Juniper 防火墻SSG╱SRX培訓(xùn)

1、Juniper ScreenOS FW Overview2Copyright 2009 Juniper Networks, Inc. Juniper培訓(xùn)資料提供者培訓(xùn)資料提供者 深圳市新開思信息技術(shù)有限公司深圳市新開思信息技術(shù)有限公司 地址地址：深圳市福田區(qū)燕南路桑達工業(yè)區(qū)404棟6層638號全國銷售熱線全國銷售熱線：400-666-3148 (總機-20線) WEB:HTTP:/WEB:HTTP:/官方博客:http:/ 2008 Juniper Networks, Inc. 23Copyright 2009 Juniper Networks, Inc. 培訓(xùn)議程培訓(xùn)議程 防火墻產(chǎn)品型號介紹

2、 防火墻優(yōu)勢與賣點 經(jīng)典案例Copyright 2008 Juniper Networks, Inc. 34Copyright 2009 Juniper Networks, Inc. 1999Integrated FW/VPN2000Gigabit FW/VPN2003UTM (FW,IDP,AV)2001IDP Pioneer 2004 / 2005 ISG & Full Integrated IPSNow UTM & RoutingJuniper防火墻的發(fā)展路線防火墻的發(fā)展路線Gartner 魔力象限圖魔力象限圖: FW/VPNJuniper居領(lǐng)導(dǎo)地位居領(lǐng)導(dǎo)地位業(yè)界獎項業(yè)界

3、獎項NS100NS1000DI/IDP5Copyright 2009 Juniper Networks, Inc. 企企業(yè)總業(yè)總部部/數(shù)數(shù)據(jù)中心據(jù)中心性能容量性能容量 Juniper 防火墻防火墻/安全網(wǎng)關(guān)系列安全網(wǎng)關(guān)系列遠程辦公室遠程辦公室/中小企業(yè)中小企業(yè)/中小分支機構(gòu)中小分支機構(gòu)中大企中大企業(yè)業(yè)/大型分支機大型分支機構(gòu)構(gòu)30 Gbps10 GbpsNS5400NS52004 Gbps1 Gbps600Mbps300MbpsISG2000ISG1000SSG550SSG520SSG350SSG5SSG20SSG140SSG320SRX5600SRX5800150 GbpsSRX3400SR

4、X3600SRX650SRX240SRX210SRX1006Copyright 2009 Juniper Networks, Inc. Juniper防火墻產(chǎn)品市場定位防火墻產(chǎn)品市場定位 中低端防火墻針對中小型企業(yè)購買成本及維護成本是首要的需求安全功能All in one統(tǒng)一的配置界面Juniper SSG產(chǎn)品具備無可比擬的優(yōu)勢購買成本較低無需管理多臺設(shè)備性能可接受 高端防火墻針對運營商及大型企業(yè)性能與穩(wěn)定性是用戶首要的需求防火墻不能因為開啟新業(yè)務(wù)成為網(wǎng)絡(luò)處理能力的瓶頸防火墻需具備高穩(wěn)定性，不能影響業(yè)務(wù)的正常開展往往使用獨立硬件完成病毒防護,入侵檢測防御,垃圾郵件過濾等功能,專物專用Junip

5、er ISG/NS5000的目標客戶7Copyright 2009 Juniper Networks, Inc. Secure Services Gateway 5 160Mbps防火墻處理能力防火墻處理能力 40Mbps VPN處理能力處理能力 16K并發(fā)會話，并發(fā)會話，5.5K新建會話新建會話 深度檢測能力深度檢測能力 病毒掃描能力病毒掃描能力 反垃圾郵件反垃圾郵件, Web 過濾過濾 支持支持Security zones, VLANs, Virtual Routers 以以靈活地把網(wǎng)絡(luò)分段靈活地把網(wǎng)絡(luò)分段靈活的接口選項靈活的接口選項 固化固化7個個10M/100MEtherne以太網(wǎng)接口

