SonicWALL__UTM解决方案.ppt

基于多核的UTM硬件平台 + 专利技术的RF-DPI引擎 构建真正可用的7层安全体系,Vincent Cai SonicWALL 技术经理,2,SonicWALL 公司简介,1991年成立， 公司总部设於美国加州硅谷 1997年生产第一台硬件防火墙 1999年在美国上市 (NASDAQ: SNWL) 设计,开发和生产全面的网络安全设备和解决方案 企业安全方案的领导厂商，SonicWALL 2003年推出UTM， IDC统计,SonicWALL从2005年第二季度开始至今连续排名全球UTM市场销售数量第一位.(UTM:一体化的威胁管理设备,具有防火墙/VPN功能,此外还集网关防病毒,入侵防御,反间谍软件于一体) 2007年3月在上海复旦科技园设立中国研发中心，目前90名工程师，同时在印度Banglore建立研发中心，加上硅谷总部共三个研发中心 2007年6月12日收购Aventail-企业级SSL VPN远程接入解决方案 Aventail于1997年销售第一台SSL VPN网关设备，有12年的SSL VPN的经验，支持众多的终端平台和终端安全检测 2008年，SonicWALL UTM产品全面走向多核时代,2020/1/29,3,SonicWALL 全球布局-超过40个国家有办事处，产品销售覆盖80多个国家,Sunnyvale Salt Lake City,Norway United Kingdom Germany France Spain Italy,Canada,Japan Korea China Hong Kong Singapore Australia,Brazil,Mexico,中国办事处： 北京，上海，广州 中国研发中心：上海复旦科技园 美国研发中心： San Jose 圣何塞（硅谷） 印度研发中心： Banglore 班加罗尔,成功案例：包括UTM和SSL VPN用户,江南证券IPSec VPN网络 万联证券IPSec VPN网络 中国海洋石油IPSec VPN网络 南方电网IPSec VPN网络 中国石油物资装备公司IPSec VPN网络 蒙牛集团全国财务IPSec VPN网络 北京中原地产业务IPSec VPN网络 德国TUV公司IPSec VPN网络 海克斯康HEXAGON AB 集团 国家会计学院 东北财经大学 中国政法大学 烟台南山集团及南山学院 山东工艺美术学院 登喜路中国有限公司,德国奔驰汽车北京生产基地 丰田汽车 中国民生银行 河南移动 上海电力设计院 郑州电力设计院 内蒙电力设计院 贵州省工商局 东莞市卫生局 深圳创维电子 上海市公证处 上海市气象局 上海上好佳食品有限公司 上海新世界百货有限公司 马鞍山钢铁集团 中兴通讯,SonicOS Enhanced 5-port 10/100 LAN switch 高性能的RF-DPI引擎-杀毒,IPS,间谍软件扫描等等 最多5用户的SSL VPN 支持 802.11 b/g/n 快速,安全的无线网络(可选) 端口隔离技术 Anti-Spam Service,Critical 3G and Analog Modem Failover/Failback through integrated USB 高性能的UTM 动态路由支持 最多10 SSL VPN 用户支持 A/P Hardware Failover 更多的并发连接 Junk Box Support on Comprehensive Anti-Spam,多两个2 千兆端口! 应用层防火墙 Full 802.11n 3x2 MIMO Wireless 自带2个 SSL-VPN 的授权 双 USB 端口 为 3G 或 Analog Modem Failover/Failback预留接口 高性能 The更多的并发连接 Junk Box Support on Comprehensive Anti-Spam,TZ 100所有功能,TZ 200 所有功能,802.11n,802.11n,外加,外加,TZ 100,TZ 200,TZ 210,802.11n,Home and Small Office,Small or Remote Office, Retail,Remote or Branch Office, Retail,3G,3G,SonicWALL 新的 TZ系列,SonicWALL CONFIDENTIAL All Rights Reserved,NSA 4500,NSA 5000,NSA E5500,NSA E6500,NSA E7500,NSA 240,NSA 2400,NSA 3500,NSA 系列UTM产品,UTM替代传统的防火墙 处理整个数据包而不仅仅是包头部分 对设备的硬件设计要求高 对流量很大的环境, UTM是否会成为性能瓶颈?,安全 可用,防火墙硬件架构,1.通用CPU架构：Intel架构或者PowerPC架构 所有功能由CPU软件实现，灵活，可以实现任何功能，包括应用层的安全扫描，但是性能瓶颈不可避免 2.ASIC架构 （CPU + ASIC） ASIC专用芯片，防火墙速度快，但是适用于2、3、4层的处理，处理应用层的安全问题不现实，ASIC开发周期长，安全问题的发展快，ASIC更新是大问题，所以不适合UTM产品 3.NP架构 网络处理器：多核并行处理，2层，3层处理速度快，可编程，但是缺少应用层安全处理的硬件加速，如签名库匹配处理硬件，Intel IXP系列 4.