Решения по безопасности Juniper

РЕШЕНИЯ ПО БЕЗОПАСНОСТИ
JUNIPER
Kosinov Dmitry
dkosinov@juniper.net
13/11/2012

JUNIPER NETWORKS ПРЕДЛАГАЕТ РЕШЕНИЯ ПО
БЕЗОПАСНОСТИ В СЛЕДУЮЩИХ ОБЛАСТЯХ
По типу использования:

 Защита корпоративной сети

 Защита ресурсов ЦОД

 Защита хостинг сервисов

 Защита сервиc провайдеров /MSSP

По функционалу использования:

1. Защиты периметра сети -межсетевые экраны cерии SRX

2. Защита виртуальных сред- vGW/vSRX(FireFly)

3. Защита веб-серверов –программное обеспечение Mykonos Web Security

4. Контроль доступа к сети и контроллеры удаленного доступа- MAG/IC серия

5. Управление компонентами и устройствами безопасности -Junos Space

6. Мониторинг событий безопасности -STRM серия

7. Защита сервисов от атак –устройства cерии IDP

8. Защита мобильных устройств –Junos Pulse Mobile Security
2 Copyright © 2012 Juniper Networks, Inc. www.juniper.net

JUNIPER ЯВЛЯЕТСЯ ОДНИМ ИЗ НЕМНОГИХ ВЕНДОРОВ
ПРЕДЛАГАЮЩИЙ END-TO-END РЕШЕНИЯ ДЛЯ СЕТЕЙ ПЕРЕДАЧИ
ДАННЫХ ЛЮБЫХ РАЗМЕРОВ

Преимущества использования продуктов Juniper

Надежность операционной системы JunOS

Производительность устройств Juniper

Единая система управления

Возможность интеграции с решениями других
вендоров
Постоянное развитие и совершенствование
платформы JunOS


МЕЖСЕТЕВЫЕ ЭКРАНЫ.
JUNIPER SRX


Эволюция межсетевого экрана

Устройство с контролем Межсетевой экран
Пакетный фильтр
состояния сессии следующего поколения


GARTNER MAGIC QUADRANT FIREWALL


Портфель продуктов BRANCH SRX
Масштабирование платформ от 1G до 10G
ПО Junos для Безопасности, Маршрутизации и Коммутации
+ Больше LAN слотов, Двойной
ИП, + Горячая замена
SRX650

+ 4 WAN слота,
16 x GigE, PoE

+ 2 WAN слота, SRX240
8 x GigE, PoE Новое
SRX220
WAN слота,
2 x GigE, PoE
Новое SRX210 SRX550
2mPIM+6GPIM WAN слотов,
SRX110 10 x GigE, PoE, Двойной ИП

SRX100

Малый – Средний Крупный/
Малый Офис офис Региональный офис

SRX РАСШИРЕННЫЕ ФУНКЦИИ БЕЗОПАСНОСТИ

ИНТЕРНЕТ
Внешние Внутренние
угрозы угрозы

IDP определение/блокирование Червей,
IPS Троянов, DoS (L4 & L7), Сканирований

Видимость на уровне приложений и классификация
AppSecure Политики на уровне приложений до
пользовательских ролей
Блокирование доступа к запрещенным сайтам
Расширенная Web фильтрация Оценка каждого URL в реальном масштабе
времени
Блокирование вирусов, троянов на базе
Антивирус файлов или шпионского ПО, вредоносное ПО и
Кей логгеры

Антиспам Блокирование спама/ Фишинга

SRX Серия блокирует передачу файлов
Фильтрация контента для обеспечения предотвращения утечки
данных

Основная безопасность Firewall, VPN, Единый контроль доступа


ПРОИЗВОДИТЕЛЬНОСТЬ BRANCH SRX
FEATURES SRX100 SRX210E SRX220 SRX240 SRX550 SRX650
(110)
2 x GE + 6 x
On-board Ethernet 8 x FE 8 x GE 16 x GE 6 x GE + 4 x SFP 4 x GE
FE
Memory/Flash 1 GB / 1 GB 1 GB / 1 GB 1 GB / 1 GB 1 GB* / 1 GB 2 GB* / 2 GB 2 GB / 2 GB
Power over Ethernet (802.3af, 4 ports, 8 ports GE, 16 ports GE, 40 Port GE, 250 48 ports GE,
802.3at)
None
50 W total 120 W 150 W W or 500 W 250 W or 500 W
2 x mini PIM + 4
WAN slots None (1) 1 x mini PIM 2 x mini PIM 4 x mini PIM 8 x GPIM
x GPIM
USB ports (flash) 1 (2) 2 2 2 2 2 per processor
JUNOS Software version
support
JUNOS 11.1* JUNOS 11.1* JUNOS 11.1* JUNOS 11.1* JUNOS 12.1 JUNOS 11.1*

Routing YES YES YES YES YES YES
Content Security Acceleration
(IPS, ExpressAV)
No YES YES YES YES YES

Firewall performance (Large
Packets)
700 Mbps 850 Mbps 950 Mbps 1.8 Gbps 5.5 Gbps 7.0 Gbps

