Единая Архитектура Единая Архитектура БезопасностиБезопасности
Minakov AntonMinakov Anton+7 (095) 725-0556+7 (095) 725-0556
[email protected]@nortelnetworks.com
ПрограммаПрограмма
• БезопасностьБезопасность нана уровнеуровне доступадоступа• BayStack & PassportBayStack & Passport• БезопасностьБезопасность нана уровнеуровне приложенийприложений• Alteon Switched FirewallAlteon Switched Firewall• IP VPNIP VPN• ШлюзыШлюзы услугуслуг IP IP безопасностибезопасности Contivity Contivity
• Разумный баланс Разумный баланс сотрудников сотрудников работающих в работающих в офисе и домаофисе и дома
• ““ДоступныеДоступные” ” сотрудникисотрудники независимо от независимо от места положенияместа положения
• Сотрудники Сотрудники работающие везде, работающие везде, где только можно, где только можно, но не там где их но не там где их принуждаютпринуждают
Работа это активность и Работа это активность и РЕЗУЛЬТАТРЕЗУЛЬТАТ, , а не определенное а не определенное
место сотрудникаместо сотрудника
Динамика условий Динамика условий ведения бизнесаведения бизнеса
Рост трафикаРост трафика::• WAN WAN трафикатрафика• Широкополосные Широкополосные
подключенияподключения• B-to-B B-to-B транзакциитранзакции
РостРост::• Атак из ИнтернетАтак из Интернет
• Потеря конфиденциальной Потеря конфиденциальной корпоративной информациикорпоративной информации
• Потеря прибылиПотеря прибыли
ББольольшше е возможностей возможностей доступа в Интернетдоступа в Интернет
Больше АтакБольше Атак
Постоянная дилеммаПостоянная дилемма
Единая Архитектура Единая Архитектура БезопасностиБезопасности
Защ
ита
сете
вого
упр
авд
ени
я
Защита на уровне доступа к сети
Защита на уровне сети
Защита на уровне приложений
Защ
ита
упр
ав-
лени
я д
осту
помУправление на базе политик безопасности
Passport 8600Passport 8600 BayStack / BPSBayStack / BPS
Shasta 5000 BSNShasta 5000 BSN Contivity Secure IP Services Gateway /Contivity Secure IP Services Gateway /Business Communications ManagerBusiness Communications Manager
Alteon Switched FirewallAlteon Switched Firewall
OptivityOptivity
Alteon SSLAlteon SSLAcceleratorAccelerator
Alteon WebAlteon WebSwitchesSwitches
Безопасное управление через SSL VPN Порталы
Active /Active Кластер со Statefull
фильтрацией и с IDS балансировкой
EAP 802.1x, RADIUS акаунтинг SNMPv3, Фильтрация
Защита от DoS атак, L2-L7 фильтрация, Управление П/П,и P2P контроль
Аутентификация клиентов, защищенные голосовые VLANы, Мобильный Вирт. Офис
Безопасная маршрутизация и VPN акселерация, фильтрация трафика, NAT, и поддержка Voice ALG
All core links
active
Unified clients with Multimedia SoftPhones, IP
Voice, Wireless, Analog and Digital
Voice Signaling
Media Gateways
Call Servers
Secured
VoiceZone
SwitchedFirewall
WAN
WAN/VPN
PSTN
Wireless
Защищенные беспроводные решения с поддержкой полного роуминга
Решение для Решение для конвергенции Кампусаконвергенции Кампуса БезопасностьБезопасность
Гостевой домен/ Гостевой домен/ ИнтернетИнтернет
ЛВС предприят
ия
Защита на уровне доступа к Защита на уровне доступа к сетисети
BayStack/PassportBayStack/Passport
СерверСерверПолитикПолитик
Radius Radius СерверСервер
Extended Extended AuthenticatioAuthentication Protocoln Protocol
ПредприяПредприятие тие
партнерапартнера
Избавляет от необходимости останавливать сеть, позволяя ИТ администраторам сфокусироваться на «излечении» инфицированных устройств.
