华为AI防火墙技术白皮书.pdf_防火墙白皮书

防火墙

需积分: 12 100 浏览量更新于2023-03-03 评论收藏 2.67MB PDF 举报

身份认证购VIP最低享 7 折!

领优惠券(最高得80元）

资源详情

资源评论

资源推荐

HiSecEngine USG6000E

技术白皮书

Security Level

2020-05-26

HUAWEI Confidential

Page1, Total28

华为技术有限公司

Huawei Technologies Co. Ltd.

产品版本

Product version

密级

Confidentiality level

产品名称Product name:

Total pages：共×页

华为HiSecEngine USG6000E系列AI防

火墙技术白皮书

华为技术有限公司

Huawei Technologies Co., Ltd.

HiSecEngine USG6000E

技术白皮书

Security Level

2020-05-26

HUAWEI Confidential

Page2, Total28

1 概述 ............................................................................................................................................... 3

2 技术架构 ....................................................................................................................................... 5

2.1 创新的混合硬件加速 ....................................................................................................... 5

2.2 USG6000E内部处理流程 ................................................................................................... 6

2.3 多种加速机制 ................................................................................................................... 7

2.3.1 防火墙流程快转 ..................................................................................................... 7

2.3.2 DDoS 流程快转 ....................................................................................................... 7

2.3.3 IPSec流水线处理 ................................................................................................... 8

2.3.4 模式匹配加速 ......................................................................................................... 9

2.4 不同型号的硬件架构 ..................................................................................................... 10

2.4.1 高端型号硬件架构 ............................................................................................... 10

2.4.2 中端型号硬件架构 ............................................................................................... 11

2.4.3 低端和桌面款型号硬件架构 ............................................................................... 11

3 高级威胁防护 ............................................................................................................................. 12

3.1 高级威胁攻击过程剖析 ................................................................................................. 12

3.1.1 首次入侵 ............................................................................................................... 12

3.1.2 命令与控制 ........................................................................................................... 13

3.1.3 扩展成果 ............................................................................................................... 13

3.1.4 窃取和破坏 ........................................................................................................... 13

3.2 高级威胁防御方案 ......................................................................................................... 14

3.2.1 威胁情报共享 ....................................................................................................... 14

3.2.2 恶意软件检测 ....................................................................................................... 16

3.2.3 阻断恶意外联 ....................................................................................................... 17

3.2.4 加密流量检测能力 ............................................................................................... 18

4 诱捕技术 ..................................................................................................................................... 18

4.1 诱捕方案原理 ................................................................................................................. 19

4.2 华为诱捕方案介绍 ......................................................................................................... 20

5 智能管理 ..................................................................................................................................... 22

5.1 策略优化及业务编排 ..................................................................................................... 22

5.1.1 策略管理 ............................................................................................................... 22

5.1.2 业务编排 ............................................................................................................... 23

5.2 日志分析 ......................................................................................................................... 24

5.3 健康检查 ......................................................................................................................... 24

6 云管理 ......................................................................................................................................... 25

6.1 典型场景 ......................................................................................................................... 25

6.2 即插即用 ......................................................................................................................... 26

6.3 多站点地址管理 ............................................................................................................. 27

6.4 认证授权 ......................................................................................................................... 27

6.5 访问控制 ......................................................................................................................... 28

6.6 VPN接入 ........................................................................................................................... 28

