SSG300系列

联网连接和到公司总部的端对端VPN连接。分支办事处的内部资源可以通过在每个安全区域

配置不同的安全策略来有效进行保护。

产品简介瞻博网络公司安全业务网关SSG 300系列

产品系列描述

SSG 300 系列由高性能安全平台组成，能够保护企业不受内部和外部攻击、防止未授权访问并满足法规遵从性要求。SSG 350M能够提供500 Mbps 的状态防火墙流量和225 Mbps的 IPSec VPN流量，而SSG 320M能够提供400 Mbps的状态防火墙流量和175 Mbps的IPSec VPN流量。这些产品注重三大特性：

安全：久经考验的统一威胁管理(UTM)安全特性和最佳的业务合作伙伴服务相结合，可以同时保护网络免遭病毒、垃圾软件和其它新兴攻击的侵袭。为了符合内部安全要求并同时满足法规遵从性，SSG 300系列提供了一组先进的网络保护特性，如安全区、虚拟路由器和虚拟局域网等，允许管理员将网络分割为不同层次的安全区域以部署不同的安全策略，从而为各个区域提供不同级别的安全特性。针对每个安全区域的策略保护机制包括了各种接入控制规则，以及通过任何支持的UTM安全特性进行的检测。

连接和路由：SSG 300系列具有4个10/100/1000板载接口和若干个能够分别用于局域网或广域网接口的I/O扩展插槽，使 SSG 300 系列成为一个非常灵活的安全平台。I/O选项的灵活组合加上广域网协议和封装支持，使得SSG 300系列平台能够被轻松部署为传统分支机构的办公室路由器，或成为用于降低前期购置成本和后期维护成本的坚固安全和路由设备。

接入控制加强：只需添加Infranet Controller，SSG 300系列平台便完全能够扮演瞻博网络公司统一接入控制(Unified Access Control)部署中的策略执行点。Infranet Controller 能够作为一个策略控制引擎，配合SSG 300系列以一种基于更细粒度标准的授权或拒绝访问的解决方案，包括端点状态和用户识别，来增强或取代基于防火墙的接入控制，从而解决了由攻击场景和用户特征的巨大变化带来的挑战。

另外，瞻博网络公司的专业服务都将竭诚和您的团队合作，来确定目标、定义部署流程、创建或验证网络设计以及管理部署，直至其成功完成。无论是从单一实验室测试还是到大型网络实施，瞻博网络公司的专业服务都将帮助您确保成功。

