培训资料Juniper网络安全防火墙设备售前培训v教学文案.ppt

《培训资料Juniper网络安全防火墙设备售前培训v教学文案.ppt》由会员分享，可在线阅读，更多相关《培训资料Juniper网络安全防火墙设备售前培训v教学文案.ppt（68页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、培训资料培训资料JuniperJuniper网络安网络安全防火墙设备售前培训全防火墙设备售前培训v v防火墙议程防火墙议程1.Juniper简介简介2.Juniper 防火墙整合的安全功能3.Juniper 防火墙硬件结构及性能防火墙硬件结构及性能方面与其方面与其它产品的区别它产品的区别4.Juniper 防火墙产品型号2Gartner历年的评价 (2007年报告)Juniper#1 out of 11 vendorsGartner Magic Quadran报告是针对IT特定细分市场上的厂商实力所进行的极具声望的评价，它从各个方面来全方位评价厂商，包括产品线的完整度和功能、技术实力、创新性、

2、成功实施情 况、满足客户现有和未来需求的能力，以及包括服务和支持在内的执行能力、市场 份额、财务健康状况和其它关键指标319962006#789Incorporated1999Acorn200120052002200420001998$500M$1B$2B$2.3B5000+5000+EmployeesEmployeesJuniper将电信级的技术精髓带入金融企业1000100015001500RevenueRevenueM-SeriesT-SeriesSSGUAC25002500350035005Juniper在安全领域的专注度Juniper是目前全球第二大网络安全厂商是目前全球第二大网络安

3、全厂商 2006年全球网络安全设备及软件市场份额分析年全球网络安全设备及软件市场份额分析Infonetics ReserchJuniper是全球防火墙领域的领跑者是全球防火墙领域的领跑者 2002-2007 Gartner ReportJuniper 是全球是全球SSL VPN领域市场分额第一领域市场分额第一 2003-2007 infoneticsJuniper 是全球是全球IDP领域市场分额第二领域市场分额第二 2004-2006 Frost&SullivanJuniper在在20062006年国内网络安全市场分额第一年国内网络安全市场分额第一 (Frost&Sullivan)6今日Jun

4、iper一家不断成长的公司在我们所有的关键市场上，市场份额前三名全球6000+员工（19001900人的研发队伍）人的研发队伍）人的研发队伍）人的研发队伍）中国400+员工服务于所有全球前25名运营商财富500强前15名中的8个关注从网络中转化策略价值的客户成功方式成功方式4出色的财务业绩4投入大量资金用于研发4不断增加的市场份额4广泛的业界认可北美亚太欧洲Juniper全球业务分布全球业务分布7客户影响力不断提升全球JuniperJuniper在全球在全球已经为全球已经为全球上千的运营商，上千的运营商，包括全球包括全球2525大运营商和大运营商和“财富财富”前前100100位中位中7777%

5、的公司提供了新一代网络的公司提供了新一代网络系统服务系统服务8客户影响力不断提升中国Juniper在在大大中国中国已经为已经为大大中国各顶尖中国各顶尖运营商提供战略性网运营商提供战略性网络系统。络系统。已经为尖端教育科研已经为尖端教育科研系统、银行系统、能系统、银行系统、能源系统、以及广泛的源系统、以及广泛的商用市场商用市场/中小企业等中小企业等提供尖端网络系统服提供尖端网络系统服务。务。9Juniper 安全系列产品防火墙防火墙议程防火墙议程1.Juniper简介2.Juniper 防火墙整合的安全功能防火墙整合的安全功能3.Juniper 防火墙硬件结构及性能防火墙硬件结构及性能方面与其方

6、面与其它产品的区别它产品的区别4.Juniper 防火墙产品型号11保护保护的企的企业业入侵入侵入侵入侵防护防护防护防护反垃圾反垃圾反垃圾反垃圾邮件邮件邮件邮件网页过网页过滤滤基本防基本防火墙火墙防病毒防病毒SSG使用了业界最好的引擎与技术 Layered protection model“”IPSec VPN12入侵防护解决方案入侵防护解决方案Intrusion prevention appliances that help protect networks and critical resources from attacks整合防火墙整合防火墙/IPSec VPN/IPSec VPN 解

7、决方案解决方案Purpose-built security appliances with WAN&LAN interface flexibility and performance capabilities to protect enterprise and service provider networks 基于策略的集中管理解决方案基于策略的集中管理解决方案3-tier system providing role-based administration and central control and logging of all firewall/VPN solutionsSSL VP

