JN_Solution Overview_31.5

Transkript

Řešení Juniper Networks pro
podnikovou sféru
Aleš Popelka
[email protected]
Praha, 31.5.2006
Copyright © 2005 Juniper Networks, Inc.
Proprietary and Confidential
www.juniper.net
Juniper Networks
Zákaznické požadavky
Aplikovaná řešení
Přínosy aplikovaných technologií
Pozice Juniper Networks
Proč vybrat Juniper
Služby Soft-troniku & Juniper
Networks
Agenda
www.juniper.net
2
Juniper Networks
Historie & Realita
• 14Q období růstu
• obrat 2,1Mld. USD v 2005
• růst 54% oproti 2004
4100+ zaměstnanců v 70 zemích
Implementace v 77% Enterprise z Fortune
100
Geographic
Diversification
APAC
Americas
EMEA
Top 25 Service Providerů využívá řešení JN
www.juniper.net
3
Trendy
DMZ
Internal security
Content protection
Wi Fi
www.company.com
Bandwidth usage
Direct Internet
Split tunneling
HQ
Dokončení procesu migrace k IP/MPLS
Optimalizace podnikových procesů
Konsolidace systémů, sjednocená integrovaná správa
Globalizace a centralizace IT zdrojů
Zvyšování úrovně zabezpečení (uvnitř, napříč LAN/WAN)
www.juniper.net
4
Řešení Juniper Networks
Bezpečná &
Enterprise
odolná IT
Network
infrastruktura
Jednotná IP infrastruktura
Virtuální podnik / dynamický perimetr
Unifikované bezpečnostní systémy
Otevřené prostředí, zabezpečené vůči průnikům
www.juniper.net
5
Systémová řešení - přehled
Ochrana perimetru
Firewall/IPSecVPN
NetScreen
Secure Access
SA-SSL VPN
Sercure Meeting
AAA/802.1x Funk Software
Odyssey
Networking, Routing
J-Serie/M-Serie
E-Serie/T-Serie
Secure
Assured
Aplikační
Akcelerátory
- Datacenter DX
- WAN WX/WXC
VoIP Session
Border Controller
Inside LAN IPS
NetScreen IDP
Unified Access Control
Infranet Controler
www.juniper.net
6
Aplikovaná
řešení
1.
2.
3.
4.
5.
Vzdálený přístup
Campusy
Datová centra
WAN GW
Distribuované podniky
www.juniper.net
7
Assessment & Containment
•
Native checks
•
Client/Server APIs
•
Remediation
•
Cache Cleaner
•
Virtual Environments
•
Connection Control
1.Endpoint
Assessment &
Authentication
2. Trusted Xport
(IPSec or SSL)
Problém
Přístup k aplikacím a systémovým zdrojům
dle povahy uživatele (zaměstnanci,
partneři,dodavatelé; kdykoli, odkudkoli)
Řízení a mngmt. (N)x1000 konc. stanic
Řízení cizích zařízení (z public sítí)
IP Network
3. Authorize,
Enforce & Log
RA or
Extranet
DMZ
Data
Center
Řešení
Client-less model snižuje nároky na mgmt.
