T級下一代防火墻

USG9500數(shù)據(jù)中心防火墻，定位于保護云服務提供商、大型數(shù)據(jù)中心、以及大型企業(yè)園區(qū)網(wǎng)絡業(yè)務安全。提供高達T級處理性能，集成NAT、VPN、IPS、虛擬化、業(yè)務感知等多種安全特性，和高達99.999%可靠性，幫助企業(yè)滿足網(wǎng)絡和數(shù)據(jù)中心環(huán)境中不斷增長的高性能處理需求，降低機房空間投資和每Mbps總體擁有成本。

USG9500系列目前提供USG9520、USG9560、USG9580三種產(chǎn)品形態(tài)。

產(chǎn)品特性

*精準的訪問控制－基于ACTUAL的六維一體化防護

• 傳統(tǒng)防火墻主要通過端口和IP進行訪問控制，下一代防火墻的核心功能依然是訪問控制，但USG9500在控制的維度和精細程度上都有很大的提高，可以從應用、用戶、內容、時間、威脅、位置6個維度進行一體化的管控和防御。內容層的防御與應用識別深度結合，一體化處理。例如： 識別出Oracle的流量，進而針對性地進行對應的入侵防御，效率更高，誤報更少。

• 基于應用的訪問控制：運用多種技術手段，準確識別包括移動應用及Web應用內的6000+應用協(xié)議及應用的不同功能，繼而進行訪問控制和業(yè)務加速。例如：區(qū)分微信的語音和文字后采取不同的控制策略。

• 基于用戶的訪問控制：通過Radius、LDAP、AD等8種用戶識別手段集成已有用戶認證系統(tǒng)簡化管理。基于用戶進行訪問控制、QoS管理和深度防護。

• 基于位置的訪問控制：與位置信息結合，識別流量發(fā)起的位置信息；掌控應用和攻擊發(fā)起的位置，時間發(fā)現(xiàn)網(wǎng)絡異常情況。根據(jù)位置信息可以實現(xiàn)對不同區(qū)域訪問流量的差異化控制。支持根據(jù)IP自定義位置。

*實用NGFW特性－一臺頂多臺設備，大幅降低TCO

• 越來越多的信息資產(chǎn)連接到了互聯(lián)網(wǎng)上，網(wǎng)絡攻擊和信息竊取形成巨大的產(chǎn)業(yè)鏈，這對下一代防火墻的防護范圍提出了更高要求。USG9500具備全面的防護功能，集傳統(tǒng)防火墻、VPN、入侵防御、防病毒、數(shù)據(jù)防泄漏、帶寬管理、上網(wǎng)行為管理等功能于一身，一機多能，簡化部署，提高管理效率。

• 
  

• 入侵防護（IPS）：超過5000種漏洞特征的攻擊檢測和防御。支持Web攻擊識別和防護，如跨站腳本攻擊、SQL注入攻擊等；

• 防病毒（AV）：高性能病毒引擎，可防護500萬種以上的病毒和木馬，病毒特征庫每日更新；

• 數(shù)據(jù)防泄漏：對傳輸?shù)奈募蛢热葸M行識別過濾。可識別120+種常見文件類型，防止通過修改后綴名的病毒攻擊。能對Word、Excel、PPT、PDF、RAR等30+文件進行還原和內容過濾，防止企業(yè)關鍵信息通過文件泄露。

• SSL解密：作為代理，可對SSL加密流量進行應用層安全防護，如IPS、AV、數(shù)據(jù)防泄漏、URL過濾等。

• Anti-DDoS： 可以識別和防范SYN flood、UDP flood等10+種DDoS攻擊，識別500多萬種病毒。

• 上網(wǎng)行為管理：采用基于云的URL分類過濾，預定義的URL分類庫已超過8500萬，阻止員工訪問惡意網(wǎng)站帶來的威脅。并可對員工的發(fā)帖、FTP等上網(wǎng)行為進行控制。可對上網(wǎng)記錄進行審計。

• 安全互聯(lián)：豐富的VPN特性，確保企業(yè)總部和分支間高可靠安全互聯(lián)。支持IPSec VPN、L2TP VPN、MPLS VPN、GRE等；

• QoS管理：基于應用靈活的管理流量帶寬的上限和下限，可基于應用進行策略路由和QoS標簽著色。支持對URL分類的QoS標簽著色，例如：優(yōu)先轉發(fā)對財經(jīng)類網(wǎng)站的訪問。

• 負載均衡：支持服務器間的負載均衡。對多出口場景，可按照鏈路質量、鏈路帶寬比例、鏈路權重基于應用進行負載均衡。

*的“NP＋多核＋分布式"架構－性能線性倍增,突破傳統(tǒng)性能瓶頸

• USG9500采用核心路由器硬件平臺，提供模塊化部件，接口模塊基于雙NP處理器，保證接口流量線速轉發(fā)；業(yè)務處理模塊（SPU）基于多核多線程架構，每顆CPU都有應用加速引擎，結合華為對海量會話的并發(fā)處理優(yōu)化技術，可確保NAT、 VPN等多種業(yè)務高速并行處理，處理能力不受CPU處理性能的限制。LPU和SPU各司其職，通過部署多塊SPU，實現(xiàn)整機性能線性倍增，為保護高速網(wǎng)絡環(huán)境提供無以倫比的擴展性和靈活性，確保用戶前期低成本投入，后期順利擴容。

