资源描述
Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,#,Copyright,2009 Juniper Networks,Inc.,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,#,Copyright,2009 Juniper Networks,Inc.,Juniper,产品一览,J Series,M Series,MX Series,T Series,TX Matrix Plus,IDP,WX,SA&UAC,APP-LAYER SERVICES,SWITCHES,EX2500,EX3200,EX8208,EX4200,EX8216,EX2200,ROUTERS,SECURITY,SRX5000,SRX650,SRX240,SRX210,SRX3000,防火墙产品线概述,企业总部,/,数据中心,性能容量,Juniper,防火墙,/,安全网关系列,远程办公室,/,中小企业,/,中小分支机构,中大企业,/,大型分支机构,30 Gbps,1,0 Gbps,NS5400,NS5200,4,Gbps,1,Gbps,600Mbps,300Mbps,ISG2000,ISG1000,SSG550,SSG520,SSG350,SSG5,SSG20,SSG140,SSG320,SRX5600,SRX5800,15,0 Gbps,SRX3400,SRX3600,SRX650,SRX240,SRX210,SRX100,Juniper,下一代安全业务网关,下一代安全业务网关,可升级的性能,丰富的服务功能,防火墙,/UAC,执行点,IDP,IPSEC VPN,Routing/QoS,3U,4+3 CFMs,8+4 GE,2 RE*,1+1 PS,20/6/6 Gbps,1M sessions,175kcps,10k IPSEC tunnels,5U,6+6 CFMs,8+4 GE,2 RE*,2+2 PS,30/10/10 Gbps,2M sessions,175kcps,20k IPSEC tunnels,8U,6 slots,2 RE*,1+1 SCB,2+2 PS,60/15/15Gbps,8M sessions,350kcps,30k IPSEC tunnels,16U,12 slots,2 RE*,2+1 SCB,3+1 AC,2+2 DC,120/30/30 Gbps,8M sessions,350kcps,60k IPSEC tunnels,SRX210,SRX650,SRX3600,SRX3400,SRX5600,SRX5800,SRX100,SRX240,SRX3400,关键部件冗余,3U/7,扩展槽位,防火墙性能,1,0,/20,Gbps,VPN 8 Gbps,IDP,6,Gbps,Concurrent sessions,1,M,New and sustained cps,12,0k,Concurrent VPN tunnels 10k,Juniper,新一代防火墙产品,SRX3000,系列,SRX3600,关键部件冗余,5U/12,扩展槽位,防火墙性能,10/20/3,0 Gbps,VPN,14,Gbps,IDP,10,Gbps,Concurrent sessions,2,M,New and sustained cps,12,0k,Concurrent VPN tunnels,3,0k,SRX5600,管理引擎,/,安全服务引擎,/,交换矩阵,/,电源,/,风扇组全冗余,8U/8,槽位,防火墙性能,60 Gbps,VPN 18 Gbps,IDP 18 Gbps,Concurrent sessions 4M,New and sustained cps 300k,Concurrent VPN tunnels 100k,Juniper,新一代防火墙产品,SRX5000,系列,SRX5800,管理引擎,/,安全服务引擎,/,交换矩阵,/,电源,/,风扇组全冗余,16U/14,槽位,防火墙性能,12,0 Gbps,VPN,36,Gbps,IDP,36,Gbps,Concurrent sessions,8,M,New and sustained cps 300k,Concurrent VPN tunnels 