华为USG9500系列下一代防火墙

USG9500是华为公司面向云服务提供商、大型数据中心和大型企业园区网络推出的新一代T级多合一数据中心防火墙。 USG9500提供高达T级的处理性能和99.999%可靠性,集成NAT、VPN、IPS、虚拟化、业务感知等多种安全特性,帮助企业构建面向云计算时代的数据中心边界安全防护,降低机房空间投资和每Mbps总体拥有成本。USG9500系列目前提供USG9520、USG9560、USG9580三种产品形态。

                           关键特性

T级性能、多合一 、高可靠的网络安全防护

  • 提供业界性能最高安全防护性能和扩展能力,整机可以扩展到1.92Tbps吞吐量和高达25.6亿并发;

  • 支持GE、10GE、40GE、100GE等各种接口类型,单槽位密度最高可达48GE或24*10GE。分布式硬件框架和扩展插卡设计,扩容方便,保护前期投资;

  • 支持NAT、VPN、IPS、Anti-DDoS等传统特性,和业务感知、虚拟化、IPv6安全等增强特性,多业务合一,一台设备替换多台设备,有效降低TCO;

  • 卓越的软硬件设计,可靠性高达99.999%,支持双主控、双机热备、负载均衡,完全冗余避免宕机,热插拔组件保证可在线持续升级扩容。

  •                  产品特性

最精准的访问控制-基于ACTUAL的六维一体化防护

  • 传统防火墙主要通过端口和IP进行访问控制,下一代防火墙的核心功能依然是访问控制,

  • 但USG9500在控制的维度和精细程度上都有很大的提高,

  • 可以从应用、用户、内容、时间、威胁、位置6个维度进行一体化的管控和防御。内容层的防御与应用识别深度结合,一体化处理。

  • 例如: 识别出Oracle的流量,进而针对性地进行对应的入侵防御,效率更高,误报更少。

  • 基于应用的访问控制:运用多种技术手段,准确识别包括移动应用及Web应用内的6000+应用协议及应用的不同功能,

  • 继而进行访问控制和业务加速。例如:区分微信的语音和文字后采取不同的控制策略。

  • 基于用户的访问控制:通过Radius、LDAP、AD等8种用户识别手段集成已有用户认证系统简化管理。

  • 基于用户进行访问控制、QoS管理和深度防护。

  • 基于位置的访问控制:与全球位置信息结合,识别流量发起的位置信息;掌控应用和攻击发起的位置,第一时间发现网络异常情况。

  • 根据位置信息可以实现对不同区域访问流量的差异化控制。支持根据IP自定义位置。

最实用NGFW特性一台顶多台设备,大幅降低TCO

  • 越来越多的信息资产连接到了互联网上,网络攻击和信息窃取形成巨大的产业链,这对下一代防火墙的防护范围提出了更高要求。

  • USG9500具备全面的防护功能,集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、上网行为管理等功能于一身,一机多能,简化部署,提高管理效率。


  • 入侵防护(IPS):超过5000种漏洞特征的攻击检测和防御。支持Web攻击识别和防护,如跨站脚本攻击、SQL注入攻击等;

  • 防病毒(AV):高性能病毒引擎,可防护500万种以上的病毒和木马,病毒特征库每日更新;

  • 数据防泄漏:对传输的文件和内容进行识别过滤。可识别120+种常见文件类型,防止通过修改后缀名的病毒攻击。

  • 能对Word、Excel、PPT、PDF、RAR等30+文件进行还原和内容过滤,防止企业关键信息通过文件泄露。

  • SSL解密:作为代理,可对SSL加密流量进行应用层安全防护,如IPS、AV、数据防泄漏、URL过滤等。

  • Anti-DDoS: 可以识别和防范SYN flood、UDP flood等10+种DDoS攻击,识别500多万种病毒。

  • 上网行为管理:采用基于云的URL分类过滤,预定义的URL分类库已超过8500万,阻止员工访问恶意网站带来的威胁。

  • 并可对员工的发帖、FTP等上网行为进行控制。可对上网记录进行审计。

  • 安全互联:丰富的VPN特性,确保企业总部和分支间高可靠安全互联。支持IPSec VPN、L2TP VPN、MPLS VPN、GRE等;

