ASG2000系列安全Web网关

Secoway USG 2000系列产品华为Secoway USG 2000系列统一安全网关是华为公司针对中小企业安全业务需求，推出的新一代多功能安全网关，可广泛应用于中小企业、大型企业分支机构、SOHO办公类用户、以及网吧出口网关等，华为Secoway USG 2000系列统一安全网关采用模块化设计，集安全、路由、交换、无线（WiFi、3G）等特性于一体，接口类型丰富，性能领先，能为中小企业、大型企业分支机构、SOHO办公类用户、以及网吧出口网关提供安全防护，并能提供集成的网络出口安全与互联解决方案，降低企业总所有成本TCO，提升企业的效率，是中等及中小型企业网络的理想安全防护设备！产品系列Secoway USG2110：采用固定接口形态，提供百兆位的性能和方便易用的可管理性，带1个固定的Untrust 10/100接口和4个固定的Trust 10/100接口。

Secoway USG2120 & 2130：是统一集成的防火墙/VPN/安全路由器/安全交换机系统，提供百兆位的性能、模块化架构、WIFI接入和丰富的路由器、交换机功能，带1个固定的Untrust 10/100接口和8个固定的Trust 10/100接口，并附加1个MIC扩展插槽，可灵活扩展广域网或局域网接口。

USG2130还额外支持一个Express接口，专门用来扩展3G接口。

Secoway USG2210 & 2220：是统一集成的防火墙/VPN/安全路由器/安全交换机系统，提供数百兆位的性能、模块化架构和丰富的路由器、交换机功能，带2个固定的10/100/1000接口。

USG2210附加1个FIC 扩展插槽和4个MIC扩展插槽，USG2220附加2个FIC扩展插槽和4个MIC扩展插槽，可灵活扩展广域网或局域网接口，并可以扩展支持WIFI接入。

产品特性业内首款集路由，交换，安全，无线（WiFi、3G）于一体的安全网关Secoway USG 2000系列集路由、交换、安全、无线（WiFi、3G）功能于一体，1台Secoway USG 2000系列 = 数台传统路由器+数台传统交换机+数台传统防火墙，能有效帮助企业提高效率、降低维护复杂度，降低企业总成本TCO。

