Решения по безопасности juniper
DESCRIPTION
Коллеги всем кому интересно выкладываю презентации которые читались на мероприятии Juniper Learning Academy 13 ноября.в Москве Если есть вопросы по презентации обращайтесь по адрессу [email protected] или [email protected]TRANSCRIPT
2 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
JUNIPER NETWORKS ПРЕДЛАГАЕТ РЕШЕНИЯ ПО БЕЗОПАСНОСТИ В СЛЕДУЮЩИХ ОБЛАСТЯХ
По типу использования:
Защита корпоративной сети
Защита ресурсов ЦОД
Защита хостинг сервисов
Защита сервиc провайдеров /MSSP
По функционалу использования:
1. Защиты периметра сети -межсетевые экраны cерии SRX
2. Защита виртуальных сред- vGW/vSRX(FireFly)
3. Защита веб-серверов –программное обеспечение Mykonos Web Security
4. Контроль доступа к сети и контроллеры удаленного доступа- MAG/IC серия
5. Управление компонентами и устройствами безопасности -Junos Space
6. Мониторинг событий безопасности -STRM серия
7. Защита сервисов от атак –устройства cерии IDP
8. Защита мобильных устройств –Junos Pulse Mobile Security
3 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
JUNIPER ЯВЛЯЕТСЯ ОДНИМ ИЗ НЕМНОГИХ ВЕНДОРОВ ПРЕДЛАГАЮЩИЙ END-TO-END РЕШЕНИЯ ДЛЯ СЕТЕЙ ПЕРЕДАЧИ ДАННЫХ ЛЮБЫХ РАЗМЕРОВ
Преимущества использования продуктов Juniper
Надежность операционной системы JunOS
Производительность устройств Juniper
Единая система управления
Возможность интеграции с решениями других
вендоров
Постоянное развитие и совершенствование
платформы JunOS
4 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
МЕЖСЕТЕВЫЕ ЭКРАНЫ. JUNIPER SRX
5 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
Эволюция межсетевого экрана
Пакетный фильтр Устройство с контролем
состояния сессии
Межсетевой экран
следующего поколения
6 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
GARTNER MAGIC QUADRANT FIREWALL
7 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
Портфель продуктов BRANCH SRX
Малый Офис Малый – Средний
офис Крупный/
Региональный офис
SRX220
+ 2 WAN слота,
8 x GigE, PoE
SRX240
+ 4 WAN слота,
16 x GigE, PoE
SRX650
+ Больше LAN слотов, Двойной ИП, + Горячая замена
SRX110
SRX100
Новое SRX210
WAN слота,
2 x GigE, PoE
Масштабирование платформ от 1G до 10G
ПО Junos для Безопасности, Маршрутизации и Коммутации
SRX550
2mPIM+6GPIM WAN слотов,
10 x GigE, PoE, Двойной ИП
Новое
8 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
SRX РАСШИРЕННЫЕ ФУНКЦИИ БЕЗОПАСНОСТИ
Блокирование доступа к запрещенным сайтам
Оценка каждого URL в реальном масштабе
времени Расширенная Web фильтрация
Антивирус Блокирование вирусов, троянов на базе
файлов или шпионского ПО, вредоносное ПО и
Кей логгеры
Антиспам
IPS
Firewall, VPN, Единый контроль доступа
SRX Серия блокирует передачу файлов
для обеспечения предотвращения утечки
данных
Фильтрация контента
Внутренние угрозы
Внешние угрозы
ИНТЕРНЕТ
IDP определение/блокирование Червей,
Троянов, DoS (L4 & L7), Сканирований
AppSecure
Основная безопасность
Видимость на уровне приложений и классификация
Политики на уровне приложений до
пользовательских ролей
Блокирование спама/ Фишинга
9 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
ПРОИЗВОДИТЕЛЬНОСТЬ BRANCH SRX FEATURES SRX100
(110) SRX210E SRX220 SRX240 SRX550 SRX650
On-board Ethernet 8 x FE 2 x GE + 6 x
FE 8 x GE 16 x GE 6 x GE + 4 x SFP 4 x GE
Memory/Flash 1 GB / 1 GB 1 GB / 1 GB 1 GB / 1 GB 1 GB* / 1 GB 2 GB* / 2 GB 2 GB / 2 GB
Power over Ethernet (802.3af, 802.3at)
None 4 ports,
50 W total 8 ports GE,
120 W 16 ports GE,
150 W 40 Port GE, 250
W or 500 W 48 ports GE,
250 W or 500 W
WAN slots None (1) 1 x mini PIM 2 x mini PIM 4 x mini PIM 2 x mini PIM + 4
x GPIM 8 x GPIM
USB ports (flash) 1 (2) 2 2 2 2 2 per processor
JUNOS Software version support
JUNOS 11.1* JUNOS 11.1* JUNOS 11.1* JUNOS 11.1* JUNOS 12.1 JUNOS 11.1*
Routing YES YES YES YES YES YES
Content Security Acceleration (IPS, ExpressAV)
No YES YES YES YES YES
Firewall performance (Large Packets)
