Единая Архитектура Безопасности Минаков Антон +7(095)725-0556

реклама
Единая Архитектура Безопасности
Минаков Антон
minakov@nortelnetworks.com
+7(095)725-0556
Nortel Networks …
История
Более 100 лет на рынке телекоммуникаций на передовой
важных технологических инноваций
Наша Деятельность…
Ведется в более чем 150 странах
Наши сотрудники…
Это около 36 Тыс. сотрудников по всему миру
Первый в отрасли
концентратор Ethernet
/ первый коммутатор 10/100
Первый в отрасли
L2/L3 коммутатор
Первый в отрасли
Отказоустойчивый стек
Лидер в области
L2/L7 коммутаторов
Динамика условий ведения бизнеса
• Разумный баланс
сотрудников
работающих в офисе и
дома
• “Доступные” сотрудники
независимо от места
положения
• Сотрудники
работающие везде, где
только можно, но не там
где их принуждают
Работа это активность и РЕЗУЛЬТАТ, а
не определенное место сотрудника
Проблема выбора руководителей ИТ…
• Гибкость против
Безопасности
• Преступность
против свободы
передвижений
Постоянная дилемма
Рост трафика:
• WAN трафика
• Широкополосные подключения
• B-to-B транзакции
Рост:
• Атак из Интернет
• Потеря конфиденциальной
корпоративной информации
• Потеря прибыли
Больше возможностей
доступа в Интернет
Больше Атак
Угрозы – Оценка рисков
•
•
•
•
•
Кража информации с ПК
Целостность данных
Хакеры
Отказ в обслуживании
Вирусы
Единая Архитектура Безопасности
Optivity
Alteon SSL
Accelerator
Защита на уровне приложений
Защита на уровне сети
Защита на уровне доступа к сети
Shasta 5000 BSN
Защита управления доступом
Управление на базе политик безопасности
Защита сетевого
управдения
Alteon Web
Switches
Contivity Secure IP Services Gateway /
Business Communications Manager
Passport 8600
Alteon Switched Firewall
BayStack / BPS
Конвергенция на предприятии
Малый / Средний офис
Большой офис
• Философия
Evergreen
• Гибридность
• Масштабируемость
• Огромные
возможности за
счет приложений
Оптика &
Хранение Данных
• Ethernet End-to-end
• Прозрачность
• Простота
Работа с
клиентами
• Эффективные
приложения
• Безопасность
• Интеграция
• Эффективность
затрат
Объединенная
Инфраструктура
• Доступность
• Оптимизация
приложений
• Безопасность
• Готовая к будущему
Кампус / Штаб
• Масштабируемость
• Гибридность
• Огромные бизнес
возможности
Беспроводной
сегмент
• Готовый к
Мультимедиа
приложениям
• Безопасность
• Мобильность
Эффективный
мультимедиа
пользователь
• Мобильность
• Функциональност
Единое
управление для
всего
• Сквозное управление
Решение для конвергенции
Кампуса. Безопасность
Интернет
Active /Active Кластер
со Statefull
фильтрацией и с IDS
балансировкой
Secured
Voice
Zone
ТфОП
WAN/VPN
Switched
Firewall
Media
Gateways
Безопасная
маршрутизация и
VPN акселерация,
фильтрация трафика,
NAT, и поддержка
Voice ALG
Защита от DoS атак,
L2-L7 фильтрация,
Управление П/П,
и P2P контроль
Все
соединения
активны
Безопасное
управление
через SSL VPN
Порталы
Call Servers
Беспроводные
Voice Signaling
EAP 802.1x, RADIUS
акаунтинг SNMPv3,
Фильтрация
Унифицированные клиенты с Мультимедиа
програм. Телефонами, IP Голос,
Беспроводные, Цифровые и Аналоговые
Защищенные
беспроводные
решения с
поддержкой
полного роуминга
Аутентификация
клиентов,
защищенные
голосовые VLANы,
Мобильный Вирт.
