Развитие решений безопасности Juniper

РАЗВИТИЕ РЕШЕНИЙ
БЕЗОПАСНОСТИ JUNIPER
Владимир Леонов
vleonov@juniper.net
18/10/2012

JUNIPER NETWORKS ПРЕДЛАГАЕТ РЕШЕНИЯ ПО
БЕЗОПАСНОСТИ В СЛЕДУЮЩИХ ОБЛАСТЯХ
По типу использования:

 Защита корпоративной сети

 Защита ресурсов ЦОД

 Защита хостинг сервисов

 Защита сервиc провайдеров /MSSP

По функционалу использования:

1. Защиты периметра сети -межсетевые экраны cерии SRX

2. Защита виртуальных сред- vGW/vSRX

3. Защита веб-серверов –программное обеспечение Mykonos Web Security

4. Контроль доступа к сети и контроллеры удаленного доступа- MAG серия

5. Управление компонентами и устройствами безопасности -Junos Space

6. Мониторинг событий безопасности -STRM серия

7. Защита мобильных устройств –Junos Pulse Mobile Security

2 Copyright © 2012 Juniper Networks, Inc. www.juniper.net

МЕЖСЕТЕВЫЕ ЭКРАНЫ.
JUNIPER SRX


Портфель продуктов BRANCH SRX
Масштабирование платформ от 1G до 10G
ПО Junos для Безопасности, Маршрутизации и Коммутации
+ Больше LAN слотов, Двойной
ИП, + Горячая замена
SRX650

+ 4 WAN слота,
16 x GigE, PoE

+ 2 WAN слота, SRX240
8 x GigE, PoE Новое
SRX220
WAN слота,
2 x GigE, PoE
Новое SRX210 SRX550
2mPIM+6GPIM WAN слотов,
SRX110 10 x GigE, PoE, Двойной ИП

SRX100

Малый – Средний Крупный/
Малый Офис офис Региональный офис

SRX РАСШИРЕННЫЕ ФУНКЦИИ БЕЗОПАСНОСТИ

ИНТЕРНЕТ
Внешние Внутренние
угрозы угрозы

IDP определение/блокирование Червей,
IPS Троянов, DoS (L4 & L7), Сканирований

Видимость на уровне приложений и классификация
AppSecure Политики на уровне приложений до
пользовательских ролей
Блокирование доступа к запрещенным сайтам
Расширенная Web фильтрация Оценка каждого URL в реальном масштабе
времени
Блокирование вирусов, троянов на базе
Антивирус файлов или шпионского ПО, вредоносное ПО и
Кей логгеры

Антиспам Блокирование спама/ Фишинга

SRX Серия блокирует передачу файлов
Фильтрация контента для обеспечения предотвращения утечки
данных

Основная безопасность Firewall, VPN, Единый контроль доступа


ПРОИЗВОДИТЕЛЬНОСТЬ BRANCH SRX
FEATURES SRX100 SRX210E SRX220 SRX240 SRX550 SRX650
(110)
2 x GE + 6 x
On-board Ethernet 8 x FE 8 x GE 16 x GE 6 x GE + 4 x SFP 4 x GE
FE
Memory/Flash 1 GB / 1 GB 1 GB / 1 GB 1 GB / 1 GB 1 GB* / 1 GB 2 GB* / 2 GB 2 GB / 2 GB
Power over Ethernet (802.3af, 4 ports, 8 ports GE, 16 ports GE, 40 Port GE, 250 48 ports GE,
802.3at)
None
50 W total 120 W 150 W W or 500 W 250 W or 500 W
2 x mini PIM + 4
WAN slots None (1) 1 x mini PIM 2 x mini PIM 4 x mini PIM 8 x GPIM
x GPIM
USB ports (flash) 1 (2) 2 2 2 2 2 per processor
JUNOS Software version
support
JUNOS 11.1* JUNOS 11.1* JUNOS 11.1* JUNOS 11.1* JUNOS 12.1 JUNOS 11.1*

Routing YES YES YES YES YES YES
Content Security Acceleration
(IPS, ExpressAV)
No YES YES YES YES YES

Firewall performance (Large
Packets)
700 Mbps 850 Mbps 950 Mbps 1.8 Gbps 5.5 Gbps 7.0 Gbps

Firewall performance (IMIX) 200 Mbps 250 Mbps 300 Mbps 600 Mbps 1.7 Gbps 2.5 Gbps
Firewall performance (Firewall
+ Routing PPS 64byte)
70 Kpps 95 Kpps 125 Kpps 200 Kpps 700 Kpps 850 Kpps