Firewall performance (IMIX) 200 Mbps 250 Mbps 300 Mbps 600 Mbps 1.7 Gbps 2.5 Gbps
Firewall performance (Firewall
+ Routing PPS 64byte)
70 Kpps 95 Kpps 125 Kpps 200 Kpps 700 Kpps 850 Kpps

IPSec VPN throughput 65 Mbps 85 Mbps 100 Mbps 300 Mbps 1.0 Gbps 1.5 Gbps
Intrusion Prevention System 60Mbps 85 Mbps 100 Mbps 230 Mbps 800 Mbps 1 Gbps
Connections Per Second (CPS) 2K 2.2K 3K 9K 27K 35K
Maximum Concurrent Sessions
(512MB/1GB RAM)
16 K / 32K 32K / 64K 96K 64K / 128K 375K 512 K

Antivirus 25 Mbps 30 Mbps 35 Mbps 85 Mbps 300 Mbps 350 Mbps

9 Copyright © 2012 Juniper Networks, Inc. www.juniper.net A/A or A/P, A/A or A/P,
High Availability A/A or A/P A/A or A/P A/A or A/P A/A or A/P Hot swap GPIMs,
Hot swap GPIMs,
Dual power
Dual power

НОВЫЙ ПОДХОД К ВОПРОСАМ БЕЗОПАСНОСТИ
THE DYNAMIC SERVICES ARCHITECTURE –SRX HIGH-END SERIES
 Масштабируемость –
производительность, ёмкость,
количество услуг
– Самый быстрый в мире firewall

SRX Services Gateways
Кросс-бар фабрика Надежность carrier-
 Дополнительные класса
фабрики в шасси
Разделение функций
 Масштабируемость
коммутации и управления
 Виртуальные очереди
 Преимущества единой Резервирование всего
 Высочайшая
ОС с единым релизом Надежная ОС
производительность


ЛИНЕЙКА ПРОДУКТОВ SRX3000
Dynamic Services Architecture™
 Функциональность: FW, IPS, NAT, IPSec
VPN, DDoS, QoS and routing
 Любой сервис для любого трафика
 Разделение control and data planes
 Универсальное устройство
Двустороннее модульное шасси
 Модульная архитектура
 SRX3600 – 12 модулей
 Доступны GbE и 10GbE интерфейсы
Описание модуля Порты Тип
 SPC позволяют линейно наращивать
производительность 16-port 10/100/1000 TX 72 or 104 RJ-45
Под управлением JunOS 16-port GbE 68 or 100 SFP
 Многопоточность 2-port 10GbE 8 or 12 XFP
 Модульность SRX3400 – 4
Service Processing Cards
 JunOS Script SRX3600 – 7


ЛИНЕЙКА ПРОДУКТОВ SRX5000
Самый быстрый в мире Firewall
Dynamic Services Architecture™
 Функциональность: FW, IPS, NAT,
IPSec VPN, DDoS, QoS, and routing
 Любой сервис для любого трафика
 Разделение control and data planes
 Универсальное устройство
Модульное шасси
 Доступны GbE и 10GbE интерфейсы Описание модуля Порты Тип
 SPC позволяют линейно наращивать
производительность 40-port GbE 200 or 440 SFP
Под управлением JunOS 4-port 10GbE 20 or 44 SFP
 Многопоточность 16-port GbE FlexIOC 160 or 352 SFP/RJ45
 Модульность
4-port 10GbE FlexIOC 40 or 88 SFP
 JunOS Script
5 – SRX5600
Max SPCs
11 – SRX5800

ПРОДУКТЫ JUNIPER ДЛЯ ИБ В ЦОД
SRX5800
SRX – Новая платформа 16U, 12 slot, 2RE*, 2+1 SCB,
2+2 AC, 3+1 DC, 120/30/30G,
 Наращиваемая мощность 10M sess, 350kcps
 Широкий функционал
• Firewall
• VPN
• IPS 8U, 6 slot, 2RE*, 1+1 SCB,
SRX5600
2+2 PS, 60/15/15G,
Firewall performance
• Маршрутизация 9M sess, 350kcps (max)
• QoS 150 Gbps
• AppSecure IPS performance(NSS
4.2.1)
• Дополнительные возможности SRX3600 30 Gbps
• Режимы Routed/Transparent 5U, 6+6 CFM, 8+4 GE, 2RE*,
 Высокая степень интеграции 2+2 PS, 30/10/10G, 2M sess,
175kcps
SRX3400
3U, 4+3 CFM, 8+4 GE, 2RE*,
1+1 PS, 20/8/8G, 2M sess,
SRX1400 175kcps

3U, 3 CFM, 12GE or 3XGE+9GE , 1+1
PS, 10/2/2G, .5M sess [at FRS],
45kcps


ИНТЕЛЛЕКТУАЛЬНАЯ БЕЗОПАСНОСТЬ
ПРЕДСТАВЛЯЕМ APPSECURE

AppSecure – это набор сервисов для работы с приложениями,
созданный для развертывания интеллектуальной безопасности
 Решение основывается на существующих интегрированный сервисах
SRX, позволяя создавать более точные политики безопасности
 Использует комплексное исследование приложений


