USG9500數據中心防火墻彩頁(yè)
USG9500數據中心防火墻,定位于保護云服務(wù)提供商、大型數據中心、以及大型企業(yè)園區網(wǎng)絡(luò )業(yè)務(wù)安全。提供高達T級處理性能,集成NAT、VPN、IPS、虛擬化、業(yè)務(wù)感知等多種安全特性,和高達99.999%可靠性,幫助企業(yè)滿(mǎn)足網(wǎng)絡(luò )和數據中心環(huán)境中不斷增長(cháng)的高性能處理需求,降低機房空間投資和每Mbps總體擁有成本。
USG9500系列目前提供USG9520、USG9560、USG9580三種產(chǎn)品形態(tài)。
產(chǎn)品特性
.精準的訪(fǎng)問(wèn)控制-基于A(yíng)CTUAL的六維一體化防護
- 傳統防火墻主要通過(guò)端口和IP進(jìn)行訪(fǎng)問(wèn)控制,下一代防火墻的核心功能依然是訪(fǎng)問(wèn)控制,但USG9500在控制的維度和精細程度上都有很大的提高,可以從應用、用戶(hù)、內容、時(shí)間、威脅、位置6個(gè)維度進(jìn)行一體化的管控和防御。內容層的防御與應用識別深度結合,一體化處理。例如: 識別出Oracle的流量,進(jìn)而針對性地進(jìn)行對應的入侵防御,效率更高,誤報更少。
- 基于應用的訪(fǎng)問(wèn)控制:運用多種技術(shù)手段,準確識別包括移動(dòng)應用及Web應用內的6000+應用協(xié)議及應用的不同功能,繼而進(jìn)行訪(fǎng)問(wèn)控制和業(yè)務(wù)加速。例如:區分微信的語(yǔ)音和文字后采取不同的控制策略。
- 基于用戶(hù)的訪(fǎng)問(wèn)控制:通過(guò)Radius、LDAP、AD等8種用戶(hù)識別手段集成已有用戶(hù)認證系統簡(jiǎn)化管理?;谟脩?hù)進(jìn)行訪(fǎng)問(wèn)控制、QoS管理和深度防護。
- 基于位置的訪(fǎng)問(wèn)控制:與全球位置信息結合,識別流量發(fā)起的位置信息;掌控應用和攻擊發(fā)起的位置,..時(shí)間發(fā)現網(wǎng)絡(luò )異常情況。根據位置信息可以實(shí)現對不同區域訪(fǎng)問(wèn)流量的差異化控制。支持根據IP自定義位置。
.實(shí)用NGFW特性-一臺頂多臺設備,大幅降低TCO
- 越來(lái)越多的信息資產(chǎn)連接到了互聯(lián)網(wǎng)上,網(wǎng)絡(luò )攻擊和信息竊取形成巨大的產(chǎn)業(yè)鏈,這對下一代防火墻的防護范圍提出了更高要求。USG9500具備全面的防護功能,集傳統防火墻、VPN、入侵防御、防病毒、數據防泄漏、帶寬管理、上網(wǎng)行為管理等功能于一身,一機多能,簡(jiǎn)化部署,提高管理效率。
-
入侵防護(IPS):超過(guò)5000種漏洞特征的攻擊檢測和防御。支持Web攻擊識別和防護,如跨站腳本攻擊、SQL注入攻擊等;
-
防病毒(AV):高性能病毒引擎,可防護500萬(wàn)種以上的病毒和木馬,病毒特征庫每日更新;
-
數據防泄漏:對傳輸的文件和內容進(jìn)行識別過(guò)濾??勺R別120+種常見(jiàn)文件類(lèi)型,防止通過(guò)修改后綴名的病毒攻擊。能對Word、Excel、PPT、PDF、RAR等30+文件進(jìn)行還原和內容過(guò)濾,防止企業(yè)關(guān)鍵信息通過(guò)文件泄露。
-
SSL解密:作為代理,可對SSL加密流量進(jìn)行應用層安全防護,如IPS、AV、數據防泄漏、URL過(guò)濾等。