多核专用安全处理器：比传统的NP增加了应用层安全处理加速引擎 Cavium Octeon，专用64位MIPS架构，多核并行处理，TCP应用加速引擎，签名库匹配专用硬件（Regular Expression Processor），专用I/O处理器等,SonicWALL 解决方案,SonicWALL 多核硬件平台 + RF-DPI （免重组深度包检测引擎） 美国专利： U.S. Patent 7310815,突破性能瓶颈，SonicWALL网络安全率先进入多核时代,www.cavium.com,16核Cavium Octeon处理器,System-on-Chip (SoC) Design SoC设计 L3 到 L7 网络应用 集成协处理器-应用加速 Packet I/O Processors 包I/O处理器 QoS and TCP acceleration Support IPSec, SSL, SRTP Up to 10 Gbps TCP, IPSec, SSL processing Regular Expression Processor 正则表达式处理器 加速签名匹配 Gateway Anti-Virus, Anti-Spyware and Intrusion Prevention Service ，up to 4Gbps performance TCP acceleration Engine TCP加速引擎 Deliver up to 10Gbps full TCP termination Compression/Decompression Processor 压缩/解压缩处理器 Up to 4 Gbps GZIP, PKZIP performance Security Processor 安全处理器 Cryptography support for DES, 3DES, AES (up to 256 bits), SHA-1, MD-5, RSA and DH,深度包检测（杀毒、IPS ）引擎分类-重组 vs 免重组,基于重组技术引擎： 等待扫描的数据包要在设备内存中的一个专用的缓冲区里进行重组，扫描和匹配后台签名库之后，决定数据是丢弃还是通过 不同设备内存大小不同，扫描专用的Buffer大小不同，对扫描的单个文件的大小和同时扫描的文件数目都有限制 一旦专用的缓冲区满了，后续的数据不能进行扫描，可以设置通过或丢弃。通过，造成安全威胁顺利通过，而丢弃会造成断网 2. 免重组深度包检测引擎： 无需在设备内存中为待扫描的数据开辟专用的缓冲区进行文件重组，设备对通过的文件大小没有任何限制， 设备可以并行扫描任意多个文件（等同防火墙最大连接数） 不存在重组技术中缓冲区慢，造成后续数据不能扫描的漏扫问题 实时扫描，用户在下载的过程中，感觉不到访问速度的变化。,2007年12月获得美国专利技术- U.S. Patent 7310815 RF-DPI，没有文件大小和文件数目限制,检测进行中,保护对所有用户的流量都有效,# of Users,Traffic,max,min,max,min,Network Use,Inspection possible,Not inspected,比任何其他的方案都能检测更大的流量和更多的用户,Firewall Traffic Path,Stateful Packet Inspection,Signature Database,ATTACK-RESPONSES 14BACKDOOR 58BAD-TRAFFIC 15DDOS 33DNS 19DOS 18EXPLOIT 35FINGER 13FTP 50ICMP 115Instant Messenger 25IMAP 16INFO 7Miscellaneous44MS-SQL 24MS-SQL/SMB 19MULTIMEDIA 6MYSQL 2NETBIOS 25NNTP 2ORACLE 25P2P 51POLICY 21POP2 4POP3 18RPC 124RSERVICES 13SCAN 25SMTP 23SNMP 17TELNET 14TFTP 9VIRUS 3WEB-ATTACKS 47WEB-CGI 312WEB-CLIENT,Anti-Virus,Content Filtering Service,Deep Packet Inspection,AV Database IPS Database Spy Database,Content Filtering Database,Gateway Anti-Virus Anti-Spyware,Content Inspection,安全防护必须及时更新,UTM 平台不断地升级签名保护新出现的安全威胁 24x7,安全投资长期受益 不断阻断新出现的威胁 完全自动升级 无需用户干预,Customer: Branch Office Key Upsell: 4-Core design provides a 60% increase in threat prevention performance Gigabit level firewall performance Increase in Application Firewall policies,NSA 3500 SKU: 01-SSC-7016 4-Core CPU 512Mb RAM 6GbE,Customer: Branch Office Key Upsell: 8-Core design provides a 150% increase in threat prevention performance Includes Stateful High Availability for increased network reliability Increase in VPN performance,NSA 4500 SKU: 01-SSC-7012 8-Core CPU 512Mb RAM 6GbE,Customer: Small Organizations Key Upsell: Provides scalable deployment