HS SecoSpace BSRHSR 安全路由网关 技术白皮书.doc

华赛 SecoSpace USG BSR/HSR系列产品技术白皮书华为赛门铁克技术有限公司Huawei Symantec Technologies Co., Ltd.华赛SecoSpace USG BSR/HSR系列产品技术白皮书公开目 录1概述31.1中小企业网络现状31.2业务路由网关USG BSR/HSR技术简介32USG BSR/HSR系列业务路由网关的特点42.1健壮的软件体系52.2丰富的路由功能62.3固定接口和插卡62.4二层交换能力82.5完备的链路备份功能82.6完备的双机备份功能83安全连接（VPN）93.1L2TP93.2IPSEC VPN103.3SSL VPN113.4GRE VPN124无线接入（WIFI/3G）124.1无线局域网（WLAN/WIFI）134.2无线城域网（WWAN/3G）145防火墙功能155.1防火墙工作模式155.2访问控制165.3地址转换功能（NAT）175.4基于状态检测的防火墙195.5攻击防范能力和丰富的DDos防御手段205.6高级的TCP代理防御体系205.7扫描攻击防范215.8畸形报文防范215.9黑名单功能（动态和静态）215.10MAC地址和IP地址绑定226网络准入控制226.1多种认证手段226.2和Secospace终端安全管理软件联动227流量控制237.1P2P流量检测和控制237.2基于IP地址流量和连接数限制（IP-Car/IP-Connection）247.3服务质量（Qos）248完善的管理系统268.1丰富的维护管理手段268.2基于SNMP的终端系统管理269日志系统269.1日志服务器279.2两种日志输出方式279.3多种日志信息2710总结28Copyright 2007 华为赛门铁克技术有限公司 版权所有，侵权必究iiCopyright 2007 华为赛门铁克技术有限公司 版权所有，侵权必究27华赛 SecoSpace USG BSR/HSR系列产品技术白皮书Keywords 关键词：华赛 SecoSpace USG BSR/HSR系列产品、网络安全、VPN、隧道技术、L2TP、IPSec、IKEAbstract 摘 要：本文详细介绍了防火墙的技术特点、工作原理等，并提供了防火墙选择过程的一些需要关注的技术问题。List of abbreviations 缩略语清单： Abbreviations缩略语Full spelling 英文全名Chinese explanation 中文解释VPNVirtual Private Network虚拟私有网AAAAuthentication, Authorization, Accounting验证，授权，计费ASPFApplication Specific Packet Filter基于应用层规范的包过滤DoSDenial of Service拒绝服务，一种常见的网络攻击手段L2TPLayer 2 tunnle protocal二层隧道协议IPSECIP SecurityIP安全IKEInternet Key ExchangeInternet密钥交换1 概述1.1 中小企业网络现状随着经济的发展，众多企业越来越多的在各地开设分支机构以拓展业务，同时现代信息社会Internet的普及进一步提高了整个企业的效率，降低了运作成本。互联网络在为企业提高竞争力的同时，随之而来的也为企业带来安全问题。随着对安全和保密性的关注继续升温，市场对创新安全解决方案的需求也在不断增长。 Internet是一个开放的系统，开放即意味着通信的协议、传输线路、通信内容传输是不安全的，企业总部和分支机构、合作伙伴之间的通信容易泄密，其商业机密、客户隐私得不到绝对安全的保护；开放系统也意味者小型办公机构容易受到网络攻击和病毒感染，例如窃听报文、IP地址欺骗、源路由攻击、地址端口扫描、拒绝服务攻击 （Deny of Service）、应用层攻击、蠕虫病毒传播等等，一旦受到网络攻击和病毒感染，整个办公网络的有效运作会受到严重威胁，影响业务效率，这些问题对于缺乏足够的 IT 资源来应对威胁的中小企业影响尤为严重。中小企业构建自防御网络，大幅度提高识别、防御和阻断威胁的能力，从而为应对威胁做好准备成为摆在中小企业面前急需解决的问题。强大的网络安全需求影响了中小企业（企业分支机构/远程机构）部署网络服务的方式，传统的路由器或者安全设备已经无法满足客户的需求。华赛业务路由网关USG BSR/HSR对解决中小企业网络安全问题具有先天的优势，是网络安全解决方案中的第一道防线，具有非常重要的作用。华赛USG BSR/HSR系列业务路由网关基于华赛专业硬件与安全数据通信软件平台，结合华赛对用户需求的持续积累和理解，为企业提供全面、精致的网络安全解决方案，安全解决方案通过不断发展满足了动态的安全要求。1.2 业务路由网关USG BSR/HSR技术简介在开放网络式的网络上，我们的周围存在着许多不能信任的计算机，这些计算机对我们私有的一些敏感信息造成了很大的威胁。