Развитие решений безопасности Juniper

РАЗВИТИЕ РЕШЕНИЙ БЕЗОПАСНОСТИ JUNIPER

Владимир Леонов

[email protected]

18/10/2012

2 Copyright © 2012 Juniper Networks, Inc. www.juniper.net

JUNIPER NETWORKS ПРЕДЛАГАЕТ РЕШЕНИЯ ПО БЕЗОПАСНОСТИ В СЛЕДУЮЩИХ ОБЛАСТЯХ

По типу использования:

Защита корпоративной сети

Защита ресурсов ЦОД

Защита хостинг сервисов

Защита сервиc провайдеров /MSSP

По функционалу использования:

1. Защиты периметра сети -межсетевые экраны cерии SRX

2. Защита виртуальных сред- vGW/vSRX

3. Защита веб-серверов –программное обеспечение Mykonos Web Security

4. Контроль доступа к сети и контроллеры удаленного доступа- MAG серия

5. Управление компонентами и устройствами безопасности -Junos Space

6. Мониторинг событий безопасности -STRM серия

7. Защита мобильных устройств –Junos Pulse Mobile Security


МЕЖСЕТЕВЫЕ ЭКРАНЫ. JUNIPER SRX


Портфель продуктов BRANCH SRX

Малый Офис Малый – Средний

офис Крупный/

Региональный офис

SRX220

+ 2 WAN слота,

8 x GigE, PoE

SRX240

+ 4 WAN слота,

16 x GigE, PoE

SRX650

+ Больше LAN слотов, Двойной ИП, + Горячая замена

SRX110

SRX100

Новое SRX210

WAN слота,

2 x GigE, PoE

Масштабирование платформ от 1G до 10G

ПО Junos для Безопасности, Маршрутизации и Коммутации

SRX550

2mPIM+6GPIM WAN слотов,

10 x GigE, PoE, Двойной ИП

Новое


SRX РАСШИРЕННЫЕ ФУНКЦИИ БЕЗОПАСНОСТИ

Блокирование доступа к запрещенным сайтам

Оценка каждого URL в реальном масштабе

времени Расширенная Web фильтрация

Антивирус Блокирование вирусов, троянов на базе

файлов или шпионского ПО, вредоносное ПО и

Кей логгеры

Антиспам

IPS

Firewall, VPN, Единый контроль доступа

SRX Серия блокирует передачу файлов

для обеспечения предотвращения утечки

данных

Фильтрация контента

Внутренние угрозы

Внешние угрозы

ИНТЕРНЕТ

IDP определение/блокирование Червей,

Троянов, DoS (L4 & L7), Сканирований

AppSecure

Основная безопасность

Видимость на уровне приложений и классификация

Политики на уровне приложений до

пользовательских ролей

Блокирование спама/ Фишинга


ПРОИЗВОДИТЕЛЬНОСТЬ BRANCH SRX FEATURES SRX100

(110) SRX210E SRX220 SRX240 SRX550 SRX650

On-board Ethernet 8 x FE 2 x GE + 6 x

FE 8 x GE 16 x GE 6 x GE + 4 x SFP 4 x GE

Memory/Flash 1 GB / 1 GB 1 GB / 1 GB 1 GB / 1 GB 1 GB* / 1 GB 2 GB* / 2 GB 2 GB / 2 GB

Power over Ethernet (802.3af, 802.3at)

None 4 ports,

50 W total 8 ports GE,

120 W 16 ports GE,

150 W 40 Port GE, 250

W or 500 W 48 ports GE,

250 W or 500 W

WAN slots None (1) 1 x mini PIM 2 x mini PIM 4 x mini PIM 2 x mini PIM + 4

x GPIM 8 x GPIM

USB ports (flash) 1 (2) 2 2 2 2 2 per processor

JUNOS Software version support

JUNOS 11.1* JUNOS 11.1* JUNOS 11.1* JUNOS 11.1* JUNOS 12.1 JUNOS 11.1*

Routing YES YES YES YES YES YES

Content Security Acceleration (IPS, ExpressAV)

No YES YES YES YES YES

Firewall performance (Large Packets)

700 Mbps 850 Mbps 950 Mbps 1.8 Gbps 5.5 Gbps 7.0 Gbps

Firewall performance (IMIX) 200 Mbps 250 Mbps 300 Mbps 600 Mbps 1.7 Gbps 2.5 Gbps

Firewall performance (Firewall + Routing PPS 64byte)

