政府網(wǎng)絡安全及VPN解決方案文獻_第1頁
政府網(wǎng)絡安全及VPN解決方案文獻_第2頁
政府網(wǎng)絡安全及VPN解決方案文獻_第3頁
政府網(wǎng)絡安全及VPN解決方案文獻_第4頁
政府網(wǎng)絡安全及VPN解決方案文獻_第5頁
已閱讀5頁,還剩25頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

1、X煙府網(wǎng)絡安全及VPNS決方案技術建議書Huawei Symantec華為賽門鐵克科技有限公司2011 年目錄 TOC o 1-5 h z 目 i HYPERLINK l bookmark5 o Current Document 政務外網(wǎng)建設現(xiàn)狀 3 HYPERLINK l bookmark7 o Current Document 政務外網(wǎng)的整體框架 3 HYPERLINK l bookmark9 o Current Document 政務外網(wǎng)網(wǎng)絡安全及 VPN1設目標 4 HYPERLINK l bookmark11 o Current Document 政務外網(wǎng)VPN1設需求及建設原則 4

2、 HYPERLINK l bookmark13 o Current Document 政務外網(wǎng)VPN建設需求分析: 4 HYPERLINK l bookmark15 o Current Document 政務外網(wǎng)VPN建設的基本設計原則 5 HYPERLINK l bookmark17 o Current Document 政務外網(wǎng)VPNt設方案 6 HYPERLINK l bookmark19 o Current Document 網(wǎng)絡總體結(jié)構(gòu) 6 HYPERLINK l bookmark23 o Current Document 政務外網(wǎng)VPN網(wǎng)關接入方案 7 HYPERLINK l bo

3、okmark25 o Current Document 省各廳局委辦通過 VPNS通方案11 HYPERLINK l bookmark27 o Current Document 政務外網(wǎng)VPN移動用戶接入方案 12 HYPERLINK l bookmark29 o Current Document 華賽VP瞰入解決方案特點 13 HYPERLINK l bookmark31 o Current Document 全面的VPN業(yè)務支撐能力 13 HYPERLINK l bookmark33 o Current Document 領先的業(yè)務性能及高可靠的硬件體系 14 HYPERLINK l bo

4、okmark35 o Current Document 圖形化的便捷管理 14 HYPERLINK l bookmark37 o Current Document 部分產(chǎn)品介紹 15華賽 USG2000/5000 簡介15華賽USG2000/5000功能特點 16安全區(qū)域管理 16 HYPERLINK l bookmark39 o Current Document 安全策略控制 17 HYPERLINK l bookmark41 o Current Document 豐富的接入方式 18 HYPERLINK l bookmark43 o Current Document 卓越的路由交換特性 1

5、9 HYPERLINK l bookmark45 o Current Document 黑名單過濾惡意主機 21 HYPERLINK l bookmark47 o Current Document IP和MAC地址綁定21 HYPERLINK l bookmark49 o Current Document 強大的攻擊防范能力 21 HYPERLINK l bookmark51 o Current Document VPN特性支持 22 HYPERLINK l bookmark53 o Current Document 靈活的擴展能力 22 HYPERLINK l bookmark55 o Cu

6、rrent Document 良好的管理維護功能 22 HYPERLINK l bookmark57 o Current Document 完備的IPv4/IPv6 解決方案 23 HYPERLINK l bookmark59 o Current Document 領先的UTM 技術 24 HYPERLINK l bookmark61 o Current Document 全面的語音方案 25 HYPERLINK l bookmark63 o Current Document 完善的QoS機制 25 HYPERLINK l bookmark65 o Current Document 高度的可靠

7、性保證 26 HYPERLINK l bookmark67 o Current Document 廣泛的多業(yè)務集成 26 HYPERLINK l bookmark69 o Current Document 成功案例 26 HYPERLINK l bookmark71 o Current Document XX奧運城市數(shù)據(jù)系統(tǒng) VPN項目 26 HYPERLINK l bookmark73 o Current Document XX省電子政務 VPN應用案例 281 政務外網(wǎng)建設現(xiàn)狀國家電子政務外網(wǎng)建設目標是:建立一個開放的、基于標準的、符合國家外網(wǎng)建設要求的政務外網(wǎng)統(tǒng)一網(wǎng)絡平臺,實現(xiàn)省直各部門

8、及全省市的信息快速交換和資源共享,向全體政務工作者提供一個業(yè)務處理、輔助辦公的工作平臺,為省門戶網(wǎng)站提供信息源及后臺應用業(yè)務運行支持,外網(wǎng)將分別支持數(shù)據(jù)、語音和視頻業(yè)務,運行各部門的對外業(yè)務系統(tǒng),實現(xiàn)各網(wǎng)間的信息交換和資源共享,同時建立完善的信息安全體系和相應的備份系統(tǒng)。目前國家電子政務外網(wǎng)城域網(wǎng)建設已經(jīng)完成中央城域網(wǎng)4個節(jié)點2.5G環(huán)網(wǎng)的建設;完成國家監(jiān)察部、國務院扶貧辦、勞動和社會保障部、農(nóng)業(yè)部、人事部、國家審計署等中央部門接入外網(wǎng)的工作;完成國家外網(wǎng)與全國32個省級外網(wǎng)節(jié)點的互聯(lián)互通工作;開通至中國網(wǎng)通100M出口;開通至中國聯(lián)通 100M出口;同時各省按照中共中央辦公廳、國務院辦公廳中

9、辦發(fā)200217 號、 200618 號文件精神的要求,建設覆蓋省、市、縣各級黨委、人大、政府、政協(xié)、法院、檢察院及其組成部門、直屬機構(gòu)的政務外網(wǎng),在省內(nèi)統(tǒng)一組織建設構(gòu)建五大基礎數(shù)據(jù)庫:法人數(shù)據(jù)庫、人口數(shù)據(jù)庫、地理信息數(shù)據(jù)庫、宏觀經(jīng)濟數(shù)據(jù)庫、法律法規(guī)數(shù)據(jù)庫,可以通過對省級數(shù)據(jù)庫進行訪問的方式進行數(shù)據(jù)共享、交換、查詢和比對。2 政務外網(wǎng)的整體框架電子政務外網(wǎng)是國家政務外網(wǎng)的延伸和拓展。在各省駐地有華為高端路由器,作為省上聯(lián)中央的PE 設備。省政務外網(wǎng)平臺,上連國家政務外網(wǎng),下連市的政務外網(wǎng)。構(gòu)建省城城域網(wǎng)、 省到市廣域網(wǎng),根據(jù)國家外網(wǎng)中央城域網(wǎng)的接入部委,實現(xiàn)大部分省直廳局與省政務外網(wǎng)的連接,貫

