《华为USG9500详版彩页》由会员分享,可在线阅读,更多相关《华为USG9500详版彩页(8页珍藏版)》请在金锄头文库上搜索。
1、6-1华为USG9500系列T级下一代防火墙华为USG9500系列T级下一代防火墙大数据时代,网络流量几何级数增长,网络接入方式灵活多样,全联接已经成为常态,业务形态按需扩展,眼镜、手表、甚至是家庭电器,健康检测产品等终端都在智能化,在与人类的活动建立起数字的联接。人们足不出户,就可以畅享移动办公带来的效率和便利。但是,传统的安全结构却正在瓦解,联接技术要求更加敏捷和无处不在,同时又需要安全可靠和保护数据隐私,而保障安全可靠和数据隐私防护就要克服泛在化的安全漏洞、风险、防御持续恶意的入侵。安全已经成为ICT世界最重要和迫切的问题。因此,在云服务提供商、大型数据中心和大型企业园区网络边界,迫切需
2、要更换老的防火墙为高性能多业务的下一代防火墙,任何有类似需求的企业用户都应该尽快评估当前的防火墙设备在功能和性能上是否遇到了瓶颈,未雨绸缪,防患于未然。产品概述USG9520 USG9560 USG95806-2华为USG9500系列T级下一代防火墙产品说明优势特性USG9500系列产品包括USG9520、USG9560和USG9580三款产品,提供业界领先的安全防护性能和扩展能力,防火墙吞吐量高达1.44Tbps。USG9500结合专用的多核处理芯片以及分布式硬件平台,突破安全业务处理性能对CPU能力的限制,提供业界领先业务处理能力和业务扩展能力,同时所有部件均采用全冗余技术,使得设备达到核
3、心路由器级别的高可靠性,从而进一步保证高速网络环境下的业务连续性。该分布式技术在流量转发层面采用线速智能分流技术,所有数据流从首包开始就平均分配给各业务处理模块,无任何处理瓶颈,从而实现业务处理能力真正随业务模块线性倍增,从根本上支撑用户网络长久发展。USG9500提供多种I/O接口模块(LPU)负责对外连接和数据传递。I/O接口模块和业务处理模块采用相同的接口插槽,可通过不同I/O接口模块和业务处理模块的组合,匹配用户网络对接口和性能的组合需求,量身定制安全防护方案。支持GE、10GE接口和跨板端口捆绑,可灵活适应大接口容量或高接口密度等不同的应用场景需求。USG9500业务处理模块(SPU
4、)负责处理所有的业务。SPU分为母板和扩展卡两部分,可灵活组合不同性能单板,采用多核多处理器硬件,通过软件模块实现各种业务特性,SPU板与LPU板之间心跳检测机制,SPU板间备份机制。保障业务板出现故障后,所有功能将立即重新分发到其他业务板处理,不会导致后续业务中断。最精准的访问控制基于ACTUAL的六维一体化防护传统防火墙主要通过端口和IP进行访问控制,下一代防火墙的核心功能依然是访问控制。USG9500在控制的维度和精细程度上都有很大的提高: 一体化防护:从应用、用户、内容、时间、威胁、位置6个维度进行一体化的管控和防御。内容层的防御与应用识别深度结合,一体化处理。例如:识别出Oracle
5、的流量,进而针对性地进行对应的入侵防御,效率更高,误报更少。 基于应用:运用多种技术手段,准确识别包括移动应用及Web应用内的6000+应用协议及应用的不同功能,继而进行访问控制和业务加速。例如:区分微信的语音和文字后采取不同的控制策略。 基于用户:通过Radius、LDAP、AD等8种用户识别手段集成已有用户认证系统简化管理。基于用户进行访问控制、QoS管理和深度防护。 基于位置:与全球位置信息结合,识别流量发起的位置信息;掌控应用和攻击发起的位置,第一时间发现网络异常情况。根据位置信息可以实现对不同区域访问流量的差异化控制。支持根据IP自定义位置最实用NGFW特性一台顶多台设备,大幅降低T
