集成安全网关ISG系列产品.docx

集成安全网关ISG系列产品.docx

《集成安全网关ISG系列产品.docx》由会员分享，可在线阅读，更多相关《集成安全网关ISG系列产品.docx（20页珍藏版）》请在冰豆网上搜索。

集成安全网关ISG系列产品

瞻博网络公司

集成安全网关（ISG）系列产品

瞻博网络公司集成安全网关（ISG）适用于保护企业网络、运营商和数据中心环境的安全，在这些环境中，IP语音（VoIP）和流媒体等高级应用需要可扩展的一致性能。

瞻博网络公司的ISG1000和ISG2000是专用的安全性解决方案，利用第四代安全ASIC（GigaScreen3）以及高速微处理器来提供无与伦比的防火墙和虚拟专网（VPN）性能。

ISG1000和ISG2000集成了最佳的防火墙，VPN和可选的入侵检测与防护（IDP）功能，能够为关键的高流量网段提供安全可靠的连接以及网络和应用级保护。

产品描述

瞻博网络公司的ISG1000和ISG2000是全面集成的防火墙/VPN系统，提供：

•数千兆位的性能

•模块化架构

•丰富的虚拟化功能

它们是面向大型企业、数据中心和电信运营商网络的理想解决方案。

基于ISG系列防火墙/VPN的系统提供入侵防护系统（IPS）、防垃圾邮件、Web过滤和互联网内容适配协议（ICAP）防病毒重定向支持等安全特性。

您可通过可选的集成IDP进一步扩展这个高级系统或将系统作为通用分组无线业务（GPRS）防火墙/VPN产品提供给移动网络电信运营商环境。

ISG系列防火墙/VPN采用模块化架构，允许部署大量的铜线和光纤接口选件。

虚拟系统、虚拟局域网和安全区等高级特性允许灵活地分割并隔离属于不同可信级别的流量。

ISG系列防火墙/VPN允许对多个不同的防火墙实施检测或路由策略，以简化网络设计。

这将允许用户对流量流实施安全策略，不会对网络本身产生很大的影响–即便在极为复杂的环境中也不例外。

ISG系列的架构提供卓越的灵活性和高效性，在单一解决方案的三个不同的部署配置——防火墙/VPN、防火墙/VPN/IDP和IDP中均提供最先进的性能和最佳功能。

ISG1000最多支持两个安全模块，ISG2000最多支持三个安全模块。

每个安全模块都有自己的专用处理资源和内存并提供旨在加速处理IDP数据包的技术，从而可减少所需的单独的安全产品和管理应用的数量，简化部署流程并降低网络复杂性，继而降低成本。

配备IDP的ISG系列防火墙/VPN使用安装在所有瞻博网络公司IDP平台上的获奖软件，该软件现已被全面集成到了瞻博网络公司ScreenOS中。

ScreenOS是经过加固的专用操作系统，可部署在联防模式或TAP模式中，用于同时保护外围部署和内部网络。

IDP安全模块支持多方法检测，共含八种不同的检测机制——包括状态签名和协议异常检测，可帮助企业抵御蠕虫、特洛伊木马、恶意软件、间谍软件和黑客等安全威胁。

ISG1000和ISG2000可部署在多个不同的配置中来同时保护外围和内部网络资源。

如果部署在移动运营商网络中，ISG1000和ISG2000GPRS解决方案能够感知GPRS隧道穿过协议（GTP）并在虚拟系统中全面支持GTP功能。

ISG系列防火墙/VPN可部署在两个公共陆地移动网络（PLMN）之间的Gp接口连接上、SGSN与GGSN支持节点之间的Gn接口连接上以及GGSN与互联网之间的Gi接口连接上。

除抵御精心策划的威胁、拒绝服务（DoS）攻击和恶意用户外，ISG系列GPRS防火墙/VPN还能限制消息，遏制消耗上行链路/下行链路流量的带宽密集型应用并转移3GPPR6IE，以便用户在2G与3G网络之间漫游时维持互操作性。

