Единая Архитектура Безопасности

Единая Архитектура Единая Архитектура БезопасностиБезопасности

Minakov AntonMinakov Anton+7 (095) 725-0556+7 (095) 725-0556

[email protected]@nortelnetworks.com

ПрограммаПрограмма

• БезопасностьБезопасность нана уровнеуровне доступадоступа• BayStack & PassportBayStack & Passport• БезопасностьБезопасность нана уровнеуровне приложенийприложений• Alteon Switched FirewallAlteon Switched Firewall• IP VPNIP VPN• ШлюзыШлюзы услугуслуг IP IP безопасностибезопасности Contivity Contivity

• Разумный баланс Разумный баланс сотрудников сотрудников работающих в работающих в офисе и домаофисе и дома

• ““ДоступныеДоступные” ” сотрудникисотрудники независимо от независимо от места положенияместа положения

• Сотрудники Сотрудники работающие везде, работающие везде, где только можно, где только можно, но не там где их но не там где их принуждаютпринуждают

Работа это активность и Работа это активность и РЕЗУЛЬТАТРЕЗУЛЬТАТ, , а не определенное а не определенное

место сотрудникаместо сотрудника

Динамика условий Динамика условий ведения бизнесаведения бизнеса

Рост трафикаРост трафика::• WAN WAN трафикатрафика• Широкополосные Широкополосные

подключенияподключения• B-to-B B-to-B транзакциитранзакции

РостРост::• Атак из ИнтернетАтак из Интернет

• Потеря конфиденциальной Потеря конфиденциальной корпоративной информациикорпоративной информации

• Потеря прибылиПотеря прибыли

ББольольшше е возможностей возможностей доступа в Интернетдоступа в Интернет

Больше АтакБольше Атак

Постоянная дилеммаПостоянная дилемма

Единая Архитектура Единая Архитектура БезопасностиБезопасности

Защ

ита

сете

вого

упр

авд

ени

я

Защита на уровне доступа к сети

Защита на уровне сети

Защита на уровне приложений

Защ

ита

упр

ав-

лени

я д

осту

помУправление на базе политик безопасности

Passport 8600Passport 8600 BayStack / BPSBayStack / BPS

Shasta 5000 BSNShasta 5000 BSN Contivity Secure IP Services Gateway /Contivity Secure IP Services Gateway /Business Communications ManagerBusiness Communications Manager

Alteon Switched FirewallAlteon Switched Firewall

OptivityOptivity

Alteon SSLAlteon SSLAcceleratorAccelerator

Alteon WebAlteon WebSwitchesSwitches

Безопасное управление через SSL VPN Порталы

Active /Active Кластер со Statefull

фильтрацией и с IDS балансировкой

EAP 802.1x, RADIUS акаунтинг SNMPv3, Фильтрация

Защита от DoS атак, L2-L7 фильтрация, Управление П/П,и P2P контроль

Аутентификация клиентов, защищенные голосовые VLANы, Мобильный Вирт. Офис

Безопасная маршрутизация и VPN акселерация, фильтрация трафика, NAT, и поддержка Voice ALG

All core links

active

Unified clients with Multimedia SoftPhones, IP

Voice, Wireless, Analog and Digital

Voice Signaling

Media Gateways

Call Servers

Secured

VoiceZone

SwitchedFirewall

WAN

WAN/VPN

PSTN

Wireless

Защищенные беспроводные решения с поддержкой полного роуминга

Решение для Решение для конвергенции Кампусаконвергенции Кампуса БезопасностьБезопасность

Гостевой домен/ Гостевой домен/ ИнтернетИнтернет

ЛВС предприят

ия

Защита на уровне доступа к Защита на уровне доступа к сетисети

BayStack/PassportBayStack/Passport

СерверСерверПолитикПолитик

Radius Radius СерверСервер

Extended Extended AuthenticatioAuthentication Protocoln Protocol

ПредприяПредприятие тие

партнерапартнера

Избавляет от необходимости останавливать сеть, позволяя ИТ администраторам сфокусироваться на «излечении» инфицированных устройств.

