Juniper金融银行业网络及安全解决方案

Juniper金融行业

解决方案

Juniper公司简介Juniper,致力于解决网络和安全的最尖端的难题，以技术创新为主导的公司IncludesAcquisitions超过1900人的研发队伍(>45%)每年3亿美金的产品研发投入可靠、安全和速度—Juniper企业解决方案UACEnterpriseCoreRoutersFUNKSecureAccess

SSLVPNSecurityManagementIntegrated

Firewall/IPSecVPNIntrusionPreventionJ-Series

EdgeRoutersDX&WXJuniper企业解决方案组成三大系统、六大技术门类，都以网络通信为应用目的群体与群体之间的安全通信–安全网关系统个体与群体之间的安全通信–安全接入系统传输通道的建立与优化–广域网优化通信系统JuniperNetworks金融行业

防火墙方案

大型银行网络结构BranchDataCenterMainShanghaiDataCenterBackupBeijing2ndlevelBranch2ndlevelBranch总行/数据中心一级行（省行）二级行（地市行）ISP1ISP2WAN1WAN2Branch数据集中处理流程主机主机接入协议转换网络广域网接入协议转换分行大前置机数据中心行网点前端网点SNADLSWSNAOverIPSNAIP终端ATM前端DLSWDLSWWANCIP大前置TokenRing分数据中心防火墙方案一级分行一级分行数据中心交换核心生产业务系统网银/中间业务OA办公系统开发测试系统经营管理系统网管系统externetinternetinternet一级分行防火墙方案营业网点营业网点一级分行总行业务网总行办公网交换核心生产业务系统OA办公系统internet中间业务系统extranet经营管理系统ATM机防火墙保护方案专线连接：提供安全性无线连接或ADSL:提供安全性与其它收益大幅度降低银行ATM自助终端业务运营成本扩大ATM机的铺设范围缩短ATM机的铺设周期增加ATM机移动、迁移的灵活性为银行带来其它不可忽视的众多收益

ATM方案投资回报分析SecureMeetingfor

cross-enterprise,

onlinemeetings我们以一个分行向CDMA迁移200台ATM机计算：

迁移前：以电信DDN专线连接每条线路租金：￥1,000/月200台一年的专线运营成本：200*￥1000*12=2,400,000/年

迁移后：部署VPN安全接入解决方案，以ADSL方式连接，每条线路的ADSL费用：￥150/月每台ATM机内部部署的安全网关的费用：￥6,000/台分行/支行部署的VPN中心安全网关的费用（双机冗余）：￥150,000*2=￥300,000方案投资费用：200*￥6,000+￥300,000=￥1,500,000迁移后运行一年的运营成本：200*￥150*12=￥360,000

迁移前后运营成本差别：￥2400000-￥360000=￥2,040,000/年

结论：迁移后，运行不到1年即可收回方案所有投资费用，并且每年运营成本节省2,040,000/年银行防火墙部署环境需求流量：数据中心<200M，一级分行10~30M连接数：数据中心<5万，一级分行<5000功能及版本：ScreenOS5.0内网生产网：基本的访问控制(ip/port)内网OA网：访问控制、防蠕虫、防扫描、深层检测外联网：NAT，访问控制OA的Internet出口：抗DoS、访问控制、防蠕虫、防扫描、深层检测、URL过滤接口使用/区段划分：2~6/2~4工作模式：所有银行部署均使用路由模式HA需求：所有银行部署均使用AP或AP-FullMeshJuniperBankingsolution

BranchInternetDataCenterMainShanghaiDataCenterBackupBeijingExtranetBranchBranch2ndlevelBranch2ndlevelBranch2ndlevelBranch2ndlevelBranchATMS防火墙异构在银行的需求电信路由器ALO-0ALO-1中心网关东软防火墙Alteon-026509-01Nokia防火墙Alteon-01Alteon-11Alteon-126509-02Alteon-22Alteon-216509-116509-12Alteon-31Alteon-32Alteon-41Alteon-42Netscreen防火墙分布层6509分布层6509InternetWebserverApplicationserverOverviewofJuniperstrength