Обеспечивая безопасностьОбеспечивая безопасность 1. Доступ блокируется неавторизованным
пользователям2. Несанкционированные приложения
блокируются на входе3. Предотвращение дальнейшего
распространения «Червей»4. Сетевые администраторы получают
уведомление об инфицированном устройстве
Optivity Policy Server
Безопасное управление через SSL VPN Порталы
Active /Active Кластер со Statefull
фильтрацией и с IDS балансировкой
EAP 802.1x, RADIUS акаунтинг SNMPv3, Фильтрация
Защита от DoS атак, L2-L7 фильтрация, Управление П/П,и P2P контроль
Безопасная маршрутизация и VPN акселерация, фильтрация трафика, NAT, и поддержка Voice ALG
Все соединения активны
УнифицированныеУнифицированные клиенты склиенты с МультимедиаМультимедиа програм. програм. ТелефонамиТелефонами, IP , IP ГолосГолос, ,
БеспроводныеБеспроводные, , Цифровые и Цифровые и АналоговыеАналоговые
Voice Voice SignalingSignaling
Media Media Gateways Gateways
Call Call ServersServers
SecureSecuredd
VoiceVoiceZoneZone
SwitchedFirewall
WAN/VPN
Беспроводные
Защищенные беспроводные решения с поддержкой полного роуминга
Решение для Решение для конвергенции конвергенции Кампуса. Кампуса. БезопасностьБезопасность
ИнтернетИнтернет
ТфОПТфОП
Аутентификация клиентов, защищенные голосовые VLANы, Мобильный Вирт. Офис
Открытая Архитектура Открытая Архитектура БезопасностиБезопасности
Интернет/ЛВС Интернет/ЛВС предпрятия №2предпрятия №2
Switched Switched Firewall Firewall
AcceleratorAccelerator
ЛВС предприятия
№1
Switched Switched Firewall Firewall DirectorDirector
• Возможность масштабирования производительности без Возможность масштабирования производительности без перебоев в работеперебоев в работе
– Базирование на Базирование на Firewall Director Firewall Director и добавление и добавление AcceleratorAccelerator
– Director Director автоматически конфигурируетсяавтоматически конфигурируется, , ии присоединяется к кластеруприсоединяется к кластеру
– Как только политики будут созданы, они Как только политики будут созданы, они автоматически будут действовать на всех автоматически будут действовать на всех устройствах и балансировать нагрузкуустройствах и балансировать нагрузку
– ДоДо 6 Directors 6 Directors на кластерна кластер, 30.000 , 30.000 сессийсессий//сексек• Возможность реализации отказоустойчивых схем без Возможность реализации отказоустойчивых схем без
перебоев в работеперебоев в работе
– Подключаемый Подключаемый Accelerator Accelerator становится автоматически становится автоматически второстепенным и управляется с второстепенным и управляется с AcceleratorAccelerator мастера мастера
– Конфигурирование кластера подКонфигурирование кластера под резервирование + резервирование + использование использование VRRP VRRP информацииинформации
– Использование Использование VRRP VRRP для отказоустойчивостидля отказоустойчивости
– 2 Accelerators 2 Accelerators на кластер в режимена кластер в режиме Active-Standby Active-Standby• Единое управление кластеромЕдиное управление кластером
– Изменения конфигурации, а также обновления ПО Изменения конфигурации, а также обновления ПО пропагандируются на все устройства пропагандируются на все устройства Directors Directors и и Accelerators Accelerators в кластерев кластере
• Простое защищенное управлениеПростое защищенное управление
– WEB WEB Интерфейс управленияИнтерфейс управления с использованиемс использованием HTTP HTTP ии//илиили HTTPS HTTPS
– Командная строкаКомандная строка (CLI) (CLI) с использованием консолис использованием консоли, , TelnetTelnetаа ии//илиили SSH SSH
