1、華為 USG6000V 虛擬綜合業務網關技術白皮書目錄 HYPERLINK l _bookmark0 概述1 HYPERLINK l _bookmark1 網絡虛擬化的變化及 NFV 虛擬防火墻的產生1 HYPERLINK l _bookmark2 vNGFW 的定義1 HYPERLINK l _bookmark3 USG6000V 的架構全貌1 HYPERLINK l _bookmark4 NFV 防火墻的技術原則2 HYPERLINK l _bookmark5 NFV 防火墻的可靠性設計2 HYPERLINK l _bookmark6 防火墻的性能模型3 HYPERLINK l _book

2、mark7 網絡隔離4 HYPERLINK l _bookmark8 訪問控制4 HYPERLINK l _bookmark9 基于流的狀態檢測技術5 HYPERLINK l _bookmark10 基于用戶的管控能力5 HYPERLINK l _bookmark11 基于應用的管控能力5 HYPERLINK l _bookmark12 應用層的威脅防護5 HYPERLINK l _bookmark13 業務支撐能力6 HYPERLINK l _bookmark14 地址轉換能力6 HYPERLINK l _bookmark15 攻擊防范能力6 HYPERLINK l _bookmark16

3、防火墻的組網適應能力7 HYPERLINK l _bookmark17 VPN 業務7 HYPERLINK l _bookmark18 防火墻管理系統8 HYPERLINK l _bookmark19 防火墻的日志系統8 HYPERLINK l _bookmark20 USG6000V 系列虛擬防火墻技術特點1 HYPERLINK l _bookmark21 高可靠性設計1 HYPERLINK l _bookmark22 靈活的安全區域管理3 HYPERLINK l _bookmark23 安全策略控制4 HYPERLINK l _bookmark24 基于流會話的狀態檢測技術5 HYPERL

4、INK l _bookmark25 ACTUAL 感知7 HYPERLINK l _bookmark26 智能策略12 HYPERLINK l _bookmark27 先進的虛擬防火墻技術13 HYPERLINK l _bookmark28 業務支撐能力14 HYPERLINK l _bookmark29 網絡地址轉換15 HYPERLINK l _bookmark30 豐富的攻擊防御的手段21 HYPERLINK l _bookmark31 優秀的組網適應能力23 HYPERLINK l _bookmark32 完善的 VPN 功能24 HYPERLINK l _bookmark33 應用層

5、安全26 HYPERLINK l _bookmark34 完善的維護管理系統29 HYPERLINK l _bookmark35 完善的日志報表系統30華為 USG6000V 虛擬綜合業務網關技術白皮書關鍵詞：NFV、SDN、NGFW、華為 USG6000V、網絡安全摘要：本文詳細介紹了華為NFV虛擬防火墻的技術特點、工作原理等，并提供了NFV虛擬防火墻選擇過程的一些需要關注的技術問題。名稱縮寫完整拼寫中文解釋NGFWNext Generation Firewall下一代防火墻vNGFWVirtual Next Generation Firewall虛擬化下一代防火墻VMVirtual Mac

6、hine虛擬機SDNSoftware-defined Networking軟件定義網絡NFVNetwork Functions Virtualization網絡功能虛擬化NFVONetwork Functions VirtualizationOrchestration網絡功能虛擬化編排器NFVINetwork Functions Virtualization Infrastructure網絡功能虛擬化基礎設施NFVMNetwork Functions VirtualizationManagementNFV 管理vESAVirtual Elastic Security Architecture虛

7、擬彈性安全架構VPNVirtual Private Network虛擬私有網AAAAuthentication, Authorization, Accounting驗證，授權，計費ASPFApplication Specific Packet Filter基于應用層規范的包過濾DoSDenial of Service拒絕服務，一種常見的網絡攻擊手段L2TPLayer 2 tunnel protocol二層隧道協議IPSECIP SecurityIP 安全IKEInternet Key ExchangeInternet 密鑰交換 1 概 述網絡虛擬化的變化及 NFV 虛擬防火墻的產生近些年來，互

8、聯網業務、信息和網絡流量的高速增長，引爆了云計算的發展，給人們帶來了更方便快捷、便宜多樣的業務，同時也對 IT 的計算、存儲和網絡基礎設施也提出了更高的要求，SDN 和網絡設備 NFV 需求和技術應運而生。SDN 即軟件定義網絡，重在實現了控制與轉發的分離。在過去，網絡流表都是通過路由學習等方式相互轉發，缺乏統一策略，而 SDN 通過中心控制器（Controller）將流表統一下發給各設備，各設備再根據其制定的規則來執行，由此帶來了集中配置更靈活，接口開放可編程，以及更適應業務的靈活遷移等多種優勢。NFV 即網絡功能虛擬化，是由運營商根據自身實際需求提出的一種全新的網絡搭建方式。NFV 將原本

9、各專有封閉設備中的網絡功能釋放出來，并通過搭建開放的網絡平臺統一承載。因此，SDN 通過管理控制和數據面的分離和分布式化，NFV 通過網絡功能的軟件化、虛擬化，這兩者的結合應用為各種新業務組合的靈活性以及動態部署提供了多種可能， 同時，通過業務和平臺接口的開放互聯，可以為客戶提供更好的生態系統融合。USG6000V 系列虛擬防火墻是華為公司全新推出的 NFV 虛擬防火墻系列，可以與華為FusionSphere 云平臺、AgileController 控制器、EMS/NMS，以及開源的OpenStack 平臺共同構成開放的 SDN 數據中心解決方案，在公有云 DC 或企業 DC 中為客戶提供路由

