Решения по безопасности juniper

РЕШЕНИЯ ПО БЕЗОПАСНОСТИ JUNIPER

Kosinov Dmitry

[email protected]

13/11/2012

2 Copyright © 2012 Juniper Networks, Inc. www.juniper.net

JUNIPER NETWORKS ПРЕДЛАГАЕТ РЕШЕНИЯ ПО БЕЗОПАСНОСТИ В СЛЕДУЮЩИХ ОБЛАСТЯХ

По типу использования:

Защита корпоративной сети

Защита ресурсов ЦОД

Защита хостинг сервисов

Защита сервиc провайдеров /MSSP

По функционалу использования:

1. Защиты периметра сети -межсетевые экраны cерии SRX

2. Защита виртуальных сред- vGW/vSRX(FireFly)

3. Защита веб-серверов –программное обеспечение Mykonos Web Security

4. Контроль доступа к сети и контроллеры удаленного доступа- MAG/IC серия

5. Управление компонентами и устройствами безопасности -Junos Space

6. Мониторинг событий безопасности -STRM серия

7. Защита сервисов от атак –устройства cерии IDP

8. Защита мобильных устройств –Junos Pulse Mobile Security


JUNIPER ЯВЛЯЕТСЯ ОДНИМ ИЗ НЕМНОГИХ ВЕНДОРОВ ПРЕДЛАГАЮЩИЙ END-TO-END РЕШЕНИЯ ДЛЯ СЕТЕЙ ПЕРЕДАЧИ ДАННЫХ ЛЮБЫХ РАЗМЕРОВ

Преимущества использования продуктов Juniper

Надежность операционной системы JunOS

Производительность устройств Juniper

Единая система управления

Возможность интеграции с решениями других

вендоров

Постоянное развитие и совершенствование

платформы JunOS


МЕЖСЕТЕВЫЕ ЭКРАНЫ. JUNIPER SRX


Эволюция межсетевого экрана

Пакетный фильтр Устройство с контролем

состояния сессии

Межсетевой экран

следующего поколения


GARTNER MAGIC QUADRANT FIREWALL


Портфель продуктов BRANCH SRX

Малый Офис Малый – Средний

офис Крупный/

Региональный офис

SRX220

+ 2 WAN слота,

8 x GigE, PoE

SRX240

+ 4 WAN слота,

16 x GigE, PoE

SRX650

+ Больше LAN слотов, Двойной ИП, + Горячая замена

SRX110

SRX100

Новое SRX210

WAN слота,

2 x GigE, PoE

Масштабирование платформ от 1G до 10G

ПО Junos для Безопасности, Маршрутизации и Коммутации

SRX550

2mPIM+6GPIM WAN слотов,

10 x GigE, PoE, Двойной ИП

Новое


SRX РАСШИРЕННЫЕ ФУНКЦИИ БЕЗОПАСНОСТИ

Блокирование доступа к запрещенным сайтам

Оценка каждого URL в реальном масштабе

времени Расширенная Web фильтрация

Антивирус Блокирование вирусов, троянов на базе

файлов или шпионского ПО, вредоносное ПО и

Кей логгеры

Антиспам

IPS

Firewall, VPN, Единый контроль доступа

SRX Серия блокирует передачу файлов

для обеспечения предотвращения утечки

данных

Фильтрация контента

Внутренние угрозы

Внешние угрозы

ИНТЕРНЕТ

IDP определение/блокирование Червей,

Троянов, DoS (L4 & L7), Сканирований

AppSecure

Основная безопасность

Видимость на уровне приложений и классификация

Политики на уровне приложений до

пользовательских ролей

Блокирование спама/ Фишинга


ПРОИЗВОДИТЕЛЬНОСТЬ BRANCH SRX FEATURES SRX100

(110) SRX210E SRX220 SRX240 SRX550 SRX650

On-board Ethernet 8 x FE 2 x GE + 6 x

FE 8 x GE 16 x GE 6 x GE + 4 x SFP 4 x GE

Memory/Flash 1 GB / 1 GB 1 GB / 1 GB 1 GB / 1 GB 1 GB* / 1 GB 2 GB* / 2 GB 2 GB / 2 GB

Power over Ethernet (802.3af, 802.3at)

None 4 ports,

50 W total 8 ports GE,

120 W 16 ports GE,

150 W 40 Port GE, 250

W or 500 W 48 ports GE,

250 W or 500 W

WAN slots None (1) 1 x mini PIM 2 x mini PIM 4 x mini PIM 2 x mini PIM + 4

x GPIM 8 x GPIM

USB ports (flash) 1 (2) 2 2 2 2 2 per processor

JUNOS Software version support

JUNOS 11.1* JUNOS 11.1* JUNOS 11.1* JUNOS 11.1* JUNOS 12.1 JUNOS 11.1*

Routing YES YES YES YES YES YES

Content Security Acceleration (IPS, ExpressAV)

No YES YES YES YES YES

Firewall performance (Large Packets)

