Copyright © 2006 Juniper Networks, Inc. 1 A Secure Services Gateway termékcsalád áttekintése SSG 5, SSG 20, SSG 140, SSG 500 sorozat

2 Copyright © 2006 Juniper Networks, Inc.  Piaci trendek  Kulcs biztonsági és útválasztási funkciók  SSG sorozat specifikációja  Telepítési lehetőségek  Versenytársak elemzése Napirend

3 Copyright © 2006 Juniper Networks, Inc. Belső biztonság Tartalombiztonság Nincs helyi IT Fiók irodák igényei  A fiókirodák száma éves szinten ~6,5%-kal nő A cégek dolgozóinak egyre nagyobb hányada dolgozik távoli irodában (2003: ~85%, 2006: 91%) – Nemertes Research  2007-ig a vállalatok 50%-a készül a sávszélességét meghatározó mértékben növelni – Infonetics  2005-ben a cégek 56%-a tapasztalt legalább egy belső támadást A cégek 65%-a tapasztalt legalább egy külső támadást – CSI/FBI 2005 survey HQ Wi Fi DMZ Sávszél. men. Direkt Internet VPN Távoli menedzs.

4 Copyright © 2006 Juniper Networks, Inc. Fiókiroda ismérvei  Kisebb méretben, de nem feltétlenül komplexitásban Szegmentált helyi hálózat Bonyolultabb a támogatás, a biztonsági szint fenntartása Sokféle eszköz Helyi IT nincs vagy minimális  Változatos WAN kapcsolat: E3-tól lefelé akár modemig  Szükség van a saját és a bérelt/kihelyezett eszközök védelmére Tűzfal, VPN, IPS és AV, Spyware szűrés Belső hozzáférés kontroll szükséges, szegmentálni kell a hálózatot HQ WAN kapcs. = > 50 Mbps Helyi alk. Felhasz. WLAN IPSec www 100+ Mbps

5 Copyright © 2006 Juniper Networks, Inc. Az ideális fiókirodai megoldás  Minden ismert támadási módszert megbízhatóan képes blokkolni Hálózati, alkalmazás és tartalom szintjén  Teljesítménytartalék a belső szegmentációhoz Akár többszáz megabit/másodperc forgalom folyamatos szűrése  Sokféle LAN és WAN kapcsolódási lehetőség Interfészek, protokollok és beágyazások széles támogatása  Könnyű központi menedzsment

6 Copyright © 2006 Juniper Networks, Inc. A Secure Service Gateway termékcsalád  A Security Services Gateway (SSG) termékcsalád egy integrált útválasztó és tűzfal megoldás Kedvezőbb ár/teljesítmény és I/O flexibilitás A világ egyik legjobb tűzfalszoftverét a világ egyik legjobb útválasztó szoftverével kombinálja ScreenOS + JunOS  Egészen kis irodától (5-25 gép) magyar viszonylatban nagyvállalati szintig ( gép)  Használható mint tradícionális tűzfal, biztonságos útválasztó és/vagy VPN eszköz  Teljesen integrált UTM eszköz

7 Copyright © 2006 Juniper Networks, Inc.  Piaci trendek  Kulcs biztonsági és útválasztási funkciók  SSG sorozat specifikációja  Telepítési lehetőségek  Versenytársak elemzése Napirend

8 Copyright © 2006 Juniper Networks, Inc. A nagyvállalati szintű biztonság SSG célhardver platform LAN & WAN I/O Mgmt/ Modem  Széles körű hálózati és virtualizációs funkciók Szegmentáció (zónák, VLAN-ok) A ScreenOS által biztosított telepítési módok, dinamikus útválasztás, magas rendelkezésre állás és a JUNOS által kínált WAN beágyazás  Biztonsági zónák  LAN Routing  Telepítési módok  WAN beágyazás Hálózati funkciók  Hálózatbiztonsági és hozzáférés korlátozási funkciók Állapottartó tűzfal, IPSec VPN, NAT, DoS védelem, felhasználó azonosítás  FW  IPSec VPN  DoS/DDoS  User auth. Hálózatbiztonsági funkciók ScreenOS UTM / Tartalombiztonság  Antivirus/Anti- Spyware  Web filtering  Anti-Spam  IPS (Deep Inspection)  Integrált UTM biztonsági funkciók IPS (Deep Inspection), Antivirus (Anti- Spyware, Anti-Phishing is), Anti-Spam, Web filtering

