2023年7月27日发(作者：)

Secoway USG系列(V300R001)防火墙技术建议书 文档密级

Secoway USG系列(V300R001)

防火墙技术建议书

华为技术有限公司

Huawei Technologies Co., Ltd.

2015-10-12

华为机密，未经许可不得扩散 第1页, 共45页

Secoway USG系列(V300R001)防火墙技术建议书 文档密级

声 明

本文档包含的所有信息属华为技术有限公司专有。仅供××有限责任公司（以下简称“××”）使用。所有内容均为机密信息，若未事先征得深圳市华为技术服务有限公司的书面同意，××确认将不会泄露给其它公司或与此项目无关的任何个人。××需确保遵守与此有关的法律、法规和条款，来谨慎地使用这些信息。

©2012 华为技术有限公司

版权所有，保留一切权利。

文 档 信 息

资料编码

使用对象

编写部门

市场行销

产品名称

产品版本

资料版本

USG系列

V3R1

V1.0

拟 制：

审 核：

审 核：

批 准：

日 期：

日 期：

日 期：

日 期：

2012-3-8

修 订 记 录

日 期

修订版本

作 者

描 述

2015-10-12

华为机密，未经许可不得扩散 第2页, 共45页

Secoway USG系列(V300R001)防火墙技术建议书 文档密级

目录

1 概述 ................................................................................................................................... 5

1.1 网络安全 ............................................................................................................... 5

1.2 威胁管理 ............................................................................................................... 5

1.3 网络安全管理 ....................................................................................................... 6

××企业网络安全分析 ................................................................................................... 6

2.1 ××企业网络现状 ............................................................................................... 6

2.2 ××企业网络业务流分析 ................................................................................... 6

2.3 ××企业网络安全问题与分析 ........................................................................... 6

××企业网络安全需求 ................................................................................................... 7

3.1 ××企业网络安全设计原则 ............................................................................... 7

3.2 ××企业网络安全需求 ....................................................................................... 8

华为网络安全解决方案 ................................................................................................... 8

4.1 ××企业网络安全解决方案 ............................................................................... 8

4.1.1

企业内部部署统一安全网关USG系列防火墙方案 ................................ 9

4.1.2

企业出口部署USG系列防火墙方案 ...................................................... 10

4.1.3

企业网出口用户管控解决方案 ................................................................ 11

4.1.4 VPN互联解决方案 .................................................................................... 12

4.1.5

电子商务企业出口多级防护方案 ............................................................ 13

4.1.6

电子政务网安全方案 ................................................................................ 14

4.1.7

威胁防御网关方案 .................................................................................... 14

4.1.8

MPLS VPN解决方案 .................................................................................. 15

4.1.9

IPv4向IPv6网络过渡解决方案 ............................................................ 16

4.2 ××企业网络安全设备选择 ............................................................................. 17

安全解决方案特点 ......................................................................................................... 17

5.1 ××企业安全网络业务流分析 ......................................................................... 17

5.2 ××企业网络安全解决方案优点 ..................................................................... 17

华为USG系列防火墙统一安全网关 ........................................................................... 17

6.1 华为USG系列防火墙简介 ............................................................................... 17

6.2 华为USG系列防火墙功能特点 ....................................................................... 18

6.2.1 安全区域管理 ............................................................................................ 18

6.2.2 入侵防御功能 ............................................................................................ 18

6.2.3 反病毒功能 ................................................................................................ 20

6.2.4 URL过滤功能 ............................................................................................ 21

6.2.5 安全策略控制 ............................................................................................ 22

6.2.6 攻击防范功能 ............................................................................................ 23

6.2.7 ASPF深度检测功能 .................................................................................. 26

6.2.8 NAT功能 ................................................................................................... 27

6.2.9 多种NAT ALG ......................................................................................... 30

6.2.10 VPN功能 .................................................................................................. 30

6.2.11 用户管控功能 .......................................................................................... 31

6.2.12 流量管控功能 .......................................................................................... 32

华为机密，未经许可不得扩散 第3页, 共45页

2

3

4

5

6

2015-10-12

Secoway USG系列(V300R001)防火墙技术建议书 文档密级

7

6.2.13 上网行为管控功能 .................................................................................. 33

6.2.14 IPV6基本功能 ......................................................................................... 34

6.2.15 IPv6 过渡技术 ......................................................................................... 35

6.2.16 强大的GTP保护功能 ............................................................................ 37

6.2.17 虚拟防火墙 .............................................................................................. 39

6.2.18 IDS联动 ................................................................................................... 39

6.2.19 日志系统 .................................................................................................. 40

6.2.20 丰富灵活的维护管理 .............................................................................. 41

6.2.21 符合多项测试和认证要求 ...................................................................... 41

6.3 USG系列防火墙典型应用及组网 .................................................................... 42

6.3.1 安全防范组网 ............................................................................................ 42

6.3.2 地址转换组网 ............................................................................................ 42

6.3.3 双机热备份组网 ........................................................................................ 43

6.3.4 多出口负载分担和备份组网 .................................................................... 44

华为服务 ......................................................................................................................... 45

7.1 服务理念 ............................................................................................................. 45

7.2 服务内容 ............................................................................................................. 45

7.3 服务保障 ............................................................................................................. 45

2015-10-12

华为机密，未经许可不得扩散 第4页, 共45页

Secoway USG系列(V300R001)防火墙技术建议书 文档密级

1 概述

Internet的普及为社会的发展带来了巨大的推动力，但同时也产生了大量的网络安全问题，越来越受到金融、教育、电力、交通等机构以及众多企业的重视。网络安全问题主要包括两个层面：网络本身的安全问题和网络安全管理问题。随着电信网络向融合、开放、和宽带不断演进，电信网络变得庞大而又复杂了，其面临着来自多个网络的各种安全威胁，网络安全事件频频发生，主要集中在病毒、蠕虫、恶意代码，网页篡改，垃圾邮件等方面，政府网站常常成为攻击目标。传统的防火墙设备对上述威胁难以应付采用单一的安全防范技术很难行之有效。

基于统一威胁管理的UTM技术应运而生。UTM设备采用专用多核架构平台，将IPS、Anti-Virus、UTRL过滤、VPN、防火墙和上网行为管理等安全特性集成于一体，形成立体的威胁防御解决方案。

1.1 网络安全

Internet由于其开放性，使得非常容易遭受攻击。随着攻击手段的变化多样而且攻击工具更容易获取，以及基于僵尸网络DDoS攻击的出现，使得基于网络层的攻击层出不穷。主要的攻击包括：ARP Flood、ICMP Flood、IP Spoofing、UDP Flood、Synflood、Smurf 攻击、Land 攻击、超大ICMP攻击、Fragile 攻击、Ping of Death、Tear Drop、Ping Scan、Port Scan、IP 路由选项攻击、Tracert 攻击等等。

网络层攻击的目标主要有三个：带宽攻击、主机或者网络设备攻击以及入侵前的主机扫描。带宽攻击指通过大量的攻击数据包占用正常业务数据的带宽，导致网络带宽拥挤，正常业务受到影响；主机或者网络设备攻击指的是攻击者通过攻击主机或者网络设备的某个应用端口导致被攻击设备处理不过来或者瘫痪使其不能处理正常业务数据；主机扫描指的是黑客在入侵之前通过IP或者端口扫描获取网络中活动的主机信息，为下一步入侵提供必要的信息。

1.2 威胁管理

越来越复杂的威胁、持续提高的规章要求以及持续发展的应用程序，不断给企业带来新的网络安全问题。威胁越来越复杂化，并且新的应用和技术也带来了更多漏洞。给IT2015-10-12

华为机密，未经许可不得扩散 第5页, 共45页

Secoway USG系列(V300R001)防火墙技术建议书 文档密级

管理者也带来巨大的挑战。统一威胁管理平台为企业提供全面的安全解决方案，提前扼杀网络威胁。

1.3 网络安全管理

网络安全管理指的是企业对自身的网络资源进行有效的安全区域、等级划分，使得在网络安全运行的基础上，促进企业自身的信息安全管理水平，更好的保证企业正常运作。安全区域指的是在网络中拥有相同网络资源访问权限的主机集合，安全区域的划分主要依据企业内部部门的划分，例如财务部门、研发部门、市场部门分别划分为三个不同安全等级的安全区域。将一个企业进行清晰的安全区域划分，大大简化了企业的网络资源控制与管理，在此基础上，实施适合企业管理要求的安全策略管理，提高企业信息安全管理水平。

2 ××企业网络安全分析

[通过与××企业进行深入的交流，我们对其网络进行了充分的了解与分析。„„]

2.1 ××企业网络现状

[此部分主要包括两个部分(注意：要给出网络的吞吐量)：

1．××企业内部网络拓扑图，如果企业是新建网络，则提供没有安全设备的网络拓扑图，用来进行安全方案的分析。

2．××企业内部网络承载的业务，主要是内部业务以及出口网络业务]

2.2 ××企业网络业务流分析

[给出企业现网的业务流分析图，使得客户对现有网络安全问题理解的更加清晰]

2.3 ××企业网络安全问题与分析

[此部分主要包括以下几个部分(主要根据与客户的沟通以及我们自己的分析给出)：

1．××企业网络出口安全隐患：DoS攻击，端口扫描

2．××企业内部网络内部安全区域的划分问题：不同部门安全网络资源权限管理

3．××企业内部服务器保护：DMZ区域的FTP、WEB、MAIL、数据库服务器保护

4．××企业业务安全隐患：需要对不同安全区域的业务进行过滤，丰富企业管理手段

2015-10-12

华为机密，未经许可不得扩散 第6页, 共45页

Secoway USG系列(V300R001)防火墙技术建议书 文档密级

5．××企业NAT设备问题：统一安全网关是专业的NAT设备，具有良好的性能以及灵活的策略NAT功能，以及丰富的NAT ALG功能

6．××企业出差员工移动办公问题：统一安全网关提供丰富的VPN接入功能，实现内部资源的外部安全访问。

7．××企业入侵隐患：与业界多数IDS联动，实现入侵检测监控。

8．××企业NAT事后追踪：由于NAT隐藏了企业内部的网络结构，使得企业内部访问外网出现社会安全事件时，事后追踪措施变得极为重要。统一安全网关USG5300提供专用的日志服务器，二进制的NAT日志存储、查询为事后追踪提供重要的技术手段。

