USG9500系列防火墻產(chǎn)品介紹

1、華為USG9500系列防火墻產(chǎn)品介紹目錄USG9500產(chǎn)品定位USG9500產(chǎn)品外觀USG9500產(chǎn)品硬件架構(gòu)USG9500產(chǎn)品軟件架構(gòu)各自為政數(shù)據(jù)分散互聯(lián)互通上報同步云計算VDC/VDI虛擬化智能化時間第一階段第二階段第三階段數(shù)據(jù)大集中高可靠安全容災(zāi)備份設(shè)備統(tǒng)一管理數(shù)據(jù)中心演進云“到2012年，80%的財富1000強企業(yè)將使用云計算服務(wù)，20%的企業(yè)將不再擁有自己的IT資產(chǎn)” Gartner“云計算”是下一代數(shù)據(jù)中心的平臺，具備以下特征：云計算的時代已經(jīng)到來新穎的商業(yè)服務(wù)模式：IaaS（基礎(chǔ)設(shè)施即服務(wù)）、PaaS（平臺即服務(wù)）、SaaS（軟件即服務(wù)）無限擴展的計算資源：IT資源通過網(wǎng)絡(luò)可隨時

2、獲取、按需使用、易于擴展革新性的IT&CT技術(shù)：虛擬化、分布式計算、智能化、自動化CSDN客戶調(diào)研云計算存在的問題TOP2均為安全問題：基礎(chǔ)設(shè)計安全：云計算的網(wǎng)絡(luò)基礎(chǔ)設(shè)計安全為為云計算的核心安全要素之一數(shù)據(jù)訪問安全：安全接入、數(shù)據(jù)訪問安全等對安全問題的忽視，已成為云計算發(fā)展的瓶頸云計算實踐遇到的問題亞馬遜從2010年5月連續(xù)發(fā)生4次故障，以及2011年4月和8月分別發(fā)生兩次故障，以下是中斷4天的Web界面安全邊界性能瓶頸問題云計算數(shù)據(jù)大集中多租戶服務(wù)虛擬化突發(fā)災(zāi)難數(shù)據(jù)中心虛擬化主機安全隔離與運營支撐問題入侵、DDoS攻擊防護影響正常業(yè)務(wù)問題安全故障問題怎樣提供靈活的安全服務(wù)如何實現(xiàn)應(yīng)用的管理控

3、制多系統(tǒng)多業(yè)務(wù)云計算數(shù)據(jù)中心安全挑戰(zhàn)USG9500云數(shù)據(jù)中心防火墻宣稱性能高，無法滿足實際應(yīng)用無法支撐虛擬化應(yīng)用無法實現(xiàn)應(yīng)用安全應(yīng)用無法實現(xiàn)掌控海量處理能力虛擬化應(yīng)用豐富業(yè)務(wù)識別深度的應(yīng)用安全客戶訴求客戶抱怨海量性能，T級能力虛擬化，動態(tài)安全精細(xì)化應(yīng)用管控，深度安全云計算數(shù)據(jù)中心安全訴求高性能接口板：多核多CPU業(yè)務(wù)處理板卡：分布式硬件架構(gòu)：突破性能瓶頸，成倍提升整機性能T級交換能力，可升級到T級防火墻1 x 10GE12 x GE 光1 x 10G POSLPUF-21母板LPUF-40-A 母板2 x 10GE20 x GE 光40G4 x10 GE 光20G4 x10 GE 光領(lǐng)先架構(gòu)防

4、火墻業(yè)務(wù)板40G 防火墻業(yè)務(wù)子卡業(yè)務(wù)處理板（未帶子卡）80G防火墻業(yè)務(wù)子卡IPS業(yè)務(wù)子卡LPUF-101 母板5 x10 GE 光24 x GE 光4 x10 GE 光1 x 40GE 光100G1200多種應(yīng)用協(xié)議識別能力持續(xù)升級的協(xié)議識別庫最大960G的應(yīng)用識別能力專板專用，最實用的IPS，開啟即可用IMIX吞吐量960G新建連接12M并發(fā)連接960MFW性能IPS性能DPI性能安全攻防實驗室協(xié)議分析實驗室漏洞挖掘?qū)嶒炇襏RL分類實驗室安全能力中心領(lǐng)先性能型號USG9520USG9560USG9580吞吐最大960Gbps，具備擴展到T級能力并發(fā)最大960M新建最大12M/秒特性FW: A

