SSG300安全业务网关.docx

SSG300安全业务网关.docx

《SSG300安全业务网关.docx》由会员分享，可在线阅读，更多相关《SSG300安全业务网关.docx（19页珍藏版）》请在冰豆网上搜索。

SSG300安全业务网关

产品简介

瞻博网络公司安全服务网关SSG300系列

瞻博网络公司安全服务网关300（SSG300）系列包含专用安全设备，能够为大型、地区性分支办事处、中型独立企业的网络部署提供了集高性能、高安全性、路由和局域网/广域网连接方式于一体的完美组合。

通过状态防火墙、IPSecVPN、IPS、防病毒（包括防间谍软件、防广告软件、防网页仿冒）、防垃圾邮件以及网页过滤等一套完整的统一威胁管理（UTM）安全特性，可以对进出于地区性分支办事处和企业的流量进行保护，以避免蠕虫、间谍软件、特洛伊木马和恶意软件的侵袭。

SSG300系列包含SSG350M和SSG320M。

产品系列描述

SSG300系列由高性能安全平台组成，能够保护企业不受内部和外部攻击，防止未授权访问并满足法规遵从性要求。

SSG350M提供500Mbps状态防火墙流量和225MbpsIPSecVPN流量；SSG320M提供400Mbps状态防火墙流量和175MbpsIPSecVPN流量。

这些产品注重三大特性：

安全性：

久经考验的统一威胁管理（UTM）安全特性和最佳的业务合作伙伴服务相结合，可以同时保护网络免遭病毒、垃圾软件和其它新兴攻击的侵袭。

为了符合内部安全要求并同时满足法规遵从性，SSG300系列提供了一组先进的网络保护特性，如安全区、虚拟路由器和虚拟局域网等，允许管理员将网络分割为不同层次的安全区域以部署不同的安全策略，从而为各个区域提供不同级别的安全特性。

针对每个安全区域的策略保护机制包括了各种接入控制规则，以及通过任何支持的UTM安全特性进行的检测。

连接和路由：

SSG300系列具有4个10/100/1000板载接口和若干个能够分别用于局域网或广域网接口的I/O扩展插槽，使SSG300系列成为一个非常灵活的平台。

I/O选项的灵活组合加上广域网协议和封装支持，使得SSG300系列平台能够被轻松部署为传统分支机构的办公室路由器，或成为用于降低前期投资成本和后期维护成本的坚固安全和路由设备。

接入控制加强：

只需添加InfranetController，SSG300系列平台便完全能够扮演瞻博网络公司统一接入控制（UnifiedAccessContro）部署中的策略执行点。

InfranetController能够作为一个中央策略控制引擎，配合SSG300系列以一种基于更细粒度标准的授权或拒绝接入的解决方案，包括端点状态和用户识别，来增强或取代基于防火墙的接入控制，从而解决了由攻击场景和用户特征的巨大变化带来的挑战。