3 ××企业网络安全需求

[针对××企业网络安全问题与分析给出简要的描述，例如：通过深入的交流与分析，××企业网络安全需求分为四个部分：网络攻击防护、安全区域划分、NAT地址转换。]

3.1 ××企业网络安全设计原则

根据××企业对网络安全的需求以及华为公司对网络安全的积累，我们提出××企业网络安全设计必须满足以下原则：

1． 先进性原则：××企业网络中的安全设备必须采用专用的硬件平台和安全专业的软件平台保证设备本身的安全，符合业界技术的发展趋势，既体现先进性又比较成熟，并且是各个领域公认的领先产品。

2． 高可靠性：××企业网络是其信息化的基础，网络的稳定性至关重要；网络安全设备由于部署在关键节点，成为网络稳定性的重要因素。整个网络设计必须考虑到高可靠性因素。

3． 可扩展性：××企业处在发展阶段，其网络也会不断的扩充变化，要求在保证网络安全的基础上整个网络具有灵活的可扩展性，特别是对安全区域的新增以及原有安全区域扩充等要求具有良好的支持。

4． 开放兼容性：××企业的安全产品设计规范、技术指标符合国际和工业标准，支持多厂家产品，从而有效的保护投资。

2015-10-12

华为机密，未经许可不得扩散 第7页, 共45页

Secoway USG系列(V300R001)防火墙技术建议书 文档密级

5． 安全最小授权原则：××企业的安全策略管理必须遵从最小授权原则，即不同安全区域内的主机只能访问属于相应网络资源，对××企业的网络资源必须完全等到控制保护，防止未授权访问，保证××企业的信息安全。

3.2 ××企业网络安全需求

[新增统一安全网关，用以满足××企业以下需求(根据××企业网络安全问题与分析给出需求)：

1．

安全区域划分：将财务部、市场业务部、研发部、生产部、总裁办„„划分为不同的安全区域。

2．

防范网络攻击：在网络出口和不同的安全区域之间启用网络攻击防范，防止外网网络攻击和部门之间网络攻击蔓延。

3．

„„]

4 华为网络安全解决方案

4.1 ××企业网络安全解决方案

[根据对××企业的需求分析选择以下的一个方案或者进行方案综合]

2015-10-12

华为机密，未经许可不得扩散 第8页, 共45页

Secoway USG系列(V300R001)防火墙技术建议书 文档密级

4.1.1

企业内部部署统一安全网关USG系列防火墙方案

图1 华为USG系列防火墙位于企业网内部

企业网的安全防护以前采用的主要措施为：

 实现内部网络的VLAN隔离， 限制一些主机的可访问资源；

 对于重要的服务器安装基于主机的IDS软件，识别各种攻击；

现在可以在企业内部网的重要节点安装一台统一安全网关，它可以工作在透明模式也可以工作在路由模式，方便各种组网需求。统一安全网关的主要功能为：

 隔离企业内部各个部门，可以为不同部门设置不同安全级别。通过域间报文过滤功能实现各个部门之间的访问策略，也可以防范某些内部用户发起的针对其他区域内设备的各种攻击。

 保护企业内部的一些重要服务器，控制公司各个部门和公司外部对这些重要资源的访问， 防范针对这些服务器的各种攻击。

 通过统一安全网关和IDS联动，可以充分利用专用IDS软件的功能，对流经网络的报文进行详细的分析与检查，探测各种可能的异常情况和攻击行为，并通过统一安全网关进行实时的响应。

2015-10-12

华为机密，未经许可不得扩散 第9页, 共45页

Secoway USG系列(V300R001)防火墙技术建议书 文档密级

4.1.2

企业出口部署USG系列防火墙方案

图2 华为USG系列防火墙保护内部局域网的组网图

[华为USG系列防火墙可以用在企业内部网到Internet网的入口处，当然也可以用于小区、学校等局域网的出口。]

主要作用：

 对来自外部网络和内部网络的各种攻击进行防范。

可以利用IDS和华为统一安全网关的联动措施，主动更新统一安全网关的规则，主动防御。

通过华为统一安全网关的攻击防范能力，保障内网的资源安全。

 完成NAT地址转换功能。

公司内部特定的用户可以访问Internet、电子商务、网上银行等网络，有效控制了内部主机对外部资源的访问，形成内外网络之间的安全保护屏障。

外地办事处机构或可信合作伙伴能通过统一安全网关访问位于DMZ区的内部服务器主机（如WWW、FTP等服务器），但不能访问其它内部资源。

屏蔽其它外部用户对公司内部和DMZ区的任何资源的访问，从而保护内部网络免遭外来攻击。

 提供高效的日志服务功能，可以满足用户对攻击、流量监控、会话流信息等日志信息进行记录。

 统一安全网关可以工作在透明模式、路由模式，可以满足用户的组网灵活性。

2015-10-12

华为机密，未经许可不得扩散 第10页, 共45页

Secoway USG系列(V300R001)防火墙技术建议书 文档密级

 统一安全网关支持双机热备组网，提高链路的可靠性。

4.1.3

企业网出口用户管控解决方案

高级管理者，需要高效率办公，省略认证过程分支机构外网用户INTERNET办公区.出差员工来宾区网关中心数据中心服务器区

图3 华为USG系列防火墙位于企业网出口

如上图所示，是一个公司的典型组网场景，包括公司高层，普通员工，公司来宾，出差员工四类用户，不同的用户可以根据需要配置不同的认证方式：

公司高层管理者，可采用与指定IP/MAC双向绑定免认证；可以单独为公司高层管理用户配置特定的上网行为权限和带宽资源，若管理人员较多，可以创建一个管理组，将所有管理人员加入该组，直接为管理组指定上网行为权限和带宽资源；

公司来宾，可配置系统自动创建免认证方式，同时创建一个单独的来宾组，所有的来宾只能享受来宾组对应的上网行为权限和带宽资源；

公司普通员工，可采用本地或第三方密码认证。对于公司普通员工，根据实际行政结构创建对应的用户组，并将用户加入对应的组，根据实际情况为不同的用户和用户组配置对应的上网行为权限和带宽资源；

出差人员，也可采用本地或第三方密码认证，但其认证过程可在VPN隧道中进行，保证传输过程中用户信息的安全性。

2015-10-12

华为机密，未经许可不得扩散 第11页, 共45页

Secoway USG系列(V300R001)防火墙技术建议书 文档密级

4.1.4 VPN互联解决方案

图4 华为USG系列防火墙VPN互联解决方案

如上图所示： USG防火墙支持VPN互联的部署场景，为企业提供安全的隧道加密传输技术，保证数据传输的机密性、完整性和安全性。USG系列产品支持以下VPN功能，可以满足客户多种组网需求：

 支持各分支机构和总部之间的VPN互联，保证分支机构和总部传输数据的机密性。

 支持远程用户的VPN连接，远程用户可通过L2TP OVER IPSEC，或者SSL VPN的方式动态的连接入企业内部。

 支持手机终端的VPN连接，当今企业用户使用智能手机已经成为普遍现象，用户可通过IPHONEIPADAndroid操作系统的终端自带的VPN客户端和USG动态的建立VPN隧道，安全的接入企业内网。

 支持IPSEC VPN的CA证书认证功能，以及SCEP和OCSP功能，可动态下载和查看证书的有效性。

2015-10-12

华为机密，未经许可不得扩散 第12页, 共45页

Secoway USG系列(V300R001)防火墙技术建议书 文档密级

 支持单设备双链路的VPN互备功能，产品可实现动态触发VPN隧道建立功能，在双链路上行VPN的场景，可灵活触发VPN隧道的建立和拆除，满足客户单设备双链路VPN互备的场景。

 支持双设备VPN热备功能，两台防火墙做双机热备的场景很常见，USG系列防火墙不但实现了普通防火墙功能的热备，而且还实现了IPSEC VPN的热备功能，当一台主设备宕机后，另外一台备有设备无缝衔接之前的业务流量，VPN隧道无需重新建立，保证了用户数据传输的不中断需求。

4.1.5

电子商务企业出口多级防护方案

图5 华为USG系列防火墙位于支持电子商务的企业网出口

如上图所示： 企业网支持WEB等电子商务，外部Internet对于服务器的访问可以使用多台统一安全网关进行多级安全处理。 报文的流向可以通过策略路由进行控制。

2015-10-12

华为机密，未经许可不得扩散 第13页, 共45页

Secoway USG系列(V300R001)防火墙技术建议书 文档密级

4.1.6

电子政务网安全方案

图6 华为USG系列防火墙用于电子政务网

4.1.7

威胁防御网关方案

2015-10-12

华为机密，未经许可不得扩散 第14页, 共45页

Secoway USG系列(V300R001)防火墙技术建议书 文档密级

4.1.8

MPLS VPN解决方案

MPLS 无缝地集成了IP 路由技术的灵活性和ATM 标签交换技术的简捷性。MPLS 在无连接的IP 网络中增加了面向连接的控制平面，为IP 网络增添了管理和运营的手段。USG系列防火墙系列业务路由网关支持MPLS VPN功能，既可以做PE设备，也可以做P设备。

 支持VRF的路由表多实例

 支持CE以多种方式、多种接口接入PE，如Ethernet、POS、ATM、VLAN等方式

 支持L2TP方式接入VPN

 支持IPSEC方式接入VPN

 支持灵活的VPN组网，包括跨域、“运营商至运营商”等

 基于标准协议，能全面与其他主流厂家互通

 支持CE－PE间静态路由或动态路由协议

2015-10-12

华为机密，未经许可不得扩散 第15页, 共45页

Secoway USG系列(V300R001)防火墙技术建议书 文档密级

4.1.9

IPv4向IPv6网络过渡解决方案

目前还存在大量的IPV4网络，随着IPV6的部署，很长一段时间是IPV4与IPV6共存的过渡阶段，USG系列防火墙系列业务路由网关支持多种IPV4向IPV6网络过渡解决方案，主要包括双栈技术、隧道技术以及IPV4/IPV6协议转换技术。

 双栈技术：USG系列防火墙系列业务路由网关与IPV4节点通讯时使用IPV4协议栈，与IPV6节点通讯时使用IPV6协议栈；USG系列防火墙系列业务路由网关具有三种工作模式：只运行IPv6协议，表现为IPv6节点；只运行IPv4协议，表现为IPv4节点；双栈模式，同时打开IPv6和IPv4协议。

