Межсетевой экран Huawei HiSecEngine USG6650E

Брандмауэры нового поколения Huawei серии HiSecEngine USG6600E разработаны для использования в средних и крупных компаниях, государственных учреждениях и современных центрах обработки данных. Эти устройства предлагают функции NGFW и могут взаимодействовать с другими системами безопасности, обеспечивая активную защиту от сетевых угроз, улучшая обнаружение на границах сети и решая проблемы, связанные со снижением производительности. Они обеспечивают сопоставление шаблонов и ускоряют обработку благодаря службам шифрования и дешифрования, что значительно повышает эффективность работы брандмауэров, систем обнаружения вторжений и служб IPSec.

Huawei HiSecEngine USG6650E - это надежное и мощное решение для защиты сетей в крупных и корпоративных организациях, обеспечивающее высокую производительность, гибкость и комплексную безопасность.

Основное

• Производительность: Обеспечивает до 100 Гбит/с общей пропускной способности и до 40 Гбит/с защиты от угроз, что позволяет эффективно обрабатывать большие объемы трафика.
• Комплексная защита: Интеграция функций межсетевого экрана, предотвращения вторжений (IPS), антивирусной защиты, DDoS-защиты и контроля приложений в одном устройстве.
• Масштабируемость: Поддержка до 20 миллионов одновременных соединений и до 500 тысяч новых соединений в секунду, обеспечивая гибкость для роста сети.
• Многопользовательская поддержка: Обеспечивает сегментацию трафика и политики безопасности для различных отделов и подразделений компании, улучшая управление и безопасность.
• Гибкость конфигурации: Настройка параметров сети и безопасности в соответствии с бизнес-потребностями, поддержка виртуализации для оптимального использования ресурсов.
• Интеграция с облачными сервисами: Поддержка облачных платформ, включая Huawei Cloud, AWS и Microsoft Azure, для централизованного управления и мониторинга.
• Автоматическое обнаружение и восстановление: Функции автоматического обнаружения и устранения сбоев для обеспечения непрерывной работы сети, минимизируя время простоя.
• Управление полосой пропускания: Интеллектуальное управление трафиком для оптимизации использования сетевых ресурсов и обеспечения высокой производительности.
• Высокая доступность: Поддержка отказоустойчивых конфигураций, включая активный/активный и активный/резервный режимы для обеспечения непрерывной доступности сети.
• Безопасность данных: Встроенные механизмы шифрования, защита от утечек данных (DLP) и контроль доступа для обеспечения безопасности информации.
• Удобство использования: Интуитивный веб-интерфейс и инструменты аналитики для удобства настройки и мониторинга состояния системы безопасности.
• Энергоэффективность: Оптимизированная архитектура для снижения энергопотребления и операционных затрат, что способствует устойчивому развитию.
• Сертификация: Соответствие стандартам безопасности, таким как ISO 27001, PCI DSS и GDPR, для обеспечения высочайшего уровня защиты данных.

Типичные схемы применения

Крупные и средние предприятия обычно имеют большое количество сотрудников и сложные сервисы, что делает их уязвимыми для различных сетевых угроз. Поэтому пограничные устройства должны обладать мощными возможностями обнаружения угроз и защиты, а также обеспечивать стабильную работу при постоянном интенсивном трафике. Брандмауэры серии USG6000E могут выступать в качестве выходных шлюзов для крупных и средних предприятий, защищая сетевые границы организаций.

Внутренняя сетевая структура крупных и средних предприятий является сложной. Поэтому необходимо настраивать уровни безопасности и изоляцию безопасности для различных внутренних сервисных сетей, а также осуществлять мониторинг трафика, обмениваемого между разными сетями, в реальном времени. Кроме того, создается система управления пользователями для реализации контроля доступа, контроля квот и управления ресурсами полосы пропускания для пользователей, которые получают доступ к хостам интранета. Брандмауэры серии USG6000E могут выполнять функции пограничных шлюзов интранета для крупных и средних предприятий, обеспечивая контроль внутренней сети и изоляцию безопасности, что эффективно предотвращает потенциальные риски.

