|
||
| 主要参数 | ||
| 设备类型 | 安全网关 | |
| 控制端口 | 3个扩展槽位 | |
| VPN支持 | 手动密钥、PKI (X.509)、IKEv2、冗余VPN网关、EAP认证等 | |
| 入侵检测 | 支持蠕虫、0Day攻击、特洛伊木马、恶意软件等攻击防护,支持异常协议检测,自定义签名,知识库自动更新等 | |
| 一般参数 | ||
| 电源 | AC 90-275V,推荐AC 175V-275V DC -72V--38V,额定-48V |
|
| 产品尺寸 | 直流:442×650×175mm 交流:442×650×220mm |
|
| 产品重量 | 直流:空机箱15kg,满配32kg 交流:空机箱25kg,满配42kg |
|
| 适用环境 | 工作温度:0-45℃ 长期湿度:5%-85%RH,无凝结 存储温度:-40-70℃ 存储湿度:0-95%RH,无凝结 |
|
| 其他性能 | 主控槽位:2,双主控 SPU选项:防火墙业务板、IPS业务板等 接口模块类型:12×GE光、12×GE电、20×GE光、1×10GE光、4×10GE光、5×10GE光、1×40GE光、1×100GE光、10G POS等 基本特性:支持应用层协议识别、应用层包过滤(ASPF)、访问控制、状态合法性检测、地址转换、黑白名单、虚拟防火墙、智能选路、负载均衡、安全域划分等 路由特性:IPv4:静态路由、RIP、OSPF、BGP、IS-IS等;IPv6:RIPng、OSPFv3、BGP4+、IPv6 IS-IS等 部署及可靠性:支持透明、路由、混合等部署模式,支持主/主,主/备模式备份,支持双主控倒换 |
|
USG9500数据中心防火墙
USG9500数据中心防火墙,定位于保护云服务提供商、大型数据中心、以及大型企业园区网络业务安全。提供高达T级处理性能,集成NAT、VPN、IPS、虚拟化、业务感知等多种安全特性,和高达99.999%可靠性,帮助企业满足网络和数据中心环境中不断增长的高性能处理需求,降低机房空间投资和每Mbps总体拥有成本。
USG9500系列目前提供USG9520、USG9560、USG9580三种产品形态。
产品特性
最精准的访问控制-基于ACTUAL的六维一体化防护
- 传统防火墙主要通过端口和IP进行访问控制,下一代防火墙的核心功能依然是访问控制,但USG9500在控制的维度和精细程度上都有很大的提高,可以从应用、用户、内容、时间、威胁、位置6个维度进行一体化的管控和防御。内容层的防御与应用识别深度结合,一体化处理。例如: 识别出Oracle的流量,进而针对性地进行对应的入侵防御,效率更高,误报更少。
- 基于应用的访问控制:运用多种技术手段,准确识别包括移动应用及Web应用内的6000+应用协议及应用的不同功能,继而进行访问控制和业务加速。例如:区分微信的语音和文字后采取不同的控制策略。
- 基于用户的访问控制:通过Radius、LDAP、AD等8种用户识别手段集成已有用户认证系统简化管理。基于用户进行访问控制、QoS管理和深度防护。
- 基于位置的访问控制:与全球位置信息结合,识别流量发起的位置信息;掌控应用和攻击发起的位置,第一时间发现网络异常情况。根据位置信息可以实现对不同区域访问流量的差异化控制。支持根据IP自定义位置。
最实用NGFW特性-一台顶多台设备,大幅降低TCO
- 越来越多的信息资产连接到了互联网上,网络攻击和信息窃取形成巨大的产业链,这对下一代防火墙的防护范围提出了更高要求。USG9500具备全面的防护功能,集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、上网行为管理等功能于一身,一机多能,简化部署,提高管理效率。
- 入侵防护(IPS):超过5000种漏洞特征的攻击检测和防御。支持Web攻击识别和防护,如跨站脚本攻击、SQL注入攻击等;
- 防病毒(AV):高性能病毒引擎,可防护500万种以上的病毒和木马,病毒特征库每日更新;
- 数据防泄漏:对传输的文件和内容进行识别过滤。可识别120+种常见文件类型,防止通过修改后缀名的病毒攻击。能对Word、Excel、PPT、PDF、RAR等30+文件进行还原和内容过滤,防止企业关键信息通过文件泄露。
- SSL解密:作为代理,可对SSL加密流量进行应用层安全防护,如IPS、AV、数据防泄漏、URL过滤等。
- Anti-DDoS: 可以识别和防范SYN flood、UDP flood等10+种DDoS攻击,识别500多万种病毒。
- 上网行为管理:采用基于云的URL分类过滤,预定义的URL分类库已超过8500万,阻止员工访问恶意网站带来的威胁。并可对员工的发帖、FTP等上网行为进行控制。可对上网记录进行审计。