SSL VPN per user, per aplikace
Dohled konc.bodu, karanténa, náprava
Application Acceleration (AFE) zlepšuje
odezvu aplikací a snižuje nároky na
download
U.S. Dept
of Labor
www.juniper.net
8
SSL VPN Systémy
Highlights
•
•
•
•
•
•
•
•
Přístup definován na základě Profilu
Virtualizace systému, load balancing
HA clustering
Ověřování zpřístupnění a výmaz cache po ukončení session
Blokace přístupu při změně konfigurace
Aplikační podpora Citrix, SAP, Java applety, VBS, Flash
Přístup: 1.čistý aplikační 2. klient-server apl 3. Simulace IPSec
Malware ochrana
Reference
největší České Aerolinie
www.juniper.net
9
Juniper SSL VPN
Breadth of Functionality
Options/upgrades:
•10-25 conc. users
•Core Clientless Access
Options/upgrades:
•SAMNC
•Secure Meeting
•Advanced w/ CM
•Cluster Pairs
Options/upgrades:
•SAMNC
•Secure Meeting
•Advanced w/ CM
•Instant Virtual System
•SSL Acceleration
•Cluster Pairs
Secure Access 4000
Options/upgrades:
•SAMNC
•Secure Meeting
•Advanced w/ CM
•Instant Virtual System
•GBIC
•SSL Acceleration
•Multi-Unit Clusters
Secure Access 6000
Secure Access 2000
Secure Access 700
Designed for:
SMEs
Secure remote access
Includes:
Network Connect
Designed for:
Medium enterprise
Secure remote, intranet
and extranet access
Includes:
Core Clientless Access
Designed for:
Medium to large
enterprise
and extranet access
Includes:
Designed for:
Large-global enterprise
and extranet access
Includes:
SSL acceleration
Enterprise Size
www.juniper.net
10
spojení SSL & IDP/IPS
Business
Partner
SA identifies
user & takes
action on user
session
Self-registration
technology for easy
configuration
Signal
IDP detects
threat and
signals SA
LAN
Telecommuter
Korelovaná informace
Koordinovaná odezva
zjištění totožnosti
Manuální nebo automatická
odezva
ověření koncového bodu
záznam přístupů
detailní informace o
aplikacích/tocích/hrozbách
Možnosti reakce:
ukončit, zakázat nebo
karanténa uživ.
dodatek IDP’s threat
prevention
Komplexní IPS/IDP
Schopnost detekovat a
preventivně zabránit
průnikům
malware detekce
layer 2-7 dohled
Ověřená technologie
www.juniper.net
11
IPS/IDP základní analýza hrozeb
Neznámé typy hrozeb a útoků
Známé útoky, na
aktualizaci se pracuje
Známé útoky,
ochrana vyřešena
www.juniper.net
12
IPS/IDP Analýza hrozeb
Známé útoky
ochrana vyřešena
Neznámé útoky
Protokolové anomálie
Řešení
•
•
•
•
Preventivní ochrana
update max. per 24hod
Analýza >600 signatur, +50 protokolů
Silný R/D tým
Známé útoky
ochrana dosud nevyřešena
Neznámé typy útoků
a hrozeb
www.juniper.net
13
IPS/IDP Systémy
Highlights
• 8 detekčních metod
(Stateful Signature, Protocol Anomaly, Backdoor Detection,
Traffic Anomaly, IP Spoofing, DoS, L2 Detekce, Network
Honeypot)
• Operační módy: bridge/router/transparent/proxy
• komplexní ochrana vůči spyware, malware, keylogger, trojanům
• denní update databáze signatur
• HA / Clustering
• TOP propustnost – až 30Gb/s
Reference
• Státní správa, bankovní sektor, výzkumné ústavy
www.juniper.net
14
IDP Produkty
IDP 200
IDP 50
IDP 1100 C / F
IDP 600 C / F
Výkon
IDP 50
IDP 200
IDP 600 C/F
IDP 1100 C/F
Max. Throughput
50Mbps
250Mbps
500Mbps
1Gbps
Max. Sessions
10.000
70.000
220.000
500.000
Deployment function
Sniffer, Inline Transparent, Inline Proxy-ARP, Inline Bridge Router
Reco. Methods
8 Methods, > 3000 Signatures & Anomalies, tag & Emergency Updates
IDP Interfaces
2 CG with
Bypass
8 CG with Bypass
600C: 10 CG with Bypass
600F: 8 Fibre with 2CG
with Bypass
1100C: 10 CG with Bypass
1100F: 8 Fibre and 2CG
with Bypass
Mngm, HA Interfaces
1 CG
Management
1 CG Management,
1 CG HA
1 CG Management,
1 CG HA
1 CG Management,
1 CG HA
www.juniper.net
15
Aplikovaná
řešení
1.
