XX政府网络安全及VPN解决方案.doc

《XX政府网络安全及VPN解决方案.doc》由会员分享，可在线阅读，更多相关《XX政府网络安全及VPN解决方案.doc（41页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、XX政府网络安全及VPN解决方案技术建议书华为赛门铁克科技2011年第 40 页目录目录i1政务外网建设现状32政务外网的整体框架33政务外网网络安全及VPN建设目标44政务外网VPN建设需求及建设原则4政务外网VPN建设需求分析：4政务外网VPN建设的基本设计原则55政务外网VPN建设方案6网络总体结构6政务外网VPN网关接入方案7省各厅局委办通过VPN互通方案12政务外网VPN移动用户接入方案126华赛VPN接入解决方案特点13全面的VPN业务支撑能力13领先的业务性能及高可靠的硬件体系14图形化的便捷管理157部分产品介绍16华赛USG2000/5000简介16华赛USG2000/500

2、0功能特点16安全区域管理16安全策略控制17丰富的接入方式18卓越的路由交换特性20黑名单过滤恶意主机21IP和MAC地址绑定21强大的攻击防范能力22VPN特性支持22灵活的扩展能力23良好的管理维护功能23完备的IPv4/IPv6解决方案24领先的UTM技术24全面的语音方案25完善的QoS机制26高度的可靠性保证26广泛的多业务集成278成功案例27XX奥运城市数据系统VPN项目27XX省电子政务VPN应用案例291 政务外网建设现状国家电子政务外网建设目标是：建立一个开放的、基于标准的、符合国家外网建设要求的政务外网统一网络平台，实现省直各部门及全省市的信息快速交换与资源共享，向全体

3、政务工作者提供一个业务处理、辅助办公的工作平台，为省门户网站提供信息源及后台应用业务运行支持，外网将分别支持数据、语音与视频业务，运行各部门的对外业务系统，实现各网间的信息交换与资源共享，同时建立完善的信息安全体系与相应的备份系统。目前国家电子政务外网城域网建设已经完成中央城域网4个节点环网的建设；完成国家监察部、国务院扶贫办、劳动与社会保障部、农业部、人事部、国家审计署等中央部门接入外网的工作；完成国家外网与全国32个省级外网节点的互联互通工作；开通至中国网通100M出口；开通至中国联通100M出口；同时各省按照中共中央办公厅、国务院办公厅中办发200217号、200618号文件精神的要求，

4、建设覆盖省、市、县各级党委、人大、政府、政协、法院、检察院及其组成部门、直属机构的政务外网，在省内统一组织建设构建五大基础数据库：法人数据库、人口数据库、地理信息数据库、宏观经济数据库、法律法规数据库，可以通过对省级数据库进行访问的方式进行数据共享、交换、查询与比对。2 政务外网的整体框架电子政务外网是国家政务外网的延伸与拓展。在各省驻地有华为高端路由器，作为省上联中央的PE设备。省政务外网平台，上连国家政务外网，下连市的政务外网。构建省城城域网、省到市广域网，根据国家外网中央城域网的接入部委，实现大部分省直厅局与省政务外网的连接，贯通政府业务部门中央到省的信息通道；地市电子政务网，上连省电子

5、政务网，下连接到县、区，有条件的地方可以连接到乡、镇与社区，横向连接到党委、人大、政府、政协、法院、检察院及各职能部门的内部局域网。在地市建立政务网平台，平台一般包括：机房、网络接入设备、安全设备、计算机设备、基础软件（包括操作系统、数据库管理系统、应用服务器）等。地市在政务网上建设统一的政府办公平台，平台上集成有各类应用系统、各类数据库。应用系统根据其功能与使用角色分别集成到政府门户、政务门户，各类公务员按照分配的角色权限、采用单点登录的方式统一使用政务平台上的功能。地市县建设的政府门户，与政务网逻辑连接，政府门户直接为老百姓服务，实现政府门户受理、政务网办理、政府门户结果发布的工作模式。在

6、技术上，各局委办不建设技术平台，统一使用地市平台。3 政务外网网络安全及VPN建设目标在电子政务外网整体框架下，通过政务外网VPN的建设，补充目前政务外网接入的形式。对于省网建设相对滞后地区，各级机构利用专线方式接入难度较大，而采用VPN网关与技术可以利用廉价Internet资源满足接入单位安全接入政务外网的需求。需求主要场景如下： 省各厅局委办通过VPN与其所属的国家部门互通； 省各厅局委办通过VPN与有业务需求的国家部门互通； 省各厅局委办通过VPN互通； 各厅局委办移动用户安全接入VPN系统；4 政务外网VPN建设需求及建设原则4.1 政务外网VPN建设需求分析：1) 稳定可靠性的需求：

