English

Belépés


ICTS Hungary Kft.

A Juniper Networks "SRX Services Gateway" termékcsaládja egy integrált tűzfal, kapcsoló és útválasztó eszköz, amely rendkívüli mértékben skálázható. Míg a legkisebb eszköz akár egy otthoni irodában is üzembe helyezhető, addig a család legnagyobb tagjai komplett adatközpontok védelmét is képesek ellátni.

A Netscreen cég 2003-as felvásárlását követően a Juniper Networks portfoliója bővül a már akkor is komoly múltra visszatekintő ScreenOS operációs rendszerrel. Ez az operációs rendszer képezte az alapját valamennyi Juniper tűzfalnak az SRX család megjelenését megelőzően.

A Junos operációs rendszer fejlesztése 1996-ban kezdődött, elsősorban a routing funkciók minél tökéletesebb ellátása volt a cél. 2005-ben kezdődött a fejlesztés a ScreenOS biztonsági tudásának átmigrálására a Junos kódjába. 

Áttekintés

A Juniper Networks SRX sorozatú integrált végponti átjárói biztonságos útválasztók, amelyek fontos képessége, hogy összekapcsolnak, védenek és menedzselnek végpontokat maréknyi vagy akár többezres felhasználószámmal. Egyetlen eszközben konszolidálva a gyors, magas-rendelkezésre állású kapcsoló, útválasztó, biztonságos átjáró alkalmazási lehetőségeit a nagyvállalatok gazdaságosan kapnak új szolgáltatásokat, biztonságos kapcsolódást, és kielégítő végfelhasználói élményt. Minden SRX sorozatú integrált végponti átjáró - beleértve az egyetemi és az adatközponti alkalmazásokhoz méretezetteket - a Juniper Networks Junos operációsrendszert használja, amely páratlan összhangot, jobb teljesítményt és szolgáltatásokat, valamint piacvezető infrastruktúra védelmet nyújt alacsony fenntartási költségek mellett.

Termékleírás

A Juniper Networks SRX sorozatú integrált végponti átjárói együttműködnek az adatközponti SRX átjárókkal, az EX sorozatú Ethernet kapcsolókkal, az M sorozatú többcélú határ-csomóponti útválasztókkal, az MX sorozatú univerzális határcsomóponti útválasztókkal, és a T sorozatú belső-csomóponti útválasztókkal, így nyújtva egyetlen - Juniper Networks Junos - operációsrendszeren alapuló egyedülálló portfóliót. A Junos operációs rendszerrel a nagyvállalatok és a szolgáltatók kisebb üzembe-állítási és üzemeltetési költséggel számolhatnak a teljes elosztott vállalati környezetük tekintetében.