Juniper Networks NetScreen-ISG 2000(1)Maximum Performance and Capacity (2)Firewall performance 2 Gbps 3DES performance1 Gbps Deep Inspection performance 300 Mbps Concurrent sessions 512,000New sessions/second 30,000Policies 30,000Interfaces Up to 8 Mini GBIC (SX or LX),up to 28 10/100Mode of OperationLayer 2 mode (transparent mode)(5)Yes Layer 3 mode (route and/or NA T mode) Yes NA T (Network Address Translation)Yes PA T (Port Address Translation)Yes Policy-based NA T Yes Virtual IP 8(4)Mapped IP8,192(3)Users supportedUnrestrictedFirewallNumber of network attacks detected 31Network attack detection Yes DoS and DDoS protections Yes TCP reassembly for fragmented packet protection Yes Malformed packet protections Yes Deep Inspection firewall Yes Stateful protocol signatures Yes Protocols supported HTTP , FTP , SMTP , POP 3, IMAP , DNS Content Inspection Yes Malicious Web filtering up to 128 URLs External Web filtering (Websense)Yes Integrated Web filtering No VPNConcurrent VPN tunnels up to 10,000(3)Tunnel interfacesup to 1,024(3)DES (56-bit), 3DES (168-bit) and AES encryption Yes MD-5 and SHA-1 authentication Yes Manual Key, IKE, PKI (X.509)Yes Perfect forward secrecy (DH Groups)1,2,5Prevent replay attack Yes Remote access VPN Yes L2TP within IPSec Yes IPSec NA T traversalYes Redundant VPN gateways YesFirewall and VPN User Authentication Built-in (internal) database - user limit 1,500(3)3rd Party user authentication RADIUS, RSA SecurID, and LDAPXAUTH VPN authentication Yes Web-based authentication Yes System ManagementWebUI (HTTP and HTTPS)Yes Command Line Interface (console)Yes Command Line Interface (telnet)YesCommand Line Interface (SSH)Yes, v1.5 and v2.0 compatibleJuniper Networks NetScreen-ISG 2000(1)System ManagementNetScreen-Security ManagerYes All management via VPN tunnel on any interface Yes SNMP full custom MIB Yes Rapid deployment NoLogging/MonitoringSyslog (multiple servers)External, up to 4 serversE-mail (2 addresses)Yes NetIQ WebTrends External SNMP (v2)Yes TracerouteYes VPN tunnel monitorYes VirtualizationMaximum number of Virtual Systems 0 default, upgradeable to 50(6)Maximum number of security zones 26 default, upgradeable to 126(6)Maximum number of virtual routers 3 default, upgradeable to 53(6)Number of VLANs supported 500 max RoutingOSPF/BGP dynamic routing up to 8 instances each (3)RIPv2 dynamic routing up to 50 instances supported (3)Static routes20,000Source-based routingYesHigh Availability (HA)Active/Active Yes Active/PassiveYes Redundant interfacesYes Configuration synchronizationYes Session synchronization for firewall and VPN Yes Session failover for routing change Yes Device failure detection Yes Link failure detectionYes Authentication for new HA members Yes Encryption of HA traffic Yes IP Address Assignment StaticYes DHCP , PPPoE client No Internal DHCP server No DHCP relayYes PKI SupportPKI Certificate requests (PKCS 7 and PKCS 10)Yes Automated certificate enrollment (SCEP)Yes Online Certificate Status Protocol (OCSP)Yes Certificate Authorities Supported Verisign Yes Entrust Yes Microsoft Yes RSA KeonYes iPlanet (Netscape)Yes Baltimore Yes DOD PKIYesJuniper Network’s Integrated Security Gateway,the NetScreen-ISG 2000,is a purpose-built,high-performance system designed to deliver scalable network and application security for large enterprise,carrier and data center networks. Integrating best-of-breed Deep Inspection firewall,VPN and DoS solutions,the JuniperNetworks NetScreen-ISG 2000 enables secure,reliable connectivity along with network and application-level protection for key,high-traffic network segments. The NetScreen-ISG 2000 is built on Juniper Network’s next-generation architecture which includes a fourth generation security ASIC,the GigaScreen 3,high speedmicroprocessors and add-on security modules to provide the predictable,multi-Gigabit performance needed for the most demanding network segments.Juniper Networks NetScreen-ISG 2000Juniper NetworksNetScreen-ISG 2000(1)AdministrationLocal administrators database20External administrator database RADIUS/LDAP/SecurID Restricted administrative networks6Root Admin, Admin, and Read Only user levels YesSoftware upgrades TFTP/WebUI/NSMConfiguration Roll-back YesTraffic ManagementGuaranteed bandwidth NoMaximum bandwidth Yes, per physical interface Priority-bandwidth utilization NoDiffServ stamp Yes, per policyExternal FlashCompactFlash™Supports 128 or 512 MBIndustrial-Grade SanDisk Event logs and alarms YesSystem config script YesNetScreen ScreenOS Software YesDimensions and PowerDimensions (H/W/L) 5.25/17.5/23 inchesWeight52 lbs.Rack mountable19” standard, 23” optional Power Supply (AC)90 to 264 VAC, 250 watts Power Supply (DC)-36 to -72 VDC, 250 wattsLicensing Options: The NetScreen-ISG 2000 is available with two licensing options to provide two different levels of functionality and capacity.Advanced Models: The Advanced software license provides all of the features and capacities listed within this specsheet.Baseline Models: The Baseline software license provides an entry-level solution for customer environments where features such as Deep Inspection™, OSPF and BGP dynamic routing, advanced High Availabilty, and full capacity are not criticalrequirements. The following table shows the features and capacities that are different than the Advanced models:NetScreen-ISG 2000 Baseline AdvancedSessions256,000512,000Concurrent VPN tunnels1,00010,000Deep Inspection Firewall No YesVLANs100500OSPF/BGP No YesHigh Availability (HA)Active/Passive Active/ActiveCertificationsSafety CertificationsUL, CUL, CSA, CBEMC CertificationsFCC class A, CE class A, C-Tick, VCCI class AEnvironmentOperational temperature: 32°to 122°F, 0°to 50°CNon-operational temperature: -4°to 158°F, -20°to 70°CHumidity: 10 to 90% non-condensingMTBF (Bellcore model)7.6 yearsSecurityPending Ordering InformationProduct Part NumberNetScreen-ISG 2000 Bundles Advanced*NetScreen-ISG 2000 system 1 4 port 10/100 I/O Module NS-ISG-2000-P00A-S00 NetScreen-ISG 2000 system 1 8 port 10/100 I/O Module NS-ISG-2000-P01A-S00 NetScreen-ISG 2000 system 1 Dual-Port mini-GBIC NS-ISG-2000-P02A-S00I/O ModuleNetScreen-ISG 2000 system 1 dual port 10/100/1000NS-ISG-2000-P03A-S00Copper I/O ModuleNetScreen-ISG 2000 Bundles Baseline*Netscreen-ISG 2000 system 1 4 port 10/100 I/O Module NS-ISG-2000B-P00A-S00 Netscreen-ISG 2000 system 1 8 port 10/100 I/O Module NS-ISG-2000B-P01A-S00 Netscreen-ISG 2000 system 1 Dual port mini-GBIC NS-ISG-2000B-P02A-S00I/O ModuleNetScreen-ISG 2000 system 1 dual port 10/100/1000NS-ISG-2000B-P03A-S00Copper I/O Module*All systems include 2 AC power supplies and 0 virtual systemsNetScreen-ISG 2000 Virtual System UpgradesVSYS Upgrade 0 to 5NS-ISG-2000-VSYS-5 VSYS Upgrade 5 to 25NS-ISG-2000-VSYS-25 VSYS Upgrade 25 to 50NS-ISG-2000-VSYS-50 VSYS Upgrade 0 to 25NS-ISG-2000-VSYS-025 VSYS Upgrade 0 to 50NS-ISG-2000-VSYS-050Every Virtual System includes 1 virtual router and 2 security zones, usable in the virtual or root systemNetScreen-ISG 2000 ComponentsI/O Module - Dual Port Mini GBIC-SX NS-ISG-2000-SX2I/O Module - Dual Port Mini GBIC-LX NS-ISG-2000-LX2I/O Module - 4 Port 10/100 Fast Ethernet NS-ISG-2000-FE4I/O Module - 8 Port 10/100 Fast Ethernet NS-ISG-2000-FE8I/O Module - Dual Port 10/100/1000 Gig Ethernet NS-ISG-2000-TX2SX transceiver (mini-GBIC)NS-SYS-GBIC-MSXLX transceiver (mini-GBIC)NS-SYS-GBIC-MLXAC power supply NS-ISG-2000-PWR-AC DC power supply NS-ISG-2000-PWR-DC Japan power cord option NS-ISG-2000-JAPANFan module NS-ISG-2000-FANRack Mount Kit (19 in., all mounting hardware)NS-ISG-2000-RCK-01 Rack Mount Kit (23 in., all mounting hardware)NS-ISG-2000-RCK-02 Blank Interface Panel NS-ISG-2000-IPAN Blank Power Supply Cover NS-ISG-2000-PPAN(1)Performance, capacity and features listed are based upon systems ScreenOS 5.0.0 and may vary with other ScreenOS releases. Actual throughput may vary based upon packet size and enabled features.(2)Performance and capacity provided are the measured maximums under ideal testing conditions. May vary by deployment.(3)Shared among all Virtual Systems(4)Not available with Virtual Systems(5) NA T, PA T, policy based NA T, virtual IP, mapped IP, virtual systems, virtual routers, VLANs, OSPF, BGP, RIPv2, Active/Active HA,and IP address assignment are not available in layer 2 transparent mode(6)Requires purchase of virtual system key. Every virtual system includes one virtual router and two security zones, usable inthe virtual or root system.1194 North Mathilda Avenue Sunnyvale, CA 94089 USA Phone: 888-JUNIPER (888-586-4737) or 408-745-2000 Fax: 408-745-2100Copyright © 2004 Juniper Networks, Inc. All rights reserved.Juniper Networks, the Juniper Networks logo, NetScreen, NetScreen Technologies, GigaScreen, and the NetScreen logo are registered trademarks of Juniper Networks, Inc. NetScreen-5GT, NetScreen-5XP, NetScreen-5XT, NetScreen-25, NetScreen-50, NetScreen-100, NetScreen-204, NetScreen-208, NetScreen-500, NetScreen-5200, NetScreen-5400, NetScreen-Global PRO, NetScreen-Global PRO Express, NetScreen-Remote Security Client, NetScreen-Remote VPN Client, NetScreen-IDP 10, NetScreen-IDP 100, NetScreen-IDP 500, GigaScreen ASIC, GigaScreen-II ASIC, and NetScreen ScreenOS are trademarks of Juniper Networks, Inc. All other trademarks and registered trademarks are the property of their respective companies.Part Number: 110011-003 Sept 2004。

