华为 USG6000V技术主打胶片 201607
华为 USG6000V虚拟综合业务网关 详版彩页
华为USG6000V虚拟综合业务网关随着云计算技术的广泛应用,IT与CT技术出现了快速融合的局面;公有云/私有云的部署,客户对业务快速上线,业务按需迁移,定制化防护等需求激增,传统的专有硬件业务网关慢慢无法适应云网络新架构的部署要求。
华为USG6000V(Universal Service Gateway)是基于NFV架构的虚拟综合业务网关,虚拟资源利用率高,资源虚拟化技术支持大量多租户共同使用,产品具备丰富的网关业务能力,如vFW,vIPSec,vLB,vIPS,vAV,vURL过滤等,可根据对虚拟网关的业务需求,按需使用,灵活部署。
USG6000V系列虚拟综合业务网关兼容多种主流虚拟化平台,提供标准的API接口,可以与华为FusionSphere云平台、Agile Controller控制器以及开源的Openstack平台共同构成开放的SDN数据中心解决方案。
USG6000V可以与传统硬件设备统一被Agile Controller控制器进行管理,构建统一的智能化云安全平台,实现业务灵活定制,资源弹性扩缩,网络可视化管理,满足企业业务快速上线、变化频繁,运维简单、高效等诉求。
产品特性与优势一机多能,精准管控具备丰富的特性功能,能够为数据中心提供虚拟层防护,也可为租户灵活提供安全增值业务。
• 一机多能:集传统防火墙、VPN、入侵防御、防病毒等功能于一身,简化部署,提高管理效率。
• 入侵防护(IPS):超过5000种漏洞特征的攻击检测和防御。
支持Web攻击识别和防护,如跨站脚本攻击、SQL注入攻击等。
• 防病毒(AV):高性能病毒引擎,可防护500万种以上的病毒和木马,病毒特征库每日更新。
• 上网行为管理:采用基于云的URL分类过滤,预定义的URL分类库已超过1.2亿,阻止员工访问恶意网站带来的威胁,满足合规要求。
并可对员工的发帖、FTP等上网行为进行控制。
可对上网记录进行审计。
• Anti-DDoS:可以识别和防范SYN flood、UDP flood等10+种DDoS攻击,识别500多万种病毒。
华为网络能源产品线主打胶片
中国联通空港数据中心
• 关键部件冗余设计
• 效率高达96%
• 站点面积仅1m2
直流变频领导者,新一代按需制冷解决方案
NetCol5000行级精密空调
NetCol8000房间级精密空调
20~35kW(风冷型) 30~60kW(冷冻水型)
20~100kW(风冷型)
20~150kW(冷冻水型)
高效节省 可靠稳定
双向逆变器(10kW)
SUN8000(500kW)
1MW集装箱解决方案
BMP&CP
BMP(15~800W) 14
POL(14~132W)
业界最高效率电源,全球出货量第一
嵌入式电源(30~400A)
室外供电与收容(30~400A)
室内电源(100~24,000A)
接入网
Small cell 中小容量站点 大容量站点
可靠稳定
关键器件/部件冗余;Tier1到 Tier4平滑演进
高效节省 PUE≤1.5,节省30% TCO
灵活易用
模块化按需部署,灵活扩容, 统一监控
17
• 高效:PUE<1.5, TCO节省30%以上
• 节省机房面积50%, 南方基地高效模块化数据中心 建设周期仅14周
全负载高效,模块化UPS领导者
UPS2000-G
UPS5000-E
UPS5000-A
UPS8000-D
1-20kVA
40-480kVA
可靠稳定 关键器件预警,1400+严格测试
高效节省 96%@40%负载率,320kVA/柜
灵活易用
模块化设计理念,扩容维护简易 智能电池管理,有效延长电池寿命
18
30-800kVA
华为USG6000系列防火墙产品技术白皮书(总体)