10、通政府業(yè)務部門中央到省的信息通道;地市電子政務網(wǎng),上連省電子政務網(wǎng),下連接到縣、區(qū),有條件的地方可以連接到鄉(xiāng)、鎮(zhèn)和社區(qū),橫向連接到黨委、人大、 政府、 政協(xié)、 法院、 檢察院及各職能部門的內(nèi)部局域網(wǎng)。在地市建立政務網(wǎng)平臺,平臺一般包括:機房、網(wǎng)絡接入設備、安全設備、計算機設備、基礎軟件(包括操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、應用服務器)等。地市在政務網(wǎng)上建設統(tǒng)一的政府辦公平臺,平臺上集成有各類應用系統(tǒng)、各類數(shù)據(jù)庫。應用系統(tǒng)根據(jù)其功能和使用角色分別集成到政府門戶、政務門戶,各類公務員按照分配的角色權限、采用單點登錄的方式統(tǒng)一使用政務平臺上的功能。地市縣建設的政府門戶,與政務網(wǎng)邏輯連接,政府門戶直接為老百

11、姓服務,實現(xiàn)政府門戶受理、政務網(wǎng)辦理、政府門戶結(jié)果發(fā)布的工作模式。在技術上,各局委辦不建設技術平臺,統(tǒng)一使用地市平臺。3政務外網(wǎng)網(wǎng)絡安全及VPN建設目標在電子政務外網(wǎng)整體框架下,通過政務外網(wǎng)VPN 的建設,補充目前政務外網(wǎng)接入的形式。對于省網(wǎng)建設相對滯后地區(qū),各級機構(gòu)利用專線方式接入難度較大,而采用 VPN 網(wǎng)關和技術可以利用廉價Internet資源滿足接入單位安全接入政務外網(wǎng)的需求。需求主要場景如下:省各廳局委辦通過 VPNT其所屬的國家部門互通;省各廳局委辦通過 VPNW有業(yè)務需求的國家部門互通;省各廳局委辦通過VPNE通;各廳局委辦移動用戶安全接入 VPN(統(tǒng);4政務外網(wǎng)VPN建設需求及

12、建設原則政務外網(wǎng)VPN 建設需求分析:1)穩(wěn)定可靠性的需求:政務外網(wǎng)vp源統(tǒng)的穩(wěn)定性和可靠性關系整個政務外網(wǎng)vpNK入用戶業(yè)務的延續(xù)性,是政務外網(wǎng) VPNT行性的基礎。為確保政務外網(wǎng) VPN(統(tǒng)穩(wěn)定可 靠運行,政務外網(wǎng)VPNS設選擇的產(chǎn)品和解決方案必須是經(jīng)過市場考驗,采用成熟 技術支撐的產(chǎn)品和解決方案。2)安全性的需求:安全性是整個政務外網(wǎng)VPNk務開展的前提,主要有以下幾個方面:a)必須符合國家信息安全相關條例及國家等級保護策略,選擇通過國家VPM目關技術鑒定的產(chǎn)品,從而能夠達到符合安全性的國家標準要求通過制定VP成全策略性,在解決方案設計中實施如CA Ukey、防入侵檢測等安全手段,提升政

13、務外網(wǎng) VPN勺安全性。關注網(wǎng)絡安全發(fā)展的趨勢,對 VPfT品的安全特性的擴展性提出相應擴展的要 求。3)大容量的需求:政務外網(wǎng) VPN各滿足省網(wǎng)未覆蓋到的省、市、區(qū)、鎮(zhèn)等各級部門以及大量移動辦公用戶的 VPN入,又產(chǎn)品VPN Tunnel的容量及擴展性提出很高的要求。4)高性能的需求:面對大量有訪問需求的政府機構(gòu)機關和移動辦公用戶,性能將直接影響到各廳局委辦訪問省政務平臺數(shù)據(jù)資源時的效率和使用體驗,對 VPNServer的 性能主要有兩個方面;一個是加解密吞吐量,體現(xiàn)了政府分支機構(gòu)可獲得的最大數(shù)據(jù)帶寬、一個是時延,時延直接關系業(yè)務的感受以及政務平臺多項業(yè)務的開展,如:VoIP、視頻會議等。對

14、 VPN Client的需求主要是 Qo要求。互通性的需求:又于政務外網(wǎng) VPN勺互通性主要體現(xiàn)在: VPN Server通過省RtDf國 家MPLS VP甌通,與省各級部門 VPN Gateway!:通。6)可管理性的需求:良好的可管理性將大幅降低管理維護人員耗費的精力,有助于快 速正確響應各類業(yè)務需求。VPNServer的可管理性主要體現(xiàn)在自身是否有圖形化的管理維護軟件,以及是否可以支持第三方的管理系統(tǒng)。4.2 政務外網(wǎng)VPN建設的基本設計原則政務外網(wǎng)VPN設計遵循以下建網(wǎng)原則:標準化原則標準化是電子政務建設的基礎保障,應用服務系統(tǒng)建設必須在業(yè)務流程化、安全體系和安全技術、信息表示和信息交

15、換、網(wǎng)絡協(xié)議、軟件結(jié)構(gòu)、軟件平臺等標準方面遵循國家有關電子政務技術標準,才能達到“互連、互通、互操作”要求,實現(xiàn)“信息交換、資源共享”。安全保密性原則在數(shù)據(jù)庫設計、應用操作權限和身份認證方面均嚴格遵循國家電子政務有關安全、保密標準,全面加強安全措施,所有應用項目采用符合國家電子政務標準的基礎軟硬件。可靠性原則系統(tǒng)能有效的避免單點失敗,在設備選擇和互聯(lián)時應提供充分的冗余備份,實現(xiàn)7X24小時不間斷工作。經(jīng)濟實用原則以需求為基礎,充分考慮發(fā)展的需要來確定系統(tǒng)規(guī)模,功能模塊子系統(tǒng)以插件方式擴展。系統(tǒng)應突出實用,要讓系統(tǒng)的投資與各省電子政務系統(tǒng)建設的實際需求相符合。可管理性原則系統(tǒng)設備易于管理、維護,

16、操作簡單,便于配置,在安全性、數(shù)據(jù)流量、性能等方面能得到很好的監(jiān)視和控制,可以進行遠程管理和故障診斷。先進性原則系統(tǒng)的結(jié)構(gòu)設計、配置、管理方式,應采用成熟的先進技術,延長系統(tǒng)的生命周期。開放兼容性原則系統(tǒng)要求開放性好、標準化程度高,系統(tǒng)建設應與現(xiàn)有的一些單位局域網(wǎng)系統(tǒng)平臺兼容。系統(tǒng)建立符合國家和各省關于電子政務及信息化建設有關標準??蓴U展性原則系統(tǒng)設備不但滿足當前需要,并在擴充模塊后滿足發(fā)展的需要;保證系統(tǒng)平臺升級時能保護現(xiàn)有投資。先易后難、階段實施的原則將容易實現(xiàn)的重點業(yè)務作為突破口,堅持分階段實施,立足于小步快走,步步見效,滾動發(fā)展,最大限度的減少投資風險,提高系統(tǒng)利用率。保護現(xiàn)有投資原則

