USG9500系列云数据中心安全网关 - 华为产品
正在建设中!

提示

您还没有登录,是否需要进入登录页面?

提示

您没有下载该文档的权限,抱歉!

申请权限 返回

免费注册下载营销资料

  • *
  • *
  • *
  • *
  • *
  • 我愿意华为公司代表与我联系
  • 我愿意通过电子邮件,接收来自华为的产品和资讯信息

如果您已有华为账号,请登陆下载

USG9500系列云数据中心安全网关

USG9000系列产品是华为技术有限公司为解决云数据中心、大型企业、教育、政府等网络的安全问题而自主研发的统一安全网关。USG9500基于业界领先的“NP+多核+分布式”架构,融合了NAT、VPN、IPS、Anti-DDoS等行业领先的专业安全技术,通过将交换、路由、安全服务整合到统一的设备中,提供给用户高性能保证、全面的虚拟化安全防护、超千种应用识别。USG9500在大型数据中心、大型企业、教育、政府、广电等行业和典型场景得到广泛应用。


随着云计算时代的到来,以“虚拟化技术”和“高速网络”为基石的云计算,被视为未来互联网时代发展的重要变革。随着云计算的落地实施,数据安全问题越来越受到人们的关注。IDG的一项调查显示66.7%调查对象认为安全问题是影响企业决策是否将业务切换到云的核心关键要素。然而在云计算的落地实施过程中,安全挑战日益显现,下面的问题引发客户的更多关注:


如何应对云时代下的海量访问挑战?


如何保障云数据中心的边界安全如何满足云环境下的动态虚拟化安全需求?


如何解决网络内部业务应用不透明,带宽迅速膨胀的窘境?


为助力企业和运营商将业务快速安全的迁移到“云”上,华为公司推出了云数据中心安全网关---USG9500系列产品,该系列产品包括USG9520、USG9560、USG9580三款产品。USG9500定位于保护云业务提供商、企业下一代数据中心以及企业的园区网络,它采用分布式软硬件设计,其I/O接口模块(LPU)以及业务处理模块(SPU)相互独立并按需配置,提供连接、保护和管理大型企业、云数据中心网络所必须的各项基本功能,通过将交换、路由、安全服务整合到统一的设备中,提供给用户高性能保证、全面的虚拟化安全防护、超千种应用识别。


USG9500系列包含3款设备:USG9520、USG9560、USG9580,其外观如下:

USG9520


4U/5U高度,多核分布式平台,高性能高可靠
3个扩展槽位,支持接口板或业务板,可按需扩展
支持GE、10GE、40GE、100GE等接口类型
支持NAT、CGN、IPSec、应用识别、IPS、Anti-DDoS、IPv6、虚拟化等功能
最大80G防火墙吞吐量(*特殊配置下可达到100G)

USG9560 


14U高度,多核分布式平台,高性能高可靠
8个扩展槽位,支持接口板或业务板,可按需扩展
支持GE、10GE、40GE、100GE等接口类型
支持NAT、CGN、IPSec、应用识别、IPS、Anti-DDoS、IPv6、虚拟化等功能
最大480G防火墙吞吐量

USG9580


32U高度,多核分布式平台,高性能高可靠
16个扩展槽位,支持接口板或业务板,可按需扩展
支持GE、10GE、40GE、100GE等接口类型
支持NAT、CGN、IPSec、应用识别、IPS、Anti-DDoS、IPv6、虚拟化等功能
最大960G防火墙吞吐量

高性能-T级处理平台,最佳真实业务处理性能,运营商级可靠性

T级处理平台:

USG9500采用采用革命性的“NP+多核+分布式”架构,该架构可以突破安全业务处理性能对CPU能力的限制,提供业界领先的业务处理能力和业务线性扩展能力。无需更换硬件机框,业务处理性能未来可以平滑升级到T级,在提供出色的性能体验的同时,降低总体拥有成本。该产品采用华为成熟的VRP操作系统,该系统集成了基础的交换、路由、安全功能,在核心网、骨干网络等现网设备中,已积累了大量实践和应用。


最佳的真实业务处理性能:

大型企业、数据中心的网络环境中,由于业务量剧增,高性能是基本的要求。在企业和数据中心的典型混合业务流量模型下,单板仍然可达到惊人的应用层的160Gbps防火墙吞吐能力,,整机IMIX吞吐量达到1T级别,最大并发数达到9.6亿的天文数字,实现业界高端旗舰防火墙产品的历史性的突破。


运营商级可靠性:

