华为USG6330防火墙技术参数指标项技术规格要求配置要求千兆电口
华为防火墙操作手册UGS6330
华为防火墙操作手册UGS6330
华为防火墙默认的用户名是admin,密码:Admin@123,第一次登录后,要求更改密码,密码要求有大小写英文字母和特殊符号,更改密码后会要求重新登录,然后才能进入配置界面
进入配置界面
1、编辑内网接口,内网接口IP配置为192.168.124.1
255.255.252.0,对应核心交换机里面配置的几个VLAN,注意内网接口的安全区域选择trust
配置内网接口
内网接口允许https和ping
2、编辑外网接口,填写运营商提供的IP地址,注意外网接口的安全区域选择untrust,为方便管理员在外网远程管理防火墙,勾选启用访问管理和https
允许管理员在外网配置防火墙
3、新建一条策略路由,下一跳地址填写宽带运营商提供的网关地址
新建策略路由
新建策略路由,下一跳地址是运营商的网关
4、新建一条安全策略,允许trust到untrust的访问,即允许内网所有设备连接internet
允许访问外网
经过以上步骤,内网计算机等联网设备就能正常上网了。
5、根据客户要求VLAN125禁止上外网,那么我们要做一条相应的安全策略,并且这条策略一定要放到刚才这条安全策略的上面!
禁止VLAN125上网
6、有几台服务器,软件供应商要在外网通过远程桌面的形式调试,我们需要在防火墙上做NAT策略
开放服务器3389端口,允许在外网远程桌面。
防火墙技术参数
防火墙技术参数:网络端口8GE+4SFPVPN支持支持丰富高可靠性的VPN特性,如IPSec VPN、SSL VPN、L2TP VPN、MPLS VPN、GRE等入侵检测超过5000种漏洞特征的攻击检测和防御。
第一时间获取最新威胁信息,准确检测并防御针对漏洞的攻击。
可防护各种针对web的攻击,包括SQL注入攻击和跨站脚本攻击。
管理预置常用防护场景模板,快速部署安全策略,降低学习成本自动评估安全策略存在的风险,智能给出优化建议支持策略冲突和冗余检测,发现冗余的和长期未使用策略,有效控制策略规模一般参数电源选配冗余电源100-240V,最大功率170W产品尺寸442×421×44.4mm产品重量7.9kg适用环境温度:0-45℃(不含硬盘)/5℃-40℃ (包含硬盘)湿度:5%-95%(不含硬盘)/ 5%-90% (包含硬盘)其他性能产品形态:1U带宽管理与QoS优化:在识别业务应用的基础上,可管理每用户/IP使用的带宽, 确保关键业务和关键用户的网络体验。
管控方式包括:限制最大带宽或保障最小带宽、应用的策略路由、修改应用转发优先级等数据防泄漏:对传输的文件和内容进行识别过滤,可准确识别常见文件的真实类型,如Word、Excel、PPT、PDF等,并对敏感内容进行过滤应用识别与管控:可识别6000+应用,访问控制精度到应用功能,例如区分微信的文字和语音。
应用识别与入侵检测、防病毒、内容过滤相结合,提高检测性能和准确率接口扩展:可扩展千兆电口/千兆光口/万兆光口,支持BYPASS插卡软件认证:ICSA Labs: Firewall,IPS,IPSec VPN,SSL VPN CC:EAL4+ NSS Labs:推荐级硬件认证:CB,CCC,CE-SDOC,ROHS,REACH&WEEE(EU),C-TICK,ETL,FCC&IC,VCCI,BSMI。
VPN和防火墙设备采购技术要求
一、供货要求
为保证设备质量Βιβλιοθήκη 要求华为原厂供货,代理商具有华为技术有限公司的本次采购项目授权委托证书。
二、技术指标
序号
设备名称
规格型号
技术参数
数量
品牌
备注
1
互联网出口VPN网关
SVN5860
1.交流双电源、1000个SSL VPN并发授权,最大SSL VPN并发用户数≥3.6万
8.按设备光口数量满配单模光模块。
2
华为
含设备安装、调试、上线、培训等费用,并提供3年原厂质保
2
安全防火墙
USG6650
1.多核架构,万兆光口≥2,千兆电接口数≥8,千兆光口数≥8;16G内存,交流双电源,扩展插槽≥5个。
2.整机防火墙最大吞吐量≥20Gbps,多业务吞吐量≥2.5Gbps,新建连接数≥30万/秒,并发连接数≥800万。
