1.產(chǎn)品規(guī)格
網(wǎng)絡進入全IP時代���,更多的應用整合到傳統(tǒng)的寬帶網(wǎng)絡中���。網(wǎng)絡帶寬、網(wǎng)絡威脅的種類��、網(wǎng)絡
攻擊的強度均呈幾何速度增長����,使企業(yè)在不斷演進其網(wǎng)絡架構。數(shù)據(jù)通訊設備已經(jīng)步入T時代��, USG9500緊追時代步伐�,提供T級容量可擴展、高可靠綜合安全業(yè)務平臺��,提供豐富的IPv6安 全��、安全虛擬系統(tǒng)、VPN�、IPS、負載均衡等安全業(yè)務保障���,充分滿足數(shù)據(jù)中心����、ISP�、政府等用 戶對網(wǎng)絡安全高度整合、快速響應���、高速處理以及持續(xù)演進需求。
USG9520 USG9560 USG9580
產(chǎn)品特性
最領先的“NP+多核+分布式”架構-性能線性倍增,突破傳統(tǒng)性能瓶頸
USG9500采用核心路由器硬件平臺��,提供模塊化部件�,接口模塊基于雙NP處理器,保證接口流量 線速轉發(fā)���;業(yè)務處理模塊(SPU)基于多核多線程架構�����,每顆CPU都有應用加速引擎�,結合華為對海 量會話的并發(fā)處理優(yōu)化技術,可確保NAT���、 VPN等多種業(yè)務高速并行處理�����,處理能力不受CPU處理性 能的限制��。LPU和SPU各司其職��,通過部署多塊SPU����,實現(xiàn)整機性能線性倍增����,為保護高速網(wǎng)絡環(huán)境提 供無以倫比的擴展性和靈活性,確保用戶前期低成本投入��,后期順利擴容����。
最高的業(yè)務處理性能-有效保障用戶關鍵業(yè)務
由于采用了革命性的系統(tǒng)架構,USG9500在防火墻吞吐量、最大并發(fā)連接數(shù)等主要指標上是目前 業(yè)界性能最高的安全網(wǎng)關����。由于USG9500采用了專有的分流技術,整機性能隨SPU的配置數(shù)量線性倍 增��。USG9500最大防火墻吞吐量達到業(yè)界領先的混合包960Gbps吞吐�����,最大并發(fā)連接數(shù)為9.6億���,虛擬 防火墻數(shù)量可高達4096個�����,足以滿足廣電�����、政府、能源���、教育等高端用戶的高性能需求��。
最穩(wěn)定可靠的安全網(wǎng)關產(chǎn)品-全冗余,保障用戶業(yè)務永續(xù)
網(wǎng)絡的安全一直都是企業(yè)運行的關鍵所在���。為保證高速網(wǎng)絡環(huán)境下的業(yè)務持續(xù)��,USG9500在支持 主-備����、主-主組網(wǎng)�����、端口聚合��、VPN冗余�、業(yè)務板負載均衡等關鍵技術的同時,還提供業(yè)界獨有的雙 主控主備倒換技術����,將防火墻的可靠性提高到高端路由器級別,保證關鍵節(jié)點可靠性一致����。USG9500 整機平均無故障時間長達20萬小時,故障倒換時間小于1秒���,真正保障業(yè)務持續(xù)穩(wěn)定運行�����。
最佳的VPN性能-適應海量業(yè)務加密傳輸要求
隨著互聯(lián)網(wǎng)應用的增多��,越來越多的業(yè)務需要安全地在公共網(wǎng)絡上傳輸�����,“移動安全接入”����, “短信推送”,“郵件推送”等需要十萬級別海量VPN接入網(wǎng)關的業(yè)務應運而生��。USG9500支持VPN 冗余網(wǎng)關�����,整機最高提供500Gpbs加解密性能���,96萬VPN并發(fā)隧道數(shù)量,是目前性能最高的VPN接入 網(wǎng)關���。支持4over6���、6over4的VPN技術�����,保證網(wǎng)絡演進過程中VPN傳輸需求����。USG9500同時支持IKEv2 協(xié)議�����,強化了用戶認證�、報文認證、NAT穿越等功能���,消除了中間人攻擊和拒絕服務攻擊隱患�����,并且 擴展支持EAP-SIM�、EAP-AKA等鑒權協(xié)議��,從而更高效地對無線網(wǎng)絡提供安全保護�����。
