secowayusg2000系列产品

USG2100USG2200USG2000系列产品是华为赛门铁克公司为解决中小机构网络安全问题，而自主研发的统一安全网关。

USG2000基于业界领先的软、硬件体系架构，具备防火墙、防病毒、入侵防御、应用控制、URL 过滤、VPN 、反垃圾邮件等多种安全能力，支持IPv6协议，为用户提供强大、可扩展、持续的安全能力。

在政府、金融、电力、电信、石油、教育、工业制造等行业得到广泛应用。

强可靠的UTM —有效保障用户关键业务融合赛门铁克先进的IPS 和反病毒技术，涵盖多种解压算法， ■整合虚拟引擎、脚本解析引擎、PDF 引擎等独特引擎技术，融合多种反躲避检测技术，采用华为赛门铁克公司专有的“一体化检测引擎”技术，配合持续更新的特征库，铸就99%以上的检测率，实现真正安全。

IPS 入侵防御 ●功能采用了赛门铁克公司先进的IPS 检测引擎，可提供高效、精准的网络报文扫描能力，对于IPS 躲避和欺骗技术也可以做到准确识别。

AV 防病毒 ●模块采用了赛门铁克公司先进的病毒检测引擎，对于隐藏在网络流量中的病毒，具有高效、精准的查杀能力。

AS 反垃圾邮件 ●模块有效拦截垃圾邮件，净化企业邮件系统，解决垃圾邮件对正常工作带来的干扰问题。

URL 过滤 ●功能采用先进的匹配引擎，极大的缩短了URL 匹配时间，使得URL 过滤功能更加的高效。

高易用的UTM —即开即用，动态更新，实时保障华为赛门铁克USG 系列的UTM 功能，结合在全球客户的实践经■优势特性产品说明USG2000系列产品采用领先的嵌入式多核架构，传承多年在通讯、网络领域的研发、设计能力，满足各种严苛的国际认证规范，提供高可靠性保证。

