Dell SonicWALL 网络安全解决方案

DellSonicWALLDellSonicWALL网络安全解决方案2SonicWALLConfidential标题关于SonicWALLDellSonicWALL防火墙解决方案DellSonicWALLSSLVPN解决方案成功案例DellSonicWALLDellSonicWALL防火墙解决方案4SonicWALLConfidentialDellSonicWALL专注于网络安全解决方案15年1991年成立，总部现位于美国硅谷SanJose1997年生产第一台硬件防火墙1999年美国纳斯达克上市公司(NASDAQ:SNWL)2003年推出UTM（UTM:一体化的威胁管理设备,具有防火墙、VPN功能,此外还集网关防病毒、入侵防御、反间谍软件于一体),IDC统计,从2005年第二季度开始至今连续排名全球UTM市场销售数量第一位.2008年，UTM产品全面走向多核时代.2012年被Dell并购。5SonicWALLConfidentialWhySonicWALL－GartnerUTM2010MagicQuadrantforUTMFWs2012MagicQuadrantforUTMFWs6SonicWALLConfidentialGartner企业级防火墙魔力象限2010MagicQuadrantforEnterpriseFWs2011MagicQuadrantforEnterpriseFWs7SonicWALLConfidential2011年市场领导者的变化-企业级防火墙•只有SonicWALL和CheckPoint在执行和技术领先性两个方向都有提升•PaloAlto由于出色执行力，比起2010有大幅度提高•Cisco的位置下降，Juniper已经不再位于领导者象限•Astaro被Sophos收购并不再位于技术前瞻者象限8SonicWALLConfidentialGartnerSSLVPN魔力象限2010MagicQuadrantforSSLVPNs2011MagicQuadrantforSSLVPNs9SonicWALLConfidential防火墙硬件架构比较1.通用CPU架构：Intel架构或者PowerPC架构所有功能由CPU软件实现，灵活，可以实现任何功能，包括应用层的安全扫描，但是性能瓶颈不可避免2.ASIC架构（CPU+ASIC）ASIC专用芯片，防火墙速度快，但是适用于2、3、4层的处理，处理应用层的安全问题不现实，ASIC开发周期长，安全问题的发展快，ASIC更新是大问题，所以不适合UTM产品10SonicWALLConfidential防火墙硬件架构比较3.NP架构网络处理器：多核并行处理，2层，3层处理速度快，可编程，但是缺少应用层安全处理的硬件加速，如签名库匹配处理硬件，IntelIXP系列。4.多核专用安全处理器：比传统的NP增加了应用层安全处理加速引擎CaviumOcteon，专用64位MIPS架构，多核并行处理，TCP应用加速引擎，签名库匹配专用硬件（RegularExpressionProcessor），专用I/O处理器等。11SonicWALLConfidentialSoC设计硬件处理L3到L7网络应用64位MIPS核心处理器外加多个协处理器—包括应用层安全加速的专用协处理器包I/O处理器QoS和TCP加速支持IPSec,SSL等正则表达式处理器专用硬件实现病毒，入侵等签名库的匹配TCP加速引擎专用的压缩/解压缩处理器专用的安全处理器支持DES,3DES,AES(256bits),SHA-1,MD-5,RSA和DHCaviumOcteon64位专用安全处理器SonicWALL防火墙-采用最先进的硬件架构12SonicWALLConfidentialDellSonicWALL多核:无与伦比的性能多核处理器可以同时处理多个线程13SonicWALLConfidential深度检测：免重组深度包检测引擎•DPI检查全部流量•不受端口或协议的限制•对文件类型和大小没有限制•保护对所有用户的流量都有效•比任何其他的方案都能检测更大的流量和更多的用户传统防火墙只检测“行李标签”DellSonicWALL全面的保护意味着深度的检测14SonicWALLConfidential引擎分类----重组vs免重组1.基于重组技术引擎：等待扫描的数据包要在设备内存中的一个专用的缓冲区里进行重组，扫不同设备内存大小不同，扫描专用的Buffer大小不同，对扫描的单个文件的大小和同时扫描的文件数目都有限制一旦专用的缓冲区满了，后续的数据不能进行扫描，可以设置通过或丢弃。通过，造成安全威胁顺利通过，而丢弃会造成断网2.免重组深度包检测引擎：无需在设备内存中为待扫描的数据开辟专用的缓冲区进行文件重组，设备对通过的文件大小没有任何限制，设备可以并行扫描任意多个文件（等同防火墙最大连接数）不存在重组技术中缓冲区慢，造成后续数据不能扫描的漏扫问题实时扫描，用户在下载的过程中，感觉不到访问速度的变化。描和匹配后台签名库之后，决定数据是丢弃还是通过15SonicWALLConfidential应用识别和控制关键应用：优先分配带宽允许的应用：可管理的带宽禁止的应用：屏蔽用户/用户组策略多数应用混沌出现在端口80实现策略的可视化和管理控制识别分类基于云的、附加的防火墙智能被阻断的恶意软件免重组深度包检测???????当流量进入网络，防火墙首先识别不同的应用。恶意流量如恶意软件被阻断，应用按照防火墙的特定策略被分类。基于配置的策略，防火墙对不同的应用流量分配优先级并进行控制。