资源描述:
《juniper 防火墙ssg╱srx培训》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
JuniperScreenOSFWOverview Juniper培训资料提供者深圳市新开思信息技术有限公司地址:深圳市福田区燕南路桑达工业区404栋6层638号全国销售热线:400-666-3148(总机-20线)WEB:HTTP://www.newcase.com.cnWEB:HTTP://www.newcase.net.cn官方博客:http://blog.sina.com.cn/sznewcaseCopyright©2008JuniperNetworks,Inc.2 培训议程防火墙产品型号介绍防火墙优势与卖点经典案例Copyright©2008JuniperNetworks,Inc.3 1999�IntegratedFW/VPN2000Gigabit�FW/VPN2003UTM�(FW,IDP,AV)2001IDPPioneer2004/2005�ISG&FullIntegratedIPSNow�UTM&RoutingJuniper防火墙的发展路线Gartner魔力象限图:FW/VPNJuniper居领导地位业界奖项NS100NS1000DI/IDP 企业总部/数据中心性能容量Juniper防火墙/安全网关系列远程办公室/中小企业/中小分支机构中大企业/大型分支机构30Gbps10GbpsNS5400NS52004Gbps1Gbps600Mbps300MbpsISG2000ISG1000SSG550SSG520SSG350SSG5SSG20SSG140SSG320SRX5600SRX5800150GbpsSRX3400SRX3600SRX650SRX240SRX210SRX100 Juniper防火墙产品市场定位中低端防火墙针对中小型企业购买成本及维护成本是首要的需求安全功能Allinone统一的配置界面JuniperSSG产品具备无可比拟的优势购买成本较低无需管理多台设备性能可接受高端防火墙针对运营商及大型企业性能与稳定性是用户首要的需求防火墙不能因为开启新业务成为网络处理能力的瓶颈防火墙需具备高稳定性,不能影响业务的正常开展往往使用独立硬件完成病毒防护,入侵检测防御,垃圾邮件过滤等功能,专物专用JuniperISG/NS5000的目标客户 SecureServicesGateway5160Mbps防火墙处理能力40MbpsVPN处理能力16K并发会话,5.5K新建会话深度检测能力病毒扫描能力反垃圾邮件,Web过滤支持Securityzones,VLANs,VirtualRouters以灵活地把网络分段灵活的接口选项固化7个10M/100MEtherne以太网接口+1低速广域网接口interfaceISDNBRIS/TV.92RS-232Serial/Aux可选配无线接入802.11a/b/g共6个具体型号 SecureServicesGateway20灵活的接口选项固化5个10M/100MEtherne以太网接口+2个Mini-PIM扩展槽ISDNBRIS/TV.92ADSL2+E1/T1千兆以太网同步串口可选配无线接入802.11a/b/g共6个具体型号160Mbps防火墙处理能力40MbpsVPN处理能力16K并发会话,5.5K新建会话深度检测能力病毒扫描能力反垃圾邮件,Web过滤支持Securityzones,VLANs,VirtualRouters以灵活地把网络分段 SecureServicesGateway140前面板前面板8个10/100M以太网接口+2个10/100/1000M接口扩展槽后面板4个PIM扩展槽2*T1/E12*Serial2*SHDSL1*E3/T31*ADSL1*ISDNBRIS/T16口GE8口GE6口GE1口GE350+(900)Mbps防火墙处理能力100MbpsVPN处理能力48K并发会话数,8K新建会话数深度检测能力病毒扫描能力反垃圾邮件,Web过滤支持Securityzones,VLANs,VirtualRouters以灵活地把网络分段后面板 SecureServicesGateway300MSeriesJuniperNetworksSSG350M550Mbps+FW225MbpsVPN深度检测能力病毒扫描能力5I/OSlots单电源,ACorDC128K并发会话,12.5K新建会话数350VPNtunnels1.5UJuniperNetworksSSG320M450Mbps+FW175MbpsVPN深度检测能力病毒扫描能力)3I/Oslots单电源,ACorDC64K并发会话,10K新建会话数250VPNtunnels1U共同特点固化4个10M/100M/1000M以太网接口2个RJ45Console/AUX接口2个USB可外接存储设备以导出日志或其他系统信息 