Comments
Description
Transcript
次世代 - santec
次世代 L2セキュリティスイッチ SG2024 L2スイッチもセキュリティ時代、DDoS攻撃、ARP Spoofingの脅威から より安全なネットワーク環境 を構築してください。 (株)ハンドリームネット ハンドリームネットは単独技術で世界初の L2セキュリティスイッチを製作、特許を取得し、韓国、日本を始めグローバル企業を目指しています。 製品の問い合わせについては48時間以内に回答いたします。 製品及び営業の問い合わせ先: [email protected] l www.handream.net ネットワーク管理者がSG2024に注目する理由 最近DDoS攻撃によって被害が続出し、新種ワームウィルスに感染されたPCへの使用者レベルセキュリティ強化 が社会的イシューとして注目をあびています。L2セキュリティスイッチSG2024シリーズはエンドユーザPCから最 も近いアクセスレベルで攻撃をリアルタイムで検知/遮断し、ネットワーク環境を安全に守ってくれます。 その一つ. アクセスレベルで DDoS攻撃による有害トラフィックを即時遮断し、 「障害予防」 DoS/DDoS攻撃及びワームウィルスなどにより有害トラフィックをリアルタイムで自動検知/遮断し、有害トラフィックの内部拡散及 びネットワークスピード低下/ダウンを防止します。ネットワーク管理者は安定したネットワーク環境を維持することによって「中断の ないビジネス」が可能となります。ISP事業者は「インタネットサービスの高品質が保証」でき、顧客満足度を上げることができます。 その2つ. ARP Spoofing攻撃から個人、企業、公共機関などの「金融情報と機密情報を保護」 急増しているIP電話盗聴及び金融情報ハッキング、各種ID/Passwordハッキングなどにより、内部機密情報漏洩を初め、 プラ イバシー侵害、金融被害の脅威に漏出されています。SG2024シリーズはL2レベルでARPプロトコールの脆弱性を利用して ARP Spoofingをリアルタイムで検知/遮断し、個人、企業、公共機関の金融情報と内部機密情報を保護します。 その3つ. 精細な動作分析技術で「Zero-Day攻撃にも安心」 特許技術であるMDSエンジンは100% Self-running方式であるためシグネチャアップデートや別途セキュリティフィルタ設定な しで攻撃をリアルタイムで遮断します。MDSエンジンはトラフィック量/時間及びホスト/TCP/UDP別セキュリティ状況を分析し、 異常検知時はL3,L4情報を利用、自動にセキュリティフィルタを生成/遮断します。つまりDDoSなど特定攻撃発生時、セキュリティ パッチが適用されていない期間、又は閾値基盤の装置が攻撃を検知できなくてもネットワークセキュリティを保障します。 その4つ. セキュリティ機能を実行してもFull Wire Speed保障 コア技術であるMDS(Multi Dimension Security)エンジンはスイッチングパブリックを通して転送されるインバウンド及びア ウトバインドのトラフィックをネットワークスピードに影響なく分析し、セキュリティ機能を遂行します。尚、Accessレベルでの リアルタイム有害トラフィック遮断は全体ネットワーク上の有害トラフィックフィルタリングに必要なリソースのオーバーヘッ ダを下げ、最大回線スピードでネットワーク性能を保証します。 その5つ. 1画面でネットワーク状況が確認できる 「統合管制システム(VNM) 提供」 海外、地方又は事業所が分散されている場合でも全体スイッチを一元化してシステム状態と状況をリアルタイムモニタリン グ/管理が可能です。尚、 アタック情報はもちろん検知/遮断された詳細ログ及び履歴もわかりやすい図表で表示してくれる ので状況を間単に把握でき、対応することができます。 またレポート機能を用いて報告書作成も簡単にできます。 1 内部ネットワークセキュリティ構成図 Internet Visual WAN Edge Router, Firewall Node Manager Main core Distribute core Access core 内部ネットワーク 統合管理コンソール IPマネージメント (非許可PC検出) Zero-Day攻撃遮断 (DDoS/DoS/SCAN 攻撃検知/遮断) ARP Spoofing遮断 (IP電話盗聴、個人情報 漏洩検知/遮断) L2スイッチ比較 L2セキュリティスイッチ Performance PSE Capability 遮断有害トラフィック の種類 有害トラフィック 遮断の特徴 DDoS及びARP Spoofing攻撃遮断 管理体系 一般スイッチ Up to 8,192 MAC Address Throughput : 6.88Mpps IEEE 802.3 af (15.4W per port) IEEE 802.3 af (PoE Plus) 31.2W per port MDSエンジンによる自動検知/遮断 - DoS/DDoS攻撃自動検知/遮断 - ARP/IP Spoofing攻撃自動検知/遮断 - TCP/UDP Flooding, Scan攻撃自動検知/遮断 - Cable Loop遮断 攻撃即時検知/遮断で「障害事前予防」 行為分析特許技術であるMDSエンジンでリアルタイム自動セキュリティ フィルタ生成 論理Port別有害トラフィックのみ選別遮断で「業務の持続性保障」 有害トラフィック拡散による2次被害なし 使用環境 : Static IP / Dynamic IP 攻撃類型、攻撃時間、被害システムのIP/Portなど、詳細ログ確認 及び管理機能 VNM (Visual Node Manager) - 多数のスイッチとネットワーク状況を1画面の図表で簡単にモニタリング - ログ管理及びレポートが便利 - IPマネージメント:非許可PCモニタリング Up to 8,192 MAC Address Throughput : 6.6 Mpps IEEE 802.3 af (15.4W per port) 管理者による特定機能設定による遮断 - Broadcast, Multicast Packetなど大量流入 ....