《华为Secoway USG2000&5000系列统一安全网关产品 概述》由会员分享,可在线阅读,更多相关《华为Secoway USG2000&5000系列统一安全网关产品 概述(82页珍藏版)》请在金锄头文库上搜索。
1、 USG2200/5100/5500 统一安全网关 产品概述产品概述 文档版本文档版本 01 发布日期发布日期 2012-05-23 华为技术有限公司华为技术有限公司 文档版本 01 (2012-05-23) 华为专有和保密信息 版权所有 华为技术有限公司 i 版权所有版权所有 华为技术有限公司华为技术有限公司 2012。 保留一切权利。保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传 播。 商标声明商标声明 和其他华为商标均为华为技术有限公司的商标。 本文档提及的其他所有商标或注册商标,由各自的所有人拥有。 注意注意 您购买的产品
2、、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务 或特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或默示 的声明或保证。 由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本 文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 华为技术有限公司 地址: 深圳市龙岗区坂田华为总部办公楼 邮编:518129 网址: 客户服务邮箱: support 客户服务电话: 4008302118 USG2200/5100/5500 产品描述 1 前言 文档版本 01 (2012-05-23
3、) 华为专有和保密信息 版权所有 华为技术有限公司 1 1 前言前言 产品版本 与本文档相对应的产品版本如下所示。 产品名称 产品版本 Secoway USG2200/5100/5500 V300R001 读者对象 本文档介绍 Secoway USG 的定位、功能特性、软硬件结构、典型组网方式和应用场 景、遵循标准和技术指标。 通过本文档可以快速了解 USG 产品全貌。 本文档主要适用于以下工程师: 网络规划工程师 数据配置工程师 系统维护工程师 网管管理员 符号约定 在本文中可能出现下列标志,它们所代表的含义如下。 符号 说明 表示有高度潜在危险,如果不能避免,会导致人员死 亡或严重伤害。
4、表示有中度或低度潜在危险,如果不能避免,可能导 致人员轻微或中等伤害。 USG2200/5100/5500 产品描述 1 前言 文档版本 01 (2012-05-23) 华为专有和保密信息 版权所有 华为技术有限公司 2 符号 说明 表示有潜在风险,如果忽视这些文本,可能导致设备 损坏、数据丢失、设备性能降低或不可预知的结果。 表示能帮助您解决某个问题或节省您的时间。 表示是正文的附加信息,是对正文的强调和补充。 修订记录 文档版本 01 (2012-05-23) 第一次正式发布。 USG2200/5100/5500 产品描述 2 产品定位 文档版本 01 (2012-05-23) 华为专有和
5、保密信息 版权所有 华为技术有限公司 3 2 产品定位产品定位 USG5500 系列 USG5500 系列产品是华为技术有限公司(以下简称华为)面向大中型企业和下一代数 据中心推出的新一代电信级统一安全网关设备。可广泛应用于运营商、企业、政府、 金融、能源、学校等领域的网络边界。 USG5500 系列包含 USG5530S、USG5530、USG5550、USG5560,其中 USG5530S、 USG5530、USG5550 只有交流型号,USG5560 有交流和直流两种型号。 USG5500 系列产品有 1U 标准机箱和 3U 标准机箱两种硬件形态,提供多个固定千兆以 太网口,并拥有丰富的
6、接口扩展能力,支持多种接口卡其中包括万兆以太网接口卡。 该系列产品采用全新的万兆多核硬件平台,面对企业海量业务处理零延迟,打造更高 速的网络;融合 Symantec 先进的入侵防御和反病毒技术,全新演绎专业内容安全防 御,营造更安全的网络;集成业界领先的 DPI(深度包检测)识别技术,精细管理超 千种应用程序,创建更高效的网络。为大型企业和数据中心打造“更高速、更高效、 更安全”的高性价比网络体验。USG 可广泛应用于运营商、企业、政府、金融、能 源、学校等领域的网络边界。 USG5500 在基本防火墙功能基础上还支持丰富的路由协议,可节省用户投资,降低组 网成本。 支持 IPv4 和 IPv
7、6 双协议栈工作方式,提供完整的 IPv6 特性和 IPv4 网络向 IPv6 网络 平滑迁移的解决方案。 提供了完备的 UTM(Unified Threat Management)功能,致力于内容安全防护、上网 行为管理等方面,为用户提供全方位的安全防护。 如图 2-1 所示,USG 部署于网络出口处,有效阻止 Internet 上的黑客入侵、DDoS 攻 击,阻止内网用户访问非法网站,限制带宽,为内部网络提供一个安全可靠的网络环 境。 USG2200/5100/5500 产品描述 2 产品定位 文档版本 01 (2012-05-23) 华为专有和保密信息 版权所有 华为技术有限公司 4 图
8、2-1 USG5500 系列典型应用 USG2200/5100 系列 USG2200/5100 系列是华为公司针对中小型企业的需求推出的新一代产品。可广泛应用 于中小企业、大型企业分支机构、SOHO 办公类用户以及网吧出口网关等。典型应用 如图 2-2 所示。 USG2200/5100 采用模块化设计,集安全、路由、交换、无线(WiFi、3G)等特性于一 体,接口类型丰富,性能领先。能为中小企业、大型企业分支机构、SOHO 办公类用 户、以及网吧出口网关提供安全防护,并能提供集成的网络出口安全与互联解决方 案,降低企业总所有成本,提升企业的效率,是中小型企业网络的理想安全防护设 备。 USG2
