防火墙产品主打胶片介绍

华为防火墙产品主打胶片当前第1页\共有57页\编于星期五\16点汇报提纲华为公司存储与安全产品线介绍华为公司防火墙系列产品介绍华为公司防火墙产品技术及功能介绍华为公司安全解决方案介绍华为公司防火墙应用案例当前第2页\共有57页\编于星期五\16点2004年基于NP的高端防火墙华为500/1000;承担粤港项目综合安全管理系统研发工作成立安全SDPT参加BT安全项目支持发布华为入侵检测系统NIP通过BS7799国际认证2003年，基于NP的防火墙华为100/200；推出IPSec高速加密卡发布华为i3SAFE安全解决方案2001，推出防火墙插卡2000年华为启动网络安全产品的研发2005年发布应用系统加固软件SIS,并成功应用到BT项目;发布华为终端管理系统Numen，并成功在多个行业得到应用发布华为安全综合管理系统SIMS发布华为业务监控网关SIG2006年成立存储与网络安全产品线，正式启动大规模进入安全市场;华为公司正式进入网络安全领域在中国的深圳、北京、成都、杭州，美国硅谷和印度的班加罗尔设立了安全研发中心建立了中国首个“网络及应用攻防实验室”已经拥有350名专职安全技术人员，600名专职安全产品开发人员，其中CISP、CISSP、CCIE、HCIE、PMP以及电信业务专家等高端人才103人。具有多种安全服务和集成资质的专业安全服务和集成团队。2002，推出专业病毒防护方案Page3当前第3页\共有57页\编于星期五\16点网络安全在华为产品及解决方案体系中的位置UMTSGSM/GPRS/EDGEGSM-T/GSM-RCDMA2000IMSMobileSoftSwitchWLAN/WiMAXNGNDSLAMMSANSwitchingLH/ULHDWDMMetroWDMOCSNG-SDH(ASON)NG-SONETFSOFixedINWirelessINUniversalINMobileDataCDN/SANOSS/BSSDigitalEntertainmentRouterLANSwitchSecurity&VPNGW&ServerWirelessTerminalsUMTShandsetCDMAhandsetCDMAfixedterminalWirelessdatacardWirelessmoduleFixedTerminalsADSLModem/STB…….ASIC和公共平台无线固网光网络业务与软件数通终端网络产品线客户化通信网络解决方案存储及网络安全网络安全l存储专用服务器IP语音集成与软件Page4当前第4页\共有57页\编于星期五\16点关注重点：内部威胁实施功能：

1、桌面控制

2、应用监控 3、深度感知

4、综合管理问题：不能解决实体欺骗带来的安全风险关注重点：外部攻击实施功能：1、安全分域2、访问控制3、入侵防范4、安全隧道问题：对内部攻击无能为力信息安全纵深防御安全免疫可信增值华为信息安全理念关注重点：实体欺骗实施功能：

1、集中认证

2、统一授权 3、行为审计

4、密码保护Page5当前第5页\共有57页\编于星期五\16点最佳的信息安全实践贝托华为美国巴西深圳新加坡南非肯尼亚尼日利亚孟加拉国阿尔及利亚埃及沙特阿拉伯乌克兰乌兹别克斯坦印度巴基斯坦尼泊尔泰国哥伦比亚华为技术（总部）津巴布韦俄罗斯秘鲁吉尔吉斯坦哈萨克斯坦突尼斯摩洛哥智利阿根廷菲律宾马来西亚印尼墨西哥西班牙越南法国德国澳大利亚韩国英国亚洲最大的园区网络，覆盖华为全球8个地区部和32个分支机构。世界级的数据中心和容灾中心，实现7*24小时连续运作。2004年7月通过信息安全BS7799国际认证，并被审核员高度评价。Page6当前第6页\共有57页\编于星期五\16点完善的专业技术服务体系Page7当前第7页\共有57页\编于星期五\16点...安全业务软件...防火墙/VPN安全管理套件SecospaceSuite...网络入侵检测NIP100Eudemon300/500/1000Eudemon