6、以太網(wǎng)接口 + 1低速廣域網(wǎng)低速廣域網(wǎng)接口接口 interfaceISDN BRI S/TV.92RS-232 Serial/Aux 可選配無線接入可選配無線接入 802.11a/b/g 共共6個具體型號個具體型號8Copyright 2009 Juniper Networks, Inc. Secure Services Gateway 20靈活的接口選項靈活的接口選項 固化固化5個個10M/100MEtherne以太網(wǎng)接口以太網(wǎng)接口 + 2個個Mini-PIM擴展槽擴展槽ISDN BRI S/TV.92ADSL2+E1/T1千兆以太網(wǎng)千兆以太網(wǎng)同步串口同步串口 可選配無線接入可選配無線接入

7、802.11a/b/g 共共6個具體型號個具體型號 160Mbps防火墻處理能力防火墻處理能力 40Mbps VPN處理能力處理能力 16K并發(fā)會話，并發(fā)會話，5.5K新建會話新建會話 深度檢測能力深度檢測能力 病毒掃描能力病毒掃描能力 反垃圾郵件反垃圾郵件, Web 過濾過濾 支持支持Security zones, VLANs, Virtual Routers 以靈以靈活地把網(wǎng)絡(luò)分段活地把網(wǎng)絡(luò)分段9Copyright 2009 Juniper Networks, Inc. Secure Services Gateway 140 前面板前面板 前面板前面板8個個10/100M以太網(wǎng)接口以太網(wǎng)接

8、口 + 2 個個10/100/1000M接口擴展槽接口擴展槽 后面板后面板4個個PIM擴展槽擴展槽2* T1/E12*Serial2*SHDSL1*E3/T31*ADSL1*ISDN BRI S/T16口GE8口GE6口GE1口GE 350+（900） Mbps 防火墻處理能力防火墻處理能力 100 Mbps VPN處理能力處理能力 48K并發(fā)會話數(shù)，并發(fā)會話數(shù)，8K新建會話數(shù)新建會話數(shù) 深度檢測能力深度檢測能力 病毒掃描能力病毒掃描能力 反垃圾郵件反垃圾郵件, Web 過濾過濾 支持支持Security zones, VLANs, Virtual Routers 以靈活地把網(wǎng)絡(luò)分以靈活地把網(wǎng)

9、絡(luò)分段段后面板后面板10Copyright 2009 Juniper Networks, Inc. Secure Services Gateway 300M Series Juniper Networks SSG 350M550Mbps +FW225 Mbps VPN深度檢測能力病毒掃描能力5 I/O Slots單電源, AC or DC128K并發(fā)會話, 12.5K新建會話數(shù)350 VPN tunnels1.5U Juniper Networks SSG 320M450Mbps+ FW 175Mbps VPN深度檢測能力病毒掃描能力)3 I/O slots單電源, AC or DC64K并發(fā)

10、會話,10K新建會話數(shù) 250 VPN tunnels1U 共同特點共同特點固化4個10M/100M/1000M以太網(wǎng)接口2個RJ45 Console/AUX接口2 個USB可外接存儲設(shè)備以導(dǎo)出日志或其他系統(tǒng)信息11Copyright 2009 Juniper Networks, Inc. Secure Services Gateway 500 Series Juniper Networks SSG 5504Gbps FW 500 Mbps VPN深度檢測能力病毒掃描能力6 I/O Slots冗余電源, AC or DC256K并發(fā)會話, 32K新建會話數(shù)1,000 VPN tunnels J

11、uniper Networks SSG 5202Gbps FW 300 Mbps VPN深度檢測能力病毒掃描能力6 I/O slots單電源, AC or DC128K并發(fā)回話, 23k新建會話數(shù)500 VPN tunnels 共同特點共同特點2U 高，固化4個10M/100M/1000M以太網(wǎng)接口2個RJ45 Console/AUX接口2 個USB可外接存儲設(shè)備以導(dǎo)出日志或其他系統(tǒng)信息12Copyright 2009 Juniper Networks, Inc. 豐富的豐富的SSG接口模塊：接口模塊：PIMs8口口10M/100M/1000M電口電口16口口10M/100M/1000M電口電

