Функции utm в линейке шлюзов безопасности srx
DESCRIPTION
Презентация для доклада, сделанного в рамках конференции Juniper New Network Day 01.01.2014. Докладчик -- Senior System Engineer компании Juniper Networks Павел Живов. Видеозапись этого доклада с онлайн-трансляции конференции вы можете увидеть здесь: http://www.youtube.com/watch?v=5LjRsAByfIwTRANSCRIPT
1 Copyright © 2014 Juniper Networks, Inc. www.juniper.net
Функционал UTM в универсальных шлюзах безопасности Juniper SRX
Павел Живов Системный инженер [email protected] 10 апреля, 2023
2 Copyright © 2014 Juniper Networks, Inc. www.juniper.net
БОГАТЫЙ ФУНКЦИОНАЛ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ
Блокирование доступа к недоверенным и запрещенным сайтам
Web-фильтрация
Антивирус Защита от вирусов, троянов, шпионского ПО и т.п.
Антиспам
IPS
МСЭ (Firewall), VPN, Unified Access Control
Блокирует передачу неразрешенных файлов
Контентная фильтрация
Внутр. угрозы
Внешние угрозы
INTERNET
Обнаруживает и блокирует атаки, червей, троянов, DoS-атаки (L4 & L7), сканирования
AppSecure
Базовые функции безопасности
Классификация трафика на уровне приложений, применение политик на уровне приложений и пользователей
Защищает от спама и фишинга
3 Copyright © 2014 Juniper Networks, Inc. www.juniper.net
Мультисервисные шлюзы SRX-серии
100G
До 300 Gbps пропускной способности МСЭ и 100 млн. одновременных сессий
High-End SRX
Единая ОС Junos
Высокая производительность и масштабируемостьМаршрутизация, коммутация и безопасность
1G
10GBranch SRX
SRX3400
SRX100SRX210
SRX220SRX240
SRX650
ФИЛИАЛ КАМПУС ЦЕНТР ОБРАБОТКИ ДАННЫХ
SRX110
SRX550
SRX1400
SRX3600
SRX5400
SRX5800
SRX5600
4 Copyright © 2014 Juniper Networks, Inc. www.juniper.net
UTM
Антивирус
Антиспам
1
2
Веб-фильтрация3
Контентная-фильтрация4
5 Copyright © 2014 Juniper Networks, Inc. www.juniper.net
ПОДДЕРЖКА В КЛАСТЕРЕ Следующие функции работают в кластере (stateless):
Антиспам Антивирус (Kaspersky, Express, Sophos) Контентная фильтрация Веб-фильтрация
Лицензии должны быть установлены на всех узлах кластера
Redundancy Group
Control
Data
Active/Passive Active/Active
SRXSRX
EX
RG 1 RG 2
Control
DataSRXSRX
EX EX
Internet
Internet
6 Copyright © 2014 Juniper Networks, Inc. www.juniper.net
UTM. АНТИВИРУС. ТИПЫ
Kaspersky полный файловый антивирус
Антивирус Kaspersky Express
1
2
Антивирус Sophos (облачный)* 3
Функционал требует лицензии*Поддерживается на HighEnd SRX
7 Copyright © 2014 Juniper Networks, Inc. www.juniper.net
SRX использует SBL (spam block list) от внешнего сервера (Sophos) или собственные списки для определения источников рассылки спама
Internet
Сервер SMTP
Недоверенная зона
Доверенная зона
ЗонаDMZ
Сервер SBL
SRX
Офисная сеть филиала
UTM. АНТИСПАМ
Функционал требует лицензии
8 Copyright © 2014 Juniper Networks, Inc. www.juniper.net
UTM. АНТИСПАМ. ПРИНЦИП РАБОТЫ SRX разрешает адрес отправителя письма (домена) через DNS с
указанием SBL как авторитетного домена
