销售培训-防火墙产品课件

2009/03防火墙产品培训文档2010年2月培训内容概念描述产品介绍案例分析概念描述IDS是英文“IntrusionDetectionSystems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

IPS是英文“

IntrutionProtectionSystem”的缩写，中文意思是“入侵防护系统”。倾向于提供主动性的防护，其设计旨在预先对入侵活动和攻击性网络流量进行拦截，避免其造成任何损失，而不是简单地在恶意流量传送时或传送后才发出警报。SSLVPN即指采用SSL（SecuritySocketLayer，安全套接字层）协议来实现远程接入的一种新型VPN技术。SSL协议是基于WEB应用的安全协议，它包括：服务器认证、客户认证、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说，使用SSL可保证信息的真实性、完整性和保密性IPSECVPN（InternetProtocolSecurity，因特网安全协议）在IPSECVPN里，通信双方首先要采用一定的方式建立连接，确定所要采用的安全策略和使用模式，包括加密运算法则和身份验证方法类型等。一旦IPSEC通道建立，所有其上层协议数据都被进行加密，而不管这些通道构建时所采用的安全和加密方法如何。产品介绍思科ASA5500系列功能防火墙技术CiscoPIXIPS技术CiscoIPS内容安全TrendMicroVPN技术CiscoVPN3000网络智能CiscoNetworkServices应用监测,使用强制,网上控制ApplicationSecurity病毒等攻击防范异常检测Anti-XDefenses流量控制,提前响应NetworkContainment&Control（网络围堵和控制）安全连接IPSec&SSLVPN市场已有技术自适应攻击防御和安全连接每个版本都能满足特定的企业环境需求：

防火墙版：使企业能够安全、可靠地部署关键业务应用和网络。独特的模块化设计能够提供卓越的投资保护，降低运作成本。IPS版：通过一组防火墙、应用安全性和入侵防御服务，防止关键业务服务器和基础设施遭受蠕虫、黑客及其它威胁的袭击。Anti-X版：利用全面的安全服务套件，为小型站点或远程站点的用户提供保护。企业级防火墙和VPN服务提供到公司网络的安全连接。Anti-X服务能够防止客户端系统遭受恶意Web站点以及病毒、间谍软件和诱骗等基于内容的威胁侵袭。SSL/IPsecVPN版：使远程用户能够安全地访问内部网络系统和服务，为大型企业部署支持VPN集群。安全套接字层（SSL）和IPSecurity（IPsec）VPN远程接入技术将CiscoSecureDesktop等威胁迁移技术与防火墙和入侵防御服务有机地结合在一起，保证VPN流量不会给企业带来威胁。版本说明:CiscoASA5520CiscoASA5540CiscoASA5500系列产品

从SOHO到大企业性能防火墙吞吐量防火墙+IPS吞吐量最大IPSec吞吐量最大IPSec/SSLVPN连接数

SMBand

SME市场定位适用平台最高连接数新建连接数/秒集成式端口最高虚拟接口高可用性支持EnterpriseMedium

Enterprise300Mbps300Mbps170Mbps250/250450Mbps375Mbps225Mbps750/750650Mbps450Mbps325Mbps5000/250050,000/130,000

6,000

3+1FE/5FE

10/25

A/A&A/S(Sec

Plus)CiscoASA5550Large

Enterprise1.2GbpsN/A425Mbps5000/5000280,000

9,000

4GE+1FE

100

A/A&A/S400,000

20,000

4GE+1FE

200A/A&A/S650,000

28,000

8GE+1FE

200A/A&A/S

SOHOand

ROBO150MbpsFuture100Mbps25/2510,000/25,000

3,000

8-portFEswitch

3/3(trunk)