为了保证您的网络不中断服务,USG9500从设计之初即考虑提供运营商级可靠的业务保证。USG9500采用独特的管理/监控/数据分层管理技术,提供物理元器件级可靠性保证;关键部件冗余、板卡负载分担等高可靠技术保障,提供单机高达二十五年的平均无故障时间,提供运营商级99.999%可靠性;HRP/链路捆绑等可靠性方案,提供小于1秒故障倒换时间,确保业务持续稳定运行。各种可靠性技术,保证您获得无与伦比的性能体验的同时,可以保证业务的稳定运行,保障运营收益。



全面的虚拟化安全-全面的虚拟化技术,支持NAT策略动态飘移

全面的虚拟化技术:

数据中心在运营过程中,越来越多的从物理服务器往虚拟服务器迁徙、从单一数据中心到租用给多个租户的发展问题。USG9500系列产品,可以快速部署在数据中心出口,全面解决多用户数据安全隔离和互访的需求,同时可以基于动态策略,调整各个虚拟系统的带宽和会话业务资源。单台物理设备可虚拟为业界最大规模的4096台设备,所有的策略配置和管理可以基于每一个虚拟设备为单位调整。该产品支持虚拟系统下的VPN加密访问和DDoS/IPS攻击防御保护,大大提高了业务组网能力,为数据中心创造定制化的部署策略,满足不同用户/租户的安全防护需求,可实现数据中心对安全业务的精细化管理。


支持NAT策略动态飘移:

为满足IDC弹性地址分配,以及虚拟机飘移后安全策略能够随之动态调整需求,USG9500支持NAT策略动态调整技术(与华为管理平台配合),实现虚拟动态环境下安全防护。



超千种应用识别-超过1000种应用程序识别,持续的更新升级保障

超过1000种应用程序识别能力:

数据中心海量业务应用,如何实现数据中心的网络数据的透明可视,进而实现可疑风险的控制,显得至关重要。USG9500的应用感知技术采用数据包协议分析和特征匹配技术,对网络层到应用层的数据进行全面分析,可以准确识别蠕虫流量、僵尸工具流量,同时支持P2P、VoIP、聊天、视频、游戏、股票等超1000种应用程序识别,帮助云计算数据中心客户清晰地了解进出流量的成份和比例,为流量策略调整提供参考;基于时间、应用、用户、带宽、连接数的多方位调控手段,可有效保障关键业务带宽,提升带宽利用率,阻断僵尸流量,防止蠕虫感染,让应用安全可视可控。


持续的更新升级保障:

华为专业的知识库研究和维护团队,实时研究包含移动终端应用在内的最新应用,每月8次更新知识库,用户可自由选择远程手工、自动更新,或者本地手工更新知识库,实现应用识别知识库持续更新升级。


型号 USG9520 USG9560 USG9580
扩展及I/0
扩展槽位 3 8 16
主控槽位 2,双主控
SPU选项 防火墙业务板、IPS业务板等
接口模块类型 12×GE光、12×GE电、20×GE光、1×10GE光、4×10GE光、5×10GE光、1×40GE光、1×100GE光、10G POS等
功能特性
基本特性 支持应用层协议识别、应用层包过滤(ASPF)、访问控制、状态合法性检测、地址转换、黑白名单、虚拟防火墙、智能选路、负载均衡、安全域划分等
NAT/CGN 支持目的 NAT/PAT,NAT NO-PAT,源NAT-IP address persistency,源IP地址池组,NAT Server,双向NAT,NAT-ALG,不受限IP地址扩展,基于策略的目的NAT,端口范围预分配,发夹访问模式,SMART NAT,NAT64,DS-Lite,6RD(IPv6快速部署)等
IPS入侵防御系统 支持蠕虫、0Day攻击、特洛伊木马、恶意软件等攻击防护,支持异常协议检测,自定义签名,知识库自动更新等
业务感知 识别和控制超过1200种协议和应用:
P2P,即时通讯,游戏,股票,VoIP,视频,流媒体,邮件,移动电话,网页浏览,远程接入,网络管理,以及新闻等。
IPSec VPN 手动密钥、PKI (X.509)、IKEv2、冗余VPN网关、EAP认证等
虚拟系统 支持最多4096 虚拟系统(VSYS)定义,VLAN虚拟化,安全域虚拟化,自定义虚拟资源,虚拟系统间路由,基于虚拟系统的流量CAR,管理虚拟化,多租户虚拟资源隔离等
DDoS攻击防护 支持包括应用层在内的的多种DoS和DDoS攻击防范:SYN Flood、ICMP Flood、UDP Flood、 DNS Query Flood、 DNS 缓存投毒攻击、DNS反射攻击、Connection Flood、HTTP Flood、HTTPS Flood等
路由特性 IPv4:静态路由、RIP、OSPF、BGP、IS-IS等
IPv6:RIPng、OSPFv3、BGP4+、IPv6 IS-IS等
部署及可靠性 支持透明、路由、混合等部署模式,支持主/主,主/备模式备份,支持双主控倒换
尺寸、电源、运行环境
尺寸 (W×D×H) 442×650×175(直流)
442×650×220(交流)
442 × 650 × 620(直流)
442 × 650 × 709(交流)
442 × 650 × 1420(直流)
442× 650 × 1598(交流)
重量 空机箱15kg(直流)
满 配32kg(直流)
空机箱25kg(交流)
满 配42kg(交流)
空机箱43.2kg(直流)
满 配113kg(直流)
空机箱64.4kg(交流)
满 配134.2kg(交流)
空机箱94.4kg(直流)
满 配229kg(直流)
空机箱136.8kg(交流)
满 配271.4kg(交流)
电源AC 90VAC~275VAC;推荐175VAC~275VAC
电源DC -72V ~-38V,额定-48V
最大功耗 1330W(直流)
1368W(交流)
3038W(直流)
3231W(交流)
5824W(直流)
6195W(交流)
工作环境温度 工作: 0°C 至 45°C
存储:-40°C 至 70°C
环境湿度 长期:5%RH ~ 85%RH,无凝结
存储:0%RH ~ 95%RH,无凝结