SecureServicesGateway500SeriesJuniperNetworksSSG5504GbpsFW500MbpsVPN深度检测能力病毒扫描能力6I/OSlots冗余电源,ACorDC256K并发会话,32K新建会话数1,000VPNtunnelsJuniperNetworksSSG5202GbpsFW300MbpsVPN深度检测能力病毒扫描能力6I/Oslots单电源,ACorDC128K并发回话,23k新建会话数500VPNtunnels共同特点2U高,固化4个10M/100M/1000M以太网接口2个RJ45Console/AUX接口2个USB可外接存储设备以导出日志或其他系统信息 丰富的SSG接口模块:PIMs8口10M/100M/1000M电口16口10M/100M/1000M电口6口1000M光口2口E1/T12口同步串口1口ISDNBRIS/T JuniperISG防火墙概览ISG2000整机4Gbps防火墙处理能力(大包)2Gbps防火墙处理能力(64bytes小包)整机2Gbps3DES或AESVPN能力整机1百万并发连接最多支持10000IPSecVPNtunnels最多支持16个千兆接口或28个百兆接口最多支持250个虚拟防火墙系统最多支持4094个VLANsISG1000最大2Gbps防火墙处理能力(大包)整机1Gbps防火墙处理能力(64bytes小包)最大1Gbps3DES或AESVPN能力整机50万并发连接最多支持2000IPSecVPNtunnels最多支持12个千兆接口或20个百兆接口最多支持50个虚拟防火墙系统最多支持4094个VLANs ISG2000升级为带硬件IDP的防火墙IDPLicenseKey1-3块安全模块++=ISGSystem+ISGSystemw/IDP JuniperNS5000防火墙概览NS5400分布式处理,随着板卡数量增加性能线性递增最大30Gbps防火墙处理能力(256bytes)12Gbps防火墙处理能力(64bytes小包)最大15Gbps3DES或AESVPN能力整机2百万并发连接支持25,000IPSecVPNtunnels支持24个千兆接口或6个万兆接口支持500个虚拟防火墙系统支持4094个VLANsNS52000分布式处理,随着板卡数量增加性能线性递增最大10Gbps防火墙处理能力(256bytes)整机4Gbps防火墙处理能力(64bytes小包)最大5Gbps3DES或AESVPN能力整机1百万并发连接支持25,000IPSecVPNtunnels支持8个千兆接口或2个万兆接口支持500个虚拟防火墙系统支持4094个VLANs JuniperNS5000接口板卡系列NetScreen-50008G2接口模块8口千兆mini-GBIC接口8Gbps防火墙/4Gbps3DES/AESVPN性能支持最多4口聚合NetScreen-50002XGE接口模块2口万兆XFP接口10Gbps防火墙/4Gbps3DES/AESVPN性能支持短距或长距Transceivers共同点每块接口卡内置2块GigaScreen3ASIC支持9.6K帧长的JumboFrames跟5000-MGT2管理模块兼容 培训日程Juniper防火墙产品型号介绍Juniper防火墙优势与卖点经典案例Copyright©2008JuniperNetworks,Inc.17 防火墙操作系统SreenOSRISCCPUMemoryASICInterfacesSecurity-Specific,Real-TimeOS•DynamicRouting•Virtualization•HighAvailability•CentralizedManagementIntegratedSecurityApplications•VPN•DenialofService•Firewall•TrafficmanagementPurpose-BuiltHardwarePlatformCPUMemoryASICInterfacesSecurity–Specific,Real-TimeOSDynamicRoutingVirtualizationHighAvailabilityCentralizedManagementIntegratedSecurityApplicationsDenialofServiceVPNFirewallTrafficmanagement专为安全业务而设计的软件系统-电信级路由能力:RIP/OSPF/BGP4/PBR高可用性:RedundantInterface/TrackIP/NSRP虚拟化能力:虚拟防火墙UTM功能:AV/IPS/Anti-SPAM/URLFiltering…支持:RADIUS,LDAP,PKI,internalDB,SecurID,MSAD等认证手段超过10年行业经验累积支持大量的企业应用如H323/SIP/MGCP/Skinny等安全域/全状态检测/深度检测VPN特性:IPsec/XAuth/L2TP/GRE