JN_Solution Overview_31.5
Transkript
JN_Solution Overview_31.5
Řešení Juniper Networks pro podnikovou sféru Aleš Popelka [email protected] Praha, 31.5.2006 Copyright © 2005 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net Juniper Networks Zákaznické požadavky Aplikovaná řešení Přínosy aplikovaných technologií Pozice Juniper Networks Proč vybrat Juniper Služby Soft-troniku & Juniper Networks Copyright © 2005 Juniper Networks, Inc. Agenda Proprietary and Confidential www.juniper.net 2 Juniper Networks Historie & Realita • 14Q období růstu • obrat 2,1Mld. USD v 2005 • růst 54% oproti 2004 4100+ zaměstnanců v 70 zemích Implementace v 77% Enterprise z Fortune 100 Geographic Diversification APAC Americas EMEA Top 25 Service Providerů využívá řešení JN Copyright © 2005 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 3 Trendy DMZ Internal security Content protection Wi Fi www.company.com Bandwidth usage Direct Internet Split tunneling HQ Dokončení procesu migrace k IP/MPLS Optimalizace podnikových procesů Konsolidace systémů, sjednocená integrovaná správa Globalizace a centralizace IT zdrojů Zvyšování úrovně zabezpečení (uvnitř, napříč LAN/WAN) Copyright © 2005 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 4 Řešení Juniper Networks Bezpečná & Enterprise odolná IT Network infrastruktura Jednotná IP infrastruktura Virtuální podnik / dynamický perimetr Unifikované bezpečnostní systémy Otevřené prostředí, zabezpečené vůči průnikům Copyright © 2005 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 5 Systémová řešení - přehled Ochrana perimetru Firewall/IPSecVPN NetScreen Secure Access SA-SSL VPN Sercure Meeting AAA/802.1x Funk Software Odyssey Networking, Routing J-Serie/M-Serie E-Serie/T-Serie Secure Assured Aplikační Akcelerátory - Datacenter DX - WAN WX/WXC VoIP Session Border Controller Inside LAN IPS NetScreen IDP Unified Access Control Infranet Controler Copyright © 2005 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 6 Aplikovaná řešení 1. 2. 3. 4. 5. Vzdálený přístup Campusy Datová centra WAN GW Distribuované podniky Copyright © 2005 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 7 Vzdálený přístup Assessment & Containment • Native checks • Client/Server APIs • Remediation • Cache Cleaner • Virtual Environments • Connection Control 1.Endpoint Assessment & Authentication 2. Trusted Xport (IPSec or SSL) Problém Přístup k aplikacím a systémovým zdrojům dle povahy uživatele (zaměstnanci, partneři,dodavatelé; kdykoli, odkudkoli) Řízení a mngmt. (N)x1000 konc. stanic Řízení cizích zařízení (z public sítí) IP Network 3. Authorize, Enforce & Log RA or Extranet DMZ Data Center Řešení Client-less model snižuje nároky na mgmt. SSL VPN per user, per aplikace Dohled konc.bodu, karanténa, náprava Application Acceleration (AFE) zlepšuje odezvu aplikací a snižuje nároky na download U.S. Dept of Labor Copyright © 2005 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 8 SSL VPN Systémy Highlights • • • • • • • • Přístup definován na základě Profilu Virtualizace systému, load balancing HA clustering Ověřování zpřístupnění a výmaz cache po ukončení session Blokace přístupu při změně konfigurace Aplikační podpora Citrix, SAP, Java applety, VBS, Flash Přístup: 1.čistý aplikační 2. klient-server apl 3. Simulace IPSec Malware ochrana Reference největší České Aerolinie Copyright © 2005 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 9 Juniper SSL VPN Breadth of Functionality Options/upgrades: •10-25 conc. users •Core Clientless Access Options/upgrades: •25-100 conc. users •SAMNC •Secure Meeting •Advanced w/ CM •Cluster Pairs Options/upgrades: •50-1000 conc. users •SAMNC •Secure Meeting •Advanced w/ CM •Instant Virtual System •SSL Acceleration •Cluster Pairs Secure Access 4000 Options/upgrades: •100-2500 conc. users •SAMNC •Secure Meeting •Advanced w/ CM •Instant Virtual System •GBIC •SSL Acceleration •Multi-Unit Clusters Secure