Обеспечивая безопасностьОбеспечивая безопасность 1. Доступ блокируется неавторизованным

пользователям2. Несанкционированные приложения

блокируются на входе3. Предотвращение дальнейшего

распространения «Червей»4. Сетевые администраторы получают

уведомление об инфицированном устройстве

Optivity Policy Server

Безопасное управление через SSL VPN Порталы

Active /Active Кластер со Statefull

фильтрацией и с IDS балансировкой

EAP 802.1x, RADIUS акаунтинг SNMPv3, Фильтрация

Защита от DoS атак, L2-L7 фильтрация, Управление П/П,и P2P контроль

Безопасная маршрутизация и VPN акселерация, фильтрация трафика, NAT, и поддержка Voice ALG

Все соединения активны

УнифицированныеУнифицированные клиенты склиенты с МультимедиаМультимедиа програм. програм. ТелефонамиТелефонами, IP , IP ГолосГолос, ,

БеспроводныеБеспроводные, , Цифровые и Цифровые и АналоговыеАналоговые

Voice Voice SignalingSignaling

Media Media Gateways Gateways

Call Call ServersServers

SecureSecuredd

VoiceVoiceZoneZone

SwitchedFirewall

WAN/VPN

Беспроводные

Защищенные беспроводные решения с поддержкой полного роуминга

Решение для Решение для конвергенции конвергенции Кампуса. Кампуса. БезопасностьБезопасность

ИнтернетИнтернет

ТфОПТфОП

Аутентификация клиентов, защищенные голосовые VLANы, Мобильный Вирт. Офис

Открытая Архитектура Открытая Архитектура БезопасностиБезопасности

Интернет/ЛВС Интернет/ЛВС предпрятия №2предпрятия №2

Switched Switched Firewall Firewall

AcceleratorAccelerator

ЛВС предприятия

№1

Switched Switched Firewall Firewall DirectorDirector

• Возможность масштабирования производительности без Возможность масштабирования производительности без перебоев в работеперебоев в работе

– Базирование на Базирование на Firewall Director Firewall Director и добавление и добавление AcceleratorAccelerator

– Director Director автоматически конфигурируетсяавтоматически конфигурируется, , ии присоединяется к кластеруприсоединяется к кластеру

– Как только политики будут созданы, они Как только политики будут созданы, они автоматически будут действовать на всех автоматически будут действовать на всех устройствах и балансировать нагрузкуустройствах и балансировать нагрузку

– ДоДо 6 Directors 6 Directors на кластерна кластер, 30.000 , 30.000 сессийсессий//сексек• Возможность реализации отказоустойчивых схем без Возможность реализации отказоустойчивых схем без

перебоев в работеперебоев в работе

– Подключаемый Подключаемый Accelerator Accelerator становится автоматически становится автоматически второстепенным и управляется с второстепенным и управляется с AcceleratorAccelerator мастера мастера

– Конфигурирование кластера подКонфигурирование кластера под резервирование + резервирование + использование использование VRRP VRRP информацииинформации

– Использование Использование VRRP VRRP для отказоустойчивостидля отказоустойчивости

– 2 Accelerators 2 Accelerators на кластер в режимена кластер в режиме Active-Standby Active-Standby• Единое управление кластеромЕдиное управление кластером

– Изменения конфигурации, а также обновления ПО Изменения конфигурации, а также обновления ПО пропагандируются на все устройства пропагандируются на все устройства Directors Directors и и Accelerators Accelerators в кластерев кластере

• Простое защищенное управлениеПростое защищенное управление

– WEB WEB Интерфейс управленияИнтерфейс управления с использованиемс использованием HTTP HTTP ии//илиили HTTPS HTTPS

– Командная строкаКомандная строка (CLI) (CLI) с использованием консолис использованием консоли, , TelnetTelnetаа ии//илиили SSH SSH

– Аутентификация администраторовАутентификация администраторов,,пользователейпользователей, , ии управляющих станцийуправляющих станций

ЛВС предприят

ия

ДоДо 90% 90% пакетов может быть обработано пакетов может быть обработано высокопроизводительным высокопроизводительным SFASFA , под управлением политик , под управлением политик SFDSFD