inbanking

BankingcustomerinChina

Thousandsoffwsrunninginbankingnetwork

中国银行：全国范围部署JuniperNetscreen防火墙包括5200/500/208/204/100等，总数200台左右中国农业银行：数据中心，某些一级行部署JuniperNetscreen防火墙包括5200/200系列等。中国工商银行：全国南北数据中心、全国各省行全部部署JuniperNetscreen防火墙，产品包括5000/2000/500/208/204等，总数500台以上。中国建设银行：数据中心，某些一级行部署JuniperNetscreen防火墙2000/1000/200系列等中国农业发展银行：数据中心各、全国各省行均采用JuniperNetscreen防火墙，包括5200/500/204/208防火墙。共600多台。中国光大银行：总行及全国各省行采用JuniperNetscreen防火墙，包括500/200/100总数200台以上中国造币总公司：全国采用JuniperNetscreen防火墙，包括500/200系列等中国邮政储蓄：总部及全国各省行采用JuniperNetscreen500防火墙中国人民银行：部分分行采用JuniperNetscreen防火墙。深圳发展银行：部分采用JuniperNetscreen防火墙。Juniper银行业经验价值

“Juniper不仅仅是把这些当作一个个的案例，而是把这些资源作为我们能为每一个银行用户提供更好的服务和产品的基础，我们有专业的银行服务支持小组，负责把这些银行的服务联成一个大的体系，每一家银行用户在这个大体系中都不是孤立的，而是靠我们的服务和支持使之互通的，在经验相互共享、相互参照中获得健康的生存，每家客户的网络安全性都靠这个大的体系获得了更强的生命力”—JuniperNetworks,Inc.Juniperfirewallproductline办公室区县总部地市省级单位Juniper防火墙产品线NetScreen-5GTNetScreen-25/50NetScreen-Hardware

SecurityClientNetScreen-

5400

ISG2000ISG1000NetScreen-5GTWirelessNetScreen-

5200100M200M4G-30G200-600M1G-4GSSG520SSG550Netscreen-500Netscreen204/208

品质就是不一样

ISG2000/products/atca/atca.html/products/detail.asp?ITEMNO=18-270707-100保护的企业入侵防护反垃圾邮件用户认证授权基本防火墙防病毒业界最优的防火墙产品Layeredprotectionmodel“”IPSecVPN被Gartner评为防火墙领域的领导者Juniper#1outof18vendorsGartnerMagicQuadran报告是针对IT特定细分市场上的厂商实力所进行的极具声望的评价，它从各个方面来全方位评价厂商，包括产品线的完整度和功能、技术实力、创新性、成功实施情况、满足客户现有和未来需求的能力，以及包括服务和支持在内的执行能力、市场份额、财务健康状况和其它关键指标被Gartner评为防火墙领域的领导者Juniper#1outof14vendorsGartnerMagicQuadran报告是针对IT特定细分市场上的厂商实力所进行的极具声望的评价，它从各个方面来全方位评价厂商，包括产品线的完整度和功能、技术实力、创新性、成功实施情况、满足客户现有和未来需求的能力，以及包括服务和支持在内的执行能力、市场份额、财务健康状况和其它关键指标国内防火墙市场分额Juniper稳步上升

Q105Q205Q305Q405Q106Topsec16.94%21.07%25.97%23.85%18.77%Juniper14.77%12.50%13.89%16.47%17.42%Cisco25.91%22.87%14.46%16.52%17.00%Neusoft12.83%13.87%14.07%12.60%13.30%Lenovo11.39%11.84%11.52%8.94%10.60%Venustech0.00%0.00%3.26%3.53%2.42%Nokia3.79%2.94%2.86%3.14%3.27%Fortinet2.69%2.55%2.45%1.58%2.72%Source:Frost&Sullivan国内安全市场分额06年Q1第一Source:Frost&Sullivan