10、轉發、NAT、IPSec/GRE VPN、安全策略、用戶接入、帶寬管理等基本路由業務，以及攻擊防范、狀態防火墻、應用識別與管控、IPS 入侵防護、Anti Virus 防病毒、服務器負載均衡等安全和增值業務，符合下一代防火墻的特征，因此 USG6000V 系列虛擬防火墻屬于 vNGFW，即虛擬化下一代防火墻產品。vNGFW 的定義根據 Gartner 對“下一代防火墻”的定義，NGFW 至少具有以下屬性：支持在線 BITW（線纜中的塊）配置，同時不會干擾網絡運行。 可作為網絡流量檢測與網絡安全策略執行的平臺，并具有下列最低特性：標準的第一代防火墻功能：具有數據包過濾、網絡地址轉換（NAT）、協

11、議狀態檢查以及 VPN 功能等。集成式而非僅僅共處同一位置的網絡入侵防御：支持基于漏洞的簽名與基于威脅的簽名。IPS 與防火墻間的協作所獲得的性能要遠高于部件的疊加，如：提供推薦防火墻規則，以阻止持續某一載入 IPS 及有害流量的地址。這就證明， 在下一代防火墻中，互相關聯作用的是防火墻而非由操作人員在控制臺制定與執行各種解決方案。高質量的集成式 IPS 引擎與簽名也是下一代防火墻的主要特性。所謂集成可將諸多特性集合在一起，如：根據針對注入惡意軟件網站的IPS 檢測向防火墻提供推薦阻止的地址。業務識別與全棧可視性：采用非端口與協議vs 僅端口、協議與服務的方式， 識別應用程序并在應用層執行網絡

12、安全策略。范例中包括允許使用 Skype 但禁用 Skype 內部共享或一直阻止 GoToMyPC。超級智能的防火墻: 可收集防火墻外的各類信息，用于改進阻止決策，或作為優化阻止規則的基礎。范例中還包括利用目錄集成來強化根據用戶身份實施的阻止或根據地址編制黑名單與白名單。”華為公司在NGFW 定義的基礎上，增加了在 vNGFW 在 SDN、NFV 應用場景下關鍵特征的定義：防火墻功能與專有硬件平臺解耦：防火墻功能不再依賴于專有的硬件平臺（如 NP、MIPS 等網絡處理平臺），而是將功能虛擬化，可以靈活部署到通用服務器平臺， 或者常用的虛擬機平臺之上（如 VMWare 等 Hypervisor

13、的 VM 環境）；可以提供全生命周期的自動化管理：當防火墻功能虛擬化，特別是在防火墻可以獨立運行在 VM 之上后，防火墻功能的部署不再按照專有硬件的方式來進行，當通用服務器已經完成基本連線組網的情況下，防火墻功能的加載、銷毀、擴容、升級、故障處理等，完全實現自動化的管理；北向被集成能力：結合 SDN 軟件定義網絡的思想，防火墻業務功能也需要納入 SDN 的統一控制中，因此，防火墻需要提供豐富的業務北向被集成能力，實現 SDN 控制器對防火墻的業務編排、動態按需部署。 2 USG6000V 的架構全貌FabricSwitchOSOSvSwitchLinux/KVMvSwitchXenvSwitc

14、hVMWarevSwitchFusionSpher eHostO SHardwareGuestO SvNGFWVirtual Resource ManagementRoutingSecurity PolicySecurity Policyx86HardwareConfSecurity PolicyNorthbound API ServiceSDN ControllerUSG6000V 系列虛擬防火墻架構采用華為公司的 vESA (Virtual Elastic Security Architecture) 虛擬彈性安全架構架構，可以靈活地部署在各種虛擬機環境，提供豐富的北向被管理能力，能被各種

15、 Controller 所集成，并可以與傳統硬件交換機等形成混合組網方式，最大程度地滿足客戶各種需求。Data Path PlaneCloud Aware MiddlewareSupport Layer如上圖所示，vESA 虛擬彈性安全架構的特點：多虛擬機平臺支持：vESA 可以兼容主流的虛擬機平臺，包括 Linux/KVM、Xen、VMware 以及華為公司的 FusionSphere 云計算平臺；兼容硬件交換機的大二層處理：vESA 架構不僅可以完成在 VM 的部署，也可以完成在多個 VM 的部署，另外還可以與非 NFV 化的專有硬件交換機等設備完成混合組網部署；高性能的數據處理引擎：vE

16、SA 架構針對各虛擬機平臺均實現了數據加速處理，結合 SR-IOV 和 DPDK，能夠提供高性能的數據轉發處理能力；豐富的北向接口：vESA 架構將北向被集成作為一個關鍵能力，可以北向同時提供NETCONF 和 RESTCONF 兩套 API 接口，既可以被華為 DCN 數據中心解決方案Agile Controller 集成，也可以直接由第三方控制器如OpenStack 所集成，形成豐富的解決方案被集成能力；靈活的生命周期管理：vESA 架構的 USG6000V 系列虛擬防火墻支持多種軟件發放方式，包括 vmdk、iso、qcow2、ovf、bin 等多種格式，可以結合 VNFM 等 VM 管

17、理軟件，完成 NFV 設備的全生命周期管理；靈活的 license 授權發放方式：vESA 架構除提供傳統的單機授權方式的 license 外， 還針對云計算數據中心多租戶場景下靈活部署的需要，提供數據中心內 license server 的集中授權方式，在此場景下，VNFM 等管理軟件可以方便靈活的加載license，完成部署。 3 NFV 防火墻的技術原則NFV 防火墻的可靠性設計NFV 防火墻本身是一個重要的網絡設備，而且其位置一般都是作為網絡的出口。防火墻的位置和功能決定了防火墻設備應該具有非常高的可靠性。保證 NFV 防火墻的高可靠性主要依靠如下幾點技術來保證：雙機備份技術由于防火墻