7、政务外网VPN系统的稳定性与可靠性关系整个政务外网VPN接入用户业务的延续性，是政务外网VPN可行性的基础。为确保政务外网VPN系统稳定可靠运行，政务外网VPN建设选择的产品与解决方案必须是经过市场考验，采用成熟技术支撑的产品与解决方案。2) 安全性的需求：安全性是整个政务外网VPN业务开展的前提，主要有以下几个方面：a) 必须符合国家信息安全相关条例及国家等级保护策略，选择通过国家VPN相关技术鉴定的产品，从而能够达到符合安全性的国家标准要求b) 通过制定VPN安全策略性，在解决方案设计中实施如CA、Ukey、防入侵检测等安全手段，提升政务外网VPN的安全性。c) 关注网络安全发展的趋势，对

8、VPN产品的安全特性的扩展性提出相应扩展的要求。3) 大容量的需求：政务外网VPN将满足省网未覆盖到的省、市、区、镇等各级部门以及大量移动办公用户的VPN接入，对产品VPN Tunnel的容量及扩展性提出很高的要求。4) 高性能的需求：面对大量有访问需求的政府机构机关与移动办公用户，性能将直接影响到各厅局委办访问省政务平台数据资源时的效率与使用体验，对VPN Server的性能主要有两个方面；一个是加解密吞吐量，表达了政府分支机构可获得的最大数据带宽、一个是时延，时延直接关系业务的感受以及政务平台多项业务的开展，如：VoIP、视频会议等。对VPN Client的需求主要是QoS要求。5) 互通

9、性的需求：对于政务外网VPN的互通性主要表达在：VPN Server通过省RD与国家MPLS VPN互通，与省各级部门VPN Gateway互通。6) 可管理性的需求：良好的可管理性将大幅降低管理维护人员耗费的精力，有助于快速正确响应各类业务需求。VPN Server的可管理性主要表达在自身是否有图形化的管理维护软件，以及是否可以支持第三方的管理系统。4.2 政务外网VPN建设的基本设计原则政务外网VPN设计遵循以下建网原则： 标准化原则标准化是电子政务建设的基础保障，应用服务系统建设必须在业务流程化、安全体系与安全技术、信息表示与信息交换、网络协议、软件结构、软件平台等标准方面遵循国家有关电

10、子政务技术标准，才能达到“互连、互通、互操作”要求，实现“信息交换、资源共享”。 安全保密性原则在数据库设计、应用操作权限与身份认证方面均严格遵循国家电子政务有关安全、保密标准，全面加强安全措施，所有应用项目采用符合国家电子政务标准的基础软硬件。 可靠性原则系统能有效的避免单点失败，在设备选择与互联时应提供充分的冗余备份，实现724小时不间断工作。 经济实用原则以需求为基础，充分考虑发展的需要来确定系统规模，功能模块子系统以插件方式扩展。系统应突出实用，要让系统的投资与各省电子政务系统建设的实际需求相符合。 可管理性原则系统设备易于管理、维护，操作简单，便于配置，在安全性、数据流量、性能等方面

11、能得到很好的监视与控制，可以进行远程管理与故障诊断。 先进性原则系统的结构设计、配置、管理方式，应采用成熟的先进技术，延长系统的生命周期。 开放兼容性原则系统要求开放性好、标准化程度高，系统建设应与现有的一些单位局域网系统平台兼容。系统建立符合国家与各省关于电子政务及信息化建设有关标准。 可扩展性原则系统设备不但满足当前需要，并在扩充模块后满足发展的需要；保证系统平台升级时能保护现有投资。 先易后难、阶段实施的原则将容易实现的重点业务作为突破口，坚持分阶段实施，立足于小步快走，步步见效，滚动发展，最大限度的减少投资风险，提高系统利用率。 保护现有投资原则充分利用现有系统，整合已开发信息资源，发

