下一代USG系列統(tǒng)一安全網(wǎng)關(guān)技術(shù)建議書(shū)范本

下一代USG系列統(tǒng)一安全網(wǎng)關(guān)技術(shù)建議書(shū)TIME\@"yyyy-M-d"2017-10-22機(jī)密，未經(jīng)許可不得擴(kuò)散第頁(yè)目錄TOC\o"1-4"\h\z\u1 概述 61.1 網(wǎng)絡(luò)安全 61.2 威脅管理 61.3 網(wǎng)絡(luò)安全管理 71.4 新網(wǎng)絡(luò)帶來(lái)的新威脅 72 ××企業(yè)網(wǎng)絡(luò)安全分析 82.1 ××企業(yè)網(wǎng)絡(luò)現(xiàn)狀 82.2 ××企業(yè)網(wǎng)絡(luò)業(yè)務(wù)流分析 82.3 ××企業(yè)網(wǎng)絡(luò)安全問(wèn)題與分析 83 ××企業(yè)網(wǎng)絡(luò)安全需求 93.1 ××企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)原則 93.2 ××企業(yè)網(wǎng)絡(luò)安全需求 104 網(wǎng)絡(luò)安全解決方案 104.1 ××企業(yè)網(wǎng)絡(luò)安全解決方案 104.1.1 大中型企業(yè)邊界防護(hù)方案 104.1.2 內(nèi)網(wǎng)管控與安全隔離方案 124.1.3 數(shù)據(jù)中心邊界防護(hù)方案 134.1.4 VPN遠(yuǎn)程接入與移動(dòng)辦公 144.1.5 云計(jì)算網(wǎng)關(guān)防護(hù)方案 164.1.6 MPLSVPN解決方案 174.1.7 IPv4向IPv6網(wǎng)絡(luò)過(guò)渡解決方案 184.2 ××企業(yè)網(wǎng)絡(luò)安全設(shè)備選擇 195 安全解決方案特點(diǎn) 195.1 ××企業(yè)安全網(wǎng)絡(luò)業(yè)務(wù)流分析 195.2 ××企業(yè)網(wǎng)絡(luò)安全解決方案優(yōu)點(diǎn) 196 USG系列防火墻統(tǒng)一安全網(wǎng)關(guān) 206.1 下一代USG系列防火墻簡(jiǎn)介 206.2 下一代USG系列防火墻功能特點(diǎn) 206.2.1 完善的傳統(tǒng)防火墻安全功能 206.2.2 強(qiáng)大的內(nèi)容安全防護(hù) 296.2.3 靈活的用戶管理 366.2.4 精細(xì)的流量管理 376.2.5 領(lǐng)先的IPV6支持 386.2.6 多樣的VPN接入方式 396.2.7 易用的虛擬防火墻 416.2.8 IDS聯(lián)動(dòng) 426.2.9 豐富的日志與報(bào)表 436.2.10 靈活的維護(hù)管理 446.2.11 符合多項(xiàng)測(cè)試和認(rèn)證要求 457 服務(wù) 457.1 服務(wù)理念 457.2 服務(wù)內(nèi)容 457.3 服務(wù)保障 45概述Internet的普及為社會(huì)的發(fā)展帶來(lái)了巨大的推動(dòng)力，但同時(shí)也產(chǎn)生了大量的網(wǎng)絡(luò)安全問(wèn)題，越來(lái)越受到金融、教育、電力、交通等機(jī)構(gòu)以及眾多企業(yè)的重視。網(wǎng)絡(luò)安全問(wèn)題主要包括兩個(gè)層面：網(wǎng)絡(luò)本身的安全問(wèn)題和網(wǎng)絡(luò)安全管理問(wèn)題。隨著電信網(wǎng)絡(luò)向融合、開(kāi)放、和寬帶不斷演進(jìn)，電信網(wǎng)絡(luò)變得龐大而又復(fù)雜了，其面臨著來(lái)自多個(gè)網(wǎng)絡(luò)的各種安全威脅，網(wǎng)絡(luò)安全事件頻頻發(fā)生，主要集中在病毒、蠕蟲(chóng)、惡意代碼，網(wǎng)頁(yè)篡改，垃圾郵件等方面，政府網(wǎng)站常常成為攻擊目標(biāo)。傳統(tǒng)的防火墻設(shè)備對(duì)上述威脅難以應(yīng)付采用單一的安全防范技術(shù)很難行之有效?；诮y(tǒng)一威脅管理的UTM技術(shù)應(yīng)運(yùn)而生。UTM設(shè)備采用專用多核架構(gòu)平臺(tái)，將IPS、Anti-Virus、UTRL過(guò)濾、VPN、防火墻和上網(wǎng)行為管理等安全特性集成于一體，形成立體的威脅防御解決方案。網(wǎng)絡(luò)安全I(xiàn)nternet由于其開(kāi)放性，使得非常容易遭受攻擊。隨著攻擊手段的變化多樣而且攻擊工具更容易獲取，以及基于僵尸網(wǎng)絡(luò)DDoS攻擊的出現(xiàn)，使得基于網(wǎng)絡(luò)層的攻擊層出不窮。主要的攻擊包括：ARPFlood、ICMPFlood、IPSpoofing、UDPFlood、Synflood、Smurf攻擊、Land攻擊、超大ICMP攻擊、Fragile攻擊、PingofDeath、TearDrop、PingScan、PortScan、IP路由選項(xiàng)攻擊、Tracert攻擊等等。網(wǎng)絡(luò)層攻擊的目標(biāo)主要有三個(gè)：帶寬攻擊、主機(jī)或者網(wǎng)絡(luò)設(shè)備攻擊以及入侵前的主機(jī)掃描。帶寬攻擊指通過(guò)大量的攻擊數(shù)據(jù)包占用正常業(yè)務(wù)數(shù)據(jù)的帶寬，導(dǎo)致網(wǎng)絡(luò)帶寬擁擠，正常業(yè)務(wù)受到影響；主機(jī)或者網(wǎng)絡(luò)設(shè)備攻擊指的是攻擊者通過(guò)攻擊主機(jī)或者網(wǎng)絡(luò)設(shè)備的某個(gè)應(yīng)用端口導(dǎo)致被攻擊設(shè)備處理不過(guò)來(lái)或者癱瘓使其不能處理正常業(yè)務(wù)數(shù)據(jù)；主機(jī)掃描指的是黑客在入侵之前通過(guò)IP或者端口掃描獲取網(wǎng)絡(luò)中活動(dòng)的主機(jī)信息，為下一步入侵提供必要的信息。威脅管理越來(lái)越復(fù)雜的威脅、持續(xù)提高的規(guī)章要求以及持續(xù)發(fā)展的應(yīng)用程序，不斷給企業(yè)帶來(lái)新的網(wǎng)絡(luò)安全問(wèn)題。威脅越來(lái)越復(fù)雜化，并且新的應(yīng)用和技術(shù)也帶來(lái)了更多漏洞。給IT管理者也帶來(lái)巨大的挑戰(zhàn)。統(tǒng)一威脅管理平臺(tái)為企業(yè)提供全面的安全解決方案，提前扼殺網(wǎng)絡(luò)威脅。網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)安全管理指的是企業(yè)對(duì)自身的網(wǎng)絡(luò)資源進(jìn)行有效的安全區(qū)域、等級(jí)劃分，使得在網(wǎng)絡(luò)安全運(yùn)行的基礎(chǔ)上，促進(jìn)企業(yè)自身的信息安全管理水平，更好的保證企業(yè)正常運(yùn)作。安全區(qū)域指的是在網(wǎng)絡(luò)中擁有相同網(wǎng)絡(luò)資源訪問(wèn)權(quán)限的主機(jī)集合，安全區(qū)域的劃分主要依據(jù)企業(yè)內(nèi)部部門(mén)的劃分，例如財(cái)務(wù)部門(mén)、研發(fā)部門(mén)、市場(chǎng)部門(mén)分別劃分為三個(gè)不同安全等級(jí)的安全區(qū)域。將一個(gè)企業(yè)進(jìn)行清晰的安全區(qū)域劃分，大大簡(jiǎn)化了企業(yè)的網(wǎng)絡(luò)資源控制與管理，在此基礎(chǔ)上，實(shí)施適合企業(yè)管理要求的安全策略管理，提高企業(yè)信息安全管理水平。新網(wǎng)絡(luò)帶來(lái)的新威脅隨著網(wǎng)絡(luò)的發(fā)展，層出不窮的新應(yīng)用雖然給人們的網(wǎng)絡(luò)生活帶來(lái)了更多的便利，但是同時(shí)也帶來(lái)更多的安全風(fēng)險(xiǎn)：（1）IP地址不等于使用者在新網(wǎng)絡(luò)中，通過(guò)操縱僵尸主機(jī)借用合法IP地址發(fā)動(dòng)網(wǎng)絡(luò)攻擊，或者偽造、仿冒源IP地址來(lái)進(jìn)行網(wǎng)絡(luò)欺騙和權(quán)限獲取已經(jīng)成為最簡(jiǎn)單的攻擊手段。一個(gè)報(bào)文的源IP地址已經(jīng)不能真正反映發(fā)送這個(gè)報(bào)文的網(wǎng)絡(luò)使用者的身份。同時(shí)，由于遠(yuǎn)程辦公、移動(dòng)辦公等新興的辦公形式的出現(xiàn)，同一使用者所使用的主機(jī)IP地址可能隨時(shí)在發(fā)生變化，所以通過(guò)IP地址進(jìn)行流量控制已經(jīng)不能滿足現(xiàn)代網(wǎng)絡(luò)的需求。（2）端口和協(xié)議不等于應(yīng)用傳統(tǒng)網(wǎng)絡(luò)業(yè)務(wù)總是運(yùn)行在固定的端口之上。例如HTTP運(yùn)行在80端口，F(xiàn)TP運(yùn)行在20、21端口。然而在新網(wǎng)絡(luò)中，越來(lái)越多的網(wǎng)絡(luò)應(yīng)用開(kāi)始使用未經(jīng)因特網(wǎng)地址分配組織（InternetAssignedNumbersAuthority,IANA）明確分配的非知名端口，或者隨機(jī)指定的端口（例如P2P協(xié)議）。這些應(yīng)用因?yàn)殡y以受到控制，濫用帶寬，往往造成網(wǎng)絡(luò)的擁塞。同時(shí)，一些知名端口也被用于運(yùn)行截然不同的業(yè)務(wù)。最為典型是隨著網(wǎng)頁(yè)技術(shù)的發(fā)展，越來(lái)越多不同風(fēng)險(xiǎn)級(jí)別的業(yè)務(wù)借用HTTP和HTTPS協(xié)議運(yùn)行在80和443端口之上，例如WebMail、網(wǎng)頁(yè)游戲、視頻網(wǎng)站、網(wǎng)頁(yè)聊天等等。（3）報(bào)文不等于內(nèi)容單包檢測(cè)機(jī)制只能對(duì)單個(gè)報(bào)文的安全性進(jìn)行分析。這樣無(wú)法防范在一次正常網(wǎng)絡(luò)訪問(wèn)的過(guò)程中發(fā)生的病毒、木馬等網(wǎng)絡(luò)威脅?，F(xiàn)在內(nèi)網(wǎng)主機(jī)在訪問(wèn)Internet的過(guò)程中，很有可能無(wú)意中從外網(wǎng)引入蠕蟲(chóng)、木馬及其他病毒，造成企業(yè)機(jī)密數(shù)據(jù)泄露，對(duì)企業(yè)經(jīng)營(yíng)造成巨大損失。所以企業(yè)的網(wǎng)絡(luò)安全管理，有必要在控制流量的源和目的的基礎(chǔ)上，再對(duì)流量傳輸?shù)恼鎸?shí)內(nèi)容進(jìn)行深入的識(shí)別和監(jiān)控。××企業(yè)網(wǎng)絡(luò)安全分析[通過(guò)與××企業(yè)進(jìn)行深入的交流，我們對(duì)其網(wǎng)絡(luò)進(jìn)行了充分的了解與分析?！璢××企業(yè)網(wǎng)絡(luò)現(xiàn)狀[此部分主要包括兩個(gè)部分(注意：要給出網(wǎng)絡(luò)的吞吐量)：1．××企業(yè)內(nèi)部網(wǎng)絡(luò)拓?fù)鋱D，如果企業(yè)是新建網(wǎng)絡(luò)，則提供沒(méi)有安全設(shè)備的網(wǎng)絡(luò)拓?fù)鋱D，用來(lái)進(jìn)行安全方案的分析。2．××企業(yè)內(nèi)部網(wǎng)絡(luò)承載的業(yè)務(wù)，主要是內(nèi)部業(yè)務(wù)以及出口網(wǎng)絡(luò)業(yè)務(wù)]××企業(yè)網(wǎng)絡(luò)業(yè)務(wù)流分析[給出企業(yè)現(xiàn)網(wǎng)的業(yè)務(wù)流分析圖，使得客戶對(duì)現(xiàn)有網(wǎng)絡(luò)安全問(wèn)題理解的更加清晰]××企業(yè)網(wǎng)絡(luò)安全問(wèn)題與分析[此部分主要包括以下幾個(gè)部分(主要根據(jù)與客戶的溝通以及我們自己的分析給出)：1．××企業(yè)網(wǎng)絡(luò)出口安全隱患：DoS攻擊，端口掃描2．××企業(yè)內(nèi)部網(wǎng)絡(luò)內(nèi)部安全區(qū)域的劃分問(wèn)題：不同部門(mén)安全網(wǎng)絡(luò)資源權(quán)限管理3．××企業(yè)內(nèi)部服務(wù)器保護(hù)：DMZ區(qū)域的FTP、WEB、MAIL、數(shù)據(jù)庫(kù)服務(wù)器保護(hù)4．