区域办公室

A区WWW公司总部互联网C区B区2特性和优势

特性高性能

特性描述

由客户定制的硬件、强大的处理功能和具有特定安全性的操作系统装配的专用平台。

最佳的UTM安全特性

UTM安全特性（防病毒、防垃圾邮件、 网页过滤、IPS）能够防范各种病毒和恶意软件的侵袭于未然。

集成的防病毒功能

由瞻博网络提供的需要年度许可的防病毒引擎，基于卡巴斯基(Kaspersky)实验室的防病毒引擎。

集成的防垃圾邮件功能

由瞻博网络提供的需要年度许可的防垃圾邮件引擎，采用了赛门铁克(Symantec)公司的技术。

集成的网页过滤功能

由瞻博网络提供的需要年度许可的网页过滤引擎，采用了Surf Control公司的技术。

集成的IPS（深层检测）

需年度许可的IPS引擎，采用了瞻博网络网络的深层检测防火墙特征包。

固定接口

4个固定10/100/1000 接口，2个 USB 端口，1个控制台端口和1个辅助端口是所有 SSG 300 系列型号上的标准配置。

网络分段

桥接组、安全区域、虚拟局域网和虚拟路由器使得管理员能够配置安全策略来隔离访客、无线网络、区域服务器或数据库*。

接口模块化

6个接口扩展槽能够支持可选的T1，E1，串行，ADSL/ADSL2/ADSL2+，G.SHDSL，10/100/1000和 SFP 连接。

强韧的路由引擎

久经考验的路由引擎能够支持 OSPF，BGP和RIP v1/2等协议，并具有帧中继、多链路帧中继、PPP、多链路PPP和HDLC 功能。

瞻博网络公司统一接入控制策略执行点管理灵活性

和集中策略控制引擎(Infranet Controller)一起，采用例如用户身份、设备安全状态和网络位置等指标，强化进程相关的接入控制策略。采用下列三种机制之一：CLI、WebUI或是瞻博网络公司 NetScreen-Security Manger来安全地部署、监视和管理安全策略。自动连接的VPN

在集中星型(Hub-and-spoke)拓扑结构中自动建立和取消轮辐站点(spoke)间的VPN隧道。

世界级专业服务从单一实验室测试到大型网络实施，瞻博网络公司的专业服务都将竭诚和您的团队合作，来确定目标、制定部署流程、创建或验证网络设计并管理部署项目。通过利用现有的客户网络架构组件和一流技术，以经济高效的方式提高安全性。

支持来自任意地址的管理访问，减少了现场访问的次数，从而缩短了响应时间并减少了运营开销。

提供了针对网状架构的一种可扩展VPN解决方案，并能够支持延迟敏感型应用，比如VoIP和视频会议。

转变网络架构来确保其安全、灵活、可扩展和可靠。强大的功能可加速网络中各种内部、外部和DMZ分支的安全性部署，从而防止非授权访问。

在无与伦比的安全前提下，同时提供了局域网和广域网的连接，即降低了开销又保护了投资。

实现整合安全和路由设备的部署，从而降低运营和资本开销。提供了高速的局域网连接、未来可扩展性和灵活的管理功能。通过阻止应用层攻击来防止网络泛洪。控制/阻止对于恶意网站的访问。

能够阻止来自已知垃圾邮件散发者和网页冒仿者的恶意邮件。阻止病毒、间谍软件、广告软件和其它形式的恶意软件。确保网络能够抵御任何形式的攻击。优势

提供了目前以及未来用于防范内部和外部攻击所必需的性能空间。

产品选项

选项

网络设备建立系统(NEBS)法规遵从DRAM

选项描述

提供遵从 NEBS的SSG 350M版本。

所有SSG 300系列型号都提供1 GB DRAM。SSG 320M和SSG 350M还提供256 MBDRAM。

UTM/内容安全性（需要高内存选项）

添加许可密钥之后，瞻博网络SSG 300系列可以配置以下最佳UTM和内容安全功能的组合：防病毒（包括防间谍软件、防网页仿冒）、IPS（深层检测防火墙）、网页过滤和防垃圾邮件。

I/O选项3个(SSG 320M)或5个(SSG 350M)扩展插槽，支持可选的T1、E1、串行、ADSL2+、G.SHDSL、10/100/1000和 SFP。*桥接组只在ScreenOS 6.0和更高版本上支持。

适用产品SSG 350MSSG 350MSSG 320M

仅限于大容量内存的SSG 350M仅限于大容量内存的SSG 320M

SSG 350MSSG 320M3规格

瞻博网络公司SSG 320M

最高性能和容量（1）

瞻博网络公司SSG 350M

本规格对应的Screen OS版本防火墙吞吐量（大数据包）防火墙吞吐量 (IMIX)(2)