5、SPF/NAT/PAT/virtual FW/GTP/DPIVPN: IPSec/GRE/L2TP/IKEv2路由: RIP/OSPF/BGP/static routing/I GMP/source address routingIPS: traffic reassembly/signature-based IPS/protocol anomaly detection/automatic upgrade接口Ethernet: 1x 100G，1x 40G，5x 10G, 4x10G，2x10G, 1x 10G, 24 x GE O, 20 x GE O, 12 x GE O/E, POS：1

6、x 10GPOS 單板最大接口數(shù)量2；單板最大千兆接口數(shù)量48個領(lǐng)先性能 1+1主控引擎 31交換網(wǎng)板提供核心路由器級別穩(wěn)定保障雙主控多交換業(yè)務(wù)板間負(fù)載均衡&熱備雙機熱備及BYPASS部件冗余跨板端口綁定VRP平臺業(yè)務(wù)板業(yè)務(wù)板備份 業(yè)務(wù)流量智能負(fù)載均衡 業(yè)務(wù)板間備份單板故障不影響設(shè)備 多種HA組網(wǎng) 路徑不一致 支持專用BYPASS設(shè)備適應(yīng)各種高可靠型組網(wǎng)環(huán)境 電源冗余 風(fēng)扇冗余確?？稍诰€更換故障部件 鏈路流量均衡轉(zhuǎn)發(fā) 無縫切換不影響業(yè)務(wù)轉(zhuǎn)發(fā)提高鏈路可用性及增加總帶寬VRPinside 模塊相互獨立，互不影響 400萬現(xiàn)網(wǎng)運行提供穩(wěn)定可靠軟件平臺板卡熱插分層管理技術(shù)T 管理/監(jiān)控/數(shù)據(jù)三層分離

7、業(yè)務(wù)板/接口板/主控板分離提供局部故障不影響整機狀態(tài)主控交換熱插拔業(yè)務(wù)接口板熱插拔確?？稍诰€升級擴容從硬件平臺、板卡部件到 組網(wǎng)鏈路和軟件平臺&軟件管理等，提供多重可靠性技術(shù)保證，確保電信99.999%級可靠性最高可靠性Computing Cloud OAERPApp1App2App nOAERPApp1App2App n企業(yè)私有云數(shù)據(jù)中心出口IPSec云數(shù)據(jù)中心邊界安全防護，960G防護性能滿足高性能需求海量終端接入/多租戶隔離，4096個虛擬防火墻支撐運營定制化的虛擬防火墻策略和資源，實現(xiàn)彈性分配虛擬化IPS、實現(xiàn)安全虛擬化虛擬化IPSec實現(xiàn)安全安全接入虛擬化安全1、虛擬化主機的自動漂移

8、，安全策略實現(xiàn)自動漂移；2、虛擬主機規(guī)模擴大，縮小，安全策略能夠與之同時實現(xiàn)；3、滿足云計算中心安全彈性動態(tài)需求，實現(xiàn)動態(tài)安全VSwitchVM2App2OS2InternetApp3OS4VM1App1OS1VM3App3OS3VM3App3OS3動態(tài)安全USG9500Internet應(yīng)用識別P2P UploadP2P DownloadVoIPWebTVVideo ConferencingGamingemail Visible pipe報表呈現(xiàn)XXX3020401010X阻斷限流10Computing Cloud OAApp1App2App nOAApp1App2App n20限流30限流云

