Copyright © 2006 Juniper Networks, Inc. 1 A Secure Services Gateway termékcsalád áttekintése SSG 5, SSG 20, SSG 140, SSG 300 és SSG 500 sorozat
2 Copyright © 2006 Juniper Networks, Inc. Piaci trendek Kulcs biztonsági és útválasztási funkciók SSG sorozat specifikációja Telepítési lehetőségek Versenytársak elemzése Napirend
3 Copyright © 2006 Juniper Networks, Inc. Belső biztonság Tartalombiztonság Nincs helyi IT Fiók irodák igényei A fiókirodák száma éves szinten ~6,5%-kal nő •A cégek dolgozóinak egyre nagyobb hányada dolgozik távoli irodában (2003: ~85%, 2006: 91%) – Nemertes Research 2007-ig a vállalatok 50%-a készül a sávszélességét meghatározó mértékben növelni – Infonetics 2005-ben a cégek 56%-a tapasztalt legalább egy belső támadást •A cégek 65%-a tapasztalt legalább egy külső támadást – CSI/FBI 2005 survey HQ Wi Fi DMZ Sávszél. men. Direkt Internet VPN Távoli menedzs.
4 Copyright © 2006 Juniper Networks, Inc. Fiókiroda ismérvei Kisebb méretben, de nem feltétlenül komplexitásban •Szegmentált helyi hálózat •Bonyolultabb a támogatás, a biztonsági szint fenntartása •Sokféle eszköz •Helyi IT nincs vagy minimális Változatos WAN kapcsolat: E3-tól lefelé akár modemig Szükség van a saját és a bérelt/kihelyezett eszközök védelmére •Tűzfal, VPN, IPS és AV, Spyware szűrés •Belső hozzáférés kontroll szükséges, szegmentálni kell a hálózatot HQ WAN kapcs. = > 50 Mbps Helyi alk. Felhasz. WLAN IPSec www 100+ Mbps
5 Copyright © 2006 Juniper Networks, Inc. Az ideális fiókirodai megoldás Minden ismert támadási módszert megbízhatóan képes blokkolni •Hálózati, alkalmazás és tartalom szintjén Teljesítménytartalék a belső szegmentációhoz •Akár többszáz megabit/másodperc forgalom folyamatos szűrése Sokféle LAN és WAN kapcsolódási lehetőség •Interfészek, protokollok és beágyazások széles támogatása Könnyű központi menedzsment
6 Copyright © 2006 Juniper Networks, Inc. A Secure Service Gateway termékcsalád A Security Services Gateway (SSG) termékcsalád egy integrált útválasztó és tűzfal megoldás •Kedvezőbb ár/teljesítmény és I/O flexibilitás •A világ egyik legjobb tűzfalszoftverét a világ egyik legjobb útválasztó szoftverével kombinálja •ScreenOS + JunOS Egészen kis irodától (5-25 gép) magyar viszonylatban nagyvállalati szintig ( gép) Használható mint tradícionális tűzfal, biztonságos útválasztó és/vagy VPN eszköz Teljesen integrált UTM eszköz
7 Copyright © 2006 Juniper Networks, Inc. Piaci trendek Kulcs biztonsági és útválasztási funkciók SSG sorozat specifikációja Telepítési lehetőségek Versenytársak elemzése Napirend
8 Copyright © 2006 Juniper Networks, Inc. A nagyvállalati szintű biztonság SSG célhardver platform LAN & WAN I/O Mgmt/ Modem Széles körű hálózati és virtualizációs funkciók •Szegmentáció (zónák, VLAN-ok) •A ScreenOS által biztosított telepítési módok, dinamikus útválasztás, magas rendelkezésre állás és a JUNOS által kínált WAN beágyazás Biztonsági zónák LAN Routing Telepítési módok WAN beágyazás Hálózati funkciók Hálózatbiztonsági és hozzáférés korlátozási funkciók •Állapottartó tűzfal, IPSec VPN, NAT, DoS védelem, felhasználó azonosítás FW IPSec VPN DoS/DDoS User auth. Hálózatbiztonsági funkciók ScreenOS UTM / Tartalombiztonság Antivirus/Anti- Spyware Web filtering Anti-Spam IPS (Deep Inspection) Integrált UTM biztonsági funkciók •IPS (Deep Inspection), Antivirus (Anti- Spyware, Anti-Phishing is), Anti-Spam, Web filtering
