销售培训-防火墙产品.ppt

《销售培训-防火墙产品.ppt》由会员分享，可在线阅读，更多相关《销售培训-防火墙产品.ppt（47页珍藏版）》请在三一办公上搜索。

1、2009/03,防火墙产品培训文档,刘旭昇 2010年2月,培训内容,概念描述产品介绍案例分析,概念描述,并发连接数：是指防火墙对其业务信息流的处理能力，是防火墙能够同时处理的点对点连接的最大数目，它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力，这个参数的大小直接影响到防火墙所能支持的最大信息点数。,吞吐量是指在没有帧丢失的情况下，设备能够接受的最大速率,吞吐量测试结果以比特/秒或字节/秒表示。,VPN(Virtual Private Network）虚拟专用网络。虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位

2、于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。,UTM(Unified Threat Management)统一威胁管理，是对传统防护手段的整合和升华，是建立在原有安全网关设备基础之上的，拥有防火墙、入侵防御(IPS)、防病毒(AV)、VPN、内容过滤、反垃圾邮件等多种功能。,IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源

3、的机密性、完整性和可用性。,IPS是英文“Intrution Protection System”的缩写，中文意思是“入侵防护系统”。倾向于提供主动性的防护，其设计旨在预先对入侵活动和攻击性网络流量进行拦截，避免其造成任何损失，而不是简单地在恶意流量传送时或传送后才发出警报。,SSL VPN即指采用SSL（Security Socket Layer，安全套接字层）协议来实现远程接入的一种新型VPN技术。SSL协议是基于WEB应用的安全协议，它包括：服务器认证、客户认证、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说，使用SSL可保证信息的真实性、完整性和保密性,IPS

4、EC VPN（Internet Protocol Security，因特网安全协议）在IPSEC VPN里，通信双方首先要采用一定的方式建立连接，确定所要采用的安全策略和使用模式，包括加密运算法则和身份验证方法类型等。一旦IPSEC通道建立，所有其上层协议数据都被进行加密，而不管这些通道构建时所采用的安全和加密方法如何。,产品介绍,思科ASA 5500 系列功能,防火墙技术Cisco PIX,IPS 技术Cisco IPS,内容安全Trend Micro,VPN 技术Cisco VPN 3000,网络智能Cisco Network Services,应用监测,使用强制,网上控制Applicat

5、ion Security,病毒等攻击防范异常检测Anti-X Defenses,流量控制,提前响应Network Containment&Control（网络围堵和控制）,安全连接IPSec&SSL VPN,市场已有技术,自适应攻击防御和安全连接,思科 ASA 5500 系列企业版,A Family of Tailored Packages for Location Specific Needs,Cisco ASA 5500 Firewall Edition,Cisco ASA 5500 Anti-X Edition,Cisco ASA 5500SSL&IPSecVPN Edition,Cis

6、co ASA 5500 IPS Edition,每个版本都能满足特定的企业环境需求：防火墙版：使企业能够安全、可靠地部署关键业务应用和网络。独特的模块化设计能够提供卓越的投资保护，降低运作成本。IPS版：通过一组防火墙、应用安全性和入侵防御服务，防止关键业务服务器和基础设施遭受蠕虫、黑客及其它威胁的袭击。Anti-X版：利用全面的安全服务套件，为小型站点或远程站点的用户提供保护。企业级防火墙和VPN服务提供到公司网络的安全连接。Anti-X服务能够防止客户端系统遭受恶意Web站点以及病毒、间谍软件和诱骗等基于内容的威胁侵袭。SSL/IPsec VPN版：使远程用户能够安全地访问内部网络系统和服

