政府网络安全及VPN解决方案文献

1、X烟府网络安全及VPNS决方案技术建议书Huawei Symantec华为赛门铁克科技有限公司2011 年目录 TOC o 1-5 h z 目 i HYPERLINK l bookmark5 o Current Document 政务外网建设现状 3 HYPERLINK l bookmark7 o Current Document 政务外网的整体框架 3 HYPERLINK l bookmark9 o Current Document 政务外网网络安全及 VPN1设目标 4 HYPERLINK l bookmark11 o Current Document 政务外网VPN1设需求及建设原则 4

2、 HYPERLINK l bookmark13 o Current Document 政务外网VPN建设需求分析： 4 HYPERLINK l bookmark15 o Current Document 政务外网VPN建设的基本设计原则 5 HYPERLINK l bookmark17 o Current Document 政务外网VPNt设方案 6 HYPERLINK l bookmark19 o Current Document 网络总体结构 6 HYPERLINK l bookmark23 o Current Document 政务外网VPN网关接入方案 7 HYPERLINK l bo

3、okmark25 o Current Document 省各厅局委办通过 VPNS通方案11 HYPERLINK l bookmark27 o Current Document 政务外网VPN移动用户接入方案 12 HYPERLINK l bookmark29 o Current Document 华赛VP瞰入解决方案特点 13 HYPERLINK l bookmark31 o Current Document 全面的VPN业务支撑能力 13 HYPERLINK l bookmark33 o Current Document 领先的业务性能及高可靠的硬件体系 14 HYPERLINK l bo

4、okmark35 o Current Document 图形化的便捷管理 14 HYPERLINK l bookmark37 o Current Document 部分产品介绍 15华赛 USG2000/5000 简介15华赛USG2000/5000功能特点 16安全区域管理 16 HYPERLINK l bookmark39 o Current Document 安全策略控制 17 HYPERLINK l bookmark41 o Current Document 丰富的接入方式 18 HYPERLINK l bookmark43 o Current Document 卓越的路由交换特性 1

5、9 HYPERLINK l bookmark45 o Current Document 黑名单过滤恶意主机 21 HYPERLINK l bookmark47 o Current Document IP和MAC地址绑定21 HYPERLINK l bookmark49 o Current Document 强大的攻击防范能力 21 HYPERLINK l bookmark51 o Current Document VPN特性支持 22 HYPERLINK l bookmark53 o Current Document 灵活的扩展能力 22 HYPERLINK l bookmark55 o Cu

6、rrent Document 良好的管理维护功能 22 HYPERLINK l bookmark57 o Current Document 完备的IPv4/IPv6 解决方案 23 HYPERLINK l bookmark59 o Current Document 领先的UTM 技术 24 HYPERLINK l bookmark61 o Current Document 全面的语音方案 25 HYPERLINK l bookmark63 o Current Document 完善的QoS机制 25 HYPERLINK l bookmark65 o Current Document 高度的可靠

7、性保证 26 HYPERLINK l bookmark67 o Current Document 广泛的多业务集成 26 HYPERLINK l bookmark69 o Current Document 成功案例 26 HYPERLINK l bookmark71 o Current Document XX奥运城市数据系统 VPN项目 26 HYPERLINK l bookmark73 o Current Document XX省电子政务 VPN应用案例 281 政务外网建设现状国家电子政务外网建设目标是：建立一个开放的、基于标准的、符合国家外网建设要求的政务外网统一网络平台，实现省直各部门

8、及全省市的信息快速交换和资源共享，向全体政务工作者提供一个业务处理、辅助办公的工作平台，为省门户网站提供信息源及后台应用业务运行支持，外网将分别支持数据、语音和视频业务，运行各部门的对外业务系统，实现各网间的信息交换和资源共享，同时建立完善的信息安全体系和相应的备份系统。目前国家电子政务外网城域网建设已经完成中央城域网4个节点2.5G环网的建设；完成国家监察部、国务院扶贫办、劳动和社会保障部、农业部、人事部、国家审计署等中央部门接入外网的工作；完成国家外网与全国32个省级外网节点的互联互通工作；开通至中国网通100M出口；开通至中国联通 100M出口；同时各省按照中共中央办公厅、国务院办公厅中

9、办发200217 号、 200618 号文件精神的要求，建设覆盖省、市、县各级党委、人大、政府、政协、法院、检察院及其组成部门、直属机构的政务外网，在省内统一组织建设构建五大基础数据库：法人数据库、人口数据库、地理信息数据库、宏观经济数据库、法律法规数据库，可以通过对省级数据库进行访问的方式进行数据共享、交换、查询和比对。2 政务外网的整体框架电子政务外网是国家政务外网的延伸和拓展。在各省驻地有华为高端路由器，作为省上联中央的PE 设备。省政务外网平台，上连国家政务外网，下连市的政务外网。构建省城城域网、 省到市广域网，根据国家外网中央城域网的接入部委，实现大部分省直厅局与省政务外网的连接，贯

