USG6300E系列AI防火墙技术白皮书

产品图USG6300E系列AI防火墙（桌面型）华为USG6300E系列AI防火墙（桌面型）华为USG6311E是为小型企业、行业分支、连锁商业机构设计开发的新一代桌面型防火墙设备。除了传统防火墙管理模式，还支持云管模式。云管模式为大量分支机构安全接入网络提供了即插即用、业务配置自动化、运维自动化可视化和网络大数据分析等优势。自研网络处理芯片提供模式匹配以及加解密业务处理加速能力，使得防火墙处理安全检测、IPSec等业务的性能显著提升。华为USG6300E系列AI防火墙（桌面型）6-2产品亮点•采用虚拟化架构，多业务融合，灵活集成第三方检测能力•降低Capex80%融合•基于AI技术的高级威胁检测，联动云端，威胁检测准确率大于99%智能•全新自研安全芯片，内置加速引擎•处理性能提升至业界2倍创“芯”创“芯”：基于ARM的自研芯片，业务性能提升显著小包性能提升2倍IPS/AV业务性能提升2倍IPSec业务性能提升2倍11101001100100010100000111000111101101011110010100内置SA加速引擎内置加密引擎内置NP加速引擎创“芯”：从“芯”开始，打造安全可信计算安全设备核心芯片信任根安全启动设备上层软件代码签名OS(Kernel/Rootfs)代码签名BIOSBIOS签名片外安全启动代码（ESBC）ESBC签名安全启动代码（BSBC）MaskKey华为USG6300E系列AI防火墙（桌面型）6-3融合：可信可控的视频终端安全接入，威胁全网可视非法终端阻断非授权业务阻断恶意流量阻断海康安防业务大华安防业务可信接入、安全、易部署后续可扩展至其他物联终端认证突破后可实施第二道防线深度防仿冒、防入侵持续更新安全能力11101101000011101011111011010010101111010011101011Firewall基于设备指纹认证基于流量指纹过滤基于协议漏洞防护动态采集摄像头设备指纹基于指纹形成认证因子实现唯一指纹认证持续关注摄像头漏洞，形成漏洞签名库，防止利用摄像头漏洞攻击，导致大面积摄像头瘫痪实时升级IPS漏洞库动态感知安防业务流量，形成流量指纹基于流量指纹进行访问控制123融合：云管理方式简化设备上线运维即插即用，快速上线中小企业托管，大型企业海量分支互联FW设备主动注册，快速纳入云管理平台实现设备快速部署，无需人工值守云网管远程业务级配置管理远程设备监控，故障管理实现海量设备的云端管理，简化运维分支站点地址自动管理，合理利用地址资源策略下发，统一管理云网管和FW设备关键交互进行加密分支防火墙和总部防火墙建立IPSec隧道通讯分支防火墙IPSec智能选路自动探测链路质量，进行隧道切换通道加密，安全可靠Internet总部防火墙业务管理中小企业租户中小企业租户分支分支FWFWFWFW华为公有云主动注册主动注册业务管理华为USG6300E系列AI防火墙（桌面型）6-4功能特性描述一体化防护集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、URL过滤等多种功能于一身，全局配置视图和一体化策略管理。应用识别与管控可识别常见应用，访问控制精度到应用功能。应用识别与入侵检测、防病毒、内容过滤相结合，提高检测性能和准确率。云管理模式设备自行向云管理平台发起认证注册，实现即插即用，简化网络创建和开局远程业务配置管理、设备监控故障管理，实现海量设备的云端管理云应用安全感知可对企业云应用进行精细化和差异化的控制，满足企业对用户使用云应用的管控需求。入侵防御与Web防护第一时间获取最新威胁信息，准确检测并防御针对漏洞的攻击。可防护各种针对web的攻击，包括SQL注入攻击和跨站脚本攻击等。防病毒病毒库每日更新，可迅速检出超过500万种病毒。数据防泄漏对传输的文件和内容进行识别过滤，可准确识别常见文件的真实类型，如Word、Excel、、PDF等，并对内容进行过滤。带宽管理在识别业务应用的基础上，可管理每用户/IP使用的带宽，确保关键业务和关键用户的网络体验。管控方式包括：限制最大带宽或保障最小带宽、修改应用转发优先级等。URL过滤URL分类库超过1.2亿，可对特定类别网站的访问进行加速，保障对高优先级网站的访问体验。