××企業(yè)業(yè)務(wù)安全隱患：需要對(duì)不同安全區(qū)域的業(yè)務(wù)進(jìn)行過(guò)濾，豐富企業(yè)管理手段5．××企業(yè)NAT設(shè)備問(wèn)題：統(tǒng)一安全網(wǎng)關(guān)是專業(yè)的NAT設(shè)備，具有良好的性能以及靈活的策略NAT功能，以及豐富的NATALG功能6．××企業(yè)出差員工移動(dòng)辦公問(wèn)題：統(tǒng)一安全網(wǎng)關(guān)提供豐富的VPN接入功能，實(shí)現(xiàn)內(nèi)部資源的外部安全訪問(wèn)。7．××企業(yè)入侵隱患：與業(yè)界多數(shù)IDS聯(lián)動(dòng)，實(shí)現(xiàn)入侵檢測(cè)監(jiān)控。8．××企業(yè)NAT事后追蹤：由于NAT隱藏了企業(yè)內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)，使得企業(yè)內(nèi)部訪問(wèn)外網(wǎng)出現(xiàn)社會(huì)安全事件時(shí)，事后追蹤措施變得極為重要。統(tǒng)一安全網(wǎng)關(guān)USG5300提供專用的日志服務(wù)器，二進(jìn)制的NAT日志存儲(chǔ)、查詢?yōu)槭潞笞粉櫶峁┲匾募夹g(shù)手段?！痢疗髽I(yè)網(wǎng)絡(luò)安全需求[針對(duì)××企業(yè)網(wǎng)絡(luò)安全問(wèn)題與分析給出簡(jiǎn)要的描述，例如：通過(guò)深入的交流與分析，××企業(yè)網(wǎng)絡(luò)安全需求分為四個(gè)部分：網(wǎng)絡(luò)攻擊防護(hù)、安全區(qū)域劃分、NAT地址轉(zhuǎn)換。]××企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)原則根據(jù)××企業(yè)對(duì)網(wǎng)絡(luò)安全的需求以及公司對(duì)網(wǎng)絡(luò)安全的積累，我們提出××企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)必須滿足以下原則：先進(jìn)性原則：××企業(yè)網(wǎng)絡(luò)中的安全設(shè)備必須采用專用的硬件平臺(tái)和安全專業(yè)的軟件平臺(tái)保證設(shè)備本身的安全，符合業(yè)界技術(shù)的發(fā)展趨勢(shì)，既體現(xiàn)先進(jìn)性又比較成熟，并且是各個(gè)領(lǐng)域公認(rèn)的領(lǐng)先產(chǎn)品。高可靠性：××企業(yè)網(wǎng)絡(luò)是其信息化的基礎(chǔ)，網(wǎng)絡(luò)的穩(wěn)定性至關(guān)重要；網(wǎng)絡(luò)安全設(shè)備由于部署在關(guān)鍵節(jié)點(diǎn)，成為網(wǎng)絡(luò)穩(wěn)定性的重要因素。整個(gè)網(wǎng)絡(luò)設(shè)計(jì)必須考慮到高可靠性因素?？蓴U(kuò)展性：××企業(yè)處在發(fā)展階段，其網(wǎng)絡(luò)也會(huì)不斷的擴(kuò)充變化，要求在保證網(wǎng)絡(luò)安全的基礎(chǔ)上整個(gè)網(wǎng)絡(luò)具有靈活的可擴(kuò)展性，特別是對(duì)安全區(qū)域的新增以及原有安全區(qū)域擴(kuò)充等要求具有良好的支持。開(kāi)放兼容性：××企業(yè)的安全產(chǎn)品設(shè)計(jì)規(guī)范、技術(shù)指標(biāo)符合國(guó)際和工業(yè)標(biāo)準(zhǔn)，支持多廠家產(chǎn)品，從而有效的保護(hù)投資。安全最小授權(quán)原則：××企業(yè)的安全策略管理必須遵從最小授權(quán)原則，即不同安全區(qū)域內(nèi)的主機(jī)只能訪問(wèn)屬于相應(yīng)網(wǎng)絡(luò)資源，對(duì)××企業(yè)的網(wǎng)絡(luò)資源必須完全等到控制保護(hù)，防止未授權(quán)訪問(wèn)，保證××企業(yè)的信息安全。××企業(yè)網(wǎng)絡(luò)安全需求[新增統(tǒng)一安全網(wǎng)關(guān)，用以滿足××企業(yè)以下需求(根據(jù)××企業(yè)網(wǎng)絡(luò)安全問(wèn)題與分析給出需求)：安全區(qū)域劃分：將財(cái)務(wù)部、市場(chǎng)業(yè)務(wù)部、研發(fā)部、生產(chǎn)部、總裁辦……劃分為不同的安全區(qū)域。防范網(wǎng)絡(luò)攻擊：在網(wǎng)絡(luò)出口和不同的安全區(qū)域之間啟用網(wǎng)絡(luò)攻擊防范，防止外網(wǎng)網(wǎng)絡(luò)攻擊和部門(mén)之間網(wǎng)絡(luò)攻擊蔓延。……]網(wǎng)絡(luò)安全解決方案××企業(yè)網(wǎng)絡(luò)安全解決方案[根據(jù)對(duì)××企業(yè)的需求分析選擇以下的一個(gè)方案或者進(jìn)行方案綜合]大中型企業(yè)邊界防護(hù)方案圖1大中型企業(yè)邊界防護(hù)典型部署大中型企業(yè)員工人數(shù)通常都比較多，一般在500人以上的企業(yè)。大中型企業(yè)通常具有以下業(yè)務(wù)特征：企業(yè)人員眾多，業(yè)務(wù)復(fù)雜，流量構(gòu)成豐富多樣。對(duì)外提供網(wǎng)絡(luò)服務(wù)，例如公司網(wǎng)站、郵件服務(wù)等。容易成為DDoS攻擊的目標(biāo)，而且一旦攻擊成功，業(yè)務(wù)損失巨大。對(duì)設(shè)備可靠性要求較高，需要邊界設(shè)備支持持續(xù)大流量運(yùn)行，即使設(shè)備故障也不能影響網(wǎng)絡(luò)運(yùn)轉(zhuǎn)?；谝陨咸卣鳎琔SG系列防火墻作為大中型企業(yè)的出口網(wǎng)關(guān)提供如下功能：將企業(yè)員工網(wǎng)絡(luò)、公司服務(wù)器網(wǎng)絡(luò)、外部網(wǎng)絡(luò)劃分到不同安全區(qū)域，對(duì)安全區(qū)域間的流量進(jìn)行檢測(cè)和保護(hù)根據(jù)公司對(duì)外提供的網(wǎng)絡(luò)服務(wù)的類型開(kāi)啟相應(yīng)的內(nèi)容安全防護(hù)功能。例如針對(duì)圖1中的文件服務(wù)器開(kāi)啟文件過(guò)濾和數(shù)據(jù)過(guò)濾，針對(duì)郵件服務(wù)器開(kāi)啟郵件過(guò)濾，并且針對(duì)所有服務(wù)器開(kāi)啟反病毒和入侵防御。針對(duì)內(nèi)網(wǎng)員工訪問(wèn)外部網(wǎng)絡(luò)的行為，開(kāi)啟URL過(guò)濾、文件過(guò)濾、數(shù)據(jù)過(guò)濾、反病毒、應(yīng)用行為控制等功能，既保護(hù)內(nèi)網(wǎng)主機(jī)不受外網(wǎng)威脅，又可以防止企業(yè)機(jī)密信息的泄露，提高企業(yè)網(wǎng)絡(luò)的安全性。在USG系列防火墻與出差員工、分支機(jī)構(gòu)間建立VPN隧道，使用VPN保護(hù)公司業(yè)務(wù)數(shù)據(jù)，使其在Internet上安全傳輸。開(kāi)啟DDoS防御功能，抵抗外網(wǎng)主機(jī)對(duì)內(nèi)網(wǎng)服務(wù)器進(jìn)行的大流量攻擊，保證企業(yè)業(yè)務(wù)的正常開(kāi)展。對(duì)內(nèi)外網(wǎng)之間的流量部署帶寬策略，控制流量帶寬和連接數(shù)，避免網(wǎng)絡(luò)擁塞，同時(shí)也可輔助進(jìn)行DDoS攻擊的防御部署eSight網(wǎng)管系統(tǒng)（需要單獨(dú)采購(gòu)），記錄網(wǎng)絡(luò)運(yùn)行的日志信息。日志信息可以幫助管理員進(jìn)行配置調(diào)整、風(fēng)險(xiǎn)識(shí)別和流量審計(jì)采用雙機(jī)熱備部署，提高系統(tǒng)可靠性。單機(jī)故障時(shí)可以將業(yè)務(wù)流量從主機(jī)平滑切換至備機(jī)上運(yùn)行，保證企業(yè)業(yè)務(wù)持續(xù)無(wú)間斷的運(yùn)行。內(nèi)網(wǎng)管控與安全隔離方案圖2內(nèi)網(wǎng)管控與安全隔離典型部署如上圖所示，對(duì)于一個(gè)大中型企業(yè)網(wǎng)絡(luò)，通常其內(nèi)部網(wǎng)絡(luò)也需要?jiǎng)澐职踩燃?jí)。例如研發(fā)網(wǎng)絡(luò)、生產(chǎn)網(wǎng)絡(luò)、營(yíng)銷網(wǎng)絡(luò)之間需要進(jìn)行隔離，并對(duì)不同網(wǎng)絡(luò)間的流量進(jìn)行監(jiān)控，以實(shí)現(xiàn)以下目的：不同網(wǎng)絡(luò)的業(yè)務(wù)類型和安全風(fēng)險(xiǎn)不同，需要部署不同的安全策略；不同網(wǎng)絡(luò)間的流量需要受控，避免企業(yè)核心信息資產(chǎn)通過(guò)網(wǎng)絡(luò)泄露將網(wǎng)絡(luò)進(jìn)行隔離，避免一個(gè)網(wǎng)絡(luò)感染病毒擴(kuò)散到整個(gè)企業(yè)內(nèi)網(wǎng)大部分流量主要發(fā)生在同一網(wǎng)絡(luò)內(nèi)，而同一網(wǎng)絡(luò)內(nèi)的流量傳輸往往無(wú)需過(guò)多干預(yù)。所以通過(guò)網(wǎng)絡(luò)劃分，可以降低安全設(shè)備的檢測(cè)負(fù)擔(dān)，提高檢測(cè)效率，使網(wǎng)絡(luò)更加通暢?；谝陨咸卣鳎琔SG系列防火墻作為大中型企業(yè)的內(nèi)網(wǎng)邊界，提供如下功能：在內(nèi)網(wǎng)部署一個(gè)或多個(gè)USG系列防火墻作為內(nèi)部不同網(wǎng)絡(luò)的邊界網(wǎng)關(guān)，隔離不同網(wǎng)絡(luò)。建立用戶管理體系，對(duì)內(nèi)網(wǎng)主機(jī)接入進(jìn)行用戶權(quán)限控制。相同安全等級(jí)的網(wǎng)絡(luò)劃分到同一個(gè)安全區(qū)域，只部署少量的安全功能，例如“研發(fā)部1”和“研發(fā)部2”同屬于Research安全區(qū)域，但是兩者間通信的流量仍可進(jìn)行簡(jiǎn)單的包過(guò)濾、黑白名單、反病毒等功能。不同安全等級(jí)的網(wǎng)絡(luò)劃分到不同的安全區(qū)域，根據(jù)業(yè)務(wù)需求部署不同的安全功能，例如僅允許部分研發(fā)網(wǎng)絡(luò)主機(jī)訪問(wèn)指定的市場(chǎng)部主機(jī)，并在Research與Marketing、Production、Server之間應(yīng)用反病毒、文件類型過(guò)濾、數(shù)據(jù)過(guò)濾等功能。在各個(gè)區(qū)域之間應(yīng)用帶寬策略，控制帶寬與連接數(shù)，避免內(nèi)網(wǎng)網(wǎng)絡(luò)擁塞。內(nèi)網(wǎng)各個(gè)區(qū)域與外網(wǎng)之間應(yīng)用入侵防御、反病毒、文件類型過(guò)濾、數(shù)據(jù)過(guò)濾、URL過(guò)濾、應(yīng)用行為控制等功能。數(shù)據(jù)中心邊界防護(hù)方案圖3數(shù)據(jù)中心邊界防護(hù)部署數(shù)據(jù)中心（InternetDataCenter，IDC），是基于Internet網(wǎng)絡(luò)提供的一整套設(shè)施與相關(guān)維護(hù)服務(wù)體系。它可以實(shí)現(xiàn)數(shù)據(jù)的集中式收集、存儲(chǔ)、處理和發(fā)送。通常由大型網(wǎng)絡(luò)服務(wù)器提供商建設(shè)，為中小型企業(yè)或個(gè)人客戶提供服務(wù)器托管、虛擬域名空間等服務(wù)。數(shù)據(jù)中心的網(wǎng)絡(luò)結(jié)構(gòu)通常具有以下特征：主要針對(duì)數(shù)據(jù)中心內(nèi)的服務(wù)器進(jìn)行保護(hù)，使用的安全功能需要根據(jù)服務(wù)器類型綜合考慮。數(shù)據(jù)中心可能部署有多家企業(yè)的服務(wù)器，更容易成為黑客的攻擊目標(biāo)。