场景一:大型数据中心边界安全防护

背景与挑战:

近年来随着企业数据规模大幅度膨胀,企业的核心关键业务转向数据中心,同时成为了黑客攻击的新焦点。数据中心在云计算时代,从早期的业务大集中到目前基于虚拟化技术的服务器整合,这些变化对数据中心的安全带来了新的挑战。针对数据中心安全事件频繁的现象,其安全性已经成为数据中心能否提供高效、可用服务的关键。


大型数据中心边界防护场景


客户需求:

大型数据中心业务有服务虚拟化、计算资源按需分配、数据访问量不断增大、出口带宽不断增长的特点。随着数据中心的不断整合,导致支撑业务的服务器虚拟机数量不断增加。


在发展为云数据中心后,业务访问海量增长,远程访问规模不断膨胀,不同业务或者租户需要提供独立的安全业务平面,数据中心内流量监控管理更加复杂,同时也吸引了更多非法访问和攻击。这种趋势导致早期的出口安全设备在性能和功能上已经无法满足新的需求,成为数据中心的瓶颈。


数据中心中的应用服务器,往往提供对外公共服务,也面临来自互联网黑客的入侵攻击,网络安全加固成为构筑安全运行的数据中心的前提条件。


解决方案:

如图所示,可以部署USG9500在大型IDC/VDC网络的入口。为了保证系统级的运行稳定性,可在出口处部署2台设备,可以采用Active-Active或者Active-Standby两种双机部署方案,提供毫秒级的业务倒换。


1)随着对数据量访问性能的要求增加,可以按需扩展业务板卡,而无需购买新的设备,降低每G功耗,实现业务平滑扩容。同时随着业务板卡的扩容,实现真实性能的线性叠加,保障客户的投资能够满足真实应用带宽的增加。


2)USG9500一台设备可以虚拟为多台设备,分配个不同的租户,且每个虚拟系统的带宽、会话资源可以按需个性化定制,每个虚拟系统隔离,外部网络和内部网络安全隔离。满足云数据中心虚拟化后的租户租赁业务运营,某一个租户使用的业务资源达到上限,并不影响其他租户的使用。


3)通过扩展IPS入侵防御板卡、Anti-DDoS板卡,可以阻止外部网络的病毒、攻击进入IDC内部网络。



场景二:广电和二级运营商网络出口安全防护

背景与挑战 :

近年来随着广电及二级运营商逐步开展互联网接入服务的业务不多膨胀,在省级广电网络的互联网出口处,往往需要汇聚省辖所有地市的宽带用户流量,在用户上网高峰期,上网带宽得不到有效保障,单靠购买ISP链路带宽成本增加另广电企业无法接受,迫切需要改变增长模式,同时满足用户的使用。


广电和二级运营商网络出口典型场景


客户需求:

高峰上网时期,需要网关设备能够承受高峰期几百万广电用户同时在线时的上网流量。


广电网络一般租用多个ISP的多条链路,常常出现多条链路流量复杂差别大,有效利用率不高的现象。且广电网络及二级运营商由于用户数规模庞大,部分用户的下载流量直接影响到其他用户的非下载应用体验,造成客户满意度的下降。


