Spectrum UPS 소개
Download
Report
Transcript Spectrum UPS 소개
SpectrumWall 제품 소개서
eNetRex Inc
2005. 10
목
I. UTM 솔루션의 등장 배경
II. 시스템 소개
III. 제품별 소개
IV. 경쟁 제품별 분석
V. Reference Site
차
I. UTMㅅ 솔루션의 등장 배경
I. UTM 솔루션의 등장 배경
1. Network Security의 Challenge(1)
Network Security의 Challenge(2)
2. UTM 시스템의 개발 배경 및 보안 솔루션의 변화
3. 보안 솔루션 도입의 변화 및 요구 사항
4. 보안 솔루션 적용의 주요 문제점 및 대안
5. UTM의 특징
6. UTM의 사업전망
7. UTM의 Challenge
I. UTM 솔루션의 등장 배경
1. Network Security의 Challenge(1)
FireWall의 한계
능동적 공격에 대한 대처 능력 부족
단순한 네트워크 보안
허용된 서비스를 이용한 공격 시 보안기능 결여
IPS의 한계
완벽한 Virus의 차단 불가
새로운 Dos/Ddos의 완벽한 차단 불가
Contents 보안 기능 미비
네트워크 보안 기능 미비
I. UTM 솔루션의 등장 배경
1-1 Network Security의 Challenge(2)
Contents 보안의 한계
Virus에 의한 네트워크 공격에 한계
SPAM mail에 의한 네트워크 공격의 한계
Deep packet Inspection에 의한 성능 저하의 한계
I. UTM 솔루션의 등장 배경
2. UTM 시스템의 개발 배경 및 보안 솔루션의 변화
Trend
관제
UTM
통합 방어
Firewall + VPN + IPS
+ Antivirus + Antispam
Anti-Virus/ IDPS
추가 방어
Firewall + VPN +AV + IPS
IDS
VPN
기본 방어
Firewall
1997
1998
1999
Firewall + VPN
2000
2001
2002
2003
2004
2005
I. UTM 솔루션의 등장 배경
3. 보안 솔루션 도입의 변화 및 요구 사항
분 야
분
•
•
추가적인 시스템의 분산/추가 설치.
투자 대비 보안 효율성 상실
•
•
변화하는 보안 위협 관리 인력 부족
다양한 보안 기능의 추가 수용
다
계층 보안에 대한 필요 사항 대두
24시간 실시간 관리 및 분석 필요
통합 관리의 절대 필요성 대두
자동화된 관리 효과 필요(방어/분석/조치)
관리성
•
•
•
•
•
•
•
•
보안성
통합 장비(UTM) - 저비용
저렴한 유지보수비용
저인력/고성능 관리
전문 인력의 부족으로 인한 기능 상실
•
요구 사항
다양한 인프라에 보안 솔루션 경제성 상실
경제성
•
석
솔루션 ------- 전문 서비스 형태의 운용
통합 관제와 연동된 시스템의 향상 요구
통합적인 방어 및 관리성 필요
네트웍 및 어플리케이션 전반의 보안 요구
•
•
•
•
FW + VPN :기본
IPS + IDS : 필수
AV + Spam : 선택
Contents + URL Filter: 선택
통합관리 : 필수
관제 연동: 필수
위협관리 연동 : 추가 요구
방어: 기본
분석 : 기본
관제 : 단순 -> 정교성 필요
사후대책 -> 사전 분석
I. UTM 솔루션의 등장 배경
4. 보안 솔루션 적용의 주요 문제점 및 대안
솔루션
방화벽
현
황
문제점
1차 방어
단순 방어
투자규모 대비 보안의
취약성 현존
VPN
암호화 통신망
대부분 분리 운용
네트웍 공격시 무용론
IDS
방어 불가
모니터링용
탐지에 국한됨
IPS
검증 단계
기능성의 제약이 많음
AV
Anti-Spam
메일 서버에 국한
메일 서버 연동 운용
대 안
UTM 솔루션의 도입으로 방화벽
의 기능과 IPS 기능의 보합으로
다계층 보안에 적합한 구조적
디자인을 적용 함.