12、挥现有投资的效能。 技术成熟性原则在系统软硬件方面，充分考虑采用国内通用的，成熟的软硬件产品进行开发，保证系统功能的高效稳定。5 政务外网VPN建设方案5.1 网络总体结构根据网络建设目标与需求，政务外网VPN建设网络组成如下图：图中省干政务外网VPN与Internet相连，各市(地)、县城域网与Internet相连，之间通过VPN网关在Internet上建立安全VPN连接。为使政务外网VPN网络构建及维护简单、层次清晰，其层次结构分为：u 省干政务外网VPN网关接入部分：主要各厅局部委局域网经互连网通过VPN接入电子政务外网，特点是地理位置相对固定，对业务保障要求高，用户终端方面不用改造，操

13、作习惯不会发生变化。u 省干政务外网VPN移动用户部分：随HOME Office办公的需求的旺盛，移动用户通过VPN办公的数量越来越多，移动办公用户对性能相对要求较低，对安全接入等方面要求较高。5.2 政务外网VPN网关接入方案根据电子政务外网的需求，国干MPLS VPN终结在省PE上，在省PE侧由VPN Server与PE通过GE口连接，通过VPN Server提供的VCE功能导入对应VPN。在不具备专线条件的省厅部委办部署FW/VPN设备，并通过Internet与VPN Server建立IPSEC VPN隧道传输数据。各省厅部委办纵向互联由各厅部委办FW/VPN之间直接建立隧道完成横向互通

14、，减少核心网数据流量负担。省间的厅部委办间互通由国干网统一管理。省内VPN通过省级VPN统一管理平台平台管理。可通过VCE或VPE两种方案实现IPSEC VPN与国干MPLS VPN对接：（1）VCE方案方案特点：VPN Server通过虚拟防火墙、地址转换多实例、multi-VRF等VPN隔离技术，做为一个MPLS VPN网络统一访问Internet的出口设备，在MPLS网络之外承担VCE（VirtualCE）的功能。在VPN Server的出入接口划分不同的VLAN或逻辑子接口，将不同的分支机构或不同的业务通过进出不同的VLAN或子接口进入不同的虚拟防火墙VPN实例，从而达到了隔离的目的，

15、为MPLS VPN统一提供Internet访问。用户认证通过IKE来提供，可以提供基于证书的方式，也可以采用per-shared key的方式，通过IKE认证就可以知道该IPSEC隧道应该接入到哪个MPLS VPN中。VPN Server支持业务多实例特性，资源独立存放，可以很好的解决私网地址重叠的问题。（2）VPE方案VPN 网关采用IPSec方式接入VPE，移动办公用户采用L2TP或者L2TP+IPSEC 方式接入VPE，在VPE 上实现IP VPN隧道与MPLS LSP 隧道的融合与衔接。（3）VCE与VPE方案比较与VPE方案相比，VCE方案具有明显的优势： 在组网灵活性方面：VCE方

16、案不需要修改现网，直接通过internet接口进行VPN连接；而VPE方案则需要修改现网，增加PE设备，同时与各省PE连接起来；在设备选择方面：VCE方案中的VPN Server设备可以灵活选择，接入用户多的可以选择性能高的，接入用户少的可以选择性能低的；而VPE方案中的VPN Server必须支持MPLS功能，MPLS对设备要求很高，因此不管接入用户多少，VPN Server必须选择高端设备；在稳定性方面：VCE方案中的VPN Server功能独立，专门负责IPSEC接入，更能保证功能长时间稳定运行；而VPE方案中的VPN Server同时负责IPSEC接入与MPLS转发，设备负荷较大，设备

17、稳定性较难控制。VPE方案的优势在于将PE设备与VPN Server的功能集成在一个设备中实现，在某些尚未部署PE设备的场景下，可节省用户投资。综上所述，我们建议政务外网VPN网关建设拓扑图如下：组网设计说明：1) 在大多数已经部署PE设备的省份（区域），核心VPN Server采用两台USG 2000/5000热备组网，USG 2000/5000提供最大4000隧道的扩展，加解密性能达到1Gbps，能够满足省厅局委办的VPN接入需求。核心VPN Server与省RD通过GE接口相连，与Internet通过ISP 100Mbp或1Gbps链路连接。如下图：作为核心VPN Server的USG

18、2000/5000采用VCE技术，通过子接口与PE对接VPN，确保不同的IPSEC VPN导入各自的MPLS VPN，IPSEC VPN业务间的互通由PE进行统一部署与控制；2) 个别尚未部署PE设备的省份（区域），核心VPN Server采用一台USG3040组网，在VPE 上实现IP VPN隧道与MPLS LSP 隧道的融合与衔接；VPN A站点 1厅部委办内网BVPN B站点2厅部委办内网APPPE国家部B国家部AVPE3) 各厅局委办根据自身业务需求选择VPN Gateway接入设备。考虑未来网络扩展性及业务开展需要，可选如下设备；4) 在省干部署VPN Manager管理系统，对省内

