Juniper防火墙产品培训介绍

,*,*,Juniper Networks防火墙 VPN 产品,1,议 程,Juniper简介,Juniper防火墙/VPN产品线,Juniper ISG 集成安全网关系列,Juniper SSG 安全业务网关系列,产品对比,案例分析,2,Juniper（瞻博）网络公司,一家不断成长的公司,在我们所有的关键市场上，市场份额前三名,全球,5,0,00,+,员工,中国,150+,员工,关注从网络中转化策略价值的客户,成功方式,出色的财务业绩,投入大量资金用于研发,不断增加的市场份额,广泛的业界认可,北美,亚太,欧洲,Juniper,全球业务分布,3,1996,2006,#789,Incorporated,Acorn,2005,2002,2004,2000,1998,T-Series,SSG,UAC,T1600,JUNOS w/Integrated Security,1999,2007,2008,$500M,$1.3B,$2B,4800,Employees,1000,1500,Revenue,2500,3500,$2.8B,$2.3B,5300+,$2.8B,6100+,M-Series,Juniper（瞻博）发展,4,Juniper全球的领导地位,全球超过100个国家的20000多个大型客户,财富100强中的92家,30大顶尖电信运营商,10大商业银行中的8家,美国50个州政府中的47个,100家纳斯达克上市公司,9000家全球合作伙伴,5,Juniper 中国,Juniper在中国,为中国各顶级运营商提供战略性网络系统。,为尖端教育科研系统、银行系统、能源系统、以及广泛的商用市场/中小企业等提供尖端网络系统服务。,6,电信行业广泛的用户群体和高认知度,中国电信CN2（中国电信下一代互联网）,30台T640覆盖全国7个核心大区骨干节点，并有一百多台M320分布在中国电信南方各省及国际出口，是CN2最大的设备供应商；,中国电信163,4套TX应用于上海、广州出口节点,中国移动国家骨干网CMNET,覆盖全国，80以上的市场份额,中国网通DCN骨干网,覆盖全国的DCN骨干网,中国联通国家骨干网,覆盖全国7个核心大区,承载联通全国骨干数据业务，获国家科技进步一等奖,CNGI 国家骨干网,CNGI（由电信、移动、网通、联通、铁通、CERNET等承建的国家下一代互联网示范应用工程），一个覆盖全国的大型IPv6网络，Juniper是唯一被各大运营商选择为合作伙伴的国外厂商。,广电总局国家骨干网,全国骨干网，50%以上设备,7,安全市场上估计存在超过 70 亿美元的机会,包括 IPS、SSL VPN、路由功能和防火墙 VPN,防火墙 VPN 仍然是安全市场最大的组成部分,我们的强项是防火墙/VPN产品,继续推动安全类产品的发展,市场机会，约超过70 亿美元,8,市场领导地位-Gartnet 2004年报告,Juniper #1 out of 18 vendors,Gartner Magic Quadran报告是针对IT特定细分市场上的厂商实力所进行的极具声望的评价，它从各个方面来全方位评价厂商，包括产品线的完整度和功能、技术实力、创新性、成功实施情 况、,满足客户现有和未来需求的能力,，以及,包括服务和支持在内的执行能力,、市场 份额、财务健康状况和其它关键指标,9,市场领导地位-Gartnet 2006年报告,Juniper #1 out of 18 vendors,Gartner Magic Quadran报告是针对IT特定细分市场上的厂商实力所进行的极具声望的评价，它从各个方面来全方位评价厂商，包括产品线的完整度和功能、技术实力、创新性、成功实施情 况、满足客户现有和未来需求的能力，以及包括服务和支持在内的执行能力、市场 份额、财务健康状况和其它关键指标,10,市场领导地位-Gartnet 2007年报告,Juniper #1 out of 18 vendors,Gartner Magic Quadran报告是针对IT特定细分市场上的厂商实力所进行的极具声望的评价，它从各个方面来全方位评价厂商，包括产品线的完整度和功能、技术实力、创新性、成功实施情 况、满足客户现有和未来需求的能力，以及包括服务和支持在内的执行能力、市场 份额、财务健康状况和其它关键指标,11,议 程,Juniper简介,Juniper防火墙/VPN产品线,Juniper ISG 集成安全网关系列,Juniper SSG 安全服务网关系列,产品对比,案例分析,12,Juniper网络产品,入侵防护解决方案,Intrusion prevention