Скачать презентацию РАЗВИТИЕ SRX Олег Прокофьев 22 марта 2011
3b36fa0f6fcebf163372357f21dc4022.ppt
- Количество слайдов: 45
РАЗВИТИЕ SRX Олег Прокофьев 22 марта 2011
ТЕМЫ ВСТРЕЧИ 1. Branch SRX 2. SRX High End 3. App. Secure 4. SLB 5. v. GW 6. LSYS 2 Company Confidential Copyright © 2009 Juniper Networks, Inc. www. juniper. net
BRANCH SRX 3 Copyright © 2009 Juniper Networks, Inc. www. juniper. net
ВОЗМОЖНОСТИ BRANCH SRX Мультисервисное устройство Межсетевой экран § § § Межсетевой экран с IPS Прозрачный режим Резервирование App. Secure STRM Маршрутизатор Сетевой фильтр § LAN и WAN интерфейсы § Поддержка VPN, NAT § Высокая производительность § Низкая цена § Простота использования – J-WEB § Встроенный анализатор § Антивирус, Антиспам, фильтр URL § Новый антивирус Sophos Branch SRX 4 Copyright © 2011 Juniper Networks, Inc. www. juniper. net
ПРЕИМУЩЕСТВА SRX Всё в одном UTM Межсетевой экран VPN Законченное решение $1/Mbps App. Secure / IPS Антивирус Антиспам Веб-фильтрация Маршрутизатор Коммутатор/WLAN Линейка Branch SRX 5 Лучшее соотношение Цена/качество Copyright © 2011 Juniper Networks, Inc. www. juniper. net
Количество Интерфейсов ЛИНЕЙКА SRX BRANCH SRX 240 + 4 WAN слота, 16 x Gig. E, Po. E SRX 220 + 2 WAN слота, 8 x Gig. E, Po. E SRX 210 WAN слот, 2 x Gig. E, Po. E SRX 100 Киоск/Маленький офис Небольшой/Средний офис Производительность 6 SRX 650 + 8 LAN слотов, два процессора, два Б/П Copyright © 2011 Juniper Networks, Inc. www. juniper. net Региональный филиал
НОВЫЙ АНТИСПАМ/АНТИВИРУС SOPHOS § Еще одна опция A/V (UTMs) § Широкое покрытие сигнатурами различных сетевых атак § База опасных URL § Распознание вирусов/файлов встроенных в приложения (nested apps) и сравнение с базой вирусов по контрольной сумме § Juniper предоставляет возможность заказчикам выбрать оптимальную UTM платформу Эффективная защита от вирусов и сетевых атак на самой границе сети 8 Copyright © 2011 Juniper Networks, Inc. www. juniper. net
SRX 220 On-board Ethernet 8 x GE ISDN (BRI ) ADSL 2/2+ (B ) CH B 1 1 POWER HA MASTER SYNC CH B 2 2 TX/RX Vali LINK TX /RX Mini-PIM Slots 2 USB ports (flash) 2 Power over Ethernet 8 ports 80 W Total Optional PSTN voice ports Yes, 2 FXS+2 FXO AV & IDP HW Acceleration YES Routing Performance Est 125 Kpps – 150 Kpps Firewall Performance 1 Gbps (Large Pkt) 350 Mbps (IMIX) VPN Performance CONSOLE RESET 0/0 10 /100 0/1 10 /100 0/2 10 /100 0/3 10 /100 0/0 10 /100 0 /1 10 /100 0/2 10 /100 0/3 10 /100 LINK Подходит для небольших площадок с требованиями резервирования WAN каналов Поддерживает 2 mini PIM интерфейса Фиксированные порты - 8 Ethernet 10/1000 75 Mbps High Availability AUX 100 Mbps IDP Performance STATUS ALARM SLAVE A/A or A/P Available versions & NTE pricing 9 $2, 199 (HM) $2, 799 (HM+POE) $4, 499 (HM+POE+Voice) Copyright © 2010 Juniper Networks, Inc. Доступен Q 3 2010 www. juniper. net
НОВЫЕ БЕСПРОВОДНЫЕ РЕШЕНИЯ JUNIPER: ЧТО МЫ ПРЕДЛАГАЕМ ДЛЯ 3 G СВЯЗИ (и 2, 5 G) Питание через Po. E Совместим с SRX, J-Серией, SSG Поддерживает до 4 3 G модемов Идеально подходит для использования в качестве резервного канала или основного, где нет «проводов» CX 111 3 G Мост Интегрированный 3 G в SRX 210 § Использует SRX 210 Express. Card слот Идеально подходит для использования в качестве резервного канала или основного, где нет «проводов» 10 Copyright © 2010 Juniper Networks, Inc. 3 G Express. Card для SRX 210 www. juniper. net j
