政府網(wǎng)絡(luò)安全及VPN解決方案文獻(xiàn)

1、X煙府網(wǎng)絡(luò)安全及VPNS決方案技術(shù)建議書Huawei Symantec華為賽門鐵克科技有限公司2011 年目錄 TOC o 1-5 h z 目 i HYPERLINK l bookmark5 o Current Document 政務(wù)外網(wǎng)建設(shè)現(xiàn)狀 3 HYPERLINK l bookmark7 o Current Document 政務(wù)外網(wǎng)的整體框架 3 HYPERLINK l bookmark9 o Current Document 政務(wù)外網(wǎng)網(wǎng)絡(luò)安全及 VPN1設(shè)目標(biāo) 4 HYPERLINK l bookmark11 o Current Document 政務(wù)外網(wǎng)VPN1設(shè)需求及建設(shè)原則 4

2、 HYPERLINK l bookmark13 o Current Document 政務(wù)外網(wǎng)VPN建設(shè)需求分析： 4 HYPERLINK l bookmark15 o Current Document 政務(wù)外網(wǎng)VPN建設(shè)的基本設(shè)計(jì)原則 5 HYPERLINK l bookmark17 o Current Document 政務(wù)外網(wǎng)VPNt設(shè)方案 6 HYPERLINK l bookmark19 o Current Document 網(wǎng)絡(luò)總體結(jié)構(gòu) 6 HYPERLINK l bookmark23 o Current Document 政務(wù)外網(wǎng)VPN網(wǎng)關(guān)接入方案 7 HYPERLINK l bo

3、okmark25 o Current Document 省各廳局委辦通過 VPNS通方案11 HYPERLINK l bookmark27 o Current Document 政務(wù)外網(wǎng)VPN移動(dòng)用戶接入方案 12 HYPERLINK l bookmark29 o Current Document 華賽VP瞰入解決方案特點(diǎn) 13 HYPERLINK l bookmark31 o Current Document 全面的VPN業(yè)務(wù)支撐能力 13 HYPERLINK l bookmark33 o Current Document 領(lǐng)先的業(yè)務(wù)性能及高可靠的硬件體系 14 HYPERLINK l bo

4、okmark35 o Current Document 圖形化的便捷管理 14 HYPERLINK l bookmark37 o Current Document 部分產(chǎn)品介紹 15華賽 USG2000/5000 簡(jiǎn)介15華賽USG2000/5000功能特點(diǎn) 16安全區(qū)域管理 16 HYPERLINK l bookmark39 o Current Document 安全策略控制 17 HYPERLINK l bookmark41 o Current Document 豐富的接入方式 18 HYPERLINK l bookmark43 o Current Document 卓越的路由交換特性 1

5、9 HYPERLINK l bookmark45 o Current Document 黑名單過濾惡意主機(jī) 21 HYPERLINK l bookmark47 o Current Document IP和MAC地址綁定21 HYPERLINK l bookmark49 o Current Document 強(qiáng)大的攻擊防范能力 21 HYPERLINK l bookmark51 o Current Document VPN特性支持 22 HYPERLINK l bookmark53 o Current Document 靈活的擴(kuò)展能力 22 HYPERLINK l bookmark55 o Cu

6、rrent Document 良好的管理維護(hù)功能 22 HYPERLINK l bookmark57 o Current Document 完備的IPv4/IPv6 解決方案 23 HYPERLINK l bookmark59 o Current Document 領(lǐng)先的UTM 技術(shù) 24 HYPERLINK l bookmark61 o Current Document 全面的語(yǔ)音方案 25 HYPERLINK l bookmark63 o Current Document 完善的QoS機(jī)制 25 HYPERLINK l bookmark65 o Current Document 高度的可靠

7、性保證 26 HYPERLINK l bookmark67 o Current Document 廣泛的多業(yè)務(wù)集成 26 HYPERLINK l bookmark69 o Current Document 成功案例 26 HYPERLINK l bookmark71 o Current Document XX奧運(yùn)城市數(shù)據(jù)系統(tǒng) VPN項(xiàng)目 26 HYPERLINK l bookmark73 o Current Document XX省電子政務(wù) VPN應(yīng)用案例 281 政務(wù)外網(wǎng)建設(shè)現(xiàn)狀國(guó)家電子政務(wù)外網(wǎng)建設(shè)目標(biāo)是：建立一個(gè)開放的、基于標(biāo)準(zhǔn)的、符合國(guó)家外網(wǎng)建設(shè)要求的政務(wù)外網(wǎng)統(tǒng)一網(wǎng)絡(luò)平臺(tái)，實(shí)現(xiàn)省直各部門

8、及全省市的信息快速交換和資源共享，向全體政務(wù)工作者提供一個(gè)業(yè)務(wù)處理、輔助辦公的工作平臺(tái)，為省門戶網(wǎng)站提供信息源及后臺(tái)應(yīng)用業(yè)務(wù)運(yùn)行支持，外網(wǎng)將分別支持?jǐn)?shù)據(jù)、語(yǔ)音和視頻業(yè)務(wù)，運(yùn)行各部門的對(duì)外業(yè)務(wù)系統(tǒng)，實(shí)現(xiàn)各網(wǎng)間的信息交換和資源共享，同時(shí)建立完善的信息安全體系和相應(yīng)的備份系統(tǒng)。目前國(guó)家電子政務(wù)外網(wǎng)城域網(wǎng)建設(shè)已經(jīng)完成中央城域網(wǎng)4個(gè)節(jié)點(diǎn)2.5G環(huán)網(wǎng)的建設(shè)；完成國(guó)家監(jiān)察部、國(guó)務(wù)院扶貧辦、勞動(dòng)和社會(huì)保障部、農(nóng)業(yè)部、人事部、國(guó)家審計(jì)署等中央部門接入外網(wǎng)的工作；完成國(guó)家外網(wǎng)與全國(guó)32個(gè)省級(jí)外網(wǎng)節(jié)點(diǎn)的互聯(lián)互通工作；開通至中國(guó)網(wǎng)通100M出口；開通至中國(guó)聯(lián)通 100M出口；同時(shí)各省按照中共中央辦公廳、國(guó)務(wù)院辦公廳中

9、辦發(fā)200217 號(hào)、 200618 號(hào)文件精神的要求，建設(shè)覆蓋省、市、縣各級(jí)黨委、人大、政府、政協(xié)、法院、檢察院及其組成部門、直屬機(jī)構(gòu)的政務(wù)外網(wǎng)，在省內(nèi)統(tǒng)一組織建設(shè)構(gòu)建五大基礎(chǔ)數(shù)據(jù)庫(kù)：法人數(shù)據(jù)庫(kù)、人口數(shù)據(jù)庫(kù)、地理信息數(shù)據(jù)庫(kù)、宏觀經(jīng)濟(jì)數(shù)據(jù)庫(kù)、法律法規(guī)數(shù)據(jù)庫(kù)，可以通過對(duì)省級(jí)數(shù)據(jù)庫(kù)進(jìn)行訪問的方式進(jìn)行數(shù)據(jù)共享、交換、查詢和比對(duì)。2 政務(wù)外網(wǎng)的整體框架電子政務(wù)外網(wǎng)是國(guó)家政務(wù)外網(wǎng)的延伸和拓展。在各省駐地有華為高端路由器，作為省上聯(lián)中央的PE 設(shè)備。省政務(wù)外網(wǎng)平臺(tái)，上連國(guó)家政務(wù)外網(wǎng)，下連市的政務(wù)外網(wǎng)。構(gòu)建省城城域網(wǎng)、 省到市廣域網(wǎng)，根據(jù)國(guó)家外網(wǎng)中央城域網(wǎng)的接入部委，實(shí)現(xiàn)大部分省直廳局與省政務(wù)外網(wǎng)的連接，貫