DNS-сервер пересылает запрос к SBL, который отвечает DNS-серверу. DNS-сервер отвечает SRX
SRX интерпретирует ответ для определения источника как спам или не спам
Входящие письма
InternetSRX
Сервер SMTP
Локальный пользователь
9 Copyright © 2014 Juniper Networks, Inc. www.juniper.net
UTM. ВЕБ-ФИЛЬТРАЦИЯ. ТИПЫ
Веб-фильтрация Websense (облачный сервис)*
1
*Функционал требует лицензии
2Расширенная веб-фильтрация Websense (облачный сервис)*
3Веб-фильтрация с перенаправлением на локальный сервер Websense
4 Веб-фильтрация по локальным спискам
10 Copyright © 2014 Juniper Networks, Inc. www.juniper.net
ВЕБ-ФИЛЬРАЦИЯ WEBSENSE(INTEGRATED SURFCONTROL) Из HTTP-запроса пользователя извлекается URL и отправляется в
запросе в облачный сервис Websense
Сервис Websense возвращает категорию
SRX блокирует или разрешает на основе категории, ведет кэш
База Websense содержит около 40 категорий
Веб-сервер
Сервер SurfControlWebSense
SRX
Пользователь Intern
et
Запрос HTTP
Запрос URL
Категория
11 Copyright © 2014 Juniper Networks, Inc. www.juniper.net
РАСШИРЕННАЯ ВЕБ-ФИЛЬРАЦИЯ WEBSENSE(ENHANCED WEB FILTERING) поддерживается начиная с Junos 11.4r1
Логика работы аналогична Integrated SurfControl
Для HTTPS-запроса на Websense TSC (ThreatSeeker Cloud) отправляется IP-адрес ресурса
База Websense содержит более 95 категорий
Возвращается репутация ресурса
Опция включения SafeSearch для поисковиков
В реальном времени:Категоризация URL
Репутация веб-ресурса
Сервер Websense
TSC
Запрос категории URL
Категория URL,
РепутацияЗапрос
HTTP или HTTPS
Категория
разрешена
SRX
Пользователь
Веб-сервер
12 Copyright © 2014 Juniper Networks, Inc. www.juniper.net
ПЕРЕНАПРАВЛЕНИЕ НА ЛОКАЛЬНЫЙ СЕРВЕР WEBSENSE (REDIRECT) Логика работы аналогична Integrated SurfControl, но
Запросы перенаправляются на локальный сервер Websense
База Websense содержит более 95 категорий
Не требует лицензии на SRX
Локальный сервер
Websense
SRX
Internet
Перенаправление
Пользователь
Запрос HTTP Веб-
сервер
13 Copyright © 2014 Juniper Networks, Inc. www.juniper.net
ЛОКАЛЬНЫЕ СПИСКИ ВЕБ-ФИЛЬТРАЦИИ Локальные черный и белый списки:
Используются списки, настроенные вручную на SRX
Могут использоваться совместно с другими вариантами веб-фильтрации (SurfControl, Enhansed Websense, Redirect)
Не требуют лицензии на SRX
SRX
Internet
Пользователь
Запрос HTTP Веб-
сервер
14 Copyright © 2014 Juniper Networks, Inc. www.juniper.net
UTM. КОНТЕНТНАЯ ФИЛЬТРАЦИЯ Фильтрует трафик на основе таких параметров как:
Протокольные команды для поддерживаемых протоколов (например, HTTP POST, FTP DELE и т.д.)
Тип контента: ActiveX, Java applets, исполняемые файлы Windows (exe), HTTP cookies и файлы ZIP
Блокировка передаваемых файлов по расширению
Поддерживается для HTTP, FTP, SMTP, POP3, IMAP
Не требует лицензии
Пользователь уведомляется о блокировке двумя способами:
Сообщение в протоколе
По электронной почте
15 Copyright © 2014 Juniper Networks, Inc. www.juniper.net
ВОПРОСЫ