Офис
Защита на уровне доступа к сети
Предприятие
партнера
Extended
Authentication
Protocol
BayStack/Passport
Гостевой домен/
Интернет
Radius
Сервер
ЛВС
предприятия
Сервер
Политик
Решения Nortel Networks
BayStack 5510
BayStack BPS/47048T & 24T
Сетевой Доступ
Стекируемые 10/100 коммутаторы
DMLT & QoS
GBIC гигабит подключение
Встроенные стековые разъемы
Сетевое Ядро
Passport 1600
BayStack 460-24T-PWR
Passport
8600
L3 коммутация
Высокопроизводительная
маршрутизация
SMLT and QoS
L2-7 коммутация
Высокопроизводительная
маршрутизация
Надежность 99.99 9
Высокопроизводительная
маршрутизация
Multicast
BayStack 420/425
Питание поверх
Ethernet
Стекируемый ком.
10/100 QoS
DMLT
Passport 8300
Passport 1424T L3 коммутация
Стекируемые 10/100 коммутаторы
DMLT & QoS
GBIC гигабит подключение
Встроенные стековые разъемы
Авто полярность
Стекируемый 10/100/1000
коммутатор
Поддержка QOS, L3
DMLT
BayStack 380-24F
Питание поверх Ethernet
Высокопроизводительный
модульный коммутатор
DMLT, QoS
Надежность 99.999
L2 Гигабит коммутация
MLT
BayStack 380-24T
SNMPv3
10/100/1000 коммутация
MLT
SNMPv3
Решение для конвергенции
Кампуса. Безопасность
Интернет
Active /Active Кластер
со Statefull
фильтрацией и с IDS
балансировкой
Secured
Voice
Zone
ТфОП
WAN/VPN
Switched
Firewall
Media
Gateways
Безопасная
маршрутизация и
VPN акселерация,
фильтрация трафика,
NAT, и поддержка
Voice ALG
Защита от DoS атак,
L2-L7 фильтрация,
Управление П/П,
и P2P контроль
Все
соединения
активны
Безопасное
управление
через SSL VPN
Порталы
Call Servers
Беспроводные
Voice Signaling
EAP 802.1x, RADIUS
акаунтинг SNMPv3,
Фильтрация
Унифицированные клиенты с
Мультимедиа програм. Телефонами, IP
Голос, Беспроводные, Цифровые и
Аналоговые
Защищенные
беспроводные
решения с
поддержкой
полного роуминга
Аутентификация
клиентов,
защищенные
голосовые VLANы,
Мобильный Вирт.
Офис
Открытая Архитектура Безопасности
•
Интернет/ЛВС
предпрятия №2
•
Switched
Firewall
Director
Switched
Firewall
Accelerator
•
•
ЛВС предприятия
№1
Возможность масштабирования производительности без
перебоев в работе
–
Базирование на Firewall Director и добавление Accelerator
–
Director автоматически конфигурируется, и
присоединяется к кластеру
–
Как только политики будут созданы, они автоматически
будут действовать на всех устройствах и балансировать
нагрузку
– До 6 Directors на кластер, 30.000 сессий/сек
Возможность реализации отказоустойчивых схем без перебоев
в работе
–
Подключаемый Accelerator становится автоматически
второстепенным и управляется с Accelerator мастера
–
Конфигурирование кластера под резервирование +
использование VRRP информации
–
Использование VRRP для отказоустойчивости
– 2 Accelerators на кластер в режиме Active-Standby
Единое управление кластером
– Изменения конфигурации, а также обновления ПО
пропагандируются на все устройства Directors и
Accelerators в кластере
Простое защищенное управление
– WEB Интерфейс управления с использованием HTTP
и/или HTTPS
– Командная строка (CLI) с использованием консоли, Telnetа
и/или SSH
–
Аутентификация администраторов,пользователей, и
управляющих станций
Alteon Non-Accelerated Firewalls
• Firewall который:
– Обеспечивает наилучшую производительность и наиболее
гибкое решение на базе Check Point FireWall-1/VPN-1 NG с
возможностью масштабирования до
высокопроизводительного решения.