SRX HIGH END 11 Copyright © 2009 Juniper Networks, Inc. www. juniper. net
РЕШЕНИЕ ДЛЯ СОВРЕМЕННОГО ЦОД Почему High End SRX: § Требуется новый подход который будет соответствовать требованиям современных ЦОД § Высокая степень интеграции § Возможность быстро расширить функциональность и увеличить производительность Tightly Integrated Services Massive Scalability Next-Gen Security Architecture Maximum Performance 12 Highest Availability Copyright © 2010 Juniper Networks, Inc. www. juniper. net
ПРОИЗВОДИТЕЛЬНОСТЬ И ФУНКЦИОНАЛЬНОСТЬ § Весь функционал доступен через JUNOS Firewall Производительность § Низкая функциональность § Увеличение мощности за счет добавления новых устройсв § Рост производительности при добавлении SPC § Масштабируемость I/O § Простота управления § Функционал привязан к устройству § Низкая масштабируемость § Большое количество устройств Router Firewall Функциональность 13 Copyright © 2010 Juniper Networks, Inc. www. juniper. net IPS IPsec VPN NAT
ПОЛНОСТЬЮ ПОТОКОВАЯ (FLOW) ОБРАБОТКА ТРАФИКА Поиск Flow Классификация Do. S/DDo. S Policing 1. 5 Сервисы FW/VPN/IDP NAT/Routing I/O Cards Network Processing Cards Исходящий пакет Integrated in SRX 5000 IOC Qo. S/Shaping 14 Copyright © 2010 Juniper Networks, Inc. www. juniper. net Fabric Входящий пакет Fabric Контроль Переподписки Services Processing Cards
DYNAMIC SERVICES ARCHITECTURE™ (DSA) Функциональность §Легкое добавление функций §Экономия времени §Перераспределение ресурсов §Firewall, IPS, IPsec VPN, DDo. S/Do. S, NAT, Qo. S, Routing, Application Security, и тд Интерфейсы и производительность § § 15 Carrier-Grade Reliability §Разделение форвардинга и управления §Резервирование всех компонентов и защита от DOS атак §ISSU Gigabit Ethernet 10 Gigabit Ethernet Любой сервис на любой карте Линейный рост производительности Copyright © 2010 Juniper Networks, Inc. www. juniper. net
ПРОДУКТЫ JUNIPER ДЛЯ ИБ В ЦОД 16 U, 12 slot, 2 RE*, 2+1 SCB, SRX – Новая платформа 2+2 AC, 3+1 DC, 120/30/30 G, § Наращиваемая мощность § Широкий функционал 10 M sess, 350 kcps • Firewall • VPN • IPS • Маршрутизация • Qo. S • App. Secure 8 U, 6 slot, 2 RE*, 1+1 SCB, 2+2 PS, 60/15/15 G, 9 M sess, 350 kcps 5 U, 6+6 CFM, 8+4 GE, 2 RE*, 2+2 PS, 30/10/10 G, 2 M sess, 175 kcps SRX 3400 NS-5400 SRX 5600 SRX 3600 • Дополнительные возможности § Высокая степень интеграции ISG 2000 SRX 5800 3 U, 4+3 CFM, 8+4 GE, 2 RE*, 1+1 PS, 20/8/8 G, 2 M sess, 175 kcps SRX 1400 2 H 10 3 U, 3 CFM, 12 GE or 3 XGE+9 GE , 1+1 PS, 10/2/2 G, . 5 M sess [at FRS], 45 kcps ISG 1000 16 Company Confidential NS-5200 Copyright © 2009 Juniper Networks, Inc. www. juniper. net
ЛИНЕЙКА ПРОДУКТОВ SRX 3000 Dynamic Services Architecture™ § Функциональность: FW, IPS, NAT, IPSec VPN, DDo. S, Qo. S and routing § Любой сервис для любого трафика § Разделение control and data planes § Универсальное устройство Двустороннее модульное шасси § Модульная архитектура § SRX 3600 – 12 модулей § SRX 3400 – 7 модулей § Доступны Gb. E и 10 Gb. E интерфейсы § SPC позволяют линейно наращивать производительность Описание модуля Порты Тип 16 -port 10/1000 TX 72 or 104 RJ-45 16 -port Gb. E 68 or 100 SFP 2 -port 10 Gb. E 8 or 12 XFP Под управлением Jun. OS § Многопоточность § Модульность § Jun. OS Script 17 Service Processing Cards Copyright © 2010 Juniper Networks, Inc. www. juniper. net SRX 3400 – 4 SRX 3600 – 7