- 安全互联:丰富的VPN特性,确保企业总部和分支间高可靠安全互联。支持IPSec VPN、L2TP VPN、MPLS VPN、GRE等;
- QoS管理:基于应用灵活的管理流量带宽的上限和下限,可基于应用进行策略路由和QoS标签着色。支持对URL分类的QoS标签着色,例如:优先转发对财经类网站的访问。
- 负载均衡:支持服务器间的负载均衡。对多出口场景,可按照链路质量、链路带宽比例、链路权重基于应用进行负载均衡。
最领先的“NP+多核+分布式”架构-性能线性倍增,突破传统性能瓶颈
- USG9500采用核心路由器硬件平台,提供模块化部件,接口模块基于双NP处理器,保证接口流量线速转发;业务处理模块(SPU)基于多核多线程架构,每颗CPU都有应用加速引擎,结合华为对海量会话的并发处理优化技术,可确保NAT、 VPN等多种业务高速并行处理,处理能力不受CPU处理性能的限制。LPU和SPU各司其职,通过部署多块SPU,实现整机性能线性倍增,为保护高速网络环境提供无以伦比的扩展性和灵活性,确保用户前期低成本投入,后期顺利扩容。
- 由于采用了革命性的系统架构,USG9500在防火墙吞吐量、最大并发连接数等主要指标上是目前业界性能最高的安全网关。由于USG9500采用了专有的分流技术,整机性能随SPU的配置数量线性倍增。USG9500最大防火墙整机吞吐量达到业界领先的1.44Tbps,最大并发连接数为14.4亿,虚拟防火墙数量可高达4096个,足以满足广电、政府、能源、教育等高端用户的高性能需求。
最稳定可靠的安全网关产品-全冗余,保障用户业务永续
- 网络的安全一直都是企业运行的关键所在。为保证高速网络环境下的业务持续,USG9500在支持主-备、主-主组网、端口聚合、VPN冗余、业务板负载均衡等关键技术的同时,还提供业界独有的双主控主备倒换技术,将防火墙的可靠性提高到高端路由器级别,保证关键节点可靠性一致。USG9500整机平均无故障时间长达20万小时,故障倒换时间小于1秒,真正保障业务持续稳定运行。
最丰富的虚拟化—应对云网络部署
产品规格
| 参数 \ 型号 | USG9520 | USG9560 | USG9580 |
|---|---|---|---|
| 扩展及I/0 | |||
| 接口模块类型 | 支持GE、10GE、40GE、100GE等接口 | ||
| 业务板 | 防火墙板,应用安全业务板等 | ||
| 尺寸、电源、运行环境 | |||
| 尺寸 (W x D x H:mm) | 442 x 650x 175(4U直流)
442 x 650 x 220(5U交流) |
442 x 650 x 620(14U) | 442 x 650 x 1420(32U) |
| 重量 | 空机箱15kg,直流
满 配30.7kg,直流 空机箱25kg,交流 满 配40.7kg,交流 |
空机箱43.2kg
满 配112.9kg |
空机箱94.4kg
满 配233.9kg |
| 冗余电源 | 标配 | ||
| 电源AC | 90VAC~264VAC;推荐175VAC~264VAC | ||
| 电源DC | -72V ~-38V,额定-48V | ||
| 功耗 | 1270W | 3960W | 7540W |
| 工作环境温度 | 长期工作:0°C 至 45°C
存储:-40°C 至 70°C |
||
| 环境湿度 | 长期:5%RH ~ 85%RH,无凝结
存储:0%RH ~ 95%RH,无凝结 |
||
安全特性
| 基本防火墙功能 |
|
| 出站负载均衡 |
|
| NAT/CGN |
|
| 入站负载均衡 |
|
| 虚拟私有网络(VPN) |
|
| ANTI-DDOS |
|
| 高可靠性 |
|
| 业务感知 |
|
| PKI |
|
| 入侵检测系统 |
|
| 反病毒 |
|
| URL过滤 |
|
| 网络和路由 |
|
| 虚拟系统 |
|
| 管理 |
|
| 支持认证 |
|
| 日志记录/监控 |
|
| 用户身份验证和接入控制 |
|
注:上述列举特性在USG9500系列产品中根据具体版本支持程度略有不同。具体信息请咨询华为工程师。
组网应用
场景一:大型数据中心边界安全防护
- 背景与挑战:
大型数据中心边界防护场景
- 客户需求:
- 解决方案:
-
- 如图所示,可以部署USG9500在大型IDC/VDC网络的入口。为了保证系统级的运行稳定性,可在出口处部署2台设备,可以采用Active-Active或者Active-Standby两种双机部署方案,提供毫秒级的业务倒换
- 1)随着对数据量访问性能的要求增加,可以按需扩展业务板卡,而无需购买新的设备,降低每G功耗,实现业务平滑扩容。同时随着业务板卡的扩容,实现真实性能的线性叠加,保障客户的投资能够满足真实应用带宽的增加。
