Сервисы NFV


Published on

Презентация для доклада, сделанного в рамках конференции Juniper New Network Day 01.01.2014.

Докладчик -- Senior System Engineer компании Juniper Дмитрий Карякин.

Видеозапись этого доклада с онлайн-трансляции конференции вы можете увидеть здесь: http://www.youtube.com/watch?v=yqINtev0zdA

Published in: Technology
  • Be the first to comment

  • Be the first to like this

No Downloads
Total views
On SlideShare
From Embeds
Number of Embeds
Embeds 0
No embeds

No notes for slide
  • Virtual version of the SRX; provides north / south firewall (5Gbps), NAT, routing, VPN connectivity features in a flexible virtual machine format
  • Security & Routing functionality delivered as a virtual machine Junos delivered as a virtual appliance on a choice of Hypervisors Runs on standard x86 hardwareFull, proven Junos security and routing protocol suiteLeverages proven SRX & VJX technologyPerformance optimizedSMP kernel & multi-threaded flowd over multiple vCPUsSupports Hypervisor VM functionalityExample: vMotion, snapshots, HA/FT, Cloning, Management etc.Note: Main code from SRX with modules like UTM and IDP, AppSecure coming in future builds
  • This slide is a build
  • Network visibility:All VM traffic flows stored in database and available for analysisBenefits:Visibility to all VM communicationsAbility to spot design issues with security policiesSingle click to more detail on VMsBenefits:Know exactly how VMs are communicating on virtual network (complete flow information). Know which physical systems are connecting to virtual systems!Spot design issues or problems with security policies (web servers using FTP, Tier 1 VMs talking directly to Tier 3)Click on a single VM in the left-hand pane to see VM details like host, IP address, VM events, etc_____________________________________________________________________________________Reports Pre-defined and customizable reports covering all of solution modulesBenefits:Generate reports in PDF or CSV formatsAutomatically send scheduled reports via email or store directly Scoping mechanism isolates contents (Customer/Dept A’s VMs never show up in Customer/Dept B’s report)___________________________________________________________________________Compliance The compliance module includes pre-defined rules based on virtual security best practices and an engine so customers can define their own rules.vGW lets VM administrators define and report on the conditions that constitute compliant operation, both corporate and regulatory, in their environment.Most administrators will build rules to reflect compliance violations. However, vGW’s UIs allows for the building of “whitelists” or desired configurations, and “blacklists” or unwanted conditions. vGW continuously monitors all VMs, including newly created ones to report on the security posture of each one and on the network as a whole. Virtual network administrators can see their aggregate compliance posture at a glance and drill down on each VM to identify risk mitigating actions. Benefits:Define rules on any VM or VM group (alerts and reports for compliance rule violations)Automatically quarantine VMs into an isolated network if they violate a ruleRules relevant to both VM and host configurationEnhanced rule editor for intuitive manipulation of attributes
  • Normal Internet traffic flows through the DDoS Secure Appliance, while the software analyses the type, origin, flow, data rate, sequencing, style and protocol being utilised by all inbound and outbound traffic. The analysis is heuristic in nature and adjusts over time but is applied in real time, with minimal (store and forward) latency.
  • Low scale PEs
  • Сервисы NFV