IPSec VPN throughput 65 Mbps 85 Mbps 100 Mbps 300 Mbps 1.0 Gbps 1.5 Gbps
Intrusion Prevention System 60Mbps 85 Mbps 100 Mbps 230 Mbps 800 Mbps 1 Gbps
Connections Per Second (CPS) 2K 2.2K 3K 9K 27K 35K
Maximum Concurrent Sessions
(512MB/1GB RAM)
16 K / 32K 32K / 64K 96K 64K / 128K 375K 512 K

Antivirus 25 Mbps 30 Mbps 35 Mbps 85 Mbps 300 Mbps 350 Mbps

6 Copyright © 2012 Juniper Networks, Inc. www.juniper.net A/A or A/P, A/A or A/P,
High Availability A/A or A/P A/A or A/P A/A or A/P A/A or A/P Hot swap GPIMs,
Hot swap GPIMs,
Dual power
Dual power

НОВЫЙ ПОДХОД К ВОПРОСАМ БЕЗОПАСНОСТИ
THE DYNAMIC SERVICES ARCHITECTURE –SRX HIGH-END SERIES
 Масштабируемость –
производительность, ёмкость,
количество услуг
– Самый быстрый в мире firewall

SRX Services Gateways
Кросс-бар фабрика Надежность carrier-
 Дополнительные класса
фабрики в шасси
Разделение функций
 Масштабируемость
коммутации и управления
 Виртуальные очереди
 Преимущества единой Резервирование всего
 Высочайшая
ОС с единым релизом Надежная ОС
производительность


ПРОДУКТЫ JUNIPER ДЛЯ ИБ В ЦОД
SRX5800
SRX – Новая платформа 16U, 12 slot, 2RE*, 2+1 SCB,
2+2 AC, 3+1 DC, 120/30/30G,
 Наращиваемая мощность 10M sess, 350kcps
 Широкий функционал
• Firewall
• VPN
• IPS 8U, 6 slot, 2RE*, 1+1 SCB,
SRX5600
2+2 PS, 60/15/15G,
Firewall performance
• Маршрутизация 9M sess, 350kcps (max)
• QoS 150 Gbps
• AppSecure IPS performance(NSS
4.2.1)
• Дополнительные возможности SRX3600 30 Gbps
• Режимы Routed/Transparent 5U, 6+6 CFM, 8+4 GE, 2RE*,
 Высокая степень интеграции 2+2 PS, 30/10/10G, 2M sess,
175kcps
SRX3400
3U, 4+3 CFM, 8+4 GE, 2RE*,
1+1 PS, 20/8/8G, 2M sess,
SRX1400 175kcps

3U, 3 CFM, 12GE or 3XGE+9GE , 1+1
PS, 10/2/2G, .5M sess [at FRS],
45kcps


ЛИНЕЙКА ПРОДУКТОВ SRX HIGH END

Результаты с
Junos 10.4 SRX1400 SRX3400 SRX3600 SRX5600 SRX5800
FW 10 Gbps 20 Gbps 30 Gbps 60 Gbps 150 Gbps

VPN 2 Gbps 6 Gbps 10 Gbps 15 Gbps 30 Gbps

IPS 2 Gbps 6 Gbps 10 Gbps 15 Gbps 30 Gbps

PPS 1М 3.5М 6.5М 9М 21М

Количество сессий 0.5М 2.25М / 3М 2.25М/ 6М 9М 12.5М/14М (с
ограничениями)

Новых сессий 45k 175k 175k / 300k 350k 350k
( / with add’l license)
Встроенные порты: GE XGE
10/100/1000Base-T 6 6 8 8
1000Base-X (HA off / on) 6/4 3/1 4 4
10GBase-F 0 3
Максимальное кол-во
GbE (HA off / on) 28/26 25/23 76 108 200 440
10 GbE 2 5 8 12 40 88

ПОЛНОСТЬЮ ПОТОКОВАЯ (FLOW) ОБРАБОТКА ТРАФИКА

 Поиск Flow
Классификация
DoS/DDoS
Policing
 Сервисы
1.5 Контроль FW/VPN/IDP
Переподписки NAT/Routing