基于Symantec 的先进的IPS 、AV 检测技术和丰富的特征库，检测率高达99%以上，在零配置的前提下，实现强大的安全防护能力。

USG2100系列，包括USG2130、USG2160，均为模块化非标准1U 设备。

USG2130标准配置1WAN+8LAN 端口，1个USB 接口，提供1个MIC 扩展槽，可支持扩展多种接口模块。

2009年9月HUAWEI TECHNOLOGIES CO., LTD.内部公开Secoway USG2000系列统一安全网关主打胶片目录中小企业所面临的安全问题中小企业面临的网络安全威胁终端用户无法下载蠕虫/木马中小型企业内网交换机数据服务器服务器用户终端网络边界缺乏安全防护，无法阻止入侵和攻击远程用户如何安全与机构内通讯机构内部没有安全域划分，无法阻止威胁扩散机构之间如何实现数据安全传输业务系统未作保护，导致数据失窃/被DDos 攻击/网页被纂改越来越多的威胁来自于网络内部大部分邮件都是垃圾P2P 下载占用带宽，网络出口堵塞员工电脑成为“肉鸡”，向外发DDoS攻击恶意攻击，破坏数据服务器遭受SQL 注入攻击，主页被篡改企业商业秘密随邮件泄漏访问反动、色情等不健康网站上班时间聊QQ/MSN ，工作效率低下上班时间玩网络游戏上网看电影，看新闻，炒股…USG 2000系列全面保护中小企业的安全•支持L2TP/GRE/IPSec/SSL/MPLS 完整VPN 解决方案•支持特征库检测，特征库1000+•支持5大协议的协议检查•特征库在线自动升级•SYN Flood •UDP Flood •ICMP Flood •DNS Flood •SMURF •CC •Land •Fraggle •WinNuke •ICMP 重定向•支持RBL 实时黑名单•QQ/MSN 控制•BT/迅雷/电驴/pplive 阻断和限流•游戏、股票软件控制•特征库在线自动升级•支持路由/透明/混合模式•支持ASPF/NAT/QoS/ACL•支持3G 无线上行•支持WiFi 无线下行Secoway 全系列安全网关USG3030/40USG5320/30/50/60USG9310/20中端千兆系列安全网关•10G-80G 性能•海量VPN 接入•分布式架构•NP 加多核处理器•2G-8G 性能•高密度接口•多核处理器•最佳DDoS 防护•1G-2G 性能•高密度接口•P2P 流量控制•E1/T1接口支持•UTM(IPS/反垃圾邮件/P2P阻断和限流/IM 控制)nUSG2000集防火墙+UTM 于一体，全面保护中小企业的网络安全高端万兆系列安全网关USG2220USG2210USG2230E1/CE1/SA/ADSL2+/IPSEC/L2TP/SSL VPNUSG2000系列全面保护中小企业的安全强大的攻击防范能力业务系统正常访问流量中小企业USG2000僵尸网络正常网络用户僵尸网络攻击流量僵尸网络僵尸网络僵尸网络UDP FloodSYN FloodICMP FloodCC 攻击SMURF…n 能防范多种DoS 和DDoS 攻击，可识别SYN Flood, UDP Flood, ICMP Flood 等多种攻击类型，能防御高达10万包/秒的DDoS 攻击动态黑名单主动防御技术支持智能动态黑名单主动防御技术，通过对报文的行为特征检测，可以实现：备USG2000与Secospace联动提高网络安全性分支机构Agent AgentAgentVPN 访问Agent SACG Agent内网认证后 域l l l lAgent：客户端代理 SACG：安全接入控制网关(防火墙) SPS: SRS: 安全策略服务器 安全修复服务器域管理 服务器SRS SPS防病毒 服务器 补丁服 务器安全管理员 安全审计员认证前域HUAWEI TECHNOLOGIES CO., LTD. PDF 文件使用 "pdfFactory Pro" 试用版本创建 Page 11完整的VPN方案保护数据安全传输机构总部内网Radius & CA性能 卓越 功能 丰富 方案 灵活 安全 可靠 维护 便捷–领先的VPN加密能力和VPN隧道数VPN ManagerUSG5000USG5000 L2TP/SSL VPN–全面VPN功能，支持SSL、IPSEC、MPLS、 GRE等VPN技术 –支持L2TP/IPSEC VPN多实例GRE/IPSEC/ MPLS VPNINTERNET–产品系列丰富，最佳性价比选择 –支持隧道数在线扩展，轻松扩展网络容量分支机构USG2000分支机构USG2000–专业硬件架构，支持热备高可靠特性电信级可 靠性 –支持CA安全特性、移动用户接入–支持VPN Manager集中业务管理 –系列产品支持CLI、WebUI、SNMPHUAWEI TECHNOLOGIES CO., LTD. PDF 文件使用 "pdfFactory Pro" 试用版本创建 Page 12USG2000系列 保护中小企业内网的安全HUAWEI TECHNOLOGIES CO., LTD. PDF 文件使用 "pdfFactory Pro" 试用版本创建 Page 13IPS-防御来自网络层和应用层的攻击•支持<特征签名＋协议异常检测>抵御来自网络和应用层的攻击 •支持特征库全球在线自动升级 •支持HTTP, SMTP, POP3, IMAP4, FTP等常用协议识别 •支持用户自定义规则蠕虫木马 DDoSInternet病毒间谍软件HUAWEI TECHNOLOGIES CO., LTD. PDF 文件使用 "pdfFactory Pro" 试用版本创建 Page 14Anti-Spam-过滤垃圾邮件•支持第三方维护的垃圾邮件发送者黑白名单（RBL）eInternete ! ee !e eHUAWEI TECHNOLOGIES CO., LTD. PDF 文件使用 "pdfFactory Pro" 试用版本创建 Page 15上网行为管理改善工作效率•有效阻断IM软件（QQ/MSN），控制IM病毒传播； •支持电驴/迅雷/BT等P2P软件阻断与限流Web规则库升级InternetHUAWEI TECHNOLOGIES CO., LTD. PDF 文件使用 "pdfFactory Pro" 试用版本创建 Page 16功能强大的P2P阻断和限流功能阻断 限制流量× × √ √ √ √员工老实上班 老板安心喝茶QQ MSN 电驴 BT Bitcomet(比特精灵) 迅雷√ √ √ √ √ √支持协议种类非常丰富，USG2000系列P2P支持的协议有BT. PPLIVE. Thunder. eDeM. FEIDIAN. QQlive. CCIPTV. GNUTELLA. Kazaa. PPSTREAM. COOLSTREAMING. DC. KUGOO. ORINNOAVBT. PPGou. POCO. BaiBao. Maze. TVAnts. UUSee. Vagaa. BBSEE. QQDownload. MYSEE. Filetopia. Soulseek. Sopcast. TVU. BearShare. KOOWO. FENGXING. PPFILM. DOPOOL. Flashget. PP365. BAIDUXIABA. QINGYL. FS2YOU. TVKOO。