8080/8040Eudemon100E/200/200SNIP200NIP1000SVN3000SSLVPNUSG50USG3030/3040资产管理安全接入控制员工行为管理软件分发补丁管理认证服务日志审计终端安全...业务监控网关SIG1000SIG9280安全产品族系列产品Page8当前第8页\共有57页\编于星期五\16点汇报提纲华为公司存储与安全产品线介绍华为公司防火墙系列产品介绍华为公司防火墙产品技术华为公司防火墙产品功能介绍华为公司安全解决方案介绍华为公司防火墙应用案例当前第9页\共有57页\编于星期五\16点华为安全网关产品系列Eudemon

200Eudemon

100EEudemon

500Eudemon

1000小型企业、远程办公中小型企业华为电信级硬件防火墙，从桌面式终端设备到高端千兆级别，以卓越的性能和先进的安全体系架构为网络提供强大的安全保障。NP架构Eudemon

300NP架构中型企业NP架构Eudemon

200S大中型企业大型企业,运营商大型数据中心USG3040USG3030USG50Eudemon

8080Eudemon

8040城域网流量清洗NP架构当前第10页\共有57页\编于星期五\16点华为安全网关产品介绍终端安全网关产品USG50盒式安全网关设备提供攻击防范、VPN、NAT功能多种管理、配置方法（CLI和GUI等）方便管理。可以方便的使用市电供电。用途安全接入设施：可以满足企业、办事机构、行业网、SOHO办公用户的VPN接入需求原因高加密性能，多种加密算法，率先支持国密SCB2算法支持L2TP/GRE/IPSEC等多种VPN的组网应用PPPoE拨号与VPN拨号同一化USG50Page11当前第11页\共有57页\编于星期五\16点华为安全网关产品介绍中小企业安全网关设备中小企业级安全设备专业软、硬件平台多种管理、配置方法（CLI和GUI等）方便管理。用途提供安全接入：可以满足企业、办事机构、行业网办公用户的VPN接入需求防范攻击保障网络安全地址转换功能原因高加密性能，多种加密算法，率先支持国密SCB2算法支持L2TP/GRE/IPSEC等多种VPN的组网应用提供防火墙功能丰富的地址转换功能Eudemon100EEudemon200SEudemon200Page12当前第12页\共有57页\编于星期五\16点华为安全网关产品介绍中小企业安全网关设备统一安全保障设备高端口密度，专业软、硬件平台多种管理、配置方法（CLI和GUI等）方便管理用途提供安全接入：可以满足企业、办事机构、行业网用户的VPN接入需求地址转换功能防范攻击保障网络安全为用户网络统一安全保障原因高加密性能，多种加密算法，率先支持国密SCB2算法支持L2TP/GRE/IPSEC等多种VPN的组网应用提供防火墙功能丰富的地址转换功能UTM功能USG3030USG3040Page13当前第13页\共有57页\编于星期五\16点华为安全网关产品介绍大企业、运营商级安全网关设备高性能安全设备专业软、硬件平台多种管理、配置方法（CLI和GUI等）方便管理。用途提供安全接入P2P限流功能地址转换功能防范攻击保障IDC等多种大型网络的安全为用户网络统一安全保障原因高加密性能，多种加密算法，率先支持国密SCB2算法支持L2TP/IPSEC等多种VPN的组网应用提供防火墙功能丰富的地址转换功能Eudemon300Eudemon500Eudemon1000Page14当前第14页\共有57页\编于星期五\16点城域网异常流量清洗设备高性能安全设备，提供6G-12G网络流量清洗能力专业软、硬件平台多种管理、配置方法（CLI和GUI等）方便管理。与SIG联动实现异常流量清洗用途IDC出口或城域网异常流量清洗为用户网络提供安全保障原因分布式NP技术，保证了设备的高速处理能力，每秒可以处理200万包－400万包攻击流量侧挂不会对网络造成瓶颈Eudemon8040Eudemon8080华为安全网关产品介绍Page15当前第15页\共有57页\编于星期五\16点汇报提纲华为公司存储与安全产品线介绍华为公司防火墙系列产品介绍华为公司防火墙产品技术华为公司防火墙功能介绍华为公司安全解决方案介绍华为公司防火墙应用案例当前第16页\共有57页\编于星期五\16点防火墙充分继承了华为高端路由器的高可靠设计优势，将电信级运行环境和大型行业环境的经验移植到安全产品。防火墙高可靠性—电信级的设计风扇模块电源模块1电源模块2关键器件冗余设计接口模块和风扇模块热插拔，可现场更换软件在线热补丁双机状态热备机制，可支持多种组网方式Bypass卡功能保证断电，down机，升级等异常情况下业务直通，不受影响路由器交换机华为防火墙当前第17页\共有57页\编于星期五\16点领先的平台架构—基于NP和VRP采用专门为防火墙设计的硬件平台NP（网络处理器）结构可以提供远远高于CPU架构的优异转发性能。NP的可编程能力可以处理复杂的首包处理等业务，抗攻击性能强，在复杂现网中能够提供可靠的安全保障NP支持以升级方式提供更丰富的业务，具备ASIC架构难以实现的平滑升级能力采用华为自主知识产权的VRP操作系统，避免通用系统的天然漏洞首包等复杂业务仍然依靠CPU，抗攻击性能差；且过于固化，无法升级CPUASICNPCPU功能灵活，可不断升级，弱点是性能低。