НОВЫЕ МОДУЛИ SRX5K NG-SPC


ФУНКЦИОНАЛ UTM НА HIGH-END SRX

-URL фильтрация HTTP трафика

-Защита трафика HTTP/FTP/SMTP/
IMAP/POP3 от вредоносного содержимого


ВСТРОЕННАЯ ИНТЕГРАЦИЯ С ACTIVE DIRECTORY
Переход на решение с прямой аутентификацией с Active Directory


ЗАЩИТА ВИРТУАЛЬНЫХ СРЕД .
РЕШЕНИЯ VGW/ JUNOSV FIREFLY(VSRX)


ТЕКУЩИЕ ПРОБЛЕМЫ БЕЗОПАСНОСТИ
ВИРТУАЛЬНЫХ СРЕД

-Отсутствие инструментов контроля за взаимодействием
между вирутальными машинами
-Отсутствие механизмов контроля и мониторинга трафика
виртуальных ресурсов
-Отсутствие механизмов безопасности (AV/IDS) для
использования в виртуальных средах


ВИДЕНИЕ JUNIPER НА БЕЗОПАСНОСТЬ
ВИРТУАЛЬНОЙ ИНФРАСТРУКТУРЫ
Много проблем один ответ- интегрированные решения vGW/vSRX

Juniper vGW

Inter-VM Security
Security vGW VSG vShield App Fortigate VM*
Gateway-VE

Security
Edge ASA 1000v Fortigate VM
Security vSRX CSR 1000v
vShield Edge Gateway-VE


VGW И SRX
АРХИТЕКТУРА
Провайдеры Облачных Сервисов сегментируют пользователей с использованием vSRX и
обеспечивают Inter-VM защиту с использованием vGW
vGW (Inter-VM Security)


АРХИТЕКТУРА VGW
 Трехкомпонентная модель
 Сертифицировано VMware
 Защищает каждую VM и 1
гипервизор vCenter Security 2
Design
vGW VM
 Отказоустойчивая архитектура
VM1 VM2 VM3

ESX or ESXi Host
 1. Security Design (SD) vGW - Взаимодействующие
сервера
виртуальная машина управления (IDS, SIM,
Syslog, Netflow)
3
 2. Security VM (SVM) – Пакеты
vGW модуль

устанавливается на каждый ESXi- данных

Ядро VMware
хост
VMWARE API’s

Любой vSwitch
(Standard, DVS, 3rd Party)
 3. Модуль ядра гипервизора

ГИПЕРВИЗОР


VGW – СПЕЦИАЛИЗИРОВАННОЕ РЕШЕНИЕ
Межсетевой экран работает на уровне ядра гипервизора
Преимущества: Обеспечивается наиболее эффективный механизм
проверки трафика
 Отдельный обработчик МСЭ для каждой VM
 Изолированная таблица соединений для каждой VM
 Правила и политики переезжают в месте с VM в ходе vMotion
 Нет единой точки отказа и узкого места – аппаратного МСЭ

Антивирус и IDS интегрированы в Security VM каждого хоста
Преимущества: Улучшение масштабируемости
 Не нужно обновлять сигнатуры на каждой VM
 Уменьшается нагрузка на физическую сеть
 Уменьшается нагрузка на CPU хоста
 Проверка VM во время их бездействия


МОДУЛИ VGW
Общий МСЭ Антивирус Соответствие
Суммарная Управление Антивирусная Готовые и
настраиваемые
информация по политиками МСЭ и защита для VM
правила проверки
угрозам (включая журналами VM заданным
VM на карантине) политикам

Сеть IDS Анализ Отчеты
Отображение Сообщения IDS и Обзор приложений Автоматизирован
потоков данных детальная VM (гостевая OS, ные отчеты по
между VM информация об приложения, патчи всем модулям
атаках и т.д.)


VGW – СЕТЕВАЯ СТАТИСТИКА
Информация обо всех потоках данных VM сохраняется в базе данных и
доступна для анализа
Преимущества:
 Анализ всех коммуникаций VM
 Анализ соответствия архитектуры политике безопасности
 Детальные данные по каждой VM
Вкладка
Connections
отображает
потоки данных

Отображаемый
Область интервал
навигации и времени
выбора VM


VGW – МЕЖСЕТЕВОЙ ЭКРАН
Защита всего трафика между VM
Преимущества: NEW!

 Гибкие трехуровневые политики безопасности: Глобальная, Групповая, на уровне VM/vNIC
 Политики могут назначаться автоматически на основе свойств VM (Smart Groups)
 Помещение VM в карантин в случае нарушения политики
 Таблица соединений и правил сохраняется в ходе vMotion

NEW!
Настройка
политики
карантина для
Антивируса,
модуля
Соответствия и
др.


