SSG5与SSG20安全业务网关.doc

瞻博网络公司安全业务网关SSG 5 和 SSG 20瞻博网络公司 5 系列安全业务网关（SSG 5）和 20 系列安全业务网关（SSG 20）是专用的安全设备，为小型分支办事处、固定的远程办公人员和小型企业的网络部署提供了集高性能、高安全性、路由和局域网/广域网连接方式于一体的完美组合。通过状态防火墙、IPSec VPN、IPS、防病毒（包括防间谍软件、防广告、防网页仿冒）、防垃圾邮件以及网页过滤等一套完整的统一威胁管理 (UTM) 安全特性，可以对进出于分支办事处和企业的流量进行保护，以避免蠕虫、间谍软件、特洛伊木马和恶意软件的侵袭。产品系列描述SSG 5 和 SSG 20 都是高性能的安全平台，能够保护小型分支办事处和独立企业不受内部和外部攻击、避免未授权访问并符合规范要求。SSG 5 和 SSG 20 都能够提供 160Mbps 的状态防火墙流量和 40Mbps 的 IPSec VPN 流量。安全：经验证的统一威胁管理(UTM)的安全特性和业界中最优的合作伙伴共同开发的SSG5和SSG20系列，可以保护网络免遭蠕虫、病毒、特洛伊木马、垃圾软件和其他新出现的恶意软件的同时侵袭。为了符合内部安全要求并同时符合规范，SSG 5 和 SSG 20 都提供了一组先进的网络保护特性如安全区、虚拟路由器和虚拟局域网等，使管理员能够将网络分割为不同层次的安全区域以部署不同的安全策略，从而为各个区域提供不同级别的安全特性。针对每个安全区域的策略保护机制包括了各种接入控制规则，以及通过任何支持的 UTM 安全特性进行的检测。连接和路由：SSG 5 具有7个 10/100 板载接口和可选的固定广域网端口。SSG 20 具有5个 10/100 接口和2个可用于额外的广域网连接的 I/O 扩展槽。I/O 选项的灵活组合加上路由引擎上支持的广域网协议和封装支持，使得 SSG 5 和 SSG 20 能够被轻松部署成传统分支机构的办公室路由器，或成为用于降低前期购置成本和后期维护成本的坚固安全和路由设备。SSG 5 和 SSG 20 都支持被大多数特定无线安全特性所采用的 802.11 a/b/g 协议。接入控制加强：只需添加Infranet Controller，SSG 5 和 SSG 20便完全能够扮演瞻博网络统一接入控制（ Unified Access Control）部署中的策略执行点。Infranet Controller 能够作为一个中央策略控制引擎，配合 SSG 5 和 SSG 20 以一种基于更细粒度标准的授权或拒绝接入的解决方案，包括端点状态和用户识别，来增强或取代基于防火墙的接入控制，从而解决了由攻击场景和用户特征的巨大变化带来的挑战。世界级支持: 从单一实验室测试到大型网络实施，瞻博网络公司的专业服务都将竭诚和您的团队合作，来确定目标、定义部署流程、创建或验证网络设计以及管理部署，直至其成功完成。部署在分支办事处的 SSG 20 可用于安全的互联网连接和到公司总部的端对端VPN连接。分支办事处的内部资源可以通过在每个安全区域配置不同的安全策略来有效进行保护。特性和优势特性特性描述优势高性能由客户定制的硬件、强大的处理功能和具有特定安全性的操作系统装配的专用平台。提供了目前以及未来用于防范内部和外部攻击所必需的性能空间。最佳的 UTM 安全特性UTM 安全特性 (防病毒, 防垃圾邮件, 网页过滤, IPS) 能够防范各种病毒和恶意软件的侵袭于未然。确保网络能够抵御任何形式的攻击。集成的防病毒功能需要年度许可的防病毒引擎，基于卡巴斯基（Kaspersky ）实验室的防病毒引擎。阻止病毒、间谍软件、广告软件和其它形式的恶意软件。集成的防垃圾邮件功能需要年度许可的防垃圾邮件引擎，采用了 赛门铁克（Symantec ）公司的技术。能够阻止来自已知垃圾邮件散发者和网页冒仿者的恶意邮件。集成的网页过滤功能需要年度许可的网页过滤引擎，采用了SurfControl公司的技术。控制/阻止对于恶意站点的访问。集成的 IPS (深层检测)需年度许可的 IPS 引擎。通过阻止应用层攻击来防止网络泛洪。固定接口SSG 5 具有7个固定 10/100Mbps接口，SSG 20具有5个 固定 10/100Mbps接口。出厂时，SSG 5就装备了 RS232 串行/辅助端口或 ISDN BRI S/T 或固定V.92 WAN 备用端口。