迪普科技产品培训
迪普科技总代培训资料P2目录一、系列产品介绍二、应用及案例2P3DPtech全系列产品加速加速全业务安全应用防火墙UTM系列统一审计网关流控IPS防毒墙系列用户管理(用户接入准入控制行为审计认证计费)业务管理(网络流量安全加速可用应用业务)UMC统一管理中心资源管理(网络QoSACLVLAN配置报表)可用掉电保护负载均衡异常流量清洗漏扫WebShieldTAC应用超乎想像3P4一、应用防火墙4P5DPtech应用防火墙FW1000-MS-NFW1000-ME-NFW1000-GM-NFW1000-GE-NFW1000-GS-NFW1000-MA-NFW1000-GC-NFW1000-GA-N百兆级千兆级万兆级业务创新:下一代应用防火墙,内嵌丰富的应用过滤与控制引擎卓越领先:百G平台,先进的硬件架构体系硬件加密:全内置硬件IPSec、SSL加密组网灵活:支持丰富的网络协议,适应各种复杂组网环境FW1000-TS-N5P全面的应用防火墙功能DPtech应用防火墙状态检测VPN安全隔离NAT攻击防范URL过滤行为审计流量控制有线无线一体化6P灵活的安全区域隔离n提供灵活的安全区域隔离功能,按区域进行重点安全防护n所有逻辑接口都可以自由的划分在不同的安全区域中,包括子接口、隧道接口、物理接口等n支持安全区域自定义,满足更复杂的组网要求DMZ区Trust可信区域DPtech应用防火墙InternetUntrust不可信区域7P先进的应用状态检测技术n支持多种应用协议,H323SIPH248RTSPICMPFTPPPTPNBT等n支持对SMTPHTTPJavaActiveXSQL注入攻击状态检测n通过专业协议库实现对各种P2PIM、流媒体等应用的识别公司总部内部网络办事处ACL规则只允许内网发起的各种访问禁止外网发起的各种访问8P全内置VPN硬件加密n全内置IPSec、SSLVPN硬件加密,降低建设成本n支持丰富的VPN种类,包括IPSec、SSL、GRE、L2TP等n对加密流量中的应用层攻击进行识别及过滤è固定接入IPSecVPNGREè移动接入SSLVPNIPSecL2TPGRE总部网络加密传输分支机构加密传输分支机构合作伙伴移动办公9PNAT智能地址转换n支持多个地址对一个地址的转换n支持多个地址对多个地址的转换n支持一对一地址转换n支持基于端口的转换USER1SIP:192.168.0.11.SIP:192.168.01=SIP:10.153.100.12.SIP:192.168.02=SIP:10.153.100.13.SIP:192.168.03=SIP:10.153.100.1USER2SIP:192.168.0.2USER3SIP:192.168.0.3SIP:10.153.100.1DPtech应用防火墙智能NATNAT前NAT后10P全面的攻击防范Flood类攻击扫描探测SYNFloodUDPFloodARPFloodICMPFloodPortScanIPScanTracert协议异常SmurfPingofDeathTearDropLand基于状态的防护基于协议的防护探测&扫描防护11P双机状态热备双机状态热备毫秒级状态切换,国内领先技术FWAFWB黑名单系统表项状态表项黑名单系统表项状态表项n主主及主备模式n同步防火墙之间状态,保障网络可靠性n提供毫秒级切换事件,保障网络业务不中断12P丰富的网络特性n静态路由协议RIPv12OSPFBGP策略路由n流量监管拥塞检测及避免流量整形nMPLSVPNVLANQinQ虚拟防火墙多播虚拟防火墙组网示意安全域1安全域2安全域3虚拟防火墙DPtechFW1000虚拟防火墙虚拟防火墙13P全千兆网络接口14n千兆到桌面已是趋势,千兆口和百兆口在对接时,由于各厂商芯片不同,可能出现不兼容n即使性能升级,受百兆接口最大转发能力限制,也无法实现性能的真正升级。n内网交换流量极易超过百兆n需要多少个千兆接口?