SonicWALLUTM解决方案

1、基于多核的utm硬件平台 + 专利技术的rf-dpi引擎 构建真正可用的7层安全体系 vincent cai sonicwall 技术经理技术经理 unified threat management april 27, 2005 2 2 sonicwall 公司简介 1991年成立， 公司总部设於美国加州硅谷 1997年生产第一台硬件防火墙 1999年在美国上市 (nasdaq: snwl) 设计,开发和生产全面的网络安全设备和解决方案 企业安全方案的领导厂商，sonicwall 2003年推出utm， idc统计,sonicwall从2005年第二季度开始至今连续排名全球 utm市场销售数量

2、第一位.(utm:一体化的威胁管理设备,具有防 火墙/vpn功能,此外还集网关防病毒,入侵防御,反间谍软件于一 体) 2007年3月在上海复旦科技园设立中国研发中心，目前90名工程 师，同时在印度banglore建立研发中心，加上硅谷总部共三个 研发中心 2007年6月12日收购aventail-企业级ssl vpn远程接入解决方案 aventail于1997年销售第一台ssl vpn网关设备，有12年的ssl vpn的经验，支持众多的终端平台和终端安全检测 2008年，sonicwall utm产品全面走向多核时代 unified threat management april 27, 20

3、05 3 2021-5-53 sonicwall 全球布局-超过40个国家有 办事处，产品销售覆盖80多个国家 sunnyvale salt lake city norway united kingdom germany france spain italy canada japan korea china hong kong singapore australia brazil mexico 中国办事处：中国办事处： 北京，上海，广州北京，上海，广州 中国研发中心：上海复旦科技园中国研发中心：上海复旦科技园 美国研发中心：美国研发中心： sansan josejose 圣何塞（硅谷）圣何塞（

4、硅谷） 印度研发中心：印度研发中心： banglorebanglore 班加罗尔班加罗尔 unified threat management april 27, 2005 4 成功案例：包括utm和ssl vpn用户 江南证券江南证券ipsec vpn网络网络 万联证券万联证券ipsec vpn网络网络 中国海洋石油中国海洋石油ipsec vpnipsec vpn网络网络 南方电网南方电网ipsec vpn网络网络 中国石油物资装备公司中国石油物资装备公司ipsec vpnipsec vpn网络网络 蒙牛集团全国财务蒙牛集团全国财务ipsec vpnipsec vpn网络网络 北京中原地产业务

5、北京中原地产业务ipsec vpnipsec vpn网络网络 德国德国tuvtuv公司公司ipsecipsec vpnvpn网络网络 海克斯康海克斯康hexagon ab hexagon ab 集团集团 国家会计学院国家会计学院 东北财经大学东北财经大学 中国政法大学中国政法大学 烟台南山集团及南山学院烟台南山集团及南山学院 山东工艺美术学院山东工艺美术学院 登喜路中国有限公司登喜路中国有限公司 德国奔驰汽车北京生产基地德国奔驰汽车北京生产基地 丰田汽车丰田汽车 中国民生银行中国民生银行 河南移动河南移动 上海电力设计院上海电力设计院 郑州电力设计院郑州电力设计院 内蒙电力设计院内蒙电力设计院

6、 贵州省工商局贵州省工商局 东莞市卫生局东莞市卫生局 深圳创维电子深圳创维电子 上海市公证处上海市公证处 上海市气象局上海市气象局 上海上好佳食品有限公司上海上好佳食品有限公司 上海新世界百货有限公司上海新世界百货有限公司 马鞍山钢铁集团马鞍山钢铁集团 中兴通讯中兴通讯 unified threat management april 27, 2005 5 nsonicos enhancedsonicos enhanced n5-port 10/100 lan 5-port 10/100 lan switchswitch n高性能的高性能的rf-dpirf-dpi引擎引擎- -杀毒杀毒 ,ips