10、通政府業(yè)務(wù)部門中央到省的信息通道；地市電子政務(wù)網(wǎng)，上連省電子政務(wù)網(wǎng)，下連接到縣、區(qū)，有條件的地方可以連接到鄉(xiāng)、鎮(zhèn)和社區(qū)，橫向連接到黨委、人大、 政府、 政協(xié)、 法院、 檢察院及各職能部門的內(nèi)部局域網(wǎng)。在地市建立政務(wù)網(wǎng)平臺(tái)，平臺(tái)一般包括：機(jī)房、網(wǎng)絡(luò)接入設(shè)備、安全設(shè)備、計(jì)算機(jī)設(shè)備、基礎(chǔ)軟件（包括操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、應(yīng)用服務(wù)器）等。地市在政務(wù)網(wǎng)上建設(shè)統(tǒng)一的政府辦公平臺(tái)，平臺(tái)上集成有各類應(yīng)用系統(tǒng)、各類數(shù)據(jù)庫(kù)。應(yīng)用系統(tǒng)根據(jù)其功能和使用角色分別集成到政府門戶、政務(wù)門戶，各類公務(wù)員按照分配的角色權(quán)限、采用單點(diǎn)登錄的方式統(tǒng)一使用政務(wù)平臺(tái)上的功能。地市縣建設(shè)的政府門戶，與政務(wù)網(wǎng)邏輯連接，政府門戶直接為老百

11、姓服務(wù)，實(shí)現(xiàn)政府門戶受理、政務(wù)網(wǎng)辦理、政府門戶結(jié)果發(fā)布的工作模式。在技術(shù)上，各局委辦不建設(shè)技術(shù)平臺(tái)，統(tǒng)一使用地市平臺(tái)。3政務(wù)外網(wǎng)網(wǎng)絡(luò)安全及VPN建設(shè)目標(biāo)在電子政務(wù)外網(wǎng)整體框架下，通過政務(wù)外網(wǎng)VPN 的建設(shè)，補(bǔ)充目前政務(wù)外網(wǎng)接入的形式。對(duì)于省網(wǎng)建設(shè)相對(duì)滯后地區(qū)，各級(jí)機(jī)構(gòu)利用專線方式接入難度較大，而采用 VPN 網(wǎng)關(guān)和技術(shù)可以利用廉價(jià)Internet資源滿足接入單位安全接入政務(wù)外網(wǎng)的需求。需求主要場(chǎng)景如下：省各廳局委辦通過 VPNT其所屬的國(guó)家部門互通；省各廳局委辦通過 VPNW有業(yè)務(wù)需求的國(guó)家部門互通；省各廳局委辦通過VPNE通；各廳局委辦移動(dòng)用戶安全接入 VPN（統(tǒng)；4政務(wù)外網(wǎng)VPN建設(shè)需求及

12、建設(shè)原則政務(wù)外網(wǎng)VPN 建設(shè)需求分析：1）穩(wěn)定可靠性的需求：政務(wù)外網(wǎng)vp源統(tǒng)的穩(wěn)定性和可靠性關(guān)系整個(gè)政務(wù)外網(wǎng)vpNK入用戶業(yè)務(wù)的延續(xù)性，是政務(wù)外網(wǎng) VPNT行性的基礎(chǔ)。為確保政務(wù)外網(wǎng) VPN（統(tǒng)穩(wěn)定可 靠運(yùn)行，政務(wù)外網(wǎng)VPNS設(shè)選擇的產(chǎn)品和解決方案必須是經(jīng)過市場(chǎng)考驗(yàn)，采用成熟 技術(shù)支撐的產(chǎn)品和解決方案。2）安全性的需求：安全性是整個(gè)政務(wù)外網(wǎng)VPNk務(wù)開展的前提，主要有以下幾個(gè)方面：a）必須符合國(guó)家信息安全相關(guān)條例及國(guó)家等級(jí)保護(hù)策略，選擇通過國(guó)家VPM目關(guān)技術(shù)鑒定的產(chǎn)品，從而能夠達(dá)到符合安全性的國(guó)家標(biāo)準(zhǔn)要求通過制定VP成全策略性，在解決方案設(shè)計(jì)中實(shí)施如CA Ukey、防入侵檢測(cè)等安全手段，提升政

13、務(wù)外網(wǎng) VPN勺安全性。關(guān)注網(wǎng)絡(luò)安全發(fā)展的趨勢(shì)，對(duì) VPfT品的安全特性的擴(kuò)展性提出相應(yīng)擴(kuò)展的要 求。3）大容量的需求：政務(wù)外網(wǎng) VPN各滿足省網(wǎng)未覆蓋到的省、市、區(qū)、鎮(zhèn)等各級(jí)部門以及大量移動(dòng)辦公用戶的 VPN入，又產(chǎn)品VPN Tunnel的容量及擴(kuò)展性提出很高的要求。4）高性能的需求：面對(duì)大量有訪問需求的政府機(jī)構(gòu)機(jī)關(guān)和移動(dòng)辦公用戶，性能將直接影響到各廳局委辦訪問省政務(wù)平臺(tái)數(shù)據(jù)資源時(shí)的效率和使用體驗(yàn)，對(duì) VPNServer的 性能主要有兩個(gè)方面；一個(gè)是加解密吞吐量，體現(xiàn)了政府分支機(jī)構(gòu)可獲得的最大數(shù)據(jù)帶寬、一個(gè)是時(shí)延，時(shí)延直接關(guān)系業(yè)務(wù)的感受以及政務(wù)平臺(tái)多項(xiàng)業(yè)務(wù)的開展，如：VoIP、視頻會(huì)議等。對(duì)

14、 VPN Client的需求主要是 Qo要求?；ネㄐ缘男枨螅河钟谡?wù)外網(wǎng) VPN勺互通性主要體現(xiàn)在： VPN Server通過省RtDf國(guó) 家MPLS VP甌通，與省各級(jí)部門 VPN Gateway!：通。6）可管理性的需求：良好的可管理性將大幅降低管理維護(hù)人員耗費(fèi)的精力，有助于快 速正確響應(yīng)各類業(yè)務(wù)需求。VPNServer的可管理性主要體現(xiàn)在自身是否有圖形化的管理維護(hù)軟件，以及是否可以支持第三方的管理系統(tǒng)。4.2 政務(wù)外網(wǎng)VPN建設(shè)的基本設(shè)計(jì)原則政務(wù)外網(wǎng)VPN設(shè)計(jì)遵循以下建網(wǎng)原則：標(biāo)準(zhǔn)化原則標(biāo)準(zhǔn)化是電子政務(wù)建設(shè)的基礎(chǔ)保障，應(yīng)用服務(wù)系統(tǒng)建設(shè)必須在業(yè)務(wù)流程化、安全體系和安全技術(shù)、信息表示和信息交

15、換、網(wǎng)絡(luò)協(xié)議、軟件結(jié)構(gòu)、軟件平臺(tái)等標(biāo)準(zhǔn)方面遵循國(guó)家有關(guān)電子政務(wù)技術(shù)標(biāo)準(zhǔn)，才能達(dá)到“互連、互通、互操作”要求，實(shí)現(xiàn)“信息交換、資源共享”。安全保密性原則在數(shù)據(jù)庫(kù)設(shè)計(jì)、應(yīng)用操作權(quán)限和身份認(rèn)證方面均嚴(yán)格遵循國(guó)家電子政務(wù)有關(guān)安全、保密標(biāo)準(zhǔn)，全面加強(qiáng)安全措施，所有應(yīng)用項(xiàng)目采用符合國(guó)家電子政務(wù)標(biāo)準(zhǔn)的基礎(chǔ)軟硬件?？煽啃栽瓌t系統(tǒng)能有效的避免單點(diǎn)失敗，在設(shè)備選擇和互聯(lián)時(shí)應(yīng)提供充分的冗余備份，實(shí)現(xiàn)7X24小時(shí)不間斷工作。經(jīng)濟(jì)實(shí)用原則以需求為基礎(chǔ)，充分考慮發(fā)展的需要來確定系統(tǒng)規(guī)模，功能模塊子系統(tǒng)以插件方式擴(kuò)展。系統(tǒng)應(yīng)突出實(shí)用，要讓系統(tǒng)的投資與各省電子政務(wù)系統(tǒng)建設(shè)的實(shí)際需求相符合?？晒芾硇栽瓌t系統(tǒng)設(shè)備易于管理、維護(hù)，