Основная функция дата-центров заключается в предоставлении сетевых услуг для внешних пользователей. Поэтому важно обеспечить нормальный доступ из внешней сети к серверам дата-центра. Это требует, чтобы пограничное защитное устройство обладало мощной производительностью обработки, разумным механизмом управления трафиком и комплексным механизмом надежности. Кроме того, пограничное защитное устройство должно быть способно защищаться от угроз безопасности внешней сети и обеспечивать непрерывность обслуживания в случае атаки на сеть. Брандмауэры серии USG6000E могут выполнять функции пограничных шлюзов дата-центра для защиты серверов в дата-центрах.

В облачном дата-центре устройства безопасности должны адаптироваться к эластичному масштабированию, быстрому развертыванию и самообслуживанию облака. Кроме того, устройства безопасности должны справляться с такими вызовами, как размытые сетевые границы и увеличенные угрозы безопасности. Межсетевые экраны серии USG6000E могут использоваться в качестве средств обеспечения безопасности в сетях облачного дата-центра для сбора сетевого трафика и взаимодействия с анализатором безопасности и контроллером безопасности для выполнения основанного на больших данных обнаружения угроз и интеллектуального анализа, а также для генерации соответствующих политик безопасности для реализации функций безопасности. Межсетевые экраны серии USG6000E могут удовлетворять требованиям защиты безопасности границ облачного дата-центра, границ арендаторов и внутренней сети арендаторов.

Сети видеонаблюдения сталкиваются с большими рисками безопасности из-за сложного развертывания камер и тенденции к межсетевому соединению устройств видеонаблюдения. Межсетевые экраны серии USG6000E могут контролировать доступ терминалов к сетям видеонаблюдения, чтобы предотвратить доступ не видеоприложений и камер от неавторизованных производителей, использовать сигнатуры IPS для перехвата зараженных камер, чтобы предотвратить их возможность распространения вирусов в сети видеонаблюдения, а также взаимодействовать с платформой анализа больших данных HiSec Insight (CIS), чтобы получать политики сотрудничества, предоставляемые HiSec Insight, и эффективно обнаруживать и блокировать зараженные терминалы в сетях. 

Панели

Передняя панель

По умолчанию оптический интерфейс 40GE0/0/1 недоступен. Для его включения выполните команду:

set device port-config-mode 40g-port enable

Однако учтите, что после этого оптические интерфейсы 10GE с номерами от XGE0/0/8 до XGE0/0/11 станут недоступны.

Конфигурация по умолчанию:

• IP адрес порта управления: 192.168.0.1
• Учетная запись/пароль администратор: admin/Admin@123

Задняя панель

Заземление и питание:

На устройстве нет выключателя, оно начнет работать сразу после подключения к источнику питания. Если индикатор SYS на передней панели мигает (раз в две секунды), то устройство работает и готово к настройке.

