新架构下的引领者USG9500统一安全网关


作者:author 添加日期:2013-10-29 [留言]


防火墙产品一直以来都占据着网络安全产品中的重要位置。为了满足用户的网络规模不断扩大、各种应用业务日益增多的要求,防火墙体系架构经历了从x86PPC软件防火墙向高性能专用硬件防火墙的过渡。

现在,单纯靠提高CPU主频和CPU内核的数量已经无法满足电信运营商等高端用户的万兆级以上需求了。

这就要求我们从其他方面入手来提高安全产品的整体处理性能。分布式处理是一个很好的选择。在高端交换机/路由器领域,一般采用机架式体系架构、插板式功能模块、分布式处理系统。

总体来说,防火墙的架构演进大致分为以下三个阶段:防火墙的发展从第一代的PC机软件,到工控机、PC,再到MIPS架构。第二代的NPASIC架构。发展到第三代的专用安全处理芯片背板交换架构,以及“All In One”集成安全体系架构。

第一代架构:主要是以单一CPU作为整个系统业务和管理的核心,CPUx86PowerPCMIPS等多类型,产品主要表现形式是PC机、工业控制机等。

第二代架构:以NPASIC作为业务处理的主要核心,对一般安全业务进行加速,嵌入式CPU为管理核心,产品主要表现形式为专业的集中盒式通信设备。

第三代架构:集成安全体系架构,以高速安全处理芯片作为业务处理的主要核心,采用高性能CPU发挥多种安全业务的高层应用,产品主要表现形式为基于电信级的高可靠、背板交换式的机架式设备,容量大性能高,各单元及系统更为灵活。

集成安全体系作为防火墙第三代体系架构,根据企业未来对于高性能多业务安全的需求,吸收了不同硬件架构的优势。

架构灵活的模块化结构,综合报文过滤、状态检测、数据加解密功能、VPN业务、NAT业务、流量监管、攻击防范、入侵防御、深度协议识别、用户管理认证等安全功能于一体,实现业务功能的按需定制和

快速服务、响应升级。

集成安全体系架构的主要特点:

1)采用结构化芯片技术设计的专用安全处理芯片作为安全业务的处理核心,可以大幅提升吞吐量、

转发率、加解密等处理能力;结构化芯片技术可编程定制线速处理模块,以快速满足客户需求;

2)采用高性能通用CPU作为设备的管理中心和上层业务拓展平台,可以平滑移植并支持上层安全应用业务,提升系统的应用业务处理能力;

3)采用大容量交换背板承载大量的业务总线和管理通道,其中业务总线和管理通道物理分离,不仅业务层次划分清晰,便于管理,而且性能互不受限;

4)不仅达到了安全业务的高性能而且实现了“All in One”,站在客户角度解决了多业务、多设备的整合,避免了单点设备故障和安全故障,大大降低了管理复杂度;

5)通过背板及线路接口单元扩展可提供高密度的业务接口。

USG9500 防火墙的架构

USG9500是华为公司推出的新一代高性能防火墙,主要定位于运营商的骨干网络,大型IDC中心,高端行业用户。其使用全分布的多核处理器与网络处理器架构,配合以专有的组件化安全软件平台,真正实现了系统的可裁减性,高性能以及业务灵活性,满足了未来高端网络安全设备的发展需要。

硬件架构

USG9500采用高度可靠的电信级设计:包括1+1双主控板,n+1方式冗余备份的交换网板,无源背板,

冗余的业务管理模块、冗余电源和风扇等可靠性设计。系统平均无故障时间(MTBF)达到了25年。

 

 

         软件架构

USG9500基于专有的模块化安全软件平台,完全实现了转发与控制的分离。USG9500的控制功能分布于MPU板,转发功能分布于LPU板和SPU板。

         USG9500 防火墙的架构优势

1)最领先的“NP+专业QOS+多核+Crossbar”架构,灵活可扩展性强。

交换网采用Crossbar架构,最大程度的降低转发延时和抖动,优于传统的以太交换网架构。接口板上不仅采用专用网络处理芯片,保证接口流量线速转发,接口板上还由专用的QOS芯片,确保实现灵活的分层QOS策略,接口板可以配置各种灵活插卡,以实现各种用户接口。

业务板上配置有多个多核处理器,可以灵活的扩展各种安全业务。业务板数量可以根据用户的业务带宽,灵活配置,以提升整机性能,真正做到可扩展,保证用户投资;