StatelessA/S(Sec

Plus)CiscoASA5510CiscoASA5505

H3CSecPath系列

安全产品介绍产品命名：QuidwaySecPath10F市场定位：桌面型防火墙，SOHO、小企业或分支机构的安全接入设备处理性能：吞吐量10Mbps，加密性能5M，100条VPN通道接口数量：1X10MWAN+4XFELAN配置：8MFLASH，64M内存产品特点：提供网络安全保障和防护功能支持丰富的VPN业务特性电信级设备高可靠性全面细粒度的QoS保证智能、高效、动态和图形化的管理SecPath10F介绍SecPath100F-S介绍产品命名：QuidwaySecPath100F-S市场定位：入门型百兆防火墙，作为SOHO、小企业的出口防火墙设备处理性能：吞吐量80M，并发连接25万，每秒新增连接5000，VPN加密性能40Mbps（硬件）接口数量：4XFEWAN配置：16MFLASH，128M内存产品特点：提供网络安全保障和防护功能支持丰富的VPN业务特性电信级设备高可靠性全面细粒度的QoS保证智能、高效、动态和图形化的管理产品命名：QuidwaySecPath100F市场定位：标准型百兆防火墙，作为中小企业的出口防火墙设备，或中型企业的内部防火墙设备处理性能：吞吐量300M，并发连接50万，每秒新增连接1万，VPN加密性能

10/60Mbps（软/硬件）接口数量：3XFEWAN+4FELAN；一个MIM扩展槽位，可选接口模块包括

1FE/2FE/4FE/IPSec加密卡配置：16MFLASH，256M内存产品特点：提供网络安全保障和防护功能支持丰富的VPN业务特性电信级设备高可靠性全面细粒度的QoS保证智能、高效、动态和图形化的管理SecPath100F介绍产品命名：QuidwaySecPath500F市场定位：入门型千兆防火墙，作为大中型企业的出口或内部防火墙处理性能：吞吐量1G，并发连接100万，每秒新增连接2万，VPN加密性能350Mbps接口数量：四个固定GE口（其中两个为光/电接口，另外两个为10/100/100M电

口）；支持两个MIM扩展槽位，可选接口模块包括1FE/2FE/4FE/1GE(光/电)/2GE(光/电)配置：16MFLASH，512M内存（可扩至1G）；内置IPSec硬件加密产品特点：提供网络安全保障和防护功能支持丰富的VPN业务特性(SSLVPN)电信级设备高可靠性全面细粒度的QoS保证智能、高效、动态和图形化的管理SecPath500F介绍产品命名：QuidwaySecPath1000F市场定位：企业级千兆防火墙，作为大中型企业的出口或内部防火墙处理性能：吞吐量1.5G，并发连接150万，每秒新增连接3万，VPN加密性600M接口数量：两个固定GE口（光/10/100/1000M电接口）；支持一个MIM扩展槽位，

可选接口模块包括1FE/2FE/4FE/1GE(光/电)/2GE(光/电)配置：16MFLASH，512M内存（可扩至1G）；内置IPSec硬件加密产品特点：提供网络安全保障和防护功能支持丰富的VPN业务特性(SSLVPN)电信级设备高可靠性全面细粒度的QoS保证智能、高效、动态和图形化的管理SecPath1000F介绍产品命名：QuidwaySecPath1800F市场定位：基于NP技术的电信级千兆防火墙，可以作为大型企业的出口、数据内

部网络安全隔离防火墙；处理性能：吞吐量4G，并发连接200万，每秒新增连接10万，VPN加密性能100M接口数量：两个固定的10/100MFE口(做管理或者HA使用)，提供四个HIC扩插槽，

可选接口模块包括：2FE/4FE/8FE/1GE-SFP/2GE-SFP/IPSec加密卡，最多可支持6GE+2FE+加密卡，或者26FE+加密卡配置：32MFLASH，256M内存（可扩至512M）产品特点：支持路由，透明及混合工作模式支持P2P流量检测及控制静态路由；RIP1/2、OSPF、BGP、策略路由电信级设备高可靠性强大安全日志功能SecPath1800F介绍SINFORAC