9 Copyright © 2006 Juniper Networks, Inc. Deep Inspection / Átfogó tartalombiztonság Állítsuk meg a támadások összes formáját az első lehetséges ponton Külső fenyegetés Belső fenyegetés Viruses, Trójaiak Spyware/Adware, Keyloggerek Viruses, Trójaiak AV Spam / Phishing Anti Spam Férgek, trójaiak Férgek, Trójaiak, DoS (L4 & L7), Kémkedés IPS/DI Web Filtering Spyware Phishing URL Filtering AV Anti Spam IPS/DI SPF tűzfalHálózati és DoS támadások

10 Copyright © 2006 Juniper Networks, Inc. Átfogó biztonság (UTM) piacvezető partnerekkel  Integrált Kaspersky Antivirus, amely védelmet nyújt a Spyware / Adware / Keylogger típusú fenyegetések ellen is  Integrált vagy átirányított web szűrés a SurfControl segítségével, amely blokkolja a hozzáférést az ismert kémprogram, adathalász és vírusfertőzött oldalakhoz Integrált megoldás SurfControl segítségével, illetve átirányítottan SurfControl vagy Websense  Integrált spam szűrés a Symantec segítségével Brightmail alapú adatbázis IP címekből, szöveg- és fejlécelemekből, amely folyamatosan frissül a spam küldők és az adathalászok adataival  A behatolás megelőzés (Deep Inspection) többezer támadási formát felismer és blokkol (köztük férgeket, trójaiakat is) 43 protokollban  Éves előfizetés, kedvezményes csomagok („Remote Office” és „Main Office”)

11 Copyright © 2006 Juniper Networks, Inc. A hálózat szegmentációja Biztonsági zónák, VLAN-ok, Virtuális útválasztók  Biztonsági zónák, VLAN-ok, virtuális útválasztók Szétosztják a hálózatot külön, biztonságosan kezelhető részekre Védik a hálózatot a zónák közötti és azon belüli kommunikáció során  Versenyelőny: Magasabb biztonság A biztonsági szint felhasználó csoportonként állítható A virtualizációban a Netscreen termékek élen járnak DMZ Megbízható zóna, teljes hozzáférés Zóna2 „Vendég” csak Web Zóna1 „Korlátozott” userek Web, , kulcs alkalm.

12 Copyright © 2006 Juniper Networks, Inc. Útválasztás és telepítési lehetőségek  Dinamikus útválasztás és telepítési lehetőségek Transzparens (L2), statikus vagy dinamikus útválasztás A teljes termékcsalád támogatja a dinamikus útválasztást OSPF, BGP, RIPv1/2 minden modellen WAN beágyazás FR, MLFR, PPP, MLPPP és HDLC  Előnyök: Automatikusan alkalmazkodik a hálózat változásához Biztonság növelése lehetséges a hálózat áttervezése nélkül is Egyszerűsíti a rendszerintegrációt Kevesebb egyedi konfigurációs lépés szükséges WAN kapcsolat külső eszköz nélkül Növeli a hálózat rugalmasságát – különösen VPN kapcsolatok esetében

13 Copyright © 2006 Juniper Networks, Inc. SSG 5 or SSG 20 Az interfész szintű konfigurációs rugalmasság „ Bridge Group”  A korábbi „Port Mode” helyébe lép (SSG 5 / SSG 20 esetében), de annál sokkal rugalmasabb  Ethernet és Wireless portokat lehet összekapcsolni (egymás között mint egy L2 Switch viselkednek) egy virtuális L3 interfésszé – nincs policy interfészen belül, csak „bgroup” szinten eth wireless eth bgroup Forrás1 Cél1 A Bridge Group mint virtuális L2 Switch eth DMZ Zóna Forgalom eth wireless eth bgroup A Bridge Group mint L3 interfész hozzá- Rendelésre került a DMZ zónához SSG 5 vagy SSG 20

14 Copyright © 2006 Juniper Networks, Inc. Biztonságos központi menedzsment  Központi menedzsment a teljes termékvonalban Távoli hozzáférés Biztonságos menedzsment minden funkcióra minden modellen „Gyorstelepítési” lehetőségek A telepítési költségek csökkenthetőek, egyszerűsíti a nagy rendszerek telepítését Szerep alapú adminisztráció A feladatok delegálhatóak szerep alapon Távoli licenc menedzsment Minden tartalomszűrési funkció aktiválható távolról vagy központi menedzsmenttel Az SSG 5 és az SSG 20 máris támogatott az NSM által NSM „schema update” telepítése szükséges Hálózat Biztonság Üzemeltet. Hálózat Biztonság Üzemeltet. Hálózat Biztonság Üzemeltet.