-
Anti-DDoS: 可以識別和防范SYN flood、UDP flood等10+種DDoS攻擊,識別500多萬(wàn)種病毒。
-
上網(wǎng)行為管理:采用基于云的URL分類(lèi)過(guò)濾,預定義的URL分類(lèi)庫已超過(guò)8500萬(wàn),阻止員工訪(fǎng)問(wèn)惡意網(wǎng)站帶來(lái)的威脅。并可對員工的發(fā)帖、FTP等上網(wǎng)行為進(jìn)行控制??蓪ι暇W(wǎng)記錄進(jìn)行審計。
-
安全互聯(lián):豐富的VPN特性,確保企業(yè)總部和分支間高可靠安全互聯(lián)。支持IPSec VPN、L2TP VPN、MPLS VPN、GRE等;
-
QoS管理:基于應用靈活的管理流量帶寬的上限和下限,可基于應用進(jìn)行策略路由和QoS標簽著(zhù)色。支持對URL分類(lèi)的QoS標簽著(zhù)色,例如:優(yōu)先轉發(fā)對財經(jīng)類(lèi)網(wǎng)站的訪(fǎng)問(wèn)。
-
負載均衡:支持服務(wù)器間的負載均衡。對多出口場(chǎng)景,可按照鏈路質(zhì)量、鏈路帶寬比例、鏈路權重基于應用進(jìn)行負載均衡。
...的“NP+多核+分布式”架構-性能線(xiàn)性倍增,突破傳統性能瓶頸
- USG9500采用核心路由器硬件平臺,提供模塊化部件,接口模塊基于雙NP處理器,**接口流量線(xiàn)速轉發(fā);業(yè)務(wù)處理模塊(SPU)基于多核多線(xiàn)程架構,每顆CPU都有應用加速引擎,結合華為對海量會(huì )話(huà)的并發(fā)處理優(yōu)化技術(shù),可確保NAT、 VPN等多種業(yè)務(wù)高速并行處理,處理能力不受CPU處理性能的限制。LPU和SPU各司其職,通過(guò)部署多塊SPU,實(shí)現整機性能線(xiàn)性倍增,為保護高速網(wǎng)絡(luò )環(huán)境提供無(wú)以倫比的擴展性和靈活性,確保用戶(hù)前期低成本投入,后期順利擴容。
- 由于采用了革命性的系統架構,USG9500在防火墻吞吐量、.大并發(fā)連接數等主要指標上是目前業(yè)界性能.高的安全網(wǎng)關(guān)。由于USG9500采用了專(zhuān)有的分流技術(shù),整機性能隨SPU的配置數量線(xiàn)性倍增。USG9500.大防火墻整機吞吐量達到業(yè)界..的1.44Tbps,.大并發(fā)連接數為14.4億,虛擬防火墻數量可高達4096個(gè),足以滿(mǎn)足廣電、政府、能源、教育等高端用戶(hù)的高性能需求。
.穩定可靠的安全網(wǎng)關(guān)產(chǎn)品-全冗余,保障用戶(hù)業(yè)務(wù)永續
- 網(wǎng)絡(luò )的安全一直都是企業(yè)運行的關(guān)鍵所在。為**高速網(wǎng)絡(luò )環(huán)境下的業(yè)務(wù)持續,USG9500在支持主-備、主-主組網(wǎng)、端口聚合、VPN冗余、業(yè)務(wù)板負載均衡等關(guān)鍵技術(shù)的同時(shí),還提供業(yè)界獨有的雙主控主備倒換技術(shù),將防火墻的可靠性提高到高端路由器級別,**關(guān)鍵節點(diǎn)可靠性一致。USG9500整機平均無(wú)故障時(shí)間長(cháng)達20萬(wàn)小時(shí),故障倒換時(shí)間小于1秒,真正保障業(yè)務(wù)持續穩定運行。
.豐富的虛擬化-應對云網(wǎng)絡(luò )部署