17、充分利用現(xiàn)有系統(tǒng),整合已開發(fā)信息資源,發(fā)揮現(xiàn)有投資的效能。技術成熟性原則在系統(tǒng)軟硬件方面, 充分考慮采用國內(nèi)通用的, 成熟的軟硬件產(chǎn)品進行開發(fā),保證系統(tǒng)功能的高效穩(wěn)定。5政務外網(wǎng)VPN建設方案網(wǎng)絡總體結(jié)構(gòu)根據(jù)網(wǎng)絡建設目標和需求,政務外網(wǎng) VPN1設網(wǎng)絡組成如下圖:核心交投機杳政務外國數(shù)據(jù)中心PN_CI i將房用FVPM遠程接入節(jié)點地市政芳數(shù)據(jù)中心各廳局查辦接入節(jié)點iisut 限用履其國!前置機出應用業(yè)搏 賽看撲丁7認證/國首 I睇第一,-箕M牛首理時番猾.-1 廳區(qū)年辦內(nèi)網(wǎng)圖中省干政務外網(wǎng) VPNf Internet相連,各市(地)、縣城域網(wǎng)與Internet相連,之間通 過VPN)O關在In

18、ternet 上建立安全VPN1接。為使政務外網(wǎng)VPNO絡構(gòu)建及維護簡單、層次清晰,其層次結(jié)構(gòu)分為:省干政務外網(wǎng)VPNJ關接入部分:主要各廳局部委局域網(wǎng)經(jīng)互連網(wǎng)通過VPNg入電子政務外網(wǎng),特點是地理位置相對固定,對業(yè)務保障要求高, 用戶終端方面不用改造,操作習慣不會發(fā)生變化。省干政務外網(wǎng)VPhS動用戶部分:隨HOMOffice辦公的需求的旺盛,移動用戶通 過VPNJ、公的數(shù)量越來越多,移動辦公用戶對性能相對要求較低,對安全接入等 方面要求較高。政務外網(wǎng)VPN網(wǎng)關接入方案根據(jù)電子政務外網(wǎng)的需求,國干MPLS VPN結(jié)在省PE,在省PEK由VPN Server與PE1過G口連接,通過VPNServ

19、er提供的VC電能導入對應VPN在不具備專線條件的省廳部委辦 部署FW/VP毆備,并通過Internet與VPN Server建立IPSEC VPN1道傳輸數(shù)據(jù)。各省廳部委 辦縱向互聯(lián)由各廳部委辦 FW/VPNL間直接建立隧道完成橫向互通,減少核心網(wǎng)數(shù)據(jù)流量負 擔。省間的廳部委辦間互通由國干網(wǎng)統(tǒng)一管理。省內(nèi)VPNB過省級VP吃一管理平臺平臺管理??赏ㄟ^VC或VPEM種方案實現(xiàn)IPSEC VPNI國干MPLS VPNt接:VCET案廳局委辦內(nèi)網(wǎng)A ;VPNA站點1串 / 1PSEC VPN Gateway廳局委辦與對應 的虛擬CE建立 IPSEC VPN虛報CE通過于接 口與PE連接,接 人不同

20、VPN國家部A廳局委辦內(nèi)網(wǎng)B ;YPtLB站點2InternVCEVPN十虛也)CE移動辦公用戶移動辦公用戶通 過VPM Client與對 應的虛擬CE建立 L2TP VPN方案特點:VPN Server通過虛擬防火墻、地址轉(zhuǎn)換多實例、multi-VRF等VPN隔離技術,做為一個MPLS VPN網(wǎng)絡統(tǒng)一訪問Internet的出口設備,在 MPLS網(wǎng)絡之外承擔 VCE (VirtualCE)的 功能。在VPN Server的出入接口劃分不同的 VLAN或邏輯子接口,將不同的分支機構(gòu)或不同的 業(yè)務通過進出不同的 VLAN或子接口進入不同的虛擬防火墻VPN實例,從而達到了隔離的目的,為MPLS VP

21、N統(tǒng)一提供Internet訪問。用戶認證通過IKE來提供,可以提供基于證書的方 式,也可以采用per-shared key的方式,通過IKE認證就可以知道該IPSEC隧道應該接入到哪 個MPLS VPN中。VPN Server支持業(yè)務多實例特性,資源獨立存放,可以很好的解決私網(wǎng)地 址重疊的問題。VP的案;移動辦公用戶:起VPN網(wǎng)關采用IPSec方式接入VPE,移動辦公用戶采用L2TP或者L2TP+IPSEC方式接入 VPE,在VPE上實現(xiàn)IP VPN隧道和MPLS LSP 隧道的融合與銜接。VCEF口VPET案比較與VPE方案相比,VCE方案具有明顯的優(yōu)勢:在組網(wǎng)靈活性方面:VCE方案不需要修

22、改現(xiàn)網(wǎng),直接通過internet接口進行VPN連接;而VPE方案則需要修改現(xiàn)網(wǎng),增加 PE設備,同時與各省PE連接起來;在設備選才i方面:VCE方案中的VPN Server設備可以靈活選擇,接入用戶多的可以選擇 性能高的,接入用戶少的可以選擇性能低的;而VPE方案中的VPN Server必須支持MPLS功能,MPLS對設備要求很高,因此不管接入用戶多少,VPN Server必須選擇高端設備;在穩(wěn)定性方面:VCE方案中的VPN Server功能獨立,專門負責IPSEC接入,更能保證功 能長時間穩(wěn)定運行;而 VPE方案中的VPN Server同時負責IPSEC接入與MPLS轉(zhuǎn)發(fā),設備負 荷較大,設

23、備穩(wěn)定性較難控制。VPE方案的優(yōu)勢在于將 PE設備和VPN Server的功能集成在一個設備中實現(xiàn),在某些尚未部署PE設備的場景下,可節(jié)省用戶投資。綜上所述,我們建議政務外網(wǎng) VPNJ關建設拓撲圖如下:廳局委辦國室部網(wǎng)IPSEC VPN GatewayPSEC VPfx Gatouvay廳局委辦與對應 的虛擬CE建立 IPSEC VPNMPLS VPNInternet廳局委辦內(nèi)網(wǎng)B國家部A 國家部臼4kL蜃斤Jg毒辦內(nèi)同印 前置機組網(wǎng)設計說明:1) 在大多數(shù)已經(jīng)部署 P毆備的省份(區(qū)域),核心VPNServer采用兩臺USG2000/5000熱備組網(wǎng),USG2000/5000提供最大4000隧

