头部文件

USG9500系列云数据中心安全网关

    USG9000系列产品是华为技术有限公司为解决云数据中心、大型企业、教育、政府等网络的安全问题而自主研发的统一安全网关。USG9500基于业界领先的“NP+多核+分布式”架构,融合了NAT、VPN、IPS、Anti-DDoS等行业领先的专业安全技术,通过将交换、路由、安全服务整合到统一的设备中,提供给用户高性能保证、全面的虚拟化安全防护、超千种应用识别。USG9500在大型数据中心、大型企业、教育、政府、广电等行业和典型场景得到广泛应用。


一、产品概述

 

    随着云计算时代的到来,以“虚拟化技术”和“高速网络”为基石的云计算,被视为未来互联网时代发展的重要变革。随着云计算的落地实施,数据安全问题越来越受到人们的关注。IDG的一项调查显示66.7%调查对象认为安全问题是影响企业决策是否将业务切换到云的核心关键要素。然而在云计算的落地实施过程中,安全挑战日益显现,下面的问题引发客户的更多关注:

    如何应对云时代下的海量访问挑战?

    如何保障云数据中心的边界安全如何满足云环境下的动态虚拟化安全需求?

    如何解决网络内部业务应用不透明,带宽迅速膨胀的窘境?

    为助力企业和运营商将业务快速安全的迁移到“云”上,华为公司推出了云数据中心安全网关---USG9500系列产品,该系列产品包括USG9520、USG9560、USG9580三款产品。USG9500定位于保护云业务提供商、企业下一代数据中心以及企业的园区网络,它采用分布式软硬件设计,其I/O接口模块(LPU)以及业务处理模块(SPU)相互独立并按需配置,提供连接、保护和管理大型企业、云数据中心网络所必须的各项基本功能,通过将交换、路由、安全服务整合到统一的设备中,提供给用户高性能保证、全面的虚拟化安全防护、超千种应用识别。

 

二、关键特性及价值

高性能-T级处理平台,最佳真实业务处理性能,运营商级可靠性

T级处理平台:

    USG9500采用采用革命性的“NP+多核+分布式”架构,该架构可以突破安全业务处理性能对CPU能力的限制,提供业界领先的业务处理能力和业务线性扩展能力。无需更换硬件机框,业务处理性能未来可以平滑升级到T级,在提供出色的性能体验的同时,降低总体拥有成本。该产品采用华为成熟的VRP操作系统,该系统集成了基础的交换、路由、安全功能,在核心网、骨干网络等现网设备中,已积累了大量实践和应用。

最佳的真实业务处理性能:

    大型企业、数据中心的网络环境中,由于业务量剧增,高性能是基本的要求。在企业和数据中心的典型混合业务流量模型下,单板仍然可达到惊人的应用层的160Gbps防火墙吞吐能力,,整机IMIX吞吐量达到1T级别,最大并发数达到9.6亿的天文数字,实现业界高端旗舰防火墙产品的历史性的突破。

运营商级可靠性:

    为了保证您的网络不中断服务,USG9500从设计之初即考虑提供运营商级可靠的业务保证。USG9500采用独特的管理/监控/数据分层管理技术,提供物理元器件级可靠性保证;关键部件冗余、板卡负载分担等高可靠技术保障,提供单机高达二十五年的平均无故障时间,提供运营商级99.999%可靠性;HRP/链路捆绑等可靠性方案,提供小于1秒故障倒换时间,确保业务持续稳定运行。各种可靠性技术,保证您获得无与伦比的性能体验的同时,可以保证业务的稳定运行,保障运营收益。


全面的虚拟化安全-全面的虚拟化技术,支持NAT策略动态飘移

全面的虚拟化技术:

    数据中心在运营过程中,越来越多的从物理服务器往虚拟服务器迁徙、从单一数据中心到租用给多个租户的发展问题。USG9500系列产品,可以快速部署在数据中心出口,全面解决多用户数据安全隔离和互访的需求,同时可以基于动态策略,调整各个虚拟系统的带宽和会话业务资源。单台物理设备可虚拟为业界最大规模的4096台设备,所有的策略配置和管理可以基于每一个虚拟设备为单位调整。该产品支持虚拟系统下的VPN加密访问和DDoS/IPS攻击防御保护,大大提高了业务组网能力,为数据中心创造定制化的部署策略,满足不同用户/租户的安全防护需求,可实现数据中心对安全业务的精细化管理。

支持NAT策略动态飘移:

     为满足IDC弹性地址分配,以及虚拟机飘移后安全策略能够随之动态调整需求,USG9500支持NAT策略动态调整技术(与华为管理平台配合),实现虚拟动态环境下安全防护。


超千种应用识别-超过1000种应用程序识别,持续的更新升级保障

超过1000种应用程序识别能力:

    数据中心海量业务应用,如何实现数据中心的网络数据的透明可视,进而实现可疑风险的控制,显得至关重要。USG9500的应用感知技术采用数据包协议分析和特征匹配技术,对网络层到应用层的数据进行全面分析,可以准确识别蠕虫流量、僵尸工具流量,同时支持P2P、VoIP、聊天、视频、游戏、股票等超1000种应用程序识别,帮助云计算数据中心客户清晰地了解进出流量的成份和比例,为流量策略调整提供参考;基于时间、应用、用户、带宽、连接数的多方位调控手段,可有效保障关键业务带宽,提升带宽利用率,阻断僵尸流量,防止蠕虫感染,让应用安全可视可控。