 Входящий
пакет
Fabric

Fabric
Network Services
I/O Cards Processing Processing
Cards Cards

 Исходящий
пакет
Integrated in SRX5000 IOC

 QoS/Shaping

SRX1400

Платформа начального уровня для ЦОД:
Dynamic Services Architecture™
Функционал: FW, IPS, NAT, IPSec VPN, DDoS, QoS, Маршрутизация IPv4/IPv6
Любой сервис для любого трафика
Разделение control and data planes
Общие компоненты с SRX3000
Под управлением Junos
Многопоточность, Модульность
JunOS Script

ЛИНЕЙКА ПРОДУКТОВ SRX3000
 Функциональность: FW, IPS, NAT, IPSec
VPN, DDoS, QoS and routing
 Любой сервис для любого трафика
 Разделение control and data planes
 Универсальное устройство
Двустороннее модульное шасси
 Модульная архитектура
 SRX3600 – 12 модулей
 Доступны GbE и 10GbE интерфейсы
Описание модуля Порты Тип
 SPC позволяют линейно наращивать
производительность 16-port 10/100/1000 TX 72 or 104 RJ-45
Под управлением JunOS 16-port GbE 68 or 100 SFP
 Многопоточность 2-port 10GbE 8 or 12 XFP
 Модульность SRX3400 – 4
Service Processing Cards
 JunOS Script SRX3600 – 7


ЛИНЕЙКА ПРОДУКТОВ SRX5000
Самый быстрый в мире Firewall
 Функциональность: FW, IPS, NAT,
IPSec VPN, DDoS, QoS, and routing
 Любой сервис для любого трафика
 Разделение control and data planes
 Универсальное устройство
Модульное шасси
 Доступны GbE и 10GbE интерфейсы Описание модуля Порты Тип
 SPC позволяют линейно наращивать
производительность 40-port GbE 200 or 440 SFP
Под управлением JunOS 4-port 10GbE 20 or 44 SFP
 Многопоточность 16-port GbE FlexIOC 160 or 352 SFP/RJ45
 Модульность
4-port 10GbE FlexIOC 40 or 88 SFP
 JunOS Script
5 – SRX5600
Max SPCs
11 – SRX5800

ИНТЕЛЛЕКТУАЛЬНАЯ БЕЗОПАСНОСТЬ
ПРЕДСТАВЛЯЕМ APPSECURE

AppSecure – это набор сервисов для работы с приложениями,
созданный для развертывания интеллектуальной безопасности
 Решение основывается на существующих интегрированный сервисах
SRX, позволяя создавать более точные политики безопасности
 Использует комплексное исследование приложений


ЗАЩИТА ВИРТУАЛЬНЫХ СРЕД.
РЕШЕНИЯ VSRX/VGW


VGW И SRX
АРХИТЕКТУРА
Провайдеры Облачных Сервисов сегментируют пользователей с использованием vSRX и
обеспечивают Inter-VM защиту с использованием vGW
vGW (Inter-VM Security)


АРХИТЕКТУРА VGW
 Трехкомпонентная модель
 Сертифицировано VMware
 Защищает каждую VM и 1
гипервизор vCenter Security 2
Design
vGW VM
 Отказоустойчивая архитектура
VM1 VM2 VM3

ESX or ESXi Host
 1. Security Design (SD) vGW - Взаимодействующие
сервера
виртуальная машина управления (IDS, SIM,
Syslog, Netflow)
3
 2. Security VM (SVM) – Пакеты
vGW модуль

устанавливается на каждый ESXi- данных

Ядро VMware
хост
VMWARE API’s

Любой vSwitch
(Standard, DVS, 3rd Party)
 3. Модуль ядра гипервизора

ГИПЕРВИЗОР


VGW – СПЕЦИАЛИЗИРОВАННОЕ РЕШЕНИЕ
Межсетевой экран работает на уровне ядра гипервизора
Преимущества: Обеспечивается наиболее эффективный механизм
проверки трафика
 Отдельный обработчик МСЭ для каждой VM
 Изолированная таблица соединений для каждой VM
 Правила и политики переезжают в месте с VM в ходе vMotion
 Нет единой точки отказа и узкого места – аппаратного МСЭ

Антивирус и IDS интегрированы в Security VM каждого хоста
Преимущества: Улучшение масштабируемости
 Не нужно обновлять сигнатуры на каждой VM
 Уменьшается нагрузка на физическую сеть
 Уменьшается нагрузка на CPU хоста
 Проверка VM во время их бездействия


МОДУЛИ VGW
Общий МСЭ Антивирус Соответствие
Суммарная Управление Антивирусная Готовые и
настраиваемые
информация по политиками МСЭ и защита для VM
правила проверки
угрозам (включая журналами VM заданным
VM на карантине) политикам

Сеть IDS Анализ Отчеты
Отображение Сообщения IDS и Обзор приложений Автоматизирован
потоков данных детальная VM (гостевая OS, ные отчеты по
между VM информация об приложения, патчи всем модулям
атаках и т.д.)


