Nortel VPN Gateway 3050/3070

Обзор

Модельный ряд VPN-шлюзов Nortel включает в себя решения защищенного доступа, которые помогают расширить границы традиционных виртуальных частных сетей, предоставив доступ к корпоративным приложениям и ресурсам удаленным сотрудникам, партнерам и клиентам. Они обладают большей надежностью и возможностями экономии средств, а также единой точкой аутентификации, что чрезвычайно ценится системными администраторами. Различные варианты удаленного доступа, шифрования и развертывания дают возможность использовать VPN-шлюзы организациям любого размера. Благодаря поддержке стандартных возможностей широко используемых браузеров и виртуальных частных сетей SSL VPN, а также благодаря поддержке традиционных VPN-клиентов на основе протокола IPsec, VPN-шлюзы Nortel и функции SSL VPN представляют собой наиболее удобные, гибкие и выгодные с точки зрения затрат решения для защищенного доступа, доступные на современном рынке.

Nortel VPN Gateway 3050/3070

VPN-шлюзы Nortel способны выполнять преобразование контента «на лету» и мгновенно переводить большинство ресурсов внутренней сети (интранета) в доступную для просмотра извне форму (защищенные HTML-страницы). При помощи расширенной службы трансляции сетевых адресов и портов (NAPT) они позволяют создавать защищенные туннели SSL VPN, обеспечивающие коммуникацию клиент-сервер для пользовательских устройств с установленными браузерами, без использования клиента VPN-туннелирования.

Шлюз можно оперативно встроить в имеющиеся точки подключения к Интернету, он не предъявляет практически никаких начальных требований к сети, которые должны быть выполнены для эффективной интеграции в существующие сети. Шлюз Nortel VPN Gateway предлагает предприятиям альтернативный вариант защищенного предоставления ресурсов удаленным пользователям, который не требует установки и администрирования на их компьютерах клиентского программного обеспечения для туннелирования.

Целевая аудитория

  • Крупные предприятия, которым необходимо предоставлять услуги удаленного доступа большому числу удаленных работников, мобильных сотрудников, партнеров и клиентов
  • Любая организация, которая хотела бы расширить область охвата своего корпоративного портала (например, IBM Websphere, SAP, Plumtree, BEA, PeopleSoft) за пределы обычной локальной/распределенной сети
  • Малые и средние организации, намеревающиеся инвестировать средства в гибкое решение для удаленного доступа, которое должно расширяться вместе с их бизнесом

Что нужно обеспечить:

  • Вы столкнулись с необходимостью администрировать программное обеспечение VPN-клиентов на компьютерах пользователей?
  • Вы пытаетесь приспособить защищенный удаленный доступ к мобильной/беспроводной инфраструктуре?
  • Вы испытываете трудности с поддержкой мобильных пользователей, расположенных в незнакомых сетях?
  • Вашим удаленным пользователям часто приходится обращаться в службу технической поддержки?
  • Ваша текущая архитектура LAN/WAN/RAS поддерживает весьма ограниченные возможности мобильности пользователей?
  • Вам необходима возможность мгновенной организации защищенных соединений с партнерами без выполнения множества предварительных условий?

Типичные варианты применения

Шлюз Nortel VPN Gateway можно установить с расчетом на решение различных задач:

Корпоративные экстрасети

Интеграция деловых партнеров в текущую систему производства поможет оптимизировать каналы поставки и сократить технологический и учетный циклы. Однако, предоставление деловым партнерам простого, защищенного доступа к определенному приложению производственного цикла или корпоративному порталу может быть сопряжено с некоторыми трудностями. Избавившись от необходимости устанавливать программное обеспечение VPN на компьютерах партнеров, можно отказаться и от выделенного VPN-маршрутизатора на объекте клиента.

Доступ для мобильных сотрудников

Мобильными называются сотрудники, которые часто бывают в командировках и нуждаются в доступе к широкому спектру различных приложений. Основными такими приложениями являются электронная почта, планировщик, передача файлов и популярные приложения типа систем управления взаимоотношениями с клиентами (CRM) или автоматизации работы отдела продаж (SFA). Шлюзы из модельного ряда Nortel VPN Gateway обеспечивают истинную свободу мобильности, предоставляя мобильным работникам больше возможностей для коммуникации и обмена информацией. Сотрудники могут получать доступ к приложениям с портативного компьютера, настольного компьютера на объекте клиента, КПК с установленным браузером или любого доступного Интернет-терминала в отелях, аэропортах или конференц-центрах.