传统的路由器已经不能安全地保护一些重要的信息，而华赛业务路由网关USG BSR/HSR系列产品就是为了解决这样一个问题，在开放式的网络环境中保护我们自己的私有数据的安全，同时还兼顾网络的开放性。业务路由网关可以作为一台连接网络的设备，也可以实现不同网络之间的互联，也可以用于不同分支机构之间的互联，将安全、路由、交换、VPN等功能集成在路由器当中，为大中型企业的分支机构以及中小企业提供全方位的网络服务，改善企业的运营效率的投资保护。安全路由技术就是内部集成防火墙、VPN等功能的路由器。硬件业务路由网关提供强大的路由功能，也将各种安全技术融合在一起，采用专用的硬件结构，选用高速的CPU、嵌入式的操作系统，支持各种网络接口，用来保护私有网络的安全。业务路由网关用来集中解决中小规模企业网络问题，可以适合各种场合，USG BSR/HSR能够满足这些用户关心的路由、安全、连接性能等需求。即可以提供传统路由器所具备的强大的静态路由功能、OSPF, BGP, RIP路由等功能，再此基础上还增加了VPN（L2TP/IPSec/SSL VPN等）和防火墙等功能，以确保针对安全威胁提供最佳防御。基于路由器、交换机和安全产品的功能结合在一起，能为整个网络提供端到端的保护。将安全直接集成到路由器中使路由器成为网络入口处的第一道防线，这使您能够在所有的网络入口处部署最佳的安全功能，为网络提供妥善的保护。2 USG BSR/HSR系列业务路由网关的特点华赛USG BSR/HSR业务路由网关为面向中SOHO、小企业、大型行业企业分支机构、以及网吧出口的路由器。该款路由器具有灵活的组网能力，强大的路由功能，符合应用场景的安全特性，同时具有非常高的性价比的特点。是业内首款将传统的路由器、防火墙、交换机、无线（WLAN和WWAN）融为一体的中小企业业务路由网关。提供了强大的功能集来满足高可用性要求，集成多业务接口提供了可并行使用更多接口和特性，同时提高了多项安全、管理和集成服务的性能，为中小企业提供全方位的安全解决方案，并且极大限度地降低了中小企业的运维和管理成本。业务路由网关USG BSR/HSR系列包括USG2205BSR/USG2220BSR/USG5120BSR/USG5150BSR多款产品。 全新的USG BSR/HSR系列业务路由网关都提供了业界最全面的安全服务，并且以智能的方式将数据、安全、无线、交换嵌入到同一个平台，以便通过可扩展的方法快速满足客户最大化的需求。业务路由网关为新型路由器提供安全防护、安全的连接、网络准入控制的保护。2.1 健壮的软件体系USG BSR/HSR业务路由网关采用华赛公司自行开发的VRP操作系统作为其运行的核心组件，使得USG BSR/HSR业务路由网关天生就避免了各种通用操作系统的安全漏洞、病毒攻击等等各种软件不可靠因素。VRP操作系统是一个安全数据通信设备专用的平台，其软件构架设计就是为安全数据通信产品量身定制，综合考虑了安全数据通信技术的发展。VRP操作系统是一个不断进步和发展的系统，同时VRP在安全数据通信领域是一个领先的软件系统，USG BSR/HSR系列业务路由网关不但具有可靠、安全的运行保证，同时针对安全技术的发展方面具有更良好的扩展空间，这就决定了USG BSR/HSR在新技术发展方面可以领先一步。USG BSR/HSR系列都可以提供在线热补丁技术，在系统不需要重新启动的情况下即可以为软件系统增加新的功能，提供软件系统的修补，完全可以满足电信级设备的软件安全要求。2.2 丰富的路由功能USG BSR/HSR系列业务路由网关在提供丰富路由特性，不仅支持静态路由, 静态路由表可以配置、删除和查询，而且还支持RIP（Routing Information Protocol）、OSPF（Open Shortest Path First），同时还支持路由策略和路由迭代，从而使得USG BSR/HSR系列业务路由网关的组网应用更加灵活。除此之外， USG BSR/HSR系列业务路由网关还支持BGP（Border Gateway Protocol）动态路由，可以进一步提高组网的灵活性。USG BSR/HSR系列业务路由网关通过支持基于会话流的策略路由功能，使得策略路由与安全特性（如NAT、ASPF等）协同工作，从而在出接口上实现负载分担。当一条链路故障时，流量将切换到其他处于正常的链路中。安全路由技术就是在IPSec VPN隧道上实现动态路由选择技术，USG BSR/HSR 系列业务路由网关支持在IPSec隧道上的动态路由(RIP /OSPF)。2.3 固定接口和插卡USG2205BSR为1U标准机箱，机箱上带有Console接口，USG2205BSR支持2个固定光电互斥的GE口，4个MIC插槽、1个FIC插槽，1个USB接口，1个SD接口插槽，另外USB接口可以支持USB类型的3G数据卡。MIC插槽可以插ADSL2+接口卡、E1/CE1接口卡、1SA/2SA接口卡、MIC-3G、MIC-WiFi接口卡、1FE/5FE、G.SHDSL/ 2G.SHDSL/ 4G.SHDSL等。FIC插槽可以插GE/4GE接口卡、2E1/2CE1/4E1/4CE1/8E1/8CE1、2FE2FECombo、18FE、16GE接口卡。