數(shù)據(jù)中心的核心功能是對(duì)外提供網(wǎng)絡(luò)服務(wù)，保證外網(wǎng)對(duì)數(shù)據(jù)中心服務(wù)器的正常訪問(wèn)極其重要，這不僅要求邊界防護(hù)設(shè)備擁有強(qiáng)大的處理性能和完善的可靠性機(jī)制，還可以在發(fā)生網(wǎng)絡(luò)攻擊時(shí)仍不影響正常的網(wǎng)絡(luò)訪問(wèn)。數(shù)據(jù)中心流量復(fù)雜，如果流量可視度不高，則不能進(jìn)行有針對(duì)性的配置調(diào)整?；谝陨咸卣?，USG系列防火墻作為數(shù)據(jù)中心的邊界，提供如下功能：開(kāi)啟流量統(tǒng)計(jì)功能，基于IP、用戶、應(yīng)用對(duì)流量狀況進(jìn)行長(zhǎng)期統(tǒng)計(jì)分析，以幫助安全策略的制定?；贗P地址和應(yīng)用進(jìn)行限流，使服務(wù)器穩(wěn)定運(yùn)行，也避免網(wǎng)絡(luò)出口擁塞，影響網(wǎng)絡(luò)服務(wù)。開(kāi)啟入侵防御、反病毒功能，使服務(wù)器免受入侵以及蠕蟲(chóng)、木馬等病毒危害。開(kāi)啟DDoS及其他攻擊防范功能，避免服務(wù)器受到外網(wǎng)攻擊導(dǎo)致癱瘓。開(kāi)啟垃圾郵件過(guò)濾功能，保護(hù)內(nèi)網(wǎng)郵件服務(wù)器不受垃圾郵件侵?jǐn)_，也避免其無(wú)意中轉(zhuǎn)發(fā)垃圾郵件被反垃圾郵件組織列入黑名單，影響正常郵件的發(fā)送。開(kāi)啟文件過(guò)濾和數(shù)據(jù)過(guò)濾，避免數(shù)據(jù)泄露。部署eSight網(wǎng)管系統(tǒng)（需要單獨(dú)采購(gòu)），記錄網(wǎng)絡(luò)運(yùn)行的日志信息。日志信息可以幫助管理員進(jìn)行配置調(diào)整、風(fēng)險(xiǎn)識(shí)別和流量檢查。采用雙機(jī)熱備部署，提高系統(tǒng)可靠性。單機(jī)故障時(shí)可以將業(yè)務(wù)流量平滑切換至備機(jī)上運(yùn)行，保證服務(wù)器業(yè)務(wù)持續(xù)無(wú)間斷的運(yùn)行。VPN遠(yuǎn)程接入與移動(dòng)辦公圖4VPN遠(yuǎn)程接入與移動(dòng)辦公典型部署方案現(xiàn)代企業(yè)為了在全球范圍內(nèi)開(kāi)展業(yè)務(wù)，通常都在公司總部之外設(shè)立了分支機(jī)構(gòu)，或者與外地機(jī)構(gòu)進(jìn)行業(yè)務(wù)合作。分支機(jī)構(gòu)、合作伙伴、出差員工都需要遠(yuǎn)程接入企業(yè)總部網(wǎng)絡(luò)開(kāi)展業(yè)務(wù)，目前通過(guò)VPN技術(shù)可以實(shí)現(xiàn)安全、低成本的遠(yuǎn)程接入和移動(dòng)辦公。遠(yuǎn)程接入和移動(dòng)辦公通常都具有以下特征：分支機(jī)構(gòu)通常都需要無(wú)縫接入總部網(wǎng)絡(luò)，并且持續(xù)不間斷地開(kāi)展業(yè)務(wù)。合作伙伴需要根據(jù)業(yè)務(wù)開(kāi)展的情況，靈活進(jìn)行授權(quán)，限制合作伙伴可以訪問(wèn)的網(wǎng)絡(luò)范圍、可以傳輸?shù)臄?shù)據(jù)類型。出差員工的地理接入位置不固定，使用的IP地址不固定，接入時(shí)間不固定，需要靈活地隨時(shí)接入。而且出差員工所處位置往往不受企業(yè)其他信息安全措施的保護(hù)，所以需要對(duì)出差員工進(jìn)行嚴(yán)格的接入認(rèn)證，并且對(duì)出差員工可以訪問(wèn)的資源和權(quán)限進(jìn)行精確內(nèi)網(wǎng)控制。所有遠(yuǎn)程接入的通信過(guò)程都需要進(jìn)行加密保護(hù)，防止竊聽(tīng)、篡改、偽造、重放等行為，同時(shí)還需要從應(yīng)用和內(nèi)容層面防止機(jī)密數(shù)據(jù)的泄露?；谝陨咸卣?，USG系列防火墻作為企業(yè)VPN的接入網(wǎng)關(guān)，提供如下功能：對(duì)于擁有固定VPN網(wǎng)關(guān)的分支機(jī)構(gòu)和合作伙伴，使用IPSec或者L2TPoverIPSec建立靜態(tài)永久隧道。當(dāng)需要進(jìn)行接入賬號(hào)驗(yàn)證時(shí)，建議使用L2TPoverIPSec。對(duì)于地址不固定的出差員工，可以使用VPNClient或者SSLVPN技術(shù)，對(duì)于VPNClient可以免費(fèi)下載使用，對(duì)于SSLVPN無(wú)需安裝VPN客戶端，只需使用網(wǎng)絡(luò)瀏覽器即可與總部建立隧道，方便快捷。同時(shí)可以對(duì)出差員工可訪問(wèn)的資源進(jìn)行精細(xì)化控制。在上述隧道中，通過(guò)IPSec加密算法或者SSL加密算法，對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行加密保護(hù)。對(duì)于通過(guò)VPN隧道接入后的用戶，進(jìn)行接入認(rèn)證，保證用戶合法性。并且基于用戶權(quán)限進(jìn)行訪問(wèn)授權(quán)。部署入侵防御、反病毒、文件過(guò)濾、數(shù)據(jù)過(guò)濾、DDoS攻擊防范，避免網(wǎng)絡(luò)威脅經(jīng)由遠(yuǎn)程接入用戶穿過(guò)隧道進(jìn)入公司總部，同時(shí)防止機(jī)密信息泄露。部署用戶行為審計(jì)，及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)，并且便于后續(xù)的回溯。云計(jì)算網(wǎng)關(guān)防護(hù)方案圖5USG系列云計(jì)算網(wǎng)關(guān)防護(hù)方案云計(jì)算是目前一種新興的網(wǎng)絡(luò)服務(wù)提供模式，需要一系列技術(shù)的配合和支持。USG系列防火墻可以在云計(jì)算的部署中擔(dān)任云計(jì)算網(wǎng)關(guān)的角色。云計(jì)算技術(shù)目前存在多種應(yīng)用方式，最為典型的方式是由網(wǎng)絡(luò)服務(wù)提供商為網(wǎng)絡(luò)用戶提供硬件資源和計(jì)算能力，網(wǎng)絡(luò)用戶只需使用一臺(tái)終端通過(guò)網(wǎng)絡(luò)接入云端，就可以像操作家庭電腦一樣操作自己保存在云端的資源。云計(jì)算的核心技術(shù)是通過(guò)服務(wù)器的集群為大量網(wǎng)絡(luò)用戶提供相互獨(dú)立而又完整的網(wǎng)絡(luò)服務(wù)，其中涉及到多種虛擬化技術(shù)。基于以上特征，USG系列防火墻作為云計(jì)算網(wǎng)關(guān)，提供如下功能：在這個(gè)場(chǎng)景中，USG系列防火墻擔(dān)任的是云計(jì)算網(wǎng)關(guān)的角色。通過(guò)虛擬系統(tǒng)功能，可以將一臺(tái)物理設(shè)備劃分為多臺(tái)相互的獨(dú)立的邏輯設(shè)備。每臺(tái)邏輯設(shè)備都可以擁有自己的接口、系統(tǒng)資源以及配置文件，可以獨(dú)立進(jìn)行流量的轉(zhuǎn)發(fā)和安全防護(hù)，所以被稱為虛擬系統(tǒng)。虛擬系統(tǒng)從邏輯上相互隔離，所以對(duì)于每一個(gè)云終端看來(lái)都擁有一個(gè)獨(dú)享的防火墻設(shè)備。同時(shí)由于這些虛擬系統(tǒng)共用同一個(gè)物理實(shí)體，所以當(dāng)需要虛擬系統(tǒng)之間進(jìn)行流量轉(zhuǎn)發(fā)時(shí)，轉(zhuǎn)發(fā)效率非常高。所以USG系列防火墻在此場(chǎng)景中主要負(fù)責(zé)進(jìn)行虛擬服務(wù)器之間的數(shù)據(jù)快速交換，以及在云終端接入云服務(wù)器的通信過(guò)程中進(jìn)行網(wǎng)絡(luò)安全的防護(hù)，為云計(jì)算方案提供增值的安全業(yè)務(wù)MPLSVPN解決方案MPLS無(wú)縫地集成了IP路由技術(shù)的靈活性和ATM標(biāo)簽交換技術(shù)的簡(jiǎn)捷性。MPLS在無(wú)連接的IP網(wǎng)絡(luò)中增加了面向連接的控制平面，為IP網(wǎng)絡(luò)增添了管理和運(yùn)營(yíng)的手段。USG系列防火墻系列業(yè)務(wù)路由網(wǎng)關(guān)支持MPLSVPN功能，既可以做PE設(shè)備，也可以做P設(shè)備。支持VRF的路由表多實(shí)例支持L2TP方式接入VPN支持IPSEC方式接入VPN支持靈活的VPN組網(wǎng)，包括跨域、“運(yùn)營(yíng)商至運(yùn)營(yíng)商”等基于標(biāo)準(zhǔn)協(xié)議，能全面與其他主流廠家互通支持CE－PE間靜態(tài)路由或動(dòng)態(tài)路由協(xié)議IPv4向IPv6網(wǎng)絡(luò)過(guò)渡解決方案目前還存在大量的IPV4網(wǎng)絡(luò)，隨著IPV6的部署，很長(zhǎng)一段時(shí)間是IPV4與IPV6共存的過(guò)渡階段，USG系列防火墻系列業(yè)務(wù)路由網(wǎng)關(guān)支持多種IPV4向IPV6網(wǎng)絡(luò)過(guò)渡解決方案，主要包括雙棧技術(shù)、隧道技術(shù)以及IPV4/IPV6協(xié)議轉(zhuǎn)換技術(shù)。雙棧技術(shù)：USG系列防火墻系列業(yè)務(wù)路由網(wǎng)關(guān)與IPV4節(jié)點(diǎn)通訊時(shí)使用IPV4協(xié)議棧，與IPV6節(jié)點(diǎn)通訊時(shí)使用IPV6協(xié)議棧；USG系列防火墻系列業(yè)務(wù)路由網(wǎng)關(guān)具有三種工作模式：只運(yùn)行IPv6協(xié)議，表現(xiàn)為IPv6節(jié)點(diǎn)；只運(yùn)行IPv4協(xié)議，表現(xiàn)為IPv4節(jié)點(diǎn)；雙棧模式，同時(shí)打開(kāi)IPv6和IPv4協(xié)議。隧道技術(shù)：提供兩個(gè)IPV6站點(diǎn)之間通過(guò)IPV4網(wǎng)絡(luò)實(shí)現(xiàn)通訊連接，以及兩個(gè)IPV4站點(diǎn)之間通過(guò)IPV6網(wǎng)絡(luò)實(shí)現(xiàn)通訊連接的技術(shù)；USG系列防火墻系列業(yè)務(wù)路由網(wǎng)關(guān)支持多種隧道技術(shù)，包括IPv6OverIPv4的GRE隧道、IPv6手工配置隧道、6over4隧道、IPv4兼容地址自動(dòng)隧道以及6to4自動(dòng)隧道。IPV4/IPV6協(xié)議轉(zhuǎn)換技術(shù)：提供了IPV4網(wǎng)絡(luò)與IPV6網(wǎng)絡(luò)之間的互訪技術(shù)。USG系列防火墻系列業(yè)務(wù)路由網(wǎng)關(guān)支持NAT-PT（NetworkAddressTranslation-ProtocolTranslation）技術(shù)，負(fù)責(zé)在IPv4報(bào)文與IPv6報(bào)文之間進(jìn)行翻譯轉(zhuǎn)換，從而達(dá)到只支持IPv6協(xié)議的主機(jī)與只支持IPv4協(xié)議的主機(jī)能進(jìn)行互聯(lián)互通的目的?！痢疗髽I(yè)網(wǎng)絡(luò)安全設(shè)備選擇[根據(jù)具體的情況選擇部署USG系列防火墻的網(wǎng)絡(luò)位置]安全解決方案特點(diǎn)[根據(jù)選用的方案進(jìn)行具體的分析]××企業(yè)安全網(wǎng)絡(luò)業(yè)務(wù)流分析[(分析清楚網(wǎng)絡(luò)中的業(yè)務(wù)流圖，客戶對(duì)我們的安全方案理解更加清晰)]××企業(yè)網(wǎng)絡(luò)安全解決方案優(yōu)點(diǎn)[針對(duì)××企業(yè)原有網(wǎng)絡(luò)業(yè)務(wù)流分析、具體方案的選擇、××企業(yè)安全網(wǎng)絡(luò)業(yè)務(wù)流分析給出解決方案的優(yōu)點(diǎn)：網(wǎng)絡(luò)拓展性優(yōu)點(diǎn)；(針對(duì)××企業(yè)具體的網(wǎng)絡(luò)情況展開(kāi))高可靠性優(yōu)點(diǎn)；(針對(duì)××企業(yè)具體的網(wǎng)絡(luò)情況展開(kāi))高安全性特點(diǎn)；(針對(duì)××企業(yè)具體的網(wǎng)絡(luò)情況展開(kāi))高性價(jià)比特點(diǎn)；(針對(duì)××企業(yè)具體的網(wǎng)絡(luò)情況展開(kāi))]USG系列防火墻統(tǒng)一安全網(wǎng)關(guān)下一代USG系列防火墻簡(jiǎn)介為了解決新網(wǎng)絡(luò)帶來(lái)的新威脅，下一代防火墻產(chǎn)品應(yīng)運(yùn)而生。通常要求下一代防火墻產(chǎn)品具有以下特征。使用簽名和特征，而不是端口號(hào)和協(xié)議來(lái)對(duì)應(yīng)用進(jìn)行定義，以識(shí)別報(bào)文的真實(shí)屬性和所攜帶的不安全因素。集成SA（ServiceAwareness，業(yè)務(wù)感知）功能，并且使用專業(yè)的硬件系統(tǒng)來(lái)檢測(cè)報(bào)文的真實(shí)應(yīng)用和內(nèi)容。集成IPS功能，性能更高，威脅的識(shí)別和阻斷結(jié)合得更加緊密。豐富而完善的可視化管理、審計(jì)、報(bào)表功能，使得網(wǎng)絡(luò)管理員可以掌握全面真實(shí)的網(wǎng)絡(luò)狀況，以幫助管理員更好地做出防護(hù)措施。公司推出的下一代防火墻USG系列產(chǎn)品不僅完全滿足上述特征，而且還具有以下明顯優(yōu)勢(shì)：穩(wěn)定高效的萬(wàn)兆多核全新硬件平臺(tái)專業(yè)內(nèi)容安全防御技術(shù)安全、路由、VPN多業(yè)務(wù)集成基于應(yīng)用和用戶的精細(xì)化管理可視化管理與豐富的日志報(bào)表電信級(jí)可靠性保證方案靈活的擴(kuò)展能力下一代USG系列防火墻功能特點(diǎn)完善的傳統(tǒng)防火墻安全功能（1）安全區(qū)域管理基于安全區(qū)域的隔離USG系列防火墻統(tǒng)一安全網(wǎng)關(guān)的安全隔離是基于安全區(qū)域，這樣的設(shè)計(jì)模型為用戶在實(shí)際使用統(tǒng)一安全網(wǎng)關(guān)的時(shí)候提供了十分良好的管理模型。統(tǒng)一安全網(wǎng)關(guān)提供了基于安全區(qū)域的隔離模型，每個(gè)安全區(qū)域可以按照網(wǎng)絡(luò)的實(shí)際組網(wǎng)加入任意的接口，因此統(tǒng)一安全網(wǎng)關(guān)的安全管理模型是不會(huì)受到網(wǎng)絡(luò)拓?fù)涞挠绊?。可管理的安全區(qū)域業(yè)界很多防火墻一般都提供受信安全區(qū)域（trust）、非受信安全區(qū)域（untrust）、非軍事化區(qū)域（DMZ）三個(gè)獨(dú)立的安全區(qū)域，這樣的保護(hù)模型可以適應(yīng)大部分的組網(wǎng)要求，但是在一些安全策略要求較高的場(chǎng)合，這樣的保護(hù)模型還是不能滿足要求。統(tǒng)一安全網(wǎng)關(guān)默認(rèn)提供四個(gè)安全區(qū)域：trust、untrust、DMZ、local，在提供三個(gè)最常用的安全邏輯區(qū)域的基礎(chǔ)上還新增加了本地邏輯安全區(qū)域，本地安全區(qū)域可以定義到統(tǒng)一安全網(wǎng)關(guān)本身的報(bào)文，保證了統(tǒng)一安全網(wǎng)關(guān)本身的安全防護(hù)。例如，通過(guò)對(duì)本地安全區(qū)域的報(bào)文控制，可以很容易的防止不安全區(qū)域?qū)y(tǒng)一安全網(wǎng)關(guān)本身的Telnet、ftp等訪問(wèn)。統(tǒng)一安全網(wǎng)關(guān)還提供自定義安全區(qū)域，可以最大定義16個(gè)安全區(qū)域，每個(gè)安全區(qū)域都可以加入獨(dú)立的接口?；诎踩珔^(qū)域的策略控制統(tǒng)一安全網(wǎng)關(guān)支持根據(jù)不同的安全區(qū)域之間的訪問(wèn)設(shè)計(jì)不同的安全策略組（ACL訪問(wèn)控制列表），每條安全策略組支持若干個(gè)獨(dú)立的規(guī)則。這樣的規(guī)則體系使得統(tǒng)一安全網(wǎng)關(guān)的策略十分容易管理，方便用戶對(duì)各種邏輯安全區(qū)域的獨(dú)立管理。基于安全區(qū)域的策略控制模型，可以清晰的分別定義從trust到untrust、從DMZ到untrust之間的各種訪問(wèn)，這樣的策略控制模型使得統(tǒng)一安全網(wǎng)關(guān)的網(wǎng)絡(luò)隔離功能具有很好的管理能力。（2）NAT功能優(yōu)異的地址轉(zhuǎn)換性能統(tǒng)一安全網(wǎng)關(guān)采用基于連接的方式提供地址轉(zhuǎn)換特性，針對(duì)每條連接維護(hù)一個(gè)Session表項(xiàng)，并且在處理的過(guò)程中采用優(yōu)化的算法，保證了地址轉(zhuǎn)換特性的優(yōu)異性能。在啟用NAT的時(shí)候，性能下降的非常少，這樣就保證了在通過(guò)統(tǒng)一安全網(wǎng)關(guān)提供NAT業(yè)務(wù)的時(shí)候不會(huì)成為網(wǎng)絡(luò)的瓶頸。靈活的地址轉(zhuǎn)換管理統(tǒng)一安全網(wǎng)關(guān)提供了基于安全區(qū)域的管理功能，利用“安全區(qū)域”的概念把統(tǒng)一安全網(wǎng)關(guān)管理的網(wǎng)絡(luò)按照功能區(qū)域、安全要求等因素從邏輯上劃分為幾個(gè)邏輯子網(wǎng)，每個(gè)邏輯子網(wǎng)稱為一個(gè)“安全區(qū)域”。默認(rèn)情況，統(tǒng)一安全網(wǎng)關(guān)提供了4個(gè)默認(rèn)的安全區(qū)域：trust、untrust、DMZ、local，一般情況下，untrust區(qū)域是連接Internet的，trust區(qū)域是連接內(nèi)部局域網(wǎng)的，DMZ區(qū)域是連接一些內(nèi)部服務(wù)器的，例如放置郵件服務(wù)器、FTP服務(wù)器等。統(tǒng)一安全網(wǎng)關(guān)的地址轉(zhuǎn)換功能是按照安全區(qū)域之間的訪問(wèn)進(jìn)行配置的，這樣就可以非常方便的進(jìn)行網(wǎng)絡(luò)管理。例如，對(duì)于內(nèi)部服務(wù)器的網(wǎng)絡(luò)如果有足夠的IP地址，可以直接使用公網(wǎng)IP地址，在DMZ->untrust區(qū)域間不使用地址轉(zhuǎn)換，而內(nèi)部局域網(wǎng)使用私網(wǎng)地址，在trust->untrust區(qū)域間使用地址轉(zhuǎn)換。同時(shí)地址轉(zhuǎn)換可以和ACL配合使用，利用ACL來(lái)控制地址轉(zhuǎn)換的范圍，因此即使在同一個(gè)網(wǎng)絡(luò)區(qū)域，有公網(wǎng)、私網(wǎng)混合組網(wǎng)的情況，統(tǒng)一安全網(wǎng)關(guān)依然可以方便的設(shè)定地址轉(zhuǎn)換的規(guī)則。強(qiáng)大的內(nèi)部服務(wù)器支持內(nèi)部服務(wù)器就是可以使得外部網(wǎng)絡(luò)的用戶可以訪問(wèn)到內(nèi)部網(wǎng)絡(luò)，比如可以對(duì)外提供Web服務(wù)器。很多統(tǒng)一安全網(wǎng)關(guān)實(shí)現(xiàn)內(nèi)部服務(wù)器的時(shí)候是提供一個(gè)“靜態(tài)映射”，將一個(gè)私有地址和一個(gè)公有地址綁定，這個(gè)方式的最大弱點(diǎn)就是浪費(fèi)合法的IP地址。例如有一個(gè)內(nèi)部局域網(wǎng)的主機(jī)IP地址是/24，而該局域網(wǎng)利用專線連接到Internet上，擁有從ISP申請(qǐng)來(lái)的合法的IP地址：。如果該局域網(wǎng)想設(shè)置一臺(tái)WEB服務(wù)器，IP地址為，配置一個(gè)靜態(tài)的映射，將地址和地址綁定，Internet如果想訪問(wèn)這臺(tái)WEB服務(wù)器，使用訪問(wèn)，就會(huì)實(shí)際訪問(wèn)到主機(jī)，這樣雖然可以提供內(nèi)部服務(wù)器了，但是也使得內(nèi)部網(wǎng)絡(luò)的其他主機(jī)不能訪問(wèn)Internet了，因?yàn)樵摼钟蚓W(wǎng)只有一個(gè)合法的IP地址。該IP地址被內(nèi)部服務(wù)器占用，因此其他主機(jī)就不能訪問(wèn)Internet了，同時(shí)該局域網(wǎng)不能再提供任何對(duì)外服務(wù)了（比如想提供一個(gè)DNS或者FTP服務(wù)器都是不可能的了）。靜態(tài)綁定方式存在如下弱點(diǎn)：這個(gè)方式嚴(yán)重浪費(fèi)IP地址，地址轉(zhuǎn)換技術(shù)的最大優(yōu)勢(shì)就是節(jié)省IP地址，但是通過(guò)這個(gè)靜態(tài)綁定的方式，使得IP地址不能被充分利用，雖然解決了地址轉(zhuǎn)換技術(shù)中“反向訪問(wèn)”的問(wèn)題，但是同時(shí)帶來(lái)了浪費(fèi)地址的問(wèn)題。存在比較大的安全隱患，一般對(duì)外提供的服務(wù)器都是單一用途，例如WEB服務(wù)器就是為了給外部提供Http服務(wù)，對(duì)于這個(gè)機(jī)器來(lái)說(shuō)，只需要提供80端口的訪問(wèn)就可以了。但是使用了靜態(tài)綁定的方式提供WEB內(nèi)部服務(wù)器的時(shí)候，存在這樣的問(wèn)題：外部網(wǎng)絡(luò)的用戶不但可以訪問(wèn)到內(nèi)部服務(wù)器的80端口，而且可以訪問(wèn)任何的端口。這樣就存在安全隱患。例如某個(gè)服務(wù)器可以通過(guò)Telnet進(jìn)行維護(hù)，但是這種維護(hù)只能是內(nèi)部網(wǎng)絡(luò)本身的機(jī)器才可以進(jìn)行，如果使用了靜態(tài)綁定的地址轉(zhuǎn)換方式，則外部網(wǎng)絡(luò)的主機(jī)也可以Telnet到這個(gè)服務(wù)器上了。提供不是標(biāo)準(zhǔn)端口的服務(wù)器存在困難。例如用戶想提供2個(gè)WEB服務(wù)器，其中一個(gè)WEB服務(wù)器不想使用80端口，而想使用8080端口，使用靜態(tài)綁定的方式也很難實(shí)現(xiàn)。統(tǒng)一安全網(wǎng)關(guān)的地址轉(zhuǎn)換功能可以對(duì)內(nèi)部服務(wù)器的支持到達(dá)端口級(jí)。允許用戶按照自己的需要配置內(nèi)部服務(wù)器的端口、協(xié)議、提供給外部的端口、協(xié)議。對(duì)于上面的例子使用的地址轉(zhuǎn)換，不僅可以保證做為WEB服務(wù)器的地址，同時(shí)可以做為FTP服務(wù)器的地址，同時(shí)可以使用:8080提供第二臺(tái)WEB服務(wù)器，還可以滿足內(nèi)部用戶同時(shí)使用的地址進(jìn)行訪問(wèn)Internet。統(tǒng)一安全網(wǎng)關(guān)提供了基于端口的內(nèi)部服務(wù)器映射，可以使用端口來(lái)提供服務(wù)，同時(shí)也可以提供地址的一對(duì)一映射。同時(shí)，每臺(tái)統(tǒng)一安全網(wǎng)關(guān)可以提供多達(dá)256個(gè)內(nèi)部服務(wù)器映射，而且不會(huì)影響訪問(wèn)的效率。強(qiáng)大的業(yè)務(wù)支撐地址轉(zhuǎn)換比較難處理的情況是報(bào)文載荷中含有地址信息的情況，這種情況的代表協(xié)議是FTP。統(tǒng)一安全網(wǎng)關(guān)的地址轉(zhuǎn)換現(xiàn)在已經(jīng)非常完善的支持了ICMP重定向、不可達(dá)、FTP（支持被動(dòng)主動(dòng)兩種模式）、H323、NetMeeting、PPTP、L2tp、DNS、NetBIOS、SIP、QQ、MSN等特殊協(xié)議。依靠現(xiàn)在支持的各種業(yè)務(wù)，統(tǒng)一安全網(wǎng)關(guān)已經(jīng)可以提供非常好的業(yè)務(wù)支撐，可以滿足絕大部分的Internet業(yè)務(wù)，使得地址轉(zhuǎn)換不會(huì)成為網(wǎng)絡(luò)業(yè)務(wù)的瓶頸。為了更好的適應(yīng)網(wǎng)絡(luò)業(yè)務(wù)的發(fā)展，統(tǒng)一安全網(wǎng)關(guān)還提供了一種“用戶自定義”的ALG功能，對(duì)于某些特殊業(yè)務(wù)應(yīng)用，通過(guò)命令行進(jìn)行配置就可以支持這種業(yè)務(wù)的ALG，通過(guò)這樣的方式更可以保證統(tǒng)一安全網(wǎng)關(guān)對(duì)業(yè)務(wù)的支撐，達(dá)到快速響應(yīng)的效果。