Единая Архитектура Безопасности Минаков Антон minakov@nortelnetworks.com +7(095)725-0556 Nortel Networks … История Более 100 лет на рынке телекоммуникаций на передовой важных технологических инноваций Наша Деятельность… Ведется в более чем 150 странах Наши сотрудники… Это около 36 Тыс. сотрудников по всему миру Первый в отрасли концентратор Ethernet / первый коммутатор 10/100 Первый в отрасли L2/L3 коммутатор Первый в отрасли Отказоустойчивый стек Лидер в области L2/L7 коммутаторов Динамика условий ведения бизнеса • Разумный баланс сотрудников работающих в офисе и дома • “Доступные” сотрудники независимо от места положения • Сотрудники работающие везде, где только можно, но не там где их принуждают Работа это активность и РЕЗУЛЬТАТ, а не определенное место сотрудника Проблема выбора руководителей ИТ… • Гибкость против Безопасности • Преступность против свободы передвижений Постоянная дилемма Рост трафика: • WAN трафика • Широкополосные подключения • B-to-B транзакции Рост: • Атак из Интернет • Потеря конфиденциальной корпоративной информации • Потеря прибыли Больше возможностей доступа в Интернет Больше Атак Угрозы – Оценка рисков • • • • • Кража информации с ПК Целостность данных Хакеры Отказ в обслуживании Вирусы Единая Архитектура Безопасности Optivity Alteon SSL Accelerator Защита на уровне приложений Защита на уровне сети Защита на уровне доступа к сети Shasta 5000 BSN Защита управления доступом Управление на базе политик безопасности Защита сетевого управдения Alteon Web Switches Contivity Secure IP Services Gateway / Business Communications Manager Passport 8600 Alteon Switched Firewall BayStack / BPS Конвергенция на предприятии Малый / Средний офис Большой офис • Философия Evergreen • Гибридность • Масштабируемость • Огромные возможности за счет приложений Оптика & Хранение Данных • Ethernet End-to-end • Прозрачность • Простота Работа с клиентами • Эффективные приложения • Безопасность • Интеграция • Эффективность затрат Объединенная Инфраструктура • Доступность • Оптимизация приложений • Безопасность • Готовая к будущему Кампус / Штаб • Масштабируемость • Гибридность • Огромные бизнес возможности Беспроводной сегмент • Готовый к Мультимедиа приложениям • Безопасность • Мобильность Эффективный мультимедиа пользователь • Мобильность • Функциональност Единое управление для всего • Сквозное управление Решение для конвергенции Кампуса. Безопасность Интернет Active /Active Кластер со Statefull фильтрацией и с IDS балансировкой Secured Voice Zone ТфОП WAN/VPN Switched Firewall Media Gateways Безопасная маршрутизация и VPN акселерация, фильтрация трафика, NAT, и поддержка Voice ALG Защита от DoS атак, L2-L7 фильтрация, Управление П/П, и P2P контроль Все соединения активны Безопасное управление через SSL VPN Порталы Call Servers Беспроводные Voice Signaling EAP 802.1x, RADIUS акаунтинг SNMPv3, Фильтрация Унифицированные клиенты с Мультимедиа програм. Телефонами, IP Голос, Беспроводные, Цифровые и Аналоговые Защищенные беспроводные решения с поддержкой полного роуминга Аутентификация клиентов, защищенные голосовые VLANы, Мобильный Вирт. Офис Защита на уровне доступа к сети Предприятие партнера Extended Authentication Protocol BayStack/Passport Гостевой домен/ Интернет Radius Сервер ЛВС предприятия Сервер Политик Решения Nortel Networks BayStack 5510 BayStack BPS/47048T & 24T Сетевой Доступ Стекируемые 10/100 коммутаторы DMLT & QoS GBIC гигабит подключение Встроенные стековые разъемы Сетевое Ядро Passport 1600 BayStack 460-24T-PWR Passport 8600 L3 коммутация Высокопроизводительная маршрутизация SMLT and QoS L2-7 коммутация Высокопроизводительная маршрутизация Надежность 99.99 9 Высокопроизводительная маршрутизация Multicast BayStack 420/425 Питание поверх Ethernet Стекируемый ком. 10/100 QoS DMLT Passport 8300 Passport 1424T L3 коммутация Стекируемые 10/100 коммутаторы DMLT & QoS GBIC гигабит подключение Встроенные стековые разъемы Авто полярность Стекируемый 10/100/1000 коммутатор Поддержка QOS, L3 DMLT BayStack 380-24F Питание поверх Ethernet Высокопроизводительный модульный коммутатор DMLT, QoS Надежность 99.999 L2 Гигабит коммутация MLT BayStack 380-24T SNMPv3 10/100/1000 коммутация MLT SNMPv3 Решение для конвергенции Кампуса. Безопасность Интернет Active /Active Кластер со Statefull фильтрацией и с IDS балансировкой Secured Voice Zone ТфОП WAN/VPN Switched Firewall Media Gateways Безопасная маршрутизация и VPN акселерация, фильтрация трафика, NAT, и поддержка Voice ALG Защита от DoS атак, L2-L7 фильтрация, Управление П/П, и P2P контроль Все соединения активны Безопасное управление через SSL VPN Порталы Call Servers Беспроводные Voice Signaling EAP 802.1x, RADIUS акаунтинг SNMPv3, Фильтрация Унифицированные клиенты с Мультимедиа програм. Телефонами, IP Голос, Беспроводные, Цифровые и Аналоговые Защищенные беспроводные решения с поддержкой полного роуминга Аутентификация клиентов, защищенные голосовые VLANы, Мобильный Вирт. Офис Открытая Архитектура Безопасности • Интернет/ЛВС предпрятия №2 • Switched Firewall Director Switched Firewall Accelerator • • ЛВС предприятия №1 Возможность масштабирования производительности без перебоев в работе – Базирование на Firewall Director и добавление Accelerator – Director автоматически конфигурируется, и присоединяется к кластеру – Как только политики будут созданы, они автоматически будут действовать на всех устройствах и балансировать нагрузку – До 6 Directors на кластер, 30.000 сессий/сек Возможность реализации отказоустойчивых схем без перебоев в работе – Подключаемый Accelerator становится автоматически второстепенным и управляется с Accelerator мастера – Конфигурирование кластера под резервирование + использование VRRP информации – Использование VRRP для отказоустойчивости – 2 Accelerators на кластер в режиме Active-Standby Единое управление кластером – Изменения конфигурации, а также обновления ПО пропагандируются на все устройства Directors и Accelerators в кластере Простое защищенное управление – WEB Интерфейс управления с использованием HTTP и/или HTTPS – Командная строка (CLI) с использованием консоли, Telnetа и/или SSH – Аутентификация администраторов,пользователей, и управляющих станций Alteon Non-Accelerated Firewalls • Firewall который: – Обеспечивает наилучшую производительность и наиболее гибкое решение на базе Check Point FireWall-1/VPN-1 NG с возможностью масштабирования до высокопроизводительного решения. – Поддерживает ключевые дополнительные функции такие как множественные (246) VLAN/DMZ, Высокую отказоустойчивость и простую инсталляцию – Предлагает опцию VPN-1 Акселерации – Предназначен для заказчиков которым требуется высокопроизводительный и высоко масштабируемый Firewall для защиты любого участка сети SecureXL ASF 5100 серия Alteon Switched Firewall System • Firewall который: – Объединяет решения на базе ведущей высокоскоростной технологии коммутации от Alteon и Check Point FireWall-1/VPN-1 NG безопасность от Check Point для высокопроизводительного, наиболее гибкого и масштабируемого решения Firewall, доступного сегодня в виде уникальной архитектуры – Поддерживает ключевые дополнительные функции, включая L2 прозрачный режим*, такие как множественные (246) VLAN/DMZ, высокую отказоустойчивость, простую инсталляцию и плавное поэтапное масштабирование по мере потребностей – Предлагает опцию VPN-1 Акселерацию – Предназначен для заказчиков которым требуется высокопроизводительный и высоко масштабируемый Firewall с минимальным уровнем задержек при обработке пакетов для защиты Центра обработки данных. Идеальное решение для приложений критичных к задержкам, таким как VoIP * * Только 5000 серия SecureXL “Best Networking/ Communications Product” Networld & Interop 2002/ Australian Technology & Business Magazine Switched firewall acceleration Как это работает До 90% пакетов может быть обработано высокопроизводительным SFA , под управлением политик SFD … Switched Firewall Director До 6 Firewall Directors могут участвовать в балансировке нагрузки Switched Firewall Accelerator ЛВС предприятия Интернет 1 Пакет принадлежащий существующей сессии 2 SFA проверяет соответствующую запись в таблице сессий для определения необходимости использования stateful инспекции 3 К Центру обработки данных Пакеты являющиеся частью проинспектированной сессии передаются на выход SFA в ЛВС предп., параллельно проходя SFD инспекцию Решение для обеспечения безопасности следующего поколения гарантирующего защиту + Устройство по обработки данных • • • • • Фильтрация контента Защита от DoS атак Защита от атак UDP blast Листы доступа по IP Ограничение П/П для приложений • Разгрузка трафика с ASD до 90% • 16 Гбит/с коммутационная матрица с/ отличной производительностью при обработки малых пакетов Устройство по инспекции данных • Stateful инспекция пакетов на уровне 4-7 за счет Check Point NG с/ Интеллектом на уровне приложений • Шлюз уровня приложений для обработки динамических портов для H.323 и SIP VoIP трафика глубокий анализ пакетов+stateful firewall+анализ на уровне приложений Отказоустойчивость без сброса сессий NAAP Check Point • Сбой компонентов без прерывания обслуживания – Accelerator to Accelerator “синхронизация” является частью NAAP – Director to Director синхронизация использующая встроенную Check Points синхронизацию в таблицах состояний – Director to Director синхронизация использующая выделенный порт Приложения безопасности имеющиеся на устройствах Firewall Accelerator FW IDS балансировка • Port Mirroring • Multi-Group Support Встроенные механизмы безопасности • Защита от DoS атак •Акселерация Firewall Балансировка сетевых устройств • До 6 Firewall Directors в кластере Сложная фильтрация • Инспекция контента на уровне L2-L7 • Балансировка шлюзов Управления трафиком Сетевые сервисы Контроль П/П • VLAN Tagging (на базе сессий) • Multi-Link Trunking • Network Address Translation Линейка продуктов ASF 600Мбит/с 5308/5408 До 10Гбит/с 4.3 Гбит/с 56xx/57xx ASFM 6000 Серия Accelerated Products 220 Мбит/с ASF 5105 1.0 Гбит/с 1.6 Гбит/с ASF 5109 ASF 5114 Non Accelerated Products Масштабируемость и Высокая Отказоустойчивость 1- Базовая система 2- Plug & Play 40K сессий/сек 3Отказоустойчивая конфигурация 4- Plug & Play 100K+ сессий/сек 40K сессий/сек 20K сессий/сек Конфигурация базовой системы Добавление directorа в Plug & Play режиме Добавление дополнительного устройства Switched Firewall Постепенное масштабирование отказоустойчивого решения в режиме Plug & Play Начните с базовой системы, наращивайте систему в режиме plug and play (до 6 Directors на систему) Решение для конвергенции Кампуса Безопасность и управление Element Manager Unified Manager Интернет OTM Web Client CLI/Overlays Nortel SSL Шлюз Call Pilot Admin My Call Pilot • • • • Защита приложений управления с использованием фильтрации с контролем состояния сессий Обеспечивает единый портал для администрирования и запуска приложений Включает в себя централизованный сбор статистики по доступу к элементам управления Succession Легко конфигурируется / Малая стоимость Оптимальное использование решения RAS VPN •Мобильный сотрудник Мобильность/Гибкость Высокая Маленькая •Сотрудник работающий на дому (не полное время) •Партнерский Extranet SSL может не поддерживать приложения •Партнерский Extranet (в собственном владении) С помощью IPSec можно получить слишком многое Мало Приложений SSL может ограничивать приложения IPSec может ограничить мобильность •Сотрудник работающий на дому (полное время) •Точка-Точка Много Режимы работы Основной режим Интернет Расширенный режим Интернет SSL & Порт Туннелирование Java Applet Web Браузер в Киоске •На основе Браузера, не используя клиента •Стандартные приложения: •Web серфинг •Доступ к файл серверу Intranet •Outlook Web Доступ •Lotus iNotes •Citrix nFuse Прозрачный режим Интернет SSL & Порт Туннелирование Xnet клиент Web Браузер с поддержкой туннелирования аплетов •Расширенное без клиента – На основе Браузера, используется Java Applet •Стандартные приложения: •Терминальный доступ •Windows терминальные службы •Lotus Notes •Citrix ICA •MS Outlook •На базе клиента •Стандартные приложения •Любое TCP/IP или UDP приложение SSL VPN Преимущества Простота • Легкость инсталляции, поддержка и обслуживание • Нет необходимости для зеркалирования приложений или замена кода или адресов • Простая инсталляция в любую сеть • Не требуется дополнительного клиентского ПО • Мгновенное масштабирование • Интуитивно понятный web портал не требующий тренировки пользователей • Контроль доступа партнеров без дополнительных политик безопасности Свобода передвижений • Использование любого WEB браузера, из любого места, для доступа к корпоративным приложениям и файловым серверам • Может работать с firewallов, NAT служб и прокси сервисов Низкая стоимость владения • Низкие затраты на поддержку пользователей из-за простого доступа • Низкие операционные расходы с использованием без клиентного решения • Низкие затраты на соединения с использованием интернет доступ Alteon SSL линейка Полный спектр продуктов для удовлетворения всех SSL потребностей SSL VPN SSL Акселерация Криптование туннелированных приложений Встроенное управление трафиком IPSec VPN Функции NVG 3050 AAS 2424-SSL SSL и IPSec VPN RAS Шлюз • 1000 т/с Коммутатор контента с акселерацией SSL • 300/1000 т/с ASA 310 FIPS FIPS Уровень 3 совместимый SSL • 400 т/с Только SSL акселерация SSL VPN SSL Акселерация Криптование туннелированных приложений Встроенное управление трафиком ASA 410 Наивысшая производительность SSL • 2000 т/с Производительность 8661 SAM Наивысшая производительность SSL акселерации • 3000 т/с Почему решение Alteon ? • Firewall следующего поколения – Акселерация трафика на базе коммутатора с минимальной задержкой для VoIP и других приложений критичных к задержке • Огромная масштабируемость – Начните с малого и масштабируйте по необходимости не приостанавливая работу сервисов • Великолепная управляемость – Единое ПО позволяет производить легкую конфигурацию – Plug and Play возможности позволяют легко расширяться • Доказанное отказоустойчивое решение – ASF использует коммутационные технологии ASIC которые уже развернуты в более чем 5000 предприятий • Встроенные возможности по балансировке нагрузки – Все Firewall Directors активно балансируют трафик и проверяют свою «работоспособность» – IDS балансировка начиная с ПО версии 3.5 • Соответствие стандартам – CC EAL4, ICSA, OPSEC • Уникальные возможности – L2 режим моста, Multi-Link Trunking, поддержка фреймов большого размера (Jumbo Frames) Архитектура отвечающая сегодняшним потребностям – предоставляющая простой путь к последующему наращиванию Традиционная ИТ инфраструктура предприятия Партнеры Маршрутизатор Клиенты Интернет Филиал Выделенный канал FR/PPP ТфОП Маршрутизатор Модемный пул Мобильные пользователи Firewall Web Сервер • • ЛВС предприятия Директории • • Дорогой RAS Dial-in network (+7-095, ISDN, LD) Ограничение технологий доступа <56K – как насчет высокоскоростных технологий? Дорогие услуги Выделенных линий или FR Очень комплексно и размазано – трудности в управлении IP VPN’s ИТ инфраструктура Деловые Партнеры Филиалы Contivity 1100 Мобильные пользователи Интернет • Снижение TCO • Единая инфраструктура • Надежно и защищено • Открытые стандарты (основано на IP) • Потребности предприятий / Соответствие потребностям со Contivity WEB сервер • IP маршрутизация • VPN/Security • Firewalling стороны провайдеров ЛВС предприятия Файл сервер Услуги IP предлагаемые для предприятий Выделенный канал/открытая маршрутизация Открытая маршрутизация + L3 VPN маршрутизация Интернет Virtual Private Networks Определенно предоставляют защиту корпоративного трафика …но есть еще некоторые вопросы которые требуют решения … Динамическая маршрутизация не являются частью спецификации IPsec + Услуги Безопасности Secure Dynamic Routing Требуется новое решение Большинство IPsec VPNов статические Как вы масштабируете VPNы? ? Статические VPNы сегодня Динамические VPNы завтра Проблемы на предприятиях… Много устройств требуют большего внимания администраторов Site 1 VPN Устройство Удаленный доступ Firewall $ IP доступ Корпоративный WAN Различные системы маршрутизатор маршрутизатор управления QOS устройство Дополни тельно: Модуль безопасн ости $$ IP доступ Интернет Firewall Firewall $ VPN Устройство Site 2 Политики $ $ Дополнительно: Модуль безопасности •Высокая цена и риски связанные с обновлением аппаратного обеспечения маршрутизаторов для поддержки IPsec •Простои и неполадки связанные с обновлением аппаратного обеспечения •Множество устройств увеличивают TCO & делают управление комплексным •Ужасные IP Услуги и безрадостное управление $$$ VPN Устройство $ Директории IP доступ $ Безопасность Contivity & Secure Routing Technology (SRT) • • Одно устройство - много сервисов – Динамическая маршрутизация внутри VPN – Единые правила безопасности – Гибкая система лицензирования Простота инсталляции, Низкая TCO – Безопасность заложена в дизайне – Сервисы по потребностям Contivity IP услуги VPN Услуги Услуги маршрутизации Аутентификация Firewall услуги QOS/ Управление П/П Клиентские политики Аудит/Сбор статистики Интернет VPNы к удаленным филиалам Повсеместный защищенный доступ пользователей Открытая Интернет маршрутизация Nortel Networks SRT Технология Защищенной Маршрутизации • Защищенная структура • Низкая стоимость при развертывании служб • Динамическая защищенная маршрутизация • Защищенный доступ мобильных пользователей где бы они не находились • Единые правила безопасности & управления • Защита инвестиций Поддержка динамических протоколов – VRRP & OSPF LAN A LAN B OSPF Area 1 VRRP Master Интернет VPN шлюзы OSPF Area 2 VRRP Backup OSPF и/или RIP работают внутри VPN туннелей LAN C LAN D Резервные критичные интерфейсы Аналоговый Модем Contivity • Гибкая, автоматическая процедура Критичный интерфейс, восстановления после сбоев для Критичный критических интерфейсов туннель • Позволяет определять любые критические интерфейсы Не критичное – Физические интерфейсы соединение – Туннель(и) – Маршруты – Любые комбинация из вышеперечисленного • Резервное соединение автоматически устанавливается в случае когда критический интерфейс перестанет быть активным • Поддерживаются Dial UP интерфейсы Критичные соединения • Поддерживаются не-Dial IP nd интерфейсы, например. 