政府网络安全及VPN解决方案

政府网络安全及VPN解决方案XX政府网络安全及VPN解决方案技术建议书华为赛门铁克科技有限公司2011年政府网络安全及VPN解决方案全文共1页，当前为第1页。政府网络安全及VPN解决方案全文共1页，当前为第1页。目录目录 i1 政务外网建设现状 32 政务外网的整体框架 33 政务外网网络安全及VPN建设目标 44 政务外网VPN建设需求及建设原则 44.1 政务外网VPN建设需求分析： 44.2 政务外网VPN建设的基本设计原则 55 政务外网VPN建设方案 65.1 网络总体结构 65.2 政务外网VPN网关接入方案 75.3 省各厅局委办通过VPN互通方案 125.4 政务外网VPN移动用户接入方案 126 华赛VPN接入解决方案特点 136.1 全面的VPN业务支撑能力 136.2 领先的业务性能及高可靠的硬件体系 146.3 图形化的便捷管理 157 部分产品介绍 167.1 华赛USG2000/5000简介 167.2 华赛USG2000/5000功能特点 167.2.1 安全区域管理 167.2.2 安全策略控制 177.2.3 丰富的接入方式 187.2.4 卓越的路由交换特性 207.2.5 黑名单过滤恶意主机 217.2.6 IP和MAC地址绑定 217.2.7 强大的攻击防范能力 22政府网络安全及VPN解决方案全文共2页，当前为第2页。7.2.8 VPN特性支持 22政府网络安全及VPN解决方案全文共2页，当前为第2页。7.2.9 灵活的扩展能力 237.2.10 良好的管理维护功能 237.2.11 完备的IPv4/IPv6解决方案 247.2.12 领先的UTM技术 247.2.13 全面的语音方案 257.2.14 完善的QoS机制 267.2.15 高度的可靠性保证 267.2.16 广泛的多业务集成 278 成功案例 278.1 XX奥运城市数据系统VPN项目 278.2 XX省电子政务VPN应用案例 29政府网络安全及VPN解决方案全文共3页，当前为第3页。政府网络安全及VPN解决方案全文共3页，当前为第3页。政务外网建设现状国家电子政务外网建设目标是：建立一个开放的、基于标准的、符合国家外网建设要求的政务外网统一网络平台，实现省直各部门及全省市的信息快速交换和资源共享，向全体政务工作者提供一个业务处理、辅助办公的工作平台，为省门户网站提供信息源及后台应用业务运行支持，外网将分别支持数据、语音和视频业务，运行各部门的对外业务系统，实现各网间的信息交换和资源共享，同时建立完善的信息安全体系和相应的备份系统。目前国家电子政务外网城域网建设已经完成中央城域网4个节点2.5G环网的建设；完成国家监察部、国务院扶贫办、劳动和社会保障部、农业部、人事部、国家审计署等中央部门接入外网的工作；完成国家外网与全国32个省级外网节点的互联互通工作；开通至中国网通100M出口；开通至中国联通100M出口；同时各省按照中共中央办公厅、国务院办公厅中办发[2002]17号、[2006]18号文件精神的要求，建设覆盖省、市、县各级党委、人大、政府、政协、法院、检察院及其组成部门、直属机构的政务外网，在省内统一组织建设构建五大基础数据库：法人数据库、人口数据库、地理信息数据库、宏观经济数据库、法律法规数据库，可以通过对省级数据库进行访问的方式进行数据共享、交换、查询和比对。政务外网的整体框架电子政务外网是国家政务外网的延伸和拓展。在各省驻地有华为高端路由器，作为省上联中央的PE设备。省政务外网平台，上连国家政务外网，下连市的政务外网。构建省城城域网、省到市广域网，根据国家外网中央城域网的接入部委，实现大部分省直厅局与省政务外网的连接，贯通政府业务部门中央到省的信息通道；地市电子政务网，上连省电子政务网，下连接到县、区，有条件的地方可以连接到乡、镇和社区，横向连接到党委、人大、政府、政协、法院、检察院及各职能部门的内部局域网。在地市建立政务网平台，平台一般包括：机房、网络接入设备、安全设备、计算机设备、基础软件（包括操作系统、数据库管理系统、应用服务器）等。政府网络安全及VPN解决方案全文共4页，当前为第4页。地市在政务网上建设统一的政府办公平台，平台上集成有各类应用系统、各类数据库。应用系统根据其功能和使用角色分别集成到政府门户、政务门户，各类公务员按照分配的角色权限、采用单点登录的方式统一使用政务平台上的功能。政府网络安全及VPN解决方案全文共4页，当前为第4页。地市县建设的政府门户，与政务网逻辑连接，政府门户直接为老百姓服务，实现政府门户受理、政务网办理、政府门户结果发布的工作模式。在技术上，各局委办不建设技术平台，统一使用地市平台。政务外网网络安全及VPN建设目标在电子政务外网整体框架下，通过政务外网VPN的建设，补充目前政务外网接入的形式。对于省网建设相对滞后地区，各级机构利用专线方式接入难度较大，而采用VPN网关和技术可以利用廉价Internet资源满足接入单位安全接入政务外网的需求。需求主要场景如下：省各厅局委办通过VPN与其所属的国家部门互通；省各厅局委办通过VPN与有业务需求的国家部门互通；省各厅局委办通过VPN互通；各厅局委办移动用户安全接入VPN系统；政务外网VPN建设需求及建设原则政务外网VPN建设需求分析：稳定可靠性的需求：政务外网VPN系统的稳定性和可靠性关系整个政务外网VPN接入用户业务的延续性，是政务外网VPN可行性的基础。为确保政务外网VPN系统稳定可靠运行，政务外网VPN建设选择的产品和解决方案必须是经过市场考验，采用成熟技术支撑的产品和解决方案。