另外統(tǒng)一安全網(wǎng)關(guān)在結(jié)構(gòu)上面，充分考慮了地址轉(zhuǎn)換需要支持特殊協(xié)議的問(wèn)題。從結(jié)構(gòu)上保證可以非?？焖俚闹С指鞣N特殊協(xié)議，并且對(duì)報(bào)文加密的情況也做了考慮。因此在應(yīng)用程序網(wǎng)關(guān)方面，統(tǒng)一安全網(wǎng)關(guān)在程序設(shè)計(jì)、結(jié)構(gòu)方面做了很大的努力和考慮，在針對(duì)新出現(xiàn)的各種特殊協(xié)議的開(kāi)發(fā)方面上，統(tǒng)一安全網(wǎng)關(guān)可以保證會(huì)比其他設(shè)備提供更快、更好的反應(yīng)，可以快速的響應(yīng)支持用戶的需求，支持多變的網(wǎng)絡(luò)業(yè)務(wù)。無(wú)數(shù)目限制的PAT方式轉(zhuǎn)換統(tǒng)一安全網(wǎng)關(guān)可以提供PAT（PortAddressTranslation）方式的地址轉(zhuǎn)換，PAT方式的地址轉(zhuǎn)換使用了TCP/UDP的端口信息，這樣在進(jìn)行地址轉(zhuǎn)換的時(shí)候使用的是“地址＋端口”來(lái)區(qū)分內(nèi)部局域網(wǎng)的主機(jī)對(duì)外發(fā)起的不同連接。這樣使用PAT方式的地址轉(zhuǎn)換技術(shù)，內(nèi)部局域網(wǎng)的很多用戶可以共享一個(gè)IP地址上網(wǎng)了。因?yàn)門(mén)CP/UDP的端口范圍是1~65535，一般1～1024端口范圍是系統(tǒng)保留端口，因此從理論上計(jì)算，通過(guò)PAT方式的地址轉(zhuǎn)換一個(gè)合法的IP地址可以提供大約60000個(gè)并發(fā)連接。但是統(tǒng)一安全網(wǎng)關(guān)采用專利技術(shù)提供了一種“無(wú)限制端口”連接的算法，可以保證使用一個(gè)公網(wǎng)IP地址可以提供無(wú)限個(gè)并發(fā)連接，通過(guò)這種技術(shù)就突破了PAT方式上網(wǎng)的65535個(gè)端口的限制，更大的滿足了地址轉(zhuǎn)換方式的實(shí)際使用，更加節(jié)省了公網(wǎng)的IP地址。多種NATALG下一代USG系列防火墻支持多種協(xié)議的NATALG轉(zhuǎn)換功能，包括：支持FTP協(xié)議的NATALG。支持NBT（NetBIOSoverTCP）協(xié)議的NATALG。支持ICMP(InternetControlMessageProtocol)協(xié)議的NATALG。支持H.323（包括T.120、RAS、Q.931和H.245等）協(xié)議的NATALG。支持SIP(SessionInitiationProtocol)協(xié)議的NATALG。支持RTSP(Real-TimeStreamingProtocol)協(xié)議的NATALG。支持HWCC(HuaweiConferenceControlProtocol)協(xié)議的NATALG。支持ILS(InternetLocatorService)協(xié)議的NATALG。支持PPTP（PointtoPointTunnelingProtocol）協(xié)議的NATALG。支持對(duì)騰訊公司的QQ聊天會(huì)話的NATALG。支持Microsoft公司提供的MSN聊天會(huì)話的NATALG。（3）安全策略控制靈活的規(guī)則設(shè)定統(tǒng)一安全網(wǎng)關(guān)可以支持靈活的規(guī)則設(shè)定，可以根據(jù)報(bào)文的特點(diǎn)方便的設(shè)定各種規(guī)則。可以依據(jù)報(bào)文的協(xié)議號(hào)設(shè)定規(guī)則可以依據(jù)報(bào)文的源地址、目的地址設(shè)定規(guī)則可以使用通配符設(shè)定地址的范圍，用來(lái)指定某個(gè)地址段的主機(jī)針對(duì)UDP和TCP還可以指定源端口、目的端口針對(duì)目的端口、源端口可以采用大于、等于、介入、不等于等方式設(shè)定端口的范圍針對(duì)ICMP協(xié)議，可以自由的指定ICMP報(bào)文的類型和Code號(hào)，可以通過(guò)規(guī)則針對(duì)任何一種ICMP報(bào)文可以針對(duì)IP報(bào)文中的TOS域設(shè)定靈活的規(guī)則可以將多個(gè)報(bào)文的地址形成一個(gè)組，作為地址本，在定義規(guī)則時(shí)可以按組來(lái)設(shè)定規(guī)則，這樣規(guī)則的配置靈活方便高速策略匹配通常，防火墻的安全策略都是由很多規(guī)則構(gòu)成的，因此在進(jìn)行策略匹配的時(shí)候會(huì)影響防火墻的轉(zhuǎn)發(fā)效率。統(tǒng)一安全網(wǎng)關(guān)采用了ACL匹配的專門(mén)算法，這樣就保證了在很多規(guī)則的情況下，統(tǒng)一安全網(wǎng)關(guān)依然可以保持高效的轉(zhuǎn)發(fā)效率，系統(tǒng)在進(jìn)行上萬(wàn)條ACL規(guī)則的查找時(shí)，性能基本不受影響，處理速度保持不變，從而確保了ACL查找的高速度，提高了系統(tǒng)整體性能。MAC地址和IP地址綁定統(tǒng)一安全網(wǎng)關(guān)根據(jù)用戶配置，將MAC和IP地址進(jìn)行綁定從而形成關(guān)聯(lián)關(guān)系。對(duì)于從該IP地址發(fā)來(lái)的報(bào)文，如果MAC地址不匹配則被丟棄；對(duì)于發(fā)往該IP地址的報(bào)文都被強(qiáng)制發(fā)送到指定的MAC地址處，從而有效避免IP地址假冒的攻擊行為。動(dòng)態(tài)策略管理－黑名單技術(shù)統(tǒng)一安全網(wǎng)關(guān)可以將某些可疑報(bào)文的源IP地址記錄在黑名單列表中，系統(tǒng)通過(guò)丟棄黑名單用戶的所有報(bào)文，從而有效避免某些惡意主機(jī)的攻擊行為。統(tǒng)一安全網(wǎng)關(guān)提供如下幾種黑名單列表維護(hù)方式：手工添加黑名單記錄，實(shí)現(xiàn)主動(dòng)防御與攻擊防范結(jié)合自動(dòng)添加黑名單記錄，起到智能保護(hù)可以根據(jù)具體情況設(shè)定"白名單"，使得即使存在黑名單中的主機(jī)，依然可以使用部分的網(wǎng)絡(luò)資源。例如，即使某臺(tái)主機(jī)被加入到了黑名單，但是依然可以允許這個(gè)用戶上網(wǎng)。黑名單技術(shù)是一種動(dòng)態(tài)策略技術(shù)，屬于響應(yīng)體系。統(tǒng)一安全網(wǎng)關(guān)在動(dòng)態(tài)運(yùn)行的過(guò)程中，會(huì)發(fā)現(xiàn)一些攻擊行為，通過(guò)黑名單動(dòng)態(tài)響應(yīng)系統(tǒng)，可以抑制這些非法用戶的部分流量，起到保護(hù)整個(gè)系統(tǒng)的作用。（4）攻擊防范功能優(yōu)秀的Dos防御能力的必要條件Internet上的DOS攻擊已經(jīng)成為很常見(jiàn)的攻擊行為，Dos（Denyofservice）是一類攻擊方式的統(tǒng)稱，其攻擊的基本原理就是通過(guò)發(fā)送各種垃圾報(bào)文導(dǎo)致網(wǎng)絡(luò)的阻塞、服務(wù)的癱瘓。Dos攻擊方式其利用IP無(wú)連接的特點(diǎn)，可以制造各種不同的攻擊手段，而且攻擊方式非常簡(jiǎn)單，普通到一臺(tái)PC、一個(gè)發(fā)包工具就可以制造Dos攻擊，因此Dos攻擊方式在Internet上非常流行，對(duì)企業(yè)網(wǎng)、甚至骨干網(wǎng)都造成了非常嚴(yán)重的影響，引發(fā)很大的網(wǎng)絡(luò)事故，因此優(yōu)秀的Dos攻擊防范功能是統(tǒng)一安全網(wǎng)關(guān)的必備功能。業(yè)界幾乎所有的防火墻設(shè)備都宣傳具有Dos攻擊防御功能，但是那么為什么Dos攻擊導(dǎo)致網(wǎng)絡(luò)癱瘓的攻擊事件為什么還是層出不窮呢？一個(gè)優(yōu)秀的Dos攻擊防御體系，應(yīng)該具有如下最基本的特征：防御手段的健全和豐富，因?yàn)镈os攻擊手段種類比較多，因此必須具有豐富的防御手段，才可以保證真正的抵御Dos攻擊。優(yōu)秀的處理性能，因?yàn)镈os攻擊伴隨這一個(gè)重要特征就是網(wǎng)絡(luò)流量突然增大，如果防火墻本身不具有優(yōu)秀的處理能力，則防火墻在處理Dos攻擊的同時(shí)本身就成為了網(wǎng)絡(luò)的瓶頸，根本就不可能抵御Dos攻擊。因?yàn)镈os攻擊的一個(gè)重要目的就是使得網(wǎng)絡(luò)癱瘓，網(wǎng)絡(luò)上的關(guān)鍵設(shè)備點(diǎn)發(fā)生了阻塞，則Dos攻擊的目的就達(dá)到了。這里同時(shí)需要提醒大家注意的是，防火墻設(shè)備不但要考察轉(zhuǎn)發(fā)性能，同時(shí)一定要考察對(duì)業(yè)務(wù)的處理能力。在進(jìn)行Dos攻擊防御的過(guò)程中，防火墻的每秒新建能力就成為保證網(wǎng)絡(luò)通暢的一個(gè)重要指標(biāo)，Dos攻擊的過(guò)程中，攻擊者都是在隨機(jī)變化源地址因此所有的連接都是新建連接。準(zhǔn)確的識(shí)別攻擊能力。很多防火墻在處理Dos攻擊的時(shí)候，僅僅能保證防火墻后端的流量趨于網(wǎng)絡(luò)可以接受的范圍，但是不能保證準(zhǔn)確的識(shí)別攻擊報(bào)文。這樣處理雖然可以保證網(wǎng)絡(luò)流量的正常，可以保證服務(wù)器不會(huì)癱瘓，但是這樣處理還是會(huì)阻擋正常用戶上網(wǎng)、訪問(wèn)等的報(bào)文，因此雖然網(wǎng)絡(luò)層面是正常的，但是真正的服務(wù)還是被拒絕了，因此還是不能達(dá)到真正的Dos攻擊防御的目的。統(tǒng)一安全網(wǎng)關(guān)產(chǎn)品，對(duì)上述各個(gè)方面都做了詳盡的考慮，因此Dos防御的綜合性能、功能等方面在同類防火墻產(chǎn)品中都具有很強(qiáng)的優(yōu)勢(shì)。豐富的Dos防御手段統(tǒng)一安全網(wǎng)關(guān)產(chǎn)品根據(jù)數(shù)據(jù)報(bào)文的特征，以及Dos攻擊的不同手段，可以針對(duì)ICMPFlood、SYNFlood、UDPFlood等各種Dos攻擊手段進(jìn)行Dos攻擊的防御。同時(shí)，統(tǒng)一安全網(wǎng)關(guān)可以主動(dòng)識(shí)別出數(shù)十種常見(jiàn)的攻擊種類，很多種攻擊種類造成的后果就是Dos形式的攻擊，統(tǒng)一安全網(wǎng)關(guān)可以主動(dòng)發(fā)現(xiàn)并隔斷這些非法攻擊，消除了內(nèi)部網(wǎng)絡(luò)遭受攻擊的可能。通過(guò)對(duì)各種攻擊的防御手段，利用統(tǒng)一安全網(wǎng)關(guān)可以組建一個(gè)安全的防御體系，保證網(wǎng)絡(luò)不遭受Dos攻擊的侵害。針對(duì)不同的攻擊特點(diǎn)，統(tǒng)一安全網(wǎng)關(guān)采用了一些不同的防御技術(shù)，這樣保證在抵御Dos攻擊的時(shí)候更有針對(duì)性，使得設(shè)備的抵御特性更加完整。統(tǒng)一安全網(wǎng)關(guān)不但在攻擊手段上面進(jìn)行了詳細(xì)考慮，同時(shí)也在使用方式和網(wǎng)絡(luò)適應(yīng)性方面做了周全的考慮，攻擊防范既可以針對(duì)一臺(tái)特定的主機(jī)也可以針對(duì)一個(gè)安全區(qū)域的所有主機(jī)進(jìn)行保護(hù)。高級(jí)的TCP代理防御體系統(tǒng)一安全網(wǎng)關(guān)支持使用TCP代理方式來(lái)防止SYNFlood類的Dos攻擊，這種攻擊可以很快的消耗服務(wù)器資源，導(dǎo)致服務(wù)器崩潰。在一般的Dos防范技術(shù)中，在攻擊發(fā)生的時(shí)候不能準(zhǔn)確的識(shí)別哪些是合法用戶，哪些是攻擊報(bào)文。統(tǒng)一安全網(wǎng)關(guān)采用了TCP透明代理的方式實(shí)現(xiàn)了對(duì)這種攻擊的防范，統(tǒng)一安全網(wǎng)關(guān)通過(guò)精確的驗(yàn)證可以準(zhǔn)確的發(fā)現(xiàn)攻擊報(bào)文，對(duì)正常報(bào)文依然可以通過(guò)，允許這些報(bào)文訪問(wèn)統(tǒng)一安全網(wǎng)關(guān)資源，而攻擊報(bào)文則被丟棄。