另外，瞻博网络公司的专业服务都将竭诚和您的团队合作，来确定目标，定义部署流程，创建或验证网络设计以及管理部署，直至其成功完成。

无论是从单一实验室测试还是大型网络实施，瞻博网络公司的专业服务都将帮助您确保成功。

区域办公室

A区WWW公司总部

C区互联网

B区

部署在分支办事处的SSG350可用于安全的互联网连接和到公司总部的端对端VPN连接。

分支办事处的内部资源可以通过在每个安全区域配置不同的安全策略来有效进行保护。

特性和优势

特性

特性说明

优势

高性能

由客户定制的硬件、强大的处理功能和具有特定安全性的操作系统装

配的专用平台。

提供了目前以及未来用于防范内部和外部攻击所必需的性能空间。

最佳UTM安全特性

UTM安全特性（防病毒、防垃圾邮件、网页过滤、IPS）能够防范各种

病毒和恶意软件的侵袭于未然。

确保网络能够抵御任何形式的攻击。

集成的防病毒功能

由瞻博网络提供的需要年度许可的防病毒引擎，基于卡巴斯基

（Kaspersky）实验室的防病毒引擎。

阻止病毒、间谍软件、广告软件和其它形式的恶意软件。

集成的防垃圾邮件功能

由瞻博网络提供的需要年度许可的防垃圾邮件引擎，采用了赛门铁克

（Symantec）公司的技术。

能够阻止来自已知垃圾邮件散发者和网页冒仿者的恶意邮件。

集成的网页过滤功能

由瞻博网络提供的需要年度许可的网页过滤引擎，采用了SurfControl的技术。

控制/阻止对于恶意网站的访问。

集成的IPS（深层检测）

需年度许可的IPS引擎，采用了瞻博网络的深层检测防火墙特征包。

通过阻止应用层攻击来防止网络泛洪

。

固定接口

4个固定10/100/1000接口，2个USB端口，1个控制台端口和1个辅助端口是所有SSG300系列型号上的标准配置。

提供了高速的局域网连接、未来可扩展性和灵活的管理功能。

网络分段

桥接组、安全区域、虚拟局域网和虚拟路由器使得管理员能够配置安

全策略来隔离访客、无线网络、区域服务器或数据库*。

强大的功能可加速网络中各种内部、外部和DMZ分支的安全性部署，

从而防止非授权访问。

接口模块化

6个接口扩展槽能够支持可选的T1，E1，串行，ADSL/ADSL2/ADSL2+，

G.SHDSL，10/100/1000和SFP连接。

在无与伦比的安全前提下，同时提供了局域网和广域网的连接，即降

低了开销又保护了投资。

强韧的路由引擎

久经考验的路由引擎能够支持OSPF，BGP和RIPv1/2等协议，并具

有帧中继、多链路帧中继、PPP、多链路PPP和HDLC功能。

实现整合安全和路由设备的部署，从而降低运营和资本开销。

瞻博网络公司统一接入控制策略执行点

和集中策略控制引擎（InfranetController）一起，采用例如用户身份、

设备安全状态和网络位置等指标，强化进程相关的接入控制策略。

通过利用现有的客户网络架构组件和一流技术，以经济高效的方式提

高安全性。

管理灵活性

采用下列三种机制之一：

CLI、WebUI或是Juniper网络公司NetScreen-

SecurityManger来安全地部署、监视和管理安全策略。

支持来自任意地址的管理访问，减少了现场访问的次数，从而缩短了

响应时间并减少了运营开销。

自动连接VPN

在集中星型（Hub-and-spoke）拓扑结构中自动建立和取消轮辐站点

（spoke）间的VPN隧道。

提供了针对网状架构的一种可扩展VPN解决方案，并能够支持延迟敏

感型应用，比如VoIP和视频会议。

世界级专业服务

从单一实验室测试到大型网络实施，瞻博网络公司的专业服务都将竭诚和您的团队合作，来确定目标、制定部署流程、创建或验证网络设计并管理部署项目。

转变网络架构来确保其安全、灵活、可扩展和可靠。

产品选项

选项

选项说明

适用产品

网络设备建立系统（NEBS）法规遵从

提供遵从NEBS的SSG350M版本

SSG350M

DRAM

所有SSG300系列型号都提供1GBDRAM。

SSG320M和SSG350M还提供256MBDRAM。

SSG350M

SSG320M

UTM/内容安全性（需要高内存选项）

添加许可密钥之后，瞻博网络SSG300系列可以配置以下最佳UTM和内容安全功能的组合：

防病毒（包括防间谍软件、防网页仿冒）、IPS（深层检测防火墙）、网页过滤和防垃圾邮件。

仅限于大容量内存的SSG350M

仅限于大容量内存的SSG320M

I/O选项

3个（SSG320M）或5个（SSG350M）扩展插槽，支持可选的T1、E1、串行、ADSL2+、G.SHDSL、10/100/1000和SFP。

SSG350M

SSG320M

*桥接组只在ScreenOS6.0和更高版本上支持。

规格

瞻博网络公司SSG320M

瞻博网络公司SSG350M

