產(chǎn)品特性

.精準(zhǔn)的訪問控制－基于ACTUAL的六維一體化防護(hù)

• 傳統(tǒng)防火墻主要通過端口和IP進(jìn)行訪問控制，下一代防火墻的核心功能依然是訪問控制，但USG9500在控制的維度和精細(xì)程度上都有很大的提高，可以從應(yīng)用、用戶、內(nèi)容、時(shí)間、威脅、位置6個(gè)維度進(jìn)行一體化的管控和防御。內(nèi)容層的防御與應(yīng)用識(shí)別深度結(jié)合，一體化處理。例如： 識(shí)別出Oracle的流量，進(jìn)而針對(duì)性地進(jìn)行對(duì)應(yīng)的入侵防御，效率更高，誤報(bào)更少。
• 基于應(yīng)用的訪問控制：運(yùn)用多種技術(shù)手段，準(zhǔn)確識(shí)別包括移動(dòng)應(yīng)用及Web應(yīng)用內(nèi)的6000+應(yīng)用協(xié)議及應(yīng)用的不同功能，繼而進(jìn)行訪問控制和業(yè)務(wù)加速。例如：區(qū)分微信的語音和文字后采取不同的控制策略。
• 基于用戶的訪問控制：通過Radius、LDAP、AD等8種用戶識(shí)別手段集成已有用戶認(rèn)證系統(tǒng)簡(jiǎn)化管理?；谟脩暨M(jìn)行訪問控制、QoS管理和深度防護(hù)。
• 基于位置的訪問控制：與全球位置信息結(jié)合，識(shí)別流量發(fā)起的位置信息；掌控應(yīng)用和攻擊發(fā)起的位置，..時(shí)間發(fā)現(xiàn)網(wǎng)絡(luò)異常情況。根據(jù)位置信息可以實(shí)現(xiàn)對(duì)不同區(qū)域訪問流量的差異化控制。支持根據(jù)IP自定義位置。

.實(shí)用NGFW特性－一臺(tái)頂多臺(tái)設(shè)備，大幅降低TCO

• 越來越多的信息資產(chǎn)連接到了互聯(lián)網(wǎng)上，網(wǎng)絡(luò)攻擊和信息竊取形成巨大的產(chǎn)業(yè)鏈，這對(duì)下一代防火墻的防護(hù)范圍提出了更高要求。USG9500具備全面的防護(hù)功能，集傳統(tǒng)防火墻、VPN、入侵防御、防病毒、數(shù)據(jù)防泄漏、帶寬管理、上網(wǎng)行為管理等功能于一身，一機(jī)多能，簡(jiǎn)化部署，提高管理效率。

• 入侵防護(hù)（IPS）：超過5000種漏洞特征的攻擊檢測(cè)和防御。支持Web攻擊識(shí)別和防護(hù)，如跨站腳本攻擊、SQL注入攻擊等；

• 防病毒（AV）：高性能病毒引擎，可防護(hù)500萬種以上的病毒和木馬，病毒特征庫(kù)每日更新；

• 數(shù)據(jù)防泄漏：對(duì)傳輸?shù)奈募蛢?nèi)容進(jìn)行識(shí)別過濾?？勺R(shí)別120+種常見文件類型，防止通過修改后綴名的病毒攻擊。能對(duì)Word、Excel、PPT、PDF、RAR等30+文件進(jìn)行還原和內(nèi)容過濾，防止企業(yè)關(guān)鍵信息通過文件泄露。

• SSL解密：作為代理，可對(duì)SSL加密流量進(jìn)行應(yīng)用層安全防護(hù)，如IPS、AV、數(shù)據(jù)防泄漏、URL過濾等。

• Anti-DDoS： 可以識(shí)別和防范SYN flood、UDP flood等10+種DDoS攻擊，識(shí)別500多萬種病毒。

• 上網(wǎng)行為管理：采用基于云的URL分類過濾，預(yù)定義的URL分類庫(kù)已超過8500萬，阻止員工訪問惡意網(wǎng)站帶來的威脅。并可對(duì)員工的發(fā)帖、FTP等上網(wǎng)行為進(jìn)行控制?？蓪?duì)上網(wǎng)記錄進(jìn)行審計(jì)。

• 安全互聯(lián)：豐富的VPN特性，確保企業(yè)總部和分支間高可靠安全互聯(lián)。支持IPSec VPN、L2TP VPN、MPLS VPN、GRE等；

• QoS管理：基于應(yīng)用靈活的管理流量帶寬的上限和下限，可基于應(yīng)用進(jìn)行策略路由和QoS標(biāo)簽著色。支持對(duì)URL分類的QoS標(biāo)簽著色，例如：優(yōu)先轉(zhuǎn)發(fā)對(duì)財(cái)經(jīng)類網(wǎng)站的訪問。