华为USG2000防火墙维护文档目录1关于防火墙的登录 (2)2具体应用 (2)2.1登录 (2)2.2接口 (3)2.3本地策略 (5)2.4服务 (6)2.5转发策略 (7)1关于防火墙的登录登录防火墙出厂默认LAN口的IP为192.168.0.1，通过IE访问：http:// 192.168.0.1用户名：amdin；密码：Admin@1232具体应用华为USG2000实现misgate单向通讯LAN口接MISGate服务器；LAN口IP：192.168.1.1/255.255.255.0 WAN0接MISGate客户端WAN0口IP：192.168.10.1/255.255.255.0 防火墙接口的IP是PC机网卡与防火墙通讯网卡的网关。

2.1登录由于LAN口的IP更改为192.168.1.1了；所以登录防火墙LAN口的IP为192.168.0.1，通过IE访问：http:// 192.168.1.1用户名：amdin；密码：Admin@1232.2接口网络--->接口--->接口,配置LAN口IP网络--->接口--->接口,配置WAN0口IP2.3本地策略防火墙--->安全策略--->本地策略trust、untrust动作改为permit2.4服务防火墙--->服务--->自定义服务；新建TCP/UDP服务，指定1285端口，命名为test。

2.5转发策略防火墙--->安全策略--->转发策略；新建trust--->untrust动作为permit 服务选择为test（上一步新建的）选择服务（重要）选择动作为permit。

Secoway USG 系列统一安全网关华为技术有限公司华为技术有限公司地址: 深圳市龙岗区坂田华为基地电话: (0755) 28780808邮编: 518129版本号: M3-080030-20071213-C-3.0典型组网产品规格USG3030/USG3040典型部署图华为技术有限公司2007©版权所有，保留一切权利。

本资料仅供参考，不构成任何的承诺或保证。

产品概述USG 系列安全网关是华为公司新一代网关型安全防护设备，采用基于多核的硬件平台，为用户提供了集高转发率、高加密性能、高端口密度于一体的产品级安全防护解决方案。

集成DDoS 攻击防范能力，可防御多种类型的DDoS 攻击。

采用硬件加密芯片，提供高速的VPN 加密性能。

支持多种地址转换功能、为用户提供最大限度的灵活组网，集成多种路由特性，可参与动态路由，提供QoS 控制，为用户提供丰富的功能选择，同时结合智能的黑白名单过滤、多样的统计分析、方便的WEB 管理等优势于一身，业务应用范围广泛，是运营商、政府、金融、教育、能源、军队等机构网络的理想安全防护设备。

产品特点高性能高可靠性USG 系列安全网关采用多核技术，并行处理数据流，使得产品处理性能大幅提高，为用户的网络出口提供高速的数据转发，内嵌加密芯片，采用硬件处理技术，为用户提供高达600Mbps 的IPSec 加解密性能，处于业界领先。

USG 系列产品基于华为专业高可靠硬件平台和VRP 软件平台，配置主备电源、温控机箱、自动转速调节风扇，支持双机热备、负载均衡、路由信息1＋1备份，为用户提供高性能高可靠性的安全防护。

功能全面的VPN 网关USG 系列安全网关支持L2TP 、GRE 、IPSec 等多种VPN 接入方式，即可单独使用，也可多种方式组合使用，其硬件加密采用独立的加密核心，加密计算和数据封装通过硬件实现，加密处理性能与软件算法和业务流量无关，支持DES 、3DES 、AES 、SCB2等多种加密算法，可以为用户提供完整的VPN 解决方案。

