下一代防火墙产品-功能列表

6-1华为Eudemon1000E-N 下一代防火墙华为Eudemon1000E-N 下一代防火墙Eudemon1000E-N 下一代防火墙随着互联网技术的不断发展，智能手机、iPad 等终端被更多地应用到办公中，移动应用程序、Web2.0、社交网络应用于生产生活的方方面面。

网络边界变得模糊，信息安全问题日益复杂。

传统的安全网关通常只能通过IP 和端口进行安全防护，难以完全应对层出不穷的应用威胁和Web 威胁。

Eudemon1000E-N 系列是华为公司为解决运营商、企业、政府、数据中心等机构的网络安全问题自主研发的下一代防火墙产品。

它基于业界领先的软、硬件体系架构，通过对应用、用户、威胁、时间、位置的全面感知，将网络环境清晰的映射为业务环境。

在应用识别的基础上提供精准的管控能力，融合了IPS 攻击防护、AV 防病毒、URL 过滤，Web 内容过滤，反垃圾邮件和邮件过滤等行业领先的专业安全技术，支持IPv6防护及过渡技术，为用户提供强大、可扩展、持续的安全能力。

在运营商、政府、金融、电力、石油、教育、工业制造等行业得到广泛应用。

下一代防火墙，地址才能“应用（Application ）、时间（Time ）、用户多个维度解析企业的业务流量，并结合各种维度进行、行为识别等技术手段，准确识别超过6000个网络应用。

• 用户：通过Radius 、LDAP 、AD 等8种用户识别手段，将流量中的IP 地址与现实世界中的用户信息联系起来。

基于用户对网络流量进行管控。

• 威胁：支持超过5000+特征的攻击检测和防御。

支持Web 攻击识别和防护，如跨站脚本攻击、SQL注入攻击等。

可以识别和防范SYN flood 、UDP flood 等10+种DDoS 攻击，识别500多万种病毒。

采用基于云的URL 分类过滤，预定义的URL 分类库已超过8500万，阻止访问恶意网站带来的威胁。

• 位置：与全球位置信息结合，识别流量及威胁发起的位置信息；使用流量地图和威胁地图快速发现异常，进而制定对应的防护策略。

数据表Cisco Firepower 下一代防火墙Cisco Firepower™ 下一代防火墙 (NGFW) 是业内首款具有统一管理功能的完全集成、专注于威胁防御的下一代防火墙。

它包括应用可视性与可控性 (AVC)、可选的Firepower 下一代 IPS (NGIPS)、思科®高级恶意软件防护 (AMP) 和 URL 过滤。

在攻击前、攻击中和攻击后，Cisco Firepower NGFW 均可提供高级威胁防护。

性能亮点表 1 概述 Cisco Firepower NGFW 4100 系列和 9300 设备的性能亮点。

表 1.性能亮点1 Cisco Firepower 4150 计划于 2016 年上半年发布；具体技术参数将于日后发布 2数据包平均大小为 1024 字节的 HTTP 会话Cisco Firepower 4100 系列： 带 40-GbE 接口的业内首款 1RU NGFWCisco Firepower 9300： 随需求增长可扩展的超高性能 NGFW平台支持Cisco Firepower 4100 系列和 Firepower 9300 NGFW 设备使用 Cisco Firepower 威胁防御软件映像。

这些设备还可以支持思科自适应安全设备 (ASA) 软件映像。

Cisco Firepower 管理中心（原来的 FireSIGHT）提供 Cisco Firepower NGFW 以及 Cisco Firepower NGIPS 和思科 AMP 的统一管理。

此外，优选 Cisco Firepower 设备上还提供直接源自思科的 Radware DefensePro 分布式拒绝服务 (DDoS) 缓解功能。

Cisco Firepower 4100 系列设备Cisco Firepower 4100 系列包括四个专注于威胁防御的 NGFW 安全平台。

其最大吞吐量从 20 Gbps 到 60 Gbps 以上，可应对从互联网边缘到数据中心等各种使用案例。

fortinet fg-1100e技术参数
Fortinet的FG-1100E系列下一代防火墙（NGFW）是一款高性能的网络安全防御产品，适用于大型企业和网络服务供应商。

以下是Fortinet FG-1100E系列的技术参数：
网络分段：该系列防火墙支持网络分段功能，可以根据企业安全策略将网络划分为不同的安全区域，实现精细化的安全控制。