有些攻擊是建立一個(gè)完整的TCP連接用來(lái)消耗服務(wù)器的資源。統(tǒng)一安全網(wǎng)關(guān)可以實(shí)現(xiàn)增強(qiáng)代理的功能，在客戶端與統(tǒng)一安全網(wǎng)關(guān)建立連接以后察看客戶是否有數(shù)據(jù)報(bào)文發(fā)送，如果有數(shù)據(jù)報(bào)文發(fā)送，再與服務(wù)器端建立連接否則丟棄客戶端的報(bào)文。這樣可以保證即使采用完成TCP三次握手的方式消耗服務(wù)器資源，也可以被統(tǒng)一安全網(wǎng)關(guān)發(fā)現(xiàn)。掃描攻擊防范掃描窺探攻擊是利用ping掃描（包括ICMP和TCP）來(lái)標(biāo)識(shí)網(wǎng)絡(luò)上存活著的系統(tǒng)，從而準(zhǔn)確的定位潛在的目標(biāo)；利用TCP和UDP端口掃描，就能檢測(cè)出操作系統(tǒng)監(jiān)聽(tīng)的潛在服務(wù)。攻擊者通過(guò)掃描窺探能大致了解目標(biāo)系統(tǒng)提供的服務(wù)種類和潛在的安全漏洞，為進(jìn)一步侵入系統(tǒng)做好準(zhǔn)備。統(tǒng)一安全網(wǎng)關(guān)通過(guò)比較分析，可以靈活高效地檢測(cè)出這類掃描窺探報(bào)文，從而預(yù)先避免后續(xù)的攻擊行為。這些掃描窺探包括：地址掃描、端口掃描、IP源站選路選項(xiàng)、IP路由記錄選項(xiàng)、利用tracert工具窺探網(wǎng)絡(luò)結(jié)構(gòu)等。畸形報(bào)文防范統(tǒng)一安全網(wǎng)關(guān)可以提供針對(duì)各種畸形報(bào)文的防范，主要包括Land攻擊、Smurf攻擊、Fraggle攻擊、WinNuke攻擊、ICMP重定向或不可達(dá)報(bào)文、TCP報(bào)文標(biāo)志位（如ACK、SYN、FIN等）不合法、PingofDeath攻擊、TearDrop攻擊等，可以自動(dòng)的檢測(cè)出這些攻擊報(bào)文。（5）ASPF深度檢測(cè)功能統(tǒng)一安全網(wǎng)關(guān)提供了ASPF技術(shù)，ASPF是一種高級(jí)通信過(guò)濾技術(shù)，它檢查應(yīng)用層協(xié)議信息并且監(jiān)控基于連接的應(yīng)用層協(xié)議狀態(tài)。統(tǒng)一安全網(wǎng)關(guān)依靠這種基于報(bào)文內(nèi)容的訪問(wèn)控制，能夠?qū)?yīng)用層的一部分攻擊加以檢測(cè)和防范，包括對(duì)于FTP命令字、SMTP命令的檢測(cè)、HTTP的Java、ActiveX控件等的檢測(cè)。ASPF技術(shù)是在基于會(huì)話管理的技術(shù)基礎(chǔ)上提供深層檢測(cè)技術(shù)的，ASPF技術(shù)利用會(huì)話管理維護(hù)的信息來(lái)維護(hù)會(huì)話的訪問(wèn)規(guī)則，通過(guò)ASPF技術(shù)在會(huì)話管理中保存著不能由靜態(tài)訪問(wèn)列表規(guī)則保存的會(huì)話狀態(tài)信息。會(huì)話狀態(tài)信息可以用于智能的允許/禁止報(bào)文。當(dāng)一個(gè)會(huì)話終止時(shí)，會(huì)話管理會(huì)將該會(huì)話的相關(guān)信息刪除，統(tǒng)一安全網(wǎng)關(guān)中的會(huì)話也將被關(guān)閉。針對(duì)TCP連接，ASPF可以智能的檢測(cè)“TCP的三次握手的信息”和“拆除連接的握手信息”，通過(guò)檢測(cè)握手、拆連接的狀態(tài)檢測(cè)，保證一個(gè)正常的TCP訪問(wèn)可以正常進(jìn)行，而對(duì)于非完整的TCP握手連接的報(bào)文會(huì)直接拒絕。在普通的場(chǎng)合，一般使用的是基于ACL的IP包過(guò)濾技術(shù)，這種技術(shù)比較簡(jiǎn)單，但缺乏一定的靈活性，在很多復(fù)雜應(yīng)用的場(chǎng)合普通包過(guò)濾是無(wú)法完成對(duì)網(wǎng)絡(luò)的安全保護(hù)的。例如對(duì)于類似于應(yīng)用FTP協(xié)議進(jìn)行通信的多通道協(xié)議來(lái)說(shuō)，配置統(tǒng)一安全網(wǎng)關(guān)則是非常困難的。FTP包含一個(gè)預(yù)知端口的TCP控制通道和一個(gè)動(dòng)態(tài)協(xié)商的TCP數(shù)據(jù)通道，對(duì)于一般的包過(guò)濾防火墻來(lái)說(shuō)，配置安全策略時(shí)無(wú)法預(yù)知數(shù)據(jù)通道的端口號(hào)，因此無(wú)法確定數(shù)據(jù)通道的入口。這樣就無(wú)法配置準(zhǔn)確的安全策略。ASPF技術(shù)則解決了這一問(wèn)題，它檢測(cè)IP層之上的應(yīng)用層報(bào)文信息，并動(dòng)態(tài)地根據(jù)報(bào)文的內(nèi)容創(chuàng)建和刪除臨時(shí)的規(guī)則，以允許相關(guān)的報(bào)文通過(guò)。ASPF使得統(tǒng)一安全網(wǎng)關(guān)能夠支持一個(gè)控制通道上存在多個(gè)數(shù)據(jù)連接的協(xié)議，同時(shí)還可以在應(yīng)用非常復(fù)雜的情況下方便的制訂各種安全的策略。許多應(yīng)用協(xié)議，如Telnet、SMTP使用標(biāo)準(zhǔn)的或已約定的端口地址來(lái)進(jìn)行通信，但大部分多媒體應(yīng)用協(xié)議（如H.323、SIP）及FTP、netmeeting等協(xié)議使用約定的端口來(lái)初始化一個(gè)控制連接，再動(dòng)態(tài)的選擇端口用于數(shù)據(jù)傳輸。端口的選擇是不可預(yù)測(cè)的，其中的某些應(yīng)用甚至可能要同時(shí)用到多個(gè)端口。ASPF監(jiān)聽(tīng)每一個(gè)應(yīng)用的每一個(gè)連接所使用的端口，打開(kāi)合適的通道讓會(huì)話中的數(shù)據(jù)能夠出入統(tǒng)一安全網(wǎng)關(guān)，在會(huì)話結(jié)束時(shí)關(guān)閉該通道，從而能夠?qū)κ褂脛?dòng)態(tài)端口的應(yīng)用實(shí)施有效的訪問(wèn)控制。當(dāng)報(bào)文通過(guò)統(tǒng)一安全網(wǎng)關(guān)時(shí)，ASPF將對(duì)報(bào)文與指定的訪問(wèn)規(guī)則進(jìn)行比較，如果規(guī)則允許，報(bào)文將接受檢查，否則報(bào)文直接被丟棄。如果該報(bào)文是用于打開(kāi)一個(gè)新的控制或數(shù)據(jù)連接，ASPF將動(dòng)態(tài)的修改規(guī)則，對(duì)于回來(lái)的報(bào)文只有屬于一個(gè)已經(jīng)存在對(duì)應(yīng)的有效規(guī)則，才會(huì)被允許通過(guò)。在處理回來(lái)的報(bào)文時(shí)，狀態(tài)表也會(huì)隨時(shí)更新。當(dāng)一個(gè)連接被關(guān)閉或超時(shí)后，該連接對(duì)應(yīng)的狀態(tài)表將被刪除，確保未經(jīng)授權(quán)的報(bào)文不能隨便通過(guò)。強(qiáng)大的內(nèi)容安全防護(hù)（1）一體化檢測(cè)機(jī)制USG一體化檢測(cè)機(jī)制不僅提供了強(qiáng)大的內(nèi)容安全功能，還使得即使在內(nèi)容安全功能全開(kāi)的情況下，也可以保持較高性能功能。一體化檢測(cè)機(jī)制是指設(shè)備僅對(duì)報(bào)文進(jìn)行一次檢測(cè)，就可以獲取到后續(xù)所有內(nèi)容安全功能所需的數(shù)據(jù)，從而大幅提升設(shè)備處理。（2）反病毒功能反病毒功能可以對(duì)網(wǎng)絡(luò)中傳輸?shù)奈募M(jìn)行掃描，識(shí)別出其中攜帶的病毒，并且予以記錄或清除。病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。病毒通常被攜帶在文件中，通過(guò)網(wǎng)頁(yè)、郵件、文件傳輸協(xié)議進(jìn)行傳播。內(nèi)網(wǎng)主機(jī)一旦感染病毒，就可能導(dǎo)致系統(tǒng)癱瘓、服務(wù)中止、數(shù)據(jù)泄露，令企業(yè)蒙受巨大損失。下一代USG防火墻提供的反病毒功能對(duì)最容易傳播病毒的文件傳輸與共享協(xié)議以及郵件協(xié)議進(jìn)行檢測(cè)和掃描，可以防范多種躲避病毒檢測(cè)的機(jī)制，實(shí)現(xiàn)針對(duì)病毒的強(qiáng)大防護(hù)能力。支持豐富的應(yīng)用層協(xié)議和應(yīng)用程序支持對(duì)HTTP、FTP、SMTP、POP3、IMAP、NFS、SMB傳輸?shù)奈募M(jìn)行病毒檢測(cè)。支持對(duì)部分常見(jiàn)的基于HTTP協(xié)議的應(yīng)用程序設(shè)置例外動(dòng)作。支持對(duì)壓縮文件進(jìn)行病毒掃描支持對(duì)zip、gzip壓縮文件進(jìn)行解壓，然后再進(jìn)行病毒掃描。支持海量的病毒特征庫(kù)下一代USG系列防火墻自帶的病毒特征庫(kù)支持檢測(cè)3000多個(gè)主流的病毒家族，可以覆蓋100萬(wàn)種常見(jiàn)的流行病毒，海量的病毒特征庫(kù)使得下一代USG系列防火墻擁有強(qiáng)大的病毒檢測(cè)能力。同時(shí)通過(guò)專業(yè)的病毒分析團(tuán)隊(duì)，實(shí)時(shí)跟蹤最新出現(xiàn)的病毒類型，并對(duì)其進(jìn)行分析，在第一時(shí)間更新病毒特征庫(kù)供網(wǎng)絡(luò)管理員下載使用，使得下一代USG系列防火墻始終擁有最新最強(qiáng)大的病毒識(shí)別能力。支持針對(duì)不同流量配置不同的防護(hù)措施，支持添加應(yīng)用例外和病毒例外定制病毒防護(hù)策略通過(guò)安全策略，網(wǎng)絡(luò)管理員可以針對(duì)不同流量制定細(xì)粒度的防護(hù)策略，對(duì)不同的網(wǎng)絡(luò)環(huán)境采取不同級(jí)別的保護(hù)。同時(shí)，通過(guò)對(duì)部分常見(jiàn)的基于HTTP協(xié)議的應(yīng)用程序設(shè)置額外的防護(hù)動(dòng)作，或者根據(jù)日志將部分誤報(bào)的病毒類型添加到病毒例外中，可以對(duì)反病毒策略進(jìn)行靈活的調(diào)整，以保證業(yè)務(wù)的正常傳輸。（3）入侵防御功能入侵防御功能主要可以防護(hù)應(yīng)用層的攻擊或入侵，例如緩沖區(qū)溢出攻擊、木馬、后門(mén)攻擊、蠕蟲(chóng)等。下一代USG系列防火墻的入侵防御功能可以通過(guò)監(jiān)控或者分析系統(tǒng)事件，檢測(cè)應(yīng)用層攻擊和入侵，并通過(guò)一定的響應(yīng)方式，實(shí)時(shí)地中止入侵行為。支持多種部署方式，支持針對(duì)不同流量配置不同的防護(hù)措施下一代USG系列防火墻支持直路部署和旁路部署兩種部署模式。在直路部署時(shí)可以作為IPS設(shè)備工作，實(shí)時(shí)檢測(cè)威脅事件的發(fā)生并及時(shí)中止其流量傳輸，保護(hù)內(nèi)部網(wǎng)絡(luò)；在旁路部署時(shí)可以作為IDS設(shè)備工作，檢測(cè)并記錄網(wǎng)絡(luò)中發(fā)生的可疑事件，及時(shí)通知網(wǎng)絡(luò)管理員采取行動(dòng)，或者幫助管理員進(jìn)行事后檢查，同時(shí)又不影響流量的正常傳輸。通過(guò)安全策略，網(wǎng)絡(luò)管理員可以針對(duì)不同流量制定細(xì)粒度的防護(hù)策略，對(duì)不同的網(wǎng)絡(luò)環(huán)境采取不同級(jí)別的保護(hù)。支持對(duì)應(yīng)用層報(bào)文進(jìn)行深度解析通過(guò)強(qiáng)大的報(bào)文深度識(shí)別功能，以及不斷更新的應(yīng)用特征庫(kù)，下一代USG系列防火墻可以對(duì)數(shù)千種常見(jiàn)的應(yīng)用程序進(jìn)行報(bào)文深度解析，并檢測(cè)出其中攜帶的攻擊和入侵流量。