РАЗВИТИЕ SRX Олег Прокофьев 22 марта 2011

2 Copyright © 2009 Juniper Networks, Inc. Company Confidential ТЕМЫ ВСТРЕЧИ 1. Branch SRX 2. SRX High End 3. AppSecure 4. SLB 5. vGW 6. LSYS

3 Copyright © 2009 Juniper Networks, Inc. BRANCH SRX

4 Copyright © 2009 Juniper Networks, Inc. Мультисервисное устройство ВОЗМОЖНОСТИ BRANCH SRX Маршрутизатор Сетевой фильтр Межсетевой экран Branch SRX LAN и WAN интерфейсы Поддержка VPN, NAT Высокая производительность Низкая цена Простота использования – J-WEB Встроенный анализатор Антивирус, Антиспам, фильтр URL Новый антивирус - Sophos Межсетевой экран с IPS Прозрачный режим Резервирование AppSecure STRM

5 Copyright © 2009 Juniper Networks, Inc. ПРЕИМУЩЕСТВА SRX Линейка Branch SRX Межсетевой экран VPN AppSecure / IPS Антивирус Антиспам Веб-фильтрация Маршрутизатор UTM Коммутатор/WLAN Всё в одном Законченное решение Лучшее соотношение Цена/качество $1/Mbps

6 Copyright © 2009 Juniper Networks, Inc. ЛИНЕЙКА SRX BRANCH SRX100 Небольшой/Средний офис SRX210 SRX650 WAN слот, 2 x GigE, PoE + 8 LAN слотов, два процессора, два Б/П SRX WAN слота, 16 x GigE, PoE SRX WAN слота, 8 x GigE, PoE Региональный филиал Киоск/Маленький офис Производительность Количество Интерфейсов

7 Copyright © 2009 Juniper Networks, Inc. НОВОЕ В SRX BRANCH

8 Copyright © 2009 Juniper Networks, Inc. НОВЫЙ АНТИСПАМ/АНТИВИРУС SOPHOS Еще одна опция A/V (UTMs) Широкое покрытие сигнатурами различных сетевых атак База опасных URL Распознание вирусов/файлов встроенных в приложения (nested apps) и сравнение с базой вирусов по контрольной сумме Juniper предоставляет возможность заказчикам выбрать оптимальную UTM платформу Эффективная защита от вирусов и сетевых атак на самой границе сети

9 Copyright © 2010 Juniper Networks, Inc. SRX220 On-board Ethernet8 x GE Mini-PIM Slots2 USB ports (flash)2 Power over Ethernet 8 ports 80W Total Optional PSTN voice ports Yes, 2FXS+2FXO AV & IDP HW AccelerationYES Routing PerformanceEst 125Kpps – 150Kpps Firewall Performance 1Gbps (Large Pkt) 350 Mbps (IMIX) VPN Performance100 Mbps IDP Performance75 Mbps High AvailabilityA/A or A/P Available versions & NTE pricing $2,199 (HM) $2,799 (HM+POE) $4,499 (HM+POE+Voice) Подходит для небольших площадок с требованиями резервирования WAN каналов Поддерживает 2 mini PIM интерфейса Фиксированные порты - 8 Ethernet 10/100/1000 Доступен Q3 2010

10 Copyright © 2010 Juniper Networks, Inc. НОВЫЕ БЕСПРОВОДНЫЕ РЕШЕНИЯ JUNIPER: ЧТО МЫ ПРЕДЛАГАЕМ ДЛЯ 3G СВЯЗИ (и 2,5G) Питание через PoE Совместим с SRX, J-Серией, SSG Поддерживает до 4 3G модемов Идеально подходит для использования в качестве резервного канала или основного, где нет «проводов» 3G ExpressCard для SRX210 Интегрированный 3G в SRX210 Использует SRX210 ExpressCard слот Идеально подходит для использования в качестве резервного канала или основного, где нет «проводов» CX111 3G Мост j

11 Copyright © 2009 Juniper Networks, Inc. SRX HIGH END

12 Copyright © 2010 Juniper Networks, Inc. РЕШЕНИЕ ДЛЯ СОВРЕМЕННОГО ЦОД Почему High End SRX: Требуется новый подход который будет соответствовать требованиям современных ЦОД Высокая степень интеграции Возможность быстро расширить функциональность и увеличить производительность

13 Copyright © 2010 Juniper Networks, Inc. ПРОИЗВОДИТЕЛЬНОСТЬ И ФУНКЦИОНАЛЬНОСТЬ Функциональность Производительность Функционал привязан к устройству Низкая масштабируемость Большое количество устройств Весь функционал доступен через JUNOS Рост производительности при добавлении SPC Масштабируемость I/O Простота управления RouterFirewallIPSIPsec VPNNAT Низкая функциональность Увеличение мощности за счет добавления новых устройств Firewall

