1 / 53

Единая Архитектура Безопасности Минаков Антон minakov@nortelnetworks +7(095)725-0556

Единая Архитектура Безопасности Минаков Антон minakov@nortelnetworks.com +7(095)725-0556. Первый в отрасли концентратор Ethernet / первый коммутатор 10/100. Первый в отрасли L2/L3 коммутатор. Первый в отрасли Отказоустойчивый стек. Лидер в области L2/L7 коммутаторов.

rusk
Download Presentation

Единая Архитектура Безопасности Минаков Антон minakov@nortelnetworks +7(095)725-0556

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Единая Архитектура БезопасностиМинаков Антонminakov@nortelnetworks.com+7(095)725-0556

  2. Первый в отрасли концентратор Ethernet / первый коммутатор 10/100 Первый в отрасли L2/L3 коммутатор Первый в отрасли Отказоустойчивый стек Лидер в области L2/L7 коммутаторов Nortel Networks … История Более 100 лет на рынке телекоммуникацийна передовой важных технологических инноваций Наша Деятельность… Ведется в более чем 150 странах Наши сотрудники… Это около 36 Тыс. сотрудников по всему миру

  3. Динамика условий ведения бизнеса • Разумный баланс сотрудников работающих в офисе и дома • “Доступные” сотрудникинезависимо от места положения • Сотрудники работающие везде, где только можно, но не там где их принуждают Работа это активность и РЕЗУЛЬТАТ, а не определенное место сотрудника

  4. Проблема выбора руководителей ИТ… • Гибкость противБезопасности • Преступностьпротивсвободы передвижений

  5. Постоянная дилемма • Рост трафика: • WAN трафика • Широкополосные подключения • B-to-B транзакции • Рост: • Атак из Интернет • Потеря конфиденциальной • корпоративной информации • Потеря прибыли Больше возможностей доступа в Интернет Больше Атак

  6. Угрозы – Оценка рисков • Кража информации с ПК • Целостность данных • Хакеры • Отказ в обслуживании • Вирусы

  7. Optivity Alteon WebSwitches Alteon SSLAccelerator Защита управ- ления доступом Защита сетевого управдения Contivity Secure IP Services Gateway /Business Communications Manager Alteon Switched Firewall Shasta 5000 BSN BayStack / BPS Passport 8600 Единая Архитектура Безопасности Управление на базе политик безопасности Защита на уровне приложений Защита на уровне сети Защита на уровне доступа к сети

  8. Малый / Средний офис • Безопасность • Интеграция • Эффективность • затрат • Беспроводной сегмент • Готовый к Мультимедиаприложениям • Безопасность • Мобильность • Большой офис • Философия Evergreen • Гибридность • Масштабируемость • Огромныевозможности за счет приложений • Эффективный • мультимедиа пользователь • Мобильность • Функциональность • Доступность • Оптимизация приложений • Безопасность • Готовая к будущему • Оптика & • Хранение Данных • Ethernet End-to-end • Прозрачность • Простота • Единое управление для всего • Сквозное управление • Работа с • клиентами • Эффективные приложения • Кампус / Штаб • Масштабируемость • Гибридность • Огромные бизнес возможности Конвергенция на предприятии Объединенная Инфраструктура

  9. ТфОП Интернет Решение для конвергенции Кампуса.Безопасность Безопасная маршрутизация и VPN акселерация, фильтрация трафика, NAT, и поддержка Voice ALG Active /Active Кластер со Statefull фильтрацией и с IDS балансировкой WAN/VPN Switched Firewall Secured Voice Zone Защита от DoS атак, L2-L7 фильтрация, Управление П/П, и P2P контроль Media Gateways Защищенные беспроводные решения с поддержкой полного роуминга Все соединения активны Безопасное управление через SSL VPN Порталы Беспроводные Call Servers Аутентификация клиентов, защищенные голосовые VLANы, МобильныйВирт. Офис Voice Signaling EAP 802.1x, RADIUS акаунтинг SNMPv3, Фильтрация Унифицированныеклиенты сМультимедиапрограм. Телефонами, IP Голос, Беспроводные, Цифровые и Аналоговые

  10. Предприятие партнера BayStack/Passport Radius Сервер Гостевой домен/ Интернет Сервер Политик ЛВС предприятия Защита на уровне доступа к сети Extended Authentication Protocol

