技術建議書內部公開TIME\@"yyyy-M-d"2009-6-15機密，未經許可不得擴散第頁USG9300技術建議書目錄TOC\o"1-4"\h\z\u1 概述 31.1 網絡安全 31.2 網絡安全管理 32 ××網絡分析 32.1 ××網絡現狀 32.2 ××××網絡業務分析 32.3 ××網絡安全問題與分析 32.4 ××網絡安全需求 33 ××網安全解決方案 33.1 大型IDC中心或城域網安全解決方案 33.2 政府或大型企業網絡總部安全防護 33.3 大容量WAP網關安全防護 33.4 運營商各網絡平面隔離 33.5 ××網絡安全設備選擇 34 USG9300防火墻 34.1 高性能處理 34.2 多安全區域 34.3 多種功能模式 34.3.1 工作模式 34.3.2 集成路由功能 34.4 增強的報文過濾 34.4.1 更快捷的ACL查找 34.4.2 黑名單過濾惡意主機 34.5 多種NAT應用 34.5.1 地址轉換 34.5.2 內部服務器 34.5.3 多種NATALG 34.6 強大的攻擊防范能力 34.6.1 防范蠕蟲病毒 34.6.2 防范多種DoS攻擊 34.6.3 防范掃描窺探攻擊 34.6.4 防范其它攻擊 34.7 電信級高可靠性 34.7.1 可靠的產品設計 34.7.2 可靠性預測 31. 故障定義一：系統50%業務中斷稱為系統中斷 32. 故障定義二：單業務通道業務中斷稱為系統中斷 34.8 完備的流量監控 34.8.1 基本會話監控 34.8.2 承諾訪問速率 34.8.3 實時統計分析 34.9 認證 34.9.1 多種認證方式 34.10 安全保障的VPN應用 34.11 QoS質量保證 34.12 增強的日志管理 34.12.1 日志服務器 34.12.2 兩種日志輸出方式 34.12.3 多種日志信息 34.13 豐富靈活的維護管理 3豐富的維護管理手段 3基于SNMP的終端系統管理 3軟件熱補丁 34.14 符合多項測試和認證要求 34.15 USG9300規格 3概述Internet的普及為社會的發展帶來了巨大的推動力，但同時也產生了大量的網絡安全問題，越來越受到政府、金融、教育、電力、交通等機構以及眾多企業的重視。網絡安全問題主要包括兩個層面：網絡本身的安全問題和網絡安全管理問題。網絡安全Internet由于其開放性，使得非常容易遭受攻擊。隨著攻擊手段的變化多樣而且攻擊工具更容易獲取，以及基于僵尸網絡DDoS攻擊的出現，使得基于網絡層的攻擊層出不窮。主要的攻擊包括：ARPFlood、ICMPFlood、IPSpoofing、UDPFlood、Synflood、Smurf攻擊、Land攻擊、超大ICMP攻擊、Fragile攻擊、PingofDeath、TearDrop、PingScan、PortScan、IP路由選項攻擊、Tracert攻擊等等。網絡層攻擊的目標主要有三個：帶寬攻擊、主機或者網絡設備攻擊以及入侵前的主機掃描。帶寬攻擊指通過大量的攻擊數據包占用正常業務數據的帶寬，導致網絡帶寬擁擠，正常業務受到影響；主機或者網絡設備攻擊指的是攻擊者通過攻擊主機或者網絡設備的某個應用端口導致被攻擊設備處理不過來或者癱瘓使其不能處理正常業務數據；主機掃描指的是黑客在入侵之前通過IP或者端口掃描獲取網絡中活動的主機信息，為下一步入侵提供必要的信息。網絡安全管理網絡安全安全管理指的是企業對自身的網絡資源進行有效的安全區域、等級劃分，使得在網絡安全運行的基礎上，促進企業自身的信息安全管理水平，更好的保證企業正常運作。安全區域指的是在網絡中擁有相同網絡資源訪問權限的主機集合，安全區域的劃分主要依據企業內部部門的劃分，例如財務部門、研發部門、市場部門分別劃分為三個不同安全等級的安全區域。將一個企業進行清晰的安全區域劃分，大大簡化了企業的網絡資源控制與管理，在此基礎上，實施適合企業管理要求的安全策略管理，提高企業信息安全管理水平?！痢辆W絡分析××網絡現狀[此部分主要包括兩個部分(注意：要給出網絡的吞吐量，一般在10G流量以上，需要提供多個10G接口的時候使用USG9300產品，一般10－40G采用USG9310，10－80G采用USG9320)：1．