7、,ips,间谍软件扫描等等间谍软件扫描等等 n最多最多5 5用户的用户的ssl vpn ssl vpn 支持支持 n802.11 b/g/n 802.11 b/g/n 快速快速, ,安全安全 的无线网络的无线网络( (可选可选) ) n端口隔离技术端口隔离技术 n anti-spam service anti-spam service ncritical 3g and analog modem failover/failback through integrated usb n高性能的高性能的utm n动态路由支持动态路由支持 n最多最多10 ssl vpn 用户支持用户支持 na/p har

8、dware failover n更多的并发连接更多的并发连接 njunk box support on comprehensive anti-spam n多两个多两个2 千兆端口千兆端口! n应用层防火墙应用层防火墙 nfull 802.11n 3x2 mimo wireless n自带自带2个个 ssl-vpn 的授权的授权 n双双 usb 端口端口 为为 3g 或或 analog modem failover/failback预留接口预留接口 n高性能高性能 nthe更多的并发连接更多的并发连接 njunk box support on comprehensive anti-spam tz

9、 100所有功能所有功能tz 200 所有功能所有功能 802.11n 802.11n 802.11n home and small officesmall or remote office, retailremote or branch office, retail 3g3g sonicwall 新的新的 tz系列系列 sonicwall confidential all rights reserved unified threat management april 27, 2005 6 nsa 4500 nsa 5000 nsa e5500 nsa e6500 nsa e7500 nsa

10、240 nsa 2400 nsa 3500 nsa 系列utm产品 unified threat management april 27, 2005 7 utm替代传统的防火墙替代传统的防火墙 处理整个数据包而不仅仅是包头部分处理整个数据包而不仅仅是包头部分 对设备的硬件设计要求高对设备的硬件设计要求高 对流量很大的环境对流量很大的环境, utm是否会成为性能瓶颈是否会成为性能瓶颈? 安全安全 可用可用 unified threat management april 27, 2005 9 防火墙硬件架构 1.1.通用通用cpucpu架构：架构：intelintel架构或者架构或者powerpc

11、powerpc架构架构 所有功能由所有功能由cpucpu软件实现，灵活，可以实现任何功能，包括应用层的安全扫软件实现，灵活，可以实现任何功能，包括应用层的安全扫 描，但是性能瓶颈不可避免描，但是性能瓶颈不可避免 2.asic2.asic架构架构 （cpu + asiccpu + asic） asicasic专用芯片，防火墙速度快，但是适用于专用芯片，防火墙速度快，但是适用于2 2、3 3、4 4层的处理，处理应用层层的处理，处理应用层 的安全问题不现实，的安全问题不现实，asicasic开发周期长，安全问题的发展快，开发周期长，安全问题的发展快，asicasic更新是大更新是大 问题，所以不适

12、合问题，所以不适合utmutm产品产品 3.np3.np架构架构 网络处理器：多核并行处理，网络处理器：多核并行处理，2 2层，层，3 3层处理速度快，可编程，但是缺少应用层处理速度快，可编程，但是缺少应用 层安全处理的硬件加速，如签名库匹配处理硬件，层安全处理的硬件加速，如签名库匹配处理硬件，intel ixpintel ixp系列系列 4.多核专用安全处理器：比传统的多核专用安全处理器：比传统的npnp增加了应用层安全处理加速引擎增加了应用层安全处理加速引擎 caviumcavium octeonocteon，专用，专用6464位位mipsmips架构，多核并行处理，架构，多核并行处理，t

13、cptcp应用加速引擎，应用加速引擎， 签名库匹配专用硬件（签名库匹配专用硬件（regular expressionregular expression processorprocessor），专用），专用i/oi/o处理器处理器 等等 sonicwall 解决方案 sonicwall 多核硬件平台多核硬件平台 + rf-dpi （免重组深度包检测引擎）（免重组深度包检测引擎） 美国专利：美国专利： u.s. patent 7310815 unified threat management april 27, 2005 11 突破性能瓶颈，突破性能瓶颈，sonicwallsonicwall网络

14、安全率先进入多核时代网络安全率先进入多核时代 unified threat management april 27, 2005 12 16核cavium octeon处理器 system-on-chip (soc) design soc设计 l3 到 l7 网络应用 集成协处理器集成协处理器-应用加速应用加速 packet i/o processors 包包i/o处处理器理器 qos and tcp acceleration support ipsec, ssl, srtp up to 10 gbps tcp, ipsec, ssl processing regular expression

