JuniperNetworks防火墙VPN产品李铭13488853737议程•Juniper简介•Juniper防火墙/VPN产品线•JuniperISG集成安全网关系列•JuniperSSG安全业务网关系列•产品对比•案例分析Juniper(瞻博)网络公司•一家不断成长的公司•在我们所有的关键市场上,市场份额前三名•全球5,000+员工•中国150+员工•关注从网络中转化策略价值的客户成功方式出色的财务业绩投入大量资金用于研发不断增加的市场份额广泛的业界认可北美亚太欧洲Juniper全球业务分布19962006#789IncorporatedAcorn20052002200420001998T-SeriesSSGUACT1600JUNOSw/IntegratedSecurity199920072008$500M$1.3B$2B4800Employees10001500Revenue25003500$2.8B$2.3B5300+$2.8B6100+M-SeriesJuniper(瞻博)发展Juniper全球的领导地位全球超过100个国家的20000多个大型客户《财富》100强中的92家30大顶尖电信运营商10大商业银行中的8家美国50个州政府中的47个100家纳斯达克上市公司9000家全球合作伙伴Juniper中国•Juniper在中国–为中国各顶级运营商提供战略性网络系统。–为尖端教育科研系统、银行系统、能源系统、以及广泛的商用市场/中小企业等提供尖端网络系统服务。电信行业广泛的用户群体和高认知度•中国电信CN2(中国电信下一代互联网)30台T640覆盖全国7个核心大区骨干节点,并有一百多台M320分布在中国电信南方各省及国际出口,是CN2最大的设备供应商;•中国电信1634套TX应用于上海、广州出口节点•中国移动国家骨干网CMNET覆盖全国,80%以上的市场份额•中国网通DCN骨干网覆盖全国的DCN骨干网•中国联通国家骨干网覆盖全国7个核心大区,承载联通全国骨干数据业务,获国家科技进步一等奖•CNGI国家骨干网CNGI(由电信、移动、网通、联通、铁通、CERNET等承建的国家下一代互联网示范应用工程),一个覆盖全国的大型IPv6网络,Juniper是唯一被各大运营商选择为合作伙伴的国外厂商。•广电总局国家骨干网全国骨干网,50%以上设备•安全市场上估计存在超过70亿美元的机会•包括IPS、SSLVPN、路由功能和防火墙VPN•防火墙VPN仍然是安全市场最大的组成部分•我们的强项是防火墙/VPN产品•继续推动安全类产品的发展市场机会,约超过70亿美元市场领导地位-Gartnet2004年报告Juniper#1outof18vendorsGartnerMagicQuadran报告是针对IT特定细分市场上的厂商实力所进行的极具声望的评价,它从各个方面来全方位评价厂商,包括产品线的完整度和功能、技术实力、创新性、成功实施情况、满足客户现有和未来需求的能力,以及包括服务和支持在内的执行能力、市场份额、财务健康状况和其它关键指标市场领导地位-Gartnet2006年报告Juniper#1outof18vendorsGartnerMagicQuadran报告是针对IT特定细分市场上的厂商实力所进行的极具声望的评价,它从各个方面来全方位评价厂商,包括产品线的完整度和功能、技术实力、创新性、成功实施情况、满足客户现有和未来需求的能力,以及包括服务和支持在内的执行能力、市场份额、财务健康状况和其它关键指标市场领导地位-Gartnet2007年报告Juniper#1outof18vendorsGartnerMagicQuadran报告是针对IT特定细分市场上的厂商实力所进行的极具声望的评价,它从各个方面来全方位评价厂商,包括产品线的完整度和功能、技术实力、创新性、成功实施情况、满足客户现有和未来需求的能力,以及包括服务和支持在内的执行能力、市场份额、财务健康状况和其它关键指标议程•Juniper简介•Juniper防火墙/VPN产品线•JuniperISG集成安全网关系列•JuniperSSG安全服务网关系列•产品对比•案例分析Juniper网络产品入侵防护解决方案Intrusionpreventionappliancesthathelpprotectnetworksandcriticalresourcesfromattacks整合防火墙/IPSecVPN解决方案Purpose-builtsecurityapplianceswithWAN&LANinterfaceflexibilityandperformancecapabilitiestoprotectenterpriseandserviceprovidernetworks基于策略的集中管理解决方案3-tiersystemprovidingrole-basedadministrationandcentralcontrolandloggingofallFW/VPNsolutionsSSLVPN解决方案ProductlinesforsecureLAN,extranetandintranetaccesstomobileemployees,customersandpartnerswithnoclientsoftwaredeployment企业安全路由解决方案Serviceproviderqualityroutersfortheenterprisedesignedforremote,branchorregionaloffices整合接入控制解决方案Productlineconsistingofthreecomponentsthatworktogethertoenableacost-effective,pragmaticsolutionsolvingendpointsecurityasiteffectstheLANInfranetAgent为什么选择Juniper防火墙