24、道的擴展,加解密性能達到 IGbps,能夠滿足省廳局委辦的 VPN入需求。核心VPN Server與省RD!過G破口相連,與Internet 通過 ISP 100Mbp 或 1Gbp黜路連接。省干;廳局委辦內(nèi)網(wǎng)AVPM苴站點1國LLdzrJUlUIPSEC VPN Tunnel至閔7Server ClientVPN Manager虛擬GE通過子接 口與PU連接,接 入不同VPNVPN B 站點工PN +通擬CEFudamCOD廳局委辦理作為核心VPN Server的USG 2000/5000采用VC豉術,通過子接口與 PE寸接VPN確 保不同的IPSEC VPNI入各自的 MPLSVPN IP

25、SEC VPNk務間的互通由 PBS行統(tǒng)一部 署與控制;個別尚未部署P豉備的省份(區(qū)域),核心 VPN Server采用一臺USG30401.網(wǎng),在VPE上實現(xiàn)IP VPN隧道和MPLS LSP隧道的融合與銜接;二廳部委辦內(nèi)網(wǎng)A:廳部委辦內(nèi)網(wǎng)B :VPN A站點1VPE3)各廳局委辦根據(jù)自身業(yè)務需求選擇VPN Gateway接入設備。考慮未來網(wǎng)絡擴展性及業(yè)務開展需要,可選如下設備;在省干部署VPNManager管理系統(tǒng),對省內(nèi)VPNk務進行可視化管理, 提升管理效率;VPN勺流量由USG2000/5000鏡像至NIP1000 (入侵檢測系統(tǒng)),實施 USG2000/5000與NIP1000的聯(lián)

26、動,通過NIP1000動態(tài)監(jiān)測數(shù)據(jù)流,提升業(yè)務系統(tǒng)的安全性。省各廳局委辦通過VPN互通方案在廳局委內(nèi)網(wǎng)A和廳局委內(nèi)網(wǎng)B的網(wǎng)絡出口部署IPSec VPN Gateway ,在兩個IPSec VPNGateway之間建立IPSec隧道,穿越internet ,實現(xiàn)IPSec VPN用戶之間的橫向互訪并保證數(shù)據(jù)報在網(wǎng)絡上傳輸時的私有性、完整性、真實性和防重放。政務外網(wǎng)VPN移動用戶接入方案政務外網(wǎng)VPF#為移動用戶提供便捷的 VPN入方案,滿足省內(nèi)用戶出差及非辦公區(qū)辦公時的安全訪問政務外網(wǎng)的需求,網(wǎng)絡拓撲如下:國家部BMPLS2000/000NIT1000Internet將動辦公國干省干移動辦公用戶

27、通過 VPN Client接入VPN Server網(wǎng)關,業(yè)務流程如下:移動辦公用戶終端接入Internet 。在終端上運行VPN Client軟件,選擇或輸入要接入的 VPN Server的IP地址。輸入用戶名密碼點擊連接(對于不同的用戶可在 VPN Server上部署不同的安全策略,如需要接入VPN認證方式等);推薦采用CM USBKEY式顯著提高安全性。4)完成認證后,VPN Client提示接入VPNO絡,移動辦公用戶進行需要的數(shù)據(jù)訪問。移動辦公用戶訪問 MPLS勺數(shù)據(jù)將導入NIP1000入侵檢測系統(tǒng),進行入侵檢測,后續(xù)可考慮部署防病毒網(wǎng)關或其他安全檢測設備,提高訪問的安全性。6華賽VP

28、N接入解決方案特點全面的 VPN 業(yè)務支撐能力華賽VPN1體解決方案能夠提供 L2TP、 GRE IP Sec、 SSL VPN MPLSVPN?多種VPN 接入方式,并支持DES 3DES AES?多種加密算法,結(jié)合華賽公司全系列的VPN備,提供完整的VPN軍決能力。USG 2000/5000防火墻可支持高達1Gbps白3DESb理 能力,提供高性能的LN%艮務。支持從Internet安全接入到MPLS VP網(wǎng)絡,通過一臺USG&火墻的一個物理接口就 可以為Internet上的許多VP附支機構(gòu)接入到MPLSVPN供服務。用戶認證通過IKE 來提供,可以提供基于證書的方式,也可以采用per-s

29、hared key 的方式。通過IKE認證就可以知道該IP Sec隧道應該接入到哪個 MPLS VP即。USG1列防火墻對每個 VPF持了獨立的轉(zhuǎn)發(fā)資源,從源頭上就可以控制不同VPN0戶之間無法互訪。支持Multi-VRF特性,可以為多個VPF存獨立的轉(zhuǎn)發(fā)表項, 這樣可以從轉(zhuǎn)發(fā)層面保 證了業(yè)務隔離。通過這種Multi-VRF技術可以在提供VPNk務的時候,支持私網(wǎng)地址 重疊功能。支持根驗證功能:US映火墻的根系統(tǒng)可以驗證隧道對端,利用IKE進行身份驗證、密鑰協(xié)商,建立起IP Sec隧道之后,就給這個IP Sec隧道標定了一個 VPN然后將 IP Sec 隧道的流量引入到對應的虛擬防火墻處理。這

30、種方式的處理,可以給Internet的分支機構(gòu)接入到VPN!供了技術保證,可以使得 Internet上的分支機構(gòu)訪問特定VPN。支持多個虛系統(tǒng);USG防火墻的一個虛系統(tǒng)連接一個分支機構(gòu),由這個虛系統(tǒng)來驗證隧道對端,利用IKE進行身份驗證、密鑰協(xié)商,建立的IP Sec隧道只能限定在這個虛系統(tǒng)內(nèi)部。這種方式可以給VPNB戶提供加密接入到骨干網(wǎng)提供了技術保證,可以使得分支機構(gòu)在骨干網(wǎng)邊緣通過加密方式接入到VPN提供高可靠的VPN接入服務。接入控制權限嚴格,USGB火墻可以根據(jù)用戶名、密碼來控制訪問VPN勺接入權限, 這樣可以使得出差員工,超級用戶(需要訪問不同VP隘源)等不同的用戶。支持采用Radi

31、us協(xié)議統(tǒng)一管理用戶,可以提供雙因子驗證方式,采用令牌+固定口令 的方式提供高可靠的接入服務。領先的業(yè)務性能及高可靠的硬件體系USG(列防火墻采用新一代電信級的硬件高速狀態(tài)防火墻,強大的攻擊防范能力,提供靜態(tài)和動態(tài)黑名單過濾等特性,可提供豐富的統(tǒng)計分析功能和日志。USGf火墻具有一個完整的安全方案技術體系,可以為用戶提供綜合的安全解決方案。USG 2000/5000防火墻采用NP (網(wǎng)絡處理器)的硬件結(jié)構(gòu),可以支持10K以上的并發(fā)用戶,提供1G吞吐量的VPM艮務。USG(列防火墻支持雙機備份組網(wǎng)方式,雙機模式支持IP Sec/L2TP業(yè)務,可以通過雙機提供更可靠安全的接入模式。在做VPNO關的