…

Switched Switched Firewall Firewall AcceleratorAccelerator

Switched Switched Firewall Firewall DirectorDirector

Пакет принадлежащий существующей сессии

1 SFA проверяет соответствующую запись в таблице сессий для определения необходимости использования stateful инспекции

2

До 6До 6 Firewall Directors Firewall Directors могут участвовать в могут участвовать в балансировке балансировке нагрузкинагрузки

3 Пакеты являющиеся частью проинспектированной сессии передаются на выход SFA в ЛВС предп., параллельно проходя SFD инспекцию

ИнтернетК Центру обработки данных

Switched firewall accelerationSwitched firewall accelerationКак это работаетКак это работает

Решение для обеспечения Решение для обеспечения безопасности следующего безопасности следующего поколения гарантирующего защитупоколения гарантирующего защиту

+

• Фильтрация контента• Защита от DoS атак• Защита от атак UDP

blast• Листы доступа по IP• Ограничение П/П для

приложений• Разгрузка трафика с

ASD до 90%• 16 Гбит/с

коммутационная матрица с/ отличной производительностью при обработки малых пакетов

• Stateful инспекция пакетов на уровне 4-7 за счет Check Point NG с/ Интеллектом на уровне приложений• Шлюз уровня приложений для обработки динамических портов для H.323 и SIP VoIP трафика

Устройство по обработки данныхУстройство по обработки данныхУстройство по инспекции данныхУстройство по инспекции данных

глубокий анализ пакетов+stateful firewall+анализ на уровне приложений

Приложения безопасностиПриложения безопасности имеющиеся имеющиеся на устройствах на устройствах Firewall Firewall AcceleratorAccelerator

IDS балансиров

ка• Port Mirroring

• Multi-Group Support

Сложная фильтрация

• Инспекция контента на уровне L2-L7

Балансировка сетевых

устройств• До 6 Firewall Directors в кластере

• Балансировка шлюзов

FW

Сетевые сервисы• Network Address Translation

• VLAN Tagging

• Multi-Link Trunking

Встроенные механизмы

безопасности• Защита от DoS атак

•Акселерация Firewall

Управления трафиком

Контроль П/П

(на базе сессий)


• Защита приложений управления с использованием Защита приложений управления с использованием фильтрации с контролем состояния сессийфильтрации с контролем состояния сессий

• Обеспечивает единый портал для администрирования и Обеспечивает единый портал для администрирования и запуска приложенийзапуска приложений

• Включает в себя централизованный сбор статистики по Включает в себя централизованный сбор статистики по доступудоступу кк элементам управления элементам управления SuccessionSuccession

• Легко конфигурируетсяЛегко конфигурируется / / Малая стоимостьМалая стоимость

Nortel SSL Nortel SSL ШлюзШлюз

Element Element ManagerManager

Unified Unified ManagerManager

OTM Web OTM Web ClientClient

CLI/OverlaysCLI/Overlays

Call Pilot Call Pilot AdminAdmin

My Call PilotMy Call Pilot

Решение для конвергенции КампусаРешение для конвергенции Кампуса Безопасность и управлениеБезопасность и управление

Оптимальное Оптимальное использование использование решениярешения RAS VPN RAS VPN

Моби

льн

ост

ь/

Ги

бкост

ь

Высокая

Маленькая

ПриложенийМало Много

•Сотрудник работающий на дому (полное время)

•Точка-Точка

•МобильныМобильный сотрудникй сотрудник

•Сотрудник работающий на дому (не полное время)

С помощью IPSec можно получить слишком многое

SSL может не поддерживать приложения

•Партнерский Extranet

•Партнерский Extranet (в собственном владении)

SSL может ограничивать приложения

IPSec может ограничить мобильность

Режимы работыРежимы работы

Web Браузер в Киоске


Основной режим

•На основе Браузера, не используя клиента•Стандартные приложения:

•Web серфинг•Доступ к файл серверу Intranet•Outlook Web Доступ•Lotus iNotes•Citrix nFuse