2 Ethernet X X Резервные критичные интерфейсы Интернет Резервное соединение через Dial up местного ISP Резервное соединение WAN Contivity VPN соединение через Интернет Advanced Routing – BWM& Diff-Serv Филиалы Партнеров 56 KB/s Профиль 3 Филиалы компании 256 KB/s Профиль 2 E1 Соединение Contivity Интернет Сервис Провайдер ADSL Мобильные Партнеры 28 KB/s Cable Modem Мобильные сотрудники W/ client 128 KB/s Маcштабируемость VPN • VPN не масштабируются без PKI сертификатов. Почему? Сертификаты pre-shared key • • • • RSA Security Entrust Verisign Microsoft Certificates С сертификатами Без сертификатов Смарт Карты • • • • Проблема с цифровыми сертификатами – Любой, кто имеет доступ к персональному ключу может владеть Смарт карты данным сертификатом !! • RSA Смарт карты обеспечивают защищенное хранилище персональных ключей Security – Персональный ключ никогда не покидает Смарт карты • Datakey – Все действия по криптации требующие использование частного ключа происходят на микропроцессоре Смарт карты. • iKey – Защита пин кодом • Activecard • Карты становится не действительна после ряда неудачных попыток аутентификации – Двух факторная аутентификация • Вы что-то имеете, и что-то знаете PKCS #11 & #15 – PKCS #11 – Определяет стандартный крипто API для взаимодействия с различными картами – PKCS #15 – Определяет формат карты для лучшего взаимодействия между Вендорами & доступные функции карты Инновации в Смарт Картах – Может использоваться для защищенного и портативного хранения любой важной информации • Например Медицинские учреждения, информация о пациенте….., – В будущем мобильные телефоны также могут использоваться для двух факторной аутентификации – Смарт карты могут также выступать в качестве уникального ID Сотрудника – Биометрические механизмы для использования Смарт карт Линейка шлюзов безопасности IP услуг Contivity Большие организации 5000 Фиксированных туннелей 100-140 Мбит/с 3DES VPN Сред/Большие 400 Мбит/с Firewall - $50K Организации 5-2000 Туннелей 50-120 Мбит/с 3DES VPN 300 Мбит/с Firewall - $7,300 – $20K Contivity 2700 Средние организации 5-500 Туннелей 25-100 Мбит/с 3DES VPN 200 Мбит/с Firewall - $3,600 - $7K Contivity 1700 Малые/Средние организации 50 фиксированных туннелей 15 Mбит/с 3DES VPN 160 Мбит/с Firewall - $2,495 Малые учреждения 5-30 Туннелей 10-15 Мбит/с 3DES VPN 100 Мбит/с Firewall - $999-$1,499 Contivity 1050 Contivity 1100 Единое управление Contivity 600 Единый VPN Клиент IP услуги VPN Услуги Услуги маршрутизации Семейство Contivity 1000 Contivity 1010 Contivity 4600 Аутентификация Contivity 251 ADSL Домашние пользователи/ Contivity 221 мобильные сотрудники 5 Туннелей 5 Мбит/с 3DES VPN $449-$599 Firewall услуги QOS/ Управление П/П Клиентские политики Аудит/Сбор статистики Contivity VPN Клиент Поддержка ОС – ОС Microsoft: Win 95, 98, Me, NT, 2000, XP – Другие ОС: Macintosh, Linux, Solaris, HP-UX, IBM AIX – КПК: Palm, Pocket PC через MovianVPN клиенты от Certicom Простота использования Защита на уровне конечного пользователя – TunnelGuard: Проверка пользователей на предмет политик и используемых приложений – API совместимость с ведущими персональными firewallами – Свободно распространяемый firewall доступен от Sygate Соединение одним щелчком мыши Поддержка Microsoft dialerа Сплит