VGW – СЕТЕВАЯ СТАТИСТИКА
Информация обо всех потоках данных VM сохраняется в базе данных и
доступна для анализа
Преимущества:
 Анализ всех коммуникаций VM
 Анализ соответствия архитектуры политике безопасности
 Детальные данные по каждой VM
Вкладка
Connections
отображает
потоки данных

Отображаемый
Область интервал
навигации и времени
выбора VM


VGW – МЕЖСЕТЕВОЙ ЭКРАН
Защита всего трафика между VM
Преимущества: NEW!

 Гибкие трехуровневые политики безопасности: Глобальная, Групповая, на уровне VM/vNIC
 Политики могут назначаться автоматически на основе свойств VM (Smart Groups)
 Помещение VM в карантин в случае нарушения политики
 Таблица соединений и правил сохраняется в ходе vMotion

NEW!
Настройка
политики
карантина для
Антивируса,
модуля
Соответствия и
др.


VGW – IDS
Внутренний анализ на наличие атак, а также возможность
отправлять интересующий трафик на внешний IPS
Фильтры позволяют
задать какой трафик
будет проверяться IDS

Сообщения по
источникам и
направлениям

Получение Изменение
детальной периода
информации по времени
каждому позволяют
триггеру проводить
сигнала исторический
тревоги анализ


NEW!

VGW – АНТИВИРУС

Антивирусная защита VM в реальном времени (On-Access)
или периодически (On-Demand)
Преимущества:
Антивирусная проверка по графику без программных агентов
 Прямой доступ к виртуальному диску
 Сканирование производится из защищенной области

Защита в реальном времени посредством агентов vGW Endpoint
 «Легкий» агент позволяет проверять все операции ввода/вывода через Security VM для
подтверждения или карантина
 Актуальная версия vGW Endpoint поддерживается автоматически

Архитектура vGW Endpoint имеет два существенных отличия от обычных агентов
 Нет нагрузки на RAM и HDD
 Сигнатуры хранятся в Security VM, а не в каждой VM


VSRX АРХИТЕКТУРА
Сервис провайдеры предлагают vSRX как услугу для сегментирования ресурсов различных
заказчиков не используя для этого специализированные аппаратные платформы
vSRX (Edge Security)


ФУНКЦИОНАЛ VSRX
Безопасность и Маршрутизация на
одной программной платформе
Junos Routing Protocols and SDK
 Junos как виртуальное
устройство Junos Rich & Extensible Security Stack
Perimeter Content
 Используется х86 архитектура Application

Firewall Anti-Virus
Полный набор функций Application
безопасности и маршрутизации Awareness
IPS
VPN
 Используется проверенная Full IDP Feature Set

платформа SRX
NAT Web Filtering
Оптимизированная Identity
производительность Network Admission Awareness
Control Anti-Spam
 SMP ядро

Поддерживает функциональность CLI, JWeb, SNMP, JSpace- SD, Hypervisor Mgmt, HA/FT
Hypervisor VM
 Пример: vMotion, снимки,
HA/FT, клонирование,
Управление.

УПРАВЛЕНИЕ VSRX

Управление Virtual Systems Manager
устройством vSRX

 Приложение для Junos Space Platform
 Точка формирования политики vGW и vSRX
устройств
 Поддержка для популярных облачных
инструментов управления
 Junos Space – Security Design
 vCenter, RHEV-M, SCVMM, ServerCenter
 CLI + Junos Scripts
 vCloud Director, CloudStack, OpenStack
 JWeb
 SNMP
 Функционал (Life Cycle Management):
 STRM (Logging and Reporting),
Syslog, Traceroute  Provisioning
 Security Insight  Bootstrapping
 Junos LMS  Troubleshooting/Debug
 Policy Manager APIs  Log management


VSRX ПРИМЕР ИСПОЛЬЗОВАНИЯ
ПРЕДОСТАВЛЕНИЯ СЕРВИСА ПО ПОДПИСКЕ
Заказчик Сервис провайдер

Цель Предложить облачную услугу для среднего и малого бизнеса.