100k,SRX,的优势,1,、可按需扩展的动态可适应型体系架构,2,、硬件设计的高可靠性,3,、安全性与,QoS,可按需扩展的动态可适应型体系架构,客户的业务流量增长速度,安全设备会最先成为网络中的性能瓶颈点,如何适应快速增长的业务流量,如何长远的规划网络架构,问题:,举例:今年,5G,三年内达到,10G,,五年内达到,20G,,三年后,如何适应,10G,的业务压力?,客户的答案:三年后,1.,换更高的设备,2.,流量分流,改变网络架构,3.,买多台设备,买负载均衡,业务流量飞速增长,Time,TODAY,FUTURE,Security Requirements,FW,IPS&VPN,(Gbps),10,5,Other firewall,可按需扩展的动态可适应型体系架构,现在的选择:动态可适应型体系架构的方案,好处:,适应快速增长的业务流量,投资保护,1.,初期投资少,2.,初期投资被后期一直利用,可长远的规划网络架构,插卡方式,扩展简单,即插即用。扩展性能容量和网络接口(与其它插卡方式的对比,比如在交换机上插防火墙模块板卡的方式),业务流量飞速增长,Time,TODAY,FUTURE,Security Requirements,FW,IPS&VPN,(Gbps),10,5,硬件高可靠性设计,防火墙节点是业务流量的汇聚点,高可靠性的重要度,软硬件模块化的重要性(,JUNOS,在运营商领域,10,多年的使用经验),控制、转发、安全处理引擎、交换矩阵引擎清晰严格物理分离的重要性(交换矩阵的重要性),控制、转发、安全处理引擎、交换矩阵引擎全冗余配置的重要性,不中断在线升级(,ISSU,),应用智能安全性与,QoS,从万兆到,100G,的应用层智能防火墙,无损失集成入侵防御、应用识别、,QoS,、,VPN,集成万兆入侵防御与万兆,VPN,的防火墙,简化网络结构、减少设备数量、简化运维管理,今年年底前买,SRX3K/5K,的,IDP 1,年,License,免费,,3,年,License,优惠,Juniper FW,竞争分析,对网络厂商例如:,CISCO,、,H3C,,华赛(华为)强调我们的专业性,对于安全厂商:例如飞塔、山石、,checkpoint,强调我们是整体解决方案商,而他们只能解决部分的安全问题。,对于国产安全厂商,还要强调我们的稳定性、可靠性、性能,Juniper,安全产品的销售针对性很强,防火墙:,我们的优势,端口密度高,端口种类丰富,组合方法多,我们的劣势,并发连接,价格(低端口密度,高性能时候),我们最希望看到的对手是,cisco,最流氓的公司是飞塔,最好别带它玩,不要想通过参数战胜飞塔,SSL VPN,产品线概述,SSL VPN,功能,AAA,第三方的身份认证,(AD,LDAP,RADIUS,PKI,Local,SAML,),,提供与认证服务器的整合,基于不同的认证服务器属性的授权,动态的访问权限管理,Auditing,审计,,Radius,计费,其他,:,虚系统,多台设备做,CLUSTER,提供无缝的切换,Access,Core,业界领先的重写机制,(JavaScript,Java Applets,Flash,XML,PDF,),SAM(Windows and Java),NC,两种工作模式,cross-platform,GINA integration,Endpoint Security,对终端安全性进行检查,杀毒软件,注册表,进程,文件,SA,产品线,小型企业,中、大型企业,性能,SA700,SA2500,SA4500,SA6500,SA6000,SA4000,SA2000,硬件平台,Secure Access 700,Secure Access 2000/2500,Secure Access 4000/4500,Secure Access 6000/6500,功能参数,:,10-25,并发用户,NC,及,core,访问模式,功能参数,:,25-100,并发用户,Secure Meeting,双机,Cluster,Core,、,NC,、,SAM,访问模式,功能参数,:,50-1000,并发用户,Secure Meeting,虚拟系统,SSL,加速,双机,Core,、,NC,、,SAM,访问模式,功能参数,:,100-10000,并发用户,Secure Meeting,虚拟系统,多设备情况下最大能支持,30000,并发用户,SSL,加速,Core,、,NC,、,SAM,访问模式,IDP,产品线概述,Juniper,提供的不同的应用层保护方案,Remote