10、通政府业务部门中央到省的信息通道；地市电子政务网，上连省电子政务网，下连接到县、区，有条件的地方可以连接到乡、镇和社区，横向连接到党委、人大、 政府、 政协、 法院、 检察院及各职能部门的内部局域网。在地市建立政务网平台，平台一般包括：机房、网络接入设备、安全设备、计算机设备、基础软件（包括操作系统、数据库管理系统、应用服务器）等。地市在政务网上建设统一的政府办公平台，平台上集成有各类应用系统、各类数据库。应用系统根据其功能和使用角色分别集成到政府门户、政务门户，各类公务员按照分配的角色权限、采用单点登录的方式统一使用政务平台上的功能。地市县建设的政府门户，与政务网逻辑连接，政府门户直接为老百

11、姓服务，实现政府门户受理、政务网办理、政府门户结果发布的工作模式。在技术上，各局委办不建设技术平台，统一使用地市平台。3政务外网网络安全及VPN建设目标在电子政务外网整体框架下，通过政务外网VPN 的建设，补充目前政务外网接入的形式。对于省网建设相对滞后地区，各级机构利用专线方式接入难度较大，而采用 VPN 网关和技术可以利用廉价Internet资源满足接入单位安全接入政务外网的需求。需求主要场景如下：省各厅局委办通过 VPNT其所属的国家部门互通；省各厅局委办通过 VPNW有业务需求的国家部门互通；省各厅局委办通过VPNE通；各厅局委办移动用户安全接入 VPN（统；4政务外网VPN建设需求及

12、建设原则政务外网VPN 建设需求分析：1）稳定可靠性的需求：政务外网vp源统的稳定性和可靠性关系整个政务外网vpNK入用户业务的延续性，是政务外网 VPNT行性的基础。为确保政务外网 VPN（统稳定可 靠运行，政务外网VPNS设选择的产品和解决方案必须是经过市场考验，采用成熟 技术支撑的产品和解决方案。2）安全性的需求：安全性是整个政务外网VPNk务开展的前提，主要有以下几个方面：a）必须符合国家信息安全相关条例及国家等级保护策略，选择通过国家VPM目关技术鉴定的产品，从而能够达到符合安全性的国家标准要求通过制定VP成全策略性，在解决方案设计中实施如CA Ukey、防入侵检测等安全手段，提升政

13、务外网 VPN勺安全性。关注网络安全发展的趋势，对 VPfT品的安全特性的扩展性提出相应扩展的要 求。3）大容量的需求：政务外网 VPN各满足省网未覆盖到的省、市、区、镇等各级部门以及大量移动办公用户的 VPN入，又产品VPN Tunnel的容量及扩展性提出很高的要求。4）高性能的需求：面对大量有访问需求的政府机构机关和移动办公用户，性能将直接影响到各厅局委办访问省政务平台数据资源时的效率和使用体验，对 VPNServer的 性能主要有两个方面；一个是加解密吞吐量，体现了政府分支机构可获得的最大数据带宽、一个是时延，时延直接关系业务的感受以及政务平台多项业务的开展，如：VoIP、视频会议等。对

14、 VPN Client的需求主要是 Qo要求。互通性的需求：又于政务外网 VPN勺互通性主要体现在： VPN Server通过省RtDf国 家MPLS VP瓯通，与省各级部门 VPN Gateway!：通。6）可管理性的需求：良好的可管理性将大幅降低管理维护人员耗费的精力，有助于快 速正确响应各类业务需求。VPNServer的可管理性主要体现在自身是否有图形化的管理维护软件，以及是否可以支持第三方的管理系统。4.2 政务外网VPN建设的基本设计原则政务外网VPN设计遵循以下建网原则：标准化原则标准化是电子政务建设的基础保障，应用服务系统建设必须在业务流程化、安全体系和安全技术、信息表示和信息交

15、换、网络协议、软件结构、软件平台等标准方面遵循国家有关电子政务技术标准，才能达到“互连、互通、互操作”要求，实现“信息交换、资源共享”。安全保密性原则在数据库设计、应用操作权限和身份认证方面均严格遵循国家电子政务有关安全、保密标准，全面加强安全措施，所有应用项目采用符合国家电子政务标准的基础软硬件。可靠性原则系统能有效的避免单点失败，在设备选择和互联时应提供充分的冗余备份，实现7X24小时不间断工作。经济实用原则以需求为基础，充分考虑发展的需要来确定系统规模，功能模块子系统以插件方式扩展。系统应突出实用，要让系统的投资与各省电子政务系统建设的实际需求相符合。可管理性原则系统设备易于管理、维护，

16、操作简单，便于配置，在安全性、数据流量、性能等方面能得到很好的监视和控制，可以进行远程管理和故障诊断。先进性原则系统的结构设计、配置、管理方式，应采用成熟的先进技术，延长系统的生命周期。开放兼容性原则系统要求开放性好、标准化程度高，系统建设应与现有的一些单位局域网系统平台兼容。系统建立符合国家和各省关于电子政务及信息化建设有关标准。可扩展性原则系统设备不但满足当前需要，并在扩充模块后满足发展的需要；保证系统平台升级时能保护现有投资。先易后难、阶段实施的原则将容易实现的重点业务作为突破口，坚持分阶段实施，立足于小步快走，步步见效，滚动发展，最大限度的减少投资风险，提高系统利用率。保护现有投资原则

