Олег Прокофьев 22 марта 2011

1. Олег Прокофьев 22 марта 2011 РАЗВИТИЕ SRX

2. ТЕМЫ ВСТРЕЧИ 1. Branch SRX 2. SRX High End 3. AppSecure 4. SLB 5. vGW 6. LSYS

3. BRANCH SRX

4. ВОЗМОЖНОСТИ BRANCH SRX Мультисервисное устройство Межсетевой экран Маршрутизатор Сетевой фильтр • Межсетевой экран сIPS • Прозрачный режим • Резервирование • AppSecure • STRM • LAN и WAN интерфейсы • Поддержка VPN, NAT • Высокая производительность • Низкая цена • Простота использования – J-WEB • Встроенный анализатор • Антивирус, Антиспам, фильтрURL • Новый антивирус - Sophos Branch SRX

5. ПРЕИМУЩЕСТВА SRX Законченное решение Лучшее соотношение Цена/качество Всё в одном $1/Mbps Межсетевой экран VPN AppSecure / IPS Антивирус UTM Антиспам Веб-фильтрация Маршрутизатор Коммутатор/WLAN ЛинейкаBranch SRX

6. ЛИНЕЙКА SRX BRANCH SRX650 + 8 LAN слотов, два процессора, два Б/П SRX240 + 4 WAN слота, 16 x GigE, PoE Количество Интерфейсов SRX220 + 2 WAN слота, 8 x GigE, PoE SRX210 WAN слот, 2 x GigE, PoE SRX100 Региональный филиал Небольшой/Средний офис Киоск/Маленький офис Производительность

7. НОВЫЙ АНТИСПАМ/АНТИВИРУС SOPHOS Еще одна опция A/V (UTMs) Широкое покрытие сигнатурами различных сетевых атак База опасных URL Распознание вирусов/файлов встроенных в приложения (nested apps) и сравнение с базой вирусов по контрольной сумме Juniper предоставляет возможность заказчикам выбрать оптимальную UTM платформу Эффективная защита от вирусов и сетевых атак на самой границе сети

8. SRX220 ISDN ( BRI ) ADSL 2 / 2 + ( B ) CH B 1 SYNC 1 2 CH B 2 TX / RX Vali POWER HA MASTER LINK TX / RX STATUS ALARM SLAVE RESET AUX CONSOLE 0 / 0 0 / 1 0 / 2 0 / 3 0 / 0 0 / 1 0 / 2 0 / 3 10 / 100 10 / 100 10 / 100 10 / 100 10 / 100 10 / 100 10 / 100 10 / 100 LINK Подходит для небольших площадок с требованиями резервирования WAN каналов Поддерживает 2 mini PIM интерфейса Фиксированныепорты - 8 Ethernet 10/100/1000 Доступен Q3 2010

9. НОВЫЕ БЕСПРОВОДНЫЕ РЕШЕНИЯ JUNIPER:ЧТО МЫ ПРЕДЛАГАЕМ ДЛЯ 3G СВЯЗИ (и 2,5G) Питание через PoE Совместимс SRX, J-Серией, SSG Поддерживает до 4 3G модемов Идеально подходит для использования в качестве резервного канала или основного, где нет «проводов» CX111 3G Мост • Интегрированный 3G в SRX210 • Использует SRX210 ExpressCard слот • Идеально подходит дляиспользования в качестверезервного канала или основного, где нет «проводов» 3G ExpressCardдля SRX210 j

10. SRX HIGH END

11. РЕШЕНИЕ ДЛЯ СОВРЕМЕННОГО ЦОД Почему High End SRX: Требуется новый подход который будет соответствовать требованиям современных ЦОД Высокая степень интеграции Возможность быстро расширить функциональность и увеличить производительность

12. ПРОИЗВОДИТЕЛЬНОСТЬ И ФУНКЦИОНАЛЬНОСТЬ • Весь функционал доступен через JUNOS • Рост производительности при добавлении SPC • Масштабируемость I/O • Простота управления Firewall • Низкая функциональность • Увеличение мощности за счет добавления новых устройсв Производительность • Функционал привязан к устройству • Низкая масштабируемость • Большое количество устройств Router Firewall IPS IPsec VPN NAT Функциональность

13. ПОЛНОСТЬЮ ПОТОКОВАЯ (FLOW)ОБРАБОТКА ТРАФИКА 1.5 Fabric Fabric Поиск Flow Классификация DoS/DDoS Policing Сервисы FW/VPN/IDP NAT/Routing Integrated in SRX5000 IOC Контроль Переподписки Входящий пакет Network Processing Cards Services Processing Cards I/O Cards  Исходящий пакет  QoS/Shaping

14. Dynamic Services Architecture™ (DSA) • Функциональность • Легкое добавление функций • Экономия времени • Перераспределение ресурсов • Firewall, IPS, IPsec VPN, DDoS/DoS, NAT, QoS, Routing, Application Security, и тд • Интерфейсы и производительность • Gigabit Ethernet • 10 Gigabit Ethernet • Любой сервис на любой карте • Линейный рост производительности • Carrier-Grade Reliability • Разделение форвардинга и управления • Резервирование всех компонентов и защита от DOS атак • ISSU

