SecowayUSG9300系列产品技术建议书(V10-20080901)

技术建议书内部公开TIME\@"yyyy-M-d"2009-6-15机密，未经许可不得扩散第页USG9300技术建议书目录TOC\o"1-4"\h\z\u1 概述 31.1 网络安全 31.2 网络安全管理 32 ××网络分析 32.1 ××网络现状 32.2 ××××网络业务分析 32.3 ××网络安全问题与分析 32.4 ××网络安全需求 33 ××网安全解决方案 33.1 大型IDC中心或城域网安全解决方案 33.2 政府或大型企业网络总部安全防护 33.3 大容量WAP网关安全防护 33.4 运营商各网络平面隔离 33.5 ××网络安全设备选择 34 USG9300防火墙 34.1 高性能处理 34.2 多安全区域 34.3 多种功能模式 34.3.1 工作模式 34.3.2 集成路由功能 34.4 增强的报文过滤 34.4.1 更快捷的ACL查找 34.4.2 黑名单过滤恶意主机 34.5 多种NAT应用 34.5.1 地址转换 34.5.2 内部服务器 34.5.3 多种NATALG 34.6 强大的攻击防范能力 34.6.1 防范蠕虫病毒 34.6.2 防范多种DoS攻击 34.6.3 防范扫描窥探攻击 34.6.4 防范其它攻击 34.7 电信级高可靠性 34.7.1 可靠的产品设计 34.7.2 可靠性预测 31. 故障定义一：系统50%业务中断称为系统中断 32. 故障定义二：单业务通道业务中断称为系统中断 34.8 完备的流量监控 34.8.1 基本会话监控 34.8.2 承诺访问速率 34.8.3 实时统计分析 34.9 认证 34.9.1 多种认证方式 34.10 安全保障的VPN应用 34.11 QoS质量保证 34.12 增强的日志管理 34.12.1 日志服务器 34.12.2 两种日志输出方式 34.12.3 多种日志信息 34.13 丰富灵活的维护管理 3丰富的维护管理手段 3基于SNMP的终端系统管理 3软件热补丁 34.14 符合多项测试和认证要求 34.15 USG9300规格 3概述Internet的普及为社会的发展带来了巨大的推动力，但同时也产生了大量的网络安全问题，越来越受到政府、金融、教育、电力、交通等机构以及众多企业的重视。网络安全问题主要包括两个层面：网络本身的安全问题和网络安全管理问题。网络安全Internet由于其开放性，使得非常容易遭受攻击。随着攻击手段的变化多样而且攻击工具更容易获取，以及基于僵尸网络DDoS攻击的出现，使得基于网络层的攻击层出不穷。主要的攻击包括：ARPFlood、ICMPFlood、IPSpoofing、UDPFlood、Synflood、Smurf攻击、Land攻击、超大ICMP攻击、Fragile攻击、PingofDeath、TearDrop、PingScan、PortScan、IP路由选项攻击、Tracert攻击等等。网络层攻击的目标主要有三个：带宽攻击、主机或者网络设备攻击以及入侵前的主机扫描。带宽攻击指通过大量的攻击数据包占用正常业务数据的带宽，导致网络带宽拥挤，正常业务受到影响；主机或者网络设备攻击指的是攻击者通过攻击主机或者网络设备的某个应用端口导致被攻击设备处理不过来或者瘫痪使其不能处理正常业务数据；主机扫描指的是黑客在入侵之前通过IP或者端口扫描获取网络中活动的主机信息，为下一步入侵提供必要的信息。网络安全管理网络安全安全管理指的是企业对自身的网络资源进行有效的安全区域、等级划分，使得在网络安全运行的基础上，促进企业自身的信息安全管理水平，更好的保证企业正常运作。安全区域指的是在网络中拥有相同网络资源访问权限的主机集合，安全区域的划分主要依据企业内部部门的划分，例如财务部门、研发部门、市场部门分别划分为三个不同安全等级的安全区域。将一个企业进行清晰的安全区域划分，大大简化了企业的网络资源控制与管理，在此基础上，实施适合企业管理要求的安全策略管理，提高企业信息安全管理水平。××网络分析××网络现状[此部分主要包括两个部分(注意：要给出网络的吞吐量，一般在10G流量以上，需要提供多个10G接口的时候使用USG9300产品，一般10－40G采用USG9310，10－80G采用USG9320)：1．