70 Kpps 95 Kpps 125 Kpps 200 Kpps 700 Kpps 850 Kpps

IPSec VPN throughput 65 Mbps 85 Mbps 100 Mbps 300 Mbps 1.0 Gbps 1.5 Gbps

Intrusion Prevention System 60Mbps 85 Mbps 100 Mbps 230 Mbps 800 Mbps 1 Gbps

Connections Per Second (CPS) 2K 2.2K 3K 9K 27K 35K

Maximum Concurrent Sessions (512MB/1GB RAM)

16 K / 32K 32K / 64K 96K 64K / 128K 375K 512 K

Antivirus 25 Mbps 30 Mbps 35 Mbps 85 Mbps 300 Mbps 350 Mbps

High Availability A/A or A/P A/A or A/P A/A or A/P A/A or A/P

A/A or A/P, Hot swap GPIMs,

Dual power

A/A or A/P, Hot swap GPIMs,

Dual power


НОВЫЙ ПОДХОД К ВОПРОСАМ БЕЗОПАСНОСТИ THE DYNAMIC SERVICES ARCHITECTURE –SRX HIGH-END SERIES

Кросс-бар фабрика

Дополнительные

фабрики в шасси

Масштабируемость

Виртуальные очереди

Высочайшая

производительность

Надежность carrier-класса

Разделение функций

коммутации и управления

Резервирование всего

Надежная ОС

SRX Services Gateways

Масштабируемость –

производительность, ёмкость,

количество услуг – Самый быстрый в мире firewall

Преимущества единой

ОС с единым релизом


3U, 4+3 CFM, 8+4 GE, 2RE*, 1+1 PS, 20/8/8G, 2M sess,

175kcps

5U, 6+6 CFM, 8+4 GE, 2RE*, 2+2 PS, 30/10/10G, 2M sess,

175kcps

8U, 6 slot, 2RE*, 1+1 SCB, 2+2 PS, 60/15/15G, 9M sess, 350kcps

16U, 12 slot, 2RE*, 2+1 SCB,

2+2 AC, 3+1 DC, 120/30/30G,

10M sess, 350kcps

3U, 3 CFM, 12GE or 3XGE+9GE , 1+1 PS, 10/2/2G, .5M sess [at FRS],

45kcps

SRX3600

SRX5800

SRX5600

SRX3400

SRX1400

SRX – Новая платформа Наращиваемая мощность Широкий функционал

• Firewall

• VPN

• IPS

• Маршрутизация

• QoS

• AppSecure

• Дополнительные возможности

• Режимы Routed/Transparent

Высокая степень интеграции

ПРОДУКТЫ JUNIPER ДЛЯ ИБ В ЦОД

Firewall performance

(max)

150 Gbps

IPS performance(NSS

4.2.1)

30 Gbps


Результаты с Junos 10.4 SRX1400 SRX3400 SRX3600 SRX5600 SRX5800

FW 10 Gbps 20 Gbps 30 Gbps 60 Gbps 150 Gbps

VPN 2 Gbps 6 Gbps 10 Gbps 15 Gbps 30 Gbps

IPS 2 Gbps 6 Gbps 10 Gbps 15 Gbps 30 Gbps

PPS 1М 3.5М 6.5М 9М 21М

Количество сессий 0.5М 2.25М / 3М 2.25М/ 6М 9М 12.5М/14М (с

ограничениями)

Новых сессий ( / with add’l license)

45k 175k 175k / 300k 350k 350k

Встроенные порты:

10/100/1000Base-T

1000Base-X (HA off / on)

10GBase-F

GE

6

6 / 4

0

XGE

6

3 / 1

3

8

4

8

4

Максимальное кол-во

GbE (HA off / on)

10 GbE

28/26

2

25/23

5

76

8

108

12

200

40

440

88

ЛИНЕЙКА ПРОДУКТОВ SRX HIGH END


Поиск Flow

Классификация

DoS/DDoS

Policing

Входящий

пакет

Исходящий

пакет

Сервисы

FW/VPN/IDP

NAT/Routing

QoS/Shaping

Fa

bri

c

Fa

bri

c

Integrated in SRX5000 IOC

Контроль

Переподписки

1.5

I/O Cards

Network

Processing

Cards

Services

Processing

Cards

ПОЛНОСТЬЮ ПОТОКОВАЯ (FLOW) ОБРАБОТКА ТРАФИКА


Платформа начального уровня для ЦОД:

Dynamic Services Architecture™

Функционал: FW, IPS, NAT, IPSec VPN, DDoS, QoS, Маршрутизация IPv4/IPv6

Любой сервис для любого трафика

Разделение control and data planes

Общие компоненты с SRX3000

Под управлением Junos

Многопоточность, Модульность

JunOS Script

SRX1400


ЛИНЕЙКА ПРОДУКТОВ SRX3000


Функциональность: FW, IPS, NAT, IPSec

VPN, DDoS, QoS and routing



Универсальное устройство

Двустороннее модульное шасси

Модульная архитектура

SRX3600 – 12 модулей


Доступны GbE и 10GbE интерфейсы

SPC позволяют линейно наращивать


Под управлением JunOS

Многопоточность

Модульность

JunOS Script

Описание модуля Порты Тип

16-port 10/100/1000 TX 72 or 104 RJ-45

16-port GbE 68 or 100 SFP

2-port 10GbE 8 or 12 XFP

Service Processing Cards SRX3400 – 4 SRX3600 – 7


ЛИНЕЙКА ПРОДУКТОВ SRX5000

Самый быстрый в мире Firewall


Функциональность: FW, IPS, NAT,

IPSec VPN, DDoS, QoS, and routing



Универсальное устройство

Модульное шасси SRX5600 – 6 модулей


Доступны GbE и 10GbE интерфейсы

SPC позволяют линейно наращивать


Под управлением JunOS

Многопоточность

Модульность

JunOS Script

Описание модуля Порты Тип

40-port GbE 200 or 440 SFP

4-port 10GbE 20 or 44 SFP

16-port GbE FlexIOC 160 or 352 SFP/RJ45

4-port 10GbE FlexIOC 40 or 88 SFP

Max SPCs 5 – SRX5600 11 – SRX5800


ИНТЕЛЛЕКТУАЛЬНАЯ БЕЗОПАСНОСТЬ ПРЕДСТАВЛЯЕМ APPSECURE

AppSecure – это набор сервисов для работы с приложениями,

созданный для развертывания интеллектуальной безопасности

Решение основывается на существующих интегрированный сервисах

SRX, позволяя создавать более точные политики безопасности

Использует комплексное исследование приложений


ЗАЩИТА ВИРТУАЛЬНЫХ СРЕД. РЕШЕНИЯ VSRX/VGW


VGW И SRX АРХИТЕКТУРА

Провайдеры Облачных Сервисов сегментируют пользователей с использованием vSRX и

обеспечивают Inter-VM защиту с использованием vGW

vGW (Inter-VM Security)


Трехкомпонентная модель

Сертифицировано VMware

Защищает каждую VM и

гипервизор

Отказоустойчивая архитектура

1. Security Design (SD) vGW -

виртуальная машина управления

2. Security VM (SVM) –

устанавливается на каждый ESXi-

хост

3. Модуль ядра гипервизора

АРХИТЕКТУРА VGW

vGW модуль

vCenter

VM VM1 VM2 VM3

Взаимодействующие

сервера

(IDS, SIM,

Syslog, Netflow)

Пакеты данных

VMWARE API’s

Любой vSwitch (Standard, DVS, 3rd Party)

ГИПЕРВИЗОР

Яд

ро

VM

ware

ES

X o

r ES

Xi H

ost

Security Design vGW

1 2

3


VGW – СПЕЦИАЛИЗИРОВАННОЕ РЕШЕНИЕ

Межсетевой экран работает на уровне ядра гипервизора

Антивирус и IDS интегрированы в Security VM каждого хоста

Преимущества: Обеспечивается наиболее эффективный механизм

проверки трафика

Отдельный обработчик МСЭ для каждой VM

Изолированная таблица соединений для каждой VM

Правила и политики переезжают в месте с VM в ходе vMotion

Нет единой точки отказа и узкого места – аппаратного МСЭ

Преимущества: Улучшение масштабируемости

Не нужно обновлять сигнатуры на каждой VM

Уменьшается нагрузка на физическую сеть

Уменьшается нагрузка на CPU хоста

Проверка VM во время их бездействия


МОДУЛИ VGW

Сеть

Отображение

потоков данных

между VM

IDS Анализ Отчеты

Сообщения IDS и

детальная

информация об

атаках

Обзор приложений

VM (гостевая OS,

приложения, патчи

и т.д.)

