计算机领域网络安全著名厂商juniper技术和产品介绍示课件模板

1、JUNIPER产品介绍产品介绍 2 1996 2006 #789 Incorporated Acorn 2005 2002 2004 2000 1998 T-Series SSG UAC T1600 JUNOS w/Integrated Security A DECADE OF INNOVATION 1999 2007 2008 $500M $1.3B$2B 4800Employees10001500 Revenue 25003500 $2.8B$2.3B 5300+ $2.8B 6100+ M-Series 3 GARTNER MAGIC QUADRANTS JUNIPER, A PROVE

2、N LEADER IN ALL CATEGORIES WAN Optimization SSL VPN IPSIPSec FW/VPN 4 JUNIPER获得的业界认同获得的业界认同 Juniper是目前全球第二大网络安全厂商 2006年全球网络安全设备及软件市场份额分析 Infonetics Reserch Juniper是全球防火墙领域的领跑者 2002-2007 Gartner Report Juniper 是全球SSL VPN领域市场分额第一 2003-2007 infonetics Juniper 是全球IDP领域市场分额第二 2004-2007 Frost & Sullivan J

3、uniper在2006-2008年国内网络安全市场分额第一 (Frost & Sullivan) 5 THE EX SERIES PORTFOLIO BUILDING CAMPUS BRANCH OFFICES Juniper Network & Policy Mgmt EX4200 EX4200 EX3200 EX4200 EX3200 EX4200 EX4200 EX8200 EX8200 WX/WXC SSG J Series WX/WXC M Series M Series ISG/IDP MSeries Infranet Controller WA N EX8200 MSeries

4、WX/WXC ISG/IDP EX8200 EX4200 DATA CENTER SA Series EX8200 Internet EX2200 SRX 6 JUNIPER 产品线分类产品线分类 Infrastructure Products Group (IPG) J/M/E/T Series Router路由器产品 交换机 Service Layer Technologies Group (SLT) Firewall防火墙产品 SSL VPN产品 Advanced Technology (AT) IDP 入侵检测与防护产品 UAC 统一接入控制 WX 广域网压缩 Juniper是专业的网

5、络及网络安全解决方案提供商是专业的网络及网络安全解决方案提供商 7 SLT Overview AT Overview AGENDA 8 SLT Overview Firewall 整合安全解决方案（UTM） SSL VPN（远程接入接入解决方案） AT Overview AGENDA 9 全程全程 管理管理 中心中心 资源资源 “拒绝拒绝 服务服务” (DOS)(DOS) VPN Internet 反病毒反病毒 JUNIPER倡导的层次化网络安全模型倡导的层次化网络安全模型 安全领域的专家一致认为：网络安全需要一个多层次的防护。为应对复杂且随安全领域的专家一致认为：网络安全需要一个多层次的防护

6、。为应对复杂且随 时都有可能发生的攻击，企业不得不需要布置层次化的安全产品系列。时都有可能发生的攻击，企业不得不需要布置层次化的安全产品系列。 International Data Corp. “ ” 个人个人/ /远程远程机构分支机构分支 总部总部 数据中心数据中心 10 性能和安全性：先进的硬件设计 通用结构的处理通用结构的处理 数据在几个非优化的接口传送数据在几个非优化的接口传送 每个每个“API”引入安全风险引入安全风险 处理的延迟导致处理的延迟导致“无法预测的行为无法预测的行为” 数据通道无法优化数据通道无法优化 PC Appliances/Pseudo Appliances OS

7、VPN Co-Processor CPU RAM Bus I/O In Out Applications 特定的安全处理特定的安全处理 基于流的线性的数据包处理基于流的线性的数据包处理 每个处理模块被优化每个处理模块被优化 优化的应用和硬件用于安全处理和性能优化的应用和硬件用于安全处理和性能 GigaScreen ASIC CPU High Speed Backplane In Out RAMI/O NetScreen Advanced Architecture Security-Specific, Real-Time OS Integrated Security Applications 1