3.集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、Anti-DDoS、URL过滤、反垃圾邮件等多种功能于一身;
4.支持服务器负载均衡和链路负载均衡。
5.按设备光口数量满配单模光模块。
1
华为
含设备安装、调试、上线、培训等费用,并提供3年原厂质保
2.SSL VPN加密吞吐量≥2.8Gbps,IPSec VPN加密吞吐量≥16Gbps
3.支持万兆光口≥4,千兆电接口数≥16,千兆光口数≥8,整机扩展槽位≥5个,最大接口数≥60个千兆接口+12个万兆接口
4.多核架构,16G内存,支持硬件电口Bypass卡,支持≥300G硬盘,支持双硬盘做RAID
5.支持SSL/IPSec/L2TP/GRE/MPLS VPN技术多合一,可同时运行,支持动态多点VPN;
华为USG6000系列防火墙产品技术白皮书(总体)
华为USG6000系列防⽕墙产品技术⽩⽪书(总体)华为USG6000系列下⼀代防⽕墙技术⽩⽪书⽂档版本V1.1发布⽇期2014-03-12版权所有? 华为技术有限公司2014。
保留⼀切权利。
⾮经本公司书⾯许可,任何单位和个⼈不得擅⾃摘抄、复制本⽂档内容的部分或全部,并不得以任何形式传播。
商标声明和其他华为商标均为华为技术有限公司的商标。
本⽂档提及的其他所有商标或注册商标,由各⾃的所有⼈拥有。
注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本⽂档中描述的全部或部分产品、服务或特性可能不在您的购买或使⽤范围之内。
除⾮合同另有约定,华为公司对本⽂档内容不做任何明⽰或暗⽰的声明或保证。
由于产品版本升级或其他原因,本⽂档内容会不定期进⾏更新。
除⾮另有约定,本⽂档仅作为使⽤指导,本⽂档中的所有陈述、信息和建议不构成任何明⽰或暗⽰的担保。
华为技术有限公司地址:深圳市龙岗区坂⽥华为总部办公楼邮编:518129⽹址:/doc/38e0646559eef8c75fbfb3f8.html客户服务邮箱:ask_FW_MKT@/doc/38e0646559eef8c75fbfb3f8.html 客户服务电话:4008229999⽬录1 概述 (1)1.1 ⽹络威胁的变化及下⼀代防⽕墙产⽣ (1)1.2 下⼀代防⽕墙的定义 (1)1.3 防⽕墙设备的使⽤指南 (2)2 下⼀代防⽕墙设备的技术原则 (1)2.1 防⽕墙的可靠性设计 (1)2.2 防⽕墙的性能模型 (2)2.3 ⽹络隔离 (3)2.4 访问控制 (3)2.5 基于流的状态检测技术 (3)2.6 基于⽤户的管控能⼒ (4)2.7 基于应⽤的管控能⼒ (4)2.8 应⽤层的威胁防护 (4)2.9 业务⽀撑能⼒ (4)2.10 地址转换能⼒ (5)2.11 攻击防范能⼒ (5)2.12 防⽕墙的组⽹适应能⼒ (6)2.13 VPN业务 (6)2.14 防⽕墙管理系统 (6)2.15 防⽕墙的⽇志系统 (7)3 Secospace USG6000系列防⽕墙技术特点 (1)3.1 ⾼可靠性设计 (1)3.2 灵活的安全区域管理 (6)3.3 安全策略控制 (7)3.4 基于流会话的状态检测技术 (9)3.5 ACTUAL感知 (10)3.6 智能策略 (16)3.7 先进的虚拟防⽕墙技术 (16)3.8 业务⽀撑能⼒ (17)3.9 ⽹络地址转换 (18)3.10 丰富的攻击防御的⼿段 (21)3.11 优秀的组⽹适应能⼒ (23)3.12 完善的VPN功能 (25)3.13 应⽤层安全 (28)3.14 完善的维护管理系统 (31)3.15 完善的⽇志报表系统 (31)4 典型组⽹ (1)4.1 攻击防范 (1)4.2 地址转换组⽹ (2)4.3 双机热备份应⽤ (2)4.4 IPSec保护的VPN应⽤ (3)4.5 SSL VPN应⽤ (5)华为USG6000系列下⼀代防⽕墙产品技术⽩⽪书关键词:NGFW、华为USG6000、⽹络安全、VPN、隧道技术、L2TP、IPSec、IKE摘要:本⽂详细介绍了下⼀代防⽕墙的技术特点、⼯作原理等,并提供了防⽕墙选择过程的⼀些需要关注的技术问题。
USGS防火墙配置说明
ETH保留作为配置使用。出厂时已经设好,无需变更。
图31ETH0配置
1.3.