– Аутентификация администраторовАутентификация администраторов,,пользователейпользователей, , ии управляющих станцийуправляющих станций
ЛВС предприят
ия
ДоДо 90% 90% пакетов может быть обработано пакетов может быть обработано высокопроизводительным высокопроизводительным SFASFA , под управлением политик , под управлением политик SFDSFD
…
Switched Switched Firewall Firewall AcceleratorAccelerator
Switched Switched Firewall Firewall DirectorDirector
Пакет принадлежащий существующей сессии
1 SFA проверяет соответствующую запись в таблице сессий для определения необходимости использования stateful инспекции
2
До 6До 6 Firewall Directors Firewall Directors могут участвовать в могут участвовать в балансировке балансировке нагрузкинагрузки
3 Пакеты являющиеся частью проинспектированной сессии передаются на выход SFA в ЛВС предп., параллельно проходя SFD инспекцию
ИнтернетК Центру обработки данных
Switched firewall accelerationSwitched firewall accelerationКак это работаетКак это работает
Решение для обеспечения Решение для обеспечения безопасности следующего безопасности следующего поколения гарантирующего защитупоколения гарантирующего защиту
+
• Фильтрация контента• Защита от DoS атак• Защита от атак UDP
blast• Листы доступа по IP• Ограничение П/П для
приложений• Разгрузка трафика с
ASD до 90%• 16 Гбит/с
коммутационная матрица с/ отличной производительностью при обработки малых пакетов
• Stateful инспекция пакетов на уровне 4-7 за счет Check Point NG с/ Интеллектом на уровне приложений• Шлюз уровня приложений для обработки динамических портов для H.323 и SIP VoIP трафика
Устройство по обработки данныхУстройство по обработки данныхУстройство по инспекции данныхУстройство по инспекции данных
глубокий анализ пакетов+stateful firewall+анализ на уровне приложений
Приложения безопасностиПриложения безопасности имеющиеся имеющиеся на устройствах на устройствах Firewall Firewall AcceleratorAccelerator
IDS балансиров
ка• Port Mirroring
• Multi-Group Support
Сложная фильтрация
• Инспекция контента на уровне L2-L7
Балансировка сетевых
устройств• До 6 Firewall Directors в кластере
• Балансировка шлюзов
FW
Сетевые сервисы• Network Address Translation
• VLAN Tagging
• Multi-Link Trunking
Встроенные механизмы
безопасности• Защита от DoS атак
•Акселерация Firewall
Управления трафиком
Контроль П/П
(на базе сессий)
ИнтернетИнтернет
• Защита приложений управления с использованием Защита приложений управления с использованием фильтрации с контролем состояния сессийфильтрации с контролем состояния сессий
• Обеспечивает единый портал для администрирования и Обеспечивает единый портал для администрирования и запуска приложенийзапуска приложений
• Включает в себя централизованный сбор статистики по Включает в себя централизованный сбор статистики по доступудоступу кк элементам управления элементам управления SuccessionSuccession
• Легко конфигурируетсяЛегко конфигурируется / / Малая стоимостьМалая стоимость
Nortel SSL Nortel SSL ШлюзШлюз
Element Element ManagerManager
Unified Unified ManagerManager
OTM Web OTM Web ClientClient
CLI/OverlaysCLI/Overlays
Call Pilot Call Pilot AdminAdmin
My Call PilotMy Call Pilot
Решение для конвергенции КампусаРешение для конвергенции Кампуса Безопасность и управлениеБезопасность и управление
Оптимальное Оптимальное использование использование решениярешения RAS VPN RAS VPN
Моби
льн
ост
ь/
Ги
бкост
ь
Высокая
Маленькая
ПриложенийМало Много
•Сотрудник работающий на дому (полное время)
•Точка-Точка
•МобильныМобильный сотрудникй сотрудник
•Сотрудник работающий на дому (не полное время)