Office/,Perimeter,Internal Network,集成设备,网络、应用、内容保护,DI,VPN,AV,URL,过滤,集成设备,网络、应用、内容保护,完全,IDP,VPN,AV,URL,过滤,独立设备或集成设备,专用保护设备,性能,不同的地点选用不同的方案,集成的,DI,功能(基于,ScreenOS,),集成的,IDP,模块(基于防火墙内部硬件模块),独立,IDP,(单独的硬件系统),下一代安全系统,SRX(,高性能的多合一安全平台),IDP,产品线,Performance,Price,IDP75,最高,150M,IDP250,最高,300M,IDP800,最高,1G,IDP8200,最高,10G,目前的平台,ISG,IDP,最高,2G,业界性能最高的,IPS,IDP8200,在推荐策略下,可以达到,10G,的吞吐量,最高的端口密度,:,可以达到,8,个,10GE,接口或者,16,个,GE,接口。,最高,500,万并发连接,IDP 800,2U,高,2,个,74GB RAID,硬盘,双电源,(,可选直流电源,),接口,:,固定接口,:,串口,USB,接口,管理接口,HA,接口,,2,个千兆铜口(内置,Bypass,),接口模块,:,4,端口千兆铜口模块(带内置,Bypass,),4,端口千兆光纤模块(带内置,Bypass,),4,端口千兆光纤模块(不带,Bypass,),推荐配置下的性能表现,:,吞吐量,:1 Gbps,连接数,:100,万,IDP 250,、,IDP 75,IDP 250,1U,高,交流电源,端口,:,串口,USB,接口,管理接口,8,个千兆铜口(内置,Bypass,),IDP 75,1U,高,交流电源,端口,:,串口,USB,接口,管理接口,2,个千兆铜口(内置,Bypass,),ISG,配置可选的,IDP,模块,IDP,License,Key,IDP,安全模块,+,+,=,ISG-2000,(FW/VPN System),ISG-2000,With IDP,+,Advanced,License,Key,+,2GB,管理内存升级,每个模块支持,700M,的吞吐量,SRX,下一代的安全平台,下一代的安全系统,可升级的性能,丰富的标准服务,Firewall/UAC Enforcer,IDP,IPSEC VPN,Routing/QoS,可扩展的安全服务,集成的网络服务,ISG Series with IDP,NetScreen-5000 Series,SRX3600,SRX3400,SRX5600,15G,SRX5800,30G,Juniper-IDP,的部署方式,Sniffer,方式部署,作为,IDS,用:交换机,SPAN,,,Hub,在线,Active,方式部署,Juniper-IDP,的部署方式,(,续),基于,VR,的多路网络接入,混和模式,在线阻挡的同时,对其他的流量侦听,多路在线模式,Juniper-IDP,的高可用性部署,集群架构,主备方式的集群,依靠第三方设备的多主方式部署,维持,Session,的同步,集成的,BYPASS,模块,监听应用服务和电源状态,自动搭接网络,支持光口和电口的,Bypass,消除单点故障,保证正常服务。,LAN Switch,LAN,LAN,设备断电,系统故障,核心应用程序故障,销售,SSL VPN,和,IDP,时的建议,1,、,SSL VPN,竞争对手主要为,Array,、深信服、,F5,等,与其竞争尽量在测试方面取得先机,因为,Juniper,在技术细节方面比其他友商要强很多,可以通过技术细节引导客户。,2,、销售,SSL VPN,的时候如果在价格允许的范围之内,尽量搭配,IDP,去买,或者采用购买,SSL VPN,送,IDP 75,的策略,如果用户接受,SSL VPN,和,IDP,来联动的方案,,Juniper,在项目中的胜算会非常大!,统一接入控制(,UAC,)概述,Juniper,接入控制解决方案(,UAC,),Infranet Agent(IA),全面的企业整合,AAA,认证服务器,Enforcers,Firewalls,IDP,Switches,Infranet Controller(IC),基于用户标识,网络标识和端点评估的全面的策略执行,IA,保护认证过的客户端免受恶意的不安全的客户端的侵袭。