集成安全网关(ISG)系列产品.doc

瞻博网络公司集成安全网关(ISG)系列产品瞻博网络公司集成安全网关（ISG）适用于保护企业网络、运营商和数据中心环境的安全，在这些环境中，IP语音（VoIP）和流媒体等高级应用需要可扩展的一致性能。瞻博网络公司的ISG 1000和ISG 2000 是专用的安全性解决方案，利用第四代安全 ASIC（GigaScreen3）以及高速微处理器来提供无与伦比的防火墙和虚拟专网（VPN）性能。ISG 1000 和 ISG 2000 集成了最佳的防火墙，VPN 和可选的入侵检测与防护（IDP）功能，能够为关键的高流量网段提供安全可靠的连接以及网络和应用级保护。产品描述瞻博网络公司的ISG 1000和ISG 2000是全面集成的防火墙/VPN 系统，提供： 数千兆位的性能 模块化架构 丰富的虚拟化功能它们是面向大型企业、数据中心和电信运营商网络的理想解决方案。基于ISG系列防火墙/VPN的系统提供入侵防护系统(IPS)、防垃圾邮件、Web过滤和互联网内容适配协议(ICAP)防病毒重定向支持等安全特性。您可通过可选的集成IDP进一步扩展这个高级系统或将系统作为通用分组无线业务(GPRS)防火墙/VPN产品提供给移动网络电信运营商环境。ISG系列防火墙/VPN 采用模块化架构，允许部署大量的铜线和光纤接口选件。虚拟系统、虚拟局域网和安全区等高级特性允许灵活地分割并隔离属于不同可信级别的流量。ISG 系列防火墙/VPN 允许对多个不同的防火墙实施检测或路由策略，以简化网络设计。这将允许用户对流量流实施安全策略，不会对网络本身产生很大的影响 即便在极为复杂的环境中也不例外。ISG系列的架构提供卓越的灵活性和高效性，在单一解决方案的三个不同的部署配置防火墙/VPN、防火墙/VPN/IDP和IDP中均提供最先进的性能和最佳功能。ISG 1000 最多支持两个安全模块，ISG 2000最多支持三个安全模块。每个安全模块都有自己的专用处理资源和内存并提供旨在加速处理IDP数据包的技术，从而可减少所需的单独的安全产品和管理应用的数量，简化部署流程并降低网络复杂性，继而降低成本。配备IDP的ISG系列防火墙/VPN使用安装在所有瞻博网络公司IDP平台上的获奖软件，该软件现已被全面集成到了瞻博网络公司ScreenOS中。ScreenOS是经过加固的专用操作系统，可部署在联防模式或TAP模式中，用于同时保护外围部署和内部网络。IDP安全模块支持多方法检测，共含八种不同的检测机制包括状态签名和协议异常检测，可帮助企业抵御蠕虫、特洛伊木马、恶意软件、间谍软件和黑客等安全威胁。ISG 1000和ISG 2000可部署在多个不同的配置中来同时保护外围和内部网络资源。如果部署在移动运营商网络中，ISG 1000和ISG 2000 GPRS解决方案能够感知GPRS隧道穿过协议(GTP)并在虚拟系统中全面支持GTP功能。ISG系列防火墙/VPN可部署在两个公共陆地移动网络(PLMN)之间的Gp接口连接上、SGSN与GGSN支持节点之间的Gn接口连接上以及GGSN与互联网之间的Gi接口连接上。除抵御精心策划的威胁、拒绝服务(DoS)攻击和恶意用户外，ISG系列GPRS防火墙/VPN还能限制消息，遏制消耗上行链路/下行链路流量的带宽密集型应用并转移3GPP R6 IE，以便用户在2G与3G网络之间漫游时维持互操作性。特性和优势特性特性描述优势专用平台专用的、安全性特定的处理硬件和软件平台 。提供所需的性能来保护高速局域网环境。 可预测的性能 基于ASIC 的架构以数千兆位的速度为各种规格的数据包提供线性性能 。确保VoIP和流媒体等敏感应用的低延迟 。系统和网络永续性 硬件组件冗余，多个高可用性选项和基于路由的 VPN 。提供高速网络部署所需的可靠性 最佳的网络安全特性内嵌的 Web 过滤、防垃圾邮件、IPS、ICAP防病毒重定向和可选的集成 IDP。 赛门铁克(Symantec)和SurfControl等世界知名的安全合作伙伴提供更多的安全特性 。接口灵活性模块化架构允许通过广泛的铜线和光纤接口选项部署系统。简化网络集成工作并降低将来的网络升级成本 。网络分区安全区、虚拟局域网和虚拟路由器支持管理员部署安全策略，以便隔离访客、地区服务器或数据库。 