产品介绍上网行为管理产品为了满足不同规模用户的部署需求，深信服科技面向SOHO、分支机构、小型组织、中小型组织、大中型组织、超大型组织等规模，提供了不同型号和平台，具体如下：表一：表二：上网行为管理产品为了满足不同规模用户的部署需求，深信服科技面向SOHO、分支机构、小型组织、中小型组织、大中型组织、超大型组织等规模，提供了不同型号和平台，具体如下：SINFORS5100是集成VPN/防火墙的硬件网关，采用了最先进的嵌入式一体化硬件平台、RISCNP处理器，保证了高可靠性和突出的性能。S5100支持3个百兆网络接口（1LAN,1WAN,1DMZ），为小型企业、分支机构提供了强大的安全网关（VPN/防火墙/共享上网）功能。S5100的VPN吞吐量为：S51005－10M（AES加密），而防火墙的吞吐量达到50M，完全能够满足绝大部分中小型企业ADSL等宽带网络接入环境。在外观设计上，SINFORS5100设备紧凑、美观。所采用全钢结构的外壳，标准化的1U尺寸，一体化的嵌入式硬件平台和低功耗的设计，非常适用于小型企业或分支机构等规模较小的网络。SINFORS5100产品介绍深信服科技推出的SINFORM5100，是一款高性价比的硬件VPN/防火墙网关，用于中型企业总部网络或大型企业的区域总部网络。该产品又分标准版、专业版两款，其中标准版支持3个百兆网络接口（1LAN,1WAN,1DMZ），为单线路VPN。专业版支持4个百兆网络接口（1LAN,2WAN,1DMZ），为双线路VPN，支持两条M5100Internet线路带宽叠加及备份。SINFORM5100具有强大的VPN功能，支持各种Internet接入方式（包括ADSL、LAN宽带、XDSL等等）。设备内置WebAgent动态IP寻址机制，双寻址方式保证了寻址的稳定性。SINFORM5100采用了改进的IPSEC协议，在确保VPN隧道安全外网的攻击。SINFORM5100产品介绍SonicWall防火墙产品介绍

SonicWALL®TZ系列包括TZ100、TZ200和TZ210网络安全设备，是同类产品中最具创新性、速度最快的多层网络安全设备，突破了传统设备的局限性。TZ系列设备采用了SonicWALL公司业界领先的统一威胁管理（UTM）技术以及荣获专利的免重组深度包检测（RFDPI™）技术*，提供了无与伦比的高性能以及深度威胁防御能力。全新TZ系列设备的性能大大超越了之前的TZ180和190设备，与其相比，新推出的入门级TZ100将UTM吞吐量提高了2.5倍。全新的TZ系列以更高的性价比集成了IPSec、SSLVPN远程访问、VoIP和可选的802.11b/g/n无线功能（可选3G无线宽带）。TZ系列尤为适合分布式企业、分支机构、中小型企业、零售企业和管理服务提供商，是市场上第一款经济实惠的解决方案，不仅拥有最快的网络连接速度，还提供了全方位的UTM保护。SonicWALLTZ系列产品介绍SonicWALLTZ系列产品性能对比SonicWALLTZ系列产品性能对比

NSA系列采用新一代统一威胁管理（UTM）技术抵抗各种攻击，兼备入侵防御、防病毒及反间谍软件功能和SonicWALL应用防火墙的应用层控制功能。NSA系列利用先进的路由、全状态同步高可用性以及高速VPN技术让您的分支机构、中央区域及分布式中小型企业网络倍添安全性、可靠性、功能性及生产力，同时还将成本及复杂程度降到最低。NSA系列包括SonicWALLNSA240、2400、NSA3500和NSA4500，提供各种解决方案，专为满足各种机构的网络安全需求而设计。SonicWALLNSA系列产品介绍SonicWALLNAS系列产品性能对比SonicWALLNAS系列产品性能对比CheckPoint防火墙产品介绍

UTM-1硬件产品为用户提供了经验证的安全技术和容易部署与管理特性的完美结合。通过全线的硬件解决方案，CheckPointUTM-1硬件产品整合了诸如防火墙、VPN、入侵防护和防病毒等关键的安全应用到一个单一、容易部署的解决方案之中。因为CheckPointUTM-1硬件产品采用了基于全球财富500强企业使用的相同安全技术，中型企业可以对其组织的安全防护状况高枕无忧，同时享受低安全成本和管理开销的附加利益。UTM-1TotalSecurity™硬件产品提供了一套全面的安全特性集，包括防火墙、入侵防护、防病毒、防间谍软件、防垃圾邮件、Web内容过滤、Web应用防护和安全的站点到站点以及远程访问连接。UTM-1全面安全（TotalSecurity）硬件产品提供了全面的安全更新升级，硬件保障支持和长达三年的用户支持折扣。UTM-1Edge™产品为低于100人的分支办公室提供了集成的防火墙、入侵防护、IpsecVPN和防病毒功能，确保了小型办公室获得与企业总部同样的安全防护水平。它们同样包括了集成无线局域网和ADSL接口以及专门为工业环境设计机箱的型号选择。小型到中型站点