Web Браузер с поддержкой

туннелирования аплетов

ИнтернетИнтернетSSL &

Порт Туннелирование

Расширенный режим

•Расширенное без клиента – На основе Браузера, используется Java Applet•Стандартные приложения:

•Терминальный доступ•Windows терминальные службы•Lotus Notes•Citrix ICA•MS Outlook

JavaApplet

Прозрачный режим

Xnet клиент

•На базе клиента•Стандартные приложения

•Любое TCP/IP илиUDP приложение

ИнтернетИнтернетSSL &Порт

Туннелирование

Alteon SSL Alteon SSL линейкалинейка

ПроизводительносПроизводительностьть

Функц

иФ

ункц

иии

Полный спектр продуктов для удовлетворения всех SSL потребностей

ASA 310 FIPS FIPS Уровень 3

совместимый SSL• 400 т/с

ASA 410 Наивысшая

производительность SSL• 2000 т/с

AAS 2424-SSL Коммутатор контента с

акселерацией SSL• 300/1000 т/с

SSL VPNSSL АкселерацияКриптование туннелированных приложенийВстроенное управление трафиком

8661 SAMНаивысшая

производительность SSL акселерации

• 3000 т/с

Только SSL акселерация

NVG 3050 SSL и IPSec VPN RAS Шлюз• 1000 т/с

SSL VPNSSL АкселерацияКриптование туннелированных приложенийВстроенное управление трафиком IPSec VPN

ТфОП

Мобильные пользовател

и

Партнеры

Модемный пул

Интернет

Web Сервер

Клиенты


Директории

Маршрутизатор

Традиционная ИТ Традиционная ИТ инфраструктура инфраструктура предприятияпредприятия

• ДорогойДорогой RAS Dial-in network (+7-095, ISDN, LD) RAS Dial-in network (+7-095, ISDN, LD)• Ограничение технологий доступаОграничение технологий доступа <56K – <56K – как как

насчет насчет высокоскоростных технологийвысокоскоростных технологий??• Дорогие услуги Выделенных линийДорогие услуги Выделенных линий илиили FR FR• Очень комплексно иОчень комплексно и размазаноразмазано – – трудности в трудности в

управленииуправлении

Firewall

Выделенный канал FR/PPP

Филиал

Маршрутизатор

WEBWEB сервер сервер

Мобильные пользователи

Деловые Партнеры

Contivity 1100Филиалы

•СнижениеСнижение TCO TCO

•Единая инфраструктураЕдиная инфраструктура

•Надежно и защищеноНадежно и защищено

•Открытые стандартыОткрытые стандарты ( (основано основано

на на IP)IP)

•Потребности предприятийПотребности предприятий / /

Соответствие потребностям со Соответствие потребностям со

стороны провайдеровстороны провайдеров

Интернет

IP VPN’sIP VPN’s ИТ инфраструктура ИТ инфраструктура


Файл Файл серверсервер

Contivity• IP маршрутизация• VPN/Security• Firewalling

Услуги Услуги IP IP предлагаемые для предлагаемые для предприятийпредприятий

Динамическая маршрутизация не являются Динамическая маршрутизация не являются

частью спецификации частью спецификации IPsecIPsec

БольшинствоБольшинство IPsec VPN IPsec VPNовов статическиестатические

Как вы масштабируете Как вы масштабируете VPNVPNыы??

СтатическиеСтатические VPNVPNы сегодняы сегодня

Динамические Динамические VPNVPNы ы завтразавтра

Virtual Private Networks Virtual Private Networks Определенно предоставляют защиту Определенно предоставляют защиту

корпоративного трафикакорпоративного трафика … …но есть еще но есть еще некоторые вопросы которые требуют некоторые вопросы которые требуют

решениярешения … …

??