IPS（入侵防御系统）：FG-1100E系列集成高性能的IPS功能，能够实时检测和防御各种网络攻击，保护企业网络免受恶意软件的威胁。

移动安全：该系列防火墙支持移动设备安全管理，能够控制移动设备的网络访问权限，保护企业数据的安全。

接口和性能：FG-1100E系列具有多个高速接口，可以满足大型企业和网络服务供应商的高带宽需求。

同时，该系列防火墙具有高接口密度，可以灵活地部署在企业/云边缘、数据中心或内部网段中。

安全性能：FG-1100E系列防火墙采用Fortinet的FortOS操作系统，集成了防火墙、VPN、入侵防御、内容过滤等多种安全功能，具有出色的安全性能。

高吞吐量：该系列防火墙支持高吞吐量数据处理，能够满足大型企业和网络服务供应商对网络性能的要求。

总之，Fortinet的FG-1100E系列下一代防火墙是一款高性能、高安全的网络安全产品，适用于大型企业和网络服务供应商。

其技术参数包括网络分段、IPS、移动安全、高速接口和高吞吐量等，可以为企业提供全面的网络安全保护。

SANGFOR深信服下⼀代防⽕墙介绍（AF-1120AF-1210）国内下⼀代防⽕墙第⼀品牌深信服下⼀代防⽕墙（Next-Generation Application Firewall）NGAF是⾯向应⽤层设计，能够精确识别⽤户、应⽤和内容，具备完整安全防护能⼒，能够全⾯替代传统防⽕墙，并具有强劲应⽤层处理能⼒的全新⽹络安全设备。

NGAF解决了传统安全设备在应⽤识别、访问控制、内容安全防护等⽅⾯的不⾜，同时开启所有功能后性能不会⼤幅下降。

区别于传统的⽹络层防⽕墙，NGAF具备L2-L7层的协议的理解能⼒。

不仅能够实现⽹络层访问控制的功能，且能够对应⽤进⾏识别、控制、防护，解决了传统防⽕墙应⽤层控制和防护能⼒不⾜的问题。

区别于传统DPI技术的⼊侵防御系统，深信服NGAF具备深⼊应⽤内容的威胁分析能⼒，具备双向的内容检测能⼒为⽤户提供完整的应⽤层安全防护功能。

同样都能防护web攻击，与web应⽤防⽕墙关注web应⽤程序安全的设计理念不同，深信服下⼀代防⽕墙NGAF关注web系统在对外发布的过程中各个层⾯的安全问题，为对外发布系统打造坚实的防御体系。