最高性能和容量

（1）

本规格对应的ScreenOS版本支持

ScreenOS6.1

ScreenOS6.1

防火墙性能（大数据包）

1.2Gbps

1.1Gbps

防火墙性能（IMIX）

（2）

400Mbps

500Mbps

每秒防火墙包（64字节）

175,000PPS

225,000PPS

AES256+SHA-1VPN吞吐量

175Mbps

225Mbps

3DES+SHA-1VPN吞吐量

175Mbps

225Mbps

最大并发会话数

64,000

128,000

每秒新建会话数（有背景流量压力）（5）

10,000

12,500

每秒新建会话数（无背景流量压力）

20,000

26,000

最大安全策略数

2,000

2,000

最多能够支持的用户数

不限

不限

可转换至JUNOS

是

是

网络连接

固定I/O

4×10/100/1000

4×10/100/1000

物理接口模块（PIM）插槽

3

5

广域网接口选项（PIMS）

串行、T1、E1、ADSL/ADSL2+，G.SHDSL

串行、T1、E1、ADSL/ADSL2+，G.SHDSL

局域网接口选项（uPIMS）

8×10/100/1000，16×10/100/1000和6×SFP

8×10/100/1000，16×10/100/1000和6×SFP

防火墙

网络攻击检测

是

是

DoS和DDoS防御

是

是

用于数据包碎片保护的TCP重组

是

是

强行攻击缓解

是

是

SYNcookie保护

是

是

基于区域的IP欺骗防护

是

是

异常数据包保护

是

是

统一威胁管理（3）

IPS（深层检测防火墙）

是

是

协议异常检测

是

是

状态协议特征

是

是

IPS/DI复合攻击

是

是

防病毒

是

是

特征数据库

200,000+

200,000+

协议扫描

POP3、HTTP、SMTP、IMAP、FTP、IM

POP3、HTTP、SMTP、IMAP、FTP、IM

防间谍软件

是

是

防广告软件

是

是

防键盘记录软件

是

是

即时消息AV

是

是

防垃圾邮件

是

是

集成的URL过滤功能

是

是

外部URL过滤功能（4）

是

是

IP语音（VoIP）安全性

H.323应用层网关（ALG）

是

是

SIPALG

是

是

MGCPALG

是

是

SCCPALG

是

是

针对VoIP协议的网络地址转换（NAT）

是

是

*某些特性和功能只在ScreenOS6.0以上版本中支持。

瞻博网络公司SSG320M

瞻博网络公司SSG350M

IPSecVPN

并发VPN隧道数

500

500

隧道接口数

100

300

DES加密（56－bit），3DES加密（168－bit）和AES（256－bit）

是

是

MD-5和SHA-1认证

是

是

手动密钥，IKE，IKEv2/EAP，PKI（X.509）

是

是

完美前向保密性

1,2,5

1,2,5

防重放攻击

是

是

远程接入VPN

是

是

IPSec内的L2TP

是

是

IPSecNAT穿越

是

是

自动连接VPN

是

是

冗余VPN网关

是

是

用户认证与接入控制

内置（内部）数据库——用户限制

500

500

第三方用户验证

RADIUS，RSASecureID，LDAP

RADIUS，RSASecureID，LDAP

RADIUS审计

是——开始/停止

是——开始/停止

XAUTHVPN验证

是

是

基于Web的验证

是

是

802.1X验证

是

是

统一接入控制（UAC）策略执行点

是

是

PKI支持

PKI证书请求（PKCS7和PKCS10）

是

是

自动证书登记（SCEP）

是

是

在线证书状态协议（OCSP）

是

是

支持的证书颁发机构

VeriSign、Entrust、Microsoft、RSAKeon、iPlanet（Netscape）、Baltimore、DoDPKI

VeriSign、Entrust、Microsoft、RSAKeon、iPlanet（Netscape）、Baltimore、DoDPKI

自签证书

是

是

虚拟化

最高安全分区数

40

40

最高虚拟路由器数

5

8

桥接组*

是

是

最高VLANs数

125

125

路由

BGP实例

8

8

BGP对等

36

48

BGP路由

10,000

10,000

OSPF实例

3

3

OSPF路由

10,000

10,000

RIPv1/v2实例