    1. 1. Copyright © 2014 Juniper Networks, Inc.1 Copyright © 2014 Juniper Networks, Inc. Сервисы NFV ДМИТРИЙ КАРЯКИН dkaryakin@juniper.net JNCIE-ENT #428 АПРЕЛЬ 2014
    2. 2. Copyright © 2014 Juniper Networks, Inc.2 ОБЗОР ВИРТУАЛЬНЫХ СЕРВИСОВ • Virtual MX • Virtual Route Reflector • Virtual Routing Engine • Virtual PE • Virtual CPE • Virtual Cell Site Router СЕТЬБЕЗОПАСНОСТЬ • Firefly Perimeter • Firefly Host • Junos Space Virtual Director • DDoS Secure • WebApp Secure • Virtual Secure Access • Secure Analytics Virtual • Virtual Wireless Lan Controller (vWLC) • SmartPass • SmartPass Connect • Virtual CGN • Virtual CDN • Virtual Junos Content Encore ПРИЛОЖЕНИЯ
    3. 3. Copyright © 2014 Juniper Networks, Inc.3 FIREFLY PERIMETER Firefly Perimeter VMVM Виртуальная версия SRX; межсетевое экранирование 5 Гбит/с; NAT, маршрутизация, VPN связность в формате виртуальной машины Официально доступен с января 2014 для Vmware и Contrail VM VM Secure
    4. 4. Copyright © 2014 Juniper Networks, Inc.4 FIREFLY PERIMETER Firewall VPN NAT Network Admission Control Безопасность Anti-Virus IPS / IDP Web Filtering Anti-Spam Контент Application Awareness Identity Awareness Приложения CLI, JWeb, SNMP, JSpace- SD, Hypervisor Management, HA/FT Junos Routing Protocols и SDK Богатый и расширяемый стек безопасности JunOS Основан на проверенном и полнофункциональном коде Junos SRX
    5. 5. Copyright © 2014 Juniper Networks, Inc.5 ОТКАЗОУСТОЙЧИВОСТЬ И ВЫСОКАЯ ДОСТУПНОСТЬ FIREFLY PERIMETER Firefly Perimeter поддерживает кластеризацию шасси в режиме Active/Active и Active/Passive. Переключение между устройствами обеспечивается с сохранением всех пользовательских сессий. HYPERVISOR VM VM Virtualized Environment HYPERVISOR VM VM Virtualized Environment Firefly Perim Customer 1 (Active) Firefly Perim Customer 1 (Passive) Firefly Perim Customer 2 (Active) Firefly Perim Customer 2 (Passive)
    6. 6. Copyright © 2014 Juniper Networks, Inc.6 МОНИТОРИНГ И КОНТРОЛЬ • Провижининг - создание и управление экземплярами Firefly perimeter • Загрузчик – включение конфигурации для новых экземпляров ВМ • Мониторинг – управление отчетностью • Автоматизация – пошаговое выполнение задач JUNOS SPACE VIRTUAL DIRECTOR
    7. 7. Copyright © 2014 Juniper Networks, Inc.7 Интегрированное решение безопасности в ядро гипервизора, межсетевое экранирование 35+ Гбит/с, антивирус, IDS, самоинспекция, мониторинг сети ДОСТУПЕН ДЛЯ VMWARE, ДЛЯ CONTRAIL БУДЕТ В 2014 FIREFLY HOST (VGW) Firefly Host Engine VM VM1 VM2 VM3 VMWARE DVFILTER VMWARE VSWITCH OR CISCO 1000V HYPERVISOR ESXKernel ESXHost Firefly Host SECURITY VM • POLICY FROM MGMT TO ENGINE • LOGGING FROM ENGINE TO MGMT • IDS ENGINE • DEPLOYED AS HA PAIR • DELIVERED AS VIRTUAL APPLIANCE The Firefly Host ENGINE • FULL FW IMPLEMENTATION IN THE KERNEL • STATEFUL FW • PER-VM POLICY
    8. 8. Copyright © 2014 Juniper Networks, Inc.8 JUNOS DDOS SECURE Предотвращение атак «volumetric» и «Low and Slow» на приложения Эвристический анализ Легитимный трафик Трафик DDoS атаки Легитимный трафик Преимущества Комплексное Анти-DDoS решение • Детектирование и минимизация мультивекторных DDoS атак, включая определенные приложения • Обеспечивает доступность ресурсов для легитимных пользователей, блокируя нежелательный трафик • Эффективен на 80% через 10 мин. после установки • Эффективен на 99.999% через 6-12 часов • Динамическая безсигнатурная эвристическая технология • Не требуется подстройка порогов сброса • Гибкие варианты развертывания: физическое устройство или виртуальная машина
    9. 9. Copyright © 2014 Juniper Networks, Inc.9 Механизм ловушек для обнаружения угроз без ложных срабатываний Трекинг по IP, браузеру, ПО и другим параметрам Оценка возможностей и намерений злоумышленника Адаптивная реакция: блокирование, предупреждения, обман Защита web-приложений на основе обмана злоумышленников JUNOS WEBAPP SECURE Детектирование Отслеживание Профилирование Реакция
    10. 10. Copyright © 2014 Juniper Networks, Inc.10 Безопасный удаленный доступ по SSL VPN VIRTUAL SECURE ACCESS ЦОД предприятия Виртуальная SSL VPN инфраструктура AAA Data Server Apps Server Finance Server ЦОД оператора или крупного предприятия Публичная сеть Apps Мобильные пользователи Сервис включен внутри виртуальной инфраструктуры Предназначен для больших инсталляций Работает на различных платформах Обеспечивает маршрутизацию контента с минимальной задержкой и максимальной полосой Поддерживает Junos Pulse Secure Access Service
