1.產品規格
網絡進入全IP時代,更多的應用整合到傳統的寬帶網絡中�。網絡帶寬、網絡威脅的種類�、網絡
攻擊的強度均呈幾何速度增長�,使企業在不斷演進其網絡架構�。數據通訊設備已經步入T時代, USG9500緊追時代步伐�,提供T級容量可擴展、高可靠綜合安全業務平臺�,提供豐富的IPv6安 全、安全虛擬系統�、VPN、IPS�、負載均衡等安全業務保障,充分滿足數據中心�、ISP、政府等用 戶對網絡安全高度整合�、快速響應、高速處理以及持續演進需求�。
USG9520 USG9560 USG9580
產品特性
最領先的“NP+多核+分布式”架構-性能線性倍增,突破傳統性能瓶頸
USG9500采用核心路由器硬件平臺,提供模塊化部件�,接口模塊基于雙NP處理器,保證接口流量 線速轉發;業務處理模塊(SPU)基于多核多線程架構,每顆CPU都有應用加速引擎�,結合華為對海 量會話的并發處理優化技術�,可確保NAT、 VPN等多種業務高速并行處理,處理能力不受CPU處理性 能的限制�。LPU和SPU各司其職,通過部署多塊SPU�,實現整機性能線性倍增,為保護高速網絡環境提 供無以倫比的擴展性和靈活性�,確保用戶前期低成本投入,后期順利擴容�。
最高的業務處理性能-有效保障用戶關鍵業務
由于采用了革命性的系統架構,USG9500在防火墻吞吐量�、最大并發連接數等主要指標上是目前 業界性能最高的安全網關。由于USG9500采用了專有的分流技術�,整機性能隨SPU的配置數量線性倍 增。USG9500最大防火墻吞吐量達到業界領先的混合包960Gbps吞吐�,最大并發連接數為9.6億�,虛擬 防火墻數量可高達4096個,足以滿足廣電�、政府、能源�、教育等高端用戶的高性能需求。
最穩定可靠的安全網關產品-全冗余,保障用戶業務永續
網絡的安全一直都是企業運行的關鍵所在�。為保證高速網絡環境下的業務持續�,USG9500在支持 主-備、主-主組網�、端口聚合、VPN冗余�、業務板負載均衡等關鍵技術的同時,還提供業界獨有的雙 主控主備倒換技術�,將防火墻的可靠性提高到高端路由器級別,保證關鍵節點可靠性一致�。USG9500 整機平均無故障時間長達20萬小時,故障倒換時間小于1秒�,真正保障業務持續穩定運行。
最佳的VPN性能-適應海量業務加密傳輸要求
隨著互聯網應用的增多�,越來越多的業務需要安全地在公共網絡上傳輸,“移動安全接入”�, “短信推送”,“郵件推送”等需要十萬級別海量VPN接入網關的業務應運而生。USG9500支持VPN 冗余網關,整機最高提供500Gpbs加解密性能�,96萬VPN并發隧道數量,是目前性能最高的VPN接入 網關。支持4over6�、6over4的VPN技術�,保證網絡演進過程中VPN傳輸需求�。USG9500同時支持IKEv2 協議�,強化了用戶認證、報文認證�、NAT穿越等功能�,消除了中間人攻擊和拒絕服務攻擊隱患,并且 擴展支持EAP-SIM、EAP-AKA等鑒權協議,從而更高效地對無線網絡提供安全保護。
最實用IPS特性-抵抗外部威脅,提高網絡安全
入侵防御功能的核心技術體現在檢測引擎�、簽名庫識別效率和處理性能上。USG9500 采用了先 進的IPS檢測引擎和簽名庫�,可以對系統漏洞�、未授權自動下載、欺騙類應用軟件�、間諜/廣告類軟 件�、異常協議�、P2P異常等多種威脅進行防護。其基于“漏洞”的簽名規則�,單條規格可以覆蓋上千 種攻擊,并借助全球部署的蜜罐系統�,實時捕獲最新的攻擊、蠕蟲�、木馬等威脅,為產品提供于零日 攻擊的防御能力�。為進一步提高IPS特性的實用性�,USG9500采用內部旁路和專板專用的技術�,將需要 進行入侵防護的業務流量內部分流到專用業務處理模塊處理,一方面提高業務處理能力�,一方面使得 這部分業務不會影響防火墻基本業務�,保證業務持續穩定。