– Поддерживает ключевые дополнительные функции такие
как множественные (246) VLAN/DMZ, Высокую
отказоустойчивость и простую инсталляцию
– Предлагает опцию VPN-1 Акселерации
– Предназначен для заказчиков которым требуется
высокопроизводительный и высоко масштабируемый
Firewall для защиты любого участка сети
SecureXL
ASF 5100 серия
Alteon Switched Firewall System
•
Firewall который:
– Объединяет решения на базе ведущей высокоскоростной
технологии коммутации от Alteon и Check Point FireWall-1/VPN-1 NG
безопасность от Check Point для высокопроизводительного,
наиболее гибкого и масштабируемого решения Firewall, доступного
сегодня в виде уникальной архитектуры
– Поддерживает ключевые дополнительные функции, включая L2
прозрачный режим*, такие как множественные (246) VLAN/DMZ,
высокую отказоустойчивость, простую инсталляцию и плавное
поэтапное масштабирование по мере потребностей
– Предлагает опцию VPN-1 Акселерацию
– Предназначен для заказчиков которым требуется
высокопроизводительный и высоко масштабируемый Firewall с
минимальным уровнем задержек при обработке пакетов для
защиты Центра обработки данных. Идеальное решение для
приложений критичных к задержкам, таким как VoIP
*
* Только 5000 серия
SecureXL
“Best Networking/
Communications Product”
Networld & Interop 2002/
Australian Technology &
Business Magazine
Switched firewall acceleration
Как это работает
До 90% пакетов может быть обработано высокопроизводительным SFA , под
управлением политик SFD
…
Switched
Firewall Director
До 6 Firewall Directors
могут участвовать в
балансировке нагрузки
Switched Firewall
Accelerator
ЛВС
предприятия
Интернет
1 Пакет
принадлежащий
существующей
сессии
2 SFA проверяет
соответствующую
запись в таблице
сессий для
определения
необходимости
использования stateful
инспекции
3
К Центру
обработки
данных
Пакеты являющиеся
частью
проинспектированной
сессии передаются на
выход SFA в ЛВС предп.,
параллельно проходя SFD
инспекцию
Решение для обеспечения безопасности следующего
поколения гарантирующего защиту
+
Устройство по обработки данных
•
•
•
•
•
Фильтрация контента
Защита от DoS атак
Защита от атак UDP blast
Листы доступа по IP
Ограничение П/П для
приложений
• Разгрузка трафика с ASD
до 90%
• 16 Гбит/с коммутационная
матрица с/ отличной
производительностью при
обработки малых пакетов
Устройство по инспекции данных
• Stateful инспекция
пакетов на уровне 4-7 за
счет Check Point NG с/
Интеллектом на уровне
приложений
• Шлюз уровня
приложений для обработки
динамических портов для
H.323 и SIP VoIP трафика
глубокий анализ пакетов+stateful firewall+анализ на уровне приложений
Отказоустойчивость без сброса сессий
NAAP
Check Point
•
Сбой компонентов без прерывания обслуживания
–
Accelerator to Accelerator “синхронизация” является частью NAAP
–
Director to Director синхронизация использующая встроенную Check Points
синхронизацию в таблицах состояний
–
Director to Director синхронизация использующая выделенный порт
Приложения безопасности имеющиеся
на устройствах Firewall Accelerator
FW
IDS
балансировка
• Port Mirroring
• Multi-Group
Support
Встроенные
механизмы
безопасности
• Защита от DoS атак
•Акселерация Firewall
Балансировка
сетевых устройств
• До 6 Firewall
Directors в кластере
Сложная
фильтрация
• Инспекция контента на
уровне L2-L7
• Балансировка шлюзов
Управления
трафиком
Сетевые сервисы
Контроль П/П
• VLAN Tagging
(на базе сессий)
• Multi-Link Trunking
• Network Address Translation
Линейка продуктов ASF
600Мбит/с
5308/5408
До 10Гбит/с
4.3 Гбит/с
56xx/57xx
ASFM
6000 Серия
Accelerated Products
220 Мбит/с
ASF 5105
1.0 Гбит/с
1.6 Гбит/с
ASF 5109
ASF 5114
Non Accelerated Products
Масштабируемость и Высокая Отказоустойчивость
1- Базовая
система
2- Plug & Play
40K сессий/сек
3Отказоустойчивая
конфигурация
4- Plug & Play
100K+ сессий/сек
40K сессий/сек
20K сессий/сек
Конфигурация
базовой системы
Добавление
directorа в Plug &
Play режиме
Добавление
дополнительного
устройства Switched
Firewall
Постепенное
масштабирование
отказоустойчивого
решения в режиме
Plug & Play
Начните с базовой системы, наращивайте систему в режиме plug and play
(до 6 Directors на систему)
Решение для конвергенции Кампуса
Безопасность и управление
Element Manager
Unified Manager
Интернет
OTM Web Client
CLI/Overlays
Nortel SSL
Шлюз