時閾値設定による制限 - Cable Loop遮断 管理者の特定機能設定による遮断で誤検知 の可能性大 管理者がL2レベルで一々手動で特定機能設 定は事実上不可能 問題発生後、解決に相当の時間が必要 使用環境 : Dynamic IP DHCP Serverが使用されないStatic IP環境で は使用できない不完全な対策 コマンドを使用し、モニタリング ログ確認及び記録ができても不便 IPマネージメント:不可能 **備考 : SG2024製品基準比較 (Gigabit及び PoE機能を除く) 2 製品仕様案内 SG2024シリーズは最適化されたユーザーレベルのセキュリティを提供し、個人/企業/公共機 関の有・無形資産を守ってくれます。 MDSエンジン搭載で最適のセキュリティソリューションとFull Wire Speedを提供 MDSエンジンは行為分析特許技術としてアタックを発生させる有害 トラフィックを分析し、ログを生成後、ユーザレベルに最適化された セキュリティフィルタで攻撃を「即時自動遮断」 します。 このようなセ キュリティ機能が実行されてもトラフィックを「スニフィングモード」 でモニタリングし、 スイッチのFull Wire Speed性能を保証します。 長所 ☞ セキュリティ脅威の素をリアルタイムで検知/遮断 ☞ 別途のアップデート無しでZero-Day攻撃を検知/遮断 ☞ 有害トラフィックのみ遮断し、正常トラフィックは安全に伝送 ☞ 管理者がいなくても自動セキュリティ機能実行でTCO削減 ☞ 全セキュリティ機能を実行しても全PortにFull Wire Speed保障 Security Filter Module Security Log Real Time Packet Gathering Module Protec ion & Release Switching Fabric 2GE Protection 24FE Real Time Packet Gathering Module ARP Spoofig、内部情報ハッキング遮断 MDSエンジンはStatic又はDynamic IPを使用する全てのネットワー ク環境へのARP Spoofig攻撃、内部機密情報へのハッキングを検知 して遮断します。特にIPT/UC環境にてARP Spoofing攻撃が発生し、 音声通話内容を盗聴/録音されることを根本的に防止します。 * IPT : IP Telephony *UC : Unified Communication 長所 ☞ IPT/UC環境での不法音声通話盗聴・録音防止 ☞ ハッキングによる個人情報と会社機密情報漏洩防止 ☞ ハッキングによるプライバシー侵害、 ビジネス被害、 金融被害などの根本的な防止 ARP Spoofing事前遮断 DoS/DDoS, Flooding, Scanなどの有害トラフィック遮断 有害トラフィック攻撃発生時、 リアルタイムでMDSエンジンが攻撃を 検知/遮断し、ユーザPCがワームウィルスなどに感染された場合、拡 散を遮断することによって2次、3次被害を防止します。特にDoS /DDoS攻撃がスイッチ段でSource IPを変造して発生する場合もMDS エンジンで判断し、検知/遮断します。 長所 ☞ DoS/DDoS攻撃のような有害トラフィック発生時、 リア ルタイムで遮断。 ☞ Source IP偽造 など新種攻撃類型検知/遮断 ☞ 感染PC使用者の早期発見で感染拡散防止 ☞ 攻撃によって上段ネットワーク装置への負荷を防止 ☞ 攻撃を内部で遮断することによって外部サイトへ被害を防止 3 SG2024シリーズは統合管理機能を提供し、IPT/UCを含む全ネットワーク環境に最適化され たEnd-Pointソリューションです。 統合セキュリティ管制システムでスイッチ統合管理 セキュリティスイッチと共に提供する統合管制システムを通じてネッ トワークトラフィック状況確認ができます。尚、異常パケットを攻撃パ ターンに分けてログを収集し、 リアルタイムでモニタリングすること によって有害パケットの発生元を追跡することができ、必要に応じて 遠隔操作でスイッチの各ポートを物理的に制御することができます。 長所 ☞ 全体システムとトラフィック状態を一つの画面でモニタリング ☞ IP, MACのリアルタイム使用状況管理及びモニタリング ☞ 認証による非許可システムのネットワークアクセス制御 ☞ 攻撃に対する段階別Alert機能提供により簡単に判断可能 ☞ 問題が発生したスイッチを遠隔で操作可能 ☞ 全体セキュリティイベントモニタリング及びレポート出力可能 Self Loop Detect機能でネットワーク連続性保障 有害トラフィックの選別遮断はむろん、管理者の手が届かないネット ワーク環境で発生するCable Loop現象も検知して遮断することがで きます。