9、的智慧：精細(xì)化應(yīng)用管控基于應(yīng)用的識別基于漏洞的掃描高效的內(nèi)容解析IdentifyParseScan可識別超過4500種應(yīng)用可識別多種偽裝的數(shù)據(jù)針對應(yīng)用進行識別基于規(guī)范的解析，無需盲掃深入的檢測能力，緩存關(guān)鍵信息，忽略無關(guān)內(nèi)容。基于漏洞的簽名，最小的簽名關(guān)聯(lián)，極低的誤報云的智慧：專業(yè)IPS防護華為自研的領(lǐng)先的IPS引擎基于漏洞的簽名，有效防止攻擊變種、所有簽名都可開啟，并具有極低誤報率HTTP, SMTP, POP3, IMAP, FTP, DNS, P2P/IM, 廣泛的協(xié)議支持獨特的識別能力，無需低效率的盲掃發(fā)起大量會話，消耗IPv6資源DDoSIPv6IPv4USG9500VPNCompu

10、ting CloudIPv6資源 OAApp1App2AppnOAApp1App2AppnIPv6 ACLIPv6協(xié)議檢查擴展頭檢查ASPFIPv6 IPsecIPv6 DDoS過渡技術(shù)安全隧道：雙層包過濾、協(xié)議檢查翻譯：防范地址池惡意消耗云的智慧：IPV6安全提供豐富的應(yīng)用防護能力服務(wù)器服務(wù)器Anti-DDoS 防護傘應(yīng)用類攻擊單包類攻擊Smurf攻擊SYN Flood攻擊LAND攻擊ICMP Flood攻擊Fraggle攻擊UDP Flood攻擊Winnuke攻擊HTTP Flood攻擊Ping of Death攻擊IP Option攻擊IP fragement攻擊Oversized IC

11、MP packet攻擊TRACERT攻擊Tear Drop攻擊ICMP redirection攻擊等云的智慧：綜合安全目錄USG9500產(chǎn)品定位USG9500產(chǎn)品外觀USG9500產(chǎn)品硬件架構(gòu)USG9500產(chǎn)品軟件架構(gòu)USG9500產(chǎn)品外觀USG9520USG9560USG9580USG9520防火墻（直流）設(shè)備組成Page 181.掛耳2. ESD防靜電3. LPU槽位4. MPU槽位5.走線架6.進風(fēng)口7.風(fēng)扇8.直流電源模塊9.保護接地端子10.防塵網(wǎng)11.把手USG9520防火墻（交流）設(shè)備組成Page 191.掛耳2.電源開關(guān)和交流輸入插座3.交流電源模塊4. ESD防靜電插孔5.

12、LPU槽位6. MPU槽位7.走線架8. 進風(fēng)口9. 風(fēng)扇10. 保護接地端子11. 防塵網(wǎng)12. 把手USG9520槽位分布及主控板MPUD主控板MPUD1. 扳手2. BITS0（暫不使用）3. BITS1（暫不使用）4. ETH05. CF 卡OFL按鈕6. CF工作指示燈7. CF CARD插槽（另一個CF CARD插槽在電路板上）8. RESET按鈕9. OFL（Offline）按鈕10. OFL（Offline）燈11. ACT 燈12. ALM燈13. RUN燈14. CONSOLE 15. AUX接口槽位分布示意圖主控板MPUD前視圖USG9560防火墻設(shè)備組成（前視圖）Pag

13、e 211. 進風(fēng)口2. 掛耳3. 單板槽位區(qū)4. ESD插孔5. 走線槽USG9560防火墻設(shè)備組成（后視圖）Page 226. 把手7. 風(fēng)扇8. 電源濾波模塊9. 保護接地端子10. 交流電源管理接口11. PEM模塊12. 集中監(jiān)控模塊USG9560槽位分布及主控板SRUA槽位分布示意圖主控板SRUA1. 扳手2. CLK/Serial（暫不使用）3. CLK/1PPS（暫不使用）4. CLK/TOD（暫不使用）5. AUX6. CONSOLE7. MGMT-ETH8. CTL-ETH-SFP19. CTL-ETH-SFP010. CF OFL（Offline）按鈕11. CF SLO

14、T2（CF SLOT1在電路板上）12. CF卡指示燈13. USB14. RESET15. ALM指示燈16. OFL（Offline）按鈕17. OFL（Offline）燈18. RUN指示燈19. ACT主備指示燈20. MGMT-ETH LINK指示燈21. MGMT-ETH ACT指示燈USG9560主控板SRU-200-A主控板SRU-200-A1. 扳手2. CLK/Serial（預(yù)留）3. CLK/1PPS（預(yù)留）4. CLK/TOD（預(yù)留）5. AUX6. CONSOLE7. MGMT-ETH8. CTL-ETH-SFP19. CTL-ETH-SFP010. CF OFL（O

