6-1华为Eudemon1000E-N下一代防火墙

华为Eudemon1000E-N下一代防火墙

Eudemon1000E-N 下一代防火墙

随着互联网技术的不断发展，智能手机、iPad等终端被更多地应用到办公中，移动应用程序、

Web2.0、社交网络应用于生产生活的方方面面。网络边界变得模糊，信息安全问题日益复杂。

传统的安全网关通常只能通过IP和端口进行安全防护，难以完全应对层出不穷的应用威胁和Web

威胁。

Eudemon1000E-N系列是华为公司为解决运营商、企业、政府、数据中心等机构的网络安全问题

自主研发的下一代防火墙产品。它基于业界领先的软、硬件体系架构，通过对应用、用户、威

胁、时间、位置的全面感知，将网络环境清晰的映射为业务环境。在应用识别的基础上提供精

准的管控能力，融合了IPS攻击防护、AV防病毒、URL 过滤，Web内容过滤，反垃圾邮件和邮件

过滤等行业领先的专业安全技术，支持IPv6防护及过渡技术，为用户提供强大、可扩展、持续的

安全能力。在运营商、政府、金融、电力、石油、教育、工业制造等行业得到广泛应用。

6-2 华为Eudemon1000E-N下一代防火墙

产品特性与优势

最精准的应用访问控制

在Web2.0时代，社交网络、即时通讯工具广

泛应用。基于http协议开发的网络应用不断增多，

使用相同的端口。传统防火墙产品主要通过IP地址

和协议端口感知网络，无法感知用户、业务环境

和应用层信息。而感知是实现访问控制和安全防

护的基础，只有全面感知用户及业务环境，才能

对业务和应用采取精确动作，实现对信息安全的

全面防护。

华为Eudemon1000E-N系列下一代防火墙通过“应用（Application）、时间（Time）、用户

（User）、威胁（Attack）和位置（Location）”多个维度解析企业的业务流量，并结合各种维度进行

防护：

• 应用：综合运用特性识别、端口识别、关联识别、行为识别等技术手段，准确识别超过6000个网

络应用。

• 用户：通过Radius、LDAP、AD等8种用户识别手段，将流量中的IP地址与现实世界中的用户信息联

系起来。基于用户对网络流量进行管控。

• 威胁：支持超过5000+特征的攻击检测和防御。支持Web攻击识别和防护，如跨站脚本攻击、SQL

注入攻击等。可以识别和防范SYN flood、UDP flood等10+种DDoS攻击，识别500多万种病毒。采

用基于云的URL分类过滤，预定义的URL分类库已超过8500万，阻止访问恶意网站带来的威胁。

• 位置：与全球位置信息结合，识别流量及威胁发起的位置信息；使用流量地图和威胁地图快速发

现异常，进而制定对应的防护策略。支持根据IP自定义位置。

正是基于ACTUAL全面感知体系，Eudemon1000E-N系列下一代防火墙能准确地识别出隐藏在应用

中的各类威胁，并基于上述多个维度进行精细的控制和防护。

最简单的安全管理

根据用户调研和第三方分析的结果，下一代防火墙管理面临三大挑战：

• 安全策略如何实施

• 基于应用的访问控制策略是否正确

• 如何优化防火墙策略集

基于应用访问策略是否正确实施 39%

37%

36%

Verifying that application-based policies are enforced correctly

How to maintain threat prevention policies

How to optimize firewall policies

安全威胁策略如何实施

如何优化防火墙规则集

Source: Survey of Osterman Research on 209 enterprises about next generation firewall management