32、同時,可以為整個企業(yè)網(wǎng)提供安全可靠的運行環(huán)境,保證整個企業(yè)網(wǎng)的安全。USGf火墻產(chǎn)品根據(jù)數(shù)據(jù)報文的特征,以及Dos攻擊的不同手段,可以針對 ICMPFlood、SYNFlood、UDPFlood等各種Dos攻擊手段進行 Do畋擊的防御。同時, USG 防火墻可以主動識別出數(shù)十種常見的攻擊種類,很多種攻擊種類造成的后果就是Dos形式的攻擊,USGf火墻可以主動發(fā)現(xiàn)并隔斷這些非法攻擊,消除了內(nèi)部網(wǎng)絡遭受攻擊的可能。 通過對各種攻擊的防御手段,利用USGf火墻可以組建一個安全的防御體系,保證網(wǎng)絡不遭受 Dos攻擊的侵害。USG(列防火墻支持使用 TCP弋理方式來防止SYN Flood類的Do既擊,通

33、過精確的 驗證可以準確的發(fā)現(xiàn)攻擊報文,對正常報文依然可以通過允許這些報文訪問防火墻資源,而攻擊報文則被 USGf火墻丟棄。圖形化的便捷管理政務外網(wǎng)VPNf理子系統(tǒng)由華賽 VPN Manage添統(tǒng)構(gòu)成;其主要功能是簡化 VPNk務的管 理,增強了 IP VPN的管理、維護和運營手段。主要有以下特點:所見即所得的業(yè)務預部署在網(wǎng)管上進行離線的業(yè)務定義,直到確認無錯后再下發(fā)的設備上使得業(yè)務生效,對運營商非常重要。VPNManager可以離線地進行所有的業(yè)務定義,并且通過各種拓撲 視圖達到所見即所得的效果。配置變更監(jiān)控功能VPNManager提供配置審計功能,自動定期地檢查出網(wǎng)絡業(yè)務管理系統(tǒng)和設備上當前

34、 配置的不一致性,發(fā)送告警給運維人員,并能提供配置變更的詳細信息?,F(xiàn)網(wǎng)業(yè)務的自動發(fā)現(xiàn)與還原如果在安裝Secospace VPN Manager之前,網(wǎng)絡設備上已經(jīng)部署了IPSec VPN業(yè)務。VPNManager可以讀取設備上的配置文件等數(shù)據(jù),自動在VPNManager上還原出IPSecVPNk務,從而避免部署后續(xù)業(yè)務時發(fā)生資源沖突,使得新老業(yè)務可以統(tǒng)一管理。方便的性能統(tǒng)計功能VPN Manager提供實時性能數(shù)據(jù)查看功能,可對VPNk務的流量、帶寬利用率、時延、丟包、抖動等實時性能進行監(jiān)控,并提供歷史性能數(shù)據(jù)分析功能。有助于用 戶了解當前網(wǎng)絡運行的基本情況和性能狀態(tài),預防網(wǎng)絡事故發(fā)生,預測網(wǎng)

35、絡運行 狀態(tài)。支持跨平臺特性VPNManager基于華賽公司統(tǒng)一的 VS稀合管理應用平臺,既可以運行在Solaris操作系統(tǒng)下,也可以運行在Windows操作系統(tǒng)下。既可提供規(guī)模網(wǎng)絡的高端解決方案, 也可適應低成本的解決方案 簡單快捷的系統(tǒng)安裝 提供圖形化、向?qū)降陌惭b和升級方式,系統(tǒng)自動設置靜態(tài)參數(shù)和初始化數(shù)據(jù)。安裝程序?qū)崿F(xiàn)按需定制組件的功能。友好的人機界面充分考慮用戶的操作習慣,提供統(tǒng)一風格的告警、拓撲和業(yè)務配置管理界面,保 持一致的視覺效果,提供批量化的操作手段,簡化用戶日常操作。7 部分產(chǎn)品介紹華賽 USG2000/5000 簡介USG2000/5000是華賽公司推出的具有防火墻功能的

36、統(tǒng)一安全網(wǎng)關。USG2000/5000基于華賽專業(yè)的多核硬件平臺以及強大的VRP軟件平臺,不僅具備優(yōu)異(NAT) 功能。為了更好地滿足網(wǎng)吧的實際需要,USG2000/5000還支持豐富的多媒體協(xié)議和路由協(xié)議,組網(wǎng)方式靈活多樣,是大中網(wǎng)吧理想的網(wǎng)絡安全防護設備。華賽 USG2000/5000 功能特點安全區(qū)域管理基于安全區(qū)域的隔離華賽USG2000/5000統(tǒng)一安全網(wǎng)關的安全隔離是基于安全區(qū)域,這樣的設計模型為用戶在實際使用統(tǒng)一安全網(wǎng)關的時候提供了十分良好的管理模型。華賽統(tǒng)一安全網(wǎng)關提供了基于安全區(qū)域的隔離模型,每個安全區(qū)域可以按照網(wǎng)絡的實際組網(wǎng)加入任意的接口,因此統(tǒng)一安全網(wǎng)關的安全管理模型是不

37、會受到網(wǎng)絡拓撲的影響??晒芾淼陌踩珔^(qū)域業(yè)界很多防火墻一般都提供受信安全區(qū)域(trust)、非受信安全區(qū)域(untrust)、非軍事化區(qū)域(DMZ )三個獨立的安全區(qū)域,這樣的保護模型可以適應大部分的組網(wǎng)要求,但是在一些安全策略要求較高的場合,這樣的保護模型還是不能滿足要求。華賽統(tǒng)一安全網(wǎng)關默認提供四個安全區(qū)域:trust、untrust、DMZ、local,在提供三個最常用的安全邏輯區(qū)域的基礎上還新增加了本地邏輯安全區(qū)域,本地安全區(qū)域可以定義到統(tǒng)一安全網(wǎng)關本身的報文,保證了統(tǒng)一安全網(wǎng)關本身的安全防護。例如, 通過對本地安全區(qū)域的報文控制,可以很容易的防止不安全區(qū)域?qū)y(tǒng)一安全網(wǎng)關本身的Telne