15 Copyright © 2006 Juniper Networks, Inc.  Piaci trendek  Kulcs biztonsági és útválasztási funkciók  SSG sorozat specifikációja  Telepítési lehetőségek  Versenytársak elemzése Napirend

16 Copyright © 2006 Juniper Networks, Inc. A Secure Service Gateway termékcsalád  A Security Services Gateway (SSG) termékcsalád egy biztonságos útválasztó és egy tűzfal kombinációja  SSG 5 – Hatféle fix kiépítésű modell 160 Mbps FW / 40 Mbps VPN  SSG 20 – Kétféle moduláris modell 160 Mbps FW / 40 Mbps VPN  SSG Mbps FW / 100 Mbps VPN 8 FE + 2 GE Interfész + 4 WAN PIM bővítőhely  SSG Mbps FW / 300 Mbps VPN  SSG Gbps FW / 500 Mbps VPN SSG 5 SSG 20 SSG 140 SSG 550 SSG 520

17 Copyright © 2006 Juniper Networks, Inc. A Secure Services Gateway 5 modell Alapadatok  160 Mbps FW (nagy csomagok)/ 90 Mbps FW IMIX / 40 Mbps VPN Integrált ventilátor és hőszenzor (csak a wifi modellben) Megbízhatóság és bővíthetőség  Külső AC tápegység  Failover kapcsolat szinkronizációval (csak Extended licenccel)  Bővíthető memória Interfészek  Fix kiépítés 7 FE + 1 WAN interfész Választható WAN opciók rendeléskor: ISDN BRI S/T vagy V.92 vagy RS-232 Serial/Aux Opcionális Dual radio a b/g Összesen hatféle hardver kiépítés

18 Copyright © 2006 Juniper Networks, Inc. A Secure Services Gateway 20 modell Alapadatok  160 Mbps FW (nagy csomagok)/ 90 Mbps FW IMIX / 40 Mbps VPN Integrált ventilátor és hőszenzor (csak a wifi modellben) Megbízhatóság és bővíthetőség  Külső AC tápegység  Failover kapcsolat szinkronizációval (csak Extended licenccel)  Bővíthető memória Interfészek  5 fix FE port + 2 Mini I/O bővítőhely A jelenleg kapható Mini PIM kártyák: ADSL2+, T1, E1, ISDN BRI S/T, V.92 Opcionális Dual radio a b/g Összesen kétféle hardver kiépítés

19 Copyright © 2006 Juniper Networks, Inc. Secure Services Gateway 20 bővítőhelyei  A Mini PIM-ek kis méretűek Körülbelül mint egy kártyapakli Semmilyen más (jelenleg létező) Juniper termékkel sem használhatóak ADSL 2+ V.92 E1 T1 ISDN BRI S/T (2) I/O bővítőhely

20 Copyright © 2006 Juniper Networks, Inc. Különbségek: SSG 5/SSG 20 vs NetScreen-5GT  Nincs felhasználószám Minden doboz unlimited Különbözik az Extended licenc Növeli a VLAN-ok, VPN alagutak és a kapcsolatok számát  Moduláris memória – 128MB vagy 256MB  (Moduláris) WAN interfészek  Több biztonsági zóna – 4-től 10- ig szabadon konfigurálható  Több VLAN – 0-tól 10/50-ig SSG 5 SSG 20 Felhaszn.Korlátlan VLAN10/50 Zóna 10 VPN kap. 25/40 FW Sess. 4k/8k

