More Related Content
Similar to Развитие решений безопасности Juniper
Similar to Развитие решений безопасности Juniper (20)
More from Sergii Liventsev
More from Sergii Liventsev (8)
Развитие решений безопасности Juniper
- 2. JUNIPER NETWORKS ПРЕДЛАГАЕТ РЕШЕНИЯ ПО
БЕЗОПАСНОСТИ В СЛЕДУЮЩИХ ОБЛАСТЯХ
По типу использования:
Защита корпоративной сети
Защита ресурсов ЦОД
Защита хостинг сервисов
Защита сервиc провайдеров /MSSP
По функционалу использования:
1. Защиты периметра сети -межсетевые экраны cерии SRX
2. Защита виртуальных сред- vGW/vSRX
3. Защита веб-серверов –программное обеспечение Mykonos Web Security
4. Контроль доступа к сети и контроллеры удаленного доступа- MAG серия
5. Управление компонентами и устройствами безопасности -Junos Space
6. Мониторинг событий безопасности -STRM серия
7. Защита мобильных устройств –Junos Pulse Mobile Security
2 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 3. МЕЖСЕТЕВЫЕ ЭКРАНЫ.
JUNIPER SRX
3 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 4. Портфель продуктов BRANCH SRX
Масштабирование платформ от 1G до 10G
ПО Junos для Безопасности, Маршрутизации и Коммутации
+ Больше LAN слотов, Двойной
ИП, + Горячая замена
SRX650
+ 4 WAN слота,
16 x GigE, PoE
+ 2 WAN слота, SRX240
8 x GigE, PoE Новое
SRX220
WAN слота,
2 x GigE, PoE
Новое SRX210 SRX550
2mPIM+6GPIM WAN слотов,
SRX110 10 x GigE, PoE, Двойной ИП
SRX100
Малый – Средний Крупный/
Малый Офис офис Региональный офис
4 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 5. SRX РАСШИРЕННЫЕ ФУНКЦИИ БЕЗОПАСНОСТИ
ИНТЕРНЕТ
Внешние Внутренние
угрозы угрозы
IDP определение/блокирование Червей,
IPS Троянов, DoS (L4 & L7), Сканирований
Видимость на уровне приложений и классификация
AppSecure Политики на уровне приложений до
пользовательских ролей
Блокирование доступа к запрещенным сайтам
Расширенная Web фильтрация Оценка каждого URL в реальном масштабе
времени
Блокирование вирусов, троянов на базе
Антивирус файлов или шпионского ПО, вредоносное ПО и
Кей логгеры
Антиспам Блокирование спама/ Фишинга
SRX Серия блокирует передачу файлов
Фильтрация контента для обеспечения предотвращения утечки
данных
Основная безопасность Firewall, VPN, Единый контроль доступа
5 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 6. ПРОИЗВОДИТЕЛЬНОСТЬ BRANCH SRX
FEATURES SRX100 SRX210E SRX220 SRX240 SRX550 SRX650
(110)
2 x GE + 6 x
On-board Ethernet 8 x FE 8 x GE 16 x GE 6 x GE + 4 x SFP 4 x GE
FE
Memory/Flash 1 GB / 1 GB 1 GB / 1 GB 1 GB / 1 GB 1 GB* / 1 GB 2 GB* / 2 GB 2 GB / 2 GB
Power over Ethernet (802.3af, 4 ports, 8 ports GE, 16 ports GE, 40 Port GE, 250 48 ports GE,
802.3at)
None
50 W total 120 W 150 W W or 500 W 250 W or 500 W
2 x mini PIM + 4
WAN slots None (1) 1 x mini PIM 2 x mini PIM 4 x mini PIM 8 x GPIM
x GPIM
USB ports (flash) 1 (2) 2 2 2 2 2 per processor
JUNOS Software version
support
JUNOS 11.1* JUNOS 11.1* JUNOS 11.1* JUNOS 11.1* JUNOS 12.1 JUNOS 11.1*
Routing YES YES YES YES YES YES
Content Security Acceleration
(IPS, ExpressAV)
No YES YES YES YES YES
Firewall performance (Large
Packets)
700 Mbps 850 Mbps 950 Mbps 1.8 Gbps 5.5 Gbps 7.0 Gbps
Firewall performance (IMIX) 200 Mbps 250 Mbps 300 Mbps 600 Mbps 1.7 Gbps 2.5 Gbps
Firewall performance (Firewall
+ Routing PPS 64byte)
70 Kpps 95 Kpps 125 Kpps 200 Kpps 700 Kpps 850 Kpps
IPSec VPN throughput 65 Mbps 85 Mbps 100 Mbps 300 Mbps 1.0 Gbps 1.5 Gbps