14 Copyright © 2010 Juniper Networks, Inc. Поиск Flow Классификация DoS/DDoS Policing Входящий пакет Исходящий пакет Сервисы FW/VPN/IDP NAT/Routing QoS/Shaping Fabric Fabric Integrated in SRX5000 IOC Контроль Переподписки 1.5 I/O Cards Network Processing Cards Services Processing Cards ПОЛНОСТЬЮ ПОТОКОВАЯ (FLOW) ОБРАБОТКА ТРАФИКА

15 Copyright © 2010 Juniper Networks, Inc. DYNAMIC SERVICES ARCHITECTURE (DSA) Функциональность Легкое добавление функций Экономия времени Перераспределение ресурсов Firewall, IPS, IPsec VPN, DDoS/DoS, NAT, QoS, Routing, Application Security, и тд Carrier-Grade Reliability Разделение форвардинга и управления Резервирование всех компонентов и защита от DOS атак ISSU Интерфейсы и производительность Gigabit Ethernet 10 Gigabit Ethernet Любой сервис на любой карте Линейный рост производительности

16 Copyright © 2009 Juniper Networks, Inc. Company Confidential NS-5400 ISG2000 3U, 4+3 CFM, 8+4 GE, 2RE*, 1+1 PS, 20/8/8G, 2M sess, 175kcps 5U, 6+6 CFM, 8+4 GE, 2RE*, 2+2 PS, 30/10/10G, 2M sess, 175kcps 8U, 6 slot, 2RE*, 1+1 SCB, 2+2 PS, 60/15/15G, 9M sess, 350kcps 16U, 12 slot, 2RE*, 2+1 SCB, 2+2 AC, 3+1 DC, 120/30/30G, 10M sess, 350kcps 3U, 3 CFM, 12GE or 3XGE+9GE, 1+1 PS, 10/2/2G,.5M sess [at FRS], 45kcps NS-5200 ISG1000 SRX3600 SRX5800 SRX5600 SRX3400 SRX1400 2H10 SRX – Новая платформа Наращиваемая мощность Широкий функционал Firewall VPN IPS Маршрутизация QoS AppSecure Дополнительные возможности Высокая степень интеграции ПРОДУКТЫ JUNIPER ДЛЯ ИБ В ЦОД

17 Copyright © 2010 Juniper Networks, Inc. ЛИНЕЙКА ПРОДУКТОВ SRX3000 Dynamic Services Architecture Функциональность: FW, IPS, NAT, IPSec VPN, DDoS, QoS and routing Любой сервис для любого трафика Разделение control and data planes Универсальное устройство Двустороннее модульное шасси Модульная архитектура SRX3600 – 12 модулей SRX3400 – 7 модулей Доступны GbE и 10GbE интерфейсы SPC позволяют линейно наращивать производительность Под управлением JunOS Многопоточность Модульность JunOS Script Описание модуля ПортыТип 16-port 10/100/1000 TX72 or 104RJ port GbE68 or 100SFP 2-port 10GbE8 or 12XFP Service Processing Cards SRX3400 – 4 SRX3600 – 7

18 Copyright © 2010 Juniper Networks, Inc. ЛИНЕЙКА ПРОДУКТОВ SRX5000 Самый быстрый в мире Firewall Dynamic Services Architecture Функциональность: FW, IPS, NAT, IPSec VPN, DDoS, QoS, and routing Любой сервис для любого трафика Разделение control and data planes Универсальное устройство Модульное шасси SRX5600 – 6 модулей SRX5800 – 12 модулей Доступны GbE и 10GbE интерфейсы SPC позволяют линейно наращивать производительность Под управлением JunOS Многопоточность Модульность JunOS Script Описание модуля ПортыТип 40-port GbE200 or 440SFP 4-port 10GbE20 or 44SFP 16-port GbE FlexIOC160 or 352SFP/RJ45 4-port 10GbE FlexIOC40 or 88SFP Max SPCs 5 – SRX – SRX5800

19 Copyright © 2009 Juniper Networks, Inc. НОВОСТИ HIGH END SRX

20 Copyright © 2009 Juniper Networks, Inc. Company Confidential 2H10! Платформа начального уровня для ЦОД: Dynamic Services Architecture Функционал: FW, IPS, NAT, IPSec VPN, DDoS, QoS, Маршрутизация IPv4/IPv6 Любой сервис для любого трафика Разделение control and data planes Общие компоненты с SRX3000 Под управлением Junos Многопоточность, Модульность JunOS Script SRX1400

