- 您当前所在位置:首页 >
USG9500数据中心防火墙,定位于保护云服务提供商、大型数据中心、以及大型企业园区网络业务安全。提供高达T级处理性能,集成NAT、VPN、IPS、虚拟化、业务感知等多种安全特性,和高达99.999%可靠性,帮助企业满足网络和数据中心环境中不断增长的高性能处理需求,降低机房空间投资和每Mbps总体拥有成本。
USG9500系列目前提供USG9520、USG9560、USG9580三种产品形态。
产品特性
最精准的访问控制-基于ACTUAL的六维一体化防护
- 传统防火墙主要通过端口和IP进行访问控制,下一代防火墙的核心功能依然是访问控制,但USG9500在控制的维度和精细程度上都有很大的提高,可以从应用、用户、内容、时间、威胁、位置6个维度进行一体化的管控和防御。内容层的防御与应用识别深度结合,一体化处理。例如: 识别出Oracle的流量,进而针对性地进行对应的入侵防御,效率更高,误报更少。
- 基于应用的访问控制:运用多种技术手段,准确识别包括移动应用及Web应用内的6000+应用协议及应用的不同功能,继而进行访问控制和业务加速。例如:区分微信的语音和文字后采取不同的控制策略。
- 基于用户的访问控制:通过Radius、LDAP、AD等8种用户识别手段集成已有用户认证系统简化管理。基于用户进行访问控制、QoS管理和深度防护。
- 基于位置的访问控制:与全球位置信息结合,识别流量发起的位置信息;掌控应用和攻击发起的位置,第一时间发现网络异常情况。根据位置信息可以实现对不同区域访问流量的差异化控制。支持根据IP自定义位置。
最实用NGFW特性-一台顶多台设备,大幅降低TCO
- 越来越多的信息资产连接到了互联网上,网络攻击和信息窃取形成巨大的产业链,这对下一代防火墙的防护范围提出了更高要求。USG9500具备全面的防护功能,集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、上网行为管理等功能于一身,一机多能,简化部署,提高管理效率。
入侵防护(IPS):超过5000种漏洞特征的攻击检测和防御。支持Web攻击识别和防护,如跨站脚本攻击、SQL注入攻击等;
防病毒(AV):高性能病毒引擎,可防护500万种以上的病毒和木马,病毒特征库每日更新;
数据防泄漏:对传输的文件和内容进行识别过滤。可识别120+种常见文件类型,防止通过修改后缀名的病毒攻击。能对Word、Excel、PPT、PDF、RAR等30+文件进行还原和内容过滤,防止企业关键信息通过文件泄露。
SSL解密:作为代理,可对SSL加密流量进行应用层安全防护,如IPS、AV、数据防泄漏、URL过滤等。
Anti-DDoS: 可以识别和防范SYN flood、UDP flood等10+种DDoS攻击,识别500多万种病毒。
上网行为管理:采用基于云的URL分类过滤,预定义的URL分类库已超过8500万,阻止员工访问恶意网站带来的威胁。并可对员工的发帖、FTP等上网行为进行控制。可对上网记录进行审计。
安全互联:丰富的VPN特性,确保企业总部和分支间高可靠安全互联。支持IPSec VPN、L2TP VPN、MPLS VPN、GRE等;
QoS管理:基于应用灵活的管理流量带宽的上限和下限,可基于应用进行策略路由和QoS标签着色。支持对URL分类的QoS标签着色,例如:优先转发对财经类网站的访问。
负载均衡:支持服务器间的负载均衡。对多出口场景,可按照链路质量、链路带宽比例、链路权重基于应用进行负载均衡。
最领先的“NP+多核+分布式”架构-性能线性倍增,突破传统性能瓶颈
- USG9500采用核心路由器硬件平台,提供模块化部件,接口模块基于双NP处理器,保证接口流量线速转发;业务处理模块(SPU)基于多核多线程架构,每颗CPU都有应用加速引擎,结合华为对海量会话的并发处理优化技术,可确保NAT、 VPN等多种业务高速并行处理,处理能力不受CPU处理性能的限制。LPU和SPU各司其职,通过部署多块SPU,实现整机性能线性倍增,为保护高速网络环境提供无以伦比的扩展性和灵活性,确保用户前期低成本投入,后期顺利扩容。
- 由于采用了革命性的系统架构,USG9500在防火墙吞吐量、******并发连接数等主要指标上是目前业界性能最高的安全网关。由于USG9500采用了专有的分流技术,整机性能随SPU的配置数量线性倍增。USG9500******防火墙整机吞吐量达到业界领先的1.44Tbps,******并发连接数为14.4亿,虚拟防火墙数量可高达4096个,足以满足广电、政府、能源、教育等高端用户的高性能需求。
最稳定可靠的安全网关产品-全冗余,保障用户业务永续
- 网络的安全一直都是企业运行的关键所在。为保证高速网络环境下的业务持续,USG9500在支持主-备、主-主组网、端口聚合、VPN冗余、业务板负载均衡等关键技术的同时,还提供业界独有的双主控主备倒换技术,将防火墙的可靠性提高到高端路由器级别,保证关键节点可靠性一致。USG9500整机平均无故障时间长达20万小时,故障倒换时间小于1秒,真正保障业务持续稳定运行。
最丰富的虚拟化-应对云网络部署
- 随着云计算时代的到来,以“虚拟化技术”和“高速网络”为基石的云计算面临安全的挑战。USG9500具有高吞吐量性能的同时提供了丰富的虚拟系统功能,支持资源虚拟化、配置虚拟化、转发虚拟化等多维度虚拟化功能,为云网络用户提供个性化的网络安全需求。资源虚拟化提供定制化的虚拟资源,不同虚拟系统可按需分配不同资源;管理虚拟化提供各虚拟防火墙独立配置个性化策略,日志管理和审计功能,提供按照租户要求的管理策略;转发虚拟化提供定制化的业务处理流程,各虚拟系统之间转发平面隔离,一个虚拟系统资源耗尽不影响其他虚拟系统正常运行,且逻辑隔离,确保各虚拟系统内部租户的数据安全。
