USG9500數(shù)據(jù)中心防火墻彩頁

USG9500數(shù)據(jù)中心防火墻，定位于保護(hù)云服務(wù)提供商、大型數(shù)據(jù)中心、以及大型企業(yè)園區(qū)網(wǎng)絡(luò)業(yè)務(wù)安全。提供高達(dá)T級處理性能，集成NAT、VPN、IPS、虛擬化、業(yè)務(wù)感知等多種安全特性，和高達(dá)99.999%可靠性，幫助企業(yè)滿足網(wǎng)絡(luò)和數(shù)據(jù)中心環(huán)境中不斷增長的高性能處理需求，降低機(jī)房空間投資和每Mbps總體擁有成本。

USG9500系列目前提供USG9520、USG9560、USG9580三種產(chǎn)品形態(tài)。

產(chǎn)品特性

.精準(zhǔn)的訪問控制－基于ACTUAL的六維一體化防護(hù)

傳統(tǒng)防火墻主要通過端口和IP進(jìn)行訪問控制，下一代防火墻的核心功能依然是訪問控制，但USG9500在控制的維度和精細(xì)程度上都有很大的提高，可以從應(yīng)用、用戶、內(nèi)容、時間、威脅、位置6個維度進(jìn)行一體化的管控和防御。內(nèi)容層的防御與應(yīng)用識別深度結(jié)合，一體化處理。例如：識別出Oracle的流量，進(jìn)而針對性地進(jìn)行對應(yīng)的入侵防御，效率更高，誤報更少。
基于應(yīng)用的訪問控制：運用多種技術(shù)手段，準(zhǔn)確識別包括移動應(yīng)用及Web應(yīng)用內(nèi)的6000+應(yīng)用協(xié)議及應(yīng)用的不同功能，繼而進(jìn)行訪問控制和業(yè)務(wù)加速。例如：區(qū)分微信的語音和文字后采取不同的控制策略。
基于用戶的訪問控制：通過Radius、LDAP、AD等8種用戶識別手段集成已有用戶認(rèn)證系統(tǒng)簡化管理?；谟脩暨M(jìn)行訪問控制、QoS管理和深度防護(hù)。
基于位置的訪問控制：與全球位置信息結(jié)合，識別流量發(fā)起的位置信息；掌控應(yīng)用和攻擊發(fā)起的位置，..時間發(fā)現(xiàn)網(wǎng)絡(luò)異常情況。根據(jù)位置信息可以實現(xiàn)對不同區(qū)域訪問流量的差異化控制。支持根據(jù)IP自定義位置。