16、操作簡(jiǎn)單，便于配置，在安全性、數(shù)據(jù)流量、性能等方面能得到很好的監(jiān)視和控制，可以進(jìn)行遠(yuǎn)程管理和故障診斷。先進(jìn)性原則系統(tǒng)的結(jié)構(gòu)設(shè)計(jì)、配置、管理方式，應(yīng)采用成熟的先進(jìn)技術(shù)，延長(zhǎng)系統(tǒng)的生命周期。開放兼容性原則系統(tǒng)要求開放性好、標(biāo)準(zhǔn)化程度高，系統(tǒng)建設(shè)應(yīng)與現(xiàn)有的一些單位局域網(wǎng)系統(tǒng)平臺(tái)兼容。系統(tǒng)建立符合國(guó)家和各省關(guān)于電子政務(wù)及信息化建設(shè)有關(guān)標(biāo)準(zhǔn)?？蓴U(kuò)展性原則系統(tǒng)設(shè)備不但滿足當(dāng)前需要，并在擴(kuò)充模塊后滿足發(fā)展的需要；保證系統(tǒng)平臺(tái)升級(jí)時(shí)能保護(hù)現(xiàn)有投資。先易后難、階段實(shí)施的原則將容易實(shí)現(xiàn)的重點(diǎn)業(yè)務(wù)作為突破口，堅(jiān)持分階段實(shí)施，立足于小步快走，步步見效，滾動(dòng)發(fā)展，最大限度的減少投資風(fēng)險(xiǎn)，提高系統(tǒng)利用率。保護(hù)現(xiàn)有投資原則

17、充分利用現(xiàn)有系統(tǒng)，整合已開發(fā)信息資源，發(fā)揮現(xiàn)有投資的效能。技術(shù)成熟性原則在系統(tǒng)軟硬件方面， 充分考慮采用國(guó)內(nèi)通用的， 成熟的軟硬件產(chǎn)品進(jìn)行開發(fā)，保證系統(tǒng)功能的高效穩(wěn)定。5政務(wù)外網(wǎng)VPN建設(shè)方案網(wǎng)絡(luò)總體結(jié)構(gòu)根據(jù)網(wǎng)絡(luò)建設(shè)目標(biāo)和需求，政務(wù)外網(wǎng) VPN1設(shè)網(wǎng)絡(luò)組成如下圖:核心交投機(jī)杳政務(wù)外國(guó)數(shù)據(jù)中心PN_CI i將房用FVPM遠(yuǎn)程接入節(jié)點(diǎn)地市政芳數(shù)據(jù)中心各廳局查辦接入節(jié)點(diǎn)iisut 限用履其國(guó)!前置機(jī)出應(yīng)用業(yè)搏 賽看撲丁7認(rèn)證/國(guó)首 I睇第一,-箕M牛首理時(shí)番猾.-1 廳區(qū)年辦內(nèi)網(wǎng)圖中省干政務(wù)外網(wǎng) VPNf Internet相連，各市（地）、縣城域網(wǎng)與Internet相連，之間通 過VPN）O關(guān)在In

18、ternet 上建立安全VPN1接。為使政務(wù)外網(wǎng)VPNO絡(luò)構(gòu)建及維護(hù)簡(jiǎn)單、層次清晰，其層次結(jié)構(gòu)分為：省干政務(wù)外網(wǎng)VPNJ關(guān)接入部分：主要各廳局部委局域網(wǎng)經(jīng)互連網(wǎng)通過VPNg入電子政務(wù)外網(wǎng)，特點(diǎn)是地理位置相對(duì)固定，對(duì)業(yè)務(wù)保障要求高， 用戶終端方面不用改造，操作習(xí)慣不會(huì)發(fā)生變化。省干政務(wù)外網(wǎng)VPhS動(dòng)用戶部分：隨HOMOffice辦公的需求的旺盛，移動(dòng)用戶通 過VPNJ、公的數(shù)量越來越多，移動(dòng)辦公用戶對(duì)性能相對(duì)要求較低，對(duì)安全接入等 方面要求較高。政務(wù)外網(wǎng)VPN網(wǎng)關(guān)接入方案根據(jù)電子政務(wù)外網(wǎng)的需求，國(guó)干MPLS VPN結(jié)在省PE,在省PEK由VPN Server與PE1過G口連接，通過VPNServ

19、er提供的VC電能導(dǎo)入對(duì)應(yīng)VPN在不具備專線條件的省廳部委辦 部署FW/VP毆備，并通過Internet與VPN Server建立IPSEC VPN1道傳輸數(shù)據(jù)。各省廳部委 辦縱向互聯(lián)由各廳部委辦 FW/VPNL間直接建立隧道完成橫向互通，減少核心網(wǎng)數(shù)據(jù)流量負(fù) 擔(dān)。省間的廳部委辦間互通由國(guó)干網(wǎng)統(tǒng)一管理。省內(nèi)VPNB過省級(jí)VP吃一管理平臺(tái)平臺(tái)管理。可通過VC或VPEM種方案實(shí)現(xiàn)IPSEC VPNI國(guó)干MPLS VPNt接：VCET案廳局委辦內(nèi)網(wǎng)A ；VPNA站點(diǎn)1串 / 1PSEC VPN Gateway廳局委辦與對(duì)應(yīng) 的虛擬CE建立 IPSEC VPN虛報(bào)CE通過于接 口與PE連接，接 人不同

20、VPN國(guó)家部A廳局委辦內(nèi)網(wǎng)B ；YPtLB站點(diǎn)2InternVCEVPN十虛也)CE移動(dòng)辦公用戶移動(dòng)辦公用戶通 過VPM Client與對(duì) 應(yīng)的虛擬CE建立 L2TP VPN方案特點(diǎn)：VPN Server通過虛擬防火墻、地址轉(zhuǎn)換多實(shí)例、multi-VRF等VPN隔離技術(shù)，做為一個(gè)MPLS VPN網(wǎng)絡(luò)統(tǒng)一訪問Internet的出口設(shè)備，在 MPLS網(wǎng)絡(luò)之外承擔(dān) VCE (VirtualCE)的 功能。在VPN Server的出入接口劃分不同的 VLAN或邏輯子接口，將不同的分支機(jī)構(gòu)或不同的 業(yè)務(wù)通過進(jìn)出不同的 VLAN或子接口進(jìn)入不同的虛擬防火墻VPN實(shí)例，從而達(dá)到了隔離的目的，為MPLS VP

21、N統(tǒng)一提供Internet訪問。用戶認(rèn)證通過IKE來提供，可以提供基于證書的方 式，也可以采用per-shared key的方式，通過IKE認(rèn)證就可以知道該IPSEC隧道應(yīng)該接入到哪 個(gè)MPLS VPN中。VPN Server支持業(yè)務(wù)多實(shí)例特性，資源獨(dú)立存放，可以很好的解決私網(wǎng)地 址重疊的問題。VP的案;移動(dòng)辦公用戶：起VPN網(wǎng)關(guān)采用IPSec方式接入VPE,移動(dòng)辦公用戶采用L2TP或者L2TP+IPSEC方式接入 VPE,在VPE上實(shí)現(xiàn)IP VPN隧道和MPLS LSP 隧道的融合與銜接。VCEF口VPET案比較與VPE方案相比，VCE方案具有明顯的優(yōu)勢(shì)：在組網(wǎng)靈活性方面：VCE方案不需要修

22、改現(xiàn)網(wǎng)，直接通過internet接口進(jìn)行VPN連接；而VPE方案則需要修改現(xiàn)網(wǎng)，增加 PE設(shè)備，同時(shí)與各省PE連接起來；在設(shè)備選才i方面：VCE方案中的VPN Server設(shè)備可以靈活選擇，接入用戶多的可以選擇 性能高的，接入用戶少的可以選擇性能低的；而VPE方案中的VPN Server必須支持MPLS功能，MPLS對(duì)設(shè)備要求很高，因此不管接入用戶多少，VPN Server必須選擇高端設(shè)備；在穩(wěn)定性方面：VCE方案中的VPN Server功能獨(dú)立，專門負(fù)責(zé)IPSEC接入，更能保證功 能長(zhǎng)時(shí)間穩(wěn)定運(yùn)行；而 VPE方案中的VPN Server同時(shí)負(fù)責(zé)IPSEC接入與MPLS轉(zhuǎn)發(fā)，設(shè)備負(fù) 荷較大，設(shè)

23、備穩(wěn)定性較難控制。VPE方案的優(yōu)勢(shì)在于將 PE設(shè)備和VPN Server的功能集成在一個(gè)設(shè)備中實(shí)現(xiàn)，在某些尚未部署PE設(shè)備的場(chǎng)景下，可節(jié)省用戶投資。綜上所述，我們建議政務(wù)外網(wǎng) VPNJ關(guān)建設(shè)拓?fù)鋱D如下:廳局委辦國(guó)室部網(wǎng)IPSEC VPN GatewayPSEC VPfx Gatouvay廳局委辦與對(duì)應(yīng) 的虛擬CE建立 IPSEC VPNMPLS VPNInternet廳局委辦內(nèi)網(wǎng)B國(guó)家部A 國(guó)家部臼4kL蜃斤Jg毒辦內(nèi)同印 前置機(jī)組網(wǎng)設(shè)計(jì)說明:1） 在大多數(shù)已經(jīng)部署 P毆備的省份（區(qū)域），核心VPNServer采用兩臺(tái)USG2000/5000熱備組網(wǎng)，USG2000/5000提供最大4000隧