9 Copyright © 2006 Juniper Networks, Inc. Deep Inspection / Átfogó tartalombiztonság Állítsuk meg a támadások összes formáját az első lehetséges ponton Külső fenyegetés Belső fenyegetés Viruses, Trójaiak Spyware/Adware, Keyloggerek Viruses, Trójaiak AV Spam / Phishing Anti Spam Férgek, trójaiak Férgek, Trójaiak, DoS (L4 & L7), Kémkedés IPS/DI Web Filtering Spyware Phishing URL Filtering AV Anti Spam IPS/DI SPF tűzfalHálózati és DoS támadások
10 Copyright © 2006 Juniper Networks, Inc. Átfogó biztonság (UTM) piacvezető partnerekkel Integrált Kaspersky Antivirus, amely védelmet nyújt a Spyware / Adware / Keylogger típusú fenyegetések ellen is Integrált vagy átirányított web szűrés a SurfControl segítségével, amely blokkolja a hozzáférést az ismert kémprogram, adathalász és vírusfertőzött oldalakhoz •Integrált megoldás SurfControl segítségével, illetve átirányítottan SurfControl vagy Websense Integrált spam szűrés a Symantec segítségével •Brightmail alapú adatbázis IP címekből, szöveg- és fejlécelemekből, amely folyamatosan frissül a spam küldők és az adathalászok adataival A behatolás megelőzés (Deep Inspection) többezer támadási formát felismer és blokkol (köztük férgeket, trójaiakat is) 43 protokollban Éves előfizetés, kedvezményes csomagok („Remote Office” és „Main Office”)
11 Copyright © 2006 Juniper Networks, Inc. A hálózat szegmentációja Biztonsági zónák, VLAN-ok, Virtuális útválasztók Biztonsági zónák, VLAN-ok, virtuális útválasztók •Szétosztják a hálózatot külön, biztonságosan kezelhető részekre •Védik a hálózatot a zónák közötti és azon belüli kommunikáció során Versenyelőny: •Magasabb biztonság •A biztonsági szint felhasználó csoportonként állítható •A virtualizációban a Netscreen termékek élen járnak DMZ Megbízható zóna, teljes hozzáférés Zóna2 „Vendég” csak Web Zóna1 „Korlátozott” userek Web, , kulcs alkalm.
12 Copyright © 2006 Juniper Networks, Inc. Útválasztás és telepítési lehetőségek Dinamikus útválasztás és telepítési lehetőségek •Transzparens (L2), statikus vagy dinamikus útválasztás •A teljes termékcsalád támogatja a dinamikus útválasztást •OSPF, BGP, RIPv1/2 minden modellen •WAN beágyazás •FR, MLFR, PPP, MLPPP és HDLC Előnyök: •Automatikusan alkalmazkodik a hálózat változásához •Biztonság növelése lehetséges a hálózat áttervezése nélkül is •Egyszerűsíti a rendszerintegrációt •Kevesebb egyedi konfigurációs lépés szükséges •WAN kapcsolat külső eszköz nélkül •Növeli a hálózat rugalmasságát – különösen VPN kapcsolatok esetében
13 Copyright © 2006 Juniper Networks, Inc. SSG 5 or SSG 20 Az interfész szintű konfigurációs rugalmasság „ Bridge Group” – UPIM bővítőkártyák esetében is elérhető a funkció A korábbi „Port Mode” helyébe lép (SSG 5 / SSG 20 ill. UPIM bővítőkártyák esetében), de annál sokkal rugalmasabb Ethernet és Wireless portokat lehet összekapcsolni (egymás között mint egy L2 Switch viselkednek) egy virtuális L3 interfésszé – nincs policy interfészen belül, csak „bgroup” szinten eth wireless eth bgroup Forrás1 Cél1 A Bridge Group mint virtuális L2 Switch eth DMZ Zóna Forgalom eth wireless eth bgroup A Bridge Group mint L3 interfész hozzá- Rendelésre került a DMZ zónához SSG 5 vagy SSG 20
14 Copyright © 2006 Juniper Networks, Inc. Biztonságos központi menedzsment Központi menedzsment a teljes termékvonalban •Távoli hozzáférés •Biztonságos menedzsment minden funkcióra minden modellen •„Gyorstelepítési” lehetőségek •A telepítési költségek csökkenthetőek, egyszerűsíti a nagy rendszerek telepítését •Szerep alapú adminisztráció •A feladatok delegálhatóak szerep alapon •Távoli licenc menedzsment •Minden tartalomszűrési funkció aktiválható távolról vagy központi menedzsmenttel •Minden SSG támogatott az NSM által •NSM „schema update” telepítése szükséges Hálózat Biztonság Üzemeltet. Hálózat Biztonság Üzemeltet. Hálózat Biztonság Üzemeltet.