HUAWEI ASG2000 应用安全网关V100R001C10SPC200升级指导书发布日期2016-03-03华为技术有限公司版权所有© 华为技术有限公司2016。

保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。

除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。

除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼邮编：518129网址：目录1 升级前必读 (1)1.1 升级场景说明 (1)1.2 升级方式介绍 (2)1.3 升级流程 (3)1.4 升级影响 (6)1.4.1 升级过程中对现行系统的影响 (6)1.4.2 升级后对现行系统的影响 (6)1.5 注意事项 (7)2 ASG设备版本升级 (8)2.1 升级前准备 (8)2.1.1 准备升级环境 (8)2.1.2 获取升级所需的文件 (9)2.1.3 查询当前版本软件的信息 (10)2.1.4 确认License的使用情况 (10)2.1.5 查询设备的运行状态 (11)2.1.6 查询业务的运行情况 (12)2.1.7 保存和备份重要数据 (13)2.2 单机环境下的版本升级 (16)2.2.1 通过Web方式升级 (16)2.3 双机热备环境下升级ASG版本软件 (21)2.3.1 简介 (21)2.3.2 升级过程 (21)2.4 升级结果验证 (23)2.4.1 检查升级后的版本软件信息 (23)2.4.2 检查License的状态 (23)2.4.3 检查设备的运行状态 (24)2.4.4 检查配置是否恢复 (24)2.4.5 检查业务是否正常 (25)2.5 版本回退 (26)3 ASG管理中心升级 (27)3.1 升级前准备 (27)3.1.1 获取升级所需的安装包 (27)3.1.2 保证升级所需磁盘空间 (28)3.1.3 查询当前版本软件的信息 (28)3.1.4 查询采集器的运行状态 (28)3.1.5 查询当前管理的设备状态 (28)3.1.6 查询业务的运行情况 (28)3.1.7 分布式部署的版本信息 (30)3.2 集中式部署升级 (30)3.2.1 升级ASG管理中心 (30)3.2.2 验证升级结果 (33)3.2.3 升级异常处理 (34)3.3 分布式部署升级 (35)3.3.1 升级日志采集器 (35)3.3.2 验证升级结果 (38)3.3.3 采集器升级异常处理 (39)3.3.4 升级ASG管理中心服务器 (39)4 附录A：通过BootROM方式升级版本软件 (40)4.1 背景信息 (40)4.2 升级流程 (41)4.3 升级操作 (41)5 附录B：通过Console口搭建升级环境 (46)5.1 操作步骤 (46)5.2 故障处理 (48)5.2.1 忘记Console口密码的解决方法 (48)6 附录C：如何解决升级后自定义应用协议分类缺失 (50)7 附录D：申请License文件 (53)8 附录E：软件完整性校验 (56)9 附录F：升级记录表 (57)10 附录G：缩略语 (59)11 附录H：手动增加手机类型对象定义 (60)1 升级前必读关于本章1.1 升级场景说明1.2 升级方式介绍1.3 升级流程1.4 升级影响1.5 注意事项1.1 升级场景说明ASG主要包括两部分：ASG设备、ASG管理中心。

USG2100USG2200USG2000系列产品是华为赛门铁克公司为解决中小机构网络安全问题，而自主研发的统一安全网关。

USG2000基于业界领先的软、硬件体系架构，具备防火墙、防病毒、入侵防御、应用控制、URL 过滤、VPN 、反垃圾邮件等多种安全能力，支持IPv6协议，为用户提供强大、可扩展、持续的安全能力。

在政府、金融、电力、电信、石油、教育、工业制造等行业得到广泛应用。

强可靠的UTM —有效保障用户关键业务融合赛门铁克先进的IPS 和反病毒技术，涵盖多种解压算法， ■整合虚拟引擎、脚本解析引擎、PDF 引擎等独特引擎技术，融合多种反躲避检测技术，采用华为赛门铁克公司专有的“一体化检测引擎”技术，配合持续更新的特征库，铸就99%以上的检测率，实现真正安全。

