USG9500系列T级下一代防火墙

产品概述
       大数据时代，网络流量几何级数增长，网络接入方式灵活多样，全联接已经成为常态，业务形态按需扩展，眼镜、手表、甚至是家庭电器，健康检测产品等终端都在智能化，在与人类的活动建立起数字的联接。

       人们足不出户，就可以畅享移动办公带来的效率和便利。但是，传统的安全结构却正在瓦解，联接技术要求更加敏捷和无处不在，同时又需要安全可靠和保护数据隐私，而保障安全可靠和数据隐私防护就要克服泛在化的安全漏洞、风险、防御持续恶意的入侵。安全已经成为 ICT 世界最重要和迫切的问题。
       因此，在云服务提供商、大型数据中心和大型企业园区网络边界，迫切需要更换老的防火墙为高性能多业务的下一代防火墙，任何有类似需求的企业用户都应该尽快评估当前的防火墙设备在功能和性能上是否遇到了瓶颈，未雨绸缪，防患于未然。
产品说明
        USG9500系列产品包括 USG95 20 、 USG9560 和 USG9580 三款产品，提供业界领先的安全防护性能和扩展能力 ，整机最大 1.9 2 Tbps IMIX 防火墙吞吐量与 1.4 TbpsIPSec 吞吐量 。
        USG9500结合专用的多核处理芯片以及分布式硬件平台，突破安全业务处理性能对CPU 能力的限制，提供业界领先业务处理能力和业务扩展能力，同时所有部件 均 采用全冗余技术，使得设备达到核心路由器级别的高可靠性，从而进一步保证高速网络环境下的业务连续性。该分布式技术在流量转发层面采用线速智能分流技术，所有数据流从首包开始就平均分配给各业务处理模块 ，无任何处理瓶颈，从而实现业务处理能力真正随业务模块线性倍增，从根本上支撑用户网络长久发展。
        USG9500提供多种 I/O 接口 模块 LPU ）负责对外连接和数据传递。 I/O 接口 模块和业务处理模块采用相同的接口插槽，可通过不同 I/O接口模块和业务处理模块的组合 匹配用户网络对接口和性能的组合需求，量身定制安全防护方案。 支持 GE 、 10GE 接口 、 40GE接100GE 接口 和跨板端口捆绑，可灵活适应大接口容量或高接口密度等不同的应用场景需求 。
        USG9500业务处理模块（ SPU ）负责处理所有的业务。 SPU 分为母板和扩展卡两部分，可 灵活 组合 不同性能单板 ，采用多核多处理器硬件，通过软件模块实现各种业务特性 。SPU 板与 LPU 板之间心跳检测机制， SPU 板 间 备份 机制 保障 业务板出现故障后 所有功能将立即重新分发到其他业务板处理，不会导致后续业务中断。

优势特性
最精准的访问控制－ 基于 ACTUAL 的六维一体化防护

       传统防火墙主要通过端口和IP 进行访问控制，下一代防火墙的核心功能依然是访问控制。 USG9500 在控制的维度和精细程度上都有很大的提高：

• 一体化防护： 从应用、用户、内容、时间、威胁、位置 6 个维度进行一体化的管控和防御。内容层的防御与应用识别深度结合，一体化处理。例如：识别出 Oracle的流量，进而针对性地进行对应的入侵防御，效率更高，误报更少。
• 基于应用： 运用多种技术手段，准确识别包括移动应用及 Web 应用内的 6000+应用协议及应用的不同功能，继而进行访问控制和业务加速。例如：区分微信的语音和文字后采取不同的控制策略。
• 基于用户： 通过 Radius 、 LDAP 、 AD 等 8 种用户识别手段集成已有用户认证系统简化管理。基于用户进行访问控制、 QoS 管理和深度防护。
• 基于位置： 与全球位置信息结合，识别流量发起的位置信息；掌控应用和攻击发起的位置，第一时间发现网络异常情况。根据位置信息可以实现对不同区域访问流量的差异化控制。支持根据 IP 自定义位置
• 最实用 NGFW 特性－ 一台顶多台设备，大幅降低 TCO
          越来越多的信息资产连接到了互联网上，网络攻击和信息窃取形成巨大的产业链，这对下一代防火墙的防护范围提出了更高要求。 USG9500 具备全面的防护功能：
  一机多能：集传统防火墙、 VPN 、入侵防御、防病毒、数据防泄漏、带宽管理、上网行为管理等功能于一身，简化部署，提高管理效率。
  入侵防护（ IPS ）：超过 12000 种漏洞特征的攻击检测和防御。支持 Web 攻击识别和防护，如跨站脚本攻击、 SQL 注入攻击等；
• 防病毒（ AV ）：高性能病毒引擎，可防护 500 万种以上的病毒和木马，病毒特征库每日更新；
• 数据防泄漏：对传输的文件和内容进行识别过滤。可识别 120+ 种常见文件类型，防止通过修改后缀名的病毒攻击。能对 Word 、 Excel 、 PPT 、 PDF 、 RAR 等 30+文件进行还原和内容过滤，防止企业关键信息通过文件泄露。
• SSL 解密：作为代理，可对 SSL 加密流量进行应用层安全防护，如 IPS 、 AV 、数据防泄 漏、 URL 过滤等。
• Anti DDoS 可以识别和防范 SYN flood 、 UDP flood 等 10+ 种 DDoS 攻击，识别 500 多万种病毒。上网行为管理：采用基于云的 URL 分类过滤，预定义的 URL 分类库已超过 8500万 ，阻止员工访问恶意网站带来的威胁。并可对员工的发帖、 FTP 等上网行为进