Q105Q205Q305Q405Q106Juniper16.8%14.3%14.8%16.8%18.8%思科24.4%22.1%16.4%17.8%17.2%天融信10.7%13.5%16.9%15.2%11.9%东软9.6%10.4%10.7%9.4%9.9%联想7.2%7.6%7.5%5.7%6.7%启明星辰2.7%3.8%7.3%8.1%3.4%飞塔3.6%3.2%2.9%1.9%2.9%诺基亚3.3%2.4%2.4%2.5%2.7%Juniper全球高端防火墙市场分额举例来说，Juniper在05年全球卖出了5000台左右的高端千兆设备，而fortinet只卖了170台左右JuniperNetworks金融行业

入侵检测与防御(IDP)方案

IDS只检测攻击不阻挡攻击0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000拒绝流量允许流量拒绝一些攻击公司网络防火墙提供访问控制IDS提供攻击的监控误报攻击造成了伤害!!!没有被检测到的攻击检测到的攻击远程办公室UserUserUser服务器群ModemMail

服务器Mail

服务器Web

服务器Web

服务器DMZ远程办公室防火墙Juniper-IDP是一个主动的，在线方式的，能够在线检测攻击并在检测过程中将恶意流量丢弃的系统真正的入侵保护：

Juniper-IDP第一台能够丢弃攻击的安全设备优势攻击无法到达意图侵害的对象,消除了对网络的影响不需要把时间浪费在调查攻击是否得逞上对所有流量有效

(IP,TCP,UDP,等.)只丢弃恶意的数据包从网络中丢弃用户服务器群用户用户Mail

服务器Web

服务器防火墙CoderedHTTPTrafficIDS只是空摆设时间PtDtRt保证安全的条件：Dt+Rt<PtJuniper-IDP

能帮用户解决的问题检测并阻断拒绝服务攻击检测并且阻挡针对多种应用服务器和主机的攻击检测并且阻挡网络病毒和蠕虫的传输检测并且阻挡P2P的网络流量网络邻居共享BT下载QQ,MSN检测并且阻挡后门程序、Spyware的流量检测自定义的违规行为完全完成IDS系统的功能Juniper的IDP技术创新1st–

检测和防范攻击的安全设备能够 丢弃恶意数据包1st–

多方式检测(MMD)能够最大化攻 击的检测1st–

基于状态签名的检测通过检查相 关的数据流量来减少误报1st–

中央式、基于策略的管理1st–

支持针对所有及时短消息协议 (InstantMessagingProtocols) 的保护，防止潜在的系统缺陷1st–

支持当天对微软软件漏洞提供防 护的安全设备1st–

有能力提供每天攻击状态签名更新 的公司1st–

针对间谍软件提供抵御措施1st–

更多…

JuniperNetworks金融行业

移动办公(SSLVPN)方案

银行业移动办公解决方案MRP/ERPIntranet/WebServerUnix/NFS企业内部广域网客户DirectoryStore合作伙伴企业的合作伙伴与客户ServerFarmsE-mail在外的网管人员出差员工/分支机构员工本企业的在外员工家庭办公人员=加密的外部会话=标准的内部会话内部员工用机方案优势实施简单(免客户端软件、免服务端配置）使用方便（随时随地、任意设备、对人的要求低）扩展性强，适合快速的大规模扩展安全（应用层，比IPSec更高的安全性）投资成本低特别适合保险、传媒等行业移动办公解决方案举例移动办公解决方案举例Gartner的评价Juniper#1outof16vendorsGartnerMagicQuadran报告是针对IT特定细分市场上的厂商实力所进行的极具声望的评价，它从各个方面来全方位评价厂商，包括产品线的完整度和功能、技术实力、创新性、成功实施情况、满足客户现有和未来需求的能力，以及包括服务和支持在内的执行能力、市场份额、财务健康状况和其它关键指标

2005年市场分额Source:InfoneticsResearch,

VPN&FirewallProductsAppliancesandSoftware,2005Report，UnitMarketshareJuniper46%F512%Aventail11%Nokia5%Other27%JNPRis#1intheSSLmarket.