××網絡拓撲圖，如果是新建網絡，則提供沒有安全設備的網絡拓撲圖，用來進行安全方案的分析。2．××網絡承載的業務，主要是內部業務以及出口網絡業務]××××網絡業務分析[給出現網的業務流分析圖，使得客戶對現有網絡安全問題理解的更加清晰]××網絡安全問題與分析[此部分主要包括以下幾個部分(主要根據與客戶的溝通以及我們自己的分析給出)：1．××網絡出口安全隱患：DoS攻擊，端口掃描4．××網絡業務安全隱患：需要對不同安全區域的業務進行過濾，豐富管理手段5．××網絡接入問題：設備提供豐富的VPN接入功能，實現安全訪問控制。7．××網絡地址轉換問題：專業的NAT設備，具有良好的性能以及靈活的策略NAT功能，以及豐富的NATALG功能。8．××網絡NAT事后追蹤：由于NAT隱藏了內部的網絡結構，使得內部訪問外網出現社會安全事件時，事后追蹤措施變得極為重要。提供專用的日志服務器，二進制的NAT日志存儲、查詢為事后追蹤提供重要的技術手段?！痢辆W絡安全需求[新增統一安全網關，用以滿足××網絡以下需求(根據××網絡安全問題與分析給出需求)：防范網絡攻擊：在網絡出口和不同的安全區域之間啟用網絡攻擊防范，防止外網網絡攻擊和部門之間網絡攻擊蔓延。安全區域劃分：將不同業務劃分為不同的安全區域?！璢舉例如下：由于各省會的PSDN要通過防火墻和ChinaNet相連，為用戶提供互聯網業務。因此，CDMA承載網也就不可避免地面臨各種安全風險。位于Pi口的防火墻設備將起到安全域隔離和抵御各種攻擊的作用。通過防火墻的安全域劃分和安全訪問控制，可以控制由外到內（下行）的非法訪問，通過該防火墻的攻擊防御功能，也可將來自ChinaNet上的各種針對網絡設備和服務的DDOS攻擊拒之門外。僵尸網絡仍然是網絡攻擊的基本手段和資源平臺。2007年CNCERT/CC抽樣監測發現感染僵尸程序的境內外主機數達623萬個，其中我國大陸有362萬個IP地址的主機被植入僵尸程序，并有1萬多個境外控制服務器對我國大陸地區的主機進行控制。僵尸網絡主要被利用發起拒絕服務（DdoS）攻擊、發送垃圾郵件、傳播惡意代碼，以及竊取受感染主機中的敏感信息，而由僵尸網絡發出的大流量、分布式DDOS攻擊是目前公認的世界難題，不僅嚴重影響互聯網企業的運作，而且嚴重威脅著我國互聯網基礎設施的運行安全。僵尸網絡的規模以1000以內規模的僵尸網絡居多。大規模的僵尸網絡仍然存在，有19個僵尸網絡操控的計算機（即“肉雞”）數量超過10萬臺。2007年監測到的僵尸網絡規模數量分布如下圖所示。未來僵尸網絡的規模有不斷擴大的趨勢。按照每臺僵尸在不被宿主發現的情況下，大致一般可以發出400K-500Kbps的小包攻擊流量，那么常見的DDOS攻擊流量將在400M-500M之間。但是達到2Gbps到3Gbps的程度DDOS攻擊也并不少見。根據公司的監測，2007年11月24日一天之內，國內某省的兩個IDC客戶各受到峰值2G的攻擊；攻擊持續時間40分鐘左右；2008年03月12日一天之內國內某省的4個IDC用戶受到攻擊，流量分別在800M，900M，830M，1G左右?！痢辆W安全解決方案大型IDC中心或城域網安全解決方案防火墻USG9300串連在大型IDC出口或城域網出口路由器上，在出口進行攻擊防范等處理。防火墻主要承擔以下功能：啟用防火墻攻擊防范以及訪問控制，抵御外來的各種攻擊。根據需要啟用地址轉換功能，滿足出口公網不足的需要。根據需要開啟虛擬防火墻功能，通過不同的虛擬防火墻與各大客戶對應，將不同的服務器群用VPN隔離開。啟用L2TPVPN的功能，允許移動用戶通過撥號的方式接入不同的VPN，訪問不同VPN里的業務或者設備。兩臺防火墻采用雙機熱備。在防火墻的兩側啟用VRRP和的專利技術VGMP保證流經防火墻的報文能夠始終經過同一臺防火墻。同時CE路由器也啟用VRRP。防火墻和CE路由器的靜態路由下一跳分別設置為對方的VRRP虛地址。當其中一個防火墻出現故障后，另外一個迅速升為主設備，同時發送免費ARP更新CE路由器的MAC表，這個過程對CE路由器透明，倒換非?？?。倒換之后，報文將經過CE路由器之間的二層板轉發到和主防火墻相連的CE路由器上，然后再轉發給防火墻。