- 隨著(zhù)云計算時(shí)代的到來(lái),以“虛擬化技術(shù)”和“高速網(wǎng)絡(luò )”為基石的云計算面臨安全的挑戰。USG9500具有高吞吐量性能的同時(shí)提供了豐富的虛擬系統功能,支持資源虛擬化、配置虛擬化、轉發(fā)虛擬化等多維度虛擬化功能,為云網(wǎng)絡(luò )用戶(hù)提供個(gè)性化的網(wǎng)絡(luò )安全需求。資源虛擬化提供定制化的虛擬資源,不同虛擬系統可按需分配不同資源;管理虛擬化提供各虛擬防火墻獨立配置個(gè)性化策略,日志管理和審計功能,提供按照租戶(hù)要求的管理策略;轉發(fā)虛擬化提供定制化的業(yè)務(wù)處理流程,各虛擬系統之間轉發(fā)平面隔離,一個(gè)虛擬系統資源耗盡不影響其他虛擬系統正常運行,且邏輯隔離,確保各虛擬系統內部租戶(hù)的數據安全。
產(chǎn)品規格
參數 \ 型號 | USG9520 | USG9560 | USG9580 |
---|---|---|---|
擴展及I/0 | |||
接口模塊類(lèi)型 | 支持GE、10GE、40GE、100GE等接口 | ||
業(yè)務(wù)板 | 防火墻板,應用安全業(yè)務(wù)板等 | ||
尺寸、電源、運行環(huán)境 | |||
尺寸 (W x D x H:mm) |
442 x 650x 175(4U直流) 442 x 650 x 220(5U交流) |
442 x 650 x 620(14U) | 442 x 650 x 1420(32U) |
重量 |
空機箱15kg,直流 滿(mǎn) 配30.7kg,直流 空機箱25kg,交流 滿(mǎn) 配40.7kg,交流 |
空機箱43.2kg 滿(mǎn) 配112.9kg |
空機箱94.4kg 滿(mǎn) 配233.9kg |
冗余電源 | 標配 | ||
電源AC | 90VAC~264VAC;推薦175VAC~264VAC | ||
電源DC | -72V ~-38V,額定-48V | ||
功耗 | 1270W | 3960W | 7540W |
工作環(huán)境溫度 |
長(cháng)期工作:0°C 至 45°C 存儲:-40°C 至 70°C |
||
環(huán)境濕度 |
長(cháng)期:5%RH ~ 85%RH,無(wú)凝結 存儲:0%RH ~ 95%RH,無(wú)凝結 |
安全特性
基本防火墻功能 |
|
出站負載均衡 |
|
NAT/CGN |
|
入站負載均衡 |
|
虛擬私有網(wǎng)絡(luò )(VPN) |
|
Anti-DDoS |
|
高可靠性 |
|
業(yè)務(wù)感知 |
|
PKI |
|
入侵檢測系統 |
|
反病毒 |
|
URL過(guò)濾 |
|
網(wǎng)絡(luò )和路由 |
|
虛擬系統 |
|
管理 |
|
支持認證 |
|
日志記錄/監控 |
|
用戶(hù)身份驗證和接入控制 |
|
注:上述列舉特性在USG9500系列產(chǎn)品中根據具體版本支持程度略有不同。具體信息請咨詢(xún)華為工程師。
組網(wǎng)應用
場(chǎng)景一:大型數據中心邊界安全防護
- 背景與挑戰:
-
- 近年來(lái)隨著(zhù)企業(yè)數據規模大幅度膨脹,企業(yè)的核心關(guān)鍵業(yè)務(wù)轉向數據中心,同時(shí)成為了黑客攻擊的新焦點(diǎn)。數據中心在云計算時(shí)代,從早期的業(yè)務(wù)大集中到目前基于虛擬化技術(shù)的服務(wù)器整合,這些變化對數據中心的安全帶來(lái)了新的挑戰。針對數據中心安全事件頻繁的現象,其安全性已經(jīng)成為數據中心能否提供高效、可用服務(wù)的關(guān)鍵。