Access 6000 Secure Access 2000 Secure Access 700 Designed for: SMEs Secure remote access Includes: Network Connect Designed for: Medium enterprise Secure remote, intranet and extranet access Includes: Core Clientless Access Designed for: Medium to large enterprise Secure remote, intranet and extranet access Includes: Core Clientless Access Designed for: Large-global enterprise Secure remote, intranet and extranet access Includes: Core Clientless Access SSL acceleration Enterprise Size Copyright © 2005 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 10 spojení SSL & IDP/IPS Business Partner SA identifies user & takes action on user session Self-registration technology for easy configuration Signal IDP detects threat and signals SA LAN Telecommuter Korelovaná informace Koordinovaná odezva zjištění totožnosti Manuální nebo automatická odezva ověření koncového bodu záznam přístupů detailní informace o aplikacích/tocích/hrozbách Copyright © 2005 Juniper Networks, Inc. Možnosti reakce: ukončit, zakázat nebo karanténa uživ. dodatek IDP’s threat prevention Komplexní IPS/IDP Schopnost detekovat a preventivně zabránit průnikům malware detekce layer 2-7 dohled Ověřená technologie Proprietary and Confidential www.juniper.net 11 IPS/IDP základní analýza hrozeb Neznámé typy hrozeb a útoků Známé útoky, na aktualizaci se pracuje Známé útoky, ochrana vyřešena Copyright © 2005 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 12 IPS/IDP Analýza hrozeb Známé útoky ochrana vyřešena Neznámé útoky Protokolové anomálie Řešení • • • • Preventivní ochrana update max. per 24hod Analýza >600 signatur, +50 protokolů Silný R/D tým Copyright © 2005 Juniper Networks, Inc. Známé útoky ochrana dosud nevyřešena Neznámé typy útoků a hrozeb Proprietary and Confidential www.juniper.net 13 IPS/IDP Systémy Highlights • 8 detekčních metod (Stateful Signature, Protocol Anomaly, Backdoor Detection, Traffic Anomaly, IP Spoofing, DoS, L2 Detekce, Network Honeypot) • Operační módy: bridge/router/transparent/proxy • komplexní ochrana vůči spyware, malware, keylogger, trojanům • denní update databáze signatur • HA / Clustering • TOP propustnost – až 30Gb/s Reference • Státní správa, bankovní sektor, výzkumné ústavy Copyright © 2005 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 14 IDP Produkty IDP 200 IDP 50 IDP 1100 C / F IDP 600 C / F Výkon IDP 50 IDP 200 IDP 600 C/F IDP 1100 C/F Max. Throughput 50Mbps 250Mbps 500Mbps 1Gbps Max. Sessions 10.000 70.000 220.000 500.000 Deployment function Sniffer, Inline Transparent, Inline Proxy-ARP, Inline Bridge Router Reco. Methods 8 Methods, > 3000 Signatures & Anomalies, tag & Emergency Updates IDP Interfaces 2 CG with Bypass 8 CG with Bypass 600C: 10 CG with Bypass 600F: 8 Fibre with 2CG with Bypass 1100C: 10 CG with Bypass 1100F: 8 Fibre and 2CG with Bypass Mngm, HA Interfaces 1 CG Management 1 CG Management, 1 CG HA 1 CG Management, 1 CG HA 1 CG Management, 1 CG HA Copyright © 2005 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 15 Aplikovaná řešení 1. 2. 3. 4. 5. Vzdálený přístup Campusy Datová centra Distribuované podniky WAN GW Copyright © 2005 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 16 Campus Internet Campus #1 Problémy Campus #2 Ochrana vůči vnějším/vnitřním hrozbám Segmentace zdrojů, uživatelů, departmentů Poskytnout bezpečný WLAN přístup Škálování dosažitelnosti služeb Řešení Departments Copyright © 2005 Juniper Networks, Inc. Departments Department & Virtual firewally chrání systémové zdroje IPS bi-directional interní ochrana vůči hrozbám 802.1X a SSL VPN bezpečný WLAN Výkonné směrovací systémy Unified access control Infranet Controller, Agent a Enforcer Layer 2 integrace s Funk technologiemi Proprietary and Confidential www.juniper.net 17 FW/VPN Summary Juniper Networks Firewall/VPN Products NetScreen-54004 NetScreen-52004 ISG 2000 ISG 1000 NetScreen-5004 SSG-550 SSG-520 NetScreen-2084 NetScreen-2044 