关键指标（产品参数可能有改动，以深信服公司公告为准）功能参数项⽬具体功能部署⽅式⽀持⽹关、⽹桥、旁路和混杂模式；实时监控实时提供CPU、内存、磁盘占⽤率、会话数、在线⽤户数、⽹络接⼝的鞥设备资源信息；提供安全事件信息，包括最近安全事件、服务器安全事件、终端安全事件等，事件信息提供发⽣事件、源IP、⽬的IP、攻击类型以及攻击的URL等；提供实时智能模块间联动封锁的源IP 以便实现动态智能安全管理；⽹络适应性⽀持静态路由、RIP v1/2、OSPF、策略路由；⽀持ARP、域名解析、DHCP中继、DHCP 服务器、DHCP客户端等IP服务；包过滤与状态检测提供静态的包过滤和动态包过滤功能；⽀持的应⽤层报⽂过滤，包括：应⽤层协议：FTP、HTTP、SMTP、RTSP、H.323（Q.931，H.245，RTP/RTCP）、SQLNET、MMS、PPTP等；传输层协议：TCP、UDP；NAT地址转换⽀持多个内部地址映射到同⼀个公⽹地址、多个内部地址映射到多个公⽹地址、内部地址到公⽹地址⼀⼀映射、源地址和⽬的地址同时转换、外部⽹络主机访问内部服务器、⽀持DNS 映射功能；可配置⽀持地址转换的有效时间；⽀持多种NAT ALG，包括DNS、FTP、H.323、SIP等抗攻击特性可防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood等多种DOS/DDOS攻击IPSEC VPN ⽀持AES、DES、3DES、MD5、SHA1、DH、RC4等算法，并且⽀持扩展国密办SCB2等其他加密算法⽀持MD5及SHA-1验证算法；⽀持各种NAT⽹络环境下的VPN组⽹；⽀持第三⽅标准IPSec VPN进⾏对接；*总部与分⽀有多条线路，可在线路间⼀⼀进⾏IPSecVPN 隧道建⽴，并设置主隧道及备份隧道，对主隧道可进⾏带宽叠加、按包或会话进⾏流量平均分配，主隧道断开备份隧道⾃动启⽤，保证IPSecVPN 连接不中断；可为每⼀分⽀单独设置不同的多线路策略；单臂部署下同样⽀持多线路策略；应⽤访问控制策略⽀持应⽤2000种以上的应⽤动作的应⽤识别；⽀持应⽤更新版本后的主动识别和控制的应⽤智能识别；提供基于应⽤识别类型、⽤户名、接⼝、安全域、IP地址、端⼝、时间进⾏应⽤访问控制列表的制定；⼆层协议⽀持802.3、AX25、802.2等多种⼆层协议过滤威胁检测⽀持基于特征匹配、协议异常检测、智能应⽤识别等⽅式针对已知威胁进⾏检测；⽀持基于威胁关联分析的检测机制，针对未知威胁进⾏分析检测；IPS⼊侵防护（选配）微软“MAPP”计划会员，漏洞特征库: 2800+并获得CVE“兼容性认证证书”，能够⾃动或者⼿动升级；防护类型包括蠕⾍/⽊马/后门/DoS/DDoS攻击探测/扫描/间谍软件/利⽤漏洞的攻击/缓冲区溢出攻击/协议异常/ IPS逃逸攻击等；防护对象分为保护服务器和保护客户端两⼤类，便于策略部署；漏洞详细信息显⽰：漏洞ID、漏洞名称、漏洞描述、攻击对象、危险等级、参考信息、地址等内容；⽀持⾃动拦截、记录⽇志、上传灰度威胁到“云端”服务器防护（选配）⽀持web攻击特征数量1000+；⽀持Web⽹站隐藏，包括HTTP响应报⽂头出错页⾯的过滤，web响应报⽂头可⾃定义；⽀持FTP服务应⽤信息隐藏包括：服务器信息、软件版本信息等；⽀持OWASP定义10⼤web安全威胁，保护服务器免受基于Web应⽤的攻击，如SQL注⼊防护、XSS攻击防护、CSRF攻击防护、⽀持根据⽹站登录路径保护⼝令暴⼒破解；⽀持web站点扫描、web站点结构扫描、漏洞扫描等扫描防护；可严格控制上传⽂件类型，检查⽂件头的特征码防⽌有安全隐患的⽂件上传⾄服务器，并⽀持结合病毒防护、插件过滤等功能检查⽂件安全性；⽀持指定URL的⿊名单、加⼊排除URL⽬录，ftp弱⼝令防护、telnet 