华赛Secospace USG 2000系列统一安全网关技术白皮书华赛科技有限公司Huaweisymantec Technologies Co., Ltd.目录目录 (1)1概述 (4)1.1小型办公机构网络安全问题 (4)1.2硬件防火墙技术简介 (4)1.3防火墙设备的使用原则 (5)2USG 2000系列统一安全网关的特点 (5)2.1丰富的组网适应能力 (6)2.1.1丰富路由功能 (6)2.1.2高密度的端口支持 (6)2.1.3WiFi扣板或者插卡支持WLAN (7)2.1.43G接口卡支持WWAN (8)2.1.5扩展接口卡支持ADSL2+ (9)2.1.6快速的二层交换能力 (9)2.2安全策略控制 (9)2.2.1灵活的规则设定 (9)2.2.2基于时间段的规则管理 (10)2.2.3MAC地址和IP地址绑定 (10)2.2.4动态策略管理－黑名单技术 (10)2.2.5多种认证手段 (11)2.3基于状态检测的防火墙 (11)2.3.1基于会话管理的核心技术 (11)2.3.2ASPF深度检测技术 (12)2.3.3状态检测技术的优势 (12)2.4业务支撑能力 (13)2.4.1对多通道协议支持完善的安全保护 (13)2.4.2业务支持的完整性 (13)2.4.3支持完善的多媒体业务 (14)2.4.4支持QoS业务 (14)2.5地址转换服务(NAT) (15)2.5.1稳定的地址转换性能 (15)2.5.2灵活的地址转换管理 (15)2.5.3内部服务器支持 (16)2.5.4全面的业务支撑 (17)2.5.5对注册服务支持良好 (17)2.5.6无数目限制的PAT方式转换 (18)2.6攻击防范能力 (19)2.6.1丰富的Dos防御手段 (19)2.6.2高级的TCP代理防御体系 (19)2.6.3ARP攻击防御 (20)2.6.4扫描攻击防范 (20)2.6.5畸形报文防范 (21)2.7统一威胁管理（UTM） (21)2.7.1入侵防御IPS (21)2.7.2邮件过滤 (22)2.7.3上网行为管理 (23)2.8特色的VPN接入功能 (23)2.8.1L2TP VPN (24)2.8.2IPSEC VPN (24)2.8.3MPLS L3 VPN (25)2.8.4SSL VPN (26)2.8.6灵活的VPN 管理 (27)2.9完善的管理系统 (28)2.9.1丰富的维护管理手段 (28)2.9.2基于SNMP的终端系统管理 (28)2.10日志系统 (28)2.10.1日志服务器 (29)2.10.2两种日志输出方式 (29)2.10.3多种日志信息 (29)3结束语 (30)华赛Secospace USG 2000系列统一安全网关技术白皮书Keywords 关键词：USG统一安全网关、网络安全、VPN、隧道技术、L2TP、IPSec、IKE、3G、Wi-Fi、ADSL2+Abstract 摘要：USG 2000系列统一安全网关包括USG 2130/2210/2220/2230/2250共五款产品，本文详细介绍了USG 2000系列统一安全网关备的技术特点、工作原理等，并提供了安全网关选择过程的一些需要关注的技术问题。

华为赛门铁克USG2000系列防火墙/UTM产品USG2000系列产品是华为公司面向中小型企业/分支机构设计的新一代防火墙/UTM （United Threat Management，统一威胁管理）设备。

USG2000基于业界领先的软、硬件体系架构，基于用户的安全策略融合了传统防火墙、VPN、入侵检测、防病毒、URL 过滤、应用程序控制、邮件过滤等行业领先的专业安全技术，可精细化管理1200余种网络应用，全面支持IPv6协议，为用户提供强大、可扩展、持续的安全能力。

在政府、金融、电力、电信、石油、教育、工业制造等行业得到广泛应用。

华为安全金牌代理，北京开元辉煌科技有限公司，袁存杰。

USG2000系列产品包括：USG2130，USG2160，USG2210，USG2210E，USG2220，USG2220E，USG2230，USG2230E，USG2250，USG2250E等十个型号产品。

均为模块化设备，提供多个扩展槽，支持多种I/O模块选配。

专业安全，全面防护完善的防火墙功能：提供安全区域划分、静态/动态黑名单功能、MAC和IP绑定、访问控制列表（ACL）和攻击防范等基本功能，还提供基于状态的检测过滤、虚拟防火墙、VLAN透传等功能。

能够防御ARP欺骗、TCP报文标志位不合法、Large ICMP报文、SYN flood、DNS flood、地址扫描和端口扫描等多种恶意攻击。

华为安全金牌代理，北京开元辉煌科技有限公司，袁存杰。

实时的病毒防护：采用赛门铁克公司国际一流的防病毒技术，病毒检出率达到99%，从而迅速、准确查杀网络流量中的病毒等恶意代码。

精准的入侵防御：基于赛门铁克基于特征的入侵检测技术，实现零误报，精确识别并实时防范各种网络攻击和滥用行为。

丰富的VPN特性：支持IPSec VPN、L2TP VPN、SSL VPN、MPLS VPN及GRE VPN 等远程安全接入方式，同时CPU集成硬件加密引擎，提供超群的VPN处理性能。

