Продукция компании « Cisco »

7.1.2. Juniper Networks Firewall/IPSec VPN

Juniper Networks Firewall/IPSec VPN — это семейство универсальных продуктов, объединяющих функции межсетевого экрана (firewall), концентратора виртуальных частных сетей (VPN), маршрутизатора и средства управления трафиком (bandwidth manager). Совмещение функций не влечет за собой ограничений по производительности и функциональности. Такое решение становится возможным благодаря тому, что основные функции по применению правил (т.е. собственно функции межсетевого экрана), шифрации, дешифрации и компрессии (т.е. наиболее ресурсоемкие процедуры при реализации технологии IPSec) во всех продуктах NetScreen реализуются аппаратно на базе высокоскоростных заказных микросхем (ASIC). Модельный ряд включает 12 устройств, в том числе 4 модульных (systems) и 8 с фиксированной конфигурацией (appliances), имеющих различные показатели производительности, тип и количество физических интерфейсов, но использующих единую операционную систему ScreenOS, функционирующую на собственной аппаратной платформе, где в составе элементной базы применяется набор заказных микросхем GigaScreen ASIC собственной разработки.

На всех устройствах используется единая операционная система реального времени ScreenOS разработки компании Juniper Networks. На основе ScreenOS реализуются основные функции межсетевого экрана/VPN концентратора NetScreen, в том числе:

ü поддержка технологии stateful inspection firewall;

ü поддержка виртуальных частных сетей по технологии IPSec, L2TP, L2TP-over-IPSec;

ü реализация алгоритмов управления трафиком для эффективного использования полосы пропускания;

ü обеспечение высокой готовности (high availability) для построения отказоустойчивых решений;

ü поддержка средств управления;

ü поддержка протоколов динамической маршрутизации для удобства интеграции с существующими сетями;

ü поддержка протоколов аутентификации пользователей;

ü защита от известных атак, включая атаки типа SYN, UDP Floods, ICMP Floods, Ping-of-Death, TearDrop, Land и др., а также распознавание попыток сканирования портов, некорректного использования свойств стандартных протоколов, проверку загружаемых компонентов Java/ActiveX/ZIP/EXE, пресечение сессий с незаслуживающими доверия URL;

ü защита от атак на уровне приложений: обнаружение аномалий протоколов (HTTP, FTP, SMTP, POP, IM, NetBios/SMB, P2P, IMAP, DNS, MS-RPC) и 650 сигнатур;

ü URL-фильтрация (внутренняя и внешняя): SurfControl и WebSense;

ü трансляция сетевых адресов (в том числе NAT-T);

ü поддержка динамических протоколов маршрутизации RIPv2, OSPF, BGP-4;

ü поддержка функциональности классического bandwidth-менеджера: классификация трафика и обслуживание каждого класса в соответствии с заданными параметрами QoS.

Программное обеспечение ScreenOS сертифицировано ICSA. В настоящее время проводится тестирование на предмет удовлетворения требований CommonCriteria.

Настройка и конфигурирование устройств NetScreen осуществляются с помощью встроенного web-интерфейса, командной строки или централизованной системы управления NetScreen Security Manager (NSM).

Сравнительный анализ продуктов:

Потребности заказчика	Рекомендованные продукты	Ключевые функциональные возможности
Маленький офис/ Удаленный офис/Удаленные пользователи	NetScreen-HSG NetScreen-5GT NetScreen-5GT ADSL NetScreen-5GT Wireless NetScreen-5XT	Интегрированные устройства безопасности, включающие в себя следующие основные возможности: межсетевой экран с функциями анализа трафика Stateful и Deep Inspection; IPSec VPN; антивирусная фильтрация; web-фильтрация. Быстрая установка и настройка новых устройств в существующем сетевом окружении. Отказоустойчивые устройства, позволяющие реализовать надежное решение с высоким уровнем доступности.
Региональное представительство/ Дополнительный офис/Среднее предприятие	NetScreen-25 NetScreen-50 NetScreen-204 NetScreen-208	Защита от DoS/DDoS-атак. Безопасность на уровне приложений с помощью технологий Deep Inspection и Web Filtering. Поддержка динамической маршрутизации, чтобы исключить возможность ручного вмешательства.
Средние и крупные предприятия/ Транспортные сети/ Дата-центры	NetScreen-500 NetScreen-5200 NetScreen-5400	Специализированные устройства, спроектированные для обеспечения высокой производительности, гибкости и масштабируемости.

7.2. Системы IDS / IPS

7.2.1. Cisco IDS/IPS

Cisco IDS/IPS является центральным компонентом решений Cisco System по отражению атак. На базе данного ПО построены системы обнаружения атак Cisco IDSM-2 и Cisco IDS Network Module. Наряду с традиционными механизмами в Cisco IDS/IPS используются и уникальные алгоритмы, отслеживающие аномалии в сетевом трафике и отклонения от нормального поведения сетевых приложений. Это позволяет обнаруживать как известные, так и многие неизвестные атаки.

Встроенные технологии корреляции событий безопасности Cisco Threat Response, Threat Risk Rating и Meta Event Generator не только помогают существенно снизить число ложных срабатываний, но и позволяют администраторам реагировать лишь на действительно критичные атаки, которые могут нанести серьезный ущерб ресурсам корпоративной сети.

Основные возможности:

ü Широкий спектр алгоритмов обнаружения атак (сигнатуры, аномалии, эвристика, отклонения от RFC и т.п.)

ü Защита от методов обхода

ü Возможность одновременно работать в двух режимах – обнаружения и предотвращения атак

ü Обнаружение атак в IP–телефонии

ü Обнаружение IM в Web–трафике

ü Встроенный сканер безопасности

ü Технология микромодулей Т.А.М.Е. для каждого типа обнаруживаемых атак

ü Автоматический выбор реагирования в зависимости от степени угрозы

ü Интеграция с IDS/IPS других производителей с помощью протокола SDEE

ü Производительность – 8 Гбит/сек в кластере