• 負(fù)載均衡：支持服務(wù)器間的負(fù)載均衡。對(duì)多出口場(chǎng)景，可按照鏈路質(zhì)量、鏈路帶寬比例、鏈路權(quán)重基于應(yīng)用進(jìn)行負(fù)載均衡。

...的“NP＋多核＋分布式”架構(gòu)－性能線性倍增,突破傳統(tǒng)性能瓶頸

• USG9500采用核心路由器硬件平臺(tái)，提供模塊化部件，接口模塊基于雙NP處理器，**接口流量線速轉(zhuǎn)發(fā)；業(yè)務(wù)處理模塊（SPU）基于多核多線程架構(gòu)，每顆CPU都有應(yīng)用加速引擎，結(jié)合華為對(duì)海量會(huì)話的并發(fā)處理優(yōu)化技術(shù)，可確保NAT、 VPN等多種業(yè)務(wù)高速并行處理，處理能力不受CPU處理性能的限制。LPU和SPU各司其職，通過部署多塊SPU，實(shí)現(xiàn)整機(jī)性能線性倍增，為保護(hù)高速網(wǎng)絡(luò)環(huán)境提供無以倫比的擴(kuò)展性和靈活性，確保用戶前期低成本投入，后期順利擴(kuò)容。
• 由于采用了革命性的系統(tǒng)架構(gòu)，USG9500在防火墻吞吐量、.大并發(fā)連接數(shù)等主要指標(biāo)上是目前業(yè)界性能.高的安全網(wǎng)關(guān)。由于USG9500采用了專有的分流技術(shù)，整機(jī)性能隨SPU的配置數(shù)量線性倍增。USG9500.大防火墻整機(jī)吞吐量達(dá)到業(yè)界..的1.44Tbps，.大并發(fā)連接數(shù)為14.4億，虛擬防火墻數(shù)量可高達(dá)4096個(gè)，足以滿足廣電、政府、能源、教育等高端用戶的高性能需求。

.穩(wěn)定可靠的安全網(wǎng)關(guān)產(chǎn)品－全冗余,保障用戶業(yè)務(wù)永續(xù)

• 網(wǎng)絡(luò)的安全一直都是企業(yè)運(yùn)行的關(guān)鍵所在。為**高速網(wǎng)絡(luò)環(huán)境下的業(yè)務(wù)持續(xù)，USG9500在支持主-備、主-主組網(wǎng)、端口聚合、VPN冗余、業(yè)務(wù)板負(fù)載均衡等關(guān)鍵技術(shù)的同時(shí)，還提供業(yè)界獨(dú)有的雙主控主備倒換技術(shù)，將防火墻的可靠性提高到高端路由器級(jí)別，**關(guān)鍵節(jié)點(diǎn)可靠性一致。USG9500整機(jī)平均無故障時(shí)間長(zhǎng)達(dá)20萬小時(shí)，故障倒換時(shí)間小于1秒，真正保障業(yè)務(wù)持續(xù)穩(wěn)定運(yùn)行。

.豐富的虛擬化－應(yīng)對(duì)云網(wǎng)絡(luò)部署

• 隨著云計(jì)算時(shí)代的到來，以“虛擬化技術(shù)”和“高速網(wǎng)絡(luò)”為基石的云計(jì)算面臨安全的挑戰(zhàn)。USG9500具有高吞吐量性能的同時(shí)提供了豐富的虛擬系統(tǒng)功能，支持資源虛擬化、配置虛擬化、轉(zhuǎn)發(fā)虛擬化等多維度虛擬化功能，為云網(wǎng)絡(luò)用戶提供個(gè)性化的網(wǎng)絡(luò)安全需求。資源虛擬化提供定制化的虛擬資源，不同虛擬系統(tǒng)可按需分配不同資源；管理虛擬化提供各虛擬防火墻獨(dú)立配置個(gè)性化策略，日志管理和審計(jì)功能，提供按照租戶要求的管理策略；轉(zhuǎn)發(fā)虛擬化提供定制化的業(yè)務(wù)處理流程，各虛擬系統(tǒng)之間轉(zhuǎn)發(fā)平面隔離，一個(gè)虛擬系統(tǒng)資源耗盡不影響其他虛擬系統(tǒng)正常運(yùn)行，且邏輯隔離，確保各虛擬系統(tǒng)內(nèi)部租戶的數(shù)據(jù)安全。

產(chǎn)品規(guī)格

安全特性

注：上述列舉特性在USG9500系列產(chǎn)品中根據(jù)具體版本支持程度略有不同。具體信息請(qǐng)咨詢?nèi)A為工程師。

組網(wǎng)應(yīng)用

場(chǎng)景一：大型數(shù)據(jù)中心邊界安全防護(hù)

