Juniper金融银行业网络及安全解决方案.ppt

,Juniper金融行业 解决方案,Juniper 公司简介,Juniper, 致力于解决网络和安全的最尖端的难题，以技术创新为主导的公司,Includes Acquisitions,超过1900人的研发队伍(45%),每年3 亿美金的产品研发投入,可靠、安全和速度Juniper 企业解决方案,UAC,Enterprise Core Routers,FUNK,Secure Access SSL VPN,Security Management,Integrated Firewall / IPSec VPN,Intrusion Prevention,J-Series Edge Routers,DX&WX,Juniper 企业解决方案组成,三大系统、六大技术门类，都以网络通信为应用目的 群体与群体之间的安全通信 安全网关系统 个体与群体之间的安全通信 安全接入系统 传输通道的建立与优化 广域网优化通信系统,Juniper Networks 金融行业 防火墙方案,大型银行网络结构,Branch,Data Center Main Shanghai,Data Center Backup Beijing,总行/数据中心,一级行（省行）,二级行（地市行）,ISP1,ISP2,WAN1,WAN2,Branch,数据集中处理流程,主机,主机接入,协议转换网络,广域网接入,协议转换,分行大前置机,数 据 中 心,行,网点前端,网 点,SNA,DLSW SNA Over IP,SNA,IP,终端,ATM,前端,DLSW,DLSW,WAN,CIP,大前置,Token Ring,分,数据中心防火墙方案,一级分行,一级分行,数据中心,交 换 核 心,生产业务 系统,网银/中间业务,OA办公系统,开发测试 系统,经营管理 系统,网管 系统,externet,internet,internet,一级分行防火墙方案,营业网点,营业网点,一级分行,总行业务网,总行办公网,交 换 核 心,生产业务 系统,OA办公 系统,internet,中间业务 系统,extranet,经营管理 系统,ATM机防火墙保护方案,专线连接 ：提供安全性 无线连接或ADSL:提供 安全性与其它收益,大幅度降低银行ATM自助终端业务运营成本 扩大ATM机的铺设范围 缩短ATM机的铺设周期 增加ATM机移动、迁移的灵活性 为银行带来其它不可忽视的众多收益,ATM方案投资回报分析,Secure Meeting for cross-enterprise, online meetings,我们以一个分行向CDMA迁移200台ATM机计算： 迁移前：以电信DDN专线连接 每条线路租金：￥1,000/月 200台一年的专线运营成本：200*￥1000*12=2,400,000/年 迁移后：部署VPN安全接入解决方案，以ADSL方式连接，每条线路的ADSL费用：￥150/月 每台ATM机内部部署的安全网关的费用：￥6,000/台 分行/支行 部署的VPN中心安全网关的费用（双机冗余）：￥150,000*2=￥300,000 方案投资费用：200*￥6,000+￥300,000=￥1,500,000 迁移后运行一年的运营成本：200*￥150*12=￥360,000 迁移前后运营成本差别：￥2400000-￥360000=￥2,040,000/年 结论：迁移后，运行不到1年即可收回方案所有投资费用，并且每年运营成本节省2,040,000/年,银行防火墙部署环境需求,流量 ： 数据中心 200M， 一级分行 1030M 连接数 ： 数据中心5万 ， 一级分行5000 功能及版本 ： ScreenOS 5.0 内网生产网：基本的访问控制(ip/port) 内网OA网：访问控制、防蠕虫、防扫描、深层检测 外联网：NAT，访问控制 OA的Internet出口：抗DoS、访问控制、防蠕虫、防扫描、深层检测、URL过滤 接口使用/区段划分：26/24 工作模式：所有银行部署均使用路由模式 HA需求：所有银行部署均使用AP或AP-Full Mesh,Juniper Banking solution,Internet,Data Center Main Shanghai,Data Center Backup Beijing,Extranet,ATMS,防火墙异构在银行的需求,电信路由器,ALO-0,ALO-1,东软防火墙,Alteon-02,6509-01,Nokia防火墙,Alteon-01,Alteon-11,Alteon-12,6509-02,Alteon-22,Alteon-21,6509-11,6509-12,Alteon-31,Alteon-32,Alteon-41,Alteon-42,Netscreen防火墙,分布层6509,分布层6509,Internet,Overview of Juniper strength in banking,Banking customer in China,Thousands of fws running in banking network,中国银行：全国范围部署Juniper Netscreen 防火墙包括5200/500/208/204/100 等，总数200台左右 中国农业银行：数据中心，某些一级行部署Juniper Netscreen 防火墙包括5200 /200 系列等。 中国工商银行：全国南北数据中心、全国各省行全部部署JuniperNetscreen 防火墙，产品包括5000/2000/500/208/204 等，总数500 台以上。 中国建设银行：数据中心，某些一级行部署Juniper Netscreen 防火墙2000/1000/200 系列等 中国农业发展银行：数据中心各、全国各省行均采用Juniper Netscreen 防火墙，包括5200/500/204/208防火墙。