21 Copyright © 2006 Juniper Networks, Inc. A Secure Services Gateway 140 modell  350+ Mbps FW (nagy csomag)/ 300 Mbps FW IMIX / 100 Mbps VPN  Nagyteljesítményű UTM funkciók kedvező áron  Failover funkció kapcsolat szinkronizációval  Fix 8x10/100 és 2x10/100/1000 interfészek  4 bővítőhely (kompatibilis a J- sorozatú útválasztókkal): Meglévő duál port T1 Meglévő duál port E1 Meglévő duál port Serial  Új interfész Egy portos ISDN Előlap Hátlap

22 Copyright © 2006 Juniper Networks, Inc. A Secure Services Gateway 140 bővítőhelyei 1.Konzol és RS-232/Aux interfész 2.8x10/100 interfaces 3.2x10/100/1000 interfaces 4.4x bővítőhely: 2xT1, 2xE1, 2xSerial, 1xISDN BRI S/T Előlap 4 Hátlap

23 Copyright © 2006 Juniper Networks, Inc. Különbségek: SSG 140 vs NetScreen-25  Nincs Baseline változat Minden funkció elérhető minden dobozon  A memória moduláris – 256MB vagy 512MB  Moduláris WAN interfészek  HA funkció fejletebb (kapcs. szink.)  Több biztonsági zóna – 4-től 40-ig  Több VLAN – 8-tól 100-ig  UTM funkciók Antivirus, Anti-Spam, Web filtering és IPS (DI) SSG 140 Felhasz.Korlátlan HAA/P VLAN100 Zónák 40 VPN125 Session32k

24 Copyright © 2006 Juniper Networks, Inc. A Secure Services Gateway 500 sorozat  Juniper Networks SSG Gbps + FW (nagy csomag)/1 Gbps FW IMIX / 500 Mbps VPN 600K pps 6 I/O bővítőhely – ebből 4 LAN képes Redundáns táp, egyenáram opcionális 128K kapcsolat, 1,000 VPN csatorna  Juniper Networks SSG Mbps FW (nagy csomag)/ 600 Mbps FW IMIX / 300 Mbps VPN 300K pps 6 I/O bővítőhely / 2 LAN képes Egy táp (AC vagy DC választható) 64K sessions, 500 VPN tunnels  Közös jellemzők: 2U magas, 4x10/100/1000 port alapkiépítésben 2x Serial RJ45 port konzol hozzáféréshez és „Out of Band” menedzsmenthez 2x USB port

25 Copyright © 2006 Juniper Networks, Inc. WAN kapcsolat Serial, T1/E1, DS3 LAN / WAN Kapcsolat 10/100/1000, SFP, FE Serial, T1/E1, DS3 4x10/100/1000 interfaces RJ45 konzol & Aux interfész WAN kapcsolat Serial, T1/E1, DS3 LAN / WAN Kapcsolat 10/100/1000, SFP, FE Serial, T1/E1, DS3 4x10/100/1000 interfaces RJ45 konzol & Aux interfész 1 Gbps 600K pps, 500 Mbps VPN 500 Mbps behatolás detektálás (DI) Redundáns táp, DC opció 128K kapcsolat, VPN csatorna 600Mbps 300K pps, 300 Mbps VPN 300 Mbps behatolás detektálás (DI) DC opció 64K kapcsolat, 500 VPN csatorna A Secure Services Gateway 500 sorozat interfészei SSG 550 SSG 520

26 Copyright © 2006 Juniper Networks, Inc. Különbségek: SSG 500 sorozat / NetScreen-200 sorozat  Nincs Baseline változat Minden funkció elérhető minden dobozon  A memória moduláris – 512MB vagy 1GB  WAN és LAN interfészek  Több bizt. zóna – 4-12 (SSG 520) és 8-18 (SSG 550)  Több VLAN – 125 (SSG 520) és 150 (SSG 550)  Több virtuális útválasztó – 5/8 SSG 520 SSG 550 FelhasználókUnlimited VLAN125/150 Zónák 12/18 Virtuális útv. 5/8 Teljesítmény 650+ M / 1+G

27 Copyright © 2006 Juniper Networks, Inc. Az SSG termékcsalád helye Kisvállalat, távmunka Regionális iroda, középvállalat Teljesítmény  Nagyobb teljesítmény  Teljes UTM minden modellben  Moduláris memória  WAN opciók