USG2205BSR只支持交流电源。USG2205HSR为1U标准机箱，机箱上带有Console接口，USG2205HSR支持2个固定光电互斥的GE口，4个MIC插槽、1个FIC插槽，2个USB接口，1个SD接口插槽，另外USB接口可以支持USB类型的3G数据卡。MIC插槽可以插ADSL2+接口卡、E1/CE1接口卡、1SA/2SA接口卡、MIC-3G、MIC-WiFi接口卡、1FE/5FE、G.SHDSL/ 2G.SHDSL/ 4G.SHDSL等。FIC插槽可以插GE/4GE接口卡、2E1/2CE1/4E1/4CE1/8E1/8CE1、2FE2FECombo、18FE、16GE接口卡、X86单板。USG2205HSR只支持交流电源。USG2220BSR为1U标准机箱，机箱上带有Console接口，USG2220BSR支持2个固定光电互斥的GE口，4个MIC插槽、2个FIC插槽，2个USB接口，1个SD接口插槽，另外USB接口可以支持USB类型的3G数据卡。MIC插槽可以插ADSL2+接口卡、E1/CE1接口卡、1SA/2SA接口卡、MIC-3G、MIC-WiFi接口卡、1FE/5FE、G.SHDSL/ 2G.SHDSL/ 4G.SHDSL等。FIC插槽可以插GE/4GE接口卡、2E1/2CE1/4E1/4CE1/8E1/8CE1、2FE2FECombo、18FE、16GE接口卡。USG2220BSR支持交流/直流电源。USG2220HSR为1U标准机箱，机箱上带有Console接口，USG2220HSR支持2个固定光电互斥的GE口，4个MIC插槽、2个FIC插槽，2个USB接口，1个SD接口插槽，另外USB接口可以支持USB类型的3G数据卡。MIC插槽可以插ADSL2+接口卡、E1/CE1接口卡、1SA/2SA接口卡、MIC-3G、MIC-WiFi接口卡、1FE/5FE、G.SHDSL/ 2G.SHDSL/ 4G.SHDSL等。FIC插槽可以插GE/4GE接口卡、2E1/2CE1/4E1/4CE1/8E1/8CE1、2FE2FECombo、18FE、16GE接口卡、X86单板。USG2220HSR支持交流/直流电源。USG5120BSR为2U标准机箱，机箱上带有Console接口，USG5120BSR支持2个固定光电互斥的GE口及2个固定的10/100/1000M自适应以太网口，4个MIC插槽、2个FIC插槽、2个DFIC插槽、1个SD接口插槽，2个USB接口，另外USB接口可以支持USB类型的3G数据卡。MIC插槽可以插ADSL2+接口卡、E1/CE1接口卡、1SA/2SA接口卡、MIC-3G、MIC-WiFi接口卡、1FE/5FE、G.SHDSL/ 2G.SHDSL/ 4G.SHDSL等。FIC插槽可以插GE/4GE接口卡、2E1/2CE1/4E1/4CE1/8E1/8CE1、2FE2FECombo接口卡。DFIC插槽可以插18FE、16GE接口卡。USG5120支持交流/直流电源。USG5150BSR为3U标准机箱，机箱上带有Console接口，USG5150BSR支持4个固定光电互斥的GE口，4个MIC插槽、2个FIC插槽、4个DFIC插槽、1个SD接口插槽，2个USB接口，另外USB接口可以支持USB类型的3G数据卡。MIC插槽可以插ADSL2+接口卡、E1/CE1接口卡、1SA/2SA接口卡、MIC-3G、MIC-WiFi接口卡、1FE/5FE、G.SHDSL/ 2G.SHDSL/ 4G.SHDSL等。FIC插槽可以插GE/4GE接口卡、2E1/2CE1/4E1/4CE1/8E1/8CE1、2FE2FECombo接口卡。DFIC插槽可以插18FE、16GE接口卡。USG5150BSR支持交流电源。2.4 二层交换能力USG BSR/HSR系列业务路由网关自带二层转发芯片保证快速的二层交换能力。把二层转发、路由和防火墙功能实现在同一个设备内。二层接口可以加入不同的VLAN，实现不同的VLAN之间隔离。USG BSR/HSR系列业务路由网关都可以将交换口配置成Access、Trunk及hybird三种方式。 同VLAN下的用户互访不受防火墙访问策略的控制。 不同VLAN之间的互访受到防火墙访问策略的控制。访问外部网络需要受到防火墙的访问策略的控制。2.5 完备的链路备份功能USG BSR/HSR系列业务路由网关支持路由负载分担技术，可以支持通过多链路同时提供丰富的业务，例如可以支持通过多条链路提供上行业务例如地址转换等等，当某条链路发生物理故障，不影响用户使用，当链路恢复的时候，该链路又可以起到流量分担的作用，业务路由网关提供多种上行链路接口，比如FE、GE、ADSL2+、3G、SA、E1/CE1等。中小企业用户可以采用FE+3G的方式或者FE+ADSL2+方式实现链路备份，或者更多其他方式来保证业务不受影响。2.6 完备的双机备份功能USG BSR/HSR系列业务路由网关的双机备份功能可以支持两种运行模式：Active-standby，Active-Active工作模式。