USG9560

產品特點

網(wǎng)絡接入方式越來越靈活多樣，無論從計算、存儲到傳輸，還是在本地、管道或者云端，業(yè)務流量都在快速增長，導致帶寬消耗增加，現(xiàn)有設備性能普遍性能不足，信息爆炸對當前企業(yè)的IT系統(tǒng)帶來了極大的壓力和挑戰(zhàn)。從企業(yè)信息安全的角度考慮，移動辦公使得企業(yè)網(wǎng)絡邊界變得模糊，能夠更方便的通過移動終端入侵企業(yè)IT系統(tǒng)；傳統(tǒng)的安全網(wǎng)關通常只能通過IP和端口進行安全防護控制，難以應對層出不窮的應用威脅和Web威脅……信息安全問題日益復雜。

USG9500系列防火墻定位于保護云服務提供商、大型數(shù)據(jù)中心、以及大型企業(yè)園區(qū)網(wǎng)絡業(yè)務安全。提供高達T級處理性能，集成NAT、VPN、虛擬化、多種安全特性，和高達99.999%可靠性，幫助企業(yè)滿足網(wǎng)絡和數(shù)據(jù)中心環(huán)境中不斷增長的高性能處理需求，降低機房空間投資和每Mbps總體擁有成本。

T級處理性能，應對激增流量

USG9500系列防火墻：

· 實現(xiàn)萬兆線速轉發(fā)，可達1.92Tbps的業(yè)界高性能，輕松應對Web2.0帶來的流量的挑戰(zhàn)，促進萬兆產品的規(guī)模商用，與數(shù)據(jù)網(wǎng)絡發(fā)展同步。

· 并發(fā)連接數(shù)可達25.6億，通過多核技術實現(xiàn)連接數(shù)與整體性能的協(xié)調，真正支撐Web2.0應用。

· 新建連接數(shù)可達2560萬/秒，從容應對上網(wǎng)峰值和DDoS攻擊等突發(fā)網(wǎng)絡狀況，保障網(wǎng)絡的順暢運行。

端到端可靠性方案，保證業(yè)務永續(xù)

USG9500系列防火墻提供完善的端到端可靠性方案，具有路由器的可靠性級別，保證業(yè)務的連續(xù)性：

· 設備級可靠性

o 雙主控板備份技術，支持在不間斷業(yè)務的情況下，主備主控板平滑倒換。

o 交換網(wǎng)板N+1備份，實現(xiàn)板間數(shù)據(jù)交換負載分擔冗余備份。

o 業(yè)務板間負載均衡和備份，當某一業(yè)務板出現(xiàn)故障時，后續(xù)業(yè)務流量會被重新分發(fā)到其他業(yè)務板進行處理。

o 關鍵部件冗余，包括電源模塊、風扇等冗余備份，且支持熱插撥，在更換風扇或電源模塊時不影響業(yè)務的正常運行。

· 網(wǎng)絡級可靠性

o 支持HRP（Huawei Redundancy Protocol）協(xié)議實現(xiàn)雙機熱備份功能，包括主備備份（Active/Standby）和負載分擔（Active/Active）兩種方式。HRP負責在主/備設備之間備份關鍵配置命令和會話表狀態(tài)信息，從而確保主用設備出現(xiàn)故障時能由備份設備平滑地接替工作。

o 支持外接專用BYPASS設備。當USG9500系列防火墻發(fā)生故障時，流量經(jīng)過BYPASS設備轉發(fā)，保證業(yè)務不間斷。

· 鏈路級可靠性

o 支持跨接口板綁定接口，流量均衡轉發(fā)，提升鏈路可用性、增加總帶寬。

o 支持BFD（Bidirectional Forwarding Detection），用于快速檢測、監(jiān)控網(wǎng)絡中鏈路或者IP路由的轉發(fā)連通狀況。