16SonicWALLConfidential网络流量可视化Real-timeTrafficBreakdownUserTrafficConsumptionIdentifyP2PTrafficBandwidthBreakdownAppTrafficDrilldown17SonicWALLConfidential可视化报表分析18SonicWALLConfidential应用报表分析19SonicWALLConfidential应用分类监测20SonicWALLConfidential基于地区的会话监测21SonicWALLConfidential可疑流量监测报表22SonicWALLConfidential抓包分析系统23SonicWALLConfidential应用流分析24SonicWALLConfidential流量控制系统25SonicWALLConfidential多种终端全面支持公司资源电子邮件内部网站数据库应用文件共享自定义应用更多……智能手机和平板电脑信息亭/公共设备个人电脑IT配发的电脑26SonicWALLConfidential高性能：第三方评测•NSS实验室评估结果––经第三方验证的、综合防御能力最强的“推荐评级”下一代防火墙•Gartner公司“2012年度UTM魔力象限”–DellSonicWALL荣登“2012年度领导者象限”27SonicWALLConfidential全系列通过IPv6Ready金牌认证•IPv6Ready是国际权威认证，其金牌认证（GoldenLogo）是对网络类产品IPv6功能的最高等级认证•SonicWALL全系列产品通过IPv6Ready金牌认证全系列通过IPv6ReadyIPSecVPN附加认证2008年认证标准升级以来，第一家通过该认证的网络公司=28SonicWALLConfidentialDellSonicWALL防火墙产品功能介绍状态检测带宽管理VoIP防护UTM功能（网关防病毒，IPS）IpsecVPN功能多链路支持支持802.11nSSLVPN链路负载均衡支持3G上网卡Flow报表二层透明部署应用防火墙策略路由功能动态路由协议29SonicWALLConfidentialDellSonicWALL防火墙产品系列E10800E10400E10200E10100NSAE8500NSAE6500NSAE5500NSAE8510SuperMassive™E10000系列适合数据中心、互联网服务提供商E-ClassNSA系列适合大中型机构NSA系列适合分支机构和中等规模的机构TZ系列适合小型和远程分支机构NSA4500NSA3500NSA2400NSA250M/220TZ215系列TZ205系列TZ105系列30SonicWALLConfidentialDellSonicWALL防火墙产品系列核心密度TZ系列NSA系列E-Class系列SuperMassive系列所有DellSonicWALL防火墙都包含：屡获殊荣的免重组深度包检测安全引擎高性能DPI安全超低延迟DPI大小不限的数据流检测SonicOS安全操作系统多核硬件架构DellSonicWALLDellSonicWALLAventailSSLVPN解决方案32SonicWALLConfidentialEnterpriseSonicWALLSSL-VPN4200NSAE-ClassUTMSonicWALLSSL-VPN1200SMB访问简单管控精细客户需求SonicWALLSSLVPN:任何公司都能在SonicWALL找到合适他们的SSLVPN产品MidTier小企业的SSLVPN解决方案NSAUTMTZUTM•SSLVPN客户端访问•Windows,Macintosh,Linux&Iphone&Android中小企业级的远程拨入技术适用于公司规模在50到500人中大型企业级别的远程拨入技术适用于公司规模在250到20,000+人SonicWALLAventailSRAEX7000中大型企业的SSLVPN解决方案SonicWALLAventailSRAEX6000SonicWALLAventailSRAEX9000中小型企业的SSLVPN解决方案33SonicWALLConfidentialAventail产品线SonicWALLAventailSRAEX7000支持5,000个并发用户数SonicWALLAventailSRAEX6000支持250个并发用户数SonicWALLAventailSRAEX9000支持20,000个并发用户数34SonicWALLConfidentialSonicWALLAventailSSLVPN:从任何地方安全地访问内部资源和多种接入方式公共场所访问(如网吧)商业合作伙伴出差员工PDAUsers家庭个人PCWirelessLANsSSL浏览器(免插件)SSL客户端软件拨入SSL浏览器(插件-网页拨入)ThinClient/ServerApplicationsTraditionalClient/ServerApplicationsWeb-BasedApplicationsFileSharesAventail无客户端配置允许用户使用浏览器直接或通过AventailASAPWorkPlace安全地访问Web应用和文件共享AventailOnDemand是一种无客户端配置、安全的存取方式(它是一个即时下载的Java程序)，利用它可以访问client/serverapplications,suchasLotusNotes,MicrosoftOutlookandWindowsTerminalServicesAventailConnect让用户透明、安全地存取企业所有资源ApplianceFamily35SonicWALLConfidentialSSLVPN的远程安全应用访问控制BusinessPartnerfromanyBrowserCustomerorSupplierBehindaFirewallExtranetAccess基于SSL-VPN的应用安全网关CorporateDataCenterITResourcesDirectoriesWebAppsClient/ServerAppsFileSharesDatabases