Автоматизирован

ные отчеты по

всем модулям

Общий

Суммарная

информация по

угрозам (включая

VM на карантине)

МСЭ Антивирус Соответствие

Управление

политиками МСЭ и

журналами

Антивирусная

защита для VM

Готовые и

настраиваемые

правила проверки

VM заданным

политикам


VGW – СЕТЕВАЯ СТАТИСТИКА

Область

навигации и

выбора VM

Вкладка

Connections

отображает

потоки данных

Отображаемый

интервал

времени

Информация обо всех потоках данных VM сохраняется в базе данных и доступна для анализа

Преимущества: Анализ всех коммуникаций VM

Анализ соответствия архитектуры политике безопасности

Детальные данные по каждой VM


VGW – МЕЖСЕТЕВОЙ ЭКРАН Защита всего трафика между VM

Преимущества:

Гибкие трехуровневые политики безопасности: Глобальная, Групповая, на уровне VM/vNIC

Политики могут назначаться автоматически на основе свойств VM (Smart Groups)

Помещение VM в карантин в случае нарушения политики

Таблица соединений и правил сохраняется в ходе vMotion

Настройка

политики

карантина для

Антивируса,

модуля

Соответствия и

др.

NEW!

NEW!


VGW – IDS

Внутренний анализ на наличие атак, а также возможность

отправлять интересующий трафик на внешний IPS

Фильтры позволяют

задать какой трафик

будет проверяться IDS

Сообщения по

источникам и

направлениям

Изменение

периода

времени

позволяют

проводить

исторический

анализ

Получение

детальной

информации по

каждому

триггеру

сигнала

тревоги


VGW – АНТИВИРУС NEW!

Антивирусная защита VM в реальном времени (On-Access)

или периодически (On-Demand)

Преимущества:

Антивирусная проверка по графику без программных агентов

Прямой доступ к виртуальному диску

Сканирование производится из защищенной области

Защита в реальном времени посредством агентов vGW Endpoint

«Легкий» агент позволяет проверять все операции ввода/вывода через Security VM для

подтверждения или карантина

Актуальная версия vGW Endpoint поддерживается автоматически

Архитектура vGW Endpoint имеет два существенных отличия от обычных агентов

Нет нагрузки на RAM и HDD

Сигнатуры хранятся в Security VM, а не в каждой VM


Сервис провайдеры предлагают vSRX как услугу для сегментирования ресурсов различных

заказчиков не используя для этого специализированные аппаратные платформы

VSRX АРХИТЕКТУРА

vSRX (Edge Security)


ФУНКЦИОНАЛ VSRX

Безопасность и Маршрутизация на

одной программной платформе

Junos как виртуальное

устройство

Используется х86 архитектура

Полный набор функций

безопасности и маршрутизации

Используется проверенная

платформа SRX

Оптимизированная


SMP ядро

Поддерживает функциональность

Hypervisor VM

Пример: vMotion, снимки,

HA/FT, клонирование,

Управление.

Firewall

VPN

NAT

Network Admission Control

Perimeter

Anti-Virus

IPS

Full IDP Feature Set

Web Filtering

Anti-Spam

Content

Application

Awareness

Identity

Awareness

Application

CLI, JWeb, SNMP, JSpace- SD, Hypervisor Mgmt, HA/FT

Junos Routing Protocols and SDK

Junos Rich & Extensible Security Stack


УПРАВЛЕНИЕ VSRX

Управление

устройством vSRX

Приложение для Junos Space Platform

Точка формирования политики vGW и vSRX

устройств

Поддержка для популярных облачных

инструментов управления

vCenter, RHEV-M, SCVMM, ServerCenter

vCloud Director, CloudStack, OpenStack

Функционал (Life Cycle Management):

Provisioning

Bootstrapping

Troubleshooting/Debug

Log management

Virtual Systems Manager

Junos Space – Security Design

CLI + Junos Scripts

JWeb

SNMP

STRM (Logging and Reporting),

Syslog, Traceroute

Security Insight

Junos LMS

Policy Manager APIs


VSRX ПРИМЕР ИСПОЛЬЗОВАНИЯ ПРЕДОСТАВЛЕНИЯ СЕРВИСА ПО ПОДПИСКЕ

Заказчик

Требование

Сервис провайдер

Цель Предложить облачную услугу для среднего и малого бизнеса.