1.4.
选择GE0/0/1行右则的编辑 ,在弹出的界面中设置如下:
图32ETH1配置
配置项如下:
别名:保护
安全区域:trust
模式:交换
连接类型:Access
确定后第一次操作会弹出提示,如下图所示,确定即可。
图33模式切换确认提示
l2tp domain suffix-separator @
#
ipsec sha2 compatible enable
#
undo factory-configuration prohibit
#
undo telnet server enable
undo telnet ipv6 server enable
service-type web terminal
level 15
manager-user api-admin
password cipher @%@%+`^VN+p~RI@l]*Y'yIIT+3(8B8G)*:zmSCqC&uOr4jk;3(;+@%@%
service-type api
level 15
authentication-scheme admin_hwtacacs_local
authentication-scheme admin_ad_local
authentication-scheme admin_ldap_local
authentication-scheme admin_radius
#
interface GigabitEthernet0/0/0
硬件防火墙重点技术参数及要求
记录
规定支持基于IP地址、基于应用旳流量记录功能,涉及短时间周期和长时间周期;规定支持基于IP地址旳会话记录和基于应用合同旳会话记录或者自定义记录审计,涉及短时间周期和长时间周期(提供官方界面截图,招标时投标单位提供)
建议具有资质规定
中华人民共和国公安部颁发旳《计算机信息系统安全专用产品销售许可证》(必备)
方略管理
支持对防火墙方略命中次数旳记录功能(提供官方界面截图,招标时投标单位提供)
网络地址转换能力
具有完善旳地址转换能力,可以支持正向、反向地址/端口转换、双向地址转换等,可以提供完整旳地址转换解决方案。
身份认证方式
防火墙系统要支持多种身份认证技术,至少涉及Radius/LDAP/本地认证等;支持与AD域控服务器认证后实现IP+MAC+顾客旳三重绑定
高可用性
支持双机热备功能,涉及主备模式(A/S),主主模式(A/A);支持对服务器旳负载均衡,支持多种负载均衡方式;具有HA旳防火墙Session同步、NAT/PAT Cache同步,切换时所有连接不中断功能。
抗袭击能力
可以辨认并阻断常用旳网络袭击行为。
IPS入侵防御
支持对HTTP、FTP、SMTP、IMAP、POP3、TELNET、TCP、UDP、DNS、RPC、FINGER、MSSQL、ORACLE、NNTP、DHCP、LDAP、VoIP、NETBIOS、TFTP、SUNRPC和MSRPC等常用合同及应用旳袭击检测和防御。
中国信息安全认证中心颁发旳《中国国家信息安全产品认证证书》(三级)
中通过全球IPv6测试中心旳“IPv6 Ready”认证,并提供证书
国家版权局颁发旳多核操作系记录算机软件著作权登记证书
华为USG6300系列下一代防火墙招标规格引导
★采用非X86多核架构,支持交流双电源
★接口要求
千兆电接口数≥8,千兆光口数≥4
扩展插槽≥2个,最大接口数≥26个千兆接口+4个万兆接口(提供设备满配照片)
支持硬件电口Bypass卡(提供Bypass卡配置截图),支持≥200G硬盘
性能要求
★吞吐量≥4Gbps,最大并发连接数≥400万,每秒新建连接数≥6万
防火墙产品连续两年进入Gartner企业防火墙四象限,提供证明材料
具有《TL9000》品质管理体系认证证书,提供证书复印件,以及在TL9000证书查询网站的链接与截图证明
国家信息安全漏洞库漏洞提交厂商(提供CNNVD官网链接和截图)
USG63
指标项
技术规格要求
配置要求
★千兆电口≥4;千兆Combo接口≥2;SSL VPN并发数≥100;IPSecVPN隧道≥2000;虚拟防火墙数量≥50;3年IPS,AV,URL过滤特性库升级授权(选配)
硬件架构
★采用非X86多核架构,支持交流双电源
★接口要求
千兆电接口数≥4,千兆Combo(光电互斥)接口≥2
扩展插槽≥2个,最大接口数≥20个千兆接口+4个万兆接口(提供设备满配照片)
支持硬件电口Bypass卡(提供Bypass卡配置截图),支持≥200G硬盘
性能要求
★吞吐量≥3Gbps,最大并发连接数≥300万,每秒新建连接数≥3万
防火墙产品连续两年进入Gartner企业防火墙四象限,提供证明材料
具有《TL9000》品质管理体系认证证书,提供证书复印件,以及在TL9000证书查询网站的链接与截图证明
国家信息安全漏洞库漏洞提交厂商(提供CNNVD官网链接和截图)