技術規(guī)格

應用場景

大中型企業(yè)邊界防護

本節(jié)主要介紹如何通過將USG9500系列防火墻作為大中型企業(yè)的出口網(wǎng)關，來對企業(yè)的網(wǎng)絡安全進行防護。

大中型企業(yè)通常是指員工人數(shù)在500人以上的企業(yè)。大中型企業(yè)通常具有以下業(yè)務特征：

· 對可靠性要求較高，需要邊界設備支持持續(xù)大流量運行，即使鏈路、設備故障也不能影響網(wǎng)絡運轉。

· 企業(yè)人員眾多，業(yè)務復雜，出口流量較大，配備有多個出口，且流量構成豐富多樣。

· 對外提供網(wǎng)絡服務，例如公司網(wǎng)站、郵件服務等。

· 容易成為DDoS攻擊的目標，而且一旦攻擊成功，業(yè)務損失巨大。

· 通過ISP選路、智能選路和透明DNS等功能合理分配多條出口的鏈路帶寬，保證用戶流量的健康、高效轉發(fā)，避免流量繞道轉發(fā)和單條鏈路出現(xiàn)擁塞的情況發(fā)生。

· 針對內外網(wǎng)之間的流量部署帶寬策略，控制流量帶寬和連接數(shù)，避免網(wǎng)絡擁塞，同時也可輔助進行DDoS攻擊的防御。

· 在USG9500系列防火墻與出差員工、分支機構間建立VPN隧道，使用VPN保護公司業(yè)務數(shù)據(jù)，使其在Internet上安全傳輸。

· 開啟DDoS防御功能，抵抗外網(wǎng)主機對內網(wǎng)服務器進行的大流量攻擊，保證企業(yè)業(yè)務的正常開展。

· 部署日志網(wǎng)管系統(tǒng)（需要單獨采購），記錄網(wǎng)絡運行的日志信息，可以幫助管理員進行配置調整、NAT溯源和風險識別。

· 采用雙機熱備部署，提高系統(tǒng)可靠性。單機故障時可以將業(yè)務流量從主機平滑切換至備機上運行，保證企業(yè)業(yè)務持續(xù)無間斷的運行。

VPN實現(xiàn)分支機構互聯(lián)與移動辦公

現(xiàn)代企業(yè)為了在范圍內開展業(yè)務，通常都在公司總部之外設立了分支機構，或者與合作伙伴進行業(yè)務合作。分支機構、合作伙伴、出差員工都需要遠程接入企業(yè)總部網(wǎng)絡開展業(yè)務，目前通過VPN技術可以實現(xiàn)安全、低成本的互聯(lián)接入和移動辦公。

企業(yè)分支機構互聯(lián)場景通常都具有以下特征：

分支機構通常都需要無縫接入總部網(wǎng)絡，并且持續(xù)不間斷地開展業(yè)務。

合作伙伴需要根據(jù)業(yè)務開展的情況，靈活進行，限制合作伙伴可以訪問的網(wǎng)絡范圍、可以傳輸?shù)臄?shù)據(jù)類型。

出差員工的地理接入位置不固定，使用的IP地址不固定，接入時間不固定，需要靈活地隨時接入。而且出差員工所處位置往往不受企業(yè)其他信息安全措施的保護，所以需要對出差員工進行嚴格的接入認證，并且對出差員工可以訪問的資源和權限進行精確控制。

· 所有遠程接入的通信過程都需要進行加密保護，防止、篡改、偽造、重放等行為，同時還需要從應用和內容層面防止機密數(shù)據(jù)的泄露。

· 對于擁有固定VPN網(wǎng)關的分支機構和合作伙伴，使用IPSec或者L2TP over IPSec建立靜態(tài)隧道。當需要進行接入賬號驗證時，建議使用L2TP over IPSec。

· 對于地址不固定的出差員工，可使用SSL VPN技術，無需安裝VPN客戶端，只需使用網(wǎng)絡瀏覽器即可與總部建立SSL VPN隧道，方便快捷。同時可以對出差員工可訪問的資源進行精細化控制，或者使用L2TP over IPSec與總部建立IPSec隧道。

· 在上述隧道中，通過IPSec加密算法或者SSL加密算法，對網(wǎng)絡數(shù)據(jù)進行加密保護。

· 對于通過VPN隧道接入后的用戶，進行接入認證，保證用戶合法性。并且基于用戶權限進行訪問。

部署入侵防御、DDoS攻擊防范，避免網(wǎng)絡威脅經(jīng)由遠程接入用戶穿過隧道進入公司總部，同時防止機密信息泄露。