Secospace USG技术白皮书.docx

1、Secospace USG技术白皮书华赛Secospace USG 2000系列统一安全网关技术白皮书华赛科技有限公司Huaweisymantec Technologies Co., Ltd.目录目录 11 概述 41.1 小型办公机构网络安全问题 41.2 硬件防火墙技术简介 41.3 防火墙设备的使用原则 52 USG 2000系列统一安全网关的特点 52.1 丰富的组网适应能力 62.1.1 丰富路由功能 62.1.2 高密度的端口支持 62.1.3 WiFi扣板或者插卡支持WLAN 62.1.4 3G接口卡支持WWAN 62.1.5 扩展接口卡支持ADSL2+ 62.1.6 快速的二层

2、交换能力 62.2 安全策略控制 62.2.1 灵活的规则设定 62.2.2 基于时间段的规则管理 62.2.3 MAC地址和IP地址绑定 62.2.4 动态策略管理黑名单技术 62.2.5 多种认证手段 62.3 基于状态检测的防火墙 62.3.1 基于会话管理的核心技术 62.3.2 ASPF深度检测技术 62.3.3 状态检测技术的优势 62.4 业务支撑能力 62.4.1 对多通道协议支持完善的安全保护 62.4.2 业务支持的完整性 62.4.3 支持完善的多媒体业务 62.4.4 支持QoS业务 62.5 地址转换服务(NAT) 62.5.1 稳定的地址转换性能 62.5.2 灵活

3、的地址转换管理 62.5.3 内部服务器支持 62.5.4 全面的业务支撑 62.5.5 对注册服务支持良好 62.5.6 无数目限制的PAT方式转换 62.6 攻击防范能力 62.6.1 丰富的Dos防御手段 62.6.2 高级的TCP代理防御体系 62.6.3 ARP攻击防御 62.6.4 扫描攻击防范 62.6.5 畸形报文防范 62.7 统一威胁管理（UTM） 62.7.1 入侵防御IPS 62.7.2 邮件过滤 62.7.3 上网行为管理 62.8 特色的VPN接入功能 62.8.1 L2TP VPN 62.8.2 IPSEC VPN 62.8.3 MPLS L3 VPN 62.8.

4、4 SSL VPN 62.8.5 GRE VPN 62.8.6 灵活的VPN 管理 62.9 完善的管理系统 62.9.1 丰富的维护管理手段 62.9.2 基于SNMP的终端系统管理 62.10 日志系统 62.10.1 日志服务器 62.10.2 两种日志输出方式 62.10.3 多种日志信息 63 结束语 6华赛Secospace USG 2000系列统一安全网关技术白皮书Keywords 关键词：USG统一安全网关、网络安全、VPN、隧道技术、L2TP、IPSec、IKE、3G、Wi-Fi、ADSL2+Abstract 摘 要：USG 2000系列统一安全网关包括USG 2130/22

5、10/2220/2230/2250共五款产品，本文详细介绍了USG 2000系列统一安全网关备的技术特点、工作原理等，并提供了安全网关选择过程的一些需要关注的技术问题。同时本文对USG 2000系列统一安全网关的技术特点、支持特性等做了一个比较详细的介绍。List of abbreviations 缩略语清单： Abbreviations缩略语Full spelling 英文全名Chinese explanation 中文解释VPNVirtual Private Network虚拟私有网AAAAuthentication, Authorization, Accounting验证，授权，计费AS

6、PFApplication Specific Packet Filter基于应用层规范的包过滤DoSDenial of Service拒绝服务，一种常见的网络攻击手段L2TPLayer 2 tunnle protocal二层隧道协议IPSECIP SecurityIP安全GREGeneric Routing Encapsulation通用路由封装IKEInternet Key ExchangeInternet密钥交换3G3rd Generation第三代数字通信WiI-FiWirelessFidelity无线保真ADSLAsymmetrical DSL非对称数字用户线技术1 概述1.1 小型办

7、公机构网络安全问题随着经济的发展，众多企业越来越多的在各地开设分支机构以拓展业务，同时现代信息社会Internet的普及进一步提高了整个企业的效率，降低了运作成本。互联网络在为企业提高竞争力的同时，随之而来的也为企业带来安全问题。Internet是一个开放的系统，开放即意味者通信的协议、传输线路、通信内容传输是不安全的，企业总部和分支机构、合作伙伴之间的通信容易泄密，其商业机密、客户隐私得不到绝对安全的保护；开放系统也意味者小型办公机构容易受到网络攻击和病毒感染，例如窃听报文、IP地址欺骗、源路由攻击、地址端口扫描、拒绝服务攻击 （Deny of service）、应用层攻击、蠕虫病毒传播等等