通過公司的VGMP技術，可以保證上行VRRP和下行VRRP組的主備狀態一致，即兩個VRRP組主設備始終是同一臺防火墻，因此避免了報文來回路徑不一致的問題。防火墻的倒換時間的基本可以做到小于1s的時延，對現網業務沒有影響。防火墻和路由器之間也可以采用OSPF路由協議來進行設備切換，防火墻兩側不啟用VRRP。這種方式需要防火墻快速備份會話表，確保報文經過哪一臺防火墻都可以正常轉發。設備切換時間依賴于OSPF路由協議的收斂時間。這種方式的優點是簡化配置，不需要配置靜態路由。主備兩臺防火墻之間的狀態同步可以選擇上行或者下行的業務鏈路，也可以同時選擇多個鏈路作為心跳鏈路。但是為了避免鏈路擁塞導致的心跳報文丟失，建議采用專線作為心跳線。確保不會出現雙主的情況。由于多個關鍵業務都要經過防火墻，設備的穩定性和倒換時間是一個影響業務的關鍵指標。因此建議采用第一種方式組網并采用專門的心跳線同步防火墻的狀態。方案特點：提供業界最優的防火墻性能，不會成為網絡瓶頸；提供高密度萬兆以太或POS出口，支持靈活組網；支持雙機熱備、板卡備份、鏈路聚合，提供高可靠性組網，不影響業務；千萬包每秒的抗攻擊能力，可抵御大流量攻擊，保護內部網絡；分布式擴展架構設備，便于網絡擴容；完善的防火墻功能，可支撐豐富的業務。政府或大型企業網絡總部安全防護防火墻USG9300放置在總部出口，主要承擔以下功能：啟用防火墻攻擊防范以及訪問控制，抵御外來的各種攻擊。根據需要啟用地址轉換功能，滿足出口公網不足的需要。根據需要開啟虛擬防火墻功能，通過不同的虛擬防火墻與各大客戶對應，將不同的服務器群用VPN隔離開。啟用L2TPVPN的功能，允許出差移動用戶通過撥號的方式接入不同的VPN，訪問不同VPN里的業務或者設備。如移動用戶訪問需要加密，可啟用L2TP＋IPSec的方式，保證用戶接入傳輸的可靠性。俄羅斯版本不包含IPsecVPN特性，請刪除藍色語句。兩臺防火墻采用雙機熱備。在防火墻的兩側啟用VRRP和的專利技術VGMP保證流經防火墻的報文能夠始終經過同一臺防火墻。同時CE路由器也啟用VRRP。防火墻和CE路由器的靜態路由下一跳分別設置為對方的VRRP虛地址。當其中一個防火墻出現故障后，另外一個迅速升為主設備，同時發送免費ARP更新CE路由器的MAC表，這個過程對CE路由器透明，倒換非?？臁５箵Q之后，報文將經過CE路由器之間的二層板轉發到和主防火墻相連的CE路由器上，然后再轉發給防火墻。通過公司的VGMP技術，可以保證上行VRRP和下行VRRP組的主備狀態一致，即兩個VRRP組主設備始終是同一臺防火墻，因此避免了報文來回路徑不一致的問題。防火墻的倒換時間的基本可以做到小于1s的時延，對現網業務沒有影響。防火墻和路由器之間也可以采用OSPF路由協議來進行設備切換，防火墻兩側不啟用VRRP。這種方式需要防火墻快速備份會話表，確保報文經過哪一臺防火墻都可以正常轉發。設備切換時間依賴于OSPF路由協議的收斂時間。這種方式的優點是簡化配置，不需要配置靜態路由。主備兩臺防火墻之間的狀態同步可以選擇上行或者下行的業務鏈路，也可以同時選擇多個鏈路作為心跳鏈路。但是為了避免鏈路擁塞導致的心跳報文丟失，建議采用專線作為心跳線。確保不會出現雙主的情況。由于多個關鍵業務都要經過防火墻，設備的穩定性和倒換時間是一個影響業務的關鍵指標。因此建議采用第一種方式組網并采用專門的心跳線同步防火墻的狀態。方案特點：提供業界最優的防火墻性能，不會成為網絡瓶頸；提供高密度萬兆以太或POS出口，支持靈活組網；支持雙機熱備、板卡備份、鏈路聚合，提供高可靠性組網，不影響業務；千萬包每秒的抗攻擊能力，可抵御大流量攻擊，保護內部網絡；分布式擴展架構設備，便于網絡擴容；完善的防火墻功能，可支撐豐富的業務。大容量WAP網關安全防護隨著移動用戶數量的迅猛增長，WAP業務的流量成幾何增長態勢，WAP網關急需大容量高性能安全網關進行安全隔離和攻擊防范。USG9310可提供10G－80G可擴展性能，滿足用戶日益增長的性能需求，千萬級別的大并發連接，保證大量移動用戶并發訪問，強DDoS防護能力，確保WAP網關業務穩定。