USG635
华为数通产品售前培训资料
电源冗余
默认配置一块1150W AC电源,可增加选配一块 1150W AC电源,满足48口 POE+ 满供
关键敏捷特性 MPLS NetStream ACL 缓存
iPCA,第一次让IP网络感知业务质量 集成AC,有线无线融合管理 SVF超级虚拟交换机,一台设备管理一个园区 MPLS L2 VPN(VPWS/VPLS), MPLS L3 VPN 功能(路标V2R8版本) 支持 64K 1.5G大缓存,端口共享
AR路由器系列
AR3260
AR3200 系列
总部/大型分支
AR2220 AR2240
AR2200 系列
中型分支
AR1220W/ AR1220W-S
AR1200 系列
小型分支
AR1220 /AR1220-S
AR1220V
AR 201/201-S
AR 207V/207V-P
AR 207/207-S/207-P
8FE(4FE支持PoE)
0 802.11b/g/n 512M 256M 2 390 mm x 220 mm x 44.5 mm
8FE(4FE支持PoE)
0(缺省支持32路语音) 802.11b/g/n 512M 256M 2 390 mm x 220 mm x 44.5 mm
AR 1220 (背面)
百千 兆兆 下上 行行
S1700-8G-AC
S1724G S1700-52FR-2T2P-AC
S1700-26R-2T
S1700-52R-2T2P-AC
全 百 兆
S1700-16R S1700-8-AC
S1700-24R
S1700-24-AC
无管理
Web管理
千兆光接口数
支持主流应用软件的运行,包括但不局限于数据库、中间件、ERP等等。 功能性要求: 支持HA功能,当一台物理机发生故障时,之上的VM(虚拟机)可以实 现在集群之内的其它物理机上重新启动,保障业务连续性。 支持在线的VM迁移功能,可以在不停机的状态下,手工或自动地实现 VM在集群之内的不同物理机之间迁移,保障业务连续性。 VM的在线迁移功能能够实现同时迁移主机和存储。 VM具有容错机制,可以保证在硬件故障情况之下,业务系统的不中断 运行,保障高级别的业务连续性。 具有合理的内存调度机制,能够实现内存的过量使用(如共享页面技术 等),保障内存资源的充分利用。 支持将多个物理机组成集群,同时支持动态资源分配功能,可以实现 VM所拥有的资源(尤其是内存、存储等)可以自动地进行再分配,保障 业务系统的服务水平。 具有智能的电源管理功能,可以将集群内的物理机自行下电,支持节 能减排的政策性要求。 每个虚拟机可以支持虚拟多路CPU(vSMP)技术,以满足高负载应用环 境的要求。 虚拟机不但可以通过文件系统访问存储设备,而且支持直接访问裸设 备,可直接使用本地硬盘或集中存储,如SAN、NAS和iSCSI来安装虚拟 机。 虚拟化平台内建分布式虚拟交换机(vDSwitch),实现VM之间或与物理 机之间的网络调度,通过vDS对虚拟化集群环境进行统一的网络管理; 同时提供网络接口等。 提供防火墙能力,可以对端口(Port)配置基于IP的访问控制;同时在 虚拟交换机层面能够提供VLAN级别的防火墙设定。
威机构 NSS Labs 的 IPS 专项测试并获得 Approved 认证、为证明投标
产品的技术先进性,IPS 产品需多年入选国际知名第三方咨询机构
Gartner IPS 魔力象限,并提供引用证明文件。
产品厂商资质:厂商应具备足够的信息安全服务技术实力及安全服务
贵州广播电视大学(贵州职业技术学院)智慧校园弱电设备配置及投资预算
小计 日志存储服务器
数据中心
PR2280H
小计
服务器汇聚交换机
7
华为CE6851-48S6Q-HI服务器汇聚交换机
CE6851-HI-F-B0A
SFP-10G-CU1M
小计
8
寰创 CPS-PRO认证计费平台
CPS-PRO
CPS-LIC-10000
小计
9
寰创 CCS-PRO统一网管平台
序号 1
2 3
4
5 6
型号 核心交换机 华为S12712 V200R008_核心交换机 ET1BS12712S0 ET1D2MPUA000 ET1D2SFUA000 EH1D2VS08000 ET1D2T36SEA0 ET1D2X32SSC0 PAC-2200WF ET1SM2812700 RAIL-02 SFP-10G-CU3M 小计 华为S7703 V200R008_八鸽岩校区核心交换机 ES0Z1B03ACS0 ES0D0G24CA00 ES0D0X4UXA00 ES0SMS287700 E0N66RA00 小计 防火墙 华为 USG6650 万兆出口防火墙 USG6650-AC SM-HDD-SAS600G-A RAIL-02 LIC-VSYS-USG6000 LIC-SSL-200USG6000 LIC-SEC01-USG6000 LIC-CONTENT LIC-IPSAVURL-36USG6600 小计 华为 USG6630 V500R001_数据中心防火墙 USG6630-AC WSIC-2XG8GE Power-AC-B RAIL-02 LIC-VSYS-USG6000 LIC-SEC01-USG6000 LIC-CONTENT LIC-IPSAVURL-36USG6600 小计 审计 深信服AC-8000(审计流控网关)
