Продукты серии Juniper NetScreen Firewall / IPSec VPN

    Cемейство cпециализированных продуктов, объединяющих функции межсетевого экрана концентратора виртуальных частных сетей (VPN), маршрутизатора и средства управления трафиком. Благодаря использованию высокоскоростных заказных микросхем ASIC все продукты Juniper NetScreen обладают очень низкими задержками и высокой пропускной способностью при реализиции функций защиты и шифрации информации. Это позволяет интегрировать продукты Juniper NetScreen в любые сети. Настройка и конфигурирование устройств Juniper NetScreen осуществляются с помощью встроенного web-интерфейса, командной строки или централизованной системы управления Juniper NetScreen Global PRO.

 Основные характеристики
 
Название продукта Максимальная производительность Максимальное кол-во сессий Максимальное кол-во VPN туннелей Максимальное кол-во правил
NetScreen-5400 12G FW & 6G 3DES VPN 1 000 000 25 000 40 000
NetScreen-5200 4G FW & 2G 3DES VPN 1 000 000 25 000 40 000
NetScreen ISG 2000 Advanced 2G FW & 1G 3DES VPN 512 000 10 000 30 000
NetScreen ISG 2000 Baseline 2G FW & 1G 3DES VPN 256 000 1 000 30 000
NetScreen 500 Advanced 700M FW & 250M 3DES VPN 250 000 5 000 + 5 000 Dial-up 20 000
NetScreen 500 Baseline 700M FW & 250M 3DES VPN 128 000 1 000 20 000
NetScreen 208 Advanced 550M FW & 200M 3DES VPN 128 000 1 000 4 000
NetScreen 208 Baseline 550M FW & 200M 3DES VPN 64 000 500 4 000
NetScreen 204 Advanced 400M FW & 200M 3DES VPN 128 000 1 000 4 000
NetScreen 204 Baseline 400M FW & 200M 3DES VPN 64 000 500 4 000
NetScreen 50 Advanced 170M FW & 45M 3DES VPN 64 000 100 + 400 Dial-up 1 000
NetScreen 50 Baseline 170M FW & 45M 3DES VPN 48 000 150 shared 1 000
NetScreen 25 Advanced 100M FW & 20M 3DES VPN 32 000 25 + 100 Dial-up 500
NetScreen 25 Baseline 100M FW & 20M 3DES VPN 24 000 50 shared 500
NetScreen 5GT/5GT Extended 75M FW & 20M 3DES VPN 2 000 / 4 000 10 / 25 100
NetScreen 5GT ADSL 75M FW & 20M 3DES VPN 2 000 10 100
NetScreen 5GT Wireless 75M FW & 20M 3DES VPN 2 000 10 100
NetScreen 5XT 70M FW & 20M 3DES VPN 2 000 10 100
NetScreen Hardware Security Client 50M FW & 10M 3DES VPN 1 000 2 50
 
 Основные функции

    Все устройства Juniper NetScreen спроектированы для легкой установки и настройки. Интегрированные устройства исключают необходимость в установке и конфигурировании отдельно операционной системы и отдельно программного обеспечения. Графический интерфейс WebUI, доступный с помощью интернет браузера, содержит развитые средства конфигурирования и настройки устройств. Это не только облегчает установку и сокращает время, но и существенно снижает количество возможных ошибок в системе безопасности, совершаемых операторами.

 Операционная система ScreenOS

    Специализированная система ScreenOS работает на всех устройствах. Ее ядро составляет система реального времени специально разработанная для обеспечения высокого уровня безопасности и производительности. ScreenOS обеспечивает интегрированную, удобную в настройке платформу со многими функциями, включая следующие функции:

  • Поддержка технологии stateful inspection firewall.
  • Поддержка виртуальных частных сетей по технологии IPSec, L2TP, L2TP-over
  • Реализация алгоритмов управления трафиком для эффективного использования полосы пропускания.
  • Обеспечение высокой готовности (high availability), для построения отказоустойчивых решений
  • Широкий выбор средств управления
  • Поддержка протоколов динамической маршрутизации для удобства интеграции с существующими сетями.
 Заказные микросхемы ASIC