700 Mbps 850 Mbps 950 Mbps 1.8 Gbps 5.5 Gbps 7.0 Gbps
Firewall performance (IMIX) 200 Mbps 250 Mbps 300 Mbps 600 Mbps 1.7 Gbps 2.5 Gbps
Firewall performance (Firewall + Routing PPS 64byte)
70 Kpps 95 Kpps 125 Kpps 200 Kpps 700 Kpps 850 Kpps
IPSec VPN throughput 65 Mbps 85 Mbps 100 Mbps 300 Mbps 1.0 Gbps 1.5 Gbps
Intrusion Prevention System 60Mbps 85 Mbps 100 Mbps 230 Mbps 800 Mbps 1 Gbps
Connections Per Second (CPS) 2K 2.2K 3K 9K 27K 35K
Maximum Concurrent Sessions (512MB/1GB RAM)
16 K / 32K 32K / 64K 96K 64K / 128K 375K 512 K
Antivirus 25 Mbps 30 Mbps 35 Mbps 85 Mbps 300 Mbps 350 Mbps
High Availability A/A or A/P A/A or A/P A/A or A/P A/A or A/P
A/A or A/P, Hot swap GPIMs,
Dual power
A/A or A/P, Hot swap GPIMs,
Dual power
10 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
НОВЫЙ ПОДХОД К ВОПРОСАМ БЕЗОПАСНОСТИ THE DYNAMIC SERVICES ARCHITECTURE –SRX HIGH-END SERIES
Кросс-бар фабрика
Дополнительные
фабрики в шасси
Масштабируемость
Виртуальные очереди
Высочайшая
производительность
Надежность carrier-класса
Разделение функций
коммутации и управления
Резервирование всего
Надежная ОС
SRX Services Gateways
Масштабируемость –
производительность, ёмкость,
количество услуг – Самый быстрый в мире firewall
Преимущества единой
ОС с единым релизом
11 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
ЛИНЕЙКА ПРОДУКТОВ SRX3000
Dynamic Services Architecture™
Функциональность: FW, IPS, NAT, IPSec
VPN, DDoS, QoS and routing
Любой сервис для любого трафика
Разделение control and data planes
Универсальное устройство
Двустороннее модульное шасси
Модульная архитектура
SRX3600 – 12 модулей
SRX3400 – 7 модулей
Доступны GbE и 10GbE интерфейсы
SPC позволяют линейно наращивать
производительность
Под управлением JunOS
Многопоточность
Модульность
JunOS Script
Описание модуля Порты Тип
16-port 10/100/1000 TX 72 or 104 RJ-45
16-port GbE 68 or 100 SFP
2-port 10GbE 8 or 12 XFP
Service Processing Cards SRX3400 – 4 SRX3600 – 7
12 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
ЛИНЕЙКА ПРОДУКТОВ SRX5000
Самый быстрый в мире Firewall
Dynamic Services Architecture™
Функциональность: FW, IPS, NAT,
IPSec VPN, DDoS, QoS, and routing
Любой сервис для любого трафика
Разделение control and data planes
Универсальное устройство
Модульное шасси SRX5600 – 6 модулей
SRX5800 – 12 модулей
Доступны GbE и 10GbE интерфейсы
SPC позволяют линейно наращивать
производительность
Под управлением JunOS
Многопоточность
Модульность
JunOS Script
Описание модуля Порты Тип
40-port GbE 200 or 440 SFP
4-port 10GbE 20 or 44 SFP
16-port GbE FlexIOC 160 or 352 SFP/RJ45
4-port 10GbE FlexIOC 40 or 88 SFP
Max SPCs 5 – SRX5600 11 – SRX5800
13 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
3U, 4+3 CFM, 8+4 GE, 2RE*, 1+1 PS, 20/8/8G, 2M sess,
175kcps
5U, 6+6 CFM, 8+4 GE, 2RE*, 2+2 PS, 30/10/10G, 2M sess,
175kcps
8U, 6 slot, 2RE*, 1+1 SCB, 2+2 PS, 60/15/15G, 9M sess, 350kcps
16U, 12 slot, 2RE*, 2+1 SCB,
2+2 AC, 3+1 DC, 120/30/30G,
10M sess, 350kcps
3U, 3 CFM, 12GE or 3XGE+9GE , 1+1 PS, 10/2/2G, .5M sess [at FRS],
45kcps
SRX3600
SRX5800
SRX5600
SRX3400
SRX1400
SRX – Новая платформа Наращиваемая мощность Широкий функционал
• Firewall
• VPN
• IPS
• Маршрутизация
• QoS
• AppSecure
• Дополнительные возможности
• Режимы Routed/Transparent
Высокая степень интеграции
ПРОДУКТЫ JUNIPER ДЛЯ ИБ В ЦОД
Firewall performance
(max)
150 Gbps
IPS performance(NSS
4.2.1)
30 Gbps
14 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
ИНТЕЛЛЕКТУАЛЬНАЯ БЕЗОПАСНОСТЬ ПРЕДСТАВЛЯЕМ APPSECURE
AppSecure – это набор сервисов для работы с приложениями,
созданный для развертывания интеллектуальной безопасности
Решение основывается на существующих интегрированный сервисах
SRX, позволяя создавать более точные политики безопасности
Использует комплексное исследование приложений
15 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
НОВЫЕ МОДУЛИ SRX5K NG-SPC
16 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
ФУНКЦИОНАЛ UTM НА HIGH-END SRX