华为交换机路由器及防火墙技术参数要求
设备详细技术参数要求1. 核心交换机设备技术要求功能大类技术要求及指标整机背板容量≥2.4Tbps*交换容量≥1.44Tbps*包转发率≥860Mpps业务槽位≥6支持独立双主控整机万兆端口密度>=72个(除了用于堆叠的万兆接口)支持全分布式转发支持无源背板支持风扇冗余,支持风扇模块分区管理,支持风扇自动调速提供整机高度数据电源要求支持分区供电,颗粒化电源,支持N+N电源冗余(AC和DC均支持)模块要求支持标准SFP, XFP, SFP+模块(支持标准SFP, XFP)万兆单板端口密度≥12千兆单板光接口密度>=48堆叠支持主控板堆叠,实配硬件用于堆叠,不占用业务槽位堆叠带宽>=256G单板要求要求所有配置单板能进行IPV4,IPV6,MPLS VPN线速转发二层功能支持整机MAC地址>128K;支持静态MAC;支持DHCP Client, DHCP Server,DHCP Relay;支持Option 82;支持4K VLAN支持1:1,N:1 VLAN mapping支持端口VLAN,协议VLAN,IP子网VLAN;支持Super VLAN;支持Voice VLAN;支持IEEE 802.1d(STP)、 802.w(RSTP)、 802.1s(MSTP) 支持VLAN内端口隔离支持端口聚合,支持1:1, N:1端口镜像;支持流镜像;支持远程端口镜像(RSPAN);支持ERSPAN, 通过GRE隧道实现跨域远程镜像;支持VCT,端口环路检测路由特性路由表≥128K支持静态路由ARP≥16K支持RIP V1、V2, OSPF, IS-IS,BGP支持IP FRR支持路由协议多实例支持GR for OSPF/IS-IS/BGP支持策略路由*所有实际配置板卡支持MPLS分布式处理,全线速转发支持MPLS TE支持L3 VPNQoS ACL≥32K支持SP, WRR,DWRR,SP+WRR, SP+DWRR调度方式;支持双向CAR;提供广播风暴抑制功能;支持WRED;安全性支持DHCP Snooping trust, 防止私设DHCP服务器;支持DHCP snooping binding table (DAI, IP source guard), 防止ARP攻击、DDOS攻击、中间人攻击;支持BPDU guard, Root guard。
华为USG6630防火墙实施配置手册项目实操
HUAWEI USG6630安全设备<实施报告>目录1概述 (4)1.1.项目说明 (4)1.2.项目总体架构图 (4)1.3.项目实施内容 (5)2配置信息 (6)3配置手册 (6)3.1开始 (6)3.2系统设置 (8)3.2.1时钟设置 (9)3.2.2管理员设置 (9)3.2.3License注册及管理 (11)3.2.4特征库升级 (11)3.2.5系统更新 (13)3.3对象设置 (14)3.3.1地址设置 (14)3.3.2服务设置 (16)3.3.3应用设置 (16)3.3.4用户设置 (17)3.3.5时间设置 (19)3.4网络设置 (19)3.4.1配置接口 (19)3.4.2DNS配置 (23)3.4.3DHCP配置 (23)3.4.4路由配置 (24)3.5策略配置 (25)3.5.1安全策略配置 (25)3.5.2NAT策略 (28)3.6SSL VPN配置 (30)3.6.1SSL VPN创建实例 (31)3.6.2SSL VPN访问方式 (35)3.7映射内网服务器到公网 (38)4设备配置文档(本次实施所涉及)................................................. 错误!未定义书签。
4.1USG6630防火墙..................................................................... 错误!未定义书签。
4.2Cisco 6509交换机 .................................................................. 错误!未定义书签。
4.2.1交换 ............................................................................... 错误!未定义书签。
