490 likes | 621 Views
A Secure Services Gateway termékcsalád áttekintése. SSG 5, SSG 20, SSG 140, SSG 500 sorozat. Napirend. Piaci trendek Kulcs biztonsági és útválasztási funkciók SSG sorozat specifikációja Telepítési lehetőségek Versenytársak elemzése. Fiók irodák igényei. DMZ.
E N D
A Secure Services Gateway termékcsalád áttekintése SSG 5, SSG 20, SSG 140, SSG 500 sorozat
Napirend • Piaci trendek • Kulcs biztonsági és útválasztási funkciók • SSG sorozat specifikációja • Telepítési lehetőségek • Versenytársak elemzése
Fiók irodák igényei DMZ • A fiókirodák száma éves szinten ~6,5%-kal nő • A cégek dolgozóinak egyre nagyobb hányada dolgozik távoli irodában (2003: ~85%, 2006: 91%) – Nemertes Research • 2007-ig a vállalatok 50%-a készül a sávszélességét meghatározó mértékben növelni – Infonetics • 2005-ben a cégek 56%-a tapasztalt legalább egy belső támadást • A cégek 65%-a tapasztalt legalább egy külső támadást – CSI/FBI 2005 survey www.cegnev.hu Sávszél. men.Direkt InternetVPN Távoli menedzs. Wi Fi Belső biztonság TartalombiztonságNincs helyi IT HQ
WLAN Fiókiroda ismérvei • Kisebb méretben, de nem feltétlenül komplexitásban • Szegmentált helyi hálózat • Bonyolultabb a támogatás, a biztonsági szint fenntartása • Sokféle eszköz • Helyi IT nincs vagy minimális • Változatos WAN kapcsolat: E3-tól lefelé akár modemig • Szükség van a saját és a bérelt/kihelyezett eszközök védelmére • Tűzfal, VPN, IPS és AV, Spyware szűrés • Belső hozzáférés kontroll szükséges, szegmentálni kell a hálózatot Helyi alk. 100+ Mbps WAN kapcs. = > 50 Mbps HQ IPSec www Felhasz.
Az ideális fiókirodai megoldás • Minden ismert támadási módszert megbízhatóan képes blokkolni • Hálózati, alkalmazás és tartalom szintjén • Teljesítménytartalék a belső szegmentációhoz • Akár többszáz megabit/másodperc forgalom folyamatos szűrése • Sokféle LAN és WAN kapcsolódási lehetőség • Interfészek, protokollok és beágyazások széles támogatása • Könnyű központi menedzsment
A Secure Service Gateway termékcsalád • A Security Services Gateway (SSG) termékcsalád egy integrált útválasztó és tűzfal megoldás • Kedvezőbb ár/teljesítmény és I/O flexibilitás • A világ egyik legjobb tűzfalszoftverét a világ egyik legjobb útválasztó szoftverével kombinálja • ScreenOS + JunOS • Egészen kis irodától (5-25 gép) magyar viszonylatban nagyvállalati szintig (1000-1500 gép) • Használható mint tradícionális tűzfal, biztonságos útválasztó és/vagy VPN eszköz • Teljesen integrált UTM eszköz
Napirend • Piaci trendek • Kulcs biztonsági és útválasztási funkciók • SSG sorozat specifikációja • Telepítési lehetőségek • Versenytársak elemzése
Hálózatbiztonsági funkciók • FW • IPSec VPN • DoS/DDoS • User auth. Mgmt/Modem A nagyvállalati szintű biztonság ScreenOS • Integrált UTM biztonsági funkciók • IPS (Deep Inspection), Antivirus (Anti-Spyware, Anti-Phishing is), Anti-Spam, Web filtering UTM / Tartalombiztonság • Anti-Spam • IPS (Deep Inspection) • Antivirus/Anti-Spyware • Web filtering • Hálózatbiztonsági és hozzáférés korlátozási funkciók • Állapottartó tűzfal, IPSec VPN, NAT, DoS védelem, felhasználó azonosítás Hálózati funkciók • Széles körű hálózati és virtualizációs funkciók • Szegmentáció (zónák, VLAN-ok) • A ScreenOS által biztosított telepítési módok, dinamikus útválasztás, magas rendelkezésre állás és a JUNOS által kínált WAN beágyazás • Biztonsági zónák • LAN Routing • Telepítési módok • WAN beágyazás SSG célhardver platform LAN & WAN I/O