市场分额长期情况-2004

市场分额长期情况-2003JuniperSSL获得的奖项InfoWorldtestAward/article/05/02/04/06FEsslvpn_1.html

NetworkWorldWorldClassaward/reviews/2004/0112rev.htmlNetworkComputingEditor’schoice:/story/showArticle.jhtml?articleID=16000510&pgno=4InfoWorldTestAward/article/03/10/24/42TCsslvpn_1.htmlPCMagazineEditor’schoice/article2/0,1759,1202319,00.aspPCMagazineFirstLook/article2/0,4149,988834,00.aspSecureEnterprise-Tester'sChoiceAward(#1outof9vendors)Aug01,2005NetworkComputing-Editor'sChoice(#1outof8vendors)InfoWorld–TopHonors(#1outof6vendors)Juniper是SSLVPN领域的领导者…byCY06,weprojectthatannualrevenueforApplicationSecurityGatewayswilltop$542M“Weprojectthatby2004,60%ofcorporateuserswilluseSSLforremoteaccessatleastsomeofthetime.”“By2005/06SSL-basedsolutionswillbethedominantmethodforremoteaccess,with80%ofusersutilizingSSL...”市场领导地位产品评测

Awards–Nov.2003topresent#1of7#1of8#1of6Morethan1,250enterprisecustomerdeploymentsGreaterthan2millionlicensedusersworldwide市场份额InfoneticsJuniperNetworks金融行业

网络加速与优化(WX)方案

方案概述作用－通过数据压缩、应用加速、流量控制和应用监控等功能，提供综合的广域网优化解决方案目标－改善企业应用系统在广域网上的传输性能，从而提升其商业效率WANwx/wxcwx/wxcOptimizedatatransferbetweenNetworksconnectedviaWANDataCenterBranch1Branch2HQWeb-enabled=10xbandwidthBandwidthServerconsolidationNewappsAppperformanceDatareplicationQoSVoIP为什么需要广域网优化？广域网优化技术的崛起传统技术-数据压缩、QoS服务质量、流量整型等新兴技术-应用加速、网络缓存、应用管理监控等广域网优化市场的发展趋势目前的特点：单一的技术、单一的产品导致存在诸多单一市场发展趋势：技术融合、市场融合形成综合的广域网优化技术和市场数据压缩应用加速网络缓存IP流量管理QoS通信协议调整和修改可视化应用管理目前网络加速市场的问题Juniper是此领域拥有最全面技术解决方案的厂商*RequiresaseparateboxCompressionReportingQoSPathOptimizationSequenceCachingHTTPAccelerationTCP/FECAccel.Exch(MAPI).Accel.CIFSAccelerationIPSECEncryption**WANOptimizationJuniper是唯一在广域网优化领域提供最全面解决方案的厂商通过WX和WXC系列产品提供10到100倍的带宽容量减少了网络的数据流量节省WAN链路升级投资节省添加额外的路由器/交换机模块应用性能报告、监控和远程管理具有WAN探测器功能提供WAN监控和报告软件节省额外的人工维护管理成本通过TCP和应用层加速技术，提高应用响应时间提高用户满意度提高内部员工的效力提高商业运行效率带宽管理和多链路路径优化提高了带宽利用效率解决了应用冲突的烦恼提供了应用保护的功能Juniper

WXFrameworks–技术体系架构部署透明、简单EasyLANsideofroutersNoroutingchanges10-minuteorautoinstallReliableFault-tolerantbypassmodeIntegrateswithH/AenvironmentsLoad-balancednetworksFlexiblePoint-to-pointand

multi-pointnetworksAnyWANconnectionWorkswithprivateIP,

VPNs,orMPLSnetworksLANLANLANSwitchSwitchSwitchWANRouterRouterRouter银行广域网优化提速解决方案

-BancoSantanderCentralHispano需求：核心数据频繁备份需要在Miami与NewYork这2个站点之间，利用T1线路实现Veritas的磁盘卷的复制，一次性备份数据量高达40GB