 隧道技术：提供两个IPV6站点之间通过IPV4网络实现通讯连接，以及两个IPV4站点之间通过IPV6网络实现通讯连接的技术；USG系列防火墙系列业务路由网关支持多种隧道技术，包括IPv6 Over IPv4的GRE隧道、IPv6手工配置隧道、6over4隧道、IPv4兼容地址自动隧道以及6to4自动隧道。

IPV4/IPV6协议转换技术：提供了IPV4网络与IPV6网络之间的互访技术。USG系列防火墙系列业务路由网关支持NAT-PT（Network Address Translation-Protocol Translation）技术，负责在IPv4报文与IPv6报文之间进行翻译转换，从而达到只支持IPv6协议的主机与只支持IPv4协议的主机能进行互联互通的目的。

2015-10-12

华为机密，未经许可不得扩散 第16页, 共45页

Secoway USG系列(V300R001)防火墙技术建议书 文档密级

4.2 ××企业网络安全设备选择

[根据具体的情况选择部署USG系列防火墙的网络位置]

5 安全解决方案特点

[根据选用的方案进行具体的分析]

5.1 ××企业安全网络业务流分析

[(分析清楚网络中的业务流图，客户对我们的安全方案理解更加清晰)]

5.2 ××企业网络安全解决方案优点

[针对××企业原有网络业务流分析、具体方案的选择、××企业安全网络业务流分析给出解决方案的优点：

1．

网络拓展性优点；(针对××企业具体的网络情况展开)

2．

高可靠性优点；(针对××企业具体的网络情况展开)

3．

高安全性特点；(针对××企业具体的网络情况展开)

4．

高性价比特点；(针对××企业具体的网络情况展开)

]

6 华为USG系列防火墙统一安全网关

6.1 华为USG系列防火墙简介

USG系列防火墙是华为公司推出的具有防火墙功能的统一安全网关。

USG系列防火墙基于华为专业的多核硬件平台以及强大的VRP软件平台，不仅具备优异的攻击防范处理能力，而且能够提供完备的地址转换(NAT)功能。为了更好地满足企业的实际需要，USG系列防火墙还支持丰富的多媒体协议和路由协议，组网方式灵活多样，是大中企业理想的网络安全防护设备。

2015-10-12

华为机密，未经许可不得扩散 第17页, 共45页

Secoway USG系列(V300R001)防火墙技术建议书 文档密级

6.2 华为USG系列防火墙功能特点

6.2.1 安全区域管理

 基于安全区域的隔离

华为USG系列防火墙统一安全网关的安全隔离是基于安全区域，这样的设计模型为用户在实际使用统一安全网关的时候提供了十分良好的管理模型。华为统一安全网关提供了基于安全区域的隔离模型，每个安全区域可以按照网络的实际组网加入任意的接口，因此统一安全网关的安全管理模型是不会受到网络拓扑的影响。

 可管理的安全区域

业界很多防火墙一般都提供受信安全区域（trust）、非受信安全区域（untrust）、非军事化区域（DMZ）三个独立的安全区域，这样的保护模型可以适应大部分的组网要求，但是在一些安全策略要求较高的场合，这样的保护模型还是不能满足要求。

华为统一安全网关默认提供四个安全区域：trust、untrust、DMZ、local，在提供三个最常用的安全逻辑区域的基础上还新增加了本地逻辑安全区域，本地安全区域可以定义到统一安全网关本身的报文，保证了统一安全网关本身的安全防护。例如，通过对本地安全区域的报文控制，可以很容易的防止不安全区域对统一安全网关本身的Telnet、ftp等访问。

华为统一安全网关还提供自定义安全区域，可以最大定义16个安全区域，每个安全区域都可以加入独立的接口。

 基于安全区域的策略控制

华为统一安全网关支持根据不同的安全区域之间的访问设计不同的安全策略组（ACL访问控制列表），每条安全策略组支持若干个独立的规则。这样的规则体系使得统一安全网关的策略十分容易管理，方便用户对各种逻辑安全区域的独立管理。

基于安全区域的策略控制模型，可以清晰的分别定义从trust到untrust、从DMZ到untrust之间的各种访问，这样的策略控制模型使得华为统一安全网关的网络隔离功能具有很好的管理能力。

6.2.2 入侵防御功能

 概述

2015-10-12

华为机密，未经许可不得扩散 第18页, 共45页

Secoway USG系列(V300R001)防火墙技术建议书 文档密级

入侵防御系统是针对应用层威胁的网络安全设备，能够检测及防御各种网络威胁，如蠕虫，木马软件，间谍软件，广告插件等，实现对网络应用的安全防护功能。

 检测类型

IPS的检测方式主要为特征匹配（或者叫误用检测abuse detect），也就是通过分析系统的漏洞或已有攻击事件的字段特征制定特征规则，同时对应用层协议解析，关键信息提取，深度模式匹配等方法全面防范各种漏洞攻击，如针对操作系统的漏洞攻击，针对数据库服务器的溢出攻击，针对邮件服务器、文件服务器的漏洞攻击或常用应用软件如IE浏览器的漏洞攻击等，可实现对蠕虫、木马、间谍软件等攻击的有效检测及防御。

因为IPS主要检测的是应用数据流，有效识别数据流的真实类型将提高IPS的检测效率及准确度， USG系列防火墙的IPS能够识别运行于非知名端口的常用数据流类型，同时记录五元组信息，该功能也为其它安全模块提供了是否进行相关安全检测的判断依据。

 签名库升级

IPS规则库的支持在线升级，保证系统规则库地及时更新，确保入侵防御的及时有效。用户可自定义IPS规则，根据具体网络的具体安全需求定义IPS规则，在第一时间保证网络安全。

 响应方式

支持对入侵事件进行日志记录，丢包以及阻断等响应方式，通过及时有效的响应来阻止网络入侵行为，最大限度的保证受保护的网络及信息安全。同时通过记录及有效存储相关的日志信息为日后的安全审计提供有效的依据，也为安全管理人员制定及调整安全策略提供了参考。

日志信息将被及时发送到eLog 日志服务器，所有告警日志都支持历史查看及按一定条件进行搜索分类等。

 灵活的策略配置

传统的IPS 策略基本是不区分所保护对象，对所有流量进行检测，引入的一个问题是经常对一些不需要检测的流量检测，性能低下，且可能误报。 USG系列防火墙的IPS特性可以让用户定制细致的IPS策略，应用在特定的流量上，一方面提高了性能，另一方面减少了误报。

2015-10-12

华为机密，未经许可不得扩散 第19页, 共45页

Secoway USG系列(V300R001)防火墙技术建议书 文档密级

使用签名集，对具有相同属性的签名划分到同一个签名集，统一应用，统一配置响应动作。

使用高优先级的单条签名的覆盖配置，对某个签名集中的特殊签名使用特殊的响应动作和使能状态。

引用模板，使配置快速简单。模板中根据签名的严重情况，可信度等对签名进行了一些分类，相应的分类都有建议的响应方式。

6.2.3 反病毒功能

防病毒功能支持对 HTTP、POP3 及 SMTP 协议传输的数据进行病毒扫描，当用户通过网页请求数据下载时，如果被检测到下载文件中包含了病毒数据，将向用户推送病毒告警页面；而对于邮件协议 POP3、SMTP 协议当检测到邮件附件里是病毒文件则支持对附件的删除操作，同时在邮件中打上标签告知用户相关信息。

支持对10种以上的压缩类型文件的病毒扫描，能够对多重压缩，最多20层压缩文件的病毒扫描，用户可对扫描的压缩层数进行设置。而有些病毒为了逃避检测会应用各种加壳工具对病毒程序进行加壳，以躲避病毒扫描， USG系列防火墙的反病毒模块支持对病毒文件地脱壳操作。

支持文件类型的智能识别，常规的文件识别一般是通过文件的后缀名进行识别，而有些入侵者会故意更改文件后缀名以扰乱有效的安全检测，智能识别功能可识别文件真实类型。用户可设置根据文件后缀名决定是否进入病毒扫描模块。

 灵活的策略配置

USG系列防火墙的AV特性允许用户定制多个AV策略并应用在特定数据流上；每个AV

策略内可使能对某个特定协议数据的扫描，可设置不同的扫描参数。

可指定的协议参数有：使能开关，响应动作，指定扫描文件大小，文件类型，页面推送/宣告的内容。

 病毒库升级

在线自动定时升级：在线升级为用户提供了方便及时的升级方式。对于能直接连接到Internet上的设备，可通过设置在线升级网站定时进行病毒库的升级。同时为用户提供了可2015-10-12

华为机密，未经许可不得扩散 第20页, 共45页

Secoway USG系列(V300R001)防火墙技术建议书 文档密级

控升级机制，当设备被设置为直接升级时，将在指定的时间点自动下载升级包并且及时应用。当设置为手动进行升级时，将在指定时间点下载升级包，并需要管理员确定之后才进行升级。

实时升级：在线定时升级方式为一天的某个时间点设备自动连接升级网站进行在线升级，而实时升级则是在管理员的操作下，随时连接升级网站，检测是否有新的升级包可进行在线的升级操作。可应对紧急升级包发布时进行及时的升级。

本地升级：对于无法连接到升级网站的设备，可通过其它途径把升级包下载到设备上，然后进行本地升级操作。

版本回退：如果发现当前版本误报率较高或检测率过低或者其它原因时，都可以把当前版本回退到上一个版本。

6.2.4 URL过滤功能

功能介绍

URL 过滤功能可实现用户自定义的URL分类及与URL分类服务器联动实现URL分类功能。

对于用户自定义的URL分类包括本地URL黑白名单及其它分类，如体育、新闻等。而与URL分类服务器联动则可以将服务器上的所有分类都同步到本地上，支持的分类数量取决于服务器。

用户可设置策略对URL 进行过滤。策略包括了URL类别、用户组（IP）及时间段的绑定，以及响应方式。响应包括了放行或阻断及支持URL访问的相关日志记录。

 检测流程

对于URL过滤功能，当用户发送页面请求时，设备截取用户发送的URL，解析URL地址及参数，可设置对URL进行标准化处理，匹配URL地址。

首先是匹配本地URL白名单列表，一旦命中则直接放行，如果没有命中白名单则进一步匹配本地黑名单，一旦命中则直接阻断。

在URL地址没有命中黑白名单的情况下需要识别URL所属分类。先是匹配用户自定义的URL分类，如果匹配到用户自定义分类则查询及执行相关的访问策略。在匹配不到本地URL分类的情况下，需要匹配服务器上的URL分类，同样在匹配相关分类的前提下查询及执行相关的访问策略。