Call Pilot Admin
My Call Pilot
•
•
•
•
Защита приложений управления с использованием фильтрации с
контролем состояния сессий
Обеспечивает единый портал для администрирования и запуска
приложений
Включает в себя централизованный сбор статистики по доступу к
элементам управления Succession
Легко конфигурируется / Малая стоимость
Оптимальное использование
решения RAS VPN
•Мобильный
сотрудник
Мобильность/Гибкость
Высокая
Маленькая
•Сотрудник работающий на
дому (не полное время)
•Партнерский Extranet
SSL может не
поддерживать
приложения
•Партнерский Extranet (в
собственном владении)
С помощью IPSec можно
получить слишком многое
Мало
Приложений
SSL может
ограничивать
приложения
IPSec может
ограничить
мобильность
•Сотрудник работающий
на дому (полное время)
•Точка-Точка
Много
Режимы работы
Основной режим
Интернет
Расширенный режим
Интернет
SSL &
Порт Туннелирование
Java
Applet
Web Браузер в Киоске
•На основе Браузера, не
используя клиента
•Стандартные приложения:
•Web серфинг
•Доступ к файл серверу
Intranet
•Outlook Web Доступ
•Lotus iNotes
•Citrix nFuse
Прозрачный режим
Интернет
SSL &
Порт
Туннелирование
Xnet клиент
Web Браузер с поддержкой
туннелирования аплетов
•Расширенное без клиента –
На основе Браузера,
используется Java Applet
•Стандартные приложения:
•Терминальный доступ
•Windows терминальные
службы
•Lotus Notes
•Citrix ICA
•MS Outlook
•На базе клиента
•Стандартные приложения
•Любое TCP/IP или
UDP приложение
SSL VPN Преимущества
Простота
• Легкость инсталляции, поддержка и обслуживание
• Нет необходимости для зеркалирования приложений или замена кода
или адресов
• Простая инсталляция в любую сеть
• Не требуется дополнительного клиентского ПО
• Мгновенное масштабирование
• Интуитивно понятный web портал не требующий тренировки
пользователей
• Контроль доступа партнеров без дополнительных политик безопасности
Свобода передвижений
• Использование любого WEB браузера, из любого места, для
доступа к корпоративным приложениям и файловым
серверам
• Может работать с firewallов, NAT служб и прокси сервисов
Низкая стоимость владения
• Низкие затраты на поддержку пользователей из-за простого доступа
• Низкие операционные расходы с использованием без клиентного решения
• Низкие затраты на соединения с использованием интернет доступ
Alteon SSL линейка
Полный спектр продуктов для удовлетворения всех SSL потребностей
SSL VPN
SSL Акселерация
Криптование туннелированных
приложений
Встроенное управление трафиком
IPSec VPN
Функции
NVG 3050
AAS 2424-SSL
SSL и IPSec VPN RAS Шлюз
• 1000 т/с
Коммутатор контента с
акселерацией SSL
• 300/1000 т/с
ASA 310 FIPS
FIPS Уровень 3 совместимый
SSL
• 400 т/с
Только SSL акселерация
SSL VPN
SSL Акселерация
Криптование туннелированных
приложений
Встроенное управление трафиком
ASA 410
Наивысшая производительность
SSL
• 2000 т/с
Производительность
8661 SAM
Наивысшая производительность SSL
акселерации
• 3000 т/с
Почему решение Alteon ?
• Firewall следующего поколения
– Акселерация трафика на базе коммутатора с минимальной
задержкой для VoIP и других приложений критичных к
задержке
• Огромная масштабируемость
– Начните с малого и масштабируйте по необходимости не
приостанавливая работу сервисов
• Великолепная управляемость
– Единое ПО позволяет производить легкую конфигурацию
– Plug and Play возможности позволяют легко расширяться
• Доказанное отказоустойчивое решение
– ASF использует коммутационные технологии ASIC которые
уже развернуты в более чем 5000 предприятий
• Встроенные возможности по балансировке нагрузки
– Все Firewall Directors активно балансируют трафик и проверяют свою
«работоспособность»
– IDS балансировка начиная с ПО версии 3.5
• Соответствие стандартам
– CC EAL4, ICSA, OPSEC
• Уникальные возможности
– L2 режим моста, Multi-Link Trunking, поддержка фреймов большого размера (Jumbo
Frames)
Архитектура отвечающая сегодняшним потребностям –
предоставляющая простой путь к последующему наращиванию
Традиционная ИТ инфраструктура
предприятия
Партнеры
Маршрутизатор
Клиенты
Интернет
Филиал
Выделенный
канал
FR/PPP
ТфОП
Маршрутизатор
Модемный пул
Мобильные
пользователи
Firewall
Web Сервер
•
•
ЛВС предприятия
Директории
•
•
Дорогой RAS Dial-in network (+7-095, ISDN, LD)
Ограничение технологий доступа <56K – как насчет
высокоскоростных технологий?