24、道的擴(kuò)展，加解密性能達(dá)到 IGbps,能夠滿足省廳局委辦的 VPN入需求。核心VPN Server與省RD!過G破口相連，與Internet 通過 ISP 100Mbp 或 1Gbp黜路連接。省干;廳局委辦內(nèi)網(wǎng)AVPM苴站點(diǎn)1國(guó)LLdzrJUlUIPSEC VPN Tunnel至閔7Server ClientVPN Manager虛擬GE通過子接 口與PU連接，接 入不同VPNVPN B 站點(diǎn)工PN +通擬CEFudamCOD廳局委辦理作為核心VPN Server的USG 2000/5000采用VC豉術(shù)，通過子接口與 PE寸接VPN確 保不同的IPSEC VPNI入各自的 MPLSVPN IP

25、SEC VPNk務(wù)間的互通由 PBS行統(tǒng)一部 署與控制；個(gè)別尚未部署P豉備的省份（區(qū)域），核心 VPN Server采用一臺(tái)USG30401.網(wǎng)，在VPE上實(shí)現(xiàn)IP VPN隧道和MPLS LSP隧道的融合與銜接；二廳部委辦內(nèi)網(wǎng)A:廳部委辦內(nèi)網(wǎng)B :VPN A站點(diǎn)1VPE3）各廳局委辦根據(jù)自身業(yè)務(wù)需求選擇VPN Gateway接入設(shè)備?？紤]未來網(wǎng)絡(luò)擴(kuò)展性及業(yè)務(wù)開展需要，可選如下設(shè)備；在省干部署VPNManager管理系統(tǒng)，對(duì)省內(nèi)VPNk務(wù)進(jìn)行可視化管理， 提升管理效率；VPN勺流量由USG2000/5000鏡像至NIP1000 （入侵檢測(cè)系統(tǒng)），實(shí)施 USG2000/5000與NIP1000的聯(lián)

26、動(dòng)，通過NIP1000動(dòng)態(tài)監(jiān)測(cè)數(shù)據(jù)流，提升業(yè)務(wù)系統(tǒng)的安全性。省各廳局委辦通過VPN互通方案在廳局委內(nèi)網(wǎng)A和廳局委內(nèi)網(wǎng)B的網(wǎng)絡(luò)出口部署IPSec VPN Gateway ,在兩個(gè)IPSec VPNGateway之間建立IPSec隧道，穿越internet ,實(shí)現(xiàn)IPSec VPN用戶之間的橫向互訪并保證數(shù)據(jù)報(bào)在網(wǎng)絡(luò)上傳輸時(shí)的私有性、完整性、真實(shí)性和防重放。政務(wù)外網(wǎng)VPN移動(dòng)用戶接入方案政務(wù)外網(wǎng)VPF#為移動(dòng)用戶提供便捷的 VPN入方案,滿足省內(nèi)用戶出差及非辦公區(qū)辦公時(shí)的安全訪問政務(wù)外網(wǎng)的需求，網(wǎng)絡(luò)拓?fù)淙缦?國(guó)家部BMPLS2000/000NIT1000Internet將動(dòng)辦公國(guó)干省干移動(dòng)辦公用戶

27、通過 VPN Client接入VPN Server網(wǎng)關(guān)，業(yè)務(wù)流程如下：移動(dòng)辦公用戶終端接入Internet 。在終端上運(yùn)行VPN Client軟件，選擇或輸入要接入的 VPN Server的IP地址。輸入用戶名密碼點(diǎn)擊連接(對(duì)于不同的用戶可在 VPN Server上部署不同的安全策略，如需要接入VPN認(rèn)證方式等)；推薦采用CM USBKEY式顯著提高安全性。4）完成認(rèn)證后，VPN Client提示接入VPNO絡(luò)，移動(dòng)辦公用戶進(jìn)行需要的數(shù)據(jù)訪問。移動(dòng)辦公用戶訪問 MPLS勺數(shù)據(jù)將導(dǎo)入NIP1000入侵檢測(cè)系統(tǒng)，進(jìn)行入侵檢測(cè)，后續(xù)可考慮部署防病毒網(wǎng)關(guān)或其他安全檢測(cè)設(shè)備，提高訪問的安全性。6華賽VP

28、N接入解決方案特點(diǎn)全面的 VPN 業(yè)務(wù)支撐能力華賽VPN1體解決方案能夠提供 L2TP、 GRE IP Sec、 SSL VPN MPLSVPN?多種VPN 接入方式，并支持DES 3DES AES?多種加密算法，結(jié)合華賽公司全系列的VPN備，提供完整的VPN軍決能力。USG 2000/5000防火墻可支持高達(dá)1Gbps白3DESb理 能力，提供高性能的LN%艮務(wù)。支持從Internet安全接入到MPLS VP網(wǎng)絡(luò)，通過一臺(tái)USG&火墻的一個(gè)物理接口就 可以為Internet上的許多VP附支機(jī)構(gòu)接入到MPLSVPN供服務(wù)。用戶認(rèn)證通過IKE 來提供，可以提供基于證書的方式，也可以采用per-s

29、hared key 的方式。通過IKE認(rèn)證就可以知道該IP Sec隧道應(yīng)該接入到哪個(gè) MPLS VP即。USG1列防火墻對(duì)每個(gè) VPF持了獨(dú)立的轉(zhuǎn)發(fā)資源，從源頭上就可以控制不同VPN0戶之間無(wú)法互訪。支持Multi-VRF特性，可以為多個(gè)VPF存獨(dú)立的轉(zhuǎn)發(fā)表項(xiàng)， 這樣可以從轉(zhuǎn)發(fā)層面保 證了業(yè)務(wù)隔離。通過這種Multi-VRF技術(shù)可以在提供VPNk務(wù)的時(shí)候，支持私網(wǎng)地址 重疊功能。支持根驗(yàn)證功能：US映火墻的根系統(tǒng)可以驗(yàn)證隧道對(duì)端，利用IKE進(jìn)行身份驗(yàn)證、密鑰協(xié)商，建立起IP Sec隧道之后，就給這個(gè)IP Sec隧道標(biāo)定了一個(gè) VPN然后將 IP Sec 隧道的流量引入到對(duì)應(yīng)的虛擬防火墻處理。這

30、種方式的處理，可以給Internet的分支機(jī)構(gòu)接入到VPN!供了技術(shù)保證，可以使得 Internet上的分支機(jī)構(gòu)訪問特定VPN。支持多個(gè)虛系統(tǒng)；USG防火墻的一個(gè)虛系統(tǒng)連接一個(gè)分支機(jī)構(gòu)，由這個(gè)虛系統(tǒng)來驗(yàn)證隧道對(duì)端，利用IKE進(jìn)行身份驗(yàn)證、密鑰協(xié)商，建立的IP Sec隧道只能限定在這個(gè)虛系統(tǒng)內(nèi)部。這種方式可以給VPNB戶提供加密接入到骨干網(wǎng)提供了技術(shù)保證，可以使得分支機(jī)構(gòu)在骨干網(wǎng)邊緣通過加密方式接入到VPN提供高可靠的VPN接入服務(wù)。接入控制權(quán)限嚴(yán)格，USGB火墻可以根據(jù)用戶名、密碼來控制訪問VPN勺接入權(quán)限， 這樣可以使得出差員工，超級(jí)用戶（需要訪問不同VP隘源）等不同的用戶。支持采用Radi

31、us協(xié)議統(tǒng)一管理用戶，可以提供雙因子驗(yàn)證方式，采用令牌+固定口令 的方式提供高可靠的接入服務(wù)。領(lǐng)先的業(yè)務(wù)性能及高可靠的硬件體系USG（列防火墻采用新一代電信級(jí)的硬件高速狀態(tài)防火墻，強(qiáng)大的攻擊防范能力，提供靜態(tài)和動(dòng)態(tài)黑名單過濾等特性，可提供豐富的統(tǒng)計(jì)分析功能和日志。USGf火墻具有一個(gè)完整的安全方案技術(shù)體系，可以為用戶提供綜合的安全解決方案。USG 2000/5000防火墻采用NP （網(wǎng)絡(luò)處理器）的硬件結(jié)構(gòu)，可以支持10K以上的并發(fā)用戶，提供1G吞吐量的VPM艮務(wù)。USG（列防火墻支持雙機(jī)備份組網(wǎng)方式，雙機(jī)模式支持IP Sec/L2TP業(yè)務(wù)，可以通過雙機(jī)提供更可靠安全的接入模式。在做VPNO關(guān)的