在主备工作的环境下，只有一台路由器在工作，如果发生故障自动切换，另外一台路由器接替工作。在Active-Active的工作环境下两台路由器同时工作，提供流量分担，当一台路由器发生故障的时候，流量自动全部切换到另外一台路由器上。USG BSR/HSR系列业务路由网关提供真正的热备份技术，保证倒换的时候业务不会发生中断。USG BSR/HSR系列业务路由网关提供HRP协议，使得各种业务可以透明的支持双机备份业务，并且在运行过程中实时的保证两台路由器状态一致，这样当倒换发生的时候，业务保证不会中断。用户层是无法觉察出路由器设备的倒换，这样就给用户提供了一种十分可靠的运行环境。3 安全连接（VPN）USG BSR/HSR系列业务路由网关不仅支持IPSec VPN（Virtual Private Network）应用，为用户提供高可靠的安全传输通道，而且还能结合L2TP（Layer 2 Tunneling Protocol）和GRE（Generic Routing Encapsulation）构建多种VPN应用。同时还支持SSL VPN等特性，列举如下： L2TP VPN IPSEC VPN GRE VPN L2TP over IPSec VPN GRE over IPSec VPN SSL VPN 3.1 L2TPUSG BSR/HSR系列业务路由网关提供支持L2TP: Layer 2 Tunnel Protocol 第二层隧道协议,是为在用户和企业的服务器之间透明传输PPP报文而设置的隧道协议，是实现接入VPN的最常用的隧道协议。其中二层隧道的含义指的是：在隧道中间封装的是二层数据报文（对L2TP协议而言，封装的是PPP报文）。USG BSR/HSR作为LNS允许移动用户直接发起L2TP隧道连接，要求移动用户安装VPN CLIENT客户端软件，需要知道LNS的IP地址。在USG BSR/HSR设备上收到了移动用户的请求之后，根据用户名、密码进行验证，并且可以给移动客户分配私有IP地址，然后建立隧道。USG BSR/HSR作为LAC设备发起隧道连接，允许用户在接入到Internet的时候，通过USG BSR/HSR作为LAC设备发起L2TP隧道连接。用户可以采用PPP的方式接入到Internet，也可以是PPPOE等协议。当在LAC设备上对用户的用户名、密码进行验证的时候，根据用户名就可以知道是L2TP隧道用户，然后自动向LNS设备发起连接，用户自然就接入到了自己的企业VPN中了。移动用户通过L2TP客户端软件接入LNS以访问总部内网，但LNS的地址为内网地址，需要通过NAT服务器后才能接入。3.2 IPSEC VPNUSG BSR/HSR系列业务路由网关提供IPSec（IP Security）安全机制，为通讯双方提供访问控制、无连接完整性、数据来源认证、反重放、加密以及对数据流分类加密等服务。通过AH（Authentication Header）和ESP（Encapsulating Security Payload）这两个安全协议来实现对IP数据报或上层协议的保护，支持隧道封装模式。IPSec提供以下几种网络安全服务：a) 私有性 IPSec在传输数据包之前将其加密.以保证数据的私有性；b) 完整性 IPSec在目的地要验证数据包，以保证该数据包在传输过程中没有被修改；c) 真实性 IPSec端要验证所有受IPSec保护的数据包；d) 防重放 IPSec防止了数据包被捕捉并重新投放到网上，即目的地会拒绝老的或重复的数据包，它通过报文的序列号实现。USG BSR/HSR可以采用IPSEC VPN的方式实现分支机构和企业总部VPN网关建立VPN隧道，获得的内网IP，实现安全的传输，保证企业信息安全。IPSec提供了两个主机之间、两个安全网关之间或主机和安全网关之间的数据保护。在两个端点之间可以建立多个安全联盟，并结合访问控制列表（access-list）， IPSec可以对不同的数据流实施不同的保护策略，达到不同的保护效果。IPSec的安全联盟可以通过手工配置的方式建立，但是当网络中结点增多时，手工配置将非常困难，而且难以保证安全性。这时就要使用IKE自动地进行安全联盟建立与密钥交换的过程。USG BSR/HSR 系列业务路由网关IPSEC VPN功能还提供基于公钥基础设施PKI（Public Key Infrastructure）框架的证书认证机制，支持证书的申请、存储和验证，但不提供生成证书功能，在协商IKE隧道的过程中采用证书认证。小型办公网络USG企业总部InternetIPSEC VPN隧道3.3 SSL VPN安全套接字层 (SSL) VPN 对最终用户是透明的且易于管理，因此是极具吸引力的远程接入安全解决方案。客户可将安全企业网络扩展到基于互联网的任何位置，包括家用电脑、互联网信息台和无线热点等，从而提高员工生产率并保护公司数据，同时允许合作伙伴及顾问访问公司网络。SSL VPN是以SSL/TLS协议为基础，利用标准浏览器都内置支持SSL/TLS的现实优势，对其应用功能进行扩展的新型VPN。