6-3华为Eudemon1000E-N下一代防火墙

传统的安全网关管理完全依赖于使用者的经验和投入。对比传统安全网关，下一代防火墙最大的

优势就是对应用的精细化控制，以及对这些应用的进一步深度防护。在下一代防火墙上，仅使用五元

组策略并不能带来更多的安全性。因此，要充分发挥下一代防火墙的作用，需要比传统安全网关更好

的安全管理。然而，做好下一代防火墙的安全管理并不容易。无论哪一个厂家提供的下一代防火墙产

品，包含的网络应用数量都是数以千计的。想充分发挥NGFW的作用，需要安全管理员具备更多的技

能，更多的工作量，这意味更高的整体成本。

Eudemon1000E-N系列下一代防火墙通过Smart Policy技术很好地解决了NGFW的管理难题。首先，

Eudemon1000E-N根据使用场景提供了一系列策略模板，可以快速的部署应用防护策略。例如：如果

希望使用网络存储，管理员仅需基于“使用网盘”这个策略模板，就能建立一系列策略。在策略中，

对网盘类应用允许下载并进行病毒检测，但禁止文件上传。

其次，Eudemon1000E-N根据网络流量对现有的安全策略进行优化，让它们变得更准确、更有

效。这在遗留大量端口防护策略，需要转换为NGFW使用的应用防护策略时尤其有用。

第三，Eudemon1000E-N能够迅速发现重复的和长期没有使用的策略，精简策略规模，简化管理；

通过这三个方面的优化，Eudemon1000E-N大大提高了策略管理中的自动化程度，降低NGFW的

维护成本。

最高的性能体验

当前，网络攻击成为一种产业，黑客们为了追求经济利益有组织、有预谋的开展攻击，应用层访

问控制、入侵防御等深度应用防护不再是可有可无的。UTM产品当开启应用层防护时性能下降明显，

无法满足当前应用层防护的性能要求。

Eudemon1000E-N系列下一代防火墙采用全新架构的智能感知引擎（IAE, Intelligence Awareness

Engine），采用了一次解析多业务并行处理的架构。IAE使用了三大核心技术：

• 应用识别、IPS、AV采用统一的描述语言，一次性处理，一次性分析，减少重复的操作；

• Eudemon1000E-N在完成统一流量解析后，各安全业务检查是并行的，确保了多安全业务开启情况

下，对整体性能影响最小；

• 针对有规律、大批量、高运算能力要求的报文处理，例如：报文加解密、特征匹配，

Eudemon1000E-N使用了专用硬件进行处理。对零散的、小规模的运算，仍然用软件处理。软硬结

合的处理方式让整体性能更高。

在硬件层面，采用专用多核平台，多个CPU并行处理。先进的硬件和三大核心技术的使用，使

Eudemon1000E-N能够提供万兆级的全威胁防护性能。

UN

IFIED D

L

UN

IFIED Scan

UN

IFIED PM

Separate Definitions

Intrusion

Trojan horse

Exploit

One By One Detection Software Only Approach

IPS

AV

URL

IdentificationParsing

ResponseHandling

Data

Result

Software

Hardware

Data

Result

UNIFIED App/Threat Description Language

Intrusion

Trojan horse

Exploit

MTDL

UNIFIED Security Scan

IPS

AV

URL

UNIFIED Pattern Match

IdentificationParsing

ResponseHandling

Regular

Non-regularData

Result

Software

Hardware

UNIFIED

6-4 华为Eudemon1000E-N下一代防火墙

大中型企业边界防护

Eudemon1000E-N作为大中型企业的出口网关，典型的应用场景如图所示：

• 将企业员工网络、公司服务器网络、外部网络划分到不同安全区域，对安全区域间的流量进行检

测和保护。

• 根据公司对外提供的网络服务的类型开启相应的内容安全防护功能。例如针对所有服务器开启反

病毒和入侵防御。

• 针对内网员工访问外部网络的行为，开启URL过滤、反病毒等功能，既保护内网主机不受外网威

胁，又可以防止企业机密信息的泄露，提高企业网络的安全性。

• 在Eudemon1000E-N与出差员工、分支机构间建立VPN隧道，使用VPN保护公司业务数据，使其在

Internet上安全传输。

• 开启DDoS防御功能，抵抗外网主机对内网服务器进行的大流量攻击，保证企业业务的正常开展。

• 针对内外网之间的流量部署带宽策略，控制流量带宽和连接数，避免网络拥塞，同时也可辅助进

行DDoS攻击的防御。

• 部署eSight网管系统（需要单独采购），记录网络运行的日志信息。日志信息可以帮助管理员进行