.實用NGFW特性－一臺頂多臺設(shè)備，大幅降低TCO

越來越多的信息資產(chǎn)連接到了互聯(lián)網(wǎng)上，網(wǎng)絡(luò)攻擊和信息竊取形成巨大的產(chǎn)業(yè)鏈，這對下一代防火墻的防護(hù)范圍提出了更高要求。USG9500具備全面的防護(hù)功能，集傳統(tǒng)防火墻、VPN、入侵防御、防病毒、數(shù)據(jù)防泄漏、帶寬管理、上網(wǎng)行為管理等功能于一身，一機(jī)多能，簡化部署，提高管理效率。
入侵防護(hù)（IPS）：超過5000種漏洞特征的攻擊檢測和防御。支持Web攻擊識別和防護(hù)，如跨站腳本攻擊、SQL注入攻擊等；
防病毒（AV）：高性能病毒引擎，可防護(hù)500萬種以上的病毒和木馬，病毒特征庫每日更新；
數(shù)據(jù)防泄漏：對傳輸?shù)奈募蛢?nèi)容進(jìn)行識別過濾?？勺R別120+種常見文件類型，防止通過修改后綴名的病毒攻擊。能對Word、Excel、PPT、PDF、RAR等30+文件進(jìn)行還原和內(nèi)容過濾，防止企業(yè)關(guān)鍵信息通過文件泄露。
SSL解密：作為代理，可對SSL加密流量進(jìn)行應(yīng)用層安全防護(hù)，如IPS、AV、數(shù)據(jù)防泄漏、URL過濾等。
Anti-DDoS： 可以識別和防范SYN flood、UDP flood等10+種DDoS攻擊，識別500多萬種病毒。
上網(wǎng)行為管理：采用基于云的URL分類過濾，預(yù)定義的URL分類庫已超過8500萬，阻止員工訪問惡意網(wǎng)站帶來的威脅。并可對員工的發(fā)帖、FTP等上網(wǎng)行為進(jìn)行控制?？蓪ι暇W(wǎng)記錄進(jìn)行審計。
安全互聯(lián)：豐富的VPN特性，確保企業(yè)總部和分支間高可靠安全互聯(lián)。支持IPSec VPN、L2TP VPN、MPLS VPN、GRE等；
QoS管理：基于應(yīng)用靈活的管理流量帶寬的上限和下限，可基于應(yīng)用進(jìn)行策略路由和QoS標(biāo)簽著色。支持對URL分類的QoS標(biāo)簽著色，例如：優(yōu)先轉(zhuǎn)發(fā)對財經(jīng)類網(wǎng)站的訪問。
負(fù)載均衡：支持服務(wù)器間的負(fù)載均衡。對多出口場景，可按照鏈路質(zhì)量、鏈路帶寬比例、鏈路權(quán)重基于應(yīng)用進(jìn)行負(fù)載均衡。

...的“NP＋多核＋分布式”架構(gòu)－性能線性倍增,突破傳統(tǒng)性能瓶頸

USG9500采用核心路由器硬件平臺，提供模塊化部件，接口模塊基于雙NP處理器，**接口流量線速轉(zhuǎn)發(fā)；業(yè)務(wù)處理模塊（SPU）基于多核多線程架構(gòu)，每顆CPU都有應(yīng)用加速引擎，結(jié)合華為對海量會話的并發(fā)處理優(yōu)化技術(shù)，可確保NAT、 VPN等多種業(yè)務(wù)高速并行處理，處理能力不受CPU處理性能的限制。LPU和SPU各司其職，通過部署多塊SPU，實現(xiàn)整機(jī)性能線性倍增，為保護(hù)高速網(wǎng)絡(luò)環(huán)境提供無以倫比的擴(kuò)展性和靈活性，確保用戶前期低成本投入，后期順利擴(kuò)容。
由于采用了革命性的系統(tǒng)架構(gòu)，USG9500在防火墻吞吐量、.大并發(fā)連接數(shù)等主要指標(biāo)上是目前業(yè)界性能.高的安全網(wǎng)關(guān)。由于USG9500采用了專有的分流技術(shù)，整機(jī)性能隨SPU的配置數(shù)量線性倍增。USG9500.大防火墻整機(jī)吞吐量達(dá)到業(yè)界..的1.44Tbps，.大并發(fā)連接數(shù)為14.4億，虛擬防火墻數(shù)量可高達(dá)4096個，足以滿足廣電、政府、能源、教育等高端用戶的高性能需求。

.穩(wěn)定可靠的安全網(wǎng)關(guān)產(chǎn)品－全冗余,保障用戶業(yè)務(wù)永續(xù)

網(wǎng)絡(luò)的安全一直都是企業(yè)運行的關(guān)鍵所在。為**高速網(wǎng)絡(luò)環(huán)境下的業(yè)務(wù)持續(xù)，USG9500在支持主-備、主-主組網(wǎng)、端口聚合、VPN冗余、業(yè)務(wù)板負(fù)載均衡等關(guān)鍵技術(shù)的同時，還提供業(yè)界獨有的雙主控主備倒換技術(shù)，將防火墻的可靠性提高到高端路由器級別，**關(guān)鍵節(jié)點可靠性一致。USG9500整機(jī)平均無故障時間長達(dá)20萬小時，故障倒換時間小于1秒，真正保障業(yè)務(wù)持續(xù)穩(wěn)定運行。