appliances that help protect networks and critical resources from attacks,整合防火墙/IPSec VPN 解决方案,Purpose-built security appliances with WAN & LAN interface flexibility and performance capabilities to protect enterprise and service provider networks,基于策略的集中管理解决方案,3-tier system providing role-based administration and central control and logging of all FW/VPN solutions,SSL VPN 解决方案,Product lines for secure LAN, extranet and intranet access to mobile employees, customers and partners with no client software deployment,企业安全路由解决方案,Service provider quality routers for the enterprise designed for remote, branch or regional offices,整合接入控制解决方案,Product line consisting of three components that work together to enable a cost-effective, pragmatic solution solving endpoint security as it effects the LAN,Infranet Agent,13,为什么选择Juniper 防火墙/VPN,强大的性能,提供分层安全性保护不同类型的攻击,易于部署和集成,在多个层面上的内置可靠性,管理灵活性是广泛分布的环境的关键要素,14,性能：专用硬件平台,具备的优势：高性能,通过将安全专用的专用元素组合起来实现高性能,包括硬件、主板设计、处理器选择和软件,设计用于执行关键的安全功能,Juniper 网络公司的巨大优势安全专用的专用硬件，设计用于执行安全处理,15,性能：先进的硬件设计,通用结构的处理,数据在几个非优化的接口传送,每个“,API”,引入安全风险,处理的延迟导致,“,无法预测的行为,”,数据通道无法优化,PC Appliances/Pseudo Appliances,OS,VPN,Co-Processor,CPU,RAM,Bus,I/O,In,Out,Applications,专用的安全处理,基于流的线性的数据包处理,每个处理模块被优化,优化的应用和硬件用于安全处理和性能,GigaScreenASIC,CPU,High Speed Backplane,In,Out,RAM,I/O,NetScreen Advanced Architecture,Security-Specific, Real-Time OS,Integrated Security Applications,ASIC,16,ScreenOS 特点,安全性专用的实时操作系统,完全设计用于执行计算密集型安全功能，而不会影响吞吐量,与硬件设备、安全操作系统及安全应用紧密集成,状态协议级智能,集成深层检测、防病毒和Web过滤等,专用操作系统，减少补丁和测试,所有防火墙/ IPSec VPN系列产品上部署相同的安全性专用操作系统,17,ScreenOS IPv6,为状态防火墙和IPSec VPN提供生产级的商用IPv6支持,支持双堆栈架构，使客户能够在一个设备上同时支持并保护IPv4与IPv6网络,支持所有主要的IPv6迁移机制，包括IPv4 -IPv6和IPv6-IPv4迁移、IPv6隧道中的IPv4和IPv4隧道中的IPv6,以及面向IPv6的NAT-PT,支持RIPng动态路由协议，允许客户提高生产网络中的IPv6部署的可扩展性,防止IPv6网络遭受synflood攻击和其他攻击，使客户能够抵御从IPv4 或 IPv6网络中发起的拒绝服务攻击,18,Juniper防火墙产品线,NS-5GT,NS-25/50,NS-HSC,NS-5400,ISG 2000,ISG1000,SSG520M,SSG550M,NS series,ISG series,SSG