AI防火墙及应用场景介绍课件

1、华为AI防火墙及应用场景介绍第1页，共17页。产品形态介绍1客户应用场景2产品主要特性3第2页，共17页。什么是防火墙 防火墙通常用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。应用于网络边界、子网间隔离等位置，提供网络隔离、访问控制、安全防护等能力，对进出网络的访问行为进行控制。第3页，共17页。防火墙的演进历程198919941998下一代防火墙2004包过滤防火墙基于状态检测Checkpoint/Cisco基于ASICNetScreen统一威胁管理多核+分布式架构Fortinet 2008Huawei/JuniperHuawei/PaloaltoPC时代网络时代互联网

2、时代Web2.0时代2009之后移动互联网时代基本访问控制引入会话机制专用芯片提升性能多功能叠加性能提升基于应用+用户+内容做管控现在人工智能时代？FireWallUTMNGFW第4页，共17页。华为USG6000E系列AI防火墙，1U最高可到160G系列USG63/6500E系列(600M-3G)USG63/6500E系列(600M-8G)USG6610/20E(10G-20G)USG6630/50/80E(30G-80G)USG6700E系列(160G)形态桌面形态机架安装形态( 1U)机架安装形态( 1U)机架安装形态( 1U)固定接口(MAX)2*10GE(SFP+)+10*GE2*1

3、0GE(SFP+)+8*GE Combo+16*GE+2*GE WAN4*10GE(SFP+)+8*GE(SFP)+12*GE2*40G(QSFP+)+12*10GE(SFP+)+12*GE2*100G(QSFP28)+2*40G(QSFP+)+20*10GE(SFP+)+2*10GE(SFP+) HA存储MicroSD卡，可更换机械和固态硬盘，可插拔机械和固态硬盘，可插拔机械和固态硬盘，可插拔机械和固态硬盘，可插拔风道自然散热前后风道前后风道前后风道前后风道电源适配器冗余电源，可插拔冗余电源，可插拔冗余电源，可插拔冗余电源，可插拔风扇无风扇标准可插拔风扇标准可插拔风扇标准可插拔风扇标准可插拔

4、风扇第5页，共17页。客户应用场景2产品形态介绍1产品主要特性3第6页，共17页。防火墙主要应用场景:互联网边界防护利用Web、应用漏洞进行入侵；僵尸、木马、病毒、恶意代码入侵网络钓鱼（邮件、网页），APT攻击拒绝服务攻击（DDoS）带宽被滥用，关键业务QoS无法保障；挑战：园区内网NGFW入侵防御: 基于流的特征检测3500+入侵防御特征库，接近0误报；防病毒：应用识别与病毒扫描结合，可检出超过500多万种病毒。 防止数据泄露：对邮件，HTTP，FTP，IM、SNS等传输的文件和文本内容进行识别过滤。 120+文件类型识别，30+文件内容还原及过滤。 恶意URL过滤：8500万+ URL分类

5、库，URL过滤屏蔽DDoS攻击防护：防范多种类型DDoS攻击；安全性能：万兆级全威胁防护性能，最大性能40Gbps； 应用QoS优化：识别6000+应用，基于应用的带宽限制、最小带宽保障、策略路由； 未知威胁检测：基于云的沙箱检测技术，每日更新特征库 智能管理：自动生成最严格的安全策略，轻松调优。客户价值：第7页，共17页。防火墙主要应用场景:子网/分支安全互联WAN(专网)广域网接入区分支机构局域网局域网总部局域网局域网 传输中，业务数据泄露 内部用户的入侵行为 内部病毒扩散 内部人员的非法访问 资源滥用，挤占业务带宽挑战： VPN：支持IPSec和SSL VPN，IPSec双机热备，业务0

6、中断；支持国密卡（屏蔽海外厂商），支持DSVPN技术入侵防御，防病毒， 防止数据泄露 应用QoS优化：识别6000+应用，基于应用的带宽限制、最小带宽保障、策略路由； 未知威胁检测：基于云的沙箱检测技术，每日更新特征库客户价值：IPSec VPN第8页，共17页。防火墙主要应用场景:接入网访问安全管控APV-NGFW防火墙内部资源（业务区）外部资源（互联网）合作资源（外联区）办公终端公共终端移动终端园区核心交换机认证前域Policy Center 服务器身份账号同步AD服务器 内部员工非法访问 应用滥用挑战： 基于应用的访问控制 基于应用的QoS优化 防止数据泄露 内部的入侵防御、防病毒客户价