Дорогие услуги Выделенных линий или FR
Очень комплексно и размазано – трудности в
управлении
IP VPN’s ИТ инфраструктура
Деловые
Партнеры
Филиалы
Contivity 1100
Мобильные
пользователи
Интернет
• Снижение TCO
• Единая инфраструктура
• Надежно и защищено
• Открытые стандарты (основано на IP)
• Потребности предприятий /
Соответствие потребностям со
Contivity
WEB сервер • IP маршрутизация
• VPN/Security
• Firewalling
стороны провайдеров
ЛВС предприятия
Файл сервер
Услуги IP предлагаемые для
предприятий
Выделенный
канал/открытая
маршрутизация
Открытая
маршрутизация
+
L3 VPN
маршрутизация
Интернет
Virtual Private Networks
Определенно предоставляют защиту
корпоративного трафика …но есть еще некоторые
вопросы которые требуют решения …
Динамическая маршрутизация не являются
частью спецификации IPsec
+
Услуги
Безопасности
Secure
Dynamic
Routing
Требуется новое
решение
Большинство IPsec VPNов статические
Как вы масштабируете VPNы?
?
Статические VPNы
сегодня
Динамические VPNы завтра
Проблемы на предприятиях…
Много устройств требуют большего внимания администраторов
Site 1
VPN Устройство
Удаленный доступ
Firewall
$
IP доступ
Корпоративный
WAN
Различные системы
маршрутизатор маршрутизатор
управления
QOS устройство
Дополни
тельно:
Модуль
безопасн
ости
$$
IP доступ
Интернет
Firewall
Firewall
$ VPN Устройство
Site 2
Политики
$
$
Дополнительно:
Модуль
безопасности
•Высокая цена и риски связанные с обновлением аппаратного обеспечения
маршрутизаторов для поддержки IPsec
•Простои и неполадки связанные с обновлением аппаратного обеспечения
•Множество устройств увеличивают TCO & делают управление комплексным
•Ужасные IP Услуги и безрадостное управление
$$$
VPN Устройство
$
Директории
IP доступ
$
Безопасность
Contivity & Secure Routing Technology (SRT)
•
•
Одно устройство - много сервисов
– Динамическая маршрутизация внутри VPN
– Единые правила безопасности
– Гибкая система лицензирования
Простота инсталляции, Низкая TCO
– Безопасность заложена в дизайне
– Сервисы по потребностям
Contivity
IP услуги
VPN Услуги
Услуги маршрутизации
Аутентификация
Firewall услуги
QOS/ Управление П/П
Клиентские политики
Аудит/Сбор статистики
Интернет
VPNы к
удаленным
филиалам
Повсеместный
защищенный доступ
пользователей
Открытая Интернет маршрутизация
Nortel Networks SRT
Технология Защищенной Маршрутизации
• Защищенная структура
• Низкая стоимость при развертывании
служб
• Динамическая защищенная
маршрутизация
• Защищенный доступ мобильных
пользователей где бы они не находились
• Единые правила безопасности &
управления
• Защита инвестиций
Поддержка динамических протоколов –
VRRP & OSPF
LAN A
LAN B
OSPF
Area 1
VRRP
Master
Интернет
VPN
шлюзы
OSPF
Area 2
VRRP
Backup
OSPF и/или
RIP работают
внутри VPN
туннелей
LAN C
LAN D
Резервные критичные интерфейсы
Аналоговый
Модем
Contivity
• Гибкая, автоматическая процедура Критичный
интерфейс,
восстановления после сбоев для
Критичный
критических интерфейсов
туннель
• Позволяет определять любые
критические интерфейсы
Не критичное
– Физические интерфейсы
соединение
– Туннель(и)
– Маршруты
– Любые комбинация из
вышеперечисленного
• Резервное соединение автоматически
устанавливается в случае когда
критический интерфейс перестанет
быть активным
• Поддерживаются Dial UP интерфейсы Критичные
соединения
• Поддерживаются не-Dial IP
nd
интерфейсы, например. 2 Ethernet
X
X
Резервные
критичные
интерфейсы
Интернет
Резервное
соединение
через Dial up
местного ISP
Резервное
соединение
WAN
Contivity
VPN
соединение
через
Интернет
Advanced Routing – BWM& Diff-Serv
Филиалы
Партнеров
56 KB/s
Профиль 3
Филиалы компании
256 KB/s
Профиль 2
E1 Соединение
Contivity
Интернет
Сервис
Провайдер
ADSL
Мобильные
Партнеры
28 KB/s
Cable
Modem
Мобильные
сотрудники
W/ client
128 KB/s
Маcштабируемость VPN
•
VPN не масштабируются без PKI сертификатов. Почему?