.豐富的虛擬化－應(yīng)對云網(wǎng)絡(luò)部署

隨著云計算時代的到來，以“虛擬化技術(shù)”和“高速網(wǎng)絡(luò)”為基石的云計算面臨安全的挑戰(zhàn)。USG9500具有高吞吐量性能的同時提供了豐富的虛擬系統(tǒng)功能，支持資源虛擬化、配置虛擬化、轉(zhuǎn)發(fā)虛擬化等多維度虛擬化功能，為云網(wǎng)絡(luò)用戶提供個性化的網(wǎng)絡(luò)安全需求。資源虛擬化提供定制化的虛擬資源，不同虛擬系統(tǒng)可按需分配不同資源；管理虛擬化提供各虛擬防火墻獨立配置個性化策略，日志管理和審計功能，提供按照租戶要求的管理策略；轉(zhuǎn)發(fā)虛擬化提供定制化的業(yè)務(wù)處理流程，各虛擬系統(tǒng)之間轉(zhuǎn)發(fā)平面隔離，一個虛擬系統(tǒng)資源耗盡不影響其他虛擬系統(tǒng)正常運行，且邏輯隔離，確保各虛擬系統(tǒng)內(nèi)部租戶的數(shù)據(jù)安全。

產(chǎn)品規(guī)格

參數(shù) \ 型號	USG9520	USG9560	USG9580
擴(kuò)展及I/0
接口模塊類型	支持GE、10GE、40GE、100GE等接口
業(yè)務(wù)板	防火墻板，應(yīng)用安全業(yè)務(wù)板等
尺寸、電源、運行環(huán)境
尺寸 (W x D x H:mm)	442 x 650x 175（4U直流） 442 x 650 x 220（5U交流）	442 x 650 x 620(14U)	442 x 650 x 1420(32U)
重量	空機(jī)箱15kg，直流滿配30.7kg，直流空機(jī)箱25kg，交流滿配40.7kg，交流	空機(jī)箱43.2kg 滿配112.9kg	空機(jī)箱94.4kg 滿配233.9kg
冗余電源	標(biāo)配
電源AC	90VAC~264VAC；推薦175VAC~264VAC
電源DC	-72V ~-38V，額定-48V
功耗	1270W	3960W	7540W
工作環(huán)境溫度	長期工作：0°C 至 45°C 存儲：-40°C 至 70°C
環(huán)境濕度	長期：5%RH ～ 85%RH，無凝結(jié) 存儲：0%RH ～ 95%RH，無凝結(jié)