  11. BayStack 5510 BayStack BPS/470-48T & 24T Сетевой Доступ Стекируемый 10/100/1000 коммутатор Поддержка QOS, L3 DMLT Стекируемые 10/100 коммутаторы DMLT & QoS GBIC гигабит подключение Встроенные стековые разъемы Сетевое Ядро BayStack 460-24T-PWR Питание поверх Ethernet Стекируемый ком. 10/100 QoS DMLT Passport 1600 Passport 8600 L3 коммутация Высокопроизводительная маршрутизация SMLT and QoS L2-7 коммутация Высокопроизводительная маршрутизация Надежность 99.99 9 Passport 8300 Passport 1424T L3 коммутация Высокопроизводительная маршрутизация Multicast Питание поверх Ethernet Высокопроизводительный модульный коммутатор DMLT, QoS Надежность 99.999 BayStack 420/425 BayStack 380-24F Стекируемые 10/100 коммутаторы DMLT & QoS GBIC гигабит подключение Встроенные стековые разъемы Авто полярность L2 Гигабит коммутация MLT SNMPv3 BayStack 380-24T 10/100/1000 коммутация MLT SNMPv3 Решения Nortel Networks

  12. Интернет ТфОП Решение для конвергенции Кампуса. Безопасность Безопасная маршрутизация и VPN акселерация, фильтрация трафика, NAT, и поддержка Voice ALG Active /Active Кластер со Statefull фильтрацией и с IDS балансировкой WAN/VPN Switched Firewall Secured Voice Zone Защита от DoS атак, L2-L7 фильтрация, Управление П/П, и P2P контроль Media Gateways Защищенные беспроводные решения с поддержкой полного роуминга Все соединения активны Безопасное управление через SSL VPN Порталы Беспроводные Call Servers Аутентификация клиентов, защищенные голосовые VLANы, МобильныйВирт. Офис Voice Signaling EAP 802.1x, RADIUS акаунтинг SNMPv3, Фильтрация Унифицированныеклиенты сМультимедиапрограм. Телефонами, IP Голос, Беспроводные, Цифровые и Аналоговые

  13. Switched Firewall Director ЛВС предприятия №1 Switched Firewall Accelerator Интернет/ЛВС предпрятия №2 • Возможность масштабирования производительности без перебоев в работе • Базирование на Firewall Director и добавление Accelerator • Director автоматически конфигурируется, иприсоединяется к кластеру • Как только политики будут созданы, они автоматически будут действовать на всех устройствах и балансировать нагрузку • До 6 Directors на кластер, 30.000 сессий/сек • Возможность реализации отказоустойчивых схем без перебоев в работе • Подключаемый Accelerator становится автоматически второстепенным и управляется с Accelerator мастера • Конфигурирование кластера подрезервирование + использование VRRP информации • Использование VRRP для отказоустойчивости • 2 Accelerators на кластер в режиме Active-Standby • Единое управление кластером • Изменения конфигурации, а также обновления ПО пропагандируются на все устройства Directors и Accelerators в кластере • Простое защищенное управление • WEB Интерфейс управленияс использованием HTTP и/или HTTPS • Командная строка (CLI) с использованием консоли, Telnetаи/или SSH • Аутентификация администраторов,пользователей, иуправляющих станций Открытая Архитектура Безопасности

  14. Alteon Non-Accelerated Firewalls • Firewall который: • Обеспечивает наилучшую производительность и наиболее гибкое решение на базе Check Point FireWall-1/VPN-1 NG с возможностью масштабирования до высокопроизводительного решения. • Поддерживает ключевые дополнительные функции такие как множественные (246) VLAN/DMZ, Высокую отказоустойчивость ипростую инсталляцию • Предлагает опцию VPN-1 Акселерации • Предназначен для заказчиков которым требуется высокопроизводительный и высоко масштабируемый Firewall для защиты любого участка сети SecureXL ASF 5100 серия