  • Az SRX sorozatú integrált végponti átjárók Junos operációsrendszert futtatnak, amely már bizonyított a core routerekkel a világ 100 legnagyobb szolgáltatójának mindegyikénél. A szigorúan tesztelt szolgáltatói szintű útválasztó képességek, mint az IPv4/IPv6, az OSPF, a BGP, és a multicast címzéstípus világszerte bizonyítottak az elmúlt több mint 10 évben.
  • Az SRX sorozatú integrált végponti átjárók peremvonali védelmet, tartalombiztonságot, hozzáférés szabályozást, és - a teljes hálózat tekintetében - fenyegetéskezelést nyújtanak. A kiváló tűzfal és VPN technológiák minimális beállítási igénnyel és egyenletes teljesítménnyel védik a határvonalat. Zónák és szabályok használatával még kezdő hálózati rendszergazdák is könnyen és biztonságosan telepíthetnek és konfigurálhatnak SRX sorozatú végponti átjárókat. A szabályalapú VPN összetettebb biztonsági architektúrát tesz lehetővé, amely dinamikus címzést és kétirányú osztott-csatornák (split tunneling) támogatását igényli. A tartalombiztonsághoz az SRX sorozatú végponti átjárók komplett fenyegetés kezelő (UTM) csomagot kínálnak, melynek része a behatolás megelőző rendszer (IPS), a víruskeresés, a kéretlenlevél- és az URL-szűrés, valamint az adatszivárgás megelőzése. Ezek a tartalomszűrési összetevők megvédik a hálózatot a legújabb fenyegetésektől. Egyes modellek alkalmaznak tartalombiztonsági gyorsítót (Content Security Accelerator) a nagyteljesítményű IPS és víruskereső szolgáltatáshoz. Az SRX sorozatú végponti átjárók együttműködnek más Juniper biztonsági termékekkel, így nyújtva nagyvállalati szintű egyesített hozzáférés- és adaptív fenyegetéskezelést. Ezek a képességek professzionális és erőteljes biztonsági eszközt jelentenek a számítógépes bűnözés és az adatszivárgás ellen.
  • Az SRX sorozatú végponti átjárók biztonságos útválasztók, amelyek nagyteljesítményt és bevált telepítési lehetőségeket nyújtanak a nagyvállalatoknak, akár világméretű hálózatokhoz több ezer végponttal. A széleskörű opciók lehetővé teszik a teljesítmény- és a funkcionalitás igénynek, valamint a költségkeretnek megfelelő kiépítést, a maréknyitól akár a többezres felhasználószámig. Ethernet, soros, T1/E1, xDSL, DOCSIS3, Metro Ethernet, és harmadik generációs (3G) vezeték-nélküli mobil opciók mind elérhetőek, hogy biztonságosan kapcsolódassanak az egyes végpontok egymáshoz kiterjedt hálózaton (WAN), vagy Interneten keresztül. A sokféle kiépítés lehetővé teszi a költséghatékony választást a kritikus fontosságú esetekben is. A hálózatmenedzsment könnyű a bevált Junos OS parancssornak (CLI), a szkriptelési lehetőségeknek, vagy az egyszerűen használható web-alapú grafikus felhasználói interfésznek (GUI) köszönhetően.

A vállalati modellek felépítése és kulcskomponensei

Termék Leírás
SRX100 Services Gateway
  • 8 10/100 Ethernet LAN portok
  • Teljes UTM; Antivirus, Antispam, Web-szűrés, Behatolás megelőző rendszer, IPS (magas memóriájú verzió esetén)
  • Egyesített hozzáférés kezelés (NAC) és tartalomszűrés
  • 1 GB DRAM, 1 GB flash alapértelmezett (512 MB DRAM hozzáférhető alacsony memóriájú verzió esetén)
 SRX210 Services Gateway
  • 2 10/100/1000 Ethernet and 6 10/100 Ethernet LAN portok, 1 Mini-PIM hely, 1 ExpressCard és 2 USB hely
  • Gyári opciójú 4 darab dinamikus Power over Ethernet (PoE) port, 802.3af
  • Támogatás: T1/E1, soros, ADSL/2/2+, VDSL, G.SHDSL, DOCSIS3, Ethernet SFP és Gigabit Ethernet interfészek
  • Tartalombiztonsági gyorsító hardver a nagyobb IPS és ExpressAV teljesítményért
  • Teljes UTM; Antivirus, Antispam, Web-szűrés, Behatolás megelőző rendszer, IPS (magas memóriájú verzió esetén)
  • Egyesített hozzáférés kezelés (NAC) és tartalomszűrés
  • 512 MB DRAM alapértelmezetten, opcionális gyári 1 GB DRAM, 1 GB flash alapértelmezetten
 SRX220 Services Gateway
  • 8 10/100/1000 Ethernet LAN portok, 2 Mini-PIM hely
  • Gyári opciójú 8 darab PoE port; PoE+ 803.3at, visszafelé kompatibilis a 802.3af-vel
  • Támogatás: T1/E1, soros, ADSL2/2+, VDSL, G.SHDSL, DOCSIS3, Ethernet SFP11, és Gigabit Ethernet interfészek
  • Tartalombiztonsági gyorsító hardver a nagyobb IPS és ExpressAV teljesítményért
  • Teljes UTM; Antivirus, Antispam, Web-szűrés, Behatolás megelőző rendszer, IPS (magas memóriájú verzió esetén)
  • Egyesített hozzáférés kezelés (NAC) és tartalomszűrés
  • 1 GB DRAM, 1 GB flash alapértelmezett
  SRX240 Services Gateway
  • 16 10/100/1000 Ethernet LAN portok, 4 Mini-PIM hely
  • Gyári opciójú 16 PoE port; PoE+ 803.3at, visszafelé kompatibilis a 802.3af-vel
  • Támogatás: T1/E1, soros, ADSL2/2+, VDSL, G.SHDSL, DOCSIS3, Ethernet SFP11, és Gigabit Ethernet interfészek
  • Tartalombiztonsági gyorsító hardver a nagyobb IPS és ExpressAV teljesítményért
  • Teljes UTM; Antivirus, Antispam, Web-szűrés, Behatolás megelőző rendszer, IPS (magas memóriájú verzió esetén)
  • Egyesített hozzáférés kezelés (NAC) és tartalomszűrés
  • 512 MB RAM alapértelmezetten, opcionális gyári 1 GB DRAM, 1 GB flash alapértelmezetten
   SRX650 Services Gateway
  • 4 darab fix 10/100/1000 Ethernet LAN port, 8 GPIM hely vagy többféle GPIM és XPIM kombináció
  • Támogatás: T1, E1, Gigabit Ethernet LAN port; támogatott akár 48 port kapcsolóként opcionális PoE-val, 802.3at, PoE+, visszafelé kompatibilis a 802.3af-vel
  • Tartalombiztonsági gyorsító hardver a nagyobb IPS és ExpressAV teljesítményért
  • Teljes UTM; Antivirus, Antispam, Web-szűrés, Behatolás megelőző rendszer, IPS (magas memóriájú verzió esetén)
  • Egyesített hozzáférés kezelés (NAC) és tartalomszűrés
  • Moduláris szolgáltatások és útválasztó motor; redundáns routing engine (jelenleg nem elérhető)
  • 2 GB DRAM alapértelmezetten, 2 GB compact flash alapértelmezetten, külső compact flash hely további tárolónak
  • Opcionális redundáns AC tápegység; sztenderd AC tápegység, amely PoE képes; PoE teljesítmény egészen 250 Watt-ig redundáns módban, vagy 500 Watt nem redundánsban

