华为Eudemon1000E-N下一代防火墙.pdfVIP

6-1华为Eudemon1000E-N下一代防火墙 华为Eudemon1000E-N下一代防火墙 Eudemon1000E-N 下一代防火墙 随着互联网技术的不断发展，智能手机、iPad等终端被更多地应用到办公中，移动应用程序、 Web2.0、社交网络应用于生产生活的方方面面。网络边界变得模糊，信息安全问题日益复杂。 传统的安全网关通常只能通过IP和端口进行安全防护，难以完全应对层出不穷的应用威胁和Web 威胁。 Eudemon1000E-N系列是华为公司为解决运营商、企业、政府、数据中心等机构的网络安全问题 自主研发的下一代防火墙产品。它基于业界领先的软、硬件体系架构，通过对应用、用户、威 胁、时间、位置的全面感知，将网络环境清晰的映射为业务环境。在应用识别的基础上提供精 准的管控能力，融合了IPS攻击防护、AV防病毒、URL 过滤，Web内容过滤，反垃圾邮件和邮件 过滤等行业领先的专业安全技术，支持IPv6防护及过渡技术，为用户提供强大、可扩展、持续的 安全能力。在运营商、政府、金融、电力、石油、教育、工业制造等行业得到广泛应用。 6-2 华为Eudemon1000E-N下一代防火墙 产品特性与优势 最精准的应用访问控制 在Web2.0时代，社交网络、即时通讯工具广 泛应用。基于http协议开发的网络应用不断增多， 使用相同的端口。传统防火墙产品主要通过IP地址 和协议端口感知网络，无法感知用户、业务环境 和应用层信息。而感知是实现访问控制和安全防 护的基础，只有全面感知用户及业务环境，才能 对业务和应用采取精确动作，实现对信息安全的 全面防护。 华为Eudemon1000E-N系列下一代防火墙通过“应用（Application）、时间（Time）、用户 （User）、威胁（Attack）和位置（Location）”多个维度解析企业的业务流量，并结合各种维度进行 防护： ? 应用：综合运用特性识别、端口识别、关联识别、行为识别等技术手段，准确识别超过6000个网 络应用。 ? 用户：通过Radius、LDAP、AD等8种用户识别手段，将流量中的IP地址与现实世界中的用户信息联 系起来。基于用户对网络流量进行管控。 ? 威胁：支持超过5000+特征的攻击检测和防御。支持Web攻击识别和防护，如跨站脚本攻击、SQL 注入攻击等。可以识别和防范SYN flood、UDP flood等10+种DDoS攻击，识别500多万种病毒。采 用基于云的URL分类过滤，预定义的URL分类库已超过8500万，阻止访问恶意网站带来的威胁。 ? 位置：与全球位置信息结合，识别流量及威胁发起的位置信息；使用流量地图和威胁地图快速发 现异常，进而制定对应的防护策略。支持根据IP自定义位置。 正是基于ACTUAL全面感知体系，Eudemon1000E-N系列下一代防火墙能准确地识别出隐藏在应用 中的各类威胁，并基于上述多个维度进行精细的控制和防护。 最简单的安全管理 根据用户调研和第三方分析的结果，下一代防火墙管理面临三大挑战： ? 安全策略如何实施 ? 基于应用的访问控制策略是否正确 ? 如何优化防火墙策略集 基于应用访问策略是否正确实施 39% 37% 36% Verifying that application-based policies are enforced correctly How to maintain threat prevention policies How to optimize firewall policies 安全威胁策略如何实施 如何优化防火墙规则集 Source: Survey of Osterman Research on 209 enterprises about next generation firewall management 6-3华为Eudemon1000E-N下一代防火墙 传统的安全网关管理完全依赖于使用者的经验和投入。对比传统安全网关，下一代防火墙最大的 优势就是对应用的精细化控制，以及对这些应用的进一步深度防护。在下一代防火墙上，仅使用五元 组策略并不能带来更多的安全性。因此，要充分发挥下一代防火墙的作用，需要比传统安全网关更好 的安全管理。然而，做好下一代防火墙的安全管理并不容易。无论哪一个厂家提供的下一代防火墙产 品，包含的网络应用数量都是数以千计的。想充分发挥NGFW的作用，需要安全管理员具备更多的技 能，更多的工作量，这意味更高的整体成本。 Eudemon1000E-N系列下一代防火墙通过Smart Policy技术很好地解决了NGFW的管理难题。首先， Eudemon1000E-N根据使用场景提供了一系列策略模板，可以快速的部署应用防护策略。例如：如果 希望使用网络存储，管理员仅需基