32、同時(shí)，可以為整個(gè)企業(yè)網(wǎng)提供安全可靠的運(yùn)行環(huán)境，保證整個(gè)企業(yè)網(wǎng)的安全。USGf火墻產(chǎn)品根據(jù)數(shù)據(jù)報(bào)文的特征，以及Dos攻擊的不同手段，可以針對(duì) ICMPFlood、SYNFlood、UDPFlood等各種Dos攻擊手段進(jìn)行 Do畋擊的防御。同時(shí)， USG 防火墻可以主動(dòng)識(shí)別出數(shù)十種常見的攻擊種類，很多種攻擊種類造成的后果就是Dos形式的攻擊，USGf火墻可以主動(dòng)發(fā)現(xiàn)并隔斷這些非法攻擊，消除了內(nèi)部網(wǎng)絡(luò)遭受攻擊的可能。 通過對(duì)各種攻擊的防御手段，利用USGf火墻可以組建一個(gè)安全的防御體系，保證網(wǎng)絡(luò)不遭受 Dos攻擊的侵害。USG（列防火墻支持使用 TCP弋理方式來防止SYN Flood類的Do既擊，通

33、過精確的 驗(yàn)證可以準(zhǔn)確的發(fā)現(xiàn)攻擊報(bào)文，對(duì)正常報(bào)文依然可以通過允許這些報(bào)文訪問防火墻資源，而攻擊報(bào)文則被 USGf火墻丟棄。圖形化的便捷管理政務(wù)外網(wǎng)VPNf理子系統(tǒng)由華賽 VPN Manage添統(tǒng)構(gòu)成；其主要功能是簡(jiǎn)化 VPNk務(wù)的管 理，增強(qiáng)了 IP VPN的管理、維護(hù)和運(yùn)營(yíng)手段。主要有以下特點(diǎn)：所見即所得的業(yè)務(wù)預(yù)部署在網(wǎng)管上進(jìn)行離線的業(yè)務(wù)定義，直到確認(rèn)無(wú)錯(cuò)后再下發(fā)的設(shè)備上使得業(yè)務(wù)生效，對(duì)運(yùn)營(yíng)商非常重要。VPNManager可以離線地進(jìn)行所有的業(yè)務(wù)定義，并且通過各種拓?fù)?視圖達(dá)到所見即所得的效果。配置變更監(jiān)控功能VPNManager提供配置審計(jì)功能，自動(dòng)定期地檢查出網(wǎng)絡(luò)業(yè)務(wù)管理系統(tǒng)和設(shè)備上當(dāng)前

34、 配置的不一致性，發(fā)送告警給運(yùn)維人員，并能提供配置變更的詳細(xì)信息?，F(xiàn)網(wǎng)業(yè)務(wù)的自動(dòng)發(fā)現(xiàn)與還原如果在安裝Secospace VPN Manager之前，網(wǎng)絡(luò)設(shè)備上已經(jīng)部署了IPSec VPN業(yè)務(wù)。VPNManager可以讀取設(shè)備上的配置文件等數(shù)據(jù)，自動(dòng)在VPNManager上還原出IPSecVPNk務(wù)，從而避免部署后續(xù)業(yè)務(wù)時(shí)發(fā)生資源沖突，使得新老業(yè)務(wù)可以統(tǒng)一管理。方便的性能統(tǒng)計(jì)功能VPN Manager提供實(shí)時(shí)性能數(shù)據(jù)查看功能，可對(duì)VPNk務(wù)的流量、帶寬利用率、時(shí)延、丟包、抖動(dòng)等實(shí)時(shí)性能進(jìn)行監(jiān)控，并提供歷史性能數(shù)據(jù)分析功能。有助于用 戶了解當(dāng)前網(wǎng)絡(luò)運(yùn)行的基本情況和性能狀態(tài)，預(yù)防網(wǎng)絡(luò)事故發(fā)生，預(yù)測(cè)網(wǎng)

35、絡(luò)運(yùn)行 狀態(tài)。支持跨平臺(tái)特性VPNManager基于華賽公司統(tǒng)一的 VS稀合管理應(yīng)用平臺(tái)，既可以運(yùn)行在Solaris操作系統(tǒng)下，也可以運(yùn)行在Windows操作系統(tǒng)下。既可提供規(guī)模網(wǎng)絡(luò)的高端解決方案， 也可適應(yīng)低成本的解決方案 簡(jiǎn)單快捷的系統(tǒng)安裝 提供圖形化、向?qū)降陌惭b和升級(jí)方式，系統(tǒng)自動(dòng)設(shè)置靜態(tài)參數(shù)和初始化數(shù)據(jù)。安裝程序?qū)崿F(xiàn)按需定制組件的功能。友好的人機(jī)界面充分考慮用戶的操作習(xí)慣，提供統(tǒng)一風(fēng)格的告警、拓?fù)浜蜆I(yè)務(wù)配置管理界面，保 持一致的視覺效果，提供批量化的操作手段，簡(jiǎn)化用戶日常操作。7 部分產(chǎn)品介紹華賽 USG2000/5000 簡(jiǎn)介USG2000/5000是華賽公司推出的具有防火墻功能的

36、統(tǒng)一安全網(wǎng)關(guān)。USG2000/5000基于華賽專業(yè)的多核硬件平臺(tái)以及強(qiáng)大的VRP軟件平臺(tái)，不僅具備優(yōu)異（NAT） 功能。為了更好地滿足網(wǎng)吧的實(shí)際需要，USG2000/5000還支持豐富的多媒體協(xié)議和路由協(xié)議，組網(wǎng)方式靈活多樣，是大中網(wǎng)吧理想的網(wǎng)絡(luò)安全防護(hù)設(shè)備。華賽 USG2000/5000 功能特點(diǎn)安全區(qū)域管理基于安全區(qū)域的隔離華賽USG2000/5000統(tǒng)一安全網(wǎng)關(guān)的安全隔離是基于安全區(qū)域，這樣的設(shè)計(jì)模型為用戶在實(shí)際使用統(tǒng)一安全網(wǎng)關(guān)的時(shí)候提供了十分良好的管理模型。華賽統(tǒng)一安全網(wǎng)關(guān)提供了基于安全區(qū)域的隔離模型，每個(gè)安全區(qū)域可以按照網(wǎng)絡(luò)的實(shí)際組網(wǎng)加入任意的接口，因此統(tǒng)一安全網(wǎng)關(guān)的安全管理模型是不

37、會(huì)受到網(wǎng)絡(luò)拓?fù)涞挠绊憽？晒芾淼陌踩珔^(qū)域業(yè)界很多防火墻一般都提供受信安全區(qū)域（trust）、非受信安全區(qū)域（untrust）、非軍事化區(qū)域（DMZ ）三個(gè)獨(dú)立的安全區(qū)域，這樣的保護(hù)模型可以適應(yīng)大部分的組網(wǎng)要求，但是在一些安全策略要求較高的場(chǎng)合，這樣的保護(hù)模型還是不能滿足要求。華賽統(tǒng)一安全網(wǎng)關(guān)默認(rèn)提供四個(gè)安全區(qū)域：trust、untrust、DMZ、local,在提供三個(gè)最常用的安全邏輯區(qū)域的基礎(chǔ)上還新增加了本地邏輯安全區(qū)域，本地安全區(qū)域可以定義到統(tǒng)一安全網(wǎng)關(guān)本身的報(bào)文，保證了統(tǒng)一安全網(wǎng)關(guān)本身的安全防護(hù)。例如， 通過對(duì)本地安全區(qū)域的報(bào)文控制，可以很容易的防止不安全區(qū)域?qū)y(tǒng)一安全網(wǎng)關(guān)本身的Telne

