当前位置:首页 > XX政府网络安全及VPN解决方案
XX政府网络安全及VPN解决方案 文档密级
7.2.4 卓越的路由交换特性
USG支持多种路由交换协议,可满足中小型企业、大中型企业的分支机构、行业网的分支机构以及部分电信网络的需求。
? VLAN:VLAN可以隔离广播域,抑制广播报文;分隔用户,提高网络安全性;提
供虚拟工作组,超越传统网络的工作方式。
? MSTP:可应用于环路网络,通过一定的算法实现路径冗余,同时将环路网络修剪
成无环路的树型网络,从而避免报文在环路网络中的增生和无限循环。
? 静态路由:当网络结构比较简单时,只配置静态路由就可以使网络正常工作。设置
和使用静态路由可以改进网络的性能,并可为重要的应用保证带宽。
? RIP/RIPng:RIP是一种较为简单的内部网关协议,基于距离矢量算法,通过UDP
报文进行路由信息的交换,使用的端口号为520。并支持下一代支持IPv6的RIP协议:RIPng。
? OSPF/OSPFv3:OSPF是一种应用广泛的IGP协议,承载于IP包内。收敛快、无
环路、分层的网络划分等特点决定了这种路由协议更适用于大中型网络。OSPFv3提供了对IPv6的支持。
? ISIS:ISIS最初是国际标准化组织ISO为它的无连接网络协议CLNP设计的一种动
态路由协议。为了提供对IP的路由支持,IETF在RFC1195中对IS-IS进行了扩充和修改,使它能够同时应用在TCP/IP和OSI环境中,称为集成化IS-IS(Integrated IS-IS或Dual IS-IS)。
? BGP/BGP4+:BGP(Border Gateway Protocol)是一种用于自治系统AS(Autonomous
System)之间的动态路由协议。其着眼点不在于发现和计算路由,而在于控制路由的传播和选择最佳路由。为了提供对IPv6等多种网络层协议的支持,IETF对BGP4进行了扩展,形成BGP4+。
? 路由策略:路由策略是为了改变网络流量所经过的途径而修改路由信息的技术,主
要通过改变路由属性(包括可达性)来实现。提供了多种过滤器可灵活控制路由。 ? 单播策略路由:策略路由PBR与单纯依照IP报文的目的地址查找FIB表进行转发
不同,是一种依据用户制定的策略而进行路由选择的机制。PBR支持基于到达报
2016-9-7
华赛机密,未经许可不得扩散 第20页, 共31页
XX政府网络安全及VPN解决方案 文档密级
文的源地址、报文长度等信息,依据用户制定的策略进行路由选择,可应用于安全、负载分担等目的。
? IGMP:作为因特网组管理协议,是TCP/IP协议族中负责IP组播成员管理的协议,
它用来在IP主机和与其直接相邻的组播路由器之间建立、维护组播组成员关系。 ? PIM-DM:PIM-DM(Protocol Independent Multicast Dense Mode)称为协议无关组
播-密集模式,属于密集模式的组播路由协议,适用于组成员分布相对密集的小型网络。
? PIM-SM:-SM(Protocol Independent Multicast-Sparse Mode)称为协议无关组播-
稀疏模式,属于稀疏模式的组播路由协议,适用于组成员分布相对分散、范围较广、大规模的网络。
? MSDP:MSDP是Multicast Source Discovery Protocol(组播源发现协议)的简称,
是为了解决多个PIM-SM(Protocol Independent Multicast Sparse Mode,协议无关组播—稀疏模式)域之间的互连而开发的一种域间组播解决方案,用来发现其它PIM-SM域内的组播源信息。
7.2.5 黑名单过滤恶意主机
USG可以提供丢弃黑名单用户的所有报文来为用户提供安全保证。当USG根据报文的行为特征察觉到特定IP地址的用户的攻击企图后,主动将其加入黑名单表项,过滤从该IP地址发送的报文,从而保障网络安全。
USG可以手工添加黑名单,可以动态地添加或删除黑名单,还可以将黑名单与ACL关联,即报文命中黑名单后,查找黑名单关联的ACL策略,如果命中ACL策略并且策略允许通过,则报文可以通过,否则报文被过滤丢弃。
同基于ACL的包过滤功能相比,由于黑名单仅对IP地址进行匹配,可以以很高的速度实现黑名单表项匹配,从而快速有效地屏蔽特定IP地址的用户。
7.2.6 IP和MAC地址绑定
USG可以配置MAC(Media Access Control)和IP地址绑定,根据用户的配置,USG在IP地址和MAC地址之间形成关联关系:
2016-9-7
华赛机密,未经许可不得扩散 第21页, 共31页
XX政府网络安全及VPN解决方案 文档密级
? 对于声称源地址为这个IP地址的报文,如果其MAC地址不是指定关系对中的
