Juniper金融银行业网络及安全解决方案.ppt

Juniper金融行业解决方案 Juniper公司简介 Juniper 致力于解决网络和安全的最尖端的难题 以技术创新为主导的公司 IncludesAcquisitions 超过1900人的研发队伍 45 每年3亿美金的产品研发投入 可靠 安全和速度 Juniper企业解决方案 UAC EnterpriseCoreRouters FUNK SecureAccessSSLVPN SecurityManagement IntegratedFirewall IPSecVPN IntrusionPrevention J SeriesEdgeRouters DX WX Juniper企业解决方案组成 三大系统 六大技术门类 都以网络通信为应用目的群体与群体之间的安全通信 安全网关系统个体与群体之间的安全通信 安全接入系统传输通道的建立与优化 广域网优化通信系统 JuniperNetworks金融行业防火墙方案 大型银行网络结构 Branch DataCenterMainShanghai DataCenterBackupBeijing 总行 数据中心 一级行 省行 二级行 地市行 ISP1 ISP2 WAN1 WAN2 Branch 数据集中处理流程 主机 主机接入 协议转换网络 广域网接入 协议转换 分行大前置机 数据中心 行 网点前端 网点 SNA DLSWSNAOverIP SNA IP 终端 ATM 前端 DLSW DLSW WAN CIP 大前置 TokenRing 分 数据中心防火墙方案 一级分行 一级分行 数据中心 交换核心 生产业务系统 网银 中间业务 OA办公系统 开发测试系统 经营管理系统 网管系统 externet internet internet 一级分行防火墙方案 营业网点 营业网点 一级分行 总行业务网 总行办公网 交换核心 生产业务系统 OA办公系统 internet 中间业务系统 extranet 经营管理系统 ATM机防火墙保护方案 专线连接 提供安全性无线连接或ADSL 提供安全性与其它收益 大幅度降低银行ATM自助终端业务运营成本扩大ATM机的铺设范围缩短ATM机的铺设周期增加ATM机移动 迁移的灵活性为银行带来其它不可忽视的众多收益 ATM方案投资回报分析 SecureMeetingforcross enterprise onlinemeetings 我们以一个分行向CDMA迁移200台ATM机计算 迁移前 以电信DDN专线连接每条线路租金 1 000 月200台一年的专线运营成本 200 1000 12 2 400 000 年迁移后 部署VPN安全接入解决方案 以ADSL方式连接 每条线路的ADSL费用 150 月每台ATM机内部部署的安全网关的费用 6 000 台分行 支行部署的VPN中心安全网关的费用 双机冗余 150 000 2 300 000方案投资费用 200 6 000 300 000 1 500 000迁移后运行一年的运营成本 200 150 12 360 000迁移前后运营成本差别 2400000 360000 2 040 000 年结论 迁移后 运行不到1年即可收回方案所有投资费用 并且每年运营成本节省2 040 000 年 银行防火墙部署环境需求 流量 数据中心 200M 一级分行10 30M连接数 数据中心 5万 一级分行 5000功能及版本 ScreenOS5 0内网生产网 基本的访问控制 ip port 内网OA网 访问控制 防蠕虫 防扫描 深层检测外联网 NAT 访问控制OA的Internet出口 抗DoS 访问控制 防蠕虫 防扫描 深层检测 URL过滤接口使用 区段划分 2 6 2 4工作模式 所有银行部署均使用路由模式HA需求 所有银行部署均使用AP或AP FullMesh JuniperBankingsolution Internet DataCenterMainShanghai DataCenterBackupBeijing Extranet ATMS 防火墙异构在银行的需求 电信路由器 ALO 0 ALO 1 东软防火墙 Alteon 02 6509 01 Nokia防火墙 Alteon 01 Alteon 11 Alteon 12 6509 02 Alteon 22 Alteon 21 6509 11 6509 12 Alteon 31 Alteon 32 Alteon 41 Alteon 42 Netscreen防火墙 分布层6509 分布层6509 Internet OverviewofJuniperstrengthinbanking BankingcustomerinChina