/VPN•强大的性能•提供分层安全性保护不同类型的攻击•易于部署和集成•在多个层面上的内置可靠性•管理灵活性是广泛分布的环境的关键要素性能:专用硬件平台•具备的优势:高性能•通过将安全专用的专用元素组合起来实现高性能•包括硬件、主板设计、处理器选择和软件•设计用于执行关键的安全功能•Juniper网络公司的巨大优势——安全专用的专用硬件,设计用于执行安全处理性能:先进的硬件设计通用结构的处理•数据在几个非优化的接口传送•每个“API”引入安全风险•处理的延迟导致“无法预测的行为”•数据通道无法优化PCAppliances/PseudoAppliancesOSVPNCo-ProcessorCPURAMBusI/OInOutApplications专用的安全处理•基于流的线性的数据包处理•每个处理模块被优化•优化的应用和硬件用于安全处理和性能GigaScreenASICCPUHighSpeedBackplaneInOutRAMI/ONetScreenAdvancedArchitectureSecurity-Specific,Real-TimeOSIntegratedSecurityApplicationsASICScreenOS特点•安全性专用的实时操作系统•完全设计用于执行计算密集型安全功能,而不会影响吞吐量•与硬件设备、安全操作系统及安全应用紧密集成•状态协议级智能•集成深层检测、防病毒和Web过滤等•专用操作系统,减少补丁和测试•所有防火墙/IPSecVPN系列产品上部署相同的安全性专用操作系统ScreenOSIPv6•为状态防火墙和IPSecVPN提供生产级的商用IPv6支持•支持双堆栈架构,使客户能够在一个设备上同时支持并保护IPv4与IPv6网络•支持所有主要的IPv6迁移机制,包括IPv4-IPv6和IPv6-IPv4迁移、IPv6隧道中的IPv4和IPv4隧道中的IPv6•以及面向IPv6的NAT-PT•支持RIPng动态路由协议,允许客户提高生产网络中的IPv6部署的可扩展性•防止IPv6网络遭受synflood攻击和其他攻击,使客户能够抵御从IPv4或IPv6网络中发起的拒绝服务攻击Juniper防火墙产品线NS-5GTNS-25/50NS-HSCNS-5400ISG2000ISG1000SSG520MSSG550MNSseriesISGseriesSSGseriesNS-5200NS-500NS-208NS-204SSG20SSG5SSG140SSG350SSG320议程•Juniper简介•Juniper防火墙/VPN产品线•JuniperISG集成安全网关系列•JuniperSSG安全业务网关系列•产品对比•案例分析JuniperISG集成安全网关系列性能优越----硬件设计模块化----ASIC安全模块----IDP独立运作----接口模块化----延续了NS系列的稳定性与性能JuniperNetworksISG1000•新的ISG平台–ISG家族的新产品–将高性能和先进的网络功能整合–提供应用层/网络层的保护•理想的边界安全解决方案–专门设计、高度整合的千兆平台•高性能–第4代ASIC(GigaScreen3)芯片•混合包处理能力1Gbps•大包处理能力2Gbps–1Gbps–Firewall,IPSecVPN•可以扩展两个IDP硬件模块JuniperISG-2000整合式安全网关(ISG,IntegratedSecurityGateway)•通过ScreenOS实现核心网络功能–安全分区&虚拟系统–OSPF,BGP,和RIPv2路由–主动/被动,双主动高可用性–高达28个端口,4000个VLAN•高负荷下的在线性能–状态监测防火墙•小包处理能力2Gbps•大包处理能力4Gbps–1Gbps3DES和AESIPSecVPN•任何大小的数据包–2Gbps+IDP–每秒29,000个新会话•高安全性及可扩展性–深层监测防火墙/VPN–防范包括Dos在内的33种网络攻击–严密的策略控制,用户验证及安全分区–整合IDP功能IDP安全模块2GigRAMIDPSecurityModule(SM)BoardDualCPU议程•Juniper简介•Juniper防火墙/VPN产品线•JuniperISG集成安全网关系列•JuniperSSG安全服务网关系列•产品对比•案例分析SSG系列产品特点JuniperSSG系列:第二代UTM(统一威胁控制)产品和第一代UTM产品的区别1、多个领先的内容安全厂家的技术的集成2、丰富的网络功能3、强大的集中管理4、模块化的设计——可扩展的模块5、支持3种管理方式:CLI、WEBUI、集中管理6、实际测试性能远远超过第一代UTMSSG系列产品特点1、多种领先的安全技术的集成入侵防御功能:防病毒:卡巴斯基防垃圾邮件:赛门铁克网页过滤:美讯智其他厂家主要依靠自己开发,特征库不完善,不专业;或者只能支持部分的UTM功能SSG系列产品特点2、丰富的网络功能•支持的路由功能包括:•虚拟路由器•各种动态路由:OSPF、BGP、RIP•Routerid–loopbackinterface•策略路由•冗余接口和等价路由多链路负载均衡•组播路由•全系列接口模块化设计,并支持丰富的局域网和广域网接口模块和协议:•FE/GE•E1•串口•ADSL2+•802.11a/b/g•FR、PPP、Multilink-FR、Multilink-PPP其他厂家的路由功能不强,中低端产品无法模块化设计,不支持广域网接口SSG系列产品特点3、强大的集中管理•Juniper采用NSM服务器进行集中管理:–所有防火墙和入侵防御设备的功能(包括接口、路由、状态防火墙策略、入侵防御、防病毒等各种UTM功能)都可以由NSM一个界面统一完成–可以由NSM进行集中的配置备份、日志收集、审计日志、报表,无需部署额外的设备和软件–可以对防火墙划分子域,该子域的管理员只能看到自己域里的防火墙,而不能看到全局