Intrusion Prevention System 60Mbps 85 Mbps 100 Mbps 230 Mbps 800 Mbps 1 Gbps
Connections Per Second (CPS) 2K 2.2K 3K 9K 27K 35K
Maximum Concurrent Sessions
(512MB/1GB RAM)
16 K / 32K 32K / 64K 96K 64K / 128K 375K 512 K
Antivirus 25 Mbps 30 Mbps 35 Mbps 85 Mbps 300 Mbps 350 Mbps
6 Copyright © 2012 Juniper Networks, Inc. www.juniper.net A/A or A/P, A/A or A/P,
High Availability A/A or A/P A/A or A/P A/A or A/P A/A or A/P Hot swap GPIMs,
Hot swap GPIMs,
Dual power
Dual power
- 7. НОВЫЙ ПОДХОД К ВОПРОСАМ БЕЗОПАСНОСТИ
THE DYNAMIC SERVICES ARCHITECTURE –SRX HIGH-END SERIES
Масштабируемость –
производительность, ёмкость,
количество услуг
– Самый быстрый в мире firewall
SRX Services Gateways
Кросс-бар фабрика Надежность carrier-
Дополнительные класса
фабрики в шасси
Разделение функций
Масштабируемость
коммутации и управления
Виртуальные очереди
Преимущества единой Резервирование всего
Высочайшая
ОС с единым релизом Надежная ОС
производительность
7 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 8. ПРОДУКТЫ JUNIPER ДЛЯ ИБ В ЦОД
SRX5800
SRX – Новая платформа 16U, 12 slot, 2RE*, 2+1 SCB,
2+2 AC, 3+1 DC, 120/30/30G,
Наращиваемая мощность 10M sess, 350kcps
Широкий функционал
• Firewall
• VPN
• IPS 8U, 6 slot, 2RE*, 1+1 SCB,
SRX5600
2+2 PS, 60/15/15G,
Firewall performance
• Маршрутизация 9M sess, 350kcps (max)
• QoS 150 Gbps
• AppSecure IPS performance(NSS
4.2.1)
• Дополнительные возможности SRX3600 30 Gbps
• Режимы Routed/Transparent 5U, 6+6 CFM, 8+4 GE, 2RE*,
Высокая степень интеграции 2+2 PS, 30/10/10G, 2M sess,
175kcps
SRX3400
3U, 4+3 CFM, 8+4 GE, 2RE*,
1+1 PS, 20/8/8G, 2M sess,
SRX1400 175kcps
3U, 3 CFM, 12GE or 3XGE+9GE , 1+1
PS, 10/2/2G, .5M sess [at FRS],
45kcps
8 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 9. ЛИНЕЙКА ПРОДУКТОВ SRX HIGH END
Результаты с
Junos 10.4 SRX1400 SRX3400 SRX3600 SRX5600 SRX5800
FW 10 Gbps 20 Gbps 30 Gbps 60 Gbps 150 Gbps
VPN 2 Gbps 6 Gbps 10 Gbps 15 Gbps 30 Gbps
IPS 2 Gbps 6 Gbps 10 Gbps 15 Gbps 30 Gbps
PPS 1М 3.5М 6.5М 9М 21М
Количество сессий 0.5М 2.25М / 3М 2.25М/ 6М 9М 12.5М/14М (с
ограничениями)
Новых сессий 45k 175k 175k / 300k 350k 350k
( / with add’l license)
Встроенные порты: GE XGE
10/100/1000Base-T 6 6 8 8
1000Base-X (HA off / on) 6/4 3/1 4 4
10GBase-F 0 3
Максимальное кол-во
GbE (HA off / on) 28/26 25/23 76 108 200 440
10 GbE 2 5 8 12 40 88
9 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 10. ПОЛНОСТЬЮ ПОТОКОВАЯ (FLOW) ОБРАБОТКА ТРАФИКА
Поиск Flow
Классификация
DoS/DDoS
Policing
Сервисы
1.5 Контроль FW/VPN/IDP
Переподписки NAT/Routing
Входящий
пакет
Fabric
Fabric
Network Services
I/O Cards Processing Processing
Cards Cards
Исходящий
пакет
Integrated in SRX5000 IOC
QoS/Shaping
10 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 11. SRX1400
Платформа начального уровня для ЦОД:
Dynamic Services Architecture™
Функционал: FW, IPS, NAT, IPSec VPN, DDoS, QoS, Маршрутизация IPv4/IPv6
Любой сервис для любого трафика
Разделение control and data planes
Общие компоненты с SRX3000
Под управлением Junos
Многопоточность, Модульность
JunOS Script
11 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 12. ЛИНЕЙКА ПРОДУКТОВ SRX3000
Dynamic Services Architecture™
Функциональность: FW, IPS, NAT, IPSec
VPN, DDoS, QoS and routing
Любой сервис для любого трафика
Разделение control and data planes
Универсальное устройство
Двустороннее модульное шасси
Модульная архитектура
SRX3600 – 12 модулей
SRX3400 – 7 модулей
