usg6000系列下一代防火墙售前培训胶片

ICT&的改变：推动了安全技术的移动化云计算大数据社交化…ICT网络威胁激增蠕虫木马Web僵尸网络APT移动6XWEB+

+多样&隐蔽

难以管控1：网络中必不可少的门卫Internet企业网络数据中心FWIPS办公网DMZ终端安全IPS分支机构FWSOC终端安全SSL终端安全FWFWAnti-DDoSVFW云数据中心IPSFWWAF2目前只有不到20%的企业在网络出口部署了下一代

（N

s），到2014年底，这个数字将上升到35%，同时有70%的企业在新的边界安全防护采购中会选择下一代

。Source:

Gartner

15

April2014《Magic

Quadrant

for

Enterprise

Network

Firewalls》环境的复杂化、应用的多样化和的不断进化推动下一代防火墙的需求。物理边界模糊化逻辑边界难定义网络应用多样化多途径离散复杂化全球感知难同步已知变未知潜在

难下一代

正成为市场主打[扩充]22%70%安全网关产品70%首选N4%4%+IPS传统传统UTM下一代Source：HENC2013用户问卷4为什么需要标准FW功能IPS应用感知APP智能联动/分析最低要求NGFW大企业环境场景基础功能为什么要NGFW越发普及，需要针对应用和用户来做管理，而应用管不住：企业用社交网络办公越来越多，不是IP和端口。防不住：

越来越隐蔽，

越来越多样，防护起来愈发吃力性能撑不住：出口流量越来越大，

防护越来越复杂，开启防护后性能已经成为网络瓶颈5产品亮点硬件介绍应用场景荣誉&成功故事123461最精准的

控制--6维管控，应用识别“多、细、准、快”7策略：安全防护安全能力与应用识别深度融合6维控制：应用识别基础上的

检测、防应用识别基础上的内容过滤用户不同、位置不同、时间不同，对应的访问权限也不同对放行的高风险应用，进行更深入的安全防护ApplicationLocationTimeAttackContentUser3500+新

识别500万

代码8500万URL30+文件内容识别120+文件类型识别全面环境感知位置信息库8种用户认证技术位置

动作6000+应用识别N

安全策略：五元组

应用 内容

时间

用户8安全策略：简化管理，提高效率控制区策略是N

的重要标志，分离的策略配置表明检测也是分离的。深度检测区9为什么要基于“应用”做

控制？端口应用传统FW（基于端口、IP）

N

（基于应用、用户、内容）现实世界中，应用可能使用任意端口，传统FW无法根据端口识别和控制应用。N

的进步在于更精细的 控制，最佳使用原则：基于应用

+

白

控制

+

最小VS.1010+年积累11业界No.1应用识别业界第一覆盖最全面，管控最精细友商C友商CP友商P6000450ALLP2P✔

✔

✔✘✘✘WeChatGreat

WisdomLINERapidShareFreenet✘

✘✔✘✔

✔GamesGamesHalf-life语音/文本语音/文本

上传/浏览/交易仅应用仅应用仅应用仅应用仅应用仅应用仅应用仅应用仅应用仅应用仅应用仅应用友商F✘✘

✔语音/文本语音/文本

上传/不支持GAME422ALLP2P3215000GAME183ALL1181P2P75GAME62ALL1600P2P120GAME56ALL3133P2P214GAME14812应用识别有什么用？控制业务加速智能联动13“用户”感知：我知道你是谁面对变化的用户IP8种认证方式：支持本地认证、Radius认证、LDAP认证、AD域认证、SecureID认证、TSM认证、

HWTACACS认证等方式识别用户。价值：应对移动化办公趋势基于用户的安全策略基于用户的带宽管理策略基于用户的上网行为管理14“位置”感知：我知道你在哪IP→位置识别粒度：中国：地市级别：州级别其他：国家级别支持根据地址段自定义位置应用场景：流量地图：基于位置的流量统计分析报表统计分析报表权限不同地图：基于位置的位置策略：位置不同，举例：不允在公司总部可以