强大的功能可促进为网络中不同的内外部和DMZ子组部署安全性，以防非法访问 。集中管理通过NSM集中管理瞻博网络公司防火墙和IDP产品。跨越多个平台实现紧密集成，以实现简单直观的网络级安全管理。 强韧的路由引擎公认的路由引擎支持OSPF、BGP和 RIP v1/2 以及帧中继、多链路帧中继、PPP、多链路PPP和HDLC 。允许部署整合后的安全和路由设备，从而降低运行和购置成本 。全面的威胁防护专用处理模块允许通过单一解决方案提供最佳的数千兆防火墙/VPN/IDP性能。无与伦比的性能，保护网络免遭高速网络中所有类型的攻击 。世界一流的专业服务从单一实验室测试到大型网络实施，瞻博网络公司的专业服务都将竭诚和您的团队合作, 来确定目标、定义部署流程、创建或验证网络设计并管理部署项目。转变网络基础设施，确保基础设施的安全性、灵活性、可扩展性和可靠性。产品选项选项选项说明适用的产品集成防垃圾邮件 需要年度许可的防垃圾邮件引擎,采用了赛门铁克(Symantec)公司的技术,能够阻止已知垃圾邮件发送者和网页仿冒者的恶意邮件。ISG 1000 & ISG 2000 集成的IPS(深层检测) 联合使用状态签名和协议异常检测机制，防止应用级攻击在网络中泛滥。IPS引擎需要年度许可。ISG 1000 & ISG 2000 集成的Web 过滤需要年度许可的 Web 过滤解决方案，基于SurfControl 业界领先技术，用来阻止对恶意网站的访问。 ISG 1000 & ISG 2000 ICAP 防病毒重定向ICAP 防病毒内容重定向工具允许在网络外围实施第三方的大型企业防病毒解决方案。ISG 1000 & ISG 2000 可选的集成 IDP 专用的IDP安全模块支持高速数据包检测。添加全面的IDP功能时无需更改网络，从而帮助防护 L4-7攻击，包括零日、蠕虫、特洛伊木马和间谍软件等。需要其他硬件和系统升级 。ISG 1000 & ISG 2000 面向移动网络的GPRS 防火墙/VPN 支持GPRS网络提供状态防火墙和过滤功能，可牵制各类Gp、Gn和Gi接口攻击，保护移动运营商网络中的关键节点。需要其他许可。ISG 1000 & ISG 2000 规格 瞻博网络公司ISG 1000瞻博网络公司ISG 2000最大性能和容量(1)本规格对应的ScreenOS版本ScreenOS 6.1ScreenOS 6.1防火墙性能（大数据包） 2 Gbps 4 Gbps 防火墙性能（小数据包） 1 Gbps 2 Gbps 防火墙数据包转发性能/pps（64 字节数据包） 1.5 MPPS 3 M PPS AES256+SHA-1 VPN 性能1 Gbps 2 Gbps 3DES+SHA-1 VPN 性能1 Gbps 2 Gbps 最多并发会话数(3)500,000 1,000,000 每秒新建会话数（有背景流压力）(7)20,000 23,000 最多安全策略数 10,000 30,000 最多支持的用户数不限 不限 网络连接 固定 I/O 4个10/100/1000端口 0 接口扩展插槽2 4 局域网接口选项最多8个mini-GBIC (SX, LX 或 TX)，最多8个 10/100/1000接口，最多20个10/100接口 ，最多2个10GE最多16个mini-GBIC (SX, LX 或 TX)，最多8个10/100/1000接口，最多28个10/100接口, 最多4个10GE防火墙网络攻击检测是 是拒绝服务(DoS)和分布式拒绝服务(DDoS)防护 是是用于分段数据包保护的 TCP 重组是是强行攻击缓解是是SYN cookie 防护是是 基于区域的 IP 欺骗防护是是异常数据包保护是是集成 IPS (可选的集成 IDP)(2)(10) 状态协议签名是是攻击检测机制状态签名、流量异常检测、协议异常检测（零日防护），后门检测状态签名、流量异常检测、协议异常检测（零日防护），后门检测 攻击响应机制丢弃连接、结束连接、会话数据包日志、会话总结、电子邮件、定制丢弃连接、结束连接、会话数据包日志、会话总结、电子邮件、定制攻击通知机制 会话数据包日志、会话总结、电子邮件、SNMP、系统日志、Webtrends会话数据包日志、会话总结、电子邮件、SNMP、系统日志、Webtrends 