Доступны GbE и 10GbE интерфейсы
Описание модуля Порты Тип
SPC позволяют линейно наращивать
производительность 16-port 10/100/1000 TX 72 or 104 RJ-45
Под управлением JunOS 16-port GbE 68 or 100 SFP
Многопоточность 2-port 10GbE 8 or 12 XFP
Модульность SRX3400 – 4
Service Processing Cards
JunOS Script SRX3600 – 7
12 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 13. ЛИНЕЙКА ПРОДУКТОВ SRX5000
Самый быстрый в мире Firewall
Dynamic Services Architecture™
Функциональность: FW, IPS, NAT,
IPSec VPN, DDoS, QoS, and routing
Любой сервис для любого трафика
Разделение control and data planes
Универсальное устройство
Модульное шасси
SRX5600 – 6 модулей
SRX5800 – 12 модулей
Доступны GbE и 10GbE интерфейсы Описание модуля Порты Тип
SPC позволяют линейно наращивать
производительность 40-port GbE 200 or 440 SFP
Под управлением JunOS 4-port 10GbE 20 or 44 SFP
Многопоточность 16-port GbE FlexIOC 160 or 352 SFP/RJ45
Модульность
4-port 10GbE FlexIOC 40 or 88 SFP
JunOS Script
5 – SRX5600
Max SPCs
11 – SRX5800
13 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 14. ИНТЕЛЛЕКТУАЛЬНАЯ БЕЗОПАСНОСТЬ
ПРЕДСТАВЛЯЕМ APPSECURE
AppSecure – это набор сервисов для работы с приложениями,
созданный для развертывания интеллектуальной безопасности
Решение основывается на существующих интегрированный сервисах
SRX, позволяя создавать более точные политики безопасности
Использует комплексное исследование приложений
14 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 16. VGW И SRX
АРХИТЕКТУРА
Провайдеры Облачных Сервисов сегментируют пользователей с использованием vSRX и
обеспечивают Inter-VM защиту с использованием vGW
vGW (Inter-VM Security)
16 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 17. АРХИТЕКТУРА VGW
Трехкомпонентная модель
Сертифицировано VMware
Защищает каждую VM и 1
гипервизор vCenter Security 2
Design
vGW VM
Отказоустойчивая архитектура
VM1 VM2 VM3
ESX or ESXi Host
1. Security Design (SD) vGW - Взаимодействующие
сервера
виртуальная машина управления (IDS, SIM,
Syslog, Netflow)
3
2. Security VM (SVM) – Пакеты
vGW модуль
устанавливается на каждый ESXi- данных
Ядро VMware
хост
VMWARE API’s
Любой vSwitch
(Standard, DVS, 3rd Party)
3. Модуль ядра гипервизора
ГИПЕРВИЗОР
17 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 18. VGW – СПЕЦИАЛИЗИРОВАННОЕ РЕШЕНИЕ
Межсетевой экран работает на уровне ядра гипервизора
Преимущества: Обеспечивается наиболее эффективный механизм
проверки трафика
Отдельный обработчик МСЭ для каждой VM
Изолированная таблица соединений для каждой VM
Правила и политики переезжают в месте с VM в ходе vMotion
Нет единой точки отказа и узкого места – аппаратного МСЭ
Антивирус и IDS интегрированы в Security VM каждого хоста
Преимущества: Улучшение масштабируемости
Не нужно обновлять сигнатуры на каждой VM
Уменьшается нагрузка на физическую сеть
Уменьшается нагрузка на CPU хоста
Проверка VM во время их бездействия
18 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 19. МОДУЛИ VGW
Общий МСЭ Антивирус Соответствие
Суммарная Управление Антивирусная Готовые и
настраиваемые
информация по политиками МСЭ и защита для VM
правила проверки
угрозам (включая журналами VM заданным
VM на карантине) политикам
Сеть IDS Анализ Отчеты
Отображение Сообщения IDS и Обзор приложений Автоматизирован
потоков данных детальная VM (гостевая OS, ные отчеты по
между VM информация об приложения, патчи всем модулям
атаках и т.д.)