38、t、即等訪問。華賽統(tǒng)一安全網(wǎng)關(guān)還提供自定義安全區(qū)域，可以最大定義16個(gè)安全區(qū)域，每個(gè)安全區(qū)域都可以加入獨(dú)立的接口?；诎踩珔^(qū)域的策略控制華賽統(tǒng)一安全網(wǎng)關(guān)支持根據(jù)不同的安全區(qū)域之間的訪問設(shè)計(jì)不同的安全策略組（ACL訪問控制列表）， 每條安全策略組支持若干個(gè)獨(dú)立的規(guī)則。這樣的規(guī)則體系使得統(tǒng)一安全網(wǎng)關(guān)的策略十分容易管理，方便用戶對(duì)各種邏輯安全區(qū)域的獨(dú)立管理?；诎踩珔^(qū)域的策略控制模型，可以清晰的分別定義從trust到untrust、從DMZ至Uuntrust之間的各種訪問，這樣的策略控制模型使得華賽統(tǒng)一安全網(wǎng)關(guān)的網(wǎng)絡(luò)隔離功能具有很好的管理能力。安全策略控制靈活的規(guī)則設(shè)定華賽統(tǒng)一安全網(wǎng)關(guān)可以支持靈活的

39、規(guī)則設(shè)定，可以根據(jù)報(bào)文的特點(diǎn)方便的設(shè)定各種規(guī) 則?？梢砸罁?jù)報(bào)文的協(xié)議號(hào)設(shè)定規(guī)則可以依據(jù)報(bào)文的源地址、目的地址設(shè)定規(guī)則可以使用通配符設(shè)定地址的范圍，用來指定某個(gè)地址段的主機(jī)針對(duì) UDP 和 TCP 還可以指定源端口、目的端口針對(duì)目的端口、源端口可以采用大于、等于、介入、 不等于等方式設(shè)定端口的范圍針對(duì) ICMP 協(xié)議，可以自由的指定ICMP 報(bào)文的類型和Code 號(hào)，可以通過規(guī)則針對(duì)任何一種ICMP 報(bào)文可以針對(duì)IP 報(bào)文中的TOS 域設(shè)定靈活的規(guī)則可以將多個(gè)報(bào)文的地址形成一個(gè)組，作為地址本，在定義規(guī)則時(shí)可以按組來設(shè)定規(guī)則，這樣規(guī)則的配置靈活方便高速策略匹配通常， 防火墻的安全策略都是由很多規(guī)則

40、構(gòu)成的，因此在進(jìn)行策略匹配的時(shí)候會(huì)影響防火墻的轉(zhuǎn)發(fā)效率。華賽統(tǒng)一安全網(wǎng)關(guān)采用了ACL 匹配的專門算法，這樣就保證了在很多規(guī)則的情況下，統(tǒng)一安全網(wǎng)關(guān)依然可以保持高效的轉(zhuǎn)發(fā)效率，系統(tǒng)在進(jìn)行上萬(wàn)條ACL 規(guī)則的查找時(shí)，性能基本不受影響，處理速度保持不變，從而確保了ACL 查找的高速度，提高了系統(tǒng)整體性能。MAC 地址和 IP 地址綁定華賽統(tǒng)一安全網(wǎng)關(guān)根據(jù)用戶配置，將MAC和IP地址進(jìn)行綁定從而形成關(guān)聯(lián)關(guān)系。對(duì)于從該IP地址發(fā)來的報(bào)文，如果 MAC地址不匹配則被丟棄；對(duì)于發(fā)往該 IP地址的報(bào)文都被強(qiáng) 制發(fā)送到指定的MAC地址處，從而有效避免IP地址假冒的攻擊行為。動(dòng)態(tài)策略管理黑名單技術(shù)華賽統(tǒng)一安全網(wǎng)關(guān)

41、可以將某些可疑報(bào)文的源IP地址記錄在黑名單列表中，系統(tǒng)通過丟棄黑名單用戶的所有報(bào)文，從而有效避免某些惡意主機(jī)的攻擊行為。統(tǒng)一安全網(wǎng)關(guān)提供如下幾種黑名單列表維護(hù)方式：手工添加黑名單記錄，實(shí)現(xiàn)主動(dòng)防御與攻擊防范結(jié)合自動(dòng)添加黑名單記錄，起到智能保護(hù)可以根據(jù)具體情況設(shè)定 白名單， 使得即使存在黑名單中的主機(jī)，依然可以使用部分的網(wǎng)絡(luò)資源。例如， 即使某臺(tái)主機(jī)被加入到了黑名單，但是依然可以允許這個(gè)用戶上網(wǎng)。黑名單技術(shù)是一種動(dòng)態(tài)策略技術(shù)，屬于響應(yīng)體系。統(tǒng)一安全網(wǎng)關(guān)在動(dòng)態(tài)運(yùn)行的過程中，會(huì)發(fā)現(xiàn)一些攻擊行為，通過黑名單動(dòng)態(tài)響應(yīng)系統(tǒng)，可以抑制這些非法用戶的部分流量，起到保護(hù)整個(gè)系統(tǒng)的作用。豐富的接入方式USG接口類

42、型豐富，接口密度大。固定、移動(dòng)、無(wú)線統(tǒng)一接入，家庭、企業(yè)、熱點(diǎn)統(tǒng)一接入最大程度滿足了用戶多種接入需求。支持WIFI、3G,同時(shí)滿足用戶 WLAN/WWAN 無(wú)線網(wǎng)絡(luò)需求：WiFi ( Wireless Fidelity )基于無(wú)線局域網(wǎng)(WLAN ) IEEE 802.11 標(biāo)準(zhǔn)，提供戶內(nèi)、辦公室或熱點(diǎn)地區(qū)的無(wú)線網(wǎng)絡(luò)接入功能。支持802.11b、802.11g及混合制式，通過 WiFi天線，可提供1Mbps54Mbps速率的無(wú)線 WLAN接入。3G( The Third Generation )是第三代移動(dòng)通信系統(tǒng)，相對(duì)于第一代模擬制式系統(tǒng)(1G)和第二代GSM、TDMA等數(shù)字系統(tǒng)(2G),是

43、指將無(wú)線通信與因特網(wǎng)等多媒體通信結(jié)合的 新一代移動(dòng)通信系統(tǒng)。ITU ( International Telecommunication Union )已經(jīng)將W-CDMA 、CDMA2000和TD-SCDMA確定為三大主流無(wú)線接口標(biāo)準(zhǔn)。USG可以插入多種3G數(shù)據(jù)卡，局域網(wǎng)用戶可以通過3G數(shù)據(jù)卡上行接入網(wǎng)絡(luò)。通過插入不同的3G數(shù)據(jù)卡，可支持 WCDMA、CDMA2000 和 TD-SCDMA 三種制式。USG2100提供了如下接口和槽位。帶W的機(jī)型還提供了 WLAN功能，可提供靈活、可擴(kuò)展的無(wú)線接入。9 個(gè)固定 FE 接口個(gè) USB 槽位，可安裝3G 接口卡個(gè) Express 槽位，可安裝3G 接

44、口卡個(gè) MIC 擴(kuò)展槽位和2個(gè) MIC 擴(kuò)展槽位USG2200 提供了如下接口和槽位。安裝MIC-WIFI 接口卡后可提供靈活、可擴(kuò)展的無(wú)線接入。 2 個(gè)固定的GE Combo 口，提供了2 個(gè)千兆光口和2 個(gè)千兆電口個(gè) USB 槽位4 個(gè) MIC 擴(kuò)展槽位、2個(gè) FIC 擴(kuò)展槽位。上下相鄰的兩個(gè)MIC 槽位可擴(kuò)展為 1 個(gè) DMIC 槽位、兩個(gè)FIC 槽位可擴(kuò)展為1 個(gè) DFIC 槽位。USG5100 提供了如下接口和槽位。安裝MIC-WIFI 接口卡后可提供靈活、可擴(kuò)展的無(wú)線接入。USG5120 提供2 個(gè)固定的GE Combo 口； USG5150 提供 4 個(gè)固定的GECombo 口U

45、SG5120 提供2 個(gè)固定的GE 電接口2 個(gè) USB 槽位USG5120/5150 還提供了4 個(gè) MIC 擴(kuò)展槽位、4/6 個(gè) FIC 槽位。 上下相鄰的MIC 可擴(kuò)展為DMIC 槽位、相鄰的FIC 可擴(kuò)展為DFIC 槽位。USG 的擴(kuò)展槽位可選配 FE/GE/E1/CE1/ADSL2+/G.SHDSL/SA/3G/WIFI 等多種接口。同時(shí)，USG還支持將多個(gè)以太網(wǎng)接口捆綁成一個(gè)Eth-Trunk邏輯接口，起到增加帶寬、提高可靠性、負(fù)載分擔(dān)的作用。PPPoE、L2TP等鏈路層協(xié)議配合 AAA、IPSec協(xié)議，為用戶的認(rèn)證、授權(quán)、計(jì)費(fèi)及安全 訪問提供整套的解決方案。卓越的路由交換特性US