8、N SolutionsProduct lines for secure LAN,extranet and intranet access to mobile employees,customers and partners with no client software deployment企业安全路由解决方案企业安全路由解决方案Service provider quality routers for the enterprise designed for remote,branch or regional offices安全产品分类UAC AgentAAA/802.1X SolutionsS

9、teel-Belted Radius(SBR),the de facto standard in AAA/RADIUS servers/appliances;and Odyssey Access Client(OAC)industry-leading family of secure 802.1X access clients 整合接入控制解决方案整合接入控制解决方案Juniper Unified Access Control(UAC)combines user identity,device security state and location information for sessio

10、n-specific access policy by user14Juniper 产品分类1、SSG系列产品（UTM安全设备）2、ISG系列产品（高安全性设备集成IDP扩展）3、NS系列产品（NetScreen）17防火墙/VPN系列产品定位 内部网内部网络、服、服务供供应商商、高速网关高速网关小型小型/中型中型办事事处/远程站点程站点/远程工作人程工作人员大中型站点大中型站点/分支分支办事事处/远程程办事事处性能性能18网络分区有助加强安全性和管理网络分区有助加强安全性和管理接口与安全域是对应的接口与安全域是对应的多个接口可与同一安全域对应多个接口可与同一安全域对应安全域间的流量必须通过安

11、全策略控制安全域间的流量必须通过安全策略控制UntrustCustom Zone(DMZ#2)TrustCustom Zone(DMZ#1)Custom Zone(Wireless LAN)InternetHA Link19ProtectedNetwork基于基于安全区安全区的的Denial-of-Service 防护防护FirewallMalformed Packet ProtectionSYN and FIN bit setNo flags in TCPFIN with no ACKICMP fragmentLarge ICMPIP strict source routeIP record

12、 routeIP security optionsIP timestampIP streamIP bad optionsUnknown protocolsSource/Destination ip Session number limitDoS 和和 DDoS 防护防护SYN flood包括包括syn proxy和和syn cookie 方式方式ICMP flood UDP floodIP spoofingPer-session limitingSYN fragmentsDefault packet denySYN-ACK-ACK attack恶意数据包防护恶意数据包防护Ping of dea

13、thLand attackTear drop attackWinNuke attackIP source routeLoose source route探测保护探测保护Port scanIP address sweepPROTECTION防火墙保护防火墙保护状态检测状态检测(i.e.,TCP and UDP)TCP顺序检测顺序检测MAC 地址检测地址检测CRC 检测检测内容保护内容保护Java/ActiveX/Zip/Exe 阻断阻断用户定义的恶意用户定义的恶意 URLsURL 阻断阻断(Websense、surf control)20入侵防御功能：防病毒：卡巴斯基防垃圾邮件：赛门铁克网页过滤

14、：美讯智SSG：多种领先的安全技术的集成其他厂家主要依靠自己开发，特征库不完善，不专业；或者只能支持部分的UTM功能21更多应用层协议的DI（IPS）支持No new configuration is neededScreen OS 5.1 and 5.2Screen OS 5.3FTP,Gnutella,HTTP,IMAP,NetBIOS,POP3,DNS,MS-RPC,SMB,SMTP and Instant Messaging(AOL,MSN,Yahoo).CHARGEN,DHCP,DISCARD,ECHO,FINGER,Gopher,ICMP,IDENT,IKE,IRC,LDAP,LP

15、R,MS-SQL,NFS,NNTP,NTP,PortMapper,RADIUS,Rexec,rlogin,SunRPC,Rsh,RTSPRusers,SNMP/Trap,SQL Mon,SSH,SSL,Syslog,TELNET,TFTP,VNC,WHOIS in addition to previous ScreenOS 5.2 protocols22内嵌防病毒内嵌防病毒防止网络遭遇病毒、间谍软件/广告软件/键盘侧录攻击嵌入到防火墙网关中的最佳的防病毒功能在 SMTP、POP3、Webmail、FTP、IMAP 和 HTTP 中查找并消灭病毒对入站和出站流量进行病毒扫描XOXOXOXOXOX

16、OXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOX致：John Subject：请打开这个文件丢弃受感染的电子邮件，并向用户发送消息24Juniper的防病毒引擎的防病毒引擎和业界领先的防病毒厂家(卡巴斯基Kaspersky)合作一直以来该都被评为最佳的检测和响应引擎新的防病毒解决