19 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 20. VGW – СЕТЕВАЯ СТАТИСТИКА
Информация обо всех потоках данных VM сохраняется в базе данных и
доступна для анализа
Преимущества:
Анализ всех коммуникаций VM
Анализ соответствия архитектуры политике безопасности
Детальные данные по каждой VM
Вкладка
Connections
отображает
потоки данных
Отображаемый
Область интервал
навигации и времени
выбора VM
20 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 21. VGW – МЕЖСЕТЕВОЙ ЭКРАН
Защита всего трафика между VM
Преимущества: NEW!
Гибкие трехуровневые политики безопасности: Глобальная, Групповая, на уровне VM/vNIC
Политики могут назначаться автоматически на основе свойств VM (Smart Groups)
Помещение VM в карантин в случае нарушения политики
Таблица соединений и правил сохраняется в ходе vMotion
NEW!
Настройка
политики
карантина для
Антивируса,
модуля
Соответствия и
др.
21 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 22. VGW – IDS
Внутренний анализ на наличие атак, а также возможность
отправлять интересующий трафик на внешний IPS
Фильтры позволяют
задать какой трафик
будет проверяться IDS
Сообщения по
источникам и
направлениям
Получение Изменение
детальной периода
информации по времени
каждому позволяют
триггеру проводить
сигнала исторический
тревоги анализ
22 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 23. NEW!
VGW – АНТИВИРУС
Антивирусная защита VM в реальном времени (On-Access)
или периодически (On-Demand)
Преимущества:
Антивирусная проверка по графику без программных агентов
Прямой доступ к виртуальному диску
Сканирование производится из защищенной области
Защита в реальном времени посредством агентов vGW Endpoint
«Легкий» агент позволяет проверять все операции ввода/вывода через Security VM для
подтверждения или карантина
Актуальная версия vGW Endpoint поддерживается автоматически
Архитектура vGW Endpoint имеет два существенных отличия от обычных агентов
Нет нагрузки на RAM и HDD
Сигнатуры хранятся в Security VM, а не в каждой VM
23 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 24. VSRX АРХИТЕКТУРА
Сервис провайдеры предлагают vSRX как услугу для сегментирования ресурсов различных
заказчиков не используя для этого специализированные аппаратные платформы
vSRX (Edge Security)
24 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 25. ФУНКЦИОНАЛ VSRX
Безопасность и Маршрутизация на
одной программной платформе
Junos Routing Protocols and SDK
Junos как виртуальное
устройство Junos Rich & Extensible Security Stack
Perimeter Content
Используется х86 архитектура Application
Firewall Anti-Virus
Полный набор функций Application
безопасности и маршрутизации Awareness
IPS
VPN
Используется проверенная Full IDP Feature Set
платформа SRX
NAT Web Filtering
Оптимизированная Identity
производительность Network Admission Awareness
Control Anti-Spam
SMP ядро
Поддерживает функциональность CLI, JWeb, SNMP, JSpace- SD, Hypervisor Mgmt, HA/FT
Hypervisor VM
Пример: vMotion, снимки,
HA/FT, клонирование,
Управление.
25 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 26. УПРАВЛЕНИЕ VSRX
Управление Virtual Systems Manager
устройством vSRX
Приложение для Junos Space Platform
Точка формирования политики vGW и vSRX
устройств
Поддержка для популярных облачных
инструментов управления
Junos Space – Security Design
vCenter, RHEV-M, SCVMM, ServerCenter
CLI + Junos Scripts
vCloud Director, CloudStack, OpenStack
JWeb
SNMP
Функционал (Life Cycle Management):
STRM (Logging and Reporting),
Syslog, Traceroute Provisioning
Security Insight Bootstrapping
Junos LMS Troubleshooting/Debug
Policy Manager APIs Log management
26 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 27. VSRX ПРИМЕР ИСПОЛЬЗОВАНИЯ
ПРЕДОСТАВЛЕНИЯ СЕРВИСА ПО ПОДПИСКЕ
Заказчик Сервис провайдер
Цель Предложить облачную услугу для среднего и малого бизнеса.
Быстрый ввод новых сервисов
Требование Гибкая масштабируемость
Установка vSRX на архитектуре х86. Каждый из подписчиков услуги
Решение получает свое виртульное устройство с полным функционалом
Virtualized Environment
Заказчик А
Заказчик B Internet
Управляемая
услуга
Заказчиик C
безопасности
27 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 28. ЗАЩИТА ВЕБ-СЕРВЕРОВ.
MYKONOS WEB SECURITY
28 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 29. НАСТОРАЖИВАЮЩАЯ СТАТИСТИКА
70%
всех атак совершается на
уровень Web-приложений
Gartner
73%подверглись атакам в течение
последних двух лет через
уязвимости web-приложений
Ponemon Institute
29 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 30. УГРОЗЫ, ИСХОДЯЩИЕ ОТ ХАКЕРОВ
Скрипты & Эксплоиты
Script Kiddie IP-сканирование
Library Attacks Targeted Scans
Целевое сканирование
Общие скрипты и инструменты хакеров Поиск определенных уязвимостей при Поиск уязвимостей определенного сайта
помощи скриптов на многих сайтах
Ботнеты Advanced Persistent Threat (APT)
Высококвалифицированный хакер
Скрипты выполняются зараженными машинами и Сложные, целенаправленные атаки (APT).
осуществляют атаку Неторопливо и аккуратно, чтобы обойти защиту.
Январь Июнь Декабрь
30 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 31. УЯЗВИМОСТИ СТОЯТ ДОРОГО
ИНСТИТУТ PONEMON | ОДНА УКРАДЕННАЯ ЗАПИСЬ СТОИЛА В СРЕДНЕМ $318
Sony
Украденных записей
77 млн.
Кража
информации
Sony Прямые издержи
Судебные издержки Sony
$1-2 млрд. $171 млн.
Ухудшение Снижение 23 дня простоя сети
репутации доходов Потеря заказчиков
31 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 32. ПРЕИМУЩЕСТВА MYKONOS
БЕЗОПАСНОСТЬ НА ОСНОВЕ ОБМАНА ЗЛОУМЫШЛЕННИКА
Обнаружение Отслеживание Профилирование Реагирование
“Ловушки” Отслеживается IP, Понимание Адаптивная
обнаруживают параметры возможностей и реакция,
угрозы без ложных браузера, ОС и намерений включающая
срабатываний скриптов атакующего блокировку
предупреждение и
обман
32 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 33. ПРЕИМУЩЕСТВА MYKONOS
- Ухудшает «экономику» атаки, делая ее очень затратной
для хакера по времени и усилиям
- Защищает от атак «нулевого дня»
- Практически не генерирует ложных тревог
- Обнаруживает атаку еще на этапе рекогносцировки и
блокирует злоумышленника
- Минимальная настройка – работает «из коробки»
- Инновационная технология Intrusion Deception – нет
аналогов на рынке
33 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 34. ОТСЛЕЖИВАНИЕ АТАКУЮЩЕГО НЕ ТОЛЬКО ЧЕРЕЗ
IP-АДРЕС
Отслеживание IP адреса
Отслеживание браузера Отслеживание ПО и скриптов
Цифровой токен Отпечатки системы
Во всех браузерах существует возможность
сохранять различные контрольные данные
34 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 35. РЕАГИРОВАНИЕ И ОБМАН ЗЛОУМЫШЛЕННИКА
Целевое Сканиро-
Хакер, сканиро- вание Скрипты и
Варианты реакции MWS человек Botnet вание IP эксплоиты
Предупреждение
Блокировка
Ввод CAPTCHA
Замедление соединения
Симуляция сбоя
приложения
Принудительны выход
(log-out)
* - Для каждого вида угроз доступны все варианты реакции. Указанные реакции наиболее уместны для указанных видов угроз
35 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 36. ТРИ ТИПА ВНЕДРЕНИЯ
ПО, устанавливаемое
на сервер
Web-сервер База
Виртуальная машина
Облачный сервис
Amazon
36 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 37. РАЗВЕРТЫВАНИЕ MYKONOS WEB SECURITY
Работает
как reverse
INTERNET proxy
Проверка
работы
Juniper Firewall Балансировщик Пул Сервер Сервер базы
нагрузки web-серверов приложений данных
37 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 38. РАЗВЕРТЫВАНИЕ MYKONOS WEB SECURITY
INTERNET
Проверка
работы
Juniper Firewall Пул Сервер Сервер базы
web-серверов приложений данных
Стоит логически на
пути трафика, а не
физически*
* - Для обеспечения доступности Web-ресурса в случае сбоя сервера MWS
38 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 39. ОСНОВНЫЕ КОМПОНЕНТЫ MYKONOS
- HTTP/HTTPS прокси-шлюз
- Модуль безопасности (Security Engine) и база профилей
- Правила реагирования модуля безопасности
- Web-консоль для управления
- Программные процессоры Mykonos
39 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 40. ТИПЫ ПРОЦЕССОРОВ
- Процессоры «ловушек» (Tar Traps)
- Процессоры обнаружения подозрительной активности
- Процессоры отслеживания атакующего
- Процессоры реагирования
40 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 43. ПРИМЕР.