  15. SecureXL Alteon Switched Firewall System • Firewall который: • Объединяет решения на базе ведущей высокоскоростной технологии коммутации от Alteon и Check Point FireWall-1/VPN-1 NG безопасность от Check Point для высокопроизводительного, наиболее гибкого и масштабируемого решения Firewall, доступного сегодня в виде уникальной архитектуры • Поддерживает ключевые дополнительные функции, включая L2 прозрачный режим*, такие как множественные (246) VLAN/DMZ, высокую отказоустойчивость, простую инсталляциюи плавное поэтапное масштабирование по мере потребностей • Предлагает опцию VPN-1 Акселерацию • Предназначен для заказчиков которым требуется высокопроизводительный и высоко масштабируемый Firewall с минимальным уровнем задержек при обработке пакетов для защиты Центра обработки данных. Идеальное решение для приложений критичных к задержкам, таким как VoIP “Best Networking/ Communications Product” Networld & Interop2002/ Australian Technology & Business Magazine * * Только 5000 серия

  16. Интернет 1 2 3 Пакет принадлежащий существующей сессии SFA проверяет соответствующую запись в таблице сессий для определения необходимости использования stateful инспекции Пакеты являющиеся частью проинспектированной сессии передаются на выход SFA в ЛВС предп.,параллельно проходя SFD инспекцию ЛВС предприятия Switched firewall accelerationКак это работает До 90% пакетов может быть обработано высокопроизводительным SFA , под управлением политик SFD До 6 Firewall Directors могут участвовать в балансировке нагрузки Switched Firewall Director … Switched Firewall Accelerator К Центру обработки данных

  17. Решение для обеспечения безопасности следующего поколения гарантирующего защиту + Устройство по обработки данных Устройство по инспекции данных • Statefulинспекция пакетов на уровне 4-7 за счет Check Point NG с/ Интеллектом на уровне приложений • Шлюз уровня приложений для обработки динамических портов для H.323 и SIP VoIP трафика • Фильтрация контента • Защита от DoS атак • Защита от атак UDP blast • Листы доступа по IP • Ограничение П/П для приложений • Разгрузка трафика с ASD до 90% • 16 Гбит/скоммутационная матрица с/ отличной производительностью при обработки малых пакетов глубокий анализ пакетов+stateful firewall+анализ на уровне приложений

  18. Отказоустойчивость без сброса сессий NAAP Check Point • Сбой компонентов без прерывания обслуживания • Accelerator to Accelerator “синхронизация” является частью NAAP • Director to Director синхронизацияиспользующая встроенную Check Points синхронизацию в таблицах состояний • Director to Director синхронизация использующаявыделенный порт

  19. FW • IDS балансировка • Port Mirroring • Multi-Group Support • Балансировка сетевых устройств • До 6 Firewall Directors в кластере • Балансировка шлюзов • Сложная фильтрация • Инспекция контента на уровне L2-L7 • Встроенные механизмы безопасности • Защита от DoS атак • Акселерация Firewall Управления трафиком Контроль П/П (на базе сессий) • Сетевые сервисы • Network Address Translation • VLAN Tagging • Multi-Link Trunking Приложения безопасностиимеющиеся на устройствах Firewall Accelerator

  20. 600Мбит/с 4.3 Гбит/с До 10Гбит/с 220 Мбит/с 1.0 Гбит/с 1.6 Гбит/с Линейка продуктов ASF 56xx/57xx 5308/5408 6000 Серия ASFM Accelerated Products ASF 5105 ASF 5109 ASF 5114 Non Accelerated Products

  21. 3- Отказоустойчивая конфигурация 1- Базовая система 2- Plug & Play 4- Plug & Play 100K+ сессий/сек 40K сессий/сек 40K сессий/сек 20K сессий/сек Добавление дополнительного устройства Switched Firewall Постепенное масштабированиеотказоустойчивого решения в режиме Plug & Play Добавление directorав Plug & Play режиме Конфигурация базовой системы Масштабируемость и Высокая Отказоустойчивость Начните с базовой системы, наращивайте систему в режиме plug and play(до 6 Directors на систему)

  22. Интернет Решение для конвергенции КампусаБезопасность и управление Element Manager Unified Manager OTM Web Client CLI/Overlays Call Pilot Admin My Call Pilot Nortel SSL Шлюз • Защита приложений управления с использованием фильтрации с контролем состояния сессий • Обеспечивает единый портал для администрирования и запуска приложений • Включает в себя централизованный сбор статистики по доступукэлементам управления Succession • Легко конфигурируется / Малая стоимость