××网络拓扑图，如果是新建网络，则提供没有安全设备的网络拓扑图，用来进行安全方案的分析。2．××网络承载的业务，主要是内部业务以及出口网络业务]××××网络业务分析[给出现网的业务流分析图，使得客户对现有网络安全问题理解的更加清晰]××网络安全问题与分析[此部分主要包括以下几个部分(主要根据与客户的沟通以及我们自己的分析给出)：1．××网络出口安全隐患：DoS攻击，端口扫描4．××网络业务安全隐患：需要对不同安全区域的业务进行过滤，丰富管理手段5．××网络接入问题：设备提供丰富的VPN接入功能，实现安全访问控制。7．××网络地址转换问题：专业的NAT设备，具有良好的性能以及灵活的策略NAT功能，以及丰富的NATALG功能。8．××网络NAT事后追踪：由于NAT隐藏了内部的网络结构，使得内部访问外网出现社会安全事件时，事后追踪措施变得极为重要。提供专用的日志服务器，二进制的NAT日志存储、查询为事后追踪提供重要的技术手段。××网络安全需求[新增统一安全网关，用以满足××网络以下需求(根据××网络安全问题与分析给出需求)：防范网络攻击：在网络出口和不同的安全区域之间启用网络攻击防范，防止外网网络攻击和部门之间网络攻击蔓延。安全区域划分：将不同业务划分为不同的安全区域。……]举例如下：由于各省会的PSDN要通过防火墙和ChinaNet相连，为用户提供互联网业务。因此，CDMA承载网也就不可避免地面临各种安全风险。位于Pi口的防火墙设备将起到安全域隔离和抵御各种攻击的作用。通过防火墙的安全域划分和安全访问控制，可以控制由外到内（下行）的非法访问，通过该防火墙的攻击防御功能，也可将来自ChinaNet上的各种针对网络设备和服务的DDOS攻击拒之门外。僵尸网络仍然是网络攻击的基本手段和资源平台。2007年CNCERT/CC抽样监测发现感染僵尸程序的境内外主机数达623万个，其中我国大陆有362万个IP地址的主机被植入僵尸程序，并有1万多个境外控制服务器对我国大陆地区的主机进行控制。僵尸网络主要被利用发起拒绝服务（DdoS）攻击、发送垃圾邮件、传播恶意代码，以及窃取受感染主机中的敏感信息，而由僵尸网络发出的大流量、分布式DDOS攻击是目前公认的世界难题，不仅严重影响互联网企业的运作，而且严重威胁着我国互联网基础设施的运行安全。僵尸网络的规模以1000以内规模的僵尸网络居多。大规模的僵尸网络仍然存在，有19个僵尸网络操控的计算机（即“肉鸡”）数量超过10万台。2007年监测到的僵尸网络规模数量分布如下图所示。未来僵尸网络的规模有不断扩大的趋势。按照每台僵尸在不被宿主发现的情况下，大致一般可以发出400K-500Kbps的小包攻击流量，那么常见的DDOS攻击流量将在400M-500M之间。但是达到2Gbps到3Gbps的程度DDOS攻击也并不少见。根据公司的监测，2007年11月24日一天之内，国内某省的两个IDC客户各受到峰值2G的攻击；攻击持续时间40分钟左右；2008年03月12日一天之内国内某省的4个IDC用户受到攻击，流量分别在800M，900M，830M，1G左右。××网安全解决方案大型IDC中心或城域网安全解决方案防火墙USG9300串连在大型IDC出口或城域网出口路由器上，在出口进行攻击防范等处理。防火墙主要承担以下功能：启用防火墙攻击防范以及访问控制，抵御外来的各种攻击。根据需要启用地址转换功能，满足出口公网不足的需要。根据需要开启虚拟防火墙功能，通过不同的虚拟防火墙与各大客户对应，将不同的服务器群用VPN隔离开。启用L2TPVPN的功能，允许移动用户通过拨号的方式接入不同的VPN，访问不同VPN里的业务或者设备。两台防火墙采用双机热备。在防火墙的两侧启用VRRP和的专利技术VGMP保证流经防火墙的报文能够始终经过同一台防火墙。同时CE路由器也启用VRRP。防火墙和CE路由器的静态路由下一跳分别设置为对方的VRRP虚地址。当其中一个防火墙出现故障后，另外一个迅速升为主设备，同时发送免费ARP更新CE路由器的MAC表，这个过程对CE路由器透明，倒换非常快。