Шлюз безопасности для облачных центров данных USG9500
На заре эпохи облачных вычислений, облачные вычисления на базе виртуализации и высокоскоростной сети, рассматривались в сети Интернет как революция. С началом широкого применения технологии облачных вычислений, безопасность данных вызывает все большую озабоченность. По данным исследования IDG, 66,7% опрошенных считают, что вопросы безопасности являются приоритетной задачей предприятий при принятии решения о переводе услуг в облако. Для продвижения идеи облачных вычислений и обеспечения безопасности облака, компания Huawei выпустила продукты серии USG9500 для облачных центров обработки данных. Оборудование USG9500 имеет распределенную аппаратную архитектуру и программное обеспечение. LPU и SPU взаимно независимы и поддерживают конфигурацию по-требованию. Таким образом USG9500 предоставляет гибкие возможности для обработки информации, разнообразные интерфейсы ввода/вывода, a также множество услуг обеспечения безопасности. USG9500 обладает впечатляющей производительностью, имеет профильные динамичные политики и политики обеспечения безопасности, которые необходимы для работы динамичной облачной ИТ-среды. Организации с крупными центрами обработки и хранения данных могут воспользоваться преимуществами увеличенной емкости, высокой надежности и гибкости, что стало возможным благодаря Облаку. При этом организации могут быть абсолютно спокойны относительно безопасности облака, благодаря оборудованию USG9500 компании Huawei.
Сетевой процессор с расширенными возможностями + многоядерный CPU + распределенная архитектура — линейное повышение производительности
В USG9500 используется аппаратная платформа, которая часто находится в базовом маршрутизаторе для предоставления модульных компонентов. Каждый интерфейсный модуль имеет два сетевых процессора (NP) для обеспечения переадресации на линейной скорости. SPU использует многоядерные CPU и многопотоковую архитектуру, и каждый CPU имеет механизм ускорения приложений. Эти возможности аппаратной части совместно с технологией оптимизированной обработки Huawei увеличивают емкость CPU для обеспечения высокой скорости параллельной обработки множественных услуг, таких как NAT и VPN. Модули LPU и SPU функционируют независимо друг от друга. Производительность линейно увеличивается при добавлении SPU, поэтому клиенты могут легко масштабировать характеристики при минимальной стоимости.
Высокая производительность брандмауэра — обеспечение важных услуг
С изменением архитектуры системы шлюз безопасности серии USG9500 имеет самый высокий показатель пропускной способности брандмауэра в отрасли и наибольшее число параллельных соединений. В силу того, что в USG9500 используется специальная технология разделения трафика, общая производительность линейно увеличивается с добавлением модулей SPU. USG9500 предоставляет максимальную пропускную способность больших пакетов 960 Гбит/с, 960 миллионов параллельных соединений и 4096 виртуальных брандмауэров. Наилучшие в отрасли характеристики помогут удовлетворить требования заказчиков высокого уровня, таких как систем вещания и телевидения, правительственных агентств, энергокомпаний и образовательных учреждений.
Стабильный и надежный шлюз безопасности — полное резервирование, обеспечивающее непрерывность обслуживания
Сетевая безопасность – ключевой момент функционирования всего предприятия. Для непрерывного обслуживания в высокоскоростной сети в USG9500 поддерживается резервирование по схеме активный/резервный и активный/активный, агрегирование порта, резервирование VPN и распределение нагрузки SPU. При этом USG9500 также поддерживает переключение сдвоенных MPU по схеме активный/резервный для обеспечения высокой доступности. Средняя наработка на отказ (MTBF) USG9500 составляет 200 000 часов, а время резервного переключения – менее 1 секунды. Эти функции обеспечивают непрерывное предоставление услуг.
Отличные характеристики VPN — удовлетворяют потребности массового шифрования
Все больше и больше услуг, таких как мобильный доступ, уведомление о коротком сообщении и push почта, требуют безопасную передачу данных посредством Интернет. Для удовлетворения этих потребностей необходим шлюз VPN, который поддерживает сотни тысяч соединений. USG9500 поддерживает резервирование шлюза VPN, характеристики шифрования - 500 Гбит/с и 960000 параллельных VPN тунелей, что является самым высоким стандартом в отрасли. USG9500 поддерживает технологии VPN "4поверх6" и "6поверх4" для поддержания перехода от IPv4 к IPv6. USG9500 также поддерживает оборудование серии USG9500.