15、ffline）按鈕11. CF SLOT2（CF SLOT1在電路板上）12. CF卡指示燈13. USB14. RESET15. ALM指示燈16. OFL（Offline）按鈕17. OFL（Offline）燈18. RUN指示燈19. ACT主備指示燈20. MGMT-ETH LINK指示燈21. MGMT-ETH ACT指示燈集中監(jiān)控模塊CMU注：主控板上CF卡不支持熱插拔USG9560交換網(wǎng)板SFUI-40-C交換網(wǎng)板SFUI-40-C外觀1. 扳手2. OFL（Offline） 指示燈3. OFL（Offline）按鈕4. RUN指示燈5. ACT運行燈注：交換網(wǎng)板SFUI-40-

16、C只能用在USG9560上USG9560交換網(wǎng)板SFUI-200-C交換網(wǎng)板SFUI-200-C外觀1. 扳手2. OFL（Offline） 指示燈3. OFL（Offline）按鈕4. RUN指示燈5. ACT運行燈注：交換網(wǎng)板SFUI-200-C只能用在USG9560上USG9580防火墻設(shè)備組成（前視圖）Page 271. 進風(fēng)口2. 單板槽位區(qū)3. ESD插孔4. 走線槽5. 掛耳6. 把手USG9580防火墻設(shè)備組成（后視圖）Page 283. ESD插孔7. 風(fēng)扇模塊8. 電源濾波模塊9. PEM模塊10. 交流電源管理接口11. 集中監(jiān)控模塊12. 保護接地端子USG9580槽位

17、分布及主控板MPUB1. 扳手2. CLK/Serial（暫不使用）3. CLK/1PPS（暫不使用）4. CLK/TOD（暫不使用）5. AUX6. CONSOLE7. MGMT-ETH8. CTL-ETH-SFP19. CTL-ETH-SFP010. CF OFL（Offline）按鈕11. CF SLOT2（CF SLOT1在電路板上）12. CF ACT指示燈13. USB14. RESET按鈕15. ALM指示燈16. OFL（Offline）按鈕17. OFL（Offline）燈18. RUN指示燈19. ACT主備指示燈20. MGMT-ETH LINK指示燈21. MGMT-E

18、TH ACT指示燈槽位分布示意圖USG9580交換網(wǎng)板SFUI-40-B交換網(wǎng)板SFUI-40-B外觀1. 扳手2. OFL（Offline） 指示燈3. OFL（Offline）按鈕4. RUN指示燈5. ACT運行燈注：交換網(wǎng)板SFUI-40-B只能用在USG9580上USG9580交換網(wǎng)板SFUI-200-B交換網(wǎng)板SFUI-200-B外觀1. 扳手2. OFL（Offline） 指示燈3. OFL（Offline）按鈕4. RUN指示燈5. ACT運行燈注：交換網(wǎng)板SFUI-200-B只能用在USG9580上目錄USG9500產(chǎn)品定位USG9500產(chǎn)品外觀USG9500產(chǎn)品硬件架構(gòu)US

19、G9500產(chǎn)品軟件架構(gòu)USG9500的物理架構(gòu)包括以下子系統(tǒng)：電源配電子系統(tǒng) 風(fēng)扇散熱子系統(tǒng) 功能主機子系統(tǒng) 功能主機子系統(tǒng)由系統(tǒng)背板、主控板、接口線路板、業(yè)務(wù)處理板和交換網(wǎng)板組成，主要完成數(shù)據(jù)處理功能。此外還完成對整個系統(tǒng)設(shè)備的監(jiān)控和管理，包括控制管理電源配電子系統(tǒng)、風(fēng)扇散熱子系統(tǒng)，并通過網(wǎng)管接口連接到網(wǎng)管系統(tǒng)。網(wǎng)管子系統(tǒng)網(wǎng)管子系統(tǒng)單獨部署于服務(wù)器上，用來對USG9000進行配置和管理。USG9500硬件架構(gòu)簡介USG9500系列防火墻硬件物理架構(gòu)Page 34USG9500系列防火墻硬件邏輯架構(gòu)Page 35USG9500通過MPU和CMU（USG9560/9580)實現(xiàn)控制平面的功能，主