19、VPN业务进行可视化管理，提升管理效率；5) VPN的流量由USG 2000/5000镜像至NIP1000（入侵检测系统），实施USG 2000/5000与NIP1000的联动，通过NIP1000动态监测数据流，提升业务系统的安全性。5.3 省各厅局委办通过VPN互通方案在厅局委内网A与厅局委内网B的网络出口部署IPSec VPN Gateway，在两个IPSec VPN Gateway之间建立IPSec隧道，穿越internet，实现IPSec VPN用户之间的横向互访并保证数据报在网络上传输时的私有性、完整性、真实性与防重放。5.4 政务外网VPN移动用户接入方案政务外网VPN将为移动用户

20、提供便捷的VPN接入方案,满足省内用户出差及非办公区办公时的安全访问政务外网的需求，网络拓扑如下：移动办公用户通过VPN Client接入VPN Server网关，业务流程如下：1) 移动办公用户终端接入Internet。2) 在终端上运行VPN Client软件，选择或输入要接入的VPN Server的IP地址。3) 输入用户名密码点击连接（对于不同的用户可在VPN Server上部署不同的安全策略，如需要接入VPN、认证方式等）；推荐采用CAUSBKEY方式显著提高安全性。4) 完成认证后，VPN Client提示接入VPN网络，移动办公用户进行需要的数据访问。移动办公用户访问MPLS的数

21、据将导入NIP1000入侵检测系统，进行入侵检测，后续可考虑部署防病毒网关或其他安全检测设备，提高访问的安全性。6 华赛VPN接入解决方案特点6.1 全面的VPN业务支撑能力l 华赛VPN整体解决方案能够提供L2TP、GRE、IP Sec、SSL VPN、MPLS VPN等多种VPN接入方式，并支持DES、3DES、AES等多种加密算法，结合华赛公司全系列的VPN设备，提供完整的VPN解决能力。USG 2000/5000防火墙可支持高达1Gbps的3DES处理能力，提供高性能的LNS服务。l 支持从Internet安全接入到MPLS VPN网络，通过一台USG防火墙的一个物理接口就可以为Int

22、ernet上的许多VPN分支机构接入到MPLS VPN提供服务。用户认证通过IKE来提供，可以提供基于证书的方式，也可以采用per-shared key的方式。通过IKE认证就可以知道该IP Sec隧道应该接入到哪个MPLS VPN中。USG系列防火墙对每个VPN保持了独立的转发资源，从源头上就可以控制不同VPN用户之间无法互访。l 支持Multi-VRF特性，可以为多个VPN保存独立的转发表项，这样可以从转发层面保证了业务隔离。通过这种Multi-VRF技术可以在提供VPN业务的时候，支持私网地址重叠功能。l 支持根验证功能：USG防火墙的根系统可以验证隧道对端，利用IKE进行身份验证、密钥

23、协商，建立起IP Sec隧道之后，就给这个IP Sec隧道标定了一个VPN。然后将IP Sec隧道的流量引入到对应的虚拟防火墙处理。这种方式的处理，可以给Internet的分支机构接入到VPN提供了技术保证，可以使得Internet上的分支机构访问特定VPN。l 支持多个虚系统； USG防火墙的一个虚系统连接一个分支机构，由这个虚系统来验证隧道对端，利用IKE进行身份验证、密钥协商，建立的IP Sec隧道只能限定在这个虚系统内部。这种方式可以给VPN用户提供加密接入到骨干网提供了技术保证，可以使得分支机构在骨干网边缘通过加密方式接入到VPN，提供高可靠的VPN接入服务。l 接入控制权限严格，

24、USG防火墙可以根据用户名、密码来控制访问VPN的接入权限，这样可以使得出差员工，超级用户（需要访问不同VPN资源）等不同的用户。支持采用Radius协议统一管理用户，可以提供双因子验证方式，采用令牌固定口令的方式提供高可靠的接入服务。6.2 领先的业务性能及高可靠的硬件体系l USG系列防火墙采用新一代电信级的硬件高速状态防火墙，强大的攻击防范能力，提供静态与动态黑名单过滤等特性，可提供丰富的统计分析功能与日志。USG防火墙具有一个完整的安全方案技术体系，可以为用户提供综合的安全解决方案。l USG 2000/5000防火墙采用NP（网络处理器）的硬件结构，可以支持10K以上的并发用户，提供