弱⼝令防护等功能；敏感信息防泄漏内置常见敏感信息的特征，且可⾃定义敏感信息特征，如⽤户名、密码、邮箱、⾝份证信息、MD5密码等，可⾃定义具有特殊特征的敏感信息；⽀持正常访问http连接中⾮法敏感信息的外泄操作；⽀持数据库⽂件敏感信息检测，防⽌数据库⽂件被“拖库”、“暴库”；风险评估⽀持服务器、客户端的漏洞风险评估功能，⽀持对⽬标IP进⾏端⼝、服务扫描；⽀持ftp、mysql、oracle、mssql、ssh、RDP、⽹上邻居NetBIOS、VNC等多种应⽤的弱⼝令评估与扫描；风险评估可以实现与FW、IPS、服务器防护模块的智能策略联动，⾃动⽣成策略；⽹页篡改防护⽹关型⽹页防篡改，⽆需在服务器中安装任何插件；⽀持⽂件⽐对、特征码⽐对、⽹站元素、数字指纹⽐对多种⽐对⽅式，保证⽹站安全；全⾯保护⽹站的静态⽹页和动态⽹页，⽀持⽹页的⾃动发布、篡改检测、应⽤保护、警告和⾃动恢复，保证传输、鉴别、地址访问、表单提交、审计等各个环节的安全，完全实时杜绝篡改后的⽹页被访问的可能性及任何使⽤Web⽅式对后台数据库的篡改；⽀持各级页⾯模糊框架匹配、精确匹配的⽅式适⽤不同的⽹页类型；⽀持提供管理员业务操作界⾯与⽹管管理界⾯分离功能，⽅便业务⼈员更新⽹站内容；⽀持通过替换、重定向等技术⼿段，防护篡改页⾯；⽹站维护管理员必须通过短信认证才可进⾏⽹站更新业务操作（选配）；⽀持短信报警、邮件报警、控制台报警等多种篡改报警⽅式；病毒防护（选配）⽀持基于流引擎查毒技术，可以针对HTTP、FTP、SMTP、POP3等协议进⾏查杀；能实时查杀⼤量⽂件型、⽹络型和混合型等各类病毒；并采⽤新⼀代虚拟脱壳和⾏为判断技术，准确查杀各种变种病毒、未知病毒；内置10万条以上的病毒库，并且可以⾃动或者⼿动升级；检测到病毒后⽀持记录⽇志、阻断连接；Web安全防护对⽤户web⾏为进⾏过滤，保护⽤户免受攻击；⽀持只过滤HTTP GET、HTTP POST、HTTPS 等应⽤⾏为；并进⾏阻断和记录⽇志；⽀持针对上传、下载等操作进⾏⽂件过滤；⽀持⾃定义⽂件类型进⾏过滤；⽀持基于时间表的策略制定；⽀持的处理动作包括：阻断和记录⽇志；⽀持基于签名证书的ActiveX过滤；⽀持添加⽩名单和合法⽹站列表；⽀持基于应⽤类型的ActiveX过滤，如视频、在线杀毒、娱乐等；⽀持基于操作类型的脚本过滤，如注册表读写、⽂件读写、变形脚本、威胁对象调⽤、恶意图⽚等；流量管理⽀持同时连接多条外⽹线路，且⽀持多线路复⽤和智能选路技术；⽀持将多条外⽹线路虚拟映射到设备上，实现对多线路的分别流控；⽀持基于应⽤类型、⽹站类型、⽂件类型的带宽划分与分配；⽀持时间和IP的带宽划分与分配；⽤户管理⽀持基于⽤户名/密码、单点登陆以及基于IP地址、MAC地址、计算机名的识别等多种认证⽅式；⽀持AD域结合、Proxy、POP3、web 表单等多种单点登陆⽅式，简化⽤户操作；*可强制指定⽤户、指定IP段的⽤户必须使⽤单点登录；⽀持添加到指定本地组、临时账号和不允许新⽤户认证等新⽤户认证策略；⽀持强制AD域认证，指定⽤户必须⽤AD域账户登录操作系统，否则禁⽌上⽹；认证成功的⽤户⽀持页⾯跳转，包括最近请求页⾯、管理员制定URL、注销页⾯等；⽀持CSV格式⽂件导⼊、扫描导⼊和从外部LDAP服务器上导⼊等账户导⼊⽅式；⽤户分组⽀持树形结构，⽀持⽗组、⼦组、组内套组等组织结构；⽹关管理⽀持SSL加密WEB⽅式管理设备；⽀持邮件、短信（可扩展）等告警⽅式，可提供管理员登陆、病毒、IPS、web攻击以及⽇志存储空间不⾜等告警设置；提供图形化排障⼯具，便于管理员排查策略错误等故障；提供路由、⽹桥、旁路等部署模式的配置引导，提供保护服务器、保护内⽹⽤户上⽹安全、保证内⽹⽤户上⽹带宽、保证遭到攻击及时提醒和保留证据等⽹关应⽤场景的配置引导，简化管理员配置；⽇志管理与报表提供端⼝、服务、漏洞、弱密码等安全风险评估报表；提供DOS攻击、web防护、IPS、病毒、web威胁、⽹站访问、应⽤控制、⽤户登录、系统操作等多种安全⽇志查询；提供可定义时间内安全趋势分析报表；⽀持⾃定义统计指定IP/⽤户组/⽤户/应⽤在指定时间段内的服务器安全风险、终端安全风险等内容，并形成报表；⽀持将统计/趋势等报表⾃动发送到指定邮箱；⽀持导出安全统计/趋势等报表，包括⽹页、PDF等格式；。