Thousandsoffwsrunninginbankingnetwork 中国银行 全国范围部署JuniperNetscreen防火墙包括5200 500 208 204 100等 总数200台左右中国农业银行 数据中心 某些一级行部署JuniperNetscreen防火墙包括5200 200系列等 中国工商银行 全国南北数据中心 全国各省行全部部署JuniperNetscreen防火墙 产品包括5000 2000 500 208 204等 总数500台以上 中国建设银行 数据中心 某些一级行部署JuniperNetscreen防火墙2000 1000 200系列等中国农业发展银行 数据中心各 全国各省行均采用JuniperNetscreen防火墙 包括5200 500 204 208防火墙 共600多台 中国光大银行 总行及全国各省行采用JuniperNetscreen防火墙 包括500 200 100总数200台以上中国造币总公司 全国采用JuniperNetscreen防火墙 包括500 200系列等中国邮政储蓄 总部及全国各省行采用JuniperNetscreen500防火墙中国人民银行 部分分行采用JuniperNetscreen防火墙 深圳发展银行 部分采用JuniperNetscreen防火墙 Juniper银行业经验价值 Juniper不仅仅是把这些当作一个个的案例 而是把这些资源作为我们能为每一个银行用户提供更好的服务和产品的基础 我们有专业的银行服务支持小组 负责把这些银行的服务联成一个大的体系 每一家银行用户在这个大体系中都不是孤立的 而是靠我们的服务和支持使之互通的 在经验相互共享 相互参照中获得健康的生存 每家客户的网络安全性都靠这个大的体系获得了更强的生命力 JuniperNetworks Inc Juniperfirewallproductline 办公室 区县 总部 地市 省级单位 Juniper防火墙产品线 NetScreen 5GT NetScreen 25 50 NetScreen HardwareSecurityClient NetScreen 5400 ISG2000 ISG1000 NetScreen 5GTWireless NetScreen 5200 100M 200M 4G 30G 200 600M 1G 4G SSG520 SSG550 Netscreen 500 Netscreen204 208 品质就是不一样 ISG2000 保护的企业 入侵防护 反垃圾邮件 用户认证授权 基本防火墙 防病毒 业界最优的防火墙产品 IPSecVPN 被Gartner评为防火墙领域的领导者 Juniper 1outof18vendors GartnerMagicQuadran报告是针对IT特定细分市场上的厂商实力所进行的极具声望的评价 它从各个方面来全方位评价厂商 包括产品线的完整度和功能 技术实力 创新性 成功实施情况 满足客户现有和未来需求的能力 以及包括服务和支持在内的执行能力 市场份额 财务健康状况和其它关键指标 被Gartner评为防火墙领域的领导者 Juniper 1outof14vendors GartnerMagicQuadran报告是针对IT特定细分市场上的厂商实力所进行的极具声望的评价 它从各个方面来全方位评价厂商 包括产品线的完整度和功能 技术实力 创新性 成功实施情况 满足客户现有和未来需求的能力 以及包括服务和支持在内的执行能力 市场份额 财务健康状况和其它关键指标 国内防火墙市场分额Juniper稳步上升 Source Frost Sullivan 国内安全市场分额06年Q1第一 Source Frost Sullivan Juniper全球高端防火墙市场分额 举例来说 Juniper在05年全球卖出了5000台左右的高端千兆设备 而fortinet只卖了170台左右 JuniperNetworks金融行业入侵检测与防御 IDP 方案 IDS只检测攻击不阻挡攻击 0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 000000000000000000000000000 000000000000000000000000000 000000000000000000000000000 000000000000000000000000000 00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 拒绝流量 允许流量 拒绝一些攻击 公司网络 Juniper IDP是一个主动的 在线方式的 