25、1G吞吐量的VPN服务。l USG系列防火墙支持双机备份组网方式，双机模式支持IP Sec/L2TP业务，可以通过双机提供更可靠安全的接入模式。在做VPN网关的同时，可以为整个企业网提供安全可靠的运行环境，保证整个企业网的安全。l USG防火墙产品根据数据报文的特征，以及Dos攻击的不同手段，可以针对ICMP Flood、SYN Flood、UDP Flood等各种Dos攻击手段进行Dos攻击的防御。同时，USG防火墙可以主动识别出数十种常见的攻击种类，很多种攻击种类造成的后果就是Dos形式的攻击，USG防火墙可以主动发现并隔断这些非法攻击，消除了内部网络遭受攻击的可能。通过对各种攻击的防御手

26、段，利用USG防火墙可以组建一个安全的防御体系，保证网络不遭受Dos攻击的侵害。l USG系列防火墙支持使用TCP代理方式来防止SYN Flood类的Dos攻击，通过精确的验证可以准确的发现攻击报文，对正常报文依然可以通过允许这些报文访问防火墙资源，而攻击报文则被USG防火墙丢弃。6.3 图形化的便捷管理政务外网VPN管理子系统由华赛VPN Manager系统构成；其主要功能是简化VPN业务的管理，增强了IP VPN的管理、维护与运营手段。主要有以下特点：l 所见即所得的业务预部署在网管上进行离线的业务定义，直到确认无错后再下发的设备上使得业务生效，对运营商非常重要。VPN Manager可以

27、离线地进行所有的业务定义，并且通过各种拓扑视图达到所见即所得的效果。l 配置变更监控功能VPN Manager提供配置审计功能，自动定期地检查出网络业务管理系统与设备上当前配置的不一致性，发送告警给运维人员，并能提供配置变更的详细信息。l 现网业务的自动发现与还原如果在安装Secospace VPN Manager之前，网络设备上已经部署了IPSec VPN业务。VPN Manager可以读取设备上的配置文件等数据，自动在VPN Manager上还原出IPSec VPN业务，从而避免部署后续业务时发生资源冲突，使得新老业务可以统一管理。l 方便的性能统计功能VPN Manager提供实时性能数

28、据查看功能，可对VPN业务的流量、带宽利用率、时延、丢包、抖动等实时性能进行监控，并提供历史性能数据分析功能。有助于用户了解当前网络运行的基本情况与性能状态，预防网络事故发生，预测网络运行状态。 l 支持跨平台特性VPN Manager基于华赛公司统一的VSM综合管理应用平台，既可以运行在Solaris操作系统下，也可以运行在Windows操作系统下。既可提供规模网络的高端解决方案，也可适应低成本的解决方案l 简单快捷的系统安装提供图形化、向导式的安装与升级方式，系统自动设置静态参数与初始化数据。安装程序实现按需定制组件的功能。l 友好的人机界面充分考虑用户的操作习惯，提供统一风格的告警、拓扑

29、与业务配置管理界面，保持一致的视觉效果，提供批量化的操作手段，简化用户日常操作。7 部分产品介绍7.1 华赛USG2000/5000简介USG2000/5000是华赛公司推出的具有防火墙功能的统一安全网关。USG2000/5000基于华赛专业的多核硬件平台以及强大的VRP软件平台，不仅具备优异的攻击防范处理能力，而且能够提供完备的地址转换(NAT)功能。为了更好地满足网吧的实际需要，USG2000/5000还支持丰富的多媒体协议与路由协议，组网方式灵活多样，是大中网吧理想的网络安全防护设备。7.2 华赛USG2000/5000功能特点7.2.1 安全区域管理 基于安全区域的隔离华赛USG200

30、0/5000统一安全网关的安全隔离是基于安全区域，这样的设计模型为用户在实际使用统一安全网关的时候提供了十分良好的管理模型。华赛统一安全网关提供了基于安全区域的隔离模型，每个安全区域可以按照网络的实际组网加入任意的接口，因此统一安全网关的安全管理模型是不会受到网络拓扑的影响。 可管理的安全区域业界很多防火墙一般都提供受信安全区域（trust）、非受信安全区域（untrust）、非军事化区域（DMZ）三个独立的安全区域，这样的保护模型可以适应大部分的组网要求，但是在一些安全策略要求较高的场合，这样的保护模型还是不能满足要求。华赛统一安全网关默认提供四个安全区域：trust、untrust、DMZ