2.
3.
4.
5.
Campusy
Datová centra
WAN GW
www.juniper.net
16
Campus
Internet
Campus #1
Problémy
Campus #2
Ochrana vůči vnějším/vnitřním hrozbám
Segmentace zdrojů, uživatelů,
departmentů
Poskytnout bezpečný WLAN přístup
Škálování dosažitelnosti služeb
Řešení
Departments
Departments
Department & Virtual firewally chrání
systémové zdroje
IPS bi-directional interní ochrana vůči
hrozbám
802.1X a SSL VPN bezpečný WLAN
Výkonné směrovací systémy
Unified access control

Infranet Controller, Agent a Enforcer

Layer 2 integrace s Funk technologiemi
www.juniper.net
17
FW/VPN Summary
Juniper Networks Firewall/VPN
Products
NetScreen-54004
NetScreen-52004
ISG 2000
ISG 1000
NetScreen-5004
SSG-550
SSG-520
NetScreen-2084
NetScreen-2044
NetScreen-50
NetScreen-25
NetScreen-5GT
NetScreen-5GT ADSL
NetScreen-5GT Wireless
NetScreen-5XT4
NetScreen-Hardware Security
Client
Max
Throughput
6 XFP 10Gig (SR or LR) OR 24 Mini30 Gb FW
GBIC
15 Gb AES VPN
2 XFP 10Gig (SR or LR) OR 8 Mini10 Gb FW
GBIC
5 Gb AES VPN
Up to 8 Mini-GBIC OR up to 28
2 Gb FW
10/100
1 Gb 3DES VPN
4 fixed CG + up to 4 Mini-GBIC, up
1 Gb FW
to 8 CG, up to 20 10/100
1 Gb 3DES VPN
Up to 8 10/100 OR 8 Mini-GBIC OR
700 Mb FW
4 GBIC
250 Mb 3DES VPN
4 fixed CG + 6 I/O slots supporting
1 Gb FW
1xSFP, 1xCG, 4xFE, 2xSerial,
500 Mb 3DES VPN
2xT1/E1, 1xDS3
600,000 Packets per second
4 fixed CG + 6 I/O slots supporting
500 Mb FW
1xSFP, 1xCG, 4xFE, 2xSerial,
300 Mb 3DES VPN 300,000 Packets
2xT1/E1, 1xDS3
per second
550 Mb FW
8 10/100
200 Mb 3DES VPN
400 Mb FW
4 10/100
200 Mb 3DES VPN
170 Mb FW
4 10/100
45 Mb 3DES VPN
100 Mb FW
4 10/100
20 Mb 3DES VPN
75 Mb FW
5 10/100
20 Mb 3DES VPN
75 Mb FW
5 10/100 + ADSL
20 Mb 3DES VPN
5 10/100 +
75 Mb FW
1 Wireless Radio
20 Mb 3DES VPN
70 Mb FW
5 10/100
20 Mb 3DES VPN
50 Mb FW
5 10/100
10 Mb 3DES VPN
Interfaces
High Availability1
Routing
A/P, A/A, F/M
OSPF, BGP, RIPv1/v2
A/P, A/A, F/M
OSPF, BGP, RIPv1/v2
A/P, A/A, F/M
OSPF, BGP, RIPv2
A/P, A/A, F/M
OSPF, BGP, RIPv2
A/P, A/A, F/M
OSPF, BGP, RIPv1/v2
A/A, A/P
A/P
OSPF, BGP, RIPv1/v2, Frame
Relay, Multilink Frame Relay, PPP,
Multilink PPP, HDLC
OSPF, BGP, RIPv1/v2, Frame
Relay, Multilink Frame Relay, PPP,
Multilink PPP, HDLC
A/P, A/A, F/M
OSPF, BGP, RIPv1/v2
A/P, A/A
OSPF, BGP, RIPv1/v2
A/P
OSPF, BGP, RIPv1/v2
H/A Lite
OSPF, BGP, RIPv1/v2
Dial Backup
OSPF, BGP, RIPv1/v2
Dial Backup
OSPF, BGP, RIPv1/v2
Dial Backup
OSPF, BGP, RIPv1/v2
Dial Backup
OSPF, BGP, RIPv1/v2
No
RIPv1/v2
www.juniper.net
18
Bezpečnostní technologie
Outbound Threats