15、processor 正正则则表达式表达式处处理器理器 加速加速签签名匹配名匹配 gateway anti-virus, anti-spyware and intrusion prevention service ，up to 4gbps performance tcp acceleration engine tcp加速引擎加速引擎 deliver up to 10gbps full tcp termination compression/decompression processor 压缩压缩/解解压缩压缩处处理器理器 up to 4 gbps gzip, pkzip performance

16、security processor 安全安全处处理器理器 cryptography support for des, 3des, aes (up to 256 bits), sha-1, md-5, rsa and dh unified threat management april 27, 2005 13 深度包检测（杀毒、深度包检测（杀毒、ips ips ）引擎分类）引擎分类-重组重组 vs vs 免重组免重组 1.1.基于重组技术引擎：基于重组技术引擎： 等待扫描的数据包要在设备内存中的一个专用的缓冲区里进行重组，扫描 和匹配后台签名库之后，决定数据是丢弃还是通过 不同设备内存大小不同

17、，扫描专用的buffer大小不同，对扫描的单个文件 的大小和同时扫描的文件数目都有限制 一旦专用的缓冲区满了，后续的数据不能进行扫描，可以设置通过或丢弃。 通过，造成安全威胁顺利通过，而丢弃会造成断网 2. 免重组深度包检测引擎：免重组深度包检测引擎： 无需在设备内存中为待扫描的数据开辟专用的缓冲区进行文件重组，设备 对通过的文件大小没有任何限制， 设备可以并行扫描任意多个文件（等同防火墙最大连接数） 不存在重组技术中缓冲区慢，造成后续数据不能扫描的漏扫问题 实时扫描，用户在下载的过程中，感觉不到访问速度的变化。 unified threat management april 27, 2005

18、 14 version | service | total length id | flags | fragment ttl | protocol | ip checksum source ip address destination ip address ip options source udp port destination udp port 2007年年12月获得美国专利技术月获得美国专利技术- u.s. patent 7310815 rf-dpi，没有文件大小和文件数目限制，没有文件大小和文件数目限制 real-time scanning 检测进行中检测进行中 保护对所有用户的流

19、量都有效 # of userstraffic max min max min network use inspection possible not inspected management and reporting security integration productivity control network resiliency sonicwall unified threat management dynamically updated 比任何其他的方案都能检测更大的流量和更比任何其他的方案都能检测更大的流量和更 多的用户多的用户 unified threat management

20、 april 27, 2005 15 firewall traffic path stateful packet inspection signature database attack-responses 14backdoor 58bad-traffic 15ddos 33dns 19dos 18exploit 35finger 13ftp 50icmp 115instant messenger 25imap 16info 7miscellaneous44ms-sql 24ms- sql/smb 19multimedia 6mysql 2netbios 25nntp 2oracle 25p2

21、p 51policy 21pop2 4pop3 18rpc 124rservices 13scan 25smtp 23snmp 17telnet 14tftp 9virus 3web-attacks 47web-cgi 312web-client anti-virus content filtering service deep packet inspection av database ips database spy database content filtering database gateway anti-virus anti-spyware content inspection

22、安全防护必须及时更新 utm 平台不断地升级签名保护 新出现的安全威胁 24x7 安全投资长期受益 不断阻断新出现的威胁 完全自动升级 无需用户干预 unified threat management april 27, 2005 16 customer: branch office key upsell: 4-core design provides a 60% increase in threat prevention performance gigabit level firewall performance increase in application firewall polici

23、es nsa 3500 sku: 01-ssc- 7016 4-core cpu 512mb ram 6gbe customer: branch office key upsell: 8-core design provides a 150% increase in threat prevention performance includes stateful high availability for increased network reliability increase in vpn performance nsa 4500 sku: 01-ssc- 7012 8-core cpu