++

++

Открытая маршрутизаци

я

Услуги Безопасност

и

Выделенный канал/открыт

ая маршрутизац

ия

L3 VPN маршрутизаци

я

Интернет

Требуется Требуется новое новое

решениерешение

Secure Dynami

c Routing

Проблемы на предприятиях…Проблемы на предприятиях…

•Высокая цена и риски связанные с обновлением аппаратного Высокая цена и риски связанные с обновлением аппаратного

обеспечения маршрутизаторов для поддержки обеспечения маршрутизаторов для поддержки IPsecIPsec

•Простои и неполадки связанные с обновлением аппаратного Простои и неполадки связанные с обновлением аппаратного

обеспеченияобеспечения

•Множество устройств увеличиваютМножество устройств увеличивают TCO & TCO & делают управление делают управление

комплекснымкомплексным

•Ужасные Ужасные IP IP Услуги и безрадостное управлениеУслуги и безрадостное управление

Политики

Безопасность

Много устройств требуют большего внимания Много устройств требуют большего внимания

администраторовадминистраторов

Дополнительно

:Модуль безопасности

Дополнительно:Модуль безопасности

$

Site 1

Site 2

Удаленный доступ

Директории

Различные системы

управления $$$

Корпоративный

маршрутизатор $$


WANмаршрутизатор

$

VPN Устройство

Firewall

Firewall

IP доступ

$

Firewall

QOS устройство

$VPN Устройство

$VPN Устройство

IP доступ

$IP доступ


Contivity & Secure Routing Contivity & Secure Routing Technology (SRT)Technology (SRT)

• Одно устройство - много сервисовОдно устройство - много сервисов– Динамическая маршрутизация внутриДинамическая маршрутизация внутри VPN VPN– Единые правила безопасностиЕдиные правила безопасности– Гибкая система лицензированияГибкая система лицензирования

• Простота инсталляцииПростота инсталляции, , НизкаяНизкая TCO TCO– Безопасность заложена в дизайнеБезопасность заложена в дизайне– Сервисы по потребностямСервисы по потребностям

VPN Услуги

Услуги

маршрутизации

Аутентификация

Firewall услуги

QOS/ Управление П/П

Клиентские

политики

Аудит/Сбор

статистики

IP услуги

Contivity

VPNVPNы к ы к удаленным удаленным филиаламфилиалам Открытая Интернет маршрутизация Открытая Интернет маршрутизация

Повсеместный Повсеместный защищенный доступ защищенный доступ пользователейпользователей

Поддержка динамических Поддержка динамических протоколовпротоколов – VRRP & OSPF – VRRP & OSPF


OSPF OSPF ии//илиили RIP RIP

работают работают внутри внутри VPNVPN туннелейтуннелей

VRRPVRRPMasterMaster

VRRPVRRPBackupBackup

OSPF Area 1

LAN A LAN B

VPNVPNшлюзышлюзы

LAN C LAN D

OSPF Area 2

Интернет

WAN

ContivityContivity

ContivityContivity

Резервные критичные Резервные критичные интерфейсыинтерфейсы

• ГибкаяГибкая, , автоматическая процедура автоматическая процедура восстановления после сбоев для восстановления после сбоев для критических интерфейсовкритических интерфейсов

• Позволяет определять любые Позволяет определять любые критические интерфейсыкритические интерфейсы– Физические интерфейсыФизические интерфейсы– ТуннельТуннель((ии))– МаршрутыМаршруты– Любые комбинация из Любые комбинация из

вышеперечисленноговышеперечисленного• Резервное соединение Резервное соединение

автоматически устанавливается в автоматически устанавливается в случае когда критический случае когда критический интерфейс перестанет быть интерфейс перестанет быть активнымактивным

• Поддерживаются Поддерживаются DialDial UP UP интерфейсыинтерфейсы

• Поддерживаются неПоддерживаются не-Dial IP-Dial IP интерфейсыинтерфейсы, , напримернапример. 2. 2ndnd EthernetEthernet