NetScreen-50 NetScreen-25 NetScreen-5GT NetScreen-5GT ADSL NetScreen-5GT Wireless NetScreen-5XT4 NetScreen-Hardware Security Client Max Throughput 6 XFP 10Gig (SR or LR) OR 24 Mini30 Gb FW GBIC 15 Gb AES VPN 2 XFP 10Gig (SR or LR) OR 8 Mini10 Gb FW GBIC 5 Gb AES VPN Up to 8 Mini-GBIC OR up to 28 2 Gb FW 10/100 1 Gb 3DES VPN 4 fixed CG + up to 4 Mini-GBIC, up 1 Gb FW to 8 CG, up to 20 10/100 1 Gb 3DES VPN Up to 8 10/100 OR 8 Mini-GBIC OR 700 Mb FW 4 GBIC 250 Mb 3DES VPN 4 fixed CG + 6 I/O slots supporting 1 Gb FW 1xSFP, 1xCG, 4xFE, 2xSerial, 500 Mb 3DES VPN 2xT1/E1, 1xDS3 600,000 Packets per second 4 fixed CG + 6 I/O slots supporting 500 Mb FW 1xSFP, 1xCG, 4xFE, 2xSerial, 300 Mb 3DES VPN 300,000 Packets 2xT1/E1, 1xDS3 per second 550 Mb FW 8 10/100 200 Mb 3DES VPN 400 Mb FW 4 10/100 200 Mb 3DES VPN 170 Mb FW 4 10/100 45 Mb 3DES VPN 100 Mb FW 4 10/100 20 Mb 3DES VPN 75 Mb FW 5 10/100 20 Mb 3DES VPN 75 Mb FW 5 10/100 + ADSL 20 Mb 3DES VPN 5 10/100 + 75 Mb FW 1 Wireless Radio 20 Mb 3DES VPN 70 Mb FW 5 10/100 20 Mb 3DES VPN 50 Mb FW 5 10/100 10 Mb 3DES VPN Copyright © 2005 Juniper Networks, Inc. Interfaces High Availability1 Routing A/P, A/A, F/M OSPF, BGP, RIPv1/v2 A/P, A/A, F/M OSPF, BGP, RIPv1/v2 A/P, A/A, F/M OSPF, BGP, RIPv2 A/P, A/A, F/M OSPF, BGP, RIPv2 A/P, A/A, F/M OSPF, BGP, RIPv1/v2 A/A, A/P A/P OSPF, BGP, RIPv1/v2, Frame Relay, Multilink Frame Relay, PPP, Multilink PPP, HDLC OSPF, BGP, RIPv1/v2, Frame Relay, Multilink Frame Relay, PPP, Multilink PPP, HDLC A/P, A/A, F/M OSPF, BGP, RIPv1/v2 A/P, A/A OSPF, BGP, RIPv1/v2 A/P OSPF, BGP, RIPv1/v2 H/A Lite OSPF, BGP, RIPv1/v2 Dial Backup OSPF, BGP, RIPv1/v2 Dial Backup OSPF, BGP, RIPv1/v2 Dial Backup OSPF, BGP, RIPv1/v2 Dial Backup OSPF, BGP, RIPv1/v2 No RIPv1/v2 Proprietary and Confidential www.juniper.net 18 Bezpečnostní technologie Outbound Threats Inbound Threats Spyware Site Access Phishing Site Access www.<restricted site>.com Web Filtering AV Anti Spam Viruses, file-based Trojans Spyware/Adware, Keyloggers Viruses, file-based Trojans AV Anti Spam Spam / Phishing Worms, Trojans, Exploits, IPS/DI DoS (L4 & L7), Recon, Scans Stateful Firewall Copyright © 2005 Juniper Networks, Inc. Web Filtering Worms, Trojans, P2P, Chat Spyware phone home Reverse Attacks IPS/DI Network attacks, DoS attacks Proprietary and Confidential www.juniper.net 19 Firewall/IPSec systémy Highlights dedikovaná H/W platforma, jednotný ScreenOS virtualizace: zóny/routery/systémy IPS/DI, AV, antiSpam, webFiltering HA pro firewall i VPN, funkce load balancingu dynamický routing včetně VPN tunelů jednotný bezp. EMS management všech funkcí High-end firewall: #1 Reference DHL, podniková sféra, státní správa, bankovní sektor Copyright © 2005 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 20 NetScreen Security Manager M ana ge m en t Le ve l Device Lifecycle Design, Deploy Configure Security Administration • Define security for entire network (all devices) • Define permissions • Push device specific policies out • RAS user management • Administrator management • • • • Attack log monitoring Consolidation Top attacks report Log investigation • Signature updates • Policy adjustments Network Administration • VPN Modeling • L2/L3 Specifications • Routing • • • • • VPN monitoring • Network failure recognition and response • HA Failover monitoring • VPN Model • Routing adjustment Device Technician • Remote installation • Initial configuration • Interface characteristics • Management access • Licenses • HW monitoring: interfaces, up/down, component failure, power failure • OS upgrade • Device configuration modifications VPN configuration Route tables Routing VLAN configuration Monitor, Maintain Upgrade, Adjust Security Admin Network Admin • OS Version • Role-based administrace • Neomezený počet profilů „rolí“ • Možnost kustomizace Operations Copyright © 2005 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 21 Unified Access Control Enterprise Infranet Controller (IC) AAA Servers Identity Stores Radius, LDAP, AD, OTP, PKI, SAML IC IE Enterprise Infranet Agent (IA) Copyright © 2005 Juniper Networks, Inc. Enterprise Infranet Enforcer (IE) Proprietary and Confidential www.juniper.net 22 Aplikovaná řešení 1. 