8、1 高可用性以提供网络可靠性 SW1SW1 主动主动/主动主动 全网状全网状 在任何链路中断的情况下，由上 一个连接的设备将有关流量转送 防火墙和和 VPN 的状态故障转移 维护会话、NAT、VPN 通道和安 全联盟 SW1SW1 主动主动/主动主动 设备间流量分离备份始终处 于测试状态下 防火墙和和 VPN 的状态故障切换 维护会话、NAT、VPN 通道和 安全联盟 主动主动/被动被动 备用设备镜像主设备 防火墙和和 VPN 的状态故障切 换 维护主动会话、NAT、VPN 通 道和安全联盟 12 网络集成网络集成: 部署模式和动态路由部署模式和动态路由 如何工作: 支持透明、路由模式 支持动

9、态路由OSPF/BGP/RIP 支持源地址路由 集成的VLAN支持 好处: 简化网络集成 减小手工配置的负担 增加网络弹性 特别对VPNs Network Tunnel A (Primary) Tunnel B (Secondary) Remote Office 13 丰富的易用性 VoIP 应用支持 H.323和SIP及地址翻译 对 VoIP DoS 攻击保护 H.323 and SIP source limiting H.323 and SIP flood threshold 地址翻译的灵活性 基于策略的地址翻译 包括端口 基于MIP、VIP、DIP的地址翻译 任意接口终结VPN 良好的V

10、PN性能 中低端防火墙QoS增强 双向双向QoS 6位位QoS标记位标记位(DiffServ) Multicast 控制加入join multicast groups 加密传输multicast 实施流量控制 支持虚拟系统和安全区 实施组地址转换（内部和外部同时使用了相 同的地址组时) 高可靠性 路由协议 Point-to-multi-point 等价路由负载均衡、及链路备份 OSPF、BGP、RIPv1、RIPv2 源路由(源IP、源端口） 虚拟路由器 Dynamic DNS 14 可管理 CLI Console, telnet 或SSH 访问 为最终用户和第三方配置工具提供全面配 置控制

11、TFTP和SCP提供方便地从脚本或命令行 上载能力 WebUI(HTTP、HTTPS) 基于浏览器方式的配置界面 NetWork-Security Manager 业界领先的基于生命周期的闭环集中管理 方案：所有的防火墙配置内容都可由NSM 管理 CLI NetWork-Security Manager WebUI 3rd Party HP OpenVIew, MTRG, etc. Firmware, Config Uploads Syslog Server WebTrends Server SNMPv2 HTTP, HTTPS Telnet or SSH v2 Secure TCP TFTP

12、, SCP Syslog (tcp/udp) The Device Lifecycle 1. Design and Deploy Configure Policies Networking Monitor, Maintain SSH v2 15 NSM(NETWORK SECURITY MANAGER)的集中管理的集中管理 解决了防火墙和解决了防火墙和IDP的管理问题的管理问题 提供对防火墙生命周期的管理提供对防火墙生命周期的管理: 设计/部署 配置 监控/维护 升级/调整 基于角色和域的管理权基于角色和域的管理权 错误避免和修正错误避免和修正 扩展性和扩展性和HA 架构架构 16 优异的性能

13、优异的性能 30Gbps 10Gbps 4 Gbps 2 Gbps NetScreen-5400 30Gbps FW 15Gbps VPN NetScreen-5200 10Gbps FW 5Gbps VPN ISG 1000 w/IDP 2Gbps FW 1Gbps VPN ISG 2000 w/IDP 4Gbps FW 1Gbps VPN NetScreen-5400 Performance & Capacity Up to 30 Gbps FW 12G for 64 byte packets Up to 15 Gbps 3DES and AES VPN 6Gbps for 64 byte

14、 packets 1 million concurrent sessions 25,000 IPSec VPN tunnels 18 million pps FW/9 million pps VPN Up to 24 physical interfaces Up to 500 VSYS / Virtual Routers Up to 400 VLANs NetScreen-5200 Performance & Capacity Up to 10 Gbps FW 4G for 64 byte packets Up to 5 Gbps 3DES & AES VPN 2Gbps for 64 byt

15、e packets 1 million concurrent sessions 25,000 IPSec VPN tunnels 6 million pps FW/3 million pps VPN Up to 8 physical interfaces Up to 500 VSYS / Virtual Routers Up to 400 VLANs 17 SSG：第二代：第二代UTM（统一威胁控制）产品（统一威胁控制）产品 和第一代UTM产品的区别 1、多个领先的内容安全厂家的技术的集成 2、丰富的网络功能 3、强大的集中管理 4、模块化的设计可扩展的模块 5、支持3种管理方式：CLI 、W