-Защита трафика HTTP/FTP/SMTP/
IMAP/POP3 от вредоносного содержимого
-URL фильтрация HTTP трафика
17 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
ВСТРОЕННАЯ ИНТЕГРАЦИЯ С ACTIVE DIRECTORY
Переход на решение с прямой аутентификацией с Active Directory
18 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
ЗАЩИТА ВИРТУАЛЬНЫХ СРЕД . РЕШЕНИЯ VGW/ JUNOSV FIREFLY(VSRX)
19 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
ТЕКУЩИЕ ПРОБЛЕМЫ БЕЗОПАСНОСТИ ВИРТУАЛЬНЫХ СРЕД
-Отсутствие инструментов контроля за взаимодействием
между вирутальными машинами
-Отсутствие механизмов контроля и мониторинга трафика
виртуальных ресурсов
-Отсутствие механизмов безопасности (AV/IDS) для
использования в виртуальных средах
20 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
ВИДЕНИЕ JUNIPER НА БЕЗОПАСНОСТЬ ВИРТУАЛЬНОЙ ИНФРАСТРУКТУРЫ
Много проблем один ответ- интегрированные решения vGW/vSRX
Juniper vGW
Inter-VM
Security vGW VSG vShield App Fortigate VM* Security
Gateway-VE
Edge
Security vSRX ASA 1000v
CSR 1000v vShield Edge
Fortigate VM
Security
Gateway-VE
21 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
VGW И SRX АРХИТЕКТУРА
Провайдеры Облачных Сервисов сегментируют пользователей с использованием vSRX и
обеспечивают Inter-VM защиту с использованием vGW
vGW (Inter-VM Security)
22 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
Трехкомпонентная модель
Сертифицировано VMware
Защищает каждую VM и
гипервизор
Отказоустойчивая архитектура
1. Security Design (SD) vGW -
виртуальная машина управления
2. Security VM (SVM) –
устанавливается на каждый ESXi-
хост
3. Модуль ядра гипервизора
АРХИТЕКТУРА VGW
vGW модуль
vCenter
VM VM1 VM2 VM3
Взаимодействующие
сервера
(IDS, SIM,
Syslog, Netflow)
Пакеты данных
VMWARE API’s
Любой vSwitch (Standard, DVS, 3rd Party)
ГИПЕРВИЗОР
Яд
ро
VM
ware
ES
X o
r ES
Xi H
ost
Security Design vGW
1 2
3
23 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
VGW – СПЕЦИАЛИЗИРОВАННОЕ РЕШЕНИЕ
Межсетевой экран работает на уровне ядра гипервизора
Антивирус и IDS интегрированы в Security VM каждого хоста
Преимущества: Обеспечивается наиболее эффективный механизм
проверки трафика
Отдельный обработчик МСЭ для каждой VM
Изолированная таблица соединений для каждой VM
Правила и политики переезжают в месте с VM в ходе vMotion
Нет единой точки отказа и узкого места – аппаратного МСЭ
Преимущества: Улучшение масштабируемости
Не нужно обновлять сигнатуры на каждой VM
Уменьшается нагрузка на физическую сеть
Уменьшается нагрузка на CPU хоста
Проверка VM во время их бездействия
24 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
МОДУЛИ VGW
Сеть
Отображение
потоков данных
между VM
IDS Анализ Отчеты
Сообщения IDS и
детальная
информация об
атаках
Обзор приложений
VM (гостевая OS,
приложения, патчи
и т.д.)
Автоматизирован
ные отчеты по
всем модулям
Общий
Суммарная
информация по
угрозам (включая
VM на карантине)
МСЭ Антивирус Соответствие
Управление
политиками МСЭ и
журналами
Антивирусная
защита для VM
Готовые и
настраиваемые
правила проверки
VM заданным
политикам
25 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
VGW – СЕТЕВАЯ СТАТИСТИКА
Область
навигации и
выбора VM
Вкладка
Connections
отображает
потоки данных
Отображаемый
интервал
времени
Информация обо всех потоках данных VM сохраняется в базе данных и доступна для анализа
Преимущества: Анализ всех коммуникаций VM
Анализ соответствия архитектуры политике безопасности
Детальные данные по каждой VM
26 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
VGW – МЕЖСЕТЕВОЙ ЭКРАН Защита всего трафика между VM
Преимущества:
Гибкие трехуровневые политики безопасности: Глобальная, Групповая, на уровне VM/vNIC
Политики могут назначаться автоматически на основе свойств VM (Smart Groups)
Помещение VM в карантин в случае нарушения политики
Таблица соединений и правил сохраняется в ходе vMotion
Настройка
политики
карантина для
Антивируса,
модуля
Соответствия и
др.
NEW!
NEW!