8、，一旦受到网络攻击和病毒感染，整个办公网络的有效运作会受到严重威胁，影响业务效率。防火墙对解决网络安全问题具有先天的优势，是网络安全解决方案中的第一道防线，具有非常重要的作用。华赛新一代小型办公网络桌面式防火墙USG 2000基于华赛专业硬件与安全数据通信软件平台，结合华赛全系列网络安全设备，为企业提供全面、紧致的网络安全解决方案。1.2 硬件防火墙技术简介在开放网络式的网络上，我们的周围存在着许多不能信任的计算机，这些计算机对我们私有的一些敏感信息造成了很大的威胁。传统的口令保护等已经不能安全的保护一些重要的信息，而安全技术就是为了解决这样一个问题，在开放式的网络环境中保护我们自己的私有数据

9、的安全，同时还兼顾网络的开放性。因此安全技术是随着网络的更新和发展不断进步的，是融合了多种学科和技术手段的一种综合性技术。防火墙技术是安全技术中的一个具体体现。硬件防火墙就是将各种安全技术融合在一起，采用专用的硬件结构，选用高速的CPU、嵌入式的操作系统，支持各种网络接口，用来保护私有网络的安全。硬件防火墙用来集中解决网络安全问题，可以适合各种场合，同时能够提供高效率的“过滤”。同时它应该可以提供包括访问控制、身份验证、数据加密、VPN技术、地址转换等安全特性，用户可以根据自己的网络环境的需要配置复杂的安全策略，阻止一些非法的访问，保护企业的网络安全。现代的防火墙体系不应该只是一个“入口的屏障

10、”，防火墙应该是几个网络的接入控制点，所有经过被防火墙保护的网络的数据流都应该首先经过防火墙，形成一个信息进入的关口，因此防火墙不但可以保护内部网络在Internet中的安全，同时可以保护若干主机在一个内部网络中的安全。在每一个被防火墙分割的网络内部中，所有的计算机之间是被认为“可信任的”，它们之间的通信不受防火墙的干涉。而在各个被防火墙分割的网络之间，必须按照防火墙规定的“策略”进行互相的访问。1.3 防火墙设备的使用原则 防火墙应该放在网络中的汇聚点，需要保证保护的网络流量必须全部经过防火墙。 默认情况下，防火墙的规则一般是禁止所有的访问。在最小授权的原则下，根据需要配置这种安全策略开放网

11、络访问权限。 防火墙自身一定要是安全的。防火墙的安全性能取决于防火墙是否基于安全的操作系统和是否采用专用的硬件平台，防火墙设备属于一个基础网络设备，一定要保证防火墙可以长时间不间断运行，其硬件可靠性是非常关键的。 防火墙必须能够抵御多种多样的网络攻击，并且能够阻断蠕虫病毒的传播，保证内部网络的安全。 防火墙必须支持完善的地址转换(NAT)功能，以满足企业用户多种需求。 防火墙对企业网络业务的支持能力必须全面。防火墙仅仅支持简单的IP数据策略能力是不够的，随着网络中多种业务的应用，例如多媒体应用、网络语音业务、即时通信业务，防火墙必须能够完全支持这些业务的安全策略。 防火墙必须支持功能完善的VP

12、N特性。VPN技术为企业关键数据提供加密保护服务，是防火墙必不可少的安全模块。 根据网络的实际需要选择性能、功能均能满足的防火墙。如果防火墙不能满足实际网络业务的需要，会造成网络的阻塞、中断，不仅不能给企业用户提供安全保护，反而造成更大的损失。2 USG 2000系列统一安全网关的特点华赛USG 2000硬件统一安全网关面向中小企业网关、大型行业企业分支机构网关、以及网吧安全出口，提供符合应用场合的安全特性，具有非常高的性价比，是业内首款将传统的交换机、路由器、防火墙、无线和3G融为一体的中小企业安全网关。为中小企业提供全方位的安全解决方案，并且极大限度地降低了中小企业的运维和管理成本。USG

13、 2000系列统一安全网关包括USG2110/USG2130/ USG2130/USG2210/USG2220/USG2230/USG2250共七款产品。2.1 丰富的组网适应能力2.1.1 丰富路由功能USG2000系列统一安全网关在提供丰富路由特性，不仅支持静态路由, 静态路由表可以配置、删除和查询，而且还支持RIP（Routing Information Protocol）、OSPF（Open Shortest Path First），同时还支持路由策略和路由迭代，从而使得USG2000系列统一安全网关的组网应用更加灵活。除USG2110外，Secospace USG2000系列统一安全