9、200/5100 将多种业务部署在同一节点,在可靠性、处理能力、模块化端口、业务 能力等方面均有突出表现,极大地降低了企业网络建设的初期投资与长期运维成本。 USG2200 系列包含 USG2210、USG2220、USG2230、USG2250、USG2260,其中 USG2250 和 USG2260 有交直流两种型号。 USG5100 包含 USG5120、USG5150 和 USG5160。只有 USG5120 有交直流两种型 号。USG5150 只有一个型号,但是支持交直流两种可更换的电源模块。USG5160 只有交流型号。 USG2200/5100/5500 产品描述 2 产品定位
10、文档版本 01 (2012-05-23) 华为专有和保密信息 版权所有 华为技术有限公司 5 图2-2 USG2200/5100 系列典型应用 USG2200/5100/5500 产品描述 3 产品特点 文档版本 01 (2012-05-23) 华为专有和保密信息 版权所有 华为技术有限公司 6 3 产品特点产品特点 USG5500 具备万兆多核全新硬件平台,为用户打造更高速的网络 性能优异,实现海量业务处理。 高密度万兆接口,适应不同应用场景需求,为提前跨入万兆时代的用户提供不同 组网情况下的安全防护,方便用户细分安全区域。 关键部件冗余配置,成熟的链路转换机制,支持光电两类内置 Bypas
11、s 插卡,为用 户提供超长无故障硬件保障打造永久的办公环境。 多业务集成 全面融合了安全、路由、交换、VPN 和无线等多种业务功能,极大地提高了产品 的多业务集成能力。 真正实现了对以太网交换机的彻底融合。 USG2200/5100 提供以太网、ADSL2+、SHDSL、E1/CE1、串口和 3G 等多种方式 接入因特网,同时提供 WLAN(Wireless Local Area Network)功能。 用户可以轻松地使用路由器、防火墙、交换机、VPN 和无线设备的所有特性。 超千种应用程序的精细管理,为用户创建更高效的网络 广泛的应用协议识别,让用户对企业带宽应用一目了然。 海量网站分类,屏
12、蔽挂马、钓鱼等恶意网站,防范员工不当操作危害内网安全; 隔离赌博色情等不良网站,营造绿色上网环境。 基于时间、应用、用户、带宽、连接数的多方位调控手段,可有效保障关键业务 带宽,提升带宽利用率,提升员工工作效率。 专业内容安全防御技术的重新演绎,为用户提供更安全的网络 基于 Symantec 多年积累的反病毒技术,采用文件级内容扫描的 AV 引擎,结合全 球领先的仿真环境虚拟执行技术,提供高达 99%的精准检出率。 专业漏洞补丁技术,让“变形”无所遁形:传统的基于攻击代码的防护方式,因 为攻击种类的频繁变形,需要维护更新庞大签名库,使得 IPS 引擎不堪重负,检 测性能低下,误报漏报率较高。U
13、SG 采用 Symantec 领先的漏洞防护技术,针对漏 洞(而非攻击代码)提供“虚拟补丁” , 让各种攻击变形无所遁形。 USG2200/5100/5500 产品描述 3 产品特点 文档版本 01 (2012-05-23) 华为专有和保密信息 版权所有 华为技术有限公司 7 专业团队实时更新,持续追踪最新、最热门、最高危的系统漏洞和软件漏洞,以 最快速的应对方案为用户提供更安全的办公网络。 一键式配置,将您从繁复的策略调优中彻底解放出来 基于 Web 界面对设备进行配置管理,更直观,更简单。 重点业务提供配置向导,引导管理员轻松完成配置。 一键开启 IPS 和 AV,减轻维护工作量,将管理员
14、从费时、费力、繁复的策略配置 中解放出来,真正实现快速部署,即插即用。 基于用户身份识别的内网控制及策略一体化 提供多种用户认证机制:本地用户数据库认证、Web Portal 用户认证页面、第三方 认证服务器的无缝导入、对接、透明认证。 安全策略一体化,在精确识别用户(组)、应用协议分类的基础上,提供对流量进行 分用户(组)、应用协议分类、时间段、IP 网段、端口等的精确控制。将包过滤、 UTM、应用识别控制等策略配置过程集中展现,一次性配置完成。 灵活的扩展能力 USG 采用自主研发的软件平台和具有自主知识产权的安全操作系统。数据平面和管理 平面完全分离,这种无依赖性提高了系统安全性。具有很
15、强的可伸缩性、可配置性, 并且接口开放,是一个可不断丰富和持续发展的系统平台。 U 盘、CF 卡、Micro-SD 卡等多种新型存储介质的应用提供了对设备存储介质的扩展能 力。 USG 系列提供丰富的接口种类,包括 FE、GE、Console、USB、3G、WLAN、Micro- SD 卡接口和可选配的 MIC、DMIC、FIC 和 DFIC 扩展插槽。模块化的设计保证了用 户投入的扩展能力,极强的硬件可扩展性为用户以多种方式接入和日后的网络升级提 供最大程度的投资保护。 USG2200/5100/5500 产品描述 4 产品架构 文档版本 01 (2012-05-23) 华为专有和保密信息
16、版权所有 华为技术有限公司 8 4 产品架构产品架构 关于本章 4.1 硬件结构 4.2 软件结构 4.1 硬件结构 4.1.1 USG2200 系列产品外观 前面板 USG2200 系列产品包含 USG2210、USG2220、USG2230、USG2250 和 USG2260,均 由一体化机箱、扩展接口卡组成,都支持交流电源,其中 USG2250/2260 还有支持直流 电源的机型。都提供了 4 个 MIC 槽位和 2 个 FIC 槽位,为 1U 高设备。电源和风扇固 定在设备中,不支持热插拔。 USG2200 的前面板如图 4-1 所示。 图4-1 USG2200 产品前面板 1. 交流/直流电源插座 2. 交流/直流电源开关 3. 系统复位键 4. Cons