的数据，在许15162最简单的策略管理－－SmartPolicy智能策略管理内容应用IPPortDDoSAntiSpam协议用户

IPSAV位置

URLDLP传统(L4)下一代(L7)N管理，你真的准备好了吗？管控维度增加1倍四层五元组管控→七层应用

管控管控粒度精细3-5倍应用识别、IPS、URL等你需要一名非常非常专业的安全管理员。或者下一代

本身具备智能的自动化管理能力17Smart

Policy：你身边的安全咨询

策略优化Smart

Policy对策略的生成、调整、消除，都能提供帮助。18即使第一次使用N，在2个页面内，3次点击鼠标即可完成快速部署。

Smart

Policy实现快速部署上线系统预置安全策略模板系统预置应用类别和风险组19智能优化的管理方法安全风险自动评估策略风险分解安全策略自动调优安全风险降低20冗余策略分析策略命中分析自动帮你找出系统中重复的策略、无用的策略，你可以一键删除，也可以修改调整。

Smart

Policy提供了策略精简的方法21223最全面的安全防护——防护功能全面，精细的QoS优化全面的

防护FW

IPSDLPAV带宽管理DDoS上网行为管理11101101001110010101111011000100011101000100000110集成了企业需要的各种防护功能。一机在手，安全我有。Check

PointFortinetPalo

AltoSonic

Wall

McAfee

CiscoWatchGuard

F5功能匹配度高达95%（20/21），领先大多数厂商。报告23灵活、有效的反

功能可指定检测的协议类型和响应动作可指定例外应用24DLP：识破，防止泄密[数据丢失防护Data

Loss

prevention]XXXXXX价格XXXX…XX

:XXXXXXXX

:XXXXXXXXXXXXX设计方案XXXXXX能识别常见文件的真实类型并对内容过滤检查。即使藏在压缩文件中，或更改扩展名也逃不过N

的火眼金睛。25文件过滤：防止

通过文件流出120+文件真实类型识别，也可通过自定义扩展名识别26内容过滤：检查文件的内容30+文件内容检查，预置关键字组。27URL过滤：净化

环境8500+万URL分类库80+大类（休闲，

，…）20种语言50+万

URL库非法URL合法URL白28丰富的分类库，强大的URL过滤功能80+分类，8500+万分类库。支持https加密下的URL过滤，可对不同分类的流览进行QoS优化。29SSL加密流量安全检测越来越多的

使用HTTPSHttps后的内容安全检测SSL流量：安全检查的新盲区URL过滤反防御内容过滤文件过滤应用行为控制30QoS优化：多层次的带宽管理31QoS优化：多出口智能选路

电信

教育网链路负载均衡

链路带宽

链路权重

链路质量

过载保护

优先级主备基于业务（应用）基于目的所在ISPDNS智能DNS目的在

，却走电信出口？出口多链路之惑：结算费用居高不下，关键业务质量却无法保障链路忙的忙死，闲的闲死者在

，却从电信出口响应32传统的IPSec工作模式Spoke-Hub-Spoke网络模型的问题：Spoke与Hub之间建立 隧道，Spoke之间的通信需要通过Hub节点中转，需要进行两次加解封装操作。在网络中新增Spoke节点时，Hub节点需要新增对应的配置信息，增加

成本。33DS

工作模式Spoke-Spoke网络模型的优势：Spoke与Hub之间建立

隧道，Spoke之间按需动态建立

隧道，Spoke之间的通信在动态建立的隧道内传输，无需通过Hub中转。采用点到多点的GRE（Multipoint

GRE）技术，在网络中新增Spoke节点时，由Spoke节点主Hub节点 ，无需修改Hub节点的配置。34D充补363738云数据中心边界安全虚拟系统边界防护:最大支持1000个虚拟系统的边界防护虚拟化全业务防护：一台设备当多台用ASession:

XX

Bandwidth:XX

Security:

A

Policy

Num:

XCBSession:

XX

Bandwidth:XX

Security:

C

Policy

Num:

XSession:

XX

Bandwidth:XX

Security:

B

Policy

Num:

X、URL过滤等应用识别、

防御、防安全防护虚拟化资源虚拟化租户独享体验：不同租户个性化安全管理不同租户个性化QoS管理39应用识别特征库IPS签名库特征库URL分类库邮件列表文件信誉IP信誉Web信誉邮件信誉安全基础能力安全知识安全信誉安全产品品质：防御能力设备硬件设备安全能力：设备品质的关键40N：自主知识的安全能力厂商安全知识库安全信誉库DPIIPSAVURL反 邮件自研自研自研自研自研自研信誉库（IP/文件/web/邮件）天融信自研自研Kaspersky无深信服自研自研Commtouch无自研自研KasperskyCommtouchCommtouch无HillStone自研自研Commtouch无H3C自研自研KasperskyCommtouch无绿盟自研自研Kaspersky无迪普自研自研趋势科技无国内主流安全厂商中，

安全技术的自研程度最高；在国内的厂商中独家将安全信誉体系用于

，信誉库同样是自研的。414最快速的性能体验－－IAE

识别引擎42管控能力43管理优化防护范围处理性能最佳的防护性能：软硬兼施，全万兆防护单次解析引擎提升

性能高速的应硬件平台和架构支撑安全特性全开启的情况下是否还能保持高性能最高的应用层处理性能（相同FW性能条件下）IPS性能和全

防御性能均达到业界顶尖水平12G4G2.5G8G6G无数据无数据全IPS10G12G10G不详6G8G3.1G6G0.4G1.5G不支持无不支持4G5G应用识别20G20G12G无数据无数据3G10GFW20G20G15G20G20G20G20G20G档FW横

比三位助推N高性能体验统

统

统一

一

一威

威

模胁

胁

式描

检

匹述

测

配行业现状VS分散的定义木马渗透串行检查IPSAVURL通过

匹配数据结果应用定义和

描述木马渗透安全检查IPSAVURL识别与解析处理响应结果模式匹配数据不规则的规则的硬件识别与解析处理响应44IAE引擎简介防御反Web

安全应用识别文件安全U

R

L

分类DLP

识别库特征库Web库应用特征库D

L

P库U

R

L库I

n l

i

g

e

n

tA

w

a

r

e

n

e

s

sE

n

g

i

n

e45全新的结构NIC基础IAE路由和交换应用识别—体化协议D

L

P检查检测U

R

L检查W

e

b安全检查D

L

P检查检测文件识别检查D

L

P检查检测—体化响应处理模式匹配和

解压和还原、应用描述语言一般内容U

R

L文件流安全扫描46USG6000产品和优势介绍USG6320USG6330/50/60USG6650/60/70/80精准管控简单管理高性能全面防护快速部署：根据使用场景预置策略模板智能优化：流量学习，策略调整建议策略精简：发现冗余和长期不使用的策略业界最全沙箱技术：支持文件、Web、

沙箱云端沙箱运行可以流量，快速发现零日全面信誉体系（文件、Web、IP、邮件）：有效防范APT

，并提升性能集成FW、IPS、AV、DLP、 、AntiDDoS等全面功能，高性价比地提供安全防护方案最高20G全

处理性能，全

开启下性能损耗少于50%。WSIC-8SFPWSIC-4GE-BYPASSWSIC-8GEWSIC-2SFP+&8GESAS-300GBModuleUSG6370/80/90USG6620/303.策略精简++云沙箱信誉✘✔✘LINE语音/文本语音/文本RapidShare

大智慧上传/

浏览/交易仅应用仅应用仅应用仅应用仅应用仅应用仅应用仅应用仅应用仅应用仅应用仅应用Half-lifeFreenetGames友商CP✔✘✔✘✔✘友商C✔✔✘友商P业界最多、最细的应用感知47产品亮点硬件介绍应用场景荣誉&成功故事123448USG9000