华为USG6000系列防⽕墙产品技术⽩⽪书(总体)华为USG6000系列下⼀代防⽕墙技术⽩⽪书⽂档版本V1.1发布⽇期2014-03-12版权所有? 华为技术有限公司2014。
保留⼀切权利。
⾮经本公司书⾯许可,任何单位和个⼈不得擅⾃摘抄、复制本⽂档内容的部分或全部,并不得以任何形式传播。
商标声明和其他华为商标均为华为技术有限公司的商标。
本⽂档提及的其他所有商标或注册商标,由各⾃的所有⼈拥有。
注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本⽂档中描述的全部或部分产品、服务或特性可能不在您的购买或使⽤范围之内。
除⾮合同另有约定,华为公司对本⽂档内容不做任何明⽰或暗⽰的声明或保证。
由于产品版本升级或其他原因,本⽂档内容会不定期进⾏更新。
除⾮另有约定,本⽂档仅作为使⽤指导,本⽂档中的所有陈述、信息和建议不构成任何明⽰或暗⽰的担保。
华为技术有限公司地址:深圳市龙岗区坂⽥华为总部办公楼邮编:518129⽹址:/doc/38e0646559eef8c75fbfb3f8.html客户服务邮箱:ask_FW_MKT@/doc/38e0646559eef8c75fbfb3f8.html 客户服务电话:4008229999⽬录1 概述 (1)1.1 ⽹络威胁的变化及下⼀代防⽕墙产⽣ (1)1.2 下⼀代防⽕墙的定义 (1)1.3 防⽕墙设备的使⽤指南 (2)2 下⼀代防⽕墙设备的技术原则 (1)2.1 防⽕墙的可靠性设计 (1)2.2 防⽕墙的性能模型 (2)2.3 ⽹络隔离 (3)2.4 访问控制 (3)2.5 基于流的状态检测技术 (3)2.6 基于⽤户的管控能⼒ (4)2.7 基于应⽤的管控能⼒ (4)2.8 应⽤层的威胁防护 (4)2.9 业务⽀撑能⼒ (4)2.10 地址转换能⼒ (5)2.11 攻击防范能⼒ (5)2.12 防⽕墙的组⽹适应能⼒ (6)2.13 VPN业务 (6)2.14 防⽕墙管理系统 (6)2.15 防⽕墙的⽇志系统 (7)3 Secospace USG6000系列防⽕墙技术特点 (1)3.1 ⾼可靠性设计 (1)3.2 灵活的安全区域管理 (6)3.3 安全策略控制 (7)3.4 基于流会话的状态检测技术 (9)3.5 ACTUAL感知 (10)3.6 智能策略 (16)3.7 先进的虚拟防⽕墙技术 (16)3.8 业务⽀撑能⼒ (17)3.9 ⽹络地址转换 (18)3.10 丰富的攻击防御的⼿段 (21)3.11 优秀的组⽹适应能⼒ (23)3.12 完善的VPN功能 (25)3.13 应⽤层安全 (28)3.14 完善的维护管理系统 (31)3.15 完善的⽇志报表系统 (31)4 典型组⽹ (1)4.1 攻击防范 (1)4.2 地址转换组⽹ (2)4.3 双机热备份应⽤ (2)4.4 IPSec保护的VPN应⽤ (3)4.5 SSL VPN应⽤ (5)华为USG6000系列下⼀代防⽕墙产品技术⽩⽪书关键词:NGFW、华为USG6000、⽹络安全、VPN、隧道技术、L2TP、IPSec、IKE摘要:本⽂详细介绍了下⼀代防⽕墙的技术特点、⼯作原理等,并提供了防⽕墙选择过程的⼀些需要关注的技术问题。
华为USG6000系列防火墙 硬盘使用指南
步骤1
步骤3
为什么双硬盘挂载这么慢?
如前所述,3U设备的双硬盘必须组成RAID1磁盘阵列,以提高数据安全性和读取性能。组成 RAID1的两块硬盘完全镜像,所以又称为Mirror或Mirroring(镜像)。RAID1的构建过程通常约 需要4~5个小时,有时甚至更久。
RAID1的构建过程主要是硬盘的读写过程。硬盘的读写速度与硬盘自身的速度、控制器的速度、 CPU的速度等多种因素有关。防火墙选用的是速度较快的SAS盘、LSI控制器(可检查display disk information输出信息的DiskIOC_Vendor字段)。
这么多硬盘挂载场景,记不住怎么办?