17、充分利用现有系统，整合已开发信息资源，发挥现有投资的效能。技术成熟性原则在系统软硬件方面， 充分考虑采用国内通用的， 成熟的软硬件产品进行开发，保证系统功能的高效稳定。5政务外网VPN建设方案网络总体结构根据网络建设目标和需求，政务外网 VPN1设网络组成如下图:核心交投机杳政务外国数据中心PN_CI i将房用FVPM远程接入节点地市政芳数据中心各厅局查办接入节点iisut 限用履其国!前置机出应用业搏 赛看扑丁7认证/国首 I睇第一,-箕M牛首理时番猾.-1 厅区年办内网图中省干政务外网 VPNf Internet相连，各市（地）、县城域网与Internet相连，之间通 过VPN）O关在In

18、ternet 上建立安全VPN1接。为使政务外网VPNO络构建及维护简单、层次清晰，其层次结构分为：省干政务外网VPNJ关接入部分：主要各厅局部委局域网经互连网通过VPNg入电子政务外网，特点是地理位置相对固定，对业务保障要求高， 用户终端方面不用改造，操作习惯不会发生变化。省干政务外网VPhS动用户部分：随HOMOffice办公的需求的旺盛，移动用户通 过VPNJ、公的数量越来越多，移动办公用户对性能相对要求较低，对安全接入等 方面要求较高。政务外网VPN网关接入方案根据电子政务外网的需求，国干MPLS VPN结在省PE,在省PEK由VPN Server与PE1过G口连接，通过VPNServ

19、er提供的VC电能导入对应VPN在不具备专线条件的省厅部委办 部署FW/VP殴备，并通过Internet与VPN Server建立IPSEC VPN1道传输数据。各省厅部委 办纵向互联由各厅部委办 FW/VPNL间直接建立隧道完成横向互通，减少核心网数据流量负 担。省间的厅部委办间互通由国干网统一管理。省内VPNB过省级VP吃一管理平台平台管理。可通过VC或VPEM种方案实现IPSEC VPNI国干MPLS VPNt接：VCET案厅局委办内网A ；VPNA站点1串 / 1PSEC VPN Gateway厅局委办与对应 的虚拟CE建立 IPSEC VPN虚报CE通过于接 口与PE连接，接 人不同

20、VPN国家部A厅局委办内网B ；YPtLB站点2InternVCEVPN十虚也)CE移动办公用户移动办公用户通 过VPM Client与对 应的虚拟CE建立 L2TP VPN方案特点：VPN Server通过虚拟防火墙、地址转换多实例、multi-VRF等VPN隔离技术，做为一个MPLS VPN网络统一访问Internet的出口设备，在 MPLS网络之外承担 VCE (VirtualCE)的 功能。在VPN Server的出入接口划分不同的 VLAN或逻辑子接口，将不同的分支机构或不同的 业务通过进出不同的 VLAN或子接口进入不同的虚拟防火墙VPN实例，从而达到了隔离的目的，为MPLS VP

21、N统一提供Internet访问。用户认证通过IKE来提供，可以提供基于证书的方 式，也可以采用per-shared key的方式，通过IKE认证就可以知道该IPSEC隧道应该接入到哪 个MPLS VPN中。VPN Server支持业务多实例特性，资源独立存放，可以很好的解决私网地 址重叠的问题。VP的案;移动办公用户：起VPN网关采用IPSec方式接入VPE,移动办公用户采用L2TP或者L2TP+IPSEC方式接入 VPE,在VPE上实现IP VPN隧道和MPLS LSP 隧道的融合与衔接。VCEF口VPET案比较与VPE方案相比，VCE方案具有明显的优势：在组网灵活性方面：VCE方案不需要修

22、改现网，直接通过internet接口进行VPN连接；而VPE方案则需要修改现网，增加 PE设备，同时与各省PE连接起来；在设备选才i方面：VCE方案中的VPN Server设备可以灵活选择，接入用户多的可以选择 性能高的，接入用户少的可以选择性能低的；而VPE方案中的VPN Server必须支持MPLS功能，MPLS对设备要求很高，因此不管接入用户多少，VPN Server必须选择高端设备；在稳定性方面：VCE方案中的VPN Server功能独立，专门负责IPSEC接入，更能保证功 能长时间稳定运行；而 VPE方案中的VPN Server同时负责IPSEC接入与MPLS转发，设备负 荷较大，设

23、备稳定性较难控制。VPE方案的优势在于将 PE设备和VPN Server的功能集成在一个设备中实现，在某些尚未部署PE设备的场景下，可节省用户投资。综上所述，我们建议政务外网 VPNJ关建设拓扑图如下:厅局委办国室部网IPSEC VPN GatewayPSEC VPfx Gatouvay厅局委办与对应 的虚拟CE建立 IPSEC VPNMPLS VPNInternet厅局委办内网B国家部A 国家部臼4kL蜃斤Jg毒办内同印 前置机组网设计说明:1） 在大多数已经部署 P殴备的省份（区域），核心VPNServer采用两台USG2000/5000热备组网，USG2000/5000提供最大4000隧

24、道的扩展，加解密性能达到 IGbps,能够满足省厅局委办的 VPN入需求。核心VPN Server与省RD!过G破口相连，与Internet 通过 ISP 100Mbp 或 1Gbp黜路连接。省干;厅局委办内网AVPM苴站点1国LLdzrJUlUIPSEC VPN Tunnel至闵7Server ClientVPN Manager虚拟GE通过子接 口与PU连接，接 入不同VPNVPN B 站点工PN +通拟CEFudamCOD厅局委办理作为核心VPN Server的USG 2000/5000采用VC豉术，通过子接口与 PE寸接VPN确 保不同的IPSEC VPNI入各自的 MPLSVPN IP