2015-10-12

华为机密，未经许可不得扩散 第21页, 共45页

Secoway USG系列(V300R001)防火墙技术建议书 文档密级

如果无法确认URL的所属分类，则采用用户设置的默认策略，放行或阻断，并记录相关访问日志。

 用户自定义分类

支持用户自定URL分类，且用户自定义分类级别优先于服务器提供的分类，这样用户可根据自身实际网络应用情况制定策略，对于常用的URL网页地址进行分类及制定相应的访问策略，从而使得整个网络的URL访问策略更加清晰及实用。

同时，通过把URL分类与用户组和时间段绑定，使得访问策略更加精确，也提高了访问策略的灵活度，避免了策略一刀切的情况，使得要么都可访问要么都无法访问的情况，以至降低了网络的资源利用率。

 应用场景

对于企事业单位，实现URL分类及管理功能，可有效执行网络应用管理条例，避免访问政府禁止的网站，如宣传反动或暴力、色情的网站；阻止访问单位限制的网站，如娱乐、购物站点；同时，通过服务器对网页的分类功能，可避免用户访问了存在安全威胁的网站，如包含有木马程序的网页或钓鱼网站，保障内网的安全。

6.2.5 安全策略控制

 灵活的规则设定

华为统一安全网关可以支持灵活的规则设定，可以根据报文的特点方便的设定各种规则。

 可以依据报文的协议号设定规则

 可以依据报文的源地址、目的地址设定规则

 可以使用通配符设定地址的范围，用来指定某个地址段的主机

 针对UDP和TCP还可以指定源端口、目的端口

 针对目的端口、源端口可以采用大于、等于、介入、不等于等方式设定端口的范围

 针对ICMP协议，可以自由的指定ICMP报文的类型和Code号，可以通过规则针对任何一种ICMP报文

 可以针对IP报文中的TOS域设定灵活的规则

2015-10-12

华为机密，未经许可不得扩散 第22页, 共45页

Secoway USG系列(V300R001)防火墙技术建议书 文档密级

 可以将多个报文的地址形成一个组，作为地址本，在定义规则时可以按组来设定规则，这样规则的配置灵活方便

 高速策略匹配

通常，防火墙的安全策略都是由很多规则构成的，因此在进行策略匹配的时候会影响防火墙的转发效率。

华为统一安全网关采用了ACL匹配的专门算法，这样就保证了在很多规则的情况下，统一安全网关依然可以保持高效的转发效率，系统在进行上万条ACL规则的查找时，性能基本不受影响，处理速度保持不变，从而确保了ACL查找的高速度，提高了系统整体性能。

 MAC地址和IP地址绑定

华为统一安全网关根据用户配置，将MAC和IP地址进行绑定从而形成关联关系。对于从该IP地址发来的报文，如果MAC地址不匹配则被丢弃；对于发往该IP地址的报文都被强制发送到指定的MAC地址处，从而有效避免IP地址假冒的攻击行为。

 动态策略管理－黑名单技术

华为统一安全网关可以将某些可疑报文的源IP地址记录在黑名单列表中，系统通过丢弃黑名单用户的所有报文，从而有效避免某些恶意主机的攻击行为。

统一安全网关提供如下几种黑名单列表维护方式：

 手工添加黑名单记录，实现主动防御

 与攻击防范结合自动添加黑名单记录，起到智能保护

 可以根据具体情况设定"白名单"，使得即使存在黑名单中的主机，依然可以使用部分的网络资源。例如，即使某台主机被加入到了黑名单，但是依然可以允许这个用户上网。

黑名单技术是一种动态策略技术，属于响应体系。统一安全网关在动态运行的过程中，会发现一些攻击行为，通过黑名单动态响应系统，可以抑制这些非法用户的部分流量，起到保护整个系统的作用。

6.2.6 攻击防范功能

 优秀的Dos防御能力的必要条件

2015-10-12

华为机密，未经许可不得扩散 第23页, 共45页

Secoway USG系列(V300R001)防火墙技术建议书 文档密级

Internet上的DOS攻击已经成为很常见的攻击行为，Dos（Deny of service）是一类攻击方式的统称，其攻击的基本原理就是通过发送各种垃圾报文导致网络的阻塞、服务的瘫痪。Dos攻击方式其利用IP无连接的特点，可以制造各种不同的攻击手段，而且攻击方式非常简单，普通到一台PC、一个发包工具就可以制造Dos攻击，因此Dos攻击方式在Internet上非常流行，对企业网、甚至骨干网都造成了非常严重的影响，引发很大的网络事故，因此优秀的Dos攻击防范功能是统一安全网关的必备功能。

业界几乎所有的防火墙设备都宣传具有Dos攻击防御功能，但是那么为什么Dos攻击导致网络瘫痪的攻击事件为什么还是层出不穷呢？一个优秀的Dos攻击防御体系，应该具有如下最基本的特征：

 防御手段的健全和丰富，因为Dos攻击手段种类比较多，因此必须具有丰富的防御手段，才可以保证真正的抵御Dos攻击。

 优秀的处理性能，因为Dos攻击伴随这一个重要特征就是网络流量突然增大，如果防火墙本身不具有优秀的处理能力，则防火墙在处理Dos攻击的同时本身就成为了网络的瓶颈，根本就不可能抵御Dos攻击。因为Dos攻击的一个重要目的就是使得网络瘫痪，网络上的关键设备点发生了阻塞，则Dos攻击的目的就达到了。这里同时需要提醒大家注意的是，防火墙设备不但要考察转发性能，同时一定要考察对业务的处理能力。在进行Dos攻击防御的过程中，防火墙的每秒新建能力就成为保证网络通畅的一个重要指标，Dos攻击的过程中，攻击者都是在随机变化源地址因此所有的连接都是新建连接。

 准确的识别攻击能力。很多防火墙在处理Dos攻击的时候，仅仅能保证防火墙后端的流量趋于网络可以接受的范围，但是不能保证准确的识别攻击报文。这样处理虽然可以保证网络流量的正常，可以保证服务器不会瘫痪，但是这样处理还是会阻挡正常用户上网、访问等的报文，因此虽然网络层面是正常的，但是真正的服务还是被拒绝了，因此还是不能达到真正的Dos攻击防御的目的。

华为统一安全网关产品，对上述各个方面都做了详尽的考虑，因此Dos防御的综合性能、功能等方面在同类防火墙产品中都具有很强的优势。

 丰富的Dos防御手段

华为统一安全网关产品根据数据报文的特征，以及Dos攻击的不同手段，可以针对ICMP

Flood、SYN Flood、UDP Flood等各种Dos攻击手段进行Dos攻击的防御。

2015-10-12

华为机密，未经许可不得扩散 第24页, 共45页

Secoway USG系列(V300R001)防火墙技术建议书 文档密级

同时，华为统一安全网关可以主动识别出数十种常见的攻击种类，很多种攻击种类造成的后果就是Dos形式的攻击，华为统一安全网关可以主动发现并隔断这些非法攻击，消除了内部网络遭受攻击的可能。通过对各种攻击的防御手段，利用华为统一安全网关可以组建一个安全的防御体系，保证网络不遭受Dos攻击的侵害。

针对不同的攻击特点，华为统一安全网关采用了一些不同的防御技术，这样保证在抵御Dos攻击的时候更有针对性，使得设备的抵御特性更加完整。

华为统一安全网关不但在攻击手段上面进行了详细考虑，同时也在使用方式和网络适应性方面做了周全的考虑，攻击防范既可以针对一台特定的主机也可以针对一个安全区域的所有主机进行保护。

 高级的TCP代理防御体系

华为统一安全网关支持使用TCP代理方式来防止SYN Flood类的Dos攻击，这种攻击可以很快的消耗服务器资源，导致服务器崩溃。在一般的Dos防范技术中，在攻击发生的时候不能准确的识别哪些是合法用户，哪些是攻击报文。华为统一安全网关采用了TCP透明代理的方式实现了对这种攻击的防范，统一安全网关通过精确的验证可以准确的发现攻击报文，对正常报文依然可以通过，允许这些报文访问统一安全网关资源，而攻击报文则被丢弃。

有些攻击是建立一个完整的TCP连接用来消耗服务器的资源。华为统一安全网关可以实现增强代理的功能，在客户端与统一安全网关建立连接以后察看客户是否有数据报文发送，如果有数据报文发送，再与服务器端建立连接否则丢弃客户端的报文。这样可以保证即使采用完成TCP三次握手的方式消耗服务器资源，也可以被统一安全网关发现。

 扫描攻击防范

扫描窥探攻击是利用ping扫描（包括ICMP和TCP）来标识网络上存活着的系统，从而准确的定位潜在的目标；利用TCP和UDP端口扫描，就能检测出操作系统监听的潜在服务。攻击者通过扫描窥探能大致了解目标系统提供的服务种类和潜在的安全漏洞，为进一步侵入系统做好准备。

华为统一安全网关通过比较分析，可以灵活高效地检测出这类扫描窥探报文，从而预先避免后续的攻击行为。这些扫描窥探包括：地址扫描、端口扫描、IP源站选路选项、IP路由记录选项、利用tracert工具窥探网络结构等。

 畸形报文防范

2015-10-12

华为机密，未经许可不得扩散 第25页, 共45页

Secoway USG系列(V300R001)防火墙技术建议书 文档密级

华为统一安全网关可以提供针对各种畸形报文的防范，主要包括 Land攻击、Smurf攻击、Fraggle攻击、WinNuke攻击、ICMP重定向或不可达报文、TCP报文标志位（如ACK、SYN、FIN等）不合法、Ping of Death攻击、Tear Drop攻击等，可以自动的检测出这些攻击报文。

6.2.7 ASPF深度检测功能

华为统一安全网关提供了ASPF技术，ASPF是一种高级通信过滤技术，它检查应用层协议信息并且监控基于连接的应用层协议状态。华为统一安全网关依靠这种基于报文内容的访问控制，能够对应用层的一部分攻击加以检测和防范，包括对于FTP命令字、SMTP命令的检测、HTTP的Java、ActiveX控件等的检测。

ASPF技术是在基于会话管理的技术基础上提供深层检测技术的，ASPF技术利用会话管理维护的信息来维护会话的访问规则，通过ASPF技术在会话管理中保存着不能由静态访问列表规则保存的会话状态信息。会话状态信息可以用于智能的允许/禁止报文。当一个会话终止时，会话管理会将该会话的相关信息删除，统一安全网关中的会话也将被关闭。