15 Copyright © 2006 Juniper Networks, Inc. Piaci trendek Kulcs biztonsági és útválasztási funkciók SSG sorozat specifikációja Telepítési lehetőségek Versenytársak elemzése Napirend
16 Copyright © 2006 Juniper Networks, Inc. A Secure Service Gateway termékcsalád SSG 5 – Hatféle fix kiépítésű modell •160 Mbps FW / 40 Mbps VPN SSG 20 – Kétféle moduláris modell •160 Mbps FW / 40 Mbps VPN, 2 mini PIM hely SSG 140 •350+ Mbps FW / 100 Mbps VPN •8 FE + 2 GE Interfész + 4 WAN PIM bővítőhely SSG 320M (új!) •450+ Mbps FW / 175 Mbps VPN, 4 GE + 3 PIM hely SSG 350M (új!) •550+ Mbps FW / 225 Mbps VPN, 4 GE + 5 PIM hely SSG 520 •650+ Mbps FW / 300 Mbps VPN, 4 PIM és 2 ePIM hely SSG 550 •1+ Gbps FW / 500 Mbps VPN, 2 PIM és 4 ePIM hely SSG 5 SSG 20 SSG 140 SSG 550 SSG 520
17 Copyright © 2006 Juniper Networks, Inc. A Secure Services Gateway 5 modell Alapadatok 160 Mbps FW (nagy csomagok)/ 90 Mbps FW IMIX / 40 Mbps VPN •Integrált ventilátor és hőszenzor (csak a wifi modellben) Megbízhatóság és bővíthetőség Külső AC tápegység Failover kapcsolat szinkronizációval (csak Extended licenccel) Bővíthető memória Interfészek Fix kiépítés 7 FE + 1 WAN interfész •Választható WAN opciók rendeléskor: ISDN BRI S/T vagy V.92 vagy RS-232 Serial/Aux •Opcionális Dual radio a b/g •Összesen hatféle hardver kiépítés
18 Copyright © 2006 Juniper Networks, Inc. A Secure Services Gateway 20 modell Alapadatok 160 Mbps FW (nagy csomagok)/ 90 Mbps FW IMIX / 40 Mbps VPN •Integrált ventilátor és hőszenzor (csak a wifi modellben) Megbízhatóság és bővíthetőség Külső AC tápegység Failover kapcsolat szinkronizációval (csak Extended licenccel) Bővíthető memória Interfészek 5 fix FE port + 2 Mini I/O bővítőhely •A jelenleg kapható Mini PIM kártyák: ADSL2+, T1, E1, ISDN BRI S/T, V.92 •Opcionális Dual radio a b/g •Összesen kétféle hardver kiépítés
19 Copyright © 2006 Juniper Networks, Inc. Secure Services Gateway 20 bővítőhelyei A Mini PIM-ek kis méretűek •Körülbelül mint egy kártyapakli •Semmilyen más (jelenleg létező) Juniper termékkel sem használhatóak ADSL 2+ V.92 E1 T1 ISDN BRI S/T (2) I/O bővítőhely
20 Copyright © 2006 Juniper Networks, Inc. A Secure Services Gateway 140 modell 350+ Mbps FW (nagy csomag)/ 300 Mbps FW IMIX / 100 Mbps VPN Nagyteljesítményű UTM funkciók kedvező áron Failover funkció kapcsolat szinkronizációval Fix 8x10/100 és 2x10/100/1000 interfészek 4 PIM/UPIM bővítőhely (kompat. a J-sorozatú útválasztókkal): •T1 /E1 •Serial •Stb. Csak ezen a modellen •Egy portos ISDN Előlap Hátlap