18、設備位置的特殊性為了提供更可靠的運行保證，一般防火墻都應該提供雙機備份技術。NFV 防火墻的雙機備份可以采用在兩臺獨立的物理服務器各自部署一個 VM 虛擬機的NFV 防火墻形成主備來完成。完善的雙機備份環境可以有兩種工作模式：第一種是，兩臺設備中只有一臺防火墻在工作，當發生意外故障的時候另外一臺防火墻接替工作。第二種是，兩臺設備都在工作，當一臺發生意外故障的時候，另外一臺自動接替所有的工作。鏈路備份技術鏈路備份是為了防止因為鏈路故障而導致服務的終止，實現鏈路備份的具體技術可能有多樣。一般最終實現的具體形式是：提供兩條鏈路同時提供服務，當鏈路都正常的時候可以選擇兩條鏈路一起工作起到負載均衡的作用

19、，當某條鏈路壞的時候， 流量全部自動切換到另外一條鏈路上。實現鏈路備份，應該要求防火墻能提供各種路由協議、各種路由管理功能。基于路由提供的鏈路備份技術可以非常好的使用在各種場合，通過多條鏈路的互相備份提供更可靠的服務。熱備份技術熱備份指的是在發生故障產生設備切換或者是鏈路切換的時候完全不影響業務，這樣的備份機制一般稱為“熱備份”。而如果因為故障等產生的備份行為發生的時候業務會中斷，這樣的備份機制應該稱為“冷備份”或者“溫備份”。在大部分介紹資料里面，熱備份、溫備份、冷備份的概念并沒有嚴格的區分，許多廠商都是使用“熱備份”概念來宣傳的，但是從實際效果上看大部分備份機制并不是嚴格的熱備份。從熱備份

20、的機制上可以知道，如果動態信息越多則熱備份的實現機制越復雜， 防火墻設備需要維護大量的規則信息、連接信息等，針對防火墻設備的熱備份機制都會比較復雜，因此在考察防火墻的備份技術的時候，需要注意區分熱備份和冷備份。NFV 熱遷移技術在云計算數據中心場景彈性擴容、異地容災等情況下，需要對應的 NFV 防火墻做熱遷移，即在遷移的過程中用戶流量、業務不中斷。這就要求NFV 防火墻能夠跟SDN 控制器做聯動，在 SDN 控制器實施遷移動作時，通知 NFV 防火墻完成熱數據的備份，將NFV 防火墻遷移。防火墻設備的可靠性設計反映出了防火墻在設計方面的一種綜合考慮，必須明確的是防火墻設備是一臺重要的網絡設備，

21、其可靠性要求設計要求比較高，在選擇防火墻設備的時候需要綜合考慮其可靠性方面的設計。防火墻的性能模型防火墻的性能對于衡量一個防火墻設備來說非常重要，那么到底應該通過哪些指標來具體的衡量防火墻的性能呢？本小節主要討論一下，衡量防火墻的性能的時候應該注意哪些方面。業界現在衡量防火墻的性能的時候，主要使用“吞吐量”這個指標。吞吐量主要是指防火墻在大包的情況下，盡量轉發能通過防火墻的總的流量，一般使用 BPS（比特每秒） 為單位來衡量的，使用吞吐量作為衡量防火墻的性能指標非常片面，不能反映出防火墻的實際工作能力。除了吞吐量之外，在衡量防火墻性能的時候一定還要考察下面幾個指標：小包轉發能力防火墻的吞吐量在

22、業界一般都是使用 1K1.5K 的大包衡量防火墻對報文的處理能力的。因網絡流量大部分是 200 字節報文，因此需要考察防火墻小包轉發下性能， 防火墻的小包轉發性能真實的反映了防火墻在實際環境下工作的轉發性能指標。規則數目對轉發效率的影響防火墻一般都是工作在大量的規則下，規則、業務的實施對轉發性能有必然的影響， 因此需要考察防火墻在大量規則下的轉發效率，避免業務對防火墻性能影響太大， 導致防火墻在實際環境下無法工作。每秒建立連接速度指的是每秒鐘可以通過防火墻建立起來的完整 TCP 連接。由于防火墻的連接是動態產生的是根據當前通信狀態而動態建立的一個信息表。每個會話在數據交換之 前，在防火墻上都必

23、須建立連接。如果防火墻建立連接速率較慢，在客戶端反映是每次通信有較大延遲。因此支持的指標越大，轉發速率越高。在受到攻擊時，這個指標越大，抗攻擊能力越強。這個指標越大，狀態備份能力越強。 每秒新建連接速度是衡量防火墻功能能力的一個重要指標，該指標偏低的時候防火墻無法在實際的網絡環境中體現優異的性能，尤其是遭受 DOS 攻擊的時候，如果該指標偏低防火墻會停止工作。并發連接數目由于防火墻是針對連接進行處理報文的，并發連接數目是指的防火墻可以同時容納的最大的連接數目，一個連接就是一個 TCP/UDP 的訪問。延時延時測試是指在不丟包的前提下轉發數據包所需要的時間，延時越小越好。延時在一些對實時性要求高

24、的場合非常重要，例如語音、視頻等業務。如果通過防火墻的延時太大，會造成聲音失真、重要業務中斷等情況發生，因此保持很小的延時是防火墻性能的一個重要指標。以上是衡量防火墻性能的一些基本數據，在實際選擇防火墻的時候也可以根據具體的組網要求衡量一些其他的指標。由于防火墻本身是一個“處理復雜業務”的通信設備，涉及的性能指標比傳統數據通信設備的多，在實際選擇的時候一定要注意這一點，防火墻的性能指標同時反映了一臺防火墻的綜合指標，是選擇防火墻設備的一個重要依據。網絡隔離防火墻的本質功能就是隔離網絡，通過防火墻可以把普通區域、重點區域等各種邏輯網絡進行隔離，避免了不安全因素的擴散。在防火墻技術體系中，靈活的網