17、方案包括的向内方向的Spyware/Adware/Keyloggers的阻断是 IDP 防“phone-home”攻击（向外发布私人信息）的补充(保护已受感染设备)完全和ScreenOS 5.3 整合客户可以选择采用Kaspersky还是Trend 推荐用卡巴斯基25内嵌防垃圾邮件内嵌防垃圾邮件阻断垃圾邮件和网页仿冒攻击 将赛门铁克的防垃圾邮件功能集成到SSG 520/550中使用基于IP的、强韧的、始终更新的垃圾邮件发送人和网页仿冒人的全球名单来阻断（及/或标记出）垃圾邮件使用特定的域、电子邮件发送方或IP地址来创建定制的“黑名单”和“白名单”过滤垃圾邮件，由赛门铁克提供XOXOXOXOXO

18、XOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOX不希望的/主动发送的电子邮件减少没有价值的电子邮件流量全球垃圾全球垃圾邮件数据件数据库26内嵌内嵌Web过滤过滤控制Web的使用以提高员工生产率和网络资源利用率并避免诉讼防止用户访问已知的间谍软件和网页仿冒站点通过预定义的或定制的

19、URL列表来控制对网站的访问可基于站点、内容类型或用户群来制订策略2个选项：集成(SurfControl)或重新定向(SurfControl 或Websense)XOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOURL 请求求安全策略安全策略:检查URL许可接入可接入拒拒绝接入接入 向用向用户发送消息送消息URL 数据数据库27高可用性以提供网络可靠性高可用性以提供网络可靠性主动主动/主动主动 全网状全

20、网状在任何链路中断的情况下，由上一个连接的设备将有关流量转送防火墙和和 VPN 的状态故障转移维护会话、NAT、VPN 通道和安全联盟主动主动/主动主动设备间流量分离备份始终处于测试状态下防火墙和和 VPN 的状态故障切换维护会话、NAT、VPN 通道和安全联盟主动主动/被动被动备用设备镜像主设备防火墙和和 VPN 的状态故障切换维护主动会话、NAT、VPN 通道和安全联盟28性能和安全性：性能和安全性：ScreenOS操作系统操作系统控制所有网络和安全功能 专用的安全实时操作系统专用于执行网络安全任务与硬件平台紧密集成包含安全应用和网络功能通过Firewall/VPN/DoS/DI应用提供网

21、络防护易于网络集成 好处提高安全性 减少操作系统安全漏洞与通用操作系统比较易于打patch简单的升级过程应用和操作系统同时集成允许NetScreen快速的网络安全需求的变化提高性能、加速实施经过时间和市场检验29提供网络安全设备的集中管理解决方案NSM(NetScreen Security Manager)的优势 解决了防火墙和VPN的管理问题提供对防火墙生命周期的管理:设计/部署配置监控/维护升级/调整基于角色和域的管理权 错误避免和修正扩展性和HA 架构30Juniper Firewall/VPN 硬件防火墙解决方案议程防火墙解决方案议程1.Juniper简介2.Juniper 防火墙整合

22、的安全功能3.Juniper 防火墙硬件结构及性能防火墙硬件结构及性能方面与方面与其它产品的区别其它产品的区别4.Juniper 防火墙产品型号32性能和安全性：先进的硬件设计性能和安全性：先进的硬件设计通用结构的处理通用结构的处理 数据在几个非优化的接口传送数据在几个非优化的接口传送每个每个“API”引入安全风险引入安全风险处理的延迟导致处理的延迟导致“无法预测的行为无法预测的行为”数据通道无法优化数据通道无法优化PC Appliances/Pseudo AppliancesVPNCo-ProcessorCPURAMBusI/OInOut特定的安全处理特定的安全处理 基于流的线性的数据包处理

23、基于流的线性的数据包处理 每个处理模块被优化每个处理模块被优化优化的应用和硬件用于安全处理和性能优化的应用和硬件用于安全处理和性能GigaScreenASICCPUHigh Speed BackplaneInOutRAMI/ONetScreen Advanced ArchitectureSecurity-Specific,Real-Time OSIntegrated Security Applications ASICASIC33性能：可预见性，一致性性能：可预见性，一致性0200400600800Aggregate Throughput(Mbps)*5,00010,00025,000Simu

24、ltaneous UDP Sessions645121,0241,518Packet size,bytes先进结构先进结构0200400600800Aggregate Throughput(Mbps)*5,00010,00025,000Simultaneous UDP Sessions645121,0241,518Packet size,bytesPC-baseZero-Loss Throughput Across a Single-Rule Firewall with UDP Packets34小包的处理能力流量语音攻击35多接口工作处理能力实际应用36VPN延迟流量语音37防火墙议程防火墙

25、议程1.Juniper简介2.Juniper 防火墙整合的安全功能3.Juniper 防火墙硬件结构及性能4.Juniper 防火墙产品型号防火墙产品型号38Secure Service Gateway FamilySSG 5-Six fixed form factor models160 Mbps FW/40 Mbps VPNSSG 20 2 modular models160 Mbps FW/40 Mbps VPNSSG 140350+Mbps FW/100 Mbps VPNSSG 320M450+Mbps FW/175 Mbps VPNSSG 350M550+Mbps FW/225 Mb