    Специализированные микросхемы GigaScreen ускоряют задачи приложения политик безопасности, шифрования и аутентификации на аппаратном уровне. Такой подход обеспечивает наивысшее быстродействие по сравнению с подходом, основанным на программной реализации данных задач на базе процессора общего назначения. Специализированные микросхемы тесно интегрированны с операционной системой ScreenOS. Это исключает избыточные уровни программного обеспечения и "дырки" в системах защиты, построенных на операционых системах общего назначения.

 Межсетевое экранирование (firewall)

    Устройства NetScreen предоставляют развитые, масштабируемые решения по безопасности, охватывающие широкий круг пользователей - от высокоскоростных удаленных пользователей, до крупные корпораций, компаний электронного бизнеса и операторов связи. Все устройства NetScreen основаны на технологиях stateful inspection, защиты от вторжений и защиты от отказов в обслуживании. Все устройства обеспечивают:

  • Интегрированние решения, включающие аппаратное обеспечение, оптимизированное для задач безопасности, операционную систему и функции МСЭ, которые обеспечивают более высокий уровень безопасности, чем программные решения на базе ОС общего назначения
  • Устойчивое предотвращение атак, конфигурируемое на каждом интерфейсе, включая атаки типа SYN, UDP Floods, ICMP Floods, Ping-of-Death, TearDrop,Land и др., а также распознавание попыток сканирования портов, некорректного использования свойств стандартных протоколов, проверку загружаемых компонентов Java/ActiveX/ZIP/EXE, пресечение сессий с незаслуживающими доверия URL.
  • Трансляцию адресов (NАТ), трансляцию портов (PAT), маршрутизацию или режим transparent mode

    Программное обеспечение ScreenOS сертифицированно ICSA

 Защита от отказов в обслуживании (Denial of Service, DoS)

    Защита от отказов в обслуживании и распределенных отказов в обслуживании (Distributed DoS) требует специализированных решений, которые могут обрабатывать большое количество пакетов и сессий в секунду. Устройства NetScreen аппаратно ускоряют установку сессий, за счет чего защищают от DoS и DDoS атак, продолжая предоставлять сервис полезному трафику. Поскольку данные функции поддерживаются на каждом интерфейсе, устройства обеспечивают дополнительную защиту против угроз исходящих изнутри сети, от компьютеров, зараженных вирусами, являющихся источником DoS атак. Аутентификация пользователей Все устройства NetScreen обладают развитыми средствами для аутентификации пользователей для контоля доступа к ресурсам сети, включая:

  • Аутентификацию пользователей с использованием как локальных ресурсов, так и внешних серверов RADIUS, SecurID, или LDAP с поддержкой отказоустойчивых конфигураций
  • Аутентификацию на базе веб-технологий, позволяющих аутентифицировать пользователя с помощью Internet браузера для любого сервиса
  • Поддержку XAUTH для аутентификации пользователей VPN, использующих коммутируемый доступ, в дополнение к аутентификации IPSec, для предотвращения доступа неавторизованных пользователей
 Виртуальные частные сети (Virtual Private Networks, VPN)

    Полная поддержка протокола IPSec на всех устройствах NetScreen обеспечивает поддержку приложений точка-точка и удаленного доступа. Основные возможности:

  • Поддержка алгоритмов 3DES, DES и AES использование цифровых сертификатов (PKI X.509), IKE авто-ключей или ручных ключей
  • SHA-1 и MD5
  • Поддержка VPN туннелей на каждом интерфейсе позволяет использовать IPSec для защиты внутренней сети, например беспроводной ЛВС
  • IPSec NAT traversal позволяет VPN туннелям проходить через устройства NAT, осуществляющие трансляцию адресов
  • Поддержка как полносвязных (full mesh), так и иерархических (hub and spoke) VPN сетей, дает пользователям большие возможности по выбору архитектуры сети того или иного типа или их комбинации
  • Отказоустойчивые VPN шлюзы повышают общий уровень надежности VPN сети за счет возможной организации резервных туннелей
  • ICSA и VPNC протестированная совместимость гарантирует работу с другими сертифицированными устройствами, поддерживающими IPSec.

