zlom Juniper I

Nabídka řešení bezpečnosti
Juniper Networks
– integrované řešení Firewall/VPN
Silné zabezpečení kontroly přístupu, ověřování uživatele
a ochrana před útokem na úrovni sítě i aplikace
Protože ohrožení sítě roste, je stále častější a destruktivnější, k udržení
životaschopnosti podniku je kriticky důležité odpovídající zabezpečení
infrastruktury. Útoky přicházejí z několika zdrojů a v různých podobách.
Podniky a poskytovatelé služeb potřebují více než jen pouhé bezpečnostní
zařízení; potřebují komplexní, spolehlivé časem ověřené řešení opírající
se o špičkové technologie ve svém oboru.
Integrované bezpečnostní systémy Juniper Networks jsou účelově
navržena tak, aby zajišťovala důležité funkce zabezpečení. Zařízení jsou
optimalizována k maximálnímu výkonu a řízena v reálném čase operačním
systémem ScreenOS specificky zaměřeným na bezpečnostní úlohy. Tento
operační systém byl navržen od základů tak, aby vykonával funkce
výhradně bezp. bez přídavných úloh, které mohou způsobovat zranitelnost
u jiných bezpečnostních produktů, jež jsou založeny na operačních
systémech určených ke všeobecným účelům.
S širokou nabídkou specializovaných vysoce výkonných platforem, které
poskytují integrovanou bezpečnost a LAN/WAN směrování prostřednictvím
LAN/WAN rozhraní s vysokou hustotou, se integrovaná bezpečnostní
zařízení Juniper Networks zaměřují na potřeby malých i středních podniků,
ale také velké korporace a poskytovatele služeb.Tato integrovaná zařízení
nabízejí ochranu na úrovni síťové i aplikační. Umožňují vytváření privátních
virtuálních sítí VPN a jsou implementovány funkce odmítnutí služeb (DoS).
Charakteristiky produktu:
• Kompletní sada bezpečnostních funkcí UTM (Universal Threat
Management) zahrnující stavový firewall, prevenci proti průnikům,
antivirus (vč. anti-spyware, anti-adware, anti-phishing), antispam
a filtrování webů zabraňuje průnikům spyware, trojských koní,
malwaru a dalších nově se objevujících typů útoků. Povšimněte si,
že ne všechny komponenty UTM jsou k dispozici na všech
platformách.
• Centralizovaná správa založená na zásadách minimalizuje možnost,
že dojde k přehlédnutí děr v zabezpečení a zjednodušuje rozšiřování
sítě a aktualizaci na síťové vrstvě.
• Technologie virtualizace usnadňují správcům rozdělit síť do
bezpečných segmentů a poskytuje tak další vyšší stupeň ochrany.
• Vestavěné funkce vysoké dostupnosti umožňují párovat zařízení,
která budou využívána společně, čímž se eliminují jednotlivé body
možného selhání.
• Funkce pro rychlou implementaci pomáhají minimalizovat opakované
úlohy správy spojené se správou rozsáhlých sítí.
2
Security Solution Portfolio
Juniper Networks Firewall/VPN Solutions
Obrana perimetru zaãíná ochranou na úrovni sítû
Pro ochranu proti útokÛm na síÈové úrovni pouÏívají zafiízení Juniper Networks metodu dynamického
filtrování paketÛ známou jako dÛkladnou kontrolu, jeÏ je schopna odhalit neÏádoucí provoz v síti. Díky
této metodû mohou firewally shromaÏìovat informace, která jsou obsaÏena v záhlaví paketÛ vãetnû
zdrojov˘ch a cílov˘ch IP adres, zdrojov˘ch a cílov˘ch ãísel portÛ a pofiadov˘ch ãísel paketÛ. Pokud
dorazí paketová odpovûì, firewall porovná obrazce obsaÏené v jeho záhlaví se stavem související
relace. JestliÏe se údaje neshodují, paket je zahozen.