7、务，为大型企业部署支持VPN集群。安全套接字层（SSL）和IP Security（IPsec）VPN 远程接入技术将Cisco Secure Desktop 等威胁迁移技术与防火墙和入侵防御服务有机地结合在一起，保证VPN流量不会给企业带来威胁。,版本说明:,CiscoASA 5520,CiscoASA 5540,Cisco ASA 5500 系列产品 从SOHO到大企业,性能防火墙吞吐量防火墙+IPS吞吐量最大IP Sec吞吐量最大IPSec/SSL VPN 连接数,SMB and SME,市场定位,适用平台最高连接数 新建连接数/秒集成式端口最高虚拟接口高可用性支持,Enterprise,

8、MediumEnterprise,300 Mbps300 Mbps170 Mbps250/250,450 Mbps375 Mbps225 Mbps750/750,650 Mbps450 Mbps325 Mbps5000/2500,50,000/130,0006,0003+1 FE/5 FE10/25A/A&A/S(Sec Plus),CiscoASA 5550,LargeEnterprise,1.2 GbpsN/A425 Mbps5000/5000,280,0009,0004 GE+1 FE100A/A&A/S,400,00020,0004 GE+1 FE200A/A&A/S,650,0002

9、8,0008 GE+1 FE200A/A&A/S,SOHO and ROBO,150 MbpsFuture100 Mbps25/25,10,000/25,0003,0008-port FE switch3/3(trunk)Stateless A/S(Sec Plus),CiscoASA 5510,CiscoASA 5505,H3C SecPath系列 安全产品介绍,SecPath 系列防火墙概览,设备扩展能力、处理能力、高可用性,SOHO用户,电信级/数据中心,大型企业,SecPath10F,SecPath100F-S,SecPath100F,SecPath100F-E,SecPath500F

10、,SecPath1000F,SecPath1800F,中型企业,小型企业,千兆设备,百兆设备,SecPath F5000,万兆设备,产品命名：Quidway SecPath 10F市场定位：桌面型防火墙，SOHO、小企业或分支机构的安全接入设备处理性能：吞吐量10Mbps，加密性能5M，100条VPN通道接口数量：1X10M WAN+4XFE LAN配置：8M FLASH，64M内存产品特点：提供网络安全保障和防护功能支持丰富的VPN业务特性电信级设备高可靠性全面细粒度的QoS保证智能、高效、动态和图形化的管理,SecPath 10F介绍,SecPath 100F-S介绍,产品命名：Quidw

11、ay SecPath 100F-S市场定位：入门型百兆防火墙，作为SOHO、小企业的出口防火墙设备处理性能：吞吐量80M，并发连接25万，每秒新增连接5000，VPN加密性 能40Mbps（硬件）接口数量：4XFE WAN配 置：16M FLASH，128M内存产品特点：提供网络安全保障和防护功能支持丰富的VPN业务特性电信级设备高可靠性全面细粒度的QoS保证智能、高效、动态和图形化的管理,产品命名：Quidway SecPath 100F市场定位：标准型百兆防火墙，作为中小企业的出口防火墙设备，或中型企 业的内部防火墙设备处理性能：吞吐量300M，并发连接50万，每秒新增连接1万，VPN加密

12、性能 10/60Mbps（软/硬件）接口数量：3XFE WAN+4FE LAN；一个MIM扩展槽位，可选接口模块包括 1FE/2FE/4FE/IPSec加密卡配 置：16M FLASH，256M内存产品特点：提供网络安全保障和防护功能支持丰富的VPN业务特性电信级设备高可靠性全面细粒度的QoS保证智能、高效、动态和图形化的管理,SecPath 100F介绍,产品命名：Quidway SecPath 500F-E市场定位：增强型百兆防火墙，作为中小企业的出口防火墙设备，或中型企 业的内部防火墙处理性能：吞吐量400M，并发连接80万，每秒新增连接1.5万，VPN加密性 能400Mbps（硬件）接