series,NS-5200,NS-500,NS-208,NS-204,SSG20,SSG5,SSG140,SSG350,SSG320,19,议 程,Juniper简介,Juniper防火墙/VPN产品线,Juniper ISG 集成安全网关系列,Juniper SSG 安全业务网关系列,产品对比,案例分析,20,Juniper ISG集成安全网关系列,性能优越,- 硬件设计模块化,- ASIC安全模块,- IDP独立运作,- 接口模块化,- 延续了NS系列的稳定性与性能,21,Juniper Networks ISG 1000,新的,ISG 平台,ISG 家族的新产品,将高性能和先进的网络功能整合,提供应用层/网络层的保护,理想的边界安全解决方案,专门设计、高度整合的千兆平台,高性能,第4代 ASIC (GigaScreen3)芯片,混合包处理能力 1Gbps,大包处理能力 2Gbps,1 Gbps Firewall, IPSec VPN,可以扩展两个IDP硬件模块,22,Juniper ISG-2000整合式安全网关（,ISG, Integrated Security Gateway),NetScreen-ISG 2000,通过,ScreenOS实现核心网络功能,安全分区,& 虚拟系统,OSPF, BGP, 和 RIPv2路由,主动/被动, 双主动高可用性,高达28个端口, 4000个VLAN,高负荷下的在线性能,状态监测防火墙,小包处理能力 2Gbps,大包处理能力 4Gbps,1 Gbps 3DES和AES IPSec VPN,任何大小的数据包,2,Gbps + IDP,每秒29,000个新会话,高安全性及可扩展性,深层监测防火墙/VPN,防范包括,Dos在内的33 种网络攻击,严密的策略控制，用户验证及安全分区,整合IDP功能,23,IDP安全模块,2Gig,RAM,IDP Security Module (SM) Board,Dual,CPU,24,议 程,Juniper简介,Juniper防火墙/VPN产品线,Juniper ISG 集成安全网关系列,Juniper SSG 安全服务网关系列,产品对比,案例分析,25,SSG系列产品特点,Juniper SSG系列：第二代UTM（统一威胁控制）产品,和第一代,UTM,产品的区别,1,、多个领先的内容安全厂家的技术的集成,2,、丰富的网络功能,3,、强大的集中管理,4,、模块化的设计,可扩展的模块,5,、支持,3,种管理方式：,CLI,、,WEB UI,、集中管理,6,、实际测试性能远远超过第一代,UTM,26,SSG系列产品特点,1、多种领先的安全技术的集成,入侵防御功能：,防病毒：卡巴斯基,防垃圾邮件：赛门铁克,网页过滤：美讯智,其他厂家主要依靠自己开发，特征库不完善，不专业；或者只能支持部分的UTM功能,27,SSG系列产品特点,2、丰富的网络功能,支持的路由功能包括,：,虚拟路由器,各种动态路由：,OSPF,、,BGP,、,RIP,Router id ,loopback,interface,策略路由,冗余接口和等价路由多链路负载均衡,组播路由,全系列接口模块化设计，并支持丰富的局域网和广域网接口模块和协议：,FE/GE,E1,串口,ADSL2+,802.11a/b/g,FR,、,PPP,、,Multilink-FR,、,Multilink-PPP,其他厂家的路由功能不强，,中低端产品无法模块化设计，,不支持广域网接口,28,SSG系列产品特点,3、强大的集中管理,Juniper,采用,NSM,服务器进行集中管理,：,所有防火墙和入侵防御设备的功能（包括接口、路由、状态防火墙策略、入侵防御、防病毒等各种UTM功能）都可以由,NSM,一个界面统一完成,可以由,NSM,进行集中的配置备份、日志收集、审计日志、报表，无需部署额外的设备和软件,可以对防火墙划分子域，该子域的管理员只能看到自己域里的防火墙，而不能看到全局域的防火墙,管理员级别可以细分,其他厂家的集中管理能力不强，需要多种软件,29,SSG 5,SSG 20,SSG 140,SSG 550M,SSG 520M,SSG 320M,SSG 350M,SSG 5 - Six fixed form factor models,160 Mbps FW / 40 Mbps VPN,SSG 20 2 modular models,160 Mbps FW / 40 Mbps VPN,SSG 140,350+ Mbps FW / 100 Mbps VPN,SSG 320M,450+ Mbps FW / 175 Mbps VPN,SSG 350M,550+ Mbps FW / 225 Mbps