SecowayUSG9300系列產(chǎn)品技術(shù)建議書(shū)(V10-20080901)

技術(shù)建議書(shū)內(nèi)部公開(kāi)TIME\@"yyyy-M-d"2009-6-15機(jī)密，未經(jīng)許可不得擴(kuò)散第頁(yè)USG9300技術(shù)建議書(shū)目錄TOC\o"1-4"\h\z\u1 概述 31.1 網(wǎng)絡(luò)安全 31.2 網(wǎng)絡(luò)安全管理 32 ××網(wǎng)絡(luò)分析 32.1 ××網(wǎng)絡(luò)現(xiàn)狀 32.2 ××××網(wǎng)絡(luò)業(yè)務(wù)分析 32.3 ××網(wǎng)絡(luò)安全問(wèn)題與分析 32.4 ××網(wǎng)絡(luò)安全需求 33 ××網(wǎng)安全解決方案 33.1 大型IDC中心或城域網(wǎng)安全解決方案 33.2 政府或大型企業(yè)網(wǎng)絡(luò)總部安全防護(hù) 33.3 大容量WAP網(wǎng)關(guān)安全防護(hù) 33.4 運(yùn)營(yíng)商各網(wǎng)絡(luò)平面隔離 33.5 ××網(wǎng)絡(luò)安全設(shè)備選擇 34 USG9300防火墻 34.1 高性能處理 34.2 多安全區(qū)域 34.3 多種功能模式 34.3.1 工作模式 34.3.2 集成路由功能 34.4 增強(qiáng)的報(bào)文過(guò)濾 34.4.1 更快捷的ACL查找 34.4.2 黑名單過(guò)濾惡意主機(jī) 34.5 多種NAT應(yīng)用 34.5.1 地址轉(zhuǎn)換 34.5.2 內(nèi)部服務(wù)器 34.5.3 多種NATALG 34.6 強(qiáng)大的攻擊防范能力 34.6.1 防范蠕蟲(chóng)病毒 34.6.2 防范多種DoS攻擊 34.6.3 防范掃描窺探攻擊 34.6.4 防范其它攻擊 34.7 電信級(jí)高可靠性 34.7.1 可靠的產(chǎn)品設(shè)計(jì) 34.7.2 可靠性預(yù)測(cè) 31. 故障定義一：系統(tǒng)50%業(yè)務(wù)中斷稱(chēng)為系統(tǒng)中斷 32. 故障定義二：?jiǎn)螛I(yè)務(wù)通道業(yè)務(wù)中斷稱(chēng)為系統(tǒng)中斷 34.8 完備的流量監(jiān)控 34.8.1 基本會(huì)話監(jiān)控 34.8.2 承諾訪問(wèn)速率 34.8.3 實(shí)時(shí)統(tǒng)計(jì)分析 34.9 認(rèn)證 34.9.1 多種認(rèn)證方式 34.10 安全保障的VPN應(yīng)用 34.11 QoS質(zhì)量保證 34.12 增強(qiáng)的日志管理 34.12.1 日志服務(wù)器 34.12.2 兩種日志輸出方式 34.12.3 多種日志信息 34.13 豐富靈活的維護(hù)管理 3豐富的維護(hù)管理手段 3基于SNMP的終端系統(tǒng)管理 3軟件熱補(bǔ)丁 34.14 符合多項(xiàng)測(cè)試和認(rèn)證要求 34.15 USG9300規(guī)格 3概述Internet的普及為社會(huì)的發(fā)展帶來(lái)了巨大的推動(dòng)力，但同時(shí)也產(chǎn)生了大量的網(wǎng)絡(luò)安全問(wèn)題，越來(lái)越受到政府、金融、教育、電力、交通等機(jī)構(gòu)以及眾多企業(yè)的重視。網(wǎng)絡(luò)安全問(wèn)題主要包括兩個(gè)層面：網(wǎng)絡(luò)本身的安全問(wèn)題和網(wǎng)絡(luò)安全管理問(wèn)題。網(wǎng)絡(luò)安全I(xiàn)nternet由于其開(kāi)放性，使得非常容易遭受攻擊。隨著攻擊手段的變化多樣而且攻擊工具更容易獲取，以及基于僵尸網(wǎng)絡(luò)DDoS攻擊的出現(xiàn)，使得基于網(wǎng)絡(luò)層的攻擊層出不窮。主要的攻擊包括：ARPFlood、ICMPFlood、IPSpoofing、UDPFlood、Synflood、Smurf攻擊、Land攻擊、超大ICMP攻擊、Fragile攻擊、PingofDeath、TearDrop、PingScan、PortScan、IP路由選項(xiàng)攻擊、Tracert攻擊等等。網(wǎng)絡(luò)層攻擊的目標(biāo)主要有三個(gè)：帶寬攻擊、主機(jī)或者網(wǎng)絡(luò)設(shè)備攻擊以及入侵前的主機(jī)掃描。帶寬攻擊指通過(guò)大量的攻擊數(shù)據(jù)包占用正常業(yè)務(wù)數(shù)據(jù)的帶寬，導(dǎo)致網(wǎng)絡(luò)帶寬擁擠，正常業(yè)務(wù)受到影響；主機(jī)或者網(wǎng)絡(luò)設(shè)備攻擊指的是攻擊者通過(guò)攻擊主機(jī)或者網(wǎng)絡(luò)設(shè)備的某個(gè)應(yīng)用端口導(dǎo)致被攻擊設(shè)備處理不過(guò)來(lái)或者癱瘓使其不能處理正常業(yè)務(wù)數(shù)據(jù)；主機(jī)掃描指的是黑客在入侵之前通過(guò)IP或者端口掃描獲取網(wǎng)絡(luò)中活動(dòng)的主機(jī)信息，為下一步入侵提供必要的信息。網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)安全安全管理指的是企業(yè)對(duì)自身的網(wǎng)絡(luò)資源進(jìn)行有效的安全區(qū)域、等級(jí)劃分，使得在網(wǎng)絡(luò)安全運(yùn)行的基礎(chǔ)上，促進(jìn)企業(yè)自身的信息安全管理水平，更好的保證企業(yè)正常運(yùn)作。安全區(qū)域指的是在網(wǎng)絡(luò)中擁有相同網(wǎng)絡(luò)資源訪問(wèn)權(quán)限的主機(jī)集合，安全區(qū)域的劃分主要依據(jù)企業(yè)內(nèi)部部門(mén)的劃分，例如財(cái)務(wù)部門(mén)、研發(fā)部門(mén)、市場(chǎng)部門(mén)分別劃分為三個(gè)不同安全等級(jí)的安全區(qū)域。將一個(gè)企業(yè)進(jìn)行清晰的安全區(qū)域劃分，大大簡(jiǎn)化了企業(yè)的網(wǎng)絡(luò)資源控制與管理，在此基礎(chǔ)上，實(shí)施適合企業(yè)管理要求的安全策略管理，提高企業(yè)信息安全管理水平?！