16、EB UI、集中管理 6、实际测试性能远远超过第一代UTM 18 SSG：第二代：第二代UTM 多种领先的安全技术的集成多种领先的安全技术的集成 入侵防御功能： 防病毒：卡巴斯基 防垃圾邮件：赛门铁克 网页过滤：美讯智 其他厂家主要依靠自己开发， 特征库不完善，不专业；或者 只能支持部分的UTM功能 19 企企业总业总部部/数数据中心据中心 性能容量性能容量 JUNIPER 防火墙防火墙/安全网关系列安全网关系列 远程办公室远程办公室/中小企业中小企业/中小分支机构中小分支机构中大企中大企业业/大型分支机大型分支机构构 30 Gbps 10 Gbps NS5400 NS5200 4 Gbps

17、1 Gbps 600Mbps 300Mbps ISG2000 ISG1000 SSG550 SSG520 SSG350 SSG5 SSG20 SSG140 SSG320 SRX5600 SRX5800 150 Gbps SRX3400 SRX3600 SRX650 SRX240 SRX210 SRX100 20 JUNIPER 防火墙产品的分类防火墙产品的分类 1、SSG系列产品（UTM安全设备） 2、ISG系列产品（高安全性设备集成IDP扩展） 3、SRX系列产品 21 JUNIPER 防火墙产品的分类防火墙产品的分类 1、SSG系列产品（UTM安全设备） 2、ISG系列产品（高安全性设备集

18、成IDP扩展） 3、NS系列产品（Netscreen） 22 SECURE SERVICE GATEWAY FAMILY SSG 5 - Six fixed form factor models 160 Mbps FW / 40 Mbps VPN SSG 20 2 modular models 160 Mbps FW / 40 Mbps VPN SSG 140 950M+ Mbps FW / 100 Mbps VPN SSG 320M 1.2G+ Mbps FW / 175 Mbps VPN SSG 350M 1.2G+ Mbps FW / 225 Mbps VPN SSG 520M 2G+

19、Mbps FW / 300 Mbps VPN SSG 550M 4G+ Gbps FW / 500 Mbps VPN 产品特点：集成UTM功能 产品定位：中小型企业用户 SSG 5 SSG 20 SSG 140 SSG 550M SSG 520M SSG 320M SSG 350M 23 ISG系列的防火墙设备系列的防火墙设备 ISG1000 ISG2000 产品特点：集成硬件IDP功能，具有纯硬件防火墙的稳定性和高性 能的深层检测功能。 产品定位：大型企业和金融用户或大型门户网站和游戏网站。 24 SRX100 On-board Ethernet8 x FE Mini-PIM slotsNo

20、 Optional 3G wireless*PC Express Card USB ports (Flash)1 Power over EthernetNo Optional WAN modelsVDSL2 Optional WLAN models802.11n Voice PortsNo Routing Performance60 Kpps Firewall Performance175 Mbps (IMIX) VPN Performance75 Mbps IDP Performance80 Mbps High AvailabilityA/A or A/P Ideal for micro-b

21、ranch, managed telecommuters, SOHO Fixed I/O 8 x 10/100 Ethernet ports Routing, NG NAT Full UTM features Firewall/VPN, IPS (IDP), anti-virus, anti-spam, web filtering, content-filtering, UAC Enforcement UTM requires High Memory model (Software UTM, no CSA) ExpressCard slot on VDSL & 802.11n platform

22、s FRS August 25 SRX210 On-board Ethernet2 x GE + 6 x FE Mini-PIM slots1 3G wireless slotPC Express Card USB ports (Flash)2 Power over Ethernet4 ports (50 W total) Optional Voice Ports2xFXS, 2xFXO & mini-PIM AV & IDP HW Acceleration: CSA Std in High Mem Routing Performance80Kpps Firewall Performance2

23、00 Mbps (IMIX) VPN Performance85 Mbps IDP Performance100 Mbps High AvailabilityA/A or A/P Ideal for small branches Modular WAN (list on next page) Routing, NG NAT Full UTM features Firewall/VPN, IPS (IDP), anti-virus, anti-spam, web filtering, content-filtering, UAC Enforcement UTM requires High Mem