根據(jù)基于應(yīng)用的安全策略，可以對(duì)不同的應(yīng)用程序作出不同的響應(yīng)工作，方便管理員靈活部署入侵防御功能。支持進(jìn)行報(bào)文分片重組和TCP流重組之后再進(jìn)行威脅檢測(cè)支持網(wǎng)絡(luò)攻擊利用IP報(bào)文分片和TCP流亂序重組等技術(shù)躲避威脅檢測(cè)的行為，下一代USG系列防火墻支持將IP分片報(bào)文重組還原為原始報(bào)文后再進(jìn)行檢測(cè)，還支持對(duì)TCP流進(jìn)行重組，按照流序號(hào)還原為正序流后再進(jìn)行檢測(cè)。支持海量的簽名庫(kù)，支持自定義簽名IPS設(shè)備通常使用簽名來(lái)識(shí)別攻擊流量的特征，簽名庫(kù)的容量就代表了設(shè)備識(shí)別應(yīng)用層威脅的能力。然而新型的攻擊層出不窮，威脅日新月異，所以通過(guò)專業(yè)的簽名開(kāi)發(fā)團(tuán)隊(duì)密切跟蹤全球知名安全組織和軟件廠商發(fā)布的安全公告，對(duì)這些威脅進(jìn)行分析和驗(yàn)證，生成保護(hù)各種軟件系統(tǒng)（操作系統(tǒng)、應(yīng)用程序、數(shù)據(jù)庫(kù)）漏洞的簽名庫(kù)。此外，通過(guò)遍布全球的蜜網(wǎng)（通過(guò)誘使黑客進(jìn)行攻擊捕捉攻擊行為特征的站點(diǎn)），實(shí)時(shí)捕獲最新的攻擊、蠕蟲(chóng)病毒、木馬，提取威脅的特征，發(fā)現(xiàn)威脅的趨勢(shì)。在此基礎(chǔ)上，當(dāng)新的漏洞被發(fā)現(xiàn)時(shí)，能夠在最短時(shí)間內(nèi)發(fā)布最新的簽名，及時(shí)升級(jí)檢測(cè)引擎和簽名庫(kù)，來(lái)防御針對(duì)該漏洞的已知的和未知的攻擊，真正實(shí)現(xiàn)零日防御。下一代USG系列防火墻自帶的簽名庫(kù)可以識(shí)別出數(shù)千種應(yīng)用層攻擊行為。通過(guò)簽名庫(kù)的不斷升級(jí)，還可以持續(xù)獲取最新的識(shí)別和防護(hù)能力。網(wǎng)絡(luò)管理員還可以根據(jù)自己掌握的流量信息自行定義簽名，使得下一代USG系列防火墻的入侵防御功能更加完善。超低的簽名誤報(bào)率誤報(bào)率是衡量簽名庫(kù)質(zhì)量的重要標(biāo)準(zhǔn)，代表著簽名的準(zhǔn)確率。出現(xiàn)誤報(bào)有可能會(huì)影響網(wǎng)絡(luò)正常業(yè)務(wù)，同時(shí)會(huì)產(chǎn)生大量的攻擊事件，管理員需要在海量日志數(shù)據(jù)中尋找真正有價(jià)值的攻擊內(nèi)容。誤報(bào)的原因一般是簽名不夠精確，或者檢測(cè)機(jī)制不夠完善。擁有眾多安全研究人員，具有豐富數(shù)據(jù)來(lái)源，從而可以分析更多的樣本，簽名編寫(xiě)完成后經(jīng)過(guò)了完備的誤報(bào)測(cè)試，所以發(fā)布的簽名幾乎是零誤報(bào)率。得益于簽名的超低誤報(bào)，下一代USG系列防火墻默認(rèn)開(kāi)啟阻截的簽名的比率非常高，在不影響用戶正常業(yè)務(wù)的情況下，可以最大程度地化解威脅。這樣，管理員就無(wú)需對(duì)照冗長(zhǎng)的日志來(lái)查看是否有誤報(bào)，以及是否需要關(guān)閉一些簽名。（4）數(shù)據(jù)泄露防護(hù)數(shù)據(jù)泄密防護(hù)（DateLeakagePrevention，DLP）是通過(guò)一定的技術(shù)手段，防止企業(yè)的指定數(shù)據(jù)或信息資產(chǎn)以違反安全策略規(guī)定的形式流出企業(yè)的一種策略。數(shù)據(jù)泄露防護(hù)的主要目的是保護(hù)企業(yè)或個(gè)人的重要數(shù)據(jù)。由于竊取數(shù)據(jù)的手段眾多，所以實(shí)現(xiàn)數(shù)據(jù)泄露防護(hù)需要一組技術(shù)來(lái)實(shí)現(xiàn)。下一代USG系列防火墻提供的數(shù)據(jù)泄露防護(hù)技術(shù)主要防止的是數(shù)據(jù)在網(wǎng)絡(luò)傳輸過(guò)程中發(fā)生泄露，例如：通過(guò)網(wǎng)絡(luò)通信工具將機(jī)密數(shù)據(jù)從企業(yè)內(nèi)部網(wǎng)絡(luò)傳輸?shù)酵獠烤W(wǎng)絡(luò)。大部分的數(shù)據(jù)泄露都是由企業(yè)內(nèi)部員工有意或無(wú)意造成的。外部網(wǎng)絡(luò)的黑客通過(guò)入侵技術(shù)進(jìn)入企業(yè)內(nèi)網(wǎng)主機(jī)，獲取控制權(quán)限并獲取機(jī)密數(shù)據(jù)，甚至長(zhǎng)期監(jiān)控內(nèi)網(wǎng)主機(jī)運(yùn)行的情況。由于內(nèi)網(wǎng)主機(jī)無(wú)意中感染木馬或其他間諜病毒，機(jī)密數(shù)據(jù)被病毒自動(dòng)搜尋并發(fā)送至外部網(wǎng)絡(luò)。在內(nèi)網(wǎng)主機(jī)與外網(wǎng)主機(jī)進(jìn)行必要通信的過(guò)程中，由于黑客進(jìn)行了監(jiān)聽(tīng)或截取導(dǎo)致機(jī)密數(shù)據(jù)泄露。為了解決以上問(wèn)題，根據(jù)數(shù)據(jù)泄露的途徑，下一代USG系列防火墻分別提供了不同的技術(shù)應(yīng)對(duì)：表1數(shù)據(jù)泄露防護(hù)技術(shù)泄露途徑技術(shù)說(shuō)明通過(guò)HTTP、FTP等文件傳輸協(xié)議，或者即時(shí)通信軟件等應(yīng)用程序以文本或文件的方式泄露應(yīng)用識(shí)別、文件過(guò)濾、數(shù)據(jù)過(guò)濾基于強(qiáng)大的應(yīng)用識(shí)別能力，下一代USG系列防火墻可以對(duì)具有網(wǎng)絡(luò)通信功能的應(yīng)用程序以及傳輸協(xié)議進(jìn)行報(bào)文的深度解析，識(shí)別其中包含的文件和信息。數(shù)據(jù)過(guò)濾根據(jù)文本或文件中出現(xiàn)的關(guān)鍵詞，文件過(guò)濾根據(jù)文件的類型等信息分別對(duì)流量進(jìn)行過(guò)濾。通過(guò)電子郵件程序以文本或附件的方式泄露郵件過(guò)濾、文件過(guò)濾、數(shù)據(jù)過(guò)濾郵件過(guò)濾根據(jù)郵件的收發(fā)件人地址、附件大小、附件個(gè)數(shù)等信息對(duì)郵件進(jìn)行過(guò)濾。文件過(guò)濾根據(jù)郵件附件的文件類型信息對(duì)郵件進(jìn)行過(guò)濾。數(shù)據(jù)過(guò)濾根據(jù)郵件的收發(fā)件人地址、主題、正文、附件文件名中出現(xiàn)的關(guān)鍵字對(duì)郵件進(jìn)行過(guò)濾。外網(wǎng)中的黑客通過(guò)入侵內(nèi)網(wǎng)方式竊取數(shù)據(jù)入侵防御對(duì)網(wǎng)絡(luò)攻擊、應(yīng)用層攻擊以及入侵行為的監(jiān)控，及時(shí)阻斷外網(wǎng)隊(duì)內(nèi)網(wǎng)的滲透和數(shù)據(jù)竊取。內(nèi)網(wǎng)主機(jī)因?yàn)楦腥静《緹o(wú)意中泄露反病毒對(duì)木馬及其他間諜病毒的掃描與識(shí)別，避免內(nèi)網(wǎng)感染具有類似功能的病毒，防止危害在內(nèi)網(wǎng)泛濫。在內(nèi)網(wǎng)與外網(wǎng)的正常通信過(guò)程中，數(shù)據(jù)被黑客竊取VPN針對(duì)內(nèi)網(wǎng)主機(jī)與外網(wǎng)主機(jī)的通信，或者兩個(gè)被Internet隔離的內(nèi)網(wǎng)之間的通信，采用VPN加密技術(shù)對(duì)通信過(guò)程進(jìn)行保護(hù)，防止數(shù)據(jù)被竊聽(tīng)、篡改、偽造和重放。除了以上主動(dòng)防御措施外，下一代USG系列防火墻還可以通過(guò)對(duì)網(wǎng)絡(luò)中出現(xiàn)的應(yīng)用行為進(jìn)行審計(jì)，記錄相應(yīng)的源、目的、時(shí)間、傳輸?shù)奈募⑦M(jìn)行的操作等等信息，從而實(shí)現(xiàn)對(duì)數(shù)據(jù)泄露行為的監(jiān)管、追溯與事后取證。通過(guò)下一代USG系列防火墻提供的這一系列技術(shù)，結(jié)合企業(yè)內(nèi)部已有的對(duì)存儲(chǔ)介質(zhì)的存放管理、文檔數(shù)據(jù)的加密管理、用戶認(rèn)證與網(wǎng)絡(luò)資源的授權(quán)等等技術(shù)，可以對(duì)企業(yè)數(shù)據(jù)進(jìn)行端到端的安全保護(hù)，實(shí)現(xiàn)完整的數(shù)據(jù)泄露防護(hù)方案。（5）WEB安全防護(hù)隨著云技術(shù)的發(fā)展，越來(lái)越多的應(yīng)用開(kāi)始往Web上進(jìn)行遷移。Web已經(jīng)從單純的提供網(wǎng)頁(yè)瀏覽演變成為集金融、社交、音樂(lè)、視頻、游戲等領(lǐng)域?yàn)橐簧淼木C合平臺(tái)。Web業(yè)務(wù)的豐富和發(fā)展同時(shí)也帶來(lái)了多種多樣的安全風(fēng)險(xiǎn)，通過(guò)綜合多種技術(shù)可以實(shí)現(xiàn)對(duì)Web站點(diǎn)和訪問(wèn)行為的安全防護(hù)。Web安全問(wèn)題中最為顯著的就是非法網(wǎng)站和惡意網(wǎng)站。非法網(wǎng)站是指暴力、色情等不被當(dāng)?shù)胤煞ㄒ?guī)或者企業(yè)管理制度所允許訪問(wèn)的網(wǎng)絡(luò)資源。非法網(wǎng)站帶來(lái)的危害包括影響社會(huì)穩(wěn)定、降低員工工作效率、占用企業(yè)帶寬、浪費(fèi)企業(yè)網(wǎng)絡(luò)資源等；惡意網(wǎng)站是指掛馬網(wǎng)站、釣魚(yú)網(wǎng)站等試圖在用戶瀏覽過(guò)程中向用戶主機(jī)植入木馬、進(jìn)行SQL注入和跨站腳本攻擊、利用瀏覽器/系統(tǒng)漏洞獲取主機(jī)權(quán)限或數(shù)據(jù)、騙取用戶錢財(cái)?shù)却嬖趷阂庑袨榈木W(wǎng)站。惡意網(wǎng)站有可能帶來(lái)用戶或企業(yè)的大量經(jīng)濟(jì)損失。惡意網(wǎng)站的顯著特征就是在沒(méi)有安全機(jī)制保護(hù)的情況下，用戶對(duì)其惡意行為完全不知情，往往在無(wú)意中就造成了損失；URL過(guò)濾根據(jù)用戶訪問(wèn)的URL地址對(duì)URL訪問(wèn)行為進(jìn)行控制。管理員可以根據(jù)下一代USG系列防火墻提供的海量URL分類數(shù)據(jù)庫(kù)，以及自己定義的URL地址及分類，對(duì)不同的URL地址設(shè)置不同的處理措施。同時(shí)，下一代USG系列防火墻提供的URL分類數(shù)據(jù)包含了大量已知的掛馬網(wǎng)站、釣魚(yú)網(wǎng)站等惡意網(wǎng)站的網(wǎng)址。用戶在訪問(wèn)URL時(shí)，設(shè)備可以自動(dòng)查詢這個(gè)URL是否屬于惡意網(wǎng)站，并作出相應(yīng)的處理措施。由于URL地址的數(shù)量極其龐大，而且每天都增加，作用也可能發(fā)生改變。提供的海量URL分類數(shù)據(jù)庫(kù)可以及時(shí)跟蹤Internet上的URL地址變化，實(shí)時(shí)更新URL分類信息，保證了URL過(guò)濾功能的不斷增強(qiáng)。同時(shí)，管理員也可以在本地網(wǎng)絡(luò)搭建URL分類查詢服務(wù)器。由本地URL分類查詢服務(wù)器從的查詢服務(wù)器上學(xué)習(xí)完整的URL分類信息，本地網(wǎng)絡(luò)中的多臺(tái)USG系列防火墻再向該服務(wù)器進(jìn)行查詢。這種部署方式節(jié)約了網(wǎng)絡(luò)帶寬，提高了查詢速度，還可以在內(nèi)網(wǎng)中的USG系列防火墻無(wú)法直接連接Internet時(shí)，仍能實(shí)現(xiàn)實(shí)時(shí)查詢。