特性和优势

特性

特性描述

优势

专用平台

专用的、安全性特定的处理硬件和软件平台。

提供所需的性能来保护高速局域网环境。

可预测的性能

基于　ASIC的架构以数千兆位的速度为各种规格的数据包提供线性性能。

确保VoIP和流媒体等敏感应用的低延迟。

系统和网络永续性

硬件组件冗余，多个高可用性选项和基于路由的VPN。

提供高速网络部署所需的可靠性

最佳的网络安全特性

内嵌的Web过滤、防垃圾邮件、IPS、ICAP防病毒重定向和可选的集成IDP。

赛门铁克（Symantec）和SurfControl等世界知名的安全合作伙伴提供更多的安全特性。

接口灵活性

模块化架构允许通过广泛的铜线和光纤接口选项部署系统。

简化网络集成工作并降低将来的网络升级成本。

网络分区

安全区、虚拟局域网和虚拟路由器支持管理员部署安全策略，以便隔离访客、地区服务器或数据库。

强大的功能可促进为网络中不同的内外部和DMZ子组部署安全性，以防非法访问。

集中管理

通过NSM集中管理瞻博网络公司防火墙和IDP产品。

跨越多个平台实现紧密集成，以实现简单直观的网络级安全管理。

强韧的路由引擎

公认的路由引擎支持OSPF、BGP和RIPv1/2以及帧中继、多链路帧中继、PPP、多链路PPP和HDLC。

允许部署整合后的安全和路由设备，从而降低运行和购置成本。

全面的威胁防护

专用处理模块允许通过单一解决方案提供最佳的数千兆防火墙/VPN/IDP性能。

无与伦比的性能，保护网络免遭高速网络中所有类型的攻击。

世界一流的专业服务

从单一实验室测试到大型网络实施，瞻博网络公司的专业服务都将竭诚和您的团队合作,来确定目标、定义部署流程、创建或验证网络设计并管理部署项目。

转变网络基础设施，确保基础设施的安全性、灵活性、可扩展性和可靠性。

产品选项

选项

选项说明

适用的产品

集成防垃圾邮件

需要年度许可的防垃圾邮件引擎,采用了赛门铁克（Symantec）公司的技术,能够阻止已知垃圾邮件发送者和网页仿冒者的恶意邮件。

ISG1000&ISG2000

集成的IPS（深层检测）

联合使用状态签名和协议异常检测机制，防止应用级攻击在网络中泛滥。

IPS引擎需要年度许可。

ISG1000&ISG2000

集成的Web过滤

需要年度许可的Web过滤解决方案，基于SurfControl业界领先技术，用来阻止对恶意网站的访问。

ISG1000&ISG2000

ICAP防病毒重定向

ICAP防病毒内容重定向工具允许在网络外围实施第三方的大型企业防病毒解决方案。

ISG1000&ISG2000

可选的集成IDP

专用的IDP安全模块支持高速数据包检测。

添加全面的IDP功能时无需更改网络，从而帮助防护L4-7攻击，包括零日、蠕虫、特洛伊木马和间谍软件等。

需要其他硬件和系统升级。

ISG1000&ISG2000

面向移动网络的GPRS防火墙/VPN

支持GPRS网络提供状态防火墙和过滤功能，可牵制各类Gp、Gn和Gi接口攻击，保护移动运营商网络中的关键节点。

需要其他许可。

ISG1000&ISG2000

规格　　　　　　　　　　　

瞻博网络公司ISG1000

瞻博网络公司ISG2000

最大性能和容量

（1）

本规格对应的ScreenOS版本

ScreenOS6.1

ScreenOS6.1

防火墙性能（大数据包）

2Gbps

4Gbps

防火墙性能（小数据包）

1Gbps

2Gbps

防火墙数据包转发性能/pps（64字节数据包）

1.5MPPS

3MPPS

AES256+SHA-1VPN性能

1Gbps

2Gbps

3DES+SHA-1VPN性能

1Gbps

2Gbps

最多并发会话数（3）

500,000

1,000,000

每秒新建会话数（有背景流压力）（7）

20,000

23,000

最多安全策略数

10,000

30,000

最多支持的用户数

不限

不限

网络连接

固定I/O

4个10/100/1000端口

0

接口扩展插槽

2

4

局域网接口选项

最多8个mini-GBIC（SX,LX或TX），最多8个10/100/1000接口，最多20个10/100接口，最多2个10GE

最多16个mini-GBIC（SX,LX或TX），最多8个10/100/1000接口，最多28个10/100接口,最多4个10GE

防火墙

网络攻击检测

是

是

拒绝服务（DoS）和分布式拒绝服务（DDoS）防护

