netscreen_网络安全领域领先的创新者.ppt

NetScreenConfidential,1,NetScreen:网络安全领域领先的创新者,ColinChiTechnicalConsultant,NetScreen:网络安全领域领先的创新者,ColinChiEmail:cchiTelNetScreenConfidential,3,分层次的安全途径,“Securityprofessionalsagreethatnetworksecurityrequiresamulti-layereddefense.Tomeetthechallengesposedbysophisticatedandrun-of-the-millattacks,enterpriseshavebeenforcedtodeploylayersofsecurityproducts.”-InternationalDataCorp.,通过多层次保护，NetScreen可以提供全网络的安全，保证关键资源的保护-VPN,DoS,防火墙和入侵预防方案,NetScreenConfidential,4,NetScreen产品,全球范围的PRO和IDP管理器,全球范围的PRO快递,中心站点,媒介站点,小型办公室/住宅工作者,网络核心,VPN,防火墙,DoS,入侵防范,移动工作,NetScreenConfidential,5,NetScreen简介,网络安全解决方案领先的创新者IPSecVPN拒绝服务保护防火墙入侵防范功能强大的安全解决方案站点对站点，远程访问VPN外围安全防火墙加固基础设施防火墙入侵防范正在出现的应用程序，如无线局域网，IP上的语音,NetScreenConfidential,6,重要的企业事实,优良的财政业绩高的、不断增长的收入十亿美元的市场份额*全球性的大公司500个雇员总部位于美国加州桑尼维尔在全球范围内有30多家办事处被Gartner视为业内领导和构想家领先的市场份额主要回报和证明,*2003年1月的数据,NetScreenConfidential,7,NetScreen的成功模式,安全性VPN,DoS,防火墙和入侵防范周边和核心安全中心管理性能基于ASIC的硬件，植根于网络按照执行的安全任务对软件进行了优化业主的总体费用可升级的解决方案基于协议的安全管理集成的设计和操作系统容易实现的网络集成,NetScreen安全方案,NetScreenConfidential,9,重新设计的内部结构SingleMultiparallel,NetScreen整合的技术平台,GigaScreenASIC,专用加密加速ASICDES,3DES,MD5,SHA1,PKI,Session查找,TCP头解析,认证,NAT,随即数产生和策略查询(每秒25million策略),流量控制.,基于安全定制的操作系统硬件驱动任务协调,NetScreenConfidential,10,性能:先进硬件设计,NetScreenConfidential,11,安全:ScreenOS操作系统,NetScreenConfidential,12,企业级安全:安全区,Untrust,UnTrust,Trust,Trust,DMZ,UnTrust,Trust,DMZ,NetScreenConfidential,13,企业级安全:虚拟系统,何谓虚拟系统:建立拥有自己的地址本、策略和管理的虚拟防火墙VPN如何工作:通过IP地址、物理结构或VLAN标记将流量路由到虚拟系统（VSYS）VSYS可以支持多个用户或域而不共享策略可以独立被管理好处:简化管理通过分割网络提高安全性通过减少额外的硬件需求来降低TCO,Vsys#1,Vsys#2,Vsys#3,PhysicalInterfaces,VLANTags,IPAddresses,NetScreenConfidential,14,虚拟系统选项,基于VLAN分类,基于接口的分类,基于IP地址的分类,虚拟系统通过VLAN划分,虚拟系统通过端口划分,虚拟系统通过网段划分,NetScreenSecurityGateway,NetScreenSecurityGateway,NetScreenSecurityGateway,SkipVR,NetScreenConfidential,15,企业级安全:虚拟路由器,何谓虚拟路由器:隐藏私有IP地址允许多个用户使用相同的IP地址如何工作:每个虚拟路由器拥有个自的路由域和协议分开的路由表单独保存私有和公有IP地址OSPF/BGP4，RIPv2(5XT)好处:简化管理将私有地址映射成公有地址支持IP重叠方案更低的TCO,NetScreenConfidential,16,NetScreen集成的网络特性,NetScreen支持OSPF,BGP和RIPNetScreen-5XT以上产品都支持NetScreen-5XP不支持每个产品支持协议的实例和路由数量因硬件平台不同而不同主要用于互操作性而不是替换Internet路由器多个ISP出口加入到OSPF网状结构NetScreen提供业界最高的端口密度NS-5400提供多达78个物理端口集成的VLAN支持NS-5x00支持4,000VLANs网络高可用性HA,Internet,NetA,ServiceProviderA,ServiceProviderB,RouterB,NetScreenSecurityGateway,SkipHA,NetScreenConfidential,17,网络集成:部署模式和动态路由,何谓动态路由部署:易于安全部署而无需改变网络配置自动学习网络配置如何工作:支持透明、静态和动态路由模式全产品线支持动态路由所有产品支持OSPF和或BGPNetScreen-5XT也支持RIPv2好处:简化网络集成减小手工配置的负担增加网络弹性特别对VPNs,Network,TunnelA(Primary),TunnelB(Secondary),RemoteOffice,NetScreenConfidential,18,可靠性:VPN路径监控,何谓VPN路径监控:监控VPN路径，一旦发生故障来发现可选的路径如何工作:动态路由决定网络的可达性VPN通道基于动态路由表而不是静态策略路径监控判断故障动态路由发现新的路径好处最小的由于VPN失效的生产力损失,TunnelAMetric=1,Network,RemoteOffice,TunnelBMetric=2,NetScreenConfidential,19,高可用性需求,高可用性解决方案的目的就是在所有层面上提供最大的可靠性提供系统级故障恢复机制系统级HA一旦发生灾难性故障,系统自动切换到第二台设备为了避免系统级故障切换,需要提供:设备级HA设备尽可能的固化(没有拆装的部件),高质量(高MTBF值),有弹性的故障切换(冗余硬件)链路级HA提供冗余的网络链路网络级HA一旦网络设备出故障提供可选的网络路由(如交换机)立即切换(sub-second)系统级HA需要支持:系统间基于状态的故障切换维护会话表,加密密钥和安全联盟SA等双主动Active-active正常工作中提供最大的带宽,NetScreenConfidential,20,可靠性:HA高可用性,SW1,SW1,NetScreenConfidential,21,成本有效性:集中化管理,何谓集中化管理:集中管理这个平台从相同的图形界面管理硬件、操作系统和应用如何工作:WebUI嵌入式web服务器HTTP和SSL通过RS232的CLI界面,Telnet和SSHNetScreen-GlobalPROSNMP标准MIB和私有扩展Syslog标准流量报告和告警第三方Websense,WebTrends,其他好处快速部署的越多，错误发生的机会越少，支持费用越低,SNMP,CLI,WebUI,3rdParty,Syslog,GlobalPRO,NetScreenConfidential,22,互联网,完整的防火墙功能性,具有成本效益的远地部署即插即用安装全IP业务NAT，DHCP，PPPoE管理动态地址,攻击阻挡32种攻击防护；ASIC加速；达到每秒25K会话,内容级保护恶意的过滤URLWebSenseURLTrendAV,全面的用户认证RadiusSecureIDLDAPWebAuth,稳固的网络集成实时高可用性路由，NAT透明模式多路由表或虚拟安全区基于策略的NAT广泛的应用支持最高的性能,公司,全面管理GlobalPRO策略，RTM，历史的WebUICLI易用的基本配置SyslogSNMPWebTrends,NetScreenConfidential,23,Internet,完整的VPN功能性,全面的RAVPN支持远程VPN客户；安全客户-个人FW+VPN；集中的用户认证ANG；认证和智能卡支持；兼容性w/CerticomPDA客户,GlobalPRO,主要站点的稳固连通性实时高可用性冗余网关VPN通道VPN监控全网状OSPF和BGP路由虚拟系统3DES和AES加密w/ASIC加速流量管理；FIPs和ICSA认证,具有成本效益的远地VPNPN全范围的HW；集中星型或全网状VPN；NAT穿越；VPN拨号后备；管理动态地址,简易部署和NW集成NAT,NAT-T,透明模式；设备或基于策略的管理；NAT，DHCP，PPPoE；集成的防火墙,全面的管理基于策略的管理；VPN监控；详细报表和发展趋向,全面的认证支持PKI(versign,RadiusLDAPXAUTHSecureID,NetScreenConfidential,24,前十个理想的防火墙/VPN特性,FeaturelistfromInfoneticsUserSurvey,FeaturelistfromInfoneticsUserSurvey,NetScreen满足所有需求,NetScreenConfidential,25,总结:NetScreen降低TCO,NetScreen在以下几个方面帮您降低费用:,更低的设备费用您安全问题的最佳解决方案更宽的产品线在负载状态下的可信赖的性能集成的安全应用灵活的配置简单的许可证主要基于设备用命令行和基于Web的方式的单一的管理平台,更低的部署费用更少的设备部署易于使用减少配置时间更少的测试和加在Patch一个管理安全控制台部署,更低的操作费用易于使用更少的troubleshooting时间单一厂商支持在命令行下的高级调试选项更少的测试和patch加在投入安全的操作