Шлюзы динамического предоставления услуг Juniper Networks для филиалов

Задать вопрос
Наши специалисты ответят на любой интересующий вопрос по услуге

Шлюзы динамического предоставления услуг Juniper Networks SRX для филиалов – это маршрутизаторы с функциями телефонной связи, обеспечения безопасности и управления, предназначенные для  обслуживания объектов, где работают от нескольких сотрудников до сотен пользователей. Консолидируя в едином устройстве скоростные и высоко-доступные услуги коммутации, маршрутизации и  безопасности, предприятия могут не только предоставлять новые услуги и обеспечивать безопасную связь, но и повышать качество обслуживания конечных пользователей. 

Все шлюзы SRX, рассчитанные на установку в филиалах, кампусах и ЦОДах, работают под управлением ОС JUNOS — проверенной операционной системы Juniper Networks, которая отличается безупречной согласованностью версий,  усовершенствованной обработкой сервисов и надежной защитой инфраструктуры, при низкой общей стоимости владения. srx_branch1.jpg

В обширный портфель продуктов Juniper Networks, функционирующих под управлением ОС JUNOS®, также входят Ethernet-коммутаторы серии «EX», мультисервисные пограничные маршрутизаторы серии  «M», сервисные Ethernet- маршрутизаторы серии «MX» и магистральные маршрутизаторы серии «T». С помощью ОС JUNOS предприятия и операторы снижают затраты на внедрение и эксплуатацию для всего  распределенного персонала.

  • Шлюзы SRX для филиалов функционируют под управлением ОС JUNOS, проверенной операционной системы, которая установлена на магистральных интернет маршрутизаторах в сетях 100 крупнейших  операторов мира. Вот уже более 10 лет в сетях разных стран мира используются скрупулезно протестированные функции маршрутизации операторского класса IPv4/IPv6, OSPF, BGP и multicast.
  • В шлюзах динамического предоставления услуг SRX для филиалов реализована защита периметра, защита контента, контроль доступа, визуализация и обработка угроз в масштабе всей сети. Лучшие в  своем классе межсетевой экран (МЭ) и VPN защищают периметр, требуя минимальных настроек и гарантируя стабильную производительность. Применяя зонирование и политики, даже не обладающие  большим опытом сетевые администраторы не испытают затруднений при установке и настройке шлюзов SRX для филиалов. VPN на базе политик поддерживают более сложные схемы защиты, которые  требуют применения динамической адресации и раздельного туннелирования. Защита контента в линейке SRX для филиалов обеспечивается комплексом услуг унифицированной обработки угроз  (UTM), в который входят: система предотвращения вторжений IPS, антивирус, антиспам, веб-фильтрация и защита от потери данных на основе фильтрации контента. Все они предохраняют сеть от воздействия постоянно совершенствующихся угроз. В отдельных моделях предусмотрен ускоритель обработки контента Content Security Accelerator для повышения производительности IPS и  антивирусного ПО. Шлюзы SRX для филиалов взаимодействуют с другими продуктами безопасности Juniper, образуя общую систему унифицированного контроля доступа и адаптивной обработки  угроз. Эти возможности предоставляют специалистам мощные средства в борьбе с кибер-преступностью и потерями данных.
  • Шлюзы SRX для филиалов – это маршрутизаторы с функциями защиты, обладающие высокой производительностью и проверенными возможностями, предназначенные для предприятий, которые  создают территориально-распределенные сети, охватывающие тысячи площадок. Имеющиеся варианты комплектации позволяют комбинировать производительность, функциональность и стоимость  для поддержки от единиц до тысяч пользователей. Для безопасной связи с WAN и интернетом предусмотрены различные интерфейсы: Ethernet, последовательный, T1/E1, xDSL, Metro Ethernet и  беспроводная сотовая связь 3G. Повысить экономичность развертывания на критичных площадках позволят различные варианты конструктивов. Управление сетью упрощается за счет применения  пользовательского веб-интерфейса и командной строки и макросов ОС JUNOS.