IPS 入侵防御 ●功能采用了赛门铁克公司先进的IPS 检测引擎，可提供高效、精准的网络报文扫描能力，对于IPS 躲避和欺骗技术也可以做到准确识别。

AV 防病毒 ●模块采用了赛门铁克公司先进的病毒检测引擎，对于隐藏在网络流量中的病毒，具有高效、精准的查杀能力。

AS 反垃圾邮件 ●模块有效拦截垃圾邮件，净化企业邮件系统，解决垃圾邮件对正常工作带来的干扰问题。

URL 过滤 ●功能采用先进的匹配引擎，极大的缩短了URL 匹配时间，使得URL 过滤功能更加的高效。

高易用的UTM —即开即用，动态更新，实时保障华为赛门铁克USG 系列的UTM 功能，结合在全球客户的实践经■优势特性产品说明USG2000系列产品采用领先的嵌入式多核架构，传承多年在通讯、网络领域的研发、设计能力，满足各种严苛的国际认证规范，提供高可靠性保证。

基于Symantec 的先进的IPS 、AV 检测技术和丰富的特征库，检测率高达99%以上，在零配置的前提下，实现强大的安全防护能力。

USG2100系列，包括USG2130、USG2160，均为模块化非标准1U 设备。

USG2130标准配置1WAN+8LAN 端口，1个USB 接口，提供1个MIC 扩展槽，可支持扩展多种接口模块。

瞻博网络公司集成安全网关(ISG)系列产品瞻博网络公司集成安全网关（ISG）适用于保护企业网络、运营商和数据中心环境的安全，在这些环境中，IP语音（VoIP）和流媒体等高级应用需要可扩展的一致性能。

瞻博网络公司的ISG 1000和ISG 2000 是专用的安全性解决方案，利用第四代安全ASIC（GigaScreen3）以及高速微处理器来提供无与伦比的防火墙和虚拟专网（VPN）性能。

ISG 1000 和ISG 2000 集成了最佳的防火墙，VPN 和可选的入侵检测与防护（IDP）功能，能够为关键的高流量网段提供安全可靠的连接以及网络和应用级保护。

产品描述瞻博网络公司的ISG 1000和ISG 2000是全面集成的防火墙/VPN 系统，提供：数千兆位的性能模块化架构丰富的虚拟化功能它们是面向大型企业、数据中心和电信运营商网络的理想解决方案。

基于ISG系列防火墙/VPN的系统提供入侵防护系统(IPS)、防垃圾邮件、Web过滤和互联网内容适配协议(ICAP)防病毒重定向支持等安全特性。

您可通过可选的集成IDP进一步扩展这个高级系统或将系统作为通用分组无线业务(GPRS)防火墙/VPN产品提供给移动网络电信运营商环境。

ISG系列防火墙/VPN 采用模块化架构，允许部署大量的铜线和光纤接口选件。

虚拟系统、虚拟局域网和安全区等高级特性允许灵活地分割并隔离属于不同可信级别的流量。

ISG 系列防火墙/VPN 允许对多个不同的防火墙实施检测或路由策略，以简化网络设计。

这将允许用户对流量流实施安全策略，不会对网络本身产生很大的影响–即便在极为复杂的环境中也不例外。

ISG系列的架构提供卓越的灵活性和高效性，在单一解决方案的三个不同的部署配置——防火墙/VPN、防火墙/VPN/IDP和IDP中均提供最先进的性能和最佳功能。

ISG 1000 最多支持两个安全模块，ISG 2000最多支持三个安全模块。

每个安全模块都有自己的专用处理资源和内存并提供旨在加速处理IDP数据包的技术，从而可减少所需的单独的安全产品和管理应用的数量，简化部署流程并降低网络复杂性，继而降低成本。

网康应用安全网关ASG——产品概述NS-ASG 产品是集IPSEC VPN和SSL VPN为一体的新一代VPN产品，为客户实现安全、易用、高效的连接。

需求背景要想有效率且安全地运作网络服务，会遇到如下问题：●不在单位内网的员工可能使用各种移动终端访问公司内网的CRM/OA/知识库等应用系统●有较多分支机构，租赁端到端的专线价格昂贵●重要的专线资源没有备份，出现问题会造成业务中断●高校用户从外网访问教育网资源速度过于缓慢●WLAN等移动网络因为其开放性带来的安全问题功能特性IPSec VPNASG提供标准的IPSec网络层连接功能，解决异地机构安全互连的问题。

SSL VPNASG使用安全套接层（SSL协议）提供数据加密，保证数据在公网上传输的安全。

企业员工、合作伙伴、移动办公人员可以通过任何标准的浏览器实现远程安全接入。

接入用户认证ASG支持多种静态与动态用户认证技术，用于对远程接入用户进行高精度的认证与授权。

另外，这些用户认证技术可以通过功能组合的方式来完成双因素可多因素认证。

应用访问授权ASG的用户在使用VPN服务时，直观看到的是每一个他有权使用的内部应用。

用户对于应用的使用权限通过访问安全策略来限制。

终端准入控制ASG支持对客户接入的终端计算机进行安全扫描，对于不符合安全接入条件的计算机予以屏蔽。

安全扫描要素包括：操作系统种类、版本、操作系统补丁、文件、注册表、进程、杀毒软件以及IP地址等。

日志报表ASG可以对系统管理员的登录与操作、用户登录信息、应用资源的使用以及系统错误都形成日志，并且提供了丰富的信息统计与报表工具。

产品优势IPSec VPN+SSL VPN双通道，提供高速、强壮的互连互通考虑到IPSec与SSL各自的技术特性，可以来综合两种技术于一般使用场景中，即远程访问用户采用SSL方式，而局域网互联时采用IPSec方式，通过网康科技的二合一技术，某一个通过SSL进行远程访问的移动用户可以即时地访问虚拟网络内的应用资源，而不用关心访问该应用时是否需要经过IPSec隧道。