25、絡隔離特性是防火墻非常重要的一個特性，只有合理的劃分了網絡區域，安全策略也可以更有效的實施。防火墻是否具有合理的網絡隔離，可以根據以下一些情況考察：整個防火墻的網絡隔離體系是否具有清晰的邏輯結構，使得防火墻可以適應不同的場合。例如，防火墻至少應該具有單獨的DMZ 區域。網絡區域應該可以和各種物理接口配合工作，并且不依賴于物理接口提供網絡隔離的劃分。如果依靠物理接口進行網絡隔離，很明顯不能滿足各種方案的靈活實施，網絡隔離是一個邏輯上面的概念，必須可以靈活設定才能更好的滿足業務的實施。網絡隔離的時候，是不是考慮了針對隧道、VPN、VLAN 接口等各種虛擬接口的實施。現在網絡業務靈活多變，VPN、V

26、LAN 隔離是各種網絡經常實施的一些業務，區域隔離必須考慮各種虛擬接口的實施以及和各種 VPN、VLAN 等業務的配合實施。在整個體系當中，是否考慮防火墻本身的安全問題。防火墻是一個網絡隔離的控制點， 因此防火墻本身的安全問題是一個非常重要的問題，如果防火墻本身得不到保證，整個網絡的安全性就無法保證。如何保證被防火墻分隔的網絡中對防火墻本身的訪問也必須是網絡隔離中考慮的一個問題。訪問控制防火墻另外一個重要功能就是訪問控制，在防火墻中主要涉及訪問控制列表。通過報文的特征定義一系列的規則，通過這些規則特征可以控制通過防火墻報文。訪問控制特性是防火墻最重要的特性。由于在一些復雜場合，防火墻需要設定大

27、量的規則，因此針對大量規則的性能指標也是衡量防火墻性能和功能的一個重要條件。基于流的狀態檢測技術在訪問控制中應用的較多的是基于 ACL 的 IP 包過濾技術，這種技術簡單可靠，但缺乏一定的靈活性。對于類似于應用 FTP 協議進行通信的多通道協議來說，配置防火墻則是困難的。FTP 包含一個預知端口的 TCP 控制通道和一個動態協商的 TCP 數據通道，對于一般的防火墻來說，配置安全策略時無法預知數據通道的端口號，因此無法確定數據通道的入口。基于狀態檢測的技術可以解決這樣的問題，通過對數據包的狀態進行檢測， 可以動態的發現應該打開的端口，這樣可以保證在通信的過程中動態的決定哪些數據包可以通過防火墻

28、。基于流的狀態檢測技術可以提供更高的轉發性能，因為基于 ACL 的包過濾技術是逐包檢測的，這樣當規則非常多的時候包過濾防火墻的性能會變得比較低下，而基于流的狀態防火墻可以根據流的信息決定數據包是否可以通過防火墻，這樣就可以利用流的狀態信息決定對數據包的處理結果加快了轉發性能。現在主流的防火墻產品基本上都采用了狀態防火墻技術，因此在選擇防火墻的時候應該優先考慮狀態防火墻。基于用戶的管控能力NGFW 下一代防火墻，不僅能夠根據 IP 地址進行安全策略控制。需要能夠根據用戶身份進行安全策略控制。防火墻應該能夠監控用戶的上下線動作，并根據用戶/用戶組進行用戶權限的控制、帶寬分配等。基于應用的管控能力N

29、GFW 下一代防火墻，不僅能夠根據端口進行策略控制。需要能夠根據協議內容進行深度應用識別，并根據識別的結果進行基于應用的管控。防火墻必須能夠不斷升級模式文件（用于識別應用軟件），防止員工通過更新應用軟件的版本或者使用新的應用軟件來繞過防火墻的監控。應用層的威脅防護NGFW 下一代防火墻，不僅能夠解決傳統網絡層的攻擊問題。并且需要能夠防護基于應用層的威脅。下一代防火墻，集成應用的識別、解碼能力，能夠檢測網絡蠕蟲、僵尸網絡、病毒文件以及其他基于應用的攻擊，并且能夠檢測應用中傳輸的內容，進行應用層內容過濾，防止敏感信息泄露和非法信息的傳輸。業務支撐能力防火墻一般都是部署在一個網絡業務的控制點，而網絡

30、安全解決方案的一個重要手段就是在“開放”和“安全”之間找到一個平衡點，因為防火墻本身的技術特點有時候會引起當引入防火墻設備到網絡的時候導致某些業務受到影響。為了滿足網絡的業務擴展能力的提高，在部署防火墻的時候需要考察防火墻的業務支撐能力。基于流的狀態檢測特性是否考慮了對豐富業務的支持，隨著網絡帶寬資源的豐富， 各種基于寬帶應用的業務日益豐富，在使用基于流的狀態檢測技術的同時一定得保證該技術對各種業務的支持能力。具有對多媒體業務的支持能力，在寬帶業務中多媒體業務占很大的比例，例如基于H.323、SIP、RTSP 的語音視頻業務，因此防火墻應該全面支持H.323、SIP、RTSP 等多媒體業務。防

31、火墻必須支持強大的地址轉換功能。由于現在 IPV4 的公有地址十分短缺，因此地址轉換已經是提供業務的必須手段，由于防火墻的特殊位置，在防火墻上提供地址轉換是最常用的業務之一。同時使用地址轉換技術可以有效的屏蔽內部網絡，也是一個保證網絡安全的非常有效的手段之一。地址轉換能力隨著 Internet 的發展，IP 地址短缺問題已經成為了一個越來越嚴重的問題。在 IPV6 使用之前，地址轉換（Network Address Translation）技術是解決這個問題的一個最主要的技術手段。地址轉換主要是因為 Internet 地址短缺問題而提出的，利用地址轉換可以使內部網絡的用戶訪問外部網絡（Inte