Deep Inspection/ Átfogó tartalombiztonságÁllítsuk meg a támadások összes formáját az első lehetséges ponton Külső fenyegetés Belső fenyegetés Spyware Phishing www.tilos.oldal URL Filtering Web Filtering Viruses, Trójaiak Spyware/Adware, Keyloggerek AV AV Viruses, Trójaiak Anti Spam Anti Spam Spam / Phishing Férgek, Trójaiak, DoS (L4 & L7), Kémkedés IPS/DI IPS/DI Férgek, trójaiak SPF tűzfal Hálózati és DoS támadások
Átfogó biztonság (UTM) piacvezető partnerekkel • Integrált Kaspersky Antivirus, amely védelmet nyújt a Spyware / Adware / Keylogger típusú fenyegetések ellen is • Integrált vagy átirányított web szűrés a SurfControlsegítségével, amely blokkolja a hozzáférést az ismert kémprogram, adathalász és vírusfertőzött oldalakhoz • Integrált megoldás SurfControl segítségével, illetve átirányítottan SurfControl vagy Websense • Integrált spam szűrés a Symantecsegítségével • Brightmail alapúadatbázis IP címekből, szöveg- és fejlécelemekből, amely folyamatosan frissül a spam küldők és az adathalászok adataival • A behatolás megelőzés (Deep Inspection) többezer támadási formát felismer és blokkol (köztük férgeket, trójaiakat is) 43 protokollban • Éves előfizetés, kedvezményes csomagok („Remote Office” és „Main Office”)
A hálózat szegmentációjaBiztonsági zónák, VLAN-ok, Virtuális útválasztók • Biztonsági zónák, VLAN-ok, virtuális útválasztók • Szétosztják a hálózatot külön, biztonságosan kezelhető részekre • Védik a hálózatot a zónák közötti és azon belüli kommunikáció során • Versenyelőny: • Magasabb biztonság • A biztonsági szint felhasználó csoportonként állítható • A virtualizációban a Netscreen termékek élen járnak Megbízható zóna, teljes hozzáférés DMZ Zóna1 „Korlátozott” userek Web, email, kulcs alkalm. Zóna2 „Vendég”csak Web
Útválasztás és telepítési lehetőségek • Dinamikus útválasztás és telepítési lehetőségek • Transzparens (L2), statikus vagy dinamikus útválasztás • A teljes termékcsalád támogatja a dinamikus útválasztást • OSPF, BGP, RIPv1/2 minden modellen • WAN beágyazás • FR, MLFR, PPP, MLPPP és HDLC • Előnyök: • Automatikusan alkalmazkodik a hálózat változásához • Biztonság növelése lehetséges a hálózat áttervezése nélkül is • Egyszerűsíti a rendszerintegrációt • Kevesebb egyedi konfigurációs lépés szükséges • WAN kapcsolat külső eszköz nélkül • Növeli a hálózat rugalmasságát – különösen VPN kapcsolatok esetében
Az interfész szintű konfigurációs rugalmasság„Bridge Group” • A korábbi „Port Mode” helyébe lép (SSG 5 / SSG 20 esetében), de annál sokkal rugalmasabb • Ethernet és Wireless portokat lehet összekapcsolni (egymás között mint egy L2 Switch viselkednek)egy virtuális L3 interfésszé – nincs policy interfészen belül, csak „bgroup” szinten bgroup Forrás1 bgroup eth eth eth SSG 5 vagy SSG 20 SSG 5 or SSG 20 eth Forgalom eth eth wireless Cél1 wireless DMZ Zóna eth eth A Bridge Group mint L3 interfész hozzá- Rendelésre került a DMZ zónához A Bridge Group mint virtuális L2 Switch
Biztonság Üzemeltet. Hálózat Biztonság Biztonság Hálózat Hálózat Üzemeltet. Üzemeltet. Biztonságos központi menedzsment • Központi menedzsment a teljes termékvonalban • Távoli hozzáférés • Biztonságos menedzsment minden funkcióra minden modellen • „Gyorstelepítési” lehetőségek • A telepítési költségek csökkenthetőek, egyszerűsíti a nagy rendszerek telepítését • Szerep alapú adminisztráció • A feladatok delegálhatóak szerep alapon • Távoli licenc menedzsment • Minden tartalomszűrési funkció aktiválható távolról vagy központi menedzsmenttel • Az SSG 5 és az SSG 20 máris támogatott az NSM által • NSM „schema update”telepítése szükséges
Napirend • Piaci trendek • Kulcs biztonsági és útválasztási funkciók • SSG sorozat specifikációja • Telepítési lehetőségek • Versenytársak elemzése
A Secure Service Gateway termékcsalád • A Security Services Gateway (SSG) termékcsalád egy biztonságos útválasztó és egy tűzfal kombinációja • SSG 5 – Hatféle fix kiépítésű modell • 160 Mbps FW / 40 Mbps VPN • SSG 20 – Kétféle moduláris modell • 160 Mbps FW / 40 Mbps VPN • SSG 140 • 350+ Mbps FW / 100 Mbps VPN • 8 FE + 2 GE Interfész + 4 WAN PIM bővítőhely • SSG 520 • 650+ Mbps FW / 300 Mbps VPN • SSG 550 • 1+ Gbps FW / 500 Mbps VPN SSG 5 SSG 20 SSG 140 SSG 520 SSG 550
Alapadatok 160 Mbps FW (nagy csomagok)/ 90 Mbps FW IMIX / 40 Mbps VPN Integrált ventilátor és hőszenzor (csak a wifi modellben) Megbízhatóság és bővíthetőség Külső AC tápegység Failover kapcsolat szinkronizációval (csak Extended licenccel) Bővíthető memória Interfészek Fix kiépítés 7 FE + 1 WAN interfész Választható WAN opciók rendeléskor: ISDN BRI S/T vagy V.92 vagy RS-232 Serial/Aux Opcionális Dual radio 802.11a + 802.11 b/g Összesen hatféle hardver kiépítés A Secure Services Gateway 5 modell
Alapadatok 160 Mbps FW (nagy csomagok)/ 90 Mbps FW IMIX / 40 Mbps VPN Integrált ventilátor és hőszenzor (csak a wifi modellben) Megbízhatóság és bővíthetőség Külső AC tápegység Failover kapcsolat szinkronizációval (csak Extended licenccel) Bővíthető memória Interfészek 5 fix FE port + 2 Mini I/O bővítőhely A jelenleg kapható Mini PIM kártyák: ADSL2+, T1, E1, ISDN BRI S/T, V.92 Opcionális Dual radio 802.11a + 802.11 b/g Összesen kétféle hardver kiépítés A Secure Services Gateway 20 modell
Secure Services Gateway 20 bővítőhelyei • A Mini PIM-ek kis méretűek • Körülbelül mint egy kártyapakli • Semmilyen más (jelenleg létező) Juniper termékkel sem használhatóak ADSL 2+ (2) I/O bővítőhely V.92 E1 T1 ISDN BRI S/T
Különbségek: SSG 5/SSG 20 vs NetScreen-5GT • Nincs felhasználószám • Minden doboz unlimited • Különbözik az Extended licenc • Növeli a VLAN-ok, VPN alagutak és a kapcsolatok számát • Moduláris memória – 128MB vagy 256MB • (Moduláris) WAN interfészek • Több biztonsági zóna – 4-től 10-ig szabadon konfigurálható • Több VLAN – 0-tól 10/50-ig
350+ Mbps FW (nagy csomag)/ 300 Mbps FW IMIX / 100 Mbps VPN Nagyteljesítményű UTM funkciók kedvező áron Failover funkció kapcsolat szinkronizációval Fix 8x10/100 és 2x10/100/1000 interfészek 4 bővítőhely (kompatibilis a J-sorozatú útválasztókkal): Meglévő duál port T1 Meglévő duál port E1 Meglévő duál port Serial Új interfész Egy portos ISDN A Secure Services Gateway 140 modell Előlap Hátlap