这两个型号都具有1个控制台端口和1个辅助端口。提供了高速的局域网连接、备份的广域网连接和灵活的管理功能。网络分段安全区域, 虚拟 LAN和虚拟路由器使得管理员能够配置安全策略来隔离访客、无线网络、区域性服务器或是数据库。加速内部安全性部署以防止非授权访问，牵制攻击并协助达到法规遵从性目标。接口模块化2个接口扩展槽（仅限 SSG 20）能够支持可选的ADSL 2+, T1, E1, ISDN BRI S/T, 串行, SFP 和 v.92 小型物理接口模块(Mini-PIMs)。*在无与伦比的安全前提下，同时提供了局域网和广域网的连接，即降低了开销又保护了投资。强韧的路由引擎久经考验的路由引擎能够支持 OSPF, BGP 和 RIP v1/2 等协议。实现整合安全和路由设备的部署，从而降低运营和资本开销。802.11 a/b/g 无线相关安全特性无线相关的隐私和验证功能增强了 UTM 安全特性保护无线数据流的能力。为小型办公室提供了额外的设备安全系数（无线局域网接入点、安全和路由）。瞻博 网络统一接入控制策略执行点和集中策略控制引擎( Infranet Controller)一起，采用诸如用户身份、设备安全状态和网络位置等指标，强化进程相关的接入控制策略。通过利用现有的客户网络架构组件和一流技术，以经济高效的方式提高安全性。管理灵活性采用下列三种机制之一：CLI、WebUI或是瞻博网络公司 NetScreen-Security管理器，来安全配置、监视和管理安全策略。支持来自任意地址的管理访问，减少了现场访问的次数，从而缩短了响应时间并减少了运营开销。世界级专业服务从单一实验室测试到大型网络实施，瞻博 网络公司的专业服务都将竭诚和您的团队合作，来确定目标、制定部署流程、创建或验证网络设计以及管理部署项目。改进网络架构来确保其安全、灵活、可扩展和可靠。产品选项选项选项描述适用产品DRAMSSG 5 和 SSG 20 都有 128 MB 或 256 MB两种DRAM配置可选。SSG 5 和 SSG 20统一威胁管理/ 内容安全 (需大容量内存选项)SSG 5和SSG 20 都能够配置为下列最佳UTM和内容安全功能的任意组合：防病毒(包括防间谍软件、防网页仿冒)、IPS(深层检测)、网页过滤和防垃圾邮件。限于大容量内存的 SSG 5 和 SSG 20I/O 选项2个接口扩展槽（仅限 SSG 20）能够支持可选的ADSL 2+, T1, E1, ISDN BRI S/T, 串行, SFP 和 v.92 小型物理接口模块(Mini-PIMs)。SSG 5 和 SSG 20802.11 a/b/g 连接SSG 5 系列和 SSG 20 系列都能够出厂时配置 802.11 a/b/g 无线局域网连接。SSG 5 和 SSG 20许可扩展增强核心容量（对话数、VPN通道、VLAN）并添加针对防火墙的状态主用/主用高可用性（HA）支持。SSG 5 和 SSG 20* Serial 和 SFP Mini-PIMs 仅在 ScreenOS 6.0 或更高版本上支持。规格(1)瞻博网络公司 SSG 5 基本配置/扩展配置瞻博网络公司 SSG 20 基本配置/扩展配置最大性能和容量本规格对应的 ScreenOS 版本支持ScreenOS 6.1ScreenOS 6.1防火墙吞吐量 (大数据包)160 Mbps160 Mbps防火墙吞吐量 (IMIX)(3)90 Mbps90 Mbps防火墙包转发性能 (64 字节)30,000 PPS30,000 PPSAES256+SHA-1 VPN 吞吐量40 Mbps40 Mbps3DES 加密 +SHA-1 VPN 吞吐量40 Mbps40 Mbps最大并发会话数8,000/16,0008,000/16,000每秒新建会话数（有背景流压力）(62,8002,800每秒新建会话数（有无背景流压力）)5,5005,500最大安全策略数200200最多能够支持的用户数不限不限网络连接固定 I/O7x10/1005x10/100小型物理接口模块 (Mini-PIM) 插槽02广域网接口选项厂家配置: RS232 SerialAUX 或 ISDN BRI S/T 或 V.92Mini-PIMs: 1xADSL 2+, 1xT1,1xE1, V.92, ISDN BRI S/T, 1xSFP, 1xSerial防火墙网络攻击检测是是DoS 和 DDoS 