21 Copyright © 2006 Juniper Networks, Inc. A Secure Services Gateway 140 bővítőhelyei 1.Konzol és RS-232/Aux interfész 2.8x10/100 interfaces 3.2x10/100/1000 interfaces 4.4x PIM/UPIM bővítőhely: 2xT1, 2xE1, 2xSerial, 1xISDN BRI S/T, stb Előlap 4 Hátlap
22 Copyright © 2006 Juniper Networks, Inc. A Secure Services Gateway 300 sorozat 1.Konzol és RS-232/Aux interfész 2.2x USB port (logok tárolása, stb.) 3.4x10/100/1000 alaplapon 4.3x ill. 5 x bővítőhely amely PIM és UPIM kártyákat fogadhat 5.Routerré átalakítható (JUNOS oprendszerre)
23 Copyright © 2006 Juniper Networks, Inc. A Secure Services Gateway 500 sorozat Juniper Networks SSG 550 •1 Gbps + FW (nagy csomag)/1 Gbps FW IMIX / 500 Mbps VPN •600K pps •6 I/O bővítőhely – ebből 4 ePIM •Redundáns táp és egyenáram opcionális •128K kapcsolat, 1,000 VPN csatorna Juniper Networks SSG 520 •650+ Mbps FW (nagy csomag)/ 600 Mbps FW IMIX / 300 Mbps VPN •300K pps •6 I/O bővítőhely / 2 ePIM •Egy táp (AC vagy DC választható) •64K sessions, 500 VPN tunnels Közös jellemzők: •2U magas, 4x10/100/1000 port alapkiépítésben •2x Serial RJ45 port konzol hozzáféréshez és „Out of Band” menedzsmenthez •2x USB port
24 Copyright © 2006 Juniper Networks, Inc. Az SSG termékcsalád helye Kisvállalat, távmunka Regionális iroda, középvállalat Teljesítmény Nagyobb teljesítmény Teljes UTM minden modellben Moduláris memória WAN opciók
25 Copyright © 2006 Juniper Networks, Inc. SSG sorozat pozícionálása Rendelkezésre állás „Full Mesh” / „Aktív-Aktív”, Redundáns táp Kapacitás és funkciók „Aktív-Passzív” Opcionális „A- P” Extended licenccel >2x FW Telj. >2x VPN Telj. >2x Zónák & VLAN- ok Állapottartó HA GigE interfészek ~2x FW Telj. ~1.5x VPN Telj. „A-A Full Mesh HA” Redundáns táp Moduláris I/O 2 x Mini-PIM ~2x FW Telj. >3x VPN Telj. Moduláris LAN (GigE) 10M+ UTM 25M+ UTM 100M+ UTM 200M+ UTM
26 Copyright © 2006 Juniper Networks, Inc. Az SSG termékcsalád SSG 550MSSG 520M SSG 350M320MSSG 140SSG 20SSG 5 FW Mbps (Large Packets/IMIX) 1G+ / 1G650M + / 600 M 550M+ / 500 M 450 M+ / 400 M 350M+ / 300M 160M / 90M FW PPS (64 Byte) 600k300k225k175k100k30k VPN (1400 Byte)500M300M225M175M100M40M IPSIgen AV (Spyware/Adware / Phishing) Igen AntispamIgen Web FilteringIgen Moduláris I/OIgen Nem Routing (RIP/OSPF/BGP) Igen WAN Encapsulations Igen HAIgen Opció JUNOS opcióIgen Nem
27 Copyright © 2006 Juniper Networks, Inc. SSG 20 mini PIM IF opciók PIM/EPIM/Mini-PIMSSG 20SSG 140SSG 320M / 350M SSG 520M / 550M 1 x E1/T1 Mini-PIM -- 1 x ADSL 2+ Mini-PIM -- 1 x V.92 Mini-PIM -- 1 x ISDN BRI S/T Mini-PIM -- 1 x Serial Sync Mini-PIM -- 1 x Gbe SFP Mini-PIM --