ОТСЛЕЖИВАНИЕ ЗЛОУМЫШЛЕННИКА
Один и тот же
атакующий. Каждый раз
производилась полная
очистка РС
Профиль Rosalinda3374. Без полной Позволяет
очистки PC атакующий распознается проанализировать
даже при смене IP-адреса и работе когда с какого адреса
через Elite proxy работал атакующий
43 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 45. ПРОИЗВОДИТЕЛЬНОСТЬ
- Пропускная способность 1Гбит/с на одном сервере
MWS с 2х6-ядерными CPU
Пример:
Сервер Dell R200 (dual core 3Ghz, 4GB RAM, 1 SAS 5400
rpm HDD):
- 1 сервер – 250 Мбит/с
- 1 мастер + 1 TP – 311 Мбит/с, 4500 запросов/с (+30%)
- 1 мастер + 2 TP – 420 Мбит/с, 6600 запросов/с (+30%)
- 1 мастер + 3 TP – 630 Мбит/с, 9200 запросов/с (+50%)
- 1 мастер + 4 TP – 830 Мбит/с, 12000 запросов/с (+30%)
Средняя задержка – 5…40мс
45 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 46. КОНТРОЛЬ ДОСТУПА К СЕТИ И
КОНТРОЛЛЕРЫ УДАЛЕННОГО ДОСТУПА.
MAG СЕРИЯ
46 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 47. MAG SERIES – УСТОЙСТВА ДЛЯ СЕТЕЙ ЛЮБЫХ
МАСШТАБОВ
1 RU
Поддерживает до100 SSL VPN or 250 UAC
Фиксированная
MAG2600
конфигурация
Один сервис,
пользователей
1U high ½-width (may be deployed side-by-side
MAG4610 in 1U rack space)
Поддерживает до 1000 SSL VPN or 5000 UAC
пользователей
1U, ½-width (may be deployed side-by-side
MAG4611 in 1U rack space)
Поддерживает до 250 application acceleration
пользователей
MAG6610
Поддерживает до 20,000 SSL VPN, 30,000 UAC, или
2,000 application acceleration пользователей
сервисов,модульная
Опциональные модули
MAG6611
конфигурация
Несколько
Поддерживает до 40,000 SSL VPN, 60,000 UAC, or
4,000 application acceleration пользователей
Опциональные модули
MAG8600
Поддерживает до 40,000 SSL VPN, 60,000 UAC
пользователей
10Gb интерфейсы
L4 Server Load Balancer
47 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 48. УПРАВЛЕНИЕ КОМПОНЕНТАМИ И
УСТРОЙСТВАМИ БЕЗОПАСНОСТИ.
JUNOS SPACE
48 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 49. ПОДХОД JUNIPER К УПРАВЛЕНИЮ БЕЗОПАСНОСТЬЮ
РАНЕЕ СЕГОДНЯ
NETWORK & SECURITY MANAGER SECURITY DESIGN
(NSM) (ПРИЛОЖЕНИЕ SPACE)
Лучшие продукт в СЛЕДУЮЩЕЕ ПОКОЛЕНИЕ
течениe 10 лет
МАСШТАБИРУЕМАЯ
АРХИТЕКТУРА SOA
Клиент-серверная
архитектура БЫСТРОЕ WEB
ПРИЛОЖЕНИЕ
ПОСТРОЕННОЕ НА
Отдельная программа ОТКРЫТОЙ ПЛАТФОРМЕ
49 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 50. ЛЕГКАЯ МАСШТАБИРУЕМОСТЬ И РАСШИРЯЕМОСТЬ
ЗА СЧЕТ ПОГРУЖЕНИЯ В JUNOS SPACE
Поддержка Создание SECURITY DESIGN ФОКУСИРУЕТСЯ:
Политики межсетевого экрана
Политики VPN
Оптимизация
Secure Design
Применение
Политики NAT
Политики IPS
Политики AppFW
Наблюдение
RESTful Web Service API
Network Infrastructure SPACE PLATFORM ФОКУСИРУЕТСЯ:
Управление устройствами
Управление модулями
Управление версиями ПО
Управление правами доступа
JUNOS SPACE PLATFORM Аудит
Device Management Interface (DMI)
50 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 51. JUNOS SPACE
ОТКРЫТАЯ, БЕЗОПАСНАЯ, МАСШТАБИРУЕМАЯ ПЛАТФОРМА
Open Network Application Platform
Что такое Junos Space?
Открытая, безопасная и Network Activate, ● Transport OSS ● BSS ● Green/Energy ● End-user Forensics
масштабируемая Activate ● QoS Design ● Ethernet Adapters (MTOSI, OneAPI) ● … others
Design ● Security Design
программная платформа ● Virtual Control ● Service Now
для построения
приложений:
Управление и анализ Juniper Applications 3rd Party Applications
сетевыми элементами
APPLICATIONS
Оптимизирование сетевой
инфраструктуры и RESTful Web Service API
управление через
динамические политики Network Infrastructure
Максимизация сетевой
пользы и
масштабирование
решения при снижении
цены и сложности JUNOS SPACE PLATFORM
Device Management Interface (DMI)
51 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 52. SECURITY DESIGN ВЕРСИЯ 11.4
Основание для Дизайна Безопасности
52 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 53. УПРОЩЕНИЕ УПРАВЛЕНИЯ ЗА СЧЕТ
ИЕРАРХИИ ПОЛИТИК
1 Глобальные политики Безопасные
коммуникации
2 Групповые политики Запретить
Facebook
3 Политики устройств Разрешить
Email
1
Гибкий контроль политик Применить с
Преиму
2 приоритетом
щества
Улучшенная оптимизация 3
Пере-использование политик
53 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 54. ПРОВЕРКА ПОЛИТИК ПЕРЕД ПРИМЕНЕНИЕМ
PUBLISH WORKFLOW
Проверка
Create Policy Schedule updates
Create VPN View Impacted Bulk Update
Create NAT Devices Granularity
Create IPS View CLI Device Status
Signatures Verification
Optimization
Дизайн Изменение
Дизайн и проверка политик перед применением снижает ошибки
Возможность увидеть команды, которые будут отосланы на устройство
Увидеть все команды что будут применены
54 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 56. STRM серия
Intelligent, Integrated, Automated
STRM STRM
STRM STRM STRM
Log Risk
SIEM QFlow VFlow
Manager Manager
Security Intelligence Operating System
Представляет полную картину по
безопасности сети
56 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 57. STRM SIEM
Обзор
STRM SIEM обеспечивает полную прозрачность сети с
возможностью реакции на события безопасности для
защиты компонентов сети от различного вида угроз.
Ключевые особенности:
• Продвинутые механизмы кореляции событий,потоков,
компонентов, топологий, уязвимостей и внешних данных для
идентификации угроз.
• Анализ сетевого трафика для обнаружения приложений
• Управление инцидентами до полного их разрешения
• Масштабируемая архитектура для организаций любых
размеров
57 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 58. STRM SIEM
Ключевые преимущества
• Кореляция событий в реальном времени основанная на новой
технологии in-memory и широкого набора контекстных данных a
• Захват потока и анализ данных позволяющие увидеть трафик
на уровне 7 модели OSI
• Анализ данных инцидентов который сокращает false positives
• Уникальная комбинация поисковых функций и анализ
нормализированных данных
• Масштабируемость подходящая даже для самых крупных сетей
с использованием встроенной СУБД и унифицированной
архитектуры представления данных.
58 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 59. STRM SIEM
Интегрированная консоль
• Интерфейс веб-браузера
• Достук к информации на
основе ролей
• Настраиваемые панели
инструментов
• Статистика достурпная в режиме реального времени
• Улучшенные механизмы просмотра деталей событий
• Легко настраиваемые правила с готовой к работе
конфигурацией
59 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 60. STRM FLOW АНАЛИЗ
STRM предоствляет полную прозрачность трафика собирая flow данные.