700 Mbps 850 Mbps 950 Mbps 1.8 Gbps 5.5 Gbps 7.0 Gbps

Firewall performance (IMIX) 200 Mbps 250 Mbps 300 Mbps 600 Mbps 1.7 Gbps 2.5 Gbps

Firewall performance (Firewall + Routing PPS 64byte)

70 Kpps 95 Kpps 125 Kpps 200 Kpps 700 Kpps 850 Kpps

IPSec VPN throughput 65 Mbps 85 Mbps 100 Mbps 300 Mbps 1.0 Gbps 1.5 Gbps

Intrusion Prevention System 60Mbps 85 Mbps 100 Mbps 230 Mbps 800 Mbps 1 Gbps

Connections Per Second (CPS) 2K 2.2K 3K 9K 27K 35K

Maximum Concurrent Sessions (512MB/1GB RAM)

16 K / 32K 32K / 64K 96K 64K / 128K 375K 512 K

Antivirus 25 Mbps 30 Mbps 35 Mbps 85 Mbps 300 Mbps 350 Mbps

High Availability A/A or A/P A/A or A/P A/A or A/P A/A or A/P

A/A or A/P, Hot swap GPIMs,

Dual power

A/A or A/P, Hot swap GPIMs,

Dual power


НОВЫЙ ПОДХОД К ВОПРОСАМ БЕЗОПАСНОСТИ THE DYNAMIC SERVICES ARCHITECTURE –SRX HIGH-END SERIES

Кросс-бар фабрика

Дополнительные

фабрики в шасси

Масштабируемость

Виртуальные очереди

Высочайшая

производительность

Надежность carrier-класса

Разделение функций

коммутации и управления

Резервирование всего

Надежная ОС

SRX Services Gateways

Масштабируемость –

производительность, ёмкость,

количество услуг – Самый быстрый в мире firewall

Преимущества единой

ОС с единым релизом


ЛИНЕЙКА ПРОДУКТОВ SRX3000

Dynamic Services Architecture™

Функциональность: FW, IPS, NAT, IPSec

VPN, DDoS, QoS and routing

Любой сервис для любого трафика

Разделение control and data planes

Универсальное устройство

Двустороннее модульное шасси

Модульная архитектура

SRX3600 – 12 модулей


Доступны GbE и 10GbE интерфейсы

SPC позволяют линейно наращивать


Под управлением JunOS

Многопоточность

Модульность

JunOS Script

Описание модуля Порты Тип

16-port 10/100/1000 TX 72 or 104 RJ-45

16-port GbE 68 or 100 SFP

2-port 10GbE 8 or 12 XFP

Service Processing Cards SRX3400 – 4 SRX3600 – 7


ЛИНЕЙКА ПРОДУКТОВ SRX5000

Самый быстрый в мире Firewall

Dynamic Services Architecture™

Функциональность: FW, IPS, NAT,

IPSec VPN, DDoS, QoS, and routing

Любой сервис для любого трафика

Разделение control and data planes

Универсальное устройство

Модульное шасси SRX5600 – 6 модулей


Доступны GbE и 10GbE интерфейсы

SPC позволяют линейно наращивать


Под управлением JunOS

Многопоточность

Модульность

JunOS Script

Описание модуля Порты Тип

40-port GbE 200 or 440 SFP

4-port 10GbE 20 or 44 SFP

16-port GbE FlexIOC 160 or 352 SFP/RJ45

4-port 10GbE FlexIOC 40 or 88 SFP

Max SPCs 5 – SRX5600 11 – SRX5800


3U, 4+3 CFM, 8+4 GE, 2RE*, 1+1 PS, 20/8/8G, 2M sess,

175kcps

5U, 6+6 CFM, 8+4 GE, 2RE*, 2+2 PS, 30/10/10G, 2M sess,

175kcps

8U, 6 slot, 2RE*, 1+1 SCB, 2+2 PS, 60/15/15G, 9M sess, 350kcps

16U, 12 slot, 2RE*, 2+1 SCB,

2+2 AC, 3+1 DC, 120/30/30G,

10M sess, 350kcps

3U, 3 CFM, 12GE or 3XGE+9GE , 1+1 PS, 10/2/2G, .5M sess [at FRS],

45kcps

SRX3600

SRX5800

SRX5600

SRX3400

SRX1400

SRX – Новая платформа Наращиваемая мощность Широкий функционал

• Firewall

• VPN

• IPS

• Маршрутизация

• QoS

• AppSecure

• Дополнительные возможности

• Режимы Routed/Transparent

Высокая степень интеграции

ПРОДУКТЫ JUNIPER ДЛЯ ИБ В ЦОД

Firewall performance

(max)

150 Gbps

IPS performance(NSS

4.2.1)