運營商各網絡平面隔離××網絡安全設備選擇[根據具體的情況選擇USG9310或USG9320]匯總以上業務、以及安全防范的需求，總結出對防火墻的性能規格要求，綜合上面章節的分析，建議采用的防火墻設備需要滿足如下一些基本指標。新建連接數：×萬/秒并發連接數：×萬吞吐量：×GVPN：IPSec俄羅斯版本不包含IPsecVPN特性L2TPGRE俄羅斯版本不包含IPsecVPN特性接口數量：×設備配置：描述規格數量備注USG9310USG9310基礎配置包含機框、電源、主控板1必配USG9310交換網板交換網板2必配USG9310接口板10GE接口板N選配USG9310業務處理板防火墻安全業務處理模塊N選配USG9300防火墻USG9300防火墻采用36U/20U標準機箱，提供了多種接口板。USG9300防火墻在設計上秉承公司在電信領域的豐富經驗，采用全面的安全技術。USG9300防火墻提供了交流供電、直流供電兩種供電方案，并且支持電源1＋1備份，電源模塊及風扇模塊支持熱插拔，很好地滿足了電信級網絡對高可靠性的需求。USG9300防火墻采用多核處理器技術，提供豐富的業務和強大的安全防范性能。USG9300防火墻的主控部分采用高速PowerPC微處理器和實時操作系統，以公司擁有自主知識產權的VRP（VersatileRoutingPlatform）通用路由平臺為基礎，結合設備和網絡管理技術，具備完善的自身安全防范功能，并提供豐富的業務特性。安全部分采用高性能網絡處理器進行硬件處理，提供了強大的安全防范、業務加速能力。USG9300防火墻擁有一致的網絡界面、用戶界面和管理界面，具有很強的可伸縮性、可配置性，支持豐富的接口和業務特性。在組網應用方面，USG9300防火墻作為高性能安全設備提供全面的攻擊防范能力，提供全方位的、靈活的網絡解決方案，有效提高了網絡的安全級別。USG9300防火墻的軟硬件特性符合國際標準，保證了與其它廠家產品在各個層面上的互通，可最大限度地保護用戶的已有投資。高性能處理USG9310/9320定位于運營商用戶，通過采用NP技術提供線速的高性能安全防范和報文處理能力，在提供高性能的同時，還可以支持數萬條ACL（AccessControlList）規則。在整機最大吞吐量方面，USG9310可以達到40Gbps，USG9320可以達到80Gbps。多安全區域安全區域是一個或多個接口的組合，不同安全區域具有互不相同的安全級別。USG9310/9320支持多個安全區域，即除了支持本地區域（Local）、受信區域（Trust）、非受信區域（Untrust）、DMZ（DemilitarizedZone）區域四種預定義的安全區域外，還支持多個用戶自定義安全區域。通常：Trust域用來連接用戶要保護的內部網絡Untrust域連接外部網絡DMZ域連接用戶向外部提供服務的網絡Local域用來保護USG9300防火墻自身任何訪問設備自身的報文（如Telnet到設備）都被看作是從入接口所連接區域訪問Local域的跨域訪問，從而有效保護防火墻自己。當數據在兩個不同的安全區域之間流動的時候，就會激活防火墻的安全規則檢查功能。通過在安全區域之間設置不同的安全防范策略，可以靈活有效地監控進出該區域的信息流。此外，USG9310/9320還支持基于VLAN（VirtualLocalAreaNetwork）劃分安全區域。多種功能模式工作模式USG9310/9320支持多種功能模式，豐富了組網應用：路由模式：USG9310/9320各接口具有確定的IP（InternetProtocol）地址，內部網絡和外部網絡的設備都清楚到該USG9310/9320的路由，這種方式適合網絡初建時，IP地址統一規劃有助于全網絡管理。透明模式：USG9310/9320各接口不配置IP地址，以透明方式嵌入到內部網絡和外部網絡之間，內部和外部網絡的設備都察覺不到該USG9310/9320的存在。這種方式無需重新規劃網絡中的IP地址和路由，同時可以使USG9310/9320免受外界入侵?；旌夏Ｊ剑篣SG9310/9320既存在工作在路由模式的接口（接口具有IP地址），又存在工作在透明模式的接口（接口無IP地址），則防火墻工作在混合模式下?