(Jflow/NetFlow/Sflow/)
Это предоставляет доступ к следующим данным:
- Top Talkers (на основе портов и ip адресов )
- SNMP polling по интерфейсам ,.
- Сбор статистики Sflow
Анализ QoS
- Flow collection представляет удобную консоль для анализа QoS механизмов.
- Обнаружение аномалии трафика
- Автоматически правила изучают харакстеристики трафика и сигнализурют в
случае его нарушения.
- Высылает предупреждение в случае обнаружения потока информации к
неизвестному хосту
- Обнаруживает сканирования и большие исходящие передачи файлов
60 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 61. ПРИМЕРЫ ВНЕДРЕНИЯ
Небольшая организация - STRMv
Организация средних размеров - STRM-500
Большая организация - STRM-5k + EP:s
Организация с несколькими
отделениями : - STRM-5k + Combo-collectors
61 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 62. STRM ХАРАКТЕРИСТИКИ ПЛАТФОРМ
All-In-One Distributed EP Distributed FP Distributed Distributed
Combo (EP/FP) Console
STRMV Max 1k EPS & Max 1k EPS Max 50kF/m NO Supported
(VM Version of STRM) 50kF/m
STRM-500 Max 500EPS & Max 500 EPS Max 15kF/m Max 500EPS & NO
(JA-STRM500-A2-BSE) 15kF/m 15kF/m
STRM-2500 Max 1250 EPS & Max 2500 EPS Max 50kF/m Max 2500 EPS & NO
(JA-STRM2500-A2-BSE) 25kF/m 50kF/m
STRM-5000-A2 Max 5k EPS & Max 10k EPS Max 600kF/m NO Supported
(JA-STRM5000-A2-BSE) 200kF/m
STRM-5000-NEBS NO Max 20k EPS Max 600kF/m NO NO
(STRM5000-NEBS-A-BSE)
62 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 64. Безопасность мобильных сред с
использованием JUNOS PULSE
Защита в режиме реального времени
Авто обновления
Antivirus Сканирование файлов
И соединений
Фильтрование вхд/исх. трафика
Personal Логирование и предупреждения
Firewall Настраиваемый вид
Secure Access
Блокировка СМС и голосового спама
Черный список
Anti Spam Автоматические правила распознавания
“плохого” трафика
Удаленная блокировка
Loss & Theft Функции восстановления
Protection GPS –обнаружения
Предупреждение о смене SIM
Device Контроль приложений
Control Мониторинг контента
64 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 65. JUNOS PULSE НА СМАРТФОНАХ
Подходит для использования различных приложений
Web VPN (browser-based applications)
Secure Email (secure ActiveSync proxy)
Full Layer 3 Tunnel
Используются технологии:
SSL VPN
Multi-factor authentication
Granular auditing and logging
65 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 66. DELIVER SECURITY TO ALL SMARTPHONE
MARKETS AND USERS
For The Enterprise
Удаляет данные с потерянных
устройств
Сочетает возможности
безопасности и удаленного
доступа в одном приложении
Применяет политики доступа
Сокращает издержки на IT
66 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 67. КОНЦЕПЦИЯ ВЗАИМОДЕЙСТВИЯ
MAG Series
(Junos Pulse Access
Control Service)
y
MAG Series SRX Series
Авторизованный пользователь (Junos Pulse Secure
с личным устройством Access Service and EX Series
Junos Pulse Application
Acceleration Service) WLA Series
802.1X
Switches / APs
Internet Virtual SSL VPN
(Junos Pulse Secure
SRX Series
Access Service)
Авторизованный пользователь с
устройством компании
Клиенты
67 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 69. JUNOS PULSE ДЛЯ РАБОЧИХ СТАНЦИЙ
Junos Pulse
MAG Series Junos Pulse Gateway
PCs & Macs Доступ
Junos Pulse
к
предоставляет:
корпоративному
• Безопасный удаленный
доступ(SSL VPN)*
ресурсу
• Контроль доступа в сеть (
UAC)
• Junos Pulse Application
Acceleration cервисы
Junos Pulse
Smartphones & Tablets
• Junos Pulse Mobile
Security Suite
69 Copyright © 2012 Juniper Networks, Inc. www.juniper.net
- 70. СПАСИБО
ASK-MOSCOW-SE@JUNIPER.NET
70 Copyright © 2012 Juniper Networks, Inc. www.juniper.net