Web 환경에 취약
트래픽의 분석에 따른 전용 및
UTM 장비의 기능의 통합 사용
2 byte Code 통일성 부재에
따른 솔루션의 통일성 부재
메일 서버와 분리된 네트웍
구간의 Anti-Spam 솔루션의
적용을 통한 시스템의
효율성/경제성 구현
I. UTM 솔루션의 등장 배경
5. UTM의 특징
FireWall, VPN, IPS, VirusWall ,Contents Filtering, Spam Block,
Qos의 통합 솔루션
복잡한, 다양한 공격에 대한 보안 기능의 제공
다양한 보안 솔루션을 하나의 제품으로 통합함으로써 단순화시킴
고객의 복잡한 보안 요구 사항을 최대한 수용
Disk On Module( DOM ) 구조로 손쉬운 Upgrade및 관리 효율
향상
보안 알고리즘의 분산 설계로 인한 장비 사용 목적에 최대한 성능
보장
통합 보안 구현으로 인한 비용 절감
I. UTM 솔루션의 등장 배경
6. UTM의 사업 전망
단독 방화벽/VPN 보다는 하나의 박스에서 방화벽/VPN, IDS/IPS,
안티 바이러스, 웹 필터링 등의 복합 기능을 제공하는 통합 위협
관리(UTM) 어플라이언스가 견고한 성장세를 유지할 것으로 전망
했다.
IDC가 2004년 3분기까지의 자료를 기반으로 추산한 2004년 전체
보안 어플라이언스 시장은 방화벽/VPN이 637억원으로 55.2%,
UTM이 305억원으로 26.4%로, IDS&IPS가 212억원으로 18.4%를
차지했다.
이중 UTM은 2003년부터 2008년까지 5년간 연평균 40.8%의
높은 성장률을 보이며 2008년에는 방화벽/VPN을 추월해 가장
큰 시장규모를 형성할 것으로 보고서는 예상했다.
- IDC 리포트 인용 -
I. UTM 솔루션의 등장 배경
7. UTM의 Challenge
F/W, VPN, IPS, VirusWall의 완전 통합
복잡한 보안 요구사항의 통합
기존 F/W, IPS, VirusWall 솔루션과의 경쟁
고가용성, 고 기능성의 제공
고성능의 요구사항 지원
다기능의 지원으로 인한 장애 및 백업 방안 확보
합리적인 가격의 제시
II. 시스템 소개
II.시스템 소개
1. Spectrumwall 개발 컨셉
2. Spectrumwall 기본 아키텍쳐
3. Spectrumwall 모듈라 방식 아키텍쳐
4. 직관적인 시스템 운용 인터페이스
5. 기능 - 방화벽/VPN
6. 기능 - IDPS
7. 기능 - Mail Server Anti-Virus 기능
8. 로그 및 모니터링
9.시스템 모니터링
10.시스템 통합관리
II. 시스템 소개
1. Spectrumwall 개발 컨셉
Forensic Analysis/Correlation
Block
Alert
Limit
Pass
가용성
Corporate
Network and
Resources
Reporting/Notification
Security History/Baselines
Active Network Response
관리성
II. 시스템 소개
2. Spectrumwall 기본 아키텍쳐
통합 관제
위협관리
U.C.C.
방화벽
Anti-Virus
H.I.D.E
Hi-Intensity Data Examination Engine
Anti-Spam
Contents - Filtering
VPN
Intelligent IDS + IPS
II. 시스템 소개
3. Spectrumwall 모듈라 방식 아키텍쳐
Front End
GUI
LCM
Console
Logging
Share System Kernel
Spectrum OS
Spectrum OS Application Kernel
SBOS Mod
HA Module
Proxy Module
Auth Module
IDS Module
Content Module
Deep Packet
Inspection Mod
Routing Module
Bridge Module
BW Module
VPN Module
Spectrum Bridge OS (SBOS)
Universal Protection System
각각의 모듈은 필요에 따라서 적용 선택을 할 수 있고, 고성능을 위한 분산 아키텍쳐를 구현함.
II. 시스템 소개
4. 직관적인 시스템 운용 인터페이스
1.
GUI – Windows Application
2.
3가지 Key Management
1. Device Manager
Configuration
2. Syslog
Log 분석
3. Device Monitoring
Device Health Check
3.
MSDE 채용으로 인한 Application
관리 편리성 제공
4.
Setup Wizard 제공
5.
다수의 장비를 중앙 관리를 위한
Global Manager 제공
6.
Global Manager 통한 접속으로
장비의 직접 접속 금지 기능
(장비 부가 보호 및 중앙 관리)
장점: 운영비 절감/ 중앙 관리/
편리성 제공
II. 시스템 소개
5. 기능- 방화벽 / VPN
1.