下 电 单硬盘 安 装 双硬盘
带 电 单硬盘 更 换 双硬盘
硬件操作
上电
查看状态
设置主盘
等待4~5小时
查看状态
保存配置
下线硬盘
等待30秒
上线硬盘
等待30秒
删除RAID
硬件操作
设置主盘
等待4~5小时
1U,无硬盘>单硬盘
带 电 3U,无硬盘>单硬盘 扩 容 3U,无硬盘>双硬盘
1. 保存配置 2. 安装硬盘单元 3. 等待10分钟,检查硬盘状态(display disk information)
1. 保存配置 2. 安装硬盘单元 3. 等待10分钟,指定主盘并开始构建RAID1(reset raid primary-disk disk-id) 4. 等待4~5小时,检查硬盘状态(display disk information)
USG6507 USG6530 USG6550 USG6570
硬盘组合SM-HDD-SAS300G-B
硬盘组合、硬盘插卡不支持热插拔 硬盘单元支持热替换
光网络产品主打胶片(MSTP)华为
汇报提纲:
配置培训
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 9
汇报提纲:
MSTP系列设备 MSTP系列设备 配置培训 原理培训 品牌培训 策略培训
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
1路/2路155M光口 路 路 光口
8个2M 个
110V、 110V、220V AC电源接 AC电源接 入
精巧设计! 高度 高度, 深度, 精巧设计! 1U高度,200mm深度,单面操作 深度 功耗不到18W,自然散热,噪音低 ,自然散热, 功耗不到 重量不到2.8KG,安装方式多样化! ,安装方式多样化 重量不到 ETSI 300 mm深机柜 ETSI 600 mm深机柜 19英寸机柜 壁挂 户外机柜 桌面安装
组网能力: 组网能力:
提供20路DCC,单子架提供6 STM-16或16×STM提供20路DCC,单子架提供6×STM-16或16×STM-4或 40×STM-1 40×STM-
完备的保护: 完备的保护:
网络保护:4/2MSP,1+1MSP,SNCP,DNI,共享光纤虚拟路径保 网络保护:4/2MSP,1+1MSP,SNCP,DNI,共享光纤虚拟路径保 护、VP/IP Ring保护实现带宽动态分配 Ring保护实现带宽动态分配 设备保护:交叉、时钟、供电1+1热备份 设备保护:交叉、时钟、供电1 TPS:支路单元1.5M/2M/34M/45M/155M 1: TPS:支路单元1.5M/2M/34M/45M/155M 1:n,2M与155M 2M与 混合1 混合1:n保护, 保护,
华为USG6000系列下一代防火墙
攻击防不住:攻击越来越隐蔽,手段越来越多样,防护起来愈发吃力 性能撑不住:出口流量越来越大,威胁防护越来越复杂,开启防护后性能已经成为网络瓶颈
NGFW
3
目录
1 USG6000产品亮点 2 USG6000 硬件介绍 3 USG6000 应用场景
4
1
精 最 准的访问控制
-- 6维管控,应用识别“多、细、准、快”
白名单模式
80
VS
需要识别尽量多的应用。最小授权,仅有业务需要的应用被允许,无法识别的应用被阻断不会带来危害。典型的FW式管理方式更安全。
• Emule • Games
黑名单模式
80
仅识别少量的应用。无法识别的应用被放行可能带来危害。“上网行为管理”方式的NGFW,不够安全。
8
应用识别有什么用?
访问控制
业务感知
智能分析
URL IPS
策略下发
AV DLP
优化建议
Policy A:******** Policy B: ********** Policy C:********* Policy D:********** Policy E: ********
基于策略的流量学习,感知网络整体业务环境,基于业务和安全风险进行智能化 分析,最终自动生成策略建议。
12
IP位置
识别粒度:
• 中国:地市级别 • 美国:州级别 • 其他:国家级别 • 支持根据地址段自定义位置
应用场景:
• 流量地图:基于位置的流量统计分析报表 • 威胁地图:基于位置的威胁统计分析报表 • 位置策略:位置不同,访问权限不同
举例:
• 在公司总部可以访问的数据,在分公司不允 许访问
华为FusionSphere 5.1 技术主打胶片(服务器虚拟化)
硬件基础设施 服务器 存储 网络&安全 日志
3
FusionSphere 5.1变化一览表
类型 特性名称
虚拟机生命周期管理 无共享热迁移 克隆虚拟机 大虚拟机内存 CPU虚拟化 大型物理服务器 单服务器最大上电1024台虚拟机 虚拟机支持UEFI固件 在线调整CPU和内存 基于主机复制的容灾 虚拟机备份 用户自助服务、自运维;服务目录、服务定义;开箱即用服务目录、 服务申请审批、申请单管理、自定义审批流程 根因分析