ЛИНЕЙКА ПРОДУКТОВ SRX 5000 Самый быстрый в мире Firewall Dynamic Services Architecture™ § Функциональность: FW, IPS, NAT, IPSec VPN, DDo. S, Qo. S, and routing § Любой сервис для любого трафика § Разделение control and data planes § Универсальное устройство Модульное шасси § SRX 5600 – 6 модулей § SRX 5800 – 12 модулей § Доступны Gb. E и 10 Gb. E интерфейсы § SPC позволяют линейно наращивать Описание модуля Порты Тип 40 -port Gb. E 200 or 440 SFP 4 -port 10 Gb. E 20 or 44 SFP 16 -port Gb. E Flex. IOC 160 or 352 SFP/RJ 45 4 -port 10 Gb. E Flex. IOC 40 or 88 SFP производительность Под управлением Jun. OS § Многопоточность § Модульность § Jun. OS Script Max SPCs 18 Copyright © 2010 Juniper Networks, Inc. www. juniper. net 5 – SRX 5600 11 – SRX 5800
SRX 1400 2 H 10! Платформа начального уровня для ЦОД: Dynamic Services Architecture™ Функционал: FW, IPS, NAT, IPSec VPN, DDo. S, Qo. S, Маршрутизация IPv 4/IPv 6 Любой сервис для любого трафика Разделение control and data planes Общие компоненты с SRX 3000 Под управлением Junos Многопоточность, Модульность Jun. OS Script 20 Company Confidential Copyright © 2009 Juniper Networks, Inc. www. juniper. net
SRX 1400 § 3 RU § Модульное шасси – 3 слота Общие модули с SRX 3000 – Junos Software 12 встроенных портов: Вентилятор Слоты расширения 1400 GE: 6+4+2 GE (rear) (NSPC or SPC+NPC) 1400 XGE: 3 XGE плюс 6+1+2 GE § Massive scale – До 45, 000 новых соединений в секунду (CPS) – До 5 М сессий [FRS] § Производительность – 10 Gbps firewall – 2 Gbps IPSec VPN Схема слотов 21 Управляющий Слот для модуль (RE) Company Confidential IOC Блок питания Дополнительный § Резервирование – Блоки питания и охлаждение – Кластеризация блок питания Copyright © 2009 Juniper Networks, Inc. www. juniper. net j
App. Secure 22 Copyright © 2009 Juniper Networks, Inc. www. juniper. net
КАК ОБЕСПЕЧИТЬ БЕЗОПАСНОСТЬ СЕТИ Проблемы Заказчиков Безопасность WEB 2. 0 Распознание/управление приложениями Быстрая реакция на угрозы Масштабируемость Решения Juniper в области информационной безопасности App. Secure Software 23 SRX Security Service Gateways Security Research Teams Copyright © 2010 Juniper Networks, Inc. www. juniper. net
КАК ЭТО РАБОТАЕТ? SRX й 1 пакет App. ID Приложение не определено App. FW OK Client Server OK App. FW й 2 пакет 24 App. ID Приложение не определено Приложение определено Copyright © 2010 Juniper Networks, Inc. App. ID App. FW www. juniper. net Ответ Применяется правило для. этой политики, например, сброс X
ОПРЕДЕЛЕНИЕ ПРИЛОЖЕНИЯ Application Signatures: App signatures includes the definitions for identifying the applications. These signatures are matched against the traffic to identify the application. An application is identified by matching patterns in the first few packets of a session Protocol Decoding: Protocol decoding is applied to identify the Nested Application Heuristics: To improve the accuracy for detection of encrypted P 2 P applications 25 Copyright © 2010 Juniper Networks, Inc. www. juniper. net