14、网关还支持BGP（Border Gateway Protocol）动态路由，可以进一步提高组网的灵活性。USG2000系列统一安全网关通过支持基于会话流的策略路由功能，使得策略路由与安全特性（如NAT、ASPF等）协同工作，从而在出接口上实现负载分担。当一条链路故障时，流量将切换到其他处于正常的链路中。安全路由技术就是在IPSec VPN隧道上实现动态路由选择技术，USG2000系列统一安全网关支持在IPSec隧道上的动态路由(RIPOSPF)。USG2000具有非常丰富的组网能力，提供高密度的业务端口以满足中小企业各种组网。并有效地将交换、路由、安全和无线(3G/WIFI)融合在一起，并支持

15、VPN组网接入,满足中小企业用户的各种组网,为中小企业提供全方位的安全和互联的解决方案。其中USG2110不支持无线功能。2.1.2 高密度的端口支持USG2110支持5FE，4LAN+1WAN。USG2130/2160支持固定9FE（1WAN+8LAN)，USG2130通过扩展MIC插槽最多支持14FE，MIC插卡支持1FE、5FE、1E1/1CE1、ADSL2+、SA等。提供一个Express接口支持 3G功能,通过内置WiFi扣板可以支持WLAN功能，还提供一个SD接口和USB接口，USG2160在USG2130的基础上增加一个1MIC槽位，可以支持2MIC，最多可以扩展到19FE。US

16、G2200 带有1 Console配置口、2个固定的10/100/1000M GE光电互斥口、1个SD卡接口和2个USB接口。USG2200 还提供4个MIC扩展插槽（可以安装ADSL2+接口模块、百兆以太网交换电接口、5端口百兆以太网电接口、E1接口、WIFI 802.11b/g 接口和同异步串口）和2个FIC扩展插槽（可以FE混合接口模块、GE电接口模块和E1接口模块）。这些扩展插槽能够支持不同的上行链路，支持二层交换，用户可以根据组网和应用需要进行灵活选配，最多可以扩展到4GE+10FE。2.1.3 WiFi扣板或者插卡支持WLAN USG2130和USG2160支持WIFI扣板，USG

17、2210/2220/2230/2250支持WiFI插卡。Wi-Fi（Wireless Fidelity的简称）作为无线局域网互操作性的标准，是办公室和家庭中使用的短距离无线技术。USG2000系列防火墙可选配内置Wi-Fi扣板支持WLAN接入，提供无线接入功能，实现企业内部设备的无线接入功能。提供有线、无线一体化组网的理念，增加了统一的QoS策略部署，分布式加密，丰富的转发类型，有线、无线统一网管等功能，传输速率达到54Mbps。USG2000能够很好的支持WIFI，可作为无线AP，性能与企业型AP相近。无线电波的覆盖范围广，传输速度非常快，符合中小企业和社会信息化的需求。USG2000系列统

18、一安全网关支持模式支持802.11b、802.11g和802.11b/g混合模式加密方式支持64位、128位WEP加密、WPA、802.11i速率20-24M覆盖范围室内30100米（自带天线实际覆盖范围可能和使用环境有关）室外100300米（自带天线实际覆盖范围可能和使用环境有关）天线方式自带、2根全向性天线实现天线增益其他支持自动速率调整、无线信道选择、发射功率可调、加密、广播抑制、SSID隐藏、省电模式、管理维护备注:USG2110不支持WIFI.2.1.4 3G接口卡支持WWANWWAN技术是使得笔记本电脑或者其他的设备装置在蜂窝网络覆盖范围内可以在任何地方连接到互联网。在USG200

19、0系列统一安全网关上集成3G模块，可以保证网关随时随地接入运营商的网络，为中小企业提供无线宽带服务。一些偏远的无法使用专线的地区，可以采用3G方式接入网络。分支机构也可以通过3G方式接入网络后，然后和总部之间建立VPN隧道的方式，实现分支结构和总部的加密访问，保证信息的安全传输。采用3G+VPN的方式和总部建立VPN隧道，部署简单，只要在有3G信号的地方，就可以实现企业分支机构和总部之间业务的加密传输。再者目前运行商正在推出更有诱惑力的套餐来降低3G的资费。从而降低运维成本。USG2000系列统一安全网关可以通过USB-3G/MIC-3G插卡的方式支持WCDMA/CDMA/TD-SCDMA,支