最實用IPS特性-抵抗外部威脅,提高網(wǎng)絡安全
入侵防御功能的核心技術體現(xiàn)在檢測引擎���、簽名庫識別效率和處理性能上�����。USG9500 采用了先 進的IPS檢測引擎和簽名庫����,可以對系統(tǒng)漏洞�����、未授權自動下載����、欺騙類應用軟件、間諜/廣告類軟 件���、異常協(xié)議����、P2P異常等多種威脅進行防護�。其基于“漏洞”的簽名規(guī)則,單條規(guī)格可以覆蓋上千 種攻擊��,并借助全球部署的蜜罐系統(tǒng)�����,實時捕獲最新的攻擊��、蠕蟲����、木馬等威脅,為產(chǎn)品提供于零日 攻擊的防御能力���。為進一步提高IPS特性的實用性���,USG9500采用內(nèi)部旁路和專板專用的技術,將需要 進行入侵防護的業(yè)務流量內(nèi)部分流到專用業(yè)務處理模塊處理����,一方面提高業(yè)務處理能力�����,一方面使得 這部分業(yè)務不會影響防火墻基本業(yè)務�����,保證業(yè)務持續(xù)穩(wěn)定�����。
最全面的CGN特性-靈活應對IPv6過渡
隨著IPv4地址的枯竭�,網(wǎng)絡需要向IPv6平滑演進�����,并確保業(yè)務體驗得到保證�����。USG9500支持 NAT44(4)��、DS-Lite�、6RD和NAT64等多種過渡技術,為企業(yè)的網(wǎng)絡演進及業(yè)務過渡提供高效�����、靈活、 放心�、節(jié)省的整體解決方案��。NAT44(4)能夠大大提高IPv4公網(wǎng)地址復用率���,緩解IPv4地址枯竭問題����; DS-Lite既可以讓新建網(wǎng)絡直接步入IPv6�����,同時又能兼容現(xiàn)網(wǎng)眾多IPv4應用的正常使用���;6RD則是在已 有IPv4基礎設施上���,快速地為用戶提供IPv6介入能力;而NAT64能夠解決IPv6訪問IPv4的需求����。并提供 NAT44和DS-Lite的NAT 溯源功能����。
最豐富的虛擬化—應對云網(wǎng)絡部署
隨著云計算時代的到來�����,以“虛擬化技術”和“高速網(wǎng)絡”為基石的云計算面臨安全的挑戰(zhàn)�����。 USG9500具有高吞吐量性能的同時提供了豐富的虛擬系統(tǒng)功能���,支持資源虛擬化���、配置虛擬化、轉發(fā) 虛擬化等多維度虛擬化功能����,為云網(wǎng)絡用戶提供個性化的網(wǎng)絡安全需求。資源虛擬化提供定制化的虛 擬資源����,不同虛擬系統(tǒng)可按需分配不同資源;管理虛擬化提供各虛擬防火墻獨立配置個性化策略,日 志管理和審計功能����,提供按照租戶要求的管理策略;轉發(fā)虛擬化提供定制化的業(yè)務處理流程�����,各虛擬 系統(tǒng)之間轉發(fā)平面隔離��,一個虛擬系統(tǒng)資源耗盡不影響其他虛擬系統(tǒng)正常運行�����,且邏輯隔離���,確保各 虛擬系統(tǒng)內(nèi)部租戶的數(shù)據(jù)安全。
產(chǎn)品規(guī)格
參數(shù) 型號 | USG9520 | USG9560 | USG9580 |
性能和容量
防火墻吞吐量(最大) | 100Gbps | 480Gbps | 960Gbps |
