华为USG高端防火墙技术建议书Word下载.docx

华为USG高端防火墙技术建议书Word下载.docx

《华为USG高端防火墙技术建议书Word下载.docx》由会员分享，可在线阅读，更多相关《华为USG高端防火墙技术建议书Word下载.docx（37页珍藏版）》请在冰豆网上搜索。

网址：

客户服务邮箱：

support@

客户服务电话：

4008302118

目录

1 概述 6

1.1 网络安全 6

1.2 网络安全管理 6

2 ×

×

网络分析 6

2.1 ×

网络现状 6

2.2 ×

网络业务分析 7

2.3 ×

网络安全问题与分析 7

2.4 ×

网络安全需求 7

3 华为×

网安全解决方案 8

3.1 大型IDC中心安全解决方案 8

3.2 政府或大型企业网络总部安全防护 11

3.3 IPv4向IPv6过渡解决方案 12

3.4 大型IDC中心DDOS安全解决方案 14

3.5 云计算安全解决方案 15

3.6 OM安全隔离解决方案 17

3.7 校园网安全解决方案 18

3.8 ×

网络安全设备选择 19

4 华为USG9500防火墙 20

4.1 产品功能 22

4.1.1 入侵防御（IPS） 22

4.1.2 运营级NAT（CGN） 23

4.1.3 异常流量监管（Anti-DDoS） 23

4.1.4 虚拟专用网（VPN） 26

4.1.5 安全策略 28

4.2 操作和维护 30

4.2.1 系统配置方式 30

4.2.2 系统维护管理 30

4.2.3 系统业务与状态的跟踪 30

4.2.4 系统测试与诊断 30

4.2.5 在线升级 31

4.2.6 其他特性 31

4.3 网络管理 31

4.4 WEB配置和管理 31

4.5 技术指标 33

性能指标 33

4.6 遵循的协议和标准 33

表格目录

USG9500各型号产品整机性能指标 33

遵循的协议和标准 33

1概述

Internet的普及为社会的发展带来了巨大的推动力，但同时也产生了大量的网络安全问题，越来越受到政府、金融、教育、电力、交通等机构以及众多企业的重视。

网络安全问题主要包括两个层面：

网络本身的安全问题和网络安全管理问题。

1.1网络安全

Internet由于其开放性，使得非常容易遭受攻击。

随着攻击手段的变化多样而且攻击工具更容易获取，以及基于僵尸网络DDoS攻击的出现，使得基于网络层的攻击层出不穷。

主要的攻击包括：

ARPFlood、ICMPFlood、IPSpoofing、UDPFlood、Synflood、Smurf攻击、Land攻击、超大ICMP攻击、Fragile攻击、PingofDeath、TearDrop、PingScan、PortScan、IP路由选项攻击、Tracert攻击等等。

网络层攻击的目标主要有三个：

带宽攻击、主机或者网络设备攻击以及入侵前的主机扫描。

带宽攻击指通过大量的攻击数据包占用正常业务数据的带宽，导致网络带宽拥挤，正常业务受到影响；

主机或者网络设备攻击指的是攻击者通过攻击主机或者网络设备的某个应用端口导致被攻击设备处理不过来或者瘫痪使其不能处理正常业务数据；

主机扫描指的是黑客在入侵之前通过IP或者端口扫描获取网络中活动的主机信息，为下一步入侵提供必要的信息。

1.2网络安全管理

网络安全安全管理指的是企业对自身的网络资源进行有效的安全区域、等级划分，使得在网络安全运行的基础上，促进企业自身的信息安全管理水平，更好的保证企业正常运作。

安全区域指的是在网络中拥有相同网络资源访问权限的主机集合，安全区域的划分主要依据企业内部部门的划分，例如财务部门、研发部门、市场部门分别划分为三个不同安全等级的安全区域。

将一个企业进行清晰的安全区域划分，大大简化了企业的网络资源控制与管理，在此基础上，实施适合企业管理要求的安全策略管理，提高企业信息安全管理水平。

2×

网络分析

2.1×

网络现状

[此部分主要包括两个部分（注意：

要给出网络的吞吐量，一般在10G流量以上，需要提供多个10G接口的时候使用USG9500产品，一般10－20G采用USG9520，一般10－80G采用USG9560，80－160G采用USG9580）：

1．×

网络拓扑图，如果是新建网络，则提供没有安全设备的网络拓扑图，用来进行安全方案的分析。

2．×

网络承载的业务，主要是内部业务以及出口网络业务]

2.2×

网络业务分析

[给出现网的业务流分析图，使得客户对现有网络安全问题理解的更加清晰]

2.3×

网络安全问题与分析

[此部分主要包括以下几个部分（主要根据与客户的沟通以及我们自己的分析给出）：

网络出口安全隐患：

DoS攻击，端口扫描

4．×

网络业务安全隐患：

需要对不同安全区域的业务进行过滤，丰富管理手段

5．×

网络接入问题：

设备提供丰富的VPN接入功能，实现安全访问控制。

7．×

网络地址转换问题：

专业的NAT设备，具有良好的性能以及灵活的策略NAT功能，以及丰富的NATALG功能。

8．×

网络NAT事后追踪：

由于NAT隐藏了内部的网络结构，使得内部访问外网出现社会安全事件时，事后追踪措施变得极为重要。

华为提供专用的日志服务器，二进制的NAT日志存储、查询为事后追踪提供重要的技术手段。

2.4×

网络安全需求

[新增统一安全网关，用以满足×

网络以下需求（根据×

网络安全问题与分析给出需求）：

1．防范网络攻击：

在网络出口和不同的安全区域之间启用网络攻击防范，防止外网网络攻击和部门之间网络攻击蔓延。

2．安全区域划分：

将不同业务划分为不同的安全区域。

3．……]