配置调整、风险识别。

• 采用双机热备部署，提高系统可靠性。单机故障时可以将业务流量从主机平滑切换至备机上运

行，保证企业业务持续无间断的运行。

内网管控与安全隔离

Eudemon1000E-N作为大中型企业的内网边界，典型的应用场景如图所示：

• 在内网部署一个或多个Eudemon1000E-N作为内部不同网络的边界网关，隔离不同网络。

• 建立用户管理体系，对内网主机接入进行用户权限控制。

• 相同安全等级的网络划分到同一个安全区域，只部署少量的安全功能，例如“研发部1”和“研

发部2”同属于Research安全区域，但是两者间通信的流量仍可进行简单的包过滤、黑白名单、反

病毒等功能。

• 不同安全等级的网络划分到不同的安全区域，根据业务需求部署不同的安全功能，例如仅允许部

分研发网络主机访问指定的市场部主机，并在Research与Marketing、Production、Server之间应用

反病毒等功能。

典型应用场景

eSight

DMZ

Trust Untrust

文件服务器

员工网络 分支机构

公网主机/服务器

Eudemon双机热备

出差员工

邮件服务器 Web服务器

VPN隧道

VPN隧道

大中型企业边界防护典型部署

6-5华为Eudemon1000E-N下一代防火墙

数据中心边界防护

数据中心（Internet Data Center，IDC），是基于Internet网络提供的一整套设施与相关维护服务体系。

Eudemon1000E-N作为数据中心的边界网关，典型的应用场景如图2-3所示：

• 开启流量统计功能，基于IP、用户、应用对流量状况进行长期统计分析，以帮助安全策略的制定。

• 基于IP地址和应用进行限流，使服务器稳定运行，也避免网络出口拥塞，影响网络服务。

• 开启入侵防御、反病毒功能，使服务器免受入侵以及蠕虫、木马等病毒危害。

• 开启DDoS及其他攻击防范功能，避免服务器受到外网攻击导致瘫痪。

• 部署eSight网管系统（需要单独采购），记录网络运行的日志信息。日志信息可以帮助管理员进行

配置调整、风险识别和流量检查。

• 采用双机热备部署，提高系统可靠性。单机故障时可以将业务流量平滑切换至备机上运行，保证服

务器业务持续无间断的运行。

Marketing Production Server

市场部 生产部 服务器区

研发部1

研发部2

出口网关

区域间流量区域内流量

Research Untrest

Eudemon

Trust

DMZ

Untrust企业客户

Eudemon双机热备

网管及日志服务器

Web服务器

邮件服务器

文件服务器

黑客

个人客户

内网管控与安全隔离典型部署

数据中心边界防护典型部署

• 在各个区域之间应用带宽策略，控制带宽与连接数，避免内网网络拥塞。

• 内网各个区域与外网之间应用入侵防御、反病毒、URL过滤等功能。

6-6 华为Eudemon1000E-N下一代防火墙

VPN远程接入与移动办公

Eudemon1000E-N作为企业的VPN接入网关，典型的应用场景如图2-4所示：

• 对于拥有固定VPN网关的分支机构和合作伙伴，使用IPSec或者L2TP over IPSec建立静态永久隧道。

当需要进行接入账号验证时，建议使用L2TP over IPSec。

• 对于地址不固定的出差员工，使用SSL VPN技术，无需安装VPN客户端，只需使用网络浏览器即可

与总部建立隧道，方便快捷。同时可以对出差员工可访问的资源进行精细化控制。

• 在上述隧道中，通过IPSec加密算法或者SSL加密算法，对网络数据进行加密保护。

• 对于通过VPN隧道接入后的用户，进行接入认证，保证用户合法性。并且基于用户权限进行访问

授权。

• 部署入侵防御、反病毒、DDoS攻击防范，避免网络威胁经由远程接入用户穿过隧道进入公司总

部，同时防止机密信息泄露。

云计算网关

云计算是目前一种新兴的网络服务提供模式，需要一系列技术的配合和支持。Eudemon1000E-N

可以在云计算的部署中担任云计算网关的角色。

云计算技术目前存在多种应用方式，最为典型的方式是由网络服务提供商为网络用户提供硬件资

源和计算能力，网络用户只需使用一台终端通过网络 接入云端，就可以像操作家庭电脑一样操作自

己保存在云端的资源。

云计算的核心技术是通过服务器的集群为大量网络用户提供相互独立而又完整的网络服务，其中

涉及到多种虚拟化技术。Eudemon1000E-N作为云计算网关，典型的应用场景如图2-5所示：

在这个场景中，Eudemon1000E-N担任的是云计算网关的角色。通过虚拟系统功能，可以将一台

物理设备划分为多台相互的独立的逻辑设备。每台逻辑设备都可以拥有自己的接口、系统资源以及配

置文件，可以独立进行流量的转发和安全防护，所以被称为虚拟系统。

虚拟系统从逻辑上相互隔离，所以对于每一个云终端看来都拥有一个独享的防火墙设备。同时由