25、SEC VPNk务间的互通由 PBS行统一部 署与控制；个别尚未部署P豉备的省份（区域），核心 VPN Server采用一台USG30401.网，在VPE上实现IP VPN隧道和MPLS LSP隧道的融合与衔接；二厅部委办内网A:厅部委办内网B :VPN A站点1VPE3）各厅局委办根据自身业务需求选择VPN Gateway接入设备。考虑未来网络扩展性及业务开展需要，可选如下设备；在省干部署VPNManager管理系统，对省内VPNk务进行可视化管理， 提升管理效率；VPN勺流量由USG2000/5000镜像至NIP1000 （入侵检测系统），实施 USG2000/5000与NIP1000的联

26、动，通过NIP1000动态监测数据流，提升业务系统的安全性。省各厅局委办通过VPN互通方案在厅局委内网A和厅局委内网B的网络出口部署IPSec VPN Gateway ,在两个IPSec VPNGateway之间建立IPSec隧道，穿越internet ,实现IPSec VPN用户之间的横向互访并保证数据报在网络上传输时的私有性、完整性、真实性和防重放。政务外网VPN移动用户接入方案政务外网VPF#为移动用户提供便捷的 VPN入方案,满足省内用户出差及非办公区办公时的安全访问政务外网的需求，网络拓扑如下:国家部BMPLS2000/000NIT1000Internet将动办公国干省干移动办公用户

27、通过 VPN Client接入VPN Server网关，业务流程如下：移动办公用户终端接入Internet 。在终端上运行VPN Client软件，选择或输入要接入的 VPN Server的IP地址。输入用户名密码点击连接(对于不同的用户可在 VPN Server上部署不同的安全策略，如需要接入VPN认证方式等)；推荐采用CM USBKEY式显著提高安全性。4）完成认证后，VPN Client提示接入VPNO络，移动办公用户进行需要的数据访问。移动办公用户访问 MPLS勺数据将导入NIP1000入侵检测系统，进行入侵检测，后续可考虑部署防病毒网关或其他安全检测设备，提高访问的安全性。6华赛VP

28、N接入解决方案特点全面的 VPN 业务支撑能力华赛VPN1体解决方案能够提供 L2TP、 GRE IP Sec、 SSL VPN MPLSVPN?多种VPN 接入方式，并支持DES 3DES AES?多种加密算法，结合华赛公司全系列的VPN备，提供完整的VPN军决能力。USG 2000/5000防火墙可支持高达1Gbps白3DESb理 能力，提供高性能的LN%艮务。支持从Internet安全接入到MPLS VP网络，通过一台USG&火墙的一个物理接口就 可以为Internet上的许多VP附支机构接入到MPLSVPN供服务。用户认证通过IKE 来提供，可以提供基于证书的方式，也可以采用per-s

29、hared key 的方式。通过IKE认证就可以知道该IP Sec隧道应该接入到哪个 MPLS VP即。USG1列防火墙对每个 VPF持了独立的转发资源，从源头上就可以控制不同VPN0户之间无法互访。支持Multi-VRF特性，可以为多个VPF存独立的转发表项， 这样可以从转发层面保 证了业务隔离。通过这种Multi-VRF技术可以在提供VPNk务的时候，支持私网地址 重叠功能。支持根验证功能：US映火墙的根系统可以验证隧道对端，利用IKE进行身份验证、密钥协商，建立起IP Sec隧道之后，就给这个IP Sec隧道标定了一个 VPN然后将 IP Sec 隧道的流量引入到对应的虚拟防火墙处理。这

30、种方式的处理，可以给Internet的分支机构接入到VPN!供了技术保证，可以使得 Internet上的分支机构访问特定VPN。支持多个虚系统；USG防火墙的一个虚系统连接一个分支机构，由这个虚系统来验证隧道对端，利用IKE进行身份验证、密钥协商，建立的IP Sec隧道只能限定在这个虚系统内部。这种方式可以给VPNB户提供加密接入到骨干网提供了技术保证，可以使得分支机构在骨干网边缘通过加密方式接入到VPN提供高可靠的VPN接入服务。接入控制权限严格，USGB火墙可以根据用户名、密码来控制访问VPN勺接入权限， 这样可以使得出差员工，超级用户（需要访问不同VP隘源）等不同的用户。支持采用Radi

31、us协议统一管理用户，可以提供双因子验证方式，采用令牌+固定口令 的方式提供高可靠的接入服务。领先的业务性能及高可靠的硬件体系USG（列防火墙采用新一代电信级的硬件高速状态防火墙，强大的攻击防范能力，提供静态和动态黑名单过滤等特性，可提供丰富的统计分析功能和日志。USGf火墙具有一个完整的安全方案技术体系，可以为用户提供综合的安全解决方案。USG 2000/5000防火墙采用NP （网络处理器）的硬件结构，可以支持10K以上的并发用户，提供1G吞吐量的VPM艮务。USG（列防火墙支持双机备份组网方式，双机模式支持IP Sec/L2TP业务，可以通过双机提供更可靠安全的接入模式。在做VPNO关的

