华为USG6000系列下一代防火墙技术白皮书文档版本V1.1发布日期2014-03-12版权所有© 华为技术有限公司2014。

保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。

除非合同另有约定，华为公司对本文档内容不做任何明示或暗示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。

除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼邮编：518129网址：客户服务邮箱：ask_FW_MKT@客户服务电话：4008229999目录1 概述 (1)1.1 网络威胁的变化及下一代防火墙产生 (1)1.2 下一代防火墙的定义 (1)1.3 防火墙设备的使用指南 (2)2 下一代防火墙设备的技术原则 (1)2.1 防火墙的可靠性设计 (1)2.2 防火墙的性能模型 (2)2.3 网络隔离 (3)2.4 访问控制 (3)2.5 基于流的状态检测技术 (3)2.6 基于用户的管控能力 (4)2.7 基于应用的管控能力 (4)2.8 应用层的威胁防护 (4)2.9 业务支撑能力 (4)2.10 地址转换能力 (5)2.11 攻击防范能力 (5)2.12 防火墙的组网适应能力 (6)2.13 VPN业务 (6)2.14 防火墙管理系统 (6)2.15 防火墙的日志系统 (7)3 Secospace USG6000系列防火墙技术特点 (1)3.1 高可靠性设计 (1)3.2 灵活的安全区域管理 (6)3.3 安全策略控制 (7)3.4 基于流会话的状态检测技术 (9)3.5 ACTUAL感知 (10)3.6 智能策略 (16)3.7 先进的虚拟防火墙技术 (16)3.8 业务支撑能力 (17)3.9 网络地址转换 (18)3.10 丰富的攻击防御的手段 (21)3.11 优秀的组网适应能力 (23)3.12 完善的VPN功能 (25)3.13 应用层安全 (28)3.14 完善的维护管理系统 (31)3.15 完善的日志报表系统 (31)4 典型组网 (1)4.1 攻击防范 (1)4.2 地址转换组网 (2)4.3 双机热备份应用 (2)4.4 IPSec保护的VPN应用 (3)4.5 SSL VPN应用 (5)华为USG6000系列下一代防火墙产品技术白皮书关键词：NGFW、华为USG6000、网络安全、VPN、隧道技术、L2TP、IPSec、IKE摘要：本文详细介绍了下一代防火墙的技术特点、工作原理等，并提供了防火墙选择过程的一些需要关注的技术问题。

1 概述1.1 网络威胁的变化及下一代防火墙产生随着网络的高速发展，应用的不断增多，Web2.0的普及，不断增长的带宽需求和新应用架构(如Web2.0)，正在改变协议的使用方式和数据的传输方式，越来越多的应用在少量的端口上进行传输。

新的威胁，如网络蠕虫、僵尸网络以及其他基于应用的攻击不断产生，安全威胁将焦点集中在诱使用户安装可逃避安全设备及软件检测的有针对性的恶意执行程序上。

传统防火墙主要是基于端口和协议来识别应用，基于传输层的特征来进行攻击检测和防护。

面对越来越多的应用使用少量的端口，或者一些应用使用非标准端口，基于端口/协议类的安全策略，将不再具有足够的防护能力。

传统防火墙，也不具有防御基于应用的威胁的能力，如网络蠕虫、僵尸网络传播的威胁。

不断变化的业务流程、企业部署的技术，以及威胁的发展，正推动对网络安全性的新需求。

新的安全需求，推动下一代防火墙的产生。

1.2 下一代防火墙的定义Gartner将网络防火墙定义为在不同信任级别的网络之间实时执行网络安全政策的联机控制。

Gartner使用“下一代防火墙”这个术语来说明防火墙在应对业务流程使用IT的方式和威胁试图入侵业务系统的方式发生变化时应采取的必要的演进。

NGFW至少具有以下属性：●支持联机“bump-in-the-wire”配置，不中断网络运行。

●发挥网络传输流检查和网络安全政策执行平台的作用，至少具有以下特性：−标准的第一代防火墙能力：包过滤、网络地址转换(NAT)、状态性协议检测、VPN等等。

−集成的而非仅仅共处一个位置的网络入侵检测：支持面向安全漏洞的特征码和面向威胁的特征码。

IPS与防火墙的互动效果应当大于这两部分效果的总和。

例如提供防火墙规则来阻止某个地址不断向IPS加载恶意传输流。

这个例子说明，在NGFW中，应该由防火墙建立关联，而不是操作人员去跨控制台部署解决方案。

集成具有高质量的IPS引擎和特征码，是NGFW的一个主要特征。

−应用意识和全栈可见性：识别应用和在应用层上执行独立于端口和协议，而不是根据纯端口、纯协议和纯服务的网络安全政策。

例子包括允许使用Skype，但关闭Skype中的文件共享或始终阻止GoToMyPC。

−额外的防火墙智能：防火墙收集外来信息来做出更好的阻止决定或建立优化的阻止规则库。

例子包括利用目录集成将阻止行为与用户身份绑在一起，或建立地址的黑白名单。

1.3 防火墙设备的使用指南防火墙设备放在整个网络中的汇聚点，如果被保护网络的通信流量有可能会绕过防火墙，则防火墙设备不能对该网络起到安全防范的功能。

因此，在使用防火墙设备的时候，需要保证被防火墙保护的网络流量必须全部经过防火墙。

默认情况下，防火墙的规则一般是禁止所有的访问。

在防火墙设备接入到网络中之后，一定需要按照网络的实际需要配置各种安全策略。

防火墙策略的有效性、多样性、灵活性等是考察防火墙的一个重要指标，另外在复杂的网络环境有可能会使用非常多的规则，需要考察防火墙本身规则的容量和在大规则下的转发性能等因素。

