SSG300安全业务网关.docx

1、SSG300安全业务网关产品简介瞻博网络公司安全服务网关SSG 300系列瞻博网络公司安全服务网关300（SSG 300）系列包含专用安全设备，能够为大型、地区性分支办事处、中型独立企业的网络部署提供了集高性能、高安全性、路由和局域网/广域网连接方式于一体的完美组合。通过状态防火墙、IPSec VPN、IPS、防病毒（包括防间谍软件、防广告软件、防网页仿冒）、防垃圾邮件以及网页过滤等一套完整的统一威胁管理(UTM)安全特性，可以对进出于地区性分支办事处和企业的流量进行保护，以避免蠕虫、间谍软件、特洛伊木马和恶意软件的侵袭。SSG 300 系列包含 SSG 350M 和 SSG 320M。产品系

2、列描述SSG 300 系列由高性能安全平台组成，能够保护企业不受内部和外部攻击，防止未授权访问并满足法规遵从性要求。SSG 350M 提供 500 Mbps 状态防火墙流量和225 Mbps IPSec VPN流量；SSG 320M 提供400 Mbps 状态防火墙流量和 175 Mbps IPSec VPN 流量。这些产品注重三大特性：安全性：久经考验的统一威胁管理（UTM）安全特性和最佳的业务合作伙伴服务相结合，可以同时保护网络免遭病毒、垃圾软件和其它新兴攻击的侵袭。为了符合内部安全要求并同时满足法规遵从性，SSG 300 系列提供了一组先进的网络保护特性，如安全区、虚拟路由器和虚拟局域网

3、等，允许管理员将网络分割为不同层次的安全区域以部署不同的安全策略，从而为各个区域提供不同级别的安全特性。针对每个安全区域的策略保护机制包括了各种接入控制规则，以及通过任何支持的 UTM 安全特性进行的检测。连接和路由：SSG 300 系列具有4个10/100/1000板载接口和若干个能够分别用于局域网或广域网接口的I/O扩展插槽，使SSG 300系列成为一个非常灵活的平台。I/O选项的灵活组合加上广域网协议和封装支持，使得 SSG 300 系列平台能够被轻松部署为传统分支机构的办公室路由器，或成为用于降低前期投资成本和后期维护成本的坚固安全和路由设备。接入控制加强：只需添加Infranet C

4、ontroller，SSG 300 系列平台便完全能够扮演瞻博网络公司统一接入控制（ Unified Access Contro）部署中的策略执行点。Infranet Controller能够作为一个中央策略控制引擎，配合SSG 300 系列以一种基于更细粒度标准的授权或拒绝接入的解决方案，包括端点状态和用户识别，来增强或取代基于防火墙的接入控制，从而解决了由攻击场景和用户特征的巨大变化带来的挑战。另外，瞻博网络公司的专业服务都将竭诚和您的团队合作，来确定目标，定义部署流程，创建或验证网络设计以及管理部署，直至其成功完成。无论是从单一实验室测试还是大型网络实施，瞻博网络公司的专业服务都将帮助您

5、确保成功。区域办公室A区 WWW 公司总部C区 互联网B区部署在分支办事处的 SSG 350 可用于安全的互联网连接和到公司总部的端对端VPN连接。分支办事处的内部资源可以通过在每个安全区域配置不同的安全策略来有效进行保护。特性和优势特性特性说明优势高性能由客户定制的硬件、强大的处理功能和具有特定安全性的操作系统装配的专用平台。提供了目前以及未来用于防范内部和外部攻击所必需的性能空间。最佳 UTM 安全特性UTM安全特性（防病毒、防垃圾邮件、 网页过滤、IPS）能够防范各种病毒和恶意软件的侵袭于未然。确保网络能够抵御任何形式的攻击。集成的防病毒功能由瞻博网络提供的需要年度许可的防病毒引擎，基于

