6-1华为Eudemon1000E-N 下一代防火墙华为Eudemon1000E-N 下一代防火墙Eudemon1000E-N 下一代防火墙随着互联网技术的不断发展，智能手机、iPad 等终端被更多地应用到办公中，移动应用程序、Web2.0、社交网络应用于生产生活的方方面面。

网络边界变得模糊，信息安全问题日益复杂。

传统的安全网关通常只能通过IP 和端口进行安全防护，难以完全应对层出不穷的应用威胁和Web 威胁。

Eudemon1000E-N 系列是华为公司为解决运营商、企业、政府、数据中心等机构的网络安全问题自主研发的下一代防火墙产品。

它基于业界领先的软、硬件体系架构，通过对应用、用户、威胁、时间、位置的全面感知，将网络环境清晰的映射为业务环境。

在应用识别的基础上提供精准的管控能力，融合了IPS 攻击防护、AV 防病毒、URL 过滤，Web 内容过滤，反垃圾邮件和邮件过滤等行业领先的专业安全技术，支持IPv6防护及过渡技术，为用户提供强大、可扩展、持续的安全能力。

在运营商、政府、金融、电力、石油、教育、工业制造等行业得到广泛应用。

下一代防火墙，地址才能“应用（Application ）、时间（Time ）、用户多个维度解析企业的业务流量，并结合各种维度进行、行为识别等技术手段，准确识别超过6000个网络应用。

• 用户：通过Radius 、LDAP 、AD 等8种用户识别手段，将流量中的IP 地址与现实世界中的用户信息联系起来。

基于用户对网络流量进行管控。

• 威胁：支持超过5000+特征的攻击检测和防御。

支持Web 攻击识别和防护，如跨站脚本攻击、SQL注入攻击等。

可以识别和防范SYN flood 、UDP flood 等10+种DDoS 攻击，识别500多万种病毒。

采用基于云的URL 分类过滤，预定义的URL 分类库已超过8500万，阻止访问恶意网站带来的威胁。

• 位置：与全球位置信息结合，识别流量及威胁发起的位置信息；使用流量地图和威胁地图快速发现异常，进而制定对应的防护策略。

支持根据IP 自定义位置。

正是基于ACTUAL 全面感知体系Eudemon1000E-N 系列下一代防火墙能准确地识别出隐藏在应用基于应用访问策略是否正确实施39%37%36%Verifying that application-based policies are enforced correctlyHow to maintain threat prevention policiesHow to optimize firewall policies安全威胁策略如何实施如何优化防火墙规则集Source: Survey of Osterman Research on 209 enterprises about next generation firewall management传统的安全网关管理完全依赖于使用者的经验和投入。

对比传统安全网关，下一代防火墙最大的优势就是对应用的精细化控制，以及对这些应用的进一步深度防护。

在下一代防火墙上，仅使用五元组策略并不能带来更多的安全性。

因此，要充分发挥下一代防火墙的作用，需要比传统安全网关更好的安全管理。

然而，做好下一代防火墙的安全管理并不容易。

无论哪一个厂家提供的下一代防火墙产品，包含的网络应用数量都是数以千计的。

想充分发挥NGFW的作用，需要安全管理员具备更多的技能，更多的工作量，这意味更高的整体成本。

Eudemon1000E-N系列下一代防火墙通过Smart Policy技术很好地解决了NGFW的管理难题。

首先，Eudemon1000E-N根据使用场景提供了一系列策略模板，可以快速的部署应用防护策略。

例如：如果希望使用网络存储，管理员仅需基于“使用网盘”这个策略模板，就能建立一系列策略。

在策略中，对网盘类应用允许下载并进行病毒检测，但禁止文件上传。

其次，Eudemon1000E-N根据网络流量对现有的安全策略进行优化，让它们变得更准确、更有效。

这在遗留大量端口防护策略，需要转换为NGFW使用的应用防护策略时尤其有用。

第三，Eudemon1000E-N能够迅速发现重复的和长期没有使用的策略，精简策略规模，简化管理；通过这三个方面的优化，Eudemon1000E-N大大提高了策略管理中的自动化程度，降低NGFW的维护成本。

最高的性能体验当前，网络攻击成为一种产业，黑客们为了追求经济利益有组织、有预谋的开展攻击，应用层访问控制、入侵防御等深度应用防护不再是可有可无的。

UTM产品当开启应用层防护时性能下降明显，无法满足当前应用层防护的性能要求。

Eudemon1000E-N系列下一代防火墙采用全新架构的智能感知引擎（IAE, Intelligence Awareness Engine），采用了一次解析多业务并行处理的架构。

IAE使用了三大核心技术：UNIFIED DL UNIFIED Scan UNIFIED PMUNIFIED典型应用场景大中型企业边界防护Eudemon1000E-N作为大中型企业的出口网关，典型的应用场景如图所示：• 将企业员工网络、公司服务器网络、外部网络划分到不同安全区域，对安全区域间的流量进行检测和保护。