痢辆W(wǎng)絡(luò)分析××網(wǎng)絡(luò)現(xiàn)狀[此部分主要包括兩個(gè)部分(注意：要給出網(wǎng)絡(luò)的吞吐量，一般在10G流量以上，需要提供多個(gè)10G接口的時(shí)候使用USG9300產(chǎn)品，一般10－40G采用USG9310，10－80G采用USG9320)：1．××網(wǎng)絡(luò)拓?fù)鋱D，如果是新建網(wǎng)絡(luò)，則提供沒(méi)有安全設(shè)備的網(wǎng)絡(luò)拓?fù)鋱D，用來(lái)進(jìn)行安全方案的分析。2．××網(wǎng)絡(luò)承載的業(yè)務(wù)，主要是內(nèi)部業(yè)務(wù)以及出口網(wǎng)絡(luò)業(yè)務(wù)]××××網(wǎng)絡(luò)業(yè)務(wù)分析[給出現(xiàn)網(wǎng)的業(yè)務(wù)流分析圖，使得客戶(hù)對(duì)現(xiàn)有網(wǎng)絡(luò)安全問(wèn)題理解的更加清晰]××網(wǎng)絡(luò)安全問(wèn)題與分析[此部分主要包括以下幾個(gè)部分(主要根據(jù)與客戶(hù)的溝通以及我們自己的分析給出)：1．××網(wǎng)絡(luò)出口安全隱患：DoS攻擊，端口掃描4．××網(wǎng)絡(luò)業(yè)務(wù)安全隱患：需要對(duì)不同安全區(qū)域的業(yè)務(wù)進(jìn)行過(guò)濾，豐富管理手段5．××網(wǎng)絡(luò)接入問(wèn)題：設(shè)備提供豐富的VPN接入功能，實(shí)現(xiàn)安全訪問(wèn)控制。7．××網(wǎng)絡(luò)地址轉(zhuǎn)換問(wèn)題：專(zhuān)業(yè)的NAT設(shè)備，具有良好的性能以及靈活的策略NAT功能，以及豐富的NATALG功能。8．××網(wǎng)絡(luò)NAT事后追蹤：由于NAT隱藏了內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)，使得內(nèi)部訪問(wèn)外網(wǎng)出現(xiàn)社會(huì)安全事件時(shí)，事后追蹤措施變得極為重要。提供專(zhuān)用的日志服務(wù)器，二進(jìn)制的NAT日志存儲(chǔ)、查詢(xún)?yōu)槭潞笞粉櫶峁┲匾募夹g(shù)手段?！痢辆W(wǎng)絡(luò)安全需求[新增統(tǒng)一安全網(wǎng)關(guān)，用以滿(mǎn)足××網(wǎng)絡(luò)以下需求(根據(jù)××網(wǎng)絡(luò)安全問(wèn)題與分析給出需求)：防范網(wǎng)絡(luò)攻擊：在網(wǎng)絡(luò)出口和不同的安全區(qū)域之間啟用網(wǎng)絡(luò)攻擊防范，防止外網(wǎng)網(wǎng)絡(luò)攻擊和部門(mén)之間網(wǎng)絡(luò)攻擊蔓延。安全區(qū)域劃分：將不同業(yè)務(wù)劃分為不同的安全區(qū)域。……]舉例如下：由于各省會(huì)的PSDN要通過(guò)防火墻和ChinaNet相連，為用戶(hù)提供互聯(lián)網(wǎng)業(yè)務(wù)。因此，CDMA承載網(wǎng)也就不可避免地面臨各種安全風(fēng)險(xiǎn)。位于Pi口的防火墻設(shè)備將起到安全域隔離和抵御各種攻擊的作用。通過(guò)防火墻的安全域劃分和安全訪問(wèn)控制，可以控制由外到內(nèi)（下行）的非法訪問(wèn)，通過(guò)該防火墻的攻擊防御功能，也可將來(lái)自ChinaNet上的各種針對(duì)網(wǎng)絡(luò)設(shè)備和服務(wù)的DDOS攻擊拒之門(mén)外。僵尸網(wǎng)絡(luò)仍然是網(wǎng)絡(luò)攻擊的基本手段和資源平臺(tái)。2007年CNCERT/CC抽樣監(jiān)測(cè)發(fā)現(xiàn)感染僵尸程序的境內(nèi)外主機(jī)數(shù)達(dá)623萬(wàn)個(gè)，其中我國(guó)大陸有362萬(wàn)個(gè)IP地址的主機(jī)被植入僵尸程序，并有1萬(wàn)多個(gè)境外控制服務(wù)器對(duì)我國(guó)大陸地區(qū)的主機(jī)進(jìn)行控制。僵尸網(wǎng)絡(luò)主要被利用發(fā)起拒絕服務(wù)（DdoS）攻擊、發(fā)送垃圾郵件、傳播惡意代碼，以及竊取受感染主機(jī)中的敏感信息，而由僵尸網(wǎng)絡(luò)發(fā)出的大流量、分布式DDOS攻擊是目前公認(rèn)的世界難題，不僅嚴(yán)重影響互聯(lián)網(wǎng)企業(yè)的運(yùn)作，而且嚴(yán)重威脅著我國(guó)互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的運(yùn)行安全。僵尸網(wǎng)絡(luò)的規(guī)模以1000以?xún)?nèi)規(guī)模的僵尸網(wǎng)絡(luò)居多。大規(guī)模的僵尸網(wǎng)絡(luò)仍然存在，有19個(gè)僵尸網(wǎng)絡(luò)操控的計(jì)算機(jī)（即“肉雞”）數(shù)量超過(guò)10萬(wàn)臺(tái)。2007年監(jiān)測(cè)到的僵尸網(wǎng)絡(luò)規(guī)模數(shù)量分布如下圖所示。未來(lái)僵尸網(wǎng)絡(luò)的規(guī)模有不斷擴(kuò)大的趨勢(shì)。按照每臺(tái)僵尸在不被宿主發(fā)現(xiàn)的情況下，大致一般可以發(fā)出400K-500Kbps的小包攻擊流量，那么常見(jiàn)的DDOS攻擊流量將在400M-500M之間。但是達(dá)到2Gbps到3Gbps的程度DDOS攻擊也并不少見(jiàn)。根據(jù)公司的監(jiān)測(cè)，2007年11月24日一天之內(nèi)，國(guó)內(nèi)某省的兩個(gè)IDC客戶(hù)各受到峰值2G的攻擊；攻擊持續(xù)時(shí)間40分鐘左右；2008年03月12日一天之內(nèi)國(guó)內(nèi)某省的4個(gè)IDC用戶(hù)受到攻擊，流量分別在800M，900M，830M，1G左右?！痢辆W(wǎng)安全解決方案大型IDC中心或城域網(wǎng)安全解決方案防火墻USG9300串連在大型IDC出口或城域網(wǎng)出口路由器上，在出口進(jìn)行攻擊防范等處理。防火墻主要承擔(dān)以下功能：?jiǎn)⒂梅阑饓舴婪兑约霸L問(wèn)控制，抵御外來(lái)的各種攻擊。根據(jù)需要啟用地址轉(zhuǎn)換功能，滿(mǎn)足出口公網(wǎng)不足的需要。根據(jù)需要開(kāi)啟虛擬防火墻功能，通過(guò)不同的虛擬防火墻與各大客戶(hù)對(duì)應(yīng)，將不同的服務(wù)器群用VPN隔離開(kāi)。