安全特性

基本防火墻功能	路由/透明/混合模式狀態(tài)檢測黑名單、白名單訪問控制 ASPF應(yīng)用層包過濾安全域劃分
出站負(fù)載均衡	基于ISP的路由智能出站探測出站透明DNS代理基于用戶的流控基于應(yīng)用的流控基于鏈路的流控基于時間的流控
NAT/CGN	目的 NAT/PAT NAT NO-PAT 源NAT-IP address persistency 源IP地址池組 NAT Server 雙向NAT NAT-ALG 不受限IP地址擴(kuò)展基于策略的目的NAT 端口范圍預(yù)分配發(fā)夾訪問模式 SMART NAT NAT64 DS-Lite 6RD(IPv6快速部署)
入站負(fù)載均衡	入站智能DNS 服務(wù)器負(fù)載均衡基于應(yīng)用的Qos
虛擬私有網(wǎng)絡(luò)(VPN)	DES, 3DES，和 AES 加密 MD5 和 SHA-1 認(rèn)證手工配置密鑰，PKI (X 509)以及IKEv2 前向安全性 PFS（DH組）防重放攻擊支持傳輸模式、隧道模式 IPSec NAT穿越 DPD探測 EAP 認(rèn)證 EAP-SIM、EAP-AKA VPN 網(wǎng)關(guān)冗余 IPSec V6,IPSec 4 over 6, IPSec 6 over 4 L2TP 隧道 GRE 隧道
Anti-DDoS	SYN-flood, ICMP-flood, TCP-flood, UDP-flood, DNS-flood 攻擊防御 Port-scan, Smurf, Tear-drop, IP-Sweep 攻擊防御 IPv6擴(kuò)展頭攻擊防護(hù) TTL 檢測 TCP-mss 檢測攻擊日志輸出
高可靠性	跨數(shù)據(jù)中心集群主-主，主-備模式雙機(jī)熱備切換（華為冗余協(xié)議）配置同步備份框內(nèi)業(yè)務(wù)板間備份防火墻及IPSec VPN會話同步備份設(shè)備故障檢測鏈路故障檢測雙主控切換
業(yè)務(wù)感知	識別和控制超過6000種協(xié)議： P2P，即時通訊，游戲，股票，VoIP，視頻，流媒體，郵件，移動電話，網(wǎng)頁瀏覽，遠(yuǎn)程接入，網(wǎng)絡(luò)管理，以及新聞等。
PKI	在線獲取CA證書在線獲取CRL 多級CA 證書支持PKCS#10證書協(xié)議 CA認(rèn)證 SCEP、OCSP、CMPv2協(xié)議支持自簽名證書
入侵檢測系統(tǒng)	異常協(xié)議檢測自定義簽名知識庫自動更新零日攻擊防御蠕蟲、木馬、惡意軟件攻擊防御
反病毒	500萬種病毒檢測基于流檢測，性能更高加密流量檢測按照病毒家族趨勢和TOPN統(tǒng)計
URL過濾	8500萬URL地址庫 80+分類基于用戶、IP、分類、次數(shù)等趨勢和TOPN統(tǒng)計 URL過濾日志查詢
網(wǎng)絡(luò)和路由	POS/GE/10GE 鏈路支持 DHCP 中繼/服務(wù)器基于策略的路由 IPv4/IPv6 動態(tài)路由(RIP/OSPF/ISIS/BGP) 域間/Vlan間路由多鏈路聚合(Eth-trunk, LACP)
虛擬系統(tǒng)	4096 虛擬系統(tǒng)（VSYS）定義 VLAN虛擬化安全域虛擬化自定義虛擬資源 VFW間路由基于虛擬系統(tǒng)的流量CAR 管理虛擬化多租戶虛擬資源隔離
管理	WebUI (HTTP和HTTPS) 命令行接口 (控制臺) 命令行接口 (遠(yuǎn)程登錄) 命令行接口 (SSH) U2000及VSM網(wǎng)管系統(tǒng) 分級管理員軟件升級配置回退 STelnet、SFTP
支持認(rèn)證	安全性認(rèn)證電磁兼容性 (EMC) 認(rèn)證 CB, Rohs, FCC, MET, C-tick, VCCI認(rèn)證
日志記錄/監(jiān)控	結(jié)構(gòu)化系統(tǒng)日志 SNMP (v1/2/3) 二進(jìn)制日志路由跟蹤日志服務(wù)器配套(eLog)
用戶身份驗證和接入控制	固有的(內(nèi)部)數(shù)據(jù)庫 RADIUS記賬基于Web進(jìn)行驗證

注：上述列舉特性在USG9500系列產(chǎn)品中根據(jù)具體版本支持程度略有不同。具體信息請咨詢?nèi)A為工程師。

組網(wǎng)應(yīng)用

場景一：大型數(shù)據(jù)中心邊界安全防護(hù)

背景與挑戰(zhàn)：

近年來隨著企業(yè)數(shù)據(jù)規(guī)模大幅度膨脹，企業(yè)的核心關(guān)鍵業(yè)務(wù)轉(zhuǎn)向數(shù)據(jù)中心，同時成為了黑客攻擊的新焦點。數(shù)據(jù)中心在云計算時代，從早期的業(yè)務(wù)大集中到目前基于虛擬化技術(shù)的服務(wù)器整合，這些變化對數(shù)據(jù)中心的安全帶來了新的挑戰(zhàn)。針對數(shù)據(jù)中心安全事件頻繁的現(xiàn)象，其安全性已經(jīng)成為數(shù)據(jù)中心能否提供高效、可用服務(wù)的關(guān)鍵。