最全面的CGN特性-靈活應對IPv6過渡
隨著IPv4地址的枯竭�,網絡需要向IPv6平滑演進,并確保業務體驗得到保證�。USG9500支持 NAT44(4)、DS-Lite�、6RD和NAT64等多種過渡技術,為企業的網絡演進及業務過渡提供高效�、靈活、 放心�、節省的整體解決方案。NAT44(4)能夠大大提高IPv4公網地址復用率�,緩解IPv4地址枯竭問題; DS-Lite既可以讓新建網絡直接步入IPv6�,同時又能兼容現網眾多IPv4應用的正常使用;6RD則是在已 有IPv4基礎設施上�,快速地為用戶提供IPv6介入能力;而NAT64能夠解決IPv6訪問IPv4的需求�。并提供 NAT44和DS-Lite的NAT 溯源功能。
最豐富的虛擬化—應對云網絡部署
隨著云計算時代的到來�,以“虛擬化技術”和“高速網絡”為基石的云計算面臨安全的挑戰�。 USG9500具有高吞吐量性能的同時提供了豐富的虛擬系統功能�,支持資源虛擬化�、配置虛擬化、轉發 虛擬化等多維度虛擬化功能�,為云網絡用戶提供個性化的網絡安全需求�。資源虛擬化提供定制化的虛 擬資源,不同虛擬系統可按需分配不同資源�;管理虛擬化提供各虛擬防火墻獨立配置個性化策略�,日 志管理和審計功能,提供按照租戶要求的管理策略�;轉發虛擬化提供定制化的業務處理流程,各虛擬 系統之間轉發平面隔離�,一個虛擬系統資源耗盡不影響其他虛擬系統正常運行,且邏輯隔離�,確保各 虛擬系統內部租戶的數據安全。
產品規格
參數 型號 | USG9520 | USG9560 | USG9580 |
性能和容量
防火墻吞吐量(最大) | 100Gbps | 480Gbps | 960Gbps |
防火墻吞吐量 (混合流量) | 100Gbps | 480Gbps | 960Gbps |
最大并發會話數 | 0.8億 | 4.8億 | 9.6億 |
IPsec VPN 性能 (3DES) | 48Gbps | 240Gbps | 500Gbps |
IPsec VPN 性能(AES) | 48Gbps | 240Gbps | 500Gbps |
IPsec VPN 并發隧道 | 12.8萬 | 64萬 | 100萬 |
擴展及I/0 |
擴展槽位 | 3 | 8 | 16 |
主控槽位 | 2 |
接口模塊類型 |
| LPUF-21接口板 | LPUF-40接口板 | LPUF-101接口板 |
以太 | 12x1GE光 12x1GE電 1x10GE光 | 20xGE光 2x10GE光 | 24xGE光 1x40GE光 5x10GE 光 1x100GE 光 |
業務板 | 防火墻板�,IPS板等 |
尺寸、電源�、運行環境 |
尺寸 (W x D x H:mm) | 442 x 650x 175(4U直 流) 442 x 650 x 220(5U交 流) | 442 x 650 x 620(14U) | 442 x 650 x 1420(32U) |
重量 | 空機箱15kg,直流 滿 配32kg�,直流 空機箱25kg,交流 滿 配42kg�,交流 | 空機箱43.2kg 滿 配113kg | 空機箱94.4kg 滿 配229kg |
電源AC | 90VAC~275VAC;推薦175VAC~275VAC |
電源DC | -72V ~-38V�,額定-48V |