 

Az SRX helye a hálózatban

Az SRX sorozatú integrált végponti átjárók egyaránt telepíthetőek központi és távoli telephelyekre, hogy biztosítsák „a minden az egyben” biztonságos WAN kapcsolódást, az IP telefóniát és az összeköttetést a helyi munkaállomásokkal és szerverekkel az integrált Ethernet kapcsolót használva.

Tulajdonságok és előnyök

Biztonságos útválasztás

Szükséges egy útválasztót és egy tűzfalat használni ahhoz, hogy biztonságos legyen a hálózat? A SRX sorozat megépítésével a piacvezető útválasztó és tűzfal képességek egyetlen eszközben egyesülnek, így a nagyvállalatoknak nem szükséges meghozniuk ezt a döntést. Miért továbbítanánk kétszer a forgalmat, ha az nem szükséges?
Az SRX sorozatú végponti átjárók ellenőrzik a forgalmat, hogy jogos-e és csak akkor továbbítják azt, ha igen. Ez csökkenti a hálózat terheltségét, és sávszélességet biztosít más kiemelt fontosságú alkalmazásoknak, valamint védi a hálózatot a hackertámadásoktól.
A fő célja egy biztonságos útválasztónak az, hogy tűzfalas védelmet nyújt és szabályokat alkalmaz az útválasztás közben. A tűzfal(zóna) funkció vizsgálja az adatforgalmat, és biztosítja, hogy egy munkamenet eredeti és visszaérkező információi abba a zónába érkezzenek, ahol vártak és engedélyezettek. A biztonsági szabály meghatározza, hogy egy munkamenet származhat-e egy adott zónából és áthaladhat-e egy másikba. A felépítés alapján történő kiválasztási eljárás csomagokat fogad sokféle klienstől és szervertől és nyomon követi az összes felhasználó és alkalmazás minden egyes munkamenetét. Ez biztosítja, hogy a hálózaton csak jogos forgalom legyen és az is csak a meghatározott irányba haladjon.
A konfigurálás megkönnyítésének érdekében az SRX sorozatú végponti átjárók két funkciót használnak – zónákat és szabályokat. Míg ezek meghatározhatóak a felhasználó által, az alapkonfiguráció tartalmazza a minimális – megbízható és megbízhatatlan – zónákat. A megbízható zóna a helyi hálózat konfigurálására és csatlakoztatására használatos, míg a megbízhatatlan zóna a kiterjedt hálózat, vagy az Internet interfésze. A telepítés egyszerűsítésére és a beállítás megkönnyítésére egy alapértelmezett szabály került elhelyezésre, amely engedélyezi a megbízható zónából származó forgalom áthaladását a megbízhatatlan zónába. Ez a szabály blokkol minden megbízhatatlan zónából származó forgalmat a megbízható zóna irányába. A hagyományos útválasztó továbbít minden forgalmat tűzfal (munkamenet tudatosság) és szabály (egy munkamenet származásának és célállomásának vizsgálata) nélkül.
A web interfészt vagy a parancssort használva, könnyedén létrehozható biztonsági szabályok sorozata, amelyek a meghatározott módon irányítják a forgalmat a zónák között. Bármilyen típusú adat engedélyezhető, bármilyen biztonsági zónából, bármilyen más célállomásba, mindenféle ütemezési korlátozás nélkül. Ezzel szemben, a legszigorúbb szabályok is felállíthatók, amelyek egyetlen fajta forgalmat engedélyeznek, egy adott zóna előre meghatározott küldője és egy másik zóna meghatározott fogadója között, egy ütemezett időperiódusban.

