1、防火墙的现状与挑战

　　防火墙作为传统网络安全设备，是在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。

　　在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。

　　防火墙逻辑位置示意图

　　当时间进入到21世纪，各种攻击手段层出不穷，传统防火墙对付日益增多的安全威胁早已力不从心。

　　为了应对越来越多的攻击手段，保证内网安全运行，客户不得不采购更多的安全设备，包括IDS、IPS、AV、URL过滤、终端安全系统等一系列产品，以期提高内网安全等级。

　　越来越多的安全设备充斥了整个网络，技术更新快，多套管理系统各自为政，维护管理人员缺乏。企业的安全方案日趋复杂，运维成本日益庞大。

　　那么，有没有一种设备，既能解决多种业务安全问题，也能实现真正有效的业务保护，在满足客户快速、高效的业务体验的同时，为用户节约投资、且管理简单、易于维护，同时还提供及时可靠的安全服务呢？

2、华为解决之道

　　华为给力推出USG系列统一安全网关：

　　华为USG系列安全网关的架构：

　　●高性能多核硬件，最大支持8核32个虚CPU并行处理，配合加速芯片实现性能业界领先。

　　●安全能力融合入系统内核，主动完成安全检测

　●数据流在整个转发过程，通过安全内核

　　●各模块并行工作，效率高，安全性高

　●基于用户的安全策略

　华为USG系列安全网关的功能亮点：

　　●基于漏洞的IPS引擎：

　≥基于漏洞的签名：1条可检测识别成百上千的攻击，有效防止攻击变种

　≥基于精确识别内容的威胁检测，避免盲目的扫描大量信息导致低效率

　≥新增漏洞签名到2000+种

　　●全球领先的AV引擎：

　　≥技术领先：文件级引擎，保证病毒检测的完整性；增加FTP协议扫描。仿真检测技术，让病毒暴露其不良活动企图或者现出原形。海量病毒检测能力，可检测700多万种病毒。

　　≥高检测率：病毒测试检出率高达99%，自动化学习引擎，超125种特征扫描能力，快速检测病毒变种。

　　≥快速响应：刀片式引擎，可以特征库一样不断升级新的脚本引擎可以快速发布到工作中的反病毒引擎上。

　　●全面的流量控制：

　　USG系列防火墙支持多种流量管控策略：

　　≥支持基于IP地址（地址段）的流量控制：IP（段）的流量控制是指根据报文源地址、源端口、目的地址、目的端口、协议这五元组信息匹配限流策略，如果匹配上了则进行相应的限流，否则不做限流。策略里面可以配置地址或地址的集合，协议或协议的集合。