行控制。可对上网记录进行审计。

• 安全互联：丰富的 VPN 特性，确保企业总部和分支间高可靠安全互联。支持 IPSecVPN 、 L2TP VPN 、 MPLS VPN 、 GRE 等；
• QoS 管理：基于应用灵活的管理流量带宽的上限和下限， 可基于应用进行策略路由和 QoS 标签着色。支持对 URL 分类的 QoS 标签着色，例如：优先转发对财经类网站的访问。
• 负载均衡：支持服务器间的负载均衡。对多出口场景，可按照链路质量、链路带宽比例、链路权重基于应用进行负载均衡。
• 最领先的“ NP ＋多核＋分布式”架构 性能线性倍增 突破传统性能瓶颈
         USG9500采用核心路由器硬件平台，提供模块化部件， 接口模块基于双 NP 处理器，保证接口流量线速转发；业务处理模块（ SPU ）基于多核多线程架构 每颗 CPU 都有应用加速引擎，结合华为对海量会话的并发处理优化技术，可 确保 NAT 、 VPN 等多种业务高速并行处理， 处理能力不受 CPU 处理性能的限制。 LPU 和 SPU 各司其职，通过部署多块SPU ，实现整机性能线性倍增，为保护高速网络环境提供无以伦比的扩展性和灵活性 确保用户前期低成本投入 后期顺利扩容。
         由于采用了革命性的系统架构，USG9500 在防火墙吞吐量、最大并发连接数等主要指标上是目前业界性能最高的安全网关 。由于USG9500 采用了专有的分流技术，整机性能随 SPU 的配置数量线性倍增 。 USG9500 最大防火墙 整机 吞吐量达到业界领先的1. 92 Tbps 最大并发连接数为 25.6 亿 ，虚拟防火墙数量可 高达 409 5 个 ，足以满足 广电 、政府、能源 、教育 等高端用户的高性能需求。
• 最稳定可靠的安全网关产品－ 全冗余 保障用户业务永续
         网络的安全一直都是企业运行的关键所在。为保证高速网络环境下的业务持续，USG9500 在支持主 备、主 主组网、端口聚合、 VPN 冗余、业务板负载均衡等关键技术的同时，还提供业界独有 的 双主控主备倒换技术，将防火墙的可靠性提高到高端路由器级别，保证关键节点可靠性一致。 USG9500 整机平均无故障时间长达 20 万小时，故障倒换时间小于1 秒，真正保障业务持续稳定运行。
  最丰富的虚拟化应对云网络部署
         随着云计算时代的到来，以“虚拟化技术”和“高速网络”为基石的云计算面临安全的挑战。 USG9500 具有高 吞吐量 性能的同时提供了丰富的虚拟系统功能，支持资源虚拟化、配置虚拟化、转发虚拟化 等多维度虚拟化功能，为云网络用户提供个性化的网络安全需求。资源虚拟化提供 定制化的 虚拟资源 ，不同虚拟系统可按需分配不同资源 ；管理 虚拟化 提供各虚拟防火墙独立配置个性化策略，日志管理和审计功能 ，提供按照租户要求的管理策略 ；转发虚拟化提供定制化的业务处理流程 ，各虚拟系统之间转发平面隔离 ，一个虚拟系统资源耗尽不影响其他虚拟系统正常运行，且逻辑隔离，确保各虚拟系统内部租户的数据安全。
•