АППАРАТНЫЕ ХАРАКТЕРИСТИКИ ЛИНЕЙКИ SRX ДЛЯ ФИЛИАЛОВ

 Продукт                                                      Описание    
Сервисный шлюз SRX100                    
  • 8 портов 10/100 Ethernet LAN
  • Полный функционал UTM; антивирус, антиспам, веб-фильтрация, система предотвращения вторжений; (при макс. памяти)
  • У унифицированный контроль доступа (UAC) и фильтрация контента;
  • 1 Гбайт DRAM, 1 Гбайт флеш-память (в модели с мин. памятью доступно 512 Мбайт DRAM)
Сервисный шлюз SRX210
  • SRX210                                                                                                                                             
  • 2 х 10/100/1000 Ethernet и 6 х 10/100 портов Ethernet LAN, 1 слот Mini-PIM, 1 слот ExpressCard, 2 порта USB
  • 4 динамических порта Power over Ethernet (PoE) 802.3af (заводская опция)
  • Поддерживаемые интерфейсы: T1, E1, последовательный, ADSL2/2+, трансивер Ethernet SFP, Gigabit Ethernet
  • Аппаратный ускоритель обработки контента Content Security Accelerator для повышения производительности IPS и ExpressAV
  • Полный функционал UTM, антивирус, антиспам, веб-фильтрация, система предотвращения вторжений (при макс. памяти);
  • Унифицированный контроль доступа (UAC) и фильтрация контента;
  • Память 512 Мбайт DRAM, заводская опция 1 Гбайт DRAM , 1 Гбайт флеш-память 
Сервисный шлюз SRX220
  • 8 портов 10/1000/1000 Ethernet LAN, 2 слота Mini-PIM;
  • 8 портов PoE, PoE+ 803.3at, обратная совместимость с 802.3af (заводская опция);
  • Поддерживаемые интерфейсы: T1, E1, последовательный, ADSL2/2+, трансивер Ethernet SFP, Gigabit Ethernet;
  • Аппаратный ускоритель обработки контента Content Security Accelerator для повышения производительности IPS и ExpressAV;
  • Полный функционал UTM, антивирус, антиспам, веб-фильтрация, система предотвращения вторжений;
  • Унифицированный контроль доступа (UAC) и фильтрация контента;
  • Память 1 Гбайт DRAM, 1 Гбайт флеш-память;
Сервисный шлюз SRX240
  • 16 портов 10/1000/1000 Ethernet LAN, 4 слота Mini-PIM;
  • 16 портов PoE, PoE+ 803.3at, обратная совместимость с 802.3af (заводская опция);
  • 4 динамических порта Power over Ethernet (PoE) 802.3af (заводская опция);
  • Поддерживаемые интерфейсы: T1, E1, последовательный, ADSL2/2+, трансивер Ethernet SFP, Gigabit Ethernet;
  • Аппаратный ускоритель обработки контента Content Security Accelerator для повышения производительности IPS и ExpressAV;
  • Полный функционал UTM, антивирус, антиспам, веб-фильтрация, система предотвращения вторжений (при макс. памяти);
  • Унифицированный контроль доступа (UAC) и фильтрация контента;
  • Память 512 Мбайт DRAM, заводская опция 1 Гбайт DRAM , 1 Гбайт флеш-память;

Сервисный шлюз SRX650

  • 4 фиксированных порта 10/100/1000 Ethernet LAN, 8 слотов или комбинация GPIM и XPIM;
  • Поддержка T1, E1, Gigabit Ethernet LAN, до 48 портов коммутации с опцией PoE включая 802.3at PoE+, обратная совместимость с 802.3af;
  • Аппаратный ускоритель обработки контента Content Security Accelerator для повышения производительности IPS и ExpressAV;
  • Полный функционал UTM, антивирус, антиспам, веб-фильтрация, система предотвращения вторжений;
  • Унифицированный контроль доступа (UAC) и фильтрация контента;
  • Модульная подсистема маршрутизации и обработки сервисов (Modular Services and Routing Engine);
  • Память 2 Гбайт DRAM, 2 Гбайт CF, внешний слот CF для дополнительной памяти;
  • Резервный БП перем. тока, БП перем тока с поддержкой PoE. Мощность PoE до 250 Вт с резервированием, 500 Вт без резервирования (опция);

Шлюзы SRX устанавливаются в филиалах и удаленных офисах для обеспечения безопасной связи с территориальной сетью, сервисов IP-телефонии и подключения локальных компьютеров и серверов через  встроенный Ethernet-коммутатор.

ФУНКЦИИ И ПРЕИМУЩЕСТВА
Безопасная маршрутизация

Межсетевые экраны, зоны и политики Нужно ли использовать для защиты сети и маршрутизатор, и межсетевой экран?

Предприятия, которые устанавливают шлюзы SRX для филиалов с лучшими в своем классе функциями маршрутизации и МЭ,  могут больше не задаваться этим вопросом. Зачем передавать незаконный трафик? Шлюз SRX проверит трафик на законность и передаст его только при положительном результате. При этом уменьшается  нагрузка на сеть, все другие приложения получают добавочную полосу пропускания, и сеть защищается от хакеров.