系统较少漏洞,更低的支持费用单一设备厂商满足所有支持需要单一的安全管理控制台转变为更低费用的更低的设备费用,NetScreenFW/VPN产品规格,NetScreenConfidential,27,广泛的市场覆盖,全球范围的PRO和IDP管理器,范围宽广的网络安全解决方案,全球范围的PRO快递,中心站点,媒介站点,小型办公室/住宅工作者,网络核心,VPN,防火墙,DoS,入侵防范,移动工作,NetScreenConfidential,28,NetScreen5000系列,Console和带外、modem接口,HA接口,N个接口板卡24F+2G/8GNetScreen5200N=1NetScreen5400N=3,NetScreenConfidential,29,NetScreen-5000结构,双总线结构ASIC与管理模块之间的控制信息ASIC与管理模块之间的数据交换15G交换背板，多插槽设计(5400)为多个安全接口模块或今后新开发的模块而设安全接口模块（包括今后的新模块）之间的数据流,NetScreenConfidential,30,NetScreen-5000系列,NetScreenConfidential,31,NetScreen5000性能表现,提供高达24倍3DESVPN性能的差距,提供高达16倍防火墙性能的差距,MD5包大于1Gbps,*,*,*,*,NetScreenConfidential,32,NetScreen-500,LCD,InterfaceModuleBays,HotSwappableACorDCPowerSupplies,FanModule,DualHA,Management,Modem,Console,NetScreenConfidential,33,NS500SystemArchitecture,4,Powersupply,Powersupply,FanTray4Fans,Console,CPU,Managementbus,Controller/Bridge,GigaScreenASIC&Memory,10/100MAC,10/100MAC,10/100MAC,10/100Mgmt,HA1,HA2,PowerPlaneBoard,TrafficInterfaceModule1,TrafficInterfaceModule3,Modem,2,(GBIC,DualMT-RJ,10/100orDual10/100),SecurityDomains,TrafficMulti-bus,NetScreenConfidential,34,NetScreen500的性能表现,NetScreenConfidential,35,NetScreen-200系列,6个系统状态指示灯:Power,Status,HA,Alarm,Sessions,Flash,硬件恢复开关,Console和带外modem接口,CompactFlashslotsupporting96and512MBcards,8interfacesontheNetScreen-2084interfacesontheNetScreen-204,NetScreenConfidential,36,NetScreen-204&NetScreen-208,NetScreenConfidential,37,NetScreen-50/25系列硬件特性,6个系统状态指示灯:Power,Status,HA,Alarm,Sessions,Flash,硬件恢复开关,Console和带外modem接口,CompactFlashslotsupporting96and512MBcards,410/100Minterfaces,NetScreenConfidential,38,NetScreen50undermulti-sessions,NetScreenConfidential,39,NetScreen-50&NetScreen-25性能,NetScreenConfidential,40,NetScreen-5XT,专用的管理控制台接口和外部modem接口使用外置Modem提供拨号备份功能拨号备份支持Internet和VPN流量内存是NetScreen-5XP的两倍预装ScreenOS企业级防火墙和VPN特性,性能和处理能力70MbpsfirewallNAT2,000concurrentsessions20Mbps3DESVPN10IPSecVPNtunnels410/100交换接口共享Trustedsecurityzone(例如不能用于独立的DMZs)110/100Untrust自适应以太网接口10-userandElite(无限用户)版本,NetScreenConfidential,41,NetScreen-5XT,UntrustInterface10/100Base-TAuto-sensingandAuto-correcting,TrustInterfacesFourSwitching10/100Base-TAuto-sensingandAuto-correcting,Console(CLI)InterfaceDB-9RS232,ModemInterfaceDB-9(HighSpeed)RS232Speedsupto115KB,PowerInlet12Volts1Amp,NetScreenConfidential,42,NetScreen-5GT,冗余特性连接的冗余性:拨号备份和双Untrust接口Tunnelrouting使用RIPv.2,BGP或OSPF高性价比高性能，强健的安全型，集成的管理降低费用。