是

是

用于分段数据包保护的TCP重组

是

是

强行攻击缓解

是

是

SYNcookie防护

是

是

基于区域的IP欺骗防护

是

是

异常数据包保护

是

是

集成IPS（可选的集成IDP）

（2）（10）

状态协议签名

是

是

攻击检测机制

状态签名、流量异常检测、协议异常检测（零日防护），后门检测

状态签名、流量异常检测、协议异常检测（零日防护），后门检测

攻击响应机制

丢弃连接、结束连接、会话数据包日志、会话总结、电子邮件、定制

丢弃连接、结束连接、会话数据包日志、会话总结、电子邮件、

定制

攻击通知机制

会话数据包日志、会话总结、电子邮件、SNMP、系统日志、Webtrends

会话数据包日志、会话总结、

电子邮件、SNMP、系统日志、

Webtrends

蠕虫防护

是

是

通过建议的策略实现简单的安装

是

是

特洛伊木马防护

是

是

间谍软件/广告软件/键盘记录软件防护

是

是

其他恶意软件防护

是

是

防止攻击从受感染系统扩散

是

是

侦察防护

是

是

请求和响应端攻击防护

是

是

复合攻击——将状态特征和协议异常相结合

是

是

创建定制攻击特征

是

是

定制访问上下文

500+

500+

攻击编辑（端口范围等）

是

是

流签名

是

是

协议门限值

是

是

状态协议签名

是

是

所能防护的攻击的大概数量

5,500+*

5,500+*

详细的威胁描述和补救措施/补丁信息

是

是

企业安全事件探查器

是

是

创建并执行适当的应用使用策略

是

是

攻击者与攻击目标审计跟踪和报告

是

是

部署模式

串联或串联TAP

串联或串联TAP

更新频率

每日更新和紧急更新

每日更新和紧急更新

*截至到2008年1月，共有5,50个签名，每周约增加10个新签名。

统一威胁管理/内容安全性（5）

深层检测签名包（4）

是

是

IPS（深层检测防火墙）（4）

是

是

协议异常检测

是

是

状态协议签名

是

是

IPS/深层检测攻击模式迷惑

是

是

ICAP防病毒重定向

是

是

防垃圾邮件

是

是

集成URL过滤

是

是

外部URL过滤（6）

是

是

IP语音（VoIP）安全性

H.323ALG

是

是

SIPALG

是

是

MGCPALG

是

是

SCCPALG

是

是

面向VoIP协议的网络地址转换

是

是

GPRS安全性（10）

GTP隧道（7）

200,000

300,000

GTP数据包检测（IPS或IDP）

是

是

IPSecVPN

并发VPN隧道数（8）

2,000

10,000

隧道接口（8）

最多512个

最多1,024个

DES（56位）,3DES（168位）和AES（256位）

是

是

MD-5和SHA-1验证

是

是

手动密钥,IKE,PKI（X.509），IKEv2/EAP

是

是

完美转发密钥（DH组）

1,2,5

1,2,5

防重放攻击

是

是

远程接入VPN

是

是

IPSec中的L2TP

是

是

IPSecNAT穿越

是

是

冗余的VPN网关

是

是

用户验证和接入控制

内置的（内部）数据库-用户数量限制（8）

50,000

50,000

第三方用户验证

远程验证拨入用户服务（RADIUS）,RSASecurID和LDAP

RADIUS,RSASecureID,LDAP

RADIUS记账

是–开始/结束

是–开始/结束

XAUTHVPN验证

是

是

基于Web的验证

是

是

802.1X验证

是

是

统一接入控制执行点

是

是

PKI支持

PKI证书请求（PKCS7和PICS10）

是

是

自动证书登记（SCEP）

是

是

在线证书状态协议（OCSP）

是

是

支持的证书颁发机构

VeriSign,Entrust,Microsoft,RSAKeon,iPlanet（Netscape）Baltimore,DoDPKI

VeriSign,Entrust,Microsoft,RSAKeon,iPlanet（Netscape）Baltimore,DoDPKI

自签名证书

是

是

虚拟化（10）

最多虚拟系统数

默认为0，可升级到50

默认为0,可升级到250

最多安全区域数

默认为20,可升级到120