38、t、即等訪問。華賽統(tǒng)一安全網(wǎng)關還提供自定義安全區(qū)域,可以最大定義16個安全區(qū)域,每個安全區(qū)域都可以加入獨立的接口。基于安全區(qū)域的策略控制華賽統(tǒng)一安全網(wǎng)關支持根據(jù)不同的安全區(qū)域之間的訪問設計不同的安全策略組(ACL訪問控制列表), 每條安全策略組支持若干個獨立的規(guī)則。這樣的規(guī)則體系使得統(tǒng)一安全網(wǎng)關的策略十分容易管理,方便用戶對各種邏輯安全區(qū)域的獨立管理?;诎踩珔^(qū)域的策略控制模型,可以清晰的分別定義從trust到untrust、從DMZ至Uuntrust之間的各種訪問,這樣的策略控制模型使得華賽統(tǒng)一安全網(wǎng)關的網(wǎng)絡隔離功能具有很好的管理能力。安全策略控制靈活的規(guī)則設定華賽統(tǒng)一安全網(wǎng)關可以支持靈活的

39、規(guī)則設定,可以根據(jù)報文的特點方便的設定各種規(guī) 則。可以依據(jù)報文的協(xié)議號設定規(guī)則可以依據(jù)報文的源地址、目的地址設定規(guī)則可以使用通配符設定地址的范圍,用來指定某個地址段的主機針對 UDP 和 TCP 還可以指定源端口、目的端口針對目的端口、源端口可以采用大于、等于、介入、 不等于等方式設定端口的范圍針對 ICMP 協(xié)議,可以自由的指定ICMP 報文的類型和Code 號,可以通過規(guī)則針對任何一種ICMP 報文可以針對IP 報文中的TOS 域設定靈活的規(guī)則可以將多個報文的地址形成一個組,作為地址本,在定義規(guī)則時可以按組來設定規(guī)則,這樣規(guī)則的配置靈活方便高速策略匹配通常, 防火墻的安全策略都是由很多規(guī)則

40、構(gòu)成的,因此在進行策略匹配的時候會影響防火墻的轉(zhuǎn)發(fā)效率。華賽統(tǒng)一安全網(wǎng)關采用了ACL 匹配的專門算法,這樣就保證了在很多規(guī)則的情況下,統(tǒng)一安全網(wǎng)關依然可以保持高效的轉(zhuǎn)發(fā)效率,系統(tǒng)在進行上萬條ACL 規(guī)則的查找時,性能基本不受影響,處理速度保持不變,從而確保了ACL 查找的高速度,提高了系統(tǒng)整體性能。MAC 地址和 IP 地址綁定華賽統(tǒng)一安全網(wǎng)關根據(jù)用戶配置,將MAC和IP地址進行綁定從而形成關聯(lián)關系。對于從該IP地址發(fā)來的報文,如果 MAC地址不匹配則被丟棄;對于發(fā)往該 IP地址的報文都被強 制發(fā)送到指定的MAC地址處,從而有效避免IP地址假冒的攻擊行為。動態(tài)策略管理黑名單技術華賽統(tǒng)一安全網(wǎng)關

41、可以將某些可疑報文的源IP地址記錄在黑名單列表中,系統(tǒng)通過丟棄黑名單用戶的所有報文,從而有效避免某些惡意主機的攻擊行為。統(tǒng)一安全網(wǎng)關提供如下幾種黑名單列表維護方式:手工添加黑名單記錄,實現(xiàn)主動防御與攻擊防范結(jié)合自動添加黑名單記錄,起到智能保護可以根據(jù)具體情況設定 白名單, 使得即使存在黑名單中的主機,依然可以使用部分的網(wǎng)絡資源。例如, 即使某臺主機被加入到了黑名單,但是依然可以允許這個用戶上網(wǎng)。黑名單技術是一種動態(tài)策略技術,屬于響應體系。統(tǒng)一安全網(wǎng)關在動態(tài)運行的過程中,會發(fā)現(xiàn)一些攻擊行為,通過黑名單動態(tài)響應系統(tǒng),可以抑制這些非法用戶的部分流量,起到保護整個系統(tǒng)的作用。豐富的接入方式USG接口類

42、型豐富,接口密度大。固定、移動、無線統(tǒng)一接入,家庭、企業(yè)、熱點統(tǒng)一接入最大程度滿足了用戶多種接入需求。支持WIFI、3G,同時滿足用戶 WLAN/WWAN 無線網(wǎng)絡需求:WiFi ( Wireless Fidelity )基于無線局域網(wǎng)(WLAN ) IEEE 802.11 標準,提供戶內(nèi)、辦公室或熱點地區(qū)的無線網(wǎng)絡接入功能。支持802.11b、802.11g及混合制式,通過 WiFi天線,可提供1Mbps54Mbps速率的無線 WLAN接入。3G( The Third Generation )是第三代移動通信系統(tǒng),相對于第一代模擬制式系統(tǒng)(1G)和第二代GSM、TDMA等數(shù)字系統(tǒng)(2G),是

43、指將無線通信與因特網(wǎng)等多媒體通信結(jié)合的 新一代移動通信系統(tǒng)。ITU ( International Telecommunication Union )已經(jīng)將W-CDMA 、CDMA2000和TD-SCDMA確定為三大主流無線接口標準。USG可以插入多種3G數(shù)據(jù)卡,局域網(wǎng)用戶可以通過3G數(shù)據(jù)卡上行接入網(wǎng)絡。通過插入不同的3G數(shù)據(jù)卡,可支持 WCDMA、CDMA2000 和 TD-SCDMA 三種制式。USG2100提供了如下接口和槽位。帶W的機型還提供了 WLAN功能,可提供靈活、可擴展的無線接入。9 個固定 FE 接口個 USB 槽位,可安裝3G 接口卡個 Express 槽位,可安裝3G 接

44、口卡個 MIC 擴展槽位和2個 MIC 擴展槽位USG2200 提供了如下接口和槽位。安裝MIC-WIFI 接口卡后可提供靈活、可擴展的無線接入。 2 個固定的GE Combo 口,提供了2 個千兆光口和2 個千兆電口個 USB 槽位4 個 MIC 擴展槽位、2個 FIC 擴展槽位。上下相鄰的兩個MIC 槽位可擴展為 1 個 DMIC 槽位、兩個FIC 槽位可擴展為1 個 DFIC 槽位。USG5100 提供了如下接口和槽位。安裝MIC-WIFI 接口卡后可提供靈活、可擴展的無線接入。USG5120 提供2 個固定的GE Combo 口; USG5150 提供 4 個固定的GECombo 口U

45、SG5120 提供2 個固定的GE 電接口2 個 USB 槽位USG5120/5150 還提供了4 個 MIC 擴展槽位、4/6 個 FIC 槽位。 上下相鄰的MIC 可擴展為DMIC 槽位、相鄰的FIC 可擴展為DFIC 槽位。USG 的擴展槽位可選配 FE/GE/E1/CE1/ADSL2+/G.SHDSL/SA/3G/WIFI 等多種接口。同時,USG還支持將多個以太網(wǎng)接口捆綁成一個Eth-Trunk邏輯接口,起到增加帶寬、提高可靠性、負載分擔的作用。PPPoE、L2TP等鏈路層協(xié)議配合 AAA、IPSec協(xié)議,為用戶的認證、授權、計費及安全 訪問提供整套的解決方案。卓越的路由交換特性US