28 Copyright © 2006 Juniper Networks, Inc. SSG sorozat pozícionálása Rendelkezésre állás „Full Mesh” / „Aktív-Aktív”, Redundáns táp Kapacitás és funkciók „Aktív-Passzív” Opcionális „A- P” Extended licenccel >2x FW Telj. >2x VPN Telj. >2x Zónák & VLAN- ok Állapottartó HA GigE interfészek ~2x FW Telj. ~1.5x VPN Telj. „A-A Full Mesh HA” Redundáns táp Moduláris I/O 2 x Mini-PIM ~2x FW Telj. >3x VPN Telj. Moduláris LAN (GigE) 10M+ UTM 25M+ UTM 100M+ UTM 200M+ UTM

29 Copyright © 2006 Juniper Networks, Inc. Az SSG termékcsalád SSG 550SSG 520SSG 140SSG 20SSG 5 FW Mbps (Large Packets/IMIX) 1G+ / 1G650M + / 600 M 350M+ / 300M160M / 90M FW PPS (64 Byte)600k300k100k30k VPN (1400 Byte)500M300M100M40M IPSIgen AV (Spyware/Adware/ Phishing) Igen AntispamIgen Web FilteringIgen Moduláris I/OIgen Nem Routing (RIP/OSPF/BGP) Igen WAN EncapsulationsIgen HAIgen Opcionális

30 Copyright © 2006 Juniper Networks, Inc. SSG IF opciók PIM/EPIM/Mini-PIMSSG 20SSG 140SSG 520SSG x T1 Mini-PIM  -- 1 x E1 Mini-PIM  -- 1 x ADSL 2+ Mini-PIM  -- 1 x V.92 Mini-PIM  -- 1 x ISDN BRI S/T Mini-PIM  -- 2 x T1 PIM--  2 x E1 PIM--  2 x Serial PIM--  1 x ISDN BRI S/T PIM--  1 x E3 PIM--  4 x FE EPIM--  1 x Gbe EPIM--  1 x SFP EPIM-- 

31 Copyright © 2006 Juniper Networks, Inc. SSG összefoglaló  Biztonság: Teljeskörű UTM integrált, semmilyen egyéb hw sem szüks. Állapottartó FW, IPSec VPN, IPS, AV (Anti-Phishing és Anti-Spyware), Anti-Spam, Web filtering Hálózat szegmentációja széles körű virtualizációs lehetőségekkel  Teljesítmény: célhardver alapú megoldás, verhetetlen ár/teljesítmény mutatóval  WAN kapcsolódási lehetőségek széles választéka Biztonsági eszköz professzionális útválasztási képességekkel Dinamikus útválasztás, virtuális útválasztók, VPN, HA, VLAN-ok A WAN kártyák a J-Sorozatú útválasztókból JUNOS támogatással  Központi menedzsment (NSM)

32 Copyright © 2006 Juniper Networks, Inc.  Piaci trendek  Kulcs biztonsági és útválasztási funkciók  SSG sorozat specifikációja  Telepítési lehetőségek  Versenytársak elemzése Napirend

33 Copyright © 2006 Juniper Networks, Inc. SSG 5/SSG 20 példa Elsődleges kapcs = Külső ADSL vagy v.35 Serial ISP Backup = ISDN S/T or V.92 Internet Wireless Zóna PSTN Branch Office Központ RAS „Buta” Modem Távoli iroda Elsődleges kapcs.= ADSL vagy E1 Backup = ISDN S/T vagy V.92

34 Copyright © 2006 Juniper Networks, Inc. SSG 140/SSG 500 példa Fő kapcsolat = E1 vagy Serial ISP Backup = ISDN S/T Internet PSTN Fiókiroda Központ RAS Regionális központ Fő kapcsolat = E3 Backup = E1

35 Copyright © 2006 Juniper Networks, Inc. SSG termékcsalád példa Frame Relay (ISP) Internet Távoli telephely Központ  Az SSG termékcsalád sokféle integrációs lehetőséget kínál  A kapcsolatok működhetnek aktív/passzív illetve aktív/aktív üzemmódban (terheléselosztás több kapcsolat között) E1, ADSL2+ vagy V.92 E1 vagy E3 E1 vagy ISDN Vagy

36 Copyright © 2006 Juniper Networks, Inc.  Piaci trendek  Kulcs biztonsági és útválasztási funkciók  SSG sorozat specifikációja  Telepítési lehetőségek  Versenytársak elemzése Napirend

