2024年6月9日发(作者:)

华为Eudemon1000E-N下一代防火墙

随着互联网技术的不断发展

智能手机

iPad等终端被更多地应用到办公中

移动应用程序

Web2.0

社交网络应用于生产生活的方方面面

网络边界变得模糊

信息安全问题日益复杂

传统的安全网关通常只能通过IP和端口进行安全防护

难以完全应对层出不穷的应用威胁和Web

威胁

Eudemon1000E-N系列是华为公司为解决运营商

企业

政府

数据中心等机构的网络安全问题

自主研发的下一代防火墙产品

它基于业界领先的软

硬件体系架构

通过对应用

用户

时间

位置的全面感知

将网络环境清晰的映射为业务环境

在应用识别的基础上提供精

准的管控能力

融合了IPS攻击防护

AV防病毒

URL 过滤

Web内容过滤

反垃圾邮件和邮件

过滤等行业领先的专业安全技术

支持IPv6防护及过渡技术

为用户提供强大

可扩展

持续的

安全能力

在运营商

政府

金融

电力

石油

教育

工业制造等行业得到广泛应用

Eudemon1000E-N 下一代防火墙

华为Eudemon1000E-N下一代防火墙

6-1

产品特性与优势

最精准的应用访问控制

在Web2.0时代

社交网络

即时通讯工具广

泛应用

基于http协议开发的网络应用不断增多

使用相同的端口

传统防火墙产品主要通过IP地址

和协议端口感知网络

无法感知用户

业务环境

和应用层信息

而感知是实现访问控制和安全防

护的基础

只有全面感知用户及业务环境

才能

对业务和应用采取精确动作

实现对信息安全的

全面防护

华为Eudemon1000E-N系列下一代防火墙通过

应用

Application

)、

时间

Time

)、

用户

User

)、

威胁

Attack

和位置

Location

)”

多个维度解析企业的业务流量

并结合各种维度进行

防护

• 应用

综合运用特性识别

端口识别

关联识别

行为识别等技术手段

准确识别超过6000个网

络应用

• 用户

通过Radius

LDAP

AD等8种用户识别手段

将流量中的IP地址与现实世界中的用户信息联

系起来

基于用户对网络流量进行管控

• 威胁

支持超过5000+特征的攻击检测和防御

支持Web攻击识别和防护

如跨站脚本攻击

SQL

注入攻击等

可以识别和防范SYN flood

UDP flood等10+种DDoS攻击

识别500多万种病毒

用基于云的URL分类过滤

预定义的URL分类库已超过8500万

阻止访问恶意网站带来的威胁

• 位置

与全球位置信息结合

识别流量及威胁发起的位置信息

使用流量地图和威胁地图快速发

现异常

进而制定对应的防护策略

支持根据IP自定义位置

正是基于ACTUAL全面感知体系

Eudemon1000E-N系列下一代防火墙能准确地识别出隐藏在应用

中的各类威胁

并基于上述多个维度进行精细的控制和防护

最简单的安全管理

根据用户调研和第三方分析的结果

下一代防火墙管理面临三大挑战

• 安全策略如何实施

• 基于应用的访问控制策略是否正确

• 如何优化防火墙策略集

基于应用访问策略是否正确实施

Verifying that application-based policies are enforced correctly

39%

37%

36%

安全威胁策略如何实施

How to maintain threat prevention policies

如何优化防火墙规则集

How to optimize firewall policies

Source: Survey of Osterman Researchon 209 enterprises about next generation firewall management

