NetScreen_网络安全领域领先的创新者.ppt

NetScreen Confidential NetScreen: 网络安全领域领先的创新者 Colin Chi Email:cchi@ Tel:010 分层次的安全途径 NetScreen产品 NetScreen简介 网络安全解决方案领先的创新者 IPSec VPN 拒绝服务保护 防火墙 入侵防范 功能强大的安全解决方案 站点对站点，远程访问VPN 外围安全 防火墙加固 基础设施防火墙 入侵防范 正在出现的应用程序，如无线局域网，IP上的语音 重要的企业事实 优良的财政业绩 高的、不断增长的收入 ~ 十亿美元的市场份额* 全球性的大公司 ~ 500 个雇员 总部位于美国加州桑尼维尔 在全球范围内有30多家办事处 被Gartner视为业内领导和构想家 领先的市场份额 主要回报和证明 NetScreen的成功模式 安全性 VPN, DoS, 防火墙和入侵防范 周边和核心安全 中心管理 性能 基于ASIC的硬件，植根于网络 按照执行的安全任务对软件进行了优化 业主的总体费用 可升级的解决方案 基于协议的安全管理 集成的设计和操作系统 容易实现的网络集成 NetScreen安全方案 NetScreen整合的技术平台 性能: 先进硬件设计 安全: ScreenOS操作系统 企业级安全: 安全区 企业级安全: 虚拟系统 何谓虚拟系统: 建立拥有自己的地址本、策略和管理的虚拟防火墙／VPN 如何工作: 通过IP地址、物理结构或VLAN标记将流量路由到虚拟系统（VSYS） VSYS可以支持多个用户或域而不共享策略 可以独立被管理 好处: 简化管理 通过分割网络提高安全性 通过减少额外的硬件需求来降低TCO 虚拟系统选项 企业级安全: 虚拟路由器 何谓虚拟路由器: 隐藏私有IP地址 允许多个用户使用相同的IP地址 如何工作: 每个虚拟路由器拥有个自的路由域和协议 分开的路由表单独保存私有和公有IP地址 OSPF/BGP4，RIPv2(5XT) 好处: 简化管理 将私有地址映射成公有地址 支持IP重叠方案 更低的 TCO NetScreen集成的网络特性 NetScreen支持OSPF, BGP 和 RIP NetScreen-5XT以上产品都支持 NetScreen-5XP不支持 每个产品支持协议的实例和路由数量因硬件平台不同而不同 主要用于互操作性而不是替换Internet 路由器 多个ISP 出口 加入到OSPF网状结构 NetScreen提供业界最高的端口密度 NS-5400提供多达78个物理端口 集成的VLAN支持 NS-5x00支持4,000 VLANs 网络高可用性HA 网络集成: 部署模式和动态路由 何谓动态路由部署: 易于安全部署而无需改变网络配置 自动学习网络配置 如何工作: 支持透明、静态和动态路由模式 全产品线支持动态路由 所有产品支持OSPF和／或 BGP NetScreen-5XT也支持RIPv2 好处: 简化网络集成 减小手工配置的负担 增加网络弹性 – 特别对VPNs 可靠性: VPN 路径监控 何谓VPN路径监控: 监控VPN路径，一旦发生故障来发现可选的路径 如何工作: 动态路由决定网络的可达性 VPN通道基于动态路由表而不是静态策略 路径监控判断故障 动态路由发现新的路径 好处 最小的由于VPN失效的生产力损失 高可用性需求 高可用性解决方案的目的就是在所有层面上提供最大的可靠性 提供系统级故障恢复机制 系统级HA – 一旦发生灾难性故障,系统自动切换到第二台设备 为了避免系统级故障切换,需要提供: 设备级HA – 设备尽可能的固化(没有拆装的部件),高质量(高MTBF值),有弹性的故障切换(冗余硬件) 链路级HA – 提供冗余的网络链路 网络级HA – 一旦网络设备出故障提供可选的网络路由(如交换机) 立即切换(sub-second) 系统级HA需要支持: 系统间基于状态的故障切换 维护会话表,加密密钥和安全联盟SA等 双主动Active-active – 正常工作中提供最大的带宽 可靠性: HA 高可用性 成本有效性: 集中化管理 何谓集中化管理: 集中管理这个平台 从相同的图形界面管理硬件、操作系统和应用 如何工作: WebUI – 嵌入式web服务器 HTTP 和 SSL 通过RS232的CLI界面, Telnet 和 SSH NetScreen-Global PRO SNMP – 标准MIB 和 私有扩展 Syslog – 标准流量报告和告警 第三方 – Websense, WebTrends, 其他 好处 快速部署的越多，错误发生的机会越少，支持费用越低 完整的防火墙功能性 具有成本效益的远地部署 即插即用安装 全IP业务NAT，DHCP，PPPo