VGW – IDS
Внутренний анализ на наличие атак, а также возможность
отправлять интересующий трафик на внешний IPS
Фильтры позволяют
задать какой трафик
будет проверяться IDS

Сообщения по
источникам и
направлениям

Получение Изменение
детальной периода
информации по времени
каждому позволяют
триггеру проводить
сигнала исторический
тревоги анализ


NEW!

VGW – АНТИВИРУС

Антивирусная защита VM в реальном времени (On-Access)
или периодически (On-Demand)
Антивирусная проверка по графику без программных агентов
 Прямой доступ к виртуальному диску
 Сканирование производится из защищенной области

Защита в реальном времени посредством агентов vGW Endpoint
 «Легкий» агент позволяет проверять все операции ввода/вывода через Security VM для
подтверждения или карантина
 Актуальная версия vGW Endpoint поддерживается автоматически

Архитектура vGW Endpoint имеет два существенных отличия от обычных агентов
 Нет нагрузки на RAM и HDD
 Сигнатуры хранятся в Security VM, а не в каждой VM


VGW И MICROSOFT HYPER-V

Интеграция с Hyper-V

-Трехуровневая
модель
-Интеграция с SCVMM
-Поддержка Live
Migration


VSRX АРХИТЕКТУРА
Сервис провайдеры предлагают vSRX как услугу для сегментирования ресурсов различных
заказчиков не используя для этого специализированные аппаратные платформы
vSRX (Edge Security)


ФУНКЦИОНАЛ VSRX
Безопасность и Маршрутизация на
одной программной платформе
Junos Routing Protocols and SDK
 Junos как виртуальное
устройство Junos Rich & Extensible Security Stack
Perimeter Content
 Используется х86 архитектура Application

Firewall Anti-Virus
Полный набор функций Application
безопасности и маршрутизации Awareness
IPS
VPN
 Используется проверенная Full IDP Feature Set

платформа SRX
NAT Web Filtering
Оптимизированная Identity
производительность Network Admission Awareness
Control Anti-Spam
 SMP ядро

Поддерживает функциональность CLI, JWeb, SNMP, JSpace- SD, Hypervisor Mgmt, HA/FT
Hypervisor VM
 Пример: vMotion, снимки,
HA/FT, клонирование,
Управление.

УПРАВЛЕНИЕ VSRX

Управление Virtual Systems Manager
устройством vSRX

 Приложение для Junos Space Platform
 Точка формирования политики vGW и vSRX
устройств
 Поддержка для популярных облачных
инструментов управления
 Junos Space – Security Design
 vCenter, RHEV-M, SCVMM, ServerCenter
 CLI + Junos Scripts
 vCloud Director, CloudStack, OpenStack
 JWeb
 SNMP
 Функционал (Life Cycle Management):
 STRM (Logging and Reporting),
Syslog, Traceroute  Provisioning
 Security Insight  Bootstrapping
 Junos LMS  Troubleshooting/Debug
 Policy Manager APIs  Log management


VSRX ПРИМЕР ИСПОЛЬЗОВАНИЯ
ПРЕДОСТАВЛЕНИЯ СЕРВИСА ПО ПОДПИСКЕ
Заказчик Сервис провайдер

Цель Предложить облачную услугу для среднего и малого бизнеса.

Быстрый ввод новых сервисов
Требование Гибкая масштабируемость

Установка vSRX на архитектуре х86. Каждый из подписчиков услуги
Решение получает свое виртульное устройство с полным функционалом

Virtualized Environment
Заказчик А

Заказчик B Internet

Управляемая
услуга
Заказчиик C
безопасности

КОНТРОЛЬ ДОСТУПА К СЕТИ И
КОНТРОЛЛЕРЫ УДАЛЕННОГО ДОСТУПА.
IC/MAG СЕРИЯ


IC CЕРИЯ

-Аутентификация пользователей
-Централизованные политики контроля
сетевого доступа
-Гостевой доступ
-Взаимодействия с внешними каталогами
пользователей


MAG SERIES – УСТОЙСТВА ДЛЯ СЕТЕЙ ЛЮБЫХ
МАСШТАБОВ
 1 RU
 Поддерживает до100 SSL VPN or 250 UAC
Фиксированная

MAG2600
конфигурация
Один сервис,


 1U high ½-width (may be deployed side-by-side
MAG4610 in 1U rack space)
 Поддерживает до 1000 SSL VPN or 5000 UAC

 1U, ½-width (may be deployed side-by-side
MAG4611 in 1U rack space)
 Поддерживает до 250 application acceleration

MAG6610
 Поддерживает до 20,000 SSL VPN, 30,000 UAC, или
2,000 application acceleration пользователей
сервисов,модульная

 Опциональные модули
MAG6611
конфигурация
Несколько

 Поддерживает до 40,000 SSL VPN, 60,000 UAC, or
4,000 application acceleration пользователей
 Опциональные модули

MAG8600

 Поддерживает до 40,000 SSL VPN, 60,000 UAC
 10Gb интерфейсы
 L4 Server Load Balancer


JUNIPER NETWORKS
ACCESS CONTROL
Сервер Политик

1
Аутентификация MAG Хранилище
пользователя, series/Infranet идентификационных
Профилирования узла, Controller данных
Определение
местоположения 1 2 Динамически
используемая
политика 2
правоприменител Приложения
1 ьного узла