Stavová inspekce poskytuje vy‰‰í úroveÀ bezpeãnosti neÏ jiné technologie firewallÛ (napfiíklad filtrování
paketÛ), protoÏe otevírá men‰í „díry“, kter˘mi mohou data procházet. Ve v˘chozím stavu odmítá
Juniper Networks firewall ve‰ker˘ provoz ve v‰ech smûrech. Díky centralizované správû zaloÏené na
zásadách pak mohou podniky vytvofiit vlastní zásady zabezpeãení, které definují parametry síÈového
provozu, kter˘ smí procházet ze specifikovan˘ch zdrojÛ do specifikovan˘ch cílÛ.
Ochrana Day-Zero proti útokÛm na úrovni aplikací
Za úãelem blokování ‰kodliv˘ch útokÛ na úrovni aplikací mají v sobû ve‰keré produkty Juniper
Networks integrovánu technologii prevence proti prÛnikÛm. U centrálních pracovi‰È podnikÛ
a v prostfiedí datov˘ch center s velk˘mi objemy pfiená‰en˘ch dat lze vyuÏívat integrovan˘ch fie‰ení fiady
Juniper Networks Integrated Security Gateway (ISG) s IDP k zaji‰tûní zabezpeãení na úrovni aplikací.
¤ada ISG s IDP je tûsnû integrována a to stejn˘m ScreenOS softwarem, jak˘ nacházíme v základních
Juniper Networks IDP a poskytuje tak nepfiekonatelnou ochranu na úrovni aplikací proti ãervÛm,
trojsk˘m koním, spyware a malware. ¤ada ISG podporuje více neÏ 60 protokolÛ vãetnû protokolÛ
pouÏívan˘ch pokroãil˘mi aplikacemi jako VoIP a multimédia.
Bezkonkurenãní v˘kon pfii zaji‰Èování zabezpeãení a funkce segmentace sítû umoÏÀují produktÛm fiady
ISG chránit kriticky dÛleÏité vysokorychlostní sítû proti prÛniku a ‰ífiení existujících a vznikajících hrozeb
na úrovni aplikací. Díky osmi mechanismÛm detekce útokÛ vãetnû v˘konn˘ch podpisÛ a nástrojÛ
detekce anomálií protokolu provádí produkty fiady ISG s technologií IDP hloubkovou anal˘zu aplikaãních
protokolÛ, kontextu a stavu a zaji‰Èují ochranu sítû Zero Day a ochranu pfied útoky na úrovni aplikací.
Na v‰ech dal‰ích modelech mohou správci bezpeãnosti implementovat IPS pouÏitím firewallu Deep
Inspection, a tak blokovat útoky na úrovni aplikací. Firewall Deep Inspection vkládá dva z osmi
mechanismÛ pro detekci útokÛ do samostatné platformy IDP a integruje je s firewallem stavové
inspekce. V˘sledkem je to, Ïe firewall Deep Inspection mÛÏe aplikovat hlub‰í úroveÀ anal˘zy
aplikaãního síÈového provozu a pfiijímá rozhodnutí o fiízení pfiístupu na základû v˘znamu tohoto provozu.
JestliÏe obsah paketu neodpovídá aplikaci, kterou vyhledává, paket lze zahodit. Firewall Deep
Inspection je implementován na perimetru sítû jako jsou napfi. poboãky podniku, a mÛÏe tak
zablokovat útoky na úrovni aplikací dfiíve, neÏ infikují síÈ a zpÛsobí jakékoliv ‰kody.
3
Security Solution Portfolio
Juniper Networks Firewall/VPN Solutions
Integrovan˘ antivirov˘ program chrání vzdálená místa
Pro vzdálené kanceláfie nebo men‰í stfiediska bez nepfietrÏité pfiítomnosti pracovníkÛ IT je v kterémkoliv
fie‰ení zabezpeãení absolutní nutností integrace a jednoduchost. Juniper Networks v souãasnosti
poskytuje integrovanou antivirovou ochranu zaloÏenou na souborech v produktech SSG (Secure
Services Gateway), v fiadû NetScreen-5GT. Tyto produkty pfiedstavují kombinaci moÏností firewallu
a VPN schopností s antivirov˘m nástrojem, která pfiiná‰í komplexní fie‰ení zabezpeãení v jediném
zafiízení.