27 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
VGW – IDS
Внутренний анализ на наличие атак, а также возможность
отправлять интересующий трафик на внешний IPS
Фильтры позволяют
задать какой трафик
будет проверяться IDS
Сообщения по
источникам и
направлениям
Изменение
периода
времени
позволяют
проводить
исторический
анализ
Получение
детальной
информации по
каждому
триггеру
сигнала
тревоги
28 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
VGW – АНТИВИРУС NEW!
Антивирусная защита VM в реальном времени (On-Access)
или периодически (On-Demand)
Преимущества:
Антивирусная проверка по графику без программных агентов
Прямой доступ к виртуальному диску
Сканирование производится из защищенной области
Защита в реальном времени посредством агентов vGW Endpoint
«Легкий» агент позволяет проверять все операции ввода/вывода через Security VM для
подтверждения или карантина
Актуальная версия vGW Endpoint поддерживается автоматически
Архитектура vGW Endpoint имеет два существенных отличия от обычных агентов
Нет нагрузки на RAM и HDD
Сигнатуры хранятся в Security VM, а не в каждой VM
29 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
VGW И MICROSOFT HYPER-V
Интеграция с Hyper-V
-Трехуровневая
модель
-Интеграция с SCVMM
-Поддержка Live
Migration
30 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
Сервис провайдеры предлагают vSRX как услугу для сегментирования ресурсов различных
заказчиков не используя для этого специализированные аппаратные платформы
VSRX АРХИТЕКТУРА
vSRX (Edge Security)
31 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
ФУНКЦИОНАЛ VSRX
Безопасность и Маршрутизация на
одной программной платформе
Junos как виртуальное
устройство
Используется х86 архитектура
Полный набор функций
безопасности и маршрутизации
Используется проверенная
платформа SRX
Оптимизированная
производительность
SMP ядро
Поддерживает функциональность
Hypervisor VM
Пример: vMotion, снимки,
HA/FT, клонирование,
Управление.
Firewall
VPN
NAT
Network Admission Control
Perimeter
Anti-Virus
IPS
Full IDP Feature Set
Web Filtering
Anti-Spam
Content
Application
Awareness
Identity
Awareness
Application
CLI, JWeb, SNMP, JSpace- SD, Hypervisor Mgmt, HA/FT
Junos Routing Protocols and SDK
Junos Rich & Extensible Security Stack
32 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
УПРАВЛЕНИЕ VSRX
Управление
устройством vSRX
Приложение для Junos Space Platform
Точка формирования политики vGW и vSRX
устройств
Поддержка для популярных облачных
инструментов управления
vCenter, RHEV-M, SCVMM, ServerCenter
vCloud Director, CloudStack, OpenStack
Функционал (Life Cycle Management):
Provisioning
Bootstrapping
Troubleshooting/Debug
Log management
Virtual Systems Manager
Junos Space – Security Design
CLI + Junos Scripts
JWeb
SNMP
STRM (Logging and Reporting),
Syslog, Traceroute
Security Insight
Junos LMS
Policy Manager APIs
33 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
VSRX ПРИМЕР ИСПОЛЬЗОВАНИЯ ПРЕДОСТАВЛЕНИЯ СЕРВИСА ПО ПОДПИСКЕ
Заказчик
Требование
Сервис провайдер
Цель Предложить облачную услугу для среднего и малого бизнеса.
Быстрый ввод новых сервисов
Гибкая масштабируемость
Решение Установка vSRX на архитектуре х86. Каждый из подписчиков услуги
получает свое виртульное устройство с полным функционалом
Internet
Заказчик А
Заказчик B
Заказчиик C
Управляемая
услуга
безопасности
Virtu
aliz
ed
En
viro
nm
en
t
34 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
КОНТРОЛЬ ДОСТУПА К СЕТИ И КОНТРОЛЛЕРЫ УДАЛЕННОГО ДОСТУПА.
IC/MAG СЕРИЯ
35 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
IC CЕРИЯ
-Аутентификация пользователей
-Централизованные политики контроля
сетевого доступа
-Гостевой доступ
-Взаимодействия с внешними каталогами
пользователей
36 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
MAG SERIES – УСТОЙСТВА ДЛЯ СЕТЕЙ ЛЮБЫХ МАСШТАБОВ
Поддерживает до 40,000 SSL VPN, 60,000 UAC, or
4,000 application acceleration пользователей
Опциональные модули
Поддерживает до 20,000 SSL VPN, 30,000 UAC, или
2,000 application acceleration пользователей
Опциональные модули
1U high ½-width (may be deployed side-by-side
in 1U rack space)
Поддерживает до 1000 SSL VPN or 5000 UAC
пользователей
1 RU
Поддерживает до100 SSL VPN or 250 UAC
пользователей
1U, ½-width (may be deployed side-by-side
in 1U rack space)
Поддерживает до 250 application acceleration
пользователей
Од
ин
сер
ви
с,
Фи
кси
ро
ван
ная
ко
нф
игу
рац
ия
MAG2600
MAG4610
MAG4611
MAG6610
MAG6611
Поддерживает до 40,000 SSL VPN, 60,000 UAC
пользователей
10Gb интерфейсы
L4 Server Load Balancer
MAG8600
Неско
ль
ко
сер
ви
со
в,м
од
ул
ьн
ая
ко
нф
игу
рац
ия
37 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
JUNIPER NETWORKS ACCESS CONTROL
EX Серия L2 Коммутатор
802.1X Коммутаторы & Точки Доступа
Приложения
Сервер Политик
Хранилище
идентификационных
данных
MAG
series/Infranet
Controller
1
Данные Приложения Интернет
NS SSG
ISG
2 2
3
Контроль Доступа для
защиты ресурсов
Динамически используемая
политика правоприменител
ьного узла
Аутентификация пользователя,
Профилирования узла, Определение
местоположения
Функциональный, совместимый с другим оборудованием, на БАЗЕ СТАНДАРТОВ контроль доступа поверх гетерогенной сети – обеспечивая защиту инвестиций
1
SRX
Juniper Firewall
Платформы
UAC
правоприменительные узлы
Junos Pulse
MAG/SA series
Internet
Junos Pulse
SSL VPN
1
38 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
JUNOS PULSE КОНТРОЛЬ ДОСТУПА
SSL VPN функциональность для устройства серии MAG
Аналогичный набор сервисов по сравнению с SA серией
Junos Pulse
Host Checker
Layer 3 VPN access from Apple iOS devices
ActiveSync
VDI support
Cross-platform support
Etc.