NP(网络处理器)－高速处理和灵活性相结合NPPage18当前第18页\共有57页\编于星期五\16点防火墙自身架构技术分析优点缺点软件实现各种功能，灵活性和扩展性好性能差抗攻击能力差基于WINDOWS，LINUX等通用操作系统，稳定性差，并存在安全隐患复杂业务处理性能高（ACL、日志，NAT，VPN）NP处理首包能力强，抗攻击能力强灵活性高于ASIC架构灵活性低于CPU架构单纯业务处理性能高支持业务有限，灵活性很差，无法满足快速变化的安全需求采用CPU处理首包，抗攻击能力很差，在实际应用的复杂环境下性能也较差CPU架构ASIC架构NP架构Page19当前第19页\共有57页\编于星期五\16点汇报提纲华为公司存储与安全产品线介绍华为公司防火墙系列产品介绍华为公司防火墙产品技术华为公司防火墙功能介绍华为公司安全解决方案介绍华为公司防火墙应用案例当前第20页\共有57页\编于星期五\16点灵活的工作模式和组网能力路由模式：各接口具有确定的IP地址，内部和外部网络的设备都可配置到达本防火墙的路由，适合网络初建时，IP地址统一规划有助于全网络管理。支持多种动态单播路由协议：RIP、OSPF、BGP等。支持多种动态多播IGMP、PIM-DM、PIM-SM等路由协议，支持多播报文的正常转发。支持路由策略、路由迭代等高级路由功能。支持基于会话流的策略路由与安全特性（如NAT、ASPF）等协同工作的功能提供一条链路故障时，将流量切换到正常的链路中的负载分担功能。透明模式：各接口不配置IP地址，以透明方式嵌入到内部网络和外部网络之间，内部和外部网络的设备都察觉不到该防火墙的存在。适合网络改造时的组网。特点一：无需重新规划网络中的IP地址和路由，同时提供的网络安全性的保障。特点二：业务端口没有IP地址，可使防火墙免受外界入侵。特点三：能够提供无IP地址情况下的NAT功能。混合模式：某些接口工作在路由模式（接口具有IP地址），某些接口工作在透明模式下（接口无IP地址）。Page21当前第21页\共有57页\编于星期五\16点网络隔离－安全区域划分Untrust区域外部网络Internet接口1接口2LANDMZ区域Server接口3LANPC内部网络PCLocal区域Trust区域防火墙提供灵活的安全区域隔离功能，通过系统自带的4个安全区域：信任域、非信任域、DMZ域、本地域（防火墙本身），可以灵活的将网络隔离成不同的部分。所有逻辑接口都可以自由的划分在不同的安全区域中，包括子接口、隧道接口、物理接口等。可自定义16～800个安全区域，满足最复杂的组网要求。DMZPage22当前第22页\共有57页\编于星期五\16点ACL包过滤公司总部分支机构采用高效的硬件ACL技术，支持5万规则，规则数目不影响转发性能Internet攻击者上午8：00－下午5：00，只能访问特定的站点；其余时间可以访问其他站点从来的数据包能通过从来的数据包不能通过可以根据五元组信息、ICMP的协议类型(ping、tracert)等各种条件任意组合规则。可以根据VLAN标记定义策略。可以根据时间范围灵活定义规则。可以根据报文优先级(TOS域)灵活进行流分类。华为Page23当前第23页\共有57页\编于星期五\16点应用层内容过滤IP报头TCP/UDP报头应用数据华为防火墙采用改进的ASPF(ApplicationSpecificPacketFilter)状态检测技术，在提供根据5元组信息定义过滤规则的同时，还提供基于内容的定义过滤规则功能。支持包括H323/MGCP/SIP/H248/RTSP/HWCC，以及ICMP、FTP、DNS、PPTP、NBT、ILS、HTTP、SMTP等多种应用协议的检测能力。支持根据URL进行网址过滤。可以过滤HTTP报文中携带的有害程序。支持对SMTP中的有害命令进行过滤。可以对P2P报文进行过滤。IP报头TCP/UDP报头应用数据源端口目的端口协议号源地址目的地址利用应用数据载荷特点进行过滤规则定义IP报头TCP/UDP报头应用数据Page24当前第24页\共有57页\编于星期五\16点应用层及P2P流量监管Eudemon500/1000防火墙采用硬件深度检测技术通过监视报文载荷实现对应用层以及P2P流量进行控制。支持BT、HTTP、FTP等采用层次化的流量监管技术可以限定总的P2P流量可以针对不同用户的IP设定不同的流量以提供不同的服务可以根据IP限制对等连接数目进行控制可以设定P2P流量不同出口的流量以及优先通过的网络可以对上传和下载流量分别限定支持采用划分时间段的方式对P2P流量进行精确控制采用透明模式接入到网络，不会影响到网络的拓扑可以同时提供NAT和应用层及P2P流量控制功能骨干网2校园或城域网采用硬件应用层流控技术，启用流量监管不影响系统的性能宽带用户校园网用户网吧用户华为1000骨干出口1到骨干出口1的P2P总流量不超过100Mbps到骨干出口2的P2P总流量不超过20MbpsPage25当前第25页\共有57页\编于星期五\16点虚拟防火墙华为防火墙支持虚拟防火墙特性，最大100个.每个虚拟防火墙均可以独立支持TRUST、UNTRUST、DMZ、VZONE8个安全区域，接口灵活划分和分配。系统资源独立分配，提供独立的安全业务、NAT多实例、VPN多实例特性。典型的应用是VPN环境,虚拟防火墙的每个用户管理员可独立配置防火墙,例如去开通一个VPN链路,就象操作本地防火墙一样.根防火墙RootFW一台华为物理防火墙虚防火墙VirtualFWVZONETrustVPN-1DMZUnTrustTrustVPN-100DMZUnTrust华为Page26当前第26页\共有57页\编于星期五\16点SYNFlood攻击不会完成三次握手