12、口6口口1000M光口光口2口口E1/T12口同步串口口同步串口1口口ISDN BRI S/T13Copyright 2009 Juniper Networks, Inc. Juniper ISG防火墻概覽防火墻概覽ISG2000整機4Gbps防火墻處理能力(大包) 2Gbps防火墻處理能力(64bytes小包)整機2Gbps 3DES或 AES VPN能力整機1百萬并發(fā)連接最多支持10000 IPSec VPN tunnels最多支持16個千兆接口或28個百兆接口最多支持250個虛擬防火墻系統(tǒng)最多支持4094個VLANsISG1000最大2Gbps防火墻處理能力(大包) 整機 1Gbps防火

13、墻處理能力(64bytes小包)最大1Gbps 3DES或 AES VPN能力整機50萬并發(fā)連接最多支持2000 IPSec VPN tunnels最多支持12個千兆接口或20個百兆接口最多支持50個虛擬防火墻系統(tǒng)最多支持4094個VLANs14Copyright 2009 Juniper Networks, Inc. ISG 2000 升級為帶硬件升級為帶硬件IDP的防火墻的防火墻 IDPLicense Key13 塊安全模塊塊安全模塊+=ISG SystemISG System+ISG System w/ IDPISG System w/ IDP15Copyright 2009 Junip

14、er Networks, Inc. Juniper NS5000防火墻概覽防火墻概覽NS5400分布式處理，隨著板卡數(shù)量增加性能線性遞增最大30Gbps防火墻處理能力(256bytes) 12Gbps防火墻處理能力(64bytes小包)最大15 Gbps 3DES或 AES VPN能力整機2 百萬并發(fā)連接支持25,000 IPSec VPN tunnels支持24個千兆接口或6個萬兆接口支持500個虛擬防火墻系統(tǒng)支持4094個VLANsNS52000分布式處理，隨著板卡數(shù)量增加性能線性遞增最大10Gbps防火墻處理能力(256bytes) 整機 4Gbps防火墻處理能力(64bytes小包)最

15、大5Gbps 3DES或 AES VPN能力整機1百萬并發(fā)連接支持25,000 IPSec VPN tunnels支持8個千兆接口或2個萬兆接口支持500個虛擬防火墻系統(tǒng)支持4094個VLANs16Copyright 2009 Juniper Networks, Inc. Juniper NS5000接口板卡系列接口板卡系列 NetScreen-5000 8G2接口模塊接口模塊8口千兆 mini-GBIC 接口8Gbps 防火墻/4Gbps 3DES/AES VPN性能支持最多4口聚合 NetScreen-5000 2XGE接口模塊接口模塊2口萬兆XFP接口10Gbps防火墻/4Gbps 3D

16、ES/AES VPN性能支持短距或長距Transceivers 共同點共同點每塊接口卡內(nèi)置2塊GigaScreen3 ASIC支持9.6K幀長的Jumbo Frames跟5000-MGT2管理模塊兼容17Copyright 2009 Juniper Networks, Inc. 培訓(xùn)日程培訓(xùn)日程 Juniper防火墻產(chǎn)品型號介紹 Juniper防火墻優(yōu)勢與賣點 經(jīng)典案例Copyright 2008 Juniper Networks, Inc. 1718Copyright 2009 Juniper Networks, Inc. 防火墻操作系統(tǒng)防火墻操作系統(tǒng) SreenOSRISCCPUMemor

17、yASICInterfacesSecurity-Specific, Real-Time OS Dynamic Routing Virtualization High Availability Centralized ManagementIntegrated Security Applications VPN Denial of Service Firewall Traffic management Purpose -Built Hardware PlatformCPUMemoryASICInterfacesSecuritySpecific, Real-Time OSDynamic Routin

18、g VirtualizationHigh AvailabilityCentralized ManagementIntegrated Security ApplicationsDenial of Service VPN FirewallTraffic management 專為安全業(yè)務(wù)而設(shè)計的軟件系統(tǒng)- 電信級路由能力電信級路由能力:RIP/OSPF/BGP4/PBR 高可用性高可用性:Redundant Interface/Track IP/NSRP 虛擬化能力虛擬化能力:虛擬防火墻虛擬防火墻 UTM功能功能:AV/IPS/Anti-SPAM/URL Filtering 支持支持:RADIUS