Поддержка лицензий Enhanced Endpoint Security (EES) и
Premier Java RDP Applet licenses
Поддержка функционала SA 7.1
39 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
JUNOS PULSE КОНТРОЛЬ ДОСТУПА
NAC/UAC функциональность для устройств MAG серии
Аналогичные функции по сравнению с IC series)
Junos Pulse
Host Checker
Captive portal
IF-MAP support
Guest access support
Поддержка работы с коммутаторами EX серии
Поддержка лицензий Enhanced Endpoint Security (EES) и
Premier Java RDP Applet licenses
Поддержка функций UAC 4.1 (or higher)
40 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
УПРАВЛЕНИЕ КОМПОНЕНТАМИ И УСТРОЙСТВАМИ БЕЗОПАСНОСТИ.
JUNOS SPACE
41 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
СЛОЖНОСТЬ УПРАВЛЕНИЕ БЕЗОПАСНОСТЬЮ
Много устройств
Облачные вычисления
Много устройств
Много приложений
NETWORK
42 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
ПОДХОД JUNIPER К УПРАВЛЕНИЮ БЕЗОПАСНОСТЬЮ
СЛЕДУЮЩЕЕ ПОКОЛЕНИЕ
МАСШТАБИРУЕМАЯ
АРХИТЕКТУРА SOA
БЫСТРОЕ WEB
ПРИЛОЖЕНИЕ
ПОСТРОЕННОЕ НА
ОТКРЫТОЙ ПЛАТФОРМЕ
NETWORK & SECURITY MANAGER
(NSM)
Лучшие продукт в
течениe 10 лет
Клиент-серверная
архитектура
СЕГОДНЯ РАНЕЕ
SECURITY DESIGN (ПРИЛОЖЕНИЕ SPACE)
Отдельная программа
43 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
ОСНОВНЫЕ ХАРАКТЕРИСТИКИ SECURITY DESIGN
Проверка результатов применения политики до внедрения
Использование политик другими приложениями
Интуитивный интерфейс
Легкость функционального расширения
Управление жизненным циклом политик через Web
Легкий доступ к политикам
Мощный поиск
Многоуровневое вложение политик
Двухмерное управление политиками – много устройств и правил
Интегрированный Межсетевой экран, IPS & NAT
Интеграция в Junos Space для масштабируемости
FW VPN NAT IPS AppFW
Design
Validate
Update
Create
Policy View
CLI
Schedule
Updates
Оператив-
ность
Масштаби-
руемость
Эффекти-
вность
Много SRX
Много
правил
горизонтальная
Ве
рт
ика
льна
яl
Maintain Create
Remediate Deploy
Monitor
44 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
ЛЕГКАЯ МАСШТАБИРУЕМОСТЬ И РАСШИРЯЕМОСТЬ ЗА СЧЕТ ПОГРУЖЕНИЯ В JUNOS SPACE
SECURITY DESIGN ФОКУСИРУЕТСЯ:
Политики межсетевого экрана
Политики VPN
Политики NAT
Политики IPS
Политики AppFW
SPACE PLATFORM ФОКУСИРУЕТСЯ:
Управление устройствами
Управление модулями
Управление версиями ПО
Управление правами доступа
Аудит
Device Management Interface (DMI)
RESTful Web Service API
JUNOS SPACE PLATFORM
Network Infrastructure
Создание
Применение
Наблюдение
Поддержка
Оптимизация Secure Design
45 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
JUNOS SPACE ОТКРЫТАЯ, БЕЗОПАСНАЯ, МАСШТАБИРУЕМАЯ ПЛАТФОРМА
Что такое Junos Space?