Критичный

интерфейс,

Критичный туннель

Критичные соединени

я

Не Не критичное критичное

соединениесоединение

VPN VPN соединение соединение

через через ИнтернетИнтернет

Резервное Резервное соединение соединение

через через Dial up Dial up местного местного ISPISP

Резервное соединени

е

АналоговыАналоговый Модемй Модем

Резервные критичные интерфейс

ы

X

X

Интернет Интернет Сервис Сервис

ПровайдеПровайдерр

Филиалы Филиалы ПартнеровПартнеров56 KB/s56 KB/s

Филиалы компанииФилиалы компании256 KB/s256 KB/s

МобильныеМобильныеПартнерыПартнеры28 KB/s28 KB/s

МобильныеМобильныесотрудникисотрудникиW/ clientW/ client128 KB/s128 KB/s

Advanced Routing – BWM& Diff-Advanced Routing – BWM& Diff-ServServ

ADSLADSL

ПрофильПрофиль 3 3

ПрофильПрофиль 2 2

E1 E1 СоединениеСоединение

Cable Cable ModemModem

ContivityContivity

VPN Услуги

Услуги

маршрутизации

Аутентификация

Firewall услуги

QOS/ Управление П/П

Клиентские

политики

Аудит/Сбор

статистики

IP услуги

Линейка шлюзов безопасности Линейка шлюзов безопасности IPIP услуг услуг ContivityContivity

Contivity 1700Contivity 1700



Малые/Средние организации 50 фиксированных туннелей

15 Mбит/с 3DES VPN160 Мбит/с Firewall - $2,495

Средние организации5-500 Туннелей

25-100 Мбит/с 3DES VPN200 Мбит/с Firewall - $3,600 - $7K

Сред/Большие Организации 5-2000 Туннелей

50-120 Мбит/с 3DES VPN300 Мбит/с Firewall - $7,300 – $20K

Большие организации 5000 Фиксированных

туннелей100-140 Мбит/с 3DES VPN400 Мбит/с Firewall - $50K

Семейство Семейство Contivity 1000Contivity 1000

Contivity 1010

Малые учреждения 5-30 Туннелей

10-15 Мбит/с 3DES VPN100 Мбит/с Firewall - $999-

$1,499

ЕдиныйЕдиный VPN VPN КлиентКлиент

Contivity 1050

Contivity 1100


Единое управлениеЕдиное управление

Contivity Contivity 251 251 ADSLADSLContivity 221Contivity 221 Домашние пользователи/

мобильные сотрудники5 Туннелей

5 Мбит/с 3DES VPN $449-$599

Contivity VPN Contivity VPN КлиентКлиент

Используется 70 миллионов клиентов Contivity

Поддержка ОСПоддержка ОС– ОС ОС Microsoft: Win 95, 98, Me, NT, 2000, XPMicrosoft: Win 95, 98, Me, NT, 2000, XP– ДругиеДругие ОСОС: Macintosh, Linux, Solaris, HP-UX, : Macintosh, Linux, Solaris, HP-UX,

IBM AIXIBM AIX– КПККПК: Palm, Pocket PC : Palm, Pocket PC черезчерез MovianVPN MovianVPN

клиенты отклиенты от Certicom Certicom

Защита на уровне Защита на уровне конечного пользователяконечного пользователя– TunnelGuard: TunnelGuard: Проверка Проверка

пользователей на предмет пользователей на предмет политик и используемых политик и используемых приложенийприложений

– API API совместимость с совместимость с ведущими персональными ведущими персональными firewallfirewallамиами

– Свободно Свободно распространяемый распространяемый firewallfirewall доступен отдоступен от Sygate Sygate

НадежностьНадежность – Архитектура виртуально адаптера Архитектура виртуально адаптера

позволяющая использовать любые позволяющая использовать любые приложения поверхприложения поверх VPN VPN

– VPN VPN сессии могут оставаться активными на сессии могут оставаться активными на любой промежуток временилюбой промежуток времени

Простота использованияПростота использования– Соединение одним щелчком мышиСоединение одним щелчком мыши– Поддержка Поддержка Microsoft dialerMicrosoft dialerаа– Сплит туннелированиеСплит туннелирование– Конфигурация загружается с Конфигурация загружается с Contivity Contivity – Возможность блокировки функций, чтобы Возможность блокировки функций, чтобы

пользователи не могли их поменятьпользователи не могли их поменять– Изменяемые баннерыИзменяемые баннеры//иконкииконки

ContivityФайл

сервер 3

Пользователь 2

Интернет

Пользовательская Пользовательская аутентификация на аутентификация на FirewallFirewall

• Обеспечивает аутентификацию Обеспечивает аутентификацию пользователей пользователей для доступа :для доступа :– К трафику Офисных К трафику Офисных VPNVPN

туннелейтуннелей– К трафику ИнтернетК трафику Интернет ( (не не

туннельномутуннельному))

• FWUA FWUA позволяет повысить позволяет повысить контроль над пользователямиконтроль над пользователями

– Туннель защищен, но …Туннель защищен, но …

– Кто проходит через туннельКто проходит через туннель??