  • QoS管理:基于应用灵活的管理流量带宽的上限和下限,可基于应用进行策略路由和QoS标签着色。

  • 支持对URL分类的QoS标签着色,例如:优先转发对财经类网站的访问。

  • 负载均衡:支持服务器间的负载均衡。对多出口场景,可按照链路质量、链路带宽比例、链路权重基于应用进行负载均衡。

最领先的“NP+多核+分布式”架构-性能线性倍增,突破传统性能瓶颈

  • USG9500采用核心路由器硬件平台,提供模块化部件,接口模块基于双NP处理器,保证接口流量线速转发;

  • 业务处理模块(SPU)基于多核多线程架构,每颗CPU都有应用加速引擎,结合华为对海量会话的并发处理优化技术,

  • 可确保NAT、 VPN等多种业务高速并行处理,处理能力不受CPU处理性能的限制。

  • LPU和SPU各司其职,通过部署多块SPU,实现整机性能线性倍增,

  • 为保护高速网络环境提供无以伦比的扩展性和灵活性,确保用户前期低成本投入,后期顺利扩容。

  • 由于采用了革命性的系统架构,USG9500在防火墙吞吐量、最大并发连接数等主要指标上是目前业界性能最高的安全网关。

  • 由于USG9500采用了专有的分流技术,整机性能随SPU的配置数量线性倍增。

  • USG9500最大防火墙整机吞吐量达到业界领先的1.44Tbps,

  • 最大并发连接数为14.4亿,虚拟防火墙数量可高达4096个,足以满足广电、政府、能源、教育等高端用户的高性能需求。


最稳定可靠的安全网关产品-全冗余,保障用户业务永续

  • 网络的安全一直都是企业运行的关键所在。为保证高速网络环境下的业务持续,

  • USG9500在支持主-备、主-主组网、端口聚合、VPN冗余、业务板负载均衡等关键技术的同时,

  • 还提供业界独有的双主控主备倒换技术,将防火墙的可靠性提高到高端路由器级别,保证关键节点可靠性一致。

  • USG9500整机平均无故障时间长达20万小时,故障倒换时间小于1秒,真正保障业务持续稳定运行。

最丰富的虚拟化—应对云网络部署

  • 随着云计算时代的到来,以“虚拟化技术”和“高速网络”为基石的云计算面临安全的挑战。

  • USG9500具有高吞吐量性能的同时提供了丰富的虚拟系统功能,支持资源虚拟化、配置虚拟化、转发虚拟化等多维度虚拟化功能,

  • 为云网络用户提供个性化的网络安全需求。资源虚拟化提供定制化的虚拟资源,不同虚拟系统可按需分配不同资源;

  • 管理虚拟化提供各虚拟防火墙独立配置个性化策略,日志管理和审计功能,提供按照租户要求的管理策略;

  • 转发虚拟化提供定制化的业务处理流程,各虚拟系统之间转发平面隔离,

  • 一个虚拟系统资源耗尽不影响其他虚拟系统正常运行,且逻辑隔离,确保各虚拟系统内部租户的数据安全。

              组网应用

场景一:大型数据中心边界安全防护

  • 背景与挑战:


    • 近年来随着企业数据规模大幅度膨胀,企业的核心关键业务转向数据中心,同时成为了黑客攻击的新焦点。

    • 数据中心在云计算时代,从早期的业务大集中到目前基于虚拟化技术的服务器整合,这些变化对数据中心的安全带来了新的挑战。

    • 针对数据中心安全事件频繁的现象,其安全性已经成为数据中心能否提供高效、可用服务的关键。

    图片关键词

    大型数据中心边界防护场景

  • 客户需求:


    • 大型数据中心业务有服务虚拟化、计算资源按需分配、数据访问量不断增大、出口带宽不断增长的特点。

    • 随着数据中心的不断整合,导致支撑业务的服务器、虚拟机数量不断增加。

    • 在发展为云数据中心后,业务访问海量增长,远程访问规模不断膨胀,不同业务或者租户需要提供独立的安全业务平面,

    • 数据中心内流量监控管理更加复杂,同时也吸引了更多非法访问和攻击。

    • 这种趋势导致早期的出口安全设备在性能和功能上已经无法满足新的需求,成为数据中心的瓶颈。

    • 数据中心中的应用服务器,往往提供对外公共服务,也面临来自互联网黑客的入侵攻击,网络安全加固成为构筑安全运行的数据中心的前提条件。

  • 解决方案:


    • 如图所示,可以部署USG9500在大型IDC/VDC网络的入口。

    • 为了保证系统级的运行稳定性,可在出口处部署2台设备,可以采用Active-Active或者Active-Standby两种双机部署方案,提供毫秒级的业务倒换

    • 1)随着对数据量访问性能的要求增加,可以按需扩展业务板卡,而无需购买新的设备,降低每G功耗,实现业务平滑扩容。

    • 同时随着业务板卡的扩容,实现真实性能的线性叠加,保障客户的投资能够满足真实应用带宽的增加。

    • 2)USG9500一台设备可以虚拟为多台设备,分配个不同的租户,且每个虚拟系统的带宽、会话资源可以按需个性化定制,

    • 每个虚拟系统隔离,外部网络和内部网络安全隔离。满足云数据中心虚拟化后的租户租赁业务运营,某一个租户使用的业务资源达到上限,并不影响其他租户的使用。

    • 3)通过扩展IPS入侵防御板卡、Anti-DDoS板卡,可以阻止外部网络的病毒、攻击进入IDC内部网络。

    •  

场景二:广电和二级运营商网络出口安全防护

  • 背景与挑战 :


    • 近年来随着广电及二级运营商逐步开展互联网接入服务的业务不多膨胀,在省级广电网络的互联网出口处,

    • 往往需要汇聚省辖所有地市的宽带用户流量,在用户上网高峰期,上网带宽得不到有效保障,

    • 单靠购买ISP链路带宽成本增加另广电企业无法接受,迫切需要改变增长模式,同时满足用户的使用。

    图片关键词

    广电和二级运营商网络出口典型场景

  • 客户需求:


    • 高峰上网时期,需要网关设备能够承受高峰期几百万广电用户同时在线时的上网流量。

    • 广电网络一般租用多个ISP的多条链路,常常出现多条链路流量复杂差别大,有效利用率不高的现象。

    • 且广电网络及二级运营商由于用户数规模庞大,部分用户的下载流量直接影响到其他用户的非下载应用体验,造成客户满意度的下降。

  • 解决方案:


    • 网络出口部署高端防火墙USG9500,满足高峰时期规模庞大的广电用户同时上网业务,解决由于出口网关本身处理性能的瓶颈导致的访问拥塞。

    • 鉴于广电网络租用多个ISP的多条链路的部署特点,提出通过链路聚合技术,捆绑多条链路作为一条逻辑链路,

    • 根据到不同ISP链路的结算费用的不同,配置权重,优选费用较低的链路,并可以根据下载/非下载类业务流量类型,

    • 定义业务优先级,区分转发的链路。根据识别出的业务,做相应的策略管控。最终使上网用户体验提升。

场景三:教育网出口安全防护

  • 背景与挑战 :


    • 高校的教育网络,通常承担着国内教育网CERNET和CERNET2两张网络,分别对应IPv4和IPv6网络。

    • 出口原有防火墙性能、稳定性和业务扩展性不足,同时支持IPv4、IPv6的双栈设备较少,影响着校园网络安全

    图片关键词

    教育网出口典型场景

  • 客户需求:


    • 随着高校的不断扩招,教育网络内部,高校的师生规模往往在几万人,接入的信息节点丰富多样,高峰时期师生的突发及高流量访问需求量大,对出口设备要求性能高。

    • 老的安全网关设备无法适应快速增长的带宽需求以及海量的并发访问量,容易造成触控访问拥塞。


    • 高校的出口,同时有都IPv4教育网,IPv6教育网和Internet三张网络的需求,由于网络初期发展建设的原因,缺少同时支持IPv4、IPv6协议栈的网关设备。


    • 高校内部资源有教学科研的服务器等,对外也提供部分业务,需要安全隔离防护。

  • 解决方案:


    • 高校教育网络出口部署高端防火墙USG9500,可满足校园网几万师生高峰期同时访问的并发量。

    • 作为IPv4、IPv6双协议栈安全网关,可以替代原有设备,并在未来带宽增加时,通过扩展业务板插卡,线性提升业务处理性能。通过划分不同安全域,实现服务器资源的隔离和保护,防范互联网的安全威胁。