防火墻吞吐量 (混合流量) | 100Gbps | 480Gbps | 960Gbps |
最大并發(fā)會話數(shù) | 0.8億 | 4.8億 | 9.6億 |
IPsec VPN 性能 (3DES) | 48Gbps | 240Gbps | 500Gbps |
IPsec VPN 性能(AES) | 48Gbps | 240Gbps | 500Gbps |
IPsec VPN 并發(fā)隧道 | 12.8萬 | 64萬 | 100萬 |
擴展及I/0 |
擴展槽位 | 3 | 8 | 16 |
主控槽位 | 2 |
接口模塊類型 |
| LPUF-21接口板 | LPUF-40接口板 | LPUF-101接口板 |
以太 | 12x1GE光 12x1GE電 1x10GE光 | 20xGE光 2x10GE光 | 24xGE光 1x40GE光 5x10GE 光 1x100GE 光 |
業(yè)務板 | 防火墻板���,IPS板等 |
尺寸����、電源����、運行環(huán)境 |
尺寸 (W x D x H:mm) | 442 x 650x 175(4U直 流) 442 x 650 x 220(5U交 流) | 442 x 650 x 620(14U) | 442 x 650 x 1420(32U) |
重量 | 空機箱15kg����,直流 滿 配32kg�����,直流 空機箱25kg��,交流 滿 配42kg���,交流 | 空機箱43.2kg 滿 配113kg | 空機箱94.4kg 滿 配229kg |
電源AC | 90VAC~275VAC�;推薦175VAC~275VAC |
電源DC | -72V ~-38V����,額定-48V |
功耗 | 1270W | 3960W | 7540W |
工作環(huán)境溫度 | 長期工作:0℃至45℃ 存儲:-40℃至70℃ |
環(huán)境濕度 | 長期:5%RH ~ 85%RH,無凝結 存儲:0%RH ~ 95%RH����,無凝結 |
基本防火墻功能 路由/透明/混合模式 狀態(tài)檢測 黑名單、白名單 訪問控制 ASPF應用層包過濾 安全域劃分 出站負載均衡 基于ISP的路由 智能出站探測 出站透明DNS代理 基于用戶的流控 基于應用的流控 基于鏈路的流控 基于時間的流控 入站負載均衡 入站智能DNS 服務器負載均衡 基于應用的Qos 虛擬私有網(wǎng)絡(VPN) DES, 3DES���,和 AES 加密 MD5 和 SHA-1 認證 手工配置密鑰���,PKI (X 509)以及IKEv2前向安全性 PFS(DH組) 防重放攻擊 支持傳輸模式����、隧道模式 IPSec NAT穿越 DPD探測 EAP 認證 EAP-SIM����、EAP-AKA VPN 網(wǎng)關冗余 IPSec V6,IPSec 4 over 6, IPSec 6 over 4 L2TP 隧道 GRE 隧道 | NAT/CGN 目的 NAT/PAT NAT NO-PAT 源NAT-IP address persistency 源IP地址池組 NAT Server 雙向NAT NAT-ALG 不受限IP地址擴展 基于策略的目的NAT 端口范圍預分配 發(fā)夾訪問模式 SMART NAT NAT64 DS-Lite 6RD(IPv6快速部署) 業(yè)務感知 識別和控制超過1200種協(xié)議: P2P,即時通訊��,游戲�,股票,VoIP�����,視頻��,流媒體�����,郵件����,移動電話,網(wǎng)頁瀏覽�����,遠程接入�����,網(wǎng)絡管理����,以及新聞等。 PKI 在線獲取CA證書 在線獲取CRL 多級CA 證書 支持PKCS#10證書協(xié)議 CA認證 SCEP�、OCSP、CMPv2協(xié)議支持 自簽名證書 入侵檢測系統(tǒng) 異常協(xié)議檢測 自定義簽名 知識庫自動更新 零日攻擊防御 蠕蟲�、木馬、惡意軟件攻擊防御 |