Быстрый ввод новых сервисов

Гибкая масштабируемость

Решение Установка vSRX на архитектуре х86. Каждый из подписчиков услуги

получает свое виртульное устройство с полным функционалом

Internet

Заказчик А

Заказчик B

Заказчиик C

Управляемая

услуга

безопасности

Virtu

aliz

ed

En

viro

nm

en

t


ЗАЩИТА ВЕБ-СЕРВЕРОВ. MYKONOS WEB SECURITY


всех атак совершается на

уровень Web-приложений Gartner

70%

подверглись атакам в течение

последних двух лет через

уязвимости web-приложений

73%

Ponemon Institute

НАСТОРАЖИВАЮЩАЯ СТАТИСТИКА


УГРОЗЫ, ИСХОДЯЩИЕ ОТ ХАКЕРОВ

Targeted Scans

Advanced Persistent Threat (APT)

Поиск уязвимостей определенного сайта

Скрипты выполняются зараженными машинами и осуществляют атаку

Январь Июнь Декабрь

Сложные, целенаправленные атаки (APT). Неторопливо и аккуратно, чтобы обойти защиту.

Library Attacks Поиск определенных уязвимостей при помощи скриптов на многих сайтах

IP-сканирование Script Kiddie Общие скрипты и инструменты хакеров

Скрипты & Эксплоиты Целевое сканирование

Ботнеты Высококвалифицированный хакер


Кража информации

Снижение доходов

Ухудшение

репутации

Sony

Украденных записей

77 млн.

Прямые издержи

Sony

$171 млн.

УЯЗВИМОСТИ СТОЯТ ДОРОГО ИНСТИТУТ PONEMON | ОДНА УКРАДЕННАЯ ЗАПИСЬ СТОИЛА В СРЕДНЕМ $318

23 дня простоя сети

Потеря заказчиков

Sony

Судебные издержки

$1-2 млрд.

http://mashable.com/2011/05/22/psn-costs-infographic/

http://8.mshcdn.com/wp-content/uploads/2011/05/sony-pns-network-cost.jpg


ПРЕИМУЩЕСТВА MYKONOS БЕЗОПАСНОСТЬ НА ОСНОВЕ ОБМАНА ЗЛОУМЫШЛЕННИКА

“Ловушки”

обнаруживают

угрозы без ложных

срабатываний

Обнаружение

Отслеживается IP,

параметры

браузера, ОС и

скриптов

Отслеживание

Понимание

возможностей и

намерений

атакующего

Профилирование

Адаптивная

реакция,

включающая

блокировку

предупреждение и

обман

Реагирование


ПРЕИМУЩЕСТВА MYKONOS

- Ухудшает «экономику» атаки, делая ее очень затратной

для хакера по времени и усилиям

- Защищает от атак «нулевого дня»

- Обнаруживает атаку еще на этапе рекогносцировки и

блокирует злоумышленника

- Минимальная настройка – работает «из коробки»

- Инновационная технология Intrusion Deception – нет

аналогов на рынке

- Практически не генерирует ложных тревог


Отслеживание ПО и скриптов Отпечатки системы

Отслеживание браузера Цифровой токен

Во всех браузерах существует возможность

сохранять различные контрольные данные

Отслеживание IP адреса

ОТСЛЕЖИВАНИЕ АТАКУЮЩЕГО НЕ ТОЛЬКО ЧЕРЕЗ IP-АДРЕС


Варианты реакции MWS

Хакер,

человек Botnet

Целевое

сканиро-

вание

Сканиро-

вание

IP

Скрипты и

эксплоиты

Предупреждение

Блокировка

Ввод CAPTCHA

Замедление соединения

Симуляция сбоя

приложения

Принудительны выход

(log-out)

* - Для каждого вида угроз доступны все варианты реакции. Указанные реакции наиболее уместны для указанных видов угроз

РЕАГИРОВАНИЕ И ОБМАН ЗЛОУМЫШЛЕННИКА


ТРИ ТИПА ВНЕДРЕНИЯ

Web-сервер База

ПО, устанавливаемое

на сервер

Виртуальная машина

Облачный сервис

Amazon


РАЗВЕРТЫВАНИЕ MYKONOS WEB SECURITY

Juniper Firewall Пул

web-серверов

Сервер

приложений

Сервер базы

данных

Балансировщик

нагрузки

INTERNET Проверка

работы

Работает

как reverse

proxy


РАЗВЕРТЫВАНИЕ MYKONOS WEB SECURITY

Juniper Firewall Пул

web-серверов

Сервер

приложений

Сервер базы

данных

INTERNET

Проверка

работы

Стоит логически на

пути трафика, а не

физически*

* - Для обеспечения доступности Web-ресурса в случае сбоя сервера MWS


ОСНОВНЫЕ КОМПОНЕНТЫ MYKONOS

- HTTP/HTTPS прокси-шлюз

- Модуль безопасности (Security Engine) и база профилей

- Правила реагирования модуля безопасности

- Web-консоль для управления

- Программные процессоры Mykonos


ТИПЫ ПРОЦЕССОРОВ

- Процессоры «ловушек» (Tar Traps)