；旌夏Ｊ街饕糜陔p機熱備份應用，此時啟動備份功能的接口需要配置IP地址，其它接口不配置IP地址。集成路由功能USG9310/9320在提供豐富安全特性的同時，集成了部分路由能力，如靜態路由及RIP（RoutingInformationProtocol）、OSPF（OpenShortestPathFirst）、BGP（BorderGatewayProtocol）動態路由，同時還支持路由策略、路由迭代和路由管理，從而使得USG9310/9320的組網應用更加靈活。增強的報文過濾更快捷的ACL查找USG9310/9320不僅支持手工配置ACL規則，而且還支持動態添加/刪除ACL規則。另外，USG9310/9320基于TCAM技術進行ACL查找，在進行數萬條ACL規則的查找時處理速度保持不變，從而確保了ACL查找的高速度，提高了系統整體性能。黑名單過濾惡意主機USG9310/9320將某些可疑報文的源IP地址記錄在黑名單列表中，系統通過丟棄黑名單用戶的所有報文，從而有效避免某些惡意主機的攻擊行為，這項功能就為用戶群體廣泛的服務商或企事業機構提供了安全保證。USG9310/9320提供如下幾種黑名單列表維護方式：手工添加黑名單記錄，實現主動防御與攻擊防范結合自動添加黑名單記錄，起到智能保護系統根據ICMP（InternetControlMessageProtocol）、TCP（TransmissionControlProtocol）/UDP（UserDatagramProtocol）過濾情況維護黑名單列表多種NAT應用地址轉換NAT功能主要用于將私有網絡地址轉換為公有網絡（Internet）地址，同時也可以提供“內部服務器”功能。地址轉換地址轉換技術引入地址池的概念，在轉換時，USG9310/9320從地址池中根據特定規則選擇一個IP地址作為轉換后的源地址，完成地址轉換。這個選擇的過程對用戶來講是透明的。地址轉換包括兩種形式：支持一對一的純IP地址轉換支持基于地址池的IP地址轉換支持根據不同地址實施不同策略的地址轉換支持結合地址和端口（TCP/UDP協議的端口信息）進行PAT轉換（PortAddressTranslation）支持根據ACL規則進行地址轉換支持端口級地址轉換內部服務器內部服務器是一種“反向”的地址轉換，通過配置參數，使得某些私有地址的內部主機可以被外部網絡訪問。內部網絡的服務器是一臺配置了私有地址的機器，可以通過NAT為這臺主機映射一個合法的公網IP地址；或通過PAT為主機提供一個公網IP地址和端口，當外部用戶訪問該合法地址時，NAT或PAT網關（即USG9310/9320）就將該訪問請求送到了內部服務器，這樣就為外部網絡提供了“內部服務器”。多種NATALGNAT采用“注冊”方式支持多種NATALG（ApplicationLevelGateway），包括：支持FTP協議的NATALG支持NBT（NetBIOSoverTCP）協議的NATALG支持ICMP協議的NATALG支持H.323（包括T.120、RAS、Q.931和H.245等）協議的NATALG支持SIP和MGCP協議的NATALG支持RTSP協議的NATALG支持HWCC協議的NATALG支持DNS（DomainNameSystem）協議的NATALG支持ILS協議的NATALG支持PPTP（PointtoPointTunnelingProtocol）協議的NATALG支持對騰訊公司的QQ聊天會話的NATALG支持Microsoft公司提供的MSNmessenger聊天會話的NATALG通過“注冊”方式支持特殊協議，使軟件有良好的擴充性，無需更改軟件構架，很容易支持新的協議。強大的攻擊防范能力隨著Internet的廣泛應用，網絡攻擊手段越來越高明，并且越加隱蔽。按照攻擊采用的方式，網絡攻擊大致可以分為：病毒攻擊、DoS（DenialofService）攻擊、掃描窺探攻擊、其它攻擊。USG9310/9320提供強大的攻擊防范機制，對設備進行安全保護，防止非法報文對內部網絡造成危害。防范蠕蟲病毒目前，對Internet危害最大的是蠕蟲類病毒，每一次病毒發作時都開啟大量的連接、耗費巨大的網絡帶寬，導致巨額的經濟損失。