H.D.I.E 엔진채용
- High Deep Packet
Inspection
2.
NAT/Route/TP Mode 지원
3.
물리적 포트의 다중 N/W Mode
(L2 + L3 + NAT)
4.
물리적 포트별 공격 임계치 설정
5.
방화벽 정책에 별도의 IDS 기능 및
IPS 기능 연동 ( 선택/ 해제)
- 선별적 서비스별 IPS 기능
ON/OFF
- Port 별 / 방화벽 정책별 / P2P
기능 별도로 적용
6. Host/ Network/ Range/ Mac 에 의한
세분화 된 객체 설정 기능
7. Schedule 기능
8. 서비스별 인증 정책
9. 정책별 Session 모니터링
10. Global/Intra/Inter 의 세부정책
장점: 방화벽 + IPS 의 병합을 통한
2중 방어 기법
II. 시스템 소개
6. 기능- IDPS
1.
3 core Detection Engine
- Anomaly Detection Engine
- Signature Detection Engine
- State Tracking Engine
2.
3000 개 이상의 Signature 탑재
3.
N/W , Port, Host 별 Signature 의 세분
화된 적용
4.
세션 모니터 및 해제 기능
Alert / Block
5.
Signature Live Update
6.
All Network Direction Detection
7.
P2P 적용
8.
Signature 의 세분화 및 각개의 시그니처
(On/Off) 기능 제공
9.
Signature 의 사용자 그룹 정의
(고속 필터링 제공)
10. 방화벽 객체( 주소/서비스/객체) 와 IDPS
Signature 연동 글로벌 적용
11. Signature 상세 설명
장점: 유연한 정책 및 Customization
II. 시스템 소개
7. 기능- Mail Server Anti-Virus 기능
1.
Mail Domain 별 Security
2.
SMTP, POP 3 지원
- Mail Domain 별
- Filtering ( Block , Alert/ Quarantine)
- White List 별도 관리
3.
Anti-Virus 백신 Live Update
4.
F-secure 엔진 채용
( 업계 최고속도 필터링 / 최저의 부하)
5. 방화벽과 연동
6. IDPS Mail Signature 연동
장점 : Mail Server 의 추가 적인Anti-Virus
비용 절감 방화벽 + IDPS 을 병합한
Server Farm 추가 보호 대책 제공
II. 시스템 소개
8. 로그 및 모니터링
1.
Log 지원 형식
* Syslog
* Syslog -- Global Manager
* Buffer -- 별도 HDD
2.
내장 Log 분석 기능
* 일자별
* 프로토콜
* 서비스 별
* Src / Dst IP
* 기타 기능
3.
Log 종류
* configuration
* Event
* Traffic
* Security
4.
MS_SQL DB 사용
Log 분석 및 가용성 제공
II. 시스템 소개
9. 시스템 모니터링
1.
시스템 가용성 사전 설정
* Session
* CPU
* Memory
사전에 임계치 설정을 통하여 관리에게
자동 통보 기능
2.
Resource 및 Session 모니터링 프로토콜
* 사용자별 Session 모니터링
* 내부 사용자의 네트웍 사용량 분석
II. 시스템 소개
10. 시스템 통합관리
Virus Wall
DMZ (Web, Email, etc.)
Internet
Global Manager / 위협관리
F/W + IDPS
Corporate
Resources
Corporate
IPS
F/W
Users
III. 제품별 소개
III.제품별 소개
1.
2.
3.
4.