32、rnet），利用地址轉換可以給內部網絡提供一種“隱私”保護， 同時也可以按照用戶的需要提供給外部網絡一定的服務，如：WWW、FTP、TELNET、SMTP、POP3 等。地址轉換技術實現的功能是上述的兩個方面，一般稱為“正向的地址轉換”和“反向的地址轉換”。在正向的地址轉換中，具有只轉換地址（NAT）和同時轉換地址和端口（PAT）兩種形式。現在地址短缺的問題在很多地方非常嚴重，由于防火墻的位置和技術特點，在防火墻上提供地址轉換技術是非常合適的，因此在防火墻設備上提供完善的 NAT 服務是防火墻的一個非常必要的特性。攻擊防范能力攻擊防范的能力是防火墻的一個核心功能，防火墻必須具有高效、可靠的攻擊

33、防范的能力，防火墻需要具有如下基本功能防范能力：防火墻必須具有針對Dos（拒絕式服務攻擊）的防范能力。防火墻必須具有各種畸形報文進行防范的能力，可以智能的識別出攻擊包。防火墻必須可以抵御各種掃描等窺探攻擊。防火墻必須的防御手段必須健全和豐富，因為 Dos 攻擊手段種類比較多，因此必須具有豐富的防御手段，才可以保證真正的抵御Dos 攻擊。防火墻必須具有優秀的處理性能，因為 Dos 攻擊的一個重要特征就是網絡流量突然增大，如果防火墻本身不具有優秀的處理能力，則防火墻在處理 Dos 攻擊的同時本身就成為了網絡的瓶頸，根本就不可能抵御 Dos 攻擊。因為 Dos 攻擊的一個重要目的就是使得網絡癱瘓，網

34、絡上的關鍵設備點發生了阻塞，則 Dos 攻擊的目的就達到了。防火墻必須具有準確的識別攻擊能力。很多防火墻在處理 Dos 攻擊的時候，僅僅能保證防火墻后端的流量趨于網絡可以接受的范圍，但是不能保證準確的識別攻擊報文。這樣處理雖然可以保證網絡流量的正常，可以保證服務器不會癱瘓，但是這樣處理還是會阻擋正常用戶上網、訪問等的報文，因此雖然網絡層面是正常的，但是真正的服務還是被拒絕了，因此還是不能達到真正的Dos 攻擊防御的目的。防火墻的組網適應能力由于網絡部署的復雜性，要求防火墻本身應該具有優秀的組網適應能力，保證防火墻有利于更靈活的組建業務網絡。優秀的組網能力主要反映在以下幾個方面：支持路由協議，大

35、部分防火墻都不支持動態路由協議，一般都是使用靜態路由協議。但是在很多場合，支持動態路由協議可以有效的提高防火墻的組網適應能力。防火墻應該支持透明模式。透明模式使得防火墻可以工作在二層方式下，當防火墻加入到網絡中的時候可以不影響網絡現在的拓撲。支持各種虛擬接口，比如 VLAN 子接口、隧道接口等。防火墻一般可以提供的物理接口是有限的，為了可以使得防火墻可以適應更復雜的組網，防火墻設備應該支持虛擬接口，通過虛擬接口使得防火墻可以提供更復雜的組網支持。VPN 業務防火墻由于處于企業網絡的邊緣，因此防火墻設備一般都可以提供 VPN 業務，通過防火墻強大的控制能力，可以通過防火墻建立企業之間的 VPN

36、連接服務。在 VPN 陣營里面，最常用的 VPN 技術就是 IP VPN，包括 IPSEC/ L2TP/GRE VPN 等。IP VPN 技術的作用是使遠程分支和移動辦公用戶安全高效地接入到企業網，通常應用于網絡的邊緣。通過防火墻一般可以提供如下一些 VPN 服務：通過防火墻提供企業分支機構之間的互聯互通的 VPN 服務，一般可以提供 IPSEC加密隧道提供非常可靠安全的 VPN 服務；通過防火墻為企業移動辦公人員提供 VPN 接入服務，這要求防火墻支持二層的VPN 協議，現在最通用的二層 VPN 協議是 L2TP，通過 L2TP 可以使得遠程出差員工通過帳戶、密碼安全的接入到企業內部，提供

37、VPN 服務；防火墻需要提供高效的加密服務；防火墻應該支持完備的 VPN 協議，例如 GRE、IPSEC、L2TP 等；各種 VPN 協議應該嚴格按照 RFC 或者相關標準實施，保證可以和其他廠商的 VPN設備互聯互通。防火墻管理系統防火墻應該具有良好的人機界面，可以通過多種方式對防火墻設備進行管理。防火墻設備應該具有方便的升級手段，可以實現熱補丁等在線升級功能。防火墻應該支持圖形化管理方式，方便防火墻的配置和策略管理等功能。防火墻應該支持遠程維護、監控的手段。遠程登陸應該支持安全可靠的方式，例如支持通過 SSH 進行遠程登陸。防火墻的日志系統系統日志提供了一種事后審計的方式，防火墻設備針對各

38、種操作記錄、攻擊信息等情況應該可以提供詳細的日志，并且可以提供日志查詢、過濾等的手段，可以方便的進行日志查找、分析等功能。 4 USG6000V 系列虛擬防火墻技術特點高可靠性設計華為USG6000V 系列虛擬防火墻是華為公司基于vESA 虛擬彈性安全架構開發的電信級的 NFV 防火墻，采用高可靠實時 OS 和軟件系統(華為自主知識產權的專用操作系統VRP)，在提供高安全、高可靠性的同時，很好地解決了高性能與業務處理復雜之間的矛盾。華為 USG6000V 系列虛擬防火墻從健壯的軟件體系、雙機熱備技術、鏈路備份技術、熱備份等方面采取了措施保證網絡可靠性。健壯的軟件體系華為 USG6000V 系列