13、口数量：4XFE WAN；一个MIM扩展槽位，可选接口模块包括1FE/2FE/4 FE/1GE(光/电)/2GE(光/电)配 置：16M FLASH，256M内存（可扩至512M）产品特点：提供网络安全保障和防护功能支持丰富的VPN业务特性电信级设备高可靠性全面细粒度的QoS保证智能、高效、动态和图形化的管理,SecPath 500F-E介绍,产品命名：Quidway SecPath 500F市场定位：入门型千兆防火墙，作为大中型企业的出口或内部防火墙处理性能：吞吐量1G，并发连接100万，每秒新增连接2万，VPN加密性能 350Mbps接口数量：四个固定GE口（其中两个为光/电接口，另外两个

14、为10/100/100M电 口）；支持两个MIM扩展槽位，可选接口模块包括 1FE/2FE/4FE/1GE(光/电)/2GE(光/电)配 置：16M FLASH，512M内存（可扩至1G）；内置IPSec硬件加密产品特点：提供网络安全保障和防护功能支持丰富的VPN业务特性(SSL VPN)电信级设备高可靠性全面细粒度的QoS保证智能、高效、动态和图形化的管理,SecPath 500F介绍,产品命名：Quidway SecPath 1000F市场定位：企业级千兆防火墙，作为大中型企业的出口或内部防火墙处理性能：吞吐量1.5G，并发连接150万，每秒新增连接3万，VPN加密性600M接口数量：两个

15、固定GE口（光/10/100/1000M 电接口）；支持一个MIM扩展槽位，可选接口模块包括1FE/2FE/4FE/1GE(光/电)/2GE(光/电)配 置：16M FLASH，512M内存（可扩至1G）；内置IPSec硬件加密产品特点：提供网络安全保障和防护功能支持丰富的VPN业务特性(SSL VPN)电信级设备高可靠性全面细粒度的QoS保证智能、高效、动态和图形化的管理,SecPath 1000F介绍,产品命名：Quidway SecPath 1800F市场定位：基于NP技术的电信级千兆防火墙，可以作为大型企业的出口、数据内 部网络安全隔离防火墙；处理性能：吞吐量4G，并发连接200万，每

16、秒新增连接10万，VPN加密性能100M接口数量：两个固定的10/100MFE口(做管理或者HA使用)，提供四个HIC扩插槽，可选接口模块包括：2FE/4FE/8FE/1GE-SFP/2GE-SFP/IPSec加密卡，最多可支持6GE+2FE+加密卡，或者26FE+加密卡配 置：32M FLASH，256M内存（可扩至 512M）产品特点：支持路由，透明及混合工作模式支持P2P流量检测及控制静态路由；RIP1/2、OSPF、BGP、策略路由电信级设备高可靠性强大安全日志功能,SecPath 1800F介绍,SecPath F5000-A5是目前全球处理性能最高的分布式防火墙，旨在满足大型企业、

17、运营商和数据中心网络高性能的安全防护。SecPath F5000-A5采用多核多线程、ASIC等先进处理器构建分布式架构，将系统管理和业务处理相分离，实现整机吞吐量达到40Gbps，使其具有全球最高性能的分布式安全处理能力。SecPath F5000-A5支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全；采用ASPF（Application Specific Packet Filter）应用状态检测技术，可对连接状态过程和异常命令进行检测；支持多种VPN业务，如L2TP VPN、GRE VPN、IPSec VPN和动态VPN等，可以构建多种形

18、式的VPN；提供基本的路由能力，支持RIP/OSPF/BGP/路由策略及策略路由,产品特点：支持双机状态热备功能，支持Active/Active和Active/Passive两种工作模式，实现负载分担和业务备份 36年的平均无故障时间(MTBF)远端链路状态监测（L3 monitor）设备关键部件均采用冗余设计 支持机箱内部环境温度自动检测，并可通过网管自动采集告警信息 双电源冗余备份,SecPath F5000-A5产品介绍,SINFOR AC产品介绍,上网行为管理产品,为了满足不同规模用户的部署需求，深信服科技面向SOHO、分支机构、小型组织、中小型组织、大中型组织、超大型组织等规模，提供