啟用L2TPVPN的功能，允許移動(dòng)用戶(hù)通過(guò)撥號(hào)的方式接入不同的VPN，訪問(wèn)不同VPN里的業(yè)務(wù)或者設(shè)備。兩臺(tái)防火墻采用雙機(jī)熱備。在防火墻的兩側(cè)啟用VRRP和的專(zhuān)利技術(shù)VGMP保證流經(jīng)防火墻的報(bào)文能夠始終經(jīng)過(guò)同一臺(tái)防火墻。同時(shí)CE路由器也啟用VRRP。防火墻和CE路由器的靜態(tài)路由下一跳分別設(shè)置為對(duì)方的VRRP虛地址。當(dāng)其中一個(gè)防火墻出現(xiàn)故障后，另外一個(gè)迅速升為主設(shè)備，同時(shí)發(fā)送免費(fèi)ARP更新CE路由器的MAC表，這個(gè)過(guò)程對(duì)CE路由器透明，倒換非常快。倒換之后，報(bào)文將經(jīng)過(guò)CE路由器之間的二層板轉(zhuǎn)發(fā)到和主防火墻相連的CE路由器上，然后再轉(zhuǎn)發(fā)給防火墻。通過(guò)公司的VGMP技術(shù)，可以保證上行VRRP和下行VRRP組的主備狀態(tài)一致，即兩個(gè)VRRP組主設(shè)備始終是同一臺(tái)防火墻，因此避免了報(bào)文來(lái)回路徑不一致的問(wèn)題。防火墻的倒換時(shí)間的基本可以做到小于1s的時(shí)延，對(duì)現(xiàn)網(wǎng)業(yè)務(wù)沒(méi)有影響。防火墻和路由器之間也可以采用OSPF路由協(xié)議來(lái)進(jìn)行設(shè)備切換，防火墻兩側(cè)不啟用VRRP。這種方式需要防火墻快速備份會(huì)話表，確保報(bào)文經(jīng)過(guò)哪一臺(tái)防火墻都可以正常轉(zhuǎn)發(fā)。設(shè)備切換時(shí)間依賴(lài)于OSPF路由協(xié)議的收斂時(shí)間。這種方式的優(yōu)點(diǎn)是簡(jiǎn)化配置，不需要配置靜態(tài)路由。主備兩臺(tái)防火墻之間的狀態(tài)同步可以選擇上行或者下行的業(yè)務(wù)鏈路，也可以同時(shí)選擇多個(gè)鏈路作為心跳鏈路。但是為了避免鏈路擁塞導(dǎo)致的心跳報(bào)文丟失，建議采用專(zhuān)線作為心跳線。確保不會(huì)出現(xiàn)雙主的情況。由于多個(gè)關(guān)鍵業(yè)務(wù)都要經(jīng)過(guò)防火墻，設(shè)備的穩(wěn)定性和倒換時(shí)間是一個(gè)影響業(yè)務(wù)的關(guān)鍵指標(biāo)。因此建議采用第一種方式組網(wǎng)并采用專(zhuān)門(mén)的心跳線同步防火墻的狀態(tài)。方案特點(diǎn)：提供業(yè)界最優(yōu)的防火墻性能，不會(huì)成為網(wǎng)絡(luò)瓶頸；提供高密度萬(wàn)兆以太或POS出口，支持靈活組網(wǎng)；支持雙機(jī)熱備、板卡備份、鏈路聚合，提供高可靠性組網(wǎng)，不影響業(yè)務(wù)；千萬(wàn)包每秒的抗攻擊能力，可抵御大流量攻擊，保護(hù)內(nèi)部網(wǎng)絡(luò)；分布式擴(kuò)展架構(gòu)設(shè)備，便于網(wǎng)絡(luò)擴(kuò)容；完善的防火墻功能，可支撐豐富的業(yè)務(wù)。政府或大型企業(yè)網(wǎng)絡(luò)總部安全防護(hù)防火墻USG9300放置在總部出口，主要承擔(dān)以下功能：?jiǎn)⒂梅阑饓舴婪兑约霸L問(wèn)控制，抵御外來(lái)的各種攻擊。根據(jù)需要啟用地址轉(zhuǎn)換功能，滿(mǎn)足出口公網(wǎng)不足的需要。根據(jù)需要開(kāi)啟虛擬防火墻功能，通過(guò)不同的虛擬防火墻與各大客戶(hù)對(duì)應(yīng)，將不同的服務(wù)器群用VPN隔離開(kāi)。啟用L2TPVPN的功能，允許出差移動(dòng)用戶(hù)通過(guò)撥號(hào)的方式接入不同的VPN，訪問(wèn)不同VPN里的業(yè)務(wù)或者設(shè)備。如移動(dòng)用戶(hù)訪問(wèn)需要加密，可啟用L2TP＋I(xiàn)PSec的方式，保證用戶(hù)接入傳輸?shù)目煽啃?。俄羅斯版本不包含IPsecVPN特性，請(qǐng)刪除藍(lán)色語(yǔ)句。兩臺(tái)防火墻采用雙機(jī)熱備。在防火墻的兩側(cè)啟用VRRP和的專(zhuān)利技術(shù)VGMP保證流經(jīng)防火墻的報(bào)文能夠始終經(jīng)過(guò)同一臺(tái)防火墻。同時(shí)CE路由器也啟用VRRP。防火墻和CE路由器的靜態(tài)路由下一跳分別設(shè)置為對(duì)方的VRRP虛地址。當(dāng)其中一個(gè)防火墻出現(xiàn)故障后，另外一個(gè)迅速升為主設(shè)備，同時(shí)發(fā)送免費(fèi)ARP更新CE路由器的MAC表，這個(gè)過(guò)程對(duì)CE路由器透明，倒換非?？?。倒換之后，報(bào)文將經(jīng)過(guò)CE路由器之間的二層板轉(zhuǎn)發(fā)到和主防火墻相連的CE路由器上，然后再轉(zhuǎn)發(fā)給防火墻。通過(guò)公司的VGMP技術(shù)，可以保證上行VRRP和下行VRRP組的主備狀態(tài)一致，即兩個(gè)VRRP組主設(shè)備始終是同一臺(tái)防火墻，因此避免了報(bào)文來(lái)回路徑不一致的問(wèn)題。防火墻的倒換時(shí)間的基本可以做到小于1s的時(shí)延，對(duì)現(xiàn)網(wǎng)業(yè)務(wù)沒(méi)有影響。防火墻和路由器之間也可以采用OSPF路由協(xié)議來(lái)進(jìn)行設(shè)備切換，防火墻兩側(cè)不啟用VRRP。這種方式需要防火墻快速備份會(huì)話表，確保報(bào)文經(jīng)過(guò)哪一臺(tái)防火墻都可以正常轉(zhuǎn)發(fā)。設(shè)備切換時(shí)間依賴(lài)于OSPF路由協(xié)議的收斂時(shí)間。這種方式的優(yōu)點(diǎn)是簡(jiǎn)化配置，不需要配置靜態(tài)路由。主備兩臺(tái)防火墻之間的狀態(tài)同步可以選擇上行或者下行的業(yè)務(wù)鏈路，也可以同時(shí)選擇多個(gè)鏈路作為心跳鏈路。但是為了避免鏈路擁塞導(dǎo)致的心跳報(bào)文丟失，建議采用專(zhuān)線作為心跳線。確保不會(huì)出現(xiàn)雙主的情況。由于多個(gè)關(guān)鍵業(yè)務(wù)都要經(jīng)過(guò)防火墻，設(shè)備的穩(wěn)定性和倒換時(shí)間是一個(gè)影響業(yè)務(wù)的關(guān)鍵指標(biāo)。