  23. Мобильный сотрудник SSL может ограничивать приложения • Сотрудник работающий на дому (не полное время) IPSec может ограничить мобильность • Партнерский Extranet • Сотрудник работающий на дому (полное время) SSL может не поддерживать приложения • Партнерский Extranet (в собственном владении) С помощью IPSec можно получить слишком многое • Точка-Точка Оптимальное использование решения RAS VPN Высокая Мобильность/Гибкость Маленькая Много Мало Приложений

  24. Основной режим Расширенный режим Прозрачный режим SSL & Порт Туннелирование Интернет SSL & ПортТуннелирование Java Applet Xnet клиент Web Браузер в Киоске Web Браузерс поддержкой туннелирования аплетов • На основе Браузера, не • используя клиента • Стандартные приложения: • Web серфинг • Доступ к файл серверу • Intranet • Outlook Web Доступ • Lotus iNotes • Citrix nFuse • Расширенное без клиента – • На основе Браузера, • используется JavaApplet • Стандартные приложения: • Терминальныйдоступ • Windows терминальные • службы • Lotus Notes • Citrix ICA • MS Outlook • На базе клиента • Стандартные приложения • Любое TCP/IP или • UDP приложение Интернет Интернет Режимы работы

  25. Простота • Легкость инсталляции, поддержка и обслуживание • Нет необходимости для зеркалирования приложений или замена кода или адресов • Простая инсталляция в любую сеть • Не требуется дополнительного клиентского ПО • Мгновенное масштабирование • Интуитивно понятный web портал не требующий тренировки пользователей • Контроль доступа партнеров без дополнительных политик безопасности • Свобода передвижений • Использование любого WEB браузера, из любого места, для доступа к корпоративным приложениям и файловым серверам • Может работать с firewallов, NAT служби прокси сервисов • Низкая стоимость владения • Низкие затраты на поддержку пользователей из-за простого доступа • Низкие операционные расходы с использованием без клиентного решения • Низкие затраты на соединения с использованием интернет доступ SSL VPN Преимущества

  26. Alteon SSL линейка Полный спектр продуктовдля удовлетворения всех SSL потребностей SSL VPN SSL Акселерация Криптование туннелированных приложений Встроенное управление трафиком IPSec VPN • NVG 3050 • SSL и IPSec VPN RAS Шлюз • 1000 т/с • AAS 2424-SSL • Коммутатор контента сакселерацией SSL • 300/1000т/с Функции • ASA 310 FIPS • FIPS Уровень 3 совместимый SSL • 400 т/с Только SSL акселерация SSL VPN SSL Акселерация Криптование туннелированных приложений Встроенное управление трафиком • ASA 410 • Наивысшая производительность SSL • 2000 т/с • 8661 SAM • Наивысшая производительность SSL акселерации • 3000 т/с Производительность

  27. Почему решение Alteon? • Firewall следующего поколения • Акселерация трафика на базе коммутатора с минимальной задержкой для VoIP и других приложений критичных к задержке • Огромная масштабируемость • Начните с малого и масштабируйте по необходимости не приостанавливая работу сервисов • Великолепная управляемость • Единое ПО позволяет производить легкую конфигурацию • Plug and Play возможности позволяют легко расширяться • Доказанное отказоустойчивое решение • ASF используеткоммутационные технологии ASIC которые уже развернуты в более чем 5000 предприятий • Встроенные возможности по балансировке нагрузки • Все Firewall Directors активно балансируют трафик и проверяют свою «работоспособность» • IDS балансировка начиная с ПО версии 3.5 • Соответствие стандартам • CC EAL4, ICSA, OPSEC • Уникальные возможности • L2 режим моста, Multi-Link Trunking, поддержка фреймов большого размера (Jumbo Frames) Архитектура отвечающая сегодняшним потребностям – предоставляющая простой путь к последующему наращиванию

  28. Партнеры Клиенты Маршрутизатор Филиал Маршрутизатор Модемный пул Выделенный канал FR/PPP ЛВС предприятия Мобильные пользователи Firewall ТфОП Интернет Web Сервер Директории Традиционная ИТ инфраструктура предприятия • Дорогой RAS Dial-in network (+7-095, ISDN, LD) • Ограничение технологий доступа <56K – как насчет высокоскоростных технологий? • Дорогие услуги Выделенных линийили FR • Очень комплексно иразмазано – трудности в управлении