园区网DMZ区网络双出口是未来必然,局域网也会上双核心,加上DMZ区、心跳线等至少需要6个千兆口14P业务模块按需扩展15n接口丰富,可扩展千兆接口、万兆接口n增值能力强,业界唯一有线无线一体化(应用)防火墙支持WIFI模块,灵活便捷接入支持3G模块,高速低成本的的链路备份(缺省是电信,其它可按需定制)15PLicense功能扩展1:专业URL库URL地址过滤:n提供超过1000万URL地址信息,50多种分类,周期性更新。n提供灵活的分类信息,便于产品配置n具有未知URL地址自动更新功能URL预分类特征库迪普科技升级服务区上网终端网址等关键字处理自定义网址和未知网址自动反馈16PLicense功能扩展2:深度流量分析与控制17n支持对各类P2PIM、流媒体、炒股软件、网络游戏等多种应用进行控制n提供阻断、限流、干扰、告警等多种控制方式,可按时间段实施控制策略n对用户或应用进行优先级划分,确保关键用户和关键应用的带宽从无序到有序关键业务应用EmailP2P网络游戏MedLowPOP3IMAPSMTPP2PEmail总带宽High网络游戏HTTPDBVoIPBTeMuleeD2KCS关键业务应用P2PThunder(讯雷)BitTorenteMule(电骡)eDonkey(电驴)Kugoo(酷狗)IM软软件QQICQMSN17PDPtechFW1000特色总结18n业务创新新一代应用防火墙,可扩展专业协议库与URL库n卓越领先先进的硬件架构体系,性能最高应用防火墙n硬件加密全内置硬件IPSec、SSL加密n组网灵活支持丰富的网络协议,内置全千兆网络接口,适应各种复杂组网环境n有线无线一体化支持WIFI模块与3G模块,业界唯一18P19友商竞争分析厂商说说明TRX1、组网限制多:在山西电子政务网MPLSVPN中不支持MCE功能、在山西省委项目中不支持路由模式下的双机、在山东农行中无法部署在开启STP环境中,不支持子接口功能,无法实现多VLAN业务处理。2、不支持3G模块和WIFI模块3、不支持协议库和URL库4、研发投入停滞:投入不足,研发遇到瓶颈,近两年FW无新产品、万兆防火墙迟迟没有商用Cisco1、高端防火墙性能不足:ASA5580服务器架构,宣称20G,实测小包性能不到3Gbps2、地域性限制多:ASA47层功能不支持国内应用识别如迅雷、熊猫烧香病毒等,非国内产品,资质限制多3、不支持3G模块和WIFI模块4、不支持协议库和URL库5、功能扩展成本高:虚拟防火墙、SSLVPN均需额外收费19P20应用防火墙关键引导点n面向应用防火墙,支持协议库、URL库等功能扩展n接口引导是关键n全千兆,且接口数=6个n百兆产品支持千兆光口n千兆产品支持万兆接口n全内置硬件IPSec、SSLVPN加密n支持丰富的路由协议n支持WIFI模块(预计10月份可提供)n支持3G模块20P21二、统一威胁管理UTM21P22DPtechUTM产品百兆级千兆级UTM2000-MS-NUTM2000-ME-NUTM2000-GS-NUTM2000-GA-NUTM2000-MA-NUTM2000-GM-NAll-in-one:集成防火墙、VPN、入侵防御、防病毒、URL过滤、带宽滥用控制、行为审计等功能高性能:创新硬件平台,保障多功能线速处理业务创新:支持用户上网行为管理与3G接入,业界唯一高性价比:降低TCO,简化网络结构,绿色环保22P功能简介n防火墙nVPN(IPSec、SSLVPN.)