Сертификаты
pre-shared key
•
•
•
•
RSA Security
Entrust
Verisign
Microsoft
Certificates
С сертификатами
Без сертификатов
Смарт Карты
•
•
•
•
Проблема с цифровыми сертификатами
– Любой, кто имеет доступ к персональному ключу может владеть
Смарт карты
данным сертификатом !!
• RSA
Смарт карты обеспечивают защищенное хранилище персональных
ключей
Security
– Персональный ключ никогда не покидает Смарт карты
• Datakey
– Все действия по криптации требующие использование частного
ключа происходят на микропроцессоре Смарт карты.
• iKey
– Защита пин кодом
• Activecard
• Карты становится не действительна после ряда неудачных
попыток аутентификации
– Двух факторная аутентификация
• Вы что-то имеете, и что-то знаете
PKCS #11 & #15
– PKCS #11 – Определяет стандартный крипто API для
взаимодействия с различными картами
– PKCS #15 – Определяет формат карты для лучшего взаимодействия
между Вендорами & доступные функции карты
Инновации в Смарт Картах
– Может использоваться для защищенного и портативного хранения
любой важной информации
• Например Медицинские учреждения, информация о пациенте…..,
– В будущем мобильные телефоны также могут использоваться для
двух факторной аутентификации
– Смарт карты могут также выступать в качестве уникального ID
Сотрудника
– Биометрические механизмы для использования Смарт карт
Линейка шлюзов безопасности
IP услуг Contivity
Большие организации
5000 Фиксированных туннелей
100-140 Мбит/с 3DES VPN
Сред/Большие 400 Мбит/с Firewall - $50K
Организации 5-2000 Туннелей
50-120 Мбит/с 3DES VPN
300 Мбит/с Firewall - $7,300 – $20K Contivity 2700
Средние организации
5-500 Туннелей
25-100 Мбит/с 3DES VPN
200 Мбит/с Firewall - $3,600 - $7K Contivity 1700
Малые/Средние организации
50 фиксированных туннелей
15 Mбит/с 3DES VPN
160 Мбит/с Firewall - $2,495
Малые учреждения
5-30 Туннелей
10-15 Мбит/с 3DES VPN
100 Мбит/с Firewall - $999-$1,499
Contivity 1050
Contivity 1100
Единое управление
Contivity 600
Единый VPN Клиент
IP услуги
VPN Услуги
Услуги маршрутизации
Семейство Contivity 1000
Contivity 1010
Contivity 4600
Аутентификация
Contivity 251 ADSL
Домашние пользователи/
Contivity 221
мобильные сотрудники
5 Туннелей
5 Мбит/с 3DES VPN
$449-$599
Firewall услуги
QOS/ Управление П/П
Клиентские политики
Аудит/Сбор статистики
Contivity VPN Клиент
Поддержка ОС
– ОС Microsoft: Win 95, 98, Me, NT, 2000, XP
– Другие ОС: Macintosh, Linux, Solaris, HP-UX, IBM
AIX
– КПК: Palm, Pocket PC через MovianVPN клиенты
от Certicom
Простота использования
Защита на уровне конечного
пользователя
– TunnelGuard: Проверка
пользователей на предмет
политик и используемых
приложений
– API совместимость с ведущими
персональными firewallами
– Свободно распространяемый
firewall доступен от Sygate
Соединение одним щелчком мыши
Поддержка Microsoft dialerа
Сплит туннелирование
Конфигурация загружается с Contivity
Возможность блокировки функций, чтобы
пользователи не могли их поменять
– Изменяемые баннеры/иконки
–
–
–
–
–
Надежность
– Архитектура виртуально адаптера позволяющая