Шлюз Безопасности для Облачных Центров Данных 4 IKEv2 предоставляет улучшенную аутентификацию пользователя, аутентификацию пакета и обходные функции NAT, а также предупреждает атаки, такие как атака с человеком посередине и атака типа "Отказ от обслуживания" (DoS). USG9500 также поддерживает Расширяемый Протокол Аутентификации для Модуля Идентификации Абонента GSM (EAP-SIM) и Расширяемой Протокол
Аутентификации – Аутентификации по Ключу для защиты беспроводных сетей.
Характеристики реальной системы предотвращения вторжений — защита от внешних угроз и стимуляция безопасности сети
Характеристики Системы Предотвращения Вторжений (IPS) зависят от показателей механизма определения, точности идентификации сигнатур и емкости обработки. С помощью передовых технологий обнаружения IPS и зрелой базы данных сигнатур USG9500 обеспечивает защиту от различных угроз, включая защиту от несанкционированной автоматической загрузки, подмене программного обеспечения, а также защиту от шпионских программ/рекламного ПО, неправильных протоколов, защиту от уязвимости системы и возникновению сбоев при одноранговой передаче. Одна сигнатура на основе слабых мест включает тысячи атак, влияющих на уязвимость. В дополнение к развернутой по всему миру системе ловушек, USG9500 может распознать и отразить последние атаки, вредоносных червей и "троянских
коней", обеспечивая тем самым защиту от атак нулевого дня. Кроме того, для улучшения показателей IPS, USG9500 использует внутренние технологии, работающие в автономном режиме "одна плата - одна функция", при этом трафик услуг подразделяется на соответствующие SPU. Этот метод улучшает характеристики IPS без воздействия на основные показатели брандмауэра.
Комплексные функции CGN — направление перехода от IPv4 к IPv6
Адреса IPv4 уже достигли предела и Интернет постепенно переходит от IPv4 к IPv6. Чтобы удовлетворить требования в процессе перехода от IPv4 к IPv6, USG9500 поддерживает NAT44 (4), DS-Lite, 6RD, и NAT64, таким образом, обеспечивая эффективное, гибкое, надежное и приемлемое по стоимости решение перехода для операторов. NAT44 (4) позволяет в высокой степени использовать адреса IPv4, чтобы предотвратить истощение применения адресов IPv4; DS-Lite позволяет использовать приложение IPv4 на новой сети IPv6; 6RD предоставляет эффективный доступ IPv6; и NAT64 позволяет сети IPv6
взаимодействовать с сетью IPv4. Функции NAT44 и DS-Lite поддерживают отслеживание NAT.
Улучшенная виртуализация — адаптация к облачным сетям
Облачные вычисления, которые зависят от виртуализации и высокоскоростного сетевого соединения, сталкиваются с угрозами безопасности. USG9500 предоставляет функции высокопропускной и улучшенной виртуальной системы, включая виртуализацию ресурсов, конфигурации и управления для удовлетворения требований различных заказчиков. Виртуализация ресурсов управляет виртуальным узлом ресурсов на основе квоты, виртуализация управления поддерживает политику, определенную пользователем, журнал управления и проверку для каждого виртуального брандмауэра, и виртуализация переадресации позволяет проводить настраиваемую обработку услуг.