倒换之后，报文将经过CE路由器之间的二层板转发到和主防火墙相连的CE路由器上，然后再转发给防火墙。通过公司的VGMP技术，可以保证上行VRRP和下行VRRP组的主备状态一致，即两个VRRP组主设备始终是同一台防火墙，因此避免了报文来回路径不一致的问题。防火墙的倒换时间的基本可以做到小于1s的时延，对现网业务没有影响。防火墙和路由器之间也可以采用OSPF路由协议来进行设备切换，防火墙两侧不启用VRRP。这种方式需要防火墙快速备份会话表，确保报文经过哪一台防火墙都可以正常转发。设备切换时间依赖于OSPF路由协议的收敛时间。这种方式的优点是简化配置，不需要配置静态路由。主备两台防火墙之间的状态同步可以选择上行或者下行的业务链路，也可以同时选择多个链路作为心跳链路。但是为了避免链路拥塞导致的心跳报文丢失，建议采用专线作为心跳线。确保不会出现双主的情况。由于多个关键业务都要经过防火墙，设备的稳定性和倒换时间是一个影响业务的关键指标。因此建议采用第一种方式组网并采用专门的心跳线同步防火墙的状态。方案特点：提供业界最优的防火墙性能，不会成为网络瓶颈；提供高密度万兆以太或POS出口，支持灵活组网；支持双机热备、板卡备份、链路聚合，提供高可靠性组网，不影响业务；千万包每秒的抗攻击能力，可抵御大流量攻击，保护内部网络；分布式扩展架构设备，便于网络扩容；完善的防火墙功能，可支撑丰富的业务。政府或大型企业网络总部安全防护防火墙USG9300放置在总部出口，主要承担以下功能：启用防火墙攻击防范以及访问控制，抵御外来的各种攻击。根据需要启用地址转换功能，满足出口公网不足的需要。根据需要开启虚拟防火墙功能，通过不同的虚拟防火墙与各大客户对应，将不同的服务器群用VPN隔离开。启用L2TPVPN的功能，允许出差移动用户通过拨号的方式接入不同的VPN，访问不同VPN里的业务或者设备。如移动用户访问需要加密，可启用L2TP＋IPSec的方式，保证用户接入传输的可靠性。俄罗斯版本不包含IPsecVPN特性，请删除蓝色语句。两台防火墙采用双机热备。在防火墙的两侧启用VRRP和的专利技术VGMP保证流经防火墙的报文能够始终经过同一台防火墙。同时CE路由器也启用VRRP。防火墙和CE路由器的静态路由下一跳分别设置为对方的VRRP虚地址。当其中一个防火墙出现故障后，另外一个迅速升为主设备，同时发送免费ARP更新CE路由器的MAC表，这个过程对CE路由器透明，倒换非常快。倒换之后，报文将经过CE路由器之间的二层板转发到和主防火墙相连的CE路由器上，然后再转发给防火墙。通过公司的VGMP技术，可以保证上行VRRP和下行VRRP组的主备状态一致，即两个VRRP组主设备始终是同一台防火墙，因此避免了报文来回路径不一致的问题。防火墙的倒换时间的基本可以做到小于1s的时延，对现网业务没有影响。防火墙和路由器之间也可以采用OSPF路由协议来进行设备切换，防火墙两侧不启用VRRP。这种方式需要防火墙快速备份会话表，确保报文经过哪一台防火墙都可以正常转发。设备切换时间依赖于OSPF路由协议的收敛时间。这种方式的优点是简化配置，不需要配置静态路由。主备两台防火墙之间的状态同步可以选择上行或者下行的业务链路，也可以同时选择多个链路作为心跳链路。但是为了避免链路拥塞导致的心跳报文丢失，建议采用专线作为心跳线。确保不会出现双主的情况。由于多个关键业务都要经过防火墙，设备的稳定性和倒换时间是一个影响业务的关键指标。因此建议采用第一种方式组网并采用专门的心跳线同步防火墙的状态。方案特点：提供业界最优的防火墙性能，不会成为网络瓶颈；提供高密度万兆以太或POS出口，支持灵活组网；支持双机热备、板卡备份、链路聚合，提供高可靠性组网，不影响业务；千万包每秒的抗攻击能力，可抵御大流量攻击，保护内部网络；分布式扩展架构设备，便于网络扩容；完善的防火墙功能，可支撑丰富的业务。大容量WAP网关安全防护随着移动用户数量的迅猛增长，WAP业务的流量成几何增长态势，WAP网关急需大容量高性能安全网关进行安全隔离和攻击防范。USG9310可提供10G－80G可扩展性能，满足用户日益增长的性能需求，千万级别的大并发连接，保证大量移动用户并发访问，强DDoS防护能力，确保WAP网关业务稳定。