大型數(shù)據(jù)中心邊界防護(hù)場景

客戶需求：

大型數(shù)據(jù)中心業(yè)務(wù)有服務(wù)虛擬化、計算資源按需分配、數(shù)據(jù)訪問量不斷增大、出口帶寬不斷增長的特點。隨著數(shù)據(jù)中心的不斷整合，導(dǎo)致支撐業(yè)務(wù)的服務(wù)器、虛擬機(jī)數(shù)量不斷增加。
在發(fā)展為云數(shù)據(jù)中心后，業(yè)務(wù)訪問海量增長，遠(yuǎn)程訪問規(guī)模不斷膨脹，不同業(yè)務(wù)或者租戶需要提供獨立的安全業(yè)務(wù)平面，數(shù)據(jù)中心內(nèi)流量監(jiān)控管理更加復(fù)雜，同時也吸引了更多非法訪問和攻擊。這種趨勢導(dǎo)致早期的出口安全設(shè)備在性能和功能上已經(jīng)無法滿足新的需求，成為數(shù)據(jù)中心的瓶頸。
數(shù)據(jù)中心中的應(yīng)用服務(wù)器，往往提供對外公共服務(wù)，也面臨來自互聯(lián)網(wǎng)黑客的入侵攻擊，網(wǎng)絡(luò)安全加固成為構(gòu)筑安全運行的數(shù)據(jù)中心的前提條件。

解決方案：

如圖所示，可以部署USG9500在大型IDC/VDC網(wǎng)絡(luò)的入口。為了**系統(tǒng)級的運行穩(wěn)定性，可在出口處部署2臺設(shè)備，可以采用Active-Active或者Active-Standby兩種雙機(jī)部署方案，提供毫秒級的業(yè)務(wù)倒換。: 1）隨著對數(shù)據(jù)量訪問性能的要求增加，可以按需擴(kuò)展業(yè)務(wù)板卡，而無需購買新的設(shè)備，降低每G功耗，實現(xiàn)業(yè)務(wù)平滑擴(kuò)容。同時隨著業(yè)務(wù)板卡的擴(kuò)容，實現(xiàn)真實性能的線性疊加，保障客戶的投資能夠滿足真實應(yīng)用帶寬的增加。; 2）USG9500一臺設(shè)備可以虛擬為多臺設(shè)備，分配個不同的租戶，且每個虛擬系統(tǒng)的帶寬、會話資源可以按需個性化定制，每個虛擬系統(tǒng)隔離，外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)安全隔離。滿足云數(shù)據(jù)中心虛擬化后的租戶租賃業(yè)務(wù)運營，某一個租戶使用的業(yè)務(wù)資源達(dá)到上限，并不影響其他租戶的使用。; 3）通過擴(kuò)展IPS入侵防御板卡、Anti-DDoS板卡，可以阻止外部網(wǎng)絡(luò)的病毒、攻擊進(jìn)入IDC內(nèi)部網(wǎng)絡(luò)。

場景二：廣電和二級運營商網(wǎng)絡(luò)出口安全防護(hù)

背景與挑戰(zhàn) ：

近年來隨著廣電及二級運營商逐步開展互聯(lián)網(wǎng)接入服務(wù)的業(yè)務(wù)不多膨脹，在省級廣電網(wǎng)絡(luò)的互聯(lián)網(wǎng)出口處，往往需要匯聚省轄所有地市的寬帶用戶流量，在用戶上網(wǎng)高峰期，上網(wǎng)帶寬得不到有效保障，單靠購買ISP鏈路帶寬成本增加另廣電企業(yè)無法接受，迫切需要改變增長模式，同時滿足用戶的使用。