37 Copyright © 2006 Juniper Networks, Inc. SSG 550 vs ISR 3845: Tűzfal teljesítmény Az állítás és a valóság – a célhardver szerepe

38 Copyright © 2006 Juniper Networks, Inc. SSG 550 vs ISR 3845: Behatolásdet. teljesítmény Az állítás és a valóság – a célhardver szerepe

Copyright © 2006 Juniper Networks, Inc További információ (függelék)

40 Copyright © 2006 Juniper Networks, Inc. SSG 20 Mini-PIM: 1 x ADSL2/2+  ADSL, ADSL2, ADSL2+ (max. 24Mbps letöltés)  Annex A (POTS) vagy Annex B (ISDN)  Két kártya összekötésével MLPPP over ADSL ha azonos BRAS-on terminált (pl: ERX)  ATM sávszélesség menedzsment CBR, UBR és VBR-NRT forgalmakra  Akár 10 PVC csatorna kártyánként  Csak SSG 20 platform

41 Copyright © 2006 Juniper Networks, Inc. SSG 20 Mini-PIM: 1 x T1, 1 x E1  Integrált CSU/DSU  Fractional T1, E1  56K & 64K támogatás  WAN beágyazás PPP, MLPPP, FR, MLFR, HDLC  MLPPP vagy MLFR 2x kártyával  Hibakeresés BERT, FDL, loopback, buildout  Channelized T1, E1 nem támogatott  Csak SSG 20 platform

42 Copyright © 2006 Juniper Networks, Inc. SSG 20 Mini-PIM: 1 x V.92  AT parancskészlet  Hardware flow control  Dial-backup házirendből  Behívás is lehetséges (távmenedzsment)  Csak SSG 20 platform

43 Copyright © 2006 Juniper Networks, Inc. SSG 20 Mini-PIM: 1 x ISDN BRI  Csak S/T Interfész U interfészhet külső NT-1 kell  Behívási lehetőség nincs Kifelé lehet elsődleges vagy backup  Csak SSG 20 platform

44 Copyright © 2006 Juniper Networks, Inc. 2x T1, 2x E1  Integrált CSU/DSU  Fractional T1, E1 támogatás  56K & 64K mód támogatás  WAN beágyazás PPP, MLPPP, FR, MLFR, HDLC  MLPPP vagy MLFR 4xT1 vagy E1 kártya között  ANSI T1.102, T1.107, T1.403 T1  G.703, G.704, & G.706 E1  Diagnosztika BERT, FDL, loopback, buildout  Channelized T1, E1 nem támogatott  SSG 520, SSG 550 és SSG 140

45 Copyright © 2006 Juniper Networks, Inc. 2x Serial PIM  Támogatás: RS232 V.35 X.21 RS449 EIA530  Összesen 8 Mbps sávszélesség  Órajel állítható  SSG 520, SSG 550 és SSG 140

46 Copyright © 2006 Juniper Networks, Inc. 1 x ISDN BRI  Csak S/T interfész  U interfészhez külső NT-1  Behívási lehetőség nincs Kifelé lehet elsődleges vagy backup  64k adatkapcsolat  MLPPP over ISDN támogatás 128 k 2xB csatornán  Csak SSG 140 platform

47 Copyright © 2006 Juniper Networks, Inc. Réz Gigabit  1 port GBE Auto negotiation 10/100/1000 Mbps, Half/Full- Duplex támogatás  Auto-negotiation támogatás (RLI 3381)  „Jumbo Frame” támogatás – max. frame méret 9022 byte  VLAN Id 1-től 4094-ig  SSG 520, SSG 550

48 Copyright © 2006 Juniper Networks, Inc. Üveg Gigabit  1 Port GBE Optikai SX és LX SFP Auto-Negotiation és 1000/Full-Duplex üzemmód  Auto-negotiation (RLI 3381)  „Jumbo Frame” támogatás – max. frame méret 9022 byte  VLAN Ids 1-től 4094-ig  SSG 520, SSG 550

49 Copyright © 2006 Juniper Networks, Inc. Quad FE  4x10/100 FE  10/100 Mbps, Half/Full- Duplex  Auto-negotiation  Nincs „Jumbo Frame” – max. frame méret 1518 byte  SSG 520, SSG 550