运营商各网络平面隔离××网络安全设备选择[根据具体的情况选择USG9310或USG9320]汇总以上业务、以及安全防范的需求，总结出对防火墙的性能规格要求，综合上面章节的分析，建议采用的防火墙设备需要满足如下一些基本指标。新建连接数：×万/秒并发连接数：×万吞吐量：×GVPN：IPSec俄罗斯版本不包含IPsecVPN特性L2TPGRE俄罗斯版本不包含IPsecVPN特性接口数量：×设备配置：描述规格数量备注USG9310USG9310基础配置包含机框、电源、主控板1必配USG9310交换网板交换网板2必配USG9310接口板10GE接口板N选配USG9310业务处理板防火墙安全业务处理模块N选配USG9300防火墙USG9300防火墙采用36U/20U标准机箱，提供了多种接口板。USG9300防火墙在设计上秉承公司在电信领域的丰富经验，采用全面的安全技术。USG9300防火墙提供了交流供电、直流供电两种供电方案，并且支持电源1＋1备份，电源模块及风扇模块支持热插拔，很好地满足了电信级网络对高可靠性的需求。USG9300防火墙采用多核处理器技术，提供丰富的业务和强大的安全防范性能。USG9300防火墙的主控部分采用高速PowerPC微处理器和实时操作系统，以公司拥有自主知识产权的VRP（VersatileRoutingPlatform）通用路由平台为基础，结合设备和网络管理技术，具备完善的自身安全防范功能，并提供丰富的业务特性。安全部分采用高性能网络处理器进行硬件处理，提供了强大的安全防范、业务加速能力。USG9300防火墙拥有一致的网络界面、用户界面和管理界面，具有很强的可伸缩性、可配置性，支持丰富的接口和业务特性。在组网应用方面，USG9300防火墙作为高性能安全设备提供全面的攻击防范能力，提供全方位的、灵活的网络解决方案，有效提高了网络的安全级别。USG9300防火墙的软硬件特性符合国际标准，保证了与其它厂家产品在各个层面上的互通，可最大限度地保护用户的已有投资。高性能处理USG9310/9320定位于运营商用户，通过采用NP技术提供线速的高性能安全防范和报文处理能力，在提供高性能的同时，还可以支持数万条ACL（AccessControlList）规则。在整机最大吞吐量方面，USG9310可以达到40Gbps，USG9320可以达到80Gbps。多安全区域安全区域是一个或多个接口的组合，不同安全区域具有互不相同的安全级别。USG9310/9320支持多个安全区域，即除了支持本地区域（Local）、受信区域（Trust）、非受信区域（Untrust）、DMZ（DemilitarizedZone）区域四种预定义的安全区域外，还支持多个用户自定义安全区域。通常：Trust域用来连接用户要保护的内部网络Untrust域连接外部网络DMZ域连接用户向外部提供服务的网络Local域用来保护USG9300防火墙自身任何访问设备自身的报文（如Telnet到设备）都被看作是从入接口所连接区域访问Local域的跨域访问，从而有效保护防火墙自己。当数据在两个不同的安全区域之间流动的时候，就会激活防火墙的安全规则检查功能。通过在安全区域之间设置不同的安全防范策略，可以灵活有效地监控进出该区域的信息流。此外，USG9310/9320还支持基于VLAN（VirtualLocalAreaNetwork）划分安全区域。多种功能模式工作模式USG9310/9320支持多种功能模式，丰富了组网应用：路由模式：USG9310/9320各接口具有确定的IP（InternetProtocol）地址，内部网络和外部网络的设备都清楚到该USG9310/9320的路由，这种方式适合网络初建时，IP地址统一规划有助于全网络管理。透明模式：USG9310/9320各接口不配置IP地址，以透明方式嵌入到内部网络和外部网络之间，内部和外部网络的设备都察觉不到该USG9310/9320的存在。这种方式无需重新规划网络中的IP地址和路由，同时可以使USG9310/9320免受外界入侵。混合模式：USG9310/9320既存在工作在路由模式的接口（接口具有IP地址），又存在工作在透明模式的接口（接口无IP地址），则防火墙工作在混合模式下。