正常TCP连接的三次握手

DDOS攻击防范－SYNFLOOD防御正常用户服务器服务器SYNFLOOD攻击是目前最流行的DDoS攻击手段，利用了TCP/IP协议的固有漏洞，面向连接的TCP三次握手是SYNFlood存在的基础，对所有使用TCP协议的服务都会有非常严重的危害。华为防火墙提供的SYNFLOOD攻击防御可以准确的识别攻击流量，采用的连接透明校验技术(不是采用简单的对SYN报文做CAR的技术)保证了在防范SYNFLOOD攻击的时候正常用户丝毫感受不到攻击的存在，可以实现服务器在遭受DDOS攻击的情况下，不影响正常用户的连接使用。能防御100万包/秒以上的DDOS攻击。远大于业界防御30万包/秒平均水平.1.SYN2.SYN+3.ACK1.SYN2.SYN+3.下一个SYNACKACK攻击者Page27当前第27页\共有57页\编于星期五\16点DDOS攻击防范－UDP/ICMP防御UDP/ICMPFLOOD攻击通过在短时间内向攻击目标发送大量的UDP/ICMP报文，致使目标系统负担过重而不能处理合法的连接。华为防火墙提供UDP/ICMPFLOOD攻击的防御，可以针对不同的目的主机采用不同的限制策略，可以针对ICMP的报文长度采用不同的丢弃策略，可以根据速率、连接数等不同的参数调整防御策略。华为防火墙提供的MAC和IP地址绑定功能可以一定程度地防御DHCPFlood等DDOS攻击方式。攻击者华为Page28当前第28页\共有57页\编于星期五\16点DDOS攻击防范－Smurf攻击防御Victim第一步：echorequest第二步：echoreplySMURF攻击通过ICMPECHO报文，使用欲攻击目标(Victim)的IP地址，发送ICMPECHOREQUEST报文给特定网段。该网段所有主机回给受害主机响应ICMPECHOREPLY，SMURF攻击会给局域网环境造成很大的危害华为系列防火墙可以有效的发现这种攻击行为，并且隔离攻击。InternetVictimInternet华为Page29当前第29页\共有57页\编于星期五\16点DDOS攻击防范－ICMP不可达/重定向攻击防御ICMP重定向：攻击者通过假冒网关(路由器)的地址，向用户主机发送ICMP重定向报文，导致主机的缺省网关地址被改变为攻击者的地址，从而导致网段(192.168.1.x)上的信息流向改变或拒绝服务。ICMP不可达：攻击者通过给网关(路由器)持续发送网络上某主机(Victim)不可达的ICMP报文，导致“Victim”无法被通过网关(路由器B)的主机访问，仿佛被从网络上“摘除”。华为根据状态表项可以准确的识别合法的ICMP不可达报文/重定向报文，隔离攻击。Internet正常用户攻击者路由器攻击者Victim被摘除192.168.1.3192.168.1.4发送大量ICMPedirect