46、G支持多種路由交換協(xié)議,可滿足中小型企業(yè)、 大中型企業(yè)的分支機構(gòu)、行業(yè)網(wǎng)的分支機構(gòu)以及部分電信網(wǎng)絡的需求。VLAN : VLAN 可以隔離廣播域,抑制廣播報文;分隔用戶,提高網(wǎng)絡安全性;提供虛擬工作組,超越傳統(tǒng)網(wǎng)絡的工作方式。MSTP:可應用于環(huán)路網(wǎng)絡,通過一定的算法實現(xiàn)路徑冗余,同時將環(huán)路網(wǎng)絡修剪 成無環(huán)路的樹型網(wǎng)絡,從而避免報文在環(huán)路網(wǎng)絡中的增生和無限循環(huán)。靜態(tài)路由:當網(wǎng)絡結(jié)構(gòu)比較簡單時,只配置靜態(tài)路由就可以使網(wǎng)絡正常工作。設置 和使用靜態(tài)路由可以改進網(wǎng)絡的性能,并可為重要的應用保證帶寬。RIP/RIPng: RIP 是一種較為簡單的內(nèi)部網(wǎng)關協(xié)議,基于距離矢量算法,通過UDP報文進行路由信

47、息的交換,使用的端口號為520。并支持下一代支持IPv6 的 RIP協(xié)議:RIPng。OSPF/OSPFv3: OSPF 是一種應用廣泛的IGP 協(xié)議,承載于IP 包內(nèi)。收斂快、無環(huán)路、分層的網(wǎng)絡劃分等特點決定了這種路由協(xié)議更適用于大中型網(wǎng)絡。OSPFv3提供了對IPv6 的支持。ISIS: ISIS 最初是國際標準化組織ISO 為它的無連接網(wǎng)絡協(xié)議CLNP 設計的一種動態(tài)路由協(xié)議。為了提供對IP 的路由支持,IETF 在 RFC1195 中對 IS-IS 進行了擴充和修改, 使它能夠同時應用在TCP/IP 和 OSI 環(huán)境中,稱為集成化IS-IS( IntegratedIS-IS 或 Dua

48、l IS-IS )。BGP/BGP4+ : BGP( Border Gateway Protocol ) 是一種用于自治系統(tǒng)AS( AutonomousSystem) 之間的動態(tài)路由協(xié)議。其著眼點不在于發(fā)現(xiàn)和計算路由,而在于控制路由的傳播和選擇最佳路由。為了提供對IPv6 等多種網(wǎng)絡層協(xié)議的支持,IETF 對 BGP4進行了擴展,形成BGP4+。路由策略:路由策略是為了改變網(wǎng)絡流量所經(jīng)過的途徑而修改路由信息的技術,主要通過改變路由屬性(包括可達性)來實現(xiàn)。提供了多種過濾器可靈活控制路由。單播策略路由:策略路由PBR 與單純依照IP 報文的目的地址查找FIB 表進行轉(zhuǎn)發(fā)不同,是一種依據(jù)用戶制定的

49、策略而進行路由選擇的機制。PBR 支持基于到達報文的源地址、報文長度等信息,依據(jù)用戶制定的策略進行路由選擇,可應用于安全、負載分擔等目的。IGMP : 作為因特網(wǎng)組管理協(xié)議,是 TCP/IP 協(xié)議族中負責IP 組播成員管理的協(xié)議,它用來在IP 主機和與其直接相鄰的組播路由器之間建立、維護組播組成員關系。PIM-DM : PIM-DM ( Protocol Independent Multicast Dense Mode )稱為協(xié)議無關組播密集模式,屬于密集模式的組播路由協(xié)議,適用于組成員分布相對密集的小型網(wǎng)絡。PIM-SM : -SM ( Protocol Independent Multic

50、ast-Sparse Mode )稱為協(xié)議無關組播稀疏模式,屬于稀疏模式的組播路由協(xié)議,適用于組成員分布相對分散、范圍較廣、大規(guī)模的網(wǎng)絡。MSDP : MSDP 是 Multicast Source Discovery Protocol (組播源發(fā)現(xiàn)協(xié)議)的簡稱,是為了解決多個PIM-SM ( Protocol Independent Multicast Sparse Mode , 協(xié)議無關組 播 稀疏模式)域之間的互連而開發(fā)的一種域間組播解決方案,用來發(fā)現(xiàn)其它PIM-SM 域內(nèi)的組播源信息。黑名單過濾惡意主機USG可以提供丟棄黑名單用戶的所有報文來為用戶提供安全保證。當USG根據(jù)報文的行為特

51、征察覺到特定IP地址的用戶的攻擊企圖后,主動將其加入黑名單表項,過濾從該IP地址發(fā)送的報文,從而保障網(wǎng)絡安全。USG可以手工添加黑名單,可以動態(tài)地添加或刪除黑名單,還可以將黑名單與ACL關聯(lián), 即報文命中黑名單后,查找黑名單關聯(lián)的ACL 策略,如果命中ACL 策略并且策略允許通過,則報文可以通過,否則報文被過濾丟棄。同基于ACL的包過濾功能相比,由于黑名單僅對IP地址進行匹配,可以以很高的速度實現(xiàn)黑名單表項匹配,從而快速有效地屏蔽特定IP地址的用戶。IP和MAC地址綁定USG可以配置MAC (Media Access Control)和IP地址綁定,根據(jù)用戶的配置,USG在IP 地址和 MAC

52、 地址之間形成關聯(lián)關系:對于聲稱源地址為這個IP 地址的報文,如果其MAC 地址不是指定關系對中的MAC 地址,將予以丟棄。目的地址為這個IP 地址的報文,在通過 USG 時將被強制發(fā)送到MAC-IP 地址關聯(lián)關系中,該IP 地址對應的MAC 地址,從而對用戶形成有效的保護。MAC和IP地址綁定是避免IP地址假冒攻擊的一種有效手段。強大的攻擊防范能力防范蠕蟲病毒:USG 根據(jù)蠕蟲病毒的特點,設計了增強的流量監(jiān)控/檢測功能、增強的用戶連接數(shù)檢測功能、增強的防IP 地址掃描、防端口掃描功能及增強的黑名單功能。 可以設定是否允許染毒用戶繼續(xù)通過,還是封閉該用戶一段時間。配合黑名單功能,可以提取出可疑