Открытая, безопасная и масштабируемая программная платформа для построения приложений:
Управление и анализ сетевыми элементами
Оптимизирование сетевой инфраструктуры и управление через динамические политики
Максимизация сетевой пользы и масштабирование решения при снижении цены и сложности
APPLICATIONS
Juniper Applications 3rd Party Applications
Device Management Interface (DMI)
RESTful Web Service API
JUNOS SPACE PLATFORM
Network Infrastructure
Open Network Application Platform
Network Activate, ● Transport
Activate ● QoS Design ● Ethernet
Design ● Security Design ● Virtual Control ● Service Now
OSS ● BSS ● Green/Energy ● End-user Forensics Adapters (MTOSI, OneAPI) ● … others
46 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
JUNOS SPACE ОТКРЫТАЯ, БЕЗОПАСНАЯ, МАСШТАБИРУЕМАЯ ПЛАТФОРМА
Преимущества:
Управление безопасностью, маршрутизацией и коммутацией с одной платформы
Управление и мониторинг на сетевом уровне многими устройствами сразу
Расширенная среда разработки для сторонних приложений
Приложения могут сконцентрироваться на выполнении своих задач, хорошая поддержка со стороны платформы
47 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
SECURITY DESIGN ВЕРСИЯ 11.4
Основание для Дизайна Безопасности
48 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
УПРОЩЕНИЕ УПРАВЛЕНИЯ ЗА СЧЕТ ИЕРАРХИИ ПОЛИТИК
1 Глобальные политики
2 Групповые политики
3 Политики устройств
Безопасные
коммуникации
Запретить
Разрешить
1
2
3
Применить с
приоритетом
Пр
еи
му
щес
тв
а Гибкий контроль политик
Улучшенная оптимизация
Пере-использование политик
49 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
УПРАВЛЕНИЕ ПОЛИТИКАМИ ГЛОБАЛЬНЫМИ, ГРУППОВЫМИ И УСТРОЙСТВА
Global Policies
Group Policies
Device Policies
Device
Group
Global
50 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
Дизайн и проверка политик перед применением снижает ошибки
Возможность увидеть команды, которые будут отосланы на устройство
Увидеть все команды что будут применены
ПРОВЕРКА ПОЛИТИК ПЕРЕД ПРИМЕНЕНИЕМ PUBLISH WORKFLOW
Create Policy
Create VPN
Create NAT
Create IPS
Signatures
Дизайн
View Impacted Devices
View CLI
Verification
Optimization
Проверка
Schedule updates
Bulk Update
Granularity
Device Status
Изменение
51 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
ВИРТУАЛЬНЫЕ ЧАСТНЫЕ СЕТИ (VPN) IPSEC ТУННЕЛИ
Site-to-Site Hub & Spoke Fully Meshed
1000 Site-to-Site VPNs
1000 Spokes-to-hubs
Встроенные готовые шаблоны
52 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
NETWORK ADDRESS TRANSLATION (NAT)
Source Destination Static
Гибкий контроль политик NAT
Даже сложные правила NAT становятся проще
Пере-использование политик NAT
53 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
Granular Signature
Management
Dynamic Filter and
Searches
Static and
Dynamic Groups
Easy-to-use interface
Built-in Recommended
Signatures
Getting Started Help
Customization
Simple Firewall
Integration
Advance IPS Policy
Configuration
Simple Firewall
Integration
Customization
УПРАВЛЕНИЕ СИГНАТУРАМИ IPS
Интеграция с межсетевым экраном упрощает управление
Быстро находит и расследует сигнатуры IPS
Подстройка сигнатур под ваши нужды
IPS Signatures IPS Signature Set IPS Policy
54 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
Идентификация и управление приложениями
Интегрирована с политиками FW и IPS
Пере-использование политик
APPLICATION FIREWALL (APPFW)
denied
Apps
approved
Apps
55 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
МОНИТОРИНГ СОБЫТИЙ БЕЗОПАСНОСТИ STRM
56 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
STRM серия
Intelligent, Integrated, Automated
STRM
Log
Manager
STRM
SIEM
STRM
QFlow
STRM
VFlow
STRM
Risk
Manager
Security Intelligence Operating System
Представляет полную картину по
безопасности сети
57 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
STRM SIEM
Обзор
STRM SIEM обеспечивает полную прозрачность сети с
возможностью реакции на события безопасности для
защиты компонентов сети от различного вида угроз.
Ключевые особенности:
• Продвинутые механизмы кореляции событий,потоков,
компонентов, топологий, уязвимостей и внешних данных для
идентификации угроз.
• Анализ сетевого трафика для обнаружения приложений
• Управление инцидентами до полного их разрешения
• Масштабируемая архитектура для организаций любых
размеров
58 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
STRM SIEM
Ключевые преимущества
• Кореляция событий в реальном времени основанная на новой
технологии in-memory и широкого набора контекстных данных a
• Захват потока и анализ данных позволяющие увидеть трафик
на уровне 7 модели OSI
• Анализ данных инцидентов который сокращает false positives
• Уникальная комбинация поисковых функций и анализ
нормализированных данных
• Масштабируемость подходящая даже для самых крупных сетей
с использованием встроенной СУБД и унифицированной
архитектуры представления данных.
