防火墻是目前主要的網絡安全設備，企業為了保證網絡安全都會選擇防火墻產品。防火墻能有效地防止外來的入侵，它在網絡系統中，有效的控制進出網絡的信息流向和信息包；提供使用和流量的日志和審計；隱藏內部IP地址及網絡結構的細節；提供VPN功能等等。今天我們要介紹的是來自華為的USG6680防火墻，作為高端設備的它提供了更為豐富的功能。

據悉，華為USG6680防火墻面向下一代網絡環境，基于"ACTUAL"感知，實現安全管理自我優化，通過云技術識別未知威脅，高性能地為企業提供以應用層威脅防護為核心的下一代網絡安全。基于獨家“V-ISA”信譽機制來應對愈演愈烈的DDoS威脅，在支持虛擬化(Virtualization)防護的同時，能基于IP信譽機制實現僵尸網絡防御，基于會話(Session)信譽抵御慢速攻擊，同時基于行為信譽來防護應用(Application)層DDoS攻擊。

創新性的ACTUAL感知

對于USG6680來說，ACTUAL感知是它具備的重要特性之一。所謂ACTUAL感知就是ACTUAL(Application，Content，Time，User，Attack，Location)，是指對網絡中流量的Application/應用、Content/內容、Time/時間、User/用戶、Attack/攻擊以及Location/位置的感知能力，管理員可以結合上述ACTUAL的感知結果配置對應的安全策略，如過濾、路由選路、流控、轉換等策略。

在ACTUAL感知中，SA/應用感知模塊負責對未知網絡流量進行識別，SA模塊識別報文形態、根據報文提取的特征字、報文負荷長度、報文內容/長度變化規律、IP地址/端口等內容，并可結合統計和報文間關聯關系等，從而對網絡流量進行精確應用分類。

應該說，感知能力是體現華為防火墻智能化水平的基礎。尤其在當前開放的網絡環境下，要達到有效的管理和安全的防護，首先需要對網絡業務進行全面的感知。感知體系通過6個維度將模糊的網絡環境映射為實際的業務環境，為用戶提供真正面向業務管理。通過感知體系，構建的業務模型，讓云和移動邊界變得清晰，更容易進行訪問控制，也使得業務更清晰—是誰，在什么時間，什么地點，用什么應用，做了什么事，有什么結果，更容易提供面向業務的精確控制和可視化的管理。

傳統防火墻基于五元組ACL的匹配技術，在增加了用戶、應用、內容、位置、時間段等更多匹配維度后，在匹配效率越來越不能滿足網絡安全設備的需求。NGFW基于RFC及Tries等算法，開發出一套一體化加速匹配算法，將各匹配維度元素通過預處理的方式建立查找結構，統一編譯到一體化匹配狀態機中，并且NGFW對數據包的匹配時間消耗不隨著規則的增加而增加，可以實現各元素的一次性匹配，避免陷入“串糖葫蘆”的匹配流程而引起性能不足的境地。同時，NGFW選用帶HFA模式匹配能力的硬件平臺，可利用硬件協處理器模式匹配的能力，對匹配能力進一步以進一步加速。

除具備智能感知引擎以外，華為USG6680防火墻還具備了彈性硬件架構，以及沙箱技術的結合，在管控能力、管理能力、性能優化與防護范圍四個方面進行優化，隨著未來對用戶IT環境新發展變化不斷關注實現了全面的未知威脅的防護，可以滿足大型企業數據中心的安全防護要求。

總體看來，華為下一代防火墻USG6680在管控能力、管理能力、性能優化、防護范圍四個方面進行了優化，首創了ACTUAL的全局環境感知技術，同時支持6000+應用識別，超過行業最高水平20%(CheckPoint 5000+)，首創Smart Policy智能分析和自動化部署，全威脅防御性能最高(20G)，威脅開啟后性能下降行業最小。并且進入了Gartner企業防火墻和UTM MQ象限，是國內唯一進入該象限的安全廠商。