共600多台。 中国光大银行：总行及全国各省行采用Juniper Netscreen 防火墙，包括500/200/100总数200台以上 中国造币总公司：全国采用Juniper Netscreen 防火墙，包括500 /200系列等 中国邮政储蓄：总部及全国各省行采用Juniper Netscreen 500防火墙 中国人民银行：部分分行采用 Juniper Netscreen 防火墙。 深圳发展银行：部分采用Juniper Netscreen 防火墙。,Juniper 银行业经验价值,“Juniper 不仅仅是把这些当作一个个的案例，而是把这些资源作为我们能为每一个银行用户提供更好的服务和产品的基础，我们有专业的银行服务支持小组，负责把这些银行的服务联成一个大的体系，每一家银行用户在这个大体系中都不是孤立的，而是靠我们的服务和支持使之互通的，在经验相互共享、相互参照中获得健康的生存，每家客户的网络安全性都靠这个大的体系获得了更强的生命力 ” Juniper Networks,Inc.,Juniper firewall product line,办公室,区县,总部,地市,省级单位,Juniper 防火墙产品线,NetScreen-5GT,NetScreen-25/50,NetScreen-Hardware Security Client,NetScreen- 5400,ISG 2000,ISG1000,NetScreen-5GT Wireless,NetScreen- 5200,100M,200M,4G- 30G,200-600M,1G- 4G,SSG520,SSG550,Netscreen-500,Netscreen204/208,品质就是不一样 ,ISG 2000,保护的企业,入侵 防护,反垃圾邮件,用户认证授权,基本防火墙,防病毒,业界最优的防火墙产品,IPSec VPN,被Gartner评为防火墙领域的领导者,Juniper #1 out of 18 vendors,Gartner Magic Quadran报告是针对IT特定细分市场上的厂商实力所进行的极具声望的评价，它从各个方面来全方位评价厂商，包括产品线的完整度和功能、技术实力、创新性、成功实施情 况、满足客户现有和未来需求的能力，以及包括服务和支持在内的执行能力、市场 份额、财务健康状况和其它关键指标,被Gartner评为防火墙领域的领导者,Juniper #1 out of 14 vendors,Gartner Magic Quadran报告是针对IT特定细分市场上的厂商实力所进行的极具声望的评价，它从各个方面来全方位评价厂商，包括产品线的完整度和功能、技术实力、创新性、成功实施情 况、满足客户现有和未来需求的能力，以及包括服务和支持在内的执行能力、市场 份额、财务健康状况和其它关键指标,国内防火墙市场分额Juniper稳步上升,Source: Frost & Sullivan,国内安全市场分额06年Q1第一,Source: Frost & Sullivan,Juniper 全球高端防火墙市场分额,举例来说，Juniper在05年全球卖出了5000台左右的高端千兆设备，而fortinet 只卖了170台左右,Juniper Networks 金融行业 入侵检测与防御(IDP)方案,IDS只检测攻击不阻挡攻击,00000000000000000000000000000 000000000000000000000000000 00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000,000000000000000000000000000,000000000000000000000000000,000000000000000000000000000,000000000000000000000000000,00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000,00000000000000000000000000000000000000000000000 00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000,拒绝流量,允许流量,拒绝一些攻击,公司网络,Juniper-IDP是一个主动的，在线方式的，能够在线检测攻击并在检测过程中将恶意流量丢弃的系统,真正的入侵保护： Juniper-IDP第一台能够丢弃攻击的安全设备,用户,服务器群,用户,用户,Mail 服务器,Web 服务器,防火墙,Code red,HTTP Traffic,IDS只是空摆设,时间,保证安全的条件：Dt + Rt Pt,Juniper-IDP 能帮用户解决的问题,检测并阻断拒绝服务攻击 检测并且阻挡针对多种应用服务器和主机的攻击 检测并且阻挡网络病毒和蠕虫的传输 检测并且阻挡P2P的网络流量 网络邻居共享 BT下载 QQ,MSN 检测并且阻挡后门程序、Spyware的流量 检测自定义的违规行为 完全完成IDS系统的功能,Juniper的IDP技术创新,1st 检测和防范攻击的安全设备能够 丢弃恶意数据包 1st 多方式检测(MMD)能够最大化攻 击的检测 1st 基于状态签名的检测通过检查相 关的数据流量来减少误报 1st 中央式、基于策略的管理 1st 支持针对所有及时短消息协议 (Instant Messaging Protocols) 的保护，防止潜在的系统缺陷 1st 支持当天对微软软件漏洞提供防 护的安全设备 1st 有能力提供每天攻击状态签名更新 的公司 1st 针对间谍软件提供抵御措施 1st 更多,Juniper Networks 