– К каким ресурсам пользователи К каким ресурсам пользователи имеют доступимеют доступ??

• Расширение к Расширение к Contivity Stateful Contivity Stateful Firewall (Firewall (требуется лицензия натребуется лицензия на CSF)CSF)

• Интуитивно понятный Интуитивно понятный WEBWEB портал портал для пользователейдля пользователей

• Используется Используется SSL SSL соединениясоединения

Уд

ал

енны

й о

фис

HTTPS F

WU

AFW

UA

Sess

ion

Аутентификация Аутентификация для не для не

туннельного туннельного трафикатрафика

Contivity

Сервер Аутентификаци

и


Файл сервер 1

Файл Сервер 2


Аутентификация Аутентификация для туннельного для туннельного

трафикатрафика

FW

UA

Сесси

иH

TTPS F

WU

A


Туннельный стражТуннельный стражКак это работает…Как это работает…

ТСТС АгентАгент

ШагШаг 2 2 ПосылкаПосылка SRS SRS

агентуагенту

ПерсональныйПерсональныйМЭМЭ

ШагШаг 3 3 проверка приложенийпроверка приложений. . Дополнительно Дополнительно API API опрашивает опрашивает Персональный МЭПерсональный МЭ на предмет последних на предмет последних обновлений политик безопасностиобновлений политик безопасности

Сервер Сервер управлениуправлени

я МЭя МЭ

ШагШаг 4 4 Запрет выхода в сеть Запрет выхода в сеть организации сняторганизации снят, , пользователь получает пользователь получает доступдоступ

VPN VPN КлиентКлиент

ШагШаг 1 1 создается создается VPN VPN туннельтуннель((с запретом с запретом выхода в сеть выхода в сеть организацииорганизации))

VPN VPN ТуннельТуннель

ContivityContivity

Contivity Stateful FirewallContivity Stateful Firewall• Полностью совместим сПолностью совместим с/VPN /VPN

функциональностьюфункциональностью• Инспекция на базе правилИнспекция на базе правил• Фильтрация поФильтрация по::

– Источнику/Назначения адресаИсточнику/Назначения адреса– Источнику/Назначения Источнику/Назначения

интерфейсаинтерфейса– ПриложениямПриложениям

• Активируется лицензиейАктивируется лицензией

• Интуитивно понятный Интуитивно понятный WEBWEB интерфейсинтерфейс

• Простота эксплуатацииПростота эксплуатации• Поддержка командной строки Поддержка командной строки CLICLI• Поддержка Поддержка SSL SSL управленияуправления

•Инсталлировано более 1,000,000 Contivity шлюзов

•Установлено более 70,000,000 Установлено более 70,000,000 IPSec IPSec клиентовклиентов

•7 из 8 именитых Сервис Провайдеров предлагают

клиентам Contivity•Более 200 из Top 500

предприятий используют Contivity

Source: Synergy Research Group (Y2001)

Лидерство Лидерство ContivityContivity

3 years of leadershipGartner Magic Quadrant 1999 -

2001

Cisco

Check Point

Others

NORTEL

. .

Ab

ilit

y t

o

Execu

te

Completeness of Vision

.

2002 Security Product of the YEAR

Network Computing Tester’s Choice Award for VPN Solutions 2004

• Более 50 млн. телефонных линий для предприятий

• Более 50 млн. Ethernet портов

With over a century of delivering innovation and communication services to our customers, Nortel Networks maintains our

emphasis on leveraging today's networks while providing cost-effective evolution strategies in over 150 countries.

Documents

Единая Архитектура Безопасности