53、的用戶列表名單。防范多種DDoS 攻擊: USG 可以有效地檢測出這些類攻擊報文,通過丟棄這些報文等處理措施避免攻擊行為,同時將這些攻擊行為記錄在日志中。目前,USG 可以防范多種DDoS 攻擊,主要包括:SYN Flood 攻擊、 ICMP Flood 、 UDP Flood 攻擊、 DNS Flood 、 TCP Flood、 Land 攻擊、 Smurf 攻擊、 Fraggle 攻擊、 WinNuke 攻擊、 ICMP 重定向或不可達報文、TCP 報文標志位(如ACK 、 SYN 、 FIN 等)不合法、 Ping of Death 攻擊、 Tear Drop 攻擊等。防范掃描窺探攻擊:

54、攻擊者通過掃描窺探就能大致了解目標系統(tǒng)提供的服務種類和潛在的安全漏洞,為進一步侵入系統(tǒng)做好準備。USG 通過比較分析,可以靈活高效地檢測出這類掃描窺探報文,從而預先避免后續(xù)的攻擊行為。 防范其它攻擊:USG 除了可以有效防范多種DDoS 攻擊和掃描窺探外,還可以有效防范 IP Spoofing 攻擊、帶源路由選項的IP 報文攻擊、帶路由記錄選項的IP 報文攻擊、利用tracert 工具窺探網(wǎng)絡結(jié)構(gòu)等其他攻擊,確保系統(tǒng)訪問權的安全。VPN 特性支持USG為用戶提供了 L2TP、GRE、IPSec、L3VPN等多種VPN組網(wǎng)技術,為用戶提供了更 多的選擇。憑借強大的技術實力,USG的產(chǎn)品加密性能在

55、業(yè)界同類產(chǎn)品中處于領先位置,并且支持DES、3DES、AES、RSA等多種加密算法,能夠為用戶提供高強度的加密傳輸保障; 同時,結(jié)合全系列的網(wǎng)絡安全產(chǎn)品,可以為用戶提供完整的VPN 解決方案。靈活的擴展能力USG采用自主研發(fā)的軟件平臺和具有自主知識產(chǎn)權的安全操作系統(tǒng)。數(shù)據(jù)平面和管理平面完全分離,這種無依賴性提高了系統(tǒng)安全性。具有很強的可伸縮性、可配置性,并且接口開放,是一個可不斷豐富和持續(xù)發(fā)展的系統(tǒng)平臺。USB、FLASH、SD卡等多種新型存儲介質(zhì)的應用提供了對設備存儲介質(zhì)的擴展能力。USG系列提供豐富的接口種類,包括FE、GE、Console、USB、3G、WLAN、Flash卡接口和可選配

56、的MIC、DMIC、FIC和DFIC擴展插槽,部分型號還額外支持一個Express接口專門用于擴展3G接口。模塊化的設計保證了用戶投入的擴展能力,極強的硬件可擴展性為 用戶以多種方式接入和日后的網(wǎng)絡升級提供最大程度的投資保護。USG支持安裝X86開放業(yè)務平臺,該平臺提供了獨立的硬件基礎,配合不同的軟件實現(xiàn) 業(yè)務的無限擴展能力。良好的管理維護功能USG充分考慮了用戶對網(wǎng)絡管理的需求,可以實現(xiàn)統(tǒng)計、 管理、定位功能。還可以遠程通過網(wǎng)管配置和維護設備,極大的降低了運營和管理成本。支持如下多種設備管理和維護功能:支持通過Console 口進行本地配置和維護。支持通過Telnet 方式進行本地或遠程維護

57、。支持SSH (Secure Shell)維護管理方式,實現(xiàn)在不能保證安全的網(wǎng)絡上提供安全信息保障和強大認證功能,以避免受到IP 地址欺詐、明文密碼截取等攻擊。支持SNMP( Simple Network Management Protocol )( v1/v2c/v3) 協(xié)議和 Client/Server體系結(jié)構(gòu),接受NMS( Network Management System )網(wǎng)管站的管理,如接受華為公司網(wǎng)管平臺iManager N2000 的管理。提供基于GUI (Graphic User Interface )的 Web管理界面,為用戶提供友好的配置和管理界面。USG 系列支持通過H

58、TTP( Hyper Text Transfer Protocol )和 HTTPS( Secure Hyper Text Transfer Protocol )協(xié)議訪問Web 管理界面。可以通過CWMP (TR069)協(xié)議對設備進行遠程批量配置和升級,并提供相應管理的缺省配置模板。通過 U 盤自動升級,實現(xiàn)方便的版本升級、配置。支持一鍵恢復,通過面板上的Reset鍵完成對設備一鍵恢復到設備的出廠缺省配置。增強的日志管理功能,為用戶提供了記錄、審計的依據(jù):兩種日志輸出方式:不僅能通過文本方式輸出SYSLOG 日志,而且還針對流經(jīng)設備的數(shù)據(jù)流量大和日志信息豐富等特點,創(chuàng)建基于流狀態(tài)的信息表,并通

59、過二進制方式輸出高速流日志。完整統(tǒng)一的日志信息:提供攻擊防范日志、流量監(jiān)控日志、黑名單日志、統(tǒng)計信息日志。與 Elog 聯(lián)動: eLog 日志管理系統(tǒng)是設備的日志管理系統(tǒng)。通過高效地采集設備的日志, 用戶能及時了解設備的運行情況,跟蹤網(wǎng)絡用戶的行為,迅速識別并消除安全威脅。通過與elog 聯(lián)動實現(xiàn)日志信息的海量存儲與快捷查詢,有效幫助用戶定位網(wǎng)絡問題和設備運行的歷史信息。完備的 IPv4/IPv6 解決方案USG全面支持IPv4和IPv6雙協(xié)議棧工作方式,提供完整的IPv6特性和IPv4網(wǎng)絡向IPv6網(wǎng)絡平滑遷移的解決方案。支持常見應用層協(xié)議的NAT-PT 和 NAT-PT ALG 。支持多種

60、IPv6 over IPv4 隧道和 IPv4 over IPv6 隧道。支持豐富的IPv6 路由協(xié)議特性。領先的 UTM 技術USG系列產(chǎn)品基于領先的應用層分析成果,集成了 IPS、防病毒、URL過濾等多種應用層防護功能,更好的滿足用戶同時應對多種網(wǎng)絡安全威脅的需求。華為賽門鐵克擁有強大的協(xié)議分析團隊,支持對多達500多種網(wǎng)絡協(xié)議以及數(shù)千種威脅特征的深度分析。USG系列產(chǎn)品能夠有效的識別各種網(wǎng)絡應用中存在威脅與漏洞,用戶不必再擔心含有惡意代碼的網(wǎng)站、攜帶病毒的郵件、木馬、后門、內(nèi)部員工訪問非法網(wǎng)站等問題,對用戶機構(gòu)中面臨的各種網(wǎng)絡安全威脅實現(xiàn)有效的保護。反病毒:AV (Anti-Virus

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論