Комплектация

Характеристики

• Тип установки: Rack
• Стандарт установки: Стойка глубиной 600 мм или больше
• Размеры (В x Ш x Г): 43.6 x 442 x 420 мм
• Высота юнита: 1 U
• Вес с упаковкой:
  • USG6650E-AC (02351YRY): 10.9 кг
  • USG6650E-AC (02351YRY-001): 10.2 кг
  • USG6650E-AC (02351YRY-002): 10.2 гг
• Вес без упаковки:
  • USG6650E-AC (02351YRY): 7.9 kg кг
  • USG6650E-AC (02351YRY-001): 7.5 кг
  • USG6650E-AC (02351YRY-002): 7.5 кг
• CPU: 1 CPU, 8 cores/CPU, up to 2.3 GHz
• Memory: 16 GB DDR4, supporting ECC
• Встроенная память: 32GB
• NOR Flash:
  • USG6650E-AC (02351YRY): 32 MB
  • USG6650E-AC (02351YRY-001): 64MB
  • USG6650E-AC (02351YRY-002): 64MB
• Диск: опционально 2.5-inch SATA (240 GB/960 GB/1000 GB), поддержка горячей замены
• Консольный порт: RJ45
• Порт управления: RJ45
• Типичное энергопотребление: 134.34 Вт
• Typical heat dissipation [BTU/hour]: 458.37 BTU/hour
• Максимальное энергопотребление
  • USG6650E-AC (02351YRY): 191 Вт
  • USG6650E-AC (02351YRY-001): 171.7 Вт
  • USG6650E-AC (02351YRY-002): 171.7 Вт
• Maximum heat dissipation [BTU/hour]
  • USG6650E-AC (02351YRY): 651.7 BTU/hour
  • USG6650E-AC (02351YRY-001): 585.84 BTU/hour
  • USG6650E-AC (02351YRY-002): 585.84 BTU/hour
• MTBF [г]: 29.34 лет
• MTTR [ч]: 2 ч (реально в доках 2 часа, может, два миллиона?)
• Доступность: 0.999992
• Режим питания: AC pluggable
• Количество блоков питания:  2
• Надёжность блоков питания: 1+1
• Входное напряжение: от 100 до 240 В, 50/60 Гц
• Диапазон напряжения: от 90 до 290 В, 47/63 Гц
• Максимальный входной ток: 9 A на БП
• Относительная выходная мощность: 600 Вт / 12В
• Максимальная выходная мощность: 600 Вт на БП
• Вентиляторы: подключаемые
• Количество вентиляторов: 3
• Автоматическая регуляция скорости вращения вентиляторов: поддерживается
• Режим охлаждения: вентиляторы работают на выход
• Направления охлаждения: Front-to-back airflow
• Надёжность вентиляторов: 2+1
• Шум: ≤72db(A)
• Температура работы:
  • Без диска: 0°C - 45°C
  • С диском: 5°C - 40°C
  • Хранение: -40°C - 70°C
• Влажность:
  • При работе: 5% - 95% без конденсата
  • Хранение: 5% - 95% без конденсата
• Высота:
  • Без диска: 0 - 5000 м
  • С диском: 0 - 3000 м
  • Хранение: 0 - 5000 м

Ссылки

https://support.huawei.ru/enterprise/ru/security/usg6650e-pid-22984994

Внешний вид

Давайте распакуем. Коробка не очень большая.

Достаём устройство. Вид спереди на порты, этой стороной будем устанавливать со стороны холодного зала. Вид спереди.

Сразу про рельсы, они закуплены отдельно.

Очень странно, но модель на коробке не указана. Но я напишу для простоты поиска:

• PN: 21242246
• Model: E00TSLD00

Направляющие очень странные, они занимают целый юнит. С другой стороны сверху можно наставить кучу оборудования, тоже как-то странно.

Спереди идет заглушка, которая вообще не в тему. Нельзя было сделать щётку? Давайте просто посмотрим как это планировали видеть инженеры.

Направляющая слева.

Направляющая справа.

Сверху межсетевой экран. Ну и? Если оборудование не провисает, то и рельсы, получается, не нужны? А если коммутатор провисает, то нет никакого смысла несколько устройств друг на дружку ставить на рельсы, нижние не вытащить. Выходит, на каждое устройство нужны рельсы, тогда зачем такие усиленные? Такие направляющие могут себя окупить только при установке тяжелого оборудования в несколько юнитов высотой, что, кстати, подтверждается картинкой инструкции.

Не могу себе позволить терять юниты, буду устанавливать на рельсы сверху два межсетевых экрана.

Да и само пространство для направляющих  можно использовать под провода. Вот только вместо заглушки здесь бы подошла щётка. Её потом и поставлю, можно любую взять, только понадобится болгарка, дрель и напильник, чтобы подогнать к направляющим, это уже другая история, но вполне реализуемая.

Поехали дальше.

В левой части дисковый слот, кнопки и индикаторы.

В центральной части гигабитные порты Ethernet и 10G порты SFP+.

Правее 40G порты, USB порт, консольный порт и порт управления.

Вид сзади.

Слева блок вентиляторов с поддержкой горячей замены.

Модель DBTB0428B2S.

Справа два блока питания с поддержкой горячей замены.

БП 80 Plus Gold на 600 Вт..

Модель: PAC600S12-CB.

Вид сбоку. Уши можно крепить с двух сторон.

Вид в стойке.