3
Данные Приложения Интернет
ISG
Junos Pulse EX Серия L2 Коммутатор
Контроль SRX
Internet
SSL VPN Доступа для SSG NS
защиты
802.1X Коммутаторы & Juniper Firewall
MAG/SA series Точки Доступа
ресурсов
Платформы
Junos Pulse UAC
правоприменительные узлы

Функциональный, совместимый с другим оборудованием, на БАЗЕ СТАНДАРТОВ
контроль доступа поверх гетерогенной сети – обеспечивая защиту инвестиций

JUNOS PULSE КОНТРОЛЬ ДОСТУПА
SSL VPN функциональность для устройства серии MAG
Аналогичный набор сервисов по сравнению с SA серией
 Junos Pulse
 Host Checker
 Layer 3 VPN access from Apple iOS devices
 ActiveSync
 VDI support
 Cross-platform support
 Etc.

Поддержка лицензий Enhanced Endpoint Security (EES) и
Premier Java RDP Applet licenses
Поддержка функционала SA 7.1


JUNOS PULSE КОНТРОЛЬ ДОСТУПА
NAC/UAC функциональность для устройств MAG серии
Аналогичные функции по сравнению с IC series)
 Junos Pulse
 Host Checker
 Captive portal
 IF-MAP support
 Guest access support
 Поддержка работы с коммутаторами EX серии

Поддержка лицензий Enhanced Endpoint Security (EES) и
Premier Java RDP Applet licenses
Поддержка функций UAC 4.1 (or higher)


УПРАВЛЕНИЕ КОМПОНЕНТАМИ И
УСТРОЙСТВАМИ БЕЗОПАСНОСТИ.
JUNOS SPACE


СЛОЖНОСТЬ УПРАВЛЕНИЕ БЕЗОПАСНОСТЬЮ

Много устройств Много устройств
Облачные вычисления Много приложений

NETWORK


ПОДХОД JUNIPER К УПРАВЛЕНИЮ БЕЗОПАСНОСТЬЮ
РАНЕЕ СЕГОДНЯ

NETWORK & SECURITY MANAGER SECURITY DESIGN
(NSM) (ПРИЛОЖЕНИЕ SPACE)

Лучшие продукт в СЛЕДУЮЩЕЕ ПОКОЛЕНИЕ
течениe 10 лет
МАСШТАБИРУЕМАЯ
АРХИТЕКТУРА SOA
Клиент-серверная
архитектура БЫСТРОЕ WEB
ПРИЛОЖЕНИЕ

ПОСТРОЕННОЕ НА
Отдельная программа ОТКРЫТОЙ ПЛАТФОРМЕ


ОСНОВНЫЕ ХАРАКТЕРИСТИКИ SECURITY DESIGN
 Двухмерное управление политиками – много горизонтальная
устройств и правил Много SRX

Вертикальнаяl
Масштаби-  Интегрированный Межсетевой экран, IPS & NAT
руемость  Интеграция в Junos Space для Много
масштабируемости правил

 Управление жизненным циклом политик через
Web Maintain Create

Оператив-  Легкий доступ к политикам
ность
Remediate Deploy

 Мощный поиск Monitor

 Многоуровневое вложение политик

 Проверка результатов применения
политики до внедрения
FW VPN NAT IPS AppFW
 Использование политик другими
Эффекти- приложениями Validate
вность  Интуитивный интерфейс
Create
Policy View
Schedule
Updates
CLI
 Легкость функционального Design Update

расширения

ЛЕГКАЯ МАСШТАБИРУЕМОСТЬ И РАСШИРЯЕМОСТЬ
ЗА СЧЕТ ПОГРУЖЕНИЯ В JUNOS SPACE

Поддержка Создание SECURITY DESIGN ФОКУСИРУЕТСЯ:
Политики межсетевого экрана
Политики VPN
Оптимизация
Secure Design
Применение
Политики NAT
Политики IPS
Политики AppFW
Наблюдение

RESTful Web Service API
Network Infrastructure SPACE PLATFORM ФОКУСИРУЕТСЯ:
Управление устройствами
Управление модулями
Управление версиями ПО
Управление правами доступа
JUNOS SPACE PLATFORM Аудит

Device Management Interface (DMI)


JUNOS SPACE
ОТКРЫТАЯ, БЕЗОПАСНАЯ, МАСШТАБИРУЕМАЯ ПЛАТФОРМА
Open Network Application Platform
Что такое Junos Space?
Открытая, безопасная и Network Activate, ● Transport OSS ● BSS ● Green/Energy ● End-user Forensics
масштабируемая Activate ● QoS Design ● Ethernet Adapters (MTOSI, OneAPI) ● … others
Design ● Security Design
программная платформа ● Virtual Control ● Service Now
для построения
приложений:
 Управление и анализ Juniper Applications 3rd Party Applications
сетевыми элементами
APPLICATIONS
 Оптимизирование сетевой
инфраструктуры и RESTful Web Service API
управление через
динамические политики Network Infrastructure