ASG2000系列上网行为管理产品ASG2000系列产品是华为公司面向企业机构设计的专业上网行为管理产品，具备业界应用识别最丰富，威胁防护最全面的特点。

该系列产品提供应用控制、带宽管理、URL过滤、恶意软件防护、数据防泄漏、行为审计等多项功能，有效控制QQ、MSN、P2P下载、在线视频、股票软件等上网行为，为企业机构提升员工工作效率、营造安全办公环境、以及法规遵从提供了一体化的解决方案。

ASG2000系列产品包括： ASG2050，ASG2100，ASG2150，ASG2200，ASG2600，ASG2800等六个型号产品。

均为模块化设备，提供多个扩展槽，支持多种I/O模块选配。

ASG2000系列产品是华为公司面向企业机构设计的专业上网行为管理产品，是业界应用识别最丰富，威胁防护最全面的上网行为管理产品。

该系列产品提供应用控制、带宽管理、URL过滤、恶意软件防护、数据防泄漏、行为审计等多项功能，有效控制QQ、MSN、P2P下载、在线视频、股票软件等上网行为，为企业机构提升员工工作效率、营造安全办公环境、以及法规遵从提供了一体化的解决方案。

ASG2000系列产品包括： ASG2050，ASG2100，ASG2150，ASG2200，ASG2600，ASG2800等六个型号产品。

均为模块化设备，提供多个扩展槽，支持多种I/O模块选配。

产ASG2050 ASG2100 ASG2150 ASG2200 ASG2600 ASG2800型号适用规模50-200人100-400人200-800人400-1500人1000-5000人 3000人以上固定接口2×GE（combo）2×GE（combo）+4×GE（RJ45）2×GE（combo）+4×GE（RJ45）2×GE（combo）+4×GE（RJ45）4×GE（combo）+4×GE（RJ45)4×GE（combo）+4×GE（RJ45)扩展槽位2×FIC1×FIC1×FIC1×FIC2×FIC2×FI CASG2000系列产品支持多种接口卡，包括FE/GE/WIFI等，按使用槽位的不同，分为MIC、FIC、DFIC卡（双FIC高）。

1.1.1 EG2000行业系列下一代网关产品图片产品概述锐捷网络RG-EG2000系列网关产品是适用于多个行业的业务加速类网关产品。

设备配以高性能的MIPS多核硬件体系架构，拥有业务加速通道、精准流控、上网行为管理、可视化VPN、智能选路、防火墙、高性能的NAT、Web认证等多个功能。

凭借着丰富的功能，RG-EG系列能够极有效的优化用户网络，规范上网行为，全方位的加速关键业务开展，提高业务系统使用体验。

产品特性业务加速通道——成倍提高关键业务访问速度，提升业务系统使用体验RG-EG2000系列网关支持业务加速通道功能，可以通过传输数据压缩、传输数据去重、低质线路优化、TCP协议栈优化、多线路捆绑等多个互联网加速技术，有效解决远程访问总部业务系统慢的问题，达到成倍提升业务系统访问速度的效果，使得业务系统可以真正的开展起来。

精准流控——保障关键业务带宽，业务开展通顺流畅RG-EG2000系列网关，可以实现对网络带宽资源的全面管控，让带宽空闲时随意使用、带宽紧张时按需分配，保障关键业务的顺畅开展。

RG-EG2000系列网关能精准识别P2P应用、流媒体、企业办公系统等30几大类、1500多种应用特征，可实现更加精细合理的进行带宽管理。

上网行为管理——规范上网行为，提高工作效率RG-EG2000系列网关对内网用户的上网行为进行精细化管理。

屏蔽各种与工作无关的网站，营造良好工作氛围，提高工作效率；可对聊天工具、邮件、论坛、微博、搜索引擎等提供安全审计功能，保护内网信息安全。

可视化VPN——VPN隧道内流量可视可控，业务保障无死角RG-EG2000系列网关将VPN 的配置简化到了极致，只需简单的鼠标操作即可完成配置，无需专业人员维护。

还可以对VPN隧道内的流量进行查看和控制，建立起可视化的VPN 网络，为通过VPN开展的关键业务提供保障。

智能选路——优选数据传输路径，合理利用多条带宽资源当网络拥有多条出口线路时，选路规划的不合理会造成上网慢、带宽资源浪费等问题。

NG2000系列多业务企业网关产品介绍产品图片略产品概述NG2000多业务企业网关是迈普公司面向中小企业用户推出的新一代出口网关产品，它集成了2/3层数据转发、防火墙、3G、VPN、安全认证、智能流控、上网行为管理等丰富功能，可在充分节约用户投资的情况下为50台终端以下的小型企业用户提供安全可靠的网络接入。

NG2000系列可便捷地部署于企业网络出口，产品智能识别超过600种应用协议，轻松解决P2P占用带宽、病毒威胁、信息泄露、上网行为不可控等问题。

产品特征多合一节约投资NG2000系列集成了出口网关、防火墙、VPN、安全认证、智能流控、上网行为管理等功能，满足小企业用户网络的各种需求，大大降低网络投资和维护成本。

多W AN口扩展出口带宽提供1个固定WAN接口，另外3个WAN/LAN接口可复用，允许接入多条不同/相同运营商线路，实现带宽叠加、线路备份、线路分流、策略路由等，让网络更快更稳定。