6、CO越来越多的信息资产连接到了互联网上,网络攻击和信息窃取形成巨大的产业链,这对下一代防火墙的防护范围提出了更高要求。USG9500具备全面的防护功能: 一机多能:集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、上网行为管理等功能于一身,简化部署,提高管理效率。 入侵防护(IPS):超过5000种漏洞特征的攻击检测和防御。支持Web攻击识别和防护,如跨站脚本攻击、SQL注入攻击等; 防病毒(AV):高性能病毒引擎,可防护500万种以上的病毒和木马,病毒特征库每日更新;6-3华为USG9500系列T级下一代防火墙 数据防泄漏:对传输的文件和内容进行识别过滤。可识别120+种常见文件
7、类型,防止通过修改后缀名的病毒攻击。能对Word、Excel、PPT、PDF、RAR等30+文件进行还原和内容过滤,防止企业关键信息通过文件泄露。 SSL解密:作为代理,可对SSL加密流量进行应用层安全防护,如IPS、AV、数据防泄漏、URL过滤等。 Anti-DDoS:可以识别和防范SYN flood、UDP flood等10+种DDoS攻击,识别500多万种病毒。 上网行为管理:采用基于云的URL分类过滤,预定义的URL分类库已超过8500万,阻止员工访问恶意网站带来的威胁。并可对员工的发帖、FTP等上网行为进行控制。可对上网记录进行审计。 安全互联:丰富的VPN特性,确保企业总部和分支间
8、高可靠安全互联。支持IPSec VPN、L2TP VPN、MPLS VPN、GRE等; QoS管理:基于应用灵活的管理流量带宽的上限和下限,可基于应用进行策略路由和QoS标签着色。支持对URL分类的QoS标签着色,例如:优先转发对财经类网站的访问。 负载均衡:支持服务器间的负载均衡。对多出口场景,可按照链路质量、链路带宽比例、链路权重基于应用进行负载均衡。最领先的“NP多核分布式”架构性能线性倍增,突破传统性能瓶颈USG9500采用核心路由器硬件平台,提供模块化部件,接口模块基于双NP处理器,保证接口流量线速转发;业务处理模块(SPU)基于多核多线程架构,每颗CPU都有应用加速引擎,结合华为对
9、海量会话的并发处理优化技术,可确保NAT、VPN等多种业务高速并行处理,处理能力不受CPU处理性能的限制。LPU和SPU各司其职,通过部署多块SPU,实现整机性能线性倍增,为保护高速网络环境提供无以伦比的扩展性和灵活性,确保用户前期低成本投入,后期顺利扩容。由于采用了革命性的系统架构,USG9500在防火墙吞吐量、最大并发连接数等主要指标上是目前业界性能最高的安全网关。由于USG9500采用了专有的分流技术,整机性能随SPU的配置数量线性倍增。USG9500最大防火墙整机吞吐量达到业界领先的1.44Tbps,最大并发连接数为14.4亿,虚拟防火墙数量可高达4096个,足以满足广电、政府、能源、
10、教育等高端用户的高性能需求。最稳定可靠的安全网关产品全冗余,保障用户业务永续网络的安全一直都是企业运行的关键所在。为保证高速网络环境下的业务持续,USG9500在支持主-备、主-主组网、端口聚合、VPN冗余、业务板负载均衡等关键技术的同时,还提供业界独有的双主控主备倒换技术,将防火墙的可靠性提高到高端路由器级别,保证关键节点可靠性一致。USG9500整机平均无故障时间长达20万小时,故障倒换时间小于1秒,真正保障业务持续稳定运行。最丰富的虚拟化应对云网络部署随着云计算时代的到来,以“虚拟化技术”和“高速网络”为基石的云计算面临安全的挑战。USG9500具有高吞吐量性能的同时提供了丰富的虚拟系统
11、功能,支持资源虚拟化、配置虚拟化、转发虚拟化等多维度虚拟化功能,为云网络用户提供个性化的网络安全需求。资源虚拟化提供定制化的虚拟资源,不同虚拟系统可按需分配不同资源;管理虚拟化提供各虚拟防火墙独立配置个性化策略,日志管理和审计功能,提供按照租户要求的管理策略;转发虚拟化提供定制化的业务处理流程,各虚拟系统之间转发平面隔离,一个虚拟系统资源耗尽不影响其他虚拟系统正常运行,且逻辑隔离,确保各虚拟系统内部租户的数据安全。6-4华为USG9500系列T级下一代防火墙产品规格USG9520 USG9560 USG9580性能和容量防火墙吞吐量(1518字节)*120Gbps 0.72Tbps 1.44T