能够在线检测攻击并在检测过程中将恶意流量丢弃的系统 真正的入侵保护 Juniper IDP第一台能够丢弃攻击的安全设备 用户 服务器群 用户 用户 Mail服务器 Web服务器 防火墙 Codered HTTPTraffic IDS只是空摆设 时间 保证安全的条件 Dt Rt Pt Juniper IDP能帮用户解决的问题 检测并阻断拒绝服务攻击检测并且阻挡针对多种应用服务器和主机的攻击检测并且阻挡网络病毒和蠕虫的传输检测并且阻挡P2P的网络流量网络邻居共享BT下载QQ MSN检测并且阻挡后门程序 Spyware的流量检测自定义的违规行为完全完成IDS系统的功能 Juniper的IDP技术创新 1st 检测和防范攻击的安全设备能够丢弃恶意数据包1st 多方式检测 MMD 能够最大化攻击的检测1st 基于状态签名的检测通过检查相关的数据流量来减少误报1st 中央式 基于策略的管理1st 支持针对所有及时短消息协议 InstantMessagingProtocols 的保护 防止潜在的系统缺陷1st 支持当天对微软软件漏洞提供防护的安全设备1st 有能力提供每天攻击状态签名更新的公司1st 针对间谍软件提供抵御措施1st 更多 JuniperNetworks金融行业移动办公 SSLVPN 方案 银行业移动办公解决方案 MRP ERP Intranet WebServer Unix NFS 企业内部广域网 客户 DirectoryStore 合作伙伴 企业的合作伙伴与客户 ServerFarms E mail 在外的网管人员 出差员工 分支机构员工 本企业的在外员工 家庭办公人员 加密的外部会话 标准的内部会话 内部员工用机 方案优势 实施简单 免客户端软件 免服务端配置 使用方便 随时随地 任意设备 对人的要求低 扩展性强 适合快速的大规模扩展安全 应用层 比IPSec更高的安全性 投资成本低特别适合保险 传媒等行业 移动办公解决方案举例 移动办公解决方案举例 Gartner的评价 Juniper 1outof16vendors GartnerMagicQuadran报告是针对IT特定细分市场上的厂商实力所进行的极具声望的评价 它从各个方面来全方位评价厂商 包括产品线的完整度和功能 技术实力 创新性 成功实施情况 满足客户现有和未来需求的能力 以及包括服务和支持在内的执行能力 市场份额 财务健康状况和其它关键指标 2005年市场分额 Source InfoneticsResearch VPN FirewallProductsAppliancesandSoftware 2005Report UnitMarketshare Juniper46 F512 Aventail11 Nokia5 Other27 JNPRis 1intheSSLmarket 市场分额长期情况 2004 市场分额长期情况 2003 JuniperSSL获得的奖项 InfoWorldtestAward SecureEnterprise Tester sChoiceAward 1outof9vendors Aug01 2005 NetworkComputing Editor sChoice 1outof8vendors InfoWorld TopHonors 1outof6vendors Juniper是SSLVPN领域的领导者 市场领导地位 产品评测Awards Nov 2003topresent 1of7 1of8 1of6 Morethan1 250enterprisecustomerdeploymentsGreaterthan2millionlicensedusersworldwide 市场份额 Infonetics JuniperNetworks金融行业网络加速与优化 WX 方案 方案概述 作用 通过数据压缩 应用加速 流量控制和应用监控等功能 提供综合的广域网优化解决方案目标 改善企业应用系统在广域网上的传输性能 从而提升其商业效率 OptimizedatatransferbetweenNetworksconnectedviaWAN DataCenter Branch1 Branch2 HQ Web enabled 10 xbandwidth Bandwidth Serverconsolidation Newapps Appperformance Datareplication QoS VoIP 为什么需要广域网优化 广域网优化技术的崛起传统技术 数据压缩 QoS服务质量 流量整型等新兴技术 应用加速 网络缓存 应用管理监控等广域网优化市场的发展趋势目前的特点 单一的技术 单一的产品导致存在诸多单一市场发展趋势 技术融合 市场融合 