（6）應(yīng)用行為控制應(yīng)用行為控制可以對(duì)企業(yè)網(wǎng)絡(luò)中的特定網(wǎng)絡(luò)行為進(jìn)行控制，以避免安全風(fēng)險(xiǎn)，提高管理效率，在現(xiàn)代企業(yè)中，網(wǎng)絡(luò)是不可或缺的工作平臺(tái)和工具，但是同時(shí)因?yàn)閱T工濫用網(wǎng)絡(luò)的行為，會(huì)帶來(lái)一系列的問(wèn)題：由于員工在工作時(shí)間內(nèi)瀏覽與工作無(wú)關(guān)的網(wǎng)站網(wǎng)頁(yè)、下載音樂(lè)視頻等行為導(dǎo)致工作效率的下降和企業(yè)網(wǎng)絡(luò)資源的浪費(fèi)。由于員工通過(guò)網(wǎng)絡(luò)向外傳輸文本或文件，泄露企業(yè)的機(jī)密信息。由于員工在網(wǎng)絡(luò)上發(fā)表不符合當(dāng)?shù)胤煞ㄒ?guī)或者企業(yè)管理制度的言論，對(duì)企業(yè)形象或利益造成損失。下一代USG系列防火墻提供的應(yīng)用行為控制功能，可以有效地監(jiān)控和控制以上網(wǎng)絡(luò)行為，避免企業(yè)利益的損失，提升企業(yè)效率：HTTP行為控制：支持對(duì)論壇發(fā)帖、表單提交、用戶登錄等HTTPPOST行為進(jìn)行阻斷。支持對(duì)網(wǎng)頁(yè)瀏覽行為進(jìn)行阻斷。支持對(duì)HTTP代理上網(wǎng)行為進(jìn)行阻斷。支持根據(jù)HTTP上傳/下載的文件大小進(jìn)行告警或阻斷。FTP行為控制：支持根據(jù)FTP上傳/下載的文件大小進(jìn)行告警或阻斷。支持對(duì)FTP刪除文件行為進(jìn)行阻斷。（7）垃圾郵件過(guò)濾垃圾郵件過(guò)濾功能可以根據(jù)郵件發(fā)送服務(wù)器的IP地址以及郵件內(nèi)容對(duì)垃圾郵件進(jìn)行攔截。通常來(lái)說(shuō)，凡是未經(jīng)用戶許可就強(qiáng)行發(fā)送到用戶的郵箱中的任何電子郵件都可以稱之為垃圾郵件。垃圾郵件最初只是宣傳廣告的傳播途徑，但是演變至今已經(jīng)對(duì)網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)產(chǎn)生了非常惡劣的影響：占用網(wǎng)絡(luò)帶寬，造成郵件服務(wù)器擁塞，進(jìn)而降低整個(gè)網(wǎng)絡(luò)的運(yùn)行效率。侵犯收件人的隱私權(quán)，占用收件人信箱空間，耗費(fèi)收件人的時(shí)間、精力和金錢。有的垃圾郵件還盜用他人的電子郵件地址做發(fā)信地址，嚴(yán)重?fù)p害了他人的信譽(yù)。包含木馬和病毒，被黑客利用，成為網(wǎng)絡(luò)攻擊的工具。嚴(yán)重影響ISP的形象。在國(guó)際上，頻繁轉(zhuǎn)發(fā)垃圾郵件的主機(jī)會(huì)被上級(jí)國(guó)際因特網(wǎng)服務(wù)提供商列入國(guó)際垃圾郵件數(shù)據(jù)庫(kù)，從而導(dǎo)致該主機(jī)不能訪問(wèn)國(guó)外許多網(wǎng)絡(luò)。而且收到垃圾郵件的用戶會(huì)因?yàn)镮SP沒(méi)有建立完善的垃圾郵件過(guò)濾機(jī)制，而轉(zhuǎn)向其它ISP。傳播虛假、反動(dòng)、色情等內(nèi)容，對(duì)現(xiàn)實(shí)社會(huì)造成危害。下一代USG系列防火墻提供的垃圾郵件過(guò)濾技術(shù)包括：本地定義黑白名單，對(duì)允許通過(guò)的郵件服務(wù)器進(jìn)行控制。向Internet上的RBL服務(wù)器實(shí)時(shí)查詢郵件服務(wù)器是否屬于垃圾郵件服務(wù)器。RBL服務(wù)器可以提供完整、豐富、不斷更新的已知垃圾郵件服務(wù)器清單。根據(jù)郵件的發(fā)件人、主題與正文內(nèi)容中出現(xiàn)的關(guān)鍵字對(duì)郵件進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)未知垃圾郵件的基于內(nèi)容的防護(hù)。靈活的用戶管理隨著應(yīng)用協(xié)議的發(fā)展，IP地址已經(jīng)不能代表網(wǎng)絡(luò)使用者的真實(shí)身份，并且因此帶來(lái)諸多安全隱患。通過(guò)基于用戶的管理，可以有效解決這些問(wèn)題。在網(wǎng)絡(luò)發(fā)展之初，IP地址是一臺(tái)主機(jī)在網(wǎng)絡(luò)中的唯一標(biāo)識(shí)，防火墻產(chǎn)品也都是基于IP地址進(jìn)行流量控制。但是由于移動(dòng)辦公、無(wú)線辦公以及遠(yuǎn)程辦公等辦公形式的出現(xiàn)，企業(yè)主機(jī)的IP地址難以受到集中管理。加上IP地址是以明文形式存儲(chǔ)在報(bào)文中，極易竊取和篡改，所以通過(guò)仿冒IP地址形式進(jìn)行的網(wǎng)絡(luò)欺騙也日益增多。下一代USG系列防火墻所采用的基于用戶部署安全措施的機(jī)制解決了上述問(wèn)題。主機(jī)在接入網(wǎng)絡(luò)時(shí)，首先需要輸入用戶名和密碼，設(shè)備認(rèn)證通過(guò)后才允許其接入網(wǎng)絡(luò)。用戶名和密碼真正代表該主機(jī)當(dāng)前使用者的真實(shí)身份，設(shè)備基于用戶配置各種策略，就可以使資源授權(quán)、安全防護(hù)、流量管理等措施的部署更加精確。下一代USG系列防火墻提供了用戶信息的存儲(chǔ)和管理、用戶認(rèn)證、權(quán)限控制與流量管理的一系列解決方案：用戶信息的存儲(chǔ)和管理（用戶名、密碼等）支持在USG上創(chuàng)建本地用戶和用戶組，支持樹(shù)狀的組織結(jié)構(gòu)管理，支持組嵌套，滿足大部分企業(yè)的組織結(jié)構(gòu)需求。支持在第三方認(rèn)證服務(wù)器上管理用戶，設(shè)備與其進(jìn)行同步或?qū)?。支持的認(rèn)證服務(wù)器包括AD、RADIUS、LDAP、HWTACACS、SecurID、TSM。用戶認(rèn)證支持本地認(rèn)證。即在設(shè)備上創(chuàng)建和管理的用戶，由USG推送認(rèn)證頁(yè)面至用戶的瀏覽器，由設(shè)備對(duì)其進(jìn)行認(rèn)證。支持代理認(rèn)證。即在第三方認(rèn)證服務(wù)器上創(chuàng)建和管理用戶。USG作為代理設(shè)備轉(zhuǎn)發(fā)用戶的認(rèn)證請(qǐng)求，并獲取用戶是否認(rèn)證成功的結(jié)果。為了使USG可以對(duì)這些用戶部署策略，需要將用戶名及其組織結(jié)構(gòu)從服務(wù)器導(dǎo)入到USG中。支持與AD服務(wù)器進(jìn)行實(shí)時(shí)同步。當(dāng)用戶已通過(guò)AD服務(wù)器的認(rèn)證時(shí)，設(shè)備可以直接從AD服務(wù)器同步到該用戶已經(jīng)認(rèn)證通過(guò)的結(jié)果，就不再對(duì)其進(jìn)行認(rèn)證。支持對(duì)使用VPN隧道接入內(nèi)網(wǎng)的用戶，根據(jù)接入方式的不同選擇是否進(jìn)行二次認(rèn)證。權(quán)限控制與流量管理支持對(duì)本地創(chuàng)建和從服務(wù)器導(dǎo)入的用戶部署以下策略：安全策略：控制網(wǎng)絡(luò)訪問(wèn)權(quán)限和進(jìn)行內(nèi)容安全防護(hù)。帶寬策略：控制用戶的帶寬、連接數(shù)占用，調(diào)整用戶流量轉(zhuǎn)發(fā)優(yōu)先級(jí)。策略路由：控制用戶流量的轉(zhuǎn)發(fā)出口。審計(jì)策略：對(duì)用戶網(wǎng)絡(luò)行為進(jìn)行合法審計(jì)。精細(xì)的流量管理網(wǎng)絡(luò)業(yè)務(wù)在飛速發(fā)展，但是網(wǎng)絡(luò)帶寬不可能無(wú)限擴(kuò)展。所以必要時(shí)管理員需要對(duì)流量的帶寬占用進(jìn)管理，保證高優(yōu)先級(jí)的網(wǎng)絡(luò)業(yè)務(wù)，降低低優(yōu)先級(jí)的網(wǎng)絡(luò)業(yè)務(wù)的帶寬占用。目前網(wǎng)絡(luò)管理員在管理網(wǎng)絡(luò)帶寬時(shí)經(jīng)常遇到以下問(wèn)題：P2P流量在網(wǎng)絡(luò)中建立了大量連接，占用了絕大部分網(wǎng)絡(luò)帶寬。由于遭受DDoS攻擊，普通主機(jī)無(wú)法正常訪問(wèn)企業(yè)所提供的服務(wù)。無(wú)法為些特殊業(yè)務(wù)保證穩(wěn)定帶寬或連接數(shù)。超負(fù)荷的業(yè)務(wù)流量導(dǎo)致設(shè)備運(yùn)行效率低下，影響網(wǎng)絡(luò)的體驗(yàn)。針對(duì)以上問(wèn)題，下一代USG系列防火墻提供的流量管理技術(shù)可以實(shí)現(xiàn)以下功能：基于IP地址、用戶、應(yīng)用、時(shí)間分配帶寬和連接數(shù)，降低P2P流量的帶寬占用，只給特定用戶開(kāi)放P2P的下載權(quán)限?；诎踩珔^(qū)域或接口限定最大帶寬，即使發(fā)生DDoS攻擊，也可以保證內(nèi)網(wǎng)服務(wù)器和設(shè)備本身不會(huì)因?yàn)榱髁窟^(guò)大而性能下降甚至癱瘓。通過(guò)給不同的應(yīng)用分配不同的保證帶寬和最大帶寬，實(shí)現(xiàn)帶寬的合理分配，保證特殊業(yè)務(wù)的需求。下一代USG系列防火墻強(qiáng)大的應(yīng)用識(shí)別能力可以實(shí)現(xiàn)精細(xì)化的帶寬管理。下一代USG系列防火墻提供了靈活的帶寬分配方式，通過(guò)引入帶寬策略和帶寬通道，每個(gè)帶寬通道代表一個(gè)帶寬/連接數(shù)范圍，每個(gè)帶寬策略可以給一類流量分配一個(gè)帶寬通道，從而實(shí)現(xiàn)以下分配方式：多個(gè)帶寬策略共享帶寬通道，帶寬策略中的各條流量通過(guò)搶占的方式使用帶寬通道的帶寬/連接數(shù)資源，使得網(wǎng)絡(luò)資源得到充分利用。同時(shí)還可以限制其中每個(gè)IP或用戶的最大帶寬，既可以保證全局流量不擁塞，也可以保證單臺(tái)主機(jī)不會(huì)因?yàn)槠渌鳈C(jī)占用帶寬過(guò)多導(dǎo)致無(wú)法上網(wǎng)。一個(gè)帶寬策略獨(dú)享帶寬通道。通常用于保證特殊業(yè)務(wù)或主機(jī)的流量帶寬不受其他流量的影響，使高優(yōu)先級(jí)業(yè)務(wù)可以正常運(yùn)行。領(lǐng)先的IPV6支持下一代USG系列防火墻對(duì)下一代IP網(wǎng)絡(luò)技術(shù)IPv6進(jìn)行了全面支持，可以滿足多種IPv6組網(wǎng)模式，有效保護(hù)IPv6網(wǎng)絡(luò)的安全。IPv6（InternetProtocolVersion6）是新版本的網(wǎng)絡(luò)層協(xié)議，它是Internet工程任務(wù)組（IETF）設(shè)計(jì)的一套規(guī)范。IPv6和IPv4之間最顯著的區(qū)別就是IP地址的長(zhǎng)度從32位升為128位。IPV6可以較為徹底的解決IP地址缺乏問(wèn)題。同時(shí)，使用IPv6后，網(wǎng)絡(luò)中路由設(shè)備的路由表項(xiàng)將會(huì)變少，可以提高路由設(shè)備轉(zhuǎn)發(fā)報(bào)文的速率。在IPv6網(wǎng)絡(luò)的搭建中，主要涉及以下兩類IPv6技術(shù)：IPV6主機(jī)之間的通信技術(shù)，又被稱為IPv6基礎(chǔ)技術(shù)。在IPV4網(wǎng)絡(luò)逐漸向IPv6網(wǎng)絡(luò)演進(jìn)的過(guò)程中，IPv6主機(jī)和IPv4主機(jī)之間的通信技術(shù)，又被稱為IPv6過(guò)渡技術(shù)。（1）IPv6基礎(chǔ)技術(shù)IPv6地址：支持IPv4和IPv6雙協(xié)議棧，支持對(duì)IPv6報(bào)文的報(bào)文頭進(jìn)行解析，根據(jù)其中的IPv6地址進(jìn)行報(bào)文轉(zhuǎn)發(fā)。支持IPv6地址的手工配置和自動(dòng)配置，支持IPv6鄰居發(fā)現(xiàn)。支持ICMPv6、DNSv6、DHCPv6、PPPoEv6等配套技術(shù)。IPv6路由：支持IPv6的靜態(tài)路由、策略路由、路由策略，用于路由表的靈活調(diào)整。支持RIPng動(dòng)態(tài)路由協(xié)議。支持OSPFv3動(dòng)態(tài)路由協(xié)議支持BGP4+動(dòng)態(tài)路由協(xié)議支持IS-IS動(dòng)態(tài)路由協(xié)議的IPv6功能（2）IPv6過(guò)渡技術(shù)IPv4