背景與挑戰(zhàn)：

近年來隨著企業(yè)數(shù)據(jù)規(guī)模大幅度膨脹，企業(yè)的核心關(guān)鍵業(yè)務(wù)轉(zhuǎn)向數(shù)據(jù)中心，同時(shí)成為了黑客攻擊的新焦點(diǎn)。數(shù)據(jù)中心在云計(jì)算時(shí)代，從早期的業(yè)務(wù)大集中到目前基于虛擬化技術(shù)的服務(wù)器整合，這些變化對(duì)數(shù)據(jù)中心的安全帶來了新的挑戰(zhàn)。針對(duì)數(shù)據(jù)中心安全事件頻繁的現(xiàn)象，其安全性已經(jīng)成為數(shù)據(jù)中心能否提供高效、可用服務(wù)的關(guān)鍵。

大型數(shù)據(jù)中心邊界防護(hù)場(chǎng)景

客戶需求：

大型數(shù)據(jù)中心業(yè)務(wù)有服務(wù)虛擬化、計(jì)算資源按需分配、數(shù)據(jù)訪問量不斷增大、出口帶寬不斷增長(zhǎng)的特點(diǎn)。隨著數(shù)據(jù)中心的不斷整合，導(dǎo)致支撐業(yè)務(wù)的服務(wù)器、虛擬機(jī)數(shù)量不斷增加。

在發(fā)展為云數(shù)據(jù)中心后，業(yè)務(wù)訪問海量增長(zhǎng)，遠(yuǎn)程訪問規(guī)模不斷膨脹，不同業(yè)務(wù)或者租戶需要提供獨(dú)立的安全業(yè)務(wù)平面，數(shù)據(jù)中心內(nèi)流量監(jiān)控管理更加復(fù)雜，同時(shí)也吸引了更多非法訪問和攻擊。這種趨勢(shì)導(dǎo)致早期的出口安全設(shè)備在性能和功能上已經(jīng)無法滿足新的需求，成為數(shù)據(jù)中心的瓶頸。

數(shù)據(jù)中心中的應(yīng)用服務(wù)器，往往提供對(duì)外公共服務(wù)，也面臨來自互聯(lián)網(wǎng)黑客的入侵攻擊，網(wǎng)絡(luò)安全加固成為構(gòu)筑安全運(yùn)行的數(shù)據(jù)中心的前提條件。

解決方案：

如圖所示，可以部署USG9500在大型IDC/VDC網(wǎng)絡(luò)的入口。為了**系統(tǒng)級(jí)的運(yùn)行穩(wěn)定性，可在出口處部署2臺(tái)設(shè)備，可以采用Active-Active或者Active-Standby兩種雙機(jī)部署方案，提供毫秒級(jí)的業(yè)務(wù)倒換。

1）隨著對(duì)數(shù)據(jù)量訪問性能的要求增加，可以按需擴(kuò)展業(yè)務(wù)板卡，而無需購(gòu)買新的設(shè)備，降低每G功耗，實(shí)現(xiàn)業(yè)務(wù)平滑擴(kuò)容。同時(shí)隨著業(yè)務(wù)板卡的擴(kuò)容，實(shí)現(xiàn)真實(shí)性能的線性疊加，保障客戶的投資能夠滿足真實(shí)應(yīng)用帶寬的增加。

2）USG9500一臺(tái)設(shè)備可以虛擬為多臺(tái)設(shè)備，分配個(gè)不同的租戶，且每個(gè)虛擬系統(tǒng)的帶寬、會(huì)話資源可以按需個(gè)性化定制，每個(gè)虛擬系統(tǒng)隔離，外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)安全隔離。滿足云數(shù)據(jù)中心虛擬化后的租戶租賃業(yè)務(wù)運(yùn)營(yíng)，某一個(gè)租戶使用的業(yè)務(wù)資源達(dá)到上限，并不影響其他租戶的使用。

3）通過擴(kuò)展IPS入侵防御板卡、Anti-DDoS板卡，可以阻止外部網(wǎng)絡(luò)的病毒、攻擊進(jìn)入IDC內(nèi)部網(wǎng)絡(luò)。

 

場(chǎng)景二：廣電和二級(jí)運(yùn)營(yíng)商網(wǎng)絡(luò)出口安全防護(hù)

背景與挑戰(zhàn) ：

近年來隨著廣電及二級(jí)運(yùn)營(yíng)商逐步開展互聯(lián)網(wǎng)接入服務(wù)的業(yè)務(wù)不多膨脹，在省級(jí)廣電網(wǎng)絡(luò)的互聯(lián)網(wǎng)出口處，往往需要匯聚省轄所有地市的寬帶用戶流量，在用戶上網(wǎng)高峰期，上網(wǎng)帶寬得不到有效保障，單靠購(gòu)買ISP鏈路帶寬成本增加另廣電企業(yè)無法接受，迫切需要改變?cè)鲩L(zhǎng)模式，同時(shí)滿足用戶的使用。