32、同时，可以为整个企业网提供安全可靠的运行环境，保证整个企业网的安全。USGf火墙产品根据数据报文的特征，以及Dos攻击的不同手段，可以针对 ICMPFlood、SYNFlood、UDPFlood等各种Dos攻击手段进行 Do畋击的防御。同时， USG 防火墙可以主动识别出数十种常见的攻击种类，很多种攻击种类造成的后果就是Dos形式的攻击，USGf火墙可以主动发现并隔断这些非法攻击，消除了内部网络遭受攻击的可能。 通过对各种攻击的防御手段，利用USGf火墙可以组建一个安全的防御体系，保证网络不遭受 Dos攻击的侵害。USG（列防火墙支持使用 TCP弋理方式来防止SYN Flood类的Do既击，通

33、过精确的 验证可以准确的发现攻击报文，对正常报文依然可以通过允许这些报文访问防火墙资源，而攻击报文则被 USGf火墙丢弃。图形化的便捷管理政务外网VPNf理子系统由华赛 VPN Manage添统构成；其主要功能是简化 VPNk务的管 理，增强了 IP VPN的管理、维护和运营手段。主要有以下特点：所见即所得的业务预部署在网管上进行离线的业务定义，直到确认无错后再下发的设备上使得业务生效，对运营商非常重要。VPNManager可以离线地进行所有的业务定义，并且通过各种拓扑 视图达到所见即所得的效果。配置变更监控功能VPNManager提供配置审计功能，自动定期地检查出网络业务管理系统和设备上当前

34、 配置的不一致性，发送告警给运维人员，并能提供配置变更的详细信息。现网业务的自动发现与还原如果在安装Secospace VPN Manager之前，网络设备上已经部署了IPSec VPN业务。VPNManager可以读取设备上的配置文件等数据，自动在VPNManager上还原出IPSecVPNk务，从而避免部署后续业务时发生资源冲突，使得新老业务可以统一管理。方便的性能统计功能VPN Manager提供实时性能数据查看功能，可对VPNk务的流量、带宽利用率、时延、丢包、抖动等实时性能进行监控，并提供历史性能数据分析功能。有助于用 户了解当前网络运行的基本情况和性能状态，预防网络事故发生，预测网

35、络运行 状态。支持跨平台特性VPNManager基于华赛公司统一的 VS稀合管理应用平台，既可以运行在Solaris操作系统下，也可以运行在Windows操作系统下。既可提供规模网络的高端解决方案， 也可适应低成本的解决方案 简单快捷的系统安装 提供图形化、向导式的安装和升级方式，系统自动设置静态参数和初始化数据。安装程序实现按需定制组件的功能。友好的人机界面充分考虑用户的操作习惯，提供统一风格的告警、拓扑和业务配置管理界面，保 持一致的视觉效果，提供批量化的操作手段，简化用户日常操作。7 部分产品介绍华赛 USG2000/5000 简介USG2000/5000是华赛公司推出的具有防火墙功能的

36、统一安全网关。USG2000/5000基于华赛专业的多核硬件平台以及强大的VRP软件平台，不仅具备优异（NAT） 功能。为了更好地满足网吧的实际需要，USG2000/5000还支持丰富的多媒体协议和路由协议，组网方式灵活多样，是大中网吧理想的网络安全防护设备。华赛 USG2000/5000 功能特点安全区域管理基于安全区域的隔离华赛USG2000/5000统一安全网关的安全隔离是基于安全区域，这样的设计模型为用户在实际使用统一安全网关的时候提供了十分良好的管理模型。华赛统一安全网关提供了基于安全区域的隔离模型，每个安全区域可以按照网络的实际组网加入任意的接口，因此统一安全网关的安全管理模型是不

37、会受到网络拓扑的影响。可管理的安全区域业界很多防火墙一般都提供受信安全区域（trust）、非受信安全区域（untrust）、非军事化区域（DMZ ）三个独立的安全区域，这样的保护模型可以适应大部分的组网要求，但是在一些安全策略要求较高的场合，这样的保护模型还是不能满足要求。华赛统一安全网关默认提供四个安全区域：trust、untrust、DMZ、local,在提供三个最常用的安全逻辑区域的基础上还新增加了本地逻辑安全区域，本地安全区域可以定义到统一安全网关本身的报文，保证了统一安全网关本身的安全防护。例如， 通过对本地安全区域的报文控制，可以很容易的防止不安全区域对统一安全网关本身的Telne

38、t、即等访问。华赛统一安全网关还提供自定义安全区域，可以最大定义16个安全区域，每个安全区域都可以加入独立的接口。基于安全区域的策略控制华赛统一安全网关支持根据不同的安全区域之间的访问设计不同的安全策略组（ACL访问控制列表）， 每条安全策略组支持若干个独立的规则。这样的规则体系使得统一安全网关的策略十分容易管理，方便用户对各种逻辑安全区域的独立管理。基于安全区域的策略控制模型，可以清晰的分别定义从trust到untrust、从DMZ至Uuntrust之间的各种访问，这样的策略控制模型使得华赛统一安全网关的网络隔离功能具有很好的管理能力。安全策略控制灵活的规则设定华赛统一安全网关可以支持灵活的

