...

次世代 - santec

by user

on
Category: Documents
34

views

Report

Comments

Transcript

次世代 - santec
次世代
L2セキュリティスイッチ
SG2024
L2スイッチもセキュリティ時代、DDoS攻撃、ARP Spoofingの脅威から
より安全なネットワーク環境 を構築してください。
(株)ハンドリームネット
ハンドリームネットは単独技術で世界初の L2セキュリティスイッチを製作、特許を取得し、韓国、日本を始めグローバル企業を目指しています。
製品の問い合わせについては48時間以内に回答いたします。 製品及び営業の問い合わせ先: [email protected] l www.handream.net
ネットワーク管理者がSG2024に注目する理由
最近DDoS攻撃によって被害が続出し、新種ワームウィルスに感染されたPCへの使用者レベルセキュリティ強化
が社会的イシューとして注目をあびています。L2セキュリティスイッチSG2024シリーズはエンドユーザPCから最
も近いアクセスレベルで攻撃をリアルタイムで検知/遮断し、ネットワーク環境を安全に守ってくれます。
その一つ. アクセスレベルで DDoS攻撃による有害トラフィックを即時遮断し、
「障害予防」
DoS/DDoS攻撃及びワームウィルスなどにより有害トラフィックをリアルタイムで自動検知/遮断し、有害トラフィックの内部拡散及
びネットワークスピード低下/ダウンを防止します。ネットワーク管理者は安定したネットワーク環境を維持することによって「中断の
ないビジネス」が可能となります。ISP事業者は「インタネットサービスの高品質が保証」でき、顧客満足度を上げることができます。
その2つ. ARP Spoofing攻撃から個人、企業、公共機関などの「金融情報と機密情報を保護」
急増しているIP電話盗聴及び金融情報ハッキング、各種ID/Passwordハッキングなどにより、内部機密情報漏洩を初め、
プラ
イバシー侵害、金融被害の脅威に漏出されています。SG2024シリーズはL2レベルでARPプロトコールの脆弱性を利用して
ARP Spoofingをリアルタイムで検知/遮断し、個人、企業、公共機関の金融情報と内部機密情報を保護します。
その3つ. 精細な動作分析技術で「Zero-Day攻撃にも安心」
特許技術であるMDSエンジンは100% Self-running方式であるためシグネチャアップデートや別途セキュリティフィルタ設定な
しで攻撃をリアルタイムで遮断します。MDSエンジンはトラフィック量/時間及びホスト/TCP/UDP別セキュリティ状況を分析し、
異常検知時はL3,L4情報を利用、自動にセキュリティフィルタを生成/遮断します。つまりDDoSなど特定攻撃発生時、セキュリティ
パッチが適用されていない期間、又は閾値基盤の装置が攻撃を検知できなくてもネットワークセキュリティを保障します。
その4つ. セキュリティ機能を実行してもFull Wire Speed保障
コア技術であるMDS(Multi Dimension Security)エンジンはスイッチングパブリックを通して転送されるインバウンド及びア
ウトバインドのトラフィックをネットワークスピードに影響なく分析し、セキュリティ機能を遂行します。尚、Accessレベルでの
リアルタイム有害トラフィック遮断は全体ネットワーク上の有害トラフィックフィルタリングに必要なリソースのオーバーヘッ
ダを下げ、最大回線スピードでネットワーク性能を保証します。
その5つ. 1画面でネットワーク状況が確認できる
「統合管制システム(VNM) 提供」
海外、地方又は事業所が分散されている場合でも全体スイッチを一元化してシステム状態と状況をリアルタイムモニタリン
グ/管理が可能です。尚、
アタック情報はもちろん検知/遮断された詳細ログ及び履歴もわかりやすい図表で表示してくれる
ので状況を間単に把握でき、対応することができます。
またレポート機能を用いて報告書作成も簡単にできます。
1
内部ネットワークセキュリティ構成図
Internet
Visual
WAN Edge
Router, Firewall
Node Manager
Main core
Distribute
core
Access
core
内部ネットワーク
統合管理コンソール
IPマネージメント
(非許可PC検出)
Zero-Day攻撃遮断
(DDoS/DoS/SCAN
攻撃検知/遮断)
ARP Spoofing遮断
(IP電話盗聴、個人情報
漏洩検知/遮断)
L2スイッチ比較
L2セキュリティスイッチ
Performance
PSE Capability
遮断有害トラフィック
の種類
有害トラフィック
遮断の特徴
DDoS及びARP
Spoofing攻撃遮断
管理体系
一般スイッチ
Up to 8,192 MAC Address
Throughput : 6.88Mpps
IEEE 802.3 af (15.4W per port)
IEEE 802.3 af (PoE Plus) 31.2W per port
MDSエンジンによる自動検知/遮断
- DoS/DDoS攻撃自動検知/遮断
- ARP/IP Spoofing攻撃自動検知/遮断
- TCP/UDP Flooding, Scan攻撃自動検知/遮断
- Cable Loop遮断
攻撃即時検知/遮断で「障害事前予防」
