XX政府网络安全及VPN解决方案

XX政府网络安全及VPN解决方案 文档密级

? 支持一键恢复，通过面板上的Reset键完成对设备一键恢复到设备的出厂缺省配置。 增强的日志管理功能，为用户提供了记录、审计的依据：

? 两种日志输出方式：不仅能通过文本方式输出SYSLOG日志，而且还针对流经设

备的数据流量大和日志信息丰富等特点，创建基于流状态的信息表，并通过二进制方式输出高速流日志。

? 完整统一的日志信息：提供攻击防范日志、流量监控日志、黑名单日志、统计信息

日志。

? 与Elog联动：eLog日志管理系统是设备的日志管理系统。通过高效地采集设备的

日志，用户能及时了解设备的运行情况，跟踪网络用户的行为，迅速识别并消除安全威胁。通过与elog联动实现日志信息的海量存储与快捷查询，有效帮助用户定位网络问题和设备运行的历史信息。

7.2.11 完备的IPv4/IPv6解决方案

USG全面支持IPv4和IPv6双协议栈工作方式，提供完整的IPv6特性和IPv4网络向IPv6网络平滑迁移的解决方案。

? 支持常见应用层协议的NAT-PT和NAT-PT ALG。 ? 支持多种IPv6 over IPv4隧道和IPv4 over IPv6隧道。 ? 支持丰富的IPv6路由协议特性。

7.2.12 领先的UTM技术

USG系列产品基于领先的应用层分析成果，集成了IPS、防病毒、URL过滤等多种应用层防护功能，更好的满足用户同时应对多种网络安全威胁的需求。华为赛门铁克拥有强大的协议分析团队，支持对多达500多种网络协议以及数千种威胁特征的深度分析。

USG系列产品能够有效的识别各种网络应用中存在威胁与漏洞，用户不必再担心含有恶意代码的网站、携带病毒的邮件、木马、后门、内部员工访问非法网站等问题，对用户机构中面临的各种网络安全威胁实现有效的保护。

? 反病毒：AV（Anti-Virus）功能支持对使用HTTP、SMTP、POP3协议传输的文件

进行病毒扫描，并根据AV策略对带病毒文件进行处理，达到反病毒的效果。

2016-9-7

华赛机密，未经许可不得扩散 第24页, 共31页

XX政府网络安全及VPN解决方案 文档密级

? 入侵防御：IPS（Intrusion Prevention System）能够有效防御应用层攻击，如：蠕虫、

病毒、木马程序、DoS（Denial of Service）攻击、代码攻击等。IPS支持对入侵事件进行日志记录，丢包以及阻断等响应方式，通过及时有效的响应来阻止网络入侵行为，最大限度的保证受保护网段的服务安全及信息安全。同时通过记录及有效存储相关的日志信息为日后的安全审计提供有效的依据，也为安全管理人员制定及调整安全策略提供了参考。

? 协议检测：通过对应用层协议的检测，可以发现基于协议异常的溢出攻击等攻击，

同时，通过对这些协议的详细解析可以提高对病毒、蠕虫、木马等有害数据的检测速度及准确度。

? 邮件过滤：垃圾邮件不仅会浪费网络资源，还会对企业的邮件服务器和个人电脑的

系统安全构成威胁。USG通过RBL过滤有效减少垃圾邮件，保护企业内部服务器。 ? URL过滤：员工随意不受控地访问非法网站，不仅严重影响工作效率而且威胁企

业网络安全。URL过滤对用户的URL请求进行访问控制，允许或禁止用户访问某些网络资源，可以达到规范上网行为的目的。

UTM特征库支持全球网站自动升级，保证企业不受最新网络漏洞、蠕虫、垃圾邮件的侵害；支持IPS 1000+特征库，支持5大常用协议：HTTP, SMTP, POP3, IMAP4, FTP协议识别；功能强大的P2P功能支持包括BT/迅雷/电驴/pplive等几十种协议的阻断和限流；支持游戏/股票软件的识别和控制；支持QQ/MSN多种版本根据时间/IP地址的控制。

7.2.13 全面的语音方案

USG2100/USG5100系列支持语音业务、IPPBX业务、传真业务和Modem业务等基本业务，三方通话、呼叫等待、呼叫转移、主叫号码显示、主叫号码限制等补充业务。

基本业务：提供基于H.248和SIP协议的语音接入、提供IPPBX接入，实现公共电路交换网与IP网络、IMS网络的互通，同时提供IPPBX服务；为传真机/MODEM提供数据承载功能和业务管理功能。