39、规则设定，可以根据报文的特点方便的设定各种规 则。可以依据报文的协议号设定规则可以依据报文的源地址、目的地址设定规则可以使用通配符设定地址的范围，用来指定某个地址段的主机针对 UDP 和 TCP 还可以指定源端口、目的端口针对目的端口、源端口可以采用大于、等于、介入、 不等于等方式设定端口的范围针对 ICMP 协议，可以自由的指定ICMP 报文的类型和Code 号，可以通过规则针对任何一种ICMP 报文可以针对IP 报文中的TOS 域设定灵活的规则可以将多个报文的地址形成一个组，作为地址本，在定义规则时可以按组来设定规则，这样规则的配置灵活方便高速策略匹配通常， 防火墙的安全策略都是由很多规则

40、构成的，因此在进行策略匹配的时候会影响防火墙的转发效率。华赛统一安全网关采用了ACL 匹配的专门算法，这样就保证了在很多规则的情况下，统一安全网关依然可以保持高效的转发效率，系统在进行上万条ACL 规则的查找时，性能基本不受影响，处理速度保持不变，从而确保了ACL 查找的高速度，提高了系统整体性能。MAC 地址和 IP 地址绑定华赛统一安全网关根据用户配置，将MAC和IP地址进行绑定从而形成关联关系。对于从该IP地址发来的报文，如果 MAC地址不匹配则被丢弃；对于发往该 IP地址的报文都被强 制发送到指定的MAC地址处，从而有效避免IP地址假冒的攻击行为。动态策略管理黑名单技术华赛统一安全网关

41、可以将某些可疑报文的源IP地址记录在黑名单列表中，系统通过丢弃黑名单用户的所有报文，从而有效避免某些恶意主机的攻击行为。统一安全网关提供如下几种黑名单列表维护方式：手工添加黑名单记录，实现主动防御与攻击防范结合自动添加黑名单记录，起到智能保护可以根据具体情况设定 白名单， 使得即使存在黑名单中的主机，依然可以使用部分的网络资源。例如， 即使某台主机被加入到了黑名单，但是依然可以允许这个用户上网。黑名单技术是一种动态策略技术，属于响应体系。统一安全网关在动态运行的过程中，会发现一些攻击行为，通过黑名单动态响应系统，可以抑制这些非法用户的部分流量，起到保护整个系统的作用。丰富的接入方式USG接口类

42、型丰富，接口密度大。固定、移动、无线统一接入，家庭、企业、热点统一接入最大程度满足了用户多种接入需求。支持WIFI、3G,同时满足用户 WLAN/WWAN 无线网络需求：WiFi ( Wireless Fidelity )基于无线局域网(WLAN ) IEEE 802.11 标准，提供户内、办公室或热点地区的无线网络接入功能。支持802.11b、802.11g及混合制式，通过 WiFi天线，可提供1Mbps54Mbps速率的无线 WLAN接入。3G( The Third Generation )是第三代移动通信系统，相对于第一代模拟制式系统(1G)和第二代GSM、TDMA等数字系统(2G),是

43、指将无线通信与因特网等多媒体通信结合的 新一代移动通信系统。ITU ( International Telecommunication Union )已经将W-CDMA 、CDMA2000和TD-SCDMA确定为三大主流无线接口标准。USG可以插入多种3G数据卡，局域网用户可以通过3G数据卡上行接入网络。通过插入不同的3G数据卡，可支持 WCDMA、CDMA2000 和 TD-SCDMA 三种制式。USG2100提供了如下接口和槽位。带W的机型还提供了 WLAN功能，可提供灵活、可扩展的无线接入。9 个固定 FE 接口个 USB 槽位，可安装3G 接口卡个 Express 槽位，可安装3G 接

44、口卡个 MIC 扩展槽位和2个 MIC 扩展槽位USG2200 提供了如下接口和槽位。安装MIC-WIFI 接口卡后可提供灵活、可扩展的无线接入。 2 个固定的GE Combo 口，提供了2 个千兆光口和2 个千兆电口个 USB 槽位4 个 MIC 扩展槽位、2个 FIC 扩展槽位。上下相邻的两个MIC 槽位可扩展为 1 个 DMIC 槽位、两个FIC 槽位可扩展为1 个 DFIC 槽位。USG5100 提供了如下接口和槽位。安装MIC-WIFI 接口卡后可提供灵活、可扩展的无线接入。USG5120 提供2 个固定的GE Combo 口； USG5150 提供 4 个固定的GECombo 口U

45、SG5120 提供2 个固定的GE 电接口2 个 USB 槽位USG5120/5150 还提供了4 个 MIC 扩展槽位、4/6 个 FIC 槽位。 上下相邻的MIC 可扩展为DMIC 槽位、相邻的FIC 可扩展为DFIC 槽位。USG 的扩展槽位可选配 FE/GE/E1/CE1/ADSL2+/G.SHDSL/SA/3G/WIFI 等多种接口。同时，USG还支持将多个以太网接口捆绑成一个Eth-Trunk逻辑接口，起到增加带宽、提高可靠性、负载分担的作用。PPPoE、L2TP等链路层协议配合 AAA、IPSec协议，为用户的认证、授权、计费及安全 访问提供整套的解决方案。卓越的路由交换特性US