蠕虫防护是是通过建议的策略实现简单的安装 是是特洛伊木马防护是是间谍软件/广告软件/键盘记录软件防护是是其他恶意软件防护是是防止攻击从受感染系统扩散是是侦察防护 是是请求和响应端攻击防护 是是复合攻击将状态特征和协议异常相结合是是创建定制攻击特征是是定制访问上下文500+ 500+ 攻击编辑（端口范围等）是是流签名是是协议门限值是是状态协议签名是是所能防护的攻击的大概数量5,500+* 5,500+* 详细的威胁描述和补救措施/补丁信息是是企业安全事件探查器是是创建并执行适当的应用使用策略是是攻击者与攻击目标审计跟踪和报告是是部署模式串联或串联 TAP串联或串联 TAP更新频率每日更新和紧急更新每日更新和紧急更新 *截至到2008年1月，共有5,50个签名，每周约增加10个新签名。统一威胁管理/内容安全性 (5) 深层检测签名包(4) 是是IPS(深层检测防火墙)(4) 是是协议异常检测 是是状态协议签名 是是IPS/深层检测攻击模式迷惑 是是ICAP 防病毒重定向 是是防垃圾邮件是是集成 URL 过滤 是是外部 URL 过滤 (6) 是是IP语音 (VoIP) 安全性 H.323 ALG 是是SIP ALG 是是MGCP ALG 是是SCCP ALG 是是面向VoIP协议的网络地址转换 是是GPRS 安全性(10) GTP 隧道(7) 200,000 300,000 GTP 数据包检测(IPS或 IDP) 是是IPSec VPN 并发 VPN 隧道数(8) 2,000 10,000 隧道接口(8) 最多512个最多1,024个DES(56位), 3DES (168位)和AES (256位) 是是MD-5和SHA-1验证是是手动密钥, IKE, PKI (X.509)，IKEv2/EAP 是是完美转发密钥(DH组) 1,2,51,2,5防重放攻击是是远程接入VPN是是IPSec中的 L2TP是是IPSec NAT 穿越是是冗余的VPN 网关 是是用户验证和接入控制 内置的(内部)数据库- 用户数量限制(8) 50,000 50,000 第三方用户验证 远程验证拨入用户服务(RADIUS), RSA SecurID和 LDAP RADIUS, RSA SecureID, LDAP RADIUS 记账是 开始/结束 是 开始/结束XAUTH VPN 验证是是基于Web的验证 是是802.1X 验证 是是统一接入控制执行点 是是PKI 支持PKI 证书请求（PKCS 7和 PICS 10）是是自动证书登记（SCEP） 是是在线证书状态协议（OCSP） 是是支持的证书颁发机构VeriSign, Entrust, Microsoft, RSA Keon, iPlanet (Netscape) Baltimore, DoD PKI VeriSign, Entrust, Microsoft, RSA Keon, iPlanet (Netscape) Baltimore, DoD PKI 自签名证书是是虚拟化(10)最多虚拟系统数默认为 0，可升级到50 默认为 0,可升级到250 最多安全区域数默认为 20,可升级到120 默认为 26,可升级到526 最多虚拟路由器数默认为 3,可升级到53 默认为 3,可升级到253 最多支持的 VLAN 数4,094 4,094路由BGP 实例8 64 BGP 对128 128 BGP 路由 10,000 20,000 OSPF 实例 8 8 OSPF 路由 4,096 6,000 RIP v1/v2 实例 最多支持12个实例 最多支持50个实例 RIP v2 表 10,000 20,000 动态路由是 是 静态路由10,000 20,000 基于源的路由是是基于策略的路由是是ECMP 是是组播是是反向路径转发(RPF) IGMP (v1, v2) IGMP 代理PIM SM PIM SSM是是 是 是是是是是是是IPSec 隧道内的组播 是是IPv6 双堆栈IPv4/IPv6 防火墙和 VPN 是是同步Cookie和同步代理DoS攻击检测是是SIP，RTSP，Sun-RPC和MS-RPC ALG是是IPv4 与 IPv6 的转换和封装 是是虚拟化(VSYS, 