金融行业 移动办公(SSL VPN)方案,银行业移动办公解决方案,MRP/ERP,Intranet / Web Server,Unix/NFS,企业内部广域网,客户,Directory Store,合作伙伴,企业的合作伙伴 与客户,Server Farms,E-mail,在外的网管人员,出差员工/分支机构员工,本企业的在外 员工,家庭办公人员,= 加密的外部会话 = 标准的内部会话,内部员工用机,方案优势,实施简单 (免客户端软件、免服务端配置） 使用方便（随时随地、任意设备、对人的要求低） 扩展性强，适合快速的大规模扩展 安全 （应用层，比IPSec 更高的安全性） 投资成本低 特别适合保险、传媒等行业,移动办公解决方案举例,移动办公解决方案举例,Gartner的评价,Juniper #1 out of 16 vendors,Gartner Magic Quadran报告是针对IT特定细分市场上的厂商实力所进行的极具声望的评价，它从各个方面来全方位评价厂商，包括产品线的完整度和功能、技术实力、创新性、成功实施情 况、满足客户现有和未来需求的能力，以及包括服务和支持在内的执行能力、市场 份额、财务健康状况和其它关键指标,2005年市场分额,Source: Infonetics Research, VPN & Firewall Products Appliances and Software, 2005 Report，Unit Market share,Juniper 46%,F5 12%,Aventail 11%,Nokia 5%,Other 27%,JNPR is #1 in the SSL market.,市场分额长期情况-2004,市场分额长期情况-2003,Juniper SSL 获得的奖项,Info World test Award Network World World Class award Network Computing Editors choice: InfoWorld Test Award PC Magazine Editors choice PC Magazine First Look ,Secure Enterprise - Testers Choice Award (#1 out of 9 vendors) Aug 01,2005,NetworkComputing - Editors Choice (#1 out of 8 vendors),InfoWorld Top Honors (#1 out of 6 vendors),Juniper是SSL VPN领域的领导者,市场领导地位,产品评测 Awards Nov. 2003 to present,#1 of 7,#1 of 8,#1 of 6,More than 1,250 enterprise customer deployments Greater than 2 million licensed users worldwide,市场份额,Infonetics,Juniper Networks 金融行业 网络加速与优化(WX)方案,方案概述,作用通过数据压缩、应用加速、流量控制和应用监控等功能，提供综合的广域网优化解决方案 目标改善企业应用系统在广域网上的传输性能，从而提升其商业效率,Optimize data transfer between Networks connected via WAN,Data Center,Branch 1,Branch 2,HQ,Web-enabled = 10x bandwidth,Bandwidth,Server consolidation,New apps,App performance,Data replication,QoS,VoIP,为什么需要广域网优化？,广域网优化技术的崛起 传统技术 - 数据压缩、QoS服务质量、流量整型等 新兴技术 - 应用加速、网络缓存、应用管理监控等 广域网优化市场的发展趋势 目前的特点：单一的技术、单一的产品导致存在诸多单一市场 发展趋势：技术融合、市场融合,形成综合的 广域网优化 技术和市场,应用加速,网络缓存,目前网络加速市场的问题,Juniper 是此领域拥有最全面技术解决方案的厂商,* Requires a separate box,Compression,Reporting,QoS,Path Optimization,Sequence Caching,HTTP Acceleration,TCP/FEC Accel.,Exch (MAPI). Accel.,CIFS Acceleration,IP SEC Encryption,*,*,WAN Optimization,Juniper是唯一在广域网优化领域提供最全面解决方案的厂商,通过WX和WXC系列产品提供10到100倍的带宽容量 减少了网络的数据流量 节省WAN链路升级投资 节省添加额外的路由器/ 交换机模块,应用性能报告、监控和远程管理 具有WAN探测器功能 提供WAN监控和报告软件 节省额外的人工维护管理成本,通过TCP和应用层加速技术，提高应用响应时间 提高用户满意度 提高内部员工的效力 提高商业运行效率,带宽管理和多链路路径优化 提高了带宽利用效率 解决了应用冲突的烦恼 提供了应用保护的功能,Juniper WX Frameworks技术体系架构,部署透明、简单,Easy LAN side of routers No routing changes 10-minute or auto install Reliable Fault-tolerant bypass mode Integrates with H/A environments Load-balanced networks Flexible