华为USG高端防火墙技术建议书.docx
- 文档编号:1226350
- 上传时间:2023-04-30
- 格式:DOCX
- 页数:37
- 大小:1.79MB
华为USG高端防火墙技术建议书.docx
《华为USG高端防火墙技术建议书.docx》由会员分享,可在线阅读,更多相关《华为USG高端防火墙技术建议书.docx(37页珍藏版)》请在冰点文库上搜索。
华为USG9500高端防火墙技术建议书
华为技术有限公司
华为USG9500技术建议书
版权所有©华为技术有限公司2012。
保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
商标声明
和其他华为商标均为华为技术有限公司的商标。
本文档提及的其他所有商标或注册商标,由各自的所有人拥有。
注意
您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。
除非合同另有约定,华为公司对本文档内容不做任何明示或默示的声明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。
除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
华为技术有限公司
地址:
深圳市龙岗区坂田华为总部办公楼邮编:
518129
网址:
客户服务邮箱:
support@
客户服务电话:
4008302118
目录
1 概述 6
1.1 网络安全 6
1.2 网络安全管理 6
2 ××网络分析 6
2.1 ××网络现状 6
2.2 ××××网络业务分析 7
2.3 ××网络安全问题与分析 7
2.4 ××网络安全需求 7
3 华为××网安全解决方案 8
3.1 大型IDC中心安全解决方案 8
3.2 政府或大型企业网络总部安全防护 11
3.3 IPv4向IPv6过渡解决方案 12
3.4 大型IDC中心DDOS安全解决方案 14
3.5 云计算安全解决方案 15
3.6 OM安全隔离解决方案 17
3.7 校园网安全解决方案 18
3.8 ××网络安全设备选择 19
4 华为USG9500防火墙 20
4.1 产品功能 22
4.1.1 入侵防御(IPS) 22
4.1.2 运营级NAT(CGN) 23
4.1.3 异常流量监管(Anti-DDoS) 23
4.1.4 虚拟专用网(VPN) 26
4.1.5 安全策略 28
4.2 操作和维护 30
4.2.1 系统配置方式 30
4.2.2 系统维护管理 30
4.2.3 系统业务与状态的跟踪 30
4.2.4 系统测试与诊断 30
4.2.5 在线升级 31
4.2.6 其他特性 31
4.3 网络管理 31
4.4 WEB配置和管理 31
4.5 技术指标 33
性能指标 33
4.6 遵循的协议和标准 33
表格目录
USG9500各型号产品整机性能指标 33
遵循的协议和标准 33
1概述
Internet的普及为社会的发展带来了巨大的推动力,但同时也产生了大量的网络安全问题,越来越受到政府、金融、教育、电力、交通等机构以及众多企业的重视。
网络安全问题主要包括两个层面:
网络本身的安全问题和网络安全管理问题。
1.1网络安全
Internet由于其开放性,使得非常容易遭受攻击。
随着攻击手段的变化多样而且攻击工具更容易获取,以及基于僵尸网络DDoS攻击的出现,使得基于网络层的攻击层出不穷。
主要的攻击包括:
ARPFlood、ICMPFlood、IPSpoofing、UDPFlood、Synflood、Smurf攻击、Land攻击、超大ICMP攻击、Fragile攻击、PingofDeath、TearDrop、PingScan、PortScan、IP路由选项攻击、Tracert攻击等等。
网络层攻击的目标主要有三个:
带宽攻击、主机或者网络设备攻击以及入侵前的主机扫描。
带宽攻击指通过大量的攻击数据包占用正常业务数据的带宽,导致网络带宽拥挤,正常业务受到影响;主机或者网络设备攻击指的是攻击者通过攻击主机或者网络设备的某个应用端口导致被攻击设备处理不过来或者瘫痪使其不能处理正常业务数据;主机扫描指的是黑客在入侵之前通过IP或者端口扫描获取网络中活动的主机信息,为下一步入侵提供必要的信息。
1.2网络安全管理
网络安全安全管理指的是企业对自身的网络资源进行有效的安全区域、等级划分,使得在网络安全运行的基础上,促进企业自身的信息安全管理水平,更好的保证企业正常运作。
安全区域指的是在网络中拥有相同网络资源访问权限的主机集合,安全区域的划分主要依据企业内部部门的划分,例如财务部门、研发部门、市场部门分别划分为三个不同安全等级的安全区域。
将一个企业进行清晰的安全区域划分,大大简化了企业的网络资源控制与管理,在此基础上,实施适合企业管理要求的安全策略管理,提高企业信息安全管理水平。
2××网络分析
2.1××网络现状
[此部分主要包括两个部分(注意:
要给出网络的吞吐量,一般在10G流量以上,需要提供多个10G接口的时候使用USG9500产品,一般10-20G采用USG9520,一般10-80G采用USG9560,80-160G采用USG9580):
1.××网络拓扑图,如果是新建网络,则提供没有安全设备的网络拓扑图,用来进行安全方案的分析。
2.××网络承载的业务,主要是内部业务以及出口网络业务]
2.2××××网络业务分析
[给出现网的业务流分析图,使得客户对现有网络安全问题理解的更加清晰]
2.3××网络安全问题与分析
[此部分主要包括以下几个部分(主要根据与客户的沟通以及我们自己的分析给出):
1.××网络出口安全隐患:
DoS攻击,端口扫描
4.××网络业务安全隐患:
需要对不同安全区域的业务进行过滤,丰富管理手段
5.××网络接入问题:
设备提供丰富的VPN接入功能,实现安全访问控制。
7.××网络地址转换问题:
专业的NAT设备,具有良好的性能以及灵活的策略NAT功能,以及丰富的NATALG功能。
8.××网络NAT事后追踪:
由于NAT隐藏了内部的网络结构,使得内部访问外网出现社会安全事件时,事后追踪措施变得极为重要。
华为提供专用的日志服务器,二进制的NAT日志存储、查询为事后追踪提供重要的技术手段。
2.4××网络安全需求
[新增统一安全网关,用以满足××网络以下需求(根据××网络安全问题与分析给出需求):
1.防范网络攻击:
在网络出口和不同的安全区域之间启用网络攻击防范,防止外网网络攻击和部门之间网络攻击蔓延。
2.安全区域划分:
将不同业务划分为不同的安全区域。
3.……]
举例如下:
XX电网互联网出口情况现状概况如下:
1.XX电网公司(省公司及XX市的各二级单位)通过位于省公司的互联网出口访问互联网,目前出口带宽为XXGbps,按照公司对互联网的使用要求,通过一定的网络控制实际使用流量约XXGbps左右。
各地区互联网出口流量统计合计约XXGbps,这其中估计约有XXGbps互联网流量由电力小区(家属区)产生,(部分地区供电局电力小区并未通过局互联网出口上网)。
目前实际使用带宽合计为XXGbps左右,未来拟最大扩充到XXGbps。
本次选配设备需要满足网络3-5年的发展。
2.目前,XX电网公司互联网出口分散。
各地区供电局基本都有各自的互联网出口,且各地区内部也没有统一互联网出口,各县供电局,二级子公司等各自向电信租用了互联网出口。
3.根据统计目前XX电网互联网的用户数量为:
省公司互联网用户约XX台,各供电局用户约XX台,共约XX台。
含供电局办公用户,部分三产公司用户,且部分地区的电力小区用户也通过此互联网通道上网。
4.各地区供电局本部针对互联网出口基本都已配置了防火墙,但除个别地区外,普遍型号较老,设备能力较差,且设备型号不一致,无法统一管理。
