《HS SecoSpace BSRHSR 安全路由网关 技术白皮书》由会员分享,可在线阅读,更多相关《HS SecoSpace BSRHSR 安全路由网关 技术白皮书(29页珍藏版)》请在金锄头文库上搜索。
1、华赛 SecoSpace USG BSR/HSR系列产品技术白皮书华为赛门铁克技术有限公司Huawei Symantec Technologies Co., Ltd.华赛SecoSpace USG BSR/HSR系列产品技术白皮书公开目 录1概述31.1中小企业网络现状31.2业务路由网关USG BSR/HSR技术简介32USG BSR/HSR系列业务路由网关的特点42.1健壮的软件体系52.2丰富的路由功能62.3固定接口和插卡62.4二层交换能力82.5完备的链路备份功能82.6完备的双机备份功能83安全连接(VPN)93.1L2TP93.2IPSEC VPN103.3SSL VPN113
2、.4GRE VPN124无线接入(WIFI/3G)124.1无线局域网(WLAN/WIFI)134.2无线城域网(WWAN/3G)145防火墙功能155.1防火墙工作模式155.2访问控制165.3地址转换功能(NAT)175.4基于状态检测的防火墙195.5攻击防范能力和丰富的DDos防御手段205.6高级的TCP代理防御体系205.7扫描攻击防范215.8畸形报文防范215.9黑名单功能(动态和静态)215.10MAC地址和IP地址绑定226网络准入控制226.1多种认证手段226.2和Secospace终端安全管理软件联动227流量控制237.1P2P流量检测和控制237.2基于IP地址
3、流量和连接数限制(IP-Car/IP-Connection)247.3服务质量(Qos)248完善的管理系统268.1丰富的维护管理手段268.2基于SNMP的终端系统管理269日志系统269.1日志服务器279.2两种日志输出方式279.3多种日志信息2710总结28Copyright 2007 华为赛门铁克技术有限公司 版权所有,侵权必究iiCopyright 2007 华为赛门铁克技术有限公司 版权所有,侵权必究27华赛 SecoSpace USG BSR/HSR系列产品技术白皮书Keywords 关键词:华赛 SecoSpace USG BSR/HSR系列产品、网络安全、VPN、隧道技
4、术、L2TP、IPSec、IKEAbstract 摘 要:本文详细介绍了防火墙的技术特点、工作原理等,并提供了防火墙选择过程的一些需要关注的技术问题。List of abbreviations 缩略语清单: Abbreviations缩略语Full spelling 英文全名Chinese explanation 中文解释VPNVirtual Private Network虚拟私有网AAAAuthentication, Authorization, Accounting验证,授权,计费ASPFApplication Specific Packet Filter基于应用层规范的包过滤DoSDen
5、ial of Service拒绝服务,一种常见的网络攻击手段L2TPLayer 2 tunnle protocal二层隧道协议IPSECIP SecurityIP安全IKEInternet Key ExchangeInternet密钥交换1 概述1.1 中小企业网络现状随着经济的发展,众多企业越来越多的在各地开设分支机构以拓展业务,同时现代信息社会Internet的普及进一步提高了整个企业的效率,降低了运作成本。互联网络在为企业提高竞争力的同时,随之而来的也为企业带来安全问题。随着对安全和保密性的关注继续升温,市场对创新安全解决方案的需求也在不断增长。 Internet是一个开放的系统,开放即
6、意味着通信的协议、传输线路、通信内容传输是不安全的,企业总部和分支机构、合作伙伴之间的通信容易泄密,其商业机密、客户隐私得不到绝对安全的保护;开放系统也意味者小型办公机构容易受到网络攻击和病毒感染,例如窃听报文、IP地址欺骗、源路由攻击、地址端口扫描、拒绝服务攻击 (Deny of Service)、应用层攻击、蠕虫病毒传播等等,一旦受到网络攻击和病毒感染,整个办公网络的有效运作会受到严重威胁,影响业务效率,这些问题对于缺乏足够的 IT 资源来应对威胁的中小企业影响尤为严重。中小企业构建自防御网络,大幅度提高识别、防御和阻断威胁的能力,从而为应对威胁做好准备成为摆在中小企业面前急需解决的问题。
7、强大的网络安全需求影响了中小企业(企业分支机构/远程机构)部署网络服务的方式,传统的路由器或者安全设备已经无法满足客户的需求。华赛业务路由网关USG BSR/HSR对解决中小企业网络安全问题具有先天的优势,是网络安全解决方案中的第一道防线,具有非常重要的作用。华赛USG BSR/HSR系列业务路由网关基于华赛专业硬件与安全数据通信软件平台,结合华赛对用户需求的持续积累和理解,为企业提供全面、精致的网络安全解决方案,安全解决方案通过不断发展满足了动态的安全要求。1.2 业务路由网关USG BSR/HSR技术简介在开放网络式的网络上,我们的周围存在着许多不能信任的计算机,这些计算机对我们私有的一些
8、敏感信息造成了很大的威胁。传统的路由器已经不能安全地保护一些重要的信息,而华赛业务路由网关USG BSR/HSR系列产品就是为了解决这样一个问题,在开放式的网络环境中保护我们自己的私有数据的安全,同时还兼顾网络的开放性。业务路由网关可以作为一台连接网络的设备,也可以实现不同网络之间的互联,也可以用于不同分支机构之间的互联,将安全、路由、交换、VPN等功能集成在路由器当中,为大中型企业的分支机构以及中小企业提供全方位的网络服务,改善企业的运营效率的投资保护。安全路由技术就是内部集成防火墙、VPN等功能的路由器。硬件业务路由网关提供强大的路由功能,也将各种安全技术融合在一起,采用专用的硬件结构,选