另外网关配备USB2.0接口，可以使用3G上网卡在有线无法使用时作应急，保证重要事务不因运营商线路故障而耽误。

智能QOS弹性控制带宽只需设置好出口带宽，不用对终端进行任何限速设置，网关即可根据QOS智能运算进行速度调整，从而保证高优先级的网页、邮件等办公需求的带宽，提高办公效率。

支持600多种协议的智能控制识别当前热门应用程序，进行行为控制，速度限制、带宽保证、策略路由等，可轻松解决P2P程序占用带宽的问题，提高网络质量；封锁热门软件，避免员工上班时间聊天、炒股、娱乐影响工作效率；基于类别的网站访问控制，避免员工上班时间访问无关网站，提升工作效率；特征库自动在线更新，无须担心产品功能过时。

另外控制可基于时间设置，可在上班时间禁用，休息时间让员工任意使用，让员工感受企业人性化管理，工作娱乐两不误。

VPN借线，远端用户享受多线接入效果利用VPN原理，来借用服务端的网络出口，使单线路用户也能享受到电信、联通、移动多线接入的效果，资源访问更流畅。

华赛Secospace USG 2000系列统一安全网关技术白皮书华赛科技有限公司Huaweisymantec Technologies Co., Ltd.目录目录 (1)1概述 (4)1.1小型办公机构网络安全问题 (4)1.2硬件防火墙技术简介 (4)1.3防火墙设备的使用原则 (5)2USG 2000系列统一安全网关的特点 (5)2.1丰富的组网适应能力 (6)2.1.1丰富路由功能 (6)2.1.2高密度的端口支持 (6)2.1.3WiFi扣板或者插卡支持WLAN (7)2.1.43G接口卡支持WWAN (8)2.1.5扩展接口卡支持ADSL2+ (9)2.1.6快速的二层交换能力 (9)2.2安全策略控制 (9)2.2.1灵活的规则设定 (9)2.2.2基于时间段的规则管理 (10)2.2.3MAC地址和IP地址绑定 (10)2.2.4动态策略管理－黑名单技术 (10)2.2.5多种认证手段 (11)2.3基于状态检测的防火墙 (11)2.3.1基于会话管理的核心技术 (11)2.3.2ASPF深度检测技术 (12)2.3.3状态检测技术的优势 (12)2.4业务支撑能力 (13)2.4.1对多通道协议支持完善的安全保护 (13)2.4.2业务支持的完整性 (13)2.4.3支持完善的多媒体业务 (14)2.4.4支持QoS业务 (14)2.5地址转换服务(NAT) (15)2.5.1稳定的地址转换性能 (15)2.5.2灵活的地址转换管理 (15)2.5.3内部服务器支持 (16)2.5.4全面的业务支撑 (17)2.5.5对注册服务支持良好 (17)2.5.6无数目限制的PAT方式转换 (18)2.6攻击防范能力 (19)2.6.1丰富的Dos防御手段 (19)2.6.2高级的TCP代理防御体系 (19)2.6.3ARP攻击防御 (20)2.6.4扫描攻击防范 (20)2.6.5畸形报文防范 (21)2.7统一威胁管理（UTM） (21)2.7.1入侵防御IPS (21)2.7.2邮件过滤 (22)2.7.3上网行为管理 (23)2.8特色的VPN接入功能 (23)2.8.1L2TP VPN (24)2.8.2IPSEC VPN (24)2.8.3MPLS L3 VPN (25)2.8.4SSL VPN (26)2.8.6灵活的VPN 管理 (27)2.9完善的管理系统 (28)2.9.1丰富的维护管理手段 (28)2.9.2基于SNMP的终端系统管理 (28)2.10日志系统 (28)2.10.1日志服务器 (29)2.10.2两种日志输出方式 (29)2.10.3多种日志信息 (29)3结束语 (30)华赛Secospace USG 2000系列统一安全网关技术白皮书Keywords 关键词：USG统一安全网关、网络安全、VPN、隧道技术、L2TP、IPSec、IKE、3G、Wi-Fi、ADSL2+Abstract 摘要：USG 2000系列统一安全网关包括USG 2130/2210/2220/2230/2250共五款产品，本文详细介绍了USG 2000系列统一安全网关备的技术特点、工作原理等，并提供了安全网关选择过程的一些需要关注的技术问题。

华赛Secospace USG2000系列统一安全网关<产品概述>华赛Secospace USG2000系列统一安全网关（下称USG2000）是华赛公司针对中小企业安全业务需求，推出的新一代高性能中低端统一安全网关，USG2000系列采用华赛VRP软件平台，集防火墙、防DDOS、入侵保护（IPS）、反垃圾邮件、P2P阻断和限流、IM软件控制、无线局域网WiFi（802.11a/b/g/n混合模式）、3G接入、L2TP/IPSEC/SSL/MPLS VPN等特性于一体,能为中小企业、大型企业分支机构网络、以及网吧出口网关提供高性能的安全防护，帮助企业提升工作效率，是中等及中小型企业网络的理想安全防护设备！<产品系列><产品特点>中低端统一安全网关的集大成者---一机多能，提高效率，节省投资USG2000系列集防火墙、防DDOS、入侵保护（IPS）、反垃圾邮件、P2P软件阻断和限流、IM软件控制、L2TP/IPSEC/SSL/MPLS VPN于一体，真正把主流安全功能集成在一台设备上，有效帮助用户提高安全防护能力，提高办公效率，节省投资。

领先的嵌入式多核架构---高性能的用户体验USG2000采用领先的嵌入式多核架构，性能远远领先于其他普通架构，确保IPS/反垃圾邮件/P2P阻断与限流/NAT/ASPF/防DDoS/VPN等多种业务高速并行处理，特别是为UTM功能的流畅使用提供了性能保证。