24、512mb ram 6gbe customer: small organizations key upsell: provides scalable deployment options for mid- size networks 6 10/100/1000 interfaces for wan/wan failover, lan and dmz customer: large enterprise key upsell: 8 10/100/1000 interfaces for high speed connectivity to wan, lan and dmz networks ded

25、icated interface for stateful high availability lcd information center dedicated 3rd level 24x7 support customer: large enterprise key upsell: 16-core design provides 75% increase in threat prevention performance dedicated interface for stateful high availability lcd information center dedicated 3rd

26、 level 24x7 support customer: large enterprise key upsell: top of the line nsa appliance providing gigabit level threat prevention 4gbe + 4sfp interfaces provide fiber and copper interface options hot swappable power supplies/fans dedicated 3rd level 24x7 support customer: branch office key upsell:

27、increased memory allowing additional vpn aggregation includes stateful high availability for increased network reliability 100% increase in application firewall policies nsa e5500 sku: 01-ssc-7008 e-class support 24x7 sku: 01-ssc-7260 8-core cpu 1gb ram 8gbe interfaces nsa e6500 sku: 01-ssc-7004 e-c

28、lass support 24x7 sku: 01-ssc-7257 16-core cpu 1gb ram 8gbe interfaces nsa e7500 sku: 01-ssc-7000 e-class support 24x7 sku: 01-ssc-7254 16-core cpu 2gb ram 4gbe + 4sfp nsa 5000 sku: 01-ssc- 7042 8-core cpu 1gb ram 6gbe interfaces sonicwall nsa 多核utm产品系列 nsa 2400 sku: 01-ssc- 7020 2-core cpu 256mb ra

29、m 6gbe interfaces customer: small organizations key upsell: provides scalable deployment options for mid- size networks 3 gbe, 6 fe, wwan (3g/modem) portshield nsa 240 sku: 01-ssc- 8760 2-core cpu 256mb ram newnew unified threat management april 27, 2005 17 sonicwall confidential all rights reserved

30、17 nsa 系列参数 nsa 240nsa 2400nsa 3500nsa 4500nsa 5000 interfaces 3 gbe, 6 fe, (3g/modem) 6gbe6gbe6gbe6gbe processor 2-core2-core4-core8-core8-core ram 256 mb256 mb512 mb512 mb1gb firewall performance 600 mbps775 mbps1.5 gbps2.75 gbps3.5 gbps vpn performance150 mbps300 mbps625 mbps1.0 gbps1.5 gbps imix

31、 performance195 mbps235 mbps580 mbps700 mbps950 mbps ips performance*195 mbps275 mbps750 mbps1.4 gbps1.7 gbps gav performance*115 mbps160 mbps350 mbps690 mbps800 mbps full utm performance* 110 mbps150 mbps240 mbps600 mbps800 mbps total connections25,000/35,000*48,000128,000450,000600,000 ha a/p w/st

32、atesync (opt) a/p w/statesync (opt) a/p w/statesync (opt) a/p w/statesynca/p w/statesync *requires extended license upgrade * performance testing done using industry standard spirent webavalance http performance test unified threat management april 27, 2005 18 nsa e系列参数 nsa e7500*nsa e6500*nsa e5500

33、* node countunrestrictedunrestrictedunrestricted sonicos versionsonicos enhanced 5.0sonicos enhanced 5.0sonicos enhanced 5.0 multi-core16 core 600mhz16 core 550mhz8 core 550mhz interfaces (4) 10/100/1000 copper gigabit ports, (4) sfp ports, 1 gbe ha port (8) 10/100/1000 copper gigabit ports, 1gbe ha

34、 port (8) 10/100/1000 copper gigabit ports, 1gbe ha port stateful firewall throughput5.6 gbps5.0 gbps3.9 gbps utm throughput1.7 gbps1.59 gbps850 mbps utm gav throughput1.84 gbps1.69 gbps1.0 gbps utm ips throughput2.58 gbps2.3 gbps2.0 gbps vpn performance3.0 gbps2.7 gbps1.7 gbps power suppliesdual hot swappablesingle power supplysingle power supply cooling system (fans)dual hot swappabledual hot swappabledual ho