26、ps VPNSSG 520M 650+Mbps FW/300 Mbps VPNSSG 550M1+Gbps FW/500 Mbps VPN产品特点：集成产品特点：集成UTM功能功能产品定位：中小型企业用户产品定位：中小型企业用户SSG 5SSG 20SSG 140SSG 550MSSG 520MSSG 320MSSG 350M40SSG500系列安全业务网关专用硬件平台专用硬件平台高性能高性能多种多种I/O接口选项接口选项 机箱上4个10/100/1000端口6个I/O扩展插槽支持的接口选项包括LAN:SFP,10/100/100,FEWAN:串行,T1/E1,DS3最佳的安全性和最佳的安全性

27、和WAN协议支持协议支持 安全性安全性防火墙、深层检测、NAT、DoS及安全区等将来可提供：防病毒、防垃圾邮件、防间谍软件、防网页仿冒（网络钓鱼）联网联网动态路由、虚拟路由器、VPN、高可用性、VLANs WAN封装封装 利用J系列路由器的WAN接口和JUNOS的WAN封装功能41SSG500系列安全业务网关Juniper网络公司网络公司SSG 5501 Gbps 的 FW IMIX 600K pps500 Mbps 的VPN/500 Mbps IPS6个 I/O 插槽 4个可插 LAN口模块双电源，DC为选项，NEBS为选项12.8万个会话，1,000条VPN 隧道Juniper 网络公司网

28、络公司SSG 520600 Mbps 的 FW IMIX 300K pps300 Mbps 的 VPN/300 Mbps IPS6个 I/O插槽 2个可插 LAN口模块单一AC或DC电源6.4万个会话，500条VPN 隧道通用硬件特性：通用硬件特性：2U外观，提供4个固定的10/100/1000端口2个串行 RJ45端口，用于控制台接入和Aux管理2个USB端口，用于将来的应用42I/O扩展插槽的配置选项SSG 550MSSG 520MLAN 或或 WAN 连接接 10/100/1000,SFP,FE串行,T1/E1,DS3LAN 或或 WAN 连接接 10/100/1000,SFP,FE串行

29、,T1/E1,DS3WAN连接接 串行,T1/E1,DS3WAN连接接 串行,T1/E1,DS3WAN连接接 串行,T1/E1,DS3WAN连接接 串行,T1/E1,DS3(4)个固定的 10/100/1000 接口RJ45控制台和 Aux接口LAN 或或 WAN 连接接 10/100/1000,SFP,FE串行,T1/E1,DS3WAN连接接 串行,T1/E1,DS3LAN 或或 WAN 连接接 10/100/1000,SFP,FE串行,T1/E1,DS3LAN 或或 WAN 连接接 10/100/1000,SFP,FE串行,T1/E1,DS3WAN连接接 串行,T1/E1,DS3LAN 或

30、或 WAN 连接接 10/100/1000,SFP,FE串行,T1/E1,DS3(4)个固定的 10/100/1000 接口RJ45控制台和 Aux接口43LAN 和WAN可扩展性将将 LAN 和和 WAN软硬件选项结合在一起，提供软硬件选项结合在一起，提供I/O灵活性灵活性LAN I/O包括固定的包括固定的10/100/1000端口以及模块化的端口以及模块化的SFP、FE和和10/100/1000端口端口ScreenOS有多年支持LAN路由的历史，并支持动态路由和多种部署模式OSPF、BGP、RIPv1/v2、静态NAT、路由、透明模式多个虚拟路由器利用利用J系列提供的系列提供的WAN I/

31、O卡卡串行、T1/E1、DS3利用利用JUNOS提供的全新的提供的全新的WAN封装功能封装功能将帧中继、多链路帧中继、PPP和多链路PPP协议 添加到ScreenOS路由引擎中（JUNOS提供），以简化管理工作44SSG300SSG320M SSG350MNS204NS208 吞吐量（大包）1.2G1.2G375M375M吞吐量(IMIX)400M500M200M4G 64byte小包)1 百万同时会话数5 Gbps 3DES VPN 25,000 IPSec VPN 通道物理和虚拟接口物理和虚拟接口多达26安全接口多达500虚拟系统多达4,000 VLANsNetScreen-5400性能和