• 由于采用了革命性的系統(tǒng)架構，USG9500在防火墻吞吐量、*大并發(fā)連接數(shù)等主要指標上是目前業(yè)界性能*高的安全網(wǎng)關。由于USG9500采用了專有的分流技術，整機性能隨SPU的配置數(shù)量線性倍增。USG9500*大防火墻整機吞吐量達到業(yè)界的1.44Tbps，*大并發(fā)連接數(shù)為14.4億，虛擬防火墻數(shù)量可高達4096個，足以滿足廣電、政府、能源、教育等用戶的高性能需求。

*穩(wěn)定可靠的安全網(wǎng)關產(chǎn)品－全冗余,保障用戶業(yè)務永續(xù)

• 網(wǎng)絡的安全一直都是企業(yè)運行的關鍵所在。為保證高速網(wǎng)絡環(huán)境下的業(yè)務持續(xù)，USG9500在支持主-備、主-主組網(wǎng)、端口聚合、VPN冗余、業(yè)務板負載均衡等關鍵技術的同時，還提供業(yè)界的雙主控主備倒換技術，將防火墻的可靠性提高到路由器級別，保證關鍵節(jié)點可靠性一致。USG9500整機平均時間長達20萬小時，故障倒換時間小于1秒，真正保障業(yè)務持續(xù)穩(wěn)定運行。

*豐富的虛擬化—應對云網(wǎng)絡部署

• 隨著云計算時代的到來，以“虛擬化技術"和“高速網(wǎng)絡"為基石的云計算面臨安全的挑戰(zhàn)。USG9500具有高吞吐量性能的同時提供了豐富的虛擬系統(tǒng)功能，支持資源虛擬化、配置虛擬化、轉發(fā)虛擬化等多維度虛擬化功能，為云網(wǎng)絡用戶提供個性化的網(wǎng)絡安全需求。資源虛擬化提供定制化的虛擬資源，不同虛擬系統(tǒng)可按需分配不同資源；管理虛擬化提供各虛擬防火墻獨立配置個性化策略，日志管理和審計功能，提供按照租戶要求的管理策略；轉發(fā)虛擬化提供定制化的業(yè)務處理流程，各虛擬系統(tǒng)之間轉發(fā)平面隔離，一個虛擬系統(tǒng)資源耗盡不影響其他虛擬系統(tǒng)正常運行，且邏輯隔離，確保各虛擬系統(tǒng)內部租戶的數(shù)據(jù)安全。

產(chǎn)品規(guī)格

安全特性

組網(wǎng)應用

場景一：大型數(shù)據(jù)中心邊界安全防護

• 背景與挑戰(zhàn)：

• • 近年來隨著企業(yè)數(shù)據(jù)規(guī)模大幅度膨脹，企業(yè)的核心關鍵業(yè)務轉向數(shù)據(jù)中心，同時成為了攻擊的新焦點。數(shù)據(jù)中心在云計算時代，從早期的業(yè)務大集中到目前基于虛擬化技術的服務器整合，這些變化對數(shù)據(jù)中心的安全帶來了新的挑戰(zhàn)。針對數(shù)據(jù)中心安全事件頻繁的現(xiàn)象，其安全性已經(jīng)成為數(shù)據(jù)中心能否提供高效、可用服務的關鍵。



大型數(shù)據(jù)中心邊界防護場景

• 客戶需求：

• • 大型數(shù)據(jù)中心業(yè)務有服務虛擬化、計算資源按需分配、數(shù)據(jù)訪問量不斷增大、出口帶寬不斷增長的特點。隨著數(shù)據(jù)中心的不斷整合，導致支撐業(yè)務的服務器、虛擬機數(shù)量不斷增加。

  • 在發(fā)展為云數(shù)據(jù)中心后，業(yè)務訪問海量增長，遠程訪問規(guī)模不斷膨脹，不同業(yè)務或者租戶需要提供獨立的安全業(yè)務平面，數(shù)據(jù)中心內流量監(jiān)控管理更加復雜，同時也吸引了更多非法訪問和攻擊。這種趨勢導致早期的出口安全設備在性能和功能上已經(jīng)無法滿足新的需求，成為數(shù)據(jù)中心的瓶頸。

  • 數(shù)據(jù)中心中的應用服務器，往往提供對外公共服務，也面臨來自互聯(lián)網(wǎng)的入侵攻擊，網(wǎng)絡安全加固成為構筑安全運行的數(shù)據(jù)中心的前提條件。

• 解決方案：

• • 如圖所示，可以部署USG9500在大型IDC/VDC網(wǎng)絡的入口。為了保證系統(tǒng)級的運行穩(wěn)定性，可在出口處部署2臺設備，可以采用Active-Active或者Active-Standby兩種雙機部署方案，提供毫秒級的業(yè)務倒換

