Презентация для доклада, сделанного в рамках конференции Juniper New Network Day 01.01.2014. Докладчик -- Senior System Engineer компании Juniper Networks Павел Живов. Видеозапись этого доклада с онлайн-трансляции конференции вы можете увидеть здесь: http://www.youtube.com/watch?v=5LjRsAByfIw

1. 1 Copyright © 2014 Juniper Networks, Inc. www.juniper.net
Функционал UTM в
универсальных шлюзах
безопасности Juniper SRX
Павел Живов
Системный инженер
pzhivov@juniper.net
13 мая 2014 г.

2. 2 Copyright © 2014 Juniper Networks, Inc. www.juniper.net
БОГАТЫЙ ФУНКЦИОНАЛ ПО ОБЕСПЕЧЕНИЮ
БЕЗОПАСНОСТИ
Блокирование доступа к недоверенным и
запрещенным сайтам
Web-фильтрация
Антивирус Защита от вирусов, троянов, шпионского ПО и
т.п.
Антиспам
IPS
МСЭ (Firewall), VPN, Unified Access Control
Блокирует передачу неразрешенных
файлов
Контентная фильтрация
Внутр.
угрозы
Внешние
угрозы
INTERNET
Обнаруживает и блокирует
атаки, червей, троянов, DoS-атаки (L4 &
L7), сканирования
AppSecure
Базовые функции безопасности
Классификация трафика на уровне
приложений, применение политик на уровне
приложений и пользователей
Защищает от спама и фишинга

3. 3 Copyright © 2014 Juniper Networks, Inc. www.juniper.net
Мультисервисные шлюзы SRX-серии
100G
До 300 Gbps пропускной
способности МСЭ и 100 млн.
одновременных сессий
High-End SRX
Единая ОС Junos
Высокая производительность и масштабируемостьМаршрутизация, коммутация и безопасность
1G
10G
Branch SRX
SRX3400
SRX100
SRX210
SRX220
SRX240
SRX650
ФИЛИАЛ КАМПУС ЦЕНТР ОБРАБОТКИ ДАННЫХ
SRX110
SRX550
SRX1400
SRX3600
SRX5400
SRX5800
SRX5600

4. 4 Copyright © 2014 Juniper Networks, Inc. www.juniper.net
UTM
Антивирус
Антиспам
1
2
Веб-фильтрация3
Контентная-фильтрация4

5. 5 Copyright © 2014 Juniper Networks, Inc. www.juniper.net
ПОДДЕРЖКА В КЛАСТЕРЕ
Следующие функции работают в кластере (stateless):
 Антиспам
 Антивирус (Kaspersky, Express, Sophos)
 Контентная фильтрация
 Веб-фильтрация
 Лицензии должны быть установлены на всех узлах кластера
Redundancy
Group
Control
Data
Active/Passive Active/Active
SRXSRX
EX
RG 1 RG 2
Control
Data
SRXSRX
EX EX
Internet Internet

6. 6 Copyright © 2014 Juniper Networks, Inc. www.juniper.net
UTM. АНТИВИРУС. ТИПЫ
Kaspersky полный файловый антивирус
Антивирус Kaspersky Express
1
2
Антивирус Sophos (облачный)*3
 Функционал требует лицензии
*Поддерживается на HighEnd SRX

7. 7 Copyright © 2014 Juniper Networks, Inc. www.juniper.net
SRX использует SBL (spam block list) от внешнего сервера
(Sophos) или собственные списки для определения
источников рассылки спама
Internet
Сервер SMTP
Недоверенная
зона
Доверенная зона
Зона
DMZ
Сервер
SBL
SRX
Офисная сеть филиала
UTM. АНТИСПАМ
 Функционал требует лицензии

8. 8 Copyright © 2014 Juniper Networks, Inc. www.juniper.net
UTM. АНТИСПАМ. ПРИНЦИП РАБОТЫ
 SRX разрешает адрес отправителя письма (домена) через DNS с
указанием SBL как авторитетного домена
 DNS-сервер пересылает запрос к SBL, который отвечает DNS-
серверу. DNS-сервер отвечает SRX
 SRX интерпретирует ответ для определения источника как спам
или не спам
Входящие
письма
Internet
SRX
Сервер
SMTP
Локальный
пользовател
ь