8
虚拟化综合性能业界持续领先
2014年:SPECvirt_sc2013官网测试结果:
虚拟化厂商 服务器类型
/virt_sc2013/results/specvirt_sc2013_perf.html
处理器配置 SPECvirt VM数 SPECvirt得分 排名
针对大规格、高性能虚拟机场景,适用Oracle、 SQL Server等关键应用
技术特点
应用价值
Guest NUMA能够使得虚拟机内部程序运行时针对NUMA
结构进行优化,CPU会优先使用同一个Node上的内存
19
减小内存访问延时、提高访问效率,以此达到提升应 用性能的目的。
FusionSphere 5.1特性介绍
FusionCompute
精简型 精简型
技术特点
存储无关,虚拟机用户看到的始终是配置容量,但实际物理
磁盘占用空间随使用空间而动态调整
普通型
20GB
虚拟机备份 (增强)
增加LAN-Free备份模式。 增加文件级恢复功能。
6ห้องสมุดไป่ตู้
FusionSphere 5.1新特性
华为 USG6000V虚拟综合业务网关 简版彩页
华为技术有限公司华为USG6000V 虚拟综合业务网关产品概述随着云计算技术的广泛应用,IT 与CT 技术出现了快速融合的局面;公有云/私有云的部署,客户对业务快速上线,业务按需迁移,定制化防护等需求激增,传统的专有硬件业务网关往往无法适应云网络新架构的部署要求。
USG6000V 系列虚拟综合业务网关具备丰富的网关业务能力,如vFW ,vIPSec ,vLB ,vIPS ,vAV ,vURL 过滤等。
全部安全功能实现虚拟化,支持多租户共享虚拟资源,可根据租户需求灵活部署,满足安全合规要求。
产品特点一机多能,精准管控•一机多能,集传统防火墙、VPN 、路由、负载均衡、入侵防御、防病毒、URL 过滤等功能于一身,简化管理,提升资源利用率。
•通过应用、内容、时间、用户、威胁和位置六个维度的组合,感知日益增多的应用层威胁,实现精准防护。
•精细化带宽管理,可基于应用、网站分类,确保关键业务带宽并确保优先转发,提升用户体验。
按需弹性,业务部署灵活•租户按需订购业务,资源动态加载、回收,资源分配灵活、弹性。
•租户业务配置自助,自动化开通,减少90%手工配置工作量,实现业务分钟级上线。
•L2~L7层安全业务全部虚拟化,灵活编排,快速满足不同租户、不同场景下的需求。
•支持虚拟资源一虚多(vSYS ),租户资源基于vSYS 精细化分配,降低建网成本。
统一管理,运维可视化•物理/虚拟资源统一管理,安全策略统一配置,自动下发;自动感知业务变化,动态迁移。
•提供全网虚拟资源到物理资源的拓扑互视,实现网络故障的快速定位。
•提供基于租户的网络虚拟化管理视图,实现租户的网络拓扑、配额、流量、告警可视,满足合规要求。
建立生态,广泛被集成•兼容主流虚拟机平台VMware 、Linux KVM 、XEN 、Hyper-V 、华为FusionSphere ,支持裸金属主机安装。
•支持NETCONF 、RESTCONF 北向API 接口,通过SDN 控制器编程实现新业务快速上线。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1 2 3
vNGFW是独占虚机式软件防火墙 产品以三层网关形式部署
Access
vSwitch vSwitch
• 缺乏全局安全态势呈现:传统安全缺乏宏
观的安全态势感知,只能“事后感知”而 无法“事前防护”
租户1 租户2 租户3
7
安全需要适配云数据中心的新属性
模块化 安全 互操作 多租户 融合 可靠 多厂商
自动化
多站点
标准化
弹性
8
目录 1 2 3
4
虚拟化安全的趋势与挑战 华为USG6000V价值功能 典型应用场景 成功实践
80G防火墙吞吐量
24000条安全策略 500个vSYS虚拟系统
虚拟云平台: Vmware/KVM/XEN/FusionSphere/AWS
11
软件防火墙的部署架构
Telnet/SSH/SNMP/…
Restful/Netconf
控制接口 Open NBI Multiple Instance
OSPF/BGP/VPN/…
2018年10月31日星期三
华为USG6000V虚拟综合业务网关 技术主打胶片
目录 1 2 3
4
虚拟化安全的趋势与挑战 华为USG6000V价值功能 典型应用场景 成功实践
1
趋势:数据中心云化,软件定义一切
ICT
虚拟化 私有云 电信云 公有云
业 务
弹性 自动化 软件定义 被集成
2
安全挑战:突破传统形态,适应弹性架构
12
12
产品概述