30 Gbps


ИНТЕЛЛЕКТУАЛЬНАЯ БЕЗОПАСНОСТЬ ПРЕДСТАВЛЯЕМ APPSECURE

AppSecure – это набор сервисов для работы с приложениями,

созданный для развертывания интеллектуальной безопасности

Решение основывается на существующих интегрированный сервисах

SRX, позволяя создавать более точные политики безопасности

Использует комплексное исследование приложений


НОВЫЕ МОДУЛИ SRX5K NG-SPC


ФУНКЦИОНАЛ UTM НА HIGH-END SRX

-Защита трафика HTTP/FTP/SMTP/

IMAP/POP3 от вредоносного содержимого

-URL фильтрация HTTP трафика


ВСТРОЕННАЯ ИНТЕГРАЦИЯ С ACTIVE DIRECTORY

Переход на решение с прямой аутентификацией с Active Directory


ЗАЩИТА ВИРТУАЛЬНЫХ СРЕД . РЕШЕНИЯ VGW/ JUNOSV FIREFLY(VSRX)


ТЕКУЩИЕ ПРОБЛЕМЫ БЕЗОПАСНОСТИ ВИРТУАЛЬНЫХ СРЕД

-Отсутствие инструментов контроля за взаимодействием

между вирутальными машинами

-Отсутствие механизмов контроля и мониторинга трафика

виртуальных ресурсов

-Отсутствие механизмов безопасности (AV/IDS) для

использования в виртуальных средах


ВИДЕНИЕ JUNIPER НА БЕЗОПАСНОСТЬ ВИРТУАЛЬНОЙ ИНФРАСТРУКТУРЫ

Много проблем один ответ- интегрированные решения vGW/vSRX

Juniper vGW

Inter-VM

Security vGW VSG vShield App Fortigate VM* Security

Gateway-VE

Edge

Security vSRX ASA 1000v

CSR 1000v vShield Edge

Fortigate VM

Security

Gateway-VE


VGW И SRX АРХИТЕКТУРА

Провайдеры Облачных Сервисов сегментируют пользователей с использованием vSRX и

обеспечивают Inter-VM защиту с использованием vGW

vGW (Inter-VM Security)


Трехкомпонентная модель

Сертифицировано VMware

Защищает каждую VM и

гипервизор

Отказоустойчивая архитектура

1. Security Design (SD) vGW -

виртуальная машина управления

2. Security VM (SVM) –

устанавливается на каждый ESXi-

хост

3. Модуль ядра гипервизора

АРХИТЕКТУРА VGW

vGW модуль

vCenter

VM VM1 VM2 VM3

Взаимодействующие

сервера

(IDS, SIM,

Syslog, Netflow)

Пакеты данных

VMWARE API’s

Любой vSwitch (Standard, DVS, 3rd Party)

ГИПЕРВИЗОР

Яд

ро

VM

ware

ES

X o

r ES

Xi H

ost

Security Design vGW

1 2

3


VGW – СПЕЦИАЛИЗИРОВАННОЕ РЕШЕНИЕ

Межсетевой экран работает на уровне ядра гипервизора

Антивирус и IDS интегрированы в Security VM каждого хоста

Преимущества: Обеспечивается наиболее эффективный механизм

проверки трафика

Отдельный обработчик МСЭ для каждой VM

Изолированная таблица соединений для каждой VM

Правила и политики переезжают в месте с VM в ходе vMotion

Нет единой точки отказа и узкого места – аппаратного МСЭ

Преимущества: Улучшение масштабируемости

Не нужно обновлять сигнатуры на каждой VM

Уменьшается нагрузка на физическую сеть

Уменьшается нагрузка на CPU хоста

Проверка VM во время их бездействия


МОДУЛИ VGW

Сеть

Отображение

потоков данных

между VM

IDS Анализ Отчеты

Сообщения IDS и

детальная

информация об

атаках

Обзор приложений

VM (гостевая OS,

приложения, патчи

и т.д.)

Автоматизирован

ные отчеты по

всем модулям

Общий

Суммарная

информация по

угрозам (включая

VM на карантине)

МСЭ Антивирус Соответствие

Управление

политиками МСЭ и

журналами

Антивирусная

защита для VM

Готовые и

настраиваемые

правила проверки

VM заданным

политикам


VGW – СЕТЕВАЯ СТАТИСТИКА

Область

навигации и

выбора VM

Вкладка

Connections

отображает

потоки данных

Отображаемый

интервал

времени

Информация обо всех потоках данных VM сохраняется в базе данных и доступна для анализа

Преимущества: Анализ всех коммуникаций VM

Анализ соответствия архитектуры политике безопасности

Детальные данные по каждой VM


VGW – МЕЖСЕТЕВОЙ ЭКРАН Защита всего трафика между VM

Преимущества:

Гибкие трехуровневые политики безопасности: Глобальная, Групповая, на уровне VM/vNIC

Политики могут назначаться автоматически на основе свойств VM (Smart Groups)

Помещение VM в карантин в случае нарушения политики

Таблица соединений и правил сохраняется в ходе vMotion

Настройка

политики

карантина для

Антивируса,

модуля

Соответствия и

др.

NEW!

NEW!