需要考虑统一管理问题。
5.各供电局没有配置IDS、URL过滤、病毒防护等高级互联网安全设备。
本次需要根据各网络安全等级需求进行选配。
3华为××网安全解决方案
3.1大型IDC中心安全解决方案
互联网数据中心(InternetDataCenter-IDC),是为满足网站系统托管外包服务需求而建设的基础设施,SP/CP兴起、电子商务的理性发展、电子政务的推进以及企业信息化的长足发展和网络的应用是IDC的主要业务,正是由于IDC业务复杂对带宽要求高,所以IDC的网络需求应以可靠性、灵活性、可扩展性、安全性为主。
华为防火墙USG9500部署在大型IDC出口,为客户提供高性能、高密度、高可用性、高安全的网络安全基础架构。
防火墙主要承担以下功能:
1.启用防火墙攻击防范以及访问控制,抵御外来的各种攻击。
2.根据需要启用地址转换功能,满足出口公网不足的需要。
3.根据需要开启虚拟防火墙功能,通过不同的虚拟防火墙与各大客户对应,将不同的服务器群用VPN隔离开。
4.启用L2TPVPN的功能,允许移动用户通过拨号的方式接入不同的VPN,访问不同VPN里的业务或者设备。
5.开启IPS功能,用来防范各种应用型攻击,为内部服务器提供高质量的安全服务。
6.采用双机热备组网,增强网络的可靠性。
两台防火墙采用双机热备组网模式如下详述。
1.在防火墙的两侧启用VRRP和华为的专利技术VGMP保证流经防火墙的报文能够始终经过同一台防火墙。
同时CE路由器也启用VRRP。
防火墙和CE路由器的静态路由下一跳分别设置为对方的VRRP虚地址。
当其中一个防火墙出现故障后,另外一个迅速升为主设备,同时发送免费ARP更新CE路由器的MAC表,这个过程对CE路由器透明,倒换非常快。
倒换之后,报文将经过CE路由器之间的二层板转发到和主防火墙相连的CE路由器上,然后再转发给防火墙。
通过华为公司的VGMP技术,可以保证上行VRRP和下行VRRP组的主备状态一致,即两个VRRP组主设备始终是同一台防火墙,因此避免了报文来回路径不一致的问题。
防火墙的倒换时间的基本可以做到小于1s的时延,对现网业务没有影响。
2.防火墙和路由器之间也可以采用OSPF路由协议来进行设备切换,防火墙两侧不启用VRRP。
这种方式需要防火墙快速备份会话表,确保报文经过哪一台防火墙都可以正常转发。
设备切换时间依赖于OSPF路由协议的收敛时间。
这种方式的优点是简化配置,不需要配置静态路由。
3.主备两台防火墙之间的状态同步可以选择上行或者下行的业务链路,也可以同时选择多个链路作为心跳链路。
但是为了避免链路拥塞导致的心跳报文丢失,建议采用专线作为心跳线。
确保不会出现双主的情况。
由于多个关键业务都要经过防火墙,设备的稳定性和倒换时间是一个影响业务的关键指标。
因此建议采用第一种方式组网并采用专门的心跳线同步防火墙的状态。
方案特点:
1.提供业界最优的防火墙性能,不会成为网络瓶颈;
2.提供高密度万兆以太或POS出口,支持灵活组网;
3.支持双机热备、板卡备份、链路聚合,提供高可靠性组网,不影响业务;
4.千万包每秒的抗攻击能力,可抵御大流量攻击,保护内部网络;
5.分布式扩展架构设备,便于网络扩容;
6.完善的防火墙功能,可支撑丰富的业务。
7.高性能的IPS模块,可对应用层攻击进行预防和阻止,不仅能够检测入侵的发生,而且能通过一定的响应方式,实时地中止入侵行为的发生和发展,实时地保护信息系统不受实质性的攻击。
说明:
DDoS请参考3.4节。
3.2政府或大型企业网络总部安全防护
政府或大型企业总部连接着各分支机构,或合作企业,远程办公用户,流量大,业务复杂,对Internet网络开放,所以出口安全也不容小视,防火墙USG9500放置在总部出口,主要承担以下功能:
1.启用防火墙攻击防范以及访问控制,抵御外来的各种攻击。