,主机安全检查,个人防火墙,/IPSEC VPN,引擎,MS Windows,单点登陆,Mac,和,Linux,无客户端的执行,用户认证,(,使用已有的,AAA,系统,),决定用户的访问权限,在,Infranet Enforcer,为端点提供访问,集中的策略管理,将安全策略加载到端口和执行点,集成的修复方案,UAC,组件,Infranet Controller,IC4500,IC6500,UAC,客户端,客户端方式,OAC,无客户端,Agentless,UAC,执行点,Layer 2,802.1x,交换机和无线接入点,Layer 3,Juniper,防火墙,Infranet Controller,IC 4500,每台设备支持最多,5000,个并发的用户,高可用性,双机集群,IC 6500,每台设备支持最多,25000,个并发用户,高可用性,多机集群,独有的硬件特色,冗余电源、风扇,可升级硬盘,Base IC4500 system:,User licenses:Feature license:,Base IC6500 system,User licenses,Feature license,销售,UAC,时的建议,1,、尽量让用户知道,802.1X,的复杂性和后期维护成本高的问题,尽量让用户接受使用防火墙作为策略执行点,其主要优势是:部署简单、硬件防火墙性能好、故障恢复时间很短、不用安装客户端软件等等。,2,、尽量不要和非,Juniper,交换机之外的交换机做,802.1x,3,、尽量搭配,IDP,,如果用户已经有了,Juniper,的任何安全产品,,UAC,与其联动都可以成为卖点。,Juniper STRM(,安全威胁响应管理器,),客户挑战,IT,”,信息,“,过载,记录的事件从各个网络和安全设备,”,点,“,泛滥,缺乏专家知识库管理分散的数据仓储和工具,强制符合性,行业特定的强制性安全最佳实践规章,内部,IT,”,风险,“,评估流程,推进内部和外部威胁管理,内部误用,知识产权盗窃,复杂的复合型攻击,Dispersed Threats,Industry Regulations,IT Overload,Security,Information,&Event,Management,介绍,Junipers SIEM/NBAD,解决方案,STRM,“,Security Threat Response Manager,”,STRM,关键应用特性,日志管理,提供长期事件日志、流量日志以及应用日志的搜集、存储、搜索和报告,安全信息和事件管理,Security Information and Event Management(SIEM),集中大量多种多样的事件监控、搜集和管理,网络行为异常检测,Network Behavior Anomaly Detection(NBAD),利用网络和应用数据发现非正常的网络活动,集成至关重要的网络,&,安全数据仓储,Network,Behavior,Analysis,Log,Management,STRM,违规管理,为操作者提供的智能工作流,谁正在攻击,?,什么正在受到攻击,?,影响是什么,?,我正在哪里调查,?,Threat,Management,STRM,产品线,STRM500,STRM2500,STRM5000,250EPS,15k F,500EPS,15kF,1000EPS,50&100k F,2500EPS,50&100k F,5000EPS,100&200k F,STRM-EP,5000+EPS,100&200k F,STRM-EP,Small Enterprise,Small Medium Enterprise,Large enterprises&Service Providers,Events per sec,Flows per Min,STRM,销售注意事项,1,、尽量搭配安全设备去卖,STRM,,作为整体安全解决方案的一部分,2,、尽量不要在非,Juniper,设备的环境中单独卖,STRM,,后期维护成本很高。