12、bps防火墙吞吐量(IMIX混合流量)120Gbps 0.72Tbps 1.44Tbps最大并发会话数1.6亿7.2亿14.4亿IPsec VPN 性能(3DES)48Gbps 288Gbps 624GbpsIPsec VPN 性能(AES)56Gbps 336Gbps 720GbpsIPsec VPN 并发隧道12.8万76.8万100万接口类型支持GE,10GE,40GE,100GE等常见接口业务板防火墙业务板,应用安全业务板等尺寸、电源、运行环境尺寸 (W x D x H:mm)442 x 650 x 175(4U直流)442 x 650 x 220(5U交流)442 x 650 x 6
13、20(14U) 442 x 650 x 1420(32U)重量空机箱15kg,直流满配30.7kg,直流空机箱25kg,交流满配40.7kg,交流空机箱43.2kg满配112.9kg空机箱94.4kg满配233.9kg电源AC 90VAC264VAC;推荐175VAC264VAC电源DC -72V -38V,额定-48V功耗1270W 3960W 7540W工作环境温度长期工作:0C 至 45 C存储:-40C 至 70 C环境湿度长期:5%RH 85%RH,无凝结存储:0%RH 95%RH,无凝结参数型号* 最大吞吐量是以1518字节包长流量在理想环境下测试得出,实际情况会因现网情况不同而出
14、现变化。6-5华为USG9500系列T级下一代防火墙安全特性基本防火墙功能路由/透明/混合模式状态检测黑名单、白名单访问控制ASPF应用层包过滤安全域划分出站负载均衡基于ISP的路由智能出站探测出站透明DNS代理基于用户的流控基于应用的流控基于链路的流控基于时间的流控入站负载均衡入站智能DNS服务器负载均衡基于应用的QosURL过滤8500万URL地址库130+分类基于用户、IP、分类、次数等趋势和TOPN统计URL过滤日志查询虚拟私有网络(VPN)DES, 3DES,和 AES 加密MD5 和 SHA-1 认证手工配置密钥,PKI (X 509)以及IKEv2前向安全性 PFS(DH组)防重
15、放攻击支持传输模式、隧道模式IPSec NAT穿越DPD探测EAP 认证NAT/CGN 目的 NAT/PATNAT NO-PAT源NAT-IP address persistency源IP地址池组NAT Server双向NATNAT-ALG不受限IP地址扩展基于策略的目的NAT端口范围预分配发夹访问模式SMART NATNAT64DS-Lite6RD(IPv6快速部署)业务感知 识别和控制超过6000种协议:P2P,即时通讯,游戏,股票,VoIP,视频,流媒体,邮件,移动电话,网页浏览,远程接入,网络管理,以及新闻等。AV防病毒500万种病毒检测基于流检测,性能更高加密流量检测按照病毒家族趋势
16、和TOPN统计PKI在线获取CA证书在线获取CRL多级CA证书支持PKCS#10证书协议CA认证SCEP、OCSP、CMPv2协议支持自签名证书6-6华为USG9500系列T级下一代防火墙注:上述列举特性在USG9500系列产品中根据具体版本支持程度略有不同。具体信息请咨询华为工程师。EAP-SIM、EAP-AKAVPN 网关冗余IPSec V6,IPSec 4 over 6, IPSec 6 over 4L2TP 隧道GRE 隧道ANTI-DDOSSYN-flood, ICMP-flood, TCP-flood, UDP-flood, DNS-flood 攻击防御Port-scan, Smurf, Tear-drop, IP-Sweep 攻击防御IPv6扩展头攻击防护TTL 检测TCP-mss 检测攻击日志输出高可靠性主-主,主-备模式双机热备切换(华为冗余协议)配置同步备份防火墙及IPSec VPN会话同步备份设备故障检测链路故障检测双主控切换管理WebUI (HTTP