• 根据公司对外提供的网络服务的类型开启相应的内容安全防护功能。

例如针对所有服务器开启反病毒和入侵防御。

• 针对内网员工访问外部网络的行为，开启URL过滤、反病毒等功能，既保护内网主机不受外网威胁，又可以防止企业机密信息的泄露，提高企业网络的安全性。

• 在Eudemon1000E-N与出差员工、分支机构间建立VPN隧道，使用VPN保护公司业务数据，使其在Internet上安全传输。

• 开启DDoS防御功能，抵抗外网主机对内网服务器进行的大流量攻击，保证企业业务的正常开展。

• 针对内外网之间的流量部署带宽策略，控制流量带宽和连接数，避免网络拥塞，同时也可辅助进行DDoS攻击的防御。

• 部署eSight网管系统（需要单独采购），记录网络运行的日志信息。

日志信息可以帮助管理员进行配置调整、风险识别。

• 采用双机热备部署，提高系统可靠性。

单机故障时可以将业务流量从主机平滑切换至备机上运行，保证企业业务持续无间断的运行。

大中型企业边界防护典型部署内网管控与安全隔离Eudemon1000E-N作为大中型企业的内网边界，典型的应用场景如图所示：• 在内网部署一个或多个Eudemon1000E-N作为内部不同网络的边界网关，隔离不同网络。

• 建立用户管理体系，对内网主机接入进行用户权限控制。

• 相同安全等级的网络划分到同一个安全区域，只部署少量的安全功能，例如“研发部1”和“研发部2”同属于Research安全区域，但是两者间通信的流量仍可进行简单的包过滤、黑白名单、反病毒等功能。

• 不同安全等级的网络划分到不同的安全区域，根据业务需求部署不同的安全功能，例如仅允许部分研发网络主机访问指定的市场部主机，并在Research与Marketing、Production、Server之间应用反病毒等功能。

华为Eudemon1000E-N下一代防火墙6-5华为Eudemon1000E-N 下一代防火墙数据中心边界防护数据中心（Internet Data Center ，IDC ），是基于Internet 网络提供的一整套设施与相关维护服务体系。

Eudemon1000E-N 作为数据中心的边界网关，典型的应用场景如图2-3所示：• 开启流量统计功能，基于IP 、用户、应用对流量状况进行长期统计分析，以帮助安全策略的制定。

• 基于IP 地址和应用进行限流，使服务器稳定运行，也避免网络出口拥塞，影响网络服务。

• 开启入侵防御、反病毒功能，使服务器免受入侵以及蠕虫、木马等病毒危害。

• 开启DDoS 及其他攻击防范功能，避免服务器受到外网攻击导致瘫痪。

• 部署eSight 网管系统（需要单独采购），记录网络运行的日志信息。

日志信息可以帮助管理员进行配置调整、风险识别和流量检查。

• 采用双机热备部署，提高系统可靠性。

单机故障时可以将业务流量平滑切换至备机上运行，保证服务器业务持续无间断的运行。

区域间流量区域内流量内网管控与安全隔离典型部署数据中心边界防护典型部署• 在各个区域之间应用带宽策略，控制带宽与连接数，避免内网网络拥塞。

• 内网各个区域与外网之间应用入侵防御、反病毒、URL 过滤等功能。

华为Eudemon1000E-N 下一代防火墙VPN 远程接入与移动办公Eudemon1000E-N 作为企业的VPN 接入网关，典型的应用场景如图2-4所示：• 对于拥有固定VPN 网关的分支机构和合作伙伴，使用IPSec 或者L2TP over IPSec 建立静态永久隧道。

当需要进行接入账号验证时，建议使用L2TP over IPSec 。

• 对于地址不固定的出差员工，使用SSL VPN 技术，无需安装VPN 客户端，只需使用网络浏览器即可与总部建立隧道，方便快捷。

同时可以对出差员工可访问的资源进行精细化控制。

• 在上述隧道中，通过IPSec 加密算法或者SSL 加密算法，对网络数据进行加密保护。

• 对于通过VPN 隧道接入后的用户，进行接入认证，保证用户合法性。

并且基于用户权限进行访问授权。

• 部署入侵防御、反病毒、DDoS 攻击防范，避免网络威胁经由远程接入用户穿过隧道进入公司总部，同时防止机密信息泄露。

云计算网关云计算是目前一种新兴的网络服务提供模式，需要一系列技术的配合和支持。

Eudemon1000E-N 可以在云计算的部署中担任云计算网关的角色。

云计算技术目前存在多种应用方式，最为典型的方式是由网络服务提供商为网络用户提供硬件资源和计算能力，网络用户只需使用一台终端通过网络 接入云端，就可以像操作家庭电脑一样操作自己保存在云端的资源。

云计算的核心技术是通过服务器的集群为大量网络用户提供相互独立而又完整的网络服务，其中涉及到多种虚拟化技术。

Eudemon1000E-N 作为云计算网关，典型的应用场景如图2-5所示：在这个场景中，Eudemon1000E-N 担任的是云计算网关的角色。

通过虚拟系统功能，可以将一台物理设备划分为多台相互的独立的逻辑设备。

每台逻辑设备都可以拥有自己的接口、系统资源以及配置文件，可以独立进行流量的转发和安全防护，所以被称为虚拟系统。

虚拟系统从逻辑上相互隔离，所以对于每一个云终端看来都拥有一个独享的防火墙设备。

同时由于这些虚拟系统共用同一个物理实体，所以当需要虚拟系统之间进行流量转发时，转发效率非常高。

所以Eudemon1000E-N 在此场景中主要负责进行虚拟服务器之间的数据快速交换，以及在云终端接入云服务器的通信过程中进行网络安全的防护，为云计算方案提供增值的安全业务。