针对TCP连接，ASPF可以智能的检测“TCP的三次握手的信息”和“拆除连接的握手信息”，通过检测握手、拆连接的状态检测，保证一个正常的TCP访问可以正常进行，而对于非完整的TCP握手连接的报文会直接拒绝。

在普通的场合，一般使用的是基于ACL的IP包过滤技术，这种技术比较简单，但缺乏一定的灵活性，在很多复杂应用的场合普通包过滤是无法完成对网络的安全保护的。例如对于类似于应用FTP协议进行通信的多通道协议来说，配置统一安全网关则是非常困难的。FTP包含一个预知端口的TCP控制通道和一个动态协商的TCP数据通道，对于一般的包过滤防火墙来说，配置安全策略时无法预知数据通道的端口号，因此无法确定数据通道的入口。这样就无法配置准确的安全策略。ASPF技术则解决了这一问题，它检测IP层之上的应用层报文信息，并动态地根据报文的内容创建和删除临时的规则，以允许相关的报文通过。

ASPF使得统一安全网关能够支持一个控制通道上存在多个数据连接的协议，同时还可以在应用非常复杂的情况下方便的制订各种安全的策略。许多应用协议，如Telnet 、SMTP使用标准的或已约定的端口地址来进行通信，但大部分多媒体应用协议（如H.323、SIP）及FTP、net meeting等协议使用约定的端口来初始化一个控制连接，再动态的选择端口用于2015-10-12

华为机密，未经许可不得扩散 第26页, 共45页

Secoway USG系列(V300R001)防火墙技术建议书 文档密级

数据传输。端口的选择是不可预测的，其中的某些应用甚至可能要同时用到多个端口。ASPF监听每一个应用的每一个连接所使用的端口，打开合适的通道让会话中的数据能够出入统一安全网关，在会话结束时关闭该通道，从而能够对使用动态端口的应用实施有效的访问控制。

当报文通过统一安全网关时，ASPF将对报文与指定的访问规则进行比较，如果规则允许，报文将接受检查，否则报文直接被丢弃。如果该报文是用于打开一个新的控制或数据连接，ASPF将动态的修改规则，对于回来的报文只有属于一个已经存在对应的有效规则，才会被允许通过。在处理回来的报文时，状态表也会随时更新。当一个连接被关闭或超时后，该连接对应的状态表将被删除，确保未经授权的报文不能随便通过。

6.2.8 NAT功能

 优异的地址转换性能

华为统一安全网关采用基于连接的方式提供地址转换特性，针对每条连接维护一个Session表项，并且在处理的过程中采用优化的算法，保证了地址转换特性的优异性能。在启用NAT的时候，性能下降的非常少，这样就保证了在通过华为统一安全网关提供NAT业务的时候不会成为网络的瓶颈。

 灵活的地址转换管理

华为统一安全网关提供了基于安全区域的管理功能，利用“安全区域”的概念把统一安全网关管理的网络按照功能区域、安全要求等因素从逻辑上划分为几个逻辑子网，每个逻辑子网称为一个“安全区域”。默认情况，统一安全网关提供了4个默认的安全区域：trust、untrust、DMZ、local，一般情况下，untrust区域是连接Internet的，trust区域是连接内部局域网的，DMZ区域是连接一些内部服务器的，例如放置邮件服务器、FTP服务器等。统一安全网关的地址转换功能是按照安全区域之间的访问进行配置的，这样就可以非常方便的进行网络管理。例如，对于内部服务器的网络如果有足够的IP地址，可以直接使用公网IP地址，在DMZ->untrust区域间不使用地址转换，而内部局域网使用私网地址，在trust->untrust区域间使用地址转换。

同时地址转换可以和ACL配合使用，利用ACL来控制地址转换的范围，因此即使在同一个网络区域，有公网、私网混合组网的情况，统一安全网关依然可以方便的设定地址转换的规则。

2015-10-12

华为机密，未经许可不得扩散 第27页, 共45页

Secoway USG系列(V300R001)防火墙技术建议书 文档密级

 强大的内部服务器支持

内部服务器就是可以使得外部网络的用户可以访问到内部网络，比如可以对外提供Web服务器。很多统一安全网关实现内部服务器的时候是提供一个“静态映射”，将一个私有地址和一个公有地址绑定，这个方式的最大弱点就是浪费合法的IP地址。

例如有一个内部局域网的主机IP地址是10.110.0.0/24，而该局域网利用专线连接到Internet上，拥有从ISP申请来的合法的IP地址：202.38.160.1。如果该局域网想设置一台WEB服务器，IP地址为10.110.0.1，配置一个静态的映射，将地址202.38.160.1和地址10.110.0.1绑定，Internet如果想访问这台WEB服务器，使用202.38.160.1访问，就会实际访问到主机10.110.0.1，这样虽然可以提供内部服务器了，但是也使得内部网络的其他主机不能访问Internet了，因为该局域网只有一个合法的IP地址。该IP地址被内部服务器占用，因此其他主机就不能访问Internet了，同时该局域网不能再提供任何对外服务了（比如想提供一个DNS或者FTP服务器都是不可能的了）。

静态绑定方式存在如下弱点：

 这个方式严重浪费IP地址，地址转换技术的最大优势就是节省IP地址，但是通过这个静态绑定的方式，使得IP地址不能被充分利用，虽然解决了地址转换技术中“反向访问”的问题，但是同时带来了浪费地址的问题。

 存在比较大的安全隐患，一般对外提供的服务器都是单一用途，例如WEB服务器就是为了给外部提供Http服务，对于这个机器来说，只需要提供80端口的访问就可以了。但是使用了静态绑定的方式提供WEB内部服务器的时候，存在这样的问题：外部网络的用户不但可以访问到内部服务器的80端口，而且可以访问任何的端口。这样就存在安全隐患。例如某个服务器可以通过Telnet进行维护，但是这种维护只能是内部网络本身的机器才可以进行，如果使用了静态绑定的地址转换方式，则外部网络的主机也可以Telnet到这个服务器上了。

 提供不是标准端口的服务器存在困难。例如用户想提供2个WEB服务器，其中一个WEB服务器不想使用80端口，而想使用8080端口，使用静态绑定的方式也很难实现。

华为统一安全网关的地址转换功能可以对内部服务器的支持到达端口级。允许用户按照自己的需要配置内部服务器的端口、协议、提供给外部的端口、协议。对于上面的例子使用的地址转换，不仅可以保证202.38.160.1做为WEB服务器的地址，同时可以做为FTP服务2015-10-12

华为机密，未经许可不得扩散 第28页, 共45页

Secoway USG系列(V300R001)防火墙技术建议书 文档密级

器的地址，同时可以使用202.38.160.1:8080提供第二台WEB服务器，还可以满足内部用户同时使用202.38.160.1的地址进行访问Internet。

华为统一安全网关提供了基于端口的内部服务器映射，可以使用端口来提供服务，同时也可以提供地址的一对一映射。同时，每台统一安全网关可以提供多达256个内部服务器映射，而且不会影响访问的效率。

 强大的业务支撑

地址转换比较难处理的情况是报文载荷中含有地址信息的情况，这种情况的代表协议是FTP。华为统一安全网关的地址转换现在已经非常完善的支持了ICMP重定向、不可达、FTP（支持被动主动两种模式）、H323、NetMeeting、PPTP、L2tp、DNS、NetBIOS、SIP、QQ、MSN等特殊协议。依靠现在支持的各种业务，统一安全网关已经可以提供非常好的业务支撑，可以满足绝大部分的Internet业务，使得地址转换不会成为网络业务的瓶颈。

为了更好的适应网络业务的发展，华为统一安全网关还提供了一种“用户自定义”的ALG功能，对于某些特殊业务应用，通过命令行进行配置就可以支持这种业务的ALG，通过这样的方式更可以保证华为统一安全网关对业务的支撑，达到快速响应的效果。

另外华为统一安全网关在结构上面，充分考虑了地址转换需要支持特殊协议的问题。从结构上保证可以非常快速的支持各种特殊协议，并且对报文加密的情况也做了考虑。因此在应用程序网关方面，统一安全网关在程序设计、结构方面做了很大的努力和考虑，在针对新出现的各种特殊协议的开发方面上，华为统一安全网关可以保证会比其他设备提供更快、更好的反应，可以快速的响应支持用户的需求，支持多变的网络业务。

 无数目限制的PAT方式转换

华为统一安全网关可以提供PAT（Port Address Translation）方式的地址转换，PAT方式的地址转换使用了TCP/UDP的端口信息，这样在进行地址转换的时候使用的是“地址＋端口”来区分内部局域网的主机对外发起的不同连接。这样使用PAT方式的地址转换技术，内部局域网的很多用户可以共享一个IP地址上网了。

因为TCP/UDP的端口范围是1~65535，一般1～1024端口范围是系统保留端口，因此从理论上计算，通过PAT方式的地址转换一个合法的IP地址可以提供大约60000个并发连接。但是华为统一安全网关采用专利技术提供了一种“无限制端口”连接的算法，可以保证使用一个公网IP地址可以提供无限个并发连接，通过这种技术就突破了PAT方式上网的65535个端口的限制，更大的满足了地址转换方式的实际使用，更加节省了公网的IP地址。

2015-10-12

华为机密，未经许可不得扩散 第29页, 共45页

Secoway USG系列(V300R001)防火墙技术建议书 文档密级

6.2.9 多种NAT ALG

支持FTP协议的NAT ALG。

支持NBT（NetBIOS over TCP）协议的NAT ALG。

支持ICMP(Internet Control Message Protocol)协议的NAT ALG。

支持H.323（包括T.120、RAS、Q.931和H.245等）协议的NAT ALG。

支持SIP(Session Initiation Protocol)协议的NAT ALG。

支持RTSP(Real-Time Streaming Protocol)协议的NAT ALG。

支持HWCC(Huawei Conference Control Protocol)协议的NAT

ALG。

支持ILS(Internet Locator Service)协议的NAT ALG。

支持PPTP（Point to Point Tunneling Protocol）协议的NAT ALG。

支持对腾讯公司的QQ聊天会话的NAT ALG。

支持Microsoft公司提供的MSN聊天会话的NAT ALG。

NAT采用“注册”方式支持多种NAT ALG（Application Level Gateway），包括：























通过“注册”方式支持特殊协议，使软件有良好的扩充性，无需更改软件构架，很容易支持新的协议。

6.2.10 VPN功能

 IP VPN特色服务

USG系列防火墙可以通过DES、3DES提供IPSec（IP Security）安全机制，为通讯双方提供访问控制、无连接完整性、数据来源认证、反重放、加密以及对数据流分类加密等服务。通过AH（Authentication Header）和ESP（Encapsulating Security Payload）这两个安全协议来实现对IP数据报或上层协议的保护，支持隧道封装模式。