防火墙包转发性能（ 字节）AES256+SHA-1 VPN 吞吐量3DES 加密+SHA-1 VPN 吞吐量最大并发会话数

(5)每秒新建会话数（有背景流压力）

ScreenOS 6.11.2 Gbps400 Mbps175,000 PPS175 Mbps175 Mbps,00010,00020,0002,000不限是ScreenOS 6.11.2 Gbps500 Mbps225,000 PPS225 Mbps225 Mbps96,00012,50026,0002,000不限是每秒新建会话数（无背景流压力）最大安全策略数最多能够支持的用户数可转换到JUNOS网络连接固定I/O物理接口模块 (PIM)插槽广域网接口选项 (PIMS)局域网接口选项 (uPIMS)防火墙4×10/100/10003串行、T1、E1、ADSL/ADSL2/ADSL2+，G.SHDSL8×10/100/1000，16×10/100/1000和6×SFP4×10/100/10005串行、T1、E1、ADSL/ADSL2/ADSL2+，G.SHDSL8×10/100/1000，16×10/100/1000和6×SFP网络攻击检测DoS和DDoS保护用于数据包碎片保护的 TCP 重组强行攻击缓解SYN cookie 保护基于区域的 IP 欺骗防护异常数据包保护统一威胁管理（3）是是是是是是是是是是是是是是IPS（深层检测防火墙）协议异常检测状态协议特征IPS/DI复合攻击防病毒特征数据库协议扫描防间谍软件防广告软件防键盘记录软件即时消息AV防垃圾邮件集成的URL过滤功能外部URL过滤功能（4）IP语音 (VoIP) 安全性

是是是是是200,000+POP3、HTTP、SMTP、IMAP、FTP、IM是是是是是是是是是是是是200,000+POP3、HTTP、SMTP、IMAP、FTP、IM是是是是是是是H.323应用层网关 (ALG)SIP ALGMGCP ALGSCCP ALG

针对VoIP协议的网络地址转换 (NAT)

是是是是是

是是是是是

4瞻博网络公司SSG 320MIPSec VPN瞻博网络公司SSG 350M并发VPN隧道数隧道接口数DES 加密(56-bit)，3DES 加密(168-bit)和AES(256-bit)MD-5和SHA-1 验证手动密钥，IKE，IKEv2/EAP，PKI(X.509)完美前向保密性（DH组）防重放攻击远程接入VPNIPSec 内的L2TPIPSec NAT穿越自动连接VPN冗余VPN网关用户认证与接入控制250100是是是1，2，5是是是是是是350300是是是1，2，5是是是是是是内置（内部）数据库——用户第三方用户验证RADIUS审计XAUTH VPN验证基于Web的验证802.1X验证统一接入控制(UAC)策略执行点PKI 支持500RADIUS，RSA SecureID，LDAP是——开始/停止是是是是500RADIUS，RSA SecureID，LDAP是——开始/停止是是是是PKI 证书请求（PKCS 7 和PKCS 10）自动证书登记 (SCEP)在线证书状态协议 (OCSP)支持的证书颁发机构自签证书虚拟化是是是VeriSign、Entrust、Microsoft、RSA Keon、iPlanet (Netscape)、Baltimore、 DoD PKI是是是是VeriSign、Entrust、Microsoft、RSA Keon、iPlanet (Netscape)、Baltimore、 DoD PKI是最高安全分区数最高虚拟路由器数桥接组*最高VLAN数路由405是125408是125BGP 实例BGP对BGP 路由OSPF 实例OSPF路由RIP v1/v2 实例RIP v2路由静态路由基于源的路由基于策略的路由ECMP组播反向路径转发(RPF)IGMP(v1，v2)IGMP代理PIM SMPIM SSMIPSec隧道内组播*桥接组只在ScreenOS 6.0及更高版本内的uPIM上支持。

3410,000310,00012810,00010,000是是是是是是是是是是31610,000310,00012810,00010,000是是是是是是是是是是5瞻博网络公司SSG 320M

封装

瞻博网络公司SSG 350M

点对点协议 (PPP)

多链路点对点协议 (MLPPP)MLPP 最多物理接口数帧中继

MLFR (FRF.15，FRF.16)MLFR最多物理接口数HDLCIPv6

是是6是是6是

是是10是是10是

双堆栈IPv4/IPv6防火墙和VPNIPv4与IPv6之间的转换和封装同步Cookie和同步代理DoS攻击检测SIP，RTSP，Sun-RPC，MS-RPC ALGRIPng操作模式