46、G支持多種路由交換協(xié)議，可滿足中小型企業(yè)、 大中型企業(yè)的分支機(jī)構(gòu)、行業(yè)網(wǎng)的分支機(jī)構(gòu)以及部分電信網(wǎng)絡(luò)的需求。VLAN ： VLAN 可以隔離廣播域，抑制廣播報(bào)文；分隔用戶，提高網(wǎng)絡(luò)安全性；提供虛擬工作組，超越傳統(tǒng)網(wǎng)絡(luò)的工作方式。MSTP:可應(yīng)用于環(huán)路網(wǎng)絡(luò)，通過一定的算法實(shí)現(xiàn)路徑冗余，同時(shí)將環(huán)路網(wǎng)絡(luò)修剪 成無(wú)環(huán)路的樹型網(wǎng)絡(luò)，從而避免報(bào)文在環(huán)路網(wǎng)絡(luò)中的增生和無(wú)限循環(huán)。靜態(tài)路由：當(dāng)網(wǎng)絡(luò)結(jié)構(gòu)比較簡(jiǎn)單時(shí)，只配置靜態(tài)路由就可以使網(wǎng)絡(luò)正常工作。設(shè)置 和使用靜態(tài)路由可以改進(jìn)網(wǎng)絡(luò)的性能，并可為重要的應(yīng)用保證帶寬。RIP/RIPng： RIP 是一種較為簡(jiǎn)單的內(nèi)部網(wǎng)關(guān)協(xié)議，基于距離矢量算法，通過UDP報(bào)文進(jìn)行路由信

47、息的交換，使用的端口號(hào)為520。并支持下一代支持IPv6 的 RIP協(xié)議：RIPng。OSPF/OSPFv3： OSPF 是一種應(yīng)用廣泛的IGP 協(xié)議，承載于IP 包內(nèi)。收斂快、無(wú)環(huán)路、分層的網(wǎng)絡(luò)劃分等特點(diǎn)決定了這種路由協(xié)議更適用于大中型網(wǎng)絡(luò)。OSPFv3提供了對(duì)IPv6 的支持。ISIS： ISIS 最初是國(guó)際標(biāo)準(zhǔn)化組織ISO 為它的無(wú)連接網(wǎng)絡(luò)協(xié)議CLNP 設(shè)計(jì)的一種動(dòng)態(tài)路由協(xié)議。為了提供對(duì)IP 的路由支持，IETF 在 RFC1195 中對(duì) IS-IS 進(jìn)行了擴(kuò)充和修改， 使它能夠同時(shí)應(yīng)用在TCP/IP 和 OSI 環(huán)境中，稱為集成化IS-IS( IntegratedIS-IS 或 Dua

48、l IS-IS )。BGP/BGP4+ ： BGP( Border Gateway Protocol ) 是一種用于自治系統(tǒng)AS( AutonomousSystem) 之間的動(dòng)態(tài)路由協(xié)議。其著眼點(diǎn)不在于發(fā)現(xiàn)和計(jì)算路由，而在于控制路由的傳播和選擇最佳路由。為了提供對(duì)IPv6 等多種網(wǎng)絡(luò)層協(xié)議的支持，IETF 對(duì) BGP4進(jìn)行了擴(kuò)展，形成BGP4+。路由策略：路由策略是為了改變網(wǎng)絡(luò)流量所經(jīng)過的途徑而修改路由信息的技術(shù)，主要通過改變路由屬性(包括可達(dá)性)來實(shí)現(xiàn)。提供了多種過濾器可靈活控制路由。單播策略路由：策略路由PBR 與單純依照IP 報(bào)文的目的地址查找FIB 表進(jìn)行轉(zhuǎn)發(fā)不同，是一種依據(jù)用戶制定的

49、策略而進(jìn)行路由選擇的機(jī)制。PBR 支持基于到達(dá)報(bào)文的源地址、報(bào)文長(zhǎng)度等信息，依據(jù)用戶制定的策略進(jìn)行路由選擇，可應(yīng)用于安全、負(fù)載分擔(dān)等目的。IGMP ： 作為因特網(wǎng)組管理協(xié)議，是 TCP/IP 協(xié)議族中負(fù)責(zé)IP 組播成員管理的協(xié)議，它用來在IP 主機(jī)和與其直接相鄰的組播路由器之間建立、維護(hù)組播組成員關(guān)系。PIM-DM ： PIM-DM ( Protocol Independent Multicast Dense Mode )稱為協(xié)議無(wú)關(guān)組播密集模式，屬于密集模式的組播路由協(xié)議，適用于組成員分布相對(duì)密集的小型網(wǎng)絡(luò)。PIM-SM ： -SM ( Protocol Independent Multic

50、ast-Sparse Mode )稱為協(xié)議無(wú)關(guān)組播稀疏模式，屬于稀疏模式的組播路由協(xié)議，適用于組成員分布相對(duì)分散、范圍較廣、大規(guī)模的網(wǎng)絡(luò)。MSDP ： MSDP 是 Multicast Source Discovery Protocol （組播源發(fā)現(xiàn)協(xié)議）的簡(jiǎn)稱，是為了解決多個(gè)PIM-SM （ Protocol Independent Multicast Sparse Mode ， 協(xié)議無(wú)關(guān)組 播 稀疏模式)域之間的互連而開發(fā)的一種域間組播解決方案，用來發(fā)現(xiàn)其它PIM-SM 域內(nèi)的組播源信息。黑名單過濾惡意主機(jī)USG可以提供丟棄黑名單用戶的所有報(bào)文來為用戶提供安全保證。當(dāng)USG根據(jù)報(bào)文的行為特

51、征察覺到特定IP地址的用戶的攻擊企圖后，主動(dòng)將其加入黑名單表項(xiàng)，過濾從該IP地址發(fā)送的報(bào)文，從而保障網(wǎng)絡(luò)安全。USG可以手工添加黑名單，可以動(dòng)態(tài)地添加或刪除黑名單，還可以將黑名單與ACL關(guān)聯(lián)， 即報(bào)文命中黑名單后，查找黑名單關(guān)聯(lián)的ACL 策略，如果命中ACL 策略并且策略允許通過，則報(bào)文可以通過，否則報(bào)文被過濾丟棄。同基于ACL的包過濾功能相比，由于黑名單僅對(duì)IP地址進(jìn)行匹配，可以以很高的速度實(shí)現(xiàn)黑名單表項(xiàng)匹配，從而快速有效地屏蔽特定IP地址的用戶。IP和MAC地址綁定USG可以配置MAC (Media Access Control)和IP地址綁定，根據(jù)用戶的配置，USG在IP 地址和 MAC

52、 地址之間形成關(guān)聯(lián)關(guān)系：對(duì)于聲稱源地址為這個(gè)IP 地址的報(bào)文，如果其MAC 地址不是指定關(guān)系對(duì)中的MAC 地址，將予以丟棄。目的地址為這個(gè)IP 地址的報(bào)文，在通過 USG 時(shí)將被強(qiáng)制發(fā)送到MAC-IP 地址關(guān)聯(lián)關(guān)系中，該IP 地址對(duì)應(yīng)的MAC 地址，從而對(duì)用戶形成有效的保護(hù)。MAC和IP地址綁定是避免IP地址假冒攻擊的一種有效手段。強(qiáng)大的攻擊防范能力防范蠕蟲病毒：USG 根據(jù)蠕蟲病毒的特點(diǎn)，設(shè)計(jì)了增強(qiáng)的流量監(jiān)控/檢測(cè)功能、增強(qiáng)的用戶連接數(shù)檢測(cè)功能、增強(qiáng)的防IP 地址掃描、防端口掃描功能及增強(qiáng)的黑名單功能。 可以設(shè)定是否允許染毒用戶繼續(xù)通過，還是封閉該用戶一段時(shí)間。配合黑名單功能，可以提取出可疑