這類病毒種類繁多，目前包括RedCode、MSBlast、SoBig、NetSky等。蠕蟲病毒發作的特點是：產生大量的連接去感染其他設備；蠕蟲病毒將啟動IP地址掃描/端口掃描以探測設備是否存在。USG9310/9320根據蠕蟲病毒的特點，設計了增強的流量監控/檢測功能、增強的用戶連接數檢測功能、增強的防IP地址掃描、防端口掃描功能及增強的黑名單功能。可以設定是否允許染毒用戶繼續通過，還是封閉該用戶一段時間。通過USG9310/9320的黑名單功能，可以提取出可疑的用戶列表名單。通過該名單，可以提供下一步的服務（如公告、在線殺毒等）。防范多種DoS攻擊通常，DoS攻擊使用大量數據包（或某些畸形報文）來攻擊系統，使系統無法正常響應合法用戶的請求，或者導致主機掛起從而不能提供正常的工作。DoS攻擊和其他類型的攻擊有顯著的區別，即攻擊者并不是去尋找進入內部網絡的入口，而是使得合法的用戶不能正常訪問資源，即對正常用戶拒絕服務。USG9310/9320可以有效地檢測出這些類攻擊報文，通過丟棄這些報文等處理措施避免攻擊行為，同時將這些攻擊行為記錄在日志中。目前，USG9310/9320可以防范十多種DoS攻擊，主要包括：SYNFlood攻擊、ICMPFlood、UDPFlood攻擊、Land攻擊、Smurf攻擊、Fraggle攻擊、WinNuke攻擊、ICMP重定向或不可達報文等。某些DoS攻擊是采用畸形報文，即通過向目標系統發送有缺陷的IP報文，使得目標系統在處理這樣的IP包時會出現崩潰，給目標系統帶來損失。USG9310/9320可以快捷地檢測出這類畸形報文，防范攻擊行為。這類畸形報文攻擊包括：TCP報文標志位（如ACK、SYN、FIN等）不合法、PingofDeath攻擊、TearDrop攻擊等。防范掃描窺探攻擊掃描窺探攻擊是利用ping掃射來標識網絡上存活著的系統，從而準確的定位潛在的目標；利用TCP和UDP端口掃描，就能檢測出操作系統監聽的潛在服務。攻擊者通過掃描窺探能大致了解目標系統提供的服務種類和潛在的安全漏洞，為進一步侵入系統做好準備。USG9310/9320通過比較分析，可以靈活高效地檢測出這類掃描窺探報文，從而預先避免后續的攻擊行為。這些掃描窺探攻擊包括：地址掃描、端口掃描、IP源站選路選項、IP路由記錄選項、利用tracert工具窺探網絡結構等。防范其它攻擊USG9310/9320除了可以有效防范多種DoS攻擊和掃描窺探外，還可以有效防范IPSpoofing攻擊，確保系統訪問權的安全。電信級高可靠性可靠的產品設計USG9310/9320全部采用專門設計的硬件系統，支持溫度監控、風扇自動調節轉速，可適應惡劣環境應用。同時，USG9310/9320的電源模塊采用雙電源（1＋1備份），兩個電源模塊互相熱備份，并支持熱插拔。電源倒換時不影響系統運行。按照電信級產品的要求設計，風扇支持熱插拔，滿足網絡對設備的高可靠性的要求?？煽啃灶A測USG9310/9320可靠性采用“BELLCORE電子設備可靠性預計手冊”中的計數法進行可靠性預計，該方法計算得到的是在工作溫度40℃，50%的電應力下的失效率冗余單元組成的系統，可采用Markov狀態圖的方法進行可靠性指標建模。串聯單元組成的系統，直接將各單元的可用度相乘得到系統的可用度。單元MTBF是單元失效率的倒數：MTBF=1/λ。A(Availability)=MTBF/(MTBF+MTTR)Downtime=525600×(1-A)mins/yrUSG9310/9320的平均修復時間MTTR只包括現場修理時間，而不包括人員到達的路途時間以及后勤管理所需的時間。根據MIL-HDBK-472，美軍標維修性預計手冊的原則，以及工程經驗和現場數據確定各單元及設備的平均修復時間MTTR為0.5小時。同理，假設冗余單元的倒換成功率為0.95。USG9310/9320的典型配置單板數量Power2（1：1）MPU2（1＋1）SFU4（3：1）LPU+SPU8故障定義一：系統50%業務中斷稱為系統中斷參考郵電部相關標準，定義當系統超過50%的業務中斷30秒，稱作系統中斷。