19、了不同型号和平台，具体如下：,表一：,表二：,上网行为管理产品,为了满足不同规模用户的部署需求，深信服科技面向SOHO、分支机构、小型组织、中小型组织、大中型组织、超大型组织等规模，提供了不同型号和平台，具体如下：,SINFOR 防火墙产品,SINFOR S5100是集成VPN/防火墙的硬件网关，采用了最先进的嵌入式一体化硬件平台、RISC NP处理器，保证了高可靠性和突出的性能。S5100支持3个百兆网络接口（1 LAN,1 WAN,1 DMZ），为小型企业、分支机构提供了强大的安全网关（VPN/防火墙/共享上网）功能。S5100的VPN吞吐量为：,S5100,510M（AES加密），而防火

20、墙的吞吐量达到50M，完全能够满足绝大部分中小型企业ADSL等宽带网络接入环境。在外观设计上，SINFOR S5100设备紧凑、美观。所采用全钢结构的外壳，标准化的1U尺寸，一体化的嵌入式硬件平台和低功耗的设计，非常适用于小型企业或分支机构等规模较小的网络。,SINFOR S5100产品介绍,深信服科技推出的SINFOR M5100，是一款高性价比的硬件VPN/防火墙网关，用于中型企业总部网络或大型企业的区域总部网络。该产品又分标准版、专业版两款，其中标准版支持3个百兆网络接口（1 LAN,1 WAN,1 DMZ），为单线路VPN。专业版支持4个百兆网络接口（1 LAN,2 WAN,1 DMZ

21、），为双线路VPN，支持两条,M5100,Internet线路带宽叠加及备份。SINFOR M5100具有强大的VPN功能，支持各种Internet接入方式（包括ADSL、LAN宽带、XDSL等等）。设备内置WebAgent动态IP寻址机制，双寻址方式保证了寻址的稳定性。SINFOR M5100采用了改进的IPSEC协议，在确保VPN隧道安全外网的攻击。,SINFOR M5100产品介绍,SINFOR M5400是一款功能强大的安全平台，是千兆高性能的硬件VPN/防火墙网关，用于大型企业或重要网络的中心节点。标准配置的一台设备支持4个千兆接口（其中2个WAN口，1个LAN口，1个DMZ口）和2

22、个百兆接口（用于WAN口）。各网口均可自定义，并能通过模块扩充的方式、增加网口或者光口。对于大型企业或重要网络来说，,带宽和稳定性的要求更高。SINFOR M5400支持4个WAN口（其中1000M*2&10/100M*2），可支持四条Internet出口线路的带宽叠加 和备份，增强了网络的稳定性和出口带宽。同时，多条线路与其他节点建立VPN连接时，能够根据线路匹配质量智能选择通信线路，尤其适用于分支或移动节点分布于不同运营商网络中的情况。,M5400,SINFOR M5400产品介绍,SINFOR SSL VPN网关产品,M5800-S,M5600-S,M5400-S,M5100-S,Son

23、icWall防火墙产品介绍,SonicWALL TZ 系列包括TZ 100、TZ 200 和TZ 210 网络安全设备，是同类产品中最具创新性、速度最快的多层网络安全设备，突破了传统设备的局限性。TZ 系列设备采用了SonicWALL 公司业界领先的统一威胁管理（UTM）技术以及荣获专利的免重组深度包检测（RFDPI）技术*，提供了无与伦比的高性能以及深度威胁防御能力。全新TZ 系列设备的性能大大超越了之前的TZ 180 和190 设备，与其相比，新推出的入门级TZ 100 将UTM 吞吐量提高了2.5 倍。全新的TZ 系列以更高的性价比集成了IPSec、SSL VPN 远程访问、VoIP 和