安全性的需求：安全性是整个政务外网VPN业务开展的前提，主要有以下几个方面：必须符合国家信息安全相关条例及国家等级保护策略，选择通过国家VPN相关技术鉴定的产品，从而能够达到符合安全性的国家标准要求通过制定VPN安全策略性，在解决方案设计中实施如CA、Ukey、防入侵检测等安全手段，提升政务外网VPN的安全性。关注网络安全发展的趋势，对VPN产品的安全特性的扩展性提出相应扩展的要求。政府网络安全及VPN解决方案全文共5页，当前为第5页。大容量的需求：政务外网VPN将满足省网未覆盖到的省、市、区、镇等各级部门以及大量移动办公用户的VPN接入，对产品VPNTunnel的容量及扩展性提出很高的要求。政府网络安全及VPN解决方案全文共5页，当前为第5页。高性能的需求：面对大量有访问需求的政府机构机关和移动办公用户，性能将直接影响到各厅局委办访问省政务平台数据资源时的效率和使用体验，对VPNServer的性能主要有两个方面；一个是加解密吞吐量，体现了政府分支机构可获得的最大数据带宽、一个是时延，时延直接关系业务的感受以及政务平台多项业务的开展，如：VoIP、视频会议等。对VPNClient的需求主要是QoS要求。互通性的需求：对于政务外网VPN的互通性主要体现在：VPNServer通过省RD与国家MPLSVPN互通，与省各级部门VPNGateway互通。可管理性的需求：良好的可管理性将大幅降低管理维护人员耗费的精力，有助于快速正确响应各类业务需求。VPNServer的可管理性主要体现在自身是否有图形化的管理维护软件，以及是否可以支持第三方的管理系统。政务外网VPN建设的基本设计原则政务外网VPN设计遵循以下建网原则：标准化原则标准化是电子政务建设的基础保障，应用服务系统建设必须在业务流程化、安全体系和安全技术、信息表示和信息交换、网络协议、软件结构、软件平台等标准方面遵循国家有关电子政务技术标准，才能达到“互连、互通、互操作”要求，实现“信息交换、资源共享”。安全保密性原则在数据库设计、应用操作权限和身份认证方面均严格遵循国家电子政务有关安全、保密标准，全面加强安全措施，所有应用项目采用符合国家电子政务标准的基础软硬件。可靠性原则系统能有效的避免单点失败，在设备选择和互联时应提供充分的冗余备份，实现7×24小时不间断工作。经济实用原则以需求为基础，充分考虑发展的需要来确定系统规模，功能模块子系统以插件方式扩展。系统应突出实用，要让系统的投资与各省电子政务系统建设的实际需求相符合。可管理性原则政府网络安全及VPN解决方案全文共6页，当前为第6页。系统设备易于管理、维护，操作简单，便于配置，在安全性、数据流量、性能等方面能得到很好的监视和控制，可以进行远程管理和故障诊断。政府网络安全及VPN解决方案全文共6页，当前为第6页。先进性原则系统的结构设计、配置、管理方式，应采用成熟的先进技术，延长系统的生命周期。开放兼容性原则系统要求开放性好、标准化程度高，系统建设应与现有的一些单位局域网系统平台兼容。系统建立符合国家和各省关于电子政务及信息化建设有关标准。可扩展性原则系统设备不但满足当前需要，并在扩充模块后满足发展的需要；保证系统平台升级时能保护现有投资。先易后难、阶段实施的原则将容易实现的重点业务作为突破口，坚持分阶段实施，立足于小步快走，步步见效，滚动发展，最大限度的减少投资风险，提高系统利用率。保护现有投资原则充分利用现有系统，整合已开发信息资源，发挥现有投资的效能。技术成熟性原则在系统软硬件方面，充分考虑采用国内通用的，成熟的软硬件产品进行开发，保证系统功能的高效稳定。政务外网VPN建设方案网络总体结构政府网络安全及VPN解决方案全文共7页，当前为第7页。根据网络建设目标和需求，政务外网VPN建设网络组成如下图：政府网络安全及VPN解决方案全文共7页，当前为第7页。图中省干政务外网VPN与Internet相连，各市(地)、县城域网与Internet相连，之间通过VPN网关在Internet上建立安全VPN连接。为使政务外网VPN网络构建及维护简单、层次清晰，其层次结构分为：省干政务外网VPN网关接入部分：主要各厅局部委局域网经互连网通过VPN接入电子政务外网，特点是地理位置相对固定，对业务保障要求高，用户终端方面不用改造，操作习惯不会发生变化。省干政务外网VPN移动用户部分：随HOMEOffice办公的需求的旺盛，移动用户通过VPN办公的数量越来越多，移动办公用户对性能相对要求较低，对安全接入等方面要求较高。政务外网VPN网关接入方案根据电子政务外网的需求，国干MPLSVPN终结在省PE上，在省PE侧由VPNServer与PE通过GE口连接，通过VPNServer提供的VCE功能导入对应VPN。在不具备专线条件的省厅部委办部署FW/VPN设备，并通过Internet与VPNServer建立IPSECVPN隧道传输数据。各省厅部委办纵向互联由各厅部委办FW/VPN之间直接建立隧道完成横向互通，减少核心网数据流量负担。省间的厅部委办间互通由国干网统一管理。省内VPN通过省级VPN统一管理平台平台管理。可通过VCE或VPE两种方案实现IPSECVPN与国干MPLSVPN对接：政府网络安全及VPN解决方案全文共8页，当前为第8页。（1）VCE方案政府网络安全及VPN解决方案全文共8页，当前为第8页。方案特点：VPNServer通过虚拟防火墙、地址转换多实例、multi-VRF等VPN隔离技术，做为一个MPLSVPN网络统一访问Internet的出口设备，在MPLS网络之外承担VCE（Virtual－CE）的功能。在VPNServer的出入接口划分不同的VLAN或逻辑子接口，将不同的分支机构或不同的业务通过进出不同的VLAN或子接口进入不同的虚拟防火墙VPN实例，从而达到了隔离的目的，为MPLSVPN统一提供Internet访问。