ANTI-DDOS SYN-flood, ICMP-flood, TCP-flood, UDP-flood, DNS-?ood 攻擊防御 Port-scan, Smurf, Tear-drop, IP-Sweep 攻擊防御IPv6擴展頭攻擊防護 TTL 檢測 TCP-mss 檢測 攻擊日志輸出 高可靠性 主-主��,主-備模式 雙機熱備切換(華為冗余協(xié)議) 配置同步備份 防火墻及IPSec VPN會話同步備份 設備故障檢測 鏈路故障檢測 雙主控切換 管理 WebUI (HTTP和HTTPS) 命令行接口 (控制臺) 命令行接口 (遠程登錄) 命令行接口 (SSH) U2000及VSM網(wǎng)管系統(tǒng) 分級管理員 軟件升級 配置回退 STelnet����、SFTP 支持認證 安全性認證 電磁兼容性 (EMC) 認證 CB, Rohs, FCC, MET, C-tick, VCCI認證 | 網(wǎng)絡和路由 POS/GE/10GE 鏈路支持 DHCP 中繼/服務器 基于策略的路由 IPv4/IPv6 動態(tài)路由(RIP/OSPF/ISIS/BGP)域間/Vlan間路由 多鏈路聚合(Eth-trunk, LACP) 虛擬系統(tǒng) 4096 虛擬系統(tǒng)(VSYS)定義 VLAN虛擬化 安全域虛擬化 自定義虛擬資源 VFW間路由 基于虛擬系統(tǒng)的流量CAR 管理虛擬化 多租戶虛擬資源隔離 日志記錄/監(jiān)控 結構化系統(tǒng)日志 SNMP (v2) 二進制日志 路由跟蹤 日志服務器配套(eLog) 用戶身份驗證和接入控制 固有的(內(nèi)部)數(shù)據(jù)庫 RADIUS記賬 基于Web進行驗證 |
組網(wǎng)應用場景
場景一:大型數(shù)據(jù)中心邊界安全防護 背景與挑戰(zhàn):
近年來隨著企業(yè)數(shù)據(jù)規(guī)模大幅度膨脹,企業(yè)的核心關鍵業(yè)務轉向數(shù)據(jù)中心����,同時成為了黑客攻擊 的新焦點����。數(shù)據(jù)中心在云計算時代�,從早期的業(yè)務大集中到目前基于虛擬化技術的服務器整合,這些 變化對數(shù)據(jù)中心的安全帶來了新的挑戰(zhàn)��。針對數(shù)據(jù)中心安全事件頻繁的現(xiàn)象����,其安全性已經(jīng)成為數(shù)據(jù) 中心能否提供高效、可用服務的關鍵����。
客戶需求:
大型數(shù)據(jù)中心邊界防護場景
大型數(shù)據(jù)中心業(yè)務有服務虛擬化、計算資源按需分配����、數(shù)據(jù)訪問量不斷增大、出口帶寬不斷增長 的特點����。隨著數(shù)據(jù)中心的不斷整合��,導致支撐業(yè)務的服務器�、虛擬機數(shù)量不斷增加�。
在發(fā)展為云數(shù)據(jù)中心后�����,業(yè)務訪問海量增長�����,遠程訪問規(guī)模不斷膨脹�����,不同業(yè)務或者租戶需要提 供獨立的安全業(yè)務平面�,數(shù)據(jù)中心內(nèi)流量監(jiān)控管理更加復雜,同時也吸引了更多非法訪問和攻擊���。這 種趨勢導致早期的出口安全設備在性能和功能上已經(jīng)無法滿足新的需求�����,成為數(shù)據(jù)中心的瓶頸��。
數(shù)據(jù)中心中的應用服務器��,往往提供對外公共服務�,也面臨來自互聯(lián)網(wǎng)黑客的入侵攻擊,網(wǎng)絡安 全加固成為構筑安全運行的數(shù)據(jù)中心的前提條件�。