- Процессоры обнаружения подозрительной активности

- Процессоры отслеживания атакующего

- Процессоры реагирования


WEB-ИНТЕРФЕЙС МОНИТОРА БЕЗОПАСНОСТИ


Каждому атакующему назначается имя

ПОДРОБНЫЙ ПРОФИЛЬ АТАКУЮЩЕГО

История инцидента

Опасность атакующего


ПРИМЕР. ОТСЛЕЖИВАНИЕ ЗЛОУМЫШЛЕННИКА

Один и тот же

атакующий. Каждый раз

производилась полная

очистка РС

Профиль Rosalinda3374. Без полной очистки PC атакующий распознается даже при смене IP-адреса и работе

через Elite proxy

Позволяет проанализировать

когда с какого адреса работал атакующий


ПРИМЕРЫ ОТЧЕТОВ

Детализация инцидентов

по IP-адресу

Обобщенные данные


ПРОИЗВОДИТЕЛЬНОСТЬ

- Пропускная способность 1Гбит/с на одном сервере

MWS с 2х6-ядерными CPU

Пример:

Сервер Dell R200 (dual core 3Ghz, 4GB RAM, 1 SAS 5400

rpm HDD):

- 1 сервер – 250 Мбит/с

- 1 мастер + 1 TP – 311 Мбит/с, 4500 запросов/с (+30%)




Средняя задержка – 5…40мс


КОНТРОЛЬ ДОСТУПА К СЕТИ И КОНТРОЛЛЕРЫ УДАЛЕННОГО ДОСТУПА.

MAG СЕРИЯ


MAG SERIES – УСТОЙСТВА ДЛЯ СЕТЕЙ ЛЮБЫХ МАСШТАБОВ

Поддерживает до 40,000 SSL VPN, 60,000 UAC, or

4,000 application acceleration пользователей

Опциональные модули

Поддерживает до 20,000 SSL VPN, 30,000 UAC, или

2,000 application acceleration пользователей

Опциональные модули

1U high ½-width (may be deployed side-by-side

in 1U rack space)

Поддерживает до 1000 SSL VPN or 5000 UAC

пользователей

1 RU

Поддерживает до100 SSL VPN or 250 UAC


1U, ½-width (may be deployed side-by-side

in 1U rack space)

Поддерживает до 250 application acceleration


Од

ин

се

рв

ис,

Фи

кси

ро

ван

ная

ко

нф

игу

ра

ци

я MAG2600

MAG4610

MAG4611

MAG6610

MAG6611

Поддерживает до 40,000 SSL VPN, 60,000 UAC


10Gb интерфейсы

L4 Server Load Balancer

MAG8600

Неско

ль

ко

сер

ви

со

в,м

од

ул

ьн

ая

ко

нф

игу

рац

ия


УПРАВЛЕНИЕ КОМПОНЕНТАМИ И УСТРОЙСТВАМИ БЕЗОПАСНОСТИ.

JUNOS SPACE


ПОДХОД JUNIPER К УПРАВЛЕНИЮ БЕЗОПАСНОСТЬЮ

СЛЕДУЮЩЕЕ ПОКОЛЕНИЕ

МАСШТАБИРУЕМАЯ

АРХИТЕКТУРА SOA

БЫСТРОЕ WEB

ПРИЛОЖЕНИЕ

ПОСТРОЕННОЕ НА

ОТКРЫТОЙ ПЛАТФОРМЕ

NETWORK & SECURITY MANAGER

(NSM)

Лучшие продукт в

течениe 10 лет

Клиент-серверная

архитектура

СЕГОДНЯ РАНЕЕ

SECURITY DESIGN (ПРИЛОЖЕНИЕ SPACE)

