网络威胁提升 企业应部署怎样的防火墙?

（原标题：网络威胁提升 企业应部署怎样的防火墙?）

今天，企业面临的网络安全挑战日益严峻，犯罪分子往往利用合法的网络资源展开各种攻击，并从中获利。据近期发布的安全调研报告统计，仅通过赎金勒索一项手段，不法黑客每年就可骗取3400万美元，为企业带来了极大的经济损失。那么伴随网络威胁逐步提升，各类攻击行为愈加复杂、猖獗之际，传统的防火墙、UTM（统一威胁管理）设备都已无法满足当前企业用户的安全需求，对此企业又该部署什么样的防火墙来抵御恶意攻击的侵害呢？下面就一起来探究一下吧。

　第二代防火墙设备成企网防护首选

近些年，各类恶意木马横行、网络钓鱼事件频发、基于Web2.0的攻击飞速增长、新型混合攻击也开始崭露头角，甚至来自企业内部员工的破坏行为都对企业网络安全构成了严重威胁。

面对上述各类攻击，企业需要在网络中部署种类不同的安全产品进行防护，诸如防火墙、入侵防御系统（IPS）、防病毒网关（AV）、安全接入、VPN、数据防泄漏（DLP）设备等等。不过目前的现状是各企业仍然依靠普通的防火墙或UTM进行着网络的基本防护。

在这种情况下，采用端口和IP协议进行控制的传统防火墙已经落伍，对于利用僵尸网络作为传输方法的威胁，基本无法探测到。同时由于基于服务的架构与Web2.0使用的普及，更多的通讯量都只是通过少数几个端口及采用有限的几个协议进行，这也就意味着基于端口/协议类安全策略的关联性与效率都越来越低。因此，传统防火墙在新型网络攻击面前，防护作用日益降低。

而UTM设备虽然将多种安全特性集于一身，但只是将防火墙、IPS、AV等功能进行了简单的堆砌，吞吐量性能是其致命缺陷，在开启全面防御功能的情况下，其性能会下降超过80%，基本处于不可用状态。

即使一些不差钱的企业，装备了上述全部的网络安全设备，如果没有专业的网络安全人员与之匹配或运维，这些安全产品往往也无法发挥出全部的功用。而且这些传统安全设备往往只能防范单一类型攻击，无法实现有效的联动，也很容易被恶意攻击者发现安全空隙。

对此，具有高性能、功能全面，又兼具数据防泄漏和简单管理的第二代防火墙产品无疑成为了今天企业网络防护的首选。

基于我国用户需求特点的第二代防火墙不仅可部署于不同的安全域之间，除了拥有传统防火墙的基本访问控制功能之外，还具备应用层访问控制、用户控制、Web攻击防护、信息泄露防护、深度内容检测、高性能等特征。而且它可实现架构上一次解包完成全部检查，突破了性能瓶颈；再结合其高效、可视化、易管理等特性，已成为取代传统安全产品的新趋势。而在这里，华为USG6000系列下一代防火墙便是其中的重要代表之一。

网络防护新利器 华为USG6300系列

为了应对前面的各类网络威胁，华为面向中小企业和连锁机构推出了USG6300系列下一代防火墙，通过将入侵防御（IPS）和防病毒（AV）等应用层深度防御与应用识别相结合，有效提高了威胁防御的效率和准确性。

并且该系列产品一机多能，具备全面的防护功能，精细的带宽管理和QoS优化能力，能有效降低企业的带宽租用费，在有效降低管理成本的同时，还可确保关键业务体验。

通过对应用、用户、内容、威胁、时间、位置6个维度的全面感知，华为USG6300系列下一代防火墙能够提供精细的应用层安全防护和业务加速，可为企业打造简单、全面、高效的下一代网络安全防护体系。

　简单的安全管理

由于下一代防火墙的防护范围和控制精度比传统防火墙大大增加，这对使用者的经验和技能提出了更高的要求。华为USG6000具备以快速部署策略、智能优化策略和智能精简策略为主的Smart Policy功能。

简单的安全管理

利用Smart Policy功能，USG6000能够通过应用场景模板快速部署安全策略；同时，主动分析企业网络中的实际流量，智能的推荐策略优化建议；自动发现功能重叠的冗余策略和长期没有命中的无用策略，帮助管理员进行策略精简，提升部署简易性。

　全面的防护范围

今天，越来越多的信息资产连接到了互联网上，网络攻击和信息窃取形成巨大的产业链，这对下一代防火墙的防护范围提出了更高要求。而USG6000则集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、上网行为管理等功能于一身，简化部署，提高管理效率。

以入侵防护为例，USG6000支持对超过3500+漏洞特征的攻击检测和防御，支持Web攻击识别和防护，如跨站脚本攻击、SQL注入攻击等等。

精准的访问控制

传统防火墙主要通过端口和IP进行访问控制，下一代防火墙的核心功能依然是访问控制。而USG6000在控制的维度和精细程度上都有很大的提高，可进行基于应用、用户、位置等6个维度的一体化管控和防御。内容层的防御与应用识别深度结合，一体化处理。如识别出Oracle的流量，进而针对性地进行对应的入侵防御，效率更高，误报更少。

更精准的访问控制

高效的防护性能

华为USG6000系列下一代防火墙采用全新架构的智能感知引擎（IAE， Intelligence Awareness Engine），具有一体化处理架构、一体化描述语言和软硬结合一体化三大核心技术，通过一次解析多业务并行处理的架构，可确保多重防御下的高性能体验。

华为USG6300系列代表型号

在华为USG6300系列下一代防火墙中，USG6320、USG6370便是其中的典型代表。其中，华为USG6320下一代防火墙为桌面设备，配有8个千兆以太网GE接口，可满足今天中小企业千兆级别的网络部署。

华为USG6320下一代防火墙

华为USG6320下一代防火墙使用简单，拥有预置防护场景模板，支持智能策略优化，支持U盘大批量快速部署，更支持一体化管理，即通过一个视图Web化管理所有安全功能，来降低管理复杂性。

而华为USG6370下一代防火墙为1U架构，可上机架，除了拥有8个千兆以太网GE接口外，还配有4个SFP光口，可扩展千兆电口/千兆光口/万兆光口，提供更好的部署灵活性和可扩展性。并且，华为USG6370支持BYPASS插卡，可通过一台主机提供9大专业安全防护能力，成本更低，能够快速帮助企业实现一体化网络安全防护。

华为USG6370下一代防火墙

在精细管控方面，华为USG6370最大可实现6000+应用的有效识别，能够精细管控各种网络访问，灵活管理带宽并加速关键业务，成为当前中小企业网络防护的首选设备。

总结：安全好选择 华为USG6300系列

今天各种网络威胁层出不穷，企业网络的安全重要性日益凸显，抛开传统的IP、端口，并基于应用层进行重构安全的下一代防火墙，已成为企业网络安全防护的新选择。然而现在的企业用户特别是中小型企业用户，对于下一代防火墙的认知仍有不足，同时老旧的传统防护设备、过时的组织结构与人员配备等都将他们的重要信息资产暴露在互联网的巨大威胁之下。而华为USG6300系列下一代防火墙则针对各个痛点，逐一击破，以强劲的防护性能、全面的功能配置、简便的部署应用，能够出色的匹配万兆以下场景里企业网络对安全设备的要求，成为中小企业网络防护的好选择。