6、卡巴斯基（Kaspersky）实验室的防病毒引擎。阻止病毒、间谍软件、广告软件和其它形式的恶意软件。集成的防垃圾邮件功能由瞻博网络提供的需要年度许可的防垃圾邮件引擎，采用了赛门铁克（Symantec ）公司的技术。能够阻止来自已知垃圾邮件散发者和网页冒仿者的恶意邮件。集成的网页过滤功能由瞻博网络提供的需要年度许可的网页过滤引擎，采用了 SurfControl 的技术。控制/ 阻止对于恶意网站的访问。集成的IPS（深层检测）需年度许可的IPS 引擎，采用了瞻博网络的深层检测防火墙特征包。通过阻止应用层攻击来防止网络泛洪。固定接口4 个固定10/100/1000 接口，2 个 USB 端口，1 个

7、控制台端口和1 个辅助端口是所有 SSG 300 系列型号上的标准配置。提供了高速的局域网连接、未来可扩展性和灵活的管理功能。网络分段桥接组、安全区域、虚拟局域网和虚拟路由器使得管理员能够配置安全策略来隔离访客、无线网络、区域服务器或数据库*。强大的功能可加速网络中各种内部、外部和DMZ 分支的安全性部署，从而防止非授权访问。接口模块化6个接口扩展槽能够支持可选的T1，E1，串行，ADSL/ADSL2/ADSL2+，G.SHDSL，10/100/1000 和 SFP 连接。在无与伦比的安全前提下，同时提供了局域网和广域网的连接，即降低了开销又保护了投资。强韧的路由引擎久经考验的路由引擎能够支持

8、 OSPF，BGP 和RIP v1/2 等协议，并具有帧中继、多链路帧中继、PPP、多链路PPP 和HDLC 功能。实现整合安全和路由设备的部署，从而降低运营和资本开销。瞻博网络公司统一接入控制策略执行点和集中策略控制引擎（Infranet Controller）一起，采用例如用户身份、设备安全状态和网络位置等指标，强化进程相关的接入控制策略。通过利用现有的客户网络架构组件和一流技术，以经济高效的方式提高安全性。管理灵活性采用下列三种机制之一：CLI、WebUI 或是Juniper 网络公司 NetScreen-Security Manger 来安全地部署、监视和管理安全策略。支持来自任意地址

9、的管理访问，减少了现场访问的次数，从而缩短了响应时间并减少了运营开销。自动连接 VPN在集中星型（Hub-and-spoke）拓扑结构中自动建立和取消轮辐站点（spoke）间的VPN 隧道。提供了针对网状架构的一种可扩展VPN解决方案，并能够支持延迟敏感型应用，比如VoIP 和视频会议。世界级专业服务从单一实验室测试到大型网络实施，瞻博网络公司的专业服务都将竭诚和您的团队合作，来确定目标、制定部署流程、创建或验证网络设计并管理部署项目。转变网络架构来确保其安全、灵活、可扩展和可靠。产品选项选项选项说明适用产品网络设备建立系统（NEBS）法规遵从提供遵从 NEBS的SSG 350M版本SSG 3

10、50MDRAM所有 SSG 300 系列型号都提供1 GB DRAM。SSG 320M 和 SSG 350M 还提供 256 MB DRAM。SSG 350MSSG 320MUTM/内容安全性（需要高内存选项）添加许可密钥之后，瞻博网络 SSG 300 系列可以配置以下最佳 UTM 和内容安全功能的组合：防病毒（包括防间谍软件、防网页仿冒）、IPS（深层检测防火墙）、网页过滤和防垃圾邮件。仅限于大容量内存的SSG 350M仅限于大容量内存的SSG 320MI/O 选项3个（SSG 320M）或5个（SSG 350M）扩展插槽，支持可选的T1、E1、串行、ADSL2+、G.SHDSL、10/10