功耗 | 1270W | 3960W | 7540W |
工作環境溫度 | 長期工作:0℃至45℃ 存儲:-40℃至70℃ |
環境濕度 | 長期:5%RH ~ 85%RH�,無凝結 存儲:0%RH ~ 95%RH�,無凝結 |
基本防火墻功能 路由/透明/混合模式 狀態檢測 黑名單、白名單 訪問控制 ASPF應用層包過濾 安全域劃分 出站負載均衡 基于ISP的路由 智能出站探測 出站透明DNS代理 基于用戶的流控 基于應用的流控 基于鏈路的流控 基于時間的流控 入站負載均衡 入站智能DNS 服務器負載均衡 基于應用的Qos 虛擬私有網絡(VPN) DES, 3DES�,和 AES 加密 MD5 和 SHA-1 認證 手工配置密鑰,PKI (X 509)以及IKEv2前向安全性 PFS(DH組) 防重放攻擊 支持傳輸模式�、隧道模式 IPSec NAT穿越 DPD探測 EAP 認證 EAP-SIM、EAP-AKA VPN 網關冗余 IPSec V6,IPSec 4 over 6, IPSec 6 over 4 L2TP 隧道 GRE 隧道 | NAT/CGN 目的 NAT/PAT NAT NO-PAT 源NAT-IP address persistency 源IP地址池組 NAT Server 雙向NAT NAT-ALG 不受限IP地址擴展 基于策略的目的NAT 端口范圍預分配 發夾訪問模式 SMART NAT NAT64 DS-Lite 6RD(IPv6快速部署) 業務感知 識別和控制超過1200種協議: P2P�,即時通訊,游戲�,股票,VoIP�,視頻,流媒體�,郵件,移動電話�,網頁瀏覽,遠程接入�,網絡管理,以及新聞等�。 PKI 在線獲取CA證書 在線獲取CRL 多級CA 證書 支持PKCS#10證書協議 CA認證 SCEP、OCSP�、CMPv2協議支持 自簽名證書 入侵檢測系統 異常協議檢測 自定義簽名 知識庫自動更新 零日攻擊防御 蠕蟲、木馬�、惡意軟件攻擊防御 |
ANTI-DDOS SYN-flood, ICMP-flood, TCP-flood, UDP-flood, DNS-?ood 攻擊防御 Port-scan, Smurf, Tear-drop, IP-Sweep 攻擊防御IPv6擴展頭攻擊防護 TTL 檢測 TCP-mss 檢測 攻擊日志輸出 高可靠性 主-主,主-備模式 雙機熱備切換(華為冗余協議) 配置同步備份 防火墻及IPSec VPN會話同步備份 設備故障檢測 鏈路故障檢測 雙主控切換 管理 WebUI (HTTP和HTTPS) 命令行接口 (控制臺) 命令行接口 (遠程登錄) 命令行接口 (SSH) U2000及VSM網管系統 分級管理員 軟件升級 配置回退 STelnet、SFTP 支持認證 安全性認證 電磁兼容性 (EMC) 認證 CB, Rohs, FCC, MET, C-tick, VCCI認證 | 網絡和路由 POS/GE/10GE 鏈路支持 DHCP 中繼/服務器 基于策略的路由 IPv4/IPv6 動態路由(RIP/OSPF/ISIS/BGP)域間/Vlan間路由 多鏈路聚合(Eth-trunk, LACP) 虛擬系統 4096 虛擬系統(VSYS)定義 VLAN虛擬化 安全域虛擬化 自定義虛擬資源 VFW間路由 基于虛擬系統的流量CAR 管理虛擬化 多租戶虛擬資源隔離 日志記錄/監控 結構化系統日志 SNMP (v2) 二進制日志 路由跟蹤 日志服務器配套(eLog) 用戶身份驗證和接入控制 固有的(內部)數據庫 RADIUS記賬 基于Web進行驗證 |
組網應用場景