解決方案:
如圖所示,可以部署USG9500在大型IDC/VDC網(wǎng)絡的入口�����。為了保證系統(tǒng)級的運行穩(wěn)定性��,可在 出口處部署2臺設備���,可以采用Active-Active或者Active-Standby兩種雙機部署方案���,提供毫秒級的業(yè)務 倒換。 1)隨著對數(shù)據(jù)量訪問性能的要求增加���,可以按需擴展業(yè)務板卡�����,而無需購買新的設備���,降低每G功 耗�,實現(xiàn)業(yè)務平滑擴容����。同時隨著業(yè)務板卡的擴容��,實現(xiàn)真實性能的線性疊加�,保障客戶的投資能夠 滿足真實應用帶寬的增加。 2)USG9500一臺設備可以虛擬為多臺設備�,分配個不同的租戶,且每個虛擬系統(tǒng)的帶寬���、會話資源 可以按需個性化定制��,每個虛擬系統(tǒng)隔離����,外部網(wǎng)絡和內(nèi)部網(wǎng)絡安全隔離�����。滿足云數(shù)據(jù)中心虛擬化后 的租戶租賃業(yè)務運營���,某一個租戶使用的業(yè)務資源達到上限�,并不影響其他租戶的使用�。 3)通過擴展IPS入侵防御板卡�、Anti-DDoS板卡��,可以阻止外部網(wǎng)絡的病毒��、攻擊進入IDC內(nèi)部網(wǎng)絡���。
場景二:廣電和二級運營商網(wǎng)絡出口安全防護 背景與挑戰(zhàn):
近年來隨著廣電及二級運營商逐步開展互聯(lián)網(wǎng)接入服務的業(yè)務不多膨脹����,在省級廣電網(wǎng)絡的互聯(lián) 網(wǎng)出口處���,往往需要匯聚省轄所有地市的寬帶用戶流量�,在用戶上網(wǎng)高峰期�,上網(wǎng)帶寬得不到有效保 障,單靠購買ISP鏈路帶寬成本增加另廣電企業(yè)無法接受��,迫切需要改變增長模式��,同時滿足用戶的 使用��。
廣電和二級運營商網(wǎng)絡出口典型場景
客戶需求:
高峰上網(wǎng)時期�����,需要網(wǎng)關設備能夠承受高峰期幾百萬廣電用戶同時在線時的上網(wǎng)流量。 廣電網(wǎng)絡一般租用多個ISP的多條鏈路����,常常出現(xiàn)多條鏈路流量復雜差別大�,有效利用率不高的
現(xiàn)象����。且廣電網(wǎng)絡及二級運營商由于用戶數(shù)規(guī)模龐大����,部分用戶的下載流量直接影響到其他用戶的非 下載應用體驗�,造成客戶滿意度的下降。
解決方案:
網(wǎng)絡出口部署高端防火墻USG9500��,滿足高峰時期規(guī)模龐大的廣電用戶同時上網(wǎng)業(yè)務���,解決由于 出口網(wǎng)關本身處理性能的瓶頸導致的訪問擁塞���。
鑒于廣電網(wǎng)絡租用多個ISP的多條鏈路的部署特點,提出通過鏈路聚合技術����,捆綁多條鏈路作為 一條邏輯鏈路�����,根據(jù)到不同ISP鏈路的結算費用的不同����,配置權重����,優(yōu)選費用較低的鏈路,并可以根 據(jù)下載/非下載類業(yè)務流量類型���,定義業(yè)務優(yōu)先級����,區(qū)分轉發(fā)的鏈路�����。根據(jù)識別出的業(yè)務�,做相應的 策略管控。最終使上網(wǎng)用戶體驗提升�����。
場景三:教育網(wǎng)出口安全防護 背景與挑戰(zhàn):
高校的教育網(wǎng)絡,通常承擔著國內(nèi)教育網(wǎng)CERNET和CERNET2兩張網(wǎng)絡��,分別對應IPv4和IPv6網(wǎng) 絡���。出口原有防火墻性能、穩(wěn)定性和業(yè)務擴展性不足����,同時支持IPv4、IPv6的雙棧設備較少���,影響著 校園網(wǎng)絡安全���。