USG系列防火墙不仅支持IPSec VPN（Virtual Private Network）应用，为用户提供高可靠的安全传输通道，而且还能结合L2TP（Layer 2 Tunneling Protocol）和GRE（Generic

Routing Encapsulation）构建多种VPN应用：

 IPSEC VPN

 L2TP VPN

 GRE VPN

 L2TP over IPSec VPN

 GRE over IPSec VPN

2015-10-12

华为机密，未经许可不得扩散 第30页, 共45页

Secoway USG系列(V300R001)防火墙技术建议书 文档密级

利用防火墙构建Intranet VPN，通过公用网络互连企业各个分支机构，作为传统专线网络或其它企业网的扩展及替代形式；构建Access VPN，为SOHO（Small Office / Home

Office）等小型用户搭建通过PSTN（Public Switched Telephone Network）/ISDN（Integrated

Services Digital Network）网络访问公司总部资源的安全通路；构建Extranet VPN将企业网络延伸至合作伙伴与客户处，使不同企业间通过公网进行安全、私有的通讯。

 VPN 管理

IPSEC VPN Manager管理组件是华为IP VPN整体解决方案中的一个部件，其主要功能就是简化VPN业务的管理，大大增强了IP VPN的管理、维护和运营的方便。主要集成与华为VSM（统一安全管理）系统。

VPN Manager管理组件主要有如下两个模块构成：

 网络管理框架Network Management Framework（NMF）：实现设备自动发现、拓扑管理、告警管理、性能管理、网管用户管理等基础功能，集成了LAN、WAN设备面板，是实现VPN业务特性的基础组件。

 网络配置中心Network Configuration Center（NCC）：实现设备配置文件、设备软件的备份、恢复等功能。

VPN Manager主要提供了：用户自定义拓扑、告警管理、性能监视、服务器资源监视、设备软件管理、设备配置文件管理、VPN业务监视、VPN业务部署等服务。可以满足VPN的管理要求，简化了VPN的开通难度。

6.2.11 用户管控功能

USG系列防火墙支持用户管控功能，包括用户组织管理，用户认证策略以及用户策略控制三大部分：

用户组织管理，为了给不同的用户或部门进行差异化管理，分配不同的权限，需要对组织结构进行规划和管理。用户管控功能支持创建树型的组织结构，这种结构和通常的行政架构比较类似，非常方便规划和管理。并且可以支持一个用户同时属于多个用户组。



支持直接通过设备本身的web或命令行方式创建用户和用户组，将用户分配到指定的用户组中；

支持通过设备提供的CSV模板方式，导入用户的组织结构。

支持从企业已部署的LDAP、AD服务器上导入用户组织结构。

支持未注册的新用户信息的导入。

支持将企业组织结构信息以数据库加密形式导出做备份。

华为机密，未经许可不得扩散 第31页, 共45页









2015-10-12

Secoway USG系列(V300R001)防火墙技术建议书 文档密级

用户身份识别是用户差异化策略实施的基础，用户管控模块提供了多种认证方式，用于满足不同类型用户、不同场景下的认证需求。



免认证：一种场景是，对于公司高层管理者，既希望高效办公，省略认证过程，又对用户身份的安全性要求比较高。对于这类用户，可以将其与指定的IP/MAC配置双向绑定和免认证。设备允许这类用户免认证，且只能通过指定IP或MAC地址登录；另外一种场景是，对于公司的临时访问者，其只是临时到访该公司，需要借用该公司网络上网，他们没有属于自己的账号，无法进行认证，但设备要对他们的网络权限进行控制。用户管控模块对于这类用户，支持自动为其创建对应的临时用户，并使用其IP地址作为该用户的用户名。

密码认证：包括两种认证方式，一种是支持WEB重定向认证，员工通过WEB浏览器使用HTTP协议经设备访问业务时，设备若发现该用户还没有认证，则自动将页面重定向到设备认证页面，触发用户进行认证；第二种是事前认证，员工需要在WEB浏览器中输入访问认证页面URL，即可进行认证。支持通过HTTP和HTTPS两种协议认证，若用户要求认证过程的高安全性，可以选择HTTPS方式认证。对于这两种密码认证方式除了支持设备本地对用户名和密码进行认证，还支持设备与LDAP，Radius，AD多种认证服务器进行联动认证，认证服务器会返回用户认证信息给设备。

单点登录：如果当前网络中已经部署了AD服务器身份认证系统，则设备可以通过单点登录功能，使得设备与AD服务器联动，识别出已在AD服务器上认证通过的用户，从而避免用户上网时再次要求输入用户名/密码，设备对用户的认证过程透明。





用户策略管控功能，是对上述认证过的用户，或者免认证的用户。当这些用户在访问真正的业务时，防火墙会针对不同的用户配置对应的控制策略，包括在线用户管控，以及用户流量转发策略管控。



在线用户管控：包括可以查看在线用户的状态，包括登录时间、登录时长、登录IP地址等信息；可以通过用户冻结功能，来限制某些用户在某段时间内的所有上网行为；当管理员觉察到某些用户不可信时，可以通过注销指定在线用户功能，强制将在线用户“踢下线”。

策略管控：包括支持基于用户的转发策略；支持基于用户的限流和限连接数策略；支持基于用户的上网行为管控策略；支持基于用户的智能选路策略等



6.2.12 流量管控功能

USG系列防火墙支持多种流量管控策略：



支持基于IP地址（地址段）的流量控制：IP（段）的流量控制是指根据报文源地址、源端口、目的地址、目的端口、协议这五元组信息匹配限流策略，如果匹配上了则进行相应的限流，否则不做限流。策略里面可以配置地址或地址的集合，协议或协议的集合。

2015-10-12

华为机密，未经许可不得扩散 第32页, 共45页



Secoway USG系列(V300R001)防火墙技术建议书 文档密级

基于DPI应用的流量控制：DPI(Deep Packet Inspection)作为一种较新的包检测技术，除了能够检测P2P、IM，还可以识别包括VOIP（skype、H.323、SIP、RTP、Net2Phone、Vonage），Game（Diablo、Tantra），web_Video（PPlive、QQlive、SopCast），Stock，Attack等20多种大类，以及上千种应用协议，该DPI库支持在线升级，保证DPI库的实时更新。用户根据DPI应用类型分别采取不同的限流策略，包括允许通过、禁止通过、带宽限速、带宽保证、闲时复用、连接数限制等。

基于用户（用户组）的流量控制：在流量识别对应用户身份的基础上，防火墙只需要针对用户（组）信息配置限流策略，而不再需要根据复杂多变的IP网段来进行限流配置，这样不同的用户（组）身份可配置不同的流量控制策略，既简化了策略配置，又适应了企业复杂多变的网段规划，方便管理员的管理。

支持对流量进行双重控制：双重控制是指可对流量同时进行两种方式的限流。包括基于每IP的限流和基于整体带宽限流的两级控制。

支持对流量进行保证带宽控制：是指可以为每个IP地址设置最小保证能够通过的流量，在保证了这些最小带宽之余，当总体带宽有空余时，则每个IP地址能够通过大于保证带宽值，而小于最大带宽值的流量。对于大于保证带宽的报文，转发还是丢弃是按照报文到达时带宽是否超过总体带宽来决定，超过时则丢弃，否则转发。

支持对流量进行连接数控制：连接数的限制是指对并发连接数进行限制，现网应用P2P等占用了很多连接资源，对连接数进行限制，从而达到对流量进行限制目的。包括基于每IP并发连接数限制，基于整体并发连接数限制等。

支持对流量进行选路控制：一些多出口的网络部署当中，需要对不同的流量进行选路控制。比如：要求P2P识别的流量从A接口发送出去，VOIP的流量从B接口发送出去；或者一开始所有流量都从主接口发送出去，当主接口的流量超过配置的流量阈值时则启动备份链路，使得超过主接口阈值的流量能从B接口发送出去。











6.2.13 上网行为管控功能

上网行为管控功能，运用了内容过滤技术，内容过滤结合预分类技术和实时分析技术，对于网络访问进行控制。顾名思义，预先分类就是事先对网站进行分类，在过滤时直接查询网站所属的分类即可，响应速度快，性能高，预分类库内容支持实时动态更新。预分类技术可以解决大部分的web访问安全问题。同时，对于web及其他网络协议（如FTP、SMTP、POP3等）进行深度解析，实时分析用户的行为以及传输的内容，根据组织的需要，对于无用的、有信息安全风险的行为进行控制，阻止对于组织有害的网络访问行为的发生。两种技术的完美结合，极大提升了内容检测的检测效率和准确率。



支持URL分类技术：URL过滤业务通过识别并屏蔽对恶意网站的访问能够在一定程度上减少木马，以及各种各样的恶意网页的传播，为用户提供一个更安全的网络环境。对于钓鱼网站，URL过滤功能更是其先天的克星。。

深度的协议分析、解码，多层次、细粒度的行为控制：通过对HTTP、FTP、SMTP、POP3、webmail的分析，区分上传、下载、收邮件、发送邮件等行为，以及发送文件的名称、类型、大小等信息，为组织提供不同层次、不同粒度的控制。组织可以根据自身的需要，选择网络访问的完全禁止，或者是允许浏览、下载，不允许外发华为机密，未经许可不得扩散 第33页, 共45页



2015-10-12

Secoway USG系列(V300R001)防火墙技术建议书 文档密级

信息；或者进一步允许外发少量普通文本信息，却禁止发送word文档、源代码文件等可能涉及核心机密信息的文件；通过不同层次、粒度的访问控制，保障组织的网络安全、信息安全。



一体化内容过滤：信息、文件是组织最终需要控制的内容，网络访问可以通过各种方法、各种协议来传递这些信息，通过对于关键字、文件名、文件类型等的抽象、公共化，方便用户的配置。如，管理者希望禁止用户外发任何office文档、压缩包类文件，则用户只需要配置一个文件类型对象组，然后在HTTP、FTP、邮件等相关协议中引用即可，不需要为每个协议进行重复配置。