20、要功能特性：系統(tǒng)控制和管理核心路由計算整個系統(tǒng)單板間的帶外通信設(shè)備管理和維護功能數(shù)據(jù)配置功能保存數(shù)據(jù)系統(tǒng)維護單元主要實現(xiàn)收集系統(tǒng)監(jiān)控信息、實現(xiàn)從遠端或近端測試或在線升級系統(tǒng)各單元的功能可靠性主控板的主控模塊、時鐘模塊、LAN Switch模塊均采用1:1熱備份，提高了系統(tǒng)可靠性主控板采用1:1冗余備份工作方式：主控板之間相互進行狀態(tài)監(jiān)視，一旦主用主控板出現(xiàn)故障，備用主控板自動升級為主用。USG9500控制平面USG9520無單獨的交換網(wǎng)單元。USG9560有三個交換網(wǎng)單元，其中有兩個交換網(wǎng)單元分別與兩個主控單元集成在一個單板上，叫做路由交換單元（SRU），另外一個交換單元采用獨立的交換網(wǎng)板。U

21、SG9580有四個交換網(wǎng)單元。交換網(wǎng)是USG9500的重要組成部件，負(fù)責(zé)LPU之間的數(shù)據(jù)交換。采用M-C-M（Memory-Crossbar-Memory）的三級交換方式，其中第一級和第三級為共享內(nèi)存交換方式，在LPU單板上實現(xiàn)，中間級采用Crossbar交換方式，在交換網(wǎng)單元上實現(xiàn)。USG9500交換網(wǎng)單元防火墻業(yè)務(wù)處理板SPU及子卡SPU板實現(xiàn)USG9500所有的安全業(yè)務(wù)處理功能。子卡SPC按照功能分為如下兩種類型：防火墻業(yè)務(wù)子卡，實現(xiàn)VPN、NAT（NAT44、NAT64）、安全策略、IPv6等業(yè)務(wù)。 IPS業(yè)務(wù)子卡，處理IPS業(yè)務(wù)。Page 38SPUC01（40G）外觀靈活插卡線路處

22、理板LPUF-40-A及FPIC由母板LPUF-40-A和多種靈活插卡（子卡）FPIC組成的靈活插卡線路處理板，硬件配置非常靈活，為用戶提供豐富的接口類型，是為提高組網(wǎng)靈活性而設(shè)計的高性能、個性化解決方案，滿足高端用戶的需求。LPUF-40-A4端口10GBase LAN/WAN-XFP FPIC2端口10GBase LAN/WAN-XFP FPIC20端口100/1000Base-X-SFP FPIC靈活插卡線路處理板LPUF-21及FPIC由母板LPUF-21和多種靈活插卡（子卡）FPIC組成的靈活插卡線路處理板，硬件配置非常靈活，為用戶提供豐富的接口類型，是為提高組網(wǎng)靈活性而設(shè)計的低成本

23、、個性化解決方案，滿足中低端用戶的需求。LPUF-214端口10GBase LAN/WAN-XFP FPIC12端口100Base-FX/1000Base-X-SFP FPIC1端口10GBase LAN/WAN-XFP FPIC12端口10Base-T/100Base-TX/1000Base-T-RJ45 FPIC1端口10GBase POS-XFP FPIC靈活插卡線路處理板LPUF-101及FPIC由母板LPUF-101和多種靈活插卡（子卡）FPIC組成的靈活插卡線路處理板提高了組網(wǎng)的靈活性，能夠支持100G全線速轉(zhuǎn)發(fā)，可以為用戶提供低成本、個性化的解決方案。5端口10GBase LAN/WAN-SFP+ FPIC ALPUF-1011端口40GBase LAN-CFP FPIC4端口10GBase LAN -SFP+ FPIC24端口100/1000Base-X-SFP FPIC集成線程處理板LPU