ACTUAL感知 助力新一代防火墙USG6000

　　计算机网络技术以及电子商务的突飞猛进对人类社会的各个方面带来了巨大而深刻的影响，在为人类的生活带来极大便利的同时，也带来了越来越严重的网络安全问题。防火墙技术目前已经成为各种网络中实施安全防护的核心设备。然而由于网络信息量爆炸式增长，伴随着网络向无边界化、移动互联、Web2.0应用等趋势的发展，传统防火墙通过五元组ACL做控制的安全策略行为已经显得有点力不从心。

　　针对网络应用流量日益复杂的现状和趋势，华为公司NGFW防火墙创新地开发了ACTUAL感知技术，使得基于此技术的安全策略可以更加准确、合理、精细地控制网络流量、防御安全威胁、保障用户的网络安全。

　　ACTUAL感知，是指对网络中流量的Application/应用、Content/内容、Time/时间、User/用户、Attack/攻击以及Location/位置的感知能力，管理员可以结合上述ACTUAL的感知结果配置对应的安全策略，如过滤、路由选路、流控、转换等策略。

　　SA/应用感知模块负责对未知网络流量进行识别，SA模块识别报文形态、根据报文提取的特征字、报文负荷长度、报文内容/长度变化规律、IP地址/端口等内容，并可结合统计和报文间关联关系等，从而对网络流量进行精确应用分类。

　　感知能力是体现NGFW智能化水平的基础。尤其在当前开放的网络环境下，要达到有效的管理和安全的防护，首先需要对网络业务进行全面的感知。华为NGFW基于ACTUAL（Application，Content，Time，User，Attack，Location）感知体系通过6个维度将模糊的网络环境映射为实际的业务环境，为用户提供真正面向业务管理。通过感知体系，构建的业务模型，让云和移动边界变得清晰，更容易进行访问控制，也使得业务更清晰—是谁，在什么时间，什么地点，用什么应用，做了什么事，有什么结果，更容易提供面向业务的精确控制和可视化的管理。

　　传统防火墙基于五元组ACL的匹配技术，在增加了用户、应用、内容、位置、时间段等更多匹配维度后，在匹配效率越来越不能满足网络安全设备的需求。NGFW基于RFC及Tries等算法，开发出一套一体化加速匹配算法，将各匹配维度元素通过预处理的方式建立查找结构，统一编译到一体化匹配状态机中，并且NGFW对数据包的匹配时间消耗不随着规则的增加而增加，可以实现各元素的一次性匹配，避免陷入“串糖葫芦”的匹配流程而引起性能不足的境地。同时，NGFW选用带HFA模式匹配能力的硬件平台，可利用硬件协处理器模式匹配的能力，对匹配能力进一步以进一步加速。

　　 华为Secospace USG6600系列下一代防火墙应需而生，面向下一代网络环境，基于"ACTUAL"感知，实现安全管理自我优化，通过云技术识别未知威胁，高性能地为企业提供以应用层威胁防护为核心的下一代网络安全。

　　华为产品中国总代理  联强国际贸易（中国）有限公司 南昌分公司

　　联系人：李永兴

　　电话：0791-82080500、13576079477