Задача безопасного маршрутизатора – защищать сеть посредством МЭ и применения политик. МЭ анализирует потоки и состояние трафика, чтобы решить, является ли передаваемая в рамках сессии  исходящая и ответная информация ожидаемой и разрешенной для конкретной зоны. Политика безопасности определяет, может ли сессия, начавшаяся в одной зоне, и переходить в другую. В этой  архитектуре пакеты принимаются от самых разнообразных клиентов и серверов с сохранением информации по каждой сессии, каждому приложению и каждому пользователю. Таким образом, можно быть уверенным в том, что в сеть попадает только разрешенный трафик, который при этом имеет ожидаемое направление.

Чтобы упростить настройку SRX для филиалов, применяются т.н. «зонирование» и «политики». В поставляемой по умолчанию конфигурации определены две зоны – защищенная (доверенная) и  незащищенная. Впоследствии пользователь может определять зоны по своему усмотрению. Защищенная зона предназначена для настройки и подключения LAN к шлюзу SRX для филиалов, незащищенная  зона используется для WAN и интернет-интерфейсов. Для облегчения первоначальной установки предусмотрена политика по умолчанию, которая пропускает в незащищенную зону трафик, инициированный  в защищенной зоне, и блокирует весь трафик из незащищенной зоны в защищенную. Обычный маршрутизатор передает весь трафик без учета МЭ (данные о сессии) и политики (происхождение и назначение  сессии).

Политики безопасности, управляющие передачей трафика между зонами, создаются с помощью веб-интерфейса или командной строки. На самом верхнем уровне можно разрешить передачу любого трафика  от любого источника, находящегося в защищенной зоне, к любому назначению во всех других зонах без каких либо временных ограничений. На самом нижнем уровне создаются политики, которые  пропускают только трафик определенного типа между указанными узлами в указанных зонах в указанное время.

Высокая доступность

Одной из основных функций шлюза SRX для филиалов является протокол резервирования услуг JUNOS Services Redundancy Protocol (JSRP). Посредством этого протокола две системы безопасности легко  объединяются в структуру высокой доступности сети с резервированными соединениями между системами и соседними коммутаторами. При условии резервирования каналов аппаратура Juniper Networks  способна справляться с распространенными причинами системных отказов, включая отказ физического порта и отсоединение кабеля, обеспечивая доступность соединения и не диагностируя отказ всей  системы. Такое поведение соответствует типичной природе пассивного резервирования протоколов обеспечения устойчивости маршрутизации. Когда два шлюза SRX для филиалов объединяются в систему с активным резервированием, выполняется автоматическое зеркалирование трафика и конфигурации для поддержки активных сессий VPN и межсетевого экрана на случай отказа. После этого шлюз будет синхронизировать как конфигурацию, так и данные времени исполнения. Таким образом, при аварийном переклюении обеспечивается синхронизация следующей информации: данные о потоке и состоянии соединения и сессии, ассоциации безопасности IPSec, трафик NAT, адресная книга, конфигурационные изменения и др.

redundency2.jpg

При использовании типичных протоколов пассивного резервирования маршрутизации, к каким относится, например, VRRP, в случае отказа маршрутизатора вся динамическая информация о потоках и  сессиях теряется, и ее необходимо восстанавливать. При этом потребуется перезапуск всех или некоторых сессий работы приложений, в зависимости от времени схождения каналов или узлов. Учет  состояния позволяет сохранить сессию, не прерывая при этом защиту. В нестабильной сети активное резервирование (конфигурация active/active) противодействует «мерцанию» каналов, которое  отрицательно сказывается на производительности.

Сеансная передача без ухудшения производительности

Для оптимизации пропускной способности и времени задержки объединенного маршрутизатора и межсетевого экрана в ОС JUNOS применяется сеансная передача – инновационная операция, в которой  данные передачи на следующий узел (next-hop forwarding), как это делается классическим маршрутизатором, объединяются с информацией о состоянии сессии традиционного МЭ. В ОС JUNOS сессия,  разрешенная политикой передачи, добавляется к адресной таблице вместе с указателем на маршрут до следующего узла (next-hop route).  Для установленных сессий, чтобы убедиться в правомерности сессии  и найти следующий узел, достаточно одной операции поиска в таблице.