6-2

华为Eudemon1000E-N下一代防火墙

传统的安全网关管理完全依赖于使用者的经验和投入

对比传统安全网关

下一代防火墙最大的

优势就是对应用的精细化控制

以及对这些应用的进一步深度防护

在下一代防火墙上

仅使用五元

组策略并不能带来更多的安全性

因此

要充分发挥下一代防火墙的作用

需要比传统安全网关更好

的安全管理

然而

做好下一代防火墙的安全管理并不容易

无论哪一个厂家提供的下一代防火墙产

包含的网络应用数量都是数以千计的

想充分发挥NGFW的作用

需要安全管理员具备更多的技

更多的工作量

这意味更高的整体成本

Eudemon1000E-N系列下一代防火墙通过Smart Policy技术很好地解决了NGFW的管理难题

首先

Eudemon1000E-N根据使用场景提供了一系列策略模板

可以快速的部署应用防护策略

例如

如果

希望使用网络存储

管理员仅需基于

使用网盘

这个策略模板

就能建立一系列策略

在策略中

对网盘类应用允许下载并进行病毒检测

但禁止文件上传

其次

Eudemon1000E-N根据网络流量对现有的安全策略进行优化

让它们变得更准确

更有

这在遗留大量端口防护策略

需要转换为NGFW使用的应用防护策略时尤其有用

第三

Eudemon1000E-N能够迅速发现重复的和长期没有使用的策略

精简策略规模

简化管理

通过这三个方面的优化

Eudemon1000E-N大大提高了策略管理中的自动化程度

降低NGFW的

维护成本

最高的性能体验

当前

网络攻击成为一种产业

黑客们为了追求经济利益有组织

有预谋的开展攻击

应用层访

问控制

入侵防御等深度应用防护不再是可有可无的

UTM产品当开启应用层防护时性能下降明显

无法满足当前应用层防护的性能要求

Eudemon1000E-N系列下一代防火墙采用全新架构的智能感知引擎

IAE, Intelligence Awareness

Engine

),

采用了一次解析多业务并行处理的架构

IAE使用了三大核心技术

• 应用识别

IPS

AV采用统一的描述语言

一次性处理

一次性分析

减少重复的操作

• Eudemon1000E-N在完成统一流量解析后

各安全业务检查是并行的

确保了多安全业务开启情况

对整体性能影响最小

• 针对有规律

大批量

高运算能力要求的报文处理

例如

报文加解密

特征匹配

Eudemon1000E-N使用了专用硬件进行处理

对零散的

小规模的运算

仍然用软件处理

软硬结

合的处理方式让整体性能更高

在硬件层面

采用专用多核平台

多个CPU并行处理

先进的硬件和三大核心技术的使用

使

Eudemon1000E-N能够提供万兆级的全威胁防护性能

UNIFIED ScanUNIFIED PM

UNIFIED DL

UNIFIED

华为Eudemon1000E-N下一代防火墙

6-3

典型应用场景

大中型企业边界防护

Eudemon1000E-N作为大中型企业的出口网关

典型的应用场景如图所示

• 将企业员工网络

公司服务器网络

外部网络划分到不同安全区域

对安全区域间的流量进行检

测和保护

• 根据公司对外提供的网络服务的类型开启相应的内容安全防护功能

例如针对所有服务器开启反

病毒和入侵防御

• 针对内网员工访问外部网络的行为

开启URL过滤

反病毒等功能

既保护内网主机不受外网威

又可以防止企业机密信息的泄露

提高企业网络的安全性

• 在Eudemon1000E-N与出差员工

分支机构间建立VPN隧道

使用VPN保护公司业务数据

使其在

Internet上安全传输

• 开启DDoS防御功能

抵抗外网主机对内网服务器进行的大流量攻击

保证企业业务的正常开展

• 针对内外网之间的流量部署带宽策略

控制流量带宽和连接数

避免网络拥塞

同时也可辅助进

行DDoS攻击的防御

• 部署eSight网管系统

需要单独采购

),

记录网络运行的日志信息

日志信息可以帮助管理员进行

配置调整

风险识别

• 采用双机热备部署

提高系统可靠性

单机故障时可以将业务流量从主机平滑切换至备机上运

保证企业业务持续无间断的运行

eSight

文件服务器

邮件服务器Web服务器

VPN隧道

DMZ

出差员工

VPN隧道

员工网络分支机构

Eudemon

双机热备

TrustUntrust

公网主机

/服务器

大中型企业边界防护典型部署

内网管控与安全隔离

Eudemon1000E-N作为大中型企业的内网边界

典型的应用场景如图所示

• 在内网部署一个或多个Eudemon1000E-N作为内部不同网络的边界网关

隔离不同网络

• 建立用户管理体系

对内网主机接入进行用户权限控制

• 相同安全等级的网络划分到同一个安全区域