15. ПРОДУКТЫ JUNIPER ДЛЯ ИБ В ЦОД 2H10 SRX5800 16U, 12 slot, 2RE*, 2+1 SCB, 2+2 AC, 3+1 DC, 120/30/30G, 10M sess, 350kcps SRX – Новая платформа • Наращиваемая мощность • Широкий функционал • Firewall • VPN • IPS • Маршрутизация • QoS • AppSecure • Дополнительные возможности • Высокая степень интеграции SRX5600 8U, 6 slot, 2RE*, 1+1 SCB, 2+2 PS, 60/15/15G, 9M sess, 350kcps SRX3600 5U, 6+6 CFM, 8+4 GE, 2RE*, 2+2 PS, 30/10/10G, 2M sess, 175kcps SRX3400 3U, 4+3 CFM, 8+4 GE, 2RE*, 1+1 PS, 20/8/8G, 2M sess, 175kcps SRX1400 NS-5400 ISG2000 3U, 3 CFM, 12GE or 3XGE+9GE , 1+1 PS, 10/2/2G, .5M sess [at FRS], 45kcps NS-5200 ISG1000

16. ЛИНЕЙКА ПРОДУКТОВ SRX3000 Dynamic Services Architecture™ Функциональность: FW, IPS, NAT, IPSec VPN, DDoS, QoS and routing Любой сервис для любого трафика Разделение control and data planes Универсальное устройство Двустороннее модульное шасси Модульная архитектура SRX3600 – 12 модулей SRX3400 – 7 модулей Доступны GbE и 10GbE интерфейсы SPC позволяют линейно наращивать производительность Под управлением JunOS Многопоточность Модульность JunOS Script

17. ЛИНЕЙКА ПРОДУКТОВ SRX5000 Самый быстрый в мире Firewall Dynamic Services Architecture™ Функциональность: FW, IPS, NAT, IPSec VPN, DDoS, QoS, and routing Любой сервис для любого трафика Разделение control and data planes Универсальное устройство Модульное шасси SRX5600 – 6 модулей SRX5800 – 12 модулей Доступны GbE и 10GbE интерфейсы SPC позволяют линейно наращивать производительность Под управлением JunOS Многопоточность Модульность JunOS Script

18. SRX1400 2H10! Платформа начального уровня для ЦОД: • Dynamic Services Architecture™ • Функционал: FW, IPS, NAT, IPSec VPN, DDoS, QoS, Маршрутизация IPv4/IPv6 • Любой сервис для любого трафика • Разделение control and data planes • Общие компоненты с SRX3000 • Под управлением Junos • Многопоточность, Модульность • JunOS Script

19. SRX1400 • 3 RU • Модульное шасси • 3 слотаОбщие модули с SRX3000 • Junos Software • Massive scale • До 45,000 новых соединений в секунду (CPS) • До 5М сессий [FRS] • Производительность • 10 Gbps firewall • 2 Gbps IPS • 2 Gbps IPSec VPN • Резервирование • Блоки питания и охлаждение • Кластеризация 12 встроенных портов: 1400GE: 6+4+2 GE 1400XGE: 3 XGE плюс 6+1+2 GE Слоты расширения (NSPC or SPC+NPC) Вентилятор (rear) Слот для IOC Управляющий модуль (RE) Схема слотов j Блок питания Дополнительный блок питания

20. AppSecure

21. КАК ОБЕСПЕЧИТЬ БЕЗОПАСНОСТЬ СЕТИ SRX Security Service Gateways Проблемы Заказчиков • Масштабируемость • Распознание/управление приложениями • Быстрая реакция на угрозы • Безопасность WEB2.0 Решения Juniper в области информационной безопасности AppSecureSoftware Security Research Teams

22. КАК ЭТО РАБОТАЕТ? SRX Приложение й 1 пакет неопределено OK AppID AppFW Client Server Приложение OK Ответ не определено AppFW AppID Применяется правило для этой политики, например, сброс . Приложение определено й 2 пакет X AppID AppFW

23. ОПРЕДЕЛЕНИЕ ПРИЛОЖЕНИЯ

24. УПРАВЛЕНИЕ СИГНАТУРАМИ Центр безопасности Juniper регулярно выпускает актуальные обновления сигнатур, которые доступны на сайте центра База сигнатур для AppSecure включает в себя более 750 сигнатур различных приложений и постоянно пополнаяется. База сигнатур для IPS включает более 5000 сигнатур и более 1200 аномалий. Набор сигнатур AppSecure лицензируется отдельно. Для загрузки и обновлений базы сигнатур AppSecure на устройство требуется установить лицензионный ключ. Лицензия AppSecure для HE SRX так же включает в себя лицензию IPS и даёт возможность пользоваться базой сигнатур IPS. Для Branch SRX лицензия AppSecure не включает лицензию IPS Лицензионный ключ