    11. 11. Copyright © 2014 Juniper Networks, Inc.11 Централизованная система логирования, мониторинга и отчетности Основан на Q1-Labs, ранее - STRM SECURE ANALYTICS (JSA) • Сокращает OPEX • Сохраняет данные о событиях и потоках данных в едином хранилище • Поддерживает конфигурации для различных производителей • Совместимость • Преднастроенные отчеты COBIT, FISMA, GLBA, GSX-Memo22, HIPAA, NERC, PCI и SOX • Сбор потоков по протоколам NetFlow 1,5,7,9; IPFIX, JFlow, SFlow, QFlow, Packeteer • Улучшает визуализацию • Поддерживает отчетность и графики для любых событий • Коллектор flow-потоков позволяет выполняет проактивные действия • Улучшает детектирование • Механизм JSA фиксирует нарушения и аномалии • Встроенная поддержка GeoIP и репутации • Масштабируемость • Поддерживает до 7M событий в секунду • Поддерживает распределенный сбор данных о событиях и потоках
    12. 12. Copyright © 2014 Juniper Networks, Inc.12 Виртуальный контроллер беспроводной инфраструктуры JUNOSV WIRELESS LAN CONTROLLER • Применяется код программного обеспечения WLC на виртуальной машине • Работает на стандартном x86 аппаратном обеспечении • Поддерживает весь функциональный набор аппаратного контроллера • Допускает смешанную кластеризацию совместно с аппаратными контроллерами • Пропускная способность и количество пользовательских сессий зависят от выделенных ресурсов для ВМ • Максимально 500 точек доступ и 6400 пользовательских сессий • Поддерживает функционал гипервизора: vMotion, snapshots, cloning, templates VMWare vCenter VM VM VM VM Virtual Distributed Switch WLC Hypervisor on x86 HW JunosV WLC EX Series WLAAccess Points
    13. 13. Copyright © 2014 Juniper Networks, Inc.13 Приложение для управления гостевым доступом SMARTPASS • Модуль гостевого доступа • Легкое управление • API для интеграции с внешними приложениями • Авто-регистрация и рассылка пароля доступа через SMS / Email • Политики доступа основанные на MAC адресе гостевого устройства • База данных пользователей сервиса • Детальная информация об устройствах использовавших приложение • Модуль политик доступа • Поддержка RFC 3576 (Dynamic Radius) позволяет изменять атрибуты авторизации или отключать клиентские сессии • Местоопределение устройств • Позволяет разрешать или блокировать доступ в зависимости от местонахождения устройства • Позволяет менять любой AAA атрибут в зависимости от местонахождения устройства • Политики доступа (на основе местоположения, на основе времени, или комбинация обоих) Centralized Guest Access Database
    14. 14. Copyright © 2014 Juniper Networks, Inc.14 Автоматическое самообслуживание устройств BYOD SMARTPASS CONNECT • Автоматическое подключение BYOD устройств • Безопасный доступ (802.1x или PSK) к беспроводной сети • Безопасный доступ 802.1x к проводной сети • Аутентификация • Использует встроенные в ОС supplicants • Credentials (PEAP, TTLS) или Certificates (TLS) • Автоматический процесс запроса и установки сертификата на клиентском устройстве • Устройства • iOS, Android, Windows, Mac
    15. 15. 15 Copyright © 2014 Juniper Networks, Inc. VIRTUAL MX Описание • Junos virtual “MX” running on x86 • Control and forwarding planes Примечание • < 1GB per instance requirement – availability 2014 • > 1GB per instance – availability 2015 Доступность • 2014+
    16. 16. 16 Copyright © 2014 Juniper Networks, Inc. Описание • Junos Virtual Route Reflector • Virtualization of RR changes the delivery/deployment model of RR to add service agility • Faster RR CPUs allow larger network segments controlled by one RR – lower the number of RRs required in a network Примечание • Junos 13.3R2 • Sample CPU: 16-core Intel Xeon E5620 2.4GHz, 48GB RAM Доступность • 2014 VIRTUAL ROUTER REFLECTOR (VRR)
    17. 17. 17 Copyright © 2014 Juniper Networks, Inc. Описание • Decouple the hardware and functions from a physical CPE to a virtual CPE • Network services with cloud service attributes • Simple, on-demand, access/device independent • Reduction in support costs • Faster time to market Примечание • Junos 13.2 • Junos Space Cloud CPE Application • Phase 2+ - Service Chaining Доступность • 2013 – Phase 1 VIRTUAL CPE (VCPE)
    18. 18. 18 Copyright © 2014 Juniper Networks, Inc. Описание • Junos Content Encore Примечание • High performance caching and request routing engines for use in content delivery and multiscreen solutions • Transparent caching and content optimizations • HTTP proxy and HTTP header manipulation services Доступность • 2014 VIRTUAL CACHE
    19. 19. Copyright © 2014 Juniper Networks, Inc.19 Copyright © 2013 Juniper Networks, Inc. ВОПРОСЫ?