11、0/1000和 SFP。SSG 350MSSG 320M*桥接组只在 ScreenOS 6.0 和更高版本上支持。规格瞻博网络公司SSG 320M瞻博网络公司SSG 350M最高性能和容量(1)本规格对应的 ScreenOS 版本支持ScreenOS 6.1ScreenOS 6.1防火墙性能（大数据包）1.2 Gbps 1.1Gbps 防火墙性能（IMIX）(2)400 Mbps500 Mbps每秒防火墙包（64字节）175,000 PPS225,000 PPSAES256+SHA-1 VPN吞吐量175 Mbps225 Mbps3DES+SHA-1 VPN 吞吐量175 Mbps225 Mb

12、ps最大并发会话数64,000128,000每秒新建会话数(有背景流量压力) (5)10,00012,500每秒新建会话数(无背景流量压力)20,00026,000最大安全策略数2,0002,000最多能够支持的用户数不限不限可转换至 JUNOS是是网络连接固定I/O410/100/1000410/100/1000物理接口模块（PIM）插槽35广域网接口选项（PIMS）串行、T1、E1、ADSL/ADSL2+，G.SHDSL串行、T1、E1、ADSL/ADSL2+，G.SHDSL局域网接口选项（uPIMS）810/100/1000，1610/100/1000和6SFP810/100/1000，

13、1610/100/1000和6SFP防火墙网络攻击检测是是DoS和DDoS防御是是用于数据包碎片保护的 TCP 重组是是强行攻击缓解是是SYN cookie 保护是是基于区域的IP 欺骗防护是是异常数据包保护是是统一威胁管理(3)IPS（深层检测防火墙）是是协议异常检测是是状态协议特征是是IPS/DI复合攻击是是防病毒是是特征数据库200,000+200,000+协议扫描POP3、HTTP、SMTP、IMAP、FTP、IMPOP3、HTTP、SMTP、IMAP、FTP、IM防间谍软件是是防广告软件是是防键盘记录软件是是即时消息AV是是防垃圾邮件是是集成的URL过滤功能是是外部URL过滤功能(4

14、)是是IP语音（VoIP）安全性H.323 应用层网关（ALG）是是SIP ALG是是MGCP ALG是是SCCP ALG是是针对 VoIP 协议的网络地址转换（ NAT）是是*某些特性和功能只在ScreenOS 6.0 以上版本中支持。瞻博网络公司SSG 320M瞻博网络公司SSG 350MIPSec VPN并发VPN隧道数500500隧道接口数100300DES加密（56bit），3DES加密（168bit）和AES（256bit）是是MD-5 和 SHA-1 认证是是手动密钥，IKE，IKEv2/EAP，PKI（X.509）是是完美前向保密性1,2,51,2,5防重放攻击是是远程接入VP

15、N是是IPSec 内的L2TP是是IPSec NAT穿越是是自动连接VPN 是是冗余VPN网关是是用户认证与接入控制内置（内部）数据库用户限制500500第三方用户验证RADIUS，RSA SecureID，LDAPRADIUS，RSA SecureID，LDAPRADIUS 审计是开始/停止是开始/停止XAUTH VPN 验证是是基于Web的验证是是802.1X 验证是是统一接入控制（UAC）策略执行点是是PKI 支持PKI 证书请求（PKCS 7 和PKCS 10）是是自动证书登记（SCEP）是是在线证书状态协议（OCSP）是是支持的证书颁发机构VeriSign、Entrust、Micro

16、soft、RSA Keon、iPlanet （Netscape）、Baltimore、 DoD PKIVeriSign、Entrust、Microsoft、RSA Keon、iPlanet （Netscape）、Baltimore、 DoD PKI自签证书是是虚拟化最高安全分区数4040最高虚拟路由器数58桥接组*是是最高VLANs数125125路由BGP 实例88BGP对等3648BGP 路由10,00010,000OSPF 实例33OSPF路由10,00010,000RIP v1/v2 实例128128RIP v2路由10,00010,000静态路由10,00010,000基于源的路由是是