39、虛擬防火墻采用華為公司自行開發的 VRP 操作系統作為其運行的核心組件，使得其天生就避免了各種通用操作系統的安全漏洞、病毒攻擊等等各種軟件不可靠因素。VRP 操作系統是一個數據通信設備專用的平臺，其軟件構架設計就是為數據通信產品量身定制，綜合考慮了數據通信技術的發展。華為 USG6000V 系列虛擬防火墻不但具有可靠、安全的運行保證，同時針對安全技術的發展方面具有更良好的擴展空間，這就決定了華為 USG6000V 系列虛擬防火墻在新技術發展方面可以領先一步。雙機備份技術華為 USG6000V 系列虛擬防火墻雙機備份是采用兩臺獨立的、型號一致的設備共同工作，提供更可靠的工作環境。華為 USG60

40、00V 系列虛擬防火墻雙機備份可以工作在兩種模式下：第一種是，兩臺防火墻中只有一臺防火墻在工作，當發生意外故障的時候另外一臺防火墻接替工作。第二種是，兩臺防火墻都在工作，且可以通過配置達到負載均衡分擔的工作狀態，但當一臺發生意外故障的時候，另外一臺自動接替所有的工作。熱備份技術熱備份指的是在發生故障產生設備切換或者是鏈路切換的時候完全不影響業務，這樣的備份機制一般稱為“熱備份”。而如果因為故障等產生的備份行為發生的時候業務會中 斷，這樣的備份機制應該稱為“冷備份”。華為 USG6000V 系列虛擬防火墻真正實現了熱備份，包括防火墻配置信息、動態業務流量（包括防火墻的過濾規則信息、連接信息、動態

41、路由信息、狀態檢測的應用層協議的狀態機信息等），因此從熱備份的機制上可以知道，如果動態信息越多則熱備份的實現機制越復雜。鏈路備份技術鏈路備份是為了防止因為鏈路故障而導致服務的終止，實現鏈路備份的具體技術可能有多樣。華為 USG6000V 系列虛擬防火墻提供兩條鏈路同時提供服務，當鏈路都正常的時候可以選擇兩條鏈路一起工作并起到負載均衡的作用，當某條鏈路壞的時候，流量全部自動切換到另外一條鏈路上。華為 USG6000V 系列虛擬防火墻能在切換時候動態調整各種路由協議。由此華為 USG6000V 系列虛擬防火墻基于路由提供的鏈路備份技術可以非常好的使用在各種場合，通過多條鏈路的互相備份提供更可靠的服

42、務。NFV 熱遷移技術在云計算數據中心場景彈性擴容、異地容災等情況下，需要對應的 NFV 防火墻做熱遷移，即在遷移的過程中用戶流量、業務不中斷。這就要求 NFV 防火墻能夠跟 SDN 控制器做聯動，在 SDN 控制器實施遷移動作時，通知NFV 防火墻完成對應策略的備份，將NFV 防火墻遷移。雙向轉發檢測(BFD)雙向轉發檢測 BFD（Bidirectional Forwarding Detection）用于快速檢測系統之間的通信故障，并在出現故障時通知上層協議。BFD 是一種獨立的 Hello 協議，可以實現輕負荷的快速故障探測功能。通過與上層協議的聯動，可以讓上層協議快速發現故障并進行恢復。

43、BFD 可以與 OSPF、靜態路由、FRR（Fast ReRoute）、策略路由、DHCP 等業務進行聯動，快速識別鏈路故障。華為防火墻可靠性技術優勢華為 USG6000V 系列虛擬防火墻的雙機熱備具備以下優勢：因為華為 USG6000V 系列虛擬防火墻展了 VRRP 協議VGMP 協議來控制和保證防火墻的 VRRP 一致性，使得 USG6000V 系列虛擬防火墻在局域網的應用中具備得天獨厚的優勢，因為在局域網中采用 VRRP 協議的可靠性技術被證明是穩定可靠的，而且能做到對局域網內用戶透明，這樣 USG6000V 系列虛擬防火墻的雙機熱備方案在局域網中，及至企業網的接入點上都有很大優勢；US

44、G6000V 系列虛擬防火墻熱備技術是基于華為 HRP 協議的熱備技術，這是一種華為自己開發的快速高效的雙機熱備技術，且可以根據現網的流量不同對應配置HRP 多條優先級不同的備份通道，因為會話表的備份快捷，因此在防火墻因故障而發生主備切換時用戶的應用不會中斷；華為 USG6000V 系列虛擬防火墻的雙機熱備技術支持搶占功能，這一點在互為備份流量分擔的組網中特別重要，因為一旦設備故障所有流量都切換到一臺設備上時， 需要一個切實的機制能保證故障設備恢復時流量能平滑的切換回去，而支持搶占功能的雙機熱備技術能保證這種切換的平滑，從而保證了互為備份組網的可靠運行；華為 USG6000V 系列虛擬防火墻支

45、持OSPF+VRRP 混合組網的方式，在發生故障時候，動態調整 OSPF 的參數，使其業務流量快速切換到另一臺設備，保證故障恢復時候流量平滑的切換，保證備份組網的可靠運行。華為 USG6000V 系列虛擬防火墻支持混合模式下的雙機熱備方案，保證防火墻的業務接口工作在透明模式下，不影響現網的拓撲結構，同時又可以備份業務流量，因此在防火墻因故障而發生主備切換時用戶的應用不會中斷。組網方式豐富多樣，每種組網都能提供全冗余的設備和鏈路，從而能夠保證整個可靠性組網的穩定運行。靈活的安全區域管理基于安全區域的隔離華為 USG6000V 系列虛擬防火墻的安全隔離設計是基于安全區域來劃分的，這樣的設計模型為用