华为USG 系列防火墙性能参数表
华为USG6000系列下一代防火墙详细性能参数表能,与Agile Controller配合可以实现微信认证。
应用安全●6000+应用协议识别、识别粒度细化到具体动作,自定义协议类型,可与阻断、限流、审计、统计等多种手段自由结合在线协议库升级。
注:USG6320可识别1600+应用。
●应用识别与病毒扫描结合,发现隐藏于应用中的病毒,木马和恶意软件,可检出超过500多万种病毒。
●应用识别与内容检测结合,发现应用中的文件类型和敏感信息,防范敏感信息泄露。
入侵防御●基于特征检测,支持超过3500漏洞特征的攻击检测和防御。
●基于协议检测,支持协议自识别,基于协议异常检测。
●支持自定义IPS签名。
APT防御与沙箱联动,对恶意文件进行检测和阻断。
Web安全●基于云的URL分类过滤,支持8500万URL库,80+分类。
●提供专业的安全URL分类,包括钓鱼网站库分类和恶意URL库分类。
●基于Web的防攻击支持,如跨站脚本攻击、SQL注入攻击。
●提供URL关键字过滤,和URL黑白名单。
邮件安全●实时反垃圾邮件功能,在线检测,防范钓鱼邮件。
●本地黑、白名单,远程实时黑名单、内容过滤、关键字过滤、附件类型、大小、数量。
●支持对邮件附件进行病毒检查和安全性提醒。
数据安全●基于内容感知数据防泄露,对邮件,HTTP,FTP,IM、SNS等传输的文件和文本内容进行识别过滤。
●20+文件还原和内容过滤,如Word、Excel、PPT、PDF等),60+文件类型过滤。
安全虚拟化安全全特性虚拟化,转发虚拟化、用户虚拟化、管理虚拟化、视图虚拟化、资源虚拟化(带宽、会话等)。
网络安全●DDoS攻击防护,防范多种类型DDoS攻击,如SYN flood、UDP flood、ICMP flood、HTTP flood、DNS flood、ARP flood和ARP欺骗等。
●丰富的VPN特性,IPSec VPN、SSL VPN、L2TP VPN、MPLS VPN、GRE等。
网络安全设备平台技术总要求
网络设备平台技术总要求:本次投标方所投网络设备和安全设备为同一品牌,投标方案中每个型号的硬件产品参数与给定参数大体相当,满足学校应用需求即可,各生产厂家具有自主知识产权的特殊性参数可以不同,软件主要是以功能为主。
系统要求统一网关,支持IPV6/IPV4统一计费,方便学院平滑过渡到IPV6,WEB认证(有线+无线),万兆主干+千兆桌面,安全流控,实名日志满足公安82号令要求。
所投产品须提供最新的原厂商宣传彩页;1、核心交换机具体要求如下(2台):根据学校实际应用情况及扩展性、背板带宽>=9Tbps,交换容量>=6Tbps,包转发率>=3500Mpps,支持电源模块冗余,电源插槽>=6,支持主控冗余,业务和引擎槽位数>=18;支持风扇支持动态调速,风扇数>=6;支持RIPv1/V2,并支持MD5认证、OSPFv2、BGP4、LPM Routing、黑洞路由、不同进程之间的路由引入;支持IPv4/IPv6受控组播、IPv6组播技术(MLB SNOOPING、PIM-SM for IPv6、PIM-DM for IPv6、PIM-SSM for IPv6、IPv6组播隧道、IPv6静态组播)、多级环网保护技术MRPP、柔性资源调度Flex-Resource、QinQ、安全ARP、多维ACL、IPv6 ACL、AM、AUTO VLAN和GUEST VLAN、IPv6安全RA、IPv6 URPF、IPv6 VRRPv3、DHCPv6功能,并提供国家权威机构的测试报告。
支持EMVTE并提供技术白皮书;支持基于ASIC(硬件)的IPv6。
基于ASIC的硬件IPv6转发是保证网络吞吐达到线速的必备条件,其他转发方式无法满足网络实际性能要求,为防止以次充好虚假应标,需要提供国家权威测试机构的报告,证明千兆和万兆端口转发IPv6流量均可达到线速。
支持ARP安全功能,防范ARP攻击,防止被大流量ARP攻击占满表项造成网络瘫痪,考虑实际应用中ARP攻击问题非常严重,为保证网络的稳定性,为防止以次充好虚假应标,需要提供国家权威测试机构的报告;要求提供IPv6 VRRPv3技术白皮书、DHCPv6技术白皮书、IPv6安全RA技术白皮书,要求通过IPv6 Ready Phase-2 enhanced 版认证,要求通过DHCPv6认证,并提供证书。
华为防火墙产品介绍及配置报价培训
2005年 发布应用系统加固软件SIS,并成功 应用到BT项目; 发布华为终端管理系统Numen, 并成功在多个行业得到应用 发布华为安全综合管理系统SIMS 发布华为业务监控网关SIG
2006年 成立存储与网络安全产品 线,正式启动大规模进入 安全市场;
HUAWEI TECHNOLOGIES CO., LTD.