形成综合的广域网优化技术和市场 应用加速 网络缓存 目前网络加速市场的问题 Juniper是此领域拥有最全面技术解决方案的厂商 Requiresaseparatebox Compression Reporting QoS PathOptimization SequenceCaching HTTPAcceleration TCP FECAccel Exch MAPI Accel CIFSAcceleration IPSECEncryption WANOptimization Juniper是唯一在广域网优化领域提供最全面解决方案的厂商 通过WX和WXC系列产品提供10到100倍的带宽容量减少了网络的数据流量节省WAN链路升级投资节省添加额外的路由器 交换机模块 应用性能报告 监控和远程管理具有WAN探测器功能提供WAN监控和报告软件节省额外的人工维护管理成本 通过TCP和应用层加速技术 提高应用响应时间提高用户满意度提高内部员工的效力提高商业运行效率 带宽管理和多链路路径优化提高了带宽利用效率解决了应用冲突的烦恼提供了应用保护的功能 JuniperWXFrameworks 技术体系架构 部署透明 简单 EasyLANsideofroutersNoroutingchanges10 minuteorautoinstallReliableFault tolerantbypassmodeIntegrateswithH AenvironmentsLoad balancednetworksFlexiblePoint to pointandmulti pointnetworksAnyWANconnectionWorkswithprivateIP VPNs orMPLSnetworks LAN LAN LAN Switch Switch Switch WAN Router Router Router 银行广域网优化提速解决方案 BancoSantanderCentralHispano 需求 核心数据频繁备份需要在Miami与NewYork这2个站点之间 利用T1线路实现Veritas的磁盘卷的复制 一次性备份数据量高达40GB需要快速完成数据备份 减少带宽消耗 应用JuniperWX后带来的收益 1 广域网传输数据量减少了68 2 简单的管理和快速的复制速率减少了95 的维护时间 3 节省链路扩容费用 60 000 年 银行广域网优化提速解决方案 Absa Absa AmalgamatedBanksofSouthAfrica 是南非第二大银行 业务遍及南非 坦桑尼亚 莫桑比亚等非洲国家 提供商业银行业务 金融 保险等服务IT管理上存在的问题 Absa的网络数据流量不断增加Absa想将企业应用分布到各地的数据中心 但受阻於广域网链路的限制 如带宽紧张 应用延迟较大 无法保证QoS有些链路只有64Kbps 而且链路成本非常昂贵 例如 由莫桑比亚至南非的64Kbps的卫星链路成本 1 700 月 IT部门预计须每年增加两百万以支付广域网链路租金寻求解决方案曾经研究路由器的压缩方案 但是路由器负担过重而且增加了应用延迟寻找一些数据压缩产品 但这些产品缺乏全面的优化手段在市场上 很多厂商只支持单一功能的产品 有只增加带宽的 也有只支持服务质量最终发现JuniperWX的序列压缩产品不仅支持增加带宽功能 也支持服务质量 而且用户对包流加速非常感兴趣 因为此功能帮助缩减应用延迟 银行广域网优化提速解决方案 Absa Absa在关键的地区部署45台JuniperWX分子序列压缩器 以应付不断增加的数据流量WX方案增加了从Absa各区主要的分行到网络中心三倍的带宽 同时也提供实时监测功能 使Absa能即时了解到每个应用对数据通信模式的影响WX序列压缩器減少了Absa广域网上76 的通信流量 为分布式的应用策略提供基础与广域网的租金相比 WX的解决方案相等於广域网的十一个月的租金 典型案例分析 ABSA 运行报告Oracle ERP实现约4倍压缩Mail实现约3倍压缩Web实现约4倍压缩带来的好处Peribit解决方案增加了从Absa各区主要的分行到网络中心三倍的带宽 同时也提供实时监测功能 使Absa能即时了解到每个应用对数据通信模式的影响Peribit序列压缩器減少了Absa广域网上68 的通信流量 为分布式的应用策略提供基础与广域网的租金相比 Peribit的解决方案相等於广域网的十一个月的租金Peribit的解决方案提供了综合的优化手段 如数据压缩 应用加速 QoS功能 中央管理系统及应用监控等功能 WX销售 如何引导用户 A 有所少分布在全球或全国的分支机构 是否通过广域网连接这些分支机构 他们的链路带宽租金是否昂贵 B 