安全区, VR, VLAN) 是是RIPng 是是运行模式L2模式（透明模式）是是L3模式（路由和NAT 模式）是是地址转换网络地址转换(NAT) 是是端口地址转换(PAT) 是是基于策略的 NAT/PAT 是是映射的 IP 4，0968,192 虚拟 IP (VIP) (9) 8 8 MIP/VIP 分组是是IP 地址分配静态是是DHCP, PPPoE 客户端是, 否否, 否 内部 DHCP 服务器 是否 DHCP relay是是流量管理的服务质量(QoS) 最大带宽 是 仅逐物理接口 是 仅逐物理接口巨型帧是(11)是(11)DiffServ 标记 是 逐策略是 逐策略高可用性(HA) 主用/主用透明和L3模式是是主用/备用是是配置同步是是用于防火墙和 VPN 的会话同步是是用于路由变化的会话故障切换 是是设备故障检测是是链路故障检测是是新HA成员验证是是HA流量加密是是系统管理WebUI (HTTP 和 HTTPS) 是是命令行接口(控制台) 是是命令行接口(远程登录) 是是命令行接口(SSH) 是是NetScreen-Security Manager 是是通过任何接口上的VPN隧道提供全部管理是是快速部署是是管理本地管理员数据库大小256 256 外部管理员数据库支持RADIUS, LDAP RADIUS, LDAP 受限制的管理网络是是根管理员、管理员和只读用户级别是是软件升级是是配置回退是是日志记录/监控 系统日志（多个服务器） 是是电子邮件（2 个地址）是是NetIQ WebTrends 是是SNMP (v2) 是是SNMP 全配置/定制的 MIB 是是路由跟踪是是VPN 隧道监视器是是外部闪存其他的日志存储容量支持128或512 MB的工业级 SanDisk 支持128或512 MB的工业级 SanDisk事件日志和告警是是系统配置脚本是是ScreenOS 软件是是尺寸和电源 尺寸（WHD）17.5 X 5.2517.3 英寸17.5 X 5.2523英寸(44.513.3 X 43.9厘米) (44.513.358.4厘米)重量30磅/14千克 50磅/23千克 机架安装是，3U是，3U 电源(交流)一个，可现场替换两个，冗余电源(直流) 一个，可现场替换 两个，冗余最大热输出444 BTU/小时(W) 537 BTU/小时(W) 认证安全认证 UL, CUL, CSA, CB UL, CUL, CSA, CB EMC 认证 FCC class A, CE class A, C-Tick, VCCI class A FCC class A, CE class A, C-Tick, VCCI class A NEBS 是是 MTBF (Bellcore模式) 7.6年7.6年 安全性认证Common Criteria：EAL4 和 EAL4+ 是是 FIPS 140-2：2级是是 ICSA 防火墙和VPN 是是 运行环境运行温度32至 122F，0至50C 32至122F, 0至50C 非运行温度- 4至158F, -20至70C - 4至158F, -20至70C 湿度 10至90%，非冷凝 10至90%，非冷凝 (1) 除特别声明以外，本文提供的性能、容量和特性基于运行ScreenOS 6.1的系统并且是理想测试条件下的最大值。实际结果会因 ScreenOS 版本和实际部署情况而异。如需获取面向 ISG 1000和 ISG 2000平台的所支持的ScreenOS版本列表，请访问瞻博网络客户支持中心（/customers/support/）。(2) 需要额外的 IDP 许可和硬件升级。(3) 本文提供的并发会话数是根据目前所提供ISG硬件而得出的最大值。原来的ISG产品可能需要可选的内存升级才能实现最大的并发会话数量。在不采用可选的内存升级的情况下，ISG 1000的最大防火墙/VPN并发会话数为 250,000，ISG 2000 的为 500,000。已安装了可选IDP升级包的原有ISG产品可实现最大的并发会话数量，无需内存升级。(4) 当您安装了可选的集成IDP时，IPS(深层检测防火墙)将自动关闭。(5) 安全特性(IPS/深层检测、防垃圾邮件和 Web 过滤)需逐年地从瞻博网络公司单独订购。年订购中含签名更新及相关支持。