46、戶在實際使用防火墻的時候提供了十分良好的管理模型。防火墻的核心功能是網絡隔離，并且這種網絡隔離技術不是簡單的依靠網絡接口來劃分的，因為網絡的實際拓撲是千差萬別的，使用固定接口來進行網絡隔離不能適應網絡的實際要求。華為 USG6000V 系列虛擬防火墻提供了基于安全區域的隔離模型，每個安全區域可以按照網絡的實際組網加入任意的接口，不會受到網絡拓撲的影響。可管理的安全區域業界很多防火墻一般都提供受信安全區域（trust）、非受信安全區域（untrust）、非軍事化區域（DMZ）三個獨立的安全區域，這樣的保護模型可以適應大部分的組網要求，但是在一些安全策略要求較高的場合，這樣的保護模型還是不能滿足要

47、求。華為 USG6000V 系列虛擬防火墻默認提供四個安全區域：trust、untrust、DMZ、local， 在提供三個最常用的安全邏輯區域的基礎上還新增加了本地邏輯安全區域，本地安全區域可以定義到防火墻本身的報文，保證了防火墻本身的安全防護，使得對防火墻本身的安全保護得到加強。例如，通過對本地安全區域的報文控制，可以很容易的防止不安全區域對防火墻本身的 Telnet、ftp 等訪問。華為 USG6000V 系列虛擬防火墻還提供自定義安全區域，每個安全區域都可以加入獨立的接口。基于安全區域的策略控制華為 USG6000V 系列虛擬防火墻支持根據不同的安全區域之間的訪問設計不同的安全策略組，

48、每條安全策略組支持若干個獨立的規則。這樣的規則體系使得防火墻的策略十分容易管理，方便用戶對各種邏輯安全區域的獨立管理。基于安全區域的策略控制模型，可以清晰的分別定義從 trust 到untrust、從 DMZ 到untrust 之間的各種訪問，這樣的策略控制模型使得華為 USG6000V 系列虛擬防火墻的網絡隔離功能具有很好的管理能力。豐富的業務支撐防火墻的安全區域管理涵蓋了防火墻所有的接口、子接口、Loopback 接口、隧道接口、撥號邏輯接口、虛擬模板接口等各種接口類型，安全區域管理的策略支撐了防火墻可以支持所有業務類型。通過華為 USG6000V 系列虛擬防火墻獨立的安全區域管理，可以使

49、得用戶針對 VLAN 接入的網絡也可以通過安全區域完全獨立的隔離。同時華為 USG6000V 系列虛擬防火墻支持針對本地安全區域的管理，可以方便的設定各種策略來滿足外部用戶針對防火墻本身的訪問，通過這樣的策略設定可以非常靈活設定對防火墻本身的管理規則。例如，只能允許某個特定安全區域的用戶可以登陸防火墻， 只能某個特性區域的接口和防火墻進行路由互通等等。這樣就很大程度上滿足了對防火墻本身的管理，而不至于將針對防火墻管理的策略和針對業務流管理的策略混在一起， 方便用戶制訂清晰的安全策略。華為 USG6000V 系列虛擬防火墻各種安全策略也可以基于安全區域進行統一設定，例如針對 Dos 攻擊的防護功

50、能可以根據不同的安全區域采用不同的防范級別，通過這種針對業務的支持使得華為 USG6000V 系列虛擬防火墻的各種策略、控制都可以和安全區域很好的配合，提供了整個系統層面的安全防范、策略管理等，方便了用戶對各種安全業務、策略的管理和實施,使得用戶的安全防范的體系非常清晰。安全策略控制靈活的規則設定華為 USG6000V 系列虛擬防火墻可以支持靈活的規則設定，可以根據報文的特點方便的設定各種規則。可以依據報文的協議號設定規則；可以依據報文的源地址、目的地址設定規則；可以使用通配符設定地址的范圍，用來指定某個地址段的主機；針對 UDP 和 TCP 還可以指定源端口、目的端口；針對目的端口、源端口可

51、以采用大于、等于、介入、不等于等方式設定端口的范圍；針對 ICMP 協議，可以自由的指定 ICMP 報文的類型和 Code 號，可以通過規則針對任何一種 ICMP 報文；可以針對 IP 報文中的 TOS 域設定靈活的規則；可以根據上網用戶的用戶組/用戶名，設定過濾規則；可以根據應用協議、應用協議分類，設定過濾規則；可以根據地理位置設定過濾規則。基于時間段的規則管理華為 USG6000V 系列虛擬防火墻的 ACL 策略管理支持時間段，可以采用兩種方式定義時間段：絕對時間范圍、周期時間范圍。通過時間段，華為 USG6000V 系列虛擬防火墻可以非常容易的定制基于時間的策略，例如工作期間不允許使用

52、MSN、QQ 等，而下班時間可以使用等。所有基于 ACL 控制的策略，都可以使用時間段特性。例如地址轉換服務也是依靠 ACL來定義地址轉換的策略，因此依靠時間段特性也可以定義更靈活的地址轉換服務。高速策略匹配防火墻的策略都是由很多規則構成的，因此防火墻在進行策略匹配的時候會影響防火墻的效率。華為USG6000V系列虛擬防火墻采用了華為專有技術的ACL 快速查找匹配的專門算法， 這樣就保證了華為 USG6000V 系列虛擬防火墻在很多規則的情況下依然可以保持高效的轉發效率，系統在進行上萬條 ACL 規則的查找時，性能基本不受影響，處理速度保持不變，從而確保了 ACL 查找的高速度，提高了系統整體

53、性能。MAC 地址和 IP 地址綁定華為 USG6000V 系列虛擬防火墻根據用戶配置，將 MAC 和 IP 地址進行綁定從而形成關聯關系。對于從該 IP 地址發來的報文，如果 MAC 地址不匹配則被丟棄；對于發往該IP 地址的報文都被強制發送到指定的 MAC 地址處，從而有效避免 IP 地址假冒的攻擊行為。動態策略管理黑名單技術華為USG6000V 系列虛擬防火墻可以將某些可疑報文的源 IP 地址記錄在黑名單列表中， 系統通過丟棄黑名單用戶的所有報文，從而有效避免某些惡意主機的攻擊行為。華為 USG6000V 系列虛擬防火墻提供如下幾種黑名單列表維護方式：手工添加黑名單記錄，實現主動防御；與