用户认证通过IKE来提供，可以提供基于证书的方式，也可以采用per-sharedkey的方式，通过IKE认证就可以知道该IPSEC隧道应该接入到哪个MPLSVPN中。VPNServer支持业务多实例特性，资源独立存放，可以很好的解决私网地址重叠的问题。政府网络安全及VPN解决方案全文共9页，当前为第9页。（2）VPE方案政府网络安全及VPN解决方案全文共9页，当前为第9页。VPN网关采用IPSec方式接入VPE，移动办公用户采用L2TP或者L2TP+IPSEC方式接入VPE，在VPE上实现IPVPN隧道和MPLSLSP隧道的融合与衔接。（3）VCE和VPE方案比较与VPE方案相比，VCE方案具有明显的优势：在组网灵活性方面：VCE方案不需要修改现网，直接通过internet接口进行VPN连接；而VPE方案则需要修改现网，增加PE设备，同时与各省PE连接起来；在设备选择方面：VCE方案中的VPNServer设备可以灵活选择，接入用户多的可以选择性能高的，接入用户少的可以选择性能低的；而VPE方案中的VPNServer必须支持MPLS功能，MPLS对设备要求很高，因此不管接入用户多少，VPNServer必须选择高端设备；在稳定性方面：VCE方案中的VPNServer功能独立，专门负责IPSEC接入，更能保证功能长时间稳定运行；而VPE方案中的VPNServer同时负责IPSEC接入与MPLS转发，设备负荷较大，设备稳定性较难控制。VPE方案的优势在于将PE设备和VPNServer的功能集成在一个设备中实现，在某些尚未部署PE设备的场景下，可节省用户投资。政府网络安全及VPN解决方案全文共10页，当前为第10页。综上所述，我们建议政务外网VPN网关建设拓扑图如下：政府网络安全及VPN解决方案全文共10页，当前为第10页。组网设计说明：在大多数已经部署PE设备的省份（区域），核心VPNServer采用两台USG2000/5000热备组网，USG2000/5000提供最大4000隧道的扩展，加解密性能达到1Gbps，能够满足省厅局委办的VPN接入需求。核心VPNServer与省RD通过GE接口相连，与Internet通过ISP100Mbp或1Gbps链路连接。如下图：政府网络安全及VPN解决方案全文共11页，当前为第11页。政府网络安全及VPN解决方案全文共11页，当前为第11页。作为核心VPNServer的USG2000/5000采用VCE技术，通过子接口与PE对接VPN，确保不同的IPSECVPN导入各自的MPLSVPN，IPSECVPN业务间的互通由PE进行统一部署与控制；个别尚未部署PE设备的省份（区域），核心VPNServer采用一台USG3040组网，在VPE上实现IPVPN隧道和MPLSLSP隧道的融合与衔接；VPNAVPNA站点1厅部委办内网BVPNB站点2厅部委办内网APPPE国家部B国家部AVPE各厅局委办根据自身业务需求选择VPNGateway接入设备。考虑未来网络扩展性及业务开展需要，可选如下设备；在省干部署VPNManager管理系统，对省内VPN业务进行可视化管理，提升管理效率；VPN的流量由USG2000/5000镜像至NIP1000（入侵检测系统），实施USG2000/5000与NIP1000的联动，通过NIP1000动态监测数据流，提升业务系统的安全性。省各厅局委办通过VPN互通方案政府网络安全及VPN解决方案全文共12页，当前为第12页。在厅局委内网A和厅局委内网B的网络出口部署IPSecVPNGateway，在两个IPSecVPNGateway之间建立IPSec隧道，穿越internet，实现IPSecVPN用户之间的横向互访并保证数据报在网络上传输时的私有性、完整性、真实性和防重放。政府网络安全及VPN解决方案全文共12页，当前为第12页。政务外网VPN移动用户接入方案政务外网VPN将为移动用户提供便捷的VPN接入方案,满足省内用户出差及非办公区办公时的安全访问政务外网的需求，网络拓扑如下：移动办公用户通过VPNClient接入VPNServer网关，业务流程如下：移动办公用户终端接入Internet。在终端上运行VPNClient软件，选择或输入要接入的VPNServer的IP地址。政府网络安全及VPN解决方案全文共13页，当前为第13页。输入用户名密码点击连接（对于不同的用户可在VPNServer上部署不同的安全策略，如需要接入VPN、认证方式等）；推荐采用CA＋USBKEY方式显著提高安全性。政府网络安全及VPN解决方案全文共13页，当前为第13页。完成认证后，VPNClient提示接入VPN网络，移动办公用户进行需要的数据访问。移动办公用户访问MPLS的数据将导入NIP1000入侵检测系统，进行入侵检测，后续可考虑部署防病毒网关或其他安全检测设备，提高访问的安全性。华赛VPN接入解决方案特点全面的VPN业务支撑能力华赛VPN整体解决方案能够提供L2TP、GRE、IPSec、SSLVPN、MPLSVPN等多种VPN接入方式，并支持DES、3DES、AES等多种加密算法，结合华赛公司全系列的VPN设备，提供完整的VPN解决能力。USG2000/5000防火墙可支持高达1Gbps的3DES处理能力，提供高性能的LNS服务。支持从Internet安全接入到MPLSVPN网络，通过一台USG防火墙的一个物理接口就可以为Internet上的许多VPN分支机构接入到MPLSVPN提供服务。用户认证通过IKE来提供，可以提供基于证书的方式，也可以采用per-sharedkey的方式。