领先的webmail签名：可根据用户需求为指定的Webmail品牌定制签名，使Webmail内容过滤更具针对性；能精确识别Webmail服务，包括发送邮件、上传附件、发送贺卡、发送明星片、设置自动回复等，为邮件审计和事后追查提供有力依据；签名文件和Webmail服务器保持同步，当Webmail服务器软件升级时，仅需升级Webmail签名文件，就能对最新的Webmail品牌的做内容过滤。



上网行为管控功能，主要是对用户进行上网行为分析，根据企业管理员制定的规则，对于不符合规范的上网行为，进行控制和审计。主要包括下述一些功能：



URL过滤功能：包括URL自定义过滤功能、URL热点库过滤功能、URL远程查询过滤功能、URL本地黑、白名单过滤功能以及所有这些针对URL的审计功能等。

搜索引擎关键字过滤和审计功能：支持Google、百度、Bing、雅虎四大主流搜索引擎，可对其搜索的关键字进行过滤和审计。

WEB内容过滤和审计功能：支持对访问的WEB网页内容进行过滤；支持禁止上传和发表内容（论坛、微博等）；支持对上传和下载文件进行控制，包括文件名、文件类型、文件大小

邮件内容过滤和审计功能：支持对邮件主题、正文、附件名称关键字过滤；支持对发送邮件和接收邮件的发件人及收件人分别进行控制；支持对邮件附件做控制，包括是否允许发送和接收邮件、发送和接收邮件的个数及大小控制等；支持防垃圾邮件功能，包括自定义黑白名单，预定义Symantec提供的RBL服务器

FTP内容过滤和审计功能：支持不允许上传、下载、删除文件操作；支持对上传和下载的文件进行控制，包括文件大小、文件名称、文件类型；支持FTP防躲避技术，避免用户修改违规文件名和文件类型后再尝试下载，或者在上传文件后重新修改成违规文件名和文件类型的操作









6.2.14 IPV6基本功能

 IPv6邻居发现协议

邻居发现协议（Neighbor Discovery Protocol）是IPv6协议的一个基本的组成部分，它实现了在IPv4中的地址解析协议（ARP）、控制报文协议（ICMP）中的路由器发现部分、2015-10-12

华为机密，未经许可不得扩散 第34页, 共45页

Secoway USG系列(V300R001)防火墙技术建议书 文档密级

重定向协议的所有功能，并具有邻居不可达检测机制。邻居发现协议实现了路由器和前缀发现、地址解析、下一跳地址确定、重定向、邻居不可达检测、重复地址检测等功能。

 IPv6 路径MTU发现协议

IPv4中也定义了路径MTU发现协议，不过是可选支持的。在IPv6中为了简化报文处理流程、提高处理效率，限定IPv6路由器不处理分片，分片只在源节点在需要的时候进行。因此IPv6的路径MTU发现协议是必须实现的。IPv6使用路径MTU发现得到源和目的节点之间路径的最大MTU。源节点在发送报文前进行路径MTU发现处理。如果路径上的MTU不足以传输整个报文，则源节点分片后重新发送。

路径MTU发现协议使IPv6节点能够动态发现并调整以适合给定数据路径上的MTU变化。在IPv4中最小链路MTU值是68字节（推荐最小值为576字节），而在IPv6中最小MTU值为1280字节（推荐最小值为1500）。IPv6基本头支持的最大报文长度是64,000字节。更大的报文（jumbo grams）通过逐跳扩展头选项处理。

MTU=1600MTU=1500MTU=1400MTU=1300源节点1500字节的报文ICMP差错报文：报文超大，应使用最大MTU 14001400字节的报文ICMP差错报文：报文超大，应使用最大MTU 13001300字节的报文收到报文目的节点

图2-12 IPv6 Path MTU 流程示意图

6.2.15 IPv6 过渡技术

IPv4向IPv6的过渡阶段所采用的过渡技术主要包括：

 IPv6/IPv4双栈技术：双栈节点与IPv4节点通讯时使用IPv4协议栈，与IPv6节点通讯时使用IPv6协议栈。

2015-10-12

华为机密，未经许可不得扩散 第35页, 共45页

Secoway USG系列(V300R001)防火墙技术建议书 文档密级

 隧道技术：提供了两个IPv6站点之间通过IPv4网络实现通讯连接，以及两个IPv4站点之间通过IPv6网络实现通讯连接的技术。

 IPv4/IPv6协议转换技术：提供了IPv4网络与IPv6网络之间的互访技术。

 IPv6/IPv4 双协议栈

双栈技术是IPv4向IPv6过渡的一种有效的技术。网络中的节点同时支持IPv4和IPv6协议栈，源节点根据目的节点的不同选用不同的协议栈，而网络设备根据报文的协议类型选择不同的协议栈进行处理和转发。

双栈可以在一个单一的设备上实现，也可以是一个双栈骨干网。对于双栈骨干网，其中的所有设备必须同时支持IPv4/IPv6协议栈，连接双栈网络的接口必须同时配置IPv4地址和IPv6地址。

IPv6/IPv4应用层TCP/UDPIPv4IPv6链路层

图3-1 双栈节点示意图

双栈节点具有三种工作模式：

只运行IPv6协议，表现为IPv6节点；

 只运行IPv4协议，表现为IPv4节点；

 双栈模式，同时打开IPv6和IPv4协议。

双栈技术是IPv4向IPv6过渡的基础，所有其它的过渡技术都以此为基础。

 隧道技术

隧道（tunnel）是指一种协议封装到另外一种协议中的技术。隧道技术只要求隧道两端（也就是两种协议边界的相交点）的设备支持两种协议。IPv6穿越IPv4隧道技术利用现有的IPv4网络为互相独立的IPv6网络提供连通性，IPv6报文被封装在IPv4报文中穿越IPv4网络，实现IPv6报文的透明传输。

这种技术的优点是，不用把所有的设备都升级为双栈，只要求IPv4/IPv6网络的边缘设备实现双栈和隧道功能。除边缘节点外，其它节点不需要支持双协议栈。可以大大利用现有的IPv4网络投资。但是隧道技术不能实现IPv4主机与IPv6主机的直接通信。

2015-10-12

华为机密，未经许可不得扩散 第36页, 共45页

Secoway USG系列(V300R001)防火墙技术建议书 文档密级

IPv6网络边缘设备收到IPv6网络的IPv6报文后，将IPv6报文封装在IPv4报文中，成为一个IPv4报文，在IPv4网络中传输到目的IPv6网络的边缘设备后，解封装去掉外部IPv4头，恢复原来的IPv6报文，进行IPv6转发。

IPv6 HeadIPv6 DataIPv6 HeadIPv6 DataIPv6

NetworkE1000E-XIPv4 NetworkE1000E-XtunnelIPv6

NetworkIPv4 HeadIPv6 HeadIPv6 Data

图3-2 IPv6 穿越IPv4 隧道

USG系列防火墙系列业务路由网关支持多种用于IPv6穿越IPv4网络的隧道技术

 IPv6手工配置隧道

 IPv4兼容地址自动隧道

 6to4自动隧道

 IPv6 over IPv4 GRE隧道

 隧道代理技术

 6over4隧道

 6PE隧道

 IPv6与IPv4互通技术

IPv6 穿越IPv4技术是为了实现IPv6节点之间的互通，而IPv6/IPv4互通技术是为了实现不同协议之间的互通。也就是使IPv6主机可以访问IPv4主机，IPv4主机可以访问IPv6主机。

USG系列防火墙系列业务路由网关支持NAT-PT，用于IPv6与IPv4互通。

6.2.16 强大的GTP保护功能

USG系列防火墙提出GTP解决方案，用于与华为公司的GSN产品进行联合组网，保障GPRS(General Packet Radio Service)网络上的数据传输安全。USG系列防火墙与目前华为公司的SGSN以及GGSN产品保持一致，基于UDP协议实现GTP功能。USG系列防火墙在GPRS网络中，可以部署在Gn、Gp和Gi接口进行GTP安全防范功能：

 同时支持R97 GTP（GTPv0），R99 GTP（GTPv1）以及 GTP'协议以及报文分析控制能力。

2015-10-12

华为机密，未经许可不得扩散 第37页, 共45页

Secoway USG系列(V300R001)防火墙技术建议书 文档密级

 可以工作在路由模式和透明模式两种工作模式下工作。

 支持GTP报文按特定规则过滤

1. 普通ACL过滤，域间对GTP报文基本过滤。

2. GTP报文长度过滤，由用户设定合法消息包长范围。

3. GTP消息类型过滤，检查GTP 协议版本以控制允许或拒绝那哪种 GTP 版本 v0

or v1；用户可以指定过滤某种类型的消息包。

4. APN过滤，检查GTP消息确定某漫游用户是否允许接入某特定网络 eg.

。

5. IMSI前缀过滤，用于保证仅有漫游协定的网络和本网络间的数据流允许通过，判断方法为根据GTP消息中的MCC+MNC。

6. GTP-in-GTP报文过滤。

7. 合法消息包中必选IE的设定,必选区域设定。

 流量限制功能，控制GTP信令面和数据面的流量速度以保护防火墙内的GSN节点不受到 Dos 过量数据包攻击。



GTP计费溢出攻击防范

 GTP SEQUENCE 的确认。

 支持分片缓存功能，主要需要缓存ip分片报文后重组，用于解析GTP消息IE的完整性。

 GTP隧道的限制，可以通过防火墙控制GTP隧道建立的数量。

 GTP状态检测，需要能够检测GTP隧道的创建、更新、删除等，并维护相应的GTP隧道信息。

 log日志功能，包括隧道相关报文的日志，过滤报文的日志，命中过滤条件的日志等；并支持多种日志格式的输出，还能根据以下过滤条件 a. GSN IP地址，b. TID，c. 消息类型，d. IMSI，e. MSISDN，f. APN，g. 其他扩展字段可由客户自行配置对日志输出进行过滤。