补充业务：基于IPPBX，提供主叫线识别、呼叫保持务、呼叫控制和个性类业务，实现语音业务的增值服务需求。

2016-9-7

华赛机密，未经许可不得扩散 第25页, 共31页

XX政府网络安全及VPN解决方案 文档密级

7.2.14 完善的QoS机制

USG可以为集成数据、语音、视频等多种业务的网络提供完善的QoS机制。包括： ? 流量监管，通过设置特定数据流的规格，对超出监管流量的数据包进行丢弃，防止

突发大量数据流引发网络拥塞。

? 流量整形，通过设置特定数据流的规格，对超出限制流量的数据包进行缓存，使这

一流量的报文以比较均匀的速度向外发送。避免下游设备因为转发能力较差造成数据包丢失。

? 流量标记，根据预定义的策略，修改特定数据流的DSCP、EXP、802.1p、IP优先

级，以达到提升或降低数据流优先级的目的。

? 拥塞避免，支持通过尾丢弃或WRED丢弃算法丢弃队列中的报文，防止队列溢出。 ? 拥塞管理，提供FIFO、CQ、PQ、WFQ等队列调度算法，即可以保证调度的公平，

又能确保高优先级的业务能够优先得到服务,可以满足多种业务组合的需求。完善的QoS机制满足未来对区分服务的建设要求。对不同的业务保证不同的延迟、抖动、带宽和丢包率，保证数据、语音等多种业务的开展，适应多业务承载IP网的发展要求。

在设备可以检测数据包通过的会话的基础上，还提供了IP-CAR功能。可以实现： ? IP连接数限制：对指定IP地址发起的连接数量或接收的连接数量进行限制。 ? IP带宽限制：对指定IP地址的会话带宽进行限制。

连接数限制能起到控制用户对外发起攻击、保护指定用户不受攻击的作用，带宽限制能起到优化网络流量、保证用户的正常访问速率、辅助防范网络攻击的作用。USG上的带宽和连接数的限制均有8个级别，用户可在指定范围内配置连接数/带宽的限制等级，并结合ACL配置需要限制哪些用户的连接数/带宽。

7.2.15 高度的可靠性保证

? 高性价比的产品设计

支持电压检测、温度监控、出厂配置恢复、BootROM冗余设计和故障管理等，保证了设备运行的高稳定性和故障处理能力。

? 路由信息1+1备份

支持VRRP（Virtual Router Redundancy Protocol）协议，基于虚拟IP地址形成备份组，

2016-9-7

华赛机密，未经许可不得扩散

第26页, 共31页

XX政府网络安全及VPN解决方案 文档密级

网络内的主机把这个虚拟IP地址作为网关地址与其它网络进行通信。在网管故障后可以顺利切换到备用的设备上进行路由转发。

? 双机热备份

支持HRP，此时一个备份组内包括一个主用设备和一个备用设备。HRP协议负责在主/备设备之间备份关键配置命令和会话表状态信息，从而确保主用设备出现故障时能由备份设备平滑地接替工作。不会丢失路由表、会话表等关键转发信息，从而保证了现有业务不中断。

? 负载均衡

当一台服务器无法处理多个用户的访问时，可使用多台服务器分担网络流量。此时可以将USG部署在服务器所在网络的出口，用户只需访问一个IP地址，USG按照配置的算法，将访问流量分配到不同的服务器上。这样不但可以分别利用各个服务器的处理能力，达到流量分担的目的，而且保障了服务器的可用性，得到最佳的网络扩展性。

7.2.16 广泛的多业务集成

USG产品全面融合了安全、路由、交换、VPN、无线和语音等多种业务功能，极大地提高了产品的多业务集成能力；真正实现了对以太网交换机的彻底融合；提供以太网、ADSL2+、SHDSL、E1/CE1、同步串口和3G等多种方式接入因特网，同时提供WLAN（Wireless Local Area Network）功能。用户可以轻松地使用路由器、防火墙、交换机、VPN和无线设备的所有特性。

8 成功案例

8.1 XX奥运城市数据系统VPN项目

项目背景

随着2008年奥运会的日益临近，各奥运举办城市的相关筹备工作也在紧锣密鼓的进行。XX城市作为2008年奥运会六个协办城市(天津、沈阳、秦皇岛、上海、青岛和香港)之一，为加强奥运期间城市人口流动数据等机要数据的管理工作，计划在设立6000余个数据采集点。

在经过周密的调查和研究后，最终采用了采用华赛VPN方案，确保整个网络机要数据的通讯安全。 华赛VPN解决方案

2016-9-7

华赛机密，未经许可不得扩散

第27页, 共31页