因此建議采用第一種方式組網(wǎng)并采用專(zhuān)門(mén)的心跳線同步防火墻的狀態(tài)。方案特點(diǎn)：提供業(yè)界最優(yōu)的防火墻性能，不會(huì)成為網(wǎng)絡(luò)瓶頸；提供高密度萬(wàn)兆以太或POS出口，支持靈活組網(wǎng)；支持雙機(jī)熱備、板卡備份、鏈路聚合，提供高可靠性組網(wǎng)，不影響業(yè)務(wù)；千萬(wàn)包每秒的抗攻擊能力，可抵御大流量攻擊，保護(hù)內(nèi)部網(wǎng)絡(luò)；分布式擴(kuò)展架構(gòu)設(shè)備，便于網(wǎng)絡(luò)擴(kuò)容；完善的防火墻功能，可支撐豐富的業(yè)務(wù)。大容量WAP網(wǎng)關(guān)安全防護(hù)隨著移動(dòng)用戶(hù)數(shù)量的迅猛增長(zhǎng)，WAP業(yè)務(wù)的流量成幾何增長(zhǎng)態(tài)勢(shì)，WAP網(wǎng)關(guān)急需大容量高性能安全網(wǎng)關(guān)進(jìn)行安全隔離和攻擊防范。USG9310可提供10G－80G可擴(kuò)展性能，滿(mǎn)足用戶(hù)日益增長(zhǎng)的性能需求，千萬(wàn)級(jí)別的大并發(fā)連接，保證大量移動(dòng)用戶(hù)并發(fā)訪問(wèn)，強(qiáng)DDoS防護(hù)能力，確保WAP網(wǎng)關(guān)業(yè)務(wù)穩(wěn)定。運(yùn)營(yíng)商各網(wǎng)絡(luò)平面隔離××網(wǎng)絡(luò)安全設(shè)備選擇[根據(jù)具體的情況選擇USG9310或USG9320]匯總以上業(yè)務(wù)、以及安全防范的需求，總結(jié)出對(duì)防火墻的性能規(guī)格要求，綜合上面章節(jié)的分析，建議采用的防火墻設(shè)備需要滿(mǎn)足如下一些基本指標(biāo)。新建連接數(shù)：×萬(wàn)/秒并發(fā)連接數(shù)：×萬(wàn)吞吐量：×GVPN：IPSec俄羅斯版本不包含IPsecVPN特性L2TPGRE俄羅斯版本不包含IPsecVPN特性接口數(shù)量：×設(shè)備配置：描述規(guī)格數(shù)量備注USG9310USG9310基礎(chǔ)配置包含機(jī)框、電源、主控板1必配USG9310交換網(wǎng)板交換網(wǎng)板2必配USG9310接口板10GE接口板N選配USG9310業(yè)務(wù)處理板防火墻安全業(yè)務(wù)處理模塊N選配USG9300防火墻USG9300防火墻采用36U/20U標(biāo)準(zhǔn)機(jī)箱，提供了多種接口板。USG9300防火墻在設(shè)計(jì)上秉承公司在電信領(lǐng)域的豐富經(jīng)驗(yàn)，采用全面的安全技術(shù)。USG9300防火墻提供了交流供電、直流供電兩種供電方案，并且支持電源1＋1備份，電源模塊及風(fēng)扇模塊支持熱插拔，很好地滿(mǎn)足了電信級(jí)網(wǎng)絡(luò)對(duì)高可靠性的需求。USG9300防火墻采用多核處理器技術(shù)，提供豐富的業(yè)務(wù)和強(qiáng)大的安全防范性能。USG9300防火墻的主控部分采用高速PowerPC微處理器和實(shí)時(shí)操作系統(tǒng)，以公司擁有自主知識(shí)產(chǎn)權(quán)的VRP（VersatileRoutingPlatform）通用路由平臺(tái)為基礎(chǔ)，結(jié)合設(shè)備和網(wǎng)絡(luò)管理技術(shù)，具備完善的自身安全防范功能，并提供豐富的業(yè)務(wù)特性。安全部分采用高性能網(wǎng)絡(luò)處理器進(jìn)行硬件處理，提供了強(qiáng)大的安全防范、業(yè)務(wù)加速能力。USG9300防火墻擁有一致的網(wǎng)絡(luò)界面、用戶(hù)界面和管理界面，具有很強(qiáng)的可伸縮性、可配置性，支持豐富的接口和業(yè)務(wù)特性。在組網(wǎng)應(yīng)用方面，USG9300防火墻作為高性能安全設(shè)備提供全面的攻擊防范能力，提供全方位的、靈活的網(wǎng)絡(luò)解決方案，有效提高了網(wǎng)絡(luò)的安全級(jí)別。USG9300防火墻的軟硬件特性符合國(guó)際標(biāo)準(zhǔn)，保證了與其它廠家產(chǎn)品在各個(gè)層面上的互通，可最大限度地保護(hù)用戶(hù)的已有投資。高性能處理USG9310/9320定位于運(yùn)營(yíng)商用戶(hù)，通過(guò)采用NP技術(shù)提供線速的高性能安全防范和報(bào)文處理能力，在提供高性能的同時(shí)，還可以支持?jǐn)?shù)萬(wàn)條ACL（AccessControlList）規(guī)則。在整機(jī)最大吞吐量方面，USG9310可以達(dá)到40Gbps，USG9320可以達(dá)到80Gbps。多安全區(qū)域安全區(qū)域是一個(gè)或多個(gè)接口的組合，不同安全區(qū)域具有互不相同的安全級(jí)別。USG9310/9320支持多個(gè)安全區(qū)域，即除了支持本地區(qū)域（Local）、受信區(qū)域（Trust）、非受信區(qū)域（Untrust）、DMZ（DemilitarizedZone）區(qū)域四種預(yù)定義的安全區(qū)域外，還支持多個(gè)用戶(hù)自定義安全區(qū)域。通常：Trust域用來(lái)連接用戶(hù)要保護(hù)的內(nèi)部網(wǎng)絡(luò)Untrust域連接外部網(wǎng)絡(luò)DMZ域連接用戶(hù)向外部提供服務(wù)的網(wǎng)絡(luò)Local域用來(lái)保護(hù)USG9300防火墻自身任何訪問(wèn)設(shè)備自身的報(bào)文（如Telnet到設(shè)備）都被看作是從入接口所連接區(qū)域訪問(wèn)Local域的跨域訪問(wèn)，從而有效保護(hù)防火墻自己。當(dāng)數(shù)據(jù)在兩個(gè)不同的安全區(qū)域之間流動(dòng)的時(shí)候，就會(huì)激活防火墻的安全規(guī)則檢查功能。通過(guò)在安全區(qū)域之間設(shè)置不同的安全防范策略，可以靈活有效地監(jiān)控進(jìn)出該區(qū)域的信息流。此外，USG9310/9320還支持基于VLAN（VirtualLocalAreaNetwork）劃分安全區(qū)域。