,先进的安全特性集成的防火墙/VPN/DoS防护*嵌入式病毒扫描通过安全区进行网络访问分隔额外的内存和CPU处理能力用于以后的安全功能高性能75MbpsFirewall/NAT20Mbps3DESVPN,*Upgradeexpectedtobeavailableduringthe2ndhalfof2003foranadditionalfee.,NetScreenConfidential,43,NetScreen-5XP安全产品简介,优化用于宽带网络远程和拨号用户10MbpsASIC-basedIPSecVPNs10tunnelsIPSec,DES/3DES,MD5,SHA-1,IKE密钥管理状态监测防火墙-DoS侦测NAT(mappedIP,VirtualIP),URL过滤DHCP客户机和服务器流量控制:确保和最大带宽WebUI,CLI,集中管理易于实施的QuickStart10用户版本,NetScreenConfidential,44,NS5XPArchitecture,MPC850,PowerPCCore,UART,RTC,MAC1,MAC2,Flash4MB,BootROM.5MB,SDRAM32MB,NetScreenGigaScreenFW,NAT,DES,3DES,MD5,SHA-1,RND#,PHY,PHY,32-bit/48MHzbus,RS232,Trusted,Untrusted,NetScreenConfidential,45,NetScreenRemote:VPN远程接入软件,支持DES&3DESIPSecVPN支持ManualKEY,IKE,PKI支持Windows9x&NT,NetScreenConfidential,46,NetScreenFW/VPN产品线,NetScreenConfidential,47,Deploy,Monitor,Maintain,Report,快速实施新的用户/站点一次定义，多次使用分散管理任务,发现/分析攻击模式SLA跟踪高效的客户使用记帐,集中在重大事件侦测攻击源跟踪总体性能,攻击的响应执行增加/移动/修改设备软件版本维护,NetScreen-GlobalPRO&Express,NetScreenConfidential,48,GlobalPRO&GlobalPROExpress成套包揽业务管理解决方案配置/策略管理，实时监控集成的NetScreeenRemoteVPN客户管理多管理/基于角色的管理预安装和配制在SunNetra服务器上GlobalPRO完善的历史报表日志数据的相关性/简化可扩展到10，000套设备中可扩展的基于Web的报表模板；第三方的报表集成，例如HP/OV,NetScreen-GlobalPRO&Express,监控,配置,GlobalPROUI,策略管理服务器,NetScreenConfidential,49,入侵检测系统:弥补防火墙的不足,弥补防火墙的不足基于策略的规则设置，用户设定IDP采取的动作(允许,丢弃,记录日志,等等)防范不必要的协议连接正常的端口阻止防火墙所不能防御的基于应用层的攻击提供直观的27层的网络流量的控制,Physical,Datalink,Network,Transport,Session,Presentation,Application,Physical,Datalink,Network,Transport,Session,Presentation,Application,传统的防火墙,NetScreen-IDP,解析第二四层,解析第二七层,NetScreenConfidential,50,?第二层防御线,提供的功能:攻击的识别：可以识别各类攻击乃至针对应用层的攻击攻击的防御,典型保护FW+入侵检测,CorporateNetwork,防火墙是第一道抵御线，能够提供以下的功能：访问控制认证虚拟专用网（VPN）网络分段隔离DoS攻击防御和某些网络层攻击的检测,NetScreenConfidential,51,WhyNetScreenIDP,IDSNetScreenIDP具有IDS所有特点具有IDS所没有的特点，M.A.PAccuracyManagementPrevention,NetScreenConfidential,52,WhyIDPAccuracy,IDP,使用8种攻击检测方法来确认所有受到的攻击,IDS，只具有签名检测以及（或者）协议异常检测的功能,NetScreenConfidential,53,WhyIDPManagement,IDS，只具有Yes/No选择控制,NetScreenConfidential,54,WhyIDPPrevention,IDS，只有告警的意义；只能中止有限的攻击,NetScreen