19、, LDAP, PKI, internal DB, SecurID,MS AD等認等認證手段證手段 超過超過10年行業(yè)經(jīng)驗累積年行業(yè)經(jīng)驗累積 支持大量的企業(yè)應(yīng)用如支持大量的企業(yè)應(yīng)用如H323/SIP/MGCP/Skinny等等 安全域全狀態(tài)檢測深度檢測安全域全狀態(tài)檢測深度檢測 VPN特性特性:IPsec/XAuth/L2TP/GRE19Copyright 2009 Juniper Networks, Inc. GigaScreen3 ASICJuniper/Netscreen第4代安全業(yè)務(wù)處理芯片 (2003 年發(fā)布)3Mpps狀態(tài)檢測/NAT性能1.5Mpps 加解密性能( IPsec VP

20、N)集成16種常見攻擊的防護能力(Syn-flood/ICMP flood/UDP Flood等)集成6*Packet Processing Units (PPU)加速單元:VPN 加/解密 (AES, 3DES, DES,SHA-1, MD5)TCP 4 Way closeIP 分段重組 IKE協(xié)商加速流量計數(shù)支持微代碼編程，可通過軟件版本升級更新ASIC芯片的功能用于ISG/NS5000產(chǎn)品系列防火墻安全業(yè)務(wù)引擎防火墻安全業(yè)務(wù)引擎20Copyright 2009 Juniper Networks, Inc. 全狀態(tài)防火墻檢測機制全狀態(tài)防火墻檢測機制 支持對TCP協(xié)議進行狀態(tài)檢測 支持IP/

21、ICMP/UDP等無狀態(tài)協(xié)議進行狀態(tài)檢測 支持對復(fù)雜協(xié)議進行狀態(tài)檢測H.323(Cisco/Avaya/Polycom/NEC)SIPMGCPSkinnyFTP/TFTPRTSP/RealMicrosoft RPC/Sun RPCSQLPPTPSCTPGTP/GPRS21Copyright 2009 Juniper Networks, Inc. 完善的完善的VPN特性支持特性支持 支持IETF IPsec VPN標準可與所有兼容RFC標準的IPsec網(wǎng)關(guān)互聯(lián)互通支持IPsec VPN NAT Traversal支持Remote-Access w/ Xauth支持透明模式下的IPsec VPN獨

22、特的ACVPN特性，可簡化大規(guī)模full-mesh VPN部署 支持L2TP VPN，支持L2TP over IPsec，方便Windows用戶VPN遠程接入 支持GRE Tunnel,支持GRE over IPsec；方便通過VPN隧道透傳組播應(yīng)用22Copyright 2009 Juniper Networks, Inc. 統(tǒng)一威脅管理統(tǒng)一威脅管理(UTM)來自入方向的威脅來自入方向的威脅來自出方向的威脅來自出方向的威脅SurfControl to block to Spyware / Phishing / Unapproved Site Access Web過濾過濾Kaspersky L

23、ab AV stops Viruses, file-based Trojans, Spyware, Adware, KeyloggersKaspersky Lab AV stops Viruses, file-based Trojans or spread of Spyware, Adware, Keyloggers防病毒防病毒Symantec stops Spam / Phishing防垃圾郵件防垃圾郵件Juniper IPS detects/stops Worms, TrojansJuniper IPS detects/stops Worms, Trojans, DoS, Recon, S

24、cans入侵檢測防護入侵檢測防護Juniper Stateful Firewall, VPN, Access Control核心安全核心安全Juniper Stateful Firewall, VPN, Access Control23Copyright 2009 Juniper Networks, Inc. 經(jīng)濟靈活的虛擬系統(tǒng)經(jīng)濟靈活的虛擬系統(tǒng)(Virtual Systems)IEEE 802.1Q VLAN Trunk業(yè)務(wù)流量按照VLANs映射至虛擬防火墻客戶區(qū)域物理分割客戶區(qū)域物理分割到客戶A的VLAN虛擬防火墻邏輯分割虛擬防火墻邏輯分割每個客戶獨立管理自己的設(shè)每個客戶獨立管理自己的設(shè)備