С помощью IPSec можно получить слишком многое
SSL может не поддерживать приложения
•Партнерский Extranet
•Партнерский Extranet (в собственном владении)
SSL может ограничивать приложения
IPSec может ограничить мобильность
Режимы работыРежимы работы
Web Браузер в Киоске
ИнтернетИнтернет
Основной режим
•На основе Браузера, не используя клиента•Стандартные приложения:
•Web серфинг•Доступ к файл серверу Intranet•Outlook Web Доступ•Lotus iNotes•Citrix nFuse
Web Браузер с поддержкой
туннелирования аплетов
ИнтернетИнтернетSSL &
Порт Туннелирование
Расширенный режим
•Расширенное без клиента – На основе Браузера, используется Java Applet•Стандартные приложения:
•Терминальный доступ•Windows терминальные службы•Lotus Notes•Citrix ICA•MS Outlook
JavaApplet
Прозрачный режим
Xnet клиент
•На базе клиента•Стандартные приложения
•Любое TCP/IP илиUDP приложение
ИнтернетИнтернетSSL &Порт
Туннелирование
Alteon SSL Alteon SSL линейкалинейка
ПроизводительносПроизводительностьть
Функц
иФ
ункц
иии
Полный спектр продуктов для удовлетворения всех SSL потребностей
ASA 310 FIPS FIPS Уровень 3
совместимый SSL• 400 т/с
ASA 410 Наивысшая
производительность SSL• 2000 т/с
AAS 2424-SSL Коммутатор контента с
акселерацией SSL• 300/1000 т/с
SSL VPNSSL АкселерацияКриптование туннелированных приложенийВстроенное управление трафиком
8661 SAMНаивысшая
производительность SSL акселерации
• 3000 т/с
Только SSL акселерация
NVG 3050 SSL и IPSec VPN RAS Шлюз• 1000 т/с
SSL VPNSSL АкселерацияКриптование туннелированных приложенийВстроенное управление трафиком IPSec VPN
ТфОП
Мобильные пользовател
и
Партнеры
Модемный пул
Интернет
Web Сервер
Клиенты
ЛВС предприятия
Директории
Маршрутизатор
Традиционная ИТ Традиционная ИТ инфраструктура инфраструктура предприятияпредприятия
• ДорогойДорогой RAS Dial-in network (+7-095, ISDN, LD) RAS Dial-in network (+7-095, ISDN, LD)• Ограничение технологий доступаОграничение технологий доступа <56K – <56K – как как
насчет насчет высокоскоростных технологийвысокоскоростных технологий??• Дорогие услуги Выделенных линийДорогие услуги Выделенных линий илиили FR FR• Очень комплексно иОчень комплексно и размазаноразмазано – – трудности в трудности в
управленииуправлении
Firewall
Выделенный канал FR/PPP
Филиал
Маршрутизатор
WEBWEB сервер сервер
Мобильные пользователи
Деловые Партнеры
Contivity 1100Филиалы
•СнижениеСнижение TCO TCO
•Единая инфраструктураЕдиная инфраструктура
•Надежно и защищеноНадежно и защищено
•Открытые стандартыОткрытые стандарты ( (основано основано
на на IP)IP)
•Потребности предприятийПотребности предприятий / /
Соответствие потребностям со Соответствие потребностям со
стороны провайдеровстороны провайдеров
Интернет
IP VPN’sIP VPN’s ИТ инфраструктура ИТ инфраструктура
ЛВС предприятия
Файл Файл серверсервер
Contivity• IP маршрутизация• VPN/Security• Firewalling
Услуги Услуги IP IP предлагаемые для предлагаемые для предприятийпредприятий
Динамическая маршрутизация не являются Динамическая маршрутизация не являются
частью спецификации частью спецификации IPsecIPsec
БольшинствоБольшинство IPsec VPN IPsec VPNовов статическиестатические
Как вы масштабируете Как вы масштабируете VPNVPNыы??
СтатическиеСтатические VPNVPNы сегодняы сегодня
Динамические Динамические VPNVPNы ы завтразавтра
Virtual Private Networks Virtual Private Networks Определенно предоставляют защиту Определенно предоставляют защиту
корпоративного трафикакорпоративного трафика … …но есть еще но есть еще некоторые вопросы которые требуют некоторые вопросы которые требуют
решениярешения … …
??