存储及网络 安全
网络安全 存储 专用服务器 IP语音 集成与软件
公共平台
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 4
华为信息安全理念
纵深防御
关注重点: 外部攻击 实施功能:
1、安全分域 2、访问控制 3、入侵防范 4、安全隧道 问题: 对内部攻击无能为力
性能高,过于固 化,无法升级
CPU NP ASIC
基于多核处理器的USG系列
› 多核协同处理,数据处理能力大幅提高 › 采用高度集成技术,内置多个工作处理模块,
100/75W
平均无故障间隔时间 (MTBF)
37.54年
USG 5360
8G 150K 400/600万 50K 100
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 16
汇报提纲
• 华为公司存储与安全产品线介绍 • 华为公司防火墙系列产品介绍 • 华为公司防火墙产品功能介绍 • 华为公司防火墙配置报价指导 • 华为公司安全解决方案介绍
接口数量: 3个高速扩展插槽,1个低速扩展插槽,支持2/4/8FE、2/4/8FE-SFP、1/2GE-SFP、高速硬件加密卡
Eudemon8040/8080 城域网级流量的万兆线速防火墙
华为USG 系列防火墙性能参数表
华为USG6000系列下一代防火墙详细性能参数表能,与Agile Controller配合可以实现微信认证。
应用安全●6000+应用协议识别、识别粒度细化到具体动作,自定义协议类型,可与阻断、限流、审计、统计等多种手段自由结合在线协议库升级。
注:USG6320可识别1600+应用。
●应用识别与病毒扫描结合,发现隐藏于应用中的病毒,木马和恶意软件,可检出超过500多万种病毒。
●应用识别与内容检测结合,发现应用中的文件类型和敏感信息,防范敏感信息泄露。
入侵防御●基于特征检测,支持超过3500漏洞特征的攻击检测和防御。
●基于协议检测,支持协议自识别,基于协议异常检测。
●支持自定义IPS签名。
APT防御与沙箱联动,对恶意文件进行检测和阻断。
Web安全●基于云的URL分类过滤,支持8500万URL库,80+分类。
●提供专业的安全URL分类,包括钓鱼网站库分类和恶意URL库分类。
●基于Web的防攻击支持,如跨站脚本攻击、SQL注入攻击。
●提供URL关键字过滤,和URL黑白名单。
邮件安全●实时反垃圾邮件功能,在线检测,防范钓鱼邮件。
●本地黑、白名单,远程实时黑名单、内容过滤、关键字过滤、附件类型、大小、数量。
●支持对邮件附件进行病毒检查和安全性提醒。
数据安全●基于内容感知数据防泄露,对邮件,HTTP,FTP,IM、SNS等传输的文件和文本内容进行识别过滤。
●20+文件还原和内容过滤,如Word、Excel、PPT、PDF等),60+文件类型过滤。
安全虚拟化安全全特性虚拟化,转发虚拟化、用户虚拟化、管理虚拟化、视图虚拟化、资源虚拟化(带宽、会话等)。
网络安全●DDoS攻击防护,防范多种类型DDoS攻击,如SYN flood、UDP flood、ICMP flood、HTTP flood、DNS flood、ARP flood和ARP欺骗等。
●丰富的VPN特性,IPSec VPN、SSL VPN、L2TP VPN、MPLS VPN、GRE等。
华为交换机路由器及防火墙技术参数要求
设备详细技术参数要求1. 核心交换机设备技术要求功能大类技术要求及指标整机背板容量≥2.4Tbps*交换容量≥1.44Tbps*包转发率≥860Mpps业务槽位≥6支持独立双主控整机万兆端口密度>=72个(除了用于堆叠的万兆接口)支持全分布式转发支持无源背板支持风扇冗余,支持风扇模块分区管理,支持风扇自动调速提供整机高度数据电源要求支持分区供电,颗粒化电源,支持N+N电源冗余(AC和DC均支持)模块要求支持标准SFP, XFP, SFP+模块(支持标准SFP, XFP)万兆单板端口密度≥12千兆单板光接口密度>=48堆叠支持主控板堆叠,实配硬件用于堆叠,不占用业务槽位堆叠带宽>=256G单板要求要求所有配置单板能进行IPV4,IPV6,MPLS VPN线速转发二层功能支持整机MAC地址>128K;支持静态MAC;支持DHCP Client, DHCP