중소 규모 권장 모델
기업 및 ISP/Telco
SpectrumWall 모델 별 성능
SpectrumWall지원 기능
III. 제품별 소개
Performance :성능
1. 중소 규모 권장 모델
(For Mid Enterprise)
(For Small Enterprise)
(For SOHO)
Scalability :확장성
III. 제품별 소개
Our Suite
2. 기업 of
및 ISPProducts
/ Telco
Performance
(For Large Enterprise
or Carrier Provider)
(For Large Enterprise)
Scalability
III. 제품별 소개
3. Spectrum 모델 별 성능
Model Number
CRODO
Spectrum-25
Spectrum-50
Spectrum-104/108
Spectrum-600/1000
Operating System
Proprietary
Proprietary
Proprietary
Proprietary
Number of User License
Unlimited
Unlimited
Unlimited
Unlimited
Machine Type
1U
1U
1U
2U
Processor
VIA C3 800 MHz
VIA C3 800 MHZ
Intel P3 1GHz
Pentium Xeon 2.4GHz /
2.8GHz
Mother Board
EBC536R
VIA 8601 A/ VT82c686B
Intel 815E (B step)
Intel E701
Cache
128M SDRAM
128M SDRAM
256M / 512M SDRAM
512M / 1G SDRAM
Storage
Flash Disk (64M)
Flash Disk (64M)
Flash Disk (64M)
Flash Disk (64M)
LCD Display
NO
NO
NO
YES
Built-in IDPS Mirroring
Port
YES
YES
YES
YES
Console Port
DB9
DB9
DB9
DB9
Interfaces
10/100 BaseT x 3
10/100 BaseT x 3
10/100 BaseT x 4 / 8
10/100 and 1000BaseT x 2
/2
High Availability
YES(Hot - Stand by
Failover)
YES(Hot - Stand by
Failover)
YES(Hot - Stand by
Failover)
YES(Hot - Stand by
Failover)
Max. Number of
Policies
1024
2048
5000 / 5000
20000 / 20000
Max, No, of Concurrent
Connections
50000
80000
180000 / 250000
400000 / 900000
New Sessions /second
5000
6000
9000 / 9000
19000 / 19000
Firewall Performance
(cleartest)
150Mbps
200Mbps
500 / 500Mbps
2000 / 2500Mbps
Firewall Performance
(168 Bit 3DES)
60Mbps
80Mbps
200 / 200Mbps
800 / 1000Mbps
2000
2500
3000 / 3000
10000 / 10000
Max. No. of
Simultaneous
IPSec (VPN)
Tunnels
III. 제품별 소개
4. SpectrumWall 지원 기능
Tunnel Technologies
Max. No. of Simultaneous IPSec
(VPN) Tunnels
Encryption Scheme
IPSec Peer Authentication Method
(MD5 / SHA-1)
Tunnel Types
IPSec Key Management Schemes,
IKE (Assign IPSec SAs)
Packet Filtering
Stateful Inspection (TCP / UDP)
IPSec, LT2P, PPTP
DES, 3DES, AES
YES ( MD5, SHA-1)
Yes (G2G / G2C)
Manual / Pre-Shared /
Digital Cert
Network Address Translation
Modes (NAT Modes)
Dynamic Pool 1:1 Static, One-toMany (PAT), Policy NAT
Port ReDirection (For
Incoming Connections)
YES
YES (15)
Port Numbers, Flags,
Session Table,
UDP Timeout
Remote Access Services
(DHCP/PPPoE)
DHCP Server / Client / Relay;
PPPoE
YES (DoS, DDos)
Server Load Balancing
(Round-Robin) / No.
of Servers
YES / 8
Traffic Management (Packet
Shaping)
Guaranteed, Maximum
Management Interface
Console, GUI(SSL), SSH
WebGUI Language
Multiple-language support
YES
Logging
Console, SysLog, WebTrends,
Email Notification
URL, Mail, JAVA,
ActiveX
Multi-Level Administrator
Priviledge Levels
YES
Local, RADIUS, RSA
SecurID, LDAP ,
(HTTP, FTP,
TELNET)
URL Filtering/Blocking (Outgoing
Connections)
Internal DB
SMTP/POP3 Filtering (sender /
receiver address and file
size)
Supported
Built-In IDS ( No. of signtatures)
Static / Default Route, RIP v2,
OSPF
VLAN Suport / (No. of VLANs)
Attack Prevention
Content-Level Filtering
Routing Mode (Layer-3)
YES
Application Level Inspection