支持DNS过滤，直接根据域名对访问的网页进行过滤。支持safesearch，对google等搜索引擎的资源进行过滤，保障访问健康网络的资源。行为和内容审计可基于用户对访问内容进行审计、溯源。负载均衡支持链路负载均衡，充分利用现有网络资源。业务智能选路支持基于业务的策略路由，在多出口场景下可根据多种负载均衡算法（如带宽比例、链路健康状态等）进行智能选路。VPN加密支持丰富高可靠性的VPN特性，如IPSecVPN、SSLVPN、L2TPVPN、GRE等；提供自研的VPN客户端SecoClient，实现SSLVPN、L2TPVPN和L2TPoverIPSecVPN用户远程接入。DSVPN动态智能VPN，为公网地址动态变化的分支之间建立VPN隧道，降低大量分支间的组网和运维成本。SSL加密流量检测检测并防御隐藏在SSL加密流量中的威胁，包括入侵防御、反病毒、内容过滤、URL过滤等应用层防护。用户认证支持多种用户认证方式，包括本地认证、RADIUS、HWTACACS、AD、LDAP等。防火墙支持内置Portal及Portal重定向功能，与AgileController配合可以实现多种认证。SoftwareFeatures华为USG6300E系列AI防火墙（桌面型）6-5功能特性描述安全虚拟化支持多种安全业务的虚拟化，包括防火墙、入侵防御、反病毒、VPN等。不同用户可在同一台物理设备上进行隔离的个性化管理。策略管理支持基于VLANID、五元组、安全域、地区、应用、URL分类和时间段等维度对流量进行管控，并同时进行内容安全的一体化检测。预置常用防护场景模板，快速部署安全策略，降低学习成本。与FireMon，Algosec公司合作提供安全策略管理解决方案，降低运维成本，减少故障风险。丰富的报可视化多维度报表呈现，支持用户、应用、内容、时间、流量、威胁、URL等多维度呈现报表。通过华为安全中心平台生成“网络安全分析”，对当前网络的安全状态进行评估，并给出相关优化建议。路由特性全面支持IPV4/IPV6下的多种路由协议，如RIP、OSPF、BGP、IS-IS、RIPng、OSPFv3、BGP4+、IPv6IS-IS等。部署模式透明、路由、混合部署模式。型号USG6311E固定端口业务口2×GE(SFP)+10×GEWAN1无USB1×USB2.0+1×USB3.0外置存储选配，可扩展128GBMicro-SD卡产品型态桌面尺寸(W×D×H)mm250×210×44电源功率36W电源输入电压AC适配器，支持100-240V电源冗余不支持重量(不含硬盘)1.5kg工作环境温度0～45°C湿度5%-95%非凝露存储环境温度-40°C～70°C湿度5%～95%产品规格1.无独立的WAN接口，与业务口共用ProductModelDescriptionUSG6311EUSG6311E-ACUSG6311E交流主机(10*GE(RJ45)+2*GE(SFP)+1×USB2.0+1×USB3.0，含SSLVPN100用户)基本LicenseSSLVPN并发用户数LIC-USG6KE-SSLVPN-100SSLVPN并发用户数(100个)LIC-USG6KE-SSLVPN-200SSLVPN并发用户数(200个)LIC-USG6KE-SSLVPN-500SSLVPN并发用户数(500个)NGFWLicenseIPS特征库升级服务LIC-USG6311E-IPS-1YIPS特征库升级12个月(适用于USG6311E)LIC-USG6311E-IPS-3YIPS特征库升级36个月(适用于USG6311E)URL远程查询升级服务LIC-USG6311E-URL-1YURL远程查询升级12个月(适用于USG6311E)LIC-USG6311E-URL-3YURL远程查询升级36个月(适用于USG6311E)AV升级服务LIC-USG6311E-AV-1YAV特征库升级12个月(适用于USG6311E)LIC-USG6311E-AV-3YAV特征库升级36个月(适用于USG6311E)威胁防护功能包(IPS，AV，URL)LIC-USG6311E-TP-1Y威胁防护功能包12个月(适用于USG6311E)LIC-USG6311E-TP-3Y威胁防护功能包36个月(适用于USG6311E)订购信息