Server,DHCP Relay;支持Option 82;支持4K VLAN支持1:1,N:1 VLAN mapping支持端口VLAN,协议VLAN,IP子网VLAN;支持Super VLAN;支持Voice VLAN;支持IEEE 802.1d(STP)、 802.w(RSTP)、 802.1s(MSTP) 支持VLAN内端口隔离支持端口聚合,支持1:1, N:1端口镜像;支持流镜像;支持远程端口镜像(RSPAN);支持ERSPAN, 通过GRE隧道实现跨域远程镜像;支持VCT,端口环路检测路由特性路由表≥128K支持静态路由ARP≥16K支持RIP V1、V2, OSPF, IS-IS,BGP支持IP FRR支持路由协议多实例支持GR for OSPF/IS-IS/BGP支持策略路由*所有实际配置板卡支持MPLS分布式处理,全线速转发支持MPLS TE支持L3 VPNQoS ACL≥32K支持SP, WRR,DWRR,SP+WRR, SP+DWRR调度方式;支持双向CAR;提供广播风暴抑制功能;支持WRED;安全性支持DHCP Snooping trust, 防止私设DHCP服务器;支持DHCP snooping binding table (DAI, IP source guard), 防止ARP攻击、DDOS攻击、中间人攻击;支持BPDU guard, Root guard。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
支持硬件电口Bypass卡(提供Bypass卡配置截图),支持≥200G硬盘
性能要求
吞吐量≥1Gbps,最大并发连接数≥150万,每秒新建连接数≥3万
包过滤
能够基于时间、用户/用户组、应用层协议、地理位置、IP地址、端口、内容安全统一界面进行安全策略配置
资质要求
具有公安部颁发的《计算机信息系统安全专用产品销售许可证》(三级),提供证书复印件
具有中国信息安全认证中心颁发的《中国国家信息安全产品认证证书》(三级),满足国家信息安全产品强制性要求,提供证书复印件
防火墙产品连续两年进入Gartner企业防火墙四象限,提供证明材料
具有《TL9000》品质管理体系认证证书,提供证书复印件,以及在TL9000证书查询网站的链接与截图证明
入侵防御
基于特征检测,支持超过3000特征的攻击检测和防御
病毒防护
可以支持HTTP、FTP、SMTP、POP3、IMAP等协议的病毒防护
流量地图
支持基于地理位置的流量和威胁分析(提供功能截图)
可靠性
支持BFD链路检测,支持BFD与VRRP联动实现双机快速切换,支持BFD与OSPF联动实现双机快速切换(提供功能截图)
数据安全
支持数据防泄露,对传输的文件和内容进行识别过滤,对内容与身份证、信用卡、银行卡、社会安全卡号等类型进行匹配(提供功能截图)
DDoS防护
支持HTTP、HTTPS、DNS、SIP等应用层Flood攻击,支持流量自学习功能,可设置自学习时间,并自动生成DDoS面NAT功能,对多种应用层协议支持ALG功能,包括ILS、DNS、PPTP、SIP、FTP、ICQ、RTSP等,支持单个公网IP的无限地址转换
华为USG6330防火墙技术参数
指标项
技术规格要求
配置要求
千兆电口≥4;千兆Combo接口≥2;SSL VPN并发数≥100;IPSec VPN隧道≥2000;虚拟防火墙数量≥50;3年IPS,AV,URL过滤特性库升级授权(选配)
硬件架构
采用非X86多核架构,支持交流双电源
接口要求
千兆电接口数≥4,千兆Combo(光电互斥)接口≥2(提供产品厂商官网上相关规格描述截图与链接)
具有中国信息安全认证中心颁发《信息安全应急处理服务资质》(一级),提供证书复印件
国家信息安全漏洞库漏洞提交厂商(提供CNNVD官网链接和截图)
路由功能
支持静态路由、策略路由、RIP、OSPF、BGP、ISIS等路由协议
协议识别
可识别应用层协议数量≥5000种(提供功能截图)
流量控制
可支持基于应用层协议设置流控策略,包括设置最大带宽、保证带宽、协议流量优先级等
策略调优及冗余分析
支持将基于端口的安全策略转换为基于应用的安全策略,分析设备策略风险,及冗余和失效策略,提供安全策略优化建议(提供功能截图)