自分から出したパケットがリターンされるとそれを認知し、 Interfaceを Blockingするため、パケットの暴走からネットワークを安 全に守ることができます。 長所 ☞ Self Loop Detect機能でCable Loop被害防止 ☞ 下段にカスケードされているハブ(島ハブなど)で発生した Self Loop も検知ができDetect機能でCable Loop被害防止 ☞ 障害発生時のLog記録により、迅速な原因分析と復旧が可能 ☞ 様々な障害に迅速に対応でき、中断しないネットワーク運用が可能 LOG 1Uサイズ内臓型二重電源供給装置で安定的な電源供給可能 内蔵型二重電源供給装置を選択して使用することができ、1Uサイ ズであるため、効率よくラック装着が可能です。 SG2024PoEモデル の場合、Fast Ethernet全ポートに電源を供給し、各ポート毎に最大 15.4Wの電源供給ができます。尚、 スイッチ全体電力370Wattの電力 を提供することができます。 長所 ☞ 電源の二重化機能提供(Master / Slave モード) ☞ IP電話機、無線APなど電力供給が必要な装置を統合構築 ☞ 1Uサイズで内臓型二重電源であるため、ラック装着に効率的 SG2024PoEの電源供給装置構成(裏面) 1 ① スライブ(Slave)電源供給装置 2 ② マスタ(Master)電源供給装置 4 セキュリティネットワーク構成ガイド Accessレベルで必要なセキュリティレベル及び現在のネットワーク構成、予算などを考慮し、 最適のセキュリティネットワーク構成が可能です。 Internet WAN Edge Router, Firewall Main core Distribute 最小セキュリティネットワーク構成 最適セキュリティネットワーク構成 SG2024 Access core SG2024 L2スイッチ L2スイッチ セキュリティネットワーク構成比較 特徴 性能 セキュリティ機能 5 最適セキュリティネットワーク構成 最小セキュリティネットワーク構成 ① 高性能のAccessレベルセキュリティ ② 既存ネットワーク構成維持機能 ③ Accessレベルの有害トラフィック遮断で内部ネットワー クセキュリティ強化 ④ PC間ワークウィルスの2次感染遮断 ① 8,192∼32,768個のMAC Address支援 ② Full Wire Speed保障 ① 最小のコストでGroup別セキュリティネットワーク構成 (最大3/4コスト節減) ② 選別的Accessレベルセキュリティ構成によって費用節減 ③ セキュリティスイッチの直接/間接構成を融合したセキュ リティネットワーク ① 8,192∼32,768個のMAC Address支援 ② Full Wire Speed保障 ③ セキュリティスイッチ当り、最大3つの一般スイッチ接続 使用可能 ① 下段スイッチ間のDoS / DDoS / ARP Spoofingなどの攻 撃をリアルタイムで検知/遮断 ② 一般スイッチに接続したPCに感染された場合、下段スイ ッチ間の内部ネットワーク感染拡散遮断 ① DoS / DDoS / ARP Spoofingなどの攻撃をリアルタイム で検知/遮断 ② 全PCに対する1:1有害トラフィック検知/遮断機能によっ て感染PC発生時、PC間/スイッチ間の内部ネットワーク 感染拡散遮断 購入ガイド L2スイッチのインテリジェント機能にセキュリティ強化機能まである賢いSG2024シリーズ 必要に応じて選択してください。 SG2024 - DDoS攻撃対策 ┌ 有害トラフィックのリアルタイム遮断及びネットワークスピード低下防止の対策を検討している顧客 └ ワームウィルス感染PCを早期に発見/対策を検討している顧客 - ARP Spoofing攻撃に備え、機密情報及び個人情報漏洩をリアルタイムで遮断する対策を検討している顧客 - 統制困難なユーザ管理┌ 大学寮/研究室等、予測困難な状況のネットワーク管理が必要な顧客。 └ インターネット使用による有害トラフィック及びウィルス感染拡大からネット ワークを安全に保護したいISP事業者 - 低コストでネットワークセキュリティ対策とスイッチ機能両方必要とする顧客 - 全体スイッチ統合管理/制御及びリアルタイムイベント把握と報告が必要な顧客 - ユーザセキュリティ機能としてネットワーク環境と構成に影響なく間単に設置ができるソリューションが必要な顧客 MDS VNM Combo Interface 802.1x VLAN Cable Diag QoS Filtering DHCP IGMP STP SLD LACP Fast Ethernet * MDS:有害トラフィック検知/ログ生成/遮断エンジン * VNM:統合セキュリティ管制システム * SLD:強力なSelf Loop Detection機能 * LACP : Link Aggregation Control Protocal * STP : Spanning Tree Protocol SG2024G - 大容量の重要データを安全、迅速なバックアップが必要な金融機関 - PACSデータなどの大容量ファイルをリアルタイムで処理が必要な病院などの医療機関 - 研究所又は新築ビルなど 