2.根据需要启用地址转换功能,满足出口公网不足的需要。
3.根据需要开启虚拟防火墙功能,通过不同的虚拟防火墙与各大客户对应,将不同的服务器群
用VPN隔离开。
4.启用L2TPVPN的功能,允许出差移动用户通过拨号的方式接入不同的VPN,访问不同VPN里的业务或者设备。
如移动用户访问需要加密,可启用L2TP+IPSec的方式,保证用户接入传输的可靠性。
5.分支机构与总部之间,可开启IPSecVPN,保证数据传输安全。
两台防火墙采用双机热备。
1.在防火墙的两侧启用VRRP和华为的专利技术VGMP保证流经防火墙的报文能够始终经过同一台防火墙。
同时CE路由器也启用VRRP。
防火墙和CE路由器的静态路由下一跳分别设置为对方的VRRP虚地址。
当其中一个防火墙出现故障后,另外一个迅速升为主设备,同时发送免费ARP更新CE路由器的MAC表,这个过程对CE路由器透明,倒换非常快。
倒换之后,报文将经过CE路由器之间的二层板转发到和主防火墙相连的CE路由器上,然后再转发给防火墙。
通过华为公司的VGMP技术,可以保证上行VRRP和下行VRRP组的主备状态一致,即两个VRRP组主设备始终是同一台防火墙,因此避免了报文来回路径不一致的问题。
防火墙的倒换时间的基本可以做到小于1s的时延,对现网业务没有影响。
2.防火墙和路由器之间也可以采用OSPF路由协议来进行设备切换,防火墙两侧不启用VRRP。
这种方式需要防火墙快速备份会话表,确保报文经过哪一台防火墙都可以正常转发。
设备切换时间依赖于OSPF路由协议的收敛时间。
这种方式的优点是简化配置,不需要配置静态路由。
3.主备两台防火墙之间的状态同步可以选择上行或者下行的业务链路,也可以同时选择多个链路作为心跳链路。
但是为了避免链路拥塞导致的心跳报文丢失,建议采用专线作为心跳线。
确保不会出现双主的情况。
由于多个关键业务都要经过防火墙,设备的稳定性和倒换时间是一个影响业务的关键指标。
因此建议采用第一种方式组网并采用专门的心跳线同步防火墙的状态。
方案特点:
1.提供业界最优的防火墙性能,不会成为网络瓶颈;
2.提供高密度万兆以太或POS出口,支持灵活组网;
3.支持双机热备、板卡备份、链路聚合,提供高可靠性组网,不影响业务;
4.高性能VPN应用,在不影响传输效率的前提下,保证传输安全性;
5.千万包每秒的抗攻击能力,可抵御大流量攻击,保护内部网络;
6.分布式扩展架构设备,便于网络扩容;
7.完善的防火墙功能,可支撑丰富的业务。
3.3云计算安全解决方案
云计算作为一种新的计算资源提供方式,用户在享受它带来的便利性、低成本等优越性的同时,也对其安全性疑虑重重。
如何保障用户数据和资源的机密性、完整性和可用性成为云计算系统亟需解决的课题。
云计算带来的网络安全威胁如下:
云计算系统的计算资源使用方式和管理方式的变化,对运营商和用户都带来了新的安全风险和威胁。
对运营商而言主要存在以下风险和威胁:
云计算系统通过虚拟化技术为大量用户提供计算资源,虚拟管理层成为新增的高危区域。
资源按需自助分配使得恶意用户更易于在云计算系统中发起恶意攻击,并且难以对恶意用户进行追踪和隔离。
用户通过网络接入云计算系统,开放的接口使得云计算系统更易于受到来自外部网络的攻击。
USG9500可部署在云网络出口,作为网络边界的安全设备,主要开启以下功能:
1.安全域隔离,通过防火墙隔离手段划分为接入域、计算域、存储域、管理域,对各个域之间的流量进行安全防护,有效避免网络风暴扩散,保障网络安全;
2.开启IPS入侵防御,提供实时的入侵检测,进行报警及动态防护,有效识别DDoS攻击,减少恶意流量的冲击;
3.根据需要开启NAT功能,对云网络内部用户的私网地址进行转换。
4.根据需要开启DDoS功能,防止网络DDoS攻击。
5.采用双机热备组网,增强网络的可靠性。
双机热备组网详述如3.1节。
方案特点:
1.提供业界最优的防火墙性能,不会成为网络瓶颈;
1.高效的NAT转换功能,满足私网用户的上网需求;
2.优异的IPS处理能力,解决应用层攻击问题;
3.提供高密度万兆以太或POS出口,支持灵活组网;
4.支持双机热备、板卡备份、链路聚合,提供高可靠性组网,保证业务的连续性;
5.千万包每秒的抗攻击能力,可抵御大流量攻击,保护内部网络;
6.分布式扩展架构设备,便于网络扩容;
7.完善的防火墙功能,可支撑丰富的业务。
3.4OM安全隔离解决方案
OM管理网络是运营商或企业自有的一个特殊网络,其中存放了网管服务器,PKI系统,日志管理服务器等多种服务器,管理员可在OM网络内部查询和管理相关设备或信息,也可以通过Internet移动登陆到管理服务器进行操作,OM网络的出口是面向Internet的,所以面临着很多安全威胁,如DDoS攻击,入侵检测等,一旦有非法流量侵入OM网络,更改OM的信息,或变相的通过服务器操控管理的网络设备,后果不堪设想。
OM网络的安全问题不可小视。
USG9500可部署在OM网络出口,作为网络边界的安全设备,对外部数据到达OM网络进行访问控制和安全防护。
USG9500可提供10G-160G可扩展性能,满足用户日益增长的性能需求,千万级别的大并发连接,保证大量移动用户并发访问,强DDoS防护能力,确保核心网网络稳定安全。
USG9500在此位置,主要开启以下功能:
1.安全域隔离,将OM设置在trust域,Internet侧设置为untrust域,有控制隔离OM网和Internet之间的流量传输;
2.根据业务类型开启攻击防范功能,抵御外来的各种攻击;
3.根据需要开启NATserver功能,对内部服务器进行NAT转换,使外网用户不能直接获得服务器的地址,有效保护了服务器的安全。
4.根据需要开启虚拟防火墙功能,将不同的服务器群划分在不同的虚拟防火墙中,有效隔离不同的管理流量。
5.开启IPS功能,解决应用层攻击问题;
6.根据需要开启IPSecVPN或L2TPVPN保证移动管理员接入的安全性。
7.采用双机热备组网,增强网络的可靠性。
双机热备组网详述如3.1节。
方案特点:
1.提供业界最优的防火墙性能,不会成为网络瓶颈;
2.高效的NATserver转换功能,为内部服务器提供完善的地址转换功能;
3.高性能的虚拟防火墙服务器,对业务进行有效隔离;
4.高性能的IPS模块,可对应用层攻击进行预防和阻止,不仅能够检测入侵的发生,而且能通过一定的响应方式,实时地中止入侵行为的发生和发展,实时地保护信息系统不受实质性的攻击。
5.提供高密度万兆以太或POS出口,支持灵活组网;
6.支持双机热备、板卡备份、链路聚合,提供高可靠性组网,保证业务的连续性;
7.千万包每秒的抗攻击能力,可抵御大流量攻击,保护内部网络;
8.分布式扩展架构设备,便于网络扩容;
9.完善的防火墙功能,可支撑丰富的业务。
3.5校园网安全解决方案
随着网络的发展,校园网也日益强大起来,因为学生数量的日益增长,网络化办公程伟主流,网络应用也越来越复杂,几乎提供所有的网络服务。
由于视频点播、视频会议、电子课件等使用,使网络中充斥着大量的多媒体数据。
同时,学生们总是乐于尝试各种网络服务,网络数量庞大,所以网络中的数据流量非常大。
因此,要求校园网设备具有较高的性能,对网络安全也提出了更高的要求。
通常校园网都是双向出口,一方面连接专线,一方面连接运营商网络上Internet,在此网络环境下,校园网出现了多出口问题,一般情况下,学校流量走专线和教育网互通,当专线出口出现故障时,可灵活选择另一个出口上Internet,不影响整个校园网上网流量。
另外,校园网最先涉足IPv6网络,当校园网逐步向IPv6网络迁移时,IPv6网络安全过渡也会成为校园网出口的一个亟需解决的问题,这时就需要IPv4和IPv6网络之间的转换互通设备,提供IPV4网络与IPV6网络之间的互访技术。