128

128

RIPv2路由

10,000

10,000

静态路由

10,000

10,000

基于源的路由

是

是

基于策略的路由

是

是

ECMP

是

是

组播

是

是

反向路径转发（RPF）

是

是

IGMP（v1，v2）

是

是

IGMP代理

是

是

PIMSM

是

是

PIMSSM

是

是

IPSec隧道内组播

是

是

*桥接组只在ScreenOS6.0及更高版本内的uPIM上支持。

瞻博网络公司SSG320M

瞻博网络公司SSG350M

封装

点对点协议（PPP）

是

是

多链路点对点协议（MLPPP）

是

是

MLPP最多物理接口数

6

6

帧中继

是

是

MLFR（FRF.15，FRF.16）

是

是

MLFR最多物理接口数

6

10

HDLC

是

是

IPv6

双堆栈IPv4/IPv6防火墙和VPN

是

是

IPv4与IPv6之间的转换和封装

是

是

同步Cookie和同步代理DoS攻击检测

是

是

SIP,RTSP,Sun-RPC,MS-RPCALG

是

是

RIPng

是

是

操作模式

第二层（透明）模式

是

是

第三层（路由和NAT）模式

是

是

地址转换

网络地址转换（NAT）

是

是

端口地址转换（PAT）

是

是

基于策略的NAT/PAT

是

是

映射IP

1,500

1,500

虚拟IP

16

16

MIP/VIP组

是

是

IP地址分配

静态

是

是

DHCP，PPPoE客户端

是

是

内部DHCP服务器

是

是

DHCPrelay

是

是

流量管理服务质量（QoS）

带宽保证

是——逐策略

是——逐策略

最大带宽

是——逐策略

是——逐策略

进入流量策略

是

是

基于优先级的带宽使用

是

是

差分服务

是——逐策略

是——逐策略

高可用性（HA）

主用/主用－透明和L3模式*

是

是

主用/备用－透明和L3模式

是

是

配置同步

是

是

防火墙和VPN的会话同步

是

是

VRRP

是

是

用于路由变化的会话故障切换

是

是

设备故障检测

是

是

链路故障检测

是

是

新HA成员认证

是

是

HA流量加密

是

是

系统管理

WebUI（HTTP和HTTPS）

是

是

命令行界面（控制台）

是

是

命令行界面（远程登陆）

是

是

命令行界面（SSH）

是，v1.5和v2.0兼容

是，v1.5和v2.0兼容

网络和安全管理器（NSM）

是

是

通过任何接口上的VPN隧道提供全部管理

是

是

瞻博网络公司SSG320M

瞻博网络公司SSG350M

管理

本地管理员数据库

20

20

外部管理员数据库支持

RADIUS，RSASecureID，LDAP

RADIUS，RSASecureID，LDAP

受限管理网络

50

50

根管理、管理和只读用户等级

是

是

软件更新

TFTP，WebUI，NSM，SCP，USB

TFTP，WebUI，NSM，SCP，USB

配置回退

是

是

记录/监控

系统日志（多台服务器）

是——最多4台服务器

是——最多4台服务器

电子邮件（两个地址）

是

是

NetIQWebTrend

是

是

SNMP（v2）

是

是

SNMP完全定制MIB

是

是

跟踪路径

是

是

VPN隧道监控器

是

是

外置闪存

扩展日志存储器

USB1.1

USB1.1

事件日志和告警

是

是

系统配置脚本

是

是

ScreenOS软件

是

是

尺寸与电源

尺寸（高×宽×深）

17.5×1.8×15.1英寸

（44.5×4.5×38.3厘米）

17.5×2.61×15.1英寸

（44.5×6.6×38.3厘米）

重量

15.0lbs（无PIM）

6.8Kg

25.0lbs（无PIM）

11.34Kg

可机架安装

是，1RU

是，1.5RU

电源（AC）100-240VAC

275W

300W

平均功耗

80W（无PIM）

80W（无PIM）

最大功耗

320W

350W

输入频率

47-63Hz

47-63Hz

最大电流消耗

100–240VAC,3.2A–1.3A

100–240VAC,3.5A–1.5A

最大涌入电流

100–240VAC,42A–62A

100–240VAC,13A–75A

平均散热

273BTU（无PIM）

273BTU（无PIM）

最大散热

1091BTU

1195BTU

电源（DC）*

N/A