Huawei USG6650/6660/6670/6680 next-generation firewalls are designed for small data centers and large or medium-sized enterprises. The firewalls provide full-fledged application identification and application-layer threat and attack defense capabilities, and deliver high performance even when multiple security functions are enabled. The firewalls also offer multiple interface card slots that support various interface cards, such as GE electrical/optical and 10 GE interface cards. These cards allow users to flexibly expand services and enable the firewalls to evolve with enterprise networks, making USG6650/6660/6670/6680 firewalls highly cost-effective and protecting customer investment.HighlightsComprehensive protection, third-party proven security capability• Integrate firewall, VPN, intrusion prevention, antivirus, data leak prevention, bandwidth management,and online behavior management functions all in one device• Obtained Firewall, IPS, IPsec, and SSL VPN certifications from the ICSA Labs• Obtained the highest-level CC certificate (EAL4+), ranking among the highest security levels in the world • The USG6650 earned the “Recommended” rating with 98.1 percent comprehensive security effectivenessand 99.95 percent CAWS (Live) Exploit Block Rate, leading the industry in terms of security capabilities Visualized and fine-grained management and control• Deliver diversified reports to provide all-around visibility into service status, network environment, securityposture, and user behavior• Identify application-layer threats from application, content, time, user, attack, and location dimensions •Accurately identify more than 6000 applications to deliver fine-grained access control and improve thequality of key servicesHUAWEI USG6650/6660/6670/6680 Next-Generation Firewalls---High-Performance Security for Small Data Centers and Large or Medium-sized EnterprisesHigh port density• Support various types of interface cards, such as GE electrical/optical and 10 GE interface cards, providing up to 78 interfaces, including 56 GE electrical, 8 SFP optical, and 14 10GE optical interfaces • Provide multiple high-density interface card slots, enabling users to flexibly expand the hardware and performance to suit service requirements• Support dual AC or DC hot-swappable power suppliesDeploymentData center border protection• Firewalls are deployed at egresses of data centers, and functions and system resources can be virtualized.• The 10-Gigabit intrusion prevention capability effectively blocks a variety of malicious attacks and delivers differentiated defense based on virtual environment requirements to guarantee data security.• VPN tunnels can be set up between firewalls and mobile workers and between firewalls and branch offices for secure and low-cost remote access and mobile working.Enterprise border protection• Block all unauthorized access attempts at enterprise network egresses.• Provide real-time 10-Gigabit-level application-layer threat prevention, even when IPS is enabled.• Perform data filtering and auditing on files transmitted through sources such as email and IM to monitor social network applications and prevent data leaks.• Deliver user- and application-specific bandwidth management to guarantee service quality for core users and of mission-critical services.• Support online behavior management based on URL categories and applications to block access to malicious websites and websites irrelevant to work.Enterprise networkHardwareInterfaces1. 8 x GE (RJ45) and 2 x 10 GE (SFP+) Ports2. 8 x GE (SFP) Ports3. 2 x USB Ports4. 1 x GE (RJ45) Management Port5. Console Port (RJ45)6. Console Port (Mini-USB)USG6650/6660-ACUSG6660-DCInterfaces1. 8 x GE (RJ45) and 2 x 10GE (SFP+) Ports2. 8 x GE (RJ45) and 2 x 10GE (SFP+) Ports3. 8 x GE (SFP) Ports4. 2 x USB Ports5. 1 x GE (RJ45) Management Port6. Console Port (RJ45)7. Console Port (Mini-USB)USG6670-ACUSG6670-DCInterfaces1. 8 x GE (RJ45) and 2 x 10GE (SFP+) Ports2. 8 x GE (RJ45) and 2 x 10GE (SFP+) Ports3. 8 x GE (SFP) Ports4. 2 x USB Ports5. 1 x GE (RJ45) Management Port6. Console Port (RJ45)7. Console Port (Mini-USB)USG6680-ACUSG6680-DCTable 1. Wide Service Interface Cards (WSICs) for USG6600 SeriesSoftware Features1: I f no hard disk is inserted, you can view and export system and service logs. By inserting a hard disk, you can also view, export, customize, and subscribe to reports.Functions marked with * are supported only in USG V500R001 and later versions.Specifications *System Performance and Capacity1. P erformance is tested under ideal conditions based on RFC 2544 and RFC 3511. The actual result may vary with deployment environments.2. Antivirus, IPS, and SA performances are measured using 100 KB of HTTP files.3. Throughput is measured with the Enterprise Traffic Model.4. SSL inspection throughput is measured with IPS-enabled and HTTPS traffic using TLS v1.2 with AES256-SHA.5. SSL VPN throughput is measured using TLS v1.2 with AES128-SHA.6. USG6000 V100R001 supports only the RESTCONF interface and cannot interwork with sandbox or third-party tools.* SA indicates Service Awareness.* This content is applicable only to regions outside mainland China. Huawei reserves the right to interpret this content. Hardware Specifications1. With DC power input, the USG6680 supports up to three WSICs without 2XG8GE or two WSICs with 2XG8GE.2. USG6680 (DC): 40 x GE (RJ45) + 4 × 10 GE (SFP+) + 8 × GE (SFP) or 32 x GE (SFP) + 4 x 10 GE (SFP+) + 16 x GE (RJ45).3. The 600 GB hard disk is supported only in USG V500R001 and later versions and is not supported in USG6680 DC model. *WISC is not hot-swappable.CertificationsRegulatory, Safety, and EMC ComplianceOrdering GuideAbout This PublicationThis publication is for reference only and does not constitute any commitments or guarantees. All trademarks, pictures, logos, and brands mentioned in this document are the property of Huawei Technologies Co., Ltd. or a third party.For more information, visit /en/products/enterprise-networking/security.Copyright©2018 Huawei Technologies Co., Ltd. All rights reserved.。