多種功能模式工作模式USG9310/9320支持多種功能模式，豐富了組網(wǎng)應(yīng)用：路由模式：USG9310/9320各接口具有確定的IP（InternetProtocol）地址，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的設(shè)備都清楚到該USG9310/9320的路由，這種方式適合網(wǎng)絡(luò)初建時(shí)，IP地址統(tǒng)一規(guī)劃有助于全網(wǎng)絡(luò)管理。透明模式：USG9310/9320各接口不配置IP地址，以透明方式嵌入到內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，內(nèi)部和外部網(wǎng)絡(luò)的設(shè)備都察覺(jué)不到該USG9310/9320的存在。這種方式無(wú)需重新規(guī)劃網(wǎng)絡(luò)中的IP地址和路由，同時(shí)可以使USG9310/9320免受外界入侵?；旌夏Ｊ剑篣SG9310/9320既存在工作在路由模式的接口（接口具有IP地址），又存在工作在透明模式的接口（接口無(wú)IP地址），則防火墻工作在混合模式下。混合模式主要用于雙機(jī)熱備份應(yīng)用，此時(shí)啟動(dòng)備份功能的接口需要配置IP地址，其它接口不配置IP地址。集成路由功能USG9310/9320在提供豐富安全特性的同時(shí)，集成了部分路由能力，如靜態(tài)路由及RIP（RoutingInformationProtocol）、OSPF（OpenShortestPathFirst）、BGP（BorderGatewayProtocol）動(dòng)態(tài)路由，同時(shí)還支持路由策略、路由迭代和路由管理，從而使得USG9310/9320的組網(wǎng)應(yīng)用更加靈活。增強(qiáng)的報(bào)文過(guò)濾更快捷的ACL查找USG9310/9320不僅支持手工配置ACL規(guī)則，而且還支持動(dòng)態(tài)添加/刪除ACL規(guī)則。另外，USG9310/9320基于TCAM技術(shù)進(jìn)行ACL查找，在進(jìn)行數(shù)萬(wàn)條ACL規(guī)則的查找時(shí)處理速度保持不變，從而確保了ACL查找的高速度，提高了系統(tǒng)整體性能。黑名單過(guò)濾惡意主機(jī)USG9310/9320將某些可疑報(bào)文的源IP地址記錄在黑名單列表中，系統(tǒng)通過(guò)丟棄黑名單用戶(hù)的所有報(bào)文，從而有效避免某些惡意主機(jī)的攻擊行為，這項(xiàng)功能就為用戶(hù)群體廣泛的服務(wù)商或企事業(yè)機(jī)構(gòu)提供了安全保證。USG9310/9320提供如下幾種黑名單列表維護(hù)方式：手工添加黑名單記錄，實(shí)現(xiàn)主動(dòng)防御與攻擊防范結(jié)合自動(dòng)添加黑名單記錄，起到智能保護(hù)系統(tǒng)根據(jù)ICMP（InternetControlMessageProtocol）、TCP（TransmissionControlProtocol）/UDP（UserDatagramProtocol）過(guò)濾情況維護(hù)黑名單列表多種NAT應(yīng)用地址轉(zhuǎn)換NAT功能主要用于將私有網(wǎng)絡(luò)地址轉(zhuǎn)換為公有網(wǎng)絡(luò)（Internet）地址，同時(shí)也可以提供“內(nèi)部服務(wù)器”功能。地址轉(zhuǎn)換地址轉(zhuǎn)換技術(shù)引入地址池的概念，在轉(zhuǎn)換時(shí)，USG9310/9320從地址池中根據(jù)特定規(guī)則選擇一個(gè)IP地址作為轉(zhuǎn)換后的源地址，完成地址轉(zhuǎn)換。這個(gè)選擇的過(guò)程對(duì)用戶(hù)來(lái)講是透明的。地址轉(zhuǎn)換包括兩種形式：支持一對(duì)一的純IP地址轉(zhuǎn)換支持基于地址池的IP地址轉(zhuǎn)換支持根據(jù)不同地址實(shí)施不同策略的地址轉(zhuǎn)換支持結(jié)合地址和端口（TCP/UDP協(xié)議的端口信息）進(jìn)行PAT轉(zhuǎn)換（PortAddressTranslation）支持根據(jù)ACL規(guī)則進(jìn)行地址轉(zhuǎn)換支持端口級(jí)地址轉(zhuǎn)換內(nèi)部服務(wù)器內(nèi)部服務(wù)器是一種“反向”的地址轉(zhuǎn)換，通過(guò)配置參數(shù)，使得某些私有地址的內(nèi)部主機(jī)可以被外部網(wǎng)絡(luò)訪問(wèn)。內(nèi)部網(wǎng)絡(luò)的服務(wù)器是一臺(tái)配置了私有地址的機(jī)器，可以通過(guò)NAT為這臺(tái)主機(jī)映射一個(gè)合法的公網(wǎng)IP地址；或通過(guò)PAT為主機(jī)提供一個(gè)公網(wǎng)IP地址和端口，當(dāng)外部用戶(hù)訪問(wèn)該合法地址時(shí)，NAT或PAT網(wǎng)關(guān)（即USG9310/9320）就將該訪問(wèn)請(qǐng)求送到了內(nèi)部服務(wù)器，這樣就為外部網(wǎng)絡(luò)提供了“內(nèi)部服務(wù)器”。多種NATALGNAT采用“注冊(cè)”方式支持多種NATALG（ApplicationLevelGateway），包括：支持FTP協(xié)議的NATALG支持NBT（NetBIOSoverTCP）協(xié)議的NATALG支持ICMP協(xié)議的NATALG支持H.323（包括T.120、RAS、Q.931和H.245等）協(xié)議的NATALG支持SIP和MGCP協(xié)議的NATALG支持RTSP協(xié)議的NATALG支持HWCC協(xié)議的NATALG支持DNS（DomainNameSystem）協(xié)議的NATALG支持ILS協(xié)議的NATALG支持PPTP（PointtoPointTunnelingProtocol）協(xié)議的NATALG支持對(duì)騰訊公司的QQ聊天會(huì)話的NATALG支持Microsoft公司提供的MSNmessenger聊天會(huì)話的NATALG通過(guò)“注冊(cè)”方式支持特殊協(xié)議，使軟件有良好的擴(kuò)充性，無(wú)需更改軟件構(gòu)架，很容易支持新的協(xié)議。強(qiáng)大的攻擊防范能力隨著Internet的廣泛應(yīng)用，網(wǎng)絡(luò)攻擊手段越來(lái)越高明，并且越加隱蔽。