只部署少量的安全功能

例如

研发部1

发部2

同属于Research安全区域

但是两者间通信的流量仍可进行简单的包过滤

黑白名单

病毒等功能

• 不同安全等级的网络划分到不同的安全区域

根据业务需求部署不同的安全功能

例如仅允许部

分研发网络主机访问指定的市场部主机

并在Research与Marketing

Production

Server之间应用

反病毒等功能

华为Eudemon1000E-N下一代防火墙

• 在各个区域之间应用带宽策略

控制带宽与连接数

避免内网网络拥塞

• 内网各个区域与外网之间应用入侵防御

反病毒

URL过滤等功能

市场部

生产部服务器区

MarketingProductionServer

研发部1

Eudemon

研发部2

ResearchUntrest

出口网关

区域间流量

区域内流量

内网管控与安全隔离典型部署

数据中心边界防护

数据中心

Internet Data Center

IDC

),

是基于Internet网络提供的一整套设施与相关维护服务体系

Eudemon1000E-N作为数据中心的边界网关

典型的应用场景如图2-3所示

• 开启流量统计功能

基于IP

用户

应用对流量状况进行长期统计分析

以帮助安全策略的制定

• 基于IP地址和应用进行限流

使服务器稳定运行

也避免网络出口拥塞

影响网络服务

• 开启入侵防御

反病毒功能

使服务器免受入侵以及蠕虫

木马等病毒危害

• 开启DDoS及其他攻击防范功能

避免服务器受到外网攻击导致瘫痪

• 部署eSight网管系统

需要单独采购

),

记录网络运行的日志信息

日志信息可以帮助管理员进行

配置调整

风险识别和流量检查

• 采用双机热备部署

提高系统可靠性

单机故障时可以将业务流量平滑切换至备机上运行

保证服

务器业务持续无间断的运行

网管及日志

服务器

黑客

DMZ

Web服务器

个人客户

邮件服务器

Eudemon

双机热备

Untrust

企业客户

文件服务器

Trust

数据中心边界防护典型部署

华为Eudemon1000E-N下一代防火墙

6-5

VPN远程接入与移动办公

Eudemon1000E-N作为企业的VPN接入网关

典型的应用场景如图2-4所示

• 对于拥有固定VPN网关的分支机构和合作伙伴

使用IPSec或者L2TP over IPSec建立静态永久隧道

当需要进行接入账号验证时

建议使用L2TP over IPSec

• 对于地址不固定的出差员工

使用SSL VPN技术

无需安装VPN客户端

只需使用网络浏览器即可

与总部建立隧道

方便快捷

同时可以对出差员工可访问的资源进行精细化控制

• 在上述隧道中

通过IPSec加密算法或者SSL加密算法

对网络数据进行加密保护

• 对于通过VPN隧道接入后的用户

进行接入认证

保证用户合法性

并且基于用户权限进行访问

授权

• 部署入侵防御

反病毒

DDoS攻击防范

避免网络威胁经由远程接入用户穿过隧道进入公司总

同时防止机密信息泄露

SSL VPN

企业总部

IPSec

EudemonEudemon

分支机构

合作伙伴

L2TP over IPSec

Eudemon

VPN远程接入与移动办公典型部署

云计算网关

云计算是目前一种新兴的网络服务提供模式

需要一系列技术的配合和支持

Eudemon1000E-N

可以在云计算的部署中担任云计算网关的角色

云计算技术目前存在多种应用方式

最为典型的方式是由网络服务提供商为网络用户提供硬件资

源和计算能力

网络用户只需使用一台终端通过网络 接入云端

就可以像操作家庭电脑一样操作自

己保存在云端的资源

云计算的核心技术是通过服务器的集群为大量网络用户提供相互独立而又完整的网络服务

其中

涉及到多种虚拟化技术

Eudemon1000E-N作为云计算网关

典型的应用场景如图2-5所示

在这个场景中

Eudemon1000E-N担任的是云计算网关的角色

通过虚拟系统功能

可以将一台

物理设备划分为多台相互的独立的逻辑设备

每台逻辑设备都可以拥有自己的接口

系统资源以及配

置文件

可以独立进行流量的转发和安全防护

所以被称为虚拟系统

虚拟系统从逻辑上相互隔离

所以对于每一个云终端看来都拥有一个独享的防火墙设备

同时由

于这些虚拟系统共用同一个物理实体

所以当需要虚拟系统之间进行流量转发时

转发效率非常高

所以Eudemon1000E-N在此场景中主要负责进行虚拟服务器之间的数据快速交换

以及在云终端接入

云服务器的通信过程中进行网络安全的防护

为云计算方案提供增值的安全业务

华为Eudemon1000E-N下一代防火墙

云控制中心

虚拟服务器A

虚拟机1

虚拟机2

虚拟机3

虚拟服务器B