行為分析特許技術であるMDSエンジンでリアルタイム自動セキュリティ
フィルタ生成
論理Port別有害トラフィックのみ選別遮断で「業務の持続性保障」
有害トラフィック拡散による2次被害なし
使用環境 : Static IP / Dynamic IP
攻撃類型、攻撃時間、被害システムのIP/Portなど、詳細ログ確認
及び管理機能
VNM (Visual Node Manager)
- 多数のスイッチとネットワーク状況を1画面の図表で簡単にモニタリング
- ログ管理及びレポートが便利
- IPマネージメント:非許可PCモニタリング
Up to 8,192 MAC Address
Throughput : 6.6 Mpps
IEEE 802.3 af (15.4W per port)
管理者による特定機能設定による遮断
- Broadcast, Multicast Packetなど大量流入
....時閾値設定による制限
- Cable Loop遮断
管理者の特定機能設定による遮断で誤検知
の可能性大
管理者がL2レベルで一々手動で特定機能設
定は事実上不可能
問題発生後、解決に相当の時間が必要
使用環境 : Dynamic IP
DHCP Serverが使用されないStatic IP環境で
は使用できない不完全な対策
コマンドを使用し、モニタリング
ログ確認及び記録ができても不便
IPマネージメント:不可能
**備考 : SG2024製品基準比較 (Gigabit及び PoE機能を除く)
2
製品仕様案内
SG2024シリーズは最適化されたユーザーレベルのセキュリティを提供し、個人/企業/公共機
関の有・無形資産を守ってくれます。
MDSエンジン搭載で最適のセキュリティソリューションとFull Wire Speedを提供
MDSエンジンは行為分析特許技術としてアタックを発生させる有害
トラフィックを分析し、ログを生成後、ユーザレベルに最適化された
セキュリティフィルタで攻撃を「即時自動遮断」
します。
このようなセ
キュリティ機能が実行されてもトラフィックを「スニフィングモード」
でモニタリングし、
スイッチのFull Wire Speed性能を保証します。
長所
☞ セキュリティ脅威の素をリアルタイムで検知/遮断
☞ 別途のアップデート無しでZero-Day攻撃を検知/遮断
☞ 有害トラフィックのみ遮断し、正常トラフィックは安全に伝送
☞ 管理者がいなくても自動セキュリティ機能実行でTCO削減
☞ 全セキュリティ機能を実行しても全PortにFull Wire Speed保障
Security Filter
Module
Security Log
Real Time Packet
Gathering Module
Protec ion & Release
Switching Fabric
2GE
Protection
24FE
Real Time Packet Gathering Module
ARP Spoofig、内部情報ハッキング遮断
MDSエンジンはStatic又はDynamic IPを使用する全てのネットワー
ク環境へのARP Spoofig攻撃、内部機密情報へのハッキングを検知
して遮断します。特にIPT/UC環境にてARP Spoofing攻撃が発生し、
音声通話内容を盗聴/録音されることを根本的に防止します。
* IPT : IP Telephony
*UC : Unified Communication
長所
☞ IPT/UC環境での不法音声通話盗聴・録音防止
☞ ハッキングによる個人情報と会社機密情報漏洩防止
☞ ハッキングによるプライバシー侵害、
ビジネス被害、
金融被害などの根本的な防止
ARP Spoofing事前遮断
DoS/DDoS, Flooding, Scanなどの有害トラフィック遮断
有害トラフィック攻撃発生時、
リアルタイムでMDSエンジンが攻撃を
検知/遮断し、ユーザPCがワームウィルスなどに感染された場合、拡
散を遮断することによって2次、3次被害を防止します。特にDoS
/DDoS攻撃がスイッチ段でSource IPを変造して発生する場合もMDS
エンジンで判断し、検知/遮断します。
長所
☞ DoS/DDoS攻撃のような有害トラフィック発生時、
リア
ルタイムで遮断。
☞ Source IP偽造 など新種攻撃類型検知/遮断
☞ 感染PC使用者の早期発見で感染拡散防止
☞ 攻撃によって上段ネットワーク装置への負荷を防止
☞ 攻撃を内部で遮断することによって外部サイトへ被害を防止
3
SG2024シリーズは統合管理機能を提供し、IPT/UCを含む全ネットワーク環境に最適化され
たEnd-Pointソリューションです。
統合セキュリティ管制システムでスイッチ統合管理
セキュリティスイッチと共に提供する統合管制システムを通じてネッ
トワークトラフィック状況確認ができます。尚、異常パケットを攻撃パ
ターンに分けてログを収集し、
リアルタイムでモニタリングすること
によって有害パケットの発生元を追跡することができ、必要に応じて
遠隔操作でスイッチの各ポートを物理的に制御することができます。
長所
☞ 全体システムとトラフィック状態を一つの画面でモニタリング
☞ IP, MACのリアルタイム使用状況管理及びモニタリング
☞ 認証による非許可システムのネットワークアクセス制御
☞ 攻撃に対する段階別Alert機能提供により簡単に判断可能
☞ 問題が発生したスイッチを遠隔で操作可能
☞ 全体セキュリティイベントモニタリング及びレポート出力可能
