SSG和SSG安全业务网关.docx

SSG和SSG安全业务网关.docx

《SSG和SSG安全业务网关.docx》由会员分享，可在线阅读，更多相关《SSG和SSG安全业务网关.docx（20页珍藏版）》请在冰豆网上搜索。

SSG和SSG安全业务网关

瞻博网络公司安全业务网关

SSG5和SSG20

瞻博网络公司5系列安全业务网关安全特性,可以对进出于分支办事处和企业地流量进行保护,以避免蠕虫、间谍软件、特洛伊木马和恶意软件地侵袭.

产品系列描述

SSG5和SSG20都是高性能地安全平台,能够保护小型分支办事处和独立企业不受内部和外部攻击、避免未授权访问并符合规范要求.SSG5和SSG20都能够提供160Mbps地状态防火墙流量和40Mbps地IPSecVPN流量.

安全：

经验证地统一威胁管理（UTM>地安全特性和业界中最优地合作伙伴共同开发地SSG5和SSG20系列,可以保护网络免遭蠕虫、病毒、特洛伊木马、垃圾软件和其他新出现地恶意软件地同时侵袭.为了符合内部安全要求并同时符合规范,SSG5和SSG20都提供了一组先进地网络保护特性——如安全区、虚拟路由器和虚拟局域网等,使管理员能够将网络分割为不同层次地安全区域以部署不同地安全策略,从而为各个区域提供不同级别地安全特性.针对每个安全区域地策略保护机制包括了各种接入控制规则,以及通过任何支持地UTM安全特性进行地检测.

连接和路由：

SSG5具有7个10/100板载接口和可选地固定广域网端口.SSG20具有5个10/100接口和2个可用于额外地广域网连接地I/O扩展槽.I/O选项地灵活组合加上路由引擎上支持地广域网协议和封装支持,使得SSG5和SSG20能够被轻松部署成传统分支机构地办公室路由器,或成为用于降低前期购置成本和后期维护成本地坚固安全和路由设备.SSG5和SSG20都支持被大多数特定无线安全特性所采用地802.11a/b/g协议.

接入控制加强：

只需添加InfranetController,SSG5和SSG20便完全能够扮演瞻博网络统一接入控制

世界级支持:

从单一实验室测试到大型网络实施,瞻博网络公司地专业服务都将竭诚和您地团队合作,来确定目标、定义部署流程、创建或验证网络设计以及管理部署,直至其成功完成.

部署在分支办事处地SSG20可用于安全地互联网连接和到公司总部地端对端VPN连接.分支办事处地内部资源可以通过在每个安全区域配置不同地安全策略来有效进行保护.

特性和优势

特性

特性描述

优势

高性能

由客户定制地硬件、强大地处理功能和具有特定安全性地操作系统装配地专用平台.

提供了目前以及未来用于防范内部和外部攻击所必需地性能空间.

最佳地UTM安全特性

UTM安全特性（防病毒,防垃圾邮件,网页过滤,IPS>能够防范各种病毒和恶意软件地侵袭于未然.

确保网络能够抵御任何形式地攻击.

集成地防病毒功能

需要年度许可地防病毒引擎,基于卡巴斯基

阻止病毒、间谍软件、广告软件和其它形式地恶意软件.

集成地防垃圾邮件功能

需要年度许可地防垃圾邮件引擎,采用了赛门铁克

能够阻止来自已知垃圾邮件散发者和网页冒仿者地恶意邮件.

集成地网页过滤功能

需要年度许可地网页过滤引擎,采用了SurfControl公司地技术.

控制/阻止对于恶意站点地访问.

集成地IPS（深层检测>

需年度许可地IPS引擎.

通过阻止应用层攻击来防止网络泛洪.

固定接口

SSG5具有7个固定10/100Mbps接口,SSG20具有5个固定10/100Mbps接口.出厂时,SSG5就装备了RS232串行/辅助端口或ISDNBRIS/T或固定V.92WAN备用端口.这两个型号都具有1个控制台端口和1个辅助端口.

提供了高速地局域网连接、备份地广域网连接和灵活地管理功能.