46、G支持多种路由交换协议，可满足中小型企业、 大中型企业的分支机构、行业网的分支机构以及部分电信网络的需求。VLAN ： VLAN 可以隔离广播域，抑制广播报文；分隔用户，提高网络安全性；提供虚拟工作组，超越传统网络的工作方式。MSTP:可应用于环路网络，通过一定的算法实现路径冗余，同时将环路网络修剪 成无环路的树型网络，从而避免报文在环路网络中的增生和无限循环。静态路由：当网络结构比较简单时，只配置静态路由就可以使网络正常工作。设置 和使用静态路由可以改进网络的性能，并可为重要的应用保证带宽。RIP/RIPng： RIP 是一种较为简单的内部网关协议，基于距离矢量算法，通过UDP报文进行路由信

47、息的交换，使用的端口号为520。并支持下一代支持IPv6 的 RIP协议：RIPng。OSPF/OSPFv3： OSPF 是一种应用广泛的IGP 协议，承载于IP 包内。收敛快、无环路、分层的网络划分等特点决定了这种路由协议更适用于大中型网络。OSPFv3提供了对IPv6 的支持。ISIS： ISIS 最初是国际标准化组织ISO 为它的无连接网络协议CLNP 设计的一种动态路由协议。为了提供对IP 的路由支持，IETF 在 RFC1195 中对 IS-IS 进行了扩充和修改， 使它能够同时应用在TCP/IP 和 OSI 环境中，称为集成化IS-IS( IntegratedIS-IS 或 Dua

48、l IS-IS )。BGP/BGP4+ ： BGP( Border Gateway Protocol ) 是一种用于自治系统AS( AutonomousSystem) 之间的动态路由协议。其着眼点不在于发现和计算路由，而在于控制路由的传播和选择最佳路由。为了提供对IPv6 等多种网络层协议的支持，IETF 对 BGP4进行了扩展，形成BGP4+。路由策略：路由策略是为了改变网络流量所经过的途径而修改路由信息的技术，主要通过改变路由属性(包括可达性)来实现。提供了多种过滤器可灵活控制路由。单播策略路由：策略路由PBR 与单纯依照IP 报文的目的地址查找FIB 表进行转发不同，是一种依据用户制定的

49、策略而进行路由选择的机制。PBR 支持基于到达报文的源地址、报文长度等信息，依据用户制定的策略进行路由选择，可应用于安全、负载分担等目的。IGMP ： 作为因特网组管理协议，是 TCP/IP 协议族中负责IP 组播成员管理的协议，它用来在IP 主机和与其直接相邻的组播路由器之间建立、维护组播组成员关系。PIM-DM ： PIM-DM ( Protocol Independent Multicast Dense Mode )称为协议无关组播密集模式，属于密集模式的组播路由协议，适用于组成员分布相对密集的小型网络。PIM-SM ： -SM ( Protocol Independent Multic

50、ast-Sparse Mode )称为协议无关组播稀疏模式，属于稀疏模式的组播路由协议，适用于组成员分布相对分散、范围较广、大规模的网络。MSDP ： MSDP 是 Multicast Source Discovery Protocol （组播源发现协议）的简称，是为了解决多个PIM-SM （ Protocol Independent Multicast Sparse Mode ， 协议无关组 播 稀疏模式)域之间的互连而开发的一种域间组播解决方案，用来发现其它PIM-SM 域内的组播源信息。黑名单过滤恶意主机USG可以提供丢弃黑名单用户的所有报文来为用户提供安全保证。当USG根据报文的行为特

51、征察觉到特定IP地址的用户的攻击企图后，主动将其加入黑名单表项，过滤从该IP地址发送的报文，从而保障网络安全。USG可以手工添加黑名单，可以动态地添加或删除黑名单，还可以将黑名单与ACL关联， 即报文命中黑名单后，查找黑名单关联的ACL 策略，如果命中ACL 策略并且策略允许通过，则报文可以通过，否则报文被过滤丢弃。同基于ACL的包过滤功能相比，由于黑名单仅对IP地址进行匹配，可以以很高的速度实现黑名单表项匹配，从而快速有效地屏蔽特定IP地址的用户。IP和MAC地址绑定USG可以配置MAC (Media Access Control)和IP地址绑定，根据用户的配置，USG在IP 地址和 MAC

52、 地址之间形成关联关系：对于声称源地址为这个IP 地址的报文，如果其MAC 地址不是指定关系对中的MAC 地址，将予以丢弃。目的地址为这个IP 地址的报文，在通过 USG 时将被强制发送到MAC-IP 地址关联关系中，该IP 地址对应的MAC 地址，从而对用户形成有效的保护。MAC和IP地址绑定是避免IP地址假冒攻击的一种有效手段。强大的攻击防范能力防范蠕虫病毒：USG 根据蠕虫病毒的特点，设计了增强的流量监控/检测功能、增强的用户连接数检测功能、增强的防IP 地址扫描、防端口扫描功能及增强的黑名单功能。 可以设定是否允许染毒用户继续通过，还是封闭该用户一段时间。配合黑名单功能，可以提取出可疑

53、的用户列表名单。防范多种DDoS 攻击： USG 可以有效地检测出这些类攻击报文，通过丢弃这些报文等处理措施避免攻击行为，同时将这些攻击行为记录在日志中。目前，USG 可以防范多种DDoS 攻击，主要包括：SYN Flood 攻击、 ICMP Flood 、 UDP Flood 攻击、 DNS Flood 、 TCP Flood、 Land 攻击、 Smurf 攻击、 Fraggle 攻击、 WinNuke 攻击、 ICMP 重定向或不可达报文、TCP 报文标志位（如ACK 、 SYN 、 FIN 等）不合法、 Ping of Death 攻击、 Tear Drop 攻击等。防范扫描窥探攻击：