是是是是是

是是是是是

第二层（透明）模式第三层（路由和NAT）模式地址转换是是是是网络地址转换 (NAT)端口地址转换 (PAT)基于策略的NAT/PAT映射IP虚拟IPMIP/VIP组IP地址分配

是是是1,50016是是是是1,50016是静态

DHCP，PPPoE 客户端内部DHCP服务器DHCP relay流量管理服务质量 (QoS)

是是是是是是是是带宽保证最大带宽进入流量策略基于优先级的带宽使用差分服务高可用性(HA)

是——逐策略是——逐策略是是

是——逐策略

是——逐策略是——逐策略是是

是——逐策略

主用/主用－透明和L3模式主用/备用－透明和L3模式配置同步

防火墙和VPN 的会话同步VRRP

用于路由变化的会话故障切换设备故障检测链路故障检测新HA成员认证HA流量加密是是是是是是是是是是是是是是是是是是是是6瞻博网络公司SSG 320M

系统管理

瞻博网络公司SSG 350M

WebUI（HTTP 和 HTTPS）命令行接口（控制台）命令行接口（远程登陆）命令行接口 (SSH)

NetScreen-Security Manager

通过任何接口上的 VPN 隧道提供全部管理管理

是是是

是，v1.5和v2.0兼容是是是是是

是，v1.5和v2.0兼容是是本地管理员数据库外部管理员数据库支持受限管理网络

根管理、管理和只读用户等级软件更新配置回退记录/监控

20

RADIUS，RSA SecureID，LDAP50是

TFTP，WebUI，NSM，SCP，USB是20

RADIUS，RSA SecureID，LDAP50是

TFTP，WebUI，NSM，SCP，USB是系统日志（多台服务器）电子邮件（两个地址）NetIQ WebTrendSNMP(v2)

SNMP完全定制MIB跟踪路径VPN隧道监控器外置闪存

是——最多4台服务器是是是是是是

是——最多4台服务器是是是是是是

扩展日志存储器事件日志和告警系统配置脚本ScreenOS 软件尺寸与电源

USB1.1是是是

USB1.1是是是

尺寸 (W×H×D)重量机架安装

电源(AC)100-240VAC平均功耗最大功耗输入频率最大电流消耗最大涌入电流平均散热最大散热电源(DC)噪音级别认证

17.5×1.8×15.1英寸（44.5×4.5×38.3厘米）15.0 lbs（无PIM）6.8 Kg是，1RU275W

80W（无PIM）320W47-63Hz

100-240 VAC， 3.2 A- 1.3 A100-240 VAC， 42 A- 62 A273BTU（无PIM）1091BTUN/A40.0dB

17.5×2.61×15.1英寸（44.5×6.5×38.3厘米）25.0 lbs（无PIM）11.34 Kg是，1.5RU300W

80W（无PIM）350W47-63Hz

100-240 VAC， 3.5 A-1.5 A100-240 VAC， 13 A-32 A273BTU（无PIM）1195BTU

-48～-60 VDC， 300W (Q1，2008)59.2dB

安全认证EMC认证NEBSMTBF（Bellcore模型）CSA，TUV，CB

FCC class A，CE class A，C-Tick，VCCI class A否7.2年CSA，TUV，CB

FCC class A，CE class A，C-Tick，VCCI class A3级6.8年7瞻博网络公司SSG 320M

瞻博网络公司SSG 350M

安全认证

Common Criteria：EAL4FIPS 140-2∶2级ICSA防火墙和VPN运行环境

未来未来是

未来未来是

运行温度非运行温度湿度

32°～122°F(0°～ 50°C)-4°～ 158°F(-20°～ 70°C)10～90% 非冷凝

32°～122°F(0°～ 50°C)-4°～ 158°F(-20°～ 70°C)10～90% 非冷凝

（1）除非另有说明，否则所列出的性能、容量和特性都是基于运行ScreenOS 6.1的系统，并且是理想测试条件下的最大值。实际结果可能会因ScreenOS版本和部署情况而异。如需获得SSG平台所支持的ScreenOS版本的完整列表，请访问瞻博客户支持中心（http://www.juniper.net/customers/support/）并点击ScreenOS软件下载。