53、的用戶列表名單。防范多種DDoS 攻擊： USG 可以有效地檢測(cè)出這些類攻擊報(bào)文，通過丟棄這些報(bào)文等處理措施避免攻擊行為，同時(shí)將這些攻擊行為記錄在日志中。目前，USG 可以防范多種DDoS 攻擊，主要包括：SYN Flood 攻擊、 ICMP Flood 、 UDP Flood 攻擊、 DNS Flood 、 TCP Flood、 Land 攻擊、 Smurf 攻擊、 Fraggle 攻擊、 WinNuke 攻擊、 ICMP 重定向或不可達(dá)報(bào)文、TCP 報(bào)文標(biāo)志位（如ACK 、 SYN 、 FIN 等）不合法、 Ping of Death 攻擊、 Tear Drop 攻擊等。防范掃描窺探攻擊：

54、攻擊者通過掃描窺探就能大致了解目標(biāo)系統(tǒng)提供的服務(wù)種類和潛在的安全漏洞，為進(jìn)一步侵入系統(tǒng)做好準(zhǔn)備。USG 通過比較分析，可以靈活高效地檢測(cè)出這類掃描窺探報(bào)文，從而預(yù)先避免后續(xù)的攻擊行為。 防范其它攻擊：USG 除了可以有效防范多種DDoS 攻擊和掃描窺探外，還可以有效防范 IP Spoofing 攻擊、帶源路由選項(xiàng)的IP 報(bào)文攻擊、帶路由記錄選項(xiàng)的IP 報(bào)文攻擊、利用tracert 工具窺探網(wǎng)絡(luò)結(jié)構(gòu)等其他攻擊，確保系統(tǒng)訪問權(quán)的安全。VPN 特性支持USG為用戶提供了 L2TP、GRE、IPSec、L3VPN等多種VPN組網(wǎng)技術(shù)，為用戶提供了更 多的選擇。憑借強(qiáng)大的技術(shù)實(shí)力，USG的產(chǎn)品加密性能在

55、業(yè)界同類產(chǎn)品中處于領(lǐng)先位置，并且支持DES、3DES、AES、RSA等多種加密算法，能夠?yàn)橛脩籼峁└邚?qiáng)度的加密傳輸保障； 同時(shí)，結(jié)合全系列的網(wǎng)絡(luò)安全產(chǎn)品，可以為用戶提供完整的VPN 解決方案。靈活的擴(kuò)展能力USG采用自主研發(fā)的軟件平臺(tái)和具有自主知識(shí)產(chǎn)權(quán)的安全操作系統(tǒng)。數(shù)據(jù)平面和管理平面完全分離，這種無(wú)依賴性提高了系統(tǒng)安全性。具有很強(qiáng)的可伸縮性、可配置性，并且接口開放，是一個(gè)可不斷豐富和持續(xù)發(fā)展的系統(tǒng)平臺(tái)。USB、FLASH、SD卡等多種新型存儲(chǔ)介質(zhì)的應(yīng)用提供了對(duì)設(shè)備存儲(chǔ)介質(zhì)的擴(kuò)展能力。USG系列提供豐富的接口種類，包括FE、GE、Console、USB、3G、WLAN、Flash卡接口和可選配

56、的MIC、DMIC、FIC和DFIC擴(kuò)展插槽，部分型號(hào)還額外支持一個(gè)Express接口專門用于擴(kuò)展3G接口。模塊化的設(shè)計(jì)保證了用戶投入的擴(kuò)展能力，極強(qiáng)的硬件可擴(kuò)展性為 用戶以多種方式接入和日后的網(wǎng)絡(luò)升級(jí)提供最大程度的投資保護(hù)。USG支持安裝X86開放業(yè)務(wù)平臺(tái)，該平臺(tái)提供了獨(dú)立的硬件基礎(chǔ)，配合不同的軟件實(shí)現(xiàn) 業(yè)務(wù)的無(wú)限擴(kuò)展能力。良好的管理維護(hù)功能USG充分考慮了用戶對(duì)網(wǎng)絡(luò)管理的需求，可以實(shí)現(xiàn)統(tǒng)計(jì)、 管理、定位功能。還可以遠(yuǎn)程通過網(wǎng)管配置和維護(hù)設(shè)備，極大的降低了運(yùn)營(yíng)和管理成本。支持如下多種設(shè)備管理和維護(hù)功能：支持通過Console 口進(jìn)行本地配置和維護(hù)。支持通過Telnet 方式進(jìn)行本地或遠(yuǎn)程維護(hù)

57、。支持SSH (Secure Shell)維護(hù)管理方式，實(shí)現(xiàn)在不能保證安全的網(wǎng)絡(luò)上提供安全信息保障和強(qiáng)大認(rèn)證功能，以避免受到IP 地址欺詐、明文密碼截取等攻擊。支持SNMP( Simple Network Management Protocol )( v1/v2c/v3) 協(xié)議和 Client/Server體系結(jié)構(gòu)，接受NMS( Network Management System )網(wǎng)管站的管理，如接受華為公司網(wǎng)管平臺(tái)iManager N2000 的管理。提供基于GUI (Graphic User Interface )的 Web管理界面，為用戶提供友好的配置和管理界面。USG 系列支持通過H

58、TTP( Hyper Text Transfer Protocol )和 HTTPS( Secure Hyper Text Transfer Protocol )協(xié)議訪問Web 管理界面?？梢酝ㄟ^CWMP (TR069)協(xié)議對(duì)設(shè)備進(jìn)行遠(yuǎn)程批量配置和升級(jí)，并提供相應(yīng)管理的缺省配置模板。通過 U 盤自動(dòng)升級(jí)，實(shí)現(xiàn)方便的版本升級(jí)、配置。支持一鍵恢復(fù)，通過面板上的Reset鍵完成對(duì)設(shè)備一鍵恢復(fù)到設(shè)備的出廠缺省配置。增強(qiáng)的日志管理功能，為用戶提供了記錄、審計(jì)的依據(jù)：兩種日志輸出方式：不僅能通過文本方式輸出SYSLOG 日志，而且還針對(duì)流經(jīng)設(shè)備的數(shù)據(jù)流量大和日志信息豐富等特點(diǎn)，創(chuàng)建基于流狀態(tài)的信息表，并通

59、過二進(jìn)制方式輸出高速流日志。完整統(tǒng)一的日志信息：提供攻擊防范日志、流量監(jiān)控日志、黑名單日志、統(tǒng)計(jì)信息日志。與 Elog 聯(lián)動(dòng)： eLog 日志管理系統(tǒng)是設(shè)備的日志管理系統(tǒng)。通過高效地采集設(shè)備的日志， 用戶能及時(shí)了解設(shè)備的運(yùn)行情況，跟蹤網(wǎng)絡(luò)用戶的行為，迅速識(shí)別并消除安全威脅。通過與elog 聯(lián)動(dòng)實(shí)現(xiàn)日志信息的海量存儲(chǔ)與快捷查詢，有效幫助用戶定位網(wǎng)絡(luò)問題和設(shè)備運(yùn)行的歷史信息。完備的 IPv4/IPv6 解決方案USG全面支持IPv4和IPv6雙協(xié)議棧工作方式，提供完整的IPv6特性和IPv4網(wǎng)絡(luò)向IPv6網(wǎng)絡(luò)平滑遷移的解決方案。支持常見應(yīng)用層協(xié)議的NAT-PT 和 NAT-PT ALG 。支持多種

60、IPv6 over IPv4 隧道和 IPv4 over IPv6 隧道。支持豐富的IPv6 路由協(xié)議特性。領(lǐng)先的 UTM 技術(shù)USG系列產(chǎn)品基于領(lǐng)先的應(yīng)用層分析成果，集成了 IPS、防病毒、URL過濾等多種應(yīng)用層防護(hù)功能，更好的滿足用戶同時(shí)應(yīng)對(duì)多種網(wǎng)絡(luò)安全威脅的需求。華為賽門鐵克擁有強(qiáng)大的協(xié)議分析團(tuán)隊(duì)，支持對(duì)多達(dá)500多種網(wǎng)絡(luò)協(xié)議以及數(shù)千種威脅特征的深度分析。USG系列產(chǎn)品能夠有效的識(shí)別各種網(wǎng)絡(luò)應(yīng)用中存在威脅與漏洞，用戶不必再擔(dān)心含有惡意代碼的網(wǎng)站、攜帶病毒的郵件、木馬、后門、內(nèi)部員工訪問非法網(wǎng)站等問題，對(duì)用戶機(jī)構(gòu)中面臨的各種網(wǎng)絡(luò)安全威脅實(shí)現(xiàn)有效的保護(hù)。反病毒：AV (Anti-Virus