17、基于策略的路由是是ECMP是是组播是是反向路径转发（RPF）是是IGMP（v1，v2）是是IGMP代理是是PIM SM是是PIM SSM是是IPSec隧道内组播是是*桥接组只在 ScreenOS 6.0及更高版本内的 uPIM 上支持。瞻博网络公司SSG 320M瞻博网络公司SSG 350M封装点对点协议（PPP）是是多链路点对点协议（MLPPP）是是MLPP 最多物理接口数66帧中继是是MLFR（FRF.15，FRF.16）是是MLFR最多物理接口数610HDLC是是IPv6双堆栈IPv4/IPv6防火墙和VPN是是IPv4与IPv6之间的转换和封装是是同步Cookie和同步代理DoS攻击检

18、测是是SIP, RTSP, Sun-RPC, MS-RPC ALG是是RIPng是是操作模式第二层（透明）模式是是第三层（路由和NAT）模式是是地址转换网络地址转换（NAT）是是端口地址转换（PAT）是是基于策略的NAT/PAT是是映射IP1,5001,500虚拟IP1616MIP/VIP 组是是IP地址分配静态是是DHCP，PPPoE 客户端是是内部DHCP服务器是是DHCP relay是是流量管理服务质量（QoS）带宽保证是逐策略是逐策略最大带宽是逐策略是逐策略进入流量策略是是基于优先级的带宽使用是是差分服务是逐策略是逐策略高可用性（HA）主用/主用透明和L3模式*是是主用/备用透明和L3

19、模式是是配置同步是是防火墙和VPN 的会话同步是是VRRP是是用于路由变化的会话故障切换是是设备故障检测是是链路故障检测是是新HA成员认证是是HA流量加密是是系统管理WebUI（HTTP和HTTPS）是是命令行界面（控制台）是是命令行界面（远程登陆）是是命令行界面（SSH）是，v1.5和v2.0兼容是，v1.5和v2.0兼容网络和安全管理器（NSM）是是通过任何接口上的VPN隧道提供全部管理是是瞻博网络公司SSG 320M瞻博网络公司SSG 350M管理本地管理员数据库2020外部管理员数据库支持RADIUS，RSA SecureID，LDAPRADIUS，RSA SecureID，LDAP受

20、限管理网络5050根管理、管理和只读用户等级是是软件更新TFTP，WebUI，NSM，SCP，USBTFTP，WebUI，NSM，SCP，USB配置回退是是记录/监控系统日志（多台服务器）是最多4台服务器是最多4台服务器电子邮件（两个地址）是是NetIQ WebTrend是是SNMP（v2）是是SNMP 完全定制 MIB是是跟踪路径是是VPN 隧道监控器是是外置闪存扩展日志存储器USB1.1USB1.1事件日志和告警是是系统配置脚本是是ScreenOS 软件是是尺寸与电源尺寸（高宽深）17.51.815.1英寸（44.54.538.3厘米）17.52.6115.1英寸（44.56.638.3厘

21、米）重量15 .0 lbs （无PIM）6.8 Kg25.0 lbs（无PIM）11.34 Kg可机架安装是，1RU是，1.5RU电源（AC）100-240VAC275W300W平均功耗80W（无PIM）80W（无PIM）最大功耗320W350W输入频率47-63Hz47-63Hz最大电流消耗100 240 VAC, 3.2 A 1.3 A100 240 VAC, 3.5 A 1.5 A最大涌入电流100 240 VAC, 42 A 62 A100 240 VAC, 13 A 75 A平均散热273BTU（无PIM）273BTU（无PIM）最大散热1091BTU1195BTU电源（DC）*N/

22、A-48 -60 VDC, 300W 噪音级40.0dB59.2dB认证安全认证CSA，TUV，CBCSA，TUV，CBEMC认证FCC class A，CE class A，C-Tick，VCCI class AFCC class A，CE class A，C-Tick，VCCI class ANEBS*否3级MTBF（Bellcore模型）7.2年6.8年安全认证Common Criteria：EAL4未来未来FIPS 140-2：2级未来未来ICSA 防火墙和 VPN 是是*使用DC电源的SSG 350M 将于2007年第4季度上市；*SSG 350M NEBS兼容版本将于2007年第3