全内置硬件加密n防病毒(license可扩展)卡巴斯基专业病毒库n入侵防御(license可扩展)nURL过滤(license可扩展)50种自动分类,启明、TRX等厂商都不具备n应用控制(license可扩展)n防垃圾邮件(license可扩展,2010年Q4可提供)23P高性能为什么说迪普UTM性能是无衰减的?nUTM同时启用多功能性能不下降是个真实的谎言!n迪普:并行处理,并发解析防火墙+IPS=防火墙+IPS+防病毒+URL过滤+n其他:串行处理,多次解析防火墙+IPS=6个百兆产品支持千兆光口n全内置硬件IPSec、SSLVPN加密n支持丰富的路由协议n支持WIFI模块(预计10月份可提供)n支持3G模块33P34三、入侵防御系统IPS34P35DPtech入侵防御系统IPS产品百兆级千兆级万兆级IPS2000-MC-NIPS2000-TS-NIPS2000-MA-NIPS2000-GS-NIPS2000-GE-NIPS2000-MS-NIPS2000-ME-NIPS2000-GA-N12Gbps6Gbps35PDPtechIPS特色n第一个推出6G以上性能的万兆IPS产品n第一个支持10G接口的IPS产品n专业的系统漏洞防护n集成卡巴斯基防病毒引擎n全面的P2P等流量识别和控制n特征库自动更新,持续安全防护n灵活的部署模式:在线模式、监听模式、混合模式n应用Bypass、PFP掉电保护、冗余电源、冗余部署等多重高可靠性机制DPtechIPS=IPS+IDS+防毒网关+P2P控制36P特色1:高性能万兆线速处理,微秒级时延,12G性能,业界最高!n多核处理器+大容量FPGA+高性能交换芯片架构nFPGA解决大并发连接nPCI-E:10G;DPtech:128Gn并行处理技术,特征库增加不会造成性能下降n控制平面和数据平面分离n不分离:超负荷后无法进行设备的管理nDPtech:8核CPU,共计32个VCPU,30个VCPU用于数据平面,2个用于控制平面,即使超负荷依然可以进行设备管理为什么迪普IPS可以做到性能最高?Juniper:10G(实测4G)LM:3G37P特色2:三库合一n友商:是通过定义攻击行为的特征来实现对已知攻击的检测。实现简单,误报高nDPtech:n是通过分析攻击产生原理,定义攻击类型的统一特征,不受攻击变种的影响。技术门槛高,误报低n微软MAPP计划合作伙伴n全面兼容CVEn是极少数能发现漏洞并提交国家漏洞库的厂商为什么说迪普漏洞库是专业的?38P39特色3:DDoS防御n举例:上海电信DNSQueryFlood测试:nRadware500万QPS下40秒nMcafee不支持nLM等国内厂商无高端产品,未能参与nDPtech900万QPS下仅12秒n支持TCPFlood、UDPFlood、SYNFlood、ICMPFlood、DNSReplyRequestFlood、HTTPGet等DDoS攻击防御n流量异常检测、连接限制、连接速率限制防护全性能领先39P特色4:高可靠n千兆IPS内置电口掉电保护,减少用户投资n无源掉电保护设备,比有源设备更加可靠n内置二层回退机制,软件bypassn千兆IPS内置双电源n支持双机热备智能掉电保护、冗余电源、双机热备检测引擎检测引擎正常模式检测引擎检测引擎二层交换模式PFP主机网络流量USB供电DPtechIPS交换机交换机二层回退,软件bypass掉电保护,硬件bypass40PIPS常见问题与应答nIDS旁路侦听模式,可将其视为查找和评估风险的设备,是风险事件记录的主体nIPS解决IDS旁路侦听模式的弊端,一般以在线模式部署对攻击实时阻断,可将其视为阻断风险的设备首先要定义IPS与IDS为什么说IPS终将替代IDSn产品形态上看,IPS有逐步取代IDS之势,查找、评估风险、阻断风险一体化nIPS支持“IPS”、“IDS”或“IPS+IDS”混合三种部署模式,灵活的混合部署模式,大大提高了其场景适应性,满足各种环境下的应用需求n随着IPS检测精确度、处理性能的大幅提高,用户已开始接受“IPS逐步替代IDS”交行选型只选IPS,不再选型IDS;工行已撤掉南、北数据中心IDS,改用IPS中国电信认为IDS作为独立的产品形态不适应未来的技术发展趋势,最终取消了IDS作为独立产品形态的集采选型,只进行IPS的产品选型(IDS作为IPS的子功能项)