按照攻擊采用的方式，網(wǎng)絡(luò)攻擊大致可以分為：病毒攻擊、DoS（DenialofService）攻擊、掃描窺探攻擊、其它攻擊。USG9310/9320提供強(qiáng)大的攻擊防范機(jī)制，對(duì)設(shè)備進(jìn)行安全保護(hù)，防止非法報(bào)文對(duì)內(nèi)部網(wǎng)絡(luò)造成危害。防范蠕蟲(chóng)病毒目前，對(duì)Internet危害最大的是蠕蟲(chóng)類(lèi)病毒，每一次病毒發(fā)作時(shí)都開(kāi)啟大量的連接、耗費(fèi)巨大的網(wǎng)絡(luò)帶寬，導(dǎo)致巨額的經(jīng)濟(jì)損失。這類(lèi)病毒種類(lèi)繁多，目前包括RedCode、MSBlast、SoBig、NetSky等。蠕蟲(chóng)病毒發(fā)作的特點(diǎn)是：產(chǎn)生大量的連接去感染其他設(shè)備；蠕蟲(chóng)病毒將啟動(dòng)IP地址掃描/端口掃描以探測(cè)設(shè)備是否存在。USG9310/9320根據(jù)蠕蟲(chóng)病毒的特點(diǎn)，設(shè)計(jì)了增強(qiáng)的流量監(jiān)控/檢測(cè)功能、增強(qiáng)的用戶(hù)連接數(shù)檢測(cè)功能、增強(qiáng)的防IP地址掃描、防端口掃描功能及增強(qiáng)的黑名單功能?？梢栽O(shè)定是否允許染毒用戶(hù)繼續(xù)通過(guò)，還是封閉該用戶(hù)一段時(shí)間。通過(guò)USG9310/9320的黑名單功能，可以提取出可疑的用戶(hù)列表名單。通過(guò)該名單，可以提供下一步的服務(wù)（如公告、在線殺毒等）。防范多種DoS攻擊通常，DoS攻擊使用大量數(shù)據(jù)包（或某些畸形報(bào)文）來(lái)攻擊系統(tǒng)，使系統(tǒng)無(wú)法正常響應(yīng)合法用戶(hù)的請(qǐng)求，或者導(dǎo)致主機(jī)掛起從而不能提供正常的工作。DoS攻擊和其他類(lèi)型的攻擊有顯著的區(qū)別，即攻擊者并不是去尋找進(jìn)入內(nèi)部網(wǎng)絡(luò)的入口，而是使得合法的用戶(hù)不能正常訪問(wèn)資源，即對(duì)正常用戶(hù)拒絕服務(wù)。USG9310/9320可以有效地檢測(cè)出這些類(lèi)攻擊報(bào)文，通過(guò)丟棄這些報(bào)文等處理措施避免攻擊行為，同時(shí)將這些攻擊行為記錄在日志中。目前，USG9310/9320可以防范十多種DoS攻擊，主要包括：SYNFlood攻擊、ICMPFlood、UDPFlood攻擊、Land攻擊、Smurf攻擊、Fraggle攻擊、WinNuke攻擊、ICMP重定向或不可達(dá)報(bào)文等。某些DoS攻擊是采用畸形報(bào)文，即通過(guò)向目標(biāo)系統(tǒng)發(fā)送有缺陷的IP報(bào)文，使得目標(biāo)系統(tǒng)在處理這樣的IP包時(shí)會(huì)出現(xiàn)崩潰，給目標(biāo)系統(tǒng)帶來(lái)?yè)p失。USG9310/9320可以快捷地檢測(cè)出這類(lèi)畸形報(bào)文，防范攻擊行為。這類(lèi)畸形報(bào)文攻擊包括：TCP報(bào)文標(biāo)志位（如ACK、SYN、FIN等）不合法、PingofDeath攻擊、TearDrop攻擊等。防范掃描窺探攻擊掃描窺探攻擊是利用ping掃射來(lái)標(biāo)識(shí)網(wǎng)絡(luò)上存活著的系統(tǒng)，從而準(zhǔn)確的定位潛在的目標(biāo)；利用TCP和UDP端口掃描，就能檢測(cè)出操作系統(tǒng)監(jiān)聽(tīng)的潛在服務(wù)。攻擊者通過(guò)掃描窺探能大致了解目標(biāo)系統(tǒng)提供的服務(wù)種類(lèi)和潛在的安全漏洞，為進(jìn)一步侵入系統(tǒng)做好準(zhǔn)備。USG9310/9320通過(guò)比較分析，可以靈活高效地檢測(cè)出這類(lèi)掃描窺探報(bào)文，從而預(yù)先避免后續(xù)的攻擊行為。這些掃描窺探攻擊包括：地址掃描、端口掃描、IP源站選路選項(xiàng)、IP路由記錄選項(xiàng)、利用tracert工具窺探網(wǎng)絡(luò)結(jié)構(gòu)等。防范其它攻擊USG9310/9320除了可以有效防范多種DoS攻擊和掃描窺探外，還可以有效防范IPSpoofing攻擊，確保系統(tǒng)訪問(wèn)權(quán)的安全。電信級(jí)高可靠性可靠的產(chǎn)品設(shè)計(jì)USG9310/9320全部采用專(zhuān)門(mén)設(shè)計(jì)的硬件系統(tǒng)，支持溫度監(jiān)控、風(fēng)扇自動(dòng)調(diào)節(jié)轉(zhuǎn)速，可適應(yīng)惡劣環(huán)境應(yīng)用。同時(shí)，USG9310/9320的電源模塊采用雙電源（1＋1備份），兩個(gè)電源模塊互相熱備份，并支持熱插拔。電源倒換時(shí)不影響系統(tǒng)運(yùn)行。按照電信級(jí)產(chǎn)品的要求設(shè)計(jì)，風(fēng)扇支持熱插拔，滿(mǎn)足網(wǎng)絡(luò)對(duì)設(shè)備的高可靠性的要求?？煽啃灶A(yù)測(cè)USG9310/9320可靠性采用“BELLCORE電子設(shè)備可靠性預(yù)計(jì)手冊(cè)”中的計(jì)數(shù)法進(jìn)行可靠性預(yù)計(jì)，該方法計(jì)算得到的是在工作溫度40℃，50%的電應(yīng)力下的失效率冗余單元組成的系統(tǒng)，可采用Markov狀態(tài)圖的方法進(jìn)行可靠性指標(biāo)建模。串聯(lián)單元組成的系統(tǒng)，直接將各單元的可用度相乘得到系統(tǒng)的可用度。單元MTBF是單元失效率的倒數(shù)：MTBF=1/λ。A(Availability)=MTBF/(MTBF+MTTR)Downtime=525600×(1-A)mins/yrUSG9310/9320的平均修復(fù)時(shí)間MTTR只包括現(xiàn)場(chǎng)修理時(shí)間，而不包括人員到達(dá)的路途時(shí)間以及后勤管理所需的時(shí)間。根據(jù)MIL-HDBK-472，美軍標(biāo)維修性預(yù)計(jì)手冊(cè)的原則，以及工程經(jīng)驗(yàn)和現(xiàn)場(chǎng)數(shù)據(jù)確定各單元及設(shè)備的平均修復(fù)時(shí)間MTTR為0.5小時(shí)。同理，假設(shè)冗余單元的倒換成功率為0.95。