虚拟机4

虚拟机5

虚拟系统B

虚拟服务器C

虚拟机6

虚拟机7

虚拟机8

虚拟系统C

云终端8

云终端4

虚拟系统A

云终端1

Eudemon

产品规格

型号

固定接口

扩展槽位

接口模块类型

产品形态

尺寸

W

×

D

×

H

mm

满配重量

Eudemon

1000E-N3

8GE+4SFP

2WSIC

Eudemon

1000E-N5

8GE+4SFP

2WSIC

Eudemon

1000E-N6

2*10GE+

8GE+8SFP

6WSIC

Eudemon

1000E-N7

4*10GE+

16GE+8SFP

5WSIC

Eudemon

1000E-N7E

4*10GE+

16GE+8SFP

2WSIC

2

×

10GE

SFP+

+8

×

GE

RJ45), 8

×

GE

RJ45

, 8

×

GE

SFP

, 4

×

GE

RJ45

BYPASS

1U

442

×

421

×

43.6

10KG

选配300GB

单硬盘

持热插拔

标配

16.78yrs

100

240V

-48

-60V

170W

1U

442

×

421

×

43.6

10KG

选配300GB

单硬盘

持热插拔

标配

10.08yrs

100

240V

-48

-60V

170W

3U

442

×

415

×

130.5

22KG

选配300GB

硬盘

RAID1

支持

热插拔

标配

27.07yrs

100

240V

-48

-60V

350W

3U

442

×

415

×

130.5

22KG

选配300GB

硬盘

RAID1

支持

热插拔

标配

23.67yrs

100

240V

-48

-60V

350W

3U

442

×

415

×

130.5

24KG

选配300GB

硬盘

RAID1

支持

热插拔

标配

 19.18yrs

100

240V

-48

-60V

350W

HDD

冗余电源

MTBF

电源AC

电源DC

最大功率

工作环境

非工作环境

温度: 0

to 40

/5

to 40

(配置硬盘)

湿度 10% to 90%

温度: -40

to 70

/湿度 5% to 95%

华为Eudemon1000E-N下一代防火墙

6-7

认证

ICSA Labs认证

硬件认证

Firewall

IPS

CB,CCC,CE-SDOC,ROHS,REACH&WEEE(EU),C-TICK,ETL,FCC&IC,VCCI,BSMI

功能特性

访问控制

应用识别

用户识别

基于应用

时间

用户

位置的多维访问控制

6000+应用协议识别

识别粒度细化到具体动作

自定义协议类型

可与阻

限流

审计

统计等多种手段自由结合在线协议库升级

8种用户认证

本地

RADIUS

Hwtacacs

SecureID

AD

CA

LDAP

EndPoint Security

基于特征检测

支持超过5000+漏洞和特征的攻击检测和防御

支持自定义

IPS签名

支持跨站脚本攻击

SQL注入攻击等Web攻击

应用识别与病毒扫描结合

发现隐藏于应用中的病毒

木马和恶意软件

检出超过500多万种病毒

基于云的URL分类过滤

支持8500万URL分类库

130+大的分类

提供专业

的安全URL分类

包括钓鱼网站库分类和恶意URL库分类

提供URL关键字过

和URL黑白名单

丰富的VPN特性

IPSec VPN

SSL VPN

L2TP VPN

MPLS VPN

GRE等

IPv4

静态路由

RIP

OSPF

BGP

IS-IS等

IPv6

RIPng

OSPFv3

BGP4+

IPv6 IS-IS

IPv6RD

ACL6等

全安全特性虚拟化

转发虚拟化

用户虚拟化

管理虚拟化

视图虚拟化

资源虚拟化

带宽

会话等

支持SYN flood

UDP flood

ICMP flood

HTTP flood

DNS flood

ARP flood和

ARP 欺骗等攻击防护

透明

路由

混合部署模式

支持主/主

主/备 HA特性

自动流量分析

自动生成策略模板

可直接供管理员采纳

智能管理

全局配置视图和一体化策略管理

配置可在一个页面中完成

可视化多维度报表呈现

支持用户

应用

内容

时间

流量

威胁

URL

等多维度呈现报表

入侵防御

防病毒

Web安全

VPN

路由特性

安全虚拟化

Anti-DDoS

部署及可靠性

华为Eudemon1000E-N下一代防火墙