Tato integrovaná zafiízení vyhledávají viry, které se ‰ífií elektronickou po‰tou i webov˘m provozem,
protoÏe kontrolují protokoly IMAP, SMTP, FTP, POP3 a http. Poskytují nejpokrokovûj‰í ochranu pfied viry,
které se dnes ‰ífií sítí – napfiíklad pfied viry MSblast, Sobig a Code Red. Díky schopnosti
dekomprimovat soubory pomocí bûÏn˘ch protokolÛ prohledává tento nástroj hloubkovû pfiílohy ve snaze
detekovat viry skryté v nûkolika úrovních komprese.
¤ízení pfiístupu ke znám˘m webov˘m stránkám obsahujícím malware a phishing
Zamûstnanci, ktefií mají ze sítû spoleãnosti pfiístup k nevhodn˘m webov˘m stránkám, riskují, Ïe do
organizace pronikne ‰kodliv˘ software. A co hÛfi, jejich chyby v úsudku mohou vystavit spoleãnost
hrozbû soudních sporÛ z dÛvodu nedostateãné ochrany. Integrovaná bezpeãnostní zafiízení Juniper
Networks jsou ideálním fie‰ením, které pomáhá organizacím navrhnout a prosadit zásady odpovûdného
vyuÏívání webu.
MoÏné jsou dva pfiístupy: externí a integrované filtrování webu. Externí filtrování webu je dostupné ve
v‰ech firewallech/VPN zafiízeních Juniper Networks, provádí pfiesmûrování síÈového provozu ze zafiízení
k vyhrazené kontrole SurfContrl nebo serveru filtrování webu Websense a pomáhá tak prosazovat
zásady spoleãnosti. Integrované filtrování webu dostupné v produktech NetScreen-HSC, -5GT Series, 25 a -50 a produkty rodiny SSG umoÏÀují podnikÛm vytvofiit vlastní zásady pfiístupu k webu díky
selektivnímu blokování pfiístupu k místÛm uveden˘m v prÛbûÏnû aktualizované databázi. Tuto databázi
udrÏuje spoleãnost SurfControl, spolupracující partner spoleãnosti Juniper Networks na poli
zabezpeãení. V souãasnosti databáze obsahuje více neÏ 13 milionÛ adres URL organizovan˘ch do více
neÏ 54 kategorií potenciálnû problematického obsahu.
Zákazníci mohou rychle zavádût integrované nebo externí filtrování webu pomocí v˘chozí konfigurace
zaloÏené na databázi SurfControl. Profily filtrování webu lze upravovat pomocí seznamÛ vyluãujících
pouÏití stránek (black lists), seznamÛ povolujících vyuÏití stránek (white lists) a celé fiady
pfieddefinovan˘ch a uÏivatelem definovan˘ch kategorií.
Blokování pfiíchozích spamÛ a útokÛ typu phishing
Spoleãnost Juniper Networks úzce spolupracuje se spoleãností Symantec Corporation a vyuÏívá její
antispamové fie‰ení, které má vynikající trÏní pozici a podporu, pro men‰í a stfiednû velké kanceláfiské
platformy Juniper za úãelem zbrÏdûní záplavy nevyÏádan˘ch e-mailÛ a potenciálních útokÛ, které mohou
tyto e-maily obsahovat. Antispamov˘ engine, kter˘ je nainstalovan na Juniper Network FW/VPN
gateway, filtruje pfiíchozí e-maily odstranûním znám˘ch spamov˘ch a phishing uÏivatelÛ, a tak funguje
jako první linie obrany. KdyÏ do sítû pfiijde znám˘ ‰kodliv˘ e-mail, je zablokován a/nebo oznaãen,
tak aby po‰tovní server mohl podniknout pfiíslu‰né kroky. Integrovan˘ antispam je k dispozici
na produktech NetScreen-HSC, NetScreen-5GT Serie, NetScreen 25/50 a na celé fiadû SSG.