54、攻擊防范結合自動添加黑名單記錄，起到智能保護；可以根據具體情況設定“白名單”，使得即使存在黑名單中的主機，依然可以使用部分的網絡資源。例如，即使某臺主機被加入到了黑名單，但是依然可以允許這個用戶上網；黑名單技術是一種動態策略技術，屬于響應體系。防火墻在動態運行的過程中，會發現一些攻擊行為，通過黑名單動態響應系統，可以抑制這些非法用戶的部分流量，起到保護整個系統的作用。基于流會話的狀態檢測技術基于會話管理的核心技術華為 USG6000V 系列虛擬防火墻是一款高級的基于流會話的狀態防火墻，其核心集成了強大的基于會話管理的核心技術。華為 USG6000V 系列虛擬防火墻提供了兩個核心處理單元：首包處

55、理單元和會話管理單元，兩個單元分別依靠獨立的加速系統進行管理。這樣處理的明顯優勢是：首包處理單元避免了防火墻在首報文處理下的瓶頸，使得華為 USG6000V 系列虛擬防火墻可以支持優異的每秒新建連接的性能，使得 USG6000V 系列虛擬防火墻可以在實際工作環境中保持良好的處理性能。會話管理單元使得防火墻具有了優異的轉發加速體系，使得防火墻具有優異的轉發性能，后續的轉發性能依靠獨立的加速系統完成報文加速轉發，使得防火墻在每秒新增連接的性能處理基礎上，也具有更高的轉發性能。防火墻的連接管理粒度可以做到非常細致，大部分防火墻針對連接的管理只能針對TCP 或者 UDP 設定管理策略，而華為 USG6

56、000V 系列虛擬防火墻可以針對不同的業務類型設定管理策略。例如，可以針對 Telnet、HTTP 等各種協議單獨設定管理策略，管理的粒度非常細致。防火墻針對業務的處理都是基于會話管理的核心來完成的，這樣就保證了防火墻基于會話的管理可以支持豐富的業務，例如華為 USG6000V 系列虛擬防火墻可以支持策略路由、帶寬管控等業務特性，這樣業務特性都可以是基于流來管理的。華為USG6000V 系列虛擬防火墻可以提供基于流的各種業務，這樣保證了防火墻可以適應各種工作環境，適應防火墻基于流的轉發技術，使得華為 USG6000V 系列虛擬防火墻在提供狀態檢測的技術的同時可以適應更豐富的業務。深度檢測華為

57、USG6000V 系列虛擬防火墻提供了 ASPF 技術，ASPF 是一種高級通信過濾技術， 它檢查應用層協議信息并且監控基于連接的應用層協議狀態。華為 USG6000V 系列虛擬防火墻依靠這種基于報文內容的訪問控制，能夠對應用層的一部分攻擊加以檢測和防 范，包括對于 FTP 命令字、SMTP 命令的檢測、HTTP 的 Java、ActiveX 控件等的檢測。ASPF 技術是在基于會話管理的技術基礎上提供深層檢測技術的，ASPF 技術利用會話管理維護的信息來維護會話的訪問規則，通過 ASPF 技術在會話管理中保存著不能由靜態訪問列表規則保存的會話狀態信息。會話狀態信息可以用于智能的允許/禁止報文

58、。當一個會話終止時，會話管理會將該會話的相關信息刪除，防火墻中的會話也將被關閉。針對 TCP 連接，ASPF 可以智能的檢測“TCP 的三次握手的信息”和“拆除連接的握手信息”，通過檢測握手、拆連接的狀態檢測，保證一個正常的 TCP 訪問可以正常進行，而對于非完整的 TCP 握手連接的報文會直接拒絕。狀態檢測技術的優勢在普通的場合，一般使用的是基于 ACL 的 IP 包過濾技術，這種技術比較簡單，但缺乏一定的靈活性，在很多復雜應用的場合普通包過濾是無法完成對網絡的安全保護的。例如對于類似于應用 FTP 協議進行通信的多通道協議來說，配置防火墻包過濾規則是非常困難的。FTP 包含一個預知端口的

59、TCP 控制通道和一個動態協商的 TCP 數據通道，對于一般的包過濾防火墻來說，配置安全策略時無法預知數據通道的端口號，因此無法確定數據通道的入口。這樣就無法配置準確的安全策略。ASPF 技術則解決了這一問題， 它檢測 IP 層之上的應用層報文信息，并動態地根據報文的內容創建和刪除臨時的規則， 以允許相關的報文通過。ASPF 使得華為USG6000V 系列虛擬防火墻能夠支持一個控制通道上存在多個數據連接的協議，同時還可以在應用非常復雜的情況下方便的制訂各種安全的策略。許多應用協議，如 Telnet 、SMTP 使用標準的或已約定的端口地址來進行通信，但大部分多媒體應用協議（如H.323、SIP

60、）及 FTP、net meeting 等協議使用約定的端口來初始化一個控制連接，再動態的選擇端口用于數據傳輸。端口的選擇是不可預測的，其中的某些應用甚至可能要同時用到多個端口。因此包過濾防火墻只有阻止單通道的應用傳輸，以免內部網絡遭受攻擊，只能僅僅阻止了一些使用固定端口的應用，而留下了許多安全隱患。而ASPF 監聽每一個應用的每一個連接所使用的端口，打開合適的通道讓會話中的數據能夠出入防火墻，在會話結束時關閉該通道，從而能夠對使用動態端口的應用實施有效的訪問控制。當報文通過防火墻時，ASPF 將對報文與指定的訪問規則進行比較，如果規則允許，報文將接受檢查，否則報文直接被丟棄。如果該報文是用于打