24、可选的802.11b/g/n 无线功能（可选3G 无线宽带）。TZ 系列尤为适合分布式企业、分支机构、中小型企业、零售企业和管理服务提供商，是市场上第一款经济实惠的解决方案，不仅拥有最快的网络连接速度，还提供了全方位的UTM 保护。,SonicWALL TZ 系列产品介绍,SonicWALL TZ 系列产品性能对比,SonicWALL TZ 系列产品性能对比,NSA 系列采用新一代统一威胁管理（UTM）技术抵抗各种攻击，兼备入侵防御、防病毒及反间谍软件功能和SonicWALL 应用防火墙的应用层控制功能。NSA 系列利用先进的路由、全状态同步高可用性以及高速VPN 技术让您的分支机构、中央区域

25、及分布式中小型企业网络倍添安全性、可靠性、功能性及生产力，同时还将成本及复杂程度降到最低。NSA 系列包括SonicWALL NSA 240、2400、NSA 3500 和NSA 4500，提供各种解决方案，专为满足各种机构的网络安全需求而设计。,SonicWALL NSA系列产品介绍,SonicWALL NAS系列产品性能对比,SonicWALL NAS系列产品性能对比,Check Point 防火墙产品介绍,UTM-1硬件产品为用户提供了经验证的安全技术和容易部署与管理特性的完美结合。通过全线的硬件解决方案，Check PointUTM-1硬件产品整合了诸如防火墙、VPN、入侵防护和防病毒

26、等关键的安全应用到一个单一、容易部署的解决方案之中。因为Check Point UTM-1硬件产品采用了基于全球财富500强企业使用的相同安全技术，中型企业可以对其组织的安全防护状况高枕无忧，同时享受低安全成本和管理开销的附加利益。UTM-1 Total Security 硬件产品提供了一套全面的安全特性集，包括防火墙、入侵防护、防病毒、防间谍软件、防垃圾邮件、Web 内容过滤、Web应用防护和安全的站点到站点以及远程访问连接。UTM-1 全面安全（Total Security）硬件产品提供了全面的安全更新升级，硬件保障支持和长达三年的用户支持折扣。UTM-1 Edge 产品为低于100人的分

27、支办公室提供了集成的防火墙、入侵防护、Ipsec VPN和防病毒功能，确保了小型办公室获得与企业总部同样的安全防护水平。它们同样包括了集成无线局域网和ADSL接口以及专门为工业环境设计机箱的型号选择。,小型到中型站点,Check Point Power-1 硬件产品能够允许企业在诸如大型校园或者数据中心等高性能环境中提供最大化的安全性保障。他们通过高级的加速技术整合了集成的防火墙、IPsec VPN和入侵防护功能，从而提供了能够适用于多千兆级环境的高性能安全平台。Power-1硬件产品提供了两种型号-Power-1 5070和Power-1 9070-这使得企业能够为他们的环境选择合适的性能水

28、平和接口密度。产品优势 通过提供高达14Gbps防火墙吞吐率和6.1Gbps的入侵防护 吞吐率，能够确保业务关键性应用的可用性；为大型办公室和数据中心提供增强的企业安全部署；通过按需扩展提供了全面的安全性，包括SSL VPNS、Web安全、Web内容过滤、防病毒、防间谍软件和防垃圾邮件；通过为所有站点提供的单一管理控制台实现简单的管理；通过可选的SmartDefense服务订阅防护新型的威胁,大型企业和数据中心,Juniper 防火墙产品介绍,SSG 5和SSG20安全业务网关是专用的安全设备，为小型分支办事处、固定的远程办公人员和小型企业的网络部署提供了集高性能、高安全性、路由和局域网/广域

29、网连接方式于一体的完美组合。通过状态防火墙、IPSec VPN、入侵防御系统(IPS)、防病毒(包括防间谍软件、防广告、防钓鱼软件)、防垃圾邮件以及网页过滤等一套完整的统一威胁管理安全特性，可以对进出于分支办事处和企业的流量进行保护，以避免蠕虫、间谍软件、特洛伊木马和恶意软件的侵袭。,SSG 5具有7个10/100板载接口和可选的固定广域网端口。SSG20具有5个10/100接口和2个可用于额外广域网连接的I/O扩展槽。广泛的I/O选项加上路由引擎上支持的广域网协议和封装支持，使得SSG5和SSG20能够作为传统分支机构的办公室路由器来轻松部署，或者成为用于降低前期购置成本和后期运行成本的坚固