HiSecEngine USG6000E

技术白皮书

Security Level

2020-05-26

HUAWEI Confidential

Page3, Total28

华为HiSecEngine USG6000E系列AI防火墙技术白皮

书

1 概述

防火墙作为网络安全的第一道防线，自诞生之日起就作为内部网和外部网之间的屏障，

起到了不可代替的作用。发展至今日，防火墙经历了最原始的包过滤防火墙、状态检测防火

墙、UTM 及现在大家都在使用的 NGFW （下一代防火墙）。安全检测和防护技术也在不断演

进，随着攻击越来越复杂，对网络威胁的检测也在逐层深入。

NGFW 概念始于 Gartner 在 2009 年的定义，NGFW 不仅仅是传统 UTM 和防火墙的简单

集成升级，而是提供了更加全面的应用及用户识别机制，更灵活的控制安全防御能力和一体

化的威胁防护能力。

随着网络技术的飞速发展、网络带宽的增加和信息化建设的不断深入，互联网已经逐渐

渗透到人们工作和生活的每一个角落，成为不可或缺的一部分。防火墙也因此面临着更大的

挑战。

 性能

近年来，75%以上的网络攻击都发生在应用层，甚至 DDoS 攻击也在逐渐向应用层上移，

为了完成各种复杂应用层攻击的威胁检测，防火墙需要对应用层做编解码处理并且进行大量

的模式匹配及异常行为分析的计算。

另外，用户通常会使用防火墙的 VPN 能力对通信流量进一步加密以确保其安全性并防止

数据遭到破坏或篡改，特别是采用复杂的加密算法时，防火墙性能尤为重要。

大量的应用层检测及加解密的计算处理会导致设备的业务性能大幅下降，容易成为限制

网络带宽的瓶颈，也极大的制约了防火墙在在网络中的实际应用。同时随着网络规模越来越

大，数据传输速率越来越快，把高速的性能和最大限度的安全性有机结合在一起，有效地消

除性能瓶颈已经成为防火墙的一个关键技术点。

 高级威胁检测

传统的网络安全防护方案主要依赖于在被攻击前及时获得准确的威胁情报，包括威胁的

上下文、机制、特征和对策等，以用于决策安全防护动作。这种机制是过去十几年里最普遍，

也是最有效的威胁防护方式，直到现在，依然是所有应用层安全防护产品最主要的防护机制。

采用这种机制的典型安全功能有：防病毒、入侵防御、恶意网站过滤等等。

HiSecEngine USG6000E

技术白皮书

Security Level

2020-05-26

HUAWEI Confidential

Page4, Total28

然而，随着攻击手段不断演进，现在的威胁更具针对性和隐蔽性。攻击者针对特定的受

害者结合多种攻击方法、0day 漏洞、恶意软件以及社会工程学等方式绕开传统的网络安全

设备的检测。因此，需要构筑多维度的安全防御体系才能全面有效地抵御高级威胁攻击。

一套完善的高级威胁防护解决方案可能包含从大数据分析到终端软件安全套件在内的

多套系统，对部署成本和运维人员的专业水平也有很高的要求。因此，除了全面的防护体系

外，针对一般企业用户，还需要有一种易于部署和维护、成本合理的防御方案。

 加密流量检测

企业为了保护数据和应用服务的安全，开始大量采用加密技术。例如，使用 HTTPS 服

务代替传统的 HTTP。据 Gartner 预测，到 2019 年，80％的 Web 流量将实现加密。与此

同时，黑客们同样可以利用加密技术将其推送的恶意软件、欲传达的恶意命令都藏匿于加密

流量当中，规避检测，确保恶意活动能够正常实施。

当前针对加密流量进行威胁检测的方案主要是利用中间人的代理技术对 SSL 出站和入

站的流量进行检测。这种方式虽然可以提供对加密流量的深度包检测能力，但是在网络中存

在大量加密流量的情况下，会消耗大量计算资源，使网络设备的处理性能大幅度下降。同时，

该方案的部署场景也会存在一定的局限性。因此提供高解密性能甚至不解密的威胁检测方案

也是未来防火墙的一个关键能力。

 智能化（检测和管理）

随着智能化技术在实际应用中崭露头角，防火墙也中已经越来越多的融入了“思考”的

能力。这些新的能力作为传统的被动威胁检测手段的补充，通过一定的统计、学习将经验固

化甚至可以和大数据平台协同，在纷繁复杂的网络数据包中主动发现网络中的扫描、渗透等

隐藏的威胁行为，并可以基于分析的结果进行决策或协助用户进行决策。

同时，网络安全策略的智能化管理和优化、网络威胁的可视化也越来越多的为人们所重