Komplexní řešení s vysokou dostupností zaručují velkou provozuschopnost
Bezpečnostní systém je dobrý jen v případě, že je spolehlivý a provozuschopný. Řešení zabezpečení Juniper
Networks zahrnuje spolehlivé a vysoce dostupné systémy založené na protokolu NSRP (NetScreen Redundancy
Protocol). Firewally a VPN tunely lze vzájemně synchronizovat a v případě výpadku či selhání jednoho zařízení
nedojde ke kolapsu celé sítě. Mezi možnosti konfigurace patří:
• Aktivní/pasivní: Hlavní (master) zařízení sdílí informace
o síti, její nastavení, vlastní konfigurace a informace
o aktuální relaci se záložním zařízením, takže
v případě selhání může záložní zařízení hladce
převzít funkci.
• Aktivní/aktivní: Obě zařízení jsou aktivní,
sdílejí přibližně stejný podíl zátěže. Pokud
jedno zařízení selže, druhá jednotka
převezme řízení provozu i zabezpečení.
• Aktivní/aktivní/celá síť: Obě
zařízení jsou konfigurována tak,
aby byla aktivní, a data v síti
proudí oběma. Pokud by
některé zařízení selhalo,
druhé zařízení se stane
hlavním (master)
a pokračuje v řízení veškerého provozu.
Redundantní fyzické cesty zaručují maximální
pružnost a provozuschopnost.
Snadná integrace zařízení
Dnešní LAN/WAN sítě nejsou nikdy statické. Stále se objevují potenciálně nákladné a časově náročné
změny a doplňky. Jestliže se změní topologie sítě nebo jsou do sítě přidány nové kanceláře, obchodní
partneři nebo zákazníci, je otázka schopnosti síťových systémů spolupracovat mimořádně důležitá. Ke
zjednodušení síťové integrace a minimalizaci administrativního úsilí v případě požadovaných změn
mohou integrovaná řešení zabezpečení společnosti Juniper Networks pracovat ve třech různých
režimech:
• Transparentní režim nabízí nejsnadnější způsob zvýšení zabezpečení v síti. V transparentním
režimu mohou organizace využívat firewally/zařízen VPN společnosti Juniper Networks bez
jakýchkoliv změn v síti: firewall, VPN a funkce omezující DoS pracují bez IP adresy a zařízení
je díky tomu neviditelné pro uživatele.
• Režim směrování umožňuje bezpečnostnímu zařízení účastnit se aktivně ve směrování v síti za
podpory statických a dynamických protokolů směrování včetně BGP, OSPF, RIPv1, RIPv2 a ECMP.
Režim směrování umožňuje správcům rychle zavádět strukturované řešení zabezpečení
s minimem ruční konfigurace.
• Režim NAT automaticky překládá IP adresy nebo skupiny IP adres na jednu adresu a skrývá
soukromé adresy organizací před pohledem z vnějšku.
Integrovaná bezpečnostní zařízení Juniper Networks podporují přiřazení statických adres i dynamických
adres prostřednictvím v DHCP nebo PPPoE a umožňují provoz řešení společnosti Juniper Networks v
jakémkoliv síťovém prostředí.
6
NetScreen-Security Manager pfiiná‰í centralizované fiízení zaloÏené na zásadách
Bezpeãnostní platforma Juniper Networks NetScreen-Security Manager vyuÏívá unikátní pfiístup ke
správû zabezpeãení. Poskytuje IT oddûlením snadno pouÏitelné fie‰ení, které kontroluje v‰echny
aspekty zafiízení firewall/VPN vãetnû konfigurace zafiízení, síÈov˘ch nastavení a zásad zabezpeãení.
