Part 1：安全网关.ppt

* * * * * * 集中的日志收集和管理监控 … 竞争分析 竞争分析：Check Point vs Juniper vs Cisco vs Fortinet 产品名称 Check Point SecureGateway 系列 Juniper SRX 系列 Cisco ASA系列 Fortinet Fortigate系列 生命周期 技术发展与延续 专业安全 技术延续 市场验证 Netscreen OS VS Junos OS 新推出，全变更 新旧产品并存，产品延续问题 路由交换大背景 ASA替换; PIX FWSM 管内大行业的选择失利 产品线庞大 技术跟进困难 硬件特征明显 中小型客户市场 技术能力 分析 最早的状态检测防火墙-1993年支持300多种预订义协议 深层检测能力强大 软件刀片多功能技术集成 深层检测能力缺乏，是SPF状态包过滤+应用代理方式；一旦开启相关的深层代理机制，其性能则显著下降； 网络路由设备； 深层检测，应用检测技术落后； 深层检测技术落后，支持深层分析协议少；在一些主要支持功能上过于简单，稳定性差 集中管理 能力 基于图形化的管理; 一键式VPN设置，智能管理； 支持真正的统一管理，一张Policy策略表； 日志采集/事件监控/报表分析全集中 标准的Web管理方式 NSM不支持全线产品，很少客户使用策略/日志不统一 Cisco的管理则是命令行最为强大，虽然其也宣称有ADSM集中管理软件，但无论是功能/智能化/集中程度/实时监控能力/日志审计等方面，都无法与专业厂商相比。 初步的集中管理能力，管理功能简单；基于日志选择阻断和日志自动切换等能力没有；VPN还需要逐个点的配置。甚至部分安全升级需down机 HA高可用性 能力分析 支持强大的Active – Active模式的HA功能； 专有的 cluster集群技术可以支持多个节点的同时运行，实现全状态同步，动态负载均衡； 产品自身实现，不依赖第三方设备 “三明治“架构的双A模式，需用负载均衡交换机来实现流量的分担； 企业客户需要额外的购买成本。 网络架构复杂化 实现双A架构，需要依赖第三方的负载均衡设备； 采购成本额外增加； 网络更加复杂，增加了故障点的可能性 不完善的HA功能支持，一旦启用应用层检测防护，状态表无法同步；不支持IPSec VPN和SSL VPN的双A模式等。 产品型号对应选择：Check Point vs Juniper vs Cisco vs Fortinet 1G 10G 20G 2G 4G 6G IP295 IP2455 IP1285 Power-1 5075 UTM-1 1073/1076 UTM-1 3073/3076 10.3 / 29G 10.3 / 15.4G 9G 4.5G 2G 1.5G ISG 2000 ISG 1000 SRX 240 SRX 650 SRX 3400 SRX 3600 10 / 20 / 30G 10 / 20G 7G 4G 2G 1.5G ASA 5550 ASA 5580 - 40 10G ASA 5580 - 20 5G 1.2G Power-1 11000 15/20/25G FortiGate-1000A 2G FortiGate-3016B 16 / 20G FortiGate-3600A 6/10G FortiGate-800 1G Questions? Thank You! * * * * * * * *功能需求复杂——指用户除了传统的防火墙/VPN功能外，还对IPS，AV，WEB过滤等功能有需求； **功能需求相对简单——用户只希望防火墙实现传统的防火墙/VPN功能； ***UTM-1标配只支持双机HA（主备）模式，如果需要运行AA模式，需要添加额外的License；Power-1和IP标配支持AA和HA模式； Hardware acceleration includes VPN acceleration card and optional Acceleration Data Path services module for specialized acceleration. IP2455:2U,Flash or Disk,加速卡VPN/ADP,最多32*1G口,5个扩展槽,4个板载1G口,冗余电源AC or DC,1G铜口和光口,10G IP1285:2U,Flash or Disk,加速卡VPN/ADP,最多28*1G口,5个扩展槽,4个板载1G口,冗余电源AC or DC,1G铜口和光口,10G IP695:1U,Flash or Disk,加速卡VPN/ADP,最多16*1G口,3个扩展槽,4个板载1G口,双电源,可选10/100Ba