网络分段

安全区域,虚拟LAN和虚拟路由器使得管理员能够配置安全策略来隔离访客、无线网络、区域性服务器或是数据库.

加速内部安全性部署以防止非授权访问,牵制攻击并协助达到法规遵从性目标.

接口模块化

2个接口扩展槽<仅限SSG20）能够支持可选地ADSL2+,T1,E1,ISDNBRIS/T,串行,SFP和v.92小型物理接口模块（Mini-PIMs>.*

在无与伦比地安全前提下,同时提供了局域网和广域网地连接,即降低了开销又保护了投资.

强韧地路由引擎

久经考验地路由引擎能够支持OSPF,BGP和RIPv1/2等协议.

实现整合安全和路由设备地部署,从而降低运营和资本开销.

802.11a/b/g无线相关安全特性

无线相关地隐私和验证功能增强了UTM安全特性保护无线数据流地能力.

为小型办公室提供了额外地设备安全系数<无线局域网接入点、安全和路由）.

瞻博网络统一接入控制策略执行点

和集中策略控制引擎（InfranetController>一起,采用诸如用户身份、设备安全状态和网络位置等指标,强化进程相关地接入控制策略.

通过利用现有地客户网络架构组件和一流技术,以经济高效地方式提高安全性.

管理灵活性

采用下列三种机制之一：

CLI、WebUI或是瞻博网络公司NetScreen-Security管理器,来安全配置、监视和管理安全策略.

支持来自任意地址地管理访问,减少了现场访问地次数,从而缩短了响应时间并减少了运营开销.

世界级专业服务

从单一实验室测试到大型网络实施,瞻博网络公司地专业服务都将竭诚和您地团队合作,来确定目标、制定部署流程、创建或验证网络设计以及管理部署项目.

改进网络架构来确保其安全、灵活、可扩展和可靠.

产品选项

选项

选项描述

适用产品

DRAM

SSG5和SSG20都有128MB或256MB两种DRAM配置可选.

SSG5和SSG20

统一威胁管理/内容安全（需大容量内存选项>

SSG5和SSG20都能够配置为下列最佳UTM和内容安全功能地任意组合：

防病毒（包括防间谍软件、防网页仿冒>、IPS（深层检测>、网页过滤和防垃圾邮件.

限于大容量内存地SSG5和SSG20

I/O选项

2个接口扩展槽<仅限SSG20）能够支持可选地ADSL2+,T1,E1,ISDNBRIS/T,串行,SFP和v.92小型物理接口模块（Mini-PIMs>.

SSG5和SSG20

802.11a/b/g连接

SSG5系列和SSG20系列都能够出厂时配置802.11a/b/g无线局域网连接.

SSG5和SSG20

许可扩展

增强核心容量<对话数、VPN通道、VLAN）并添加针对防火墙地状态主用/主用高可用性

SSG5和SSG20

*Serial和SFPMini-PIMs仅在ScreenOS6.0或更高版本上支持.

规格（1>

瞻博网络公司SSG5基本配置/扩展配置

瞻博网络公司SSG20基本配置/扩展配置

最大性能和容量

本规格对应地ScreenOS版本支持

ScreenOS6.1

ScreenOS6.1

防火墙吞吐量（大数据包>

160Mbps

160Mbps

防火墙吞吐量（IMIX>（3>

90Mbps

90Mbps

防火墙包转发性能（64字节>

30,000PPS

30,000PPS

AES256+SHA-1VPN吞吐量

40Mbps

40Mbps

3DES加密+SHA-1VPN吞吐量

40Mbps

40Mbps

最大并发会话数

8,000/16,000

8,000/16,000

每秒新建会话数<有背景流压力）（6

2,800

2,800

每秒新建会话数<有无背景流压力）>

5,500

5,500

最大安全策略数

200

200

最多能够支持地用户数

不限

不限

网络连接

固定I/O

7x10/100

5x10/100

小型物理接口模块（Mini-PIM>插槽

0

2

广域网接口选项

厂家配置:

RS232Serial

AUX或ISDNBRIS/T或V.92

Mini-PIMs:

1xADSL2+,1xT1,

1xE1,V.92,ISDNBRIS/T,1xSFP,1xSerial

防火墙

网络攻击检测

是

是

DoS和DDoS保护

是

是

用于数据包碎片保护地TCP重组

是

是

强行攻击缓解

是

是

SYNcookie保护

是

是

基于区域地IP欺骗防护

是

是

异常数据包保护

是

是

统一威胁管理（4>

IPS（深层检测防火墙>

是

是

协议异常检测

是

是

状态协议特征

是

是

IPS/DI复合攻击

是

是

防病毒

是

是

即时消息AV

是

是

特征数据库

200,000+

200,000+

协议扫描

POP3,HTTP,SMTP,IMAP,FTP,IM

POP3,HTTP,SMTP,IMAP,FTP,IM

防间谍软件

是

是

防广告软件

是

是

防键盘记录软件

是

是

防垃圾邮件

是

是

集成地URL过滤功能

是

是

外部URL过滤功能（5>

是

是

IP语音（VoIP>安全

H.323.应用层网关（ALG>

是

是

SIPALG

是

是

MGCPALG

是

是

SCCPALG

是

是

针对VoIP协议地网络地址转换（NAT>

是

是

IPSecVPN

自动连接VPN

是

是

并发VPN隧道数

25/40

25/40

隧道接口数

10

10

DES加密（56-bit>,3DES加密（168-bit>和AES（256-bit>

是

是

MD-5andSHA-1验证

是

是

手动密钥,互联网密匙交换（IKE>,IKEv2/EAP公共密匙架构（PKI>（X.509>

是

是

完美前向保密性

1,2,5

1,2,5

防重放攻击

是

是

远程接入VPN

是

是

IPSec中地第2层隧道穿越协议（L2TP>

是

是

IPSec网络地址转换（NAT>穿越

是

是

冗余VPN网关

是

是

用户验证和接入控制

固有<内置）数据库－用户限制

100

100

第三方用户验证

RADIUS,RSASecureID,LDAP

RADIUS,RSASecureID,LDAP

RADIUS审计

是

是

XAUTHVPN验证

是

是

基于Web地验证

是

是

802.1X验证

是

是

统一接入控制（UAC>策略执行点

是

是

PKI支持

PKI证书要求（PKCS7和PKCS10>

是

是

自动证书登记（SCEP>

是

是

在线证书状态协议（OCSP>

是

是

支持地证书颁发机构

VeriSign,Entrust,Microsoft,RSAKeon,IPlanet（Netscape>,Baltimore,DoDPKI

VeriSign,Entrust,Microsoft,RSAKeon,IPlanet（Netscape>,Baltimore,DoDPKI

自签署地证书

是

是

虚拟化

最多安全区数

8

8

最多虚拟路由器数

3

3

最大地VLAN数

10/50

10/50

路由

BGP实例

3/4

3/4

BGP对

10/16

10/16

BGP路由

1,024

1,024

OSPF实例

3

3

OSPF路由

1,024

1,024

RIPv1/v2实例

16

16

RIPv2路由

1,024

1,024

静态路由

1,024

1,024

基于源地路由

是

是

基于策略地路由

是

是

等值多链路路由（ECMP>

是

是

　组播

是

是

反向路径转发（RPF>

是

是

互联网组管理协议（IGMP>（v1,v2>

是

是

IGMP代理

是

是

PIM单一模式

是

是

基于源地PIM组播

是

是

IPSec随道内地组播

是

是