保护是是用于数据包碎片保护的 TCP 重组是是强行攻击缓解是是SYN cookie 保护是是基于区域的 IP 欺骗防护是是异常数据包保护是是统一威胁管理(4)IPS (深层检测防火墙)是是协议异常检测是是状态协议特征是是IPS/DI 复合攻击是是防病毒是是即时消息 AV是是特征数据库200,000+200,000+协议扫描POP3, HTTP, SMTP, IMAP, FTP，IMPOP3, HTTP, SMTP, IMAP, FTP, IM防间谍软件是是防广告软件是是防键盘记录软件是是防垃圾邮件是是集成的URL过滤功能是是外部URL过滤功能(5)是是IP语音 (VoIP) 安全H.323. 应用层网关 (ALG)是是SIP ALG是是MGCP ALG是是SCCP ALG是是针对 VoIP 协议的网络地址转换 (NAT)是是IPSec VPN自动连接 VPN是是并发 VPN 隧道数25/4025/40隧道接口数1010DES 加密 (56-bit), 3DES 加密 (168-bit) 和AES (256-bit)是是MD-5 and SHA-1 验证是是手动密钥, 互联网密匙交换 (IKE), IKEv2/EAP公共密匙架构(PKI) (X.509)是是完美前向保密性1,2,51,2,5防重放攻击是是远程接入 VPN是是IPSec 中的第2层隧道穿越协议 (L2TP)是是IPSec网络地址转换 (NAT) 穿越是是冗余VPN网关是是用户验证和接入控制固有（内置）数据库用户限制100100第三方用户验证RADIUS, RSA SecureID, LDAPRADIUS, RSA SecureID, LDAPRADIUS 审计是是XAUTH VPN 验证是是基于 Web 的验证是是802.1X 验证是是统一接入控制 (UAC)策略执行点是是PKI 支持PKI 证书要求 (PKCS 7 和 PKCS 10)是是自动证书登记(SCEP)是是在线证书状态协议(OCSP)是是支持的证书颁发机构VeriSign, Entrust, Microsoft, RSA Keon, IPlanet (Netscape), Baltimore, DoD PKIVeriSign, Entrust, Microsoft, RSA Keon, IPlanet (Netscape), Baltimore, DoD PKI自签署的证书是是虚拟化最多安全区数88最多虚拟路由器数33最大的 VLAN 数10/5010/50路由BGP 实例3/43/4BGP 对10/1610/16BGP 路由1,0241,024OSPF 实例33OSPF 路由1,0241,024RIP v1/v2 实例1616RIP v2 路由1,0241,024静态路由1,0241,024基于源的路由是是基于策略的路由是是等值多链路路由(ECMP)是是组播是是反向路径转发 (RPF)是是互联网组管理协议 (IGMP) (v1, v2)是是IGMP 代理是是PIM 单一模式是是基于源的 PIM 组播是是IPSec 随道内的组播是是ICMP 路由器发现协议(IRDP)是是封装点对点协议 (PPP)是是多链路点对点协议 (MLPPP)N/A是帧延迟是是多链路帧延迟 (MLFR) (FRF. 15, FRF. 16)是是HDLC是是IPv6双堆栈IPv4/IPv6防火墙和VPN是是IPv4与IPv6之间的转换和封装是是同步Cookie和同步代理DoS攻击检测是是SIP, RTSP, Sun-RPC, MS-RPC ALG是是RIPng是是操作模式第 2 层（透明）模式是是第 3 层（路由和 NAT）模式是是地址转换网络地址转换(NAT)是是端口地址转换(PAT)是是基于策略的 NAT/ PAT是是映射 IP (MIP)300300虚拟 IP (VIP)44MIP/VIP 分组是是Dual untrust是是桥接组是是IP 地址分配静态是是DHCP, PPPoE 客户端是是内部 DHCP 服务器是是DHCP Relay是是流量管理 QoS带宽保证是 - 逐策略是 - 逐策略最大带宽是 - 逐策略是 - 逐策略进入流量策略是是基于优先级的带宽使用是是差分服务是 - 逐策略是 - 逐策略高可用性 (HA) (7)主用/主用透明和L3模式是是主用/备用透明和L3模式是是配置同步是是防火墙和 VPN 