Point-to-point and multi-point networks Any WAN connection Works with private IP, VPNs, or MPLS networks,LAN,LAN,LAN,Switch,Switch,Switch,WAN,Router,Router,Router,银行广域网优化提速解决方案 - Banco Santander Central Hispano,需求： 核心数据频繁备份 需要在Miami 与 New York 这2 个站点之间，利用T1线路实现Veritas的磁盘卷的复制，一次性备份数据量高达40GB 需要快速完成数据备份，减少带宽消耗,应用Juniper WX后带来的收益： (1) 广域网传输数据量减少了68% (2) 简单的管理和快速的复制速率减少了95%的维护时间 (3) 节省链路扩容费用 $60,000/年。,银行广域网优化提速解决方案- Absa,Absa (Amalgamated Banks of South Africa)是南非第二大银行，业务遍及南非、坦桑尼亚、莫桑比亚等非洲国家，提供商业银行业务、金融、保险等服务 IT管理上存在的问题： Absa的网络数据流量不断增加 Absa想将企业应用分布到各地的数据中心，但受阻於广域网链路的限制，如带宽紧张、应用延迟较大、无法保证QoS 有些链路只有64Kbps，而且链路成本非常昂贵。例如：由莫桑比亚至南非的64Kbps的卫星链路成本$1,700/月，IT部门预计须每年增加两百万以支付广域网链路租金 寻求解决方案 曾经研究路由器的压缩方案，但是路由器负担过重而且增加了应用延迟 寻找一些数据压缩产品，但这些产品缺乏全面的优化手段 在市场上，很多厂商只支持单一功能的产品，有只增加带宽的、也有只支持服务质量 最终发现Juniper WX的序列压缩产品不仅支持增加带宽功能、也支持服务质量、而且用户对包流加速非常感兴趣，因为此功能帮助缩减应用延迟,银行广域网优化提速解决方案-Absa,Absa在关键的地区部署45台Juniper WX分子序列压缩器，以应付不断增加的数据流量 WX方案增加了从Absa各区主要的分行到网络中心三倍的带宽，同时也提供实时监测功能，使Absa能即时了解到每个应用对数据通信模式的影响 WX序列压缩器減少了Absa广域网上76的通信流量，为分布式的应用策略提供基础 与广域网的租金相比，WX的解决方案相等於广域网的十一个月的租金,典型案例分析 - ABSA,运行报告 Oracle/ERP实现约4倍压缩 Mail实现约3倍压缩 Web实现约4倍压缩 带来的好处 Peribit解决方案增加了从Absa各区主要的分行到网络中心三倍的带宽，同时也提供实时监测功能，使Absa能即时了解到每个应用对数据通信模式的影响 Peribit序列压缩器減少了Absa广域网上68的通信流量，为分布式的应用策略提供基础 与广域网的租金相比，Peribit的解决方案相等於广域网的十一个月的租金 Peribit的解决方案提供了综合的优化手段，如数据压缩、应用加速、QoS功能、中央管理系统及应用监控等功能,WX销售如何引导用户？,A、有所少分布在全球或全国的分支机构，是否通过广域网连接这些分支机构，他们的链路带宽租金是否昂贵？ B、用户是否现在有增加带宽的需求？ C、网络链路的延迟大吗？例如象网通和电信之间的互连（很多使用Internet做VPN的企业遇到这个问题，延迟很大，应用性能很差） D、是否因为有数据集中的考虑，而考虑广域网优化，保证系统集中后，分支机构对数据中心系统的数据访问性能？ E、是否因为做数据中心的异地备份，而考虑广域网优化（前提是数据中心和备份中心之间通过广域网连接） F、是否有特殊的应用需要有足够的网络资源保证（如视频会议、voip） G、是否现有的典型应用如Http、FTP、EMAIL、CIFS、Exchange Server、数据库（ERP）等性能较差？ H、是否用户特别希望了解各种应用系统在网络上的运行状况？,Juniper Networks 金融行业 网站解决方案(DX)方案,网上银行解决方案,Transaction Validation,Old Solution for building Web data Center: SLB at the center Rapid proliferation of limited functionality, point products For resiliency, each box must be duplicated Data center becomes unmanageable Lots of Web and Application servers,网上银行解决方案-Juniper DX,将Web服务器的容量提高10倍 将用户下载速度加快70% 将带宽利用率降低70% 提供7层负载均衡，Catch能力 自动保护应用安全(SSL, 入侵保护）,Juniper DX,市场 公共网站 零售、媒体、旅行、金融等 企业网站 基于web的所有应用,网上银行解决方案-扩容,所有连接都终接在Juniper DX上 到Juniper DX的浏览器连接与到服务器的连接的比例是：50:1 1000:1 提高了服务器可扩展性并缩短了响应时间 不再为管理连接而消耗CPU和内存,以线速向Juniper DX发送响应消息， 解决了日志拥塞问题,通过Juniper DX 服务器在几毫秒内生成响应消息，并能够在几毫秒内将消息发送给Juniper DX 解决方案: 无服务器日志拥塞；服务器速度提升至线速水平！,网上银行解决方案- 压缩提速,最终用户 带宽 服务器,网络安全级别 防止协议范围内的恶意网络行为 线速抵御DDOS、SYN泛滥、窃听和登录等攻击 协议安全级别 防止协