密流量威脅檢測。主動響應(yīng)惡意掃描行為，并通過聯(lián)動CIS進行行為分析，快速發(fā)現(xiàn)，記錄惡意行為，實現(xiàn)對企業(yè)威脅的實時防護。數(shù)據(jù)防泄漏對傳輸?shù)奈募蛢?nèi)容進行識別過濾，可準確識別常見文件的真實類型，如Word、Excel、PPT、PDF等，并對內(nèi)容進行過濾。帶寬管理在識別業(yè)務(wù)應(yīng)用的基礎(chǔ)上，可管理每用戶/IP使用的帶寬，確保關(guān)鍵業(yè)務(wù)和關(guān)鍵用戶的網(wǎng) 絡(luò)體驗。管控方式包括：限制最大帶寬或保障最小帶寬、修改應(yīng)用轉(zhuǎn)發(fā)優(yōu)先級等。URL過濾URL分類庫超過1.2億，可

10、對特定類別網(wǎng)站的訪問進行加速，保障對高優(yōu)先級網(wǎng)站的訪問體驗。支持DNS過濾，直接根據(jù)域名對訪問的網(wǎng)頁進行過濾。支持safesearch，對google等搜索引擎的資源進行過濾，保障訪問健康網(wǎng)絡(luò)的資源。功能特性描述行為和內(nèi)容審計可基于用戶對訪問內(nèi)容進行審計、溯源。負載均衡支持服務(wù)器負載均衡和鏈路負載均衡，充分利用現(xiàn)有網(wǎng)絡(luò)資源。業(yè)務(wù)智能選路支持基于業(yè)務(wù)的策略路由，在多出口場景下可根據(jù)多種負載均衡算法（如帶寬比例、鏈路健康狀態(tài)等）進行智能選路。VPN加密支持豐富高可靠性的VPN特性，如IPSec VPN、SSL VPN、L2TP VPN、MPLS VPN、GRE等；提供自研的VPN客戶端SecoCl

11、ient，實現(xiàn)SSL VPN、L2TP VPN和L2TP over IPSecVPN用戶遠程接入。支持DES、3DES、AES、SHA、SM2/SM3/SM4等多種加密算法。DSVPN動態(tài)智能VPN，為公網(wǎng)地址動態(tài)變化的分支之間建立VPN隧道，降低大量分支間的組網(wǎng)和運維成本。SSL加密流量檢測檢測并防御隱藏在SSL加密流量中的威脅，包括入侵防御、反病毒、內(nèi)容過濾、URL過濾等應(yīng)用層防護。SSL卸載替代服務(wù)器實現(xiàn)SSL加解密，有效降低服務(wù)器負載，并實現(xiàn)HTTP流量的負載均衡。Anti-DDoS支持DDoS攻擊防護，防范SYN ood、UDP ood等10+種常見DDoS攻擊。用戶認證支持多種用戶

12、認證方式，包括本地認證、RADIUS、HWTACACS、AD、LDAP等。防火墻支持內(nèi)置Portal及Portal重定向功能，與 Agile Controller配合可以實現(xiàn)多種認證。安全虛擬化支持多種安全業(yè)務(wù)的虛擬化，包括防火墻、入侵防御、反病毒、VPN等。不同用戶可在同一臺物理設(shè)備上進行隔離的個性化管理。安全策略管理支持基于VLAN ID、五元組、安全域、地區(qū)、應(yīng)用、URL分類和時間段等維度對流量進行管控，并同時進行內(nèi)容安全的一體化檢測。預(yù)置常用防護場景模板，快速部署安全策略，降低學(xué)習(xí)成本。與FireMon，Algosec公司合作提供安全策略管理解決方案，降低運維成本，減少故障風(fēng)險。豐富的

13、報表可視化多維度報表呈現(xiàn)，支持用戶、應(yīng)用、內(nèi)容、時間、流量、威脅、URL等多維度呈現(xiàn)報表。通過華為安全中心平臺生成“網(wǎng)絡(luò)安全分析報告”，對當前網(wǎng)絡(luò)的安全狀態(tài)進行評估， 并給出相關(guān)優(yōu)化建議。路由特性全面支持IPV4/IPV6下的多種路由協(xié)議，如RIP、OSPF、BGP、IS-IS、 RIPng、OSPFv3、BGP4+、IPv6 IS-IS等。部署及可靠性透明、路由、混合部署模式，支持主/主、主/備 HA特性產(chǎn)品規(guī)格型號USG6515EUSG6550EUSG6560EUSG6580E業(yè)務(wù)口210GE (SFP+) +8GE Combo + 16GE210GE (SFP+) +8GE Combo+

14、 16GE210GE (SFP+) +8GE Combo+ 16GE210GE (SFP+) +8GE Combo+ 16GE固定端口WAN2GE2GE2GE2GEUSB1USB2.0 +1USB3.01USB2.0 +1USB3.01USB2.0 +1USB3.01USB2.0 +1USB3.0型號USG6515EUSG6550EUSG6560EUSG6580E外置存儲選配，支持M.2 卡，64G/240G選配，支持M.2 卡，240G選配，支持M.2 卡，240G選配，支持M.2 卡，240G產(chǎn)品型態(tài)1U1U1U1U尺寸 (WDH) mm44242044442420444424204444