默认为26,可升级到526

最多虚拟路由器数

默认为3,可升级到53

默认为3,可升级到253

最多支持的VLAN数

4,094

4,094

路由

BGP实例

8

64

BGP对

128

128

BGP路由

10,000

20,000

OSPF实例

8

8

OSPF路由

4,096

6,000

RIPv1/v2实例

最多支持12个实例

最多支持50个实例

RIPv2表

10,000

20,000

动态路由

是

是

静态路由

10,000

20,000

基于源的路由

是

是

基于策略的路由

是

是

ECMP

是

是

组播

是

是

反向路径转发（RPF）

IGMP（v1,v2）

IGMP代理

PIMSM

PIMSSM

是

是

是

是

是

是

是

是

是

是

IPSec隧道内的组播

是

是

IPv6

双堆栈IPv4/IPv6防火墙和VPN

是

是

同步Cookie和同步代理DoS攻击检测

是

是

SIP，RTSP，Sun-RPC和MS-RPCALG

是

是

IPv4与IPv6的转换和封装

是

是

虚拟化（VSYS,安全区,VR,VLAN）

是

是

RIPng

是

是

运行模式

L2模式（透明模式）

是

是

L3模式（路由和NAT模式）

是

是

地址转换

网络地址转换（NAT）

是

是

端口地址转换（PAT）

是

是

基于策略的NAT/PAT

是

是

映射的IP

4，096

8,192

虚拟IP（VIP）（9）

8

8

MIP/VIP分组

是

是

IP地址分配

静态

是

是

DHCP,PPPoE客户端

是,否

否,否

内部DHCP服务器

是

否

DHCPrelay

是

是

流量管理的服务质量（QoS）

最大带宽

是–仅逐物理接口

是–仅逐物理接口

巨型帧

是（11）

是（11）

DiffServ标记

是–逐策略

是–逐策略

高可用性（HA）

主用/主用－透明和L3模式

是

是

主用/备用

是

是

配置同步

是

是

用于防火墙和VPN的会话同步

是

是

用于路由变化的会话故障切换

是

是

设备故障检测

是

是

链路故障检测

是

是

新HA成员验证

是

是

HA流量加密

是

是

系统管理

WebUI（HTTP和HTTPS）

是

是

命令行接口（控制台）

是

是

命令行接口（远程登录）

是

是

命令行接口（SSH）

是

是

NetScreen-SecurityManager

是

是

通过任何接口上的VPN隧道提供全部管理

是

是

快速部署

是

是

管理

本地管理员数据库大小

256

256

外部管理员数据库支持

RADIUS,LDAP

RADIUS,LDAP

受限制的管理网络

是

是

根管理员、管理员和只读用户级别

是

是

软件升级

是

是

配置回退

是

是

日志记录/监控

系统日志（多个服务器）

是

是

电子邮件（2个地址）

是

是

NetIQWebTrends

是

是

SNMP（v2）

是

是

SNMP全配置/定制的MIB

是

是

路由跟踪

是

是

VPN隧道监视器

是

是

外部闪存

其他的日志存储容量

支持128或512MB的工业级SanDisk

支持128或512MB的工业级SanDisk

事件日志和告警

是

是

系统配置脚本

是

是

ScreenOS软件

是

是

尺寸和电源

尺寸（W×H×D）

17.5X5.25×17.3英寸

17.5X5.25×23英寸

（44.5×13.3X43.9厘米）

（44.5×13.3×58.4厘米）

重量

30磅/14千克

50磅/23千克

机架安装

是，3U

是，3U

电源（交流）

一个，可现场替换

两个，冗余

电源（直流）

一个，可现场替换

两个，冗余

最大热输出

444BTU/小时（W）

537BTU/小时（W）

认证

安全认证

UL,CUL,CSA,CB

UL,CUL,CSA,CB

EMC认证

FCCclassA,CEclassA,C-Tick,VCCIclassA

FCCclassA,CEclassA,C-Tick,VCCIclassA

NEBS

是

是

MTBF（Bellcore模式）