系列2014

性能提升高性能T级NUSG6000

系列2013

大规模应用13

款型号1G-40GFW+APP

应用层性能20G全

防御性能2014

全面融合N

安全插板CE12800S7700/9700/S12700N产品49USG6320,

2Gbps

FW+APP,

1G

full

threats,

Desk,8GEboUSG6660,

25Gbps

FW+APP,13G

full

threats3U,2*10GE+8GE+8SFPUSG6650,

20Gbps

FW+APP,

10G

full

threats3U,2*10GE+8GE+8SFPUSG6680,

40Gbps

FW+APP,

20G

full

threats3U,4*10GE+16GE+8SFPUSG6670,

35Gbps

FW+APP,18G

full

threats

,3U,4*10GE+16GE+8SFPWSIC-8SFPWSIC-4GE-BYPASSWSIC-2SFP+&8GEWSIC-8GESAS-300GBUSG6630,

16Gbps

FW+APP,

8G

full

threats1U,8GE+4SFPUSG6620,

12Gbps

FW+APP,

6G

fullthreats,1U,8GE+4SFPUSG6390,

8Gbps

FW+APP,

4G

full

threats,

1U,8GE+4SFPUSG6380,

6Gbps

FW+APP,

3G

full

threats,

1U,8GE+4SFPUSG6370,

4Gbps

FW+APP,

2G

full

threats，1U,8GE+4SFPExpansion

modulesboUSG6360,

3Gbps

FW+APP,

1.5G

full

threats

,USG6350,

2Gbps

FW+APP,

1G

full

threatsUSG6330,

1Gbps

FW+APP,

0.5G

full

threats

,boN独立设备包括桌面型/1U/3U

三种形态1G~40G应用识别吞吐量，最高20Gbps的IPS+AV的防护能力。最小8

GE

接口，最大可扩展到64*GE+14*10GE

ports50N交换机插卡介绍N /IPS插板交换机型号产品S7700系列S7703S7706S7712S9700系列S9703S9706S9712S12700系列S12708S1271251系列产品CE12800/SCE12804SCE12808SCE12804CE12808CE12812CE12816CE系列交换机N/IPS插卡介绍52N产品硬件概览性能最高的小盒子产品；可通过长挂耳上机架全系支持硬盘

全系支持双电源全系支持万兆口全系支持Bypass卡全系支持硬盘和Bypass卡可扩展槽位数最多，接口密度最大：56GE+8SFP+14*10GUSG6650以上标配万兆口国内首家下一代防火墙插卡功能最全的N

插卡53产品亮点硬件介绍应用场景荣誉&成功故事123454N主要销售场景：下一代园区12345互联网边界防护广域网纵向安全互联接入网

权限管控网

流量安全管控数据中心边界防护全防御，全业务管控，网络与安全最佳融合！互联网出口1广域网出口2接入网络边界3网络边界4数据中心边界555园区中N出差员工路由器交换机AP部署示意分支/合作伙伴数据中心管理区办公区办公区WAN(专网)办公区DMZ区互联网接入区广域网接入区56互联网边界防护：利用Web、应用