举例如下：

XX电网互联网出口情况现状概况如下：

1．XX电网公司（省公司及XX市的各二级单位）通过位于省公司的互联网出口访问互联网，目前出口带宽为XXGbps，按照公司对互联网的使用要求，通过一定的网络控制实际使用流量约XXGbps左右。

各地区互联网出口流量统计合计约XXGbps,这其中估计约有XXGbps互联网流量由电力小区（家属区）产生，（部分地区供电局电力小区并未通过局互联网出口上网）。

目前实际使用带宽合计为XXGbps左右，未来拟最大扩充到XXGbps。

本次选配设备需要满足网络3-5年的发展。

2．目前，XX电网公司互联网出口分散。

各地区供电局基本都有各自的互联网出口，且各地区内部也没有统一互联网出口，各县供电局，二级子公司等各自向电信租用了互联网出口。

3．根据统计目前XX电网互联网的用户数量为：

省公司互联网用户约XX台，各供电局用户约XX台，共约XX台。

含供电局办公用户，部分三产公司用户，且部分地区的电力小区用户也通过此互联网通道上网。

4．各地区供电局本部针对互联网出口基本都已配置了防火墙，但除个别地区外，普遍型号较老，设备能力较差，且设备型号不一致，无法统一管理。

需要考虑统一管理问题。

5．各供电局没有配置IDS、URL过滤、病毒防护等高级互联网安全设备。

本次需要根据各网络安全等级需求进行选配。

3华为×

网安全解决方案

3.1大型IDC中心安全解决方案

互联网数据中心（InternetDataCenter-IDC），是为满足网站系统托管外包服务需求而建设的基础设施，SP/CP兴起、电子商务的理性发展、电子政务的推进以及企业信息化的长足发展和网络的应用是IDC的主要业务，正是由于IDC业务复杂对带宽要求高，所以IDC的网络需求应以可靠性、灵活性、可扩展性、安全性为主。

华为防火墙USG9500部署在大型IDC出口，为客户提供高性能、高密度、高可用性、高安全的网络安全基础架构。

防火墙主要承担以下功能：

1.启用防火墙攻击防范以及访问控制，抵御外来的各种攻击。

2.根据需要启用地址转换功能，满足出口公网不足的需要。

3.根据需要开启虚拟防火墙功能，通过不同的虚拟防火墙与各大客户对应，将不同的服务器群用VPN隔离开。

4.启用L2TPVPN的功能，允许移动用户通过拨号的方式接入不同的VPN，访问不同VPN里的业务或者设备。

5.开启IPS功能，用来防范各种应用型攻击，为内部服务器提供高质量的安全服务。

6.采用双机热备组网，增强网络的可靠性。

两台防火墙采用双机热备组网模式如下详述。

1.在防火墙的两侧启用VRRP和华为的专利技术VGMP保证流经防火墙的报文能够始终经过同一台防火墙。

同时CE路由器也启用VRRP。

防火墙和CE路由器的静态路由下一跳分别设置为对方的VRRP虚地址。

当其中一个防火墙出现故障后，另外一个迅速升为主设备，同时发送免费ARP更新CE路由器的MAC表，这个过程对CE路由器透明，倒换非常快。

倒换之后，报文将经过CE路由器之间的二层板转发到和主防火墙相连的CE路由器上，然后再转发给防火墙。

通过华为公司的VGMP技术，可以保证上行VRRP和下行VRRP组的主备状态一致，即两个VRRP组主设备始终是同一台防火墙，因此避免了报文来回路径不一致的问题。

防火墙的倒换时间的基本可以做到小于1s的时延，对现网业务没有影响。

2.防火墙和路由器之间也可以采用OSPF路由协议来进行设备切换，防火墙两侧不启用VRRP。

这种方式需要防火墙快速备份会话表，确保报文经过哪一台防火墙都可以正常转发。

设备切换时间依赖于OSPF路由协议的收敛时间。

这种方式的优点是简化配置，不需要配置静态路由。

3.主备两台防火墙之间的状态同步可以选择上行或者下行的业务链路，也可以同时选择多个链路作为心跳链路。

但是为了避免链路拥塞导致的心跳报文丢失，建议采用专线作为心跳线。

确保不会出现双主的情况。

由于多个关键业务都要经过防火墙，设备的稳定性和倒换时间是一个影响业务的关键指标。

因此建议采用第一种方式组网并采用专门的心跳线同步防火墙的状态。

方案特点：

1.提供业界最优的防火墙性能，不会成为网络瓶颈；

2.提供高密度万兆以太或POS出口，支持灵活组网；

3.支持双机热备、板卡备份、链路聚合，提供高可靠性组网，不影响业务；

4.千万包每秒的抗攻击能力，可抵御大流量攻击，保护内部网络；

5.分布式扩展架构设备，便于网络扩容；

6.完善的防火墙功能，可支撑丰富的业务。

7.高性能的IPS模块，可对应用层攻击进行预防和阻止，不仅能够检测入侵的发生，而且能通过一定的响应方式，实时地中止入侵行为的发生和发展，实时地保护信息系统不受实质性的攻击。

说明：

DDoS请参考3.4节。

3.2政府或大型企业网络总部安全防护

政府或大型企业总部连接着各分支机构，或合作企业，远程办公用户，流量大，业务复杂，对Internet网络开放，所以出口安全也不容小视，防火墙USG9500放置在总部出口，主要承担以下功能：

1.启用防火墙攻击防范以及访问控制，抵御外来