Time-Based Security Policy
Settings
YES
2000
YES (HTTP, FTP,
SMTP, POP3,
TELNET, H323,
MMS)
User -Based Authentication ,
Supported Protocols
Transparent Bridging Mode
(Layer-2 Mode)
YES (250+) Network &
Upper Layers
Multi-Level Logging
(Emergency, debug
etc)
YES
SNMP Support
YES
Email Notification (Alerts &
Traffic Staistics)
YES
IV. 경쟁 제품별 분석
IV.경쟁 제품별 분석
1. 기대 효과 및 솔루션 비교 분석
2. 경쟁사 제품별 비교
3. 경쟁사 성능별 비교
IV. 경쟁 제품별 분석
1. 기대 효과 및 솔루션 비교 분석
문제점
운영비
기존 솔루션 문제점
•
•
•
•
•
기존 IPS +
IDS 문제점
•
•
F/W 및 VPN 의 개별라이센스( Check Point)
과다한 유지 보수 비용 정책
Virus , Signature Vaccine 의 추가 비용
(고객 비용)
Mail- Anti virus 의 추가적인 라이센스 비용
Hardware 선정시 성능대비 고가 비용
In-Line Mode 만 지원하므로 포트 가용성
저하
방화벽 병합 기능 필요시, 추가 별도구매 부담
대안 및 도입 효과
Device + Software + Vaccine + Signature
및 Global Manager 의 싱글 라이센스
Virus Wall 사용시 Server 당 다수의
Anti-Virus Software 비용을 싱글 Virus wall로 대체
저렴한 Hardware 비용
방화벽 기능 및 IDPS 기능 통합
Route / In –Line /NAT Mode 에서 IDPS 기능을 통합
Port 의 고가용성
보안의 필요성을 방화벽과 IDPS 을 통한 효율적 운용
ASIC vs
Software
방식 비교
•
•
Asic 디자인 장비의 제약인 보안의 융통성 저하
(불가피한 경우 장비의 Upgrade 필수 및 추가
비용)
Software 방식의 Customization 의 제약
동일 성능의 고비용 Hardware 비용
ASIC 의 한계인 Non-Programmable 의 한계 극복
사용자 요구에 맞춘 Customization 가능
Upgrade 및 Hardware 의 저비용
IV. 경쟁 제품별 분석
2. 경쟁사 제품별 비교
Vendor
N사
F사
T / WS
CH
C사
R사
AS 사
솔루션
F/W
VPN
IDPS (일부기능)
미지원 / 미흡기능
AV (지원 불가)
Contents Filter (지원불가)
AV 성능 저하
Contents Filter (지원불가)
Only IPS
ONLY In-Line Mode
고비용 Live Update
F/W (지원불가)
VPN (지원불가)
AV (지원 불가)
Contents Filter (지원불가)
고비용 Live Update
F/W
VPN
IPS ( 일부기능)
F/W + VPN
AV + Contents Filter
F/W + VPN
AV
Contents Filter
F/W
VPN
대안
F/W
VPN
IPS / IDS
Contents Filter (Mail)
A/V
F/W + VPN + IPS + AV 싱글 라이센스
저비용 유지 관리 비용
통합 Management
Live Update ( Signature+ Vaccine) 무상
저비용
AV (지원 불가)
Contents Filter (지원불가)
고비용 유지 보수
AV (지원 불가)
Contents Filter (지원불가)
F/W (지원불가)
VPN (지원불가)
AV (지원 불가)
Contents Filter (지원불가)
AV + Contents : 옵션 구매
통합지원
향후 지원 내용
자체
위협관리 ( 2005 Q4)
SSL VPN (2006 Q2)
Contents Acceleration ( 2005 Q4)
HTTP Anti- virus Filtering (2005 Q4)
한글화 ( 2005 Q2)
IV. 경쟁 제품별 분석
3. 경쟁사 제품별 비교
IV. 경쟁 제품별 분석
4. 경쟁사 성능 별 비교
사양
성능
Firewall Type
NetScreen500
Astro gateway
Crodo
Crodo
Model Number
NS-500ESFE2-AC
420
SpectrumWall600
Spectrum-1000
Number of User License
Unlimited
Unlimited
Unlimited
Unlimited
10/100BaseT Interfaces
4 (max=8)
2 on board
(max=6, total=6)
2 on board
(max=6, total=6)
GigE Support
Supported
8 (Only 1000
Base TX)
2 on board
(max=6, total=6)
2 on board
(max=6, total=6)
High Availability/HotStandby Failover
Supported
Option
Supported
Supported
Operating System
Proprietary
Proprietary
Proprietary
Proprietary
Standard Warranty
Period
1 year
1 year
1 year
1 year
Max. Number of Policies
(Rules)
20,000
20,000
20,000
Max. No. of Concurrent
Connections
250,000
400,000
900,000
New Sessions/second
17,000
19,000
19,000
Firewall Performance
(Cleartext)
700 Mbps
1.0 GB
2.0 Gbps
2.5 Gbps
Firewall Performance
(168Bit 3DES)
250 Mbps
265 Mbps
800 Mbps
1 Gbps
Firewall Performance
(128Bit AES)
?
1.8 Gbps
2.25 Gbps
V. Reference Site
V. Reference Site
감사합니다
eNetRex Inc