28 Copyright © 2006 Juniper Networks, Inc. SSG PIM, EPIM és UPIM IF opciók PIM/EPIM/Mini-PIM/UPIM (Az UPIM kártyák a PIM és az EPIM slotba is belemennek.) SSG 20SSG 140SSG 320M / 350M SSG 520M / 550M 2 x E1/T1 PIM-- 2 x Serial PIM-- 1 x ISDN BRI S/T PIM-- 1 x E3/DS3 PIM-- 4 x FE EPIM-- 1 x Gbe EPIM-- 1 x Gbe SFP EPIM / UPIM-- -- / 8 x Gbe UPIM-- 16 x Gbe UPIM (2 slot!)-- 6 x Gbe SFP UPIM-- 2 x G.SHDSL PIM-- 1 x ADSL 2+ PIM--
29 Copyright © 2006 Juniper Networks, Inc. SSG összefoglaló Biztonság: Teljeskörű UTM integrált, semmilyen egyéb hw sem szüks. •Állapottartó FW, IPSec VPN, IPS, AV (Anti-Phishing és Anti-Spyware), Anti-Spam, Web filtering •Hálózat szegmentációja széles körű virtualizációs lehetőségekkel Teljesítmény: célhardver alapú megoldás, verhetetlen ár/teljesítmény mutatóval WAN kapcsolódási lehetőségek széles választéka •Biztonsági eszköz professzionális útválasztási képességekkel •Dinamikus útválasztás, virtuális útválasztók, VPN, HA, VLAN-ok •A WAN kártyák a J-Sorozatú útválasztókból JUNOS támogatással Központi menedzsment (NSM)
30 Copyright © 2006 Juniper Networks, Inc. Piaci trendek Kulcs biztonsági és útválasztási funkciók SSG sorozat specifikációja Telepítési lehetőségek Versenytársak elemzése Napirend
31 Copyright © 2006 Juniper Networks, Inc. SSG 5/SSG 20 példa Elsődleges kapcs = Külső ADSL vagy v.35 Serial ISP Backup = ISDN S/T or V.92 Internet Wireless Zóna PSTN Branch Office Központ RAS „Buta” Modem Távoli iroda Elsődleges kapcs.= ADSL vagy E1 Backup = ISDN S/T vagy V.92
32 Copyright © 2006 Juniper Networks, Inc. SSG 140/SSG 500 példa Fő kapcsolat = E1 vagy Serial ISP Backup = ISDN S/T Internet PSTN Fiókiroda Központ RAS Regionális központ Fő kapcsolat = E3 Backup = E1
33 Copyright © 2006 Juniper Networks, Inc. SSG termékcsalád példa Frame Relay (ISP) Internet Távoli telephely Központ Az SSG termékcsalád sokféle integrációs lehetőséget kínál A kapcsolatok működhetnek aktív/passzív illetve aktív/aktív üzemmódban (terheléselosztás több kapcsolat között) E1, ADSL2+ vagy V.92 E1 vagy E3 E1 vagy ISDN Vagy
34 Copyright © 2006 Juniper Networks, Inc. Piaci trendek Kulcs biztonsági és útválasztási funkciók SSG sorozat specifikációja Telepítési lehetőségek Versenytársak elemzése Napirend
35 Copyright © 2006 Juniper Networks, Inc. SSG 550 vs ISR 3845: Tűzfal teljesítmény Az állítás és a valóság – a célhardver szerepe
36 Copyright © 2006 Juniper Networks, Inc. SSG 550 vs ISR 3845: Behatolásdet. teljesítmény Az állítás és a valóság – a célhardver szerepe