20、持多种3G 标准，支持兼容2G至超3G的数据传输模式。即可实现3G上网，也可以通过3G实现链路备份。通过选配不同的3G数据卡，支持不同的无线制式。另外USG2130和USG2160两款统一安全网关提供1个Express 3G接口，同样也可以支持WCDMA/CDMA/TD-SCDMA。 WCDMA HSUPA/HSDPA/UMTS 2100/900MHZ； EDGE/GPRS/GSM：1900/1800/900/850MHz； 下行：7.2Mbps，上行：384kbps。 CDMA2000 CDMA 800MHZ CDMA 1900 MHz CDMA2000 1x RTT CDMA2000 1x

21、 EV-DO Rev.0 CDMA2000 1x EV-DO Rev.A TD-SCDMA TD-SCDMA/EDGE/GPRS/GSM TD-SCDMA：20102025MHz GSM/GPRS/EDGE：900MHz/1800MHz/1900MHz备注：USG2110不支持3G。现在能够商用的只有USB接口的3G数据卡。2.1.5 扩展接口卡支持ADSL2+USG 2000提供的扩展接口卡插槽可以安装ADSL2+接口模块卡来支持ADSL2+。ADSL接口可兼容：ADSL/ADSL2/ADSL2+。备注:USG2110不支持ADSL。2.1.6 快速的二层交换能力USG2000系列统一安全网

22、关自带二层转发芯片保证快速的二层交换能力。把二层转发、路由和防火墙功能实现在同一个统一安全设备上。二层接口可以加入不同的VLAN，实现不同的VLAN之间隔离。USG2000系列统一安全网关都可以将交换口配置成Access和Trunk两种方式。 同VLAN下的用户互访不受防火墙访问策略的控制。 不同VLAN之间的互访受到防火墙访问策略的控制。 访问外部网络需要收到防火墙的访问策略的控制。2.2 安全策略控制2.2.1 灵活的规则设定USG 2000系列统一安全网关可以支持灵活的规则设定，可以根据报文的特点方便的设定各种规则。 可以依据报文的协议号设定规则 可以依据报文的源地址、目的地址设定规则

23、可以使用通配符设定地址的范围，用来指定某个地址段的主机 针对UDP和TCP还可以指定源端口、目的端口 针对目的端口、源端口可以采用大于、等于、介入、不等于等方式设定端口的范围 针对ICMP协议，可以自由的指定ICMP报文的类型和Code号，可以通过规则针对任何一种ICMP报文 可以针对IP报文中的TOS域设定灵活的规则2.2.2 基于时间段的规则管理 USG 2000系列统一安全网关的ACL策略管理支持时间段，可以采用两种方式定义时间段：绝对时间范围、周期时间范围。例如可以定义从2004年1月1号到2004年5月1号这样的时间范围，也可以定义每周一、三、五的下午13:0015:00这样的周期时

24、间范围。 通过时间段，USG 2000系列统一安全网关可以非常容易的定制基于时间的策略，例如工作期间不允许使用MSN、QQ等，而下班时间可以使用等。 所有基于ACL控制的策略，都可以使用时间段特性。例如地址转换服务也是依靠ACL来定义地址转换的策略，因此依靠时间段特性也可以定义更灵活的地址转换服务。QoS特性也可以使用ACL来定义各种不同的数据流，因此时间段也可以使用在QoS服务上，为不同的时间范围定义不同的流量策略。2.2.3 MAC地址和IP地址绑定USG 2000系列统一安全网关根据用户配置，将MAC和IP地址进行绑定从而形成关联关系。对于从该IP地址发来的报文，如果MAC地址不匹配则被

25、丢弃；对于发往该IP地址的报文都被强制发送到指定的MAC地址处，从而有效避免IP地址假冒的攻击行为。2.2.4 动态策略管理黑名单技术USG 2000系列统一安全网关可以将某些可疑报文的源IP地址记录在黑名单列表中，系统通过丢弃黑名单用户的所有报文，从而有效避免某些恶意主机的攻击行为。USG 2000系列统一安全网关提供如下几种黑名单列表维护方式： 手工添加黑名单记录，实现主动防御 与攻击防范结合自动添加黑名单记录，起到智能保护 可以根据具体情况设定“白名单”，使得即使存在黑名单中的主机，依然可以使用部分的网络资源。例如，即使某台主机被加入到了黑名单，但是依然可以允许这个用户上网。黑名单技术是