USG9500可部署在校园网络出口,作为网络边界的安全设备,主要开启以下功能:
1.安全域隔离,针对Internet或专网与校园网络内部之间信息交互进行流量监控、安全规则检查和过滤,有效避免网络风暴扩散,保障网络安全;
2.开启IPS入侵防御,提供实时的入侵检测,进行报警及动态防护,有效识别DDoS攻击,减少恶意流量的冲击;
3.开启NAT功能,为校园网用户出口做NAT处理;在IPv6网络发展起来后,需要出口防火墙具备IPv6安全过渡能力,主要包括双栈技术、隧道技术以及IPV4/IPV6协议转换技术。
4.根据需要开启攻击防范功能,对校园网络内部设备进行保护。
5.根据需要开启DDoS功能,防止网络DDoS攻击。
6.采用策略路由功能,根据策略路由优先级不同选择不同的出接口,还可以根据需要对内部用户做区分,可以使一部分用户流量走专网,另一部分用户流量直接上Internet。
7.采用双机热备组网,增强网络的可靠性。
双机热备组网详述如3.1节。
方案特点:
1.提供业界最优的防火墙性能,不会成为网络瓶颈;
2.高性能的IPS模块,可对应用层攻击进行预防和阻止,不仅能够检测入侵的发生,而且能通过一定的响应方式,实时地中止入侵行为的发生和发展,实时地保护信息系统不受实质性的攻击。
3.优异的DDoS处理性能和解决方案,过滤SYNflood、UDPflood等流量型DDoS攻击、DNSflood等应用层DDoS攻击;
4.高效的NAT转换功能和NAT容量,满足校园网用户的上网需求;多种IPv4/IPv6协议转换技术,可根据在网络中的部署位置,网络需求开启IPv6overIPv4隧道、IPv4overIPv6隧道、NAT64、DS-lite功能,满足IPv4和IPv6的互访需求。
5.灵活的策略路由功能,可根据不同需要选择不同出口进行网络访问,并且多出口可互为备份,增加了出口的可靠性;
6.提供高密度万兆以太或POS出口,支持灵活组网;
7.支持双机热备、板卡备份、链路聚合,提供高可靠性组网,保证业务的连续性;
8.千万包每秒的抗攻击能力,可抵御大流量攻击,保护内部网络;
9.分布式扩展架构设备,便于网络扩容;
10.完善的防火墙功能,可支撑丰富的业务。
3.6广电网络出口安全方案
通常广电网络都是租用运营商的多条链路进行宽带用户Internet访问,由租用外部链路时间不统一,链路带宽不确定,链路不稳定等因素,出口需要部署NAT设备,既要对网络出口流量进行NAT转换,转换成租用链路的公网地址池,又要对链路之间进行智能选路和链路备份,另外广电出口是唯一与Internet连接的出口,其安全防护尤为重要.
方案概述:
广电网络出口部署华为的USG防火墙设备作为出口网关,解决NAT和智能选路需求,部署华为的ASG设备对出口流量进行管控,提高链路利用率,根据各地市需要旁挂部署Anti-DDoS设备对进入广电网络的流量进行引流清洗,保证进入网络内部的流量安全可靠。
方案设计:
在广电网络出口部署如图安全设备,为广电网络解决以下问题:
1.地址转换:
在USG网关上开启NAT功能,为广电用户出口做NAT处理,将用户流量源地址转换成租用链路的公网地址或省广电分配的公网地址;
2.智能选路:
在USG网关上开启选路功能,针对租用的链路大小不同,按照路由权重比例配置负载分担方式,如租用了2条链路,一条租用500M,另一条租用1G,在防火墙设备上两条链路按照1:
2方式配置负载,流量在2条链路上按照比例自动负载分担,避免人工干预,减少维护量。
3.链路备份:
在USG出口网关上启用策略路由功能,根
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 华为 USG 高端 防火墙 技术 建议书
![提示](https://static.bingdoc.com/images/bang_tan.gif)