30、安全和路由设备。SSG5和SSG20都支持大多数特定无线安全特性所采用的802.11a/b/g协议。,SSG140安全业务网关是一款高性能的、适用于中型分支办事处和中小型独立企业的安全平台，可用于在满足法规遵从性要求的同时，阻止内外部攻击以及防止未授权的访问。SSG140 是一个模块化平台，能够提供超过350 Mbps的状态防火墙流量和100 Mbps的IPSecVPN流量。,SSG140 支持10个板载接口(8个10/100接口和2个10/100/1000接口)以及4个可用于安装额外广域网接口(T1，E1，ISDN BRI S/T 和串口)的I/O扩展插槽，使之成为同类产品中扩展性最强的安全

31、平台。广泛的I/O选项加上路由引擎上支持的广域网协议和封装支持，使得 SSG140 能够作为传统分支办事处的办公室路由器来轻松部署，或者成为用于降低前期购置成本和后期运行成本的集成安全和路由设备。,SSG300系列产品包含专用安全设备，能够为大型企业、地区性分支办事处及中小型企业的网络部署提供集高性能、高安全性、路由和局域网/广域网连接方式于一体的完美组合。通过状态防火墙、IPSec VPN、入侵防御系统（IPS）、防病毒（包括防间谍软件、防广告软件、防钓鱼软件）、防垃圾邮件以及网页过滤等一套完整的统一威胁管理安全特性，可以对进出于地区性分支办事处和企业的流量进行保护，以避免蠕虫、间谍软件、特

32、洛伊木马和恶意软件的侵袭。SSG300系列包含SSG320M和SSG350M安全业务网关。,SSG300系列具有4个10/100/1000板载接口和若干个能够分别用于局域网或广域网接口的I/O扩展插槽，使SSG300系列成为一个非常灵活的平台。I/O选项的灵活组合加上广域网协议和封装支持，使得SSG300系列平台能够被轻松部署为传统分支机构的办公室路由器，或成为用于降低前期投资成本和后期维护成本的坚固安全和路由设备。,SSG500系列由专用安全设备组成，为大型、地区性分支办事处和中型独立企业的网络部署提供了集高性能、高安全性、路由和局域网/广域网连接方式于一体的完美组合。通过状态防火墙、IPS

33、ecVPN、IPS、防病毒(包括防间谍软件、防广告软件、防钓鱼软件)、防垃圾邮件以及网页过滤等一套完整的统一威胁管理安全特性，可以对进出地区性分支办事处和企业的流量流进行保护，以避免蠕虫、间谍软件、特洛伊木马和恶意软件的侵袭。SSG500系列由SSG550/SSG550M和SG520/SSG520M安全业务网关组成。,SSG500系列具有4个10/100/1000 板载接口和 个能够分别用于局域网或广域网接口的 I/O 扩展插槽，使SSG 500系列成为了一款非常灵活的安全平台。I/O选项的灵活组合加上广域网协议支持和封装支持，使得 SSG500 系列平台能够作为传统分支机构的办公室路由器来轻

34、松部署，或者成为用于降低前期购置成本和后期运行成本的坚固安全和路由设备。,案例分析,客户是一家国内服装制造企业，计划在全国各地成立分支机构及设立多个连锁店，总部在深圳，员工人数约600人，通过南凌的20M上网专线访问因特网，要求对总部办公电脑进行上网行为控制。计划下属各分支机构与连锁店通过ADSL访问因特网，同时需要访问到总部的ERP、OA服务器。,需求描述：,深圳,Internet链路,Internet,20M,Cisco2821,个人用户,北京,沈阳,连锁店,连锁店,NOVAInternet,SonicWall 2400,M5400AC,ERPEmail,Sonic wall 240,TZ190,TZ190,Sonic wall 240,Thanks,