++
++
Открытая маршрутизаци
я
Услуги Безопасност
и
Выделенный канал/открыт
ая маршрутизац
ия
L3 VPN маршрутизаци
я
Интернет
Требуется Требуется новое новое
решениерешение
Secure Dynami
c Routing
Проблемы на предприятиях…Проблемы на предприятиях…
•Высокая цена и риски связанные с обновлением аппаратного Высокая цена и риски связанные с обновлением аппаратного
обеспечения маршрутизаторов для поддержки обеспечения маршрутизаторов для поддержки IPsecIPsec
•Простои и неполадки связанные с обновлением аппаратного Простои и неполадки связанные с обновлением аппаратного
обеспеченияобеспечения
•Множество устройств увеличиваютМножество устройств увеличивают TCO & TCO & делают управление делают управление
комплекснымкомплексным
•Ужасные Ужасные IP IP Услуги и безрадостное управлениеУслуги и безрадостное управление
Политики
Безопасность
Много устройств требуют большего внимания Много устройств требуют большего внимания
администраторовадминистраторов
Дополнительно
:Модуль безопасности
Дополнительно:Модуль безопасности
$
Site 1
Site 2
Удаленный доступ
Директории
Различные системы
управления $$$
Корпоративный
маршрутизатор $$
ИнтернетИнтернет
WANмаршрутизатор
$
VPN Устройство
Firewall
Firewall
IP доступ
$
Firewall
QOS устройство
$VPN Устройство
$VPN Устройство
IP доступ
$IP доступ
ИнтернетИнтернет
Contivity & Secure Routing Contivity & Secure Routing Technology (SRT)Technology (SRT)
• Одно устройство - много сервисовОдно устройство - много сервисов– Динамическая маршрутизация внутриДинамическая маршрутизация внутри VPN VPN– Единые правила безопасностиЕдиные правила безопасности– Гибкая система лицензированияГибкая система лицензирования
• Простота инсталляцииПростота инсталляции, , НизкаяНизкая TCO TCO– Безопасность заложена в дизайнеБезопасность заложена в дизайне– Сервисы по потребностямСервисы по потребностям
VPN Услуги
Услуги
маршрутизации
Аутентификация
Firewall услуги
QOS/ Управление П/П
Клиентские
политики
Аудит/Сбор
статистики
IP услуги
Contivity
VPNVPNы к ы к удаленным удаленным филиаламфилиалам Открытая Интернет маршрутизация Открытая Интернет маршрутизация
Повсеместный Повсеместный защищенный доступ защищенный доступ пользователейпользователей
Поддержка динамических Поддержка динамических протоколовпротоколов – VRRP & OSPF – VRRP & OSPF
ИнтернетИнтернет
OSPF OSPF ии//илиили RIP RIP
работают работают внутри внутри VPNVPN туннелейтуннелей
VRRPVRRPMasterMaster
VRRPVRRPBackupBackup
OSPF Area 1
LAN A LAN B
VPNVPNшлюзышлюзы
LAN C LAN D
OSPF Area 2
Интернет
WAN
ContivityContivity
ContivityContivity
Резервные критичные Резервные критичные интерфейсыинтерфейсы
• ГибкаяГибкая, , автоматическая процедура автоматическая процедура восстановления после сбоев для восстановления после сбоев для критических интерфейсовкритических интерфейсов
• Позволяет определять любые Позволяет определять любые критические интерфейсыкритические интерфейсы– Физические интерфейсыФизические интерфейсы– ТуннельТуннель((ии))– МаршрутыМаршруты– Любые комбинация из Любые комбинация из
вышеперечисленноговышеперечисленного• Резервное соединение Резервное соединение
автоматически устанавливается в автоматически устанавливается в случае когда критический случае когда критический интерфейс перестанет быть интерфейс перестанет быть активнымактивным
• Поддерживаются Поддерживаются DialDial UP UP интерфейсыинтерфейсы
• Поддерживаются неПоддерживаются не-Dial IP-Dial IP интерфейсыинтерфейсы, , напримернапример. 2. 2ndnd EthernetEthernet
Критичный
интерфейс,
Критичный туннель
Критичные соединени
я
Не Не критичное критичное
соединениесоединение
VPN VPN соединение соединение
через через ИнтернетИнтернет
Резервное Резервное соединение соединение
через через Dial up Dial up местного местного ISPISP
Резервное соединени
е
АналоговыАналоговый Модемй Модем
Резервные критичные интерфейс
ы
X
X
Интернет Интернет Сервис Сервис