9、用高速的CPU、嵌入式的操作系统,支持各种网络接口,用来保护私有网络的安全。业务路由网关用来集中解决中小规模企业网络问题,可以适合各种场合,USG BSR/HSR能够满足这些用户关心的路由、安全、连接性能等需求。即可以提供传统路由器所具备的强大的静态路由功能、OSPF, BGP, RIP路由等功能,再此基础上还增加了VPN(L2TP/IPSec/SSL VPN等)和防火墙等功能,以确保针对安全威胁提供最佳防御。基于路由器、交换机和安全产品的功能结合在一起,能为整个网络提供端到端的保护。将安全直接集成到路由器中使路由器成为网络入口处的第一道防线,这使您能够在所有的网络入口处部署最佳的安全功能,为
10、网络提供妥善的保护。2 USG BSR/HSR系列业务路由网关的特点华赛USG BSR/HSR业务路由网关为面向中SOHO、小企业、大型行业企业分支机构、以及网吧出口的路由器。该款路由器具有灵活的组网能力,强大的路由功能,符合应用场景的安全特性,同时具有非常高的性价比的特点。是业内首款将传统的路由器、防火墙、交换机、无线(WLAN和WWAN)融为一体的中小企业业务路由网关。提供了强大的功能集来满足高可用性要求,集成多业务接口提供了可并行使用更多接口和特性,同时提高了多项安全、管理和集成服务的性能,为中小企业提供全方位的安全解决方案,并且极大限度地降低了中小企业的运维和管理成本。业务路由网关US
11、G BSR/HSR系列包括USG2205BSR/USG2220BSR/USG5120BSR/USG5150BSR多款产品。 全新的USG BSR/HSR系列业务路由网关都提供了业界最全面的安全服务,并且以智能的方式将数据、安全、无线、交换嵌入到同一个平台,以便通过可扩展的方法快速满足客户最大化的需求。业务路由网关为新型路由器提供安全防护、安全的连接、网络准入控制的保护。2.1 健壮的软件体系USG BSR/HSR业务路由网关采用华赛公司自行开发的VRP操作系统作为其运行的核心组件,使得USG BSR/HSR业务路由网关天生就避免了各种通用操作系统的安全漏洞、病毒攻击等等各种软件不可靠因素。VR
12、P操作系统是一个安全数据通信设备专用的平台,其软件构架设计就是为安全数据通信产品量身定制,综合考虑了安全数据通信技术的发展。VRP操作系统是一个不断进步和发展的系统,同时VRP在安全数据通信领域是一个领先的软件系统,USG BSR/HSR系列业务路由网关不但具有可靠、安全的运行保证,同时针对安全技术的发展方面具有更良好的扩展空间,这就决定了USG BSR/HSR在新技术发展方面可以领先一步。USG BSR/HSR系列都可以提供在线热补丁技术,在系统不需要重新启动的情况下即可以为软件系统增加新的功能,提供软件系统的修补,完全可以满足电信级设备的软件安全要求。2.2 丰富的路由功能USG BSR/
13、HSR系列业务路由网关在提供丰富路由特性,不仅支持静态路由, 静态路由表可以配置、删除和查询,而且还支持RIP(Routing Information Protocol)、OSPF(Open Shortest Path First),同时还支持路由策略和路由迭代,从而使得USG BSR/HSR系列业务路由网关的组网应用更加灵活。除此之外, USG BSR/HSR系列业务路由网关还支持BGP(Border Gateway Protocol)动态路由,可以进一步提高组网的灵活性。USG BSR/HSR系列业务路由网关通过支持基于会话流的策略路由功能,使得策略路由与安全特性(如NAT、ASPF等)协
14、同工作,从而在出接口上实现负载分担。当一条链路故障时,流量将切换到其他处于正常的链路中。安全路由技术就是在IPSec VPN隧道上实现动态路由选择技术,USG BSR/HSR 系列业务路由网关支持在IPSec隧道上的动态路由(RIP /OSPF)。2.3 固定接口和插卡USG2205BSR为1U标准机箱,机箱上带有Console接口,USG2205BSR支持2个固定光电互斥的GE口,4个MIC插槽、1个FIC插槽,1个USB接口,1个SD接口插槽,另外USB接口可以支持USB类型的3G数据卡。MIC插槽可以插ADSL2+接口卡、E1/CE1接口卡、1SA/2SA接口卡、MIC-3G、MIC-W
15、iFi接口卡、1FE/5FE、G.SHDSL/ 2G.SHDSL/ 4G.SHDSL等。FIC插槽可以插GE/4GE接口卡、2E1/2CE1/4E1/4CE1/8E1/8CE1、2FE2FECombo、18FE、16GE接口卡。USG2205BSR只支持交流电源。USG2205HSR为1U标准机箱,机箱上带有Console接口,USG2205HSR支持2个固定光电互斥的GE口,4个MIC插槽、1个FIC插槽,2个USB接口,1个SD接口插槽,另外USB接口可以支持USB类型的3G数据卡。MIC插槽可以插ADSL2+接口卡、E1/CE1接口卡、1SA/2SA接口卡、MIC-3G、MIC-WiFi接口卡、1FE/5FE、G.SHDSL/ 2G.SHDSL/ 4G.SHDSL等。FIC插槽可以插GE/4GE接口卡、2E1/2CE1/4E1/4CE1/8E1/8CE1、2FE2FECombo、18FE、16GE接口卡、X86单板。USG2205HSR只支持交流电源。USG2220BSR