用户是否现在有增加带宽的需求 C 网络链路的延迟大吗 例如象网通和电信之间的互连 很多使用Internet做VPN的企业遇到这个问题 延迟很大 应用性能很差 D 是否因为有数据集中的考虑 而考虑广域网优化 保证系统集中后 分支机构对数据中心系统的数据访问性能 E 是否因为做数据中心的异地备份 而考虑广域网优化 前提是数据中心和备份中心之间通过广域网连接 F 是否有特殊的应用需要有足够的网络资源保证 如视频会议 voip G 是否现有的典型应用如Http FTP EMAIL CIFS ExchangeServer 数据库 ERP 等性能较差 H 是否用户特别希望了解各种应用系统在网络上的运行状况 JuniperNetworks金融行业网站解决方案 DX 方案 网上银行解决方案 TransactionValidation OldSolutionforbuildingWebdataCenter SLBatthecenterRapidproliferationoflimitedfunctionality pointproductsForresiliency eachboxmustbeduplicatedDatacenterbecomesunmanageableLotsofWebandApplicationservers 网上银行解决方案 JuniperDX 将Web服务器的容量提高10倍将用户下载速度加快70 将带宽利用率降低70 提供7层负载均衡 Catch能力自动保护应用安全 SSL 入侵保护 JuniperDX 市场公共网站零售 媒体 旅行 金融等企业网站基于web的所有应用 网上银行解决方案 扩容 所有连接都终接在JuniperDX上到JuniperDX的浏览器连接与到服务器的连接的比例是 50 1 1000 1提高了服务器可扩展性并缩短了响应时间不再为管理连接而消耗CPU和内存 以线速向JuniperDX发送响应消息 解决了日志拥塞问题 通过JuniperDX服务器在几毫秒内生成响应消息 并能够在几毫秒内将消息发送给JuniperDX解决方案 无服务器日志拥塞 服务器速度提升至线速水平 网上银行解决方案 压缩提速 最终用户带宽服务器 网络安全级别防止协议范围内的恶意网络行为线速抵御DDOS SYN泛滥 窃听和登录等攻击协议安全级别防止协议范围外的行为TCP HTTP协议整理 发送无缺陷的数据包 阻止非法请求等应用层安全级别防止恶意的合法请求阻止缓存溢流 拒绝恶意请求 阻止CodeRed和Nimda等运营商 用户安全级别安全管理JuniperDX 保护应用和用户数据FIPS140 23级认证 自动SSL和验证等 网上银行解决方案 网站全面安全防护 JuniperNetworks金融行业统一访问控制管理 UAC 方案 数据中心关键业务应用 文件服务器 ERP CRM等 Infranet执行端 EP AAA服务器身份存储 1 端点访问 验证 修正 遏制 自我保护 统一访问控制管理方案 EP EP 市场机遇已经到来 大约有40 的大型企业正在谋划在未来的12 18个月内部署内网的访问控制解决方案 ForresterResearch 一旦企业用户在网络边界处建立了安全体系 他们将会将重点转向企业的内部 NAC 内网访问控制 将是他们必然要投资的地方 Infonetics Jan2006EnforcingNetworkAccessControl MarketOutlookandWorldwideForecast 我们预计 到2007年 80 的企业用户将会部署NAC 网络访问控制 解决方案 这个方案不仅仅包括无线的 远处的VPN接入 也包括企业的内部网络 Gartner Jan2006 PitfallsLurkWhereIPTelephonyMeetsNetworkAccessControl UAC解决方案的目标客户 大量部署Netscreen防火墙或IDP的老客户用户的好处方案部署简单 只需要加入IC设备即可IC可以统一的对防火墙的访问控制策略进行下发 需要端点安全的强制执行能力终端接入控制终端安全软件的安装与网络访问权限相结合增强的个人防火墙功能需要基于身份认证进行网络访问控制需要全面的审计功能内网基于用户的VPN连接的访问 70 Copyright 2004JuniperNetworks Inc ProprietaryandConfidential JuniperNetscreen防火墙全球金融行业客户 全球10强商业银行的7个全球10强投资银行的6个中国4大国有商业银行 政策行与主要商业银行Top3banksinSingaporeandHongKongSWIFTBloombergVISA manymore 谢谢