Inbound Threats
Spyware Site Access
Phishing Site Access
www.<restricted site>.com
Web
Filtering
AV
Anti
Spam
Viruses, file-based Trojans
Spyware/Adware, Keyloggers
Viruses, file-based Trojans
AV
Anti
Spam
Spam / Phishing
Worms, Trojans, Exploits,
IPS/DI DoS (L4 & L7), Recon, Scans
Stateful Firewall
Web
Filtering
Worms, Trojans, P2P, Chat
Spyware phone home
Reverse Attacks
IPS/DI
Network attacks, DoS attacks
www.juniper.net
19
Firewall/IPSec systémy
Highlights
dedikovaná H/W platforma, jednotný ScreenOS
virtualizace: zóny/routery/systémy
IPS/DI, AV, antiSpam, webFiltering
HA pro firewall i VPN, funkce load balancingu
dynamický routing včetně VPN tunelů
jednotný bezp. EMS management všech funkcí
High-end firewall: #1
Reference
DHL, podniková sféra, státní správa, bankovní sektor
www.juniper.net
20
NetScreen Security Manager
M ana ge m en t Le ve l
Device Lifecycle
Design, Deploy
Configure
Security
Administration
• Define security
for entire network
(all devices)
• Define
permissions
• Push device specific
policies out
• RAS user management
• Administrator
management
•
•
•
•
Attack log monitoring
Consolidation
Top attacks report
Log investigation
• Signature
updates
• Policy
adjustments
Network
Administration
• VPN Modeling
• L2/L3
Specifications
• Routing
•
•
•
•
• VPN monitoring
• Network failure
recognition and
response
• HA Failover monitoring
• VPN Model
• Routing
adjustment
Device
Technician
• Remote
installation
• Initial
configuration
• Interface
characteristics
• Management access
• Licenses
• HW monitoring:
interfaces, up/down,
component failure,
power failure
• OS upgrade
• Device
configuration
modifications
VPN configuration
Route tables
Routing
VLAN configuration
Monitor, Maintain
Upgrade, Adjust
Security
Admin
Network
Admin
• OS Version
• Role-based administrace
• Neomezený počet profilů „rolí“
• Možnost kustomizace
Operations
www.juniper.net
21
Unified Access Control
Enterprise Infranet
Controller (IC)
AAA Servers
Identity Stores
Radius, LDAP, AD,
OTP, PKI, SAML
IC
IE
Enterprise
Infranet
Agent (IA)
Enterprise Infranet
Enforcer (IE)
www.juniper.net
22
Aplikovaná
řešení
1.
2.
3.
4.
5.
Campusy
Datová centra
WAN GW
www.juniper.net
23
Datová centra
Internet
Problém
High performance
Routing
Secure Access (SSL)
Integrated
IPS/FW/VPN
WAN Optimization
AFE Application
Acceleration
SLB
Cache
Web
Acc
SSL
O/L
Web Servers
App Servers
Data Bases
Ochrana dat, serverů, infrastruktury
Omezená propustnost
Komplikovaná infrastruktura, mngmnt.