59 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
STRM SIEM
Интегрированная консоль
• Интерфейс веб-браузера
• Достук к информации на
основе ролей
• Настраиваемые панели
инструментов
• Статистика доступная в режиме реального времени
• Улучшенные механизмы просмотра деталей событий
• Легко настраиваемые правила с готовой к работе
конфигурацией
60 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
STRM FLOW АНАЛИЗ
STRM предоствляет полную прозрачность трафика собирая flow данные.
(Jflow/NetFlow/Sflow/)
Это предоставляет доступ к следующим данным:
- Top Talkers (на основе портов и ip адресов )
- SNMP polling по интерфейсам
- Сбор статистики Sflow
Анализ QoS
- Flow collection представляет удобную консоль для анализа QoS механизмов.
- Обнаружение аномалии трафика
- Автоматически правила изучают харакстеристики трафика и сигнализурют в случае его
нарушения.
- Высылает предупреждение в случае обнаружения потока информации к
неизвестному хосту
- Обнаруживает сканирования и большие исходящие передачи файлов
61 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
STRM SYSLOG АНАЛИЗ
STRM анализирует события SYSLOG предоставляя
администраторам безопасности расширенную информацию:
- Состояние физических интерфейсов оборудования
- Изменение конфигурации оборудования
- Неудачные попытки аутентификации
- Системные ошибки
62 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
ПРИМЕРЫ ВНЕДРЕНИЯ
Небольшая организация - STRMv
Организация средних размеров - STRM-500
Большая организация - STRM-5k + EP:s
Организация с несколькими
отделениями : - STRM-5k + Combo-collectors
63 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
STRM ХАРАКТЕРИСТИКИ ПЛАТФОРМ
All-In-One Distributed EP Distributed FP Distributed
Combo (EP/FP)
Distributed
Console
STRMV
(VM Version of STRM)
Max 1k EPS &
50kF/m
Max 1k EPS Max 50kF/m NO Supported
STRM-500 (JA-STRM500-A2-BSE)
Max 500EPS &
15kF/m
Max 500 EPS Max 15kF/m Max 500EPS &
15kF/m
NO
STRM-2500 (JA-STRM2500-A2-BSE)
Max 1250 EPS &
25kF/m
Max 2500 EPS Max 50kF/m Max 2500 EPS &
50kF/m
NO
STRM-5000-A2 (JA-STRM5000-A2-BSE)
Max 5k EPS &
200kF/m
Max 10k EPS Max 600kF/m NO Supported
STRM-5000-NEBS (STRM5000-NEBS-A-BSE)
NO Max 20k EPS Max 600kF/m NO NO
64 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
ПРИМЕРЫ ОТЧЕТОВ STRM:QOS
65 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
ПРИМЕРЫ ОТЧЕТОВ STRM: TOP APPLICATION
66 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
STRM НОВЫЙ ФУНКЦИОНАЛ
67 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
ЗАЩИТЫ СЕРВИСОВ ОТ АТАК. УСТРОЙСТВА IDP
68 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
NEW IDP APPLIANCES
IDP8200
10 Gbps IPS сканирования
Плотность портов до
80 Gbit
Большое количество
сесиий
5 миллионов
одновременных сессий
Flexible I/O design
IDP75/250/800
Увеличенная
производительность до 1
Gbps
69 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
РЕШЕНИЕ ДЛЯ ЦОД
Пропускная способность с настроенными политиками -
10Gbps.
Плотность портов: до 8 x 10GE или16 x 1GE
5 миллионов сессий
70 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
IDP8200 ОБЗОР
2х RU
2x 74GB RAID SATA HDD
Заменяемые Power, Fans, IOC and HDD
IO Ports:
Встроенные: Serial, USB, Management, HA
IO Cards:
4 port GE Copper with bypass
4 port GE Fiber (SFP / SX-bypass)
2 port 10 GE (XFP / SR-bypass)
Dual power supply (DC option)
71 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
IDP800 ОБЗОР
2х RU
Dual power supply
DC option
2x 74GB RAID SATA HDD
IO Ports:
Built-in: Serial, USB, Management, HA, 2 port copper GE w/bypass
Fixed IO Cards:
2 4 port GE Copper with bypass
Производительность с настроенными политиками:
Пропускная способность: 1 Gbps
Число сессий: 500K
72 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
IDP250 AND IDP75 ОБЗОР
IDP 250
1 RU
AC power supply
IO Ports:
Serial, USB, Mgmt, 8x Copper GE w/bypass
IDP 75
1 RU
AC Power supply
IO Ports:
Serial, USB, Mgmt, 2x Copper GE w/bypass
73 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
НАДЕЖНОСТЬ IDP
Разделение Control и Data Plane
Устойчивая к DDoS или другим ресурсоемким атакам система
Всегда поддерживаемый контроль устройства
Встроенный Bypass
10 GE I/O модули со встроенной функцией By-Pass
Cокращает стоимость внешних by-pass решений
Module
n
Mod
ule
3
Module
1
Kernel
Mod
ule
4
Mod
ule
2
Packet
Forwarding Services
Physical Interfaces
Инфраструктура остается
управляемой при любом отказе
74 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
УПРАВЛЕНИЕ IDP
Преимущества
Можно просматривать отчеты
независимо от центральныз
групп управления
Заказчики (для MSPs) могут
видеть результат защиты их
сетей
On-Box отчеты
Конфигурируемые панели
инструментов
Данные обрабатываемые в
режимме реального времени
Экспорт в html или PDF
75 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
ПРИМЕР ON-BOX ОТЧЕТОВ
76 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
IDP CЕРИЯ. ОБЗОР ПРОИЗВОДИТЕЛЬНОСТИ
Прои
звод
ите
льность
Цена
IDP75
IDP250
IDP800
IDP8200
77 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
ФУНКЦИИ ЗАЩИТЫ
MPLS traffic Inspection
Server-side SSL traffic inspection – SSL Decrypt
Client-side SSL traffic inspection – SSL Forward Proxy
Detection of encrypted P2P
Detection of unrecognized encrypted traffic
Mixed-Mode – Inline + Sniffer support
Jumbo Frame support
78 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
ФУНКЦИИ ЗАЩИТЫ
+application
identification
79 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
IDP ВЕРСИИ ПО
Product Line Models IDP 4.1r2 IDP 4.1r2a IDP 4.2 IDP 5.0
Former Standalone Models
IDP50
IDP200
IDP600
IDP1100
Current Standalone Models
IDP75
IDP250
IDP800
IDP8200
80 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
ПОЗИЦИОНИРОВАНИЕ УСТРОЙСТ IDP СЕРИИ
IDP75/250/800
Небольшие офисы,защита интернет ресурсов
До 1 Gbps
IDP 8200
Большие предприятия, DMZ зоны, ЦОД.