(6) 重定向Web过滤功能向备用服务器发送流量，因此，您必须从Websense或SurfControl购买单独的Web过滤许可。(7)采用50的吞吐量作为背景流量压力。(8) 在所有虚拟系统间共享。(9) 不能通过虚拟系统提供。(10) 需要额外的许可。(11) 需要 4端口 Mini GBIC 模块 - NS-ISG-SX4、NS-ISG-LX4 或 NS-ISG-TX4。许可选项ISG 1000和ISG 2000具有两种许可选项，分别提供两种不同级别的功能和能力： 高级模式：高级软件许可能提供本规格表内列出的所有特性和能力。 基本模式：基本软件许可能提供针对客户环境的入门级解决方案，其中包括 Deep Inspection、OSPF、BGP动态路由、先进的高可用性等特性，全部功能并非必需要求。下表显示了基本模式和高级模式之间的特性和能力差异：基本模式高级模式ISG 1000ISP 2000ISG 1000ISG 2000会话125,000256,000500,0001,000,000当前VPN隧道1,0001,0002,00010,000深层检测防火墙无无有有VLAN501004,0944,094OSPF/BGP无无有有高可用性（HA）A/PA/PA/AA/A集成IDP无无可选升级可选升级GTP监控无无可选升级可选升级订购信息ISG 1000系统部件编号 NS-ISG-1000 系统（含 交流 电源，不含 I/O 卡） NS-ISG-1000 NS-ISG-1000 系统（含 直流 电源，不含 I/O 卡） NS-ISG-1000-DC NS-ISG-1000 基本系统（含 交流 电源，不含 I/O 卡） NS-ISG-1000B NS-ISG-1000 基本系统（含 直流 电源，不含 I/O 卡）NS-ISG-1000B-DC ISG 2000系统部件编号NS-ISG-2000 系统（含 交流 电源，不含 I/O 卡）NS-ISG-2000 NS-ISG-2000 系统（含 直流 电源，不含 I/O 卡）NS-ISG-2000-DC NS-ISG-2000 基本系统（含 交流 电源，不含 I/O 卡）NS-ISG-2000B NS-ISG-2000 基本系统（含 直流 电源，不含 I/O 卡）NS-ISG-2000B-DC 集成IDP升级部件编号面向ISG 1000和ISG 2000系统上IDP的安全模块NS-ISG-SEC 面向ISG 1000系统的IDP升级套件，含IDP许可密钥、额外的内存和5 设备NSM NS-ISG-1000-IKT 面向ISG 2000系统的IDP升级套件，含IDP许可密钥、额外的内存和5 设备NSM NS-ISG-2000-IKT ISG 1000 和 ISG 2000 I/O 模块 部件编号I/O模块-单端口万兆以太网-不含收发器 NS-ISG-1XG收发器-XFP万兆短距离以太网（SR）（300米） NS-SYS-GBIC-MXSR收发器-XFP万兆长距离以太网（LR）（10千米）NS-SYS-GBIC-MXLRI/O 模块 - 双端口 mini GBIC-SXNS-ISG-SX2I/O 模块 - 双端口 mini GBIC-LXNS-ISG-LX2 I/O 模块 4 端口 mini GBIC-SXNS-ISG-SX4 I/O 模块 4 端口 mini GBIC-LX NS-ISG-LX4 I/O 模块 - 4 端口 mini GBIC-TX NS-ISG-TX4 I/O 模块 - 4 端口 10/100 快速以太网NS-ISG-FE4 I/O 模块 - 8 端口 10/100 快速以太网NS-ISG-FE8 I/O 模块 - 2 端口 10/100/1000 千兆以太网NS-ISG-TX2 ISG 1000 软件选项 部件编号虚拟系统升级：0-5NS-ISG-1000-VSYS-5 虚拟系统升级：5-10NS-ISG-1000-VSYS-10 虚拟系统升级：10-25 NS-ISG-1000-VSYS-25 虚拟系统升级：25-50 NS-ISG-1000-VSYS-50 GPRS 防火墙/VPN 许可NS-ISG-1000-GKT ISG 2000 软件选项部件编号虚拟系统