23、季度上市。运行环境运行温度32122 F(0 50 C)32122 F(0 50 C)非运行温度-4 158 F(-20 70 C)-4 158 F(-20 70 C) 湿度1090% 非冷凝1090% 非冷凝(1) 除非另有说明，否则所列出的性能、容量和特性都是基于运行 ScreenOS 6.1 的系统，并且是理想测试条件下的最大值。实际结果可能会因 ScreenOS 版本和部署情况而异。如需获得SSG平台所支持的ScreenOS版本的完整列表，请访问瞻博网络客户支持中心（(2) IMIS 代表互联网组合，比单包尺寸更重要，因为它代表的流量组合更接近于客户网络的实际情况。使用的IMIX 流量

24、包括58.33%的64字节包33.33%的570字节包8.33%的1518字节UDP流量包。(3) UTM 安全特性（IPS/深层检测、防病毒、防垃圾邮件和Web过滤）通过每年独立向 瞻博网络公司购买的服务提供，该项服务包括签名更新和相关支持。UTM 安全特性需要高内存选项。(4) 重定向Web过滤将流量从防火墙发送至从服务器。重定向特性是免费提供的，但它需要从 Websense 或 SurfControl 购买独立的 Web过滤许可。(5) 采用50的吞吐量值作为背景流量压力。用于确保卓越性能的服务与支持瞻博网络是为确保卓越性能而提供服务与支持的领导者，旨在始终如一地加速、扩展并优化高性能网

25、络的价值体验。这些服务能够帮助客户加速提供在线的可创收功能、加速部署全新业务模式、扩展市场覆盖范围并提高客户满意度，以便增强竞争力。同时，通过优化网络以保持所需的性能、可靠性和可用性级别，瞻博网络能够确保卓越的运营状态。如需了解具体信息，请访问：订购信息说明部件编号SSG 320M，ScreenOS，基本内存（256 MB），硬件安全性，AC电源SSG-320M-SBSSG 320M，ScreenOS，高内存（1 GB），硬件安全性，AC电源SSG-320M-SHSSG 350M，ScreenOS，基本内存（256 MB），硬件安全性，AC电源SSG-350M-SBSSG 350M，Scree

26、nOS，高内存（1 GB），硬件安全性，AC电源SSG-350M-SH安全业务网关350系统，ScreenOS，基本内存（256 MB），5个PIM插槽，硬件安全性，AC电源，TAA，19英寸机柜安装SSG-350M-SB-TAA安全业务网关350系统，ScreenOS，高内存（1GB），5个PIM插槽，硬件安全性，AC电源，TAA，19英寸机柜安装SSG-350M-SH-TAA安全业务网关350系统，ScreenOS，基本内存（256 MB），5个PIM插槽，硬件安全性，DC电源，风扇过滤器，NEBS，TAA，19英寸机柜安装SSG-350M-SB-DC-N-TAA安全业务网关350系统，S

27、creenOS，高内存（1GB），5个PIM插槽，硬件安全性，DC电源，风扇过滤器，NEBS，TAA，19英寸机柜安装SSG-350M-SH-DC-N-TAASSG 300 系列I/O 选项部件编号2端口 T1 PIM，带集成式 CSU/DSUJX-2T1-RJ48-S2端口 E1 PIM，带集成式 CSU/DSUJX-2E1-RJ48-S2端口同步串行PIMJX-2Serial-S1端口ADSL 2/2+ Annex A PIMJX-1ADSL-A-S1端口ADSL 2/2+ Annex B PIMJX-1ADSL-B-S2端口2线或1端口4线 G.SHDSL PIMJX-2SHDSL-S6端口 SFP 千兆以太网通用 PIM2JXU-6GE-SFP-S8端口千兆以太网10/100/1000 铜线通用PIM2JXU-8GE-TX-S16端口千兆以太网10/100/1000 铜线通用PIM2JXU-16GE-TX-S小机架可插拔1000Base-LX 千兆以太网光收发器模块JX-SFP-1GE-LX小机架可插拔1