SSL协议从以下方面确保了数据通信的安全：a) 认证 在建立SSL连接之前，客户端和服务器之间需要进行认证，认证采用数字证书，可以是客户端对服务器的认证，也可以是双方进行双向认证。b) 机密性 采用加密算法对需要传输的数据进行加密。c) 完整性 采用数据鉴别算法验证所接收的数据在传输过程中是否被修改。通过SSL VPN网关的中转代理，使用web浏览器实现对内网web资源的访问。Web代理充分体现了SSL VPN的易用性，远端用户通过浏览器对内网页面发起请求，USG BSR/HSR 系列业务路由网关接收这一请求转发给内网服务器，并将服务器的响应以网页形式回传给用户。网页信息在公网传输的过程，经过SSL加密隧道，确保了将内网WEB资源安全、真实地反映给远程用户。图4 SSL VPN客户端接入VPN隧道网关功能3.4 GRE VPNGRE：通用路由封装技术，在IP数据包的外面再加上一个IP头。通俗的说，就是把私有数据进行一下伪装，加上一个“外套”，传送到其他地方，GRE是VPN（Virtual Private Network ）的第三层隧道协议，即在协议层之间采用了一种被称之为Tunnel（隧道）的技术。USG BSR/HSR业务路由网关不仅支持GRE VPN功能，在网关之间建立GRE Tunnel，为用户提供安全传输通道，而且还能结合L2TP（Layer 2 Tunneling Protocol）等技术构建多种VPN应用。4 无线接入（WIFI/3G） 4.1 无线局域网（WLAN/WIFI）WLAN是计算机网络与无线通信技术相结合的产物。提供传统有线局域网的所有功能，网络所需的基础设施不需再埋在地下或隐藏在墙里，也能够随需移动或变化。属于在办公室和家庭中使用的短距离无线技术。作为IP城域网和2.5G/3G网络的有效补充和延伸，WLAN将逐步进入快速发展阶段。但随着应用的进一步发展，无线局域网正逐渐从传统意义上的局域网技术发展成为公共无线局域网， 即成为城域网的宽带接入手段。无线局域网应用模式的这种改变使其成为一种可运营的宽带接入业务，也正是因为如此，无线局域网受到了网络运营商的越来越多的关注。Wi-Fi（Wireless Fidelity的简称）作为无线局域网互操作性的标准，是办公室和家庭中使用的短距离无线技术。Wi-Fi认证为全球认可的WLAN产品认证。USG BSR/HSR系列业务路由网关可选配WIFI MIC接口卡来支持WLAN接入，实现企业内部设备的无线接入功能。提供有线、无线一体化组网的理念，增加了统一的QoS策略部署，分布式加密，丰富的转发类型，有线、无线统一网管等功能，传输速率达到54Mbps。华赛的USG BSR/HSR系列能够很好的支持WIFI，可作为无线AP，性能与企业型AP相近。无线电波的覆盖范围广，传输速度非常快，符合中小企业和社会信息化的需求。华赛提供可运营、可管理的一体化WLAN解决方案，逻辑组网图如下：参数指标：USG BSR/HSR系列业务路由网关支持标准支持802.11a/b/g/n覆盖范围室外100200米（自带天线实际覆盖范围可能和使用环境有关）室内30100米（自带天线实际覆盖范围可能和使用环境有关）天线方式自带、使用3根天线支持天线增益4.2 无线城域网（WWAN/3G）WWAN技术是使得笔记本电脑或者其他的设备装置在蜂窝网络覆盖范围内可以在任何地方连接到互联网。在路由器上集成3G模块，可以保证业务路由器随时随地接入运营商的网络，为中小企业提供无线宽带服务。一些偏远的无法使用专线的地区，可以采用3G方式接入网络。分支机构也可以通过3G方式接入网络后，然后和总部之间建立VPN隧道的方式，实现分支机构和总部的加密访问，保证信息的安全传输。采用3G+VPN的方式和总部建立VPN隧道，部署简单，只要在有3G信号的地方，就可以实现企业和总部之间业务的加密传输。再者目前运行商的正在推出更有诱惑力的套餐来降低3G的资费。从而降低运维成本。USG BSR/HSR系列业务路由网关也可以通过USB-3G/MIC-3G插卡的方式支持WCDMA/CDMA2000/TD-SCDMA,支持多种3G 标准，支持兼容2G至超3G的数据传输模式。即可实现3G上网，也可以通过3G实现链路备份。通过选配不同的3G数据卡，支持不同的无线制式。5 防火墙功能 由于网络安全的问题已经成为中小企业日益关注的问题，USG BSR/HSR系列业务路由网关中集成了防火墙功能。路由器中集成的防火墙功能和华赛安全防火墙产品使用相同的状态防火墙技术，提供网络安全状态检查。下面介绍一些业务路由网关中关键防火墙技术的实现。5.1 防火墙工作模式除路由模式外USG BSR/HSR业务路由网关还支持透明模式，方便用户在原有网络中接入业务路由网关，丰富了组网应用：路由模式：USG BSR/HSR系列业务路由网关各接口具有确定的IP地址，内部网络和外部网络的设备都清楚到达该USG BSR/HSR系列业务路由网关的路由，这种方式适合网络初建时，IP地址统一规划有助于全网络管理。透明模式：USG BSR/HSR系列业务路由网关各接口不配置IP地址，以透明方式嵌入到内部网络和外部网络之间，内部和外部网络的设备都察觉不到该USG BSR/HSR系列业务路由网关的存在。