 统计防火墙对GTP报文的处理情况，包括：通过的总包数、丢弃报文数、当前连接总数等。按照PDP上下文创建统计任务用于统计上下行T-PDU的包数量和会话持续时间。

 GTP隧道的双机热备功能，要保证主备切换后隧道不中断。

2015-10-12

华为机密，未经许可不得扩散 第38页, 共45页

Secoway USG系列(V300R001)防火墙技术建议书 文档密级

6.2.17 虚拟防火墙

华为公司针对小型私有网络的特点，提出多实例解决方案。即将一台USG系列防火墙从逻辑上划分为多台虚拟防火墙，分别为多个小型私有网络提供独立的安全保障。对于网络运营商，使用USG系列防火墙即可向外出租网络安全保障服务。



支持虚拟防火墙的分级管理。

支持用户资源分配虚拟化，可在不同的虚拟防火墙下划分不同的用户管理资源。

资源查看虚拟化，可在不同的虚拟防火墙下查看各个虚拟防火墙的资源。

安全策略虚拟化，可在不同的虚拟防火墙下制定不同的安全策略，包括转发策略、限流策略等。

UTM虚拟化，支持在不同的虚拟防火墙下制定不同的UTM策略，包括AV、IPS、URL、WEB内容过滤、邮件内容过滤、FTP内容过滤能。

日志查看虚拟化，可在不同的虚拟防火墙下进行不同的日志审计。











6.2.18 IDS联动

 灵活的组网模型

华为统一安全网关除了自身提供强劲的攻击防范能力外，还能够和专业的IDS（Intrusion

Detective System）设备联合组网，即IDS设备外置。由于IDS设备包含非常完备的攻击行为信息，因此联合组网将充分发挥IDS设备高效、全面的安全保障能力。

所谓IDS联动，指IDS设备能自动侦听整个网络中是否存在恶意攻击、入侵或其他安全隐患行为，通过下发指令的方式通知统一安全网关，由统一安全网关对攻击报文进行丢弃或其它处理。采用IDS联动方式进行攻击防范，入侵检测和攻击处理两个过程有效分离，充分发挥了各设备的优势，改善了系统性能。

 高可靠的主动防御模型

通过和IDS设备联动，统一安全网关可以提供一种高可靠的主动防御模型。通过这种主动防御的模型，提供了高可靠的安全解决方案。

用户先配置好基本的静态安全策略，通过IDS设备可以动态发现安全隐患，通过统一安全网关设备修改安全策略，起到实时、动态的修改防御策略，保证了整网的安全。

 安全灵活的联动接口

2015-10-12

华为机密，未经许可不得扩散 第39页, 共45页

Secoway USG系列(V300R001)防火墙技术建议书 文档密级

华为统一安全网关提供灵活的联动接口协议，可以和很多IDS设备互通，方便地支持各种IDS设备和统一安全网关联合工作。

6.2.19 日志系统

 日志服务器

为了集中性地接收并存储统一安全网关、IDS等网络安全设备的日志，华为公司推出了专门的“日志服务器”软件，为用户提供便捷的日志浏览和查询功能，并对日志进行分析。日志服务器软件按照功能分为前台管理、后台进程两部分。前台管理提供数据库配置、日志相关配置、日志分类查询等操作；后台进程包括日志收集进程、监听进程两种。日志服务器软件可以自定义接收日志类型，提供日志存储、多种日志查询和导出、日志备份。

 两种日志输出方式

华为统一安全网关不仅能通过文本方式输出SYSLOG日志；而且还针对流经统一安全网关的数据流量大和日志信息丰富等特点，创建基于流状态的信息表，并通过二进制方式输出日志。

和SYSLOG日志相比，二进制日志更适合传输日志信息量大的应用，要求较高的网络传输速度。

 多种日志信息

华为统一安全网关提供完整、统一的日志信息描述，日志类型包括：

 NAT日志和ASPF流日志：日志内容中包含一个完整流的源地址、源端口、目的地址、目的端口等信息，及流的开始和结束时间、流的状态信息等。对于使用NAT功能的流还标识了地址转换之后的地址和端口信息。

 攻击防范日志：当发生大量攻击时，华为统一安全网关利用队列机制对统一安全网关支持的攻击防范特性提供日志告警信息，通过SYSLOG方式输出告警，告警信息包括攻击来源（源地址）和攻击种类等。

 流量监控日志：华为统一安全网关根据安全域、IP地址等参数进行流量监控，判断速率或连接数目是否达到上限或下限值，当达到上限时触发告警并记录日志，从而有效监控流量；当达到下限时，也触发告警，指示系统恢复正常。

2015-10-12

华为机密，未经许可不得扩散 第40页, 共45页

Secoway USG系列(V300R001)防火墙技术建议书 文档密级

 黑名单日志：华为统一安全网关对于在检测中发现的非法用户，自动将该用户的源IP地址加入到黑名单中，并产生一条黑名单日志，该日志记录主机地址、加入原因等信息。

 多种统计信息：记录流统计信息，了解统一安全网关运行状况。这些流统计信息包括：总的连接数目、当前连接及半连接数目、最高峰值及丢弃报文数目。

记录各种攻击报文的数目，了解攻击事件的发生情况。

6.2.20 丰富灵活的维护管理



丰富的维护管理手段

USG系列防火墙通过如下方式进行本地或远程维护：







支持通过Console口进行本地配置和维护。

支持通过Telnet方式进行本地或远程维护。

支持SSH（Secure Shell）维护管理方式，实现在不能保证安全的网络上提供安全信息保障和强大认证功能，以避免受到IP地址欺诈、明文密码截取等攻击。



基于SNMP的终端系统管理

USG系列防火墙支持SNMP（Simple Network Management Protocol）（V1/V2c/V3）协议和Client/Server体系结构，接受NMS（Network Management System）网管站的管理，如接受华为公司网管平台iManager N2000和Quidway的管理。



GUI配置和管理

USG系列防火墙提供基于GUI（Graphic User Interface）的管理界面，为用户提供友好的配置和管理界面。在图形化界面中，可以配置安全区域、ACL、NAT、ASPF、攻击防范、黑名单和各种统计参数。

6.2.21 符合多项测试和认证要求

USG系列防火墙还按照中国、亚太、欧洲等国家和地区的国际标准和国家标准设计，满足UL（Underwriter Laboratories Inc.）、CE(Communate Europpene)和EMC（Electromagnetic

Compatibility）、FCC-Part15、安规等硬件认证及入网需求。

2015-10-12

华为机密，未经许可不得扩散 第41页, 共45页

Secoway USG系列(V300R001)防火墙技术建议书 文档密级

6.3 USG系列防火墙典型应用及组网

6.3.1 安全防范组网

USG系列防火墙保护内部局域网的组网图



在网络入口处部署USG系列防火墙，对来自外部网络和内部网络的各种攻击进行防范。



在公司内部网络的关键位置部署IDS入侵检测系统设备，识别黑客的攻击行为，并由日志主机记录详细的攻击日志。



目前可以采用的部署的方式包括：利用设备的镜像端口、LAN Switch与防火墙设备联动防范各种攻击。



利用IDS和USG系列防火墙的联动措施，主动更新USG系列防火墙的规则，主动防御。



通过USG系列防火墙强大的Dos防御能力，保证内部网的资源主机可以得到最充分的保护。



USG系列防火墙可以工作在透明模式、路由模式，可以满足用户的组网灵活性。

6.3.2 地址转换组网

USG系列防火墙与基于策略的NAT功能结合，利用防火墙的安全过滤功能在NAT应用上建立更加安全的网络环境，增强抵御“黑客”攻击、禁止非法访问的能力。

2015-10-12

华为机密，未经许可不得扩散 第42页, 共45页

Secoway USG系列(V300R001)防火墙技术建议书 文档密级

USG系列防火墙提供NAT功能



公司内部特定的用户可以访问Internet、电子商务、网上银行等网络，有效控制了内部主机对外部资源的访问，形成内外网络之间的安全保护屏障。



外地办事处机构或可信合作伙伴能通过防火墙访问位于DMZ区的内部服务器主机（如WWW、FTP等服务器），但不能访问其它内部资源。



屏蔽其它外部用户对公司内部和DMZ区的任何资源的访问，从而保护内部网络免遭外来攻击。



USG系列防火墙支持高安全域->低安全域以及低安全域->高安全域的双向NAT转换和NAT ALG。



高效的日志服务功能，可以满足用户对NAT日志进行记录。

6.3.3 双机热备份组网

USG系列防火墙提供双机热备份，确保用户数据流不会因为主、备防火墙倒换而中断。

2015-10-12

华为机密，未经许可不得扩散 第43页, 共45页

Secoway USG系列(V300R001)防火墙技术建议书 文档密级

USG系列防火墙双机热备份



公司总部的两台USG系列防火墙形成一个热备份组，其中一台设备作为主设备承担防火墙工作，另一台作为备份设备，提供ACL、ASPF、流量监控、NAT转换等安全防范。



USG系列防火墙之间彼此形成互连。

内部网络LAN Switch设备、外部网络路由器分别与热备份组中的每台USG系列防火墙相连，形成网状连接。



USG系列防火墙路由模式双机热备方案支持来回路径不一致，这样支持更为灵活的组网和配置方式。

6.3.4 多出口负载分担和备份组网

USG系列防火墙提供去往多个ISP的出口路由，并实现负载分担和备份。

USG系列防火墙提供多出口负载分担和备份



USG系列防火墙作为NAT设备，能灵活地根据五元组信息实现策略NAT转换，从而2015-10-12

华为机密，未经许可不得扩散 第44页, 共45页

Secoway USG系列(V300R001)防火墙技术建议书 文档密级

满足宽带网络多ISP出口NAT转换需求，即提供功能灵活的高速NAT网关。



基于等价路由、路由策略技术进行流分类，实现多ISP出口流量的负载分担和互为备份。

7 华为服务

7.1 服务理念

1) 实现客户满意

树立以客户为中心的工作作风，强化服务意识和服务技能，以优质服务切实保障网络安全运行质量，赢得客户满意。

2) 追求服务领先

不断完善服务内容，追求服务的专业化、标准化和多元化。注重主动服务和个性化服务，塑造优质服务品牌，实现业界领先。

7.2 服务内容

序号

1

2、

服务清单

服务实施前准备工作

现场服务实施

所需配合

需要向客户了解网络现状，网络安全现状

随工人员

文档输出

服务实施申请报告

服务实施总结报告

测试报告

培训总结报告

3、

4、

验证测试阶段

现场培训工作

随工人员

培训场地、人员组织

7.3 服务保障

华为公司项目实施保障分为三级保障体系：办事处、公司技术支持部、研发体系。

2015-10-12

华为机密，未经许可不得扩散 第45页, 共45页