VGW – IDS

Внутренний анализ на наличие атак, а также возможность

отправлять интересующий трафик на внешний IPS

Фильтры позволяют

задать какой трафик

будет проверяться IDS

Сообщения по

источникам и

направлениям

Изменение

периода

времени

позволяют

проводить

исторический

анализ

Получение

детальной

информации по

каждому

триггеру

сигнала

тревоги


VGW – АНТИВИРУС NEW!

Антивирусная защита VM в реальном времени (On-Access)

или периодически (On-Demand)


Антивирусная проверка по графику без программных агентов

Прямой доступ к виртуальному диску

Сканирование производится из защищенной области

Защита в реальном времени посредством агентов vGW Endpoint

«Легкий» агент позволяет проверять все операции ввода/вывода через Security VM для

подтверждения или карантина

Актуальная версия vGW Endpoint поддерживается автоматически

Архитектура vGW Endpoint имеет два существенных отличия от обычных агентов

Нет нагрузки на RAM и HDD

Сигнатуры хранятся в Security VM, а не в каждой VM


VGW И MICROSOFT HYPER-V

Интеграция с Hyper-V

-Трехуровневая

модель

-Интеграция с SCVMM

-Поддержка Live

Migration


Сервис провайдеры предлагают vSRX как услугу для сегментирования ресурсов различных

заказчиков не используя для этого специализированные аппаратные платформы

VSRX АРХИТЕКТУРА

vSRX (Edge Security)


ФУНКЦИОНАЛ VSRX

Безопасность и Маршрутизация на

одной программной платформе

Junos как виртуальное

устройство

Используется х86 архитектура

Полный набор функций

безопасности и маршрутизации

Используется проверенная

платформа SRX

Оптимизированная


SMP ядро

Поддерживает функциональность

Hypervisor VM

Пример: vMotion, снимки,

HA/FT, клонирование,

Управление.

Firewall

VPN

NAT

Network Admission Control

Perimeter

Anti-Virus

IPS

Full IDP Feature Set

Web Filtering

Anti-Spam

Content

Application

Awareness

Identity

Awareness

Application

CLI, JWeb, SNMP, JSpace- SD, Hypervisor Mgmt, HA/FT

Junos Routing Protocols and SDK

Junos Rich & Extensible Security Stack


УПРАВЛЕНИЕ VSRX

Управление

устройством vSRX

Приложение для Junos Space Platform

Точка формирования политики vGW и vSRX

устройств

Поддержка для популярных облачных

инструментов управления

vCenter, RHEV-M, SCVMM, ServerCenter

vCloud Director, CloudStack, OpenStack

Функционал (Life Cycle Management):

Provisioning

Bootstrapping

Troubleshooting/Debug

Log management

Virtual Systems Manager

Junos Space – Security Design

CLI + Junos Scripts

JWeb

SNMP

STRM (Logging and Reporting),

Syslog, Traceroute

Security Insight

Junos LMS

Policy Manager APIs


VSRX ПРИМЕР ИСПОЛЬЗОВАНИЯ ПРЕДОСТАВЛЕНИЯ СЕРВИСА ПО ПОДПИСКЕ

Заказчик

Требование

Сервис провайдер

Цель Предложить облачную услугу для среднего и малого бизнеса.

Быстрый ввод новых сервисов

Гибкая масштабируемость

Решение Установка vSRX на архитектуре х86. Каждый из подписчиков услуги

получает свое виртульное устройство с полным функционалом

Internet

Заказчик А

Заказчик B

Заказчиик C

Управляемая

услуга

безопасности

Virtu

aliz

ed

En

viro

nm

en

t


КОНТРОЛЬ ДОСТУПА К СЕТИ И КОНТРОЛЛЕРЫ УДАЛЕННОГО ДОСТУПА.

IC/MAG СЕРИЯ


IC CЕРИЯ

-Аутентификация пользователей

-Централизованные политики контроля

сетевого доступа

-Гостевой доступ

-Взаимодействия с внешними каталогами

пользователей


MAG SERIES – УСТОЙСТВА ДЛЯ СЕТЕЙ ЛЮБЫХ МАСШТАБОВ

Поддерживает до 40,000 SSL VPN, 60,000 UAC, or

4,000 application acceleration пользователей

Опциональные модули

Поддерживает до 20,000 SSL VPN, 30,000 UAC, или

2,000 application acceleration пользователей

Опциональные модули

1U high ½-width (may be deployed side-by-side

in 1U rack space)

Поддерживает до 1000 SSL VPN or 5000 UAC


1 RU

Поддерживает до100 SSL VPN or 250 UAC


1U, ½-width (may be deployed side-by-side

in 1U rack space)