通过IKE认证就可以知道该IPSec隧道应该接入到哪个MPLSVPN中。USG系列防火墙对每个VPN保持了独立的转发资源，从源头上就可以控制不同VPN用户之间无法互访。支持Multi-VRF特性，可以为多个VPN保存独立的转发表项，这样可以从转发层面保证了业务隔离。通过这种Multi-VRF技术可以在提供VPN业务的时候，支持私网地址重叠功能。支持根验证功能：USG防火墙的根系统可以验证隧道对端，利用IKE进行身份验证、密钥协商，建立起IPSec隧道之后，就给这个IPSec隧道标定了一个VPN。然后将IPSec隧道的流量引入到对应的虚拟防火墙处理。这种方式的处理，可以给Internet的分支机构接入到VPN提供了技术保证，可以使得Internet上的分支机构访问特定VPN。政府网络安全及VPN解决方案全文共14页，当前为第14页。支持多个虚系统；USG防火墙的一个虚系统连接一个分支机构，由这个虚系统来验证隧道对端，利用IKE进行身份验证、密钥协商，建立的IPSec隧道只能限定在这个虚系统内部。这种方式可以给VPN用户提供加密接入到骨干网提供了技术保证，可以使得分支机构在骨干网边缘通过加密方式接入到VPN，提供高可靠的VPN接入服务。政府网络安全及VPN解决方案全文共14页，当前为第14页。接入控制权限严格，USG防火墙可以根据用户名、密码来控制访问VPN的接入权限，这样可以使得出差员工，超级用户（需要访问不同VPN资源）等不同的用户。支持采用Radius协议统一管理用户，可以提供双因子验证方式，采用令牌＋固定口令的方式提供高可靠的接入服务。领先的业务性能及高可靠的硬件体系USG系列防火墙采用新一代电信级的硬件高速状态防火墙，强大的攻击防范能力，提供静态和动态黑名单过滤等特性，可提供丰富的统计分析功能和日志。USG防火墙具有一个完整的安全方案技术体系，可以为用户提供综合的安全解决方案。USG2000/5000防火墙采用NP（网络处理器）的硬件结构，可以支持10K以上的并发用户，提供1G吞吐量的VPN服务。USG系列防火墙支持双机备份组网方式，双机模式支持IPSec/L2TP业务，可以通过双机提供更可靠安全的接入模式。在做VPN网关的同时，可以为整个企业网提供安全可靠的运行环境，保证整个企业网的安全。USG防火墙产品根据数据报文的特征，以及Dos攻击的不同手段，可以针对ICMPFlood、SYNFlood、UDPFlood等各种Dos攻击手段进行Dos攻击的防御。同时，USG防火墙可以主动识别出数十种常见的攻击种类，很多种攻击种类造成的后果就是Dos形式的攻击，USG防火墙可以主动发现并隔断这些非法攻击，消除了内部网络遭受攻击的可能。通过对各种攻击的防御手段，利用USG防火墙可以组建一个安全的防御体系，保证网络不遭受Dos攻击的侵害。USG系列防火墙支持使用TCP代理方式来防止SYNFlood类的Dos攻击，通过精确的验证可以准确的发现攻击报文，对正常报文依然可以通过允许这些报文访问防火墙资源，而攻击报文则被USG防火墙丢弃。图形化的便捷管理政务外网VPN管理子系统由华赛VPNManager系统构成；其主要功能是简化VPN业务的管理，增强了IPVPN的管理、维护和运营手段。主要有以下特点：所见即所得的业务预部署政府网络安全及VPN解决方案全文共15页，当前为第15页。在网管上进行离线的业务定义，直到确认无错后再下发的设备上使得业务生效，对运营商非常重要。VPNManager可以离线地进行所有的业务定义，并且通过各种拓扑视图达到所见即所得的效果。政府网络安全及VPN解决方案全文共15页，当前为第15页。配置变更监控功能VPNManager提供配置审计功能，自动定期地检查出网络业务管理系统和设备上当前配置的不一致性，发送告警给运维人员，并能提供配置变更的详细信息。现网业务的自动发现与还原如果在安装SecospaceVPNManager之前，网络设备上已经部署了IPSecVPN业务。VPNManager可以读取设备上的配置文件等数据，自动在VPNManager上还原出IPSecVPN业务，从而避免部署后续业务时发生资源冲突，使得新老业务可以统一管理。方便的性能统计功能VPNManager提供实时性能数据查看功能，可对VPN业务的流量、带宽利用率、时延、丢包、抖动等实时性能进行监控，并提供历史性能数据分析功能。有助于用户了解当前网络运行的基本情况和性能状态，预防网络事故发生，预测网络运行状态。支持跨平台特性VPNManager基于华赛公司统一的VSM综合管理应用平台，既可以运行在Solaris操作系统下，也可以运行在Windows操作系统下。既可提供规模网络的高端解决方案，也可适应低成本的解决方案简单快捷的系统安装提供图形化、向导式的安装和升级方式，系统自动设置静态参数和初始化数据。安装程序实现按需定制组件的功能。友好的人机界面充分考虑用户的操作习惯，提供统一风格的告警、拓扑和业务配置管理界面，保持一致的视觉效果，提供批量化的操作手段，简化用户日常操作。部分产品介绍华赛USG2000/5000简介USG2000/5000是华赛公司推出的具有防火墙功能的统一安全网关。政府网络安全及VPN解决方案全文共16页，当前为第16页。USG2000/5000基于华赛专业的多核硬件平台以及强大的VRP软件平台，不仅具备优异的攻击防范处理能力，而且能够提供完备的地址转换(NAT)功能。为了更好地满足网吧的实际需要，USG2000/5000还支持丰富的多媒体协议和路由协议，组网方式灵活多样，是大中网吧理想的网络安全防护设备。政府网络安全及VPN解决方案全文共16页，当前为第16页。