进行

；僵尸、木马、

、

代码网络

（邮件、网页），APT服务

（DDoS）带宽被

，关键业务QoS无法保障；客户价值：防御:基于流的特征检测3500+园区内网N防御特征库，接近0误报；防

：应用识别与

扫描结合，可检出超过500多万种

。防止数据

：对邮件，HTTP，FTP，IM、SNS等传输的文件和文本内容进行识别过滤。

120+文件类型识别，30+文件内容还原及过滤。URL过滤：8500万+URL分类库，URL过滤DDoS

防护：防范多种类型DDoS

；安全性能：万兆级全

防护性能，最大性能40Gbps；应用QoS优化：识别6000+应用，基于应用的带宽限制、最小带宽保障、策略路由；未知

检测：基于云的沙箱检测技术，

更新特征库智能管理：自动生成最严格的安全策略，轻松调优。57子网/分支安全互联WAN(专网)广域网接入区分支机构局域网局域网总部局域网局域网：传输

务数据用户的

行为扩散的资源

，挤占业务带宽客户价值：：支持IPSec和SSL（

海外厂商），支持DS，IPSec双机热备，业务0中断；支

密卡技术防御，防 ，

防止数据应用QoS优化：识别6000+应用，基于应用的带宽限制、最小带宽保障、策略路由；未知

检测：基于云的沙箱检测技术，

更新特征库IPSec58接入网

安全管控APV-NUSG6680外部资源（互联网）合作资源（外联区）资源（业务区）办公终端公共终端移动终端园区交换机认证前域TSM

服务器账号同步AD服务器：员工应用客户价值：基于应用的

控制基于应用的QoS优化防止数据的

防御、防亮点：One

net方案中：（外部存在认证体系是）配合TSM、交换机，同步用户信息应用识别：6000+应用识别，识别主流企业网应用，应用快速自定义性能：万兆级全

防护性能59网

安全管控—从内到外AP接入终端园区交换机互联网/广域网管理区业务区(数据中心)：的数据、木马、蠕虫在带宽客户价值：基于应用的

控制基于应用的QoS优化防止数据的

防御、防亮点：应用识别：6000+应用识别，识别主流企业网应用，应用快速自定义性能：万兆级全

防护性能60数据中心边界防护普通业务重要业务业务终端接入区广域接入区互联网接入区V-N园区交换机数据中心V-NUSG6680：利用应用

进行

；僵尸、木马、

、

代码APT

、数据服务

（DDoS）多租户，有独立安全管理的需要。客户价值：防御，防 ，

防止数据

，DDoS

防护安全性能：万兆级全

防护性能，最高40Gpbs性能；虚拟化：最大1000个虚拟FW，全业务虚拟化；未知

检测：基于云的沙箱检测技术，

更新特征库；智能管理：自动生成最严格的安全策略，轻松调优。亮点：智能管理：安全策略轻松调优，自动生成最严格的安全策略。应用识别：6000+应用识别，内置应用风险库。性能：万兆级全

防护性能虚拟化：最大1000个虚拟FW，全业务虚拟化61USG6000产品亮点USG6000硬件介绍USG6000

应用场景荣誉&成功故事1234622013中国硬件安全市场

地位市场37.7%

UTM硬件市场安全FW系列TOP3市场份额

市场14.9%安全

25.1%

UTM系列市场份额 市场12.3%

TOP314.28%13.95%13.33%12.35%6.85%39.24%其他2013中国FW/UTM市场

第一MQ

for

FW

2014及 硬件

UTM首个进入Gartner

FW

MQ的中国厂商首个进入Gartner

FW

MQ的中国厂商MQ

for

UTM2013安全SWOT天融信

H3C

思科给予SWOT分析的唯一中国厂商江湖地位，有口皆碑63Source:

Gartner

MQ

for

Enterprise

Nerwork

FirewallsSource:

Gartner

MQ

for

unified_Threat_Management【比特网】2013年度CIO信赖优秀产品奖【网络世界】2013年度下一代创新产品奖【计算机世界】2013年度创新产品奖【IT168】2013年度技术卓越奖评价，载誉前行64横向

，一马当先网络世界横评，综合第一性能第一吞吐量第一并发连接第一每秒新建第一No.1181/183Fortinet98%180/183WatchGuard88%161/183检出率第一99%FortinetWatchGuardCheckPointFortinetPalo

AltoSonicWallMcAfeeCiscoWatchGuardF5要点：网络

网关是“零信任”网络的安全核心21项评判标准中满足其中的20项，处于领先地位报告，

明显领先Cisco65智能电网:高性能边界防护安全方案首先采用USG6650下一代产品，部署在在互联网出口边界和综合信息网的边界位置，提供10G全

防护，并针对互联网出口提供强大的NAT地址转换功能。同时全网设备通过

实现调度管理和报表展现，为

电网构建了一套简洁高效的安全防护体系。客户价值基于特征+基于沙箱的全

防御

，保障

电网办公业务顺畅。全 特性开启后性能下降小于50%，高性能防护、高品质用户体验，支撑大业务流量。基于流量学习的自动策略管理，CTO降低30%以上66广电:下一代广播电视网络等保安全方案数台USG6000系列下一代

为

广电全网融合安全信息基础架构及

等级保护工程提供全面的安全能力支撑。在不同业务系统边界实现精细的

控制。客户价值N精细的控制能力和智能化管理，有效支撑了广电全网安全防护项目的顺利开展。高性能的应用层性能也很好的满足了广电当前业务及未来网络发展的性能需求。67中投

：精细、高效安全基于安全划分原则，对现网进行升级改造，实现

与证通两个数据中心办公网，交易网，非交易网的安全

。对网络流量进行安全

与控制，提高

能力。区域，在网络边界位置，部署

下一代安全

，解决方案合理规划实现安全与

控制。实现高性能的应用层安全能力，支持超过6000种的应用协议实现，实现网络流量

与细粒度的高性能与高可靠的网络

及组网方式，为证

中投控制策略。提供高可靠控制，及可视化，高稳定的网络。实现高效，可靠的地网络边界安全的网络流量

与流量控制策略。68葡萄牙教育部：高性能边界防护葡萄牙教育部平台建设，高性能、高可靠和全面安全性建设需求，可靠承