SDN Controller Northbound API Service
vNGFW
Traffic Policy …
Virtual Resource Management
Security Policy IPSec Conf
Nat Policy IPS/AV... Routing Data Path Plane
已知类型威胁向未知类型威胁转变,如高级持续性威胁(APT),更加具备危害性; 缺乏综合性威胁分析和协同防护手段
6
安全管理复杂
??? 云的安全失控趋势,缺乏整体呈现
• 可审查性、取证困难:计算资源共享、 数
管理员
据存储位置未知、网络边界崩、不可控的
外部供应商
• 策略管理复杂,部署依赖手工:基于IP的 安全策略不体现业务,策略管理复杂,如 何感知业务,并自动分发到租户
Internet
Extranet/ 租户
WAN
vSwitch
VM
VM
VM
VM
安全不适应VM的变化迁移
DC下VM的迁移较多且IP不变,传统安全基于IP的访
VM上线
VM迁移
VM下线
问控制策略策略,无法适应数据中心这种频繁的变化 例:VM迁移后
4 ① ② Internet->DMZ FW ->内网 FW ->VM; Extranet/Subscriber->边界 FW ->内网 FW ->VM;
区域DC 分支 容灾DC
安全不适应频繁的应用扩展
新增一个业务,需要在DCN边界、DCN内网涉及数 10台安全设备连续开访问策略,花费1个多月才能处 理完! 例:分区1新的WEB业务上线
① ② ③ ④ Internet->DMZ FW ->内网 FW ->VM; Extranet/Subscriber->边界 FW ->内网 FW ->VM; DC1 VM -> DC1 内网FW ->DC1边界 FW-> DC2 边网FW ->DC2 内网 FW ->VM …….
虚拟化打破传统网络安全边界
在云计算服务中,用户最关注的就是安全问题
60%的虚拟化数据中心的安全性都将令人堪忧……
------IDC 的高级副总裁兼首席分析师Frank Gens ------- Gartner报告
过去-1:1攻击 现在-1:N攻击 VM相互攻击 vSwitch A 虚拟化二层流量直接通 过vSwitch交互 B C D E
5
传统威胁向未知威胁演进
Web挂马 定向攻击 感染邮件木马 收集内网信息 内网渗透
LAN
Email服务器 普通用户终端 用户侧服务器 普通服务器 重要服务器 管理员
云端渗透
租户假冒,非授权访问 获取后端服务器管理员权限
DMZ服务器
APP/DB服务器
APT 蠕虫/木马 病毒
云中心的虚拟大二层结构,打破了传统网络边界清晰的控制方法,访问控制边界建立的难度大大增加,随着VM的扩容和迁 移,传统威胁的扩散及APT攻击变得更加容易。
2个vCPU
6000条安全策略
*VCPU:1个Thread (Intel CPU 有多个core, 1个core有2个Thread,1 个Thread对应1个VCPU)
20G防火墙吞吐量 50个vSYS虚拟系统
4个vCPU
8个vCPU
40G防火墙吞吐量
12000条安全策略 200个vSYS虚拟系统
USG6000V
软件防火墙
管理接口 CLI, GUI, O&M
(Vmware/KVM/XEN/FusionSphere/AWS)
虚拟云平台
数据 转发
Forwarding Tables Fast Path Forward (DPDK)
通用服务器
(X86 架构)
Hardware NIC (SR-IOV/…)
9
NFV与SDN背景下的软件防火墙定义
NFV->安全功能虚拟化 SDN->软件定义安全
部署在主流虚拟化云平台上或X86服务器上, 可被Controller调度的,具备已知/未知威胁防御能力的虚拟化防火墙软件。
10
华为USG6000V虚拟综合业务网关产品介绍
1个vCPU 10G防火墙吞吐量 3000条安全策略 20个vSYS虚拟系统
应用弹性扩展 边界在延伸 威胁升级 安全管理复杂
• 公有云/私有云/混合云 • 应用弹性伸缩
• 虚拟化,服务器边界延伸 • 移动互联,用户边界延伸
• 内部APT攻击/Outbound DDoS • OS/WEB/APP/DB 0 day漏洞
• 安全策略需跟随虚拟机变化 • IP语言,不感知业务
3
传统安全不适应应用弹性拓展
VM VM VM VM VM 1 2 3 4 5
虚拟化二层网络下,可信区域不复存在
• 虚拟化二层流量直接通过vSwitch交互,流量不可视不可控 • VM跨POD、DC或跨公有云迁移,扩大了网络犯罪者的活 动范围
安全分区与网络解耦,更底层的攻击形态出现
• 对某一台虚拟机的控制,就可以对其他虚拟机发起攻击1: N,从而获得整个服务器群的控制权