Отдельная программа


ЛЕГКАЯ МАСШТАБИРУЕМОСТЬ И РАСШИРЯЕМОСТЬ ЗА СЧЕТ ПОГРУЖЕНИЯ В JUNOS SPACE

SECURITY DESIGN ФОКУСИРУЕТСЯ:

Политики межсетевого экрана

Политики VPN

Политики NAT

Политики IPS

Политики AppFW

SPACE PLATFORM ФОКУСИРУЕТСЯ:

Управление устройствами

Управление модулями

Управление версиями ПО

Управление правами доступа

Аудит

Device Management Interface (DMI)

RESTful Web Service API

JUNOS SPACE PLATFORM

Network Infrastructure

Создание

Применение

Наблюдение

Поддержка

Оптимизация Secure Design


JUNOS SPACE ОТКРЫТАЯ, БЕЗОПАСНАЯ, МАСШТАБИРУЕМАЯ ПЛАТФОРМА

Что такое Junos Space?

Открытая, безопасная и масштабируемая программная платформа для построения приложений:

Управление и анализ сетевыми элементами

Оптимизирование сетевой инфраструктуры и управление через динамические политики

Максимизация сетевой пользы и масштабирование решения при снижении цены и сложности

APPLICATIONS

Juniper Applications 3rd Party Applications

Device Management Interface (DMI)

RESTful Web Service API

JUNOS SPACE PLATFORM

Network Infrastructure

Open Network Application Platform

Network Activate, ● Transport

Activate ● QoS Design ● Ethernet

Design ● Security Design ● Virtual Control ● Service Now

OSS ● BSS ● Green/Energy ● End-user Forensics Adapters (MTOSI, OneAPI) ● … others


SECURITY DESIGN ВЕРСИЯ 11.4

Основание для Дизайна Безопасности


УПРОЩЕНИЕ УПРАВЛЕНИЯ ЗА СЧЕТ ИЕРАРХИИ ПОЛИТИК

1 Глобальные политики

2 Групповые политики

3 Политики устройств

Безопасные

коммуникации

Запретить

Facebook

Разрешить

Email

1

2

3

Применить с

приоритетом

Пр

еи

му

щес

тв

а Гибкий контроль политик

Улучшенная оптимизация

Пере-использование политик


Дизайн и проверка политик перед применением снижает ошибки

Возможность увидеть команды, которые будут отосланы на устройство

Увидеть все команды что будут применены

ПРОВЕРКА ПОЛИТИК ПЕРЕД ПРИМЕНЕНИЕМ PUBLISH WORKFLOW

Create Policy

Create VPN

Create NAT

Create IPS

Signatures

Дизайн

View Impacted Devices

View CLI

Verification

Optimization

Проверка

Schedule updates

Bulk Update

Granularity

Device Status

Изменение


МОНИТОРИНГ СОБЫТИЙ БЕЗОПАСНОСТИ STRM


STRM серия

Intelligent, Integrated, Automated

STRM

Log

Manager

STRM

SIEM

STRM

QFlow

STRM

VFlow

STRM

Risk

Manager

Security Intelligence Operating System

Представляет полную картину по

безопасности сети


STRM SIEM

Обзор

STRM SIEM обеспечивает полную прозрачность сети с

возможностью реакции на события безопасности для

защиты компонентов сети от различного вида угроз.

Ключевые особенности:

• Продвинутые механизмы кореляции событий,потоков,

компонентов, топологий, уязвимостей и внешних данных для

идентификации угроз.

• Анализ сетевого трафика для обнаружения приложений

• Управление инцидентами до полного их разрешения

• Масштабируемая архитектура для организаций любых

размеров


STRM SIEM

Ключевые преимущества

• Кореляция событий в реальном времени основанная на новой

технологии in-memory и широкого набора контекстных данных a

• Захват потока и анализ данных позволяющие увидеть трафик

на уровне 7 модели OSI

• Анализ данных инцидентов который сокращает false positives

• Уникальная комбинация поисковых функций и анализ

нормализированных данных

• Масштабируемость подходящая даже для самых крупных сетей

с использованием встроенной СУБД и унифицированной

архитектуры представления данных.


STRM SIEM

Интегрированная консоль

• Интерфейс веб-браузера

• Достук к информации на

основе ролей

• Настраиваемые панели

инструментов

• Статистика достурпная в режиме реального времени

• Улучшенные механизмы просмотра деталей событий

• Легко настраиваемые правила с готовой к работе

конфигурацией


STRM FLOW АНАЛИЗ

STRM предоствляет полную прозрачность трафика собирая flow данные.

(Jflow/NetFlow/Sflow/)

Это предоставляет доступ к следующим данным:

- Top Talkers (на основе портов и ip адресов )

- SNMP polling по интерфейсам ,.

- Сбор статистики Sflow

Анализ QoS

- Flow collection представляет удобную консоль для анализа QoS механизмов.

- Обнаружение аномалии трафика

- Автоматически правила изучают харакстеристики трафика и сигнализурют в

случае его нарушения.

- Высылает предупреждение в случае обнаружения потока информации к

неизвестному хосту

- Обнаруживает сканирования и большие исходящие передачи файлов


ПРИМЕРЫ ВНЕДРЕНИЯ

Небольшая организация - STRMv

Организация средних размеров - STRM-500

Большая организация - STRM-5k + EP:s

Организация с несколькими

отделениями : - STRM-5k + Combo-collectors


STRM ХАРАКТЕРИСТИКИ ПЛАТФОРМ

All-In-One Distributed EP Distributed FP Distributed

Combo (EP/FP)

Distributed

Console

STRMV

(VM Version of STRM)

Max 1k EPS &

50kF/m

Max 1k EPS Max 50kF/m NO Supported

STRM-500 (JA-STRM500-A2-BSE)

Max 500EPS &

15kF/m

Max 500 EPS Max 15kF/m Max 500EPS &

15kF/m

NO

STRM-2500 (JA-STRM2500-A2-BSE)

Max 1250 EPS &

25kF/m

Max 2500 EPS Max 50kF/m Max 2500 EPS &

50kF/m

NO

STRM-5000-A2 (JA-STRM5000-A2-BSE)

Max 5k EPS &

200kF/m

Max 10k EPS Max 600kF/m NO Supported

STRM-5000-NEBS (STRM5000-NEBS-A-BSE)

NO Max 20k EPS Max 600kF/m NO NO


ЗАЩИТА МОБИЛЬНЫХ УСТРОЙСТВ. JUNOS PULSE MOBILE SECURITY


Безопасность мобильных сред с использованием JUNOS PULSE

Antivirus

Защита в режиме реального времени

Авто обновления

Сканирование файлов

И соединений

Personal

Firewall

Фильтрование вхд/исх. трафика

Логирование и предупреждения

Настраиваемый вид

Anti Spam

Блокировка СМС и голосового спама

Черный список

Автоматические правила распознавания

“плохого” трафика

Loss & Theft

Protection

Удаленная блокировка

Функции восстановления

GPS –обнаружения

Предупреждение о смене SIM

Device

Control

Контроль приложений

Мониторинг контента

Se

cu

re A

cce

ss


JUNOS PULSE НА СМАРТФОНАХ

Подходит для использования различных приложений

Web VPN (browser-based applications)

Secure Email (secure ActiveSync proxy)

Full Layer 3 Tunnel

Используются технологии:

SSL VPN

Multi-factor authentication

Granular auditing and logging


For The Enterprise

DELIVER SECURITY TO ALL SMARTPHONE MARKETS AND USERS

Удаляет данные с потерянных

устройств

Сочетает возможности

безопасности и удаленного

доступа в одном приложении

Применяет политики доступа

Сокращает издержки на IT


y

КОНЦЕПЦИЯ ВЗАИМОДЕЙСТВИЯ

SRX Series

EX Series

WLA Series

802.1X

Switches / APs

MAG Series

(Junos Pulse Access

Control Service)

MAG Series

(Junos Pulse Secure

Access Service and

Junos Pulse Application

Acceleration Service)

Virtual SSL VPN

(Junos Pulse Secure

Access Service)

Клиенты

SRX Series

Авторизованный пользователь

с личным устройством

Авторизованный пользователь с

устройством компании

Internet


ПОДДЕРЖИВАЕМЫЕ ВЕРСИИ ОС


JUNOS PULSE ДЛЯ РАБОЧИХ СТАНЦИЙ

Доступ

к корпоративному

ресурсу

MAG Series Junos Pulse Gateway

Junos Pulse

предоставляет:

• Безопасный удаленный

доступ(SSL VPN)*

• Контроль доступа в сеть (

UAC)

• Junos Pulse Application

Acceleration cервисы

Junos Pulse

PCs & Macs

Junos Pulse

Smartphones & Tablets

• Junos Pulse Mobile

Security Suite


СПАСИБО

[email protected]

Documents

Развитие решений безопасности Juniper