报文路由器A被BypassICMP不可达ICMP重定向Page30当前第30页\共有57页\编于星期五\16点InternetWEBServerProxyDDOS攻击防范－CC攻击防御CC攻击是现在很流行的攻击手段，攻击者利用PROXY（代理服务器）对WEB服务器进行攻击，导致WEB服务停止工作。华为采用深层检测技术准确地检测CC攻击流量，发现攻击，并采用透明校验技术阻止攻击流量渗透到WEB服务器。基于硬件的检测体系保证了高效的处理能力，在做CC攻击防御的时候防火墙本身不会成为网络的瓶颈。Web服务器正常用户攻击者华为Page31当前第31页\共有57页\编于星期五\16点限制蠕虫病毒传播，快速查出染毒用户防范网络蠕虫病毒华为防火墙根据蠕虫病毒工作机理（启动IP地址扫描/端口扫描以探测设备是否存在，并瞬间产生大量的连接去感染其他设备）通过对每用户的流量监控和每用户连接数的检测，提供了智能的网络蠕虫病毒的检测和防范功能华为防火墙可以通过黑名单功能，根据可疑的用户名单列表，采取相应的用户管理措施，可以设定染毒用户继续通过，还是封闭该用户一段时间、公告、在线杀毒等下一步的服务。Page32当前第32页\共有57页\编于星期五\16点抵御拓扑探测UDP零字节长度UDP报文发送到特定端口观察ICMP应答PORTUNREACHABLE应答端口关闭无应答端口开放TCP发送SYN报文给待扫描主机的特定端口观察TCP应答SYN/ACK端口开放RST端口关闭发送FYN报文给待扫描主机的特定端口观察TCP应答无应答端口开放RST端口关闭操作系统指纹发送TCP报文导致对方应答接收TCP报文观察TCP报文头中保留位的用法观察TCP报文头中标记位的特定组合用法观察TCP初始序列码的选取方式发送特定ICMP报文观察ICMP应答报文的内容和方式给特定端口发送连接请求观察应答内容（如Login返回的提示）为了能发现系统漏洞，攻击者在攻击网络之前必须采用拓扑一定的探测手段获得来操作系统的版本、网络拓扑等信息，因此，抵御探测是防范网络攻击的基础，必须将其阻挡在萌芽状态。华为防火墙可以根据各种探测的特点有效地阻挡探测，防止探测者得到网络内部信息，对于探测者动态地加入黑名单，并提供黑名单日志以得到探测者列表。Page33当前第33页\共有57页\编于星期五\16点假冒IP地址攻击防御假冒IP地址攻击是最流行的网络层攻击之一，能让黑客可能控制一个现有的TCP/IP会话，所有类型的假冒攻击都是一种严重的威胁。华为防火墙可以根据用户的配置进行MAC和IP地址绑定，在特定的IP地址和MAC地址之间形成关联关系，对于声称从某个IP发送的报文，如果其MAC地址不是指定关系对中的地址，防火墙将予以丢弃。而发送给这个IP地址的报文，在通过防火墙时将被强制发送给绑定的MAC地址，从而形成有效的保护，是避免IP地址假冒攻击的一种方式。张三李四