CheckPointPower-1™硬件产品能够允许企业在诸如大型校园或者数据中心等高性能环境中提供最大化的安全性保障。他们通过高级的加速技术整合了集成的防火墙、IPsecVPN和入侵防护功能，从而提供了能够适用于多千兆级环境的高性能安全平台。Power-1硬件产品提供了两种型号----Power-15070和Power-19070----这使得企业能够为他们的环境选择合适的性能水平和接口密度。产品优势通过提供高达14Gbps防火墙吞吐率和6.1Gbps的入侵防护吞吐率，能够确保业务关键性应用的可用性；为大型办公室和数据中心提供增强的企业安全部署；通过按需扩展提供了全面的安全性，包括SSLVPNS、Web安全、Web内容过滤、防病毒、防间谍软件和防垃圾邮件；通过为所有站点提供的单一管理控制台实现简单的管理；通过可选的SmartDefense服务订阅防护新型的威胁大型企业和数据中心Juniper防火墙产品介绍

SSG5和SSG20安全业务网关是专用的安全设备，为小型分支办事处、固定的远程办公人员和小型企业的网络部署提供了集高性能、高安全性、路由和局域网/广域网连接方式于一体的完美组合。通过状态防火墙、IPSecVPN、入侵防御系统(IPS)、防病毒(包括防间谍软件、防广告、防钓鱼软件)、防垃圾邮件以及网页过滤等一套完整的统一威胁管理安全特性，可以对进出于分支办事处和企业的流量进行保护，以避免蠕虫、间谍软件、特洛伊木马和恶意软件的侵袭。SSG5具有7个10/100板载接口和可选的固定广域网端口。SSG20具有5个10/100接口和2个可用于额外广域网连接的I/O扩展槽。广泛的I/O选项加上路由引擎上支持的广域网协议和封装支持，使得SSG5和SSG20能够作为传统分支机构的办公室路由器来轻松部署，或者成为用于降低前期购置成本和后期运行成本的坚固安全和路由设备。SSG5和SSG20都支持大多数特定无线安全特性所采用的802.11a/b/g协议。

SSG140安全业务网关是一款高性能的、适用于中型分支办事处和中小型独立企业的安全平台，可用于在满足法规遵从性要求的同时，阻止内外部攻击以及防止未授权的访问。SSG140是一个模块化平台，能够提供超过350Mbps的状态防火墙流量和100Mbps的IPSecVPN流量。

SSG140支持10个板载接口(8个10/100接口和2个10/100/1000接口)以及4个可用于安装额外广域网接口(T1，E1，ISDNBRIS/T和串口)的I/O扩展插槽，使之成为同类产品中扩展性最强的安全平台。广泛的I/O选项加上路由引擎上支持的广域网协议和封装支持，使得SSG140能够作为传统分支办事处的办公室路由器来轻松部署，或者成为用于降低前期购置成本和后期运行成本的集成安全和路由设备。

SSG300系列产品包含专用安全设备，能够为大型企业、地区性分支办事处及中小型企业的网络部署提供集高性能、高安全性、路由和局域网/广域网连接方式于一体的完美组合。通过状态防火墙、IPSecVPN、入侵防御系统（IPS）、防病毒（包括防间谍软件、防广告软件、防钓鱼软件）、防垃圾邮件以及网页过滤等一套完整的统一威胁管理安全特性，可以对进出于地区性分支办事处和企业的流量进行保护，以避免蠕虫、间谍软件、特洛伊木马和恶意软件的侵袭。SSG300系列包含SSG320M和SSG350M安全业务网关。

SSG300系列具有4个10/100