4 Hátlap Előlap 3 2 1 A Secure Services Gateway 140 bővítőhelyei • Konzol és RS-232/Aux interfész • 8x10/100 interfaces • 2x10/100/1000 interfaces • 4xbővítőhely: 2xT1, 2xE1, 2xSerial, 1xISDN BRI S/T
Különbségek: SSG 140 vs NetScreen-25 • Nincs Baseline változat • Minden funkció elérhető minden dobozon • A memória moduláris – 256MB vagy 512MB • Moduláris WAN interfészek • HA funkció fejletebb (kapcs. szink.) • Több biztonsági zóna – 4-től 40-ig • Több VLAN – 8-tól 100-ig • UTM funkciók • Antivirus, Anti-Spam, Web filtering és IPS (DI)
Juniper Networks SSG 550 1 Gbps + FW (nagy csomag)/1 Gbps FW IMIX / 500 Mbps VPN 600K pps 6 I/O bővítőhely – ebből 4 LAN képes Redundáns táp, egyenáram opcionális 128K kapcsolat, 1,000 VPN csatorna Juniper Networks SSG 520 650+ Mbps FW (nagy csomag)/ 600 Mbps FW IMIX / 300 Mbps VPN 300K pps 6 I/O bővítőhely / 2 LAN képes Egy táp (AC vagy DC választható) 64K sessions, 500 VPN tunnels A Secure Services Gateway 500 sorozat • Közös jellemzők: • 2U magas, 4x10/100/1000 port alapkiépítésben • 2xSerial RJ45 port konzol hozzáféréshez és „Out of Band” menedzsmenthez • 2x USB port
A Secure Services Gateway 500 sorozat interfészei SSG 550 • 1 Gbps FW @ 600K pps, • 500 Mbps VPN • 500 Mbps behatolás detektálás (DI) • Redundáns táp, DC opció • 128K kapcsolat, 1000 VPN csatorna SSG 520 • 600Mbps FW @ 300K pps, • 300 Mbps VPN • 300 Mbps behatolás detektálás (DI) • DC opció • 64K kapcsolat, 500 VPN csatorna
Különbségek: SSG 500 sorozat/ NetScreen-200 sorozat • Nincs Baseline változat • Minden funkció elérhető minden dobozon • A memória moduláris – 512MB vagy1GB • WAN és LAN interfészek • Több bizt. zóna – 4-12 (SSG 520) és 8-18 (SSG 550) • Több VLAN – 125 (SSG 520) és150 (SSG 550) • Több virtuális útválasztó – 5/8
Az SSG termékcsalád helye • Nagyobb teljesítmény • Teljes UTM minden modellben • Moduláris memória • WAN opciók Teljesítmény Kisvállalat, távmunka Regionális iroda, középvállalat
SSG sorozat pozícionálása Rendelkezésre állás „Full Mesh” / „Aktív-Aktív”, Redundáns táp ~2x FW Telj. ~1.5x VPN Telj. „A-A Full Mesh HA” Redundáns táp „Aktív-Passzív” ~2x FW Telj. >3x VPN Telj. Moduláris LAN (GigE) >2x FW Telj. >2x VPN Telj. >2x Zónák & VLAN-ok Állapottartó HA GigE interfészek Opcionális „A-P” Extended licenccel Moduláris I/O2 x Mini-PIM 200M+ UTM 100M+ UTM 25M+ UTM 10M+ UTM Kapacitás és funkciók
SSG összefoglaló • Biztonság: Teljeskörű UTM integrált, semmilyen egyéb hw sem szüks. • Állapottartó FW, IPSec VPN, IPS, AV (Anti-Phishing és Anti-Spyware), Anti-Spam, Web filtering • Hálózat szegmentációja széles körű virtualizációs lehetőségekkel • Teljesítmény: célhardver alapú megoldás, verhetetlen ár/teljesítmény mutatóval • WAN kapcsolódási lehetőségek széles választéka • Biztonsági eszköz professzionális útválasztási képességekkel • Dinamikus útválasztás, virtuális útválasztók, VPN, HA, VLAN-ok • A WAN kártyák a J-Sorozatú útválasztókból JUNOS támogatással • Központi menedzsment (NSM)
Napirend • Piaci trendek • Kulcs biztonsági és útválasztási funkciók • SSG sorozat specifikációja • Telepítési lehetőségek • Versenytársak elemzése