完整的VPN解决方案---适应多种业务加密传输要求USG2000系列为用户提供了GRE、L2TP、IPSec、SSL、MPLS等多种VPN 组网技术，同时，USG2000系列内置了高性能硬件加解密芯片，使产品加密性能在同档次产品中处于领先位置；USG2000系列支持DES、3DES、AES等多种加密算法，能够为用户提供高强度的加密传输保障，同时，USG2200支持IKEv2协议，强化了用户认证、报文认证、NAT穿越等功能，消除了中间人攻击和拒绝服务攻击隐患。

H3C ACG应用控制网关一、产品概述H3C SecPath ACG（Application Control Gateway）是业界识别最全面、控制手段最丰富的高性能应用控制网关，能对网络中的P2P/IM带宽滥用、“地下”VoIP、“一拖N”、网络游戏、炒股、多媒体应用、非法网站访问等行为进行精细化识别和控制；同时，可对网络流量、用户上网行为进行深入分析与全面的事后审计，并具有强大的URL过滤功能，进而帮助用户优化其网络资源，全面了解网络应用模型和流量趋势，开展各项业务提供有力的支撑。

图1 SecPath ACG2000-M外观二、典型组网1、集中式在线部署（1）适用于大中型企业用户，以透明方式在线部署于网络出口（2）对P2P/IM/网游/炒股软件/非法网站访问等各种应用进行监控和管理（3）对用户上网行为进行分析与事后审计（4）支持统一管理图2 SecPath ACG2000-M集中式部署2、分布式旁挂部署（1）适合于运营商城域网，对非法VoIP业务、“一拖N”等进行监控和管理（2）监控能力强、不影响业务运营（3）支持分布式部署的统一管理图3 SecPath ACG2000-M分布式部署三、产品综述1、强大的P2P/IM业务监控通过H3C长期积累的状态机检测技术，能精确检测Thunder（迅雷）、BitTorrent、eMule（电骡）、eDonkey（电驴）、QQ、MSN、PPLive等近百种P2P/IM应用。

同时，可基于时间、用户、区域、应用协议等，对P2P/IM应用进行告警、限流、干扰或阻断。

2、完善的安全审计系统可对各种P2P/IM、网络游戏、网络多媒体、文件共享、邮件收发、数据传输等各种上网行为提供全方面的行为监控和记录；同时，通过综合分析、检测用户网络流量与流向趋势，事后对历史数据进行分析，为用户提供细粒度的网络行为审计管理系统。

3、强大的过滤功能通过自定义IP地址、主机名、正则表达式等方式设置URL特征库，支持根据不同的URL策略设置不同的响应方式，支持根据时间表对不同的URL策略设置不同的响应动作，避免保密信息的外泄，免受非法信息的干扰，确保网络的健康使用。

Juniper ISG2000 集成安全网关---- 一个全面集成的FW/VPN/IDP系统，具有多Gb性能、一个模块化架构和丰富的虚拟化功能，提供高达4 Gbps防火墙吞吐量和2 Gbps可选集成IDP吞吐量。

基本的FW/VPN系统支持4个I/O 模块和3个安全模块，用于IDP集成。

主要技术参数备注：(1)本文提供的并发会话数是根据目前所提供ISG硬件而得出的最大值。

原来的ISG产品可能需要可选的内存升级才能实现最大的并发会话数量。

在不采用可选的内存升级的情况下，ISG 1000的最大防火墙/VPN并发会话数为250,000，ISG 2000的为500,000。

已安装了可选IDP升级包的原有ISG 产品可实现最大的并发会话数量，无需内存升级。

(2)L2透明模式中不支持NAT、PAT、基于策略的NAT、虚拟IP、映射IP、虚拟系统、虚拟路由器、VLAN、OSPF、BGP、RIPV2、主/主HA和IP地址分配。

防火墙的关键指标并发连接数指的是什么？－选择防火墙必读！并发连接数是指防火墙或代理服务器对其业务信息流的处理能力，是防火墙能够同时处理的点对点连接的最大数目，它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力，这个参数的大小直接影响到防火墙所能支持的最大信息点数。

并发连接数是衡量防火墙性能的一个重要指标。

在目前市面上常见防火墙设备的说明书中大家可以看到，从低端设备的500、1000个并发连接，一直到高端设备的数万、数十万并发连接，存在着好几个数量级的差异。

那么，并发连接数究竟是一个什么概念呢？它的大小会对用户的日常使用产生什么影响呢？要了解并发连接数，首先需要明白一个概念，那就是“会话”。

这个“会话”可不是我们平时的谈话，但是可以用平时的谈话来理解，两个人在谈话时，你一句，我一句，一问一答，我们把它称为一次对话，或者叫会话。

同样，在我们用电脑工作时，打开的一个窗口或一个Web页面，我们也可以把它叫做一个“会话”，扩展到一个局域网里面，所有用户要通过防火墙上网，要打开很多个窗口或Web页面发（即会话），那么，这个防火墙，所能处理的最大会话数量，就是“并发连接数”。

整合式安全网关NetScreen-ISG 2000
佚名
【期刊名称】《信息网络安全》
【年(卷),期】2004(000)005
【摘要】4月13日，NetScreen宣布推出业内第一款整合了多种最佳网络周界安全功能的整合式安全网关NetScreen-ISG 2000(Integrated Security Gateway)．可在有效防护来自网络层及麻用层的威胁，应对不断增加且更为隐蔽的网络攻击，同时为企业和运营商的网络性提供最优化的性能并降低网络复杂性，平衡有限的网络资源和预算。