,Gold SECTION DIVIDER,Juniper AdTM,(自适应威胁管理)概述,赢得了战斗,丢失了战役,数据中心,移动办公,分支办公室,合作伙伴,用户登录在分支办公室,发出蠕虫,安全系统进行拦截,并开始以减轻攻击,虽然攻击正在瓦解,在企业的其他地点,重要应用产生很大延迟,导致网络大量丢包甚至无法使用,结果,?,这次袭击是瓦解了我们的防御体系,这样的事情发生的结果,企业网络性能下降,类似发生拒绝服务攻击,Juniper EX,交换机产品线概述,使用,EX,以太网交换机构建高性能网络,EX4200,EX8216,EX8208,EX2200,EX3200,操作简单,电信级别的可靠性保证,集成的安全性,Master RE+Line card,Backup RE+Line card,Line cards,Mix&match,EX4200,虚拟机箱功能,Flash Demo:Virtual Chassis,节约更少电源消耗,节省机架空间,一个,JUNOS,系统,一个配置文件,一个管理,IP,地址,交换机销售要点,EX 2200 vs CISCO 2960&2960G,(,全千兆全三层端口线速,),EX 3200 vs CISCO 3560E,(,端口线速,最低端也支持,8,端口,POE,),EX 4200 vs CISCO 4500-E,(,分布式转发,端口全线速,集群交换,),EX 8200 vs CISCO 6500(,整机容量,,65,必须要求配置,DFC3,,必须要求所有端口全线速,万兆卡要求,8,口全线速,),EX 8200 vs CISCO Nexus 7000,Juniper,路由器产品线概述,Juniper M/MX-Series,产品,-,大中型园区网的选择,320,Gbps,40,20,15,10,园区,/,企业,中,/,大型,POP,节点,10G PoP,120,M7i,M10i,M20,M40e,M120,M320,2.5Gig Uplinks,10Gig Uplinks,480,960,所有,M,系列路由器使用统一的,JUNOS,系统,Juniper J-Series,产品,-,中小型园区网的选择,600,Kpps,200,小型办公室,中小型分支,中型企业,300,J2320,J2350,J4350,J6350,所有,J,系列路由器使用统一的,JUNOS,系统,Juniper,路由器优势,先进的体系架构,控制与转发分离,电信级的精髓,操作系统,独特的分身术,逻辑路由器,绿色,IT,的倡导,节能降耗的设备,M/T,系列路由器体系结构,完全分离的路由及分组转发功能,一致的性能,稳定性,服务提供商级别的路由能力,路由引擎(,RE,),基于,Intel,的处理器,JUNOS,软件,分组转发引擎(,PFE,),基于,ASIC,处理器的设计,SFM,及,FPC/PIC,更新,Internet,处理器,II,交换结构,JUNOSInternet,软件,I/O,卡,I/O,卡,转发表,转发表,RE,PFE,ASIC,实现,IP,高性能转发服务,0%,20%,40%,60%,80%,100%,120%,Increasing Number of Packet Filters,Packet Forwarding,Juniper,路由器,其他厂商路由器,控制与转发分离的架构,服务与性能兼得,使用特定,ASIC,开启多种业务,同时保持性能的报文过滤,DDoS,识别,限速,CAR,QoS,Differserv,DS-TE,MPLS,流量工程,/L2 VPN/L3 VPN/VPLS,以上几种,VPN,可以同时开启,设备仍能稳定高效的运行,将电信级的稳定性带到企业专网中来,综合业务卡,:,状态,Firewall,、流量监测、加密、,NAT/PAT,使用,Juniper,路由器,你期待的是,:,高性能,+,稳定性,+,安全过滤,+QoS+L2/L3 VPN+,流量工程,+IPv6+,其他,services,极大地降低运维成本,多业务叠加后性能,命令回滚功能,(Rollback),JUNOS,命令不是回车立即生效的,Internet,选择一,:,到机房去,(,如机房很远,不可行,);,选择二,:,让机房值班人员手工恢复,(,机房值班人员水平,?,耽误的时间,?),Internet,JUNOS,命令不是回车立即生效的,需要,commit,提交生效,;,commit confirmed,配置在指定时间内会恢复为原来的配置,误操作风险为零,;,如要保留配置,只需要再执行一次,commit,即可,;,Engineer Your Network Ahead,!,
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