Self Loop Detect機能でネットワーク連続性保障
有害トラフィックの選別遮断はむろん、管理者の手が届かないネット
ワーク環境で発生するCable Loop現象も検知して遮断することがで
きます。自分から出したパケットがリターンされるとそれを認知し、
Interfaceを Blockingするため、パケットの暴走からネットワークを安
全に守ることができます。
長所
☞ Self Loop Detect機能でCable Loop被害防止
☞ 下段にカスケードされているハブ(島ハブなど)で発生した
Self Loop も検知ができDetect機能でCable Loop被害防止
☞ 障害発生時のLog記録により、迅速な原因分析と復旧が可能
☞ 様々な障害に迅速に対応でき、中断しないネットワーク運用が可能
LOG
1Uサイズ内臓型二重電源供給装置で安定的な電源供給可能
内蔵型二重電源供給装置を選択して使用することができ、1Uサイ
ズであるため、効率よくラック装着が可能です。 SG2024PoEモデル
の場合、Fast Ethernet全ポートに電源を供給し、各ポート毎に最大
15.4Wの電源供給ができます。尚、
スイッチ全体電力370Wattの電力
を提供することができます。
長所
☞ 電源の二重化機能提供(Master / Slave モード)
☞ IP電話機、無線APなど電力供給が必要な装置を統合構築
☞ 1Uサイズで内臓型二重電源であるため、ラック装着に効率的
SG2024PoEの電源供給装置構成(裏面)
1
① スライブ(Slave)電源供給装置
2
② マスタ(Master)電源供給装置
4
セキュリティネットワーク構成ガイド
Accessレベルで必要なセキュリティレベル及び現在のネットワーク構成、予算などを考慮し、
最適のセキュリティネットワーク構成が可能です。
Internet
WAN Edge
Router, Firewall
Main core
Distribute
最小セキュリティネットワーク構成
最適セキュリティネットワーク構成
SG2024
Access
core
SG2024
L2スイッチ
L2スイッチ
セキュリティネットワーク構成比較
特徴
性能
セキュリティ機能
5
最適セキュリティネットワーク構成
最小セキュリティネットワーク構成
① 高性能のAccessレベルセキュリティ
② 既存ネットワーク構成維持機能
③ Accessレベルの有害トラフィック遮断で内部ネットワー
クセキュリティ強化
④ PC間ワークウィルスの2次感染遮断
① 8,192∼32,768個のMAC Address支援
② Full Wire Speed保障
① 最小のコストでGroup別セキュリティネットワーク構成
(最大3/4コスト節減)
② 選別的Accessレベルセキュリティ構成によって費用節減
③ セキュリティスイッチの直接/間接構成を融合したセキュ
リティネットワーク
① 8,192∼32,768個のMAC Address支援
② Full Wire Speed保障
③ セキュリティスイッチ当り、最大3つの一般スイッチ接続
使用可能
① 下段スイッチ間のDoS / DDoS / ARP Spoofingなどの攻
撃をリアルタイムで検知/遮断
② 一般スイッチに接続したPCに感染された場合、下段スイ
ッチ間の内部ネットワーク感染拡散遮断
① DoS / DDoS / ARP Spoofingなどの攻撃をリアルタイム
で検知/遮断
② 全PCに対する1:1有害トラフィック検知/遮断機能によっ
て感染PC発生時、PC間/スイッチ間の内部ネットワーク
感染拡散遮断
購入ガイド
L2スイッチのインテリジェント機能にセキュリティ強化機能まである賢いSG2024シリーズ
必要に応じて選択してください。
SG2024
- DDoS攻撃対策 ┌ 有害トラフィックのリアルタイム遮断及びネットワークスピード低下防止の対策を検討している顧客
└ ワームウィルス感染PCを早期に発見/対策を検討している顧客
- ARP Spoofing攻撃に備え、機密情報及び個人情報漏洩をリアルタイムで遮断する対策を検討している顧客
- 統制困難なユーザ管理┌ 大学寮/研究室等、予測困難な状況のネットワーク管理が必要な顧客。
└ インターネット使用による有害トラフィック及びウィルス感染拡大からネット
ワークを安全に保護したいISP事業者
- 低コストでネットワークセキュリティ対策とスイッチ機能両方必要とする顧客
- 全体スイッチ統合管理/制御及びリアルタイムイベント把握と報告が必要な顧客
- ユーザセキュリティ機能としてネットワーク環境と構成に影響なく間単に設置ができるソリューションが必要な顧客
MDS
VNM
Combo
Interface
802.1x
VLAN
Cable Diag
QoS
Filtering
DHCP
IGMP
STP
SLD
LACP
Fast Ethernet
* MDS:有害トラフィック検知/ログ生成/遮断エンジン
* VNM:統合セキュリティ管制システム
* SLD:強力なSelf Loop Detection機能
* LACP : Link Aggregation Control Protocal
* STP : Spanning Tree Protocol
SG2024G
- 大容量の重要データを安全、迅速なバックアップが必要な金融機関
- PACSデータなどの大容量ファイルをリアルタイムで処理が必要な病院などの医療機関