  • 1）隨著對數(shù)據(jù)量訪問性能的要求增加，可以按需擴展業(yè)務板卡，而無需購買新的設備，降低每G功耗，實現(xiàn)業(yè)務平滑擴容。同時隨著業(yè)務板卡的擴容，實現(xiàn)真實性能的線性疊加，保障客戶的投資能夠滿足真實應用帶寬的增加。

  • 2）USG9500一臺設備可以虛擬為多臺設備，分配個不同的租戶，且每個虛擬系統(tǒng)的帶寬、會話資源可以按需個性化定制，每個虛擬系統(tǒng)隔離，外部網(wǎng)絡和內部網(wǎng)絡安全隔離。滿足云數(shù)據(jù)中心虛擬化后的租戶租賃業(yè)務運營，某一個租戶使用的業(yè)務資源達到上限，并不影響其他租戶的使用。

  • 3）通過擴展IPS入侵防御板卡、Anti-DDoS板卡，可以阻止外部網(wǎng)絡的病毒、攻擊進入IDC內部網(wǎng)絡。

  •  

場景二：廣電和二級運營商網(wǎng)絡出口安全防護

• 背景與挑戰(zhàn) ：

• • 近年來隨著廣電及二級運營商逐步開展互聯(lián)網(wǎng)接入服務的業(yè)務不多膨脹，在省級廣電網(wǎng)絡的互聯(lián)網(wǎng)出口處，往往需要匯聚省轄所有地市的寬帶用戶流量，在用戶上網(wǎng)高峰期，上網(wǎng)帶寬得不到有效保障，單靠購買ISP鏈路帶寬成本增加另廣電企業(yè)無法接受，迫切需要改變增長模式，同時滿足用戶的使用。



廣電和二級運營商網(wǎng)絡出口典型場景

• 客戶需求：

• • 高峰上網(wǎng)時期，需要網(wǎng)關設備能夠承受高峰期幾百萬廣電用戶同時在線時的上網(wǎng)流量。

  • 廣電網(wǎng)絡一般租用多個ISP的多條鏈路，常常出現(xiàn)多條鏈路流量復雜差別大，有效利用率不高的現(xiàn)象。且廣電網(wǎng)絡及二級運營商由于用戶數(shù)規(guī)模龐大，部分用戶的下載流量直接影響到其他用戶的非下載應用體驗，造成客戶滿意度的下降。

• 解決方案：

• • 網(wǎng)絡出口部署防火墻USG9500，滿足高峰時期規(guī)模龐大的廣電用戶同時上網(wǎng)業(yè)務，解決由于出口網(wǎng)關本身處理性能的瓶頸導致的訪問擁塞。

  • 鑒于廣電網(wǎng)絡租用多個ISP的多條鏈路的部署特點，提出通過鏈路聚合技術，捆綁多條鏈路作為一條邏輯鏈路，根據(jù)到不同ISP鏈路的結算費用的不同，配置權重，優(yōu)選費用較低的鏈路，并可以根據(jù)下載/非下載類業(yè)務流量類型，定義業(yè)務優(yōu)先級，區(qū)分轉發(fā)的鏈路。根據(jù)識別出的業(yè)務，做相應的策略管控。*終使上網(wǎng)用戶體驗提升。

場景三：教育網(wǎng)出口安全防護

• 背景與挑戰(zhàn) ：

• • 高校的教育網(wǎng)絡，通常承擔著國內教育網(wǎng)CERNET和CERNET2兩張網(wǎng)絡，分別對應IPv4和IPv6網(wǎng)絡。出口原有防火墻性能、穩(wěn)定性和業(yè)務擴展性不足，同時支持IPv4、IPv6的雙棧設備較少，影響著校園網(wǎng)絡安全



教育網(wǎng)出口典型場景

• 客戶需求：

• • 隨著高校的不斷擴招，教育網(wǎng)絡內部，高校的師生規(guī)模往往在幾萬人，接入的信息節(jié)點豐富多樣，高峰時期師生的突發(fā)及高流量訪問需求量大，對出口設備要求性能高。老的安全網(wǎng)關設備無法適應快速增長的帶寬需求以及海量的并發(fā)訪問量，容易造成觸控訪問擁塞。

  • 
    

  • 高校的出口，同時有都IPv4教育網(wǎng)，IPv6教育網(wǎng)和Internet三張網(wǎng)絡的需求，由于網(wǎng)絡初期發(fā)展建設的原因，缺少同時支持IPv4、IPv6協(xié)議棧的網(wǎng)關設備。

  • 
    

  • 高校內部資源有教學科研的服務器等，對外也提供部分業(yè)務，需要安全隔離防護。

• 解決方案：

• • 高校教育網(wǎng)絡出口部署防火墻USG9500，可滿足校園網(wǎng)幾萬師生高峰期同時訪問的并發(fā)量。作為IPv4、IPv6雙協(xié)議棧安全網(wǎng)關，可以替代原有設備，并在未來帶寬增加時，通過擴展業(yè)務板插卡，線性提升業(yè)務處理性能。通過劃分不同安全域，實現(xiàn)服務器資源的隔離和保護，防范互聯(lián)網(wǎng)的安全威脅。