华赛SECOSPACEUSG5100系列产品技术白皮书.doc

华赛SecoSpace USG5100系列产品 技术白皮书 华为赛门铁克技术有限公司 Huawei Symantec Technologies Co., Ltd. 目 录 1 概述 2 1.1 网络中存在的问题 2 1.2 防火墙产品介绍 3 1.3 防火墙的定义 4 1.4 防火墙设备的使用指南 4 2 防火墙设备的技术原则 5 2.1 防火墙的可靠性设计 5 2.2 防火墙的性能模型 6 2.3 网络隔离 8 2.4 访问控制 8 2.5 基于流的状态检测技术 8 2.6 应用软件监控 9 2.7 业务支撑能力 9 2.8 地址转换能力 10 2.9 攻击防范能力 10 2.10 防火墙的组网适应能力 11 2.11 VPN业务 11 2.12 防火墙管理系统 12 2.13 防火墙的日志系统 12 3 华赛 SecoSpace USG5100系列防火墙技术特点 13 3.1 高可靠性设计 13 3.1.1 高可靠的硬件设计 13 3.1.2 健壮的软件体系 14 3.1.3 双机备份技术 14 3.1.4 链路备份技术 14 3.1.5 热备份技术 14 3.1.6 华赛防火墙可靠性技术优势 15 3.2 灵活的安全区域管理 16 3.2.1 基于安全区域的隔离 16 3.2.2 可管理的安全区域 16 3.2.3 基于安全区域的策略控制 16 3.2.4 丰富的业务支撑 17 3.3 安全策略控制 17 3.3.1 灵活的规则设定 17 3.3.2 基于时间段的规则管理 18 3.3.3 高速策略匹配 18 3.3.4 MAC地址和IP地址绑定 18 3.3.5 动态策略管理－黑名单技术 19 3.4 基于流会话的状态检测技术 19 3.4.1 基于会话管理的核心技术 19 3.4.2 深度检测 20 3.4.3 状态检测技术的优势 20 3.5 P2P流量监控 21 3.6 先进的虚拟防火墙技术 22 3.7 业务支撑能力 23 3.7.1 对多通道协议支持完善的安全保护 23 3.7.2 针对各种业务的数据流管理 24 3.7.3 业务支持的完整性 24 3.7.4 支持完善的多媒体业务 25 3.8 华赛 SecoSpace USG5100系列防火墙的地址转换特点 25 3.8.1 优异的地址转换性能 25 3.8.2 灵活的地址转换管理 25 3.8.3 强大的内部服务器支持 26 3.8.4 强大的业务支撑 27 3.8.5 无数目限制的PAT方式转换 28 3.8.6 支持多接口负载分担 28 3.9 丰富的攻击防御的手段 28 3.9.1 优秀的Dos防御能力的必要条件 28 3.9.2 丰富的Dos防御手段 29 3.9.3 高级的TCP代理防御体系 30 3.9.4 扫描窥探 30 3.9.5 畸形报文攻击 31 3.10 优秀的组网适应能力 31 3.10.1 高密度的端口支持 31 3.10.2 无线局域网(WLAN/WIFI) 32 3.10.3 丰富的路由协议和路由管理 33 3.10.4 多种工作模式 33 3.10.5 多种认证手段 34 3.10.6 多ISP组网适应能力 34 3.11 完善的VPN功能 34 3.11.1 L2TP VPN 35 3.11.2 IPSEC VPN 36 3.11.3 SSL VPN 36 3.11.4 GRE VPN 37 3.11.5 VPN Manager 38 3.12 完善的维护管理系统 38 丰富的维护管理手段 38 基于SNMP的终端系统管理 39 3.13 完善的日志系统 39 日志服务器 39 两种日志输出方式 39 多种日志信息 40 4 典型组网 41 4.1 攻击防范 41 4.2 地址转换组网 41 4.3 双机热备份应用 42 4.4 IPSec保护的VPN应用 43 4.5 无线组网应用（WiFi/WLAN） 45 4.6 SSL VPN应用 45 华赛 SecoSpace USG5100系列产品技术白皮书 Keywords 关键词：华赛 SecoSpace USG5100系列产品、网络安全、VPN、隧道技术、L2TP、IPSec、IKE Abstract 摘 要：本文详细介绍了防火墙的技术特点、工作原理等，并提供了防火墙选择过程的一些需要关注的技术问题。 List of abbreviations 缩略语清单： Abbreviations缩略语 Full spelling 英文全名 Chinese explanation 中文解释 VPN Virtual Private Network 虚拟私有网 AAA Authentication, Authorization, Accounting 验证，