的会话同步是是用于路由变化的会话故障切换是是VRRP是是设备故障检测是是链路故障检测是是新HA成员的验证是是HA流量加密是是系统管理WebUI (HTTP 和 HTTPS)是是命令行接口 (控制台)是是命令行接口 (远程登陆)是是命令行接口 (SSH)是 v1.5 和 v2.0 兼容是 v1.5 和 v2.0 兼容网络和安全管理器（NSM）是是通过任何接口上的 VPN 隧道提供全部管理是是快速部署是是管理本地管理员数据库尺寸2020外部管理员数据库支持RADIUS, RSA SecurID, LDAPRADIUS, RSA SecureID, LDAP受限管理网络66根管理员、管理员和只读用户级别是是软件升级TFTP, WebUI, NSM, SCP, USBTFTP, WebUI, NSM, SCP, USB配置回退是是日志记录/监控系统日志（多个服务器）是 最多支持4个服务器是 -最多支持4个服务器电子邮件（2 个地址）是是NetIQ WebTrends是是SNMP (v2)是是SNMP 全定制 MIB是是路由跟踪是是VPN 随道监控是是外置闪存扩展日志存储器USB 1.1USB 1.1事件日志和告警是是系统配置脚本是是ScreenOS 软件是是外观尺寸和电源尺寸 (WxHxD)8.8 x 1.6 x 5.6英寸(22.2 x 4.1 x 14.3厘米)11.6 x 1.8 x 7.4英寸(29.5 x 4.5 x 18.7厘米)重量2.1 lbs0.95 Kg3.3 lbs1.5 Kg机架安装是是电源 (AC)100-240 VAC100-240 VAC最大热输出122.8 BTU/小时122.8 BTU/小时安全性认证Common Criteria: EAL4是是FIPS 140-2: 2级是是ICSA 防火墙和VPN是是平均故障时间 (MTBF)非无线40.5 年35.8 年无线22.8 年28.9 年安全认证常见标准: EAL4 和 EAL4+未来未来FIPS 140-2: Level 2未来未来ICSA 防火墙和 VPN是是运行环境运行温度0 到 40 C( 32 到 104 F)0 到 40 C( 32 到 104F)非运行温度-20 到 65 C(-4 到 149 F)-20 到 65 C(-4 到 149 F)湿度10 到 90% 非冷凝10 到 90% 非冷凝无线射频规范 (仅限无线模式)发射功率最高 200mW最高 200mW支持的无线标准双频段 802.11 a + 802.11b/g双频段 802.11 a + 802.11b/g站点调查是是最大的 SSID 配置数1616最大的活动 SSID 数44Atheros SuperG是是Atheros eXtended Range (XR)是是Wi-Fi CERTIFIED是是无线安全(仅限无线模式)无线保密性WPA, WPA2 (AES or TKIP), IPSEC VPN, WEPWPA, WPA2 (AES or TKIP), IPSEC VPN, WEP无线认证PSK, EAP-PEAP, EAP-TLS, EAP-TTLS over 802.1xPSK, EAP-PEAP, EAP-TLS, EAP-TTLS over 802.1xMAC 接入控制允许或拒绝允许或拒绝客户端隔离是是天线选项 (仅限无线模式)分集式天线包括包括定向天线未来未来全向天线未来未来(1) 某些特性和功能仅仅在高于 ScreenOS 5.4 的版本上支持(2) 除非另有说明，否则所列出的性能、容量和特性都是基于运行 ScreenOS 6.1 的系统，并且是理想测试条件下的最大值。实际结果可能会因 ScreenOS 版本和部署情况而异。如需获得SSG平台所支持的ScreenOS版本的完整列表，请访问瞻博客户支持中心（/customers/support/）并点击ScreenOS软件下载。(3) IMIX 即互联网混合数据包，其要求比单个数据包规模更严格，因为它代表了一种更常见于客户网络的流量混合。本文所使用的 IMIX 流量由 58. 33% 的 64 字节数据包、33.33 % 的 570 字节数据包以及 8.33 % 的 1518 字节数据包的 UDP 流量组成。(4) UTM 安全特性 (IPS/深层检测, 防病毒, 防垃圾邮件和网页过滤) 都是通过从 瞻博网络公司进行年度订购而获得的。年度定购包括特征更新和相应的支持。