T級下一代防火墻
USG9500數據中心防火墻,定位于保護云服務提供商、大型數據中心、以及大型企業園區網絡業務安全。提供高達T級處理性能,集成NAT、VPN、IPS、虛擬化、業務感知等多種安全特性,和高達99.999%可靠性,幫助企業滿足網絡和數據中心環境中不斷增長的高性能處理需求,降低機房空間投資和每Mbps總體擁有成本。
USG9500系列目前提供USG9520、USG9560、USG9580三種產品形態。
產品特性
*精準的訪問控制-基于ACTUAL的六維一體化防護
傳統防火墻主要通過端口和IP進行訪問控制,下一代防火墻的核心功能依然是訪問控制,但USG9500在控制的維度和精細程度上都有很大的提高,可以從應用、用戶、內容、時間、威脅、位置6個維度進行一體化的管控和防御。內容層的防御與應用識別深度結合,一體化處理。例如: 識別出Oracle的流量,進而針對性地進行對應的入侵防御,效率更高,誤報更少。
基于應用的訪問控制:運用多種技術手段,準確識別包括移動應用及Web應用內的6000+應用協議及應用的不同功能,繼而進行訪問控制和業務加速。例如:區分微信的語音和文字后采取不同的控制策略。
基于用戶的訪問控制:通過Radius、LDAP、AD等8種用戶識別手段集成已有用戶認證系統簡化管理。基于用戶進行訪問控制、QoS管理和深度防護。
基于位置的訪問控制:與位置信息結合,識別流量發起的位置信息;掌控應用和攻擊發起的位置,時間發現網絡異常情況。根據位置信息可以實現對不同區域訪問流量的差異化控制。支持根據IP自定義位置。
*實用NGFW特性-一臺頂多臺設備,大幅降低TCO
越來越多的信息資產連接到了互聯網上,網絡攻擊和信息竊取形成巨大的產業鏈,這對下一代防火墻的防護范圍提出了更高要求。USG9500具備全面的防護功能,集傳統防火墻、VPN、入侵防御、防病毒、數據防泄漏、帶寬管理、上網行為管理等功能于一身,一機多能,簡化部署,提高管理效率。
入侵防護(IPS):超過5000種漏洞特征的攻擊檢測和防御。支持Web攻擊識別和防護,如跨站腳本攻擊、SQL注入攻擊等;
防病毒(AV):高性能病毒引擎,可防護500萬種以上的病毒和木馬,病毒特征庫每日更新;
數據防泄漏:對傳輸的文件和內容進行識別過濾。可識別120+種常見文件類型,防止通過修改后綴名的病毒攻擊。能對Word、Excel、PPT、PDF、RAR等30+文件進行還原和內容過濾,防止企業關鍵信息通過文件泄露。
SSL解密:作為代理,可對SSL加密流量進行應用層安全防護,如IPS、AV、數據防泄漏、URL過濾等。
Anti-DDoS: 可以識別和防范SYN flood、UDP flood等10+種DDoS攻擊,識別500多萬種病毒。
上網行為管理:采用基于云的URL分類過濾,預定義的URL分類庫已超過8500萬,阻止員工訪問惡意網站帶來的威脅。并可對員工的發帖、FTP等上網行為進行控制。可對上網記錄進行審計。
安全互聯:豐富的VPN特性,確保企業總部和分支間高可靠安全互聯。支持IPSec VPN、L2TP VPN、MPLS VPN、GRE等;
QoS管理:基于應用靈活的管理流量帶寬的上限和下限,可基于應用進行策略路由和QoS標簽著色。支持對URL分類的QoS標簽著色,例如:優先轉發對財經類網站的訪問。
負載均衡:支持服務器間的負載均衡。對多出口場景,可按照鏈路質量、鏈路帶寬比例、鏈路權重基于應用進行負載均衡。
*的“NP+多核+分布式”架構-性能線性倍增,突破傳統性能瓶頸
USG9500采用核心路由器硬件平臺,提供模塊化部件,接口模塊基于雙NP處理器,保證接口流量線速轉發;業務處理模塊(SPU)基于多核多線程架構,每顆CPU都有應用加速引擎,結合華為對海量會話的并發處理優化技術,可確保NAT、 VPN等多種業務高速并行處理,處理能力不受CPU處理性能的限制。LPU和SPU各司其職,通過部署多塊SPU,實現整機性能線性倍增,為保護高速網絡環境提供無以倫比的擴展性和靈活性,確保用戶前期低成本投入,后期順利擴容。