这种方式无需重新规划网络中的IP地址和路由，同时可以使用户网络更加安全免受外界入侵。混合模式：USG BSR/HSR系列业务路由网关既存在工作在路由模式的接口（接口具有IP地址），又存在工作在透明模式的接口（接口无IP地址），则防火墙工作在混合模式下。适用于透明模式的双机热备。5.2 访问控制通过报文的特征定义一系列的规则，通过这些规则特征可以控制通过防火墙报文。访问控制特性是防火墙最重要的特性。由于在一些复杂场合，防火墙需要设定大量的规则，因此针对大量规则的性能指标也是衡量网关性能和功能的一个重要条件。l 可以依据报文的协议号设定规则l 可以依据报文的源地址、目的地址设定规则、MAC地址l 可以使用通配符设定地址的范围，用来指定某个地址段的主机l 针对UDP和TCP还可以指定源端口、目的端口l 针对目的端口、源端口可以采用大于、等于、介入、不等于等方式设定端口的范围l 针对ICMP协议，可以自由的指定ICMP报文的类型和Code号，可以通过规则针对任何一种ICMP报文l 可以针对IP报文中的TOS域设定灵活的规则l 可以将多个报文的地址形成一个组，作为地址本，在定义规则时可以按组来设定规则，这样规则的配置灵活方便所有基于ACL控制的策略，都可以使用时间段特性。例如地址转换服务也是依靠ACL来定义地址转换的策略，因此依靠时间段特性也可以定义更灵活的地址转换服务。QoS特性也可以使用ACL来定义各种不同的数据流，因此时间段也可以使用在QoS服务上，为不同的时间范围定义不同的流量策略。5.3 地址转换功能（NAT） 随着Internet的发展，IP地址短缺问题已经成为了一个越来越严重的问题。在IPV6使用之前，地址转换（Network Address Translation）技术是解决这个问题的一个最主要的技术手段。地址转换主要是因为Internet地址短缺问题而提出的，利用地址转换可以使内部网络的用户访问外部网络（Internet），利用地址转换可以给内部网络提供一种“隐私”保护，同时也可以按照用户的需要提供给外部网络一定的服务。地址转换技术实现的功能是上述的两个方面，一般称为“正向的地址转换”和“反向的地址转换”。在正向的地址转换中，具有只转换地址（NAT）和同时转换地址和端口（PAT）两种形式。USG BSR/HSR系列业务路由网关采用基于连接的方式提供地址转换特性，针对每条连接维护一个扩展表项，并且在处理的过程中采用优化的算法，保证了地址转换特性的优异性能。在启用NAT的时候，性能下降的非常少，这样就保证了在通过USG BSR/HSR系列业务路由网关提供NAT业务的时候不会成为网络的瓶颈。USG BSR/HSR系列业务路由网关地址转换可以和ACL配合使用，利用ACL来控制地址转换的范围，因此即使在同一个网络区域，有公网、私网混合组网的情况，USG BSR/HSR系列业务路由网关依然可以方便的设定地址转换的规则。USG BSR/HSR系列业务路由网关提供了基于端口的内部服务器映射，可以使用端口来提供服务，同时也可以提供地址的一对一映射。很多防火墙实现内部服务器的时候是提供一个“静态映射”，将一个私有地址和一个公有地址绑定，这个方式的最大弱点就是浪费合法的IP地址。USG BSR/HSR系列业务路由网关支持使用地址池的方式的地址转换，支持只转地址不转端口，支持直接使用接口的IP地址进行地址转换等各种方式。地址转换比较难处理的情况是报文载荷中含有地址信息的情况，这种情况的代表协议是FTP。USG BSR/HSR系列业务路由网关的地址转换现在已经非常完善的支持了ICMP重定向、不可达、FTP（支持被动主动两种模式）、H323、NetMeeting、PPTP、L2tp、DNS、NetBIOS、SIP、MGCP、QQ、MSN等特殊协议。依靠现在支持的各种业务，USG BSR/HSR系列业务路由网关已经可以提供非常好的业务支撑，可以满足绝大部分的Internet业务，使得地址转换不会成为网络业务的瓶颈。为了更好的适应网络业务的发展，USG BSR/HSR系列业务路由网关还提供了一种“用户自定义”的ALG功能。有些业务应用采用“不对称”方式提供点到点的业务模型。例如，tftp应用，tftp采用UDP协议提供文件传输，但是在tftp业务中，Server端发送数据报文的端口和接收信令的端口不是使用同一个端口，由于发送数据的端口没有被防火墙记录，这样防火墙就会认为这个数据连接是一个非法连接而不让通过防火墙，的NAT服务也不能支持这种应用，而USG BSR/HSR系列业务路由网关可以通过“用户自定义”的ALG功能，定义对TFTP的报文进行监控，自然就支持TFTP业务了。USG BSR/HSR系列业务路由网关针对这样的特殊业务应用，通过命令行进行配置就可以支持这种业务的ALG，通过这样的方式更可以保证USG BSR/HSR系列业务路由网关对业务的支撑，达到快速响应的效果。另外USG BSR/HSR系列业务路由网关在结构上面，充分考虑了地址转换需要支持特殊协议的问题。从结构上保证可以非常快速的支持各种特殊协议，并且对报文加密的情况也做了考虑。