2. 3. 4. 5. Vzdálený přístup Campusy Datová centra WAN GW Distribuované podniky Copyright © 2005 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 23 Datová centra Internet Problém High performance Routing Secure Access (SSL) Integrated IPS/FW/VPN WAN Optimization AFE Application Acceleration SLB Cache Web Acc SSL O/L Web Servers App Servers Data Bases Copyright © 2005 Juniper Networks, Inc. Ochrana dat, serverů, infrastruktury Omezená propustnost Komplikovaná infrastruktura, mngmnt. Terminace Nx1000 VPN spojení Řešení High performance hraniční routery s 10x propustností High performance firewall/VPN/security gateway IPS snižují nebezpečí průniků SSL pro bezpečný přístup AFE akcelerace aplikací WAN optimalizéry Proprietary and Confidential www.juniper.net 24 Akcelerace Front-End (AFE) Zlepšení dostupnosti Škálovatelnost Web acceleration Snížení doby stahování http SLB web brow we se b browrwe se b browrwe se b browrwe se b browr ser Copyright©©2003 2005 Juniper Networks, Copyright Juniper Networks, Inc. Inc. app databases servers authentication Error 404 404 Error File not not File found found SSL cache web servers HTTP protocol inspection Zjednodušená architektura Korekce chyb Znásobení kapacity serverů Proprietaryand and Confidential Proprietary Confidential www.juniper.net www.juniper.net 25 25 Problémy Datových center – řešení AFE Zlepšení odezvy aplikací Zvýšení serverové kapacity 3x-4x Úspora nákladu za servery do 80% Modifikace chování aplikací “on-the-fly,” real-time Okmžitá náprava kódu aplikace Detailní analýza všech HTTP transakcí Copyright © 2005 Juniper Networks, Inc. Zajištění rovnoměrné vytížení zdrojů cluster Škálovatelnost systému Ochrana proti DDoS L7 ochrana Ochrana datové session Proprietary and Confidential www.juniper.net 26 DX Produkty Mng. Detailní Statistiky & Reporty DX 3200/3250 DX 3600/3650 64 clusterů 5,000 SSL TPS 2x 100 Mbps porty 128 clusterů 9,000 SSL TPS 4x Gbps porty FIPS certifikace DX 3670 128 clusterů 18,000 SSL TPS 2x Gbps porty WebView DX OS – Server load balancing (SLB), komprese, TCP I/O terminace & multiplexing (server offload), SSL accelerace, network & protocol security, Active-N, AAA OverDrive – Software license pro Adaptive Content Processing Copyright © 2005 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 27 Problémy WAN Malá šířka pásma Protocol Latencechattiness TCP/IP Sdílené pásmo aplik. Dohled, analýza, report Copyright © 2005 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 28 ..a řešení - WX Framework 4 – 100x zvýšení kapacity linky Reporting Monitoring Vzdálený management Copyright © 2005 Juniper Networks, Inc. Rychlejší odezvy aplikací TCP (L4) a aplikační (L7) akcelerační techniky B/W management optimizace trasy v mptmp instalacech Proprietary and Confidential www.juniper.net 29 WX/WXC Portfolio Místní Office WXC 250 128 Kbps až 2Mbps 15 lokace Regionální pobočky WXC 500 512 Kbps až 20Mbps 60 lokací Datová Centra Netw.mngm. Visibility & Reporting WXC stack 1 Mbps až 155Mbps 500 lokací WX Central Management System (CMS) Software WX 15 64 Kbps až 1Mbps 2 lokace WX 50 256 Kbps až 20Mbps 120 lokací WX 20 64 Kbps to 2Mbps 15 lokací WX 60 512 Kbps až 20Mbps 150 lokací Copyright © 2005 Juniper Networks, Inc. WX 100 standalone 1 Mbps až 20 Mbps 320 lokací WX stack 1 Mbps až 155Mbps 2,000 lokací Proprietary and Confidential www.juniper.net 30 Aplikovaná řešení 1. 2. 3. 4. 