教育網(wǎng)出口典型場景
客戶需求:
隨著高校的不斷擴招,教育網(wǎng)絡內(nèi)部����,高校的師生規(guī)模往往在幾萬人,接入的信息節(jié)點豐富多 樣���,高峰時期師生的突發(fā)及高流量訪問需求量大���,對出口設備要求性能高�。老的安全網(wǎng)關設備無法適 應快速增長的帶寬需求以及海量的并發(fā)訪問量����,容易造成觸控訪問擁塞。
高校的出口�,同時有都IPv4教育網(wǎng),IPv6教育網(wǎng)和Internet三張網(wǎng)絡的需求�,由于網(wǎng)絡初期發(fā)展建 設的原因,缺少同時支持IPv4���、IPv6協(xié)議棧的網(wǎng)關設備���。
高校內(nèi)部資源有教學科研的服務器等,對外也提供部分業(yè)務�,需要安全隔離防護。
解決方案:
高校教育網(wǎng)絡出口部署高端防火墻USG9500��,可滿足校園網(wǎng)幾萬師生高峰期同時訪問的并發(fā)量��。 作為IPv4�、IPv6雙協(xié)議棧安全網(wǎng)關,可以替代原有設備�,并在未來帶寬增加時��,通過擴展業(yè)務板插 卡�����,線性提升業(yè)務處理性能�。通過劃分不同安全域���,實現(xiàn)服務器資源的隔離和保護�����,防范互聯(lián)網(wǎng)的安 全威脅。
訂購信息
主機 |
| 基本配置 |
USG9520-BASE-DC-V3 | USG9520直流基本配置(含X3直流機箱,2*MPU)-含HW通用安全平臺軟件 |
USG9520-BASE-AC-V3 | USG9520交流基本配置(含X3機箱,2*MPU,2交流電源)-含HW通用安全平臺 軟件 |
USG9560-BASE-DC-V3 | USG9560直流基本配置(含X8機箱,2*SRU,1*SFU,4直流電源)-含HW通用安 全平臺軟件 |
USG9560-BASE-AC-V3 | USG9580直流基本配置(含X16直流機箱,2*MPU,4*SFU)-含HW通用安全平 臺軟件 |
| USG9500通用業(yè)務板 |
SPU-X3-40-E8KE | 40G性能X3防火墻業(yè)務板-含HW通用安全平臺軟件 |
SPU-X8X16-40-E8KE | 40G性能X8&X16防火墻業(yè)務板-含HW通用安全平臺軟件 |
SPU-X8X16-80-E8KE | 80G性能X8&X16防火墻業(yè)務板-含HW通用安全平臺軟件 |
SPC-S-40-E8KE | 40G性能防火墻業(yè)務處理子卡-含HW通用安全平臺軟件 |
SPC-D-80-E8KE | 80G性能X8&X16防火墻業(yè)務處理子卡-含HW通用安全平臺軟件 |
| USG9500靈活插卡線路板 |
E8KE-X-LPUF-101 | 靈活插卡線路處理板(LPUF-101,四個子槽位)-含華為通用安全平臺軟件 |
E8KE-X-101-5X10GE- SFP+ | 5端口10GBase LAN/WAN-SFP+靈活插卡(P101,1/2寬��,占用兩個子槽位) |
E8KE-X-101-24XGE-SFP | 24端口100/1000Base-X-SFP靈活插卡(P101�����,1/2寬����,占用兩個子槽位) |
E8KE-X-101-1X40GE-CFP | 1端口40GBase LAN-CFP 靈活插卡(P101,1/2寬,占兩個子卡槽位) |
FWCD0LPUF40A01 | 靈活插卡線路處理板(LPUF-40,兩個子槽位) A-含HW通用安全平臺軟件 |
FWCD00L2XX01 | 2端口10GBase LAN/WAN-XFP靈活插卡(P40) |
FWCD00EFGF01 | 20端口100/1000Base-X-SFP靈活插卡(P40) |