产品规格
参数 \ 型号 | USG9520 | USG9560 | USG9580 |
扩展及I/0 | |||
接口模块类型 | 支持GE、10GE、40GE、100GE等接口 | ||
业务板 | 防火墙板,应用安全业务板等 | ||
尺寸、电源、运行环境 | |||
尺寸 (W x D x H:mm) | 442 x 650x 175(4U直流) 442 x 650 x 220(5U交流) | 442 x 650 x 620(14U) | 442 x 650 x 1420(32U) |
重量 | 空机箱15kg,直流 满 配30.7kg,直流 空机箱25kg,交流 满 配40.7kg,交流 | 空机箱43.2kg 满 配112.9kg | 空机箱94.4kg 满 配233.9kg |
冗余电源 | 标配 | ||
电源AC | 90VAC~264VAC;推荐175VAC~264VAC | ||
电源DC | -72V ~-38V,额定-48V | ||
功耗 | 1270W | 3960W | 7540W |
工作环境温度 | 长期工作:0°C 至 45°C | ||
环境湿度 | 长期:5%RH ~ 85%RH,无凝结 存储:0%RH ~ 95%RH,无凝结 | ||
安全特性 | |||
基本防火墙功能 | 路由/透明/混合模式 状态检测 黑名单、白名单 访问控制 ASPF应用层包过滤 安全域划分 | ||
出站负载均衡 | 基于ISP的路由 智能出站探测 出站透明DNS代理 基于用户的流控 基于应用的流控 基于链路的流控 基于时间的流控 | ||
NAT/CGN | 目的 NAT/PAT NAT NO-PAT 源NAT-IP address persistency 源IP地址池组 NAT Server 双向NAT NAT-ALG 不受限IP地址扩展 基于策略的目的NAT 端口范围预分配 发夹访问模式 SMART NAT NAT64 DS-Lite 6RD(IPv6快速部署) | ||
入站负载均衡 | 入站智能DNS 服务器负载均衡 基于应用的Qos | ||
虚拟私有网络(VPN) | DES, 3DES,和 AES 加密 MD5 和 SHA-1 认证 手工配置密钥,PKI (X 509)以及IKEv2 前向安全性 PFS(DH组) 防重放攻击 支持传输模式、隧道模式 IPSec NAT穿越 DPD探测 EAP 认证 EAP-SIM、EAP-AKA VPN 网关冗余 IPSec V6,IPSec 4 over 6, IPSec 6 over 4 L2TP 隧道 GRE 隧道 | ||
Anti-DDoS | SYN-flood, ICMP-flood, TCP-flood, UDP-flood, DNS-flood 攻击防御 Port-scan, Smurf, Tear-drop, IP-Sweep 攻击防御 IPv6扩展头攻击防护 TTL 检测 TCP-mss 检测 攻击日志输出 | ||
高可靠性 | 跨数据中心集群 主-主,主-备模式 双机热备切换(华为冗余协议) 配置同步备份 框内业务板间备份 防火墙及IPSec VPN会话同步备份 设备故障检测 链路故障检测 双主控切换 | ||
业务感知 | 识别和控制超过6000种协议: P2P,即时通讯,游戏,股票,VoIP,视频,流媒体,邮件,移动电话,网页浏览,远程接入,网络管理,以及新闻等。 | ||
PKI | 在线获取CA证书 在线获取CRL 多级CA 证书 支持PKCS#10证书协议 CA认证 SCEP、OCSP、CMPv2协议支持 自签名证书 | ||
入侵检测系统 | 异常协议检测 自定义签名 知识库自动更新 零日攻击防御 蠕虫、木马、恶意软件攻击防御 | ||
反病毒 | 500万种病毒检测 基于流检测,性能更高 加密流量检测 按照病毒家族趋势和TOPN统计 | ||
URL过滤 | 8500万URL地址库 80+分类 基于用户、IP、分类、次数等趋势和TOPN统计 URL过滤日志查询 | ||
网络和路由 | POS/GE/10GE 链路支持 DHCP 中继/服务器 基于策略的路由 IPv4/IPv6 动态路由(RIP/OSPF/ISIS/BGP) 域间/Vlan间路由 多链路聚合(Eth-trunk, LACP) | ||
虚拟系统 | 4096 虚拟系统(VSYS)定义 VLAN虚拟化 安全域虚拟化 自定义虚拟资源 VFW间路由 基于虚拟系统的流量CAR 管理虚拟化 多租户虚拟资源隔离 | ||
管理 | WebUI (HTTP和HTTPS) 命令行接口 (控制台) 命令行接口 (远程登录) 命令行接口 (SSH) U2000及VSM网管系统 分级管理员 软件升级 配置回退 STelnet、SFTP | ||
支持认证 | 安全性认证 电磁兼容性 (EMC) 认证 CB, Rohs, FCC, MET, C-tick, VCCI认证 | ||
日志记录/监控 | 结构化系统日志 SNMP (v1/2/3) 二进制日志 路由跟踪 日志服务器配套(eLog) | ||
用户身份验证和接入控制 | 固有的(内部)数据库 RADIUS记账 基于Web进行验证 | ||