防火墙本身的安全性也是选择防火墙的一个重要标准。

防火墙的安全性能取决于防火墙是否基于安全的操作系统和是否采用专用的硬件平台，安全的操作系统从软件方面保证了防火墙本身的安全可靠，专用的硬件平台保证防火墙可以经受长时间运行的考验。

防火墙设备属于一个基础网络设备，一定要保证防火墙可以长时间不间断运行，其硬件可靠性是非常关键的。

在防火墙实施之前，需要先根据网络的实际情况确定需要解决的问题，选择性能、功能均能满足的防火墙设备。

在性能和功能的平衡过程中，对性能指标一定要特别关注，因为在实际运行的过程中防火墙的性能是非常重要的，如果性能低下会造成网络的堵塞、故障频繁，这样的网络是没有安全性可谈。

性能指标体现了防火墙的可用性能，同时也体现了企业用户使用防火墙产品的代价，用户无法接受过高的代价。

如果防火墙对网络造成较大的延时，还会给用户造成较大的损失。

现在的主流防火墙设备都是基于状态检测的防火墙设备，这类防火墙设备对业务应用是敏感的。

涉及音频、视频等的一些多媒体业务，协议比较复杂，经常会因为对协议的状态处理不当导致加入防火墙之后造成业务不通，或者是为了保证业务的畅通就需要打开很多不必要的端口，造成安全性非常低。

因此针对状态防火墙一定要考察防火墙设备对业务的适应性能力，避免引入防火墙设备导致对正常业务造成影响。

2 下一代防火墙设备的技术原则2.1 防火墙的可靠性设计防火墙本身是一个重要的网络设备，而且其位置一般都是作为网络的出口。

防火墙的位置和功能决定了防火墙设备应该具有非常高的可靠性。

保证防火墙的高可靠性主要依靠如下几点技术来保证：●高可靠的硬件设计硬件设计是任何网络设备可靠运行的基础。

网络设备不同于普通PC等个人、家用系统，网络设备必须要求可以24小时不间断正常工作，对其主板、CPU、风扇、板卡等各种硬件设备都是一个严格的考验。

为了可以保证防火墙设备可以长时间不间断工作，必须保证防火墙本身具有一个优秀的硬件结构体系。

●双机备份技术由于防火墙设备位置的特殊性为了提供更可靠的运行保证，一般防火墙都应该提供双机备份技术。

双机备份是采用两台独立的、型号一致的防火墙设备共同工作，提供更可靠的工作环境。

完善的双机备份环境可以有两种工作模式：第一种是，两台设备中只有一台防火墙在工作，当发生意外故障的时候另外一台防火墙接替工作。

第二种是，两台设备都在工作，当一台发生意外故障的时候，另外一台自动接替所有的工作。

●链路备份技术链路备份是为了防止因为物理链路故障而导致服务的终止，实现链路备份的具体技术可能有多样。

一般最终实现的具体形式是：提供两条链路同时提供服务，当链路都正常的时候可以选择两条链路一起工作起到负载均衡的作用，当某条链路坏的时候，流量全部自动切换到另外一条链路上。

实现链路备份，应该要求防火墙能提供各种路由协议、各种路由管理功能。

基于路由提供的链路备份技术可以非常好的使用在各种场合，通过多条链路的互相备份提供更可靠的服务。

●热备份技术热备份指的是在发生故障产生设备切换或者是链路切换的时候完全不影响业务，这样的备份机制一般称为“热备份”。

而如果因为故障等产生的备份行为发生的时候业务会中断，这样的备份机制应该称为“冷备份”或者“温备份”。

在大部分介绍资料里面，热备份、温备份、冷备份的概念并没有严格的区分，许多厂商都是使用“热备份”概念来宣传的，但是从实际效果上看大部分备份机制并不是严格的热备份。

从热备份的机制上可以知道，如果动态信息越多则热备份的实现机制越复杂，防火墙设备需要维护大量的规则信息、连接信息等，针对防火墙设备的热备份机制都会比较复杂，因此在考察防火墙的备份技术的时候，需要注意区分热备份和冷备份。

防火墙设备的可靠性设计反映出了防火墙在设计方面的一种综合考虑，必须明确的是防火墙设备是一台重要的网络设备，其可靠性要求设计要求比较高，在选择防火墙设备的时候需要综合考虑其可靠性方面的设计。

2.2 防火墙的性能模型前面已经提到防火墙的性能对于衡量一个防火墙设备来说非常重要，那么到底应该通过哪些指标来具体的衡量防火墙的性能呢？本小节主要讨论一下，衡量防火墙的性能的时候应该注意哪些方面。

业界现在衡量防火墙的性能的时候，主要使用“吞吐量”这个指标。

吞吐量主要是指防火墙在大包的情况下，尽量转发能通过防火墙的总的流量，一般使用BPS（比特每秒）为单位来衡量的，使用吞吐量作为衡量防火墙的性能指标非常片面，不能反映出防火墙的实际工作能力。

除了吞吐量之外，在衡量防火墙性能的时候一定还要考察下面几个指标：●小包转发能力防火墙的吞吐量在业界一般都是使用1K～1.5K的大包衡量防火墙对报文的处理能力的。