15、242044電源功率60W60W60W60W電源輸入電壓100-240V100-240V100-240V100-240V電源冗余選配選配選配選配重量(不含硬盤)5.8kg5.8kg5.8kg5.8kg工作環(huán)境溫度045C045C045C045C濕度5%-95%非凝露5%-95%非凝露5%-95%非凝露5%-95%非凝露存儲環(huán)境溫度-40C70C-40C70C-40C70C-40C70C濕度5%95%5%95%5%95%5%95%訂購信息產(chǎn)品型號描述USG6515EUSG6515E-ACUSG6515E交流主機(2*10GE (SFP+) + 16*GE + 8*GE Combo + 2*GE

16、WAN + 1*USB2.0 + 1*USB3.0，含SSL VPN100用戶)USG6550EUSG6550E-ACUSG6550E交流主機(2*10GE (SFP+) + 16*GE + 8*GE Combo + 2*GE WAN + 1*USB2.0 + 1*USB3.0，含SSL VPN100用戶)USG6560EUSG6560E-ACUSG6560E交流主機(2*10GE (SFP+) + 16*GE + 8*GE Combo + 2*GE WAN + 1*USB2.0 + 1*USB3.0，含SSL VPN100用戶)USG6580EUSG6580E-ACUSG6580E交流主機(

17、2*10GE (SFP+) + 16*GE + 8*GE Combo + 2*GE WAN + 1*USB2.0 + 1*USB3.0，含SSL VPN100用戶)基本LicenseSSL VPN并發(fā)用戶數(shù)LIC-USG6KE-SSLVPN-100 LIC-USG6KE-SSLVPN-200LIC-USG6KE-SSLVPN-500SSL VPN并發(fā)用戶數(shù) (100個) SSL VPN并發(fā)用戶數(shù) (200個)SSL VPN并發(fā)用戶數(shù) (500個)LIC-USG6KE-SSLVPN-1000SSL VPN并發(fā)用戶數(shù) (1000個)NGFW LicenseIPS特征庫升級服務(wù)LIC-USG6515

18、E-IPS-1YIPS特征庫升級12個月 (適用于USG6515E)LIC-USG6515E-IPS-3YIPS特征庫升級36個月 (適用于USG6515E)產(chǎn)品型號描述LIC-USG6550E-IPS-1YIPS特征庫升級12個月 (適用于USG6550E)LIC-USG6550E-IPS-3YIPS特征庫升級36個月 (適用于USG6550E)LIC-USG6560E-IPS-1YIPS特征庫升級12個月 (適用于USG6560E)LIC-USG6560E-IPS-3YIPS特征庫升級36個月 (適用于USG6560E)LIC-USG6580E-IPS-1YIPS特征庫升級12個月 (適用

19、于USG6580E)LIC-USG6580E-IPS-3YIPS特征庫升級36個月 (適用于USG6580E)URL遠程查詢升級服務(wù)LIC-USG6515E-URL-1YURL遠程查詢升級12個月 (適用于USG6515E)LIC-USG6515E-URL-3YURL遠程查詢升級36個月 (適用于USG6515E)LIC-USG6550E-URL-1YURL遠程查詢升級12個月 (適用于USG6550E)LIC-USG6550E-URL-3YURL遠程查詢升級36個月 (適用于USG6550E)LIC-USG6560E-URL-1YURL遠程查詢升級12個月 (適用于USG6560E)LIC-

20、USG6560E-URL-3YURL遠程查詢升級36個月 (適用于USG6560E)LIC-USG6580E-URL-1YURL遠程查詢升級12個月 (適用于USG6580E)LIC-USG6580E-URL-3YURL遠程查詢升級36個月 (適用于USG6580E)LIC-USG6515E-AV-1YAV特征庫升級12個月 (適用于USG6515E)LIC-USG6515E-AV-3YAV特征庫升級36個月 (適用于USG6515E)LIC-USG6550E-AV-1YAV特征庫升級12個月 (適用于USG6550E)LIC-USG6550E-AV-3YAV特征庫升級36個月 (適用于USG

21、6550E)AV升級服務(wù)LIC-USG6560E-AV-1YAV特征庫升級12個月 (適用于USG6560E)LIC-USG6560E-AV-3YAV特征庫升級36個月 (適用于USG6560E)LIC-USG6580E-AV-1YAV特征庫升級12個月 (適用于USG6580E)LIC-USG6580E-AV-3YAV特征庫升級36個月 (適用于USG6580E)威脅防護功能包(IPS，AV， URL，云沙箱)LIC-USG6515E-TP-1Y威脅防護功能包12個月 (適用于USG6515E)LIC-USG6515E-TP-3Y威脅防護功能包36個月 (適用于USG6515E)LIC-USG6550E-TP-1Y威脅防護功能包12個月 (適用于USG6550E)LIC-USG655