ПровайдеПровайдерр
Филиалы Филиалы ПартнеровПартнеров56 KB/s56 KB/s
Филиалы компанииФилиалы компании256 KB/s256 KB/s
МобильныеМобильныеПартнерыПартнеры28 KB/s28 KB/s
МобильныеМобильныесотрудникисотрудникиW/ clientW/ client128 KB/s128 KB/s
Advanced Routing – BWM& Diff-Advanced Routing – BWM& Diff-ServServ
ADSLADSL
ПрофильПрофиль 3 3
ПрофильПрофиль 2 2
E1 E1 СоединениеСоединение
Cable Cable ModemModem
ContivityContivity
VPN Услуги
Услуги
маршрутизации
Аутентификация
Firewall услуги
QOS/ Управление П/П
Клиентские
политики
Аудит/Сбор
статистики
IP услуги
Линейка шлюзов безопасности Линейка шлюзов безопасности IPIP услуг услуг ContivityContivity
Contivity 1700Contivity 1700
Contivity 2700Contivity 2700
Contivity 4600Contivity 4600
Малые/Средние организации 50 фиксированных туннелей
15 Mбит/с 3DES VPN160 Мбит/с Firewall - $2,495
Средние организации5-500 Туннелей
25-100 Мбит/с 3DES VPN200 Мбит/с Firewall - $3,600 - $7K
Сред/Большие Организации 5-2000 Туннелей
50-120 Мбит/с 3DES VPN300 Мбит/с Firewall - $7,300 – $20K
Большие организации 5000 Фиксированных
туннелей100-140 Мбит/с 3DES VPN400 Мбит/с Firewall - $50K
Семейство Семейство Contivity 1000Contivity 1000
Contivity 1010
Малые учреждения 5-30 Туннелей
10-15 Мбит/с 3DES VPN100 Мбит/с Firewall - $999-
$1,499
ЕдиныйЕдиный VPN VPN КлиентКлиент
Contivity 1050
Contivity 1100
Contivity 600Contivity 600
Единое управлениеЕдиное управление
Contivity Contivity 251 251 ADSLADSLContivity 221Contivity 221 Домашние пользователи/
мобильные сотрудники5 Туннелей
5 Мбит/с 3DES VPN $449-$599
Contivity VPN Contivity VPN КлиентКлиент
Используется 70 миллионов клиентов Contivity
Поддержка ОСПоддержка ОС– ОС ОС Microsoft: Win 95, 98, Me, NT, 2000, XPMicrosoft: Win 95, 98, Me, NT, 2000, XP– ДругиеДругие ОСОС: Macintosh, Linux, Solaris, HP-UX, : Macintosh, Linux, Solaris, HP-UX,
IBM AIXIBM AIX– КПККПК: Palm, Pocket PC : Palm, Pocket PC черезчерез MovianVPN MovianVPN
клиенты отклиенты от Certicom Certicom
Защита на уровне Защита на уровне конечного пользователяконечного пользователя– TunnelGuard: TunnelGuard: Проверка Проверка
пользователей на предмет пользователей на предмет политик и используемых политик и используемых приложенийприложений
– API API совместимость с совместимость с ведущими персональными ведущими персональными firewallfirewallамиами
– Свободно Свободно распространяемый распространяемый firewallfirewall доступен отдоступен от Sygate Sygate
НадежностьНадежность – Архитектура виртуально адаптера Архитектура виртуально адаптера
позволяющая использовать любые позволяющая использовать любые приложения поверхприложения поверх VPN VPN
– VPN VPN сессии могут оставаться активными на сессии могут оставаться активными на любой промежуток временилюбой промежуток времени
Простота использованияПростота использования– Соединение одним щелчком мышиСоединение одним щелчком мыши– Поддержка Поддержка Microsoft dialerMicrosoft dialerаа– Сплит туннелированиеСплит туннелирование– Конфигурация загружается с Конфигурация загружается с Contivity Contivity – Возможность блокировки функций, чтобы Возможность блокировки функций, чтобы
пользователи не могли их поменятьпользователи не могли их поменять– Изменяемые баннерыИзменяемые баннеры//иконкииконки
ContivityФайл
сервер 3
Пользователь 2
Интернет
Пользовательская Пользовательская аутентификация на аутентификация на FirewallFirewall
• Обеспечивает аутентификацию Обеспечивает аутентификацию пользователей пользователей для доступа :для доступа :– К трафику Офисных К трафику Офисных VPNVPN
туннелейтуннелей– К трафику ИнтернетК трафику Интернет ( (не не
туннельномутуннельному))
• FWUA FWUA позволяет повысить позволяет повысить контроль над пользователямиконтроль над пользователями
– Туннель защищен, но …Туннель защищен, но …
– Кто проходит через туннельКто проходит через туннель??