использовать любые приложения поверх VPN
– VPN сессии могут оставаться активными на любой
промежуток времени
Используется 70 миллионов клиентов Contivity
Аутентификации, балансировка,
отказоустойчивость
• Распределение туннельных соединений
несколькими Contivity
–
–
IPSec Перенаправление: перенаправление IPSec туннелей на
другой шлюз Contivity при высокой нагрузке
Выбор наименее загруженного шлюза Contivity
• Защита доступа
Contivity
–
Если Contivity выходит из строя, IPSec клиент автоматически
соединяется с резервным шлюзом Contivity
Внешний
LDAP Сервер
Contivity
Интернет
Contivity
RADIUS Сервер
Во внешней или
внутренней сети
Запрос соединения
Внутренний LDAP
SecurID/Axent
или NT Сервер
Пользовательская аутентификация на
Firewall
Аутентификация для
туннельного трафика
Аутентификация
для не туннельного
трафика
Пользователь 2
Contivity
Файл
сервер 3
• Обеспечивает аутентификацию
пользователей для доступа :
– К трафику Офисных VPN
туннелей
– К трафику Интернет (не
туннельному)
Пользователь 3
Интернет
• FWUA позволяет повысить контроль над
пользователями
– Туннель защищен, но …
– Кто проходит через туннель?
Contivity
– К каким ресурсам пользователи
имеют доступ?
• Расширение к Contivity Stateful Firewall
(требуется лицензия на CSF)
• Интуитивно понятный WEB портал для
пользователей
• Используется SSL соединения
Файл
сервер 1
Пользователь 1
Сервер
Аутентификации
Файл
Сервер 2
Туннельный страж
Персональная защита пользователей
•
Механизм для контроля VPN клиента
–
–
–
–
•
приложения/файлы могут быть проверены перед соединением
Дополнительные уровни пользовательских политик
Используемые политики передаются клиенту
Теперь мы можем узнать что есть у пользователя
Совместимость с третьими приложениями
–
–
–
–
Персональные межсетевые экраны
Антивирусное ПО
ПО определения вторжений
Файлы данных
•
Агент
–
–
Contivity
•
ПО Управления
–
–
•
Запускается на клиенте
Принимает сообщения от ПО
управления
Работает на сервере
Обменивается сообщениями с
Агентом
SRS механизм
–
–
Необходимый набор ПО
Создает политики для ПО
Управления чтобы контролировать
клиента
Туннельный страж
Как это работает…
Шаг 1 создается VPN
туннель
(с запретом выхода
в сеть организации)
Интернет
Contivity
VPN Туннель
VPN
Клиент
ТС
Агент
Сервер
управления
МЭ
Шаг 2 Посылка
SRS агенту
Шаг 4 Запрет выхода в сеть
организации снят, пользователь
получает доступ
Персональный
МЭ
Шаг 3 проверка приложений. Дополнительно
API опрашивает Персональный МЭ на предмет
последних обновлений политик безопасности
Contivity Stateful Firewall
•
•
•
•
•
•
•
•
Интуитивно понятный WEB
интерфейс
Простота эксплуатации
Поддержка командной строки CLI
Поддержка SSL управления
Полностью совместим с/VPN
функциональностью
Инспекция на базе правил
Фильтрация по:
– Источнику/Назначения адреса
– Источнику/Назначения
интерфейса
– Приложениям
Активируется лицензией
Лидерство Contivity
3 years of leadership
Ability to Execute
Gartner Magic Quadrant 1999 - 2001
Source: Synergy Research Group (Y2001)
2002 Security Product of the YEAR
NORTEL
. .
.