VPN,SSG 520M,2+ Mbps FW / 300 Mbps VPN,SSG 550M,4+ Gbps FW / 500 Mbps VPN,安全网管SSG系列基于ScreenOS平台,集成了UTM(Unified Threat Management) 统一威胁管理,接口模块化设计,功能可灵活选择 Licensing 选购,SSG系列产品家族,30,I/O扩展插槽的配置选项,SSG 550,SSG 520,LAN 或 WAN 连接,10/100/1000, SFP, FE串行, T1/E1, DS3,WAN连接,串行, T1/E1, DS3,LAN 或 WAN 连接,10/100/1000, SFP, FE串行, T1/E1, DS3,LAN 或 WAN 连接,10/100/1000, SFP, FE串行, T1/E1, DS3,WAN连接,串行, T1/E1, DS3,LAN 或 WAN 连接,10/100/1000, SFP, FE串行, T1/E1, DS3,(4)个固定的 10/100/1000 接口,RJ45控制台和 Aux接口,LAN 或 WAN 连接,10/100/1000, SFP, FE串行, T1/E1, DS3,LAN 或 WAN 连接,10/100/1000, SFP, FE串行, T1/E1, DS3,WAN连接,串行, T1/E1, DS3,WAN连接,串行, T1/E1, DS3,WAN连接,串行, T1/E1, DS3,WAN连接,串行, T1/E1, DS3,(4)个固定的 10/100/1000 接口,RJ45控制台和 Aux接口,31,安全业务网关部署选项,用作安全设备,针对“,安全性优先”,的企业 IT 部门,提供,ScreenOS,所有特性,可以通过从,SSG 5,直到,SSG 500,系列设备的不同功能和容量，满足从小型企业到地区,/,分支办事处的要求,用作安全路由器,部署灵活性,广域网接口,高的性能为企业进行回路,防病毒,防垃圾邮件,从远程站点直接接入互联网,32,主链路 = 外部 DSL 调制解调器,ISP,备份选项 =,ISDN S/T，或 V.92，或连接到串行接口的调制解调器,互联网,无线区,服务器区,小型企业,小型企业部署范例：SSG 5,SSG 5,固定规格设备：7x10/100 连接到 DSL 调制解调器,出厂配置的备份 I/O 选项：V.92，或 ISDN，或串口,出厂配置的无线选项：802.11 a/b/g,33,SSG 500 系列提供同类最佳的网络安全性,针对网络层和应用层攻击提供独立的防护,网络层“筛检”和深层检测,将于 2006 年下半年提供经过扩展的内容安全性套件,尽管在负载的情况下仍能够提供高性能以保护高速局域网连接,通过安全区和 VLAN 将网络分割为多个安全分段,四个内置的 10/100/1000 端口,经过验证的状态防火墙/VPN 故障切换，以确保可靠性,通过多种部署模式和动态路由可以轻松地集成到现有的基础设施中,安全性,性能,可靠性,集成,企业总部,地区/分支机构,SSG 防火墙部署（SSG 500 范例）,34,SSG 500 系列提供了安全性和连接性的完美组合，以便进行设备整合,为保护网络提供了安全基础,广泛的 I/O 选项，并支持用于实现分支机构连接性的协议,在提供性能和可扩展性以确保安全处理的同时，将局域网扩展到广域网、将局域网扩展到下一代广域网，以及将局域网扩展到局域网连接,地区/分支机构,企业总部,安全性,I/O,灵活性,局域网,/,广域网路由,性能,SSG 安全路由器部署（SSG 500 范例）,35,SSG 500 系列的性能、安全性和灵活性可提供理想的 VPN 路由器解决方案,面向高性能 IPSec VPN 的硬件加速加密,针对第4-7层攻击的分层防护,AC（自动连接）VPN,高性能平台 + 广域网和高速局域网接口选项,客户,业务合作伙伴,最终用户,高性能的、动态的、基于路由的,VPN,强劲的安全性,I/O,灵活性,SSG VPN路由器部署（SSG 500 范例）,36,从原有的 NetScreen 向 SSG 家族迁移,客户类型,建议使用的产品,1）刚接触 Juniper 网络公司中小型办事处,防火墙 /VPN 产品的客户,SSG 家族,2）正在部署 NetScreen 平台的现有客户,继续使用 NetScreen,3）完成了原有的 NetScreen 部署并有新项目/需求的现有客户,评估 SSG 家族,37,防火墙主要技术指标,防火墙的吞吐量,举例：SSG520,防火墙吞吐量（大数据包） 2 Gbps,防火墙吞吐量 （混合数据包） 