Поддерживает до 250 application acceleration


Од

ин

сер

ви

с,

Фи

кси

ро

ван

ная

ко

нф

игу

рац

ия

MAG2600

MAG4610

MAG4611

MAG6610

MAG6611

Поддерживает до 40,000 SSL VPN, 60,000 UAC


10Gb интерфейсы

L4 Server Load Balancer

MAG8600

Неско

ль

ко

сер

ви

со

в,м

од

ул

ьн

ая

ко

нф

игу

рац

ия


JUNIPER NETWORKS ACCESS CONTROL

EX Серия L2 Коммутатор

802.1X Коммутаторы & Точки Доступа

Приложения

Сервер Политик

Хранилище

идентификационных

данных

MAG

series/Infranet

Controller

1

Данные Приложения Интернет

NS SSG

ISG

2 2

3

Контроль Доступа для

защиты ресурсов

Динамически используемая

политика правоприменител

ьного узла

Аутентификация пользователя,

Профилирования узла, Определение

местоположения

Функциональный, совместимый с другим оборудованием, на БАЗЕ СТАНДАРТОВ контроль доступа поверх гетерогенной сети – обеспечивая защиту инвестиций

1

SRX

Juniper Firewall

Платформы

UAC

правоприменительные узлы

Junos Pulse

MAG/SA series

Internet

Junos Pulse

SSL VPN

1


JUNOS PULSE КОНТРОЛЬ ДОСТУПА

SSL VPN функциональность для устройства серии MAG

Аналогичный набор сервисов по сравнению с SA серией

Junos Pulse

Host Checker

Layer 3 VPN access from Apple iOS devices

ActiveSync

VDI support

Cross-platform support

Etc.

Поддержка лицензий Enhanced Endpoint Security (EES) и

Premier Java RDP Applet licenses

Поддержка функционала SA 7.1


JUNOS PULSE КОНТРОЛЬ ДОСТУПА

NAC/UAC функциональность для устройств MAG серии

Аналогичные функции по сравнению с IC series)

Junos Pulse

Host Checker

Captive portal

IF-MAP support

Guest access support

Поддержка работы с коммутаторами EX серии

Поддержка лицензий Enhanced Endpoint Security (EES) и

Premier Java RDP Applet licenses

Поддержка функций UAC 4.1 (or higher)


УПРАВЛЕНИЕ КОМПОНЕНТАМИ И УСТРОЙСТВАМИ БЕЗОПАСНОСТИ.

JUNOS SPACE


СЛОЖНОСТЬ УПРАВЛЕНИЕ БЕЗОПАСНОСТЬЮ

Много устройств

Облачные вычисления

Много устройств

Много приложений

NETWORK


ПОДХОД JUNIPER К УПРАВЛЕНИЮ БЕЗОПАСНОСТЬЮ

СЛЕДУЮЩЕЕ ПОКОЛЕНИЕ

МАСШТАБИРУЕМАЯ

АРХИТЕКТУРА SOA

БЫСТРОЕ WEB

ПРИЛОЖЕНИЕ

ПОСТРОЕННОЕ НА

ОТКРЫТОЙ ПЛАТФОРМЕ

NETWORK & SECURITY MANAGER

(NSM)

Лучшие продукт в

течениe 10 лет

Клиент-серверная

архитектура

СЕГОДНЯ РАНЕЕ

SECURITY DESIGN (ПРИЛОЖЕНИЕ SPACE)

Отдельная программа


ОСНОВНЫЕ ХАРАКТЕРИСТИКИ SECURITY DESIGN

Проверка результатов применения политики до внедрения

Использование политик другими приложениями

Интуитивный интерфейс

Легкость функционального расширения

Управление жизненным циклом политик через Web

Легкий доступ к политикам

Мощный поиск

Многоуровневое вложение политик

Двухмерное управление политиками – много устройств и правил

Интегрированный Межсетевой экран, IPS & NAT

Интеграция в Junos Space для масштабируемости

FW VPN NAT IPS AppFW

Design

Validate

Update

Create

Policy View

CLI

Schedule

Updates

Оператив-

ность

Масштаби-

руемость

Эффекти-

вность

Много SRX

Много

правил

горизонтальная

Ве

рт

ика

льна

яl

Maintain Create

Remediate Deploy

Monitor


ЛЕГКАЯ МАСШТАБИРУЕМОСТЬ И РАСШИРЯЕМОСТЬ ЗА СЧЕТ ПОГРУЖЕНИЯ В JUNOS SPACE

SECURITY DESIGN ФОКУСИРУЕТСЯ:

Политики межсетевого экрана

Политики VPN

Политики NAT

Политики IPS

Политики AppFW

SPACE PLATFORM ФОКУСИРУЕТСЯ:

Управление устройствами

Управление модулями

Управление версиями ПО

Управление правами доступа

Аудит

Device Management Interface (DMI)

RESTful Web Service API

JUNOS SPACE PLATFORM

Network Infrastructure

Создание

Применение

Наблюдение

Поддержка

Оптимизация Secure Design


JUNOS SPACE ОТКРЫТАЯ, БЕЗОПАСНАЯ, МАСШТАБИРУЕМАЯ ПЛАТФОРМА

Что такое Junos Space?