廣電和二級運營商網(wǎng)絡(luò)出口典型場景

客戶需求：

高峰上網(wǎng)時期，需要網(wǎng)關(guān)設(shè)備能夠承受高峰期幾百萬廣電用戶同時在線時的上網(wǎng)流量。
廣電網(wǎng)絡(luò)一般租用多個ISP的多條鏈路，常常出現(xiàn)多條鏈路流量復(fù)雜差別大，有效利用率不高的現(xiàn)象。且廣電網(wǎng)絡(luò)及二級運營商由于用戶數(shù)規(guī)模龐大，部分用戶的下載流量直接影響到其他用戶的非下載應(yīng)用體驗，造成客戶滿意度的下降。

解決方案：

網(wǎng)絡(luò)出口部署高端防火墻USG9500，滿足高峰時期規(guī)模龐大的廣電用戶同時上網(wǎng)業(yè)務(wù)，解決由于出口網(wǎng)關(guān)本身處理性能的瓶頸導(dǎo)致的訪問擁塞。
鑒于廣電網(wǎng)絡(luò)租用多個ISP的多條鏈路的部署特點，提出通過鏈路聚合技術(shù)，捆綁多條鏈路作為一條邏輯鏈路，根據(jù)到不同ISP鏈路的結(jié)算費用的不同，配置權(quán)重，優(yōu)選費用較低的鏈路，并可以根據(jù)下載/非下載類業(yè)務(wù)流量類型，定義業(yè)務(wù)優(yōu)先級，區(qū)分轉(zhuǎn)發(fā)的鏈路。根據(jù)識別出的業(yè)務(wù)，做相應(yīng)的策略管控。.終使上網(wǎng)用戶體驗提升。

場景三：教育網(wǎng)出口安全防護(hù)

背景與挑戰(zhàn) ：

高校的教育網(wǎng)絡(luò)，通常承擔(dān)著國內(nèi)教育網(wǎng)CERNET和CERNET2兩張網(wǎng)絡(luò)，分別對應(yīng)IPv4和IPv6網(wǎng)絡(luò)。出口原有防火墻性能、穩(wěn)定性和業(yè)務(wù)擴(kuò)展性不足，同時支持IPv4、IPv6的雙棧設(shè)備較少，影響著校園網(wǎng)絡(luò)安全。

教育網(wǎng)出口典型場景

客戶需求：

隨著高校的不斷擴(kuò)招，教育網(wǎng)絡(luò)內(nèi)部，高校的師生規(guī)模往往在幾萬人，接入的信息節(jié)點豐富多樣，高峰時期師生的突發(fā)及高流量訪問需求量大，對出口設(shè)備要求性能高。老的安全網(wǎng)關(guān)設(shè)備無法適應(yīng)快速增長的帶寬需求以及海量的并發(fā)訪問量，容易造成觸控訪問擁塞。

高校的出口，同時有都IPv4教育網(wǎng)，IPv6教育網(wǎng)和Internet三張網(wǎng)絡(luò)的需求，由于網(wǎng)絡(luò)初期發(fā)展建設(shè)的原因，缺少同時支持IPv4、IPv6協(xié)議棧的網(wǎng)關(guān)設(shè)備。

高校內(nèi)部資源有教學(xué)科研的服務(wù)器等，對外也提供部分業(yè)務(wù)，需要安全隔離防護(hù)。

解決方案：

高校教育網(wǎng)絡(luò)出口部署高端防火墻USG9500，可滿足校園網(wǎng)幾萬師生高峰期同時訪問的并發(fā)量。作為IPv4、IPv6雙協(xié)議棧安全網(wǎng)關(guān)，可以替代原有設(shè)備，并在未來帶寬增加時，通過擴(kuò)展業(yè)務(wù)板插卡，線性提升業(yè)務(wù)處理性能。通過劃分不同安全域，實現(xiàn)服務(wù)器資源的隔離和保護(hù)，防范互聯(lián)網(wǎng)的安全威脅。

服務(wù)項目

詳情內(nèi)容/ Content details

USG9500數(shù)據(jù)中心防火墻彩頁