7、值： One net方案中：（外部存在认证体系是）配合Policy Center、交换机，同步用户信息 应用识别：6000+应用识别，识别主流企业网应用，应用快速自定义 性能：万兆级全威胁防护性能亮点：第9页，共17页。防火墙主要应用场景:核心网访问安全管控从内到外AP接入终端园区核心交换机互联网/广域网管理区业务区(数据中心)内部的数据泄露 病毒、木马、蠕虫在内部传播 带宽滥用挑战： 基于应用的访问控制 基于应用的QoS优化 防止数据泄露 内部的入侵防御、防病毒客户价值： 应用识别：6000+应用识别，识别主流企业网应用，应用快速自定义 性能：万兆级全威胁防护性能亮点：第10页，共17页。防

8、火墙主要应用场景:数据中心边界防护普通业务重要业务核心业务终端接入区广域接入区互联网接入区V-NGFW园区核心交换机数据中心V-NGFW防火墙利用应用漏洞进行入侵；僵尸、木马、病毒、恶意代码入侵APT攻击、 数据泄露拒绝服务攻击（DDoS） 多租户，有独立安全管理的需要。挑战：入侵防御，防病毒， 防止数据泄露，DDoS攻击防护 安全性能：万兆级全威胁防护性能，最高40Gpbs性能； 虚拟化：最大1000个虚拟FW，全业务虚拟化； 未知威胁检测：基于云的沙箱检测技术，每日更新特征库； 智能管理：自动生成最严格的安全策略，轻松调优。客户价值： 智能管理：安全策略轻松调优，自动生成最严格的安全策略。

9、 应用识别：6000+应用识别，内置应用风险库。 性能：万兆级全威胁防护性能 虚拟化：最大1000个虚拟FW，全业务虚拟化亮点：第11页，共17页。防火墙主要应用场景:云管场景策略下发，统一管理云网管远程业务级配置管理远程设备监控，故障管理实现海量设备的云端管理，简化运维分支站点地址自动管理，合理利用地址资源即插即用，快速上线中小企业托管，大型企业海量分支互联FW设备主动注册，快速纳入云管理平台实现设备快速部署，无需人工值守通道加密，安全可靠云网管和FW设备关键交互进行加密分支防火墙和总部防火墙建立IPSec隧道通讯分支防火墙IPSec智能选路自动探测链路质量，进行隧道切换Internet分支

10、分支中小企业租户主动注册业务管理FWFWFW华为公有云中小企业租户FW总部防火墙业务管理主动注册第12页，共17页。产品主要特性3产品形态介绍1客户应用场景2第13页，共17页。USG6000E与众不同之处智能创“芯”融合全新自研安全芯片，内置加速引擎，处理性能提升至业界2倍基于AI技术的高级威胁检测，联动云端，威胁检测准确率大于99%采用虚拟化架构，多业务融合，灵活集成第三方检测能力，降低Capex 80%第14页，共17页。创“芯” ：强大的业务性能基于ARM的自研芯片，全新的NP+FPGA的硬件架构，全面提升IPS、病毒检测、VPN、应用检测等价值业务性能小包性能提升2倍IPS/AV业务

11、性能提升2倍IPSec业务性能提升2倍各项价值业务性能业界领先基于芯片的可信计算内置DPI、NP、IPsec加速引擎代码安全启动操作系统安全启动代码签名应用软件安全启动设备安全启动项目新引擎老引擎特征库规模12000+更广泛的漏洞覆盖范围，提供更全面的威胁防护5000+受硬件平台限制，特征库检测范围无法扩大特征库加载时间99.9%基于AI的C&C检测：传统C&C检测是基于IP和域名黑名单，未知IP和域名的C&C通信流量无法检测。基于AI的C&C检测通过分析恶意软件C&C流量特征行为有效发现C&C通道，识别准确率97% 第16页，共17页。融合：真正的All In One完美融合SVN功能内置“诱捕”系统降低勒索软件/APT扩散强大的接入性能广泛的终端适应性全面的VPN类型支持防火墙内置轻量级“诱捕”功能，诱骗对不存在IP和未开放端口扫描行为将恶意流量引流到重度诱捕系统三重防护保证终端可信可控接入基于设备指纹认证基于流量