Magas rendelkezésre állás

A Junos operációs rendszer redundancia protokollja (JSRP - Junos OS Services Redundancy Protocol) az egyik alapfunkciója az SRX sorozatú végponti átjáróknak. A JSRP lehetővé teszi egy biztonsági rendszerpár magas rendelkezésre állást megvalósító hálózati architektúrába történő könnyed integrálását, redundáns fizikai összeköttetéssel a rendszerek és a szomszédos hálózati kapcsolók között. A redundáns kapcsolattal a Juniper Networks képes kezelni a rendszerhibák leggyakoribb okait – így a sérült fizikai portokat, vagy ha egy kábel nem csatlakozik megfelelően – anélkül, hogy hibatűrő lenne a teljes hálózat. Ez konzisztens az általános aktív/készenléti természetű hibatűrő (failover) útválasztó protokollokkal.
Amikor az SRX sorozatú végponti átjárók aktív/aktív párba vannak konfigurálva, a forgalom és a konfiguráció automatikusan tükrözésre kerül, hogy hiba esetén aktív tűzfal és VPN munkamenetet nyújtson. Az SRX sorozatú eszközök már szinkronizálják a konfigurációs és a futási információkat. Ennek eredményeként hibatűrő üzemmódban a következő információk kerülnek szinkronizálásra: kapcsolat/munkamenet állapot és folyamat információ, IPsec biztonsági társítások, hálózati címfordítás (NAT) forgalma, címjegyzékkel kapcsolatos információk, konfigurációs változások, stb. Ezzel szemben az általános aktív/készenléti hibatűrő útválasztó protokollok esetén, mint a virtuális útválasztó redundancia protokoll (VRRP), minden dinamikus folyamat és munkamenet információja elveszik és visszaállítandó. Néhány vagy akár az összes alkalmazás munkamenete újraindítást igényelhet a végpontok vagy a kapcsolatok konvergencia idejétől függően. Az állapottartásnak köszönhetően nem csak a munkamenet kerül konzerválásra, de a biztonság is folyamatos. Egy instabil hálózat esetén az aktív/aktív konfiguráció csökkenti a kieső kapcsolatok hatását a munkamenet teljesítményére.

Session alapú továbbítás a teljesítmény csökkenése nélkül

A kombinált útválasztó és tűzfal áteresztőképességének és a lappangási idejének optimalizálására a Junos operációsrendszer munkamenet alapú továbbítást alkalmaz, egy fejlesztést, amely kombinálja egy általános tűzfal munkamenet állapot információit és egy klasszikus útválasztó következő állomásra (next-hop) történő csomagtovábbítását egyetlen műveletbe. A Junos operációsrendszer esetén egy munkamenet, amely megengedett a továbbítási szabály által, hozzáadódik a továbbítási táblához egy mutatóval a következő állomásra. A fennálló munkamenetek egyetlen táblán történő kereséssel ellenőrzésre kerülnek, hogy engedélyezettek-e és mi a következő állomásuk. Ez a hatékony algoritmus javítja a teljesítményt és kisebb lappangási időt biztosít egy munkamenet forgalmazásához, összehasonlítva egy klasszikus útválasztóval, amely több táblás keresést végez, hogy ellenőrizze a munkamenet információját és aztán megtalálja annak a következő állomását.
A hármas ábra mutatja a munkamenet alapú továbbító algoritmust. Amikor egy új munkamenet feláll, a munkamenet alapú architektúrával a Junos operációsrendszer ellenőrzi, hogy a munkamenet engedélyezett-e a továbbítási szabályok szerint. Amennyiben igen, a Junos operációsrendszer megkeresi a következő állomást az útválasztó táblában. Aztán beszúrja a munkamenetet és a következő állomást a munkamenet és továbbítási táblába és továbbítja a csomagot. A későbbi csomagok a fennálló munkamenethez csak egyszeri keresést igényelnek a munkamenet és továbbítási táblában, aztán továbbításra kerülnek a kijárati interfésznek.
 