  29. Деловые Партнеры Мобильные пользователи Филиалы Contivity 1100 • Снижение TCO • Единая инфраструктура • Надежно и защищено • Открытые стандарты (основано на IP) • Потребности предприятий / Соответствие потребностям со стороны провайдеров ЛВС предприятия • Contivity • IP маршрутизация • VPN/Security • Firewalling WEB сервер Интернет Файл сервер IP VPN’s ИТ инфраструктура

  30. Выделенный канал/открытая маршрутизация Virtual Private Networks Определенно предоставляют защиту корпоративного трафика …но есть еще некоторые вопросы которые требуют решения … Открытая маршрутизация Secure Dynamic Routing + Динамическая маршрутизация не являются частью спецификации IPsec Большинство IPsec VPNовстатические Как вы масштабируете VPNы? L3 VPN маршрутизация Требуется новое решение + Услуги Безопасности Интернет ? Статические VPNы сегодня Динамические VPNы завтра Услуги IP предлагаемые для предприятий

  31. VPN Устройство Удаленный доступ Firewall $ IP доступ Корпоративный маршрутизатор WAN маршрутизатор Различные системы управления Дополнительно: Модуль безопасности $$ QOS устройство $$$ IP доступ Firewall Политики Firewall $ $ VPN Устройство $ VPN Устройство Дополнительно: Модуль безопасности Интернет $ Директории IP доступ $ Безопасность Проблемы на предприятиях… Много устройств требуют большего внимания администраторов Site 1 Site 2 • Высокая цена и риски связанные с обновлением аппаратного обеспечения маршрутизаторов для поддержки IPsec • Простои и неполадки связанные с обновлением аппаратного обеспечения • Множество устройств увеличивают TCO & делают управление комплексным • Ужасные IP Услуги и безрадостное управление

  32. Интернет Contivity & Secure Routing Technology (SRT) • Одно устройство - много сервисов • Динамическая маршрутизация внутри VPN • Единые правила безопасности • Гибкая система лицензирования • Простота инсталляции, Низкая TCO • Безопасность заложена в дизайне • Сервисы по потребностям IP услуги VPN Услуги Услуги маршрутизации Аутентификация Firewall услуги QOS/ Управление П/П Клиентские политики Аудит/Сбор статистики Contivity Повсеместный защищенный доступ пользователей VPNы к удаленным филиалам Открытая Интернет маршрутизация

  33. Nortel Networks SRTТехнология Защищенной Маршрутизации • Защищенная структура • Низкая стоимость при развертывании служб • Динамическая защищенная маршрутизация • Защищенный доступ мобильных пользователей где бы они не находились • Единые правила безопасности & управления • Защита инвестиций

  34. LAN A LAN B OSPF Area 1 VRRP Master VPN шлюзы OSPF Area 2 VRRP Backup Интернет LAN C LAN D OSPF и/или RIP работают внутри VPN туннелей Поддержка динамических протоколов – VRRP & OSPF

  35. Аналоговый Модем Резервное соединение через Dial up местного ISP Критичный интерфейс, Критичный туннель X Резервные критичные интерфейсы X Не критичное соединение Резервное соединение Интернет WAN VPN соединение через Интернет Критичные соединения Contivity Contivity Резервные критичные интерфейсы • Гибкая, автоматическая процедура восстановления после сбоев для критических интерфейсов • Позволяет определять любые критические интерфейсы • Физические интерфейсы • Туннель(и) • Маршруты • Любые комбинация из вышеперечисленного • Резервное соединение автоматически устанавливается в случае когда критический интерфейс перестанет быть активным • Поддерживаются DialUP интерфейсы • Поддерживаются не-Dial IP интерфейсы, например. 2nd Ethernet

  36. Contivity Advanced Routing – BWM& Diff-Serv Филиалы Партнеров 56 KB/s Профиль 3 Филиалы компании 256 KB/s Профиль 2 E1 Соединение ADSL Интернет Сервис Провайдер Мобильные Партнеры 28 KB/s Cable Modem Мобильные сотрудники W/ client 128 KB/s

  37. Certificates С сертификатами Маcштабируемость VPN • Сертификаты • RSA Security • Entrust • Verisign • Microsoft pre-shared key • VPN не масштабируются без PKI сертификатов. Почему? Без сертификатов

  38. Смарт Карты • Смарт карты • RSA Security • Datakey • iKey • Activecard • Проблема с цифровыми сертификатами • Любой, кто имеет доступ к персональному ключу может владеть данным сертификатом !! • Смарт карты обеспечивают защищенное хранилище персональных ключей • Персональный ключ никогда не покидает Смарт карты • Все действия по криптации требующие использование частного ключа происходят на микропроцессоре Смарт карты. • Защита пин кодом • Карты становится не действительна после ряда неудачных попыток аутентификации • Двух факторная аутентификация • Вы что-то имеете, и что-то знаете • PKCS #11 & #15 • PKCS #11 – Определяет стандартный крипто API для взаимодействия с различными картами • PKCS #15 – Определяет формат карты для лучшего взаимодействия между Вендорами & доступные функции карты • Инновации в Смарт Картах • Может использоваться для защищенного и портативного хранения любой важной информации • НапримерМедицинские учреждения, информация о пациенте….., • В будущем мобильные телефоны также могут использоваться для двух факторной аутентификации • Смарт карты могут также выступать в качестве уникального IDСотрудника • Биометрические механизмы для использования Смарт карт

  39. IP услуги VPN Услуги Услуги маршрутизации Аутентификация Firewall услуги QOS/ Управление П/П Клиентские политики Аудит/Сбор статистики Большиеорганизации 5000 Фиксированных туннелей 100-140 Мбит/с 3DES VPN 400 Мбит/с Firewall - $50K Линейка шлюзов безопасности IP услуг Contivity Contivity 4600 Сред/Большие Организации 5-2000 Туннелей 50-120 Мбит/с 3DES VPN 300 Мбит/с Firewall - $7,300 – $20K Contivity 2700 Средние организации 5-500 Туннелей 25-100 Мбит/с 3DES VPN 200 Мбит/с Firewall - $3,600 - $7K Единое управление Contivity 1700 Малые/Средние организации 50 фиксированных туннелей 15 Mбит/с 3DES VPN 160 Мбит/с Firewall - $2,495 Contivity 600 Малые учреждения 5-30 Туннелей 10-15 Мбит/с 3DES VPN 100 Мбит/с Firewall - $999-$1,499 Единый VPN Клиент Семейство Contivity 1000 Contivity 1010 Contivity 251 ADSL Contivity 221 Contivity 1050 Домашние пользователи/ мобильные сотрудники 5 Туннелей 5 Мбит/с 3DES VPN $449-$599 Contivity 1100

  40. Contivity VPN Клиент • Поддержка ОС • ОС Microsoft: Win 95, 98, Me, NT, 2000, XP • ДругиеОС: Macintosh, Linux, Solaris, HP-UX, IBM AIX • КПК: Palm, Pocket PC через MovianVPN клиенты от Certicom • Простота использования • Соединение одним щелчком мыши • Поддержка Microsoft dialerа • Сплит туннелирование • Конфигурация загружается с Contivity • Возможность блокировки функций, чтобы пользователи не могли их поменять • Изменяемые баннеры/иконки • Защита на уровне конечного пользователя • TunnelGuard: Проверка пользователей на предмет политик и используемых приложений • API совместимость с ведущими персональными firewallами • Свободно распространяемый firewall доступен от Sygate • Надежность • Архитектура виртуально адаптера позволяющая использовать любые приложения поверх VPN • VPN сессии могут оставаться активными на любой промежуток времени Используется 70 миллионовклиентов Contivity

  41. Интернет Contivity Contivity Contivity • Распределение туннельных соединений несколькими Contivity • IPSec Перенаправление: перенаправление IPSec туннелей на другой шлюз Contivity при высокой нагрузке • Выбор наименее загруженного шлюза Contivity • Защита доступа • Если Contivity выходит из строя, IPSec клиент автоматически соединяется с резервным шлюзом Contivity Аутентификации, балансировка, отказоустойчивость Внешний LDAP Сервер RADIUSСервер Во внешней или внутренней сети Запрос соединения Внутренний LDAP SecurID/Axent или NT Сервер

  42. Аутентификация для туннельного трафика Аутентификация для не туннельного трафика Пользователь 2 Файл сервер 3 Пользователь 3 HTTPS FWUA FWUA Session HTTPS FWUA FWUA Сессии Удаленный офис Интернет Contivity Contivity Пользователь 1 Файл сервер 1 Файл Сервер 2 Сервер Аутентификации Пользовательская аутентификация на Firewall • Обеспечивает аутентификацию пользователей для доступа : • К трафику Офисных VPN туннелей • К трафику Интернет (не туннельному) • FWUA позволяет повысить контроль над пользователями • Туннель защищен, но … • Кто проходит через туннель? • К каким ресурсам пользователи имеют доступ? • Расширение к Contivity Stateful Firewall (требуется лицензия на CSF) • Интуитивно понятный WEB портал для пользователей • Используется SSL соединения