廣電和二級(jí)運(yùn)營(yíng)商網(wǎng)絡(luò)出口典型場(chǎng)景

客戶需求：

高峰上網(wǎng)時(shí)期，需要網(wǎng)關(guān)設(shè)備能夠承受高峰期幾百萬廣電用戶同時(shí)在線時(shí)的上網(wǎng)流量。

廣電網(wǎng)絡(luò)一般租用多個(gè)ISP的多條鏈路，常常出現(xiàn)多條鏈路流量復(fù)雜差別大，有效利用率不高的現(xiàn)象。且廣電網(wǎng)絡(luò)及二級(jí)運(yùn)營(yíng)商由于用戶數(shù)規(guī)模龐大，部分用戶的下載流量直接影響到其他用戶的非下載應(yīng)用體驗(yàn)，造成客戶滿意度的下降。

解決方案：

網(wǎng)絡(luò)出口部署高端防火墻USG9500，滿足高峰時(shí)期規(guī)模龐大的廣電用戶同時(shí)上網(wǎng)業(yè)務(wù)，解決由于出口網(wǎng)關(guān)本身處理性能的瓶頸導(dǎo)致的訪問擁塞。

鑒于廣電網(wǎng)絡(luò)租用多個(gè)ISP的多條鏈路的部署特點(diǎn)，提出通過鏈路聚合技術(shù)，捆綁多條鏈路作為一條邏輯鏈路，根據(jù)到不同ISP鏈路的結(jié)算費(fèi)用的不同，配置權(quán)重，優(yōu)選費(fèi)用較低的鏈路，并可以根據(jù)下載/非下載類業(yè)務(wù)流量類型，定義業(yè)務(wù)優(yōu)先級(jí)，區(qū)分轉(zhuǎn)發(fā)的鏈路。根據(jù)識(shí)別出的業(yè)務(wù)，做相應(yīng)的策略管控。.終使上網(wǎng)用戶體驗(yàn)提升。

場(chǎng)景三：教育網(wǎng)出口安全防護(hù)

背景與挑戰(zhàn) ：

高校的教育網(wǎng)絡(luò)，通常承擔(dān)著國(guó)內(nèi)教育網(wǎng)CERNET和CERNET2兩張網(wǎng)絡(luò)，分別對(duì)應(yīng)IPv4和IPv6網(wǎng)絡(luò)。出口原有防火墻性能、穩(wěn)定性和業(yè)務(wù)擴(kuò)展性不足，同時(shí)支持IPv4、IPv6的雙棧設(shè)備較少，影響著校園網(wǎng)絡(luò)安全。

教育網(wǎng)出口典型場(chǎng)景

客戶需求：

隨著高校的不斷擴(kuò)招，教育網(wǎng)絡(luò)內(nèi)部，高校的師生規(guī)模往往在幾萬人，接入的信息節(jié)點(diǎn)豐富多樣，高峰時(shí)期師生的突發(fā)及高流量訪問需求量大，對(duì)出口設(shè)備要求性能高。老的安全網(wǎng)關(guān)設(shè)備無法適應(yīng)快速增長(zhǎng)的帶寬需求以及海量的并發(fā)訪問量，容易造成觸控訪問擁塞。

高校的出口，同時(shí)有都IPv4教育網(wǎng)，IPv6教育網(wǎng)和Internet三張網(wǎng)絡(luò)的需求，由于網(wǎng)絡(luò)初期發(fā)展建設(shè)的原因，缺少同時(shí)支持IPv4、IPv6協(xié)議棧的網(wǎng)關(guān)設(shè)備。

高校內(nèi)部資源有教學(xué)科研的服務(wù)器等，對(duì)外也提供部分業(yè)務(wù)，需要安全隔離防護(hù)。

解決方案：

高校教育網(wǎng)絡(luò)出口部署高端防火墻USG9500，可滿足校園網(wǎng)幾萬師生高峰期同時(shí)訪問的并發(fā)量。作為IPv4、IPv6雙協(xié)議棧安全網(wǎng)關(guān)，可以替代原有設(shè)備，并在未來帶寬增加時(shí)，通過擴(kuò)展業(yè)務(wù)板插卡，線性提升業(yè)務(wù)處理性能。通過劃分不同安全域，實(shí)現(xiàn)服務(wù)器資源的隔離和保護(hù)，防范互聯(lián)網(wǎng)的安全威脅。