 

Рисунок 1: Шлюз Nortel VPN Gateway для удаленного доступа
 Шлюз Nortel VPN Gateway для удаленного доступа

Внешний доступ к интранет-приложениям

Шлюзы из модельного ряда Nortel VPN Gateway позволяют предприятиям предоставлять защищенный доступ к ресурсам своего внутреннего портала, динамически перенаправляя страницы через VPN-шлюз по протоколу HTTPS. Предприятия могут реализовать мгновенный экстранет-доступ к приложениям и ресурсам без необходимости активации функций SSL на каждом сервере приложений/порталов. Администраторы могут избавиться от необходимости переписывать внутренние страницы/ссылки на ресурсы, которые они хотят сделать доступными извне.

SSL-акселератор

Шлюз Nortel VPN Gateway можно также развернуть в виде отдельного SSL-акселератора, который снимет часть интенсивной нагрузки по обработке алгоритмов SSL с Web-серверов. Переложение этой функции на шлюз Nortel VPN Gateway может дать прирост производительности сервера от 5 до 50 раз по сравнению с HTTPS-серверами без акселераторов – что помогает оптимизировать выполнение Web-сервером своей основной задачи. Серверный трафик от шлюзов Nortel VPN Gateway может быть расшифрован, благодаря чему коммутаторы приложений будут получать доступные для анализа пакеты, необходимые для всех услуг на уровнях 4–7, включая распределение нагрузки, коммутацию на основании типа контента и сохранение состояния сессий.

 

Рисунок 2: Шлюз Nortel VPN Gateway, выполняющий функции обработки и акселератора SSL
Шлюз Nortel VPN Gateway, выполняющий функции обработки и акселератора SSL

Защита периметра корпоративной сети

Не всем приложениям в корпоративной сети нужен одинаковый уровень защиты. Базы данных на основе подписки или лицензий обладают жесткими ограничениями на доступ, приложения на уровне отделов содержат важную информацию, приложения отдела кадров работают с конфиденциальными персональными данными, а для финансовых систем необходим ограниченный доступ. Для этих приложений, как и многих других, необходим дополнительный уровень защиты внутри корпоративной сети. Шлюзы Nortel VPN Gateway позволяют использовать специфичную для приложения аутентификацию для контроля внутреннего доступа и шифрование данных, передаваемых от клиента к приложению внутри частной сети, что помогает обеспечить конфиденциальность и секретность передачи информации для пользователей как обычных, так и беспроводных сетей.

Основные преимущества шлюза Nortel VPN Gateway

  • Высокая производительность, доступность и масштабируемость
  • Шлюз удаленного доступа с наиболее гибкими параметрами безопасности, поддерживающий различные режимы работы алгоритмов SSL, в том числе без клиента, расширенный без клиента и прозрачный (с использованием клиентского программного обеспечения).
  • Снижение затрат и более простое управление благодаря возможности работы без установки и поддержки VPN-клиентов.
  • Повышенная надежность и мобильность пользователей благодаря возможности защищенного доступа с любых устройств с установленным браузером (SSL).
  • Поставляются в виде модернизации для многих продуктов Nortel.

Характеристики и преимущества

  • Упрощенная процедура доступа – VPN-шлюзы устраняют необходимость в текущей поддержке и администрировании, которая характерна для традиционных решений удаленного доступа.
  • Гибкость вариантов развертывания и защита инвестиций – Поддерживаются различные режимы доступа через виртуальную частную сеть (VPN) с использованием SSL (только браузер, Java-апплет или полный SSL VPN-доступ через Net Direct), а также возможность терминирования VPN-клиентов.
  • Отличная масштабируемость, высокие показатели доступности и производительности – Одновременная поддержка нескольких тысяч пользовательских VPN-туннелей с использованием SSL и IPsec, совокупная пропускная способность VPN на уровне нескольких сотен мегабит в секунду. Шлюзы обеспечивают ускорение виртуальных частных сетей VPN, распределение нагрузки, а также поддерживают объединение в кластеры до 32 устройств для создания исключительно надежных решений VPN.
  • Мощная защита удаленных конечных точекVPN-шлюзы Nortel предлагают целый ряд защитных функций, которые помогают предотвратить последствия злонамеренных действий и неосторожности пользователей. VPN-шлюзы поддерживают функцию Nortel VPN Tunnel Guard, которая осуществляет проверку защиты в конечных точках для VPN-конфигураций как с программой-клиентом, так и без нее.

Решение Nortel SSL VPN доступно на различных платформах безопасности и виртуальных частных сетей от Nortel:

  • Коммутатор Nortel Application Switch 2424-SSL
  • Модельный ряд VPN-маршрутизаторов Nortel VPN Router (1740/2700/5000)
  • Многоуровневая модель лицензирования для 50, 100, 250, 500 и 1000 пользователей обеспечивает гибкость и возможность масштабирования конфигурации.