24、ory model Available Voice version with mini- PIM options - (Q3 09) Factory-configured voice model (Q309) FRS 5/15/09 26 SRX240 On-board Ethernet16 x GE Mini-PIM slots4 3G wireless optionMini-PIM USB ports (flash)2 Power over Ethernet16 ports (150 W) Optional PSTN voice ports 2xFXS, 2xFXO & mini-PIM

25、AV & IDP HW Acceleration: CSA Std in High Mem Routing Performance200Kpps Firewall performance400 Mbps (IMIX) VPN Performance200 Mbps IDP Performance200 Mbps High AvailabilityA/A or A/P Ideal for small-medium branches Routing Modular WAN Full UTM features Firewall/VPN, IPS (IDP), anti-virus, anti-spa

26、m, web filtering, content-filtering, UAC Enforcement UTM requires High memory Available voice version with mini- PIM options - (Q409) Factory-configured voice model (Q409) FRS 5/15/09 27 SRX650 On-board Ethernet4xGE (routing only) GPIM slots8 USB ports (flash)2 per processor Power over EthernetUp to

27、 48 ports (250 W or 500 W) PSTN voice portsUp to 8 Analog, 2xT1/E1, per GPIM AV & IDP HW CSAStandard Routing Performance850Kpps Firewall performance2 Gbps (IMIX) VPN Performance1 Gbps IDP performance800 Mbps High AvailabilityA/A or A/P, Hot swap GPIMs, Dual processors, Dual power Ideal for regional

28、sites, large branches Modular LAN switching Modular power supplies with optional redundancy Modular voice configs (field upgradable via PIMs in 2010) Full Routing, UTM features Firewall/VPN, IPS (IDP), anti-virus, anti-spam, web filtering, content- filtering, UAC Enforcement Application Co-processor

29、 Engine (Future) Max GigE 52 ports (2x24GigE PIM + 4 integrated ports) 28 SRX 3400 Hardware Modular chassis 7 slots (4 front, 3 rear) MGT module dual, hot swap 3U chassis height Fixed Interfaces 12 built-in (8-10/100/1000 + 4-SFP) 2 Ethernet Management Ports Modular Interfaces 16-10/100/1000 16-SFP

30、2-XFP Performance & Capacities FW 10 - 20 Gbps VPN 6 Gbps IDP 6 Gbps Concurrent sessions 2.25M New and sustained CPS 175k Concurrent IPSec VPN tunnels 10k Front Rear 29 SRX 3600 Hardware Modular chassis 12 slots (6 front, 6 rear) MGT module dual, hot swap 5U chassis height Fixed Interfaces 12 built-

31、in (8-10/100/1000 + 4-SFP) 2 Ethernet Management Ports Modular Interfaces 16-10/100/1000 16-SFP 2-XFP Performance & Capacities FW 10 - 30 Gbps VPN 10 Gbps IDP 10 Gbps Concurrent sessions 2.25M New and sustained CPS 175k Concurrent IPSec VPN tunnels 20k Front Rear 30 SRX5800 实现竞争对手无法做到的容量和性能， 满足未来业务流

32、量快速增 长 SRX高端特有的技术优势，技术特色明显 如果能卖SRX5000，一般就卖SRX5800，不卖SRX5600，因为价 格成本基本一样 SRX5800 SRX5600 31 SRX5600: PRODUCT OVERVIEW 8 Slot Chassis Physical size Height: 8RU Dependable hardware Passive back-plane Redundant switching fabric (1+1) Redundant fans & power supplies Power and cooling Side-to-side coolin

33、g Holds 1 fan tray Holds up to 4 power supplies 2+2 DC, 2+2 AC Rear-side power cabling 2800 watt capacity System capacity 8 slots - 2 for Fabric Cards / REs Up to 240Gbps (full-duplex) capacity Performance & Capacities FW 60 Gbps IDP 15 Gbps Concurrent sessions 9 M* Connections/sec 350k * 8M session

34、 support planned for JUNOS 9.4 32 SRX5800: PRODUCT OVERVIEW 14 Slot Chassis Physical size Height: 16RU Dependable hardware Passive back-plane Redundant fans & power supplies Power and cooling Front-to-back cooling with separate push-pull fans Holds up to 2 fan trays (1+1 redundancy) Holds up to 4 po