  43. Contivity Туннельный стражПерсональная защита пользователей • Механизм для контроля VPN клиента • приложения/файлымогут быть проверены перед соединением • Дополнительные уровни пользовательских политик • Используемые политики передаются клиенту • Теперь мы можем узнать что есть у пользователя • Совместимость с третьими приложениями • Персональные межсетевые экраны • Антивирусное ПО • ПО определения вторжений • Файлы данных • Агент • Запускается на клиенте • Принимает сообщения от ПО управления • ПО Управления • Работает на сервере • Обменивается сообщениями с Агентом • SRS механизм • Необходимый набор ПО • Создает политики для ПО Управления чтобы контролировать клиента

  44. Шаг 1 создается VPN туннель (с запретом выхода в сеть организации) Шаг 2 Посылка SRS агенту VPN Клиент ТС Агент Интернет Шаг 3 проверка приложений. Дополнительно API опрашивает Персональный МЭна предмет последних обновлений политик безопасности Персональный МЭ Contivity Туннельный стражКак это работает… Сервер управления МЭ VPN Туннель Шаг 4 Запрет выхода в сеть организации снят, пользователь получает доступ

  45. Contivity Stateful Firewall • Полностью совместим с/VPN функциональностью • Инспекция на базе правил • Фильтрация по: • Источнику/Назначения адреса • Источнику/Назначения интерфейса • Приложениям • Активируется лицензией • Интуитивно понятный WEB интерфейс • Простота эксплуатации • Поддержка командной строки CLI • Поддержка SSL управления

  46. 3 years of leadership Gartner Magic Quadrant 1999 - 2001 . NORTEL . . Cisco Ability to Execute Check Point Others Completeness of Vision Лидерство Contivity 2002 Security Product of the YEAR Source: Synergy Research Group (Y2001) Network Computing Tester’s Choice Award for VPN Solutions 2004 • Инсталлировано более 1,000,000 Contivity шлюзов • Установлено более 70,000,000 IPSec клиентов • 7 из 8 именитых Сервис Провайдеров предлагают клиентам Contivity • Более 200 из Top 500 предприятий используют Contivity

  47. Contivity Сервисы предоставляемые Contivity VPN Услуги Маршрутизация * IPsec * 3DES * PPTP * AES * L2TP * IKE * L2TP/IPsec * Elliptic Curve * DES * MD5 * RC4 * SHA-1 * RIP v1/v2 * OSPF * Dynamic routing over VPN * VRRP * ABOT Единое управление Встроенный МЭ * Stateful Inspection * Over 100 ALGs * Packet Filters Приложения Аутентификации * NetID * RADIUS * X.509 * Smart cards * External LDAP * Tokens * PPP * Frame Relay * T1/E1 * Dial-up (V.90) * ISDN * HSSI * QoS/BWM/SLA * Shasta * BCM * Passport * PP 8600 * Wireless * Alteon * Optical * Entrust * GRIC * Verisign * iPass * Sygate * InfoExpress * Intel * RSA * ISS * Certicom * HiFn * Microsoft IP/WAN Услуги Взаимодействие с другими продуктами Nortel/3-их Вендоров Поддержка ПО от 3ихпроизводителей

  48. Firewall решения Nortel Networks

  49. Alteon SSL VPN IPsec клиент Защищенный Центр Обработки Данных ASA ASF Contivity Succession 1000 Optera Metro Contivity i2050 DSL Contivity 2700 Интернет Интернет Интернет Филиалы Штаб квартира Contivity 1000 • Защищен • Аутентифицирован • Надежен Защищенный обмен данными с филиалами Наше решение… Безопасность & Гибкость мобильный сотрудников

  50. Решение для конвергенции КампусаАрхитектура централизованного сетевого управления • Централизованное решение проблем для конвергированных IP сетей • Беспрецедентная масштабируемость: 10,000 IP устройств, 1,000 multicast сессий • Голос, Кампусное ядроe, Оптический Ethernet, Коммутация на уровне приложений, VPN, Маршрутизация

More Related