王五Internet路由器192.168.1.3192.168.1.41：连接到张三，观察ISN规律2：采用DoS攻击方式攻瘫张三3：使用张三的地址发送信息4：Syn/ACK应答5：假冒张三的ACK&ISN应答Page34当前第34页\共有57页\编于星期五\16点华为系列防火墙提供地址池用来动态地、透明地为内网用户分配公网地址，以支持更多的内网用户同时上Internet。内网用户地址池最多支持65,280个地址华为NAT功能－NAT/PAT地址转换内网Internet地址池Page35当前第35页\共有57页\编于星期五\16点华为系列防火墙采用改进的ASPF(ApplicationSpecificPacketFilter)状态检测技术，支持丰富的多媒体/NGN协议，支持对多媒体业务的NAT以及安全防范功能，支持如下协议：H.323

(包括RAS、T.120)SIPMGCPH.248RTSP华为防火墙优秀的业务支持能力保证了防火墙不会成为网络上的业务瓶颈NAT功能－支持多媒体/NGN业务宽带IP网华为内网Page36当前第36页\共有57页\编于星期五\16点为MPLSVPN用户提供统一的Internet访问NAT功能－NAT多实例VPN-2MPLSCOREVPN-3VPN-1PEPECECEVPN-1CECECEVPN-2Internet采用不同的VLAN子接口对应不同VPN的方式，防火墙和PE设备连接华为PEVPN3用户VPN2用户VPN1用户华为上独立地保存三份NAT表，可以承担不同VPN用户的地址转换服务Page37当前第37页\共有57页\编于星期五\16点VPN功能－L2TPVPN业务华为防火墙通过进行用户验证，根据用户名、密码验证身份，提供可靠、安全的VPDN接入业务。支持采用Radius协议统一管理用户，提供双因素验证方式，采用令牌＋固定口令的方式提供高可靠的接入服务。支持L2TPoverIPSEC支持做LAC、LNS提供L2TPVPN多实例业务，保证VPN间真正隔离，最大100个。华为InternetVPN-2VPN-1VPN1出差用户VPN2出差用户VPN-100华为为每个VPN独立分配资源RadiusServerVPDN业务L2TP隧道Page38当前第38页\共有57页\编于星期五\16点VPN功能－GREVPN和IPSECVPN业务华为防火墙支持采用GRE协议和IPSEC协议(通过IKE的验证采用预共享密钥、电子证书等方式对IPSEC隧道进行验证)，提供高可靠的IntranetVPN、ExtranetVPN功能。支持MD5，SHA-1，IKE，PresharedKEY，手工配置密钥，CA证书等身份认证方式支持DES/3DES/AES加密支持基于国密办加密类型及其他的保密算法支持IPSEC穿越NAT提供GREVPN/IPSecVPN多实例特性，为每个VPN独立分配资源，保证VPN真正隔离，支持不同VPN私网地址重叠。华为InternetVPN-2VPN-1RadiusServerIntranetVPN、ExtranetVPN业务VPN1分支机构VPN2分支机构华为IPSec隧道Page39当前第39页\共有57页\编于星期五\16点VPN功能－IPVPN和MPLSVPN无缝集成VPN-2MPLSCOREVPN-3VPN-1PEPECECEVPN-1CECECEVPN-2Internet针对IPSEC用户采用密钥、CA证书进行身份验证。针对L2TP用户采用基于用户、密码的验证。华为PEVPN3用户VPN2服务器VPN1用户VPN1分支机构VPN2出差用户华为L2TP隧道IPSec隧道Page40当前第40页\共有57页\编于星期五\16点中/英文图形化界面帮助您准确快速地实施策略部署简单易用的图形化界面Page41当前第41页\共有57页\编于星期五\16点汇报提纲华为公司存储与安全产品线介绍华为公司防火墙系列产品介绍华为公司防火墙产品技术华为公司防火墙产品功能介绍华为公司安全解决方案介绍华为公司防火墙应用案例当前第42页\共有57页\编于星期五\16点数据中心IDC安全解决方案业务区1业务区2业务区3备份OceanStorS3000/S6000NIP1