Шлюзы динамического предоставления услуг Juniper Networks SRX для филиалов – это маршрутизаторы с функциями телефонной связи, обеспечения безопасности и управления, предназначенные для обслуживания объектов, где работают от нескольких сотрудников до сотен пользователей. Консолидируя в едином устройстве скоростные и высоко-доступные услуги коммутации, маршрутизации и безопасности, предприятия могут не только предоставлять новые услуги и обеспечивать безопасную связь, но и повышать качество обслуживания конечных пользователей.
Все шлюзы SRX, рассчитанные на установку в филиалах, кампусах и ЦОДах, работают под управлением ОС JUNOS — проверенной операционной системы Juniper Networks, которая отличается безупречной согласованностью версий, усовершенствованной обработкой сервисов и надежной защитой инфраструктуры, при низкой общей стоимости владения.
В обширный портфель продуктов Juniper Networks, функционирующих под управлением ОС JUNOS®, также входят Ethernet-коммутаторы серии «EX», мультисервисные пограничные маршрутизаторы серии «M», сервисные Ethernet- маршрутизаторы серии «MX» и магистральные маршрутизаторы серии «T». С помощью ОС JUNOS предприятия и операторы снижают затраты на внедрение и эксплуатацию для всего распределенного персонала.
- Шлюзы SRX для филиалов функционируют под управлением ОС JUNOS, проверенной операционной системы, которая установлена на магистральных интернет маршрутизаторах в сетях 100 крупнейших операторов мира. Вот уже более 10 лет в сетях разных стран мира используются скрупулезно протестированные функции маршрутизации операторского класса IPv4/IPv6, OSPF, BGP и multicast.
- В шлюзах динамического предоставления услуг SRX для филиалов реализована защита периметра, защита контента, контроль доступа, визуализация и обработка угроз в масштабе всей сети. Лучшие в своем классе межсетевой экран (МЭ) и VPN защищают периметр, требуя минимальных настроек и гарантируя стабильную производительность. Применяя зонирование и политики, даже не обладающие большим опытом сетевые администраторы не испытают затруднений при установке и настройке шлюзов SRX для филиалов. VPN на базе политик поддерживают более сложные схемы защиты, которые требуют применения динамической адресации и раздельного туннелирования. Защита контента в линейке SRX для филиалов обеспечивается комплексом услуг унифицированной обработки угроз (UTM), в который входят: система предотвращения вторжений IPS, антивирус, антиспам, веб-фильтрация и защита от потери данных на основе фильтрации контента. Все они предохраняют сеть от воздействия постоянно совершенствующихся угроз. В отдельных моделях предусмотрен ускоритель обработки контента Content Security Accelerator для повышения производительности IPS и антивирусного ПО. Шлюзы SRX для филиалов взаимодействуют с другими продуктами безопасности Juniper, образуя общую систему унифицированного контроля доступа и адаптивной обработки угроз. Эти возможности предоставляют специалистам мощные средства в борьбе с кибер-преступностью и потерями данных.
- Шлюзы SRX для филиалов – это маршрутизаторы с функциями защиты, обладающие высокой производительностью и проверенными возможностями, предназначенные для предприятий, которые создают территориально-распределенные сети, охватывающие тысячи площадок. Имеющиеся варианты комплектации позволяют комбинировать производительность, функциональность и стоимость для поддержки от единиц до тысяч пользователей. Для безопасной связи с WAN и интернетом предусмотрены различные интерфейсы: Ethernet, последовательный, T1/E1, xDSL, Metro Ethernet и беспроводная сотовая связь 3G. Повысить экономичность развертывания на критичных площадках позволят различные варианты конструктивов. Управление сетью упрощается за счет применения пользовательского веб-интерфейса и командной строки и макросов ОС JUNOS.
АППАРАТНЫЕ ХАРАКТЕРИСТИКИ ЛИНЕЙКИ SRX ДЛЯ ФИЛИАЛОВ
Продукт | Описание |
Сервисный шлюз SRX100 |
|
Сервисный шлюз SRX210 |
|
Сервисный шлюз SRX220 |
|
Сервисный шлюз SRX240 |
|
Сервисный шлюз SRX650 |
|
Шлюзы SRX устанавливаются в филиалах и удаленных офисах для обеспечения безопасной связи с территориальной сетью, сервисов IP-телефонии и подключения локальных компьютеров и серверов через встроенный Ethernet-коммутатор.