туннелирование Конфигурация загружается с Contivity Возможность блокировки функций, чтобы пользователи не могли их поменять – Изменяемые баннеры/иконки – – – – – Надежность – Архитектура виртуально адаптера позволяющая использовать любые приложения поверх VPN – VPN сессии могут оставаться активными на любой промежуток времени Используется 70 миллионов клиентов Contivity Аутентификации, балансировка, отказоустойчивость • Распределение туннельных соединений несколькими Contivity – – IPSec Перенаправление: перенаправление IPSec туннелей на другой шлюз Contivity при высокой нагрузке Выбор наименее загруженного шлюза Contivity • Защита доступа Contivity – Если Contivity выходит из строя, IPSec клиент автоматически соединяется с резервным шлюзом Contivity Внешний LDAP Сервер Contivity Интернет Contivity RADIUS Сервер Во внешней или внутренней сети Запрос соединения Внутренний LDAP SecurID/Axent или NT Сервер Пользовательская аутентификация на Firewall Аутентификация для туннельного трафика Аутентификация для не туннельного трафика Пользователь 2 Contivity Файл сервер 3 • Обеспечивает аутентификацию пользователей для доступа : – К трафику Офисных VPN туннелей – К трафику Интернет (не туннельному) Пользователь 3 Интернет • FWUA позволяет повысить контроль над пользователями – Туннель защищен, но … – Кто проходит через туннель? Contivity – К каким ресурсам пользователи имеют доступ? • Расширение к Contivity Stateful Firewall (требуется лицензия на CSF) • Интуитивно понятный WEB портал для пользователей • Используется SSL соединения Файл сервер 1 Пользователь 1 Сервер Аутентификации Файл Сервер 2 Туннельный страж Персональная защита пользователей • Механизм для контроля VPN клиента – – – – • приложения/файлы могут быть проверены перед соединением Дополнительные уровни пользовательских политик Используемые политики передаются клиенту Теперь мы можем узнать что есть у пользователя Совместимость с третьими приложениями – – – – Персональные межсетевые экраны Антивирусное ПО ПО определения вторжений Файлы данных • Агент – – Contivity • ПО Управления – – • Запускается на клиенте Принимает сообщения от ПО управления Работает на сервере Обменивается сообщениями с Агентом SRS механизм – – Необходимый набор ПО Создает политики для ПО Управления чтобы контролировать клиента Туннельный страж Как это работает… Шаг 1 создается VPN туннель (с запретом выхода в сеть организации) Интернет Contivity VPN Туннель VPN Клиент ТС Агент Сервер управления МЭ Шаг 2 Посылка SRS агенту Шаг 4 Запрет выхода в сеть организации снят, пользователь получает доступ Персональный МЭ Шаг 3 проверка приложений. Дополнительно API опрашивает Персональный МЭ на предмет последних обновлений политик безопасности Contivity Stateful Firewall • • • • • • • • Интуитивно понятный WEB интерфейс Простота эксплуатации Поддержка командной строки CLI Поддержка SSL управления Полностью совместим с/VPN функциональностью Инспекция на базе правил Фильтрация по: – Источнику/Назначения адреса – Источнику/Назначения интерфейса – Приложениям Активируется лицензией Лидерство Contivity 3 years of leadership Ability to Execute Gartner Magic Quadrant 1999 - 2001 Source: Synergy Research Group (Y2001) 2002 Security Product of the YEAR NORTEL . . . Cisco Check Point Others Completeness of Vision Network Computing Tester’s Choice Award for VPN Solutions 2004 •Инсталлировано более 1,000,000 Contivity шлюзов •Установлено более 70,000,000 IPSec клиентов •7 из 8 именитых Сервис Провайдеров предлагают клиентам Contivity •Более 200 из Top 500 предприятий используют Contivity Сервисы предоставляемые