– К каким ресурсам пользователи К каким ресурсам пользователи имеют доступимеют доступ??
• Расширение к Расширение к Contivity Stateful Contivity Stateful Firewall (Firewall (требуется лицензия натребуется лицензия на CSF)CSF)
• Интуитивно понятный Интуитивно понятный WEBWEB портал портал для пользователейдля пользователей
• Используется Используется SSL SSL соединениясоединения
Уд
ал
енны
й о
фис
HTTPS F
WU
AFW
UA
Sess
ion
Аутентификация Аутентификация для не для не
туннельного туннельного трафикатрафика
Contivity
Сервер Аутентификаци
и
Пользователь 1
Файл сервер 1
Файл Сервер 2
Пользователь 3
Аутентификация Аутентификация для туннельного для туннельного
трафикатрафика
FW
UA
Сесси
иH
TTPS F
WU
A
ИнтернетИнтернет
Туннельный стражТуннельный стражКак это работает…Как это работает…
ТСТС АгентАгент
ШагШаг 2 2 ПосылкаПосылка SRS SRS
агентуагенту
ПерсональныйПерсональныйМЭМЭ
ШагШаг 3 3 проверка приложенийпроверка приложений. . Дополнительно Дополнительно API API опрашивает опрашивает Персональный МЭПерсональный МЭ на предмет последних на предмет последних обновлений политик безопасностиобновлений политик безопасности
Сервер Сервер управлениуправлени
я МЭя МЭ
ШагШаг 4 4 Запрет выхода в сеть Запрет выхода в сеть организации сняторганизации снят, , пользователь получает пользователь получает доступдоступ
VPN VPN КлиентКлиент
ШагШаг 1 1 создается создается VPN VPN туннельтуннель((с запретом с запретом выхода в сеть выхода в сеть организацииорганизации))
VPN VPN ТуннельТуннель
ContivityContivity
Contivity Stateful FirewallContivity Stateful Firewall• Полностью совместим сПолностью совместим с/VPN /VPN
функциональностьюфункциональностью• Инспекция на базе правилИнспекция на базе правил• Фильтрация поФильтрация по::
– Источнику/Назначения адресаИсточнику/Назначения адреса– Источнику/Назначения Источнику/Назначения
интерфейсаинтерфейса– ПриложениямПриложениям
• Активируется лицензиейАктивируется лицензией
• Интуитивно понятный Интуитивно понятный WEBWEB интерфейсинтерфейс
• Простота эксплуатацииПростота эксплуатации• Поддержка командной строки Поддержка командной строки CLICLI• Поддержка Поддержка SSL SSL управленияуправления
•Инсталлировано более 1,000,000 Contivity шлюзов
•Установлено более 70,000,000 Установлено более 70,000,000 IPSec IPSec клиентовклиентов
•7 из 8 именитых Сервис Провайдеров предлагают
клиентам Contivity•Более 200 из Top 500
предприятий используют Contivity
Source: Synergy Research Group (Y2001)
Лидерство Лидерство ContivityContivity
3 years of leadershipGartner Magic Quadrant 1999 -
2001
Cisco
Check Point
Others
NORTEL
. .
Ab
ilit
y t
o
Execu
te
Completeness of Vision
.
2002 Security Product of the YEAR
Network Computing Tester’s Choice Award for VPN Solutions 2004
• Более 50 млн. телефонных линий для предприятий
• Более 50 млн. Ethernet портов
With over a century of delivering innovation and communication services to our customers, Nortel Networks maintains our
emphasis on leveraging today's networks while providing cost-effective evolution strategies in over 150 countries.