华为下一代USG系列统一安全网关技术建议书
? 向Internet上的RBL服务器实时查询邮件服务器是否属于垃圾邮件服务器。RBL服务
器可以提供完整、丰富、不断更新的已知垃圾邮件服务器清单。
? 根据邮件的发件人、主题与正文内容中出现的关键字对邮件进行过滤,实现对未知
垃圾邮件的基于内容的防护。
6.2.3 灵活的用户管理
随着应用协议的发展,IP地址已经不能代表网络使用者的真实身份,并且因此带来诸多安全隐患。通过基于用户的管理,可以有效解决这些问题。在网络发展之初,IP地址是一台主机在网络中的唯一标识,防火墙产品也都是基于IP地址进行流量控制。但是由于移动办公、无线办公以及远程办公等办公形式的出现,企业主机的IP地址难以受到集中管理。加上IP地址是以明文形式存储在报文中,极易窃取和篡改,所以通过仿冒IP地址形式进行的网络欺骗也日益增多。华为下一代USG系列防火墙所采用的基于用户部署安全措施的机制解决了上述问题。主机在接入网络时,首先需要输入用户名和密码,设备认证通过后才允许其接入网络。用户名和密码真正代表该主机当前使用者的真实身份,设备基于用户配置各种策略,就可以使资源授权、安全防护、流量管理等措施的部署更加精确。
华为下一代USG系列防火墙提供了用户信息的存储和管理、用户认证、权限控制与流量管理的一系列解决方案:
? 用户信息的存储和管理(用户名、密码等)
?
支持在USG上创建本地用户和用户组,支持树状的组织结构管理,支持组嵌套,满足大部分企业的组织结构需求。
?
支持在第三方认证服务器上管理用户,设备与其进行同步或导入。支持的认证服务器包括AD、RADIUS、LDAP、HWTACACS、SecurID、TSM。
? 用户认证
?
支持本地认证。即在设备上创建和管理的用户,由USG推送认证页面至用户的浏览器,由设备对其进行认证。
?
支持代理认证。即在第三方认证服务器上创建和管理用户。USG作为代理设备转发用户的认证请求,并获取用户是否认证成功的结果。为了使USG可以对这些用户部署策略,需要将用户名及其组织结构从服务器导入到USG中。
2017-3-23
华为机密,未经许可不得扩散 第36页, 共45页
?
华为下一代USG系列统一安全网关技术建议书
支持与AD服务器进行实时同步。当用户已通过AD服务器的认证时,设备可以直接从AD服务器同步到该用户已经认证通过的结果,就不再对其进行认证。
?
支持对使用VPN隧道接入内网的用户,根据接入方式的不同选择是否进行二次认证。
? 权限控制与流量管理
支持对本地创建和从服务器导入的用户部署以下策略:
? ? ? ?
安全策略:控制网络访问权限和进行内容安全防护。
带宽策略:控制用户的带宽、连接数占用,调整用户流量转发优先级。 策略路由:控制用户流量的转发出口。 审计策略:对用户网络行为进行合法审计。
6.2.4 精细的流量管理
网络业务在飞速发展,但是网络带宽不可能无限扩展。所以必要时管理员需要对流量的带宽占用进管理,保证高优先级的网络业务,降低低优先级的网络业务的带宽占用。
目前网络管理员在管理网络带宽时经常遇到以下问题:
? P2P流量在网络中建立了大量连接,占用了绝大部分网络带宽。 ? 由于遭受DDoS攻击,普通主机无法正常访问企业所提供的服务。 ? 无法为些特殊业务保证稳定带宽或连接数。
? 超负荷的业务流量导致设备运行效率低下,影响网络的体验。
针对以上问题,华为下一代USG系列防火墙提供的流量管理技术可以实现以下功能: ? 基于IP地址、用户、应用、时间分配带宽和连接数,降低P2P流量的带宽占用,
只给特定用户开放P2P的下载权限。
? 基于安全区域或接口限定最大带宽,即使发生DDoS攻击,也可以保证内网服务器
和设备本身不会因为流量过大而性能下降甚至瘫痪。
? 通过给不同的应用分配不同的保证带宽和最大带宽,实现带宽的合理分配,保证特
殊业务的需求。华为下一代USG系列防火墙强大的应用识别能力可以实现精细化的带宽管理。
2017-3-23
华为机密,未经许可不得扩散
第37页, 共45页
华为下一代USG系列统一安全网关技术建议书
华为下一代USG系列防火墙提供了灵活的带宽分配方式,通过引入带宽策略和带宽通道,每个带宽通道代表一个带宽/连接数范围,每个带宽策略可以给一类流量分配一个带宽通道,从而实现以下分配方式:
? 多个带宽策略共享带宽通道,带宽策略中的各条流量通过抢占的方式使用带宽通道
的带宽/连接数资源,使得网络资源得到充分利用。同时还可以限制其中每个IP或用户的最大带宽,既可以保证全局流量不拥塞,也可以保证单台主机不会因为其他主机占用带宽过多导致无法上网。
? 一个带宽策略独享带宽通道。通常用于保证特殊业务或主机的流量带宽不受其他流
量的影响,使高优先级业务可以正常运行。
6.2.5 领先的IPV6支持
华为下一代USG系列防火墙对下一代IP网络技术IPv6进行了全面支持,可以满足多种IPv6组网模式,有效保护IPv6网络的安全。IPv6(Internet Protocol Version 6)是新版本的网络层协议,它是Internet工程任务组(IETF)设计的一套规范。IPv6和IPv4之间最显著的区别就是IP地址的长度从32位升为128位。IPV6可以较为彻底的解决IP地址缺乏问题。同时,使用IPv6后,网络中路由设备的路由表项将会变少,可以提高路由设备转发报文的速率。在IPv6网络的搭建中,主要涉及以下两类IPv6技术:
? IPV6主机之间的通信技术,又被称为IPv6基础技术。
? 在IPV4网络逐渐向IPv6网络演进的过程中,IPv6主机和IPv4主机之间的通信技
术,又被称为IPv6过渡技术。
(1)IPv6基础技术
? IPv6地址:
? ? ? ?