Информация о рынке

Появление VPN на основе SSL в качестве надежного и очень гибкого решения для доступа к корпоративным ресурсам полностью изменило ситуацию на рынке корпоративных систем удаленного доступа через VPN. Возможность создания настраиваемого динамического Web-портала для внешних пользователей без необходимости установки и конфигурирования традиционных VPN-клиентов как для управляемых (сотрудников), так и для неуправляемых (партнеров) пользователей и устройств является весьма привлекательным предложением для самой широкой аудитории корпоративных клиентов.

Решения SSL VPN принадлежат к наиболее динамично развивающемуся сегменту рынка продуктов безопасности, объем которого, как ожидается, к 2006 году превысит 600 миллионов долларов. Ведущие аналитики отрасли с энтузиазмом относятся к этой технологии удаленного доступа, упоминая в числе ее преимуществ простоту, мобильность и возможности экономии до 50% средств по сравнению с конкурирующими решениями удаленного доступа.

Модельный ряд VPN-решений Nortel (состоящий из VPN-шлюзов и маршрутизаторов) предлагает истинную свободу мобильности для широкого спектра приложений, а также предоставляет мобильным работникам больше возможностей для защищенной связи и обмена информацией. Работники гарантировано получают надежный, защищенный доступ к приложениям для передачи голоса/данных/мультимедиа (SIP, видео, мгновенные сообщения и т. д.) с использованием портативного компьютера, настольного компьютера на объекте клиента, КПК с установленным Web-браузером или любого доступного Интернет-терминала в гостиницах, аэропортах или конференц-центрах. Модельный ряд VPN-решений Nortel осуществляет проверку защиты для всех типов конечных точек, что гарантирует невозможность проникновения через VPN-туннель в защищенную корпоративную сеть вирусов или иного нежелательного вторжения от удаленных пользователей/устройств.

Решение Nortel SSL VPN оптимизировано для технологии «голос через IP» (VoIP) – для Net Direct предлагается специальная технология «Fast Path», которая оптимизирует соединение в тех случаях, когда протоколам VoIP/SIP требуется поддержка служб QoS. В итоге клиентам Nortel не приходится жертвовать качеством передачи голоса при установке системы защиты на основе SSL VPN. В доказательство этого у нас имеются результаты недавнего тестирования, проведенного группой The Tolly Group – www.nortel.com/corporate/events/2005b/tolly_eseminar/index.html.

Продукция Nortel заняла первое место по производительности среди конкурирующих решений SSL VPN по результатам независимого тестирования (Light Reading), и была признана лидером отрасли согласно отчетам по рынку SSL VPN, подготовленным компаниями Gartner Group и Forrester Research. Признание рынком решений VPN и безопасности от Nortel:

  • Лидеры по доле рынка VPN-решений по данным компании Infonetic – 2 место в 2004 году
  • Лидеры на рынках VPN-решений на базе IPSec и SSL по данным отчета «Magic Quadrant» компании Gartner Group
  • Лидеры на рынке решений SSL VPN по данным компании Forrester Research
  • Награда «Tester’s Choice» журнала Network Computing за решения IPsec VPN
  • Награда «Well-Connected Award» журнала Network Computing за решения безопасности/IPsec VPN
  • Сертификаты ICSA, VPNC и NIST за решения VPN/безопасности

Технические характеристики

Характеристики аппаратного обеспечения

VPN Gateway 3050

VPN Gateway 3070

Максимальное количество одновременных VPN-сессий

2000

5000

Предназначение

Для средних и крупных предприятий

Для крупных предприятий и провайдеров услуг VPN

Центральный процессор

(1) Intel P4 2,4 ГГц

(2) Intel Xeon 2,8 ГГц

Память

1 Гбайт DDR 266 МГц

2 Гбайт DDR 266 МГц

Встроенные интерфейсы локальной сети:

(2) 10/100/1000-TX

(2) 10/100/1000-TX

Расширение

(1) два порта 10/100/1000-TX

(1) два порта 10/100/1000-TX или -FX (оптоволокно)

Дисковые приводы

(1) 40 Гбайт IDE
(1) CD-ROM

(1) 80 Гбайт IDE
(1) CD-ROM

Функциональные возможности

Функции безопасности:
Аутентификация
RADIUS и «запрос/ответ»
LDAP, домен Windows NT
Собственная база данных локальных пользователей
SC SafeWord, RSA SecurID
ActivCard
Novell NDS/eDirectory
Netegrity SiteMinder
Цифровой сертификат X.509
Однократный ввод пароля (SSO) для Microsoft Active Directory
WFS, HTTP для Web-приложений, аутентификация через формы
HTTP-заголовки
SSO с поддержкой Netegrity SiteMinder
Однократный ввод пароля для домена/сети