options for mid-size networks 6 10/100/1000 interfaces for WAN/WAN failover, LAN and DMZ,Customer: Large Enterprise Key Upsell: 8 10/100/1000 interfaces for high speed connectivity to WAN, LAN and DMZ networks Dedicated interface for Stateful High Availability LCD information center Dedicated 3rd level 24x7 support,Customer: Large Enterprise Key Upsell: 16-Core design provides 75% increase in threat prevention performance Dedicated interface for Stateful High Availability LCD information center Dedicated 3rd level 24x7 support,Customer: Large Enterprise Key Upsell: Top of the line NSA appliance providing Gigabit level threat prevention 4GbE + 4SFP interfaces provide fiber and copper interface options Hot swappable power supplies/fans Dedicated 3rd level 24x7 support,Customer: Branch Office Key Upsell: Increased memory allowing additional VPN aggregation Includes Stateful High Availability for increased network reliability 100% Increase in Application Firewall policies,NSA E5500 SKU: 01-SSC-7008 E-Class Support 24x7 SKU: 01-SSC-7260 8-Core CPU 1Gb RAM 8GbE Interfaces,NSA E6500 SKU: 01-SSC-7004 E-Class Support 24x7 SKU: 01-SSC-7257 16-Core CPU 1Gb RAM 8GbE Interfaces,NSA E7500 SKU: 01-SSC-7000 E-Class Support 24x7 SKU: 01-SSC-7254 16-Core CPU 2Gb RAM 4GbE + 4SFP,NSA 5000 SKU: 01-SSC-7042 8-Core CPU 1Gb RAM 6GbE Interfaces,SonicWALL NSA 多核UTM产品系列,NSA 2400 SKU: 01-SSC-7020 2-Core CPU 256Mb RAM 6GbE Interfaces,Customer: Small Organizations Key Upsell: Provides scalable deployment options for mid-size networks 3 GbE, 6 FE, WWAN (3G/Modem) PortShield,NSA 240 SKU: 01-SSC-8760 2-Core CPU 256Mb RAM,New,SonicWALL CONFIDENTIAL All Rights Reserved,17,NSA 系列参数,*Requires Extended license upgrade * Performance testing done using industry standard Spirent WebAvalance HTTP performance test,NSA E系列参数,* These are preliminary numbers subject to change / UTM, GAV, IPS tests performed using industry standard Spirent WebAvalance HTTP performance test,SonicWALL UTM 证券行业应用,证券行业应用,南方电网-云南电网IPSec VPN 备份专线的应用案例,中国海洋石油总公司IPSec VPN网络,SonicWALL UTM产品在北京中原地产的应用,SonicWALL ViewPoint 报告软件,产生一系列详细的历史报告:包括防火墙受到的攻击,带宽使用,网站访问,用户的行为,等等 按需生成报告以快速查看结果 汇聚网络上所有防火墙的报告 查看如下报告:如经常访问的站点,使用网络频繁的用户,按用户统计的经常访问的站点等等,GMS管理分布式企业应用环境,GMS,GMS 可以作为一个软件安装在第三方的 Windows server上, 或以硬件方式 （SonicWALL UMA）提供给用户, 或者作为一个虚拟机的方式提供给用户,25,更多信息，请联系: Name : Vincent Cai Email : vcaisonicwall.com Mobile: 13801324602 Name： Summer Sun Email： ssunsonicwall.com Mobile: 13910923884,谢 谢!,