UTM 安全特性需要大容量内存选项。(5) 重定向网页过滤能够把流量从防火墙发送到备份服务器上。该重定向特性是免费的，但需要通过 Websense 或 SurfControl 单独购买一个Web过滤许可。(6)采用50的吞吐量值作为背景流量压力。(7) 主用/备用和主用/主用高可用性需要购买一份扩展证书。包括HA 特性在内, 扩展证书还增强了一部分下列容量。主用/主用高可用性仅仅在 ScreenOS 6.0 或更高版本上支持。IPS（深层检测防火墙）特征包利用特征包，能够针对特定部署和/或攻击类型定制攻击防护方法。以下为 SSG 5 和 SSG 20 支持的特征包。特征包部署目标防御类型攻击目标类型基本分支办事处、中小型企业客户端/服务器和蠕虫防护特征和协议异常范围客户端远程/分支办公室周边防御，符合主机要求（例如台式机）从服务器到客户端方向的攻击服务器中小型企业周边防御，符合服务器基础架构要求从客户端到服务器方向的攻击蠕虫病毒防御大型企业的远程/分支办事处针对蠕虫攻击的最全面的防御蠕虫、特洛伊木马、后门攻击IPS（深层检测防火墙）扩展证书扩展证书特性SSG 5 和 SSG 20会话数将最大值由 4000 增大到 8000VPN 隧道数将最大值由 25增大到 40VLANs将最大值到 10增大到 50VoIP 通话数将最大值到 64增大到 96高可用性在 ScreenOS 6.0 上添加对状态主用/主用或主用/备用的支持订购信息产品部件编号SSG 5带有串行备份的 5 系列安全业务网关，128 MB 内存带有 ISDN 备份的 5 系列安全业务网关，S/T 接口，128 MB 内存带有 v.92 备份的 5 系列安全业务网关，128 MB 内存带有串行备份的 5 系列安全业务网关，无线 802.11a/b/g，128 MB 内存带有 ISDN 备份的 5 系列安全业务网关，S/T 接口，无线 802.11a/b/g，128 MB 内存带有 v.92 备份的 5 系列安全业务网关，无线 802.11a/b/g，128 MB 内存带有串行备份的 5 系列安全业务网关，256 MB 内存带有 ISDN 备份的 5 系列安全业务网关、S/T 接口，256 MB 内存带有 v.92 备份的 5 系列安全业务网关，256 MB 内存带有串行备份的 5 系列安全业务网关，无线 802.11a/b/g，256 MB 内存带有 ISDN 备份的 5 系列安全业务网关，S/T 接口，无线 802.11a/b/g，256 MB 内存带有 v.92 备份的 5 系列安全业务网关，无线 802.11a/b/g，256 MB 内存SSG-5-SBSSG-5-SB-BTSSG-5-SB-MSSG-5-SB-W-xxSSG-5-SB-BTW-xxSSG-5-SB-MW-xxSSG-5-SHSSG-5-SH-BTSSG-5-SH-MSSG-5-SH-W-xxSSG-5-SH-BTW-xxSSG-5-SH-MW-xxSSG 20带有 2 端口 Mini-PIM 插槽的 20 系列安全业务网关，128 MB 内存带有 2 端口 Mini-PIM 插槽的 20 系列安全业务网关，无线 802.11a/b/g，128 MB 内存带有 2 端口 Mini-PIM 插槽的 20 系列安全业务网关，256 MB 内存带有 2 端口 Mini-PIM 插槽的 20 系列安全业务网关，无线 802.11a/b/g，256 MB 内存SSG-20-SBSSG-20-SB-W-xxSSG-20-SHSSG-20-SH-W-xxSSG 20 I/O 选项1 端口 Serial 小型物理接口模块1 端口 SFP 小型物理接口模块1 端口 T1 小型物理接口模块1 端口 E1 小型物理接口模块1 端口 ADSL2 + 附件 A 小型物理接口模块1 端口 ADSL2 + 附件 B 小型物理接口模块1 端口 v.92 小型物理接口模块1 端口 ISDN S/T BRI 小型物理接口模块小型可插拔 1000Base-LX 千兆以太网光口收发模块小型可插拔1000Base-SX 千兆以太网光口收发模块小型可插拔1000Base-T 千兆以太网电口收发模块小型可插拔100Base-FX 快速以太网光口收发模块JXM-1SERIAL-SJXM-1SFP-SJXM-1T1-SJXM-1E1-SJXM-1ADSL2-A-SJXM-1ADSL2