于这些虚拟系统共用同一个物理实体，所以当需要虚拟系统之间进行流量转发时，转发效率非常高。

所以Eudemon1000E-N在此场景中主要负责进行虚拟服务器之间的数据快速交换，以及在云终端接入

云服务器的通信过程中进行网络安全的防护，为云计算方案提供增值的安全业务。

Eudemon Eudemon

SSL VPN

L2TP over IPSec

IPSec

Eudemon

分支机构

合作伙伴

企业总部

VPN远程接入与移动办公典型部署

6-7华为Eudemon1000E-N下一代防火墙

产品规格

型号Eudemon1000E-N3

Eudemon1000E-N5

Eudemon1000E-N6

Eudemon1000E-N7

Eudemon1000E-N7E

固定接口 8GE+4SFP 8GE+4SFP2*10GE+8GE+8SFP

4*10GE+16GE+8SFP

4*10GE+16GE+8SFP

扩展槽位 2WSIC 2WSIC 6WSIC 5WSIC 2WSIC

接口模块类型2×10GE（SFP+）+8×GE（RJ45), 8×GE（RJ45）, 8×GE（SFP）, 4×GE

（RJ45）BYPASS

产品形态 1U 1U 3U 3U 3U

尺寸

（W×D×H）mm442×421×43.6

442×421×43.6

442×415×130.5

442×415×130.5

442×415×130.5

满配重量 10KG 10KG 22KG 22KG 24KG

HDD选配300GB单硬盘，支持热插拔

选配300GB单硬盘，支持热插拔

选配300GB硬盘，

RAID1，支持

热插拔

选配300GB硬盘，RAID1，支持热插拔

选配300GB硬盘，

RAID1，支持

热插拔

冗余电源 标配 标配 标配 标配 标配

MTBF 16.78yrs 10.08yrs 27.07yrs 23.67yrs 　19.18yrs

电源AC 100～240V 100～240V 100～240V 100～240V 100～240V

电源DC -48～-60V -48～-60V -48～-60V -48～-60V -48～-60V

最大功率 170W 170W 350W 350W 350W

工作环境 温度: 0℃ to 40℃/5℃ to 40℃(配置硬盘)， 湿度 10% to 90%

非工作环境 温度: -40℃ to 70℃/湿度 5% to 95%

Eudemon虚拟服务器A

云终端1

云终端4

云终端8

云控制中心

虚拟系统A

虚拟系统B

虚拟系统C

虚拟机1

虚拟机2

虚拟机3

虚拟机6

虚拟机7

虚拟机8

虚拟机4

虚拟机5

虚拟服务器B

虚拟服务器C

6-8 华为Eudemon1000E-N下一代防火墙

认证

ICSA Labs认证 Firewall ，IPS

硬件认证 CB,CCC,CE-SDOC,ROHS,REACH&WEEE(EU),C-TICK,ETL,FCC&IC,VCCI,BSMI

功能特性

访问控制 基于应用、时间、用户、位置的多维访问控制。

应用识别6000+应用协议识别、识别粒度细化到具体动作，自定义协议类型，可与阻断、限流、审计、统计等多种手段自由结合在线协议库升级

用户识别8种用户认证（本地、RADIUS、Hwtacacs、SecureID、AD、CA、LDAP、EndPoint Security）

入侵防御基于特征检测，支持超过5000+漏洞和特征的攻击检测和防御，支持自定义IPS签名。支持跨站脚本攻击、SQL注入攻击等Web攻击。

防病毒应用识别与病毒扫描结合，发现隐藏于应用中的病毒，木马和恶意软件，可检出超过500多万种病毒。

Web安全基于云的URL分类过滤，支持8500万URL分类库，130+大的分类；提供专业的安全URL分类，包括钓鱼网站库分类和恶意URL库分类。提供URL关键字过滤，和URL黑白名单

VPN 丰富的VPN特性，IPSec VPN、SSL VPN、 L2TP VPN、MPLS VPN、GRE等

路由特性IPv4：静态路由、RIP、OSPF、BGP、IS-IS等；IPv6：RIPng、OSPFv3、BGP4+、IPv6 IS-IS、IPv6RD、ACL6等

安全虚拟化全安全特性虚拟化，转发虚拟化、用户虚拟化、管理虚拟化、视图虚拟化、资源虚拟化（带宽、会话等）

Anti-DDoS支持SYN flood、UDP flood、ICMP flood、HTTP flood、DNS flood、ARP flood和ARP 欺骗等攻击防护。

部署及可靠性 透明、路由、混合部署模式，支持主/主、主/备 HA特性

智能管理

自动流量分析，自动生成策略模板，可直接供管理员采纳

全局配置视图和一体化策略管理，配置可在一个页面中完成

可视化多维度报表呈现，支持用户、应用、内容、时间、流量、威胁、URL等多维度呈现报表