Авторизация
Авторизация по двойному профилю
В базовый профиль входит информация по сети, услуге и уровню приложения (уровень 3, 4/7)
В расширенный профиль добавлена информация по исходной сети, защите клиента и методу аутентификации
Статус защиты конечных точек и метод доступа (Tunnel Guard IPsec/SSL)

Протоколы безопасности
SSL v2.0, 3.0
TLS 1.0 (RFC 2246)
IPsec ESP, AH

Алгоритмы шифрования
Все алгоритмы шифрования, входящие в протоколы SSLv2.0, 3.0 и TLSv1.0, кроме IDEA и FORTEZZA

Учет
Запуск и завершение учета на сервере Syslog/RADIUS, с регистрацией имени пользователя, адреса шлюза, идентификатора сессии, длительности сессии и причины ее окончания

Защита клиента
Nortel VPN Tunnel Guard
Автоматическое отключение по счетчику
Перезапись в заголовки «без кэша/без хранения»
Очищение кэш-памяти файлов/истории
Динамические политики доступа

Поддержка клиента Nortel VPN Client

Разделенное туннелирование
VPN Tunnel Guard (для протоколов IPsec и SSL)
Nortel VPN Client Mobility
Вкладка полного доступа к порталу
Аутентификация на основе сертификата
Поддержка КПК и смартфонов

Высокая доступность VPN

Распределение нагрузки
Распределение нагрузки служб IPsec/SSL путем кластеризации
Распределение нагрузки на серверы по исходному IP-адресу и циклическому алгоритму

Сохранение состояния сессий
Исходный IP, идентификатор SSL-сессии, информация в cookie

Проверка состояния приложений
SSL с TCP/IP/портом
Настраиваемые интервалы, в соответствии со сценарием
Производительность

Функции управляемых услуг
Поддержка до 250 VPN-доменов на каждом шлюзе
Привязка VPN с использованием 802.1q
Отображение аутентификации/DNS
Разделенное администрирование
Группирование лицензий
Поддержка кластеров в составе до 255 VPN-шлюзов

Поддержка приложений

Доступ к приложениям на основе Web, клиент-серверным и стандартным приложениям терминального сервера
Доступ к стандартным настольным приложениям сетевого уровня в режиме SSL или IPsec

Web-контент и протоколы
HTML/DHTML
JavaScript/Java-апплеты/XML
HTTP/HTTPS
VBScript

Протоколы обмена файлами
Windows – SMB/CIFS
Общий – FTP

Протоколы электронной почты/передачи сообщений
Microsoft Exchange (MAPI)
IBM/Lotus Domino/Notes
IMAP, SMTP и POP3

Протоколы терминального доступа
Telnet
SSH

Протоколы удаленного доступа к рабочему столу
Citrix ICA
Microsoft WTS (RDP)

Управление
Защищенный графический Web-интерфейс для администрирования (HTTPS)
Интерфейс командной строки через последовательный порт
Локальный журнал, внешние записи Syslog
Протокол SNMP версии 2 и 3
RFC 1213 MIB для управления Интернет-приложениями на основе протокола TCP/IP
RFC 2737 MIB entPhysicalTable
RFC 2863 Interfaces Group MIB
RFC 3418 SNMP MIB
Модель безопасности на основе пользовательских данных (USM) по стандарту RFC 2574 для протокола SNMP версии 3
Модель контроля доступа на основе данных просмотра (VACM) по стандарту RFC 2575 для протокола SNMP

Настройка Web-портал
Настройка цвета по шестнадцатеричной таблице
Логотип компании (в формате.gif), текст
Параметры просмотра для новичков/среднего уровня подготовки/опытных пользователей
Ретрансляция портала

Поддержка браузеров
Windows (98, 2000, XP)
Internet Explorer версии 5 или более поздней с установленной Java Runtime Environment (Sun) версии 1.3 или более поздней
Internet Explorer версии 5 или более поздней с установленной Java Virtual Machine (Microsoft) версии 4 или более поздней
Unix
Netscape Navigator версии 7 c установленной Java Runtime Environment (Sun) версии 1.3 или более поздней
Mozilla версии 1.3 или более поздней с установленной Java Runtime Environment (Sun) версии 1.3 или более поздней

Режимы работы
Без клиента – протокол HTML обрабатывается браузером
Расширенный без клиента – через прокси-сервер с помощью Java-апплета
Полное расширение сети – загрузка SSL-клиента (Net Direct) или доступ через Nortel VPN Client

Варианты лицензирования
Пользователи IPsec и SSL VPN
Конфигурирование защищенных сервисов
Portal Guard

Информация для заказа

Дополнительную информацию можно получить в местном представительстве Компании БЕЛАМ.