Быстрый ввод новых сервисов
Требование Гибкая масштабируемость

Установка vSRX на архитектуре х86. Каждый из подписчиков услуги
Решение получает свое виртульное устройство с полным функционалом

Virtualized Environment
Заказчик А

Заказчик B Internet

Управляемая
услуга
Заказчиик C
безопасности

ЗАЩИТА ВЕБ-СЕРВЕРОВ.
MYKONOS WEB SECURITY


НАСТОРАЖИВАЮЩАЯ СТАТИСТИКА

70%
всех атак совершается на
уровень Web-приложений
Gartner

73%подверглись атакам в течение
последних двух лет через
уязвимости web-приложений
Ponemon Institute


УГРОЗЫ, ИСХОДЯЩИЕ ОТ ХАКЕРОВ

Скрипты & Эксплоиты
Script Kiddie IP-сканирование
Library Attacks Targeted Scans
Целевое сканирование
Общие скрипты и инструменты хакеров Поиск определенных уязвимостей при Поиск уязвимостей определенного сайта
помощи скриптов на многих сайтах

Ботнеты Advanced Persistent Threat (APT)
Высококвалифицированный хакер
Скрипты выполняются зараженными машинами и Сложные, целенаправленные атаки (APT).
осуществляют атаку Неторопливо и аккуратно, чтобы обойти защиту.

Январь Июнь Декабрь


УЯЗВИМОСТИ СТОЯТ ДОРОГО
ИНСТИТУТ PONEMON | ОДНА УКРАДЕННАЯ ЗАПИСЬ СТОИЛА В СРЕДНЕМ $318

Sony
Украденных записей
77 млн.

Кража
информации

Sony Прямые издержи
Судебные издержки Sony
$1-2 млрд. $171 млн.
Ухудшение Снижение  23 дня простоя сети
репутации доходов  Потеря заказчиков


ПРЕИМУЩЕСТВА MYKONOS
БЕЗОПАСНОСТЬ НА ОСНОВЕ ОБМАНА ЗЛОУМЫШЛЕННИКА

Обнаружение Отслеживание Профилирование Реагирование
“Ловушки” Отслеживается IP, Понимание Адаптивная
обнаруживают параметры возможностей и реакция,
угрозы без ложных браузера, ОС и намерений включающая
срабатываний скриптов атакующего блокировку
предупреждение и
обман


ПРЕИМУЩЕСТВА MYKONOS
- Ухудшает «экономику» атаки, делая ее очень затратной
для хакера по времени и усилиям

- Защищает от атак «нулевого дня»

- Практически не генерирует ложных тревог

- Обнаруживает атаку еще на этапе рекогносцировки и
блокирует злоумышленника

- Минимальная настройка – работает «из коробки»

- Инновационная технология Intrusion Deception – нет
аналогов на рынке

ОТСЛЕЖИВАНИЕ АТАКУЮЩЕГО НЕ ТОЛЬКО ЧЕРЕЗ
IP-АДРЕС

Отслеживание IP адреса

Отслеживание браузера Отслеживание ПО и скриптов
Цифровой токен Отпечатки системы
Во всех браузерах существует возможность
сохранять различные контрольные данные


РЕАГИРОВАНИЕ И ОБМАН ЗЛОУМЫШЛЕННИКА

Целевое Сканиро-
Хакер, сканиро- вание Скрипты и
Варианты реакции MWS человек Botnet вание IP эксплоиты

Предупреждение 
Блокировка     
Ввод CAPTCHA     
Замедление соединения     
Симуляция сбоя     
приложения

Принудительны выход   
(log-out)
* - Для каждого вида угроз доступны все варианты реакции. Указанные реакции наиболее уместны для указанных видов угроз


ТРИ ТИПА ВНЕДРЕНИЯ

ПО, устанавливаемое
на сервер
Web-сервер База

Виртуальная машина

Облачный сервис
Amazon


РАЗВЕРТЫВАНИЕ MYKONOS WEB SECURITY

Работает
как reverse
INTERNET proxy
Проверка
работы

Juniper Firewall Балансировщик Пул Сервер Сервер базы
нагрузки web-серверов приложений данных


РАЗВЕРТЫВАНИЕ MYKONOS WEB SECURITY

INTERNET

Проверка
работы
Juniper Firewall Пул Сервер Сервер базы
web-серверов приложений данных