- 2)USG9500一台设备可以虚拟为多台设备,分配个不同的租户,且每个虚拟系统的带宽、会话资源可以按需个性化定制,每个虚拟系统隔离,外部网络和内部网络安全隔离。满足云数据中心虚拟化后的租户租赁业务运营,某一个租户使用的业务资源达到上限,并不影响其他租户的使用。
- 3)通过扩展IPS入侵防御板卡、Anti-DDoS板卡,可以阻止外部网络的病毒、攻击进入IDC内部网络。
场景二:广电和二级运营商网络出口安全防护
- 背景与挑战 :
-
- 近年来随着广电及二级运营商逐步开展互联网接入服务的业务不多膨胀,在省级广电网络的互联网出口处,往往需要汇聚省辖所有地市的宽带用户流量,在用户上网高峰期,上网带宽得不到有效保障,单靠购买ISP链路带宽成本增加另广电企业无法接受,迫切需要改变增长模式,同时满足用户的使用。
广电和二级运营商网络出口典型场景
- 客户需求:
-
- 高峰上网时期,需要网关设备能够承受高峰期几百万广电用户同时在线时的上网流量。
- 广电网络一般租用多个ISP的多条链路,常常出现多条链路流量复杂差别大,有效利用率不高的现象。且广电网络及二级运营商由于用户数规模庞大,部分用户的下载流量直接影响到其他用户的非下载应用体验,造成客户满意度的下降。
- 解决方案:
-
- 网络出口部署高端防火墙USG9500,满足高峰时期规模庞大的广电用户同时上网业务,解决由于出口网关本身处理性能的瓶颈导致的访问拥塞。
- 鉴于广电网络租用多个ISP的多条链路的部署特点,提出通过链路聚合技术,捆绑多条链路作为一条逻辑链路,根据到不同ISP链路的结算费用的不同,配置权重,优选费用较低的链路,并可以根据下载/非下载类业务流量类型,定义业务优先级,区分转发的链路。根据识别出的业务,做相应的策略管控。最终使上网用户体验提升。
场景三:教育网出口安全防护
- 背景与挑战 :
-
- 高校的教育网络,通常承担着国内教育网CERNET和CERNET2两张网络,分别对应IPv4和IPv6网络。出口原有防火墙性能、稳定性和业务扩展性不足,同时支持IPv4、IPv6的双栈设备较少,影响着校园网络安全
教育网出口典型场景
订购信息
| 主机 | |
|---|---|
| USG9520-BASE-AC-51 | USG9520交流基本配置(含X3交流机箱,2*MPU) |
| USG9520-BASE-DC-51 | USG9520直流基本配置(含X3直流机箱,2*MPU) |
| USG9560-BASE-DC-51 | USG9560直流基本配置(含X8直流机箱,2*SRU,1*SFU) |
| USG9580-BASE-DC-51 | USG9580直流基本配置(含X16直流机箱,2*MPU,4*SFU) |
| USG9500通用业务板 | |
| SPU-X3-40-E8KE | 40G性能X3防火墙业务板 |
| SPU-X8X16-80-E8KE | 80G性能X8&X16防火墙业务板 |
| SPC-S-40-E8KE | 40G性能防火墙业务处理子卡 |
| SPC-D-80-E8KE | 80G性能防火墙业务处理子卡 |
| SPC-APPSEC-FW | 应用安全业务处理子卡-含华为通用安全平台软件 |
| USG9500灵活插卡线路板 | |
| E8KE-X-LPUF-101 | 灵活插卡线路处理板(LPUF-101,四个子槽位) |
| E8KE-X-101-1X40GE-CFP | 1端口40GBase LAN-CFP 灵活插卡(P100,1/2宽,占两个子卡槽位) |
| E8KE-X-101-5X10GE-SFP+ | 5端口10GBase LAN/WAN-SFP+灵活插卡A(P101,1/2宽,占用两个子槽位) |
| E8KE-X-101-24XGE-SFP | 24端口100/1000Base-X-SFP 灵活插卡(P101,1/2宽,占用两个子槽位) |
| FW-LPUF-120 | 灵活插卡线路处理板(LPUF-120,2个子槽位)-含华为通用安全平台软件 |
| FW-LPUF-240 | 灵活插卡线路处理板(LPUF-240,2个子槽位)-含华为通用安全平台软件 |
| FW-6X10G-SFP+ | 6端口10GBase LAN/WAN-SFP+灵活插卡A |
| FW-1X100G-CFP | 1端口100GBase-CFP灵活插卡A |
| FW-12X10G-SFP+ | 12端口10GBase LAN/WAN-SFP+ 灵活插卡A(P120-A) |
| E8KE-X-101-1X100GE-CFP | 1端口100GBase-CFP集成线路处理板(LPUI-101) |
发表评论