【总页数】1页(P63)
【正文语种】中文
【中图分类】TN91
【相关文献】
1.以人为本推进整合式医疗服务的发展——"整合式医疗服务高峰论坛"综述 [J],
2.整合式安全网关 [J], 王国峰
3.重组维度·双轨分析:小学低年级整合式评价的改进策略
——以一年级科学和数学学科整合式评价的三次改进为例 [J], 沈凤娜
Screen推出新一代整合式网络安全网关 [J],
5.整合式Web安全网关面世 [J],
因版权原因，仅展示原文概要，查看原文内容请购买。

Internet 提供組織一個與客戶、合作夥伴、以及雇員聯繫的新契機。

在其呈現出絕佳機會的同時，它也隱藏在安全性、效能與管理性方面的新風險和考量。

Microsoft Internet Security and Acceleration (ISA) Server 可以滿足今日以Internet 為基礎的商務需求。

ISA Server 提供了一項多層式防火牆，可協助保護您的網路資源。

ISA Server 的Web 快取處理可讓組織節省網路頻寬，並且從本端來源來伺服物件，而不是透過會定期擁塞的Internet，以便對使用者提供更快速的Web 存取。

不論將ISA Server 部署為專用元件，或整合防火牆及快取處理伺服器，它都會提供一致的管理主控台，以簡化安全設定與存取管理。

ISA Server 是專門為Windows 2000 平台而建置，所以能以強大的整合式管理工具，來提供安全且快速的Internet 連線。

對於各種規模的組織中，那些關心安全性、效能、管理性或網路作業成本的資訊技術管理者、網路管理者以及資訊安全專業人員而言，ISA Server 能夠提供他們寶貴的資料。

ISA Server 可在一系列的實例中使用，範圍涵蓋了小型辦公室與分公司，到Internet 服務提供者(ISP) 以及Web 主機代管公司與電子商務站台。

適用讀者此手冊是為了想要學習在其網路中如何安裝與部署ISA Sever 的系統專家、網路系統管理員，以及小型企業的超強使用者而撰寫的。

本手冊假設您已熟悉基本的網路概念，包括對DNS、DHCP、路由及遠端存取、傳輸控制通訊協定/網際網路通訊協定(TCP/IP) 網路作業，以及其他Windows 網路作業元件。

手冊目的此手冊呈現給您ISA Server 的總覽，以及規劃此軟體執行方式所需的背景資訊。

在此手冊中，也包含關於安裝程序的詳細程序、後置安裝設定的檢查清單，以及ISA Server 如何在您的網路中使用的詳細範例實務。

安码科技:四系列产品护航网络安全作者：来源：《中国计算机报》2012年第17期安码科技拥有安御、安备、安测和安容四个系列的产品。

安御系列的Web安全网关采用硬件网关和软件配合的方式，对Web服务器的安全漏洞、攻击手段及最终攻击结果进行扫描、防篡改、防护及诊断，提供综合的Web应用安全解决方案；安码ASG应用安全网关提供了灵活的管理策略，根据企业的需求，定制个性化的管理方案，帮助各企业建立安全、高效、健康、和谐的网络环境；安码ADS应用交付内聚了独有的多核多线程调度、高速协议栈等关键技术，能够极大的提高服务器的可用性，保障链路的可靠性和安全性，高效地将负载均衡给客户，改善用户访问体验，降低IT投资成本。

安备系列的安码存储产品分为SCS100系列、SCS1000系列，SCS100系列为中低端存储市场产品，分为DAS、IP-SAN和FC-SAN网络部署产品，以最低的价格，高性能、高稳定性、多功能的产品适用中低端用户需求。

SCS1000系列为中高端存储市场产品，分为DAS、NAS、IP-SAN、FC-SAN网络部署产品，具备良好的性能和优异的可靠性，能够满足大型企业、政府、教育、金融证券、能源、通信、监控、音视频制作等行业对进行存储部署的磁盘阵列设备需求。

安码应用数据安全存储网关通过对前端实现应用访问权限的策略控制，对数据传输实现高强度的加密安全传输，对后端实现应用数据的全盘透明加密存储，有效保证iSCSI存储数据的安全性，同时也大大降低了应用数据加密的复杂性，有效保障了企事业单位的数据安全。

安码数据安全存储网关是专门为政府、军队、教育、大型企业的分支机构和中小型企业的应用数据安全存储打造的集安全加固内核、存取和访问控制、身份认证、磁盘透明加解密、日志追踪、iSCSI控制、网络阵列等多项技术于一身的加密存储设备。

安码容灾备份系统，能够提供实时备份、数据持续回退、业务接管、集中备份集中管理、异地容灾、备机查询、跨平台跨数据库异构等数据服务功能，是一套能够做到真正的CDP，能够实现业务的连续性，并且能够容错以及远程容灾的容灾备份系统。

天空卫士Web安全网关增强了
佚名
【期刊名称】《网络安全和信息化》
【年(卷),期】2017(000)008
【摘要】增强型Web安全网关（ASWG）面向企业级用户，采用统一内容安全（UCS）技术，集成了数据防泄漏模块，可以优化并保护网络上用户的Web应用，和网络数据内容传输安全，应对整个Web安全数据链中各种安全威胁和数据窃取。

【总页数】1页(P25-25)
【正文语种】中文
【中图分类】TP393
【相关文献】
1.卫士通新一代安全网关NGSG——内容安全与网络安全融合 [J], 罗柏胜;罗俊
2.为基于Web连接提供安全保护Check Point全新Web安全网关-Connectra [J], 晓齐
3.三足鼎立:边界+内部+Web--Check Point推出全新Web安全网关 [J], 段红
4.安全网关Web密码丢失的处理 [J], 代善国
5.天空卫士发布ASWG增强型Web安全网关 [J],
因版权原因，仅展示原文概要，查看原文内容请购买。