Стоит логически на
пути трафика, а не
физически*

* - Для обеспечения доступности Web-ресурса в случае сбоя сервера MWS


ОСНОВНЫЕ КОМПОНЕНТЫ MYKONOS

- HTTP/HTTPS прокси-шлюз

- Модуль безопасности (Security Engine) и база профилей

- Правила реагирования модуля безопасности

- Web-консоль для управления

- Программные процессоры Mykonos


ТИПЫ ПРОЦЕССОРОВ

- Процессоры «ловушек» (Tar Traps)

- Процессоры обнаружения подозрительной активности

- Процессоры отслеживания атакующего

- Процессоры реагирования


WEB-ИНТЕРФЕЙС МОНИТОРА БЕЗОПАСНОСТИ


ПОДРОБНЫЙ ПРОФИЛЬ АТАКУЮЩЕГО

Каждому атакующему
назначается имя

История инцидента

Опасность
атакующего


ПРИМЕР.
ОТСЛЕЖИВАНИЕ ЗЛОУМЫШЛЕННИКА

Один и тот же
атакующий. Каждый раз
производилась полная
очистка РС

Профиль Rosalinda3374. Без полной Позволяет
очистки PC атакующий распознается проанализировать
даже при смене IP-адреса и работе когда с какого адреса
через Elite proxy работал атакующий


ПРИМЕРЫ ОТЧЕТОВ

Детализация инцидентов
по IP-адресу

Обобщенные данные


ПРОИЗВОДИТЕЛЬНОСТЬ
- Пропускная способность 1Гбит/с на одном сервере
MWS с 2х6-ядерными CPU

Пример:

Сервер Dell R200 (dual core 3Ghz, 4GB RAM, 1 SAS 5400
rpm HDD):
- 1 сервер – 250 Мбит/с
- 1 мастер + 1 TP – 311 Мбит/с, 4500 запросов/с (+30%)

Средняя задержка – 5…40мс

КОНТРОЛЬ ДОСТУПА К СЕТИ И
КОНТРОЛЛЕРЫ УДАЛЕННОГО ДОСТУПА.
MAG СЕРИЯ


MAG SERIES – УСТОЙСТВА ДЛЯ СЕТЕЙ ЛЮБЫХ
МАСШТАБОВ
 1 RU
 Поддерживает до100 SSL VPN or 250 UAC
Фиксированная

MAG2600
конфигурация
Один сервис,

пользователей

 1U high ½-width (may be deployed side-by-side
MAG4610 in 1U rack space)
 Поддерживает до 1000 SSL VPN or 5000 UAC

 1U, ½-width (may be deployed side-by-side
MAG4611 in 1U rack space)
 Поддерживает до 250 application acceleration

MAG6610
 Поддерживает до 20,000 SSL VPN, 30,000 UAC, или
2,000 application acceleration пользователей
сервисов,модульная

 Опциональные модули
MAG6611
конфигурация
Несколько

 Поддерживает до 40,000 SSL VPN, 60,000 UAC, or
4,000 application acceleration пользователей
 Опциональные модули

MAG8600

 Поддерживает до 40,000 SSL VPN, 60,000 UAC
 10Gb интерфейсы
 L4 Server Load Balancer


УПРАВЛЕНИЕ КОМПОНЕНТАМИ И
УСТРОЙСТВАМИ БЕЗОПАСНОСТИ.
JUNOS SPACE


ПОДХОД JUNIPER К УПРАВЛЕНИЮ БЕЗОПАСНОСТЬЮ
РАНЕЕ СЕГОДНЯ

NETWORK & SECURITY MANAGER SECURITY DESIGN
(NSM) (ПРИЛОЖЕНИЕ SPACE)

Лучшие продукт в СЛЕДУЮЩЕЕ ПОКОЛЕНИЕ
течениe 10 лет
МАСШТАБИРУЕМАЯ
АРХИТЕКТУРА SOA
Клиент-серверная
архитектура БЫСТРОЕ WEB
ПРИЛОЖЕНИЕ

ПОСТРОЕННОЕ НА
Отдельная программа ОТКРЫТОЙ ПЛАТФОРМЕ


ЛЕГКАЯ МАСШТАБИРУЕМОСТЬ И РАСШИРЯЕМОСТЬ
ЗА СЧЕТ ПОГРУЖЕНИЯ В JUNOS SPACE

Поддержка Создание SECURITY DESIGN ФОКУСИРУЕТСЯ:
Политики межсетевого экрана
Политики VPN
Оптимизация
Secure Design
Применение
Политики NAT
Политики IPS
Политики AppFW
Наблюдение