Maximális teljesítmény és kapacitás
SRX100
SRX210
SRX220
SRX240
SRX650
Használt JunosOS verzió a teljesítmény teszthez
Junos OS 10.3
Junos OS 10.3
JunosOS 10.3
Junos OS 10.3
Junos OS 10.3
Tűzfal teljesítmény (nagy csomagok)
650 Mbps
750 Mbps
950 Mbps
1.5 Gbps
7 Gbps
Tűzfal teljesítmény (IMIX)
200 Mbps
250 Mbps
300 Mbps
500 Mbps
2.5 Gbps
Tűzfal + útválasztó PPS (64 Byte)
75 Kpps
80 Kpps
125 Kpps
200 Kpps
900 Kpps
AES256+SHA-1/3DES+SHA-1VPN teljesítmény
65 Mbps
75 Mbps
100 Mbps
250 Mbps
1.5 Gbps
Egyidejű IPsec VPN csatornák
128
256
512
1 000
3 000
IPS (behatolás megelőző rendszer)
60 Mbps
80 Mbps
100 Mbps
250 Mbps
900 Mbps
Antivirus
25 Mbps
30 Mbps
34 Mbps
85 Mbps
350 Mbps
Másodpercenkénti új kapcsolatok
2 000
2 000
2 500
9 000
30 000
Maximális egyidejű munkamenetek
16 K / 32 K
32 K / 64 K
96 K
64 K /128 K
512 K
DRAM opciók
512 MB /1 GB DRAM
512 MB / 1 GB DRAM
1 GB DRAM
512 MB / 1 GB DRAM
2 GB DRAM
Maximális biztonsági szabályok
384
512
2 048
4 096
8 192
Maximális támogatott felhasználószám
Korlátlan
Korlátlan
Korlátlan
Korlátlan
Korlátlan
Fix hálózati csatlakozások, I/O
8 x 10/100
2 x 10/100/1000BASE-T
+ 6 x 10/100
8 x 10/100/1000BASE-T
16 x 10/100/1000BASE-T
4 x 10/100/1000BASE-T
I/O slotok
Nincs
1 x SRX Series Mini-PIM
2 x SRX Series Mini-PIM
4 x SRX Series Mini-PIM
8 x GPIM vagy többszörös GPIM és XPIM kombináció
Szolgáltatási és útválasztó kártya helyek
Nincs
Nincs
Nincs
Nincs
2
ExpressCard hely (3G WAN)
Nincs
Igen
Nincs
Nincs
Nincs
USB helyek száma
1
2
2
2
2 per SRE
Tovább

A 2011. szeptember 27-28-án Budapesten, a Cinema City Arénában megrendezett ITBN rendezvényen a RelNet Kft. szakmai rendezvénysorozattal vesz részt rendszerintegrátor (ICTS, Euro One és a WSH) és gyártói (Acronis, CA, CoSoSys, Tectia) partnereivel. Az előadások témája rendkívül különböző lesz a mobil biztonságtól az adatmentésig; a közös vonás a gyakorlat orientáltság lesz.

A Juniper Networks a legelső pillanattól kezdve az a vállalat kívánt lenni, amelyik nem csupán jó hálózati és biztonságtechnikai eszközöket gyárt, de az ügyfeleit üzleti előnyhöz segíti hozzá. Mindig egy lépéssel az aktuális igények előtt próbál járni, hogy az ügyfeleit se érje készületlenül az informatikai hálózatok világának robbanásszerű fejlődése.