华赛USG2000/5000功能特点安全区域管理基于安全区域的隔离华赛USG2000/5000统一安全网关的安全隔离是基于安全区域，这样的设计模型为用户在实际使用统一安全网关的时候提供了十分良好的管理模型。华赛统一安全网关提供了基于安全区域的隔离模型，每个安全区域可以按照网络的实际组网加入任意的接口，因此统一安全网关的安全管理模型是不会受到网络拓扑的影响。可管理的安全区域业界很多防火墙一般都提供受信安全区域（trust）、非受信安全区域（untrust）、非军事化区域（DMZ）三个独立的安全区域，这样的保护模型可以适应大部分的组网要求，但是在一些安全策略要求较高的场合，这样的保护模型还是不能满足要求。华赛统一安全网关默认提供四个安全区域：trust、untrust、DMZ、local，在提供三个最常用的安全逻辑区域的基础上还新增加了本地逻辑安全区域，本地安全区域可以定义到统一安全网关本身的报文，保证了统一安全网关本身的安全防护。例如，通过对本地安全区域的报文控制，可以很容易的防止不安全区域对统一安全网关本身的Telnet、ftp等访问。华赛统一安全网关还提供自定义安全区域，可以最大定义16个安全区域，每个安全区域都可以加入独立的接口。基于安全区域的策略控制华赛统一安全网关支持根据不同的安全区域之间的访问设计不同的安全策略组（ACL访问控制列表），每条安全策略组支持若干个独立的规则。这样的规则体系使得统一安全网关的策略十分容易管理，方便用户对各种逻辑安全区域的独立管理。政府网络安全及VPN解决方案全文共17页，当前为第17页。基于安全区域的策略控制模型，可以清晰的分别定义从trust到untrust、从DMZ到untrust之间的各种访问，这样的策略控制模型使得华赛统一安全网关的网络隔离功能具有很好的管理能力。政府网络安全及VPN解决方案全文共17页，当前为第17页。安全策略控制灵活的规则设定华赛统一安全网关可以支持灵活的规则设定，可以根据报文的特点方便的设定各种规则。可以依据报文的协议号设定规则可以依据报文的源地址、目的地址设定规则可以使用通配符设定地址的范围，用来指定某个地址段的主机针对UDP和TCP还可以指定源端口、目的端口针对目的端口、源端口可以采用大于、等于、介入、不等于等方式设定端口的范围针对ICMP协议，可以自由的指定ICMP报文的类型和Code号，可以通过规则针对任何一种ICMP报文可以针对IP报文中的TOS域设定灵活的规则可以将多个报文的地址形成一个组，作为地址本，在定义规则时可以按组来设定规则，这样规则的配置灵活方便高速策略匹配通常，防火墙的安全策略都是由很多规则构成的，因此在进行策略匹配的时候会影响防火墙的转发效率。华赛统一安全网关采用了ACL匹配的专门算法，这样就保证了在很多规则的情况下，统一安全网关依然可以保持高效的转发效率，系统在进行上万条ACL规则的查找时，性能基本不受影响，处理速度保持不变，从而确保了ACL查找的高速度，提高了系统整体性能。MAC地址和IP地址绑定华赛统一安全网关根据用户配置，将MAC和IP地址进行绑定从而形成关联关系。对于从该IP地址发来的报文，如果MAC地址不匹配则被丢弃；对于发往该IP地址的报文都被强制发送到指定的MAC地址处，从而有效避免IP地址假冒的攻击行为。动态策略管理－黑名单技术华赛统一安全网关可以将某些可疑报文的源IP地址记录在黑名单列表中，系统通过丢弃黑名单用户的所有报文，从而有效避免某些恶意主机的攻击行为。政府网络安全及VPN解决方案全文共18页，当前为第18页。统一安全网关提供如下几种黑名单列表维护方式：政府网络安全及VPN解决方案全文共18页，当前为第18页。手工添加黑名单记录，实现主动防御与攻击防范结合自动添加黑名单记录，起到智能保护可以根据具体情况设定"白名单"，使得即使存在黑名单中的主机，依然可以使用部分的网络资源。例如，即使某台主机被加入到了黑名单，但是依然可以允许这个用户上网。黑名单技术是一种动态策略技术，属于响应体系。统一安全网关在动态运行的过程中，会发现一些攻击行为，通过黑名单动态响应系统，可以抑制这些非法用户的部分流量，起到保护整个系统的作用。丰富的接入方式USG接口类型丰富，接口密度大。固定、移动、无线统一接入，家庭、企业、热点统一接入最大程度满足了用户多种接入需求。支持WIFI、3G，同时满足用户WLAN/WWAN无线网络需求：WiFi（WirelessFidelity）基于无线局域网（WLAN）IEEE802.11标准，提供户内、办公室或热点地区的无线网络接入功能。支持802.11b、802.11g及混合制式，通过WiFi天线，可提供1Mbps～54Mbps速率的无线WLAN接入。3G（TheThirdGeneration）是第三代移动通信系统，相对于第一代模拟制式系统（1G）和第二代GSM、TDMA等数字系统（2G），是指将无线通信与因特网等多媒体通信结合的新一代移动通信系统。ITU（InternationalTelecommunicationUnion）已经将W-CDMA、CDMA2000和TD-SCDMA确定为三大主流无线接口标准。USG可以插入多种3G数据卡，局域网用户可以通过3G数据卡上行接入网络。通过插入不同的3G数据卡，可支持WCDMA、CDMA2000和TD-SCDMA三种制式。USG2100提供了如下接口和槽位。带W的机型还提供了WLAN功能，可提供灵活、可扩展的无线接入。9个固定FE接口1个USB槽位，可安装3G接口卡1个Express槽位，可安装3G接口卡政府网络安全及VPN解决方案全文共19页，当前为第19页。1个MIC扩展槽位和2个MIC扩展槽位政府网络安全及VPN解决方案全文共19页，当前为第19页。USG2200提供了如下接口和槽位。安装MIC-WIFI接口卡后可提供灵活、可扩展的无线接入。2个固定的GECombo口，提供了2个千兆光口和2个千兆电口2个USB槽位4个MIC扩展槽位、2个FIC扩展槽位。上下相邻的两个MIC槽位可扩展为1个DMIC槽位、两个FIC槽位可扩展为1个DFIC槽位。USG5100提供了如下接口和槽位。安装MIC-WIFI接口卡后可提供灵活、可扩展的无线接入。USG5120提供2个固定的GECombo口；USG5150提供4个固定的GECombo口USG5120提供2个固定的GE电接口2个USB槽位USG5120/5150还提供了4个MIC扩展槽位、4/6个FIC槽位。上下相邻的MIC可扩展为DMIC槽位、相邻的FIC可扩展为DFIC槽位。USG的扩展槽位可选配FE/GE/E1/cE1/ADSL2+/G.SHDSL/SA/3G/WIFI等多种接口。同时，USG还支持将多个以太网接口捆绑成一个Eth-Trunk逻辑接口，起到增加带宽、提高可靠性、负载分担的作用。PPPoE、L2TP等链路层协议配合AAA、IPSec协议，为用户的认证、授权、计费及安全访问提供整套的解决方案。卓越的路由交换特性USG支持多种路由交换协议，可满足中小型企业、大中型企业的分支机构、行业网的分支机构以及部分电信网络的需求。VLAN：VLAN可以隔离广播域，抑制广播报文；分隔用户，提高网络安全性；提供虚拟工作组，超越传统网络的工作方式。MSTP：可应用于环路网络，通过一定的算法实现路径冗余，同时将环路网络修剪成无环路的树型网络，从而避免报文在环路网络中的增生和无限循环。政府网络安全及VPN解决方案全文共20页，当前为第20页。静态路由：当网络结构比较简单时，只配置静态路由就可以使网络正常工作。设置和使用静态路由可以改进网络的性能，并可为重要的应用保证带宽。政府网络安全及VPN解决方案全文共20页，当前为第20页。RIP/RIPng：RIP是一种较为简单的内部网关协议，基于距离矢量算法，通过UDP报文进行路由信息的交换，使用的端口号为520。并支持下一代支持IPv6的RIP协议：RIPng。OSPF/OSPFv3：OSPF是一种应用广泛的IGP协议，承载于IP包内。收敛快、无环路、分层的网络划分等特点决定了这种路由协议更适用于大中型网络。OSPFv3提供了对IPv6的支持。ISIS：ISIS最初是国际标准化组织ISO为它的无连接网络协议CLNP设计的一种动态路由协议。为了提供对IP的路由支持，IETF在RFC1195中对IS-IS进行了扩充和修改，使它能够同时应用在TCP/IP和OSI环境中，称为集成化IS-IS（IntegratedIS-IS或DualIS-IS）。BGP/BGP4+：BGP（BorderGatewayProtocol）是一种用于自治系统AS（AutonomousSystem）之间的动态路由协议。其着眼点不在于发现和计算路由，而在于控制路由的传播和选择最佳路由。为了提供对IPv6等多种网络层协议的支持，IETF对BGP4进行了扩展，形成BGP4+。路由策略：路由策略是为了改变网络流量所经过的途径而修改路由信息的技术，主要通过改变路由属性（包括可达性）来实现。提供了多种过滤器可灵活控制路由。单播策略路由：策略路由PBR与单纯依照IP报文的目的地址查找FIB表进行转发不同，是一种依据用户制定的策略而进行路由选择的机制。PBR支持基于到达报文的源地址、报文长度等信息，依据用户制定的策略进行路由选择，可应用于安全、负载分担等目的。IGMP：作为因特网组管理协议，是TCP/IP协议族中负责IP组播成员管理的协议，它用来在IP主机和与其直接相邻的组播路由器之间建立、维护组播组成员关系。PIM-DM：PIM-DM（ProtocolIndependentMulticastDenseMode）称为协议无关组播－密集模式，属于密集模式的组播路由协议，适用于组成员分布相对密集的小型网络。PIM-SM：-SM（ProtocolIndependentMulticast-SparseMode）称为协议无关组播－稀疏模式，属于稀疏模式的组播路由协议，适用于组成员分布相对分散、范围较广、大规模的网络。政府网络安全及VPN解决方案全文共21页，当前为第21页。MSDP：MSDP是MulticastSourceDiscoveryProtocol（组播源发现协议）的简称，是为了解决多个PIM-SM（ProtocolIndependentMulticastSparseMode，协议无关组播—稀疏模式）域之间的互连而开发的一种域间组播解决方案，用来发现其它PIM-SM域内的组播源信息。政府网络安全及VPN解决方案全文共21页，当前为第21页。黑名单过滤恶意主机USG可以提供丢弃黑名单用户的所有报文来为用户提供安全保证。当USG根据报文的行为特征察觉到特定IP地址的用户的攻击企图后，主动将其加入黑名单表项，过滤从该IP地址发送的报文，从而保障网络安全。USG可以手工添加黑名单，可以动态地添加或删除黑名单，还可以将黑名单与ACL关联，即报文命中黑名单后，查找黑名单关联的ACL策略，如果命中ACL策略并且策略允许通过，则报文可以通过，否则报文被过滤丢弃。同基于ACL的包过滤功能相比，由于黑名单仅对IP地址进行匹配，可以以很高的速度实现黑名单表项匹配，从而快速有效地屏蔽特定IP地址的用户。IP和MAC地址绑定USG可以配置MAC（MediaAccessControl）和IP地址绑定，根据用户的配置，USG在IP地址和MAC地址之间形成关联关系：对于声称源地址为这个IP地址的报文，如果其MAC地址不是指定关系对中的MAC地址，将予以丢弃。