由于采用了革命性的系統架構,USG9500在防火墻吞吐量、*大并發連接數等主要指標上是目前業界性能*高的安全網關。由于USG9500采用了專有的分流技術,整機性能隨SPU的配置數量線性倍增。USG9500*大防火墻整機吞吐量達到業界的1.44Tbps,*大并發連接數為14.4億,虛擬防火墻數量可高達4096個,足以滿足廣電、政府、能源、教育等用戶的高性能需求。
*穩定可靠的安全網關產品-全冗余,保障用戶業務永續
網絡的安全一直都是企業運行的關鍵所在。為保證高速網絡環境下的業務持續,USG9500在支持主-備、主-主組網、端口聚合、VPN冗余、業務板負載均衡等關鍵技術的同時,還提供業界的雙主控主備倒換技術,將防火墻的可靠性提高到路由器級別,保證關鍵節點可靠性一致。USG9500整機平均時間長達20萬小時,故障倒換時間小于1秒,真正保障業務持續穩定運行。
*豐富的虛擬化—應對云網絡部署
隨著云計算時代的到來,以“虛擬化技術”和“高速網絡”為基石的云計算面臨安全的挑戰。USG9500具有高吞吐量性能的同時提供了豐富的虛擬系統功能,支持資源虛擬化、配置虛擬化、轉發虛擬化等多維度虛擬化功能,為云網絡用戶提供個性化的網絡安全需求。資源虛擬化提供定制化的虛擬資源,不同虛擬系統可按需分配不同資源;管理虛擬化提供各虛擬防火墻獨立配置個性化策略,日志管理和審計功能,提供按照租戶要求的管理策略;轉發虛擬化提供定制化的業務處理流程,各虛擬系統之間轉發平面隔離,一個虛擬系統資源耗盡不影響其他虛擬系統正常運行,且邏輯隔離,確保各虛擬系統內部租戶的數據安全。
產品規格
| 參數 / 型號 | USG9520 | USG9560 | USG9580 |
|---|---|---|---|
| 擴展及I/0 | |||
| 接口模塊類型 | 支持GE、10GE、40GE、100GE等接口 | ||
| 業務板 | 防火墻板,應用安全業務板等 | ||
| 尺寸、電源、運行環境 | |||
| 尺寸 (W x D x H:mm) | 442 x 650x 175(4U直流) 442 x 650 x 220(5U交流) | 442 x 650 x 620(14U) | 442 x 650 x 1420(32U) |
| 重量 | 空機箱15kg,直流 滿 配30.7kg,直流 空機箱25kg,交流 滿 配40.7kg,交流 | 空機箱43.2kg 滿 配112.9kg | 空機箱94.4kg 滿 配233.9kg |
| 冗余電源 | 標配 | ||
| 電源AC | 90VAC~264VAC;推薦175VAC~264VAC | ||
| 電源DC | -72V ~-38V,額定-48V | ||
| 功耗 | 1270W | 3960W | 7540W |
| 工作環境溫度 | 長期工作:0°C 至 45°C 存儲:-40°C 至 70°C | ||
| 環境濕度 | 長期:5%RH ~ 85%RH,無凝結 存儲:0%RH ~ 95%RH,無凝結 | ||
安全特性
| 基本防火墻功能 |
|
| 出站負載均衡 |
|
| NAT/CGN |
|
| 入站負載均衡 |
|
| 虛擬私有網絡(VPN) |
|
| ANTI-DDOS |
|
| 高可靠性 |
|
| 業務感知 |
|
| PKI |
|
| 入侵檢測系統 |
|
| 反病毒 |
|
| URL過濾 |
|
| 網絡和路由 |
|
| 虛擬系統 |
|
| 管理 |
|
| 支持認證 |
|
| 日志記錄/監控 |
|
| 用戶身份驗證和接入控制 |
|
組網應用
場景一:大型數據中心邊界安全防護
背景與挑戰:
近年來隨著企業數據規模大幅度膨脹,企業的核心關鍵業務轉向數據中心,同時成為了攻擊的新焦點。數據中心在云計算時代,從早期的業務大集中到目前基于虛擬化技術的服務器整合,這些變化對數據中心的安全帶來了新的挑戰。針對數據中心安全事件頻繁的現象,其安全性已經成為數據中心能否提供高效、可用服務的關鍵。
客戶需求:
大型數據中心業務有服務虛擬化、計算資源按需分配、數據訪問量不斷增大、出口帶寬不斷增長的特點。隨著數據中心的不斷整合,導致支撐業務的服務器、虛擬機數量不斷增加。
在發展為云數據中心后,業務訪問海量增長,遠程訪問規模不斷膨脹,不同業務或者租戶需要提供獨立的安全業務平面,數據中心內流量監控管理更加復雜,同時也吸引了更多非法訪問和攻擊。這種趨勢導致早期的出口安全設備在性能和功能上已經無法滿足新的需求,成為數據中心的瓶頸。
數據中心中的應用服務器,往往提供對外公共服務,也面臨來自互聯網的入侵攻擊,網絡安全加固成為構筑安全運行的數據中心的前提條件。
解決方案:
如圖所示,可以部署USG9500在大型IDC/VDC網絡的入口。為了保證系統級的運行穩定性,可在出口處部署2臺設備,可以采用Active-Active或者Active-Standby兩種雙機部署方案,提供毫秒級的業務倒換
1)隨著對數據量訪問性能的要求增加,可以按需擴展業務板卡,而無需購買新的設備,降低每G功耗,實現業務平滑擴容。同時隨著業務板卡的擴容,實現真實性能的線性疊加,保障客戶的投資能夠滿足真實應用帶寬的增加。
2)USG9500一臺設備可以虛擬為多臺設備,分配個不同的租戶,且每個虛擬系統的帶寬、會話資源可以按需個性化定制,每個虛擬系統隔離,外部網絡和內部網絡安全隔離。滿足云數據中心虛擬化后的租戶租賃業務運營,某一個租戶使用的業務資源達到上限,并不影響其他租戶的使用。
3)通過擴展IPS入侵防御板卡、Anti-DDoS板卡,可以阻止外部網絡的病毒、攻擊進入IDC內部網絡。
大型數據中心邊界防護場景
場景二:廣電和二級運營商網絡出口安全防護
背景與挑戰 :
近年來隨著廣電及二級運營商逐步開展互聯網接入服務的業務不多膨脹,在省級廣電網絡的互聯網出口處,往往需要匯聚省轄所有地市的寬帶用戶流量,在用戶上網高峰期,上網帶寬得不到有效保障,單靠購買ISP鏈路帶寬成本增加另廣電企業無法接受,迫切需要改變增長模式,同時滿足用戶的使用。
客戶需求:
高峰上網時期,需要網關設備能夠承受高峰期幾百萬廣電用戶同時在線時的上網流量。
廣電網絡一般租用多個ISP的多條鏈路,常常出現多條鏈路流量復雜差別大,有效利用率不高的現象。且廣電網絡及二級運營商由于用戶數規模龐大,部分用戶的下載流量直接影響到其他用戶的非下載應用體驗,造成客戶滿意度的下降。
解決方案:
網絡出口部署防火墻USG9500,滿足高峰時期規模龐大的廣電用戶同時上網業務,解決由于出口網關本身處理性能的瓶頸導致的訪問擁塞。
鑒于廣電網絡租用多個ISP的多條鏈路的部署特點,提出通過鏈路聚合技術,捆綁多條鏈路作為一條邏輯鏈路,根據到不同ISP鏈路的結算費用的不同,配置權重,優選費用較低的鏈路,并可以根據下載/非下載類業務流量類型,定義業務優先級,區分轉發的鏈路。根據識別出的業務,做相應的策略管控。*終使上網用戶體驗提升。
廣電和二級運營商網絡出口典型場景
場景三:教育網出口安全防護
背景與挑戰 :
高校的教育網絡,通常承擔著國內教育網CERNET和CERNET2兩張網絡,分別對應IPv4和IPv6網絡。出口原有防火墻性能、穩定性和業務擴展性不足,同時支持IPv4、IPv6的雙棧設備較少,影響著校園網絡安全
客戶需求:
隨著高校的不斷擴招,教育網絡內部,高校的師生規模往往在幾萬人,接入的信息節點豐富多樣,高峰時期師生的突發及高流量訪問需求量大,對出口設備要求性能高。老的安全網關設備無法適應快速增長的帶寬需求以及海量的并發訪問量,容易造成觸控訪問擁塞。
高校的出口,同時有都IPv4教育網,IPv6教育網和Internet三張網絡的需求,由于網絡初期發展建設的原因,缺少同時支持IPv4、IPv6協議棧的網關設備。
高校內部資源有教學科研的服務器等,對外也提供部分業務,需要安全隔離防護。
解決方案:
高校教育網絡出口部署防火墻USG9500,可滿足校園網幾萬師生高峰期同時訪問的并發量。作為IPv4、IPv6雙協議棧安全網關,可以替代原有設備,并在未來帶寬增加時,通過擴展業務板插卡,線性提升業務處理性能。通過劃分不同安全域,實現服務器資源的隔離和保護,防范互聯網的安全威脅。