25、備: 分離的路由表分離的路由表/安全策略安全策略/地址本地址本/管理員賬號管理員賬號到客戶C的VLAN到客戶B的VLAN24Copyright 2009 Juniper Networks, Inc. 靈活的部署方式靈活的部署方式 路由模式:電信級路由能力RIPOSPFBGP策略路由ECMP 透明模式(橋模式)無需更改現(xiàn)有網(wǎng)絡(luò)拓撲，即插即用支持透明模式下的NAT(ScreenOS 6.2)/IPsec VPN 支持豐富的廣域網(wǎng)接口卡類型，適應(yīng)各種網(wǎng)絡(luò)連接 虛擬路由器/虛擬防火墻提高業(yè)務(wù)靈活性 IPv6 Ready支持IPv4/IPv6雙棧支持NAT-PT 支持6to4 Tunnel支持6in4,

26、4in6 Tunnel支持RIPng，即將支持OSPFv325Copyright 2009 Juniper Networks, Inc. 高可用性高可用性 主要特性支持A/P、A/A、A/A fullmesh的高可用部署同步FW/VPN的所有信息，切換時包括Active sessionsNATVPN tunnelsSecurity Associations 優(yōu)點業(yè)務(wù)無中斷，切換對用戶透明改進了業(yè)務(wù)的彈性 Juniper HA防火墻結(jié)構(gòu)解決的問題防多點故障鏈路故障或周邊設(shè)備故障，用接口切換屏蔽，設(shè)備不用切換，無丟包雙HA心跳線冗余Track IP機制檢測全路徑健康狀況配置自動同步，維護簡單26C

27、opyright 2009 Juniper Networks, Inc. 友好的人機管理界面友好的人機管理界面27Copyright 2009 Juniper Networks, Inc. 集成管理平臺集成管理平臺TelnetSSHHTTPHTTPSDMISNMPSyslogJuniper 防火墻防火墻開放開放,基于標準的管理框架基于標準的管理框架ScreenOS CLI Telnet SSHWeb Quick Setup with Templates Dashboard View Performance MonitoringJuniper NSM Discovery & Config

28、uration Policy Management Inventory Management Log ManagementThird party NMSJuniper STRM Threat Detection Event Log Management Compliance & IT Efficiency28Copyright 2009 Juniper Networks, Inc. 培訓(xùn)日程培訓(xùn)日程 Juniper防火墻產(chǎn)品型號介紹 Juniper防火墻優(yōu)勢與賣點 經(jīng)典案例Copyright 2008 Juniper Networks, Inc. 2829Copyright 2009

29、Juniper Networks, Inc. Juniper全球高端防火墻市場份額全球高端防火墻市場份額High-end Firewall /IPSec VPN30Copyright 2009 Juniper Networks, Inc. 08年年Q1全球高端防火墻市場占有率全球高端防火墻市場占有率Juniper Juniper 34%34%Cisco 23%Source: Infonetics Research, Q108 total revenue, TAM = $146.9MJNPR is still #1 in High-end FW/VPN AppliancesOther 43%31

30、Copyright 2009 Juniper Networks, Inc. Juniper防火墻國內(nèi)主要客戶防火墻國內(nèi)主要客戶作為全球防火墻的領(lǐng)導(dǎo)廠商，Juniper防火墻在國內(nèi)擁有眾多的客戶和成功案例，Juniper防火墻為國內(nèi)各行業(yè)客戶提供在線的安全防護。Juniper在國內(nèi)證券、電信、金融、電力等對安全產(chǎn)品要求最高的行業(yè)的擁有最多的客戶和成功案例，在企業(yè)市場也擁有最廣泛的部署。32Copyright 2009 Juniper Networks, Inc. 近萬臺近萬臺Juniper防火墻防火墻7X24小時在國內(nèi)金融網(wǎng)絡(luò)中運轉(zhuǎn)小時在國內(nèi)金融網(wǎng)絡(luò)中運轉(zhuǎn) 中國工商銀行：全國部署中國工商銀行：全