RESTful Web Service API
Network Infrastructure SPACE PLATFORM ФОКУСИРУЕТСЯ:
Управление устройствами
Управление модулями
Управление версиями ПО
Управление правами доступа
JUNOS SPACE PLATFORM Аудит

Device Management Interface (DMI)


JUNOS SPACE
ОТКРЫТАЯ, БЕЗОПАСНАЯ, МАСШТАБИРУЕМАЯ ПЛАТФОРМА
Open Network Application Platform
Что такое Junos Space?
Открытая, безопасная и Network Activate, ● Transport OSS ● BSS ● Green/Energy ● End-user Forensics
масштабируемая Activate ● QoS Design ● Ethernet Adapters (MTOSI, OneAPI) ● … others
Design ● Security Design
программная платформа ● Virtual Control ● Service Now
для построения
приложений:
 Управление и анализ Juniper Applications 3rd Party Applications
сетевыми элементами
APPLICATIONS
 Оптимизирование сетевой
инфраструктуры и RESTful Web Service API
управление через
динамические политики Network Infrastructure

 Максимизация сетевой
пользы и
масштабирование
решения при снижении
цены и сложности JUNOS SPACE PLATFORM

Device Management Interface (DMI)


SECURITY DESIGN ВЕРСИЯ 11.4

Основание для Дизайна Безопасности


УПРОЩЕНИЕ УПРАВЛЕНИЯ ЗА СЧЕТ
ИЕРАРХИИ ПОЛИТИК

1 Глобальные политики Безопасные
коммуникации

2 Групповые политики Запретить
Facebook

3 Политики устройств Разрешить
Email

1
 Гибкий контроль политик Применить с
Преиму

2 приоритетом
щества

 Улучшенная оптимизация 3
 Пере-использование политик


ПРОВЕРКА ПОЛИТИК ПЕРЕД ПРИМЕНЕНИЕМ
PUBLISH WORKFLOW

Проверка
 Create Policy  Schedule updates
 Create VPN  View Impacted  Bulk Update
 Create NAT Devices  Granularity
 Create IPS  View CLI  Device Status
 Signatures  Verification
 Optimization

Дизайн Изменение

 Дизайн и проверка политик перед применением снижает ошибки
 Возможность увидеть команды, которые будут отосланы на устройство
 Увидеть все команды что будут применены


МОНИТОРИНГ СОБЫТИЙ БЕЗОПАСНОСТИ
STRM


STRM серия

Intelligent, Integrated, Automated

STRM STRM
STRM STRM STRM
Log Risk
SIEM QFlow VFlow
Manager Manager

Security Intelligence Operating System

Представляет полную картину по
безопасности сети


STRM SIEM
Обзор

STRM SIEM обеспечивает полную прозрачность сети с
возможностью реакции на события безопасности для
защиты компонентов сети от различного вида угроз.

Ключевые особенности:
• Продвинутые механизмы кореляции событий,потоков,
компонентов, топологий, уязвимостей и внешних данных для
идентификации угроз.
• Анализ сетевого трафика для обнаружения приложений
• Управление инцидентами до полного их разрешения
• Масштабируемая архитектура для организаций любых
размеров


STRM SIEM
Ключевые преимущества

• Кореляция событий в реальном времени основанная на новой
технологии in-memory и широкого набора контекстных данных a
• Захват потока и анализ данных позволяющие увидеть трафик
на уровне 7 модели OSI

• Анализ данных инцидентов который сокращает false positives
• Уникальная комбинация поисковых функций и анализ
нормализированных данных
• Масштабируемость подходящая даже для самых крупных сетей
с использованием встроенной СУБД и унифицированной
архитектуры представления данных.


STRM SIEM
Интегрированная консоль

• Интерфейс веб-браузера
• Достук к информации на
основе ролей
• Настраиваемые панели
инструментов
• Статистика достурпная в режиме реального времени
• Улучшенные механизмы просмотра деталей событий
• Легко настраиваемые правила с готовой к работе
конфигурацией


STRM FLOW АНАЛИЗ
STRM предоствляет полную прозрачность трафика собирая flow данные.
(Jflow/NetFlow/Sflow/)
Это предоставляет доступ к следующим данным:
- Top Talkers (на основе портов и ip адресов )
- SNMP polling по интерфейсам ,.
- Сбор статистики Sflow

Анализ QoS
- Flow collection представляет удобную консоль для анализа QoS механизмов.