支持IPv4和IPv6双协议栈,
支持对IPv6报文的报文头进行解析,根据其中的IPv6地址进行报文转发。 支持IPv6地址的手工配置和自动配置,支持IPv6邻居发现。 支持ICMPv6、DNSv6、DHCPv6、PPPoEv6等配套技术。
? IPv6路由:
? ? 2017-3-23
支持IPv6的静态路由、策略路由、路由策略,用于路由表的灵活调整。 支持RIPng动态路由协议。
华为机密,未经许可不得扩散
第38页, 共45页
? ? ?
华为下一代USG系列统一安全网关技术建议书
支持OSPFv3动态路由协议 支持BGP4+动态路由协议
支持IS-IS动态路由协议的IPv6功能
(2)IPv6过渡技术
IPv4向IPv6的过渡阶段所采用的过渡技术主要包括:
? IPv6 over IPv4隧道:IPv6 over IPv4 隧道技术可以使两个被IPv4网络隔离的IPv6
网络进行正常通信。在IPv6发展的前期,IPv6网络较少,往往不能直接相连,还需要通过现有的IPv4网络进行通信。所以通过IPv6和IPv4的网络边界设备上建立IPv6 over IPv4隧道,使得IPv6报文可以跨越IPv4网络传输。
? IPv4 over IPv6隧道:IPv4 over IPv6 隧道技术可以使两个被IPv6网络隔离的IPv4
网络进行正常通信。在IPv6发展的后期,IPv6网络将属于主要的网络形式,仅存的少数IPv4就会被IPv6网络隔离。所以通过IPv6和IPv4的网络边界设备上建立IPv4 over IPv6隧道,使得IPv4报文可以跨越IPv6网络传输。
? NAT64:当IPv6网络和IPv4网络共存的时候,存在IPv6主机和IPv4主机互访的
需求。通过NAT64技术,可以对报文中的IPv4地址和IPv6地址进行相互转换。比如将IPv6主机发往IPv4主机的报文的源地址和目的地址转换为指定的IPv4地址,使得该报文可以在IPv4网络中正常传输,再将IPv4主机回复报文的源地址和目的地址转换为指定的IPv6地址,使IPv6主机可以正常接收,以此来完成两者之间的通信。
除了全面支持IPv6网络的组建技术外,还提供了IPv6网络的安全功能。USG支持基于IPv6地址部署安全策略,进行IPv6网络的安全防护。可以基于IPv6地址对网络主机的报文进行包过滤和内容安全的检测处理,所能实现的功能和达到的防护效果与IPv4一致
6.2.6 多样的VPN接入方式
? IP VPN特色服务
华为下一代USG系列防火墙可以通过DES、3DES提供IPSec(IP Security)安全机制,为通讯双方提供访问控制、无连接完整性、数据来源认证、反重放、加密以及对数据流
2017-3-23
华为机密,未经许可不得扩散 第39页, 共45页
华为下一代USG系列统一安全网关技术建议书
分类加密等服务。通过AH(Authentication Header)和ESP(Encapsulating Security Payload)这两个安全协议来实现对IP数据报或上层协议的保护,支持隧道封装模式。
华为下一代USG系列防火墙不仅支持IPSec VPN(Virtual Private Network)应用,为用户提供高可靠的安全传输通道,而且还能结合L2TP(Layer 2 Tunneling Protocol)和GRE(Generic Routing Encapsulation)构建多种VPN应用:
? IPSEC VPN ? L2TP VPN ? GRE VPN
? L2TP over IPSec VPN ? GRE over IPSec VPN
利用防火墙构建Intranet VPN,通过公用网络互连企业各个分支机构,作为传统专线网络或其它企业网的扩展及替代形式;构建Access VPN,为SOHO(Small Office / Home Office)等小型用户搭建通过PSTN(Public Switched Telephone Network)/ISDN(Integrated Services Digital Network)网络访问公司总部资源的安全通路;构建Extranet VPN将企业网络延伸至合作伙伴与客户处,使不同企业间通过公网进行安全、私有的通讯。
华为下一代USG系列防火墙支持以下VPN功能,可以满足客户多种组网需求: ? 支持各分支机构和总部之间的VPN互联,保证分支机构和总部传输数据的机密性。 ? 支持远程用户的VPN连接,远程用户可通过L2TP OVER IPSEC,或者SSL VPN
的方式动态的连接入企业内部。
? 支持手机终端的VPN连接,当今企业用户使用智能手机已经成为普遍现象,用户
可通过IPHONE\\IPAD\\Android操作系统的终端自带的VPN客户端和USG动态的建立VPN隧道,安全的接入企业内网。
? 支持IPSEC VPN的CA证书认证功能,以及SCEP和OCSP功能,可动态下载和
查看证书的有效性。
? 支持单设备双链路的VPN互备功能,产品可实现动态触发VPN隧道建立功能,在
双链路上行VPN的场景,可灵活触发VPN隧道的建立和拆除,满足客户单设备双链路VPN互备的场景。
2017-3-23
华为机密,未经许可不得扩散 第40页, 共45页