5. Vzdálený přístup Campusy Datová centra WAN GW Distribuované podniky Copyright © 2005 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 31 WAN Gateway Požadavky IP Network DMZ VoIP DMZ Dosažitelnost aplikací, pružnost, řízení QoS Ochrana serverů, infrastruktury Širokopásmový WAN uplink Masivní počet VPN spojů popř. velké pásmo jednotlivých tunelů Řešení RA or Extranet DMZ Campus Copyright © 2005 Juniper Networks, Inc. Data Center Výkonné Enteprise routery poskytují 10x vyšší propustnost MPLS pro zvýšení QoS a traffic engineering High performance firewall/VPN, security gateway Intrusion Prevention pro zvýšení bezpečnosti SSL VPN Gateway pro bezpečný RA WAN optimalizace Proprietary and Confidential www.juniper.net 32 Řešení – integrovaná Security Gateway VPN DMZ Ave ra Partner DMZ RADIUS Svr FTP Svr SSL Svr Web Svr Lat en SSL Svr IP Network DMZ cy/ ge Pac k et S ize Jit ter Tol era n ce s& n o n ti ec ctio n n tion on nne o i C c t of e/co ca rote i l # a lu p Ap ss/p v e en r a aw Time Poskytují stálou lineární propustnost systému pro mix. velkých i malých paketů Zajištění malé latence pro provoz real-time aplikací Vysoká propustnost při zajištění vysokého počtu spojení, aplikace technolog. QoS Firewall s recon. L2-L7 IPS/IDP s preventivní ochranou Copyright © 2005 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 33 Secure Services Gateway 500 Serie účelová H/W platforma Vysoký výkon • 1 Gb/s FW/NAT • 500 Mb/s IPSec VPN • 500 Mb/s IPS I/O Options • 4 on-board 10/100/1000M porty • 6 I/O expanzní sloty • Interface • LAN: SFP, 10/100/1000, FE • WAN: Serial, T1/E1, DS3 Copyright © 2005 Juniper Networks, Inc. Best-in-Class Security & WAN Protokoly Security • FW, Deep Inspection, NAT, DoS, security zones, etc • Q3/06: Antivirus, -spam, -spyware, phishing Networking • Dynamický routing, virtuální routery, VPN, HA, VLANs WAN Enkapsulace • Leverage J-series WAN interfaces a JUNOS WAN encapsulace Proprietary and Confidential www.juniper.net 34 Aplikovaná řešení 1. 2. 3. 4. 5. Vzdálený přístup Campusy Datová centra WAN GW Distribuované podniky Copyright © 2005 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 35 Distribuované podnikové sítě Problémy NG Branch/Regional Office w Split Tunnel Retail Office (1000s) WiFi Access Internet Small Branch (1000s) w Split Tunnels IP/MPLS Network Regional Office Regional Office HQ Copyright © 2005 Juniper Networks, Inc. Back-hauled Branch Ochrana dat, serverů, infrastruktury Slabá odezva aplikací v prostředí VoIP Složitá architektura, mngmt. Ŕešení Implementace Intrusion Prevention Dedikované & multi-funkční firewally s komplexním mngmt. WAN optimalizace přenosu Resilient, secure VPN to branch offices MPLS VPN pro QoS a traffic engineering Proprietary and Confidential www.juniper.net 36 Cíl Juniper Networks Být nejlepší dodavatel komplexní zabezpečené a odolné síťové infrastruktury, která slouží k zajištění hladkého a bezpečného chodu všech provozovaných podnikových aplikací. Copyright © 2005 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 37 Pozice na trhu Market Share* 1. SSL VPN 1. High-end Firewall 2. High-end Enterprise Routing 2. WAN Akcelerace Gartner Leadership Quadrant Firewall VPN SSL Intrusion Prevention Systémy Aplikační Akcelerátory * Source: Synergy IDC and Infonetics Copyright © 2005 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 38 Proč si vybrat Juniper.. Fokus na ‘svůj’ market, účelově navržené systémy, ‘Best in Class’ technologie Vysoce výkonná, technologicky vyspělá a časem ověřená řešení Prointegrační strategie s jasnou vizí Podpora otevřených standardů Copyright © 2005 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 39 Podpora Soft-tronik & Juniper Networks Konzultace, optimalizace Asistence při návrhu řešení Certifikovaná technická podpora Soft-troniku Program školení Juniper Networks ve středisku ST Q4/06 - 1/07 Zvýhodněný program • Školství, • státní správa • výzkumné ústavy Copyright © 2005 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 40 Děkuji za pozornost Aleš Popelka BDM Juniper Networks [email protected] Copyright © 2005 Juniper Networks, Inc. Proprietary and Confidential www.juniper.net 41