| Модель | USG9520 | USG9560 | USG9580 | |
|---|---|---|---|---|
| Производительность и емкость | ||||
| Максимальная пропускная способность брандмауэра | 80 Гбит/с | 480 Гбит/с | 960 Гбит/с | |
| Пропускная способность брандмауэра (комбинированный трафик) | 80 Гбит/с | 480 Гбит/с | 960 Гбит/с | |
| Максимальное число одновременных сеансов | 80 млн. | 480 млн. | 960 млн. | |
| Производительность IPsec VPN (3DES) | 48 Гбит/с | 240 Гбит/с | 500 Гбит/с | |
| Производительность IPsec VPN (AES) | 48 Гбит/с | 240 Гбит/с | 500 Гбит/с | |
| Максимальное количество одновременных IPSec Туннели VPN | 128,000 | 640,000 | 1,000,000 | |
| Порты расширения и ввода/вывода | ||||
| Слоты расширения | 3 слота SPU и LPU | 8 слота SPU и LPU | 16 слотов SPU и LPU | |
| Количество слотов MPU | 2 | |||
| Тип интерфейсных модулей | 12 x GE SFP, 12 x GE RJ45, 1 x 10GE XFP, 4 x 10GE XFP, 20xGE SFP, 2x10GE XFP, 4x10GE XFP и т.д. | |||
| Функции безопасности | ||||
| ОСНОВНОЙ БРАНДМАУЭР | Маршрутизация/Прозрачная передача/Комбинированный режим Определение правильности состояния Черный и белый списки Контроль доступа ASPF(Специализированный фильтр пакетов приложений) Деление зоны безопасности | |||
| NAT/CGN | Назначение NAT/PAT NAT NO-PAT NAT источников по постоянному IP-адресу Группировка исходных IP-адресов в пул NAT Сервер Двунаправленный NAT NAT-ALG(Шлюз Прикладного Уровня) Неограниченное расширение IP-адресов NAT пунктов назначения, зависящая от политики Количество предварительно назначенных портов Режим Hair pinning SMART NAT NAT64 DS-Lite 6RD(Быстрое развертывание IPv6) | |||
| МОНИТОРИНГ УСЛУГ | Идентификация и Контроль более 1200 Приложений: P2P, IM, игра, резерв, VoIP, видео, медиапоток, почта, мобильная связь, Веб-браузер, удаленный доступ, сеть управление, новости и т.д. | |||
| ВИРТУАЛЬНАЯ ЧАСТНАЯ СЕТЬ (VPN) | шифрование DES, 3DES, и AES аутентификация MD5 и SHA-1 Ручное конфигурирование ключа, PKI (X 509), и IKEv2 Совершенная секретность передачи (группа Диффи и Хеллмана) Защита от атак повторного воспроизведения Удаленный доступ VPN Обход IPSec NAT Значение при неответе Аутентификация EAP Резервирование шлюза VPN IPSec V6,IPSec 4 поверх 6, IPSec 6 поверх 4 Туннель L2TP Туннель GRE | |||
| PKI | Запросы сертификатов PKI (PKCS 10) Центр сертификации (CA) Аутентификация PKI: EAP-SIM, EAP-AKA Протокол PKI: SCEP, OCSP, CMPv2 Самостоятельно подписываемые сертификаты | |||
| СИСТЕМА ПРЕДОТВРАЩЕНИЯ ВТОРЖЕНИЯ | Поддержка Аномальных Протоколов Поддержка подписи Автоматическое обновление базы данных атак Защита против червей, атак нулевого дня, троянских коней и вредоносных программ. | |||
| ЗАЩИТА ОТ АТАК DDOS | SYN-flood, ICMP-flood, TCP-flood, UDP-flood, DNS-flood и т.д. Port-scan, Smurf, Tear-drop, IP-Sweep и т.д. защита расширенного заголовка IPv6 Обнаружение TTL Обнаружение TCP-mss Вывод журнала атак | |||
| ВЫСОКАЯ ДОСТУПНОСТЬ | Активный-Активный, Активный-Резервный отказ состояния (Протокол Резервирования Huawei) Синхронизация конфигурации Синхронизация брандмауэра и сессии IPSec VPN Определение неисправности устройства Определение неисправности канала Двойное переключение основной платы | |||
| ОРГАНИЗАЦИЯ СЕТИ/МАРШРУТИЗАЦИЯ | поддержка каналов POS/GE/10GE Ретранслятор/сервер DHCP Маршрутизация на базе политики Динамическая маршрутизация для IPv4/IPv6 (RIP/OSPF/ISIS/BGP) Поддержка множественных зон Маршрутизация между зонами/Vlan Агрегирование множества каналов (Eth-trunk, LACP) | |||
| ВИРТУАЛЬНЫЕ БРАНДМАУЭРЫ | Установление 4096 виртуальных брандмауэров (VFW) Виртуализация VLAN Виртуализация зон безопасности Определенные пользователем виртуальные ресурсы Маршрут между VFW Трафик CAR на основе VFW | |||
| УПРАВЛЕНИЕ | Web UI (HTTP и HTTPS) CLI (консоль/Telnet/SSH) Управление сетью U2000/VSM Иерархическое администрирование Модернизация программного обеспечения Откат конфигурации | |||