PSTN ISP SSG 5/SSG 20 példa Távoli iroda Központ Elsődleges kapcs.= ADSL vagy E1 Internet Backup = ISDN S/T vagy V.92 Branch Office Elsődleges kapcs = Külső ADSL vagy v.35 Serial RAS „Buta” Modem Backup = ISDN S/T or V.92 Wireless Zóna
PSTN ISP SSG 140/SSG 500 példa Regionális központ Központ Fő kapcsolat = E3 Internet Backup = E1 Fiókiroda Fő kapcsolat = E1 vagy Serial RAS Backup = ISDN S/T
Frame Relay (ISP) SSG termékcsalád példa Távoli telephely • Az SSG termékcsalád sokféle integrációs lehetőséget kínál • A kapcsolatok működhetnek aktív/passzív illetve aktív/aktív üzemmódban (terheléselosztás több kapcsolat között) Központ E1, ADSL2+ vagy V.92 Vagy E1 vagy ISDN Internet Vagy E1 vagy E3 Vagy
Napirend • Piaci trendek • Kulcs biztonsági és útválasztási funkciók • SSG sorozat specifikációja • Telepítési lehetőségek • Versenytársak elemzése
SSG 550 vs ISR 3845: Tűzfal teljesítményAz állítás és a valóság – a célhardver szerepe
SSG 550 vs ISR 3845: Behatolásdet. teljesítményAz állítás és a valóság – a célhardver szerepe
SSG 20 Mini-PIM: 1 x ADSL2/2+ • ADSL, ADSL2, ADSL2+ (max. 24Mbps letöltés) • Annex A (POTS) vagy Annex B (ISDN) • Két kártya összekötésével MLPPP over ADSL ha azonos BRAS-on terminált (pl: ERX) • ATM sávszélesség menedzsment • CBR, UBR és VBR-NRT forgalmakra • Akár 10 PVC csatorna kártyánként • Csak SSG 20 platform
SSG 20 Mini-PIM: 1 x T1, 1 x E1 • Integrált CSU/DSU • Fractional T1, E1 • 56K & 64K támogatás • WAN beágyazás • PPP, MLPPP, FR, MLFR, HDLC • MLPPP vagy MLFR 2x kártyával • Hibakeresés • BERT, FDL, loopback, buildout • Channelized T1, E1 nem támogatott • Csak SSG 20 platform
SSG 20 Mini-PIM: 1 x V.92 • AT parancskészlet • Hardware flow control • Dial-backup házirendből • Behívás is lehetséges (távmenedzsment) • Csak SSG 20 platform
SSG 20 Mini-PIM: 1 x ISDN BRI • Csak S/T Interfész • U interfészhet külső NT-1 kell • Behívási lehetőség nincs • Kifelé lehet elsődleges vagy backup • Csak SSG 20 platform
2x T1, 2x E1 • Integrált CSU/DSU • Fractional T1, E1 támogatás • 56K & 64K mód támogatás • WAN beágyazás • PPP, MLPPP, FR, MLFR, HDLC • MLPPP vagy MLFR 4xT1 vagy E1 kártya között • ANSI T1.102, T1.107, T1.403 T1 • G.703, G.704, & G.706 E1 • Diagnosztika • BERT, FDL, loopback, buildout • Channelized T1, E1 nem támogatott • SSG 520, SSG 550 és SSG 140
2x Serial PIM • Támogatás: • RS232 • V.35 • X.21 • RS449 • EIA530 • Összesen 8 Mbps sávszélesség • Órajel állítható • SSG 520, SSG 550 és SSG 140
1 x ISDN BRI • Csak S/T interfész • U interfészhez külső NT-1 • Behívási lehetőség nincs • Kifelé lehet elsődleges vagy backup • 64k adatkapcsolat • MLPPP over ISDN támogatás • 128 k 2xB csatornán • Csak SSG 140 platform
Réz Gigabit • 1 port GBE • Auto negotiation • 10/100/1000 Mbps, Half/Full-Duplex támogatás • Auto-negotiation támogatás (RLI 3381) • „Jumbo Frame” támogatás – max. frame méret 9022 byte • VLAN Id 1-től 4094-ig • SSG 520, SSG 550
Üveg Gigabit • 1 Port GBE Optikai • SX és LX SFP • Auto-Negotiation és 1000/Full-Duplex üzemmód • Auto-negotiation (RLI 3381) • „Jumbo Frame”támogatás – max. frame méret 9022 byte • VLAN Ids 1-től 4094-ig • SSG 520, SSG 550
Quad FE • 4x10/100 FE • 10/100 Mbps, Half/Full-Duplex • Auto-negotiation • Nincs „Jumbo Frame” – max. frame méret 1518 byte • SSG 520, SSG 550