35、wer supplies (2+2 DC, 3+1 AC) 5100 watt capacity System capacity 14 slots - 2 for Fabric Cards Up to 480Gbps (full-duplex) capacity Performance & Capacities FW 120 Gbps IDP 30 Gbps Concurrent sessions 10M* Connections/sec 350k * 8M session support planned for JUNOS 9.4 33 AGENDA | Copyright 2009 Jun

36、iper Networks, Inc. | 33 与客户谈哪些话题？与客户谈哪些话题？ 34 与客户的话题与客户的话题 可按需扩展的动态可适应型体系架构 高可靠性 安全性与QoS 绿色IT 35 可按需扩展的动态可适应型体系架构可按需扩展的动态可适应型体系架构 谈客户的业务流量增长速度 谈安全设备会最先成为网络中的性能瓶颈点 谈如何适应快速增长的业务流量，如何长远的规划网络架构 提出问题： 举例：今年1G, 三年内达到10G，五年内达到20G，三年后，如何适应10G的业务压力？ 客户的答案： 三年后 1. 换更高的设备 2. 流量分流，改变网络架构 3 .买多台设备，买负载均衡 业务流量飞速增

37、长业务流量飞速增长 TimeTODAYFUTURE Security Requirements FW, IPS & VPN (Gbps) 10 5 Other firewall 36 可按需扩展的动态可适应型体系架构可按需扩展的动态可适应型体系架构 现在的选择：动态可适应型体系架构的方案 好处： 适应快速增长的业务流量 投资保护 1. 初期投资少 2. 初期投资被后期一直利用 可长远的规划网络架构 插卡方式，扩展简单，即插即用。扩展性能容量和网络接口 （谈与其它插卡方式的对比，比如在交 换机上插防火墙模块板卡的方式） 业务流量飞速增长业务流量飞速增长 Time TODAYFUTURE Secu

38、rity Requirements FW, IPS & VPN (Gbps) 10 5 37 谈软硬件高可靠性设计谈软硬件高可靠性设计 谈防火墙节点是业务流量的汇聚点谈防火墙节点是业务流量的汇聚点 ，高可靠性的重要度，高可靠性的重要度 软硬件模块化的重要性（谈软硬件模块化的重要性（谈 JUNOS在运营商领域在运营商领域10多年的使多年的使 用经验）用经验） 控制、转发、安全处理引擎、交换控制、转发、安全处理引擎、交换 矩阵引擎清晰严格物理分离的重要矩阵引擎清晰严格物理分离的重要 性（补充谈交换矩阵的重要性）性（补充谈交换矩阵的重要性） 控制、转发、安全处理引擎、交换控制、转发、安全处理引擎、交

39、换 矩阵引擎全冗余配置的重要性矩阵引擎全冗余配置的重要性 不中断在线升级（不中断在线升级（ISSU） 38 应用智能安全性与应用智能安全性与QOS 从万兆到100G的应用 层智能防火墙 无损失集成入侵防御、 应用识别、QoS、VPN 集成万兆入侵防御与万 兆VPN的防火墙 简化网络结构、减少设 备数量、简化运维管理 今年年底前买 SRX3K/5K的IDP 1年 License免费 ，3年 License优惠 39 SRX5800 150Gbps FW 16U High 5000 Watts 33W/Gbps 绿色绿色IT，空间能耗效率，空间能耗效率 10 Gbps FW 3U High 800

40、 Watts 80W/Gbps 40 NS系列的防火墙设备系列的防火墙设备 NS5200/5400 NS500 NS204/208 NS25/50 NS5GT 产品特点：稳定性超强。 产品定位：适用于大中小型企业或网站应用 41 SLT Overview Firewall SSL VPN AT Overview AGENDA 42 网络大趋势：网络大趋势： 接入、安全、可控接入、安全、可控 提供应用和信 息资源给 员工 移动专业工作者 - 销售和客服 - 金融顾问 - 医生 - 律师 公司合作伙伴 -供应商 -承包商 -业务伙伴 能力（笔记本）用户 技术用户 通过将客户和供应商集 成到公司流程