До 8x10GE и 10Gbps производительность IPS
81 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
ЗАЩИТА МОБИЛЬНЫХ УСТРОЙСТВ. JUNOS PULSE MOBILE SECURITY
82 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
Безопасность мобильных сред с использованием JUNOS PULSE
Antivirus
Защита в режиме реального времени
Авто обновления
Сканирование файлов
И соединений
Personal
Firewall
Фильтрование вхд/исх. трафика
Логирование и предупреждения
Настраиваемый вид
Anti Spam
Блокировка СМС и голосового спама
Черный список
Автоматические правила распознавания
“плохого” трафика
Loss & Theft
Protection
Удаленная блокировка
Функции восстановления
GPS –обнаружения
Предупреждение о смене SIM
Device
Control
Контроль приложений
Мониторинг контента
Secure
Access
83 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
JUNOS PULSE НА СМАРТФОНАХ
Подходит для использования различных приложений
Web VPN (browser-based applications)
Secure Email (secure ActiveSync proxy)
Full Layer 3 Tunnel
Используются технологии:
SSL VPN
Multi-factor authentication
Granular auditing and logging
84 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
For The Enterprise
DELIVER SECURITY TO ALL SMARTPHONE MARKETS AND USERS
Удаляет данные с потерянных
устройств
Сочетает возможности
безопасности и удаленного
доступа в одном приложении
Применяет политики доступа
Сокращает издержки на IT
85 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
y
КОНЦЕПЦИЯ ВЗАИМОДЕЙСТВИЯ
SRX Series
EX Series
WLA Series
802.1X
Switches / APs
MAG Series
(Junos Pulse Access
Control Service)
MAG Series
(Junos Pulse Secure
Access Service and
Junos Pulse Application
Acceleration Service)
Virtual SSL VPN
(Junos Pulse Secure
Access Service)
Клиенты
SRX Series
Авторизованный пользователь
с личным утсройством
Авторизованный пользователь с
устройством компании
Internet
86 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
ПОДДЕРЖИВАЕМЫЕ ВЕРСИИ ОС
87 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
JUNOS PULSE ДЛЯ РАБОЧИХ СТАНЦИЙ
Доступ
к корпоративному
ресурсу
MAG Series Junos Pulse Gateway
Junos Pulse
предоставляет:
• Безопасный удаленный
доступ(SSL VPN)*
• Контроль доступа в сеть (
UAC)
• Junos Pulse Application
Acceleration cервисы
Junos Pulse
PCs & Macs
Junos Pulse
Smartphones & Tablets
• Junos Pulse Mobile
Security Suite
88 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
СЕРТИФИКАЦИЯ ОБОРУДОВАНИЯ JUNIPER. ВВОЗ ОБОРУДОВАНИЯ С СИЛЬНЫМ ШИФРОВАНИЕМ.
89 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
СЕРТИФИКАЦИЯ ФСТЭК
На данный момент возможно осуществить сертификацию
оборудования на партию(единичный экземпляр)
В соответствие со следующими РД:
-Системы Обнаружения Вторжений
-Антивирусная защита
-МЭ
-На отсутствие НДВ
Стоимость сертификации и ее продолжительность зависит
от типа и количества оборудования
90 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
ВВОЗ ОБОРУДОВАНИЯ С СИЛЬНЫМ ШИФРОВАНИЕМ
Для ввоза оборудования с сильным неотечественным
алгоритмом шифрования используется стандартная
процедура:
1.Получение разрешения ФСБ
2.Получение лицензии МинПромТорга
Оборудование может быть размещено после получения
разрешения ФСБ
Время согласования от 2х месяцев
Необходимо иметь соответствующие лицензии