| МОНИТОРИНГ | Структурированный системный журнал SNMP (v2) Двоичный журнал Отслеживание маршрутов Сервер журналов (eLog) | |||
| Габаритные размеры, электропитание и условия эксплуатации | ||||
| Габаритные размеры (В х Ш х Г) | 175 x 442x 650 (модель 4U DC) 220 x 442 x 650 (модель 5U AC) |
620 x 442 x 650 | 1420 x 442 x 650 | |
| Вес | DC: Базовый статив: 15 кг DC: Статив в полной конфигурации: 32 кг AC: Базовый статив: 25 кг AC: Статив в полной конфигурации: 42 кг |
Пустой статив: 43.2 кг Статив в полной конфигурации: 113 кг |
Пустой статив: 94.4 кг Статив в полной конфигурации: 229 кг | |
| Источник питания переменного тока | 90 ~ 275В AC; 175 ~ 275В AC (рекомендуется) | |||
| Источник питания постоянного тока | -38 ~ -72В; номинальное -48В | |||
| Максимальная потребляемая мощность | 1270 Вт | 3960 Вт | 7540 Вт | |
| Температура эксплуатации | Долгосрочная: 0 °C ~ 45 °C Хранение: -40°C ~ +70 °C | |||
| Влажность окружающей среды | Долгосрочная эксплуатация: 5% RH ~ 85% RH, без конденсации Краткосрочная эксплуатация: 5% RH ~ 95% RH, без конденсации Хранение: 0% RH ~ 95% RH, без конденсации | |||
| СЕРТИФИКАЦИЯ | Сертификация безопасности, EMC, CB, Rohs, FCC, MET, C-tick,VCCI | |||
Примечание: приведенные выше данные являются общими и могут содержать функции, которые не
доступны на всех видах оборудования USG9500. Необходимо ознакомиться с системной документацией USG9500 для
определения возможных функций.
| USG9520-BASE-DC-V3 | Базовая конфигурация USG9520 DC (включая X3 DC статива,2*MPU) |
|---|---|
| USG9520-BASE-AC-V3 | Базовая конфигурация USG9520 AC (включая X3 AC статива,2*MPU),с ПО общей платформы безопасности HW |
| USG9560-BASE-DC-V3 | Базовая конфигурация USG9560 DC (включая X8 DC стативов,2*SRU,1*SFU), с ПО общей платформы безопасности HW |
| USG9560-BASE-AC-V3 | Стандартная конфигурация USG9580 DC (включая X16 DC стативов,2*MPU,4*SFU),с ПО общей платформы безопасности HW |
| SPU-X3-20-O-E8KE | Блок обработки услуг брандмауэра 20G X3 (зарубежом), с ПО общей платформы безопасности HW |
| SPU-X8X16-20-O-E8KE | Блок обработки услуг брандмауэра 20G X8&X16 (зарубежом), с ПО общей платформы безопасности HW |
| FWCD0LPUKD01 | Гибкая плата блока линейной обработки (LPUF-21,2 суб-слоты) B, с платформой HS General Security Platform Software |
| FWCD00L1XX01 | 1-портовая гибкая интерфейсная дочерняя плата 10GBase WAN/LAN XFP |
| FWCD00EBGF01 | 12-портовая гибкая интерфейсная дочерняя плата 100/1000Base-X SFP |
| FWCD00EBGE01 | 12-портовая гибкая интерфейсная дочерняя плата 10/100/1000Base-TX RJ45 |
| FWCD0LPUND01 | Гибкая плата блока линейной обработки (LPUF-40,2 суб-слоты) А, с платформой HS General Security Platform Software |
| FWCD00L2XX01 | 2-портовая гибкая интерфейсная плата 10GBase LAN/WAN-XFP (P40) |
| FWCD00EFGF01 | 20-портовая гибкая плата 100/1000Base-X-SFP (P40) |
Защита безопасности в крупномасштабной сети IDC
USG9500 обеспечивает безопасность и стабильность услуг сети IDC, предоставляя следующие функции:
- l Политика безопасности, как, например, черный список для фильтрования подозрительных IP-адресов.
- l Функция предотвращения нарушений для выполнения обнаружения трафика и блокирования атак. Эта функция эффективно защищает от атак на уровне приложений.
- l Виртуальный брандмауэр для реализации функции виртуального разделения системы с уровня 2 до уровня 7 по необходимости.
- l Предварительное назначение ресурсов для контроля трафика виртуального брандмауэра на входе и выходе и количество сеансовых соединений; конфигурирование публичного ограничения трафика на основе IP-адресов для предотвращения занятия одним IP-адресом всей полосы пропускания.
Выход кампусной сети
USG9500 устанавливается на выходе кампусной сети, и предоставляет следующие функции:
- l Двойной стек для IPv4 и IPv6.
- l Политика трафика для обеспечения передачи различных трафиков на разных маршрутах.