GigaScreen3ASICJuniper/Netscreen第4代安全业务处理芯片(2003年发布)3Mpps状态检测/NAT性能1.5Mpps加解密性能(IPsecVPN)集成16种常见攻击的防护能力(Syn-flood/ICMPflood//UDPFlood等)集成6*PacketProcessingUnits(PPU)加速单元:VPN加/解密(AES,3DES,DES,SHA-1,MD5)TCP4WaycloseIP分段重组IKE协商加速流量计数支持微代码编程,可通过软件版本升级更新ASIC芯片的功能用于ISG/NS5000产品系列防火墙安全业务引擎 全状态防火墙检测机制支持对TCP协议进行状态检测支持IP/ICMP/UDP等无状态协议进行状态检测支持对复杂协议进行状态检测H.323(Cisco/Avaya/Polycom/NEC…)SIPMGCPSkinnyFTP/TFTPRTSP/RealMicrosoftRPC/SunRPCSQLPPTPSCTPGTP/GPRS 完善的VPN特性支持支持IETFIPsecVPN标准可与所有兼容RFC标准的IPsec网关互联互通支持IPsecVPNNATTraversal支持Remote-Accessw/Xauth支持透明模式下的IPsecVPN独特的ACVPN特性,可简化大规模full-meshVPN部署支持L2TPVPN,支持L2TPoverIPsec,方便Windows用户VPN远程接入支持GRETunnel,支持GREoverIPsec;方便通过VPN隧道透传组播应用 统一威胁管理(UTM)来自入方向的威胁来自出方向的威胁SurfControltoblocktoSpyware/Phishing/UnapprovedSiteAccessWeb过滤KasperskyLabAVstopsViruses,file-basedTrojans,Spyware,Adware,KeyloggersKasperskyLabAVstopsViruses,file-basedTrojansorspreadofSpyware,Adware,Keyloggers防病毒SymantecstopsSpam/Phishing防垃圾邮件JuniperIPSdetects/stops�Worms,TrojansJuniperIPSdetects/stopsWorms,Trojans,DoS,Recon,Scans入侵检测防护JuniperStatefulFirewall,VPN,AccessControl核心安全JuniperStatefulFirewall,VPN,AccessControl 经济灵活的虚拟系统(VirtualSystems)IEEE802.1QVLANTrunk业务流量按照VLANs映射至虚拟防火墙客户区域物理分割到客户A的VLAN虚拟防火墙逻辑分割每个客户独立管理自己的设备:分离的路由表/安全策略/地址本/管理员账号到客户C的VLAN到客户B的VLAN 灵活的部署方式路由模式:电信级路由能力RIPOSPFBGP策略路由ECMP透明模式(桥模式)无需更改现有网络拓扑,即插即用支持透明模式下的NAT(ScreenOS6.2)/IPsecVPN支持丰富的广域网接口卡类型,适应各种网络连接虚拟路由器/虚拟防火墙提高业务灵活性IPv6Ready支持IPv4/IPv6双栈支持NAT-PT支持6to4Tunnel支持6in4,4in6Tunnel支持RIPng,即将支持OSPFv3 高可用性主要特性支持A/P、A/A、A/Afullmesh的高可用部署同步FW/VPN的所有信息,切换时包括ActivesessionsNATVPNtunnelsSecurityAssociations优点业务无中断,切换对用户透明改进了业务的弹性JuniperHA防火墙结构解决的问题防多点故障链路故障或周边设备故障,用接口切换屏蔽,设备不用切换,无丢包双HA心跳线冗余TrackIP机制检测全路径健康状况配置自动同步,维护简单 友好的人机管理界面 集成管理平台Telnet�SSHHTTP�HTTPSDMISNMP�SyslogJuniper防火墙开放,基于标准的管理框架ScreenOSCLITelnetSSHWebQuickSetupwithTemplatesDashboardViewPerformanceMonitoringJuniperNSMDiscovery&ConfigurationPolicyManagementInventoryManagementLogManagementDeviceManagementNetwork&SecurityManagementThirdpartyNMSJuniperSTRMThreatDetectionEventLogManagementCompliance&ITEfficiency 培训日程Juniper防火墙产品型号介绍Juniper防火墙优势与卖点经典案例Copyright©2008JuniperNetworks,Inc.28 Juniper全球高端防火墙市场份额#1MARKETSHAREHE-FWHigh-endFirewall/�IPSecVPN 08年Q1全球高端防火墙市场占有率Juniper34%Cisco23%Source:InfoneticsResearch,Q108totalrevenue,TAM=$146.9MJNPRisstill#1inHigh-endFW/VPNAppliancesOther43% Juniper防火墙国内主要客户作为全球防火墙的领导厂商,Juniper防火墙在国内拥有众多的客户和成功案例,Juniper防火墙为国内各行业客户提供在线的安全防护。