（2）IMIX代表互联网组合，比单包尺寸更重要，因为它代表的流量组合更接近于客户网络的实际情况。使用的IMIX流量包括58.33%的字节包＋33.33%的570字节包＋8.33%的1518字节UDP流量包。（3）UTM 安全特性（IPS/深层检测、防病毒、防垃圾邮件和网页过滤）通过每年向瞻博网络公司购买的服务提供，该项服务包括签名更新和相关支持。UTM安全特性需要高内存选项。（4）重定向网页过滤将流量从防火墙发送至从服务器。重定向特性是免费提供的，但它需要从Websense或SurfControl购买的Web过滤许可。（5）采用50%的吞吐量值作为背景流量压力。

订购信息

说明

部件编号

统一威胁管理/内容安全性（需要高内存选项）

部件编号

SSG 320M，ScreenOS，基本内存(256 MB)，硬件安全性，AC电源

SSG 320M，ScreenOS，高内存(1 GB)，硬件安全性，AC电源

SSG 350M，ScreenOS，基本内存(256 MB)，硬件安全性，AC电源

SSG 350M，ScreenOS，高内存(1 GB)，硬件安全性，AC电源

安全业务网关350系统，ScreenOS，基本内存(256 MB)，5个PIM插槽，硬件安全性，AC电源，TAA，19英寸机柜安装

安全业务网关350系统，ScreenOS，高内存(1GB)，5个PIM插槽，硬件安全性，AC电源，TAA，19英寸机柜安装

安全业务网关350系统，ScreenOS，基本内存(256 MB)，5个PIM插槽，硬件安全性，DC电源，风扇过滤器，NEBS，TAA，19英寸机柜安装安全业务网关350系统，ScreenOS，高内存(1GB)，5个PIM插槽，硬件安全性，DC电源，风扇过滤器，NEBS，TAA，19英寸机柜安装SSG-320M-SBSSG-320M-SHSSG-350M-SBSSG-350M-SHSSG-350M-SB-TAA

防病毒（包括防间谍件、防网页仿冒）IPS（深层检测）Web过滤防垃圾邮件

远程办事处捆绑（包括防病毒、深层检测、Web 过滤）主办事处捆绑（包括防病毒、深层检测、Web 过滤、NS-K-AVS-SSG350NS-K-AVS-SSG320NS-DI-SSG350NS-DI-SSG320NS-WF-SSG350NS-WF-SSG320NS-SPAM-SSG350NS-SPAM-SSG320NS-RBO-CS-SSG350NS-RBO-CS-SSG320NS-SMB-CS-SSG350NS-SMB-CS-SSG320部件编号

SSG-350M-SH-TAA

防垃圾邮件）SSG 300系列内存升级、备件和通信电缆

SSG-350M-SB-DC-N-TAA

电缆，澳大利亚电缆，中国

CBL-JX-PWR-AUCBL-JX-PWR-CHCBL-JX-PWR-EUCBL-JX-PWR-ITCBL-JX-PWR-JPCBL-JX-PWR-UKCBL-JX-PWR-USSSG-300-MEM-1GBSSG-350-FLTRJX-CBL-EIA530-DTEJX-CBL-RS232-DTEJX-CBL-RS449-DTEJX-CBL-V35-DTEJX-CBL-X21-DTEJX-Blank-FP-S

SSG-350M-SH-DC-N-TAA电缆，欧洲电缆，意大利电缆，日本电缆，英国电缆，美国

SSG 300 系列I/O 选项部件编号1GB的内存升级，用于SSG 300系列可替换的空气过滤器，用于SSG 300系列EIA530电缆 (DTE)RS232电缆 (DTE)RS449电缆 (DTE)V.35电缆 (DTE)X.21电路 (DTE)空I/O盘