混合模式主要用于双机热备份应用，此时启动备份功能的接口需要配置IP地址，其它接口不配置IP地址。集成路由功能USG9310/9320在提供丰富安全特性的同时，集成了部分路由能力，如静态路由及RIP（RoutingInformationProtocol）、OSPF（OpenShortestPathFirst）、BGP（BorderGatewayProtocol）动态路由，同时还支持路由策略、路由迭代和路由管理，从而使得USG9310/9320的组网应用更加灵活。增强的报文过滤更快捷的ACL查找USG9310/9320不仅支持手工配置ACL规则，而且还支持动态添加/删除ACL规则。另外，USG9310/9320基于TCAM技术进行ACL查找，在进行数万条ACL规则的查找时处理速度保持不变，从而确保了ACL查找的高速度，提高了系统整体性能。黑名单过滤恶意主机USG9310/9320将某些可疑报文的源IP地址记录在黑名单列表中，系统通过丢弃黑名单用户的所有报文，从而有效避免某些恶意主机的攻击行为，这项功能就为用户群体广泛的服务商或企事业机构提供了安全保证。USG9310/9320提供如下几种黑名单列表维护方式：手工添加黑名单记录，实现主动防御与攻击防范结合自动添加黑名单记录，起到智能保护系统根据ICMP（InternetControlMessageProtocol）、TCP（TransmissionControlProtocol）/UDP（UserDatagramProtocol）过滤情况维护黑名单列表多种NAT应用地址转换NAT功能主要用于将私有网络地址转换为公有网络（Internet）地址，同时也可以提供“内部服务器”功能。地址转换地址转换技术引入地址池的概念，在转换时，USG9310/9320从地址池中根据特定规则选择一个IP地址作为转换后的源地址，完成地址转换。这个选择的过程对用户来讲是透明的。地址转换包括两种形式：支持一对一的纯IP地址转换支持基于地址池的IP地址转换支持根据不同地址实施不同策略的地址转换支持结合地址和端口（TCP/UDP协议的端口信息）进行PAT转换（PortAddressTranslation）支持根据ACL规则进行地址转换支持端口级地址转换内部服务器内部服务器是一种“反向”的地址转换，通过配置参数，使得某些私有地址的内部主机可以被外部网络访问。内部网络的服务器是一台配置了私有地址的机器，可以通过NAT为这台主机映射一个合法的公网IP地址；或通过PAT为主机提供一个公网IP地址和端口，当外部用户访问该合法地址时，NAT或PAT网关（即USG9310/9320）就将该访问请求送到了内部服务器，这样就为外部网络提供了“内部服务器”。多种NATALGNAT采用“注册”方式支持多种NATALG（ApplicationLevelGateway），包括：支持FTP协议的NATALG支持NBT（NetBIOSoverTCP）协议的NATALG支持ICMP协议的NATALG支持H.323（包括T.120、RAS、Q.931和H.245等）协议的NATALG支持SIP和MGCP协议的NATALG支持RTSP协议的NATALG支持HWCC协议的NATALG支持DNS（DomainNameSystem）协议的NATALG支持ILS协议的NATALG支持PPTP（PointtoPointTunnelingProtocol）协议的NATALG支持对腾讯公司的QQ聊天会话的NATALG支持Microsoft公司提供的MSNmessenger聊天会话的NATALG通过“注册”方式支持特殊协议，使软件有良好的扩充性，无需更改软件构架，很容易支持新的协议。强大的攻击防范能力随着Internet的广泛应用，网络攻击手段越来越高明，并且越加隐蔽。按照攻击采用的方式，网络攻击大致可以分为：病毒攻击、DoS（DenialofService）攻击、扫描窥探攻击、其它攻击。USG9310/9320提供强大的攻击防范机制，对设备进行安全保护，防止非法报文对内部网络造成危害。