21 Copyright © 2009 Juniper Networks, Inc. Company Confidential 3 RU Модульное шасси –3 слота Общие модули с SRX3000 –Junos Software Massive scale –До 45,000 новых соединений в секунду (CPS) –До 5М сессий [FRS] Производительность –10 Gbps firewall – 2 Gbps IPS – 2 Gbps IPSec VPN Резервирование –Блоки питания и охлаждение –Кластеризация Управляющий модуль (RE) Слот для IOC 12 встроенных портов: 1400GE: GE 1400XGE: 3 XGE плюс GE Блок питания Дополнительный блок питания Вентилятор (rear) Слоты расширения (NSPC or SPC+NPC) Схема слотов SRX1400 j

22 Copyright © 2009 Juniper Networks, Inc. AppSecure

23 Copyright © 2009 Juniper Networks, Inc. Проблемы Заказчиков Решения Juniper в области информационной безопасности КАК ОБЕСПЕЧИТЬ БЕЗОПАСНОСТЬ СЕТИ Безопасность WEB2.0 Масштабируемость Распознание/управление приложениями Быстрая реакция на угрозы AppSecure Software Security Research Teams SRX Security Service Gateways

24 Copyright © 2009 Juniper Networks, Inc. КАК ЭТО РАБОТАЕТ? AppID AppFW AppIDAppFW Применяется правило для этой политики, например, сброс. ClientServer SRX 1 й пакет Приложение не определено Ответ OK 2 й пакет Приложение определено X OK Приложение не определено

25 Copyright © 2009 Juniper Networks, Inc. ОПРЕДЕЛЕНИЕ ПРИЛОЖЕНИЯ Application Signatures: App signatures includes the definitions for identifying the applications. These signatures are matched against the traffic to identify the application. An application is identified by matching patterns in the first few packets of a session Protocol Decoding: Protocol decoding is applied to identify the Nested Application Heuristics: To improve the accuracy for detection of encrypted P2P applications

26 Copyright © 2009 Juniper Networks, Inc. УПРАВЛЕНИЕ СИГНАТУРАМИ Центр безопасности Juniper регулярно выпускает актуальные обновления сигнатур, которые доступны на сайте центра База сигнатур для AppSecure включает в себя более 750 сигнатур различных приложений и постоянно пополнаяется. База сигнатур для IPS включает более 5000 сигнатур и более 1200 аномалий. Набор сигнатур AppSecure лицензируется отдельно. Для загрузки и обновлений базы сигнатур AppSecure на устройство требуется установить лицензионный ключ. Лицензия AppSecure для HE SRX так же включает в себя лицензию IPS и даёт возможность пользоваться базой сигнатур IPS. Для Branch SRX лицензия AppSecure не включает лицензию IPS SKUAppsec-A (Advanced) HE SRX AppSec-B (Basic) Branch SRX Включает лицензии AppSecure и IPS Только лицензия AppSecure Лицензионный ключ

27 Copyright © 2009 Juniper Networks, Inc. РАЗВИТИЕ APPSECURE Мониторинг Статистика Поиск аномалий Корреляция От пользователя до ЦОДа Единая лицензия на все приложения и сигнатуры Поддержка более 800 приложений Единая лицензия на все приложения и сигнатуры Поддержка более 800 приложений AppTrack Q AppQoS AppDoS IPS Возможность использовать приложение в фильтрах и политиках Приоритезация трафика приложений Защита от DDoS атак для ЦОД и филиалов Zero-day безопасность AppFW 2H 2011

28 Copyright © 2009 Juniper Networks, Inc. ПРИМЕРЫ ПОДДЕРЖИВАЕМЫХ ПРИЛОЖЕНИЙ 100BaoAimsterApplejuiceAresBitTorrentDirectConnecteDonkey2000 FastTrackFreecastFreenetGnucleusLANGnutellaGnutella2GoBoogy HotlineIceShareICQIRCJapper/XMPP Joltid PeerEnabler Kademlia KuGooKuroManolito/MP2PMMS MSNP (ver 10, 11, 12) MSNP 13MUTE NapsterOpenFT (giFT)Oscar (AOL)PeercastPocoQQRTSP SCTPSkypeSoribadaSoulseekTeslaTOC (AOL)WinNY WPNPXunleiYahoo IM And more to come

29 Copyright © 2009 Juniper Networks, Inc. ДОСТУПНОСТЬ APPSECURE High End SRX Branch SRX H12 2H12 AppTrack AppFW AppQoS AppDoS IPS j

30 Copyright © 2009 Juniper Networks, Inc. SLB

31 Copyright © 2009 Juniper Networks, Inc. ОТКРЫТАЯ АРХИТЕКТУРА Динамические сервисы Общий пул ресурсов Маршрутизация ЗащитаРазграничение SRX Dynamic Services Gateway RoutingFirewallIPS IPSec VPN NAT SLB Балансировка