- 研究所又は新築ビルなど
「ハイスピード」で安全なネットワーク構成が必要な企業/公共機関
- サーバなどから安全なデータ転送が必要な顧客
- 電源の二重化でも最低限のサーバラック使用で効率的なスイッチが必要な顧客
※ SG2024が提供する全機能を含む
MDS
VNM
Combo
Interface
802.1x
VLAN
Cable Diag
QoS
Filtering
DHCP
IGMP
STP
SLD
LACP
Dual Power
GIGA Ethernet
* Giga Ethernet : 10/100/1000Base‒T
* Dual Power : 1Uサイズ/Master(Active),Slave(Active)構造
SG2024PoE
- IPT及びUC構築が必要な企業及び公共機関
- VoIPサービスを予定している企業
- 別途の電源重複工事なしでIP電話、無線AP及びIP基盤装置の使用が必要な顧客
- IP電話の盗聴/録音を遮断する対策を予定している顧客
※ SG2024が提供する全機能を含む
MDS
VNM
Combo
Interface
802.1x
VLAN
Cable Diag
QoS
Filtering
DHCP
IGMP
STP
SLD
LACP
Fast Ethernet
PoE
Dual Power
* PoE:ポートあたり最大15.4Watt提供(802.3af)
* Dual Power:1Uサイズ/Master(Active),Slave(Active)構造
6
製品仕様案内
www.handream.net
Physical Features
Model
SG2024
Performance
PSE Capability
Memory
Media Interface
Operating
Requirements
Power
Dimensions &
Weight
SG2024PoE
SG2024G
• Up to 8K MAC Address
• Switching Capacity : 28.8Gbps
• Throughput : 13.09Mpps
SG2048G
• Up to 8K MAC Address
• Up to 32K MAC Address
• Switching Capacity : 28.8Gbps
• Switching Capacity : 48Gbps
• Throughput : 13.09Mpps
• Throughput : 71.43Mpps
• IEEE 802.3 af Compatible
* Supply Power : 15.4W/Port
N/A
N/A
* PSE Pin-out : Alternative A
(MDI-X Mode)
• Flash Memory:16MB(Max:32MB) • Flash Memory:16MB(Max:32MB) • Flash Memory:64MB(Max:256MB)
• SDRAM : 256MB
• SDRAM : 256MB
• SDRAM : 256MB
• 24-Port 10/100Base-TX
• 24-Port 10/100Base-TX with PoE • 24-Port 10/100/1000Base-T
(Combo 4-Port)
• Combo : 2-Port
• Combo : 2-Port
• Combo Type : 10/100/1000Base-T(Copper) / 1000Base SX/LX/LH(SFP), 100Base FX(SFP)
• 1-Port 10/100Base-TX Management Port
• 1-Port Console (with RJ-45 Connector)
• Operating Temperature : 0 ~ 40 ℃
• Storage Temperature : -20 ~ 70 ℃
• Operating Humidity : 0 ~ 85% (Non-condensing)
• Up to 32K MAC Address
• Switching Capacity : 192Gbps
• Throughput : 142.9Mpps
• Input : AC100 -240VAC, 50/60Hz • Input : AC100 -240VAC, 50/60Hz
• Power Consumption : 34.7W
• Power Consumption : 65.2W
• Dual Power(Load Sharing):Optional
• 440(W) x 44(H) x 246(D)mm
• 440(W) x 44(H) x 410(D)mm
• 3Kg
• 6.5Kg (Single SMPS),
7.9Kg (Dual SMPS)
• Input : AC100 -240VAC, 50/60Hz
• Power Consumption : 98.8W
• Dual Power(Load Sharing):Optional
• 440(W) x 44(H) x 350(D)mm
• 4.8Kg (Single SMPS),
5.5Kg (Dual SMPS)
• Input : AC100 -240VAC, 50/60Hz
• Power Consumption : 64.8W
• Dual Power(Load Sharing):Optional