Juniper在国内证券、电信、金融、电力等对安全产品要求最高的行业的拥有最多的客户和成功案例,在企业市场也拥有最广泛的部署。 近万台Juniper防火墙7X24小时在国内金融网络中运转中国工商银行:全国部署Juniper防火墙,总数400台以上。数据中心部署NS5000,省行部署ISG系列,地市行采用500/200系列中国农业银行:双数据中心和某些一级行部署Juniper防火墙包括NS5000/ISG/SSG500等中国建设银行:全国部署Juniper防火墙,总数300台以上,数据中心部署NS5000/ISG2000防火墙,一级行部署ISG2000和ISG1000防火墙,地市行采用550/520防火墙,总数超过300台中国银行:全国部署Juniper防火墙,总数400台左右,数据中心部署NS5000/ISG2000,一级分行部署ISG2000,地市行采用500/200系列中国农业发展银行:全国数据中心和全国各省行均采用Juniper防火墙,包括NS5000/ISG/SSG500/NS200/NS50/NS25防火墙。共2000多台 近万台Juniper防火墙7X24小时在国内金融网络中运转申银万国证券:全国营业部采用JuniperSSG140作为网络核心,共218台中国光大银行:总行及全国各省行采用Juniper防火墙,包括NS5200/ISG2000/500/200/100总数近200台中国造币总公司:全国采用Junipe防火墙,包括ISG2000/550/200系列等中国邮政储蓄:总部及全国各省行采用Juniper500防火墙中国人民银行:部分分行采用Juniper防火墙深圳发展银行:部分分行采用Juniper防火墙上海证券交易所上海金融期货交易所 中国农业发展银行骨干网安全应用 农发行Juniper安全解决方案的应用中国农业发展银行通过对多家安全产品的测试和了解,最终选定Juniper防火墙产品农发行在总行和全国各级分行的主干网边界部署了共两千多台JuniperNetscreen防火墙,隔离各级网和分行之间的相互影响,降低网络面临的潜在威胁除县行外,所有防火墙均采用双机HA结构,冗余心跳连接保证了结构本身的稳固性在安全策略上,只允许业务相关流量进出主干网,对所有非授权流量进行阻挡和日志记录在管理上采用独立维护,统一监管的方法 农发行Juniper实施效果农发行通过架设Juniper防火墙产品,对全国主干网进行了全面的安全建设和保护,隔离了各级网络之间的相互影响,降低了网络面临的各种潜在安全威胁,极大地提高了主干网的信息安全防护水平,并有效保护了业务的安全和连续进行农发行IT信息部门负责人表示:“我们选择Juniper网络公司的防火墙产品是因为其防火墙产品拥有高可靠性,为我们主干网日益增长的安全管理问题提供了最好的解决方案,使农发行主干网的信息安全防护水平得到了全面的保障。未来我们还会考虑继续采用Juniper的其它安全产品,进一步加固农发行主干网的安全水平。” 北京电网Juniper安全方案应用北京电网公司一期安全建设于2002年部署了原Netscreen公司的NS500和NS200防火墙,NS500部署在公司总部,NS200部署在分支机构随着北京电网公司信息网络扩容,原有的NS系列防火墙已经无法满足客户需求,从2006年开始进行扩容和替换:公司总部:部署两台NS5400防火墙,替换原有NS500公司分支机构:新部署30台SSG520防火墙,部分替换原有NS200系列目前北京电网公司部署Juniper各种型号防火墙超过80台新增SA4000提供移动办公用户的接入 北京电网公司安全应用 味千拉面Juniper解决方案共采用Juniper设备:ISG1000x2,NS5GTx300,J2320x6,EX3200x14,SA2000100user总部:ISG1000作为Internet出口防火墙;SA2000作为远程接入网关;EX3200交换机作为接入交换机;分公司:6个分公司各一台J2320作为Internet出口路由器;EX3200作为接入交换机。每个门店:1台NS5GT,作为IPsec设备,总数共300台。 联系方式深圳市新开思信息技术有限公司地址:深圳市福田区燕南路桑达工业区404栋6层638号全国销售热线:400-666-3148(总机-20线)WEB:HTTP://www.newcase.com.cnWEB:HTTP://www.newcase.net.cn官方博客:http://blog.sina.com.cn/sznewcaseCopyright©2008JuniperNetworks,Inc.40