 Максимизация сетевой
пользы и
масштабирование
решения при снижении
цены и сложности JUNOS SPACE PLATFORM

Device Management Interface (DMI)


JUNOS SPACE
ОТКРЫТАЯ, БЕЗОПАСНАЯ, МАСШТАБИРУЕМАЯ ПЛАТФОРМА
 Управление
безопасностью,
маршрутизацией и
коммутацией с одной
платформы
 Управление и
мониторинг на сетевом
уровне многими
устройствами сразу
 Расширенная среда
разработки для
сторонних приложений
 Приложения могут
сконцентрироваться на
выполнении своих
задач, хорошая
поддержка со стороны
платформы


SECURITY DESIGN ВЕРСИЯ 11.4

Основание для Дизайна Безопасности


УПРОЩЕНИЕ УПРАВЛЕНИЯ ЗА СЧЕТ
ИЕРАРХИИ ПОЛИТИК

1 Глобальные политики Безопасные
коммуникации

2 Групповые политики Запретить
Facebook

3 Политики устройств Разрешить
Email

1
 Гибкий контроль политик Применить с
Преиму

2 приоритетом
щества

 Улучшенная оптимизация 3
 Пере-использование политик


УПРАВЛЕНИЕ ПОЛИТИКАМИ ГЛОБАЛЬНЫМИ,
ГРУППОВЫМИ И УСТРОЙСТВА

Global

Group

Device
Global Policies
Group Policies
Device Policies


ПРОВЕРКА ПОЛИТИК ПЕРЕД ПРИМЕНЕНИЕМ
PUBLISH WORKFLOW

Проверка
 Create Policy  Schedule updates
 Create VPN  View Impacted  Bulk Update
 Create NAT Devices  Granularity
 Create IPS  View CLI  Device Status
 Signatures  Verification
 Optimization

Дизайн Изменение

 Дизайн и проверка политик перед применением снижает ошибки
 Возможность увидеть команды, которые будут отосланы на устройство
 Увидеть все команды что будут применены


ВИРТУАЛЬНЫЕ ЧАСТНЫЕ СЕТИ (VPN)
IPSEC ТУННЕЛИ

Site-to-Site Hub & Spoke Fully Meshed

 1000 Site-to-Site VPNs
 1000 Spokes-to-hubs
 Встроенные готовые шаблоны


NETWORK ADDRESS TRANSLATION (NAT)

Source Destination Static

 Гибкий контроль политик NAT
 Даже сложные правила NAT становятся проще
 Пере-использование политик NAT


УПРАВЛЕНИЕ СИГНАТУРАМИ IPS

IPS Signatures IPS Signature Set IPS Policy

Granular Signature Built-in Recommended Advance IPS Policy
Management Signatures Configuration
Dynamic Filter and Getting Started Help Simple Firewall
Searches Customization Integration
Static and Simple Firewall Customization
Dynamic Groups Integration
Easy-to-use interface

 Интеграция с межсетевым экраном упрощает управление
 Быстро находит и расследует сигнатуры IPS
 Подстройка сигнатур под ваши нужды


APPLICATION FIREWALL (APPFW)

denied approved
Apps Apps

 Идентификация и управление приложениями
 Интегрирована с политиками FW и IPS
 Пере-использование политик


МОНИТОРИНГ СОБЫТИЙ БЕЗОПАСНОСТИ
STRM


STRM серия

Intelligent, Integrated, Automated

STRM STRM
STRM STRM STRM
Log Risk
SIEM QFlow VFlow
Manager Manager

Security Intelligence Operating System

Представляет полную картину по
безопасности сети


STRM SIEM
Обзор

STRM SIEM обеспечивает полную прозрачность сети с
возможностью реакции на события безопасности для
защиты компонентов сети от различного вида угроз.

Ключевые особенности:
• Продвинутые механизмы кореляции событий,потоков,
компонентов, топологий, уязвимостей и внешних данных для
идентификации угроз.
• Анализ сетевого трафика для обнаружения приложений
• Управление инцидентами до полного их разрешения
• Масштабируемая архитектура для организаций любых
размеров


STRM SIEM
Ключевые преимущества

• Кореляция событий в реальном времени основанная на новой
технологии in-memory и широкого набора контекстных данных a
• Захват потока и анализ данных позволяющие увидеть трафик
на уровне 7 модели OSI

• Анализ данных инцидентов который сокращает false positives
• Уникальная комбинация поисковых функций и анализ
нормализированных данных
• Масштабируемость подходящая даже для самых крупных сетей
с использованием встроенной СУБД и унифицированной
архитектуры представления данных.


STRM SIEM
Интегрированная консоль

• Интерфейс веб-браузера
• Достук к информации на
основе ролей
• Настраиваемые панели
инструментов
• Статистика доступная в режиме реального времени
• Улучшенные механизмы просмотра деталей событий
• Легко настраиваемые правила с готовой к работе
конфигурацией


STRM FLOW АНАЛИЗ
STRM предоствляет полную прозрачность трафика собирая flow данные.
(Jflow/NetFlow/Sflow/)
Это предоставляет доступ к следующим данным:
- Top Talkers (на основе портов и ip адресов )
- SNMP polling по интерфейсам
- Сбор статистики Sflow

Анализ QoS
- Flow collection представляет удобную консоль для анализа QoS механизмов.