持续的更新升级保障:

    华为专业的知识库研究和维护团队,实时研究包含移动终端应用在内的最新应用,每月8次更新知识库,用户可自由选择远程手工、自动更新,或者本地手工更新知识库,实现应用识别知识库持续更新升级。

 

三、典型应用

场景一:大型数据中心边界安全防护

背景与挑战:

    近年来随着企业数据规模大幅度膨胀,企业的核心关键业务转向数据中心,同时成为了黑客攻击的新焦点。数据中心在云计算时代,从早期的业务大集中到目前基于虚拟化技术的服务器整合,这些变化对数据中心的安全带来了新的挑战。针对数据中心安全事件频繁的现象,其安全性已经成为数据中心能否提供高效、可用服务的关键。


                                           大型数据中心边界防护场景


客户需求:

    大型数据中心业务有服务虚拟化、计算资源按需分配、数据访问量不断增大、出口带宽不断增长的特点。随着数据中心的不断整合,导致支撑业务的服务器虚拟机数量不断增加。

    在发展为云数据中心后,业务访问海量增长,远程访问规模不断膨胀,不同业务或者租户需要提供独立的安全业务平面,数据中心内流量监控管理更加复杂,同时也吸引了更多非法访问和攻击。这种趋势导致早期的出口安全设备在性能和功能上已经无法满足新的需求,成为数据中心的瓶颈。

    数据中心中的应用服务器,往往提供对外公共服务,也面临来自互联网黑客的入侵攻击,网络安全加固成为构筑安全运行的数据中心的前提条件。


解决方案:

    如图所示,可以部署USG9500在大型IDC/VDC网络的入口。为了保证系统级的运行稳定性,可在出口处部署2台设备,可以采用Active-Active或者Active-Standby两种双机部署方案,提供毫秒级的业务倒换。

1)随着对数据量访问性能的要求增加,可以按需扩展业务板卡,而无需购买新的设备,降低每G功耗,实现业务平滑扩容。同时随着业务板卡的扩容,实现真实性能的线性叠加,保障客户的投资能够满足真实应用带宽的增加。

2)USG9500一台设备可以虚拟为多台设备,分配个不同的租户,且每个虚拟系统的带宽、会话资源可以按需个性化定制,每个虚拟系统隔离,外部网络和内部网络安全隔离。满足云数据中心虚拟化后的租户租赁业务运营,某一个租户使用的业务资源达到上限,并不影响其他租户的使用。

3)通过扩展IPS入侵防御板卡、Anti-DDoS板卡,可以阻止外部网络的病毒、攻击进入IDC内部网络。


场景二:广电和二级运营商网络出口安全防护

背景与挑战 :

    近年来随着广电及二级运营商逐步开展互联网接入服务的业务不多膨胀,在省级广电网络的互联网出口处,往往需要汇聚省辖所有地市的宽带用户流量,在用户上网高峰期,上网带宽得不到有效保障,单靠购买ISP链路带宽成本增加另广电企业无法接受,迫切需要改变增长模式,同时满足用户的使用。 


                                        广电和二级运营商网络出口典型场景


客户需求:

    高峰上网时期,需要网关设备能够承受高峰期几百万广电用户同时在线时的上网流量。 

    广电网络一般租用多个ISP的多条链路,常常出现多条链路流量复杂差别大,有效利用率不高的现象。且广电网络及二级运营商由于用户数规模庞大,部分用户的下载流量直接影响到其他用户的非下载应用体验,造成客户满意度的下降。 

解决方案:

     网络出口部署高端防火墙USG9500,满足高峰时期规模庞大的广电用户同时上网业务,解决由于出口网关本身处理性能的瓶颈导致的访问拥塞。

     鉴于广电网络租用多个ISP的多条链路的部署特点,提出通过链路聚合技术,捆绑多条链路作为一条逻辑链路,根据到不同ISP链路的结算费用的不同,配置权重,优选费用较低的链路,并可以根据下载/非下载类业务流量类型,定义业务优先级,区分转发的链路。根据识别出的业务,做相应的策略管控。最终使上网用户体验提升。


场景三:教育网出口安全防护

背景与挑战 :

    高校的教育网络,通常承担着国内教育网CERNET和CERNET2两张网络,分别对应IPv4和IPv6网络。出口原有防火墙性能、稳定性和业务扩展性不足,同时支持IPv4、IPv6的双栈设备较少,影响着校园网络安全。 


                                                   教育网出口典型场景


客户需求:

    随着高校的不断扩招,教育网络内部,高校的师生规模往往在几万人,接入的信息节点丰富多样,高峰时期师生的突发及高流量访问需求量大,对出口设备要求性能高。老的安全网关设备无法适应快速增长的带宽需求以及海量的并发访问量,容易造成触控访问拥塞。

    高校的出口,同时有都IPv4教育网,IPv6教育网和Internet三张网络的需求,由于网络初期发展建设的原因,缺少同时支持IPv4、IPv6协议栈的网关设备。

    高校内部资源有教学科研的服务器等,对外也提供部分业务,需要安全隔离防护。

解决方案:

    高校教育网络出口部署高端防火墙USG9500,可满足校园网几万师生高峰期同时访问的并发量。作为IPv4、IPv6双协议栈安全网关,可以替代原有设备,并在未来带宽增加时,通过扩展业务板插卡,线性提升业务处理性能。通过划分不同安全域,实现服务器资源的隔离和保护,防范互联网的安全威胁。

 

底部文件