УПРАВЛЕНИЕ СИГНАТУРАМИ § Центр безопасности Juniper регулярно выпускает актуальные обновления сигнатур, которые доступны на сайте центра § База сигнатур для App. Secure включает в себя более 750 сигнатур различных приложений и постоянно пополнаяется. База сигнатур для IPS включает более 5000 сигнатур и более 1200 аномалий. § Набор сигнатур App. Secure лицензируется отдельно. Для загрузки и обновлений базы сигнатур App. Secure на устройство требуется установить лицензионный ключ. Лицензия App. Secure для HE SRX так же включает в себя лицензию IPS и даёт возможность пользоваться базой сигнатур IPS. Для Branch SRX лицензия App. Secure не включает лицензию IPS SKU Лицензионный ключ 26 Appsec-A (Advanced) HE SRX App. Sec-B (Basic) Branch SRX Включает лицензии App. Secure и IPS Только лицензия App. Secure Copyright © 2010 Juniper Networks, Inc. www. juniper. net
РАЗВИТИЕ APPSECURE От пользователя до ЦОДа App. Track App. FW App. Qo. S App. Do. S IPS Мониторинг Статистика Поиск аномалий Корреляция Возможность использовать приложение в фильтрах и политиках Приоритезация трафика приложений Защита от DDo. S атак для ЦОД и филиалов Zero-day безопасность • Единая лицензия на все приложения и сигнатуры • Поддержка более 800 приложений 27 Copyright © 2010 Juniper Networks, Inc. Q 1 2011 2 H 2011 www. juniper. net
ПРИМЕРЫ ПОДДЕРЖИВАЕМЫХ ПРИЛОЖЕНИЙ 100 Bao Aimster Applejuice Ares Bit. Torrent Direct. Connect e. Donkey 2000 Fast. Track Freecast Freenet Gnucleus. LAN Gnutella 2 Go. Boogy Hotline Ice. Share ICQ IRC Japper/XMPP Joltid Peer. Enabler Kademlia Ku. Goo Kuro Manolito/MP 2 P MMS MSNP (ver 10, 11, 12) MSNP 13 MUTE Napster Open. FT (gi. FT) Oscar (AOL) Peercast Poco QQ RTSP SCTP Skype Soribada Soulseek Tesla TOC (AOL) Win. NY WPNP 28 Xunlei Copyright © 2009 Juniper Networks, Inc. Yahoo IM www. juniper. net And more to come
ДОСТУПНОСТЬ APPSECURE Branch SRX High End SRX 11. 2 App. FW 11. 1 11. 2 App. Qo. S 11. 4 1 H 12 App. Do. S 2 H 12 IPS App. Track 29 Copyright © 2010 Juniper Networks, Inc. www. juniper. net j
SLB 30 Copyright © 2009 Juniper Networks, Inc. www. juniper. net
ОТКРЫТАЯ АРХИТЕКТУРА Динамические сервисы Общий пул ресурсов Маршрутизация Routing Защита Firewall IPS Разграничение IPSec VPN NAT SRX Dynamic Services Gateway 31 Copyright © 2009 Juniper Networks, Inc. www. juniper. net Балансировка SLB
ИНТЕГРАЦИЯ С ДРУГИМИ СЕРВИСАМИ Data Center FW Devices SRX SLB Devices Servers . . . • Архитектура SRX позволяет динамически перераспределять ресурсы между приложениями (FW, IPS, SLB) • Не требует выделенных аппаратных ресурсов. . • Легко масштабируется • Очень быстрая обработка (latency) 32 Copyright © 2009 Juniper Networks, Inc. www. juniper. net
SLB – ТЕХНИЧЕСКИЕ ХАРАКТЕРИСТИКИ Режимы работы § Dispatch mode – трансляция MAC адресов § L 4 mode – трансляция IP Адресов/Портов § L 5 mode - терминация TCP (TCP offload) § SSL offload – терминация SSL Используется концепция виртуальных серверов (VS) и виртуальных интерфейсов (VSI). Режимы балансировки § RR – по кругу (round robin) § WRR – по кругу с приоритетом (weighted round robin) § LC – наименьшая загрузка (least connection) § WLC – наименьшая загрузка с приоритетом (weighted least connection) 33 Copyright © 2009 Juniper Networks, Inc. www. juniper. net