26、一种动态策略技术，属于响应体系。USG 2000系列统一安全网关在动态运行的过程中，会发现一些攻击行为，通过黑名单动态响应系统，可以抑制这些非法用户的部分流量，起到保护整个系统的作用。2.2.5 多种认证手段USG 2000系列统一安全网关提供了认证、授权和计费的一致性框架，对网络访问安全进行了集中管理。USG 2000系列统一安全网关提供本地认证、标准RADIUS（Remote Access Dial-In User Service）认证、华为RADIUS+认证、HWTACACS（Huawei Terminal Access Controller Access Control System）

27、认证。提供明文、MD5（Message-Digest Algorithm 5）鉴权等手段，支持本地用户管理，可验证用户身份的合法性并为合法用户进行授权，防止非法用户进行访问。此外，USG 2000系列统一安全网关还可以和华赛Portal Server配合提供安全的在线IP检测，防止伪造IP的攻击，并且可以和华为CAMS计费系统一起提供计费能力，为IDC或商业小区等提供按流量、时间等多种计费方式。2.3 基于状态检测的防火墙2.3.1 基于会话管理的核心技术USG 2000系列统一安全网关是一款基于流会话的状态防火墙，其核心集成了会话管理核心技术。USG 2000系列统一安全网关提供了两个核心处

28、理单元：首包处理单元和会话管理单元，两个单元分别依靠独立的加速系统进行管理。这样处理的明显优势是： 首包处理单元避免了防火墙在首报文处理下的瓶颈，使得USG 2000系列统一安全网关可以在实际工作环境中保持稳定的每秒新建连接的性能。 会话管理单元使得防火墙具有独立转发加速体系，使得防火墙在每秒新增连接的性能处理基础上，也具有更满意的转发性能。 防火墙的连接管理粒度可以做到非常细致，大部分防火墙针对连接的管理只能针对TCP或者UDP设定管理策略，而USG 2000系列统一安全网关可以针对不同的业务类型设定管理策略。例如，可以针对Telnet、HTTP等各种协议单独设定管理策略，管理的粒度非常细致

29、。 防火墙针对业务的处理都是基于会话管理的核心来完成的，这样就保证了防火墙基于会话的管理可以支持丰富的业务。USG 2000系列统一安全网关可以提供基于流的各种业务，这样保证了防火墙可以适应各种工作环境，使得USG 2000系列统一安全网关在提供状态检测的技术的同时可以适应更丰富的业务。2.3.2 ASPF深度检测技术USG 2000系列统一安全网关提供了ASPF技术，ASPF是一种高级通信过滤技术，它检查应用层协议信息并且监控基于连接的应用层协议状态。USG 2000系列统一安全网关依靠这种基于报文内容的访问控制，能够对应用层的一部分攻击加以检测和防范。ASPF技术是在基于会话管理的技术基础

30、上提供深层检测技术的，ASPF技术利用会话管理维护的信息来维护会话的访问规则，通过ASPF技术在会话管理中保存着不能由静态访问列表规则保存的会话状态信息。会话状态信息可以用于智能的允许/禁止报文。当一个会话终止时，会话管理会将该会话的相关信息删除，防火墙中的会话也将被关闭。针对TCP连接，ASPF可以智能的检测“TCP的三次握手的信息”和“拆除连接的握手信息”，通过检测握手、拆连接的状态检测，保证一个正常的TCP访问可以正常进行，而对于非完整的TCP握手连接的报文会直接拒绝。2.3.3 状态检测技术的优势在普通的场合，一般使用的是基于ACL的IP包过滤技术，这种技术比较简单，但缺乏一定的灵活性

31、，在很多复杂应用的场合普通包过滤无法完成对网络的安全保护。例如对于类似于应用FTP协议进行通信的多通道协议来说，配置防火墙则是非常困难的。FTP包含一个预知端口的TCP控制通道和一个动态协商的TCP数据通道，对于一般的包过滤防火墙来说，配置安全策略时无法预知数据通道的端口号，因此无法确定数据通道的入口。这样就无法配置准确的安全策略。ASPF技术则解决了这一问题，它检测IP层之上的应用层报文信息，并动态地根据报文的内容创建和删除临时的规则，以允许相关的报文通过。ASPF使得USG 2000系列统一安全网关能够支持一个控制通道上存在多个数据连接的协议，同时还可以在应用非常复杂的情况下方便的制订各种安全的策略。许多应用协议，如Telnet 、SMTP使用标准的或已约定的端口地址来进行通信，但大部分多媒体应用协议（如H.323、SIP）及FTP、Net Meeting等协议使用约定的端口来初始化一个控制连接，再动态的选择端口用于数据传输。端口的选择是不可预测的，其中的某些应用甚至可能要同时用到多个端口。因此包过滤防火墙只有阻止单通道的应用传