25. РАЗВИТИЕ APPSECURE От пользователя до ЦОДа IPS Q1 2011 AppDoS AppTrack AppQoS AppFW Мониторинг Статистика Поиск аномалий Корреляция Возможность использовать приложение в фильтрах и политиках Приоритезация трафика приложений Защита от DDoS атак для ЦОД и филиалов Zero-day безопасность • Единая лицензия на все приложения и сигнатуры • Поддержка более 800 приложений 2H 2011

26. ПРИМЕРЫ ПОДДЕРЖИВАЕМЫХ ПРИЛОЖЕНИЙ

27. ДОСТУПНОСТЬ APPSECURE Branch SRX High End SRX AppTrack  11.2 AppFW 11.1 11.2 AppQoS 1H12 11.4 AppDoS  2H12  IPS  j

28. SLB

29. ОТКРЫТАЯ АРХИТЕКТУРА Динамические сервисы Общий пул ресурсов Маршрутизация Защита Разграничение Балансировка Routing Firewall IPS IPSec VPN NAT SLB SRX Dynamic Services Gateway

30. ИНТЕГРАЦИЯ С ДРУГИМИ СЕРВИСАМИ . . . . . . • Архитектура SRX позволяет динамически перераспределять ресурсы между приложениями (FW, IPS, SLB) • Не требует выделенных аппаратных ресурсов. Data Center FW Devices SRX SLB Devices Servers • Легко масштабируется • Очень быстрая обработка (latency)

31. SLB – ТЕХНИЧЕСКИЕ ХАРАКТЕРИСТИКИ Режимы работы Dispatch mode – трансляция MAC адресов L4 mode – трансляция IP Адресов/Портов L5 mode - терминация TCP (TCP offload) SSL offload – терминация SSL Используется концепция виртуальных серверов (VS) и виртуальных интерфейсов (VSI). Режимы балансировки RR – по кругу (round robin) WRR – по кругу с приоритетом (weighted round robin) LC – наименьшая загрузка (least connection) WLC – наименьшая загрузка с приоритетом (weighted least connection)

32. Пример 1 (Балансировка L4) L4 connections Server Probes Data L2 TCP IP Users FW , IDP Web Server #1 VIP Users Web Server #2 SLB Users • Round Robin (weighted) • Least Connections (weighted) • Hash Based • Client IP Stickiness Users Web Server #n

33. Пример 2 (L5 SSL) L4 connections Server Probes L2 TCP IP Data SSL L2 TCP IP Data Users FW , IDP Web Server #1 Users VIP Web Server #2 SLB Users • Round Robin (weighted) • Least Connections (weighted) • Hash Based • SSL Session ID stickiness Users Web Server #n

34. Пример 3 (GSLB)

35. Пример 4 (Резервирование) j

36. vGW

37. БЕЗОПАСНОСТЬ ВИРТУАЛИЗИРОВАННЫХ СИСТЕМ

38. Altor v4.0 Заточен под VMWare Прошел “VMsafe” сертификацию Защита каждой VM и гипервизора Горячий резерв Масштабируемость “Secure VMotion” с поддержкой до 1,000+ ESX “Auto Secure” автоматическое подключение новых VM Функциональность Межсетевой экран с IDS Набор гибких политик – Зоны, VM группы, VM, Приложения, Порты, Протоколы, Состояние сессий

39. ИНТЕГРАЦИЯ С SRX Синхронизация политик безопасности Синхронизация зон безопасности между Altor и SRX Преимущества Единообразие политик безопасности в сети (и в виртуальной тоже) Облегчение развертывания новых VM Использование объекта VM в политиках SRX Актуальность таких объектов Доступно – Февраль 2011 Интеграция IDP Возможность пропустить трафик между VM через IDP в SRX Преимущества Обеспечение эквивалентных уровней защиты для физического и виртуального трафика Разгрузка гипервизора Доступно – Февраль 2011 **Mirroring to Standalone IDP available since 2009 j

40. LSYS

41. ВИРТУАЛИЗАЦИЯ SERVICE PLANE Виртуализированный SRX • Требуется для разграничения управления • Поддерживается на SRX HE • Продажа/Аренда виртального маршрутизатора-межсетевого экрана

42. ИЗОЛИРОВАННЫЕ СИСТЕМЫ • Большинство трафика внутри своей системы • Не требуется взаимодействие между системами • Root представляется как физическое устройство • Обмен трафиком между системами через заворот или туннелирование

43. ИЕРАРХИЧЕСКАЯ МОДЕЛЬ • Root в пакетном режиме, все сервисы только внутри LSYS • Трафик между LSYS маршрутизируется Root маршрутизатором • Используется LT interface

44. ВИРТУАЛИЗАЦИЯ SRX Dynamic Services Consolidated Management Framework Root LSYS LSYS MGMT LSYS MGMT LSYS MGMT LSYS MGMT Firewall Firewall Firewall Firewall UTM/IPS UTM/IPS UTM/IPS UTM/IPS ALG/NAT ALG/NAT ALG/NAT ALG/NAT VPN VPN VPN VPN Routing Routing Routing Routing LSYS 1 LSYS 2 LSYS N High Availability j