31、、local，在提供三个最常用的安全逻辑区域的基础上还新增加了本地逻辑安全区域，本地安全区域可以定义到统一安全网关本身的报文，保证了统一安全网关本身的安全防护。例如，通过对本地安全区域的报文控制，可以很容易的防止不安全区域对统一安全网关本身的Telnet、ftp等访问。华赛统一安全网关还提供自定义安全区域，可以最大定义16个安全区域，每个安全区域都可以加入独立的接口。 基于安全区域的策略控制华赛统一安全网关支持根据不同的安全区域之间的访问设计不同的安全策略组（ACL访问控制列表），每条安全策略组支持若干个独立的规则。这样的规则体系使得统一安全网关的策略十分容易管理，方便用户对各种逻辑安全区域的

32、独立管理。基于安全区域的策略控制模型，可以清晰的分别定义从trust到untrust、从DMZ到untrust之间的各种访问，这样的策略控制模型使得华赛统一安全网关的网络隔离功能具有很好的管理能力。7.2.2 安全策略控制 灵活的规则设定华赛统一安全网关可以支持灵活的规则设定，可以根据报文的特点方便的设定各种规则。 可以依据报文的协议号设定规则 可以依据报文的源地址、目的地址设定规则 可以使用通配符设定地址的范围，用来指定某个地址段的主机 针对UDP与TCP还可以指定源端口、目的端口 针对目的端口、源端口可以采用大于、等于、介入、不等于等方式设定端口的范围 针对ICMP协议，可以自由的指定IC

33、MP报文的类型与Code号，可以通过规则针对任何一种ICMP报文 可以针对IP报文中的TOS域设定灵活的规则 可以将多个报文的地址形成一个组，作为地址本，在定义规则时可以按组来设定规则，这样规则的配置灵活方便 高速策略匹配通常，防火墙的安全策略都是由很多规则构成的，因此在进行策略匹配的时候会影响防火墙的转发效率。华赛统一安全网关采用了ACL匹配的专门算法，这样就保证了在很多规则的情况下，统一安全网关依然可以保持高效的转发效率，系统在进行上万条ACL规则的查找时，性能基本不受影响，处理速度保持不变，从而确保了ACL查找的高速度，提高了系统整体性能。 MAC地址与IP地址绑定华赛统一安全网关根据用

34、户配置，将MAC与IP地址进行绑定从而形成关联关系。对于从该IP地址发来的报文，如果MAC地址不匹配则被丢弃；对于发往该IP地址的报文都被强制发送到指定的MAC地址处，从而有效避免IP地址假冒的攻击行为。 动态策略管理黑名单技术华赛统一安全网关可以将某些可疑报文的源IP地址记录在黑名单列表中，系统通过丢弃黑名单用户的所有报文，从而有效避免某些恶意主机的攻击行为。统一安全网关提供如下几种黑名单列表维护方式： 手工添加黑名单记录，实现主动防御 与攻击防范结合自动添加黑名单记录，起到智能保护 可以根据具体情况设定白名单，使得即使存在黑名单中的主机，依然可以使用部分的网络资源。例如，即使某台主机被加入

35、到了黑名单，但是依然可以允许这个用户上网。黑名单技术是一种动态策略技术，属于响应体系。统一安全网关在动态运行的过程中，会发现一些攻击行为，通过黑名单动态响应系统，可以抑制这些非法用户的部分流量，起到保护整个系统的作用。7.2.3 丰富的接入方式USG接口类型丰富，接口密度大。固定、移动、无线统一接入，家庭、企业、热点统一接入最大程度满足了用户多种接入需求。支持WIFI、3G，同时满足用户WLAN/WWAN无线网络需求：WiFi（Wireless Fidelity）基于无线局域网（WLAN）IEEE 802.11标准，提供户内、办公室或热点地区的无线网络接入功能。支持802.11b、及混合制式，

36、通过WiFi天线，可提供1Mbps54Mbps速率的无线WLAN接入。3G（The Third Generation）是第三代移动通信系统，相对于第一代模拟制式系统（1G）与第二代GSM、TDMA等数字系统（2G），是指将无线通信与因特网等多媒体通信结合的新一代移动通信系统。ITU（International Telecommunication Union）已经将W-CDMA、CDMA2000与TD-SCDMA确定为三大主流无线接口标准。USG可以插入多种3G数据卡，局域网用户可以通过3G数据卡上行接入网络。通过插入不同的3G数据卡，可支持WCDMA、CDMA2000与TD-SCDMA三种制式