「ハイスピード」で安全なネットワーク構成が必要な企業/公共機関 - サーバなどから安全なデータ転送が必要な顧客 - 電源の二重化でも最低限のサーバラック使用で効率的なスイッチが必要な顧客 ※ SG2024が提供する全機能を含む MDS VNM Combo Interface 802.1x VLAN Cable Diag QoS Filtering DHCP IGMP STP SLD LACP Dual Power GIGA Ethernet * Giga Ethernet : 10/100/1000Base‒T * Dual Power : 1Uサイズ/Master(Active),Slave(Active)構造 SG2024PoE - IPT及びUC構築が必要な企業及び公共機関 - VoIPサービスを予定している企業 - 別途の電源重複工事なしでIP電話、無線AP及びIP基盤装置の使用が必要な顧客 - IP電話の盗聴/録音を遮断する対策を予定している顧客 ※ SG2024が提供する全機能を含む MDS VNM Combo Interface 802.1x VLAN Cable Diag QoS Filtering DHCP IGMP STP SLD LACP Fast Ethernet PoE Dual Power * PoE:ポートあたり最大15.4Watt提供(802.3af) * Dual Power:1Uサイズ/Master(Active),Slave(Active)構造 6 製品仕様案内 www.handream.net Physical Features Model SG2024 Performance PSE Capability Memory Media Interface Operating Requirements Power Dimensions & Weight SG2024PoE SG2024G • Up to 8K MAC Address • Switching Capacity : 28.8Gbps • Throughput : 13.09Mpps SG2048G • Up to 8K MAC Address • Up to 32K MAC Address • Switching Capacity : 28.8Gbps • Switching Capacity : 48Gbps • Throughput : 13.09Mpps • Throughput : 71.43Mpps • IEEE 802.3 af Compatible * Supply Power : 15.4W/Port N/A N/A * PSE Pin-out : Alternative A (MDI-X Mode) • Flash Memory:16MB(Max:32MB) • Flash Memory:16MB(Max:32MB) • Flash Memory:64MB(Max:256MB) • SDRAM : 256MB • SDRAM : 256MB • SDRAM : 256MB • 24-Port 10/100Base-TX • 24-Port 10/100Base-TX with PoE • 24-Port 10/100/1000Base-T (Combo 4-Port) • Combo : 2-Port • Combo : 2-Port • Combo Type : 10/100/1000Base-T(Copper) / 1000Base SX/LX/LH(SFP), 100Base FX(SFP) • 1-Port 10/100Base-TX Management Port • 1-Port Console (with RJ-45 Connector) • Operating Temperature : 0 ~ 40 ℃ • Storage Temperature : -20 ~ 70 ℃ • Operating Humidity : 0 ~ 85% (Non-condensing) • Up to 32K MAC Address • Switching Capacity : 192Gbps • Throughput : 142.9Mpps • Input : AC100 -240VAC, 50/60Hz • Input : AC100 -240VAC, 50/60Hz • Power Consumption : 34.7W • Power Consumption : 65.2W • Dual Power(Load Sharing):Optional • 440(W) x 44(H) x 246(D)mm • 440(W) x 44(H) x 410(D)mm • 3Kg • 6.5Kg (Single SMPS), 7.9Kg (Dual SMPS) • Input : AC100 -240VAC, 50/60Hz • Power Consumption : 98.8W • Dual Power(Load Sharing):Optional • 440(W) x 44(H) x 350(D)mm • 4.8Kg (Single SMPS), 5.5Kg (Dual SMPS) • Input : AC100 -240VAC, 50/60Hz • Power Consumption : 64.8W • Dual Power(Load Sharing):Optional • 440(W) x 44(H) x 350(D)mm • 4.7Kg (Single SMPS), 5.2Kg (Dual SMPS) N/A • Flash Memory:64MB(Max:256MB) • SDRAM : 256MB • 48-Port 10/100/1000Base-T (Combo 4-Port) Layer2 Features Feature Flow Control Spanning tree VLAN Description Feature • IEEE 802.3x for full duplex mode • Back pressure flow control half duplex mode • IEEE 802.1D STP • IEEE 802.1w RSTP • IEEE 802.1s MSTP • PVSTP+ • Portfast • edgeport • Loop Protection • 802.1Q Tag-based VLAN • 802.1Q Port-based VLAN • 802.1v Protocol-based VLAN • 256 VLANs entries out of 4K VLAN IDs • IEEE 802.1ad VLAN Stacking (Q in Q) • GVRP • Voice VLAN IGMP snooping • v1, v2, v3 • Immediate Leave • Querier • Filtering and Throttling Link Aggregation • IEEE 802.3ad with LACP - 6 aggregation groups up to 8 ports - 12 aggregation groups up to 8 ports (SG2048G) Security Jumbo Frame • 9K • Priority queue - Scheduling : Strict priority, WRR, DRR - 8 CoS queues per port • Rate limiting (Per Port based) - Ingress Quality of Service - Egress • DiffServ • CoS - IEEE 802.1p - DSCP based CoS (株)ハンドリームネット 〒103-0022 東京都中央区日本橋室町 4-3-10秀永日本橋室町ビル4階 TEL: 81-3-3527-9417 FAX: 81-3-3527-9418 www.handream.net www.subgate.co.kr [email protected] Management Description • Multi Dimension Security (MDS) Engine - Layer2-4 packet classification - TCP Syn flooding, DoS/DDoS Attack, UDP flooding Self Loop Detect, IP Spoofing, DHCP Attack, ICMP Attack, ARP Attack, ARP Spoofing, Scanning, MAC flooding • IEEE 802.1x - Port-Based, Multiuser, Mac Bypass, Web-auth, Guest-VLAN - RADIUS server, TACACS+ server - Local Embedded RADIUS server • Storm Control - Broadcast storm - Multicast storm - DLF (Destination Lookup Failure) • Management Interface Access filtering - SNMP, Telnet • MAC Address/DHCP/NetBIOS filtering • Access control list (L2/L3/L4) • Username/Password authentication • AAA - RADIUS, TACACS+ • SSH v2 • DHCP Snooping • Port Security • Management method - VNM (Visual Node Manager) / Telnet (6 sessions) / SSH • Software download - FTP, x-modem, y-modem, z-modem • DHCP - Server, Relay (Option82, Option 150) • RMON (group 1, 2, 3, 9) • IEEE 802.1ab(LLDP), LLDP MED, CDP • Configuration file download - TFTP • Event/Error Log - Local, Syslog • SNMP v1/v2c/v3 • Port mirroring (1:1, N:1) • NTP/SNTP • sFlow 品川オフィス 〒108-0075 東京都港区港南 4-1-6 ビュロー品川 3F Tel: 03-5769-2108 Fax: 03-5769-2109 E-mail: [email protected]