- Обнаружение аномалии трафика
- Автоматически правила изучают харакстеристики трафика и сигнализурют в случае его
нарушения.

- Высылает предупреждение в случае обнаружения потока информации к
неизвестному хосту
- Обнаруживает сканирования и большие исходящие передачи файлов


STRM SYSLOG АНАЛИЗ
STRM анализирует события SYSLOG предоставляя
администраторам безопасности расширенную информацию:
- Состояние физических интерфейсов оборудования
- Изменение конфигурации оборудования
- Неудачные попытки аутентификации
- Системные ошибки


ПРИМЕРЫ ВНЕДРЕНИЯ

Небольшая организация - STRMv
Организация средних размеров - STRM-500
Большая организация - STRM-5k + EP:s
Организация с несколькими
отделениями : - STRM-5k + Combo-collectors


STRM ХАРАКТЕРИСТИКИ ПЛАТФОРМ
All-In-One Distributed EP Distributed FP Distributed Distributed
Combo (EP/FP) Console
STRMV Max 1k EPS & Max 1k EPS Max 50kF/m NO Supported
(VM Version of STRM) 50kF/m

STRM-500 Max 500EPS & Max 500 EPS Max 15kF/m Max 500EPS & NO
(JA-STRM500-A2-BSE) 15kF/m 15kF/m

STRM-2500 Max 1250 EPS & Max 2500 EPS Max 50kF/m Max 2500 EPS & NO
(JA-STRM2500-A2-BSE) 25kF/m 50kF/m
STRM-5000-A2 Max 5k EPS & Max 10k EPS Max 600kF/m NO Supported
(JA-STRM5000-A2-BSE) 200kF/m
STRM-5000-NEBS NO Max 20k EPS Max 600kF/m NO NO
(STRM5000-NEBS-A-BSE)


ПРИМЕРЫ ОТЧЕТОВ STRM:QOS


ПРИМЕРЫ ОТЧЕТОВ STRM: TOP APPLICATION


STRM НОВЫЙ ФУНКЦИОНАЛ


ЗАЩИТЫ СЕРВИСОВ ОТ АТАК.
УСТРОЙСТВА IDP


NEW IDP APPLIANCES

IDP8200
 10 Gbps IPS сканирования
 Плотность портов до
 80 Gbit
 Большое количество
сесиий
 5 миллионов
одновременных сессий
 Flexible I/O design

IDP75/250/800
 Увеличенная
производительность до 1
Gbps


РЕШЕНИЕ ДЛЯ ЦОД
Пропускная способность с настроенными политиками -
10Gbps.
Плотность портов: до 8 x 10GE или16 x 1GE
5 миллионов сессий


IDP8200 ОБЗОР
2х RU
2x 74GB RAID SATA HDD
Заменяемые Power, Fans, IOC and HDD
IO Ports:
 Встроенные: Serial, USB, Management, HA

IO Cards:
 4 port GE Copper with bypass
 4 port GE Fiber (SFP / SX-bypass)
 2 port 10 GE (XFP / SR-bypass)

Dual power supply (DC option)


IDP800 ОБЗОР
2х RU
Dual power supply
 DC option

2x 74GB RAID SATA HDD
IO Ports:
 Built-in: Serial, USB, Management, HA, 2 port copper GE w/bypass

Fixed IO Cards:
 2 4 port GE Copper with bypass

Производительность с настроенными политиками:
 Пропускная способность: 1 Gbps
 Число сессий: 500K


IDP250 AND IDP75 ОБЗОР
IDP 250
 1 RU
 AC power supply
 IO Ports:
 Serial, USB, Mgmt, 8x Copper GE w/bypass

IDP 75
 1 RU
 AC Power supply
 IO Ports:
 Serial, USB, Mgmt, 2x Copper GE w/bypass


НАДЕЖНОСТЬ IDP

Разделение Control и Data
Module 2 Plane
Module 3

Module 4
Module 1

Module n
 Устойчивая к DDoS или
другим ресурсоемким
атакам система
 Всегда поддерживаемый
контроль устройства
Kernel
Встроенный Bypass
 10 GE I/O модули со
встроенной функцией By-
Pass
Packet  Cокращает стоимость
Services внешних by-pass решений
Forwarding

Инфраструктура остается
Physical Interfaces управляемой при любом отказе


УПРАВЛЕНИЕ IDP
On-Box отчеты Преимущества
 Конфигурируемые панели  Можно просматривать отчеты
инструментов независимо от центральныз
групп управления
 Данные обрабатываемые в
 Заказчики (для MSPs) могут
режимме реального времени
видеть результат защиты их
 Экспорт в html или PDF сетей