根據此故障定義建立系統可靠性模型：在USG9310/9320系統中：主控板、時鐘板都采用采用1＋1冗余保護配置；交換網板采用3：1負荷分擔冗余保護配置，電源模塊采用1：1冗余保護配置；線路接口板有多個，定義當一半以上的線路接口板出現故障時，認為系統故障。即為N中取K冗余方式。得到USG9310/9320系統的可靠性模型框圖如下：故障定義二：單業務通道業務中斷稱為系統中斷對通信設備的某單個用戶來說，他所租用的業務通道故障，則系統對他提供的服務就中斷。這里選取典型業務為上行1*10G端口，下行12*1GE端口。為提高系統可靠性，USG9310/9320支持多種業務保護方式，這里10G端口采用1+1負荷分擔保護配置，12*1GE端口采用子卡冗余配置。定義當該業務通道中斷時系統故障。系統可靠性模型如下：根據以上介紹的計算方法論，可以得到USG9310/9320產品系統可靠性指標如下表所示系統可用度AMTBF(年)MTTR(小時)停機時間(分鐘/年)USG9320故障定義10.99999901457.890.50.52USG9320故障定義20.99999755223.320.51.29USG9310故障定義10.99999901457.890.50.52USG9310故障定義20.99999755023.290.51.29 詳細的可靠性預測報告可以參考可靠性預測報告附件。完備的流量監控所謂流量監控，主要是指USG9310/9320通過對系統數據流量和連接狀況進行監視，在發現異常情況時采取適當的處理措施，有效地防止網絡受到外界的攻擊。支持多種流量監控，主要包括：基本會話監控、承諾訪問速率、實時流量統計等。基本會話監控根據不同類型流量在一定時間內所占的百分比進行監測和告警處理，通過監控IP地址或接口的總連接數，對超過閾值的連接進行限制。限制主要包括：承諾訪問速率承諾訪問速率技術包括分類服務、速率限制，將進入網絡的報文按多種形式進行分類，對不同類別的流量給予不同的處理，通過采用限制承諾信息速率、承諾突發尺寸、超出突發尺寸等措施有效進行流量監管。實時統計分析監測內部、外部網絡的連接狀況，對輸入和輸出的IP報文進行數十種實時統計，主要統計如下：全局總會話和總流量的相關信息應用層協議相關信息丟棄包的相關信息對TCP報文的RST、FIN報文詳盡的分類統計認證多種認證方式USG9310/9320提供了認證、授權和計費的一致性框架，對網絡訪問安全進行了集中管理。USG9310/9320提供本地認證、標準RADIUS（RemoteAuthenticationDial-InUserService）認證、RADIUS+認證、HWTACACS（HuaweiTerminalAccessControllerAccessControlSystem）認證。提供明文、MD5（Message-DigestAlgorithm5）鑒權等手段，支持本地用戶管理，可驗證用戶身份的合法性并為合法用戶進行授權，防止非法用戶進行訪問。安全保障的VPN應用俄羅斯版本不包含IPsecVPN特性俄羅斯版本不包含IPsecVPN特性USG9310/9320可以通過軟件或硬件加密卡提供IPSec（IPSecurity）安全機制，為通訊雙方提供訪問控制、無連接完整性、數據來源認證、反重放、加密以及對數據流分類加密等服務。通過AH（AuthenticationHeader）和ESP（EncapsulatingSecurityPayload）這兩個安全協議來實現對IP數據報或上層協議的保護，支持傳輸和隧道兩種封裝模式。USG9310/9320不僅支持IPSecVPN（VirtualPrivateNetwork）應用，為用戶提供高可靠的安全傳輸通道，而且還能結合L2TP（Layer2TunnelingProtocol）和GRE（GenericRoutingEncapsulation）構建多種VPN應用：L2TPVPNGREVPNL2TPoverIPSecVPNGREoverIPSecVPNIPSecoverL2TPIPSecoverGRE利用USG9310/9320構建IntranetVPN，通過公用網絡互連企業各個分支機構，作為傳統專線網絡或其它企業網的擴展及替代形式；構建AccessVPN，為SOHO（SmallOffice/HomeOffice）等小型用戶搭建通過PSTN（PublicSwitchedTelephoneNetwork）/ISDN（IntegratedServicesDigitalNetwork）網絡訪問公司總部資源的安全通路；構建ExtranetVPN將企業網絡延伸至合作伙伴與客戶處，使不同企業間通過公網進行安全、私有的通訊。