目的地址为这个IP地址的报文，在通过USG时将被强制发送到MAC-IP地址关联关系中，该IP地址对应的MAC地址，从而对用户形成有效的保护。MAC和IP地址绑定是避免IP地址假冒攻击的一种有效手段。强大的攻击防范能力防范蠕虫病毒：USG根据蠕虫病毒的特点，设计了增强的流量监控/检测功能、增强的用户连接数检测功能、增强的防IP地址扫描、防端口扫描功能及增强的黑名单功能。可以设定是否允许染毒用户继续通过，还是封闭该用户一段时间。配合黑名单功能，可以提取出可疑的用户列表名单。政府网络安全及VPN解决方案全文共22页，当前为第22页。防范多种DDoS攻击：USG可以有效地检测出这些类攻击报文，通过丢弃这些报文等处理措施避免攻击行为，同时将这些攻击行为记录在日志中。目前，USG可以防范多种DDoS攻击，主要包括：SYNFlood攻击、ICMPFlood、UDPFlood攻击、DNSFlood、TCPFlood、Land攻击、Smurf攻击、Fraggle攻击、WinNuke攻击、ICMP重定向或不可达报文、TCP报文标志位（如ACK、SYN、FIN等）不合法、PingofDeath攻击、TearDrop攻击等。政府网络安全及VPN解决方案全文共22页，当前为第22页。防范扫描窥探攻击：攻击者通过扫描窥探就能大致了解目标系统提供的服务种类和潜在的安全漏洞，为进一步侵入系统做好准备。USG通过比较分析，可以灵活高效地检测出这类扫描窥探报文，从而预先避免后续的攻击行为。防范其它攻击：USG除了可以有效防范多种DDoS攻击和扫描窥探外，还可以有效防范IPSpoofing攻击、带源路由选项的IP报文攻击、带路由记录选项的IP报文攻击、利用tracert工具窥探网络结构等其他攻击，确保系统访问权的安全。VPN特性支持USG为用户提供了L2TP、GRE、IPSec、L3VPN等多种VPN组网技术，为用户提供了更多的选择。凭借强大的技术实力，USG的产品加密性能在业界同类产品中处于领先位置，并且支持DES、3DES、AES、RSA等多种加密算法，能够为用户提供高强度的加密传输保障；同时，结合全系列的网络安全产品，可以为用户提供完整的VPN解决方案。灵活的扩展能力USG采用自主研发的软件平台和具有自主知识产权的安全操作系统。数据平面和管理平面完全分离，这种无依赖性提高了系统安全性。具有很强的可伸缩性、可配置性，并且接口开放，是一个可不断丰富和持续发展的系统平台。USB、FLASH、SD卡等多种新型存储介质的应用提供了对设备存储介质的扩展能力。USG系列提供丰富的接口种类，包括FE、GE、Console、USB、3G、WLAN、Flash卡接口和可选配的MIC、DMIC、FIC和DFIC扩展插槽，部分型号还额外支持一个Express接口专门用于扩展3G接口。模块化的设计保证了用户投入的扩展能力，极强的硬件可扩展性为用户以多种方式接入和日后的网络升级提供最大程度的投资保护。USG支持安装X86开放业务平台，该平台提供了独立的硬件基础，配合不同的软件实现业务的无限扩展能力。良好的管理维护功能USG充分考虑了用户对网络管理的需求，可以实现统计、管理、定位功能。还可以远程通过网管配置和维护设备，极大的降低了运营和管理成本。政府网络安全及VPN解决方案全文共23页，当前为第23页。支持如下多种设备管理和维护功能：政府网络安全及VPN解决方案全文共23页，当前为第23页。支持通过Console口进行本地配置和维护。支持通过Telnet方式进行本地或远程维护。支持SSH（SecureShell）维护管理方式，实现在不能保证安全的网络上提供安全信息保障和强大认证功能，以避免受到IP地址欺诈、明文密码截取等攻击。支持SNMP（SimpleNetworkManagementProtocol）（v1/v2c/v3）协议和Client/Server体系结构，接受NMS（NetworkManagementSystem）网管站的管理，如接受华为公司网管平台iManagerN2000的管理。提供基于GUI（GraphicUserInterface）的Web管理界面，为用户提供友好的配置和管理界面。USG系列支持通过HTTP（HyperTextTransferProtocol）和HTTPS（SecureHyperTextTransferProtocol）协议访问Web管理界面。可以通过CWMP（TR069）协议对设备进行远程批量配置和升级，并提供相应管理的缺省配置模板。通过U盘自动升级，实现方便的版本升级、配置。支持一键恢复，通过面板上的Reset键完成对设备一键恢复到设备的出厂缺省配置。增强的日志管理功能，为用户提供了记录、审计的依据：两种日志输出方式：不仅能通过文本方式输出SYSLOG日志，而且还针对流经设备的数据流量大和日志信息丰富等特点，创建基于流状态的信息表，并通过二进制方式输出高速流日志。完整统一的日志信息：提供攻击防范日志、流量监控日志、黑名单日志、统计信息日志。与Elog联动：eLog日志管理系统是设备的日志管理系统。通过高效地采集设备的日志，用户能及时了解设备的运行情况，跟踪网络用户的行为，迅速识别并消除安全威胁。通过与elog联动实现日志信息的海量存储与快捷查询，有效帮助用户定位网络问题和设备运行的历史信息。完备的IPv4/IPv6解决方案USG全面支持IPv4和IPv6双协议栈工作方式，提供完整的IPv6特性和IPv4网络向IPv6网络平滑迁移的解决方案。支持常见应用层协议的NAT-PT和NAT-PTALG。政府网络安全及VPN解决方案全文共24页，当前为第24页。