場景一:大型數據中心邊界安全防護 背景與挑戰:
近年來隨著企業數據規模大幅度膨脹�,企業的核心關鍵業務轉向數據中心,同時成為了黑客攻擊 的新焦點�。數據中心在云計算時代,從早期的業務大集中到目前基于虛擬化技術的服務器整合�,這些 變化對數據中心的安全帶來了新的挑戰。針對數據中心安全事件頻繁的現象�,其安全性已經成為數據 中心能否提供高效、可用服務的關鍵�。
客戶需求:
大型數據中心邊界防護場景
大型數據中心業務有服務虛擬化、計算資源按需分配�、數據訪問量不斷增大、出口帶寬不斷增長 的特點�。隨著數據中心的不斷整合�,導致支撐業務的服務器、虛擬機數量不斷增加�。
在發展為云數據中心后,業務訪問海量增長�,遠程訪問規模不斷膨脹,不同業務或者租戶需要提 供獨立的安全業務平面�,數據中心內流量監控管理更加復雜,同時也吸引了更多非法訪問和攻擊�。這 種趨勢導致早期的出口安全設備在性能和功能上已經無法滿足新的需求,成為數據中心的瓶頸�。
數據中心中的應用服務器,往往提供對外公共服務�,也面臨來自互聯網黑客的入侵攻擊�,網絡安 全加固成為構筑安全運行的數據中心的前提條件�。
解決方案:
如圖所示,可以部署USG9500在大型IDC/VDC網絡的入口�。為了保證系統級的運行穩定性,可在 出口處部署2臺設備�,可以采用Active-Active或者Active-Standby兩種雙機部署方案,提供毫秒級的業務 倒換�。 1)隨著對數據量訪問性能的要求增加,可以按需擴展業務板卡�,而無需購買新的設備,降低每G功 耗�,實現業務平滑擴容。同時隨著業務板卡的擴容�,實現真實性能的線性疊加,保障客戶的投資能夠 滿足真實應用帶寬的增加�。 2)USG9500一臺設備可以虛擬為多臺設備,分配個不同的租戶�,且每個虛擬系統的帶寬、會話資源 可以按需個性化定制�,每個虛擬系統隔離,外部網絡和內部網絡安全隔離�。滿足云數據中心虛擬化后 的租戶租賃業務運營,某一個租戶使用的業務資源達到上限�,并不影響其他租戶的使用。 3)通過擴展IPS入侵防御板卡、Anti-DDoS板卡�,可以阻止外部網絡的病毒、攻擊進入IDC內部網絡�。
場景二:廣電和二級運營商網絡出口安全防護 背景與挑戰:
近年來隨著廣電及二級運營商逐步開展互聯網接入服務的業務不多膨脹,在省級廣電網絡的互聯 網出口處�,往往需要匯聚省轄所有地市的寬帶用戶流量,在用戶上網高峰期�,上網帶寬得不到有效保 障,單靠購買ISP鏈路帶寬成本增加另廣電企業無法接受�,迫切需要改變增長模式,同時滿足用戶的 使用�。
廣電和二級運營商網絡出口典型場景
客戶需求:
高峰上網時期,需要網關設備能夠承受高峰期幾百萬廣電用戶同時在線時的上網流量�。 廣電網絡一般租用多個ISP的多條鏈路,常常出現多條鏈路流量復雜差別大�,有效利用率不高的
現象。且廣電網絡及二級運營商由于用戶數規模龐大�,部分用戶的下載流量直接影響到其他用戶的非 下載應用體驗�,造成客戶滿意度的下降。
解決方案:
網絡出口部署高端防火墻USG9500�,滿足高峰時期規模龐大的廣電用戶同時上網業務,解決由于 出口網關本身處理性能的瓶頸導致的訪問擁塞�。
鑒于廣電網絡租用多個ISP的多條鏈路的部署特點,提出通過鏈路聚合技術�,捆綁多條鏈路作為 一條邏輯鏈路,根據到不同ISP鏈路的結算費用的不同,配置權重�,優選費用較低的鏈路,并可以根 據下載/非下載類業務流量類型�,定義業務優先級,區分轉發的鏈路�。根據識別出的業務,做相應的 策略管控�。最終使上網用戶體驗提升。
場景三:教育網出口安全防護 背景與挑戰:
高校的教育網絡�,通常承擔著國內教育網CERNET和CERNET2兩張網絡,分別對應IPv4和IPv6網 絡�。出口原有防火墻性能、穩定性和業務擴展性不足�,同時支持IPv4、IPv6的雙棧設備較少�,影響著 校園網絡安全。
教育網出口典型場景
客戶需求:
隨著高校的不斷擴招�,教育網絡內部,高校的師生規模往往在幾萬人�,接入的信息節點豐富多 樣�,高峰時期師生的突發及高流量訪問需求量大,對出口設備要求性能高�。老的安全網關設備無法適 應快速增長的帶寬需求以及海量的并發訪問量�,容易造成觸控訪問擁塞。
高校的出口�,同時有都IPv4教育網�,IPv6教育網和Internet三張網絡的需求�,由于網絡初期發展建 設的原因,缺少同時支持IPv4�、IPv6協議棧的網關設備�。
高校內部資源有教學科研的服務器等�,對外也提供部分業務�,需要安全隔離防護。
解決方案:
高校教育網絡出口部署高端防火墻USG9500�,可滿足校園網幾萬師生高峰期同時訪問的并發量�。 作為IPv4�、IPv6雙協議棧安全網關�,可以替代原有設備,并在未來帶寬增加時�,通過擴展業務板插 卡�,線性提升業務處理性能。通過劃分不同安全域�,實現服務器資源的隔離和保護�,防范互聯網的安 全威脅�。
訂購信息
主機 |
| 基本配置 |
USG9520-BASE-DC-V3 | USG9520直流基本配置(含X3直流機箱,2*MPU)-含HW通用安全平臺軟件 |
USG9520-BASE-AC-V3 | USG9520交流基本配置(含X3機箱,2*MPU,2交流電源)-含HW通用安全平臺 軟件 |
USG9560-BASE-DC-V3 | USG9560直流基本配置(含X8機箱,2*SRU,1*SFU,4直流電源)-含HW通用安 全平臺軟件 |
USG9560-BASE-AC-V3 | USG9580直流基本配置(含X16直流機箱,2*MPU,4*SFU)-含HW通用安全平 臺軟件 |
| USG9500通用業務板 |
SPU-X3-40-E8KE | 40G性能X3防火墻業務板-含HW通用安全平臺軟件 |
SPU-X8X16-40-E8KE | 40G性能X8&X16防火墻業務板-含HW通用安全平臺軟件 |
SPU-X8X16-80-E8KE | 80G性能X8&X16防火墻業務板-含HW通用安全平臺軟件 |
SPC-S-40-E8KE | 40G性能防火墻業務處理子卡-含HW通用安全平臺軟件 |
SPC-D-80-E8KE | 80G性能X8&X16防火墻業務處理子卡-含HW通用安全平臺軟件 |
| USG9500靈活插卡線路板 |
E8KE-X-LPUF-101 | 靈活插卡線路處理板(LPUF-101,四個子槽位)-含華為通用安全平臺軟件 |
E8KE-X-101-5X10GE- SFP+ | 5端口10GBase LAN/WAN-SFP+靈活插卡(P101,1/2寬�,占用兩個子槽位) |
E8KE-X-101-24XGE-SFP | 24端口100/1000Base-X-SFP靈活插卡(P101�,1/2寬,占用兩個子槽位) |
E8KE-X-101-1X40GE-CFP | 1端口40GBase LAN-CFP 靈活插卡(P101,1/2寬,占兩個子卡槽位) |
FWCD0LPUF40A01 | 靈活插卡線路處理板(LPUF-40,兩個子槽位) A-含HW通用安全平臺軟件 |
FWCD00L2XX01 | 2端口10GBase LAN/WAN-XFP靈活插卡(P40) |
FWCD00EFGF01 | 20端口100/1000Base-X-SFP靈活插卡(P40) |