- Обнаружение аномалии трафика
- Автоматически правила изучают харакстеристики трафика и сигнализурют в
случае его нарушения.

- Высылает предупреждение в случае обнаружения потока информации к
неизвестному хосту
- Обнаруживает сканирования и большие исходящие передачи файлов


ПРИМЕРЫ ВНЕДРЕНИЯ

Небольшая организация - STRMv
Организация средних размеров - STRM-500
Большая организация - STRM-5k + EP:s
Организация с несколькими
отделениями : - STRM-5k + Combo-collectors


STRM ХАРАКТЕРИСТИКИ ПЛАТФОРМ
All-In-One Distributed EP Distributed FP Distributed Distributed
Combo (EP/FP) Console
STRMV Max 1k EPS & Max 1k EPS Max 50kF/m NO Supported
(VM Version of STRM) 50kF/m

STRM-500 Max 500EPS & Max 500 EPS Max 15kF/m Max 500EPS & NO
(JA-STRM500-A2-BSE) 15kF/m 15kF/m

STRM-2500 Max 1250 EPS & Max 2500 EPS Max 50kF/m Max 2500 EPS & NO
(JA-STRM2500-A2-BSE) 25kF/m 50kF/m
STRM-5000-A2 Max 5k EPS & Max 10k EPS Max 600kF/m NO Supported
(JA-STRM5000-A2-BSE) 200kF/m
STRM-5000-NEBS NO Max 20k EPS Max 600kF/m NO NO
(STRM5000-NEBS-A-BSE)


ЗАЩИТА МОБИЛЬНЫХ УСТРОЙСТВ.
JUNOS PULSE MOBILE SECURITY


Безопасность мобильных сред с
использованием JUNOS PULSE
Защита в режиме реального времени
Авто обновления
Antivirus Сканирование файлов
И соединений

Фильтрование вхд/исх. трафика
Personal Логирование и предупреждения
Firewall Настраиваемый вид
Secure Access

Блокировка СМС и голосового спама
Черный список
Anti Spam Автоматические правила распознавания
“плохого” трафика

Удаленная блокировка
Loss & Theft Функции восстановления
Protection GPS –обнаружения
Предупреждение о смене SIM

Device Контроль приложений
Control Мониторинг контента


JUNOS PULSE НА СМАРТФОНАХ
Подходит для использования различных приложений
 Web VPN (browser-based applications)
 Secure Email (secure ActiveSync proxy)
 Full Layer 3 Tunnel

Используются технологии:
 SSL VPN
 Multi-factor authentication
 Granular auditing and logging


DELIVER SECURITY TO ALL SMARTPHONE
MARKETS AND USERS
For The Enterprise

Удаляет данные с потерянных
устройств

Сочетает возможности
безопасности и удаленного
доступа в одном приложении

Применяет политики доступа

Сокращает издержки на IT


КОНЦЕПЦИЯ ВЗАИМОДЕЙСТВИЯ
MAG Series
(Junos Pulse Access
Control Service)
y

MAG Series SRX Series
Авторизованный пользователь (Junos Pulse Secure
с личным устройством Access Service and EX Series
Junos Pulse Application
Acceleration Service) WLA Series

802.1X
Switches / APs

Internet Virtual SSL VPN
(Junos Pulse Secure
SRX Series
Access Service)

Авторизованный пользователь с
устройством компании

Клиенты

ПОДДЕРЖИВАЕМЫЕ ВЕРСИИ ОС


JUNOS PULSE ДЛЯ РАБОЧИХ СТАНЦИЙ

Junos Pulse
MAG Series Junos Pulse Gateway
PCs & Macs Доступ
Junos Pulse
к
предоставляет:
корпоративному
• Безопасный удаленный
доступ(SSL VPN)*
ресурсу
• Контроль доступа в сеть (
UAC)
• Junos Pulse Application
Acceleration cервисы

Junos Pulse
Smartphones & Tablets
• Junos Pulse Mobile
Security Suite


СПАСИБО

ASK-MOSCOW-SE@JUNIPER.NET


Развитие решений безопасности Juniper

Развитие решений безопасности Juniper

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Viewers also liked

Viewers also liked (18)

Similar to Развитие решений безопасности Juniper

Similar to Развитие решений безопасности Juniper (20)

More from Sergii Liventsev

More from Sergii Liventsev (8)

Развитие решений безопасности Juniper