Cisco
Check Point
Others
Completeness of Vision
Network Computing Tester’s Choice Award for VPN Solutions 2004
•Инсталлировано более 1,000,000 Contivity шлюзов
•Установлено более 70,000,000 IPSec клиентов
•7 из 8 именитых Сервис Провайдеров
предлагают клиентам Contivity
•Более 200 из Top 500
предприятий используют
Contivity
Сервисы предоставляемые Contivity
VPN Услуги
Маршрутизация
* RIP v1/v2
* OSPF
* Dynamic routing
over VPN
* VRRP
* ABOT
*
*
*
*
*
*
IPsec
PPTP
L2TP
L2TP/IPsec
DES
RC4
*
*
*
*
*
*
3DES
AES
IKE
Elliptic Curve
MD5
SHA-1
Приложения Аутентификации
*
*
*
*
*
*
*
*
*
*
*
*
Entrust
Verisign
Sygate
Intel
ISS
HiFn
NetID
RADIUS
X.509
Smart cards
External LDAP
Tokens
*
*
*
*
*
*
GRIC
iPass
InfoExpress
RSA
Certicom
Microsoft
Поддержка ПО от 3их
производителей
Единое управление
Встроенный МЭ
* Stateful Inspection
* Over 100 ALGs
* Packet Filters
Contivity
* Shasta
* BCM
* Passport
* PP 8600
* Wireless
* Alteon
* Optical
Взаимодействие с
другими продуктами
Nortel/3-их Вендоров
*
*
*
*
*
*
*
PPP
Frame Relay
T1/E1
Dial-up (V.90)
ISDN
HSSI
QoS/BWM/SLA
IP/WAN Услуги
Firewall решения
Продукт
Nortel Networks
ASF
Contivity
Назначение
Firewall для центра
обработки данных
VPN концентратор
с Firewall
возможностями
Производительность
4.2 Gbps
400Mbps
Сегмент рынка
Корпоративные
сети, операторы
хостинга
Корпоративные
сети, ISP
Область
применения
Центр обработки
данных
Клиентское
оборудование
Наше решение…
Alteon SSL
VPN IPsec
клиент
Защищенный Центр
Обработки Данных
Интернет
ASA
ASF
Contivity
Succession 1000
i2050
Интернет
Contivity
Optera
Metro
Безопасность &
Гибкость мобильный
сотрудников
DSL
Филиалы
Contivity
2700
Интернет
Штаб квартира
Contivity 1000
•Защищен
•Аутентифицирован
•Надежен
Защищенный обмен данными с филиалами
Решение для конвергенции Кампуса
Архитектура централизованного сетевого
управления
•
•
•
Централизованное решение проблем для конвергированных IP сетей
Беспрецедентная масштабируемость: 10,000 IP устройств, 1,000 multicast
сессий
Голос, Кампусное ядроe, Оптический Ethernet, Коммутация на уровне
приложений, VPN, Маршрутизация
Nortel Optivity Network Management System
Ошибки
Правка
Восстанов
ление
Конфигурация
Обзор
Модификация
Сбор
статистики
Аудит
Производи
тельность
Анализ
Класс Сервиса
Безопасность
Привилегии
Возможный
план
Приватность
Почему Nortel Networks?
• Проверенный ведущий производитель в
телекоммуникационных технологиях проверенный временем,
предлагающий наивысший уровень надежности в индустрии
– “99.999% надежность”
– 100 стран
– 70M+ пользователей удаленных офисов по всему миру
• Решения разработаны с учетом уникальной стратегии защиты
инвестиций
– Решения которые включают в себя как традиционную так и IP телефонию
гарантирует мягкую миграцию и защиту инвестиций
– Широкий спектр продуктов & решений для каждого элемента
конвергенции
“Nortel Networks has the solutions that make the benefits of convergence
a reality - supporting real-world applications and focusing on helping
enterprise customers boost productivity, enhance services, and increase
revenues.”
Zeus Kerravala, Yankee Group, January 2004
Nortel Networks Confidential
Alteon Overview Slide 51
• Более 50 млн.
телефонных линий
для предприятий
• Более 50 млн.
Ethernet портов
With over a century of delivering innovation and communication services to our customers, Nortel Networks
maintains our emphasis on leveraging today's networks while providing cost-effective evolution strategies in
over 150 countries.
Управление: Alteon Security Manager
•
Упрощает сетевое управление предоставляя единую точку
администрирования для защищенных решений Alteon
–
–
–
–
•
Alteon Switched Firewall
Alteon SSL Accelerator
Alteon Application Switches
Будущих решений….
Обеспечивает единое администрирование
устройств/кластеров
– Ошибки, Конфигурирование, Производительность, и Защищенное
управление
•
Гарантирует защищенное управление, защита трафика между
управляющей станцией и устройствами
Скачать