Copyright © 2006 Juniper Networks, Inc További információ (függelék)
38 Copyright © 2006 Juniper Networks, Inc. SSG 20 Mini-PIM: 1 x ADSL2/2+ ADSL, ADSL2, ADSL2+ (max. 24Mbps letöltés) Annex A (POTS) vagy Annex B (ISDN) Két kártya összekötésével MLPPP over ADSL ha azonos BRAS-on terminált (pl: ERX) ATM sávszélesség menedzsment •CBR, UBR és VBR-NRT forgalmakra Akár 10 PVC csatorna kártyánként Csak SSG 20 platform
39 Copyright © 2006 Juniper Networks, Inc. SSG 20 Mini-PIM: 1 x T1, 1 x E1 Integrált CSU/DSU Fractional T1, E1 56K & 64K támogatás WAN beágyazás •PPP, MLPPP, FR, MLFR, HDLC MLPPP vagy MLFR 2x kártyával Hibakeresés •BERT, FDL, loopback, buildout Channelized T1, E1 nem támogatott Csak SSG 20 platform
40 Copyright © 2006 Juniper Networks, Inc. SSG 20 Mini-PIM: 1 x V.92 AT parancskészlet Hardware flow control Dial-backup házirendből Behívás is lehetséges (távmenedzsment) Csak SSG 20 platform
41 Copyright © 2006 Juniper Networks, Inc. SSG 20 Mini-PIM: 1 x ISDN BRI Csak S/T Interfész •U interfészhet külső NT-1 kell Behívási lehetőség nincs •Kifelé lehet elsődleges vagy backup Csak SSG 20 platform
42 Copyright © 2006 Juniper Networks, Inc. 2x T1, 2x E1 Integrált CSU/DSU Fractional T1, E1 támogatás 56K & 64K mód támogatás WAN beágyazás •PPP, MLPPP, FR, MLFR, HDLC MLPPP vagy MLFR 4xT1 vagy E1 kártya között ANSI T1.102, T1.107, T1.403 T1 G.703, G.704, & G.706 E1 Diagnosztika •BERT, FDL, loopback, buildout Channelized T1, E1 nem támogatott
43 Copyright © 2006 Juniper Networks, Inc. 2x Serial PIM Támogatás: •RS232 •V.35 •X.21 •RS449 •EIA530 Összesen 8 Mbps sávszélesség Órajel állítható
44 Copyright © 2006 Juniper Networks, Inc. 1 x ISDN BRI Csak S/T interfész U interfészhez külső NT-1 Behívási lehetőség nincs •Kifelé lehet elsődleges vagy backup 64k adatkapcsolat MLPPP over ISDN támogatás •128 k 2xB csatornán Csak SSG 140 platform
45 Copyright © 2006 Juniper Networks, Inc. Réz Gigabit 1 port GBE •Auto negotiation •10/100/1000 Mbps, Half/Full- Duplex támogatás Auto-negotiation támogatás (RLI 3381) „Jumbo Frame” támogatás – max. frame méret 9022 byte VLAN Id 1-től 4094-ig Csak SSG 520, SSG 550
46 Copyright © 2006 Juniper Networks, Inc. SFP Gigabit 1 Port GBE Optikai •SX és LX vagy SFP •Auto-Negotiation és 100 v. 1000/Full-Duplex üzemmód (SFP függő) Auto-negotiation (RLI 3381) „Jumbo Frame” támogatás – max. frame méret 9022 byte VLAN Ids 1-től 4094-ig
47 Copyright © 2006 Juniper Networks, Inc. Quad FE 4x10/100 FE 10/100 Mbps, Half/Full- Duplex Auto-negotiation Nincs „Jumbo Frame” – max. frame méret 1518 byte Csak SSG 520, SSG 550