• 440(W) x 44(H) x 350(D)mm
• 4.7Kg (Single SMPS),
5.2Kg (Dual SMPS)
N/A
• Flash Memory:64MB(Max:256MB)
• SDRAM : 256MB
• 48-Port 10/100/1000Base-T
(Combo 4-Port)
Layer2 Features
Feature
Flow Control
Spanning tree
VLAN
Description
Feature
• IEEE 802.3x for full duplex mode
• Back pressure flow control half duplex mode
• IEEE 802.1D STP
• IEEE 802.1w RSTP
• IEEE 802.1s MSTP
• PVSTP+
• Portfast
• edgeport
• Loop Protection
• 802.1Q Tag-based VLAN
• 802.1Q Port-based VLAN
• 802.1v Protocol-based VLAN
• 256 VLANs entries out of 4K VLAN IDs
• IEEE 802.1ad VLAN Stacking (Q in Q)
• GVRP
• Voice VLAN
IGMP snooping
• v1, v2, v3
• Immediate Leave
• Querier
• Filtering and Throttling
Link Aggregation
• IEEE 802.3ad with LACP
- 6 aggregation groups up to 8 ports
- 12 aggregation groups up to 8 ports (SG2048G)
Security
Jumbo Frame
• 9K
• Priority queue
- Scheduling : Strict priority, WRR, DRR
- 8 CoS queues per port
• Rate limiting (Per Port based)
- Ingress
Quality of Service
- Egress
• DiffServ
• CoS
- IEEE 802.1p
- DSCP based CoS
(株)ハンドリームネット
〒103-0022 東京都中央区日本橋室町
4-3-10秀永日本橋室町ビル4階
TEL: 81-3-3527-9417
FAX: 81-3-3527-9418
www.handream.net
www.subgate.co.kr
[email protected]
Management
Description
• Multi Dimension Security (MDS) Engine
- Layer2-4 packet classification
- TCP Syn flooding, DoS/DDoS Attack, UDP flooding
Self Loop Detect, IP Spoofing, DHCP Attack, ICMP Attack,
ARP Attack, ARP Spoofing, Scanning, MAC flooding
• IEEE 802.1x
- Port-Based, Multiuser, Mac Bypass, Web-auth, Guest-VLAN
- RADIUS server, TACACS+ server
- Local Embedded RADIUS server
• Storm Control
- Broadcast storm
- Multicast storm
- DLF (Destination Lookup Failure)
• Management Interface Access filtering
- SNMP, Telnet
• MAC Address/DHCP/NetBIOS filtering
• Access control list (L2/L3/L4)
• Username/Password authentication
• AAA
- RADIUS, TACACS+
• SSH v2
• DHCP Snooping
• Port Security
• Management method
- VNM (Visual Node Manager) / Telnet (6 sessions) / SSH
• Software download
- FTP, x-modem, y-modem, z-modem
• DHCP - Server, Relay (Option82, Option 150)
• RMON (group 1, 2, 3, 9)
• IEEE 802.1ab(LLDP), LLDP MED, CDP
• Configuration file download - TFTP
• Event/Error Log - Local, Syslog
• SNMP v1/v2c/v3
• Port mirroring (1:1, N:1)
• NTP/SNTP
• sFlow
品川オフィス
〒108-0075 東京都港区港南 4-1-6 ビュロー品川 3F
Tel: 03-5769-2108 Fax: 03-5769-2109
E-mail: [email protected]
Fly UP