ФУНКЦИИ И ПРЕИМУЩЕСТВА
Безопасная маршрутизация
Межсетевые экраны, зоны и политики Нужно ли использовать для защиты сети и маршрутизатор, и межсетевой экран?
Предприятия, которые устанавливают шлюзы SRX для филиалов с лучшими в своем классе функциями маршрутизации и МЭ, могут больше не задаваться этим вопросом. Зачем передавать незаконный трафик? Шлюз SRX проверит трафик на законность и передаст его только при положительном результате. При этом уменьшается нагрузка на сеть, все другие приложения получают добавочную полосу пропускания, и сеть защищается от хакеров.
Задача безопасного маршрутизатора – защищать сеть посредством МЭ и применения политик. МЭ анализирует потоки и состояние трафика, чтобы решить, является ли передаваемая в рамках сессии исходящая и ответная информация ожидаемой и разрешенной для конкретной зоны. Политика безопасности определяет, может ли сессия, начавшаяся в одной зоне, и переходить в другую. В этой архитектуре пакеты принимаются от самых разнообразных клиентов и серверов с сохранением информации по каждой сессии, каждому приложению и каждому пользователю. Таким образом, можно быть уверенным в том, что в сеть попадает только разрешенный трафик, который при этом имеет ожидаемое направление.
Чтобы упростить настройку SRX для филиалов, применяются т.н. «зонирование» и «политики». В поставляемой по умолчанию конфигурации определены две зоны – защищенная (доверенная) и незащищенная. Впоследствии пользователь может определять зоны по своему усмотрению. Защищенная зона предназначена для настройки и подключения LAN к шлюзу SRX для филиалов, незащищенная зона используется для WAN и интернет-интерфейсов. Для облегчения первоначальной установки предусмотрена политика по умолчанию, которая пропускает в незащищенную зону трафик, инициированный в защищенной зоне, и блокирует весь трафик из незащищенной зоны в защищенную. Обычный маршрутизатор передает весь трафик без учета МЭ (данные о сессии) и политики (происхождение и назначение сессии).
Политики безопасности, управляющие передачей трафика между зонами, создаются с помощью веб-интерфейса или командной строки. На самом верхнем уровне можно разрешить передачу любого трафика от любого источника, находящегося в защищенной зоне, к любому назначению во всех других зонах без каких либо временных ограничений. На самом нижнем уровне создаются политики, которые пропускают только трафик определенного типа между указанными узлами в указанных зонах в указанное время.
Высокая доступность
Одной из основных функций шлюза SRX для филиалов является протокол резервирования услуг JUNOS Services Redundancy Protocol (JSRP). Посредством этого протокола две системы безопасности легко объединяются в структуру высокой доступности сети с резервированными соединениями между системами и соседними коммутаторами. При условии резервирования каналов аппаратура Juniper Networks способна справляться с распространенными причинами системных отказов, включая отказ физического порта и отсоединение кабеля, обеспечивая доступность соединения и не диагностируя отказ всей системы. Такое поведение соответствует типичной природе пассивного резервирования протоколов обеспечения устойчивости маршрутизации. Когда два шлюза SRX для филиалов объединяются в систему с активным резервированием, выполняется автоматическое зеркалирование трафика и конфигурации для поддержки активных сессий VPN и межсетевого экрана на случай отказа. После этого шлюз будет синхронизировать как конфигурацию, так и данные времени исполнения. Таким образом, при аварийном переклюении обеспечивается синхронизация следующей информации: данные о потоке и состоянии соединения и сессии, ассоциации безопасности IPSec, трафик NAT, адресная книга, конфигурационные изменения и др.
При использовании типичных протоколов пассивного резервирования маршрутизации, к каким относится, например, VRRP, в случае отказа маршрутизатора вся динамическая информация о потоках и сессиях теряется, и ее необходимо восстанавливать. При этом потребуется перезапуск всех или некоторых сессий работы приложений, в зависимости от времени схождения каналов или узлов. Учет состояния позволяет сохранить сессию, не прерывая при этом защиту. В нестабильной сети активное резервирование (конфигурация active/active) противодействует «мерцанию» каналов, которое отрицательно сказывается на производительности.
Сеансная передача без ухудшения производительности
Для оптимизации пропускной способности и времени задержки объединенного маршрутизатора и межсетевого экрана в ОС JUNOS применяется сеансная передача – инновационная операция, в которой данные передачи на следующий узел (next-hop forwarding), как это делается классическим маршрутизатором, объединяются с информацией о состоянии сессии традиционного МЭ. В ОС JUNOS сессия, разрешенная политикой передачи, добавляется к адресной таблице вместе с указателем на маршрут до следующего узла (next-hop route). Для установленных сессий, чтобы убедиться в правомерности сессии и найти следующий узел, достаточно одной операции поиска в таблице.