7.6年

7.6年

安全性认证

CommonCriteria：

EAL4和EAL4+

是

是

FIPS140-2：

2级

是

是

ICSA防火墙和VPN

是

是

运行环境

运行温度

32°至122°F，0°至50°C

32°至122°F,0°至50°C

非运行温度

-4°至158°F,-20°至70°C

-4°至158°F,-20°至70°C

湿度

10至90%，非冷凝

10至90%，非冷凝

（1）除特别声明以外，本文提供的性能、容量和特性基于运行ScreenOS6.1的系统并且是理想测试条件下的最大值。

实际结果会因ScreenOS版本和实际部署情况而异。

如需获取面向ISG1000和ISG2000平台的所支持的ScreenOS版本列表，请访问瞻博网络客户支持中心（

（2）需要额外的IDP许可和硬件升级。

（3）本文提供的并发会话数是根据目前所提供ISG硬件而得出的最大值。

原来的ISG产品可能需要可选的内存升级才能实现最大的并发会话数量。

在不采用可选的内存升级的情况下，ISG1000的最大防火墙/VPN并发会话数为250,000，ISG2000的为500,000。

已安装了可选IDP升级包的原有ISG产品可实现最大的并发会话数量，无需内存升级。

（4）当您安装了可选的集成IDP时，IPS（深层检测防火墙）将自动关闭。

（5）安全特性（IPS/深层检测、防垃圾邮件和Web过滤）需逐年地从瞻博网络公司单独订购。

年订购中含签名更新及相关支持。

（6）重定向Web过滤功能向备用服务器发送流量，因此，您必须从Websense或SurfControl购买单独的Web过滤许可。

（7）采用50％的吞吐量作为背景流量压力。

（8）在所有虚拟系统间共享。

（9）不能通过虚拟系统提供。

（10）需要额外的许可。

（11）需要4端口MiniGBIC模块-NS-ISG-SX4、NS-ISG-LX4或NS-ISG-TX4。

许可选项

ISG1000和ISG2000具有两种许可选项，分别提供两种不同级别的功能和能力：

•高级模式：

高级软件许可能提供本规格表内列出的所有特性和能力。

•基本模式：

基本软件许可能提供针对客户环境的入门级解决方案，其中包括DeepInspection™、OSPF、BGP动态路由、先进的高可用性等特性，全部功能并非必需要求。

下表显示了基本模式和高级模式之间的特性和能力差异：

基本模式

高级模式

ISG1000

ISP2000

ISG1000

ISG2000

会话

125,000

256,000

500,000

1,000,000

当前VPN隧道

1,000

1,000

2,000

10,000

深层检测防火墙

无

无

有

有

VLAN

50

100

4,094

4,094

OSPF/BGP

无

无

有

有

高可用性（HA）

A/P

A/P

A/A

A/A

集成IDP

无

无

可选升级

可选升级

GTP监控

无

无

可选升级

可选升级

订购信息

ISG1000系统

部件编号

NS-ISG-1000系统（含交流电源，不含I/O卡）

NS-ISG-1000

NS-ISG-1000系统（含直流电源，不含I/O卡）

NS-ISG-1000-DC

NS-ISG-1000基本系统（含交流电源，不含I/O卡）

NS-ISG-1000B

NS-ISG-1000基本系统（含直流电源，不含I/O卡）

NS-ISG-1000B-DC

ISG2000系统

部件编号

NS-ISG-2000系统（含交流电源，不含I/O卡）

NS-ISG-2000

NS-ISG-2000系统（含直流电源，不含I/O卡）

NS-ISG-2000-DC

NS-ISG-2000基本系统（含交流电源，不含I/O卡）

NS-ISG-2000B

NS-ISG-2000基本系统（含直流电源，不含I/O卡）

NS-ISG-2000B-DC

集成IDP升级

部件编号

面向ISG1000和ISG2000系统上IDP的安全模块

NS-ISG-SEC

面向ISG1000系统的IDP升级套件，含IDP许可密钥、额外的内存和5设备NSM

NS-ISG-1000-IKT

面向ISG2000系统的IDP升级套件，含IDP许可密钥、额外的内存和5设备NSM

NS-ISG-2000-IKT

ISG1000和ISG2000I/O模块

部件编号

I/O模块-单端口万兆以