USG9310/9320的典型配置單板數(shù)量Power2（1：1）MPU2（1＋1）SFU4（3：1）LPU+SPU8故障定義一：系統(tǒng)50%業(yè)務(wù)中斷稱(chēng)為系統(tǒng)中斷參考郵電部相關(guān)標(biāo)準(zhǔn)，定義當(dāng)系統(tǒng)超過(guò)50%的業(yè)務(wù)中斷30秒，稱(chēng)作系統(tǒng)中斷。根據(jù)此故障定義建立系統(tǒng)可靠性模型：在USG9310/9320系統(tǒng)中：主控板、時(shí)鐘板都采用采用1＋1冗余保護(hù)配置；交換網(wǎng)板采用3：1負(fù)荷分擔(dān)冗余保護(hù)配置，電源模塊采用1：1冗余保護(hù)配置；線路接口板有多個(gè)，定義當(dāng)一半以上的線路接口板出現(xiàn)故障時(shí)，認(rèn)為系統(tǒng)故障。即為N中取K冗余方式。得到USG9310/9320系統(tǒng)的可靠性模型框圖如下：故障定義二：?jiǎn)螛I(yè)務(wù)通道業(yè)務(wù)中斷稱(chēng)為系統(tǒng)中斷對(duì)通信設(shè)備的某單個(gè)用戶(hù)來(lái)說(shuō)，他所租用的業(yè)務(wù)通道故障，則系統(tǒng)對(duì)他提供的服務(wù)就中斷。這里選取典型業(yè)務(wù)為上行1*10G端口，下行12*1GE端口。為提高系統(tǒng)可靠性，USG9310/9320支持多種業(yè)務(wù)保護(hù)方式，這里10G端口采用1+1負(fù)荷分擔(dān)保護(hù)配置，12*1GE端口采用子卡冗余配置。定義當(dāng)該業(yè)務(wù)通道中斷時(shí)系統(tǒng)故障。系統(tǒng)可靠性模型如下：根據(jù)以上介紹的計(jì)算方法論，可以得到USG9310/9320產(chǎn)品系統(tǒng)可靠性指標(biāo)如下表所示系統(tǒng)可用度AMTBF(年)MTTR(小時(shí))停機(jī)時(shí)間(分鐘/年)USG9320故障定義10.99999901457.890.50.52USG9320故障定義20.99999755223.320.51.29USG9310故障定義10.99999901457.890.50.52USG9310故障定義20.99999755023.290.51.29 詳細(xì)的可靠性預(yù)測(cè)報(bào)告可以參考可靠性預(yù)測(cè)報(bào)告附件。完備的流量監(jiān)控所謂流量監(jiān)控，主要是指USG9310/9320通過(guò)對(duì)系統(tǒng)數(shù)據(jù)流量和連接狀況進(jìn)行監(jiān)視，在發(fā)現(xiàn)異常情況時(shí)采取適當(dāng)?shù)奶幚泶胧?，有效地防止網(wǎng)絡(luò)受到外界的攻擊。支持多種流量監(jiān)控，主要包括：基本會(huì)話監(jiān)控、承諾訪問(wèn)速率、實(shí)時(shí)流量統(tǒng)計(jì)等?；緯?huì)話監(jiān)控根據(jù)不同類(lèi)型流量在一定時(shí)間內(nèi)所占的百分比進(jìn)行監(jiān)測(cè)和告警處理，通過(guò)監(jiān)控IP地址或接口的總連接數(shù)，對(duì)超過(guò)閾值的連接進(jìn)行限制。限制主要包括：承諾訪問(wèn)速率承諾訪問(wèn)速率技術(shù)包括分類(lèi)服務(wù)、速率限制，將進(jìn)入網(wǎng)絡(luò)的報(bào)文按多種形式進(jìn)行分類(lèi)，對(duì)不同類(lèi)別的流量給予不同的處理，通過(guò)采用限制承諾信息速率、承諾突發(fā)尺寸、超出突發(fā)尺寸等措施有效進(jìn)行流量監(jiān)管。實(shí)時(shí)統(tǒng)計(jì)分析監(jiān)測(cè)內(nèi)部、外部網(wǎng)絡(luò)的連接狀況，對(duì)輸入和輸出的IP報(bào)文進(jìn)行數(shù)十種實(shí)時(shí)統(tǒng)計(jì)，主要統(tǒng)計(jì)如下：全局總會(huì)話和總流量的相關(guān)信息應(yīng)用層協(xié)議相關(guān)信息丟棄包的相關(guān)信息對(duì)TCP報(bào)文的RST、FIN報(bào)文詳盡的分類(lèi)統(tǒng)計(jì)認(rèn)證多種認(rèn)證方式USG9310/9320提供了認(rèn)證、授權(quán)和計(jì)費(fèi)的一致性框架，對(duì)網(wǎng)絡(luò)訪問(wèn)安全進(jìn)行了集中管理。USG9310/9320提供本地認(rèn)證、標(biāo)準(zhǔn)RADIUS（RemoteAuthenticationDial-InUserService）認(rèn)證、RADIUS+認(rèn)證、HWTACACS（HuaweiTerminalAccessControllerAccessControlSystem）認(rèn)證。提供明文、MD5（Message-DigestAlgorithm5）鑒權(quán)等手段，支持本地用戶(hù)管理，可驗(yàn)證用戶(hù)身份的合法性并為合法用戶(hù)進(jìn)行授權(quán)，防止非法用戶(hù)進(jìn)行訪問(wèn)。安全保障的VPN應(yīng)用俄羅斯版本不包含IPsecVPN特性俄羅斯版本不包含IPsecVPN特性USG9310/9320可以通過(guò)軟件或硬件加密卡提供IPSec（IPSecurity）安全機(jī)制，為通訊雙方提供訪問(wèn)控制、無(wú)連接完整性、數(shù)據(jù)來(lái)源認(rèn)證、反重放、加密以及對(duì)數(shù)據(jù)流分類(lèi)加密等服務(wù)。通過(guò)AH（AuthenticationHeader）和ESP（EncapsulatingSecurityPayload）這兩個(gè)安全協(xié)議來(lái)實(shí)現(xiàn)對(duì)IP數(shù)據(jù)報(bào)或上層協(xié)議的保護(hù)，支持傳輸和隧道兩種封裝模式。