41、中来提高效 率 最大限度地提高移动员 工生产力 客户面临挑战：易用性与安全性客户面临挑战：易用性与安全性 最大限度地提高生产力最大限度地提高生产力 将应用扩展到合作伙伴将应用扩展到合作伙伴 （合作伙伴外联网合作伙伴外联网） 提高员工工作效率提高员工工作效率 （内联网门户及内联网门户及ERP） 支持不同用户支持不同用户 （可定制、可控可定制、可控） 支持临时工作人员支持临时工作人员 （承包商和外派人员）承包商和外派人员） 执行严格的安全策略 限制接入级别 牵制不可信源带来的风 险（即信息台和非员工 等） 一致地执行安全策略 43 SSL VPN 一个高速增长的市场一个高速增长的市场 目前网络界最

42、快的市场增产点目前网络界最快的市场增产点 Source: Infonetics Research Q4 2004 Millions of USD$ 5-Year CAGR 83% 50% 65% 32% 无客户端的部署: 无需安装客户端 无需改变内网架构 没有防火墙、代理、NAT设备的穿 越问题 细粒度的应用层安全: 针对具体的资源的访问控制 基于用户身份信息，网络和设备的 安全等级的控制 增强用户灵活性和企业生产力: 任何时间，任何地方，都可以通过 浏览器安全远程访问 为最终用户和合作伙伴提供单独的 访问。 44 核心功能：远程通讯安全访问核心功能：远程通讯安全访问 MRP/ERP Intr

43、anet / Web Server Unix/NFS = Encrypted External Session = Standard Internal Session Corporate LAN Partner A Directory Store Partner B Extranet Partners Server Farms E-mail Sales & Service Telecommuters Mobile Employees 45 “有目的的提供服务有目的的提供服务”: 多种接入方式多种接入方式 Client/ServeClient/Serve r r Application Appl

44、ication AccessAccess Core Core AccessAccess Core Core AccessAccess Core Core AccessAccess 接入平台接入平台 的广泛性的广泛性 接入控制的接入控制的 细致性细致性 接入应用接入应用 的广泛性的广泛性 Client/ServeClient/Serve r r Application Application AccessAccess Client/ServeClient/Serve r r Application Application AccessAccess Client/ServeClient/Serve

45、 r r Application Application AccessAccess Network Network AccessAccess Network Network AccessAccess Network Network AccessAccess 46 支持支持 基于基于PDA的的C/S应用应用 PDA and PDA Wireless 企业局域网企业局域网 Exchange Server Web Server Web Server 依靠SAM,支持本地的C/S应用 支持类似Pocket Outlook的 C/S应用 47 核心功能：远程节点接入安全核心功能：远程节点接入安全 CHE

46、CKINGCHECKINGCHECKINGCHECKING FAILFAILFAILFAIL PASSPASSPASSPASS PASSPASSPASSPASS CHECKINGCHECKINGCHECKINGCHECKING 本地进程 本地注册表 本地网络端口 本地文件 自定义DLL 与市场领先的终端防护软件的集成 l接入前检查主机安全机制 l访问结束后清除Cache MRP/ERP MRP/ERP Intranet / Web Server Unix/NFS Server Farms E-mail 48 核心功能：细粒度的访问控制核心功能：细粒度的访问控制 认证前的评估认证前的评估 收集相

47、关的主机信息 动态的认证动态的认证 通过对用户身份和主机信息的 认证，给用户分配指定的角色 （role) 角色角色 不同的角色可以进行不同的访 问连接 资源策略资源策略 对用户可以访问的资源或者资 源行为进行控制 Airport Kiosk Hotel On the LAN 49 集群和集中管理集群和集中管理 系统状态同步系统状态同步 智能的集群备份智能的集群备份 在线的系统升级在线的系统升级 XML 输入输入/输出输出 系统仪表板系统仪表板 系统的备份与恢复系统的备份与恢复 系统配置的上传系统配置的上传 自定义日志查询自定义日志查询 50 JUNIPER 处理威胁控制之道处理威胁控制之道 L