支持多种IPv6overIPv4隧道和IPv4overIPv6隧道。政府网络安全及VPN解决方案全文共24页，当前为第24页。支持丰富的IPv6路由协议特性。领先的UTM技术USG系列产品基于领先的应用层分析成果，集成了IPS、防病毒、URL过滤等多种应用层防护功能，更好的满足用户同时应对多种网络安全威胁的需求。华为赛门铁克拥有强大的协议分析团队，支持对多达500多种网络协议以及数千种威胁特征的深度分析。USG系列产品能够有效的识别各种网络应用中存在威胁与漏洞，用户不必再担心含有恶意代码的网站、携带病毒的邮件、木马、后门、内部员工访问非法网站等问题，对用户机构中面临的各种网络安全威胁实现有效的保护。反病毒：AV（Anti-Virus）功能支持对使用HTTP、SMTP、POP3协议传输的文件进行病毒扫描，并根据AV策略对带病毒文件进行处理，达到反病毒的效果。入侵防御：IPS（IntrusionPreventionSystem）能够有效防御应用层攻击，如：蠕虫、病毒、木马程序、DoS（DenialofService）攻击、代码攻击等。IPS支持对入侵事件进行日志记录，丢包以及阻断等响应方式，通过及时有效的响应来阻止网络入侵行为，最大限度的保证受保护网段的服务安全及信息安全。同时通过记录及有效存储相关的日志信息为日后的安全审计提供有效的依据，也为安全管理人员制定及调整安全策略提供了参考。协议检测：通过对应用层协议的检测，可以发现基于协议异常的溢出攻击等攻击，同时，通过对这些协议的详细解析可以提高对病毒、蠕虫、木马等有害数据的检测速度及准确度。邮件过滤：垃圾邮件不仅会浪费网络资源，还会对企业的邮件服务器和个人电脑的系统安全构成威胁。USG通过RBL过滤有效减少垃圾邮件，保护企业内部服务器。URL过滤：员工随意不受控地访问非法网站，不仅严重影响工作效率而且威胁企业网络安全。URL过滤对用户的URL请求进行访问控制，允许或禁止用户访问某些网络资源，可以达到规范上网行为的目的。政府网络安全及VPN解决方案全文共25页，当前为第25页。UTM特征库支持全球网站自动升级，保证企业不受最新网络漏洞、蠕虫、垃圾邮件的侵害；支持IPS1000+特征库，支持5大常用协议：HTTP,SMTP,POP3,IMAP4,FTP协议识别；功能强大的P2P功能支持包括BT/迅雷/电驴/pplive等几十种协议的阻断和限流；支持游戏/股票软件的识别和控制；支持QQ/MSN多种版本根据时间/IP地址的控制。政府网络安全及VPN解决方案全文共25页，当前为第25页。全面的语音方案USG2100/USG5100系列支持语音业务、IPPBX业务、传真业务和Modem业务等基本业务，三方通话、呼叫等待、呼叫转移、主叫号码显示、主叫号码限制等补充业务。基本业务：提供基于H.248和SIP协议的语音接入、提供IPPBX接入，实现公共电路交换网与IP网络、IMS网络的互通，同时提供IPPBX服务；为传真机/MODEM提供数据承载功能和业务管理功能。补充业务：基于IPPBX，提供主叫线识别、呼叫保持务、呼叫控制和个性类业务，实现语音业务的增值服务需求。完善的QoS机制USG可以为集成数据、语音、视频等多种业务的网络提供完善的QoS机制。包括：流量监管，通过设置特定数据流的规格，对超出监管流量的数据包进行丢弃，防止突发大量数据流引发网络拥塞。流量整形，通过设置特定数据流的规格，对超出限制流量的数据包进行缓存，使这一流量的报文以比较均匀的速度向外发送。避免下游设备因为转发能力较差造成数据包丢失。流量标记，根据预定义的策略，修改特定数据流的DSCP、EXP、802.1p、IP优先级，以达到提升或降低数据流优先级的目的。拥塞避免，支持通过尾丢弃或WRED丢弃算法丢弃队列中的报文，防止队列溢出。拥塞管理，提供FIFO、CQ、PQ、WFQ等队列调度算法，即可以保证调度的公平，又能确保高优先级的业务能够优先得到服务,可以满足多种业务组合的需求。完善的QoS机制满足未来对区分服务的建设要求。对不同的业务保证不同的延迟、抖动、带宽和丢包率，保证数据、语音等多种业务的开展，适应多业务承载IP网的发展要求。在设备可以检测数据包通过的会话的基础上，还提供了IP-CAR功能。可以实现：IP连接数限制：对指定IP地址发起的连接数量或接收的连接数量进行限制。IP带宽限制：对指定IP地址的会话带宽进行限制。政府网络安全及VPN解决方案全文共26页，当前为第26页。连接数限制能起到控制用户对外发起攻击、保护指定用户不受攻击的作用，带宽限制能起到优化网络流量、保证用户的正常访问速率、辅助防范网络攻击的作用。USG上的带宽和连接数的限制均有8个级别，用户可在指定范围内配置连接数/带宽的限制等级，并结合ACL配置需要限制哪些用户的连接数/带宽。政府网络安全及VPN解决方案全文共26页，当前为第26页。高度的可靠性保证高性价比的产品设计支持电压检测、温度监控、出厂配置恢复、BootROM冗余设计和故障管理等，保证了设备运行的高稳定性和故障处理能力。路由信息1+1备份支持VRRP（VirtualRouterRedundancyProtocol）协议，基于虚拟IP地址形成备份组，网络内的主机把这个虚拟IP地址作为网关地址与其它网络进行通信。在网管故障后可以顺利切换到备用的设备上进行路由转发。双机热备份支持HRP，此时一个备份组内包括一个主用设备和一个备用设备。HRP协议负责在主/备设备之间备份关键配置命令和会话表状态信息，从而确保主用设备出现故障时能由备份设备平滑地接替工作。不会丢失路由表、会话表等关键转发信息，从而保证了现有业务不中断。负载均衡当一台服务器无法处理多个用户