32、处理能力性能和处理能力 30 Gbps 防火墙(12G 64byte小包)1 百万同时会话数15 Gbps 3DES VPN25,000 IPSec VPN 通道物理和虚拟接口物理和虚拟接口多达78安全接口多达500虚拟系统多达4,000 VLANs54NetScreen-204&NetScreen-208集成的防火墙,VPN,和流量管理状态监控防火墙和DoS 攻击防护支持3DES,DES,L2TP&AES IPSec VPN 带宽优先级和独享管理/或 DiffServ标记透明,NAT,和路由模式高可用性支持防火墙和VPN会话同步性能 550 Mbps firewall NAT(NS-208)

33、400 Mbps firewall NAT(NS-204)128,000 同时会话9,000 新会话/秒200 Mbps 3DES VPN1,000 IPSec VPN tunnels4 or 8 自适应 10/100 Ethernet接口支持所有接口DCE或 DTE自适应AC 电源;可选DC电源58NetScreen-50集成的防火墙，VPN和流量管理.状态监控防火墙NAT,PPPoE 和 DHCP client,server&relayVPNSite to Site&Client to SiteSupports IPSec 3DES,DES&AES encryption standards

34、支持 L2TP for Windows带宽管理和DiffServ标记性能和处理能力 170 Mbps 防火墙 64,000 同时的会话45 Mbps VPN500 IPSec VPN通道 4 个 10/100 自适应以太网口第4口可用于HA或第二个DMZAC 电源;DC电源可选59NetScreen-25性能和处理能力 100 Mbps 防火墙 32,000 同时的会话20 Mbps VPN125 IPSec VPN 通道 4 个 10/100 自适应以太网口第4口将用于第2个DMZ 或支持HA LiteAC 电源集成的防火墙，VPN和流量管理.状态监控防火墙NAT,PPPoE 和 DHCP

35、client,server&relayVPNSite to Site&Client to SiteSupports IPSec 3DES,DES&AES encryption standards支持 L2TP for Windows带宽管理和DiffServ标记60NetScreen-5GT冗余特性连接的冗余性:拨号备份和双 Untrust接口Tunnel routing使用RIPv.2,BGP 或OSPF高性价比高性能，强健的安全型，集成的管理降低费用。先进的安全特性集成的防火墙/VPN/DoS防护*嵌入式病毒扫描 通过安全区进行网络访问分隔额外的内存和CPU处理能力用于以后的安全功能高性能

36、75 Mbps Firewall/NAT20 Mbps 3DES VPN61NetScreen-HSC(Hardware Security Client)先进的安全特性集成的状态检测防火墙和深层检测防火墙,VPN,DoS防护和嵌入式防病毒引擎 受限的安全区用于分隔网络活动性能和处理能力50 Mbps Firewall/NAT10 Mbps 3DES VPN最大5用户2 VPN tunnels1,000 concurrent sessions用于集中管理通过NetScreen-Security Manager易于集中的管理通过快速实施特性（Rapid Deployment）和启动向导用于新节点的

37、快速实施有限的本地WebUI 和 CLI管理无法升级到 NetScreen-5GT62NetScreen-5GT Extended先进的安全特性集成的状态检测和深层检测防火墙、VPN和DoS防护可升级到嵌入式防病毒系统DMZ zone用于网络隔离性能和处理能力75 Mbps Firewall/NAT20 Mbps 3DES VPN无限用户25 tunnels4,000 concurrent sessions可靠性冗余连接:Dial Backup 和 Dual UntrustHA用于设备故障切换支持动态 RIPv2,BGP 或 OSPF可以通过NetScreen-Security Manager

38、进行管理（1H04）NetScreen-5GT 10 user/Plus 版本可以升级到 Extended6364Copyright 2004 Juniper Networks,Inc.Proprietary and C NetScreen-5GT ADSL第一个内置ADSL modem的防火墙内置ADSL modem适合卖给企业或由电信来作为服务给个人或企业使用75M的防火墙吞吐、20M的VPN吞吐64带无线的5GT硬件版本（AP）安全区安全区支持无线用户 定义区内、区和区之间测 每个无线安全区是独立的认证和加密策略 提供多个 SSID到多个安全区e好处好处:更加安全不同用户的安全级别灵活定

39、义防火墙策略DMZTrusted Zone Full access to all resourcesWireless Zone2“Guests”Web access onlyWireless Zone1“Hoteling”employeesWeb,email,key appsAvailable only in NetScreen-5GT Wireless and NetScreen-5GT Wireless/ADSL65questionUTM有哪些设备?UTM功能包括哪些授权功能？哪些设备可以扩展IDP的硬件模块?哪些设备能够提供流量管理（QOS）功能?Juniper的最大性能是多大?什么型号？Juniper的硬件体系是什么?6667