Открытая, безопасная и масштабируемая программная платформа для построения приложений:

Управление и анализ сетевыми элементами

Оптимизирование сетевой инфраструктуры и управление через динамические политики

Максимизация сетевой пользы и масштабирование решения при снижении цены и сложности

APPLICATIONS

Juniper Applications 3rd Party Applications

Device Management Interface (DMI)

RESTful Web Service API

JUNOS SPACE PLATFORM

Network Infrastructure

Open Network Application Platform

Network Activate, ● Transport

Activate ● QoS Design ● Ethernet

Design ● Security Design ● Virtual Control ● Service Now

OSS ● BSS ● Green/Energy ● End-user Forensics Adapters (MTOSI, OneAPI) ● … others


JUNOS SPACE ОТКРЫТАЯ, БЕЗОПАСНАЯ, МАСШТАБИРУЕМАЯ ПЛАТФОРМА


Управление безопасностью, маршрутизацией и коммутацией с одной платформы

Управление и мониторинг на сетевом уровне многими устройствами сразу

Расширенная среда разработки для сторонних приложений

Приложения могут сконцентрироваться на выполнении своих задач, хорошая поддержка со стороны платформы


SECURITY DESIGN ВЕРСИЯ 11.4

Основание для Дизайна Безопасности


УПРОЩЕНИЕ УПРАВЛЕНИЯ ЗА СЧЕТ ИЕРАРХИИ ПОЛИТИК

1 Глобальные политики

2 Групповые политики

3 Политики устройств

Безопасные

коммуникации

Запретить

Facebook

Разрешить

Email

1

2

3

Применить с

приоритетом

Пр

еи

му

щес

тв

а Гибкий контроль политик

Улучшенная оптимизация

Пере-использование политик


УПРАВЛЕНИЕ ПОЛИТИКАМИ ГЛОБАЛЬНЫМИ, ГРУППОВЫМИ И УСТРОЙСТВА

Global Policies

Group Policies

Device Policies

Device

Group

Global


Дизайн и проверка политик перед применением снижает ошибки

Возможность увидеть команды, которые будут отосланы на устройство

Увидеть все команды что будут применены

ПРОВЕРКА ПОЛИТИК ПЕРЕД ПРИМЕНЕНИЕМ PUBLISH WORKFLOW

Create Policy

Create VPN

Create NAT

Create IPS

Signatures

Дизайн

View Impacted Devices

View CLI

Verification

Optimization

Проверка

Schedule updates

Bulk Update

Granularity

Device Status

Изменение


ВИРТУАЛЬНЫЕ ЧАСТНЫЕ СЕТИ (VPN) IPSEC ТУННЕЛИ

Site-to-Site Hub & Spoke Fully Meshed

1000 Site-to-Site VPNs

1000 Spokes-to-hubs

Встроенные готовые шаблоны


NETWORK ADDRESS TRANSLATION (NAT)

Source Destination Static

Гибкий контроль политик NAT

Даже сложные правила NAT становятся проще

Пере-использование политик NAT


Granular Signature

Management

Dynamic Filter and

Searches

Static and

Dynamic Groups

Easy-to-use interface

Built-in Recommended

Signatures

Getting Started Help

Customization

Simple Firewall

Integration

Advance IPS Policy

Configuration

Simple Firewall

Integration

Customization

УПРАВЛЕНИЕ СИГНАТУРАМИ IPS

Интеграция с межсетевым экраном упрощает управление

Быстро находит и расследует сигнатуры IPS

Подстройка сигнатур под ваши нужды

IPS Signatures IPS Signature Set IPS Policy


Идентификация и управление приложениями

Интегрирована с политиками FW и IPS

Пере-использование политик

APPLICATION FIREWALL (APPFW)

denied

Apps

approved

Apps


МОНИТОРИНГ СОБЫТИЙ БЕЗОПАСНОСТИ STRM


STRM серия

Intelligent, Integrated, Automated

STRM

Log

Manager

STRM

SIEM

STRM

QFlow

STRM

VFlow

STRM

Risk

Manager

Security Intelligence Operating System

Представляет полную картину по

безопасности сети


STRM SIEM

Обзор

STRM SIEM обеспечивает полную прозрачность сети с

возможностью реакции на события безопасности для

защиты компонентов сети от различного вида угроз.

Ключевые особенности:

• Продвинутые механизмы кореляции событий,потоков,

компонентов, топологий, уязвимостей и внешних данных для

идентификации угроз.

• Анализ сетевого трафика для обнаружения приложений

• Управление инцидентами до полного их разрешения

• Масштабируемая архитектура для организаций любых

размеров


STRM SIEM

Ключевые преимущества

• Кореляция событий в реальном времени основанная на новой

технологии in-memory и широкого набора контекстных данных a

• Захват потока и анализ данных позволяющие увидеть трафик

на уровне 7 модели OSI

• Анализ данных инцидентов который сокращает false positives

• Уникальная комбинация поисковых функций и анализ

нормализированных данных

• Масштабируемость подходящая даже для самых крупных сетей

с использованием встроенной СУБД и унифицированной

архитектуры представления данных.