2)智能的接口板分流技术,确保不同业务叠加时流量最大程度均匀HASH到各个业务板。

接口板NP实现的智能分流技术,确保用户的业务最大程度均匀HASH到各个业务板,智能的分流技术还确保NATCARVPNDDOSIPS等各种业务叠加时,分流准确均匀。

3)最高效的板间控制信息同步技术保证了真正实现“分布式新建,分布式转发”。

业界已有的高端防火墙有的是简单的以太交换机的堆叠,不同的业务板之间信息并不同步,导致特定场景下的跨板业务性能急剧下降;有的虽然硬件是真正分布式,但是像新建连接等首包业务集中还是集中在一个控制CPU,这种软件架构是“集中式新建,分布式转发”,虽然业务板线形扩展,但是新建性能并不能随之扩展。 USG9500拥有专利的板间会话同步和分离技术,使得各个业务板都能处理首包业务,真正在软件架构上实现了“分布式新建,分步式转发”。

4)最高性能的防火墙,满足用户对带宽和安全性能的需求。

USG9500硬件和软件的特点,使得它的吞吐量可以达到200G,新建连接达到400/秒,并发连接达到8000万,有效保障对带宽和安全性能的要求。并且随着下一代业务板的即将推出,这些性能还将成倍的增长。

5)最专业的加密引擎,实现最佳的VPN的性能。

由于使用了专业的加密引擎,使得IPSec并发隧道达到32万,IPSec吞吐量达到120G,这些卓越的加解密性能,适应在核心网上海量业务加密传输要求。

6)最丰富的安全业务,各种业务板的混插以实现“All Service In One”。

USG9500支持以下三种安全业务板:防火墙业务板,Anti-DDOS业务板,IPS业务板。

防火墙业务板不仅实现传统的包过滤,安全域,ASPFNAT44GTP等功能。还支持各种IPv6过渡技术,如NAT64DS-lite6RD等等,最大限度的保证用户的网络平滑的向IPv6演进。

Anti-DDOS业务板实现对流量型攻击,扫描窥探攻击,畸形报文攻击和特殊报文等各种攻击防范,专业的后台软件还可以实现各种攻击的报表功能。IPS业务板采用了赛门铁克公司先进的IPS检测引擎和特征库,实时捕获最新的攻击。

7)最可靠的防火墙,保证用户的业务不中断。

USG9500支持支持以下可靠性技术,确保用户的业务不会受影响。

双主控技术使得控制平面的可靠性大大增强,主用主控板故障时,备用主控板可以立即接管当前业务,保证系统业务不中断。业务板卡N+1备份:当一个业务板发生故障时,这个业务板上的业务会分摊到其它业务板上,使得系统不会因为某块业务板的异常而受影响;

BYPASS设备支持:可配合华为专用的BYPASS设备使用,确保设备在故障、掉电等情况下,不影响现网的业务。拥有专利的双机热备技术,配置双机热备份功能后,可以保证网络中主用防火墙出现故障后,备用防火墙能够平滑地接替工作,实现了业务正常进行。

 

 

 

华为公司的USG9500采用NP+多核处理器+Crossbar+专业QOS的全分布式硬件架构,同时结合了经过精心设计的多核操作系统。USG9500的网络处理器板和多核处理器板都有业务处理能力。通过灵活分工,使得USG9500在具有高性能的同时能够轻松地完成各种复杂的安全功能。

USG9500的多核操作系统是以华为公司多年技术积累的VRP平台为基础的。新的多核操作系统充分发挥了USG9500的多核处理器性能,同时大大降低了编程的复杂度,极大地缩短了新功能开发和上市时间。通过软件升级即可轻松获得新功能,替用户大大地节省了投资。使得USG9500成为业界领先的高端安全产品,完全能够满足未来若干年内高端安全产品在性能和功能方面的发展要求。

企业网络正向以移动宽带、大数据、社交化和云服务为核心的下一代网络演进。移动APPWeb2.0、社交网络让企业处于开放的网络环境,攻击者通过身份仿冒、网站挂马、恶意软件、僵尸网络等多种方式进行网络渗透,企业面临前所未有的安全风险,传统防火墙面对变革却无能为力。华为Secospace USG6600系列下一代防火墙应需而生,面向下一代网络环境,基于新防火墙VR架构和"ACTUAL"感知,实现安全管理自我优化,通过云技术识别未知威胁,高性能地为企业提供以应用层威胁防护为核心的下一代网络安全。

 

 
首页 |  产品报价 | 网站地图 | 经销商


版权所有 违者必究 蜀ICP备05010098号 未经授权 禁止转载 地址:成都市一环路南二段6号
电话:028-85257669 85259337 传真:028-85259337 邮箱:cdpjm@163.com