9. 9 Copyright © 2014 Juniper Networks, Inc. www.juniper.net
UTM. ВЕБ-ФИЛЬТРАЦИЯ. ТИПЫ
Веб-фильтрация Websense
(облачный сервис)*
1
*Функционал требует лицензии
2
Расширенная веб-фильтрация Websense
(облачный сервис)*
3
Веб-фильтрация с перенаправлением на
локальный сервер Websense
4 Веб-фильтрация по локальным спискам

10. 10 Copyright © 2014 Juniper Networks, Inc. www.juniper.net
ВЕБ-ФИЛЬРАЦИЯ WEBSENSE
(INTEGRATED SURFCONTROL)
 Из HTTP-запроса пользователя извлекается URL и отправляется в
запросе в облачный сервис Websense
 Сервис Websense возвращает категорию
 SRX блокирует или разрешает на основе категории, ведет кэш
 База Websense содержит около 40 категорий
Веб-
сервер
Сервер
SurfControl
WebSense
SRX
Пользовате
ль
Internet
Запрос HTTP
Запрос URL
Категория

11. 11 Copyright © 2014 Juniper Networks, Inc. www.juniper.net
РАСШИРЕННАЯ ВЕБ-ФИЛЬРАЦИЯ WEBSENSE
(ENHANCED WEB FILTERING) поддерживается начиная с Junos 11.4r1
 Логика работы аналогична Integrated SurfControl
 Для HTTPS-запроса на Websense TSC (ThreatSeeker Cloud)
отправляется IP-адрес ресурса
 База Websense содержит более 95 категорий
 Возвращается репутация ресурса
 Опция включения SafeSearch для поисковиков
В реальном времени:
Категоризация URL
Репутация веб-ресурса
Сервер
Websense
TSC
Запрос категории
URL
Категория
URL,
Репутация
Запрос
HTTP или
HTTPS
Категория
разрешен
а
SRX
Пользовате
ль
Веб-
сервер

12. 12 Copyright © 2014 Juniper Networks, Inc. www.juniper.net
ПЕРЕНАПРАВЛЕНИЕ НА ЛОКАЛЬНЫЙ СЕРВЕР
WEBSENSE (REDIRECT)
 Логика работы аналогична Integrated SurfControl, но
 Запросы перенаправляются на локальный сервер Websense
 База Websense содержит более 95 категорий
 Не требует лицензии на SRX
Локальный
сервер
Websense
SRX
Internet
Перенаправлени
е
Пользовате
ль
Запрос HTTP
Веб-
сервер

13. 13 Copyright © 2014 Juniper Networks, Inc. www.juniper.net
ЛОКАЛЬНЫЕ СПИСКИ ВЕБ-ФИЛЬТРАЦИИ
Локальные черный и белый списки:
 Используются списки, настроенные вручную на SRX
 Могут использоваться совместно с другими вариантами веб-
фильтрации (SurfControl, Enhansed Websense, Redirect)
 Не требуют лицензии на SRX
SRX
Internet
Пользовате
ль
Запрос HTTP
Веб-
сервер

14. 14 Copyright © 2014 Juniper Networks, Inc. www.juniper.net
UTM. КОНТЕНТНАЯ ФИЛЬТРАЦИЯ
 Фильтрует трафик на основе таких параметров как:
 Протокольные команды для поддерживаемых протоколов
(например, HTTP POST, FTP DELE и т.д.)
 Тип контента: ActiveX, Java applets, исполняемые файлы
Windows (exe), HTTP cookies и файлы ZIP
 Блокировка передаваемых файлов по расширению
 Поддерживается для HTTP, FTP, SMTP, POP3, IMAP
 Не требует лицензии
 Пользователь уведомляется о блокировке двумя способами:
 Сообщение в протоколе
 По электронной почте

15. 15 Copyright © 2014 Juniper Networks, Inc. www.juniper.net
ВОПРОСЫ