54、攻击者通过扫描窥探就能大致了解目标系统提供的服务种类和潜在的安全漏洞，为进一步侵入系统做好准备。USG 通过比较分析，可以灵活高效地检测出这类扫描窥探报文，从而预先避免后续的攻击行为。 防范其它攻击：USG 除了可以有效防范多种DDoS 攻击和扫描窥探外，还可以有效防范 IP Spoofing 攻击、带源路由选项的IP 报文攻击、带路由记录选项的IP 报文攻击、利用tracert 工具窥探网络结构等其他攻击，确保系统访问权的安全。VPN 特性支持USG为用户提供了 L2TP、GRE、IPSec、L3VPN等多种VPN组网技术，为用户提供了更 多的选择。凭借强大的技术实力，USG的产品加密性能在

55、业界同类产品中处于领先位置，并且支持DES、3DES、AES、RSA等多种加密算法，能够为用户提供高强度的加密传输保障； 同时，结合全系列的网络安全产品，可以为用户提供完整的VPN 解决方案。灵活的扩展能力USG采用自主研发的软件平台和具有自主知识产权的安全操作系统。数据平面和管理平面完全分离，这种无依赖性提高了系统安全性。具有很强的可伸缩性、可配置性，并且接口开放，是一个可不断丰富和持续发展的系统平台。USB、FLASH、SD卡等多种新型存储介质的应用提供了对设备存储介质的扩展能力。USG系列提供丰富的接口种类，包括FE、GE、Console、USB、3G、WLAN、Flash卡接口和可选配

56、的MIC、DMIC、FIC和DFIC扩展插槽，部分型号还额外支持一个Express接口专门用于扩展3G接口。模块化的设计保证了用户投入的扩展能力，极强的硬件可扩展性为 用户以多种方式接入和日后的网络升级提供最大程度的投资保护。USG支持安装X86开放业务平台，该平台提供了独立的硬件基础，配合不同的软件实现 业务的无限扩展能力。良好的管理维护功能USG充分考虑了用户对网络管理的需求，可以实现统计、 管理、定位功能。还可以远程通过网管配置和维护设备，极大的降低了运营和管理成本。支持如下多种设备管理和维护功能：支持通过Console 口进行本地配置和维护。支持通过Telnet 方式进行本地或远程维护

57、。支持SSH (Secure Shell)维护管理方式，实现在不能保证安全的网络上提供安全信息保障和强大认证功能，以避免受到IP 地址欺诈、明文密码截取等攻击。支持SNMP( Simple Network Management Protocol )( v1/v2c/v3) 协议和 Client/Server体系结构，接受NMS( Network Management System )网管站的管理，如接受华为公司网管平台iManager N2000 的管理。提供基于GUI (Graphic User Interface )的 Web管理界面，为用户提供友好的配置和管理界面。USG 系列支持通过H

58、TTP( Hyper Text Transfer Protocol )和 HTTPS( Secure Hyper Text Transfer Protocol )协议访问Web 管理界面。可以通过CWMP (TR069)协议对设备进行远程批量配置和升级，并提供相应管理的缺省配置模板。通过 U 盘自动升级，实现方便的版本升级、配置。支持一键恢复，通过面板上的Reset键完成对设备一键恢复到设备的出厂缺省配置。增强的日志管理功能，为用户提供了记录、审计的依据：两种日志输出方式：不仅能通过文本方式输出SYSLOG 日志，而且还针对流经设备的数据流量大和日志信息丰富等特点，创建基于流状态的信息表，并通

59、过二进制方式输出高速流日志。完整统一的日志信息：提供攻击防范日志、流量监控日志、黑名单日志、统计信息日志。与 Elog 联动： eLog 日志管理系统是设备的日志管理系统。通过高效地采集设备的日志， 用户能及时了解设备的运行情况，跟踪网络用户的行为，迅速识别并消除安全威胁。通过与elog 联动实现日志信息的海量存储与快捷查询，有效帮助用户定位网络问题和设备运行的历史信息。完备的 IPv4/IPv6 解决方案USG全面支持IPv4和IPv6双协议栈工作方式，提供完整的IPv6特性和IPv4网络向IPv6网络平滑迁移的解决方案。支持常见应用层协议的NAT-PT 和 NAT-PT ALG 。支持多种

60、IPv6 over IPv4 隧道和 IPv4 over IPv6 隧道。支持丰富的IPv6 路由协议特性。领先的 UTM 技术USG系列产品基于领先的应用层分析成果，集成了 IPS、防病毒、URL过滤等多种应用层防护功能，更好的满足用户同时应对多种网络安全威胁的需求。华为赛门铁克拥有强大的协议分析团队，支持对多达500多种网络协议以及数千种威胁特征的深度分析。USG系列产品能够有效的识别各种网络应用中存在威胁与漏洞，用户不必再担心含有恶意代码的网站、携带病毒的邮件、木马、后门、内部员工访问非法网站等问题，对用户机构中面临的各种网络安全威胁实现有效的保护。反病毒：AV (Anti-Virus