Terminace Nx1000 VPN spojení
Řešení
High performance hraniční routery s 10x
propustností
High performance firewall/VPN/security
gateway
IPS snižují nebezpečí průniků
SSL pro bezpečný přístup
AFE akcelerace aplikací
WAN optimalizéry
www.juniper.net
24
Akcelerace Front-End (AFE)
Zlepšení dostupnosti
Škálovatelnost
Web
acceleration
Snížení doby stahování http
SLB
web
brow we
se b
browrwe
se b
browrwe
se b
browrwe
se b
browr
ser
Copyright©©2003
2005
Juniper
Networks,
Copyright
Juniper
Networks,
Inc. Inc.
app
databases
servers
authentication
Error 404
404
Error
File not
not
File
found
found
SSL
cache
web
servers
HTTP protocol
inspection
Zjednodušená architektura
Korekce chyb
Znásobení kapacity serverů
Proprietaryand
and
Confidential
Proprietary
Confidential
www.juniper.net
www.juniper.net
25
25
Problémy Datových center – řešení AFE
Zlepšení odezvy aplikací
Zvýšení serverové
kapacity 3x-4x
Úspora nákladu
za servery do 80%
Modifikace chování
aplikací “on-the-fly,”
real-time
Okmžitá náprava kódu
aplikace
Detailní analýza všech
HTTP transakcí
Zajištění
rovnoměrné vytížení
zdrojů
cluster
Škálovatelnost
systému
Ochrana proti DDoS
L7 ochrana
Ochrana datové
session
www.juniper.net
26
DX Produkty
Mng.
Detailní
Statistiky &
Reporty
DX 3200/3250
DX 3600/3650
64 clusterů
5,000 SSL TPS
2x 100 Mbps porty

128 clusterů
9,000 SSL TPS
4x Gbps porty
FIPS certifikace
DX 3670
128 clusterů
18,000 SSL TPS
2x Gbps porty
WebView
DX OS – Server load balancing (SLB), komprese, TCP I/O
terminace & multiplexing (server offload), SSL accelerace,
network & protocol security, Active-N, AAA
OverDrive – Software license pro Adaptive Content Processing
www.juniper.net
27
Problémy WAN
Malá šířka pásma
Protocol
Latencechattiness
TCP/IP
Sdílené pásmo aplik.
Dohled, analýza, report
www.juniper.net
28
..a řešení - WX Framework
4 – 100x
zvýšení kapacity
linky
Reporting
Monitoring
Vzdálený management
Rychlejší odezvy
aplikací
TCP (L4) a
aplikační (L7)
akcelerační techniky
B/W management
optimizace trasy
v mptmp instalacech
www.juniper.net
29
WX/WXC Portfolio
Místní Office
WXC 250
128 Kbps až 2Mbps
15 lokace
Regionální pobočky
WXC 500
512 Kbps až 20Mbps
60 lokací
Datová Centra
Netw.mngm.
Visibility &
Reporting
WXC stack
1 Mbps až 155Mbps
500 lokací
WX Central
Management
System (CMS)
Software
WX 15
64 Kbps až 1Mbps
2 lokace
WX 50
256 Kbps až 20Mbps
120 lokací
WX 20
64 Kbps to 2Mbps
15 lokací
WX 60
512 Kbps až 20Mbps
150 lokací
WX 100 standalone
1 Mbps až 20 Mbps
320 lokací
WX stack
1 Mbps až 155Mbps
2,000 lokací
www.juniper.net
30
Aplikovaná
řešení
1.
2.
3.
4.
5.