- 客戶(hù)需求:
-
- 大型數據中心業(yè)務(wù)有服務(wù)虛擬化、計算資源按需分配、數據訪(fǎng)問(wèn)量不斷增大、出口帶寬不斷增長(cháng)的特點(diǎn)。隨著(zhù)數據中心的不斷整合,導致支撐業(yè)務(wù)的服務(wù)器、虛擬機數量不斷增加。
- 在發(fā)展為云數據中心后,業(yè)務(wù)訪(fǎng)問(wèn)海量增長(cháng),遠程訪(fǎng)問(wèn)規模不斷膨脹,不同業(yè)務(wù)或者租戶(hù)需要提供獨立的安全業(yè)務(wù)平面,數據中心內流量監控管理更加復雜,同時(shí)也吸引了更多非法訪(fǎng)問(wèn)和攻擊。這種趨勢導致早期的出口安全設備在性能和功能上已經(jīng)無(wú)法滿(mǎn)足新的需求,成為數據中心的瓶頸。
- 數據中心中的應用服務(wù)器,往往提供對外公共服務(wù),也面臨來(lái)自互聯(lián)網(wǎng)黑客的入侵攻擊,網(wǎng)絡(luò )安全加固成為構筑安全運行的數據中心的前提條件。
- 解決方案:
-
- 如圖所示,可以部署USG9500在大型IDC/VDC網(wǎng)絡(luò )的入口。為了**系統級的運行穩定性,可在出口處部署2臺設備,可以采用Active-Active或者Active-Standby兩種雙機部署方案,提供毫秒級的業(yè)務(wù)倒換。
- 1)隨著(zhù)對數據量訪(fǎng)問(wèn)性能的要求增加,可以按需擴展業(yè)務(wù)板卡,而無(wú)需購買(mǎi)新的設備,降低每G功耗,實(shí)現業(yè)務(wù)平滑擴容。同時(shí)隨著(zhù)業(yè)務(wù)板卡的擴容,實(shí)現真實(shí)性能的線(xiàn)性疊加,保障客戶(hù)的投資能夠滿(mǎn)足真實(shí)應用帶寬的增加。
- 2)USG9500一臺設備可以虛擬為多臺設備,分配個(gè)不同的租戶(hù),且每個(gè)虛擬系統的帶寬、會(huì )話(huà)資源可以按需個(gè)性化定制,每個(gè)虛擬系統隔離,外部網(wǎng)絡(luò )和內部網(wǎng)絡(luò )安全隔離。滿(mǎn)足云數據中心虛擬化后的租戶(hù)租賃業(yè)務(wù)運營(yíng),某一個(gè)租戶(hù)使用的業(yè)務(wù)資源達到上限,并不影響其他租戶(hù)的使用。
- 3)通過(guò)擴展IPS入侵防御板卡、Anti-DDoS板卡,可以阻止外部網(wǎng)絡(luò )的病毒、攻擊進(jìn)入IDC內部網(wǎng)絡(luò )。
大型數據中心邊界防護場(chǎng)景
場(chǎng)景二:廣電和二級運營(yíng)商網(wǎng)絡(luò )出口安全防護
- 背景與挑戰 :
-
- 近年來(lái)隨著(zhù)廣電及二級運營(yíng)商逐步開(kāi)展互聯(lián)網(wǎng)接入服務(wù)的業(yè)務(wù)不多膨脹,在省級廣電網(wǎng)絡(luò )的互聯(lián)網(wǎng)出口處,往往需要匯聚省轄所有地市的寬帶用戶(hù)流量,在用戶(hù)上網(wǎng)高峰期,上網(wǎng)帶寬得不到有效保障,單靠購買(mǎi)ISP鏈路帶寬成本增加另廣電企業(yè)無(wú)法接受,迫切需要改變增長(cháng)模式,同時(shí)滿(mǎn)足用戶(hù)的使用。
- 客戶(hù)需求:
-
- 高峰上網(wǎng)時(shí)期,需要網(wǎng)關(guān)設備能夠承受高峰期幾百萬(wàn)廣電用戶(hù)同時(shí)在線(xiàn)時(shí)的上網(wǎng)流量。