ПРИМЕР ON-BOX ОТЧЕТОВ


IDP CЕРИЯ. ОБЗОР ПРОИЗВОДИТЕЛЬНОСТИ
Производительность

IDP8200

IDP800

IDP250

IDP75

Цена

ФУНКЦИИ ЗАЩИТЫ

MPLS traffic Inspection

Server-side SSL traffic inspection – SSL Decrypt

Client-side SSL traffic inspection – SSL Forward Proxy

Detection of encrypted P2P

Detection of unrecognized encrypted traffic

Mixed-Mode – Inline + Sniffer support

Jumbo Frame support


ФУНКЦИИ ЗАЩИТЫ

+application
identification

IDP ВЕРСИИ ПО

Product Line Models IDP 4.1r2 IDP 4.1r2a IDP 4.2 IDP 5.0

IDP50 

IDP200 
Former
Standalone
Models IDP600 

IDP1100 

IDP75  

Current IDP250  
Standalone
Models
IDP800  

IDP8200  


ПОЗИЦИОНИРОВАНИЕ УСТРОЙСТ IDP СЕРИИ
IDP75/250/800
 Небольшие офисы,защита интернет ресурсов
 До 1 Gbps

IDP 8200
 Большие предприятия, DMZ зоны, ЦОД.
 До 8x10GE и 10Gbps производительность IPS


ЗАЩИТА МОБИЛЬНЫХ УСТРОЙСТВ.
JUNOS PULSE MOBILE SECURITY


Безопасность мобильных сред с
использованием JUNOS PULSE
Защита в режиме реального времени
Авто обновления
Antivirus Сканирование файлов
И соединений

Фильтрование вхд/исх. трафика
Personal Логирование и предупреждения
Firewall Настраиваемый вид
Secure Access

Блокировка СМС и голосового спама
Черный список
Anti Spam Автоматические правила распознавания
“плохого” трафика

Удаленная блокировка
Loss & Theft Функции восстановления
Protection GPS –обнаружения
Предупреждение о смене SIM

Device Контроль приложений
Control Мониторинг контента


JUNOS PULSE НА СМАРТФОНАХ
Подходит для использования различных приложений
 Web VPN (browser-based applications)
 Secure Email (secure ActiveSync proxy)
 Full Layer 3 Tunnel

Используются технологии:
 SSL VPN
 Multi-factor authentication
 Granular auditing and logging


DELIVER SECURITY TO ALL SMARTPHONE
MARKETS AND USERS
For The Enterprise

Удаляет данные с потерянных
устройств

Сочетает возможности
безопасности и удаленного
доступа в одном приложении

Применяет политики доступа

Сокращает издержки на IT


КОНЦЕПЦИЯ ВЗАИМОДЕЙСТВИЯ
MAG Series
(Junos Pulse Access
Control Service)
y

MAG Series SRX Series
Авторизованный пользователь (Junos Pulse Secure
с личным утсройством Access Service and EX Series
Junos Pulse Application
Acceleration Service) WLA Series

802.1X
Switches / APs

Internet Virtual SSL VPN
(Junos Pulse Secure
SRX Series
Access Service)

Авторизованный пользователь с
устройством компании

Клиенты

ПОДДЕРЖИВАЕМЫЕ ВЕРСИИ ОС


JUNOS PULSE ДЛЯ РАБОЧИХ СТАНЦИЙ

Junos Pulse
MAG Series Junos Pulse Gateway
PCs & Macs Доступ
Junos Pulse
к
предоставляет:
корпоративному
• Безопасный удаленный
доступ(SSL VPN)*
ресурсу
• Контроль доступа в сеть (
UAC)
• Junos Pulse Application
Acceleration cервисы

Junos Pulse
Smartphones & Tablets
• Junos Pulse Mobile
Security Suite


СЕРТИФИКАЦИЯ ОБОРУДОВАНИЯ
JUNIPER.
ВВОЗ ОБОРУДОВАНИЯ С СИЛЬНЫМ
ШИФРОВАНИЕМ.


СЕРТИФИКАЦИЯ ФСТЭК
На данный момент возможно осуществить сертификацию
оборудования на партию(единичный экземпляр)
В соответствие со следующими РД:
-Системы Обнаружения Вторжений
-Антивирусная защита
-МЭ
-На отсутствие НДВ
Стоимость сертификации и ее продолжительность зависит
от типа и количества оборудования


ВВОЗ ОБОРУДОВАНИЯ С СИЛЬНЫМ
ШИФРОВАНИЕМ
Для ввоза оборудования с сильным неотечественным
алгоритмом шифрования используется стандартная
процедура:
1.Получение разрешения ФСБ
2.Получение лицензии МинПромТорга
Оборудование может быть размещено после получения
разрешения ФСБ
Время согласования от 2х месяцев
Необходимо иметь соответствующие лицензии


Q?

ASK-MOSCOW-SE@JUNIPER.NET


Решения по безопасности Juniper

Решения по безопасности Juniper

More Related Content

What's hot (20)

Viewers also liked (19)

Similar to Решения по безопасности Juniper (20)

More from Sergii Liventsev (9)

Решения по безопасности Juniper