STRM SIEM

Интегрированная консоль

• Интерфейс веб-браузера

• Достук к информации на

основе ролей

• Настраиваемые панели

инструментов

• Статистика доступная в режиме реального времени

• Улучшенные механизмы просмотра деталей событий

• Легко настраиваемые правила с готовой к работе

конфигурацией


STRM FLOW АНАЛИЗ

STRM предоствляет полную прозрачность трафика собирая flow данные.

(Jflow/NetFlow/Sflow/)

Это предоставляет доступ к следующим данным:

- Top Talkers (на основе портов и ip адресов )

- SNMP polling по интерфейсам

- Сбор статистики Sflow

Анализ QoS

- Flow collection представляет удобную консоль для анализа QoS механизмов.

- Обнаружение аномалии трафика

- Автоматически правила изучают харакстеристики трафика и сигнализурют в случае его

нарушения.

- Высылает предупреждение в случае обнаружения потока информации к

неизвестному хосту

- Обнаруживает сканирования и большие исходящие передачи файлов


STRM SYSLOG АНАЛИЗ

STRM анализирует события SYSLOG предоставляя

администраторам безопасности расширенную информацию:

- Состояние физических интерфейсов оборудования

- Изменение конфигурации оборудования

- Неудачные попытки аутентификации

- Системные ошибки


ПРИМЕРЫ ВНЕДРЕНИЯ

Небольшая организация - STRMv

Организация средних размеров - STRM-500

Большая организация - STRM-5k + EP:s

Организация с несколькими

отделениями : - STRM-5k + Combo-collectors


STRM ХАРАКТЕРИСТИКИ ПЛАТФОРМ

All-In-One Distributed EP Distributed FP Distributed

Combo (EP/FP)

Distributed

Console

STRMV

(VM Version of STRM)

Max 1k EPS &

50kF/m

Max 1k EPS Max 50kF/m NO Supported

STRM-500 (JA-STRM500-A2-BSE)

Max 500EPS &

15kF/m

Max 500 EPS Max 15kF/m Max 500EPS &

15kF/m

NO

STRM-2500 (JA-STRM2500-A2-BSE)

Max 1250 EPS &

25kF/m

Max 2500 EPS Max 50kF/m Max 2500 EPS &

50kF/m

NO

STRM-5000-A2 (JA-STRM5000-A2-BSE)

Max 5k EPS &

200kF/m

Max 10k EPS Max 600kF/m NO Supported

STRM-5000-NEBS (STRM5000-NEBS-A-BSE)

NO Max 20k EPS Max 600kF/m NO NO


ПРИМЕРЫ ОТЧЕТОВ STRM:QOS


ПРИМЕРЫ ОТЧЕТОВ STRM: TOP APPLICATION


STRM НОВЫЙ ФУНКЦИОНАЛ


ЗАЩИТЫ СЕРВИСОВ ОТ АТАК. УСТРОЙСТВА IDP


NEW IDP APPLIANCES

IDP8200

10 Gbps IPS сканирования

Плотность портов до

80 Gbit

Большое количество

сесиий

5 миллионов

одновременных сессий

Flexible I/O design

IDP75/250/800

Увеличенная

производительность до 1

Gbps


РЕШЕНИЕ ДЛЯ ЦОД

Пропускная способность с настроенными политиками -

10Gbps.

Плотность портов: до 8 x 10GE или16 x 1GE

5 миллионов сессий


IDP8200 ОБЗОР

2х RU

2x 74GB RAID SATA HDD

Заменяемые Power, Fans, IOC and HDD

IO Ports:

Встроенные: Serial, USB, Management, HA

IO Cards:

4 port GE Copper with bypass

4 port GE Fiber (SFP / SX-bypass)

2 port 10 GE (XFP / SR-bypass)

Dual power supply (DC option)


IDP800 ОБЗОР

2х RU

Dual power supply

DC option

2x 74GB RAID SATA HDD

IO Ports:

Built-in: Serial, USB, Management, HA, 2 port copper GE w/bypass

Fixed IO Cards:

2 4 port GE Copper with bypass

Производительность с настроенными политиками:

Пропускная способность: 1 Gbps

Число сессий: 500K


IDP250 AND IDP75 ОБЗОР

IDP 250

1 RU

AC power supply

IO Ports:

Serial, USB, Mgmt, 8x Copper GE w/bypass

IDP 75

1 RU

AC Power supply

IO Ports:

Serial, USB, Mgmt, 2x Copper GE w/bypass


НАДЕЖНОСТЬ IDP

Разделение Control и Data Plane

Устойчивая к DDoS или другим ресурсоемким атакам система

Всегда поддерживаемый контроль устройства

Встроенный Bypass

10 GE I/O модули со встроенной функцией By-Pass

Cокращает стоимость внешних by-pass решений

Module

n

Mod

ule

3

Module

1

Kernel

Mod

ule

4

Mod

ule

2

Packet

Forwarding Services

Physical Interfaces

Инфраструктура остается

управляемой при любом отказе


УПРАВЛЕНИЕ IDP

Преимущества

Можно просматривать отчеты

независимо от центральныз

групп управления

Заказчики (для MSPs) могут

видеть результат защиты их

сетей

On-Box отчеты

Конфигурируемые панели

инструментов

Данные обрабатываемые в

режимме реального времени

Экспорт в html или PDF


ПРИМЕР ON-BOX ОТЧЕТОВ


IDP CЕРИЯ. ОБЗОР ПРОИЗВОДИТЕЛЬНОСТИ

Прои

звод

ите

льность

Цена

IDP75

IDP250

IDP800

IDP8200


ФУНКЦИИ ЗАЩИТЫ

MPLS traffic Inspection

Server-side SSL traffic inspection – SSL Decrypt

Client-side SSL traffic inspection – SSL Forward Proxy

Detection of encrypted P2P

Detection of unrecognized encrypted traffic

Mixed-Mode – Inline + Sniffer support

Jumbo Frame support


ФУНКЦИИ ЗАЩИТЫ

+application

identification


IDP ВЕРСИИ ПО

Product Line Models IDP 4.1r2 IDP 4.1r2a IDP 4.2 IDP 5.0

Former Standalone Models

IDP50

IDP200

IDP600

IDP1100

Current Standalone Models

IDP75

IDP250

IDP800

IDP8200


ПОЗИЦИОНИРОВАНИЕ УСТРОЙСТ IDP СЕРИИ

IDP75/250/800

Небольшие офисы,защита интернет ресурсов

До 1 Gbps

IDP 8200

Большие предприятия, DMZ зоны, ЦОД.

До 8x10GE и 10Gbps производительность IPS


ЗАЩИТА МОБИЛЬНЫХ УСТРОЙСТВ. JUNOS PULSE MOBILE SECURITY


Безопасность мобильных сред с использованием JUNOS PULSE

Antivirus

Защита в режиме реального времени

Авто обновления

Сканирование файлов

И соединений

Personal

Firewall

Фильтрование вхд/исх. трафика

Логирование и предупреждения

Настраиваемый вид

Anti Spam

Блокировка СМС и голосового спама

Черный список

Автоматические правила распознавания

“плохого” трафика

Loss & Theft

Protection

Удаленная блокировка

Функции восстановления

GPS –обнаружения

Предупреждение о смене SIM

Device

Control

Контроль приложений

Мониторинг контента

Secure

Access


JUNOS PULSE НА СМАРТФОНАХ

Подходит для использования различных приложений

Web VPN (browser-based applications)

Secure Email (secure ActiveSync proxy)

Full Layer 3 Tunnel

Используются технологии:

SSL VPN

Multi-factor authentication

Granular auditing and logging


For The Enterprise

DELIVER SECURITY TO ALL SMARTPHONE MARKETS AND USERS

Удаляет данные с потерянных

устройств

Сочетает возможности

безопасности и удаленного

доступа в одном приложении

Применяет политики доступа

Сокращает издержки на IT


y

КОНЦЕПЦИЯ ВЗАИМОДЕЙСТВИЯ

SRX Series

EX Series

WLA Series

802.1X

Switches / APs

MAG Series

(Junos Pulse Access

Control Service)

MAG Series

(Junos Pulse Secure

Access Service and

Junos Pulse Application

Acceleration Service)

Virtual SSL VPN

(Junos Pulse Secure

Access Service)

Клиенты

SRX Series

Авторизованный пользователь

с личным утсройством

Авторизованный пользователь с

устройством компании

Internet


ПОДДЕРЖИВАЕМЫЕ ВЕРСИИ ОС


JUNOS PULSE ДЛЯ РАБОЧИХ СТАНЦИЙ

Доступ

к корпоративному

ресурсу

MAG Series Junos Pulse Gateway

Junos Pulse

предоставляет:

• Безопасный удаленный

доступ(SSL VPN)*

• Контроль доступа в сеть (

UAC)

• Junos Pulse Application

Acceleration cервисы

Junos Pulse

PCs & Macs

Junos Pulse

Smartphones & Tablets

• Junos Pulse Mobile

Security Suite


СЕРТИФИКАЦИЯ ОБОРУДОВАНИЯ JUNIPER. ВВОЗ ОБОРУДОВАНИЯ С СИЛЬНЫМ ШИФРОВАНИЕМ.


СЕРТИФИКАЦИЯ ФСТЭК

На данный момент возможно осуществить сертификацию

оборудования на партию(единичный экземпляр)

В соответствие со следующими РД:

-Системы Обнаружения Вторжений

-Антивирусная защита

-МЭ

-На отсутствие НДВ

Стоимость сертификации и ее продолжительность зависит

от типа и количества оборудования


ВВОЗ ОБОРУДОВАНИЯ С СИЛЬНЫМ ШИФРОВАНИЕМ

Для ввоза оборудования с сильным неотечественным

алгоритмом шифрования используется стандартная

процедура:

1.Получение разрешения ФСБ

2.Получение лицензии МинПромТорга

Оборудование может быть размещено после получения

разрешения ФСБ

Время согласования от 2х месяцев

Необходимо иметь соответствующие лицензии


Q?

[email protected]

Решения по безопасности juniper

Documents