37、。 USG2100提供了如下接口与槽位。带W的机型还提供了WLAN功能，可提供灵活、可扩展的无线接入。 9个固定FE接口 1个USB槽位，可安装3G接口卡 1个Express槽位，可安装3G接口卡 1个MIC扩展槽位与2个MIC扩展槽位 USG2200提供了如下接口与槽位。安装MIC-WIFI接口卡后可提供灵活、可扩展的无线接入。 2个固定的GE Combo口，提供了2个千兆光口与2个千兆电口 2个USB槽位 4个MIC扩展槽位、2个FIC扩展槽位。上下相邻的两个MIC槽位可扩展为1个DMIC槽位、两个FIC槽位可扩展为1个DFIC槽位。 USG5100提供了如下接口与槽位。安装MIC-WIF

38、I接口卡后可提供灵活、可扩展的无线接入。 USG5120提供2个固定的GE Combo口；USG5150提供4个固定的GE Combo口 USG5120提供2个固定的GE电接口 2个USB槽位 USG5120/5150还提供了4个MIC扩展槽位、4/6个FIC槽位。上下相邻的MIC可扩展为DMIC槽位、相邻的FIC可扩展为DFIC槽位。3G/WIFI等多种接口。同时，USG还支持将多个以太网接口捆绑成一个Eth-Trunk逻辑接口，起到增加带宽、提高可靠性、负载分担的作用。PPPoE、L2TP等链路层协议配合AAA、IPSec协议，为用户的认证、授权、计费及安全访问提供整套的解决方案。7.2.

39、4 卓越的路由交换特性USG支持多种路由交换协议，可满足中小型企业、大中型企业的分支机构、行业网的分支机构以及部分电信网络的需求。 VLAN：VLAN可以隔离广播域，抑制广播报文；分隔用户，提高网络安全性；提供虚拟工作组，超越传统网络的工作方式。 MSTP：可应用于环路网络，通过一定的算法实现路径冗余，同时将环路网络修剪成无环路的树型网络，从而避免报文在环路网络中的增生与无限循环。 静态路由：当网络结构比较简单时，只配置静态路由就可以使网络正常工作。设置与使用静态路由可以改进网络的性能，并可为重要的应用保证带宽。 RIP/RIPng：RIP是一种较为简单的内部网关协议，基于距离矢量算法，通过U

40、DP报文进行路由信息的交换，使用的端口号为520。并支持下一代支持IPv6的RIP协议：RIPng。 OSPF/OSPFv3：OSPF是一种应用广泛的IGP协议，承载于IP包内。收敛快、无环路、分层的网络划分等特点决定了这种路由协议更适用于大中型网络。OSPFv3提供了对IPv6的支持。 ISIS：ISIS最初是国际标准化组织ISO为它的无连接网络协议CLNP设计的一种动态路由协议。为了提供对IP的路由支持，IETF在RFC1195中对IS-IS进行了扩充与修改，使它能够同时应用在TCP/IP与OSI环境中，称为集成化IS-IS（Integrated IS-IS或Dual IS-IS）。 BG

41、P/BGP4+：BGP（Border Gateway Protocol）是一种用于自治系统AS（Autonomous System）之间的动态路由协议。其着眼点不在于发现与计算路由，而在于控制路由的传播与选择最佳路由。为了提供对IPv6等多种网络层协议的支持，IETF对BGP4进行了扩展，形成BGP4+。 路由策略：路由策略是为了改变网络流量所经过的途径而修改路由信息的技术，主要通过改变路由属性（包括可达性）来实现。提供了多种过滤器可灵活控制路由。 单播策略路由：策略路由PBR与单纯依照IP报文的目的地址查找FIB表进行转发不同，是一种依据用户制定的策略而进行路由选择的机制。PBR支持基于到达

42、报文的源地址、报文长度等信息，依据用户制定的策略进行路由选择，可应用于安全、负载分担等目的。 IGMP：作为因特网组管理协议，是TCP/IP协议族中负责IP组播成员管理的协议，它用来在IP主机与与其直接相邻的组播路由器之间建立、维护组播组成员关系。 PIM-DM：PIM-DM（Protocol Independent Multicast Dense Mode）称为协议无关组播密集模式，属于密集模式的组播路由协议，适用于组成员分布相对密集的小型网络。 PIM-SM：-SM（Protocol Independent Multicast-Sparse Mode）称为协议无关组播稀疏模式，属于稀疏模式