MAC地址,将予以丢弃。
? 目的地址为这个IP地址的报文,在通过USG时将被强制发送到MAC-IP地址关联
关系中,该IP地址对应的MAC地址,从而对用户形成有效的保护。 MAC和IP地址绑定是避免IP地址假冒攻击的一种有效手段。
7.2.7 强大的攻击防范能力
? 防范蠕虫病毒:USG根据蠕虫病毒的特点,设计了增强的流量监控/检测功能、增
强的用户连接数检测功能、增强的防IP地址扫描、防端口扫描功能及增强的黑名单功能。可以设定是否允许染毒用户继续通过,还是封闭该用户一段时间。配合黑名单功能,可以提取出可疑的用户列表名单。
? 防范多种DDoS攻击:USG可以有效地检测出这些类攻击报文,通过丢弃这些报
文等处理措施避免攻击行为,同时将这些攻击行为记录在日志中。目前,USG可以防范多种DDoS攻击,主要包括:SYN Flood攻击、ICMP Flood、UDP Flood攻击、DNS Flood、TCP Flood、Land攻击、Smurf攻击、Fraggle攻击、WinNuke攻击、ICMP重定向或不可达报文、TCP报文标志位(如ACK、SYN、FIN等)不合法、Ping of Death攻击、Tear Drop攻击等。
? 防范扫描窥探攻击:攻击者通过扫描窥探就能大致了解目标系统提供的服务种类和
潜在的安全漏洞,为进一步侵入系统做好准备。USG通过比较分析,可以灵活高效地检测出这类扫描窥探报文,从而预先避免后续的攻击行为。
? 防范其它攻击:USG除了可以有效防范多种DDoS攻击和扫描窥探外,还可以有
效防范IP Spoofing攻击、带源路由选项的IP报文攻击、带路由记录选项的IP报文攻击、利用tracert工具窥探网络结构等其他攻击,确保系统访问权的安全。
7.2.8 VPN特性支持
USG为用户提供了L2TP、GRE、IPSec、L3VPN等多种VPN组网技术,为用户提供了更多的选择。凭借强大的技术实力,USG的产品加密性能在业界同类产品中处于领先位置,并且支持DES、3DES、AES、RSA等多种加密算法,能够为用户提供高强度的加密传输保障;同时,结合全系列的网络安全产品,可以为用户提供完整的VPN解决方案。
2016-9-7
华赛机密,未经许可不得扩散
第22页, 共31页
XX政府网络安全及VPN解决方案 文档密级
7.2.9 灵活的扩展能力
USG采用自主研发的软件平台和具有自主知识产权的安全操作系统。数据平面和管理平面完全分离,这种无依赖性提高了系统安全性。具有很强的可伸缩性、可配置性,并且接口开放,是一个可不断丰富和持续发展的系统平台。
USB、FLASH、SD卡等多种新型存储介质的应用提供了对设备存储介质的扩展能力。 USG系列提供丰富的接口种类,包括FE、GE、Console、USB、3G、WLAN、Flash卡接口和可选配的MIC、DMIC、FIC和DFIC扩展插槽,部分型号还额外支持一个Express接口专门用于扩展3G接口。模块化的设计保证了用户投入的扩展能力,极强的硬件可扩展性为用户以多种方式接入和日后的网络升级提供最大程度的投资保护。
USG支持安装X86开放业务平台,该平台提供了独立的硬件基础,配合不同的软件实现业务的无限扩展能力。
7.2.10 良好的管理维护功能
USG充分考虑了用户对网络管理的需求,可以实现统计、管理、定位功能。还可以远程通过网管配置和维护设备,极大的降低了运营和管理成本。
支持如下多种设备管理和维护功能:
? 支持通过Console口进行本地配置和维护。 ? 支持通过Telnet方式进行本地或远程维护。
? 支持SSH(Secure Shell)维护管理方式,实现在不能保证安全的网络上提供安全
信息保障和强大认证功能,以避免受到IP地址欺诈、明文密码截取等攻击。 ? 支持SNMP(Simple Network Management Protocol)(v1/v2c/v3)协议和Client/Server
体系结构,接受NMS(Network Management System)网管站的管理,如接受华为公司网管平台iManager N2000的管理。
? 提供基于GUI(Graphic User Interface)的Web管理界面,为用户提供友好的配置
和管理界面。USG系列支持通过HTTP(Hyper Text Transfer Protocol)和HTTPS(Secure Hyper Text Transfer Protocol)协议访问Web管理界面。
? 可以通过CWMP(TR069)协议对设备进行远程批量配置和升级,并提供相应管
理的缺省配置模板。
? 通过U盘自动升级,实现方便的版本升级、配置。
2016-9-7
华赛机密,未经许可不得扩散
第23页, 共31页
本文作者:...共分享92篇相关文档