防范蠕虫病毒目前，对Internet危害最大的是蠕虫类病毒，每一次病毒发作时都开启大量的连接、耗费巨大的网络带宽，导致巨额的经济损失。这类病毒种类繁多，目前包括RedCode、MSBlast、SoBig、NetSky等。蠕虫病毒发作的特点是：产生大量的连接去感染其他设备；蠕虫病毒将启动IP地址扫描/端口扫描以探测设备是否存在。USG9310/9320根据蠕虫病毒的特点，设计了增强的流量监控/检测功能、增强的用户连接数检测功能、增强的防IP地址扫描、防端口扫描功能及增强的黑名单功能。可以设定是否允许染毒用户继续通过，还是封闭该用户一段时间。通过USG9310/9320的黑名单功能，可以提取出可疑的用户列表名单。通过该名单，可以提供下一步的服务（如公告、在线杀毒等）。防范多种DoS攻击通常，DoS攻击使用大量数据包（或某些畸形报文）来攻击系统，使系统无法正常响应合法用户的请求，或者导致主机挂起从而不能提供正常的工作。DoS攻击和其他类型的攻击有显著的区别，即攻击者并不是去寻找进入内部网络的入口，而是使得合法的用户不能正常访问资源，即对正常用户拒绝服务。USG9310/9320可以有效地检测出这些类攻击报文，通过丢弃这些报文等处理措施避免攻击行为，同时将这些攻击行为记录在日志中。目前，USG9310/9320可以防范十多种DoS攻击，主要包括：SYNFlood攻击、ICMPFlood、UDPFlood攻击、Land攻击、Smurf攻击、Fraggle攻击、WinNuke攻击、ICMP重定向或不可达报文等。某些DoS攻击是采用畸形报文，即通过向目标系统发送有缺陷的IP报文，使得目标系统在处理这样的IP包时会出现崩溃，给目标系统带来损失。USG9310/9320可以快捷地检测出这类畸形报文，防范攻击行为。这类畸形报文攻击包括：TCP报文标志位（如ACK、SYN、FIN等）不合法、PingofDeath攻击、TearDrop攻击等。防范扫描窥探攻击扫描窥探攻击是利用ping扫射来标识网络上存活着的系统，从而准确的定位潜在的目标；利用TCP和UDP端口扫描，就能检测出操作系统监听的潜在服务。攻击者通过扫描窥探能大致了解目标系统提供的服务种类和潜在的安全漏洞，为进一步侵入系统做好准备。USG9310/9320通过比较分析，可以灵活高效地检测出这类扫描窥探报文，从而预先避免后续的攻击行为。这些扫描窥探攻击包括：地址扫描、端口扫描、IP源站选路选项、IP路由记录选项、利用tracert工具窥探网络结构等。防范其它攻击USG9310/9320除了可以有效防范多种DoS攻击和扫描窥探外，还可以有效防范IPSpoofing攻击，确保系统访问权的安全。电信级高可靠性可靠的产品设计USG9310/9320全部采用专门设计的硬件系统，支持温度监控、风扇自动调节转速，可适应恶劣环境应用。同时，USG9310/9320的电源模块采用双电源（1＋1备份），两个电源模块互相热备份，并支持热插拔。电源倒换时不影响系统运行。按照电信级产品的要求设计，风扇支持热插拔，满足网络对设备的高可靠性的要求。可靠性预测USG9310/9320可靠性采用“BELLCORE电子设备可靠性预计手册”中的计数法进行可靠性预计，该方法计算得到的是在工作温度40℃，50%的电应力下的失效率冗余单元组成的系统，可采用Markov状态图的方法进行可靠性指标建模。串联单元组成的系统，直接将各单元的可用度相乘得到系统的可用度。单元MTBF是单元失效率的倒数：MTBF=1/λ。A(Availability)=MTBF/(MTBF+MTTR)Downtime=525600×(1-A)mins/yrUSG9310/9320的平均修复时间MTTR只包括现场修理时间，而不包括人员到达的路途时间以及后勤管理所需的时间。根据MIL-HDBK-472，美军标维修性预计手册的原则，以及工程经验和现场数据确定各单元及设备的平均修复时间MTTR为0.5小时。同理，假设冗余单元的倒换成功率为0.95。USG9310/9320的典型配置单板数量Power2（1：1）MPU2（1＋1）SFU4（3：1）LPU+SPU8故障定义一：系统50%业务中断称为系统中断参考邮电部相关标准，定义当系统超过50%的业务中断30秒，称作系统中断。