Пример 1 (Балансировка L 4) L 4 connections Server Probes L 2 Users FW , IDP Users 34 Web Server #1 VIP Web Server #2 SLB Users Data TCP IP • Round Robin (weighted) • Least Connections (weighted) • Hash Based Copyright © 2009 Juniper Networks, Inc. www. juniper. net • Client IP Stickiness Web Server #n
Пример 2 (L 5 SSL) L 4 connections Server Probes L 2 IP TCP SSL Data L 2 Users IP TCP FW , IDP Data Web Server #1 Users VIP SLB Users 35 Web Server #2 • Round Robin (weighted) • Least Connections (weighted) • Hash Based Copyright © 2009 Juniper Networks, Inc. www. juniper. net • SSL Session ID stickiness Web Server #n
Пример 3 (GSLB) 36 Copyright © 2009 Juniper Networks, Inc. www. juniper. net
Пример 4 (Резервирование) 37 Copyright © 2009 Juniper Networks, Inc. www. juniper. net j
v. GW 38 Copyright © 2009 Juniper Networks, Inc. www. juniper. net
БЕЗОПАСНОСТЬ ВИРТУАЛИЗИРОВАННЫХ СИСТЕМ 39 Copyright © 2010 Juniper Networks, Inc. www. juniper. net
ALTOR V 4. 0 Заточен под VMWare § Прошел “VMsafe” сертификацию § Защита каждой VM и гипервизора § Горячий резерв Масштабируемость § “Secure VMotion” с поддержкой до 1, 000+ ESX § “Auto Secure” автоматическое подключение новых VM Функциональность § Межсетевой экран с IDS § Набор гибких политик – Зоны, VM группы, VM, Приложения, Порты, Протоколы, Состояние сессий 40 Copyright © 2010 Juniper Networks, Inc. www. juniper. net
ИНТЕГРАЦИЯ С SRX Синхронизация политик безопасности § Синхронизация зон безопасности между Altor и SRX § Преимущества § Единообразие политик безопасности в сети (и в виртуальной тоже) § Облегчение развертывания новых VM § Использование объекта VM в политиках SRX § Актуальность таких объектов § Доступно – Февраль 2011 Интеграция IDP § Возможность пропустить трафик между VM через IDP в SRX § Преимущества § Обеспечение эквивалентных уровней защиты для физического и виртуального трафика § Разгрузка гипервизора § Доступно – Февраль 2011 **Mirroring to Standalone IDP available since 2009 41 Copyright © 2009 Juniper Networks, Inc. www. juniper. net j
LSYS 42 Copyright © 2009 Juniper Networks, Inc. www. juniper. net
ВИРТУАЛИЗАЦИЯ SERVICE PLANE Виртуализированный SRX • Требуется для разграничения управления • Поддерживается на SRX HE • Продажа/Аренда виртального маршрутизаторамежсетевого экрана 43 Copyright © 2009 Juniper Networks, Inc. www. juniper. net
ИЗОЛИРОВАННЫЕ СИСТЕМЫ • Большинство трафика внутри своей системы • Не требуется взаимодействие между системами • Root представляется как физическое устройство • Обмен трафиком между системами через заворот или туннелирование 44 Copyright © 2009 Juniper Networks, Inc. www. juniper. net
ИЕРАРХИЧЕСКАЯ МОДЕЛЬ • Root в пакетном режиме, все сервисы только внутри LSYS • Трафик между LSYS маршрутизируется Root маршрутизатором • Используется LT interface 45 Copyright © 2009 Juniper Networks, Inc. www. juniper. net
ВИРТУАЛИЗАЦИЯ SRX Dynamic Services Consolidated Management Framework LSYS MGMT Root LSYS Firewall UTM/IPS ALG/NAT VPN VPN Routing LSYS 1 LSYS 2 LSYS N High Availability 46 Copyright © 2009 Juniper Networks, Inc. www. juniper. net j