解决方案:

网络出口部署高端防火墙USG9500,满足高峰时期规模庞大的广电用户同时上网业务,解决由于出口网关本身处理性能的瓶颈导致的访问拥塞。


鉴于广电网络租用多个ISP的多条链路的部署特点,提出通过链路聚合技术,捆绑多条链路作为一条逻辑链路,根据到不同ISP链路的结算费用的不同,配置权重,优选费用较低的链路,并可以根据下载/非下载类业务流量类型,定义业务优先级,区分转发的链路。根据识别出的业务,做相应的策略管控。最终使上网用户体验提升。



场景三:教育网出口安全防护

背景与挑战 :

高校的教育网络,通常承担着国内教育网CERNET和CERNET2两张网络,分别对应IPv4和IPv6网络。出口原有防火墙性能、稳定性和业务扩展性不足,同时支持IPv4、IPv6的双栈设备较少,影响着校园网络安全。


教育网出口典型场景


客户需求:

随着高校的不断扩招,教育网络内部,高校的师生规模往往在几万人,接入的信息节点丰富多样,高峰时期师生的突发及高流量访问需求量大,对出口设备要求性能高。老的安全网关设备无法适应快速增长的带宽需求以及海量的并发访问量,容易造成触控访问拥塞。


高校的出口,同时有都IPv4教育网,IPv6教育网和Internet三张网络的需求,由于网络初期发展建设的原因,缺少同时支持IPv4、IPv6协议栈的网关设备。


高校内部资源有教学科研的服务器等,对外也提供部分业务,需要安全隔离防护。


解决方案:

高校教育网络出口部署高端防火墙USG9500,可满足校园网几万师生高峰期同时访问的并发量。作为IPv4、IPv6双协议栈安全网关,可以替代原有设备,并在未来带宽增加时,通过扩展业务板插卡,线性提升业务处理性能。通过划分不同安全域,实现服务器资源的隔离和保护,防范互联网的安全威胁。


  主机
USG9520-BASE-DC-V3 USG9520直流基本配置(含X3直流机箱,2*MPU)-含华为通用安全平台软件
USG9520-BASE-AC-V3 USG9520交流基本配置(含X3机箱,2*MPU,2交流电源)-含华为通用安全平台软件
USG9560-BASE-DC-V3 USG9560直流基本配置(含X8机箱,2*SRU,1*SFU,4直流电源)-含华为通用安全平台软件
USG9560-BASE-AC-V3 USG9580直流基本配置(含X16直流机箱,2*MPU,4*SFU)-含华为通用安全平台软件
  USG9500通用业务板
SPU-X3-40-E8KE 40G性能X3防火墙业务板-含华为通用安全平台软件
SPC-S-40-E8KE 40G性能防火墙业务处理子卡-含华为通用安全平台软件
SPU-X8X16-40-E8KE 40G性能X8&X16防火墙业务板-含华为通用安全平台软件
SPU-X8X16-80-E8KE 80G性能X8&X16防火墙业务板-含华为通用安全平台软件
SPC-D-80-E8KE 80G性能防火墙业务处理子卡-含华为通用安全平台软件
  USG9500灵活插卡线路板
FWCD0LPUF40A01 灵活插卡线路处理板(LPUF-40,两个子槽位) A-含华为通用安全平台软件
FWCD00L2XX01 2端口10GBase LAN/WAN-XFP灵活插卡(P40)
FWCD00EFGF01 20端口100/1000Base-X-SFP灵活插卡(P40)
E8KE-X-40-4X10GE-XFP 4端口10GBase LAN/WAN-XFP灵活插卡(P40)
FW-LPUF-101 灵活插卡线路处理板(LPUF-101,四个子槽位)-含华为通用安全平台软件
FW-101-5X10GE-SFP+ 5端口10GBase LAN/WAN-SFP+灵活插卡A(P101,1/2宽,占用两个子槽位)
E8KE-X-101-24XGE-SFP 24端口100/1000Base-X-SFP 灵活插卡(P101,1/2宽,占用两个子槽位)
E8KE-X-101-1X40GE-CFP 1端口40GBase LAN-CFP 灵活插卡(P100,1/2宽,占两个子卡槽位)
FW-LPUI-101 1端口100GBase-CFP集成线路处理板(LPUI-101)-含华为通用安全平台软件


注:以上订购信息只是产品部分部件信息,具体信息请联系当地华为工程师。


专题报道


相关产品

相关案例

文档中心 新闻中心 案例库 视频专区 电子期刊