Na rozdíl od nûkter˘ch fie‰ení, která vyÏadují, aby správci vyuÏívali více nástrojÛ správy k fiízení jednoho systému NetScreen-Security Manager umoÏÀuje oddûlením IT fiídit zafiízení po celou dobu jeho
Ïivotnosti prostfiednictvím jediného centralizovaného ovládacího panelu. Je urãen specificky k podpofie
t˘mové práce mezi techniky, správci sítû a bezpeãnostním personálem.
Intuitivnû ovládané uÏivatelské rozhraní správce zabezpeãení NetScreen-Security Manager zefektivÀuje
konfiguraci zafiízení, vytváfiení bezpeãnostních zásad a nastavení VPN. Delegace rolí správy je snadná,
takÏe kaÏd˘, kdo má odpovídající práva, má pfiístup k informacím a kontrolám, které potfiebuje, a
souãasnû nástroje podrobného protokolování sledují provádûní jednotliv˘ch akcí. Tato vysoce efektivní
správa vede k dramatickému sníÏení provozních nákladÛ. NetScreen-Security Manager podporuje
efektivní bezpeãnostní správu organizace jako Ïádn˘ jin˘ produkt na trhu.
K rychlému zavedení s nízk˘mi náklady zasílejte zafiízení – neposílejte správce
Aby nevznikaly vysoké náklady na dopravu správcÛ, aby nakonfigurovali systémy na vzdálen˘ch
pracovi‰tích, integrovaná bezpeãnostní zafiízení Juniper Networks lze instalovat na vzdálen˘ch místech,
kde nejsou techniãtí uÏivatelé. S funkcemi NetScreen-Security Manager Rapid Deployment nepotfiebují
správci sítû pfiedem konfigurovat zafiízení ani s nimi jakkoliv manipulovat.
Na vzdáleném pracovi‰ti je tfieba nové zafiízení pouze pfiipojit kabely a naãíst mal˘ konfiguraãní soubor,
kter˘ do místa instalace za‰le správce elektronickou po‰tou nebo na CD disku. Poãáteãní konfiguraãní
soubor naváÏe zabezpeãené spojení se správcem NetScreen-Security Manager, kter˘ poté za‰le
novému zafiízení kompletní konfiguraãní soubory.
Servis a podpora, kdekoliv a kdykoliv je to tfieba
Konzultanti a odborníci úseku profesionálních sluÏeb Juniper Networks Professional Services jsou
uznáváni ve svém oboru jako zku‰ení síÈoví a bezpeãnostní specialisté. Jsou jednotnû kvalifikováni
a schopni pomáhat v hodnocení zranitelnosti sítû a plánování nápravy.
Stfiedisko zákaznické podpory Customer Support Center poskytuje odpovûdnou pomoc a softwarové
aktualizace, bezpeãnostní aktualizace a nástroje online znalostí, které zaruãují maximální spolehlivost
produktÛ Juniper Networks. Profesionální lektofii sluÏeb vzdûlávání Juniper Networks Educational
Services pomáhají zákazníkÛm udrÏet krok s rychle se rozvíjejícími technologiemi tím, Ïe jim dávají
k dispozici své odborné znalosti o provozu stabilních, bezpeãn˘ch sítí.
Juniper Networks dodává bezpeãná a ovûfiená fie‰ení zabezpeãení
Integrovan˘ firewall/zafiízení IPSec VPN spoleãnosti jsou úãelová fie‰ení zaruãující bezpeãné a zaji‰tûné
provozování sítû díky ochranû proti útokÛm na úrovni sítû a na úrovni aplikací za souãasné
maximalizace v˘konu. Tato zafiízení jsou navrÏena tak, aby uspokojila nároãného provozovatele sluÏeb
i prostfiedí v podnicích. Tato integrovaná bezpeãnostní zafiízení poskytují oãekávan˘ v˘kon ve vysoce
spolehliv˘ch, provozuschopn˘ch a bezpeãn˘ch sítích. Integrované firewally/VPN systémy spoleãnosti
Juniper Networks nabízejí nejlep‰í základ zabezpeãení moderních sítí.