USG9310/9320不僅支持IPSecVPN（VirtualPrivateNetwork）應(yīng)用，為用戶(hù)提供高可靠的安全傳輸通道，而且還能結(jié)合L2TP（Layer2TunnelingProtocol）和GRE（GenericRoutingEncapsulation）構(gòu)建多種VPN應(yīng)用：L2TPVPNGREVPNL2TPoverIPSecVPNGREoverIPSecVPNIPSecoverL2TPIPSecoverGRE利用USG9310/9320構(gòu)建IntranetVPN，通過(guò)公用網(wǎng)絡(luò)互連企業(yè)各個(gè)分支機(jī)構(gòu)，作為傳統(tǒng)專(zhuān)線網(wǎng)絡(luò)或其它企業(yè)網(wǎng)的擴(kuò)展及替代形式；構(gòu)建AccessVPN，為SOHO（SmallOffice/HomeOffice）等小型用戶(hù)搭建通過(guò)PSTN（PublicSwitchedTelephoneNetwork）/ISDN（IntegratedServicesDigitalNetwork）網(wǎng)絡(luò)訪問(wèn)公司總部資源的安全通路；構(gòu)建ExtranetVPN將企業(yè)網(wǎng)絡(luò)延伸至合作伙伴與客戶(hù)處，使不同企業(yè)間通過(guò)公網(wǎng)進(jìn)行安全、私有的通訊。QoS質(zhì)量保證QoS（QualityofService）也稱(chēng)服務(wù)質(zhì)量，主要通過(guò)流量分類(lèi)、流量監(jiān)管和整形、擁塞管理、擁塞避免和流量整形等措施對(duì)廣域網(wǎng)（如封裝PPP（PointtoPointProtocol）、幀中繼FR（FrameRelay）和HDLC（HighDataLinkControl）等）或局域網(wǎng)絡(luò)上的流量進(jìn)行管理，最大限度地降低延遲、抖動(dòng)等因素對(duì)傳輸信息的影響，針對(duì)不同需求提供多種不同的服務(wù)質(zhì)量。流分類(lèi)：依據(jù)一定的匹配規(guī)則識(shí)別出對(duì)象。流分類(lèi)是有區(qū)別地實(shí)施服務(wù)的前提。流量監(jiān)管和整形：當(dāng)流量超出規(guī)格時(shí)，可以采取限制或懲罰措施，以保護(hù)運(yùn)營(yíng)商的商業(yè)利益和網(wǎng)絡(luò)資源不受損害。利用緩沖區(qū)和令牌桶，提供GTS（GenericTrafficShaping）。擁塞管理：將報(bào)文放入隊(duì)列中緩存（目前支持FIFO（FirstIn,FirstOutQueuing）、PQ（PriorityQueuing）、CQ（CustomQueuing）、WFQ（WeightedFairQueuing）、CBQ（ClassBasedQueuing）等隊(duì)列），并采取某種調(diào)度算法安排報(bào)文的轉(zhuǎn)發(fā)次序。擁塞避免：監(jiān)督網(wǎng)絡(luò)資源的使用情況，當(dāng)發(fā)現(xiàn)擁塞有加劇的趨勢(shì)時(shí)采取主動(dòng)丟棄報(bào)文的策略，通過(guò)調(diào)整流量來(lái)解除網(wǎng)絡(luò)的過(guò)載。USG9300防火墻支持針對(duì)多媒體/NGN（NextGenerationNetwork）業(yè)務(wù)做特殊的QoS處理，包括針對(duì)多媒體/NGN業(yè)務(wù)可以打特殊的QoS標(biāo)簽等功能。增強(qiáng)的日志管理日志服務(wù)器為了集中性地接收并存儲(chǔ)USG9310/9320、IDS等網(wǎng)絡(luò)安全設(shè)備的日志，公司推出了專(zhuān)門(mén)的“日志服務(wù)器”軟件及XLog日志服務(wù)器，為用戶(hù)提供便捷的日志瀏覽和查詢(xún)功能，并對(duì)日志進(jìn)行分析。日志服務(wù)器軟件按照功能分為前臺(tái)管理、后臺(tái)進(jìn)程兩部分。前臺(tái)管理提供數(shù)據(jù)庫(kù)配置、日志相關(guān)配置、日志分類(lèi)查詢(xún)等操作；后臺(tái)進(jìn)程包括日志收集進(jìn)程、監(jiān)聽(tīng)進(jìn)程兩種。日志服務(wù)器軟件可以自定義接收日志類(lèi)型，提供日志存儲(chǔ)、多種日志查詢(xún)和導(dǎo)出、日志備份。兩種日志輸出方式USG9310/9320不僅能通過(guò)文本方式輸出SYSLOG日志；而且還針對(duì)流經(jīng)設(shè)備的數(shù)據(jù)流量大和日志信息豐富等特點(diǎn)，創(chuàng)建基于流狀態(tài)的信息表，并通過(guò)二進(jìn)制方式輸出高速流日志。和SYSLOG日志相比，二進(jìn)制高速流日志更適合傳輸日志信息量大的應(yīng)用，要求較高的網(wǎng)絡(luò)傳輸速度。多種日志信息USG9310/9320提供完整、統(tǒng)一的日志信息描述，日志類(lèi)型包括：攻擊防范日志當(dāng)發(fā)生大量攻擊時(shí)，USG9310/9320利用隊(duì)列機(jī)制對(duì)設(shè)備支持的攻擊防范特性提供日志告警信息，通過(guò)SYSLOG方式輸出告警，告警信息包括攻擊來(lái)源（源地址）和攻擊種類(lèi)等。流量監(jiān)控日志USG9310/9320根據(jù)安全域、IP地址等參數(shù)進(jìn)行流量監(jiān)控，判斷速率或連接數(shù)目是否達(dá)到上限或下限值，當(dāng)達(dá)到上限時(shí)觸發(fā)告警并記錄日志，從而有效監(jiān)控流量；當(dāng)達(dá)到下限時(shí)，也觸發(fā)告警，指示系統(tǒng)恢復(fù)正常。黑名單日志USG9310/9320對(duì)于在檢測(cè)中發(fā)現(xiàn)的非法用戶(hù)，自動(dòng)將該用戶(hù)的源IP地址加入到黑名單中，并產(chǎn)生一條黑名單日志，該日志記錄主機(jī)地址、加入原因等信息。多種統(tǒng)計(jì)信息記錄流統(tǒng)計(jì)信息，了解設(shè)備運(yùn)行狀況。這些流統(tǒng)計(jì)信息包括：總的連接數(shù)目、當(dāng)前連接及半連接數(shù)目、最高峰值及丟棄報(bào)文數(shù)目。記錄各種攻擊報(bào)文的數(shù)目，了解攻擊事件的發(fā)生情況。豐富靈活的維護(hù)管理豐富的維護(hù)管理手段USG9310/9320可以通過(guò)如下方式進(jìn)行本地或遠(yuǎn)程維護(hù)：支持通過(guò)Console口進(jìn)行本地配置和維護(hù)。支持通過(guò)在AUX接口采用Modem撥號(hào)方式實(shí)現(xiàn)遠(yuǎn)程配置和維護(hù)。支持通過(guò)Telnet方式實(shí)現(xiàn)本地或遠(yuǎn)程配置和維護(hù)。支持SSH（SecureShell）維護(hù)管理方式，實(shí)現(xiàn)在不能保證安全