QoS質量保證QoS（QualityofService）也稱服務質量，主要通過流量分類、流量監管和整形、擁塞管理、擁塞避免和流量整形等措施對廣域網（如封裝PPP（PointtoPointProtocol）、幀中繼FR（FrameRelay）和HDLC（HighDataLinkControl）等）或局域網絡上的流量進行管理，最大限度地降低延遲、抖動等因素對傳輸信息的影響，針對不同需求提供多種不同的服務質量。流分類：依據一定的匹配規則識別出對象。流分類是有區別地實施服務的前提。流量監管和整形：當流量超出規格時，可以采取限制或懲罰措施，以保護運營商的商業利益和網絡資源不受損害。利用緩沖區和令牌桶，提供GTS（GenericTrafficShaping）。擁塞管理：將報文放入隊列中緩存（目前支持FIFO（FirstIn,FirstOutQueuing）、PQ（PriorityQueuing）、CQ（CustomQueuing）、WFQ（WeightedFairQueuing）、CBQ（ClassBasedQueuing）等隊列），并采取某種調度算法安排報文的轉發次序。擁塞避免：監督網絡資源的使用情況，當發現擁塞有加劇的趨勢時采取主動丟棄報文的策略，通過調整流量來解除網絡的過載。USG9300防火墻支持針對多媒體/NGN（NextGenerationNetwork）業務做特殊的QoS處理，包括針對多媒體/NGN業務可以打特殊的QoS標簽等功能。增強的日志管理日志服務器為了集中性地接收并存儲USG9310/9320、IDS等網絡安全設備的日志，公司推出了專門的“日志服務器”軟件及XLog日志服務器，為用戶提供便捷的日志瀏覽和查詢功能，并對日志進行分析。日志服務器軟件按照功能分為前臺管理、后臺進程兩部分。前臺管理提供數據庫配置、日志相關配置、日志分類查詢等操作；后臺進程包括日志收集進程、監聽進程兩種。日志服務器軟件可以自定義接收日志類型，提供日志存儲、多種日志查詢和導出、日志備份。兩種日志輸出方式USG9310/9320不僅能通過文本方式輸出SYSLOG日志；而且還針對流經設備的數據流量大和日志信息豐富等特點，創建基于流狀態的信息表，并通過二進制方式輸出高速流日志。和SYSLOG日志相比，二進制高速流日志更適合傳輸日志信息量大的應用，要求較高的網絡傳輸速度。多種日志信息USG9310/9320提供完整、統一的日志信息描述，日志類型包括：攻擊防范日志當發生大量攻擊時，USG9310/9320利用隊列機制對設備支持的攻擊防范特性提供日志告警信息，通過SYSLOG方式輸出告警，告警信息包括攻擊來源（源地址）和攻擊種類等。流量監控日志USG9310/9320根據安全域、IP地址等參數進行流量監控，判斷速率或連接數目是否達到上限或下限值，當達到上限時觸發告警并記錄日志，從而有效監控流量；當達到下限時，也觸發告警，指示系統恢復正常。黑名單日志USG9310/9320對于在檢測中發現的非法用戶，自動將該用戶的源IP地址加入到黑名單中，并產生一條黑名單日志，該日志記錄主機地址、加入原因等信息。多種統計信息記錄流統計信息，了解設備運行狀況。這些流統計信息包括：總的連接數目、當前連接及半連接數目、最高峰值及丟棄報文數目。記錄各種攻擊報文的數目，了解攻擊事件的發生情況。豐富靈活的維護管理豐富的維護管理手段USG9310/9320可以通過如下方式進行本地或遠程維護：支持通過Console口進行本地配置和維護。支持通過在AUX接口采用Modem撥號方式實現遠程配置和維護。支持通過Telnet方式實現本地或遠程配置和維護。支持SSH（SecureShell）維護管理方式，實現在不能保證安全