Chcete-li si pofiídit integrované bezpeãnostní systémy Juniper Networks obraÈte se na zástupce nebo
autorizovaného prodejce spoleãnosti Juniper Networks .
8
Security Solution Portfolio
SÍDLO SPOLEČNOSTI
A VEDENÍ SPOLEČNOSTI
PRO SEVERNÍ A JIŽNÍ AMERIKU
Juniper Networks, Inc.
1194 North Mathilda Avenue
Sunnyvale, CA 94089 USA
Telefon: 888-JUNIPER (888-586-4737)
nebo 408-745-2000
Fax: 408-745-2100
www.juniper.net
Juniper Networks Firewall/VPN Solutions
O společnosti Juniper Networks
Společnost Juniper Networks vyvíjí speciální vysoce výkonné IP platformy, které zákazníkum umožňují
podporovat široké spektrum služeb a aplikací velkého rozsahu. Na produkty Juniper Networks
v současné době spoléhají poskytovatelé telekomunikačních služeb, velké korporace, státní úrady,
výzkumné i vzdělávací instituce, kterým poskytují portfolio ověřených sítových a bezpečnostních
řešení pro řešení vysoce složitých a rychle se měnících problémů ve světově nejnáročnějších sítích.
Další informace najdete na stránkách www.juniper.net.
POBOČKA NA VÝCHODNÍM POBŘEŽÍ
Juniper Networks, Inc.
10 Technology Park Drive
Westford, MA 01886-3146 USA
Telefon: 978-589-5800
Fax: 978-589-0800
REGIONÁLNÍ ZASTOUPENÍ
PRO ASIJSKOU A PACIFICKOU OBLAST
Juniper Networks (Hong Kong) Ltd.
Suite 2507-11, Asia Pacific Finance Tower
Citibank Plaza, 3 Garden Road
Central, Hong Kong
Telefon: 852-2332-3636
Fax: 852-2574-7803
REGIONÁLNÍ ZASTOUPENÍ PRO EVROPU,
STŘEDNÍ VÝCHOD, AFRIKU
Juniper Networks (UK) Limited
Juniper House
Guildford Road
Leatherhead Surrey, KT22 9JH, U. K.
Telefon: 44(0)-1372-385500
Fax: 44(0)-1372-385501
Copyright 2006, Juniper Networks, Inc. Všechna
práva vyhrazena
Juniper Networks a logo Juniper Networks jsou
zapsané ochranné značky společnosti Juniper
Networks, Inc., v USA a v dalších státech.
Ostatní ochranné značky, názvy služeb, zapsané
ochranné značky nebo zapsané značky služeb
uvedené v tomto dokumentu jsou vlastnictvím
jejich vlastníků. Vyhrazujeme si právo na změnu
technických údajů bez předchozího oznámení.
Společnost Juniper Networks nenese žádnou
odpovědnost za nepřesnosti uvedené v tomto
dokumentu ani nemá povinnost informace
uvedené v tomto dokumentu aktualizovat.
Společnost Juniper Networks si vyhrazuje právo
na změnu, úpravu nebo jinou revizi této
publikace bez předchozího oznámení.
150025-002 březen 2006
PRAHA
Nagano III, U nákladového nádraží 10
130 00 Praha 3
Tel.: +420 - 266 109 211
Fax: +420 - 283 840 236
www.soft-tronik.cz
OSTRAVA
Tvorkovských 5
709 00 Ostrava-Mariánské Hory
Tel.: +420 - 596 622 191
Fax: +420 - 596 622 486
www.soft-tronik.cz
BRATISLAVA
Hattalova 8
831 03 Bratislava
Tel.: +421 - 244 631 232
Fax: +421 - 244 631 233
www.soft-tronik.sk