48、AN 合作伙伴 家庭办公 关联威胁信息 身份 端点 访问记录 详细的传输和威胁信息 全面的威胁检测和防御 检测并却阻挡恶意流量 全面的27层检测 可信赖的市场领先的科技 基于身份的威胁响应 自动或者手段的响应 多种响应选项: 停止，禁用或者 隔离用户 补充IDP的威胁防御 Signal IDPIDP检测导威检测导威 胁，并且通知胁，并且通知 SASA SASA识别用户，对识别用户，对 用户连接采取行用户连接采取行 为。为。 自注册的技术，配置自注册的技术，配置 更为简单更为简单 51 JUNIPER NETWORKS SSL 安全接入的好处安全接入的好处 大幅度降低总体拥有成本大幅度降低总体拥

49、有成本 无需增加客户端、或服务器端软硬件投入 无需软件实施，整合和客户化 大幅降低对用户PC的维护开销 强壮的安全体系结构强壮的安全体系结构 为所有资源提供加固、经审计的安全层 对认证协议提供强大的支持 粒度更细的认证和审计 动态的接入按身份、网络、设备、和会话特征 丰富的节点安全选项 增强的企业生产力和灵活性增强的企业生产力和灵活性 由任何地点对关键业务资源的安全访问 快速、实施的接入（无需复杂配置和down机时间） 52 新的新的SSL VPN平台平台 Secure Access 2500最大100并发用户 Secure Access 4500最大1000并发用户 Secure Acces

50、s 6500最大30000并发用户（单机最大10000 个并发用户） 53 Breadth of FunctionalityBreadth of Functionality JUNIPER SSL VPN 产品线（新型号）: Enterprise SizeEnterprise Size Secure Access 700Secure Access 700 Secure Access 2500Secure Access 2500 Secure Access 4500Secure Access 4500 Secure Access 6500Secure Access 6500 Designed f

51、or:Designed for: 小型企业远程安全访问 Includes:Includes: Network Connect Options/upgrades:Options/upgrades: 10-25 conc. users Core Clientless Core Clientless AccessAccess Designed for:Designed for: 中型企业远处安全访问 Includes:Includes: Core Clientless Access Designed for:Designed for: 中大型企业内网或远程安 全访问 Includes:Include

52、s: Core Clientless Access Options/upgrades:Options/upgrades: 25-100 conc. users SAMNCSAMNC Secure Meeting Advanced w/ CMAdvanced w/ CM Cluster Pairs Options/upgrades:Options/upgrades: 50-1000 conc. users Secure Meeting Instant Virtual Instant Virtual SystemSystem SSL AccelerationSSL Acceleration Clu

53、ster Pairs Designed for:Designed for: 大型企业内网和远程安 全访问 Includes:Includes: Core Clientless Access SSL acceleration Options/upgrades:Options/upgrades: 100-10000 conc. users Secure Meeting Instant Virtual Instant Virtual SystemSystem GBICGBIC Multi-Unit Clusters （最大3万个并发用户） 54 成功案例 55 56 SLT Overview AT

54、Overview IDP （入侵防御解决方案） AGENDA 57 黑客的手段黑客的手段更加隐蔽更加隐蔽 Buffer Overflows （缓存溢出） 攻击使得程序或者系统的操作存储机制 （缓存）过载，在该状况下，程序或者系 统会允许黑客做一些原本不可以做的事情. 当程序或者系统存在缺陷的时候，该攻击 都会得逞 Port Scans （端口扫描） 系统化执行的行为判断被访问设备的哪些 访问端口是打开的，哪些服务正在运行。 这种行为通常是正在攻击的前奏，用来判 断这些服务的一直弱点 IP Fragmentation Attack （IP碎片攻击） 蓄意地将IP数据包碎片化，从而使隐含的 攻击能

55、够躲避那些不支持碎片重组的入侵 检测系统的检测。 Known Host and Application Vulnerabilities （已知的主机和应用的缺陷） 一段文字用来描述用已知的方法造成主机或 者应用产生安全隐患，并且包含了攻击方式 以及解决方法。用于帮助IT专家弥补系统或 主机的缺陷，黑客却用该信息来实施攻击 Trojan Horses （特洛伊木马） 一段看似合法的程序，但是却用来替黑客执 行恶意的或者获取信息的行为 Worms （蠕虫） 一种特殊的病毒，能够复制自身并且能够使 用它所感染的计算机或系统的内存。蠕虫能 够执行恶意的行为，例如消耗计算机的资源， 甚至可以关闭系统 58 00000000000000000000000000000000000000000000000 00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 000000000000000000000000000