因此在应用程序网关方面，USG BSR/HSR系列业务路由网关在程序设计、结构方面做了很大的努力和考虑，在针对新出现的各种特殊协议的开发方面上，USG BSR/HSR系列业务路由网关可以保证会比其他设备提供更快、更好的反应，可以快速的响应支持用户的需求，支持多变的网络业务。USG BSR/HSR系列业务路由网关可以提供PAT（Port Address Translation）方式的地址转换，PAT方式的地址转换使用了TCP/UDP的端口信息，这样在进行地址转换的时候使用的是“地址端口”来区分内部局域网的主机对外发起的不同连接。这样使用PAT方式的地址转换技术，内部局域网的很多用户可以共享一个IP地址上网了。5.4 基于状态检测的防火墙USG BSR/HSR系列业务路由网关是一款高级的基于流会话的状态防火墙，其核心集成了强大的基于会话管理的核心技术。USG BSR/HSR系列业务路由网关提供了ASPF技术，ASPF是一种高级通信过滤技术，它检查应用层协议信息并且监控基于连接的应用层协议状态。USG BSR/HSR系列业务路由网关依靠这种基于报文内容的访问控制，能够对应用层的一部分攻击加以检测和防范，包括对于FTP命令字、SMTP命令的检测、HTTP的Java、ActiveX控件等的检测。ASPF技术是在基于会话管理的技术基础上提供深层检测技术的，ASPF技术利用会话管理维护的信息来维护会话的访问规则，通过ASPF技术在会话管理中保存着不能由静态访问列表规则保存的会话状态信息。会话状态信息可以用于智能的允许/禁止报文。当一个会话终止时，会话管理会将该会话的相关信息删除，防火墙中的会话也将被关闭。针对TCP连接，ASPF可以智能的检测“TCP的三次握手的信息”和“拆除连接的握手信息”，通过检测握手、拆连接的状态检测，保证一个正常的TCP访问可以正常进行，而对于非完整的TCP握手连接的报文会直接拒绝。ASPF使得USG BSR/HSR系列业务路由网关能够支持一个控制通道上存在多个数据连接的协议，同时还可以在应用非常复杂的情况下方便的制订各种安全的策略。ASPF监听每一个应用的每一个连接所使用的端口，打开合适的通道让会话中的数据能够出入防火墙，在会话结束时关闭该通道，从而能够对使用动态端口的应用实施有效的访问控制。当报文通过防火墙时，ASPF将对报文与指定的访问规则进行比较，如果规则允许，报文将接受检查，否则报文直接被丢弃。如果该报文是用于打开一个新的控制或数据连接，ASPF将动态的修改规则，对于回来的报文只有属于一个已经存在对应的有效规则，才会被允许通过防火墙。在处理回来的报文时，状态表也会随时更新。当一个连接被关闭或超时后，该连接对应的状态表将被删除，确保未经授权的报文不能随便透过防火墙。5.5 攻击防范能力和丰富的DDos防御手段防御手段的健全和丰富，因为Dos攻击手段种类比较多，因此必须具有丰富的防御手段，才可以保证真正的抵御Dos攻击。优秀的处理性能，因为Dos攻击伴随这一个重要特征就是网络流量突然增大，如果防火墙本身不具有优秀的处理能力，则防火墙在处理Dos攻击的同时本身就成为了网络的瓶颈，根本就不可能抵御Dos攻击。准确的识别攻击能力。很多防火墙在处理Dos攻击的时候，仅仅能保证防火墙后端的流量趋于网络可以接受的范围，但是不能保证准确的识别攻击报文。这样处理虽然可以保证网络流量的正常，可以保证服务器不会瘫痪，但是这样处理还是会阻挡正常用户上网、访问等的报文，因此虽然网络层面是正常的，但是真正的服务还是被拒绝了，因此还是不能达到真正的Dos攻击防御的目的。USG BSR/HSR系列业务路由网关在对上述各个方面都做了详尽的考虑，因此Dos防御的综合性能、功能等方面在同类防火墙产品中都具有很强的优势。USG BSR/HSR系列业务路由网关根据数据报文的特征，以及Dos攻击的不同手段，可以针对ICMP Flood、SYN Flood、UDP Flood、DNS攻击等各种Dos攻击手段进行Dos攻击的防御。可以主动识别出数十种常见的攻击种类，很多种攻击种类造成的后果就是Dos形式的攻击，可以主动发现并隔断这些非法攻击，消除了内部网络遭受攻击的可能。通过对各种攻击的防御手段，利用USG BSR/HSR系列业务路由网关可以组建一个安全的防御体系，保证网络不遭受Dos攻击的侵害。5.6 高级的TCP代理防御体系USG BSR/HSR系列业务路由网关支持TCP代理方式来防止SYN Flood类的Dos攻击。这种攻击可以很快的消耗服务器资源，导致服务器崩溃。USG BSR/HSR系列业务路由网关采用了TCP透明代理的方式实现了对这种攻击的防范，通过精确的验证可以准确的发现攻击报文，对正常报文依然可以通过允许这些报文访问防火墙资源，而攻击报文则被设备丢弃。有些攻击是建立一个完整的TCP连接用来消耗服务器的资源。USG BSR/HSR系列业务路由网关可以实现增强代理的功能，在客户端与防火墙建立连接以后察看客户是否有数据报文发送，如果有数据报文发送防火墙再与服务器端建立连接否则丢弃客户端的报文。这样可以保证即使采用完成TCP三次握手的方式消耗服务器资源，也可以被USG BSR/HSR系列业务路由网关发现。