- 廣電網(wǎng)絡(luò )一般租用多個(gè)ISP的多條鏈路,常常出現多條鏈路流量復雜差別大,有效利用率不高的現象。且廣電網(wǎng)絡(luò )及二級運營(yíng)商由于用戶(hù)數規模龐大,部分用戶(hù)的下載流量直接影響到其他用戶(hù)的非下載應用體驗,造成客戶(hù)滿(mǎn)意度的下降。
- 解決方案:
-
- 網(wǎng)絡(luò )出口部署高端防火墻USG9500,滿(mǎn)足高峰時(shí)期規模龐大的廣電用戶(hù)同時(shí)上網(wǎng)業(yè)務(wù),解決由于出口網(wǎng)關(guān)本身處理性能的瓶頸導致的訪(fǎng)問(wèn)擁塞。
- 鑒于廣電網(wǎng)絡(luò )租用多個(gè)ISP的多條鏈路的部署特點(diǎn),提出通過(guò)鏈路聚合技術(shù),捆綁多條鏈路作為一條邏輯鏈路,根據到不同ISP鏈路的結算費用的不同,配置權重,優(yōu)選費用較低的鏈路,并可以根據下載/非下載類(lèi)業(yè)務(wù)流量類(lèi)型,定義業(yè)務(wù)優(yōu)先級,區分轉發(fā)的鏈路。根據識別出的業(yè)務(wù),做相應的策略管控。.終使上網(wǎng)用戶(hù)體驗提升。
廣電和二級運營(yíng)商網(wǎng)絡(luò )出口典型場(chǎng)景
場(chǎng)景三:教育網(wǎng)出口安全防護
- 背景與挑戰 :
-
- 高校的教育網(wǎng)絡(luò ),通常承擔著(zhù)國內教育網(wǎng)CERNET和CERNET2兩張網(wǎng)絡(luò ),分別對應IPv4和IPv6網(wǎng)絡(luò )。出口原有防火墻性能、穩定性和業(yè)務(wù)擴展性不足,同時(shí)支持IPv4、IPv6的雙棧設備較少,影響著(zhù)校園網(wǎng)絡(luò )安全。
- 客戶(hù)需求:
-
- 隨著(zhù)高校的不斷擴招,教育網(wǎng)絡(luò )內部,高校的師生規模往往在幾萬(wàn)人,接入的信息節點(diǎn)豐富多樣,高峰時(shí)期師生的突發(fā)及高流量訪(fǎng)問(wèn)需求量大,對出口設備要求性能高。老的安全網(wǎng)關(guān)設備無(wú)法適應快速增長(cháng)的帶寬需求以及海量的并發(fā)訪(fǎng)問(wèn)量,容易造成觸控訪(fǎng)問(wèn)擁塞。
- 高校的出口,同時(shí)有都IPv4教育網(wǎng),IPv6教育網(wǎng)和Internet三張網(wǎng)絡(luò )的需求,由于網(wǎng)絡(luò )初期發(fā)展建設的原因,缺少同時(shí)支持IPv4、IPv6協(xié)議棧的網(wǎng)關(guān)設備。
- 高校內部資源有教學(xué)科研的服務(wù)器等,對外也提供部分業(yè)務(wù),需要安全隔離防護。
- 解決方案:
-
- 高校教育網(wǎng)絡(luò )出口部署高端防火墻USG9500,可滿(mǎn)足校園網(wǎng)幾萬(wàn)師生高峰期同時(shí)訪(fǎng)問(wèn)的并發(fā)量。作為IPv4、IPv6雙協(xié)議棧安全網(wǎng)關(guān),可以替代原有設備,并在未來(lái)帶寬增加時(shí),通過(guò)擴展業(yè)務(wù)板插卡,線(xiàn)性提升業(yè)務(wù)處理性能。通過(guò)劃分不同安全域,實(shí)現服務(wù)器資源的隔離和保護,防范互聯(lián)網(wǎng)的安全威脅。