Campusy
Datová centra
WAN GW
www.juniper.net
31
WAN Gateway
Požadavky
IP Network
DMZ
VoIP
DMZ
Dosažitelnost aplikací, pružnost, řízení QoS
Ochrana serverů, infrastruktury
Širokopásmový WAN uplink
Masivní počet VPN spojů popř. velké pásmo
jednotlivých tunelů
Řešení
RA or
Extranet DMZ
Campus
Data
Center
Výkonné Enteprise routery
poskytují 10x vyšší propustnost
MPLS pro zvýšení QoS a traffic engineering
High performance firewall/VPN, security
gateway
Intrusion Prevention pro zvýšení bezpečnosti
SSL VPN Gateway pro bezpečný RA
WAN optimalizace
www.juniper.net
32
Řešení – integrovaná Security Gateway
VPN DMZ
Ave
ra
Partner DMZ
RADIUS
Svr
FTP
Svr
SSL
Svr
Web
Svr
Lat
en
SSL
Svr
IP Network
DMZ
cy/
ge
Pac
k
et S
ize
Jit
ter
Tol
era
n ce
s&
n
o
n
ti
ec ctio
n
n tion
on nne
o
i
C
c
t
of e/co
ca rote
i
l
# a lu
p
Ap ss/p
v
e
en
r
a
aw
Time
Poskytují stálou lineární propustnost systému pro mix. velkých i malých paketů
Zajištění malé latence pro provoz real-time aplikací
Vysoká propustnost při zajištění vysokého počtu spojení, aplikace technolog. QoS
Firewall s recon. L2-L7 IPS/IDP s preventivní ochranou
www.juniper.net
33
Secure Services Gateway
500 Serie
účelová H/W platforma
Vysoký výkon
• 1 Gb/s FW/NAT
• 500 Mb/s IPSec VPN
• 500 Mb/s IPS
I/O Options
• 4 on-board 10/100/1000M porty
• 6 I/O expanzní sloty
• Interface
• LAN: SFP, 10/100/1000, FE
• WAN: Serial, T1/E1, DS3
Best-in-Class Security & WAN Protokoly
Security
• FW, Deep Inspection, NAT, DoS, security
zones, etc
• Q3/06: Antivirus, -spam, -spyware, phishing
Networking
• Dynamický routing, virtuální routery, VPN,
HA, VLANs
WAN Enkapsulace
• Leverage J-series WAN interfaces a
JUNOS WAN encapsulace
www.juniper.net
34
Aplikovaná
řešení
1.
2.
3.
4.
5.
Campusy
Datová centra
WAN GW
www.juniper.net
35
Distribuované podnikové sítě
Problémy
NG Branch/Regional
Office w Split Tunnel
Retail Office
(1000s) WiFi Access
Internet
Small Branch
(1000s) w Split
Tunnels
IP/MPLS
Network
Regional
Office
Regional
Office
HQ
Back-hauled
Branch
Ochrana dat, serverů, infrastruktury
Slabá odezva aplikací v prostředí
VoIP
Složitá architektura, mngmt.
Ŕešení
Implementace Intrusion Prevention
Dedikované & multi-funkční firewally
s komplexním mngmt.
WAN optimalizace přenosu
Resilient, secure VPN to branch
offices
MPLS VPN pro QoS a traffic
engineering
www.juniper.net
36
Cíl Juniper Networks
Být nejlepší dodavatel komplexní zabezpečené a odolné síťové
infrastruktury, která slouží k zajištění hladkého a
bezpečného chodu všech provozovaných podnikových aplikací.
www.juniper.net
37
Pozice na trhu
Market Share*
1. SSL VPN
1. High-end Firewall
2. High-end Enterprise Routing
2. WAN Akcelerace
Gartner Leadership Quadrant
Firewall VPN
SSL
Intrusion Prevention Systémy
Aplikační Akcelerátory
* Source: Synergy IDC and Infonetics
www.juniper.net
38
Proč si vybrat Juniper..
Fokus na ‘svůj’ market, účelově navržené
systémy, ‘Best in Class’ technologie
Vysoce výkonná, technologicky vyspělá
a časem ověřená řešení
Prointegrační strategie s jasnou vizí
Podpora otevřených standardů
www.juniper.net
39
Podpora Soft-tronik & Juniper Networks
Konzultace, optimalizace
Asistence při návrhu řešení
Certifikovaná technická podpora
Soft-troniku
Program školení Juniper Networks
ve středisku ST Q4/06 - 1/07
Zvýhodněný program
• Školství,
• státní správa
• výzkumné ústavy
www.juniper.net
40
Děkuji za pozornost
Aleš Popelka
BDM Juniper Networks
[email protected]
www.juniper.net
41

JN_Solution Overview_31.5

Transkript

Podobné dokumenty

Juniper Networks Security

mediazione mediace mediation - Ordine dei Dottori Commercialisti e