Этот эффективный алгоритм повышает пропускную способность и уменьшает время задержки сессионного трафика по сравнению  с  классическими маршрутизаторами, где требуется несколько операций поиска для проверки сессионной информации и поиска маршрута до следующего узла. На рис. 3 показан алгоритм сеансной передачи. При установлении новой сессии специальный модуль ОС JUNOS поверяет ее на соответствие правилам передачи. Если сессия разрешена, ОС JUNOS ищет следующий маршрутный узел в таблице. Затем информация о сессии и следующем узле вносится в таблицу, и пакет передается дальше. Чтобы передать последующие пакеты установленной сессий на выходной интерфейс, достаточно одной операции  поиска в адресной таблице.

ТИПОВАЯ СХЕМА ДИЗАЙНА СЕТИ РАСПРЕДЕЛЕННОГО ПРЕДПРИЯТИЯ

enterprise-1024x668_4.jpg

Распределенное предприятие

ТЕХНИЧЕСКИЕ ХАРАКТЕРИСТИКИ

Протоколы

  • IPv4, IPv6, ISO Connectionless Network Service (CLNS)

Маршрутизация и многоадресная передача
  • Статические  маршруты
  • RIPv2
  • OSPF
  • BGP
  • BGP Router Reflector
  • IS-IS
  • Multicast ((Internet Group Management Protocol (IGMPv3), PIM, Session Description Protocol (SDP), Distance Vector Multicast Routing Protocol (DVMRP), source-specifc))
  • MPLS

Управление IP-адресами
  • Статические
  • DHCP (клиент и сервер)
  • DHCP relay

Инкапсуляция

  • Ethernet (MAC-адреса и метки)
  • PPP (синхронный)
  • MLPPP (Multilink Point-to-Point Protocol)
  • Frame Relay
  • MLFR (FRF.15, FRF.16)
  • HDLC (High-Level Data Link Control)
  • Последовательный (RS-232, RS-449, X.21, V.35, EIA-530)
  • 802.1q
  • PPPoE

Управление трафиком
  • Маркировка, регулирование, формирование.
  • Очереди по классам с приоритизацией.
  • Алгоритм WRED
  • Очереди на основе VLAN, идентификаторов DLCI, интерфейсов, объединений (bundle), фильтров.

Безопасность
  • Межсетевые экраны, зоны, процедуры проверки (screens), политики.
  • МЭ с сохранением состояния, списки контроля доступа ACL.
  • Защита от атак типа DoS и DDoS (с учетом аномалий).
  • Защита от атак типа replay, Anti-Replay.
  • Унифицированный контроль доступа UAC.
  • UTM2
  • Антивирус, антиспам, веб-фильтрация, IPS
  • Ускоритель обработки контента
  • ExpressAV
  • Фильтрация контента

VPN
  • Туннели (GRE, IP-in-IP, IPsec)
  • Шифрование IPsec, DES (56 бит), 3DES (168 бит), AES (256бит)
  • Аутентификация MD5 и SHA-1
  • Менеджер доступа: динамический клиент VPN. Удаленный доступ посредством браузера, необходима лицензия.

Голосовой транспорт
  • FRF.12
  • LFI (Link fragmentation and interleaving)
  • CRTP (Compressed Real-Time Transport Protocol)

Высокая доступность
  • VRRP
  • Аварийное переключение с учетом состояния и объединение двух систем в кластер посредстовм JSRP
  • Резервирование канала по 3G или другой сети WAN

IPv6

  • OSPFv3
  • I Pv6 Multicast Listener Discovery (MLD)
  • BGP
  • Качество обслуживания (QoS)

Соглашения об уровне обслуживания и измерения
  • Мониторинг производительности в реальном времени
  • Основные пользователи (сессии, пакеты, использование полосы пропускания)
  • Сервисы учета и мониторинга потоков J-Flow

Регистрация и мониторинг
  • Syslog
  • Traceroute

Администрирование
  • Программный комплекс Juniper Networks Network and Security Manager (NSM)
  • Программный комплекс Juniper Networks Security Threat
  • Response Managers (STRM)
  • Автоматизированный диагностический сервис Juniper Networks Advanced Insight Solutions (AIS)
  • Внешние БД администрирования (RADIUS, LDAP, SecureID)
  • Автоматическая настройка
  • Откат конфигурации
  • Кнопка создания резервной конфигурации
  • Проверка внесенных изменений
  • Автоматическая запись для диагностики
  • Модернизация программного обеспечения
  • Веб-интерфейс J-Web
Заказать услугу
Оформите заявку на сайте, мы свяжемся с вами в ближайшее время и ответим на все интересующие вопросы.