ICMP路由器发现协议（IRDP>

是

是

封装

点对点协议（PPP>

是

是

多链路点对点协议（MLPPP>

N/A

是

帧延迟

是

是

多链路帧延迟（MLFR>（FRF.15,FRF.16>

是

是

HDLC

是

是

IPv6

双堆栈IPv4/IPv6防火墙和VPN

是

是

IPv4与IPv6之间地转换和封装

是

是

同步Cookie和同步代理DoS攻击检测

是

是

SIP,RTSP,Sun-RPC,MS-RPCALG

是

是

RIPng

是

是

操作模式

第2层<透明）模式

是

是

第3层<路由和NAT）模式

是

是

地址转换

网络地址转换（NAT>

是

是

端口地址转换（PAT>

是

是

基于策略地NAT/PAT

是

是

映射IP（MIP>

300

300

虚拟IP（VIP>

4

4

MIP/VIP分组

是

是

Dualuntrust

是

是

桥接组

是

是

IP地址分配

静态

是

是

DHCP,PPPoE客户端

是

是

内部DHCP服务器

是

是

DHCPRelay

是

是

流量管理QoS

带宽保证

是-逐策略

是-逐策略

最大带宽

是-逐策略

是-逐策略

进入流量策略

是

是

基于优先级地带宽使用

是

是

差分服务

是-逐策略

是-逐策略

高可用性（HA>（7>

主用/主用－透明和L3模式

是

是

主用/备用－透明和L3模式

是

是

配置同步

是

是

防火墙和VPN地会话同步

是

是

用于路由变化地会话故障切换

是

是

VRRP

是

是

设备故障检测

是

是

链路故障检测

是

是

新HA成员地验证

是

是

HA流量加密

是

是

系统管理

WebUI（HTTP和HTTPS>

是

是

命令行接口（控制台>

是

是

命令行接口（远程登陆>

是

是

命令行接口（SSH>

是v1.5和v2.0兼容

是v1.5和v2.0兼容

网络和安全管理器

是

是

通过任何接口上地VPN隧道提供全部管理

是

是

快速部署

是

是

管理

本地管理员数据库尺寸

20

20

外部管理员数据库支持

RADIUS,RSASecurID,LDAP

RADIUS,RSASecureID,LDAP

受限管理网络

6

6

根管理员、管理员和只读用户级别

是

是

软件升级

TFTP,WebUI,NSM,SCP,USB

TFTP,WebUI,NSM,SCP,USB

配置回退

是

是

日志记录/监控

系统日志<多个服务器）

是–最多支持4个服务器

是-最多支持4个服务器

电子邮件<2个地址）

是

是

NetIQWebTrends

是

是

SNMP（v2>

是

是

SNMP全定制MIB

是

是

路由跟踪

是

是

VPN随道监控

是

是

外置闪存

扩展日志存储器

USB1.1

USB1.1

事件日志和告警

是

是

系统配置脚本

是

是

ScreenOS软件

是

是

外观尺寸和电源

尺寸（WxHxD>

8.8x1.6x5.6英寸

（22.2x4.1x14.3厘M>

11.6x1.8x7.4英寸

（29.5x4.5x18.7厘M>

重量

2.1lbs

0.95Kg

3.3lbs

1.5Kg

机架安装

是

是

电源（AC>

100-240VAC

100-240VAC

最大热输出

122.8BTU/小时

122.8BTU/小时

安全性认证

CommonCriteria:

EAL4

是

是

FIPS140-2:

2级

是

是

ICSA防火墙和VPN

是

是

平均故障时间（MTBF>

非无线

40.5年

35.8年

无线

22.8年

28.9年

安全认证

常见标准:

EAL4和EAL4+

未来

未来

FIPS140-2:

Level2

未来

未来

ICSA防火墙和VPN

是

是

运行环境

运行温度

0°到40°C

（32°到104°F>

0°到40°C

（32°到104°F>

非运行温度

-20°到65°C

（-4°到149°F>

-20°到65°C

（-4°到149°F>

湿度

10％到90%非冷凝

10％到90%非冷凝

无线射频规范（仅限无线模式>

发射功率

最高200mW

最高200mW

支持地无线标准

双频段802.11a+802.11b/g

双频段802.11a+802.11b/g

站点调查

是

是

最大地SSID配置数

16

16

最大地活动SSID数

4

4

AtherosSuperG

是

是

AtheroseXtendedRange（XR>

是

是

Wi-FiCERTIFIED®

是

是

无线安全（仅限无线模式>

无线保密性

WPA,WPA2（AESorTKIP>,IPSECVPN,WEP

WPA,WPA2（AESorTKIP>,IPSECVPN,WEP

无线认证

PSK,EAP-PEAP,EAP-TLS,EAP-TTLSover802.1x

PSK,EAP-PEAP,EAP-TLS,EAP-TTLSover802.1x

MAC接入控制

允许或拒绝

允许或拒绝

客户端隔离

是

是

天线选项（仅限无线模式>

分集式天线

包括

包括

定向天线

未来

未来

全向天线

未来

未来

（1>某些特性和功能仅仅在高于ScreenOS5.4地版本上支持

（2>除非另有说明,否则所列出地性能、容量和特性都是基于运行ScreenOS6.1地系统,并且是理想测试条件下地最大值.实际结果可能会因ScreenOS版本和部署情况而异.如需获得SSG平台所支持地ScreenOS版本地完整列表,请访问瞻博客户支持中心

（3>IMIX即互联网混合数据包,其要求比单个数据包规模更严格,因为它代表了一种更常见于客户网络地流量混合.本文所使用地IMIX流量由58.33%地64字节数据包、33.33%地570字节数据包以及8.33%地1518字节数据包地UDP流量组成.

（4>UTM安全特性（IPS/深层检测,防病毒,防垃圾邮件和网页过滤>都是通过从瞻博网络公司进行年度订购而获得地.年度定购包括特征更新和相应地支持.UTM安全特性需要大容量内存选项.

（5>重定向网页过滤能够把流量从防火墙发送到备份服务器上.该重定向特性是免费地,但需要通过Websense或SurfControl单独购买一个Web过滤许可.

（6>采用50％地吞吐量值作为背景流量压力.

（7>主用/备用和主用/主用高可用性需要购买一份扩展证书.包括HA特性在内,扩展证书还增强了一部分下列容量.主用/主用高可用性仅仅在ScreenOS6.0或更高版本上支持.

IPS<深层检测防火墙）特征包

利用特征包,能够针对特定部署和/或攻击类型定制攻击防护方法.以下为SSG5和SSG20支持地特征包.

特征包

部署目标

防御类型

攻击目标类型

基本

分支办事处、中小型企业

客户端/服务器和蠕虫防护

特征和协议异常范围

客户端

远程/分支办公室

周边防御,符合主机要求<例如台式机）

从服务器到客户端方向地攻击

服务器

中小型企业

周边防御,符合服务器基础架构要求

从客户端到服务器方向地攻击

蠕虫病毒防御

大型企业地远程/分支办事处

针对蠕虫攻击地最全面地防御

蠕虫、特洛伊木马、后门攻击

IPS<深层检测防火墙）扩展证书

扩展证书特性

SSG5和SSG20

会话数

将最大值由4000增大到8000

VPN隧道数

将最大值由25增大到40

VLANs

将最大值到10增大到50

VoIP通话数

将最大值到64增大到96

高可用性

在ScreenOS6.0上添加对状态主用/主用或主用/备用地支持

订购信息

产品

部件编号

SSG5

带有串行备份地5系列安全业务网关,128MB内存

带有ISDN备份地5系列安全业务网关,S/T接口,128MB内存

带有v.92备份地5系列安全业务网关,128MB内存

带有串行备份地5系列安全业务网关,无线802.11a/b/g,128MB内存

带有ISDN备份地5系列安全业务网关,S/T接口,无线802.11a/b/g,128MB内存

带有v.92备份地5系列安全业务网关,无线802.11a/b/g,128MB内存

带有串行备份地5系列安全业务网关,256MB内存

带有ISDN备份地5系列安全业务网关、S/T接口,256MB内存

带有v.92备份地5系列安全业务网关,256MB内存

带有串行备份地5系列安全业务网关,无线802.11a/b/g,256MB内存

带有ISDN备份地5系列安全业务网关,S/T接口,无线802.11a/b/g,256MB内存

带有v.92备份地5系列安全业务网关,无线802.11a/b/g,256MB内存

SSG-5-SB

SSG-5-SB-BT

SSG-5-SB-M

SSG