根据此故障定义建立系统可靠性模型：在USG9310/9320系统中：主控板、时钟板都采用采用1＋1冗余保护配置；交换网板采用3：1负荷分担冗余保护配置，电源模块采用1：1冗余保护配置；线路接口板有多个，定义当一半以上的线路接口板出现故障时，认为系统故障。即为N中取K冗余方式。得到USG9310/9320系统的可靠性模型框图如下：故障定义二：单业务通道业务中断称为系统中断对通信设备的某单个用户来说，他所租用的业务通道故障，则系统对他提供的服务就中断。这里选取典型业务为上行1*10G端口，下行12*1GE端口。为提高系统可靠性，USG9310/9320支持多种业务保护方式，这里10G端口采用1+1负荷分担保护配置，12*1GE端口采用子卡冗余配置。定义当该业务通道中断时系统故障。系统可靠性模型如下：根据以上介绍的计算方法论，可以得到USG9310/9320产品系统可靠性指标如下表所示系统可用度AMTBF(年)MTTR(小时)停机时间(分钟/年)USG9320故障定义10.99999901457.890.50.52USG9320故障定义20.99999755223.320.51.29USG9310故障定义10.99999901457.890.50.52USG9310故障定义20.99999755023.290.51.29 详细的可靠性预测报告可以参考可靠性预测报告附件。完备的流量监控所谓流量监控，主要是指USG9310/9320通过对系统数据流量和连接状况进行监视，在发现异常情况时采取适当的处理措施，有效地防止网络受到外界的攻击。支持多种流量监控，主要包括：基本会话监控、承诺访问速率、实时流量统计等。基本会话监控根据不同类型流量在一定时间内所占的百分比进行监测和告警处理，通过监控IP地址或接口的总连接数，对超过阈值的连接进行限制。限制主要包括：承诺访问速率承诺访问速率技术包括分类服务、速率限制，将进入网络的报文按多种形式进行分类，对不同类别的流量给予不同的处理，通过采用限制承诺信息速率、承诺突发尺寸、超出突发尺寸等措施有效进行流量监管。实时统计分析监测内部、外部网络的连接状况，对输入和输出的IP报文进行数十种实时统计，主要统计如下：全局总会话和总流量的相关信息应用层协议相关信息丢弃包的相关信息对TCP报文的RST、FIN报文详尽的分类统计认证多种认证方式USG9310/9320提供了认证、授权和计费的一致性框架，对网络访问安全进行了集中管理。USG9310/9320提供本地认证、标准RADIUS（RemoteAuthenticationDial-InUserService）认证、RADIUS+认证、HWTACACS（HuaweiTerminalAccessControllerAccessControlSystem）认证。提供明文、MD5（Message-DigestAlgorithm5）鉴权等手段，支持本地用户管理，可验证用户身份的合法性并为合法用户进行授权，防止非法用户进行访问。安全保障的VPN应用俄罗斯版本不包含IPsecVPN特性俄罗斯版本不包含IPsecVPN特性USG9310/9320可以通过软件或硬件加密卡提供IPSec（IPSecurity）安全机制，为通讯双方提供访问控制、无连接完整性、数据来源认证、反重放、加密以及对数据流分类加密等服务。通过AH（AuthenticationHeader）和ESP（EncapsulatingSecurityPayload）这两个安全协议来实现对IP数据报或上层协议的保护，支持传输和隧道两种封装模式。USG9310/9320不仅支持IPSecVPN（VirtualPrivateNetwork）应用，为用户提供高可靠的安全传输通道，而且还能结合L2TP（Layer2TunnelingProtocol）和GRE（GenericRoutingEncapsulation）构建多种VPN应用：L2TPVPNGREVPNL2TPoverIPSecVPNGREoverIPSecVPNIPSecoverL2TPIPSecoverGRE利用USG9310/9320构建IntranetVPN，通过公用网络互连企业各个分支机构，作为传统专线网络或其它企业网的扩展及替代形式；构建AccessVPN，为SOHO（SmallOffice/HomeOffice）等小型用户搭建通过PSTN（PublicSwitchedTelephoneNetwork）/ISDN（IntegratedServicesDigitalNetwork）网络访问公司总部资源的安全通路；构建ExtranetVPN将企业网络延伸至合作伙伴与客户处，使不同企业间通过公网进行安全、私有的通讯。