5.7 扫描攻击防范扫描窥探攻击是利用ping扫射（包括ICMP和TCP）来标识网络上存活着的系统，从而准确的定位潜在的目标；利用TCP和UCP端口扫描，就能检测出操作系统监听的潜在服务。攻击者通过扫描窥探能大致了解目标系统提供的服务种类和潜在的安全漏洞，为进一步侵入系统做好准备。通过比较分析，USG BSR/HSR系列业务路由网关可以灵活高效地检测出这类扫描窥探报文，从而预先避免后续的攻击行为。这些扫描窥探包括：地址扫描、端口扫描、IP源站选路选项、IP路由记录选项、利用tracert工具窥探网络结构等。5.8 畸形报文防范USG BSR/HSR系列业务路由网关可以提供针对各种畸形报文的防范，主要包括 Land攻击、Smurf攻击、Fraggle攻击、WinNuke攻击、ICMP重定向或不可达报文、TCP报文标志位（如ACK、SYN、FIN等）不合法、Ping of Death攻击、Tear Drop攻击等，可以自动的检测处这些攻击报文。5.9 黑名单功能（动态和静态）USG BSR/HSR系列业务路由网关可以将某些可疑报文的源IP地址记录在黑名单列表中，系统通过丢弃黑名单用户的所有报文，从而有效避免某些恶意主机的攻击行为。USG BSR/HSR系列业务路由网关提供如下几种黑名单列表维护方式：手工添加黑名单记录，实现主动防御。与攻击防范结合自动添加黑名单记录，起到智能保护。可以根据具体情况设定“白名单”，使得即使存在黑名单中的主机，依然可以使用部分的网络资源。例如，即使某台主机被加入到了黑名单，但是依然可以允许这个用户上网。黑名单技术是一种动态策略技术，属于响应体系。USG BSR/HSR业务路由网关在动态运行的过程中，会发现一些攻击行为，通过黑名单动态响应系统，可以抑制这些非法用户的部分流量，起到保护整个系统的作用。5.10 MAC地址和IP地址绑定USG BSR/HSR系列业务路由网关根据用户配置，将MAC和IP地址进行绑定从而形成关联关系。对于从该IP地址发来的报文，如果MAC地址不匹配则被丢弃；对于发往该IP地址的报文都被强制发送到指定的MAC地址处，从而有效避免IP地址假冒的攻击行为。6 网络准入控制6.1 多种认证手段USG BSR/HSR系列业务路由网关提供了认证、授权和计费的一致性框架，对网络访问安全进行了集中管理。提供本地认证、标准RADIUS（Remote Access Dial-In User Service）认证、华为RADIUS+认证、HWTACACS（Huawei Terminal Access Controller Access Control System）认证。提供明文、MD5（Message-Digest Algorithm 5）鉴权等手段，支持本地用户管理，可验证用户身份的合法性并为合法用户进行授权，防止非法用户进行访问。6.2 和Secospace终端安全管理软件联动USG BSR/HSR系列业务路由网关作为SACG（安全接入控制网关）和Secospace系统联动实现终端安全管理，旨在确保授予访问权限之前每个端点都遵守网络安全策略。在允许访问网络之前，必须经过身份验证，然后需要经过特定安全策略的检查，检查否遵从公司最新的防病毒和操作系统补丁策略，从而限制病毒和蠕虫造成的损失。确保终端的健康性。身份合法，并且健康的终端才被允许接入网络，按照不同的角色受限访问受控资源。防止非法终端的接入，降低不安全终端的威胁；防止合法终端越权访问，保护企业核心资源；帮助企业落实安全管理制度；强化行为审计防止恶意终端破坏；7 流量控制7.1 P2P流量检测和控制USG BSR/HSR系列业务路由网关支持的P2P流量检测和流量控制功能： 支持基于规则文件的特征检测和行为检测，规则文件可以升级更新 支持基于ACL的用户策略控制 支持上下行的不同限流 支持协议优先级的动态调整 支持各种协议检测的打开和关闭 支持基于时间段的分时段限流 简单快速更新P2P限流种类对于新的P2P应用、变种的P2P应用，只需要升级P2P模式文件即可支持监控。目前，模式文件的升级方式支持手工配置的方式、网上升级的方式，升级之前，将最新的模式文件通过FTP方式加载到业务路由网关上，然后通过命令的方式即可完成对模式文件进行升级。对P2P流量可以限定在一个范围内，可以指定P2P流量范围为0K1Gbps，默认为100K，这样不但可以使得用户自由的使用P2P软件，也不会造成因为P2P流量对网络造成太大的冲击；支持BT, PPLIVE, Thunder, eDeM, FEIDIAN, QQlive, CCIPTV, GNUTELLA, Kazaa, PPSTREAM, COOLSTREAMING, DC, KUGOO, ORINNOAVBT, PPGou, POCO, BaiBao, Maze, TVAnts, UUSee, Vagaa, BBSEE, QQDownload, MYSEE, Filetopia, Soulseek, Sopcast, TVU, BearShare, KOOWO, FENGXING, PPFILM, DOPOOL, Flashget, PP365, BA