600 Mbps,并发会话数（最大会话数和新建会话数）,防火墙策略,VPN隧道,端口数和扩展端口类型,38,SSG系列总结,SSG 550M,SSG 520M,SSG 350M,SSG 320M,SSG 140,SSG 20,SSG 5,FW Mbps (Large Packets),1+ Gbps,650+ Mbps,550+ Mbps,450+ Mbps,350+ Mbps,160 Mbps,160 Mbps,FW Mbps (IMIX),1 Gbps,600 Mbps,500 Mbps,400 Mbps,300 Mbps,90 Mbps,90 Mbps,FW PPS (64 Byte),600k,300k,225k,175k,100k,30k,30k,VPN (1400 Byte),500 Mbps,300 Mbps,225 Mbps,175 Mbps,100 Mbps,40 Mbps,40 Mbps,IPS (Deep Inspection FW),Yes,Yes,Yes,Yes,Yes,Yes,Yes,Antivirus,Yes,Yes,Yes,Yes,Yes,Yes,Yes,Anti-spam,Yes,Yes,Yes,Yes,Yes,Yes,Yes,Web Filtering,Yes,Yes,Yes,Yes,Yes,Yes,Yes,Modular I/O,Yes,Yes,Yes,Yes,Yes,Yes,No,Routing (RIP/OSPF/BGP),Yes,Yes,Yes,Yes,Yes,Yes,Yes,WAN Encapsulations,Yes,Yes,Yes,Yes,Yes,Yes,Yes,A/A, A/P HA,Yes,Yes,Yes,Yes,Yes,Optional,Optional,Convertible to JUNOS,Yes,Yes,Yes,Yes,No,No,No,39,议 程,Juniper简介,Juniper防火墙/VPN产品线,Juniper ISG 集成安全网关系列,Juniper SSG 安全业务网关系列,产品对比,案例分析,40,更高的性能和处理能力,带 UTM 特性的更广泛的平台,模块化（可扩展的）内存,经过改进的连接性,小型分支机构， 小型企业，远程工作人员,地区办事处，,中型企业,Performance,SSG 产品家族适用范围,41,J 系列是基于 JUNOS 的路由平台,SSG 是基于 ScreenOS 的安全平台,J 系列 与 SSG,组播,BGP,ISIS,完整的互联网路由表,全面的接口,硬核路由,面向远程企业办事处的一体化解决方案,侧重于路由的,侧重于安全的,在什么情况下部署 J 系列,42,SSG家族对比分析图,SSG 5,SSG 20,SSG 140,SSG 320M,SSG 350M,SSG 520/520 M,SSG 550/550M,Cisco FW,ASA 5505PIX 501/506,ASA 5505PIX 501/506,ASA 5510PIX 515,ASA 5510PIX 515/525,ASA 5520PIX 525,ASA 5520PIX 525,ASA 5540PIX 535,Cisco Routers (ISR),871,871,1841,2801/2811,2811/2821,2821/2851,2851,3845,Fortinet,FG50B,FG60B,FG60B,FG100A,FG200A,FG224B,FG200A,FG224B,FG300A,FG400A,FG300A FG400A FG500A,FG500A,FG800,Check Point,VPN1 Edge,Safeoffice,VPN1 Edge,Safeoffice,N/A,N/A,N/A,UTM-1 450,UTM-1 1050,Nokia,IP45,IP45,IP260/265,IP260/265,IP350/355,IP350/355,IP290/390,43,SSG 家族竞争力总结,SSG 家族与防火墙厂商相比具有显著的优势,仍提供经过验证的 ScreenOS 特性，并且继续得到增强,在更多的平台上提供新的 UTM 特性,新的广域网连接性选项扩展了解决方案集,SSG 家族为安全路由器市场引入了新的竞争,具备经过验证的路由功能的安全平台，提供真正的整合选项,44,议 程,Juniper简介,Juniper防火墙/VPN产品线,Juniper ISG 集成安全网关系列,Juniper SSG 安全业务网关系列,产品对比,案例分析,45,谢谢！,祝大家销售顺利,46,