Этот эффективный алгоритм повышает пропускную способность и уменьшает время задержки сессионного трафика по сравнению с классическими маршрутизаторами, где требуется несколько операций поиска для проверки сессионной информации и поиска маршрута до следующего узла. На рис. 3 показан алгоритм сеансной передачи. При установлении новой сессии специальный модуль ОС JUNOS поверяет ее на соответствие правилам передачи. Если сессия разрешена, ОС JUNOS ищет следующий маршрутный узел в таблице. Затем информация о сессии и следующем узле вносится в таблицу, и пакет передается дальше. Чтобы передать последующие пакеты установленной сессий на выходной интерфейс, достаточно одной операции поиска в адресной таблице.
ТИПОВАЯ СХЕМА ДИЗАЙНА СЕТИ РАСПРЕДЕЛЕННОГО ПРЕДПРИЯТИЯ
Распределенное предприятие
ТЕХНИЧЕСКИЕ ХАРАКТЕРИСТИКИ
Протоколы
- IPv4, IPv6, ISO Connectionless Network Service (CLNS)
Маршрутизация и многоадресная передача
- Статические маршруты
- RIPv2
- OSPF
- BGP
- BGP Router Reflector
- IS-IS
- Multicast ((Internet Group Management Protocol (IGMPv3), PIM, Session Description Protocol (SDP), Distance Vector Multicast Routing Protocol (DVMRP), source-specifc))
- MPLS
Управление IP-адресами
- Статические
- DHCP (клиент и сервер)
- DHCP relay
Инкапсуляция
- Ethernet (MAC-адреса и метки)
- PPP (синхронный)
- MLPPP (Multilink Point-to-Point Protocol)
- Frame Relay
- MLFR (FRF.15, FRF.16)
- HDLC (High-Level Data Link Control)
- Последовательный (RS-232, RS-449, X.21, V.35, EIA-530)
- 802.1q
- PPPoE
Управление трафиком
- Маркировка, регулирование, формирование.
- Очереди по классам с приоритизацией.
- Алгоритм WRED
- Очереди на основе VLAN, идентификаторов DLCI, интерфейсов, объединений (bundle), фильтров.
Безопасность
- Межсетевые экраны, зоны, процедуры проверки (screens), политики.
- МЭ с сохранением состояния, списки контроля доступа ACL.
- Защита от атак типа DoS и DDoS (с учетом аномалий).
- Защита от атак типа replay, Anti-Replay.
- Унифицированный контроль доступа UAC.
- UTM2
- Антивирус, антиспам, веб-фильтрация, IPS
- Ускоритель обработки контента
- ExpressAV
- Фильтрация контента
VPN
- Туннели (GRE, IP-in-IP, IPsec)
- Шифрование IPsec, DES (56 бит), 3DES (168 бит), AES (256бит)
- Аутентификация MD5 и SHA-1
- Менеджер доступа: динамический клиент VPN. Удаленный доступ посредством браузера, необходима лицензия.
Голосовой транспорт
- FRF.12
- LFI (Link fragmentation and interleaving)
- CRTP (Compressed Real-Time Transport Protocol)
Высокая доступность
- VRRP
- Аварийное переключение с учетом состояния и объединение двух систем в кластер посредстовм JSRP
- Резервирование канала по 3G или другой сети WAN
IPv6
- OSPFv3
- I Pv6 Multicast Listener Discovery (MLD)
- BGP
- Качество обслуживания (QoS)
Соглашения об уровне обслуживания и измерения
- Мониторинг производительности в реальном времени
- Основные пользователи (сессии, пакеты, использование полосы пропускания)
- Сервисы учета и мониторинга потоков J-Flow
Регистрация и мониторинг
- Syslog
- Traceroute
Администрирование
- Программный комплекс Juniper Networks Network and Security Manager (NSM)
- Программный комплекс Juniper Networks Security Threat
- Response Managers (STRM)
- Автоматизированный диагностический сервис Juniper Networks Advanced Insight Solutions (AIS)
- Внешние БД администрирования (RADIUS, LDAP, SecureID)
- Автоматическая настройка
- Откат конфигурации
- Кнопка создания резервной конфигурации
- Проверка внесенных изменений
- Автоматическая запись для диагностики
- Модернизация программного обеспечения
- Веб-интерфейс J-Web