华为USG2000防火墙配置USG2000防火墙基本设置：外观1个调试口（CONSOLE）；2个以太网口（GE0/0/0和GE0/0/1，电口或者SFP光口任取一）；1个reset按钮（操纵不当拜访不到防火墙时初始化出厂配置）。

初始配置GE0/0/0配置为路由接口，IP地址为192.168.0.1防火墙拜访IP为192.168.0.1，登录用户名admin，密码Admin@123USG2000防火墙配置过程中注意事项：接口配置时，不要操纵以后连接的端口，不然可能招致防火墙无法连接的情况。

这种情况下需要按‘reset’按钮初始化出厂配置。

USG2000防火墙配置步调一、配置防火墙的网络接口1.连接GE0/0/0端口，拜访192.168.0.1登录防火墙。

登录过程中呈现证书毛病，点击‘继续浏览此网站’继续。

输入用户名admin密码Admin@123登录防火墙。

登录后，弹出修改用户的初始密码的提示及快速向导。

初始密码尽量不要修改。

快速向导适于配置路由器模式，不适合I区和II区之间，直接点取消。

以上为USG2000基本配置界面。

现场配置所需要用到的只有网络和防火墙两个主菜单。

2.配置GE0/0/1端口选择菜单网络/接口，在GE0/0/1行最后点配置。

别号设置‘平安II区端口’，选择模式‘交换’，连接类型选择为‘access’，点击应用。

3.添加Vlan接口在接口页面中，点击新加，接口名称设置为‘配置接口’，类型设置为‘VLAN’，VALN ID设置为‘1’，接口成员选择‘GE0/0/1’，连接类型设置为‘静态IP’，IP地址设置为‘192.168.1.100’，子网掩码设置为‘255.255.0.0’，最后点击应用。

如下图所示4.依照配置GE0/0/1的办法，配置GE0/0/0，将别号设为‘平安I区端口’。

注意：配置完成后，点击应用后，由于GE0/0/0的IP地址已变动，将无法拜访到192.168.0.1。

Secoway USG 2000系列产品华为Secoway USG 2000系列统一安全网关是华为公司针对中小企业安全业务需求，推出的新一代多功能安全网关，可广泛应用于中小企业、大型企业分支机构、SOHO办公类用户、以及网吧出口网关等，华为Secoway USG 2000系列统一安全网关采用模块化设计，集安全、路由、交换、无线（WiFi、3G）等特性于一体，接口类型丰富，性能领先，能为中小企业、大型企业分支机构、SOHO办公类用户、以及网吧出口网关提供安全防护，并能提供集成的网络出口安全与互联解决方案，降低企业总所有成本TCO，提升企业的效率，是中等及中小型企业网络的理想安全防护设备！产品系列Secoway USG2110：采用固定接口形态，提供百兆位的性能和方便易用的可管理性，带1个固定的Untrust 10/100接口和4个固定的Trust 10/100接口。

Secoway USG2120 & 2130：是统一集成的防火墙/VPN/安全路由器/安全交换机系统，提供百兆位的性能、模块化架构、WIFI接入和丰富的路由器、交换机功能，带1个固定的Untrust 10/100接口和8个固定的Trust 10/100接口，并附加1个MIC扩展插槽，可灵活扩展广域网或局域网接口。

USG2130还额外支持一个Express接口，专门用来扩展3G接口。

Secoway USG2210 & 2220：是统一集成的防火墙/VPN/安全路由器/安全交换机系统，提供数百兆位的性能、模块化架构和丰富的路由器、交换机功能，带2个固定的10/100/1000接口。

USG2210附加1个FIC 扩展插槽和4个MIC扩展插槽，USG2220附加2个FIC扩展插槽和4个MIC扩展插槽，可灵活扩展广域网或局域网接口，并可以扩展支持WIFI接入。

产品特性业内首款集路由，交换，安全，无线（WiFi、3G）于一体的安全网关Secoway USG 2000系列集路由、交换、安全、无线（WiFi、3G）功能于一体，1台Secoway USG 2000系列 = 数台传统路由器+数台传统交换机+数台传统防火墙，能有效帮助企业提高效率、降低维护复杂度，降低企业总成本TCO。