31、國部署Juniper防火墻，總數(shù)防火墻，總數(shù)400 臺以臺以上。數(shù)據(jù)中心部署上。數(shù)據(jù)中心部署NS5000，省行部署，省行部署ISG系列，地市行采系列，地市行采用用500/200系列系列 中國農(nóng)業(yè)銀行：雙數(shù)據(jù)中心和某些一級行部署中國農(nóng)業(yè)銀行：雙數(shù)據(jù)中心和某些一級行部署Juniper防防火墻包括火墻包括NS5000/ISG/SSG500等等 中國建設(shè)銀行：全國部署中國建設(shè)銀行：全國部署Juniper防火墻，總數(shù)防火墻，總數(shù)300 臺以臺以上，數(shù)據(jù)中心部署上，數(shù)據(jù)中心部署NS5000/ISG2000防火墻，一級行部署防火墻，一級行部署ISG2000和和ISG1000防火墻，地市行采用防火墻，地市行采

32、用550/520防火墻防火墻,總數(shù)超過總數(shù)超過300臺臺 中國銀行：全國部署中國銀行：全國部署Juniper防火墻，總數(shù)防火墻，總數(shù)400臺左右，數(shù)臺左右，數(shù)據(jù)中心部署據(jù)中心部署NS5000/ISG2000，一級分行部署，一級分行部署ISG2000, 地地市行采用市行采用500/200系列系列 中國農(nóng)業(yè)發(fā)展銀行：全國數(shù)據(jù)中心和全國各省行均采用中國農(nóng)業(yè)發(fā)展銀行：全國數(shù)據(jù)中心和全國各省行均采用Juniper防火墻，包括防火墻，包括NS5000/ISG/SSG500/NS200/NS50/NS25防火墻。共防火墻。共2000多臺多臺33Copyright 2009 Juniper Networks,

33、 Inc. 近萬臺近萬臺Juniper防火墻防火墻7X24小時在國內(nèi)金融網(wǎng)絡(luò)中運轉(zhuǎn)小時在國內(nèi)金融網(wǎng)絡(luò)中運轉(zhuǎn) 申銀萬國證券：全國營業(yè)部采用申銀萬國證券：全國營業(yè)部采用Juniper SSG140作為網(wǎng)絡(luò)作為網(wǎng)絡(luò)核心，共核心，共218臺臺 中國光大銀行：總行及全國各省行采用中國光大銀行：總行及全國各省行采用Juniper防火墻，包防火墻，包括括NS5200/ISG2000/500/200/100總數(shù)近總數(shù)近200臺臺 中國造幣總公司：全國采用中國造幣總公司：全國采用Junipe防火墻，包括防火墻，包括ISG2000/550 /200系列等系列等 中國郵政儲蓄：總部及全國各省行采用中國郵政儲蓄：總部

34、及全國各省行采用Juniper 500防火墻防火墻 中國人民銀行：部分分行采用中國人民銀行：部分分行采用 Juniper防火墻防火墻 深圳發(fā)展銀行：部分分行采用深圳發(fā)展銀行：部分分行采用Juniper 防火墻防火墻 上海證券交易所上海證券交易所 上海金融期貨交易所上海金融期貨交易所34Copyright 2009 Juniper Networks, Inc. 中國農(nóng)業(yè)發(fā)展銀行骨干網(wǎng)安全應(yīng)用中國農(nóng)業(yè)發(fā)展銀行骨干網(wǎng)安全應(yīng)用35Copyright 2009 Juniper Networks, Inc. 農(nóng)發(fā)行農(nóng)發(fā)行Juniper安全解決方案的應(yīng)用安全解決方案的應(yīng)用 中國農(nóng)業(yè)發(fā)展銀行通過對多家安全產(chǎn)品的測試和了解，最終選定Juniper 防火墻產(chǎn)品 農(nóng)發(fā)行在總行和全國各級分行的主干網(wǎng)邊界部署了共兩千多臺Juniper Netscreen防火墻，隔離各級網(wǎng)和分行之間的相互影響，降低網(wǎng)絡(luò)面臨的潛在威脅 除縣行外，所有防火墻均采用雙機HA結(jié)構(gòu)，冗余心跳連接保證了結(jié)構(gòu)本身的穩(wěn)固性 在安全策略上，只允許業(yè)務(wù)相關(guān)流量進出主干網(wǎng)，對所有非授權(quán)流量進行阻擋和日志記錄 在管理上采用獨立維護，統(tǒng)一監(jiān)管的方法36Copyrigh