32 Copyright © 2009 Juniper Networks, Inc. ИНТЕГРАЦИЯ С ДРУГИМИ СЕРВИСАМИ FW Devices SLB Devices Servers Data Center Архитектура SRX позволяет динамически перераспределять ресурсы между приложениями (FW, IPS, SLB) Не требует выделенных аппаратных ресурсов. SRX Легко масштабируется Очень быстрая обработка (latency)

33 Copyright © 2009 Juniper Networks, Inc. SLB – ТЕХНИЧЕСКИЕ ХАРАКТЕРИСТИКИ Режимы работы Dispatch mode – трансляция MAC адресов L4 mode – трансляция IP Адресов/Портов L5 mode - терминация TCP (TCP offload) SSL offload – терминация SSL Используется концепция виртуальных серверов (VS) и виртуальных интерфейсов (VSI). Режимы балансировки RR – по кругу (round robin) WRR – по кругу с приоритетом (weighted round robin) LC – наименьшая загрузка (least connection) WLC – наименьшая загрузка с приоритетом (weighted least connection)

34 Copyright © 2009 Juniper Networks, Inc. Пример 1 (Балансировка L4) SLB L4 connections Server Probes Web Server #1 Web Server #2 Web Server #n Users L2 IP TCP Data VIP Client IP Stickiness FW, IDP Round Robin (weighted) Least Connections (weighted) Hash Based

35 Copyright © 2009 Juniper Networks, Inc. Пример 2 (L5 SSL) SLB L4 connections Server Probes Web Server #1 Web Server #2 Web Server #n Users L2 IP TCP SSL VIP SSL Session ID stickiness FW, IDP Round Robin (weighted) Least Connections (weighted) Hash Based Data L2 IP TCP Data

36 Copyright © 2009 Juniper Networks, Inc. Пример 3 (GSLB)

37 Copyright © 2009 Juniper Networks, Inc. Пример 4 (Резервирование) j

38 Copyright © 2009 Juniper Networks, Inc. vGW

39 Copyright © 2009 Juniper Networks, Inc. БЕЗОПАСНОСТЬ ВИРТУАЛИЗИРОВАННЫХ СИСТЕМ

40 Copyright © 2010 Juniper Networks, Inc. ALTOR V4.0 Заточен под VMWare Прошел VMsafe сертификацию Защита каждой VM и гипервизора Горячий резерв Масштабируемость Secure VMotion с поддержкой до 1,000+ ESX Auto Secure автоматическое подключение новых VM Функциональность Межсетевой экран с IDS Набор гибких политик – Зоны, VM группы, VM, Приложения, Порты, Протоколы, Состояние сессий

41 Copyright © 2009 Juniper Networks, Inc. ИНТЕГРАЦИЯ С SRX Синхронизация политик безопасности Синхронизация зон безопасности между Altor и SRX Преимущества Единообразие политик безопасности в сети (и в виртуальной тоже) Облегчение развертывания новых VM Использование объекта VM в политиках SRX Актуальность таких объектов Доступно – Февраль 2011 Интеграция IDP Возможность пропустить трафик между VM через IDP в SRX Преимущества Обеспечение эквивалентных уровней защиты для физического и виртуального трафика Разгрузка гипервизора Доступно – Февраль 2011 **Mirroring to Standalone IDP available since 2009 j

42 Copyright © 2009 Juniper Networks, Inc. LSYS

43 Copyright © 2009 Juniper Networks, Inc. ВИРТУАЛИЗАЦИЯ SERVICE PLANE Требуется для разграничения управления Поддерживается на SRX HE Продажа/Аренда виртального маршрутизатора- межсетевого экрана Виртуализированный SRX

44 Copyright © 2009 Juniper Networks, Inc. ИЗОЛИРОВАННЫЕ СИСТЕМЫ Большинство трафика внутри своей системы Не требуется взаимодействие между системами Root представляется как физическое устройство Обмен трафиком между системами через заворот или туннелирование

45 Copyright © 2009 Juniper Networks, Inc. ИЕРАРХИЧЕСКАЯ МОДЕЛЬ Root в пакетном режиме, все сервисы только внутри LSYS Трафик между LSYS маршрутизируется Root маршрутизатором Используется LT interface

46 Copyright © 2009 Juniper Networks, Inc. ВИРТУАЛИЗАЦИЯ SRX Dynamic Services Consolidated Management Framework Routing VPN UTM/IPS Firewall ALG/NAT High Availability Routing VPN UTM/IPS Firewall ALG/NAT Routing VPN UTM/IPS Firewall ALG/NAT Root LSYS LSYS 2LSYS N LSYS MGMT LSYS 1 Routing VPN UTM/IPS Firewall ALG/NAT LSYS MGMT j