Contivity VPN Услуги Маршрутизация * RIP v1/v2 * OSPF * Dynamic routing over VPN * VRRP * ABOT * * * * * * IPsec PPTP L2TP L2TP/IPsec DES RC4 * * * * * * 3DES AES IKE Elliptic Curve MD5 SHA-1 Приложения Аутентификации * * * * * * * * * * * * Entrust Verisign Sygate Intel ISS HiFn NetID RADIUS X.509 Smart cards External LDAP Tokens * * * * * * GRIC iPass InfoExpress RSA Certicom Microsoft Поддержка ПО от 3их производителей Единое управление Встроенный МЭ * Stateful Inspection * Over 100 ALGs * Packet Filters Contivity * Shasta * BCM * Passport * PP 8600 * Wireless * Alteon * Optical Взаимодействие с другими продуктами Nortel/3-их Вендоров * * * * * * * PPP Frame Relay T1/E1 Dial-up (V.90) ISDN HSSI QoS/BWM/SLA IP/WAN Услуги Firewall решения Продукт Nortel Networks ASF Contivity Назначение Firewall для центра обработки данных VPN концентратор с Firewall возможностями Производительность 4.2 Gbps 400Mbps Сегмент рынка Корпоративные сети, операторы хостинга Корпоративные сети, ISP Область применения Центр обработки данных Клиентское оборудование Наше решение… Alteon SSL VPN IPsec клиент Защищенный Центр Обработки Данных Интернет ASA ASF Contivity Succession 1000 i2050 Интернет Contivity Optera Metro Безопасность & Гибкость мобильный сотрудников DSL Филиалы Contivity 2700 Интернет Штаб квартира Contivity 1000 •Защищен •Аутентифицирован •Надежен Защищенный обмен данными с филиалами Решение для конвергенции Кампуса Архитектура централизованного сетевого управления • • • Централизованное решение проблем для конвергированных IP сетей Беспрецедентная масштабируемость: 10,000 IP устройств, 1,000 multicast сессий Голос, Кампусное ядроe, Оптический Ethernet, Коммутация на уровне приложений, VPN, Маршрутизация Nortel Optivity Network Management System Ошибки Правка Восстанов ление Конфигурация Обзор Модификация Сбор статистики Аудит Производи тельность Анализ Класс Сервиса Безопасность Привилегии Возможный план Приватность Почему Nortel Networks? • Проверенный ведущий производитель в телекоммуникационных технологиях проверенный временем, предлагающий наивысший уровень надежности в индустрии – “99.999% надежность” – 100 стран – 70M+ пользователей удаленных офисов по всему миру • Решения разработаны с учетом уникальной стратегии защиты инвестиций – Решения которые включают в себя как традиционную так и IP телефонию гарантирует мягкую миграцию и защиту инвестиций – Широкий спектр продуктов & решений для каждого элемента конвергенции “Nortel Networks has the solutions that make the benefits of convergence a reality - supporting real-world applications and focusing on helping enterprise customers boost productivity, enhance services, and increase revenues.” Zeus Kerravala, Yankee Group, January 2004 Nortel Networks Confidential Alteon Overview Slide 51 • Более 50 млн. телефонных линий для предприятий • Более 50 млн. Ethernet портов With over a century of delivering innovation and communication services to our customers, Nortel Networks maintains our emphasis on leveraging today's networks while providing cost-effective evolution strategies in over 150 countries. Управление: Alteon Security Manager • Упрощает сетевое управление предоставляя единую точку администрирования для защищенных решений Alteon – – – – • Alteon Switched Firewall Alteon SSL Accelerator Alteon Application Switches Будущих решений…. Обеспечивает единое администрирование устройств/кластеров – Ошибки, Конфигурирование, Производительность, и Защищенное управление • Гарантирует защищенное управление, защита трафика между управляющей станцией и устройствами