需要快速完成数据备份，减少带宽消耗应用JuniperWX后带来的收益：(1)广域网传输数据量减少了68%(2)简单的管理和快速的复制速率减少了95%的维护时间(3)节省链路扩容费用$60,000/年。银行广域网优化提速解决方案-AbsaAbsa(AmalgamatedBanksofSouthAfrica)是南非第二大银行，业务遍及南非、坦桑尼亚、莫桑比亚等非洲国家，提供商业银行业务、金融、保险等服务IT管理上存在的问题：Absa的网络数据流量不断增加Absa想将企业应用分布到各地的数据中心，但受阻於广域网链路的限制，如带宽紧张、应用延迟较大、无法保证QoS有些链路只有64Kbps，而且链路成本非常昂贵。例如：由莫桑比亚至南非的64Kbps的卫星链路成本$1,700/月，IT部门预计须每年增加两百万以支付广域网链路租金寻求解决方案曾经研究路由器的压缩方案，但是路由器负担过重而且增加了应用延迟寻找一些数据压缩产品，但这些产品缺乏全面的优化手段在市场上，很多厂商只支持单一功能的产品，有只增加带宽的、也有只支持服务质量最终发现JuniperWX的序列压缩产品不仅支持增加带宽功能、也支持服务质量、而且用户对包流加速非常感兴趣，因为此功能帮助缩减应用延迟银行广域网优化提速解决方案-AbsaAbsa在关键的地区部署45台JuniperWX分子序列压缩器，以应付不断增加的数据流量WX方案增加了从Absa各区主要的分行到网络中心三倍的带宽，同时也提供实时监测功能，使Absa能即时了解到每个应用对数据通信模式的影响WX序列压缩器減少了Absa广域网上76％的通信流量，为分布式的应用策略提供基础与广域网的租金相比，WX的解决方案相等於广域网的十一个月的租金典型案例分析-ABSA运行报告Oracle/ERP实现约4倍压缩Mail实现约3倍压缩Web实现约4倍压缩带来的好处Peribit解决方案增加了从Absa各区主要的分行到网络中心三倍的带宽，同时也提供实时监测功能，使Absa能即时了解到每个应用对数据通信模式的影响Peribit序列压缩器減少了Absa广域网上68％的通信流量，为分布式的应用策略提供基础与广域网的租金相比，Peribit的解决方案相等於广域网的十一个月的租金Peribit的解决方案提供了综合的优化手段，如数据压缩、应用加速、QoS功能、中央管理系统及应用监控等功能

WX销售—如何引导用户？A、有所少分布在全球或全国的分支机构，是否通过广域网连接这些分支机构，他们的链路带宽租金是否昂贵？

B、用户是否现在有增加带宽的需求？

C、网络链路的延迟大吗？例如象网通和电信之间的互连（很多使用Internet做VPN的企业遇到这个问题，延迟很大，应用性能很差）

D、是否因为有数据集中的考虑，而考虑广域网优化，保证系统集中后，分支机构对数据中心系统的数据访问性能？

E、是否因为做数据中心的异地备份，而考虑广域网优化（前提是数据中心和备份中心之间通过广域网连接）

F、是否有特殊的应用需要有足够的网络资源保证（如视频会议、voip）

G、是否现有的典型应用如Http、FTP、EMAIL、CIFS、ExchangeServer、数据库（ERP）等性能较差？

H、是否用户特别希望了解各种应用系统在网络上的运行状况？

JuniperNetworks金融行业

网站解决方案(DX)方案

网上银行解决方案TransactionValidationOldSolutionforbuildingWebdataCenter:SLBatthecenterRapidproliferationoflimitedfunctionality,pointproductsForresiliency,eachboxmustbeduplicatedDatacenterbecomesunmanageableLotsofWebandApplicationservers网上银行解决方案-JuniperDX将Web服务器的容量提高10倍将用户下载速度加快70%将带宽利用率降低70%提供7层负载均衡，Catch能力自动保护应用安全(SSL,入侵保护）JuniperDX市场公共网站零售、媒体、旅行、金融等企业网站基于web的所有应用网上银行解决方案-扩容所有连接都终接在JuniperDX上到JuniperDX的浏览器连接与到服务器的连接的比例是：50:1–1000:1提高了服务器可扩展性并缩短了响应时间不再为管理连接而消耗CPU和内存以线速向JuniperDX发送响应消息，解决了日志拥塞问题通过JuniperDX服务器在几毫秒内生成响应消息，并能够在几毫秒内将消息发送给JuniperDX解决方案:无服务器日志拥塞；服务器速度提升至线速水平！网上银行解决方案-压缩提速最终用户带宽服务器网络安全级别