43、的组播路由协议，适用于组成员分布相对分散、范围较广、大规模的网络。 MSDP：MSDP是Multicast Source Discovery Protocol（组播源发现协议）的简称，是为了解决多个PIM-SM（Protocol Independent Multicast Sparse Mode，协议无关组播稀疏模式）域之间的互连而开发的一种域间组播解决方案，用来发现其它PIM-SM域内的组播源信息。7.2.5 黑名单过滤恶意主机USG可以提供丢弃黑名单用户的所有报文来为用户提供安全保证。当USG根据报文的行为特征察觉到特定IP地址的用户的攻击企图后，主动将其加入黑名单表项，过滤从该IP地址发

44、送的报文，从而保障网络安全。USG可以手工添加黑名单，可以动态地添加或删除黑名单，还可以将黑名单与ACL关联，即报文命中黑名单后，查找黑名单关联的ACL策略，如果命中ACL策略并且策略允许通过，则报文可以通过，否则报文被过滤丢弃。同基于ACL的包过滤功能相比，由于黑名单仅对IP地址进行匹配，可以以很高的速度实现黑名单表项匹配，从而快速有效地屏蔽特定IP地址的用户。7.2.6 IP与MAC地址绑定USG可以配置MAC（Media Access Control）与IP地址绑定，根据用户的配置，USG在IP地址与MAC地址之间形成关联关系： 对于声称源地址为这个IP地址的报文，如果其MAC地址不是指

45、定关系对中的MAC地址，将予以丢弃。 目的地址为这个IP地址的报文，在通过USG时将被强制发送到MAC-IP地址关联关系中，该IP地址对应的MAC地址，从而对用户形成有效的保护。MAC与IP地址绑定是避免IP地址假冒攻击的一种有效手段。7.2.7 强大的攻击防范能力 防范蠕虫病毒：USG根据蠕虫病毒的特点，设计了增强的流量监控/检测功能、增强的用户连接数检测功能、增强的防IP地址扫描、防端口扫描功能及增强的黑名单功能。可以设定是否允许染毒用户继续通过，还是封闭该用户一段时间。配合黑名单功能，可以提取出可疑的用户列表名单。 防范多种DDoS攻击：USG可以有效地检测出这些类攻击报文，通过丢弃这些

46、报文等处理措施避免攻击行为，同时将这些攻击行为记录在日志中。目前，USG可以防范多种DDoS攻击，主要包括：SYN Flood攻击、ICMP Flood、UDP Flood攻击、DNS Flood、TCP Flood、Land攻击、Smurf攻击、Fraggle攻击、WinNuke攻击、ICMP重定向或不可达报文、TCP报文标志位（如ACK、SYN、FIN等）不合法、Ping of Death攻击、Tear Drop攻击等。 防范扫描窥探攻击：攻击者通过扫描窥探就能大致了解目标系统提供的服务种类与潜在的安全漏洞，为进一步侵入系统做好准备。USG通过比较分析，可以灵活高效地检测出这类扫描窥探报文

47、，从而预先避免后续的攻击行为。 防范其它攻击：USG除了可以有效防范多种DDoS攻击与扫描窥探外，还可以有效防范IP Spoofing攻击、带源路由选项的IP报文攻击、带路由记录选项的IP报文攻击、利用tracert工具窥探网络结构等其他攻击，确保系统访问权的安全。7.2.8 VPN特性支持USG为用户提供了L2TP、GRE、IPSec、L3VPN等多种VPN组网技术，为用户提供了更多的选择。凭借强大的技术实力，USG的产品加密性能在业界同类产品中处于领先位置，并且支持DES、3DES、AES、RSA等多种加密算法，能够为用户提供高强度的加密传输保障；同时，结合全系列的网络安全产品，可以为用户提供完整的VPN解决方案。7.2.9 灵活的扩展能力USG采用自主研发的软件平台与具有自主知识产权的安全操作系统。数据平面与管理平面完全分离，这种无依赖性提高了系统安全性。具有很强的可伸缩性、可配置性，并且接口开放，是一个可不断丰富与持续发展的系统平台。USB、FLASH、SD卡等多种新型存储介质的应用提供了对设备存储介质的扩展能力。USG系列提供丰富的接口种类，包括FE、GE