QoS质量保证QoS（QualityofService）也称服务质量，主要通过流量分类、流量监管和整形、拥塞管理、拥塞避免和流量整形等措施对广域网（如封装PPP（PointtoPointProtocol）、帧中继FR（FrameRelay）和HDLC（HighDataLinkControl）等）或局域网络上的流量进行管理，最大限度地降低延迟、抖动等因素对传输信息的影响，针对不同需求提供多种不同的服务质量。流分类：依据一定的匹配规则识别出对象。流分类是有区别地实施服务的前提。流量监管和整形：当流量超出规格时，可以采取限制或惩罚措施，以保护运营商的商业利益和网络资源不受损害。利用缓冲区和令牌桶，提供GTS（GenericTrafficShaping）。拥塞管理：将报文放入队列中缓存（目前支持FIFO（FirstIn,FirstOutQueuing）、PQ（PriorityQueuing）、CQ（CustomQueuing）、WFQ（WeightedFairQueuing）、CBQ（ClassBasedQueuing）等队列），并采取某种调度算法安排报文的转发次序。拥塞避免：监督网络资源的使用情况，当发现拥塞有加剧的趋势时采取主动丢弃报文的策略，通过调整流量来解除网络的过载。USG9300防火墙支持针对多媒体/NGN（NextGenerationNetwork）业务做特殊的QoS处理，包括针对多媒体/NGN业务可以打特殊的QoS标签等功能。增强的日志管理日志服务器为了集中性地接收并存储USG9310/9320、IDS等网络安全设备的日志，公司推出了专门的“日志服务器”软件及XLog日志服务器，为用户提供便捷的日志浏览和查询功能，并对日志进行分析。日志服务器软件按照功能分为前台管理、后台进程两部分。前台管理提供数据库配置、日志相关配置、日志分类查询等操作；后台进程包括日志收集进程、监听进程两种。日志服务器软件可以自定义接收日志类型，提供日志存储、多种日志查询和导出、日志备份。两种日志输出方式USG9310/9320不仅能通过文本方式输出SYSLOG日志；而且还针对流经设备的数据流量大和日志信息丰富等特点，创建基于流状态的信息表，并通过二进制方式输出高速流日志。和SYSLOG日志相比，二进制高速流日志更适合传输日志信息量大的应用，要求较高的网络传输速度。多种日志信息USG9310/9320提供完整、统一的日志信息描述，日志类型包括：攻击防范日志当发生大量攻击时，USG9310/9320利用队列机制对设备支持的攻击防范特性提供日志告警信息，通过SYSLOG方式输出告警，告警信息包括攻击来源（源地址）和攻击种类等。流量监控日志USG9310/9320根据安全域、IP地址等参数进行流量监控，判断速率或连接数目是否达到上限或下限值，当达到上限时触发告警并记录日志，从而有效监控流量；当达到下限时，也触发告警，指示系统恢复正常。黑名单日志USG9310/9320对于在检测中发现的非法用户，自动将该用户的源IP地址加入到黑名单中，并产生一条黑名单日志，该日志记录主机地址、加入原因等信息。多种统计信息记录流统计信息，了解设备运行状况。这些流统计信息包括：总的连接数目、当前连接及半连接数目、最高峰值及丢弃报文数目。记录各种攻击报文的数目，了解攻击事件的发生情况。丰富灵活的维护管理丰富的维护管理手段USG9310/9320可以通过如下方式进行本地或远程维护：支持通过Console口进行本地配置和维护。支持通过在AUX接口采用Modem拨号方式实现远程配置和维护。支持通过Telnet方式实现本地或远程配置和维护。支持SSH（SecureShell）维护管理方式，实现在不能保证安全