视。如何使管理员的网络工程变的更高效，如何在海量的日志数据中快速识别出真正有意义

的威胁事件，都影响着能否去构筑一个至简、智能的安全网络。

 云管理全网融合

随着网络技术发展与企业务的不断扩展，网络的数量和规模不断扩大，但单点规模小，

整体网络规模大，且各分支站点之间异地分布等特点使得企业需要集中管理以降低本地运维

工作量。另一方面，很多企业内部 IT 投入不足，自己没有强力的 IT 团队，往往需要第三

方帮助快速满足 IT 需求，会大量增加运营成本。

云管理方式可以通过云端集中式管理系统构筑大规模的业务运维能力，通过严密的权限

管理和安全机制来实现数据和信息的管理。用户在云端实现网络规划、部署和运维，友好的

HiSecEngine USG6000E

技术白皮书

Security Level

2020-05-26

HUAWEI Confidential

Page5, Total28

界面让网络管理化繁为简，设备即插即用，缩短业务上线周期，使 IT 的管理更加便捷和高

效。

华为推出的 HiSecEngine USG6000E 系列全新一代防火墙内置智能高级威胁检测引擎，

支持加密流量免解密威胁检测，同时通过联动云端，威胁检出率达到 99%以上；自主研发安

全芯片内置加速引擎，实现 IPSec、入侵防御、反病毒等防火墙关键功能的优化加速，威胁

处置性能大幅提升；接口集成度业界最高，最多可同时提供 100GE、40GE、10GE、GE 等多种

接口模块，同时，支持云管理、智能选路等特性，满足用户多样化的接入和管理诉求。

2 技术架构

全新的HiSecEngine USG6000E系列防火墙，采用有别于行业一般架构的全新融合网关架

构。

2.1 创新的混合硬件加速

传统的网关类安全产品，如防火墙、UTM等，一般都采用通用或者专用的多核处理器来

完成从网络层到应用层的各种业务。由于每一个网络层次所需要的处理机制和处理能力不

尽相同，这种架构下，处理器很容易成为处理瓶颈。

为了打破这个瓶颈，华为使用了多种不同的加速器件，并通过全新研发的全新融合网

关架构使之有机配合，实现了性能上的突破。这类器件包括：



网络处理器（NP）

网络处理器在USG6000E防火墙中位于网络接口和主处理器（CPU）的报文路径上，

以直路方式工作。网络处理器由多路可并行执行的高性能微核和协处理器组成，集成

了超高带宽的接口、专用的查表机制，这些机制使我们能够提供极高的防火墙转发性

能和DDoS防御性能。

USG6000E防火墙采用的网络处理器来自于华为海思半导体，根据款型不同，采用

的网络处理器有SD5891，SD5980，及 SoC HI1213所内置的网络处理器。



智能网卡

华为的智能网卡不仅为主处理器扩展了超大带宽的网络接口通讯能力，也提供了

丰富的二、三、四层网络协议的卸载功能；除此之外，智能网卡还提供了队列，流量

管理等功能，减轻了CPU的资源消耗，从而可以使CPU有更多的资源来处理更加复杂的

高级安全业务。

USG6000E 防火墙采用的智能网卡是来自于华为海思半导体的HI1822。

 FPGA

FPGA全称是现场可编程逻辑门阵列，是一种可编程器件。在USG6000E中，FPGA被

设计为实现两大功能：

一个是扩展网络处理器的会话访问规模和性能，用于满足超高的防火墙会话规格

剩余27页未读，继续阅读

灵魂漫步者

粉丝: 31
资源: 7

会员权益专享

华为AI防火墙技术白皮书.pdf

评论0

会员权益专享

最新资源

华为AI防火墙技术白皮书.pdf

评论0

华为USG6000系列防火墙产品技术白皮书(总体)

《华为防火墙实战指南》 .rar

华为USG6000下一代防火墙技术白皮书

2021华为数字孪生城市白皮书.pdf

华为培训-网络基础.pdf 下载

华为数据治理之旅行 .pdf

华为交换机配置手册指导 .pdf 下载

华为的《nb-iot.pdf》

华为云计算平台架构介绍.pdf

华为模拟电路讲义全册.pdf

华为数据之道.pdf下载

华为流程体系建设与运营.pdf

华为硬件工程师培训资料.pdf

华为ipd产品开发流程.pdf

华为-热设计培训教材.pdf

华为数字化转型实践.pdf

华为交换机配置入门到精通.pdf

华为wifi 6(802.11ax)技术白皮书

华为硬件工程师手册.pdf

华为反激变压器培训.pdf

会员权益专享

最新资源