2端口 T1 PIM，带集成式 CSU/DSU2端口 E1 PIM，带集成式 CSU/DSU2端口同步串行PIM1端口ADSL 2/2+ Annex A PIM1端口ADSL 2/2+ Annex B PIM2端口2线或1端口4线 G.SHDSL PIM1端口ISDN BRI S/T PIM6端口 SFP 千兆以太网通用 PIM28端口千兆以太网10/100/1000铜线通用PIM216端口千兆以太网10/100/1000铜线通用PIM2小机架可插拔1000Base-LX千兆以太网光收发器模块小机架可插拔1000Base-SX千兆以太网光收发器模块JX-2T1-RJ48-SJX-2E1-RJ48-SJX-2Serial-SJX-1ADSL-A-SJX-1ADSL-B-SJX-2SHDSL-SJX-1BRI-ST-SJXU-6GE-SFP-SJXU-8GE-TX-SJXU-16GE-TX-SJX-SFP-1GE-LXJX-SFP-1GE-SX关于瞻博网络公司

瞻博网络公司是高性能网络领域中的领导者。瞻博网络提供高性能的网络基础设施，能够在单一网络中创建一个具有响应性的和受信赖的环境，从而加速服务和应用的部署，并推动高性能的业务进行。欲知详情，请访问www.juniper.net。

如需了解更多信息，请访问瞻博网络公司网站

www.juniper.netwww.cn.juniper.net

北京代表处

北京市东城区东长安街 1 号

东方经贸城西三办公楼 15 层 1508 室邮政编码:100738

电 话:8610-6528 8800传 真:8610-8518 2626

上海代表处

上海市淮海中路 333 号瑞安广场 1102-1104 室邮政编码:200021

电 话:8621-6141 5000传 真:8621-6141 5090

广州代表处

广州市天河区天河路 228 号广晟大厦 28 楼 03-05 单元邮政编码:510620

电 话:8620-8511 5900传 真:8620-8511 5901

Copyright © 2008, Juniper Networks, Inc. 版权所有, 保留所有权利。 Juniper Networks, Juniper Networks标识, NetScreen, NetScreen Technologies, GigaScreen, NetScreen 标识是瞻博网络公司的注册商标。ERX, ESP, E-series, Internet Processor, J-Protect, JUNOS, JUNOScope, JUNOScript, JUNOSe, M5, M7i, M10, M10i, M20, M40, M40e, M160, M320, M-series, NMC-RX, SDX, T320, T0, T-series, J2300, J4300,J6300, J-series, NetScreen-5GT, NetScreen-5GT ADSL, NetScreen-5XP, NetScreen-5XT, NetScreen-25, NetScreen-50, NetScreen-100, NetScreen-204, NetScreen-208, NetScreen-500, NetScreen-5200,NetScreen-5400, NetScreen-Global PRO, NetScreen-Global PRO Express, NetScreen-RA 500, NetScreen-Remote Security Client, NetScreen-Remote VPN Client, NetScreen-Hardware Security Client, NetScreen-IDP 10, NetScreen-IDP 100, NetScreen-IDP 500, NetScreen-SA 1000, NetScreen-SA 3000, NetScreen-SA 5000, NetScreen Security Manager, NetScreen-SM3000, NetScreen-ISG 2000, GigaScreen ASIC,GigaScreen-II ASIC, and NetScreen ScreenOS 是瞻博网络公司所属商标。所有其他的商标、服务标记、注册商标或注册的服务标记均为其各自公司的财产。不管出于任何目的, 未经瞻博网络公司的书面许可, 任何人不得以任何形式或方式复制或转载本文的任何部分。

瞻博网络公司不承担由本资料中的任何不准确性而引起的任何责任, 瞻博网络公司保留不作另行通知的情况下对本资料进行变更、修改、转换或以其他方式修订的权力。文档编号：100203-005SC02/2008

2008年5月北京