000NIP1000NIP1000Eudemon1000Tecal8000Tecal8000Tecal8000……InternetOceanStorS3000/S6000带库主要解决安全的问题：网络病毒传播引发的DDOS黑客入侵数据丢失主要组成部件产品：Eudemon1000/500NIP1000OceanStorS6000/S3000系列方案重要特点介绍：保障业务的连续运行，完善网络安全和数据安全整体设计电信级的高性能、高可靠性，合适数据中心的集中网络流量的环境要求保护现有投资，DACstore技术平滑扩容更简单内部网络tEudemon500Eudemon500Page43当前第43页\共有57页\编于星期五\16点企业网终端安全管理解决方案分支机构Eudemon1000防病毒服务器域管理服务器补丁服务器认证前域认证后域2认证后域3认证后域1NIP1000Eudemon500Eudemon500Secospace主要解决安全的问题：网络病毒的传播黑客攻击主要组成部件产品：SecoSpace软件Eudemon1000/500NIP1000方案重要特点介绍：软硬结合，灵活可靠安全联动，双重保护辅助安全管理,方便推行落实VPN内部网络AgentAgentAgentAgentAgentSRSSPSSACGIDS当前第44页\共有57页\编于星期五\16点DCN网络域隔离安全方案主要解决安全的问题：权限滥用病毒扩散安全事件响应速度关键资源缺乏重点防护主要组成部件产品：防火墙安全接入控制网关SecespaceIDS日志审计系统方案重要特点介绍：区域划分.精确控制.纵深防御.综合管理.Page45当前第45页\共有57页\编于星期五\16点VPN安全解决方案网络2网络3III区IV区IV区III区Eudemon500IV区Eudemon1000Eudemon500主要解决安全的问题：业务隔离和路由安全横向隔离主要组成部件产品：Eudemon1000/500/300USG50/3030/3040NE40/80方案重要特点介绍：国密算法更安全，同时支持MPLSVPN、IPSECVPN端到端的逻辑隔离，虚拟防火墙配合MPLSVPN完善的Qos保障，同时满足调度信息、数据、语音视频的传送需求III区MPLSVPN数据VPN语音视频VPN调度VPNIPSecIPSecIPSecNE40/80NE40/80NE40/80当前第46页\共有57页\编于星期五\16点城域网异常流量清洗方案内部安全威胁上级网络外部安全威胁IDC大客户/网吧P2P，VoIP等监测及分析中心智能安全管理中心控制及清洗中心城域网宽带接入网主要解决安全的问题：DDoS频发P2P流量过大蠕虫泛滥主要组成部件产品：Eudemon8040/8080SIG方案重要特点介绍：有效防范攻击流量智能防控异常流量提供网络行为分析实现业务精细控制Eudemon8080/8040SIGPage47当前第47页\共有57页\编于星期五\16点汇报提纲华为公司存储与安全产品线介绍华为公司防火墙系列产品介绍华为公司防火墙产品技术及功能介绍华为公司安全解决方案介绍华为公司防火墙应用案例当前第48页\共有57页\编于星期五\16点莆田电信IDC中心

省干核心GSRGE2.5GPOS心跳线FE前台业务层S8512S8512S8505Eudemon1000100台服务器群S5624S8505S5624NIP1000NIP1000Page49当前第49页\共有57页\编于星期五\16点延吉网通IDC的组网应用—DDOS防范1、该局点是一个数据中心，防火墙采用透明模式，上下均是三层交换机。后边下挂10台左右的二层交换机，带200余台服务器，包括Web、游戏、邮件、FTP、VOD点播等，上行流量已达到200Mbps左右。并发连接数在15000左右。2、该点使用的主要特性有：攻击防范，包括SYNFlood攻击、UDPFlood攻击、ICMPFlood攻击、IP地址扫描、TCP/UDP端口扫描防范，以及其它一些畸形报文攻击；动态对每个IP的指定流量的连接数量和带宽进行监控；透明模式，做到无缝切换。E1000防火墙serverS8016ExtremeAlpine3808接入层P