-48～-60VDC,300W

噪音级

40.0dB

59.2dB

认证

安全认证

CSA，TUV，CB

CSA，TUV，CB

EMC认证

FCCclassA，CEclassA，C-Tick，VCCIclassA

FCCclassA，CEclassA，C-Tick，VCCIclassA

NEBS**

否

3级

MTBF（Bellcore模型）

7.2年

6.8年

安全认证

CommonCriteria：

EAL4

未来

未来

FIPS140-2：

2级

未来

未来

ICSA防火墙和VPN

是

是

*使用DC电源的SSG350M将于2007年第4季度上市；

**SSG350MNEBS兼容版本将于2007年第3季度上市。

运行环境

运行温度

32°～122°F

（0°～50°C）

32°～122°F

（0°～50°C）

非运行温度

-4°～158°F

（-20°～70°C）

-4°～158°F

（-20°～70°C）

湿度

10～90%非冷凝

10～90%非冷凝

（1）除非另有说明，否则所列出的性能、容量和特性都是基于运行ScreenOS6.1的系统，并且是理想测试条件下的最大值。

实际结果可能会因ScreenOS版本和部署情况而异。

如需获得SSG平台所支持的ScreenOS版本的完整列表，请访问瞻博网络客户支持中心（

（2）IMIS代表互联网组合，比单包尺寸更重要，因为它代表的流量组合更接近于客户网络的实际情况。

使用的IMIX流量包括58.33%的64字节包＋33.33%的570字节包＋8.33%的1518字节UDP流量包。

（3）UTM安全特性（IPS/深层检测、防病毒、防垃圾邮件和Web过滤）通过每年独立向瞻博网络公司购买的服务提供，该项服务包括签名更新和相关支持。

UTM安全特性需要高内存选项。

（4）重定向Web过滤将流量从防火墙发送至从服务器。

重定向特性是免费提供的，但它需要从Websense或SurfControl购买独立的Web过滤许可。

（5）采用50％的吞吐量值作为背景流量压力。

用于确保卓越性能的服务与支持

瞻博网络是为确保卓越性能而提供服务与支持的领导者，旨在始终如一地加速、扩展并优化高性能网络的价值体验。

这些服务能够帮助客户加速提供在线的可创收功能、加速部署全新业务模式、扩展市场覆盖范围并提高客户满意度，以便增强竞争力。

同时，通过优化网络以保持所需的性能、可靠性和可用性级别，瞻博网络能够确保卓越的运营状态。

如需了解具体信息，请访问：

订购信息

说明

部件编号

SSG320M，ScreenOS，基本内存（256MB），硬件安全性，AC电源

SSG-320M-SB

SSG320M，ScreenOS，高内存（1GB），硬件安全性，AC电源

SSG-320M-SH

SSG350M，ScreenOS，基本内存（256MB），硬件安全性，AC电源

SSG-350M-SB

SSG350M，ScreenOS，高内存（1GB），硬件安全性，AC电源

SSG-350M-SH

安全业务网关350系统，ScreenOS，基本内存（256MB），5个PIM插槽，硬件安全性，AC电源，TAA，19英寸机柜安装

SSG-350M-SB-TAA

安全业务网关350系统，ScreenOS，高内存（1GB），5个PIM插槽，硬件安全性，AC电源，TAA，19英寸机柜安装

SSG-350M-SH-TAA

安全业务网关350系统，ScreenOS，基本内存（256MB），5个PIM插槽，硬件安全性，DC电源，风扇过滤器，NEBS，TAA，19英寸机柜安装

SSG-350M-SB-DC-N-TAA

安全业务网关350系统，ScreenOS，高内存（1GB），5个PIM插槽，硬件安全性，DC电源，风扇过滤器，NEBS，TAA，19英寸机柜安装

SSG-350M-SH-DC-N-TAA

SSG300系列I/O选项

部件编号

2端口T1PIM，带集成式CSU/DSU

JX-2T1-RJ48-S

2端口E1PIM，带集成式CSU/DSU

JX-2E1-RJ48-S

2端口同步串行PIM

JX-2Serial-S

1端口ADSL2/2+AnnexAPIM

JX-1ADSL-A-S

1端口ADSL2/2+AnnexBPIM

JX-1ADSL-B-S

2端口2线或1端口4线G.SHDSLPIM

JX-2SHDSL-S

6端口SFP千兆以太网通用PIM2

JXU-6GE-SFP-S

8端口千兆以太网10/100/1000铜线通用PIM2

JXU-8GE-TX-S

16端口千兆以太网10/100/1000铜线通用PIM2

JXU-16GE-TX-S

小机架可插拔1000Base-LX千兆以太网光收发器模块

JX-SFP-1GE-LX

小机架可插拔1