 Высокая отказоустойчивость (High Availability)

    Устройства NetScreen-50, NetScreen-100 и NetScreen-200 обладают наиболее развитыми средствами обеспечения отказоустойчивости на рынке. Все сессии и VPN туннели синхронизируются между устройствами, работающими в режиме дублирования. Это сводит время прерывания сервиса практически к нулю в случае выхода устройства из строя. Предусматриваются различные варианты организации отказоустойчивых кластеров. Основные возможности:

  • Время перехода на запасное устройство или интерфейс в случае сбоя < 1сек.
  • Разделение нагрузки в режиме с двумя активными устройствами позволяет удвоить пропускную способность по сравнению с системами "холодного" резерва, обеспечивая при этом корректную синхронизацию.
  • Полносвязные конфигурации позволяют полностью исключить возможность остановки системы при выходе из строя любого из ее компонентов
  • Возможность равноправной кластеризации позволяет строить системы безопасности без единой точки отказа.
  • Мониторинг путей и сетевых устройств на предмет сбоя в сети, даже если эти устройства не подключены напрямую к устройству NetScreen
 Динамическая маршрутизация

     Поддержка протоколов динамической маршрутизации OSPF и BGP-4 позволяет подключать устройства NetScreen к нескольким интернет-провайдерам, создавать сложные топологии VPN и обеспечивать дополнительную надежность сети за счет оперативной реакции на изменение топологии, а также существенно снизить количество возможных ошибок и расходы на администрирование.

 Управление трафиком

    Управление трафиком позволяет администратору выделять полосу пропускания для различного трафика, обеспечивая приритет критическим для бизнеса приложениям. Основные возможности:

  • Управление на основе IP-адреса, пользователя, приложения и времени дня
  • Задание гарантированной и максимальной полосы пропускания
  • 8 уровней приоритизации
  • поддержка стандарта DiffServ по маркированию трафика позволяет устройствам NetScreen передавать информацию о качестве обслуживания (QoS) в MPLS сетях
 PPPoE и DHCP клиент/сервер

    Все устройства NetScreen могут работать как DHCP или PPPoE клиенты, устанавливая IP-адреса и сетевые параметры для своих незащищенных untrusted интерфейсов динамически. Это существенно облегчает интеграцию устройств в сети, которые используют данные технологии, например в сети DSL или кабельных модемов. В дополнение, все устройства NetScreen могут выполнять функции DHCP сервера для внутренней сети.

 Графический Web-интерфейс

    Все устройства NetScreen обладают графическим интерфейсом - WebUI, доступным через HTTP или HTTPS (SSL). С новыми дополнительными функциями ScreenOS 4.0, WebUI предоставляет домашнюю страницу, содержащую графическое представление устройства. Интерфейс WebUI предосталяет развитую систему конфигурирования через меню, для упрощения таких задач, как создание VPN туннелей. Отличительные особенности

  • Динамический HTML и меню на Java
  • Доступ через HTTP или, для дополнительной безопасности, через HTTPS (SSL)
  • Конфигурационные навигаторы для облегчения настроек системы и правил реализации политики безопасности
  • Просмотр отчетов о событиях
 Интерфейс командной строки

    Все устройства NetScreen обладают полнофункциональным интерфейсом командной строки (command line interface, CLI), доступным через консольный порт, SSH или Telnet. Интерфейс поддерживает все команды устройств, а также включает команды отладки, полезные при решении проблем.

 Устройства
 
NetScreen-5000.

    Модульная высокопроизводительная система, предусматривающая подключение до 24 портов Gigabit Ethernet или 72 портов FastEthernet и пропускную способность 12Gbps. Предназначена для использования в крупных центрах обработки данных, сетях операторов связи, предоставляющих услуги по защите информации.

NetