华为USG9500数据中心防火墙

产品特性

最领先的“NP＋多核＋分布式”架构－性能线性倍增,突破传统性能瓶颈

• USG9500采用核心路由器硬件平台，提供模块化部件，接口模块基于双NP处理器，保证接口流量线速转发；业务处理模块（SPU）基于多核多线程架构，每颗CPU都有应用加速引擎，结合华为对海量会话的并发处理优化技术，可确保NAT、 VPN等多种业务高速并行处理，处理能力不受CPU处理性能的限制。LPU和SPU各司其职，通过部署多块SPU，实现整机性能线性倍增，为保护高速网络环境提供无以伦比的扩展性和灵活性，确保用户前期低成本投入，后期顺利扩容。

最高的业务处理性能－有效保障用户关键业务

• 由于采用了革命性的系统架构，USG9500在防火墙吞吐量、最大并发连接数等主要指标上是目前业界性能最高的安全网关。由于USG9500采用了专有的分流技术，整机性能随SPU的配置数量线性倍增。USG9500最大防火墙吞吐量达到业界领先的混合包960Gbps吞吐，最大并发连接数为9.6亿，虚拟防火墙数量可高达4096个，足以满足广电、政府、能源、教育等高端用户的高性能需求。

最稳定可靠的安全网关产品－全冗余,保障用户业务永续

• 网络的安全一直都是企业运行的关键所在。为保证高速网络环境下的业务持续，USG9500在支持主-备、主-主组网、端口聚合、VPN冗余、业务板负载均衡等关键技术的同时，还提供业界独有的双主控主备倒换技术，将防火墙的可靠性提高到高端路由器级别，保证关键节点可靠性一致。USG9500整机平均无故障时间长达20万小时，故障倒换时间小于1秒，真正保障业务持续稳定运行。

最佳的VPN性能－适应海量业务加密传输要求

• 随着互联网应用的增多，越来越多的业务需要安全地在公共网络上传输，“移动安全接入”，“短信推送”，“邮件推送”等需要十万级别海量VPN接入网关的业务应运而生。USG9500支持VPN冗余网关，整机最高提供500Gpbs加解密性能，96万VPN并发隧道数量，是目前性能最高的VPN接入网关。支持4over6、6over4的VPN技术，保证网络演进过程中VPN传输需求。USG9500同时支持IKEv2协议，强化了用户认证、报文认证、NAT穿越等功能，消除了中间人攻击和拒绝服务攻击隐患，并且扩展支持EAP-SIM、EAP-AKA等鉴权协议，从而更高效地对无线网络提供安全保护。

最实用IPS特性－抵抗外部威胁，提高网络安全

• 入侵防御功能的核心技术体现在检测引擎、签名库识别效率和处理性能上。USG9500 采用了先进的IPS检测引擎和签名库，可以对系统漏洞、未授权自动下载、欺骗类应用软件、间谍/广告类软件、异常协议、P2P异常等多种威胁进行防护。其基于“漏洞”的签名规则，单条规格可以覆盖上千种攻击，并借助全球部署的蜜罐系统，实时捕获最新的攻击、蠕虫、木马等威胁，为产品提供于零日攻击的防御能力。为进一步提高IPS特性的实用性，USG9500采用内部旁路和专板专用的技术，将需要进行入侵防护的业务流量内部分流到专用业务处理模块处理，一方面提高业务处理能力，一方面使得这部分业务不会影响防火墙基本业务，保证业务持续稳定。

最全面的CGN特性－灵活应对IPv6过渡

• 随着IPv4地址的枯竭，网络需要向IPv6平滑演进，并确保业务体验得到保证。USG9500支持NAT44(4)、DS-Lite、6RD和NAT64等多种过渡技术，为企业的网络演进及业务过渡提供高效、灵活、放心、节省的整体解决方案。NAT44(4)能够大大提高IPv4公网地址复用率，缓解IPv4地址枯竭问题；DS-Lite既可以让新建网络直接步入IPv6，同时又能兼容现网众多IPv4应用的正常使用；6RD则是在已有IPv4基础设施上，快速地为用户提供IPv6介入能力；而NAT64能够解决IPv6访问IPv4的需求。并提供NAT44和DS-Lite的NAT 溯源功能。

最丰富的虚拟化—应对云网络部署

• 随着云计算时代的到来，以“虚拟化技术”和“高速网络”为基石的云计算面临安全的挑战。USG9500具有高吞吐量性能的同时提供了丰富的虚拟系统功能，支持资源虚拟化、配置虚拟化、转发虚拟化等多维度虚拟化功能，为云网络用户提供个性化的网络安全需求。资源虚拟化提供定制化的虚拟资源，不同虚拟系统可按需分配不同资源；管理虚拟化提供各虚拟防火墙独立配置个性化策略，日志管理和审计功能，提供按照租户要求的管理策略；转发虚拟化提供定制化的业务处理流程，各虚拟系统之间转发平面隔离，一个虚拟系统资源耗尽不影响其他虚拟系统正常运行，且逻辑隔离，确保各虚拟系统内部租户的数据安全。

产品规格

*USG9520在特殊配置下可以达到100Gbps吞吐量。具体信息请咨询华为工程师。

安全特性

注：上述列举特性在USG9500系列产品中根据具体版本支持程度略有不同。具体信息请咨询华为工程师。

组网应用

场景一：大型数据中心边界安全防护

背景与挑战：

近年来随着企业数据规模大幅度膨胀，企业的核心关键业务转向数据中心，同时成为了黑客攻击的新焦点。数据中心在云计算时代，从早期的业务大集中到目前基于虚拟化技术的服务器整合，这些变化对数据中心的安全带来了新的挑战。针对数据中心安全事件频繁的现象，其安全性已经成为数据中心能否提供高效、可用服务的关键。

大型数据中心边界防护场景

客户需求：

大型数据中心业务有服务虚拟化、计算资源按需分配、数据访问量不断增大、出口带宽不断增长的特点。随着数据中心的不断整合，导致支撑业务的服务器、虚拟机数量不断增加。

在发展为云数据中心后，业务访问海量增长，远程访问规模不断膨胀，不同业务或者租户需要提供独立的安全业务平面，数据中心内流量监控管理更加复杂，同时也吸引了更多非法访问和攻击。这种趋势导致早期的出口安全设备在性能和功能上已经无法满足新的需求，成为数据中心的瓶颈。

数据中心中的应用服务器，往往提供对外公共服务，也面临来自互联网黑客的入侵攻击，网络安全加固成为构筑安全运行的数据中心的前提条件。

解决方案：

如图所示，可以部署USG9500在大型IDC/VDC网络的入口。为了保证系统级的运行稳定性，可在出口处部署2台设备，可以采用Active-Active或者Active-Standby两种双机部署方案，提供毫秒级的业务倒换

1）随着对数据量访问性能的要求增加，可以按需扩展业务板卡，而无需购买新的设备，降低每G功耗，实现业务平滑扩容。同时随着业务板卡的扩容，实现真实性能的线性叠加，保障客户的投资能够满足真实应用带宽的增加。

2）USG9500一台设备可以虚拟为多台设备，分配个不同的租户，且每个虚拟系统的带宽、会话资源可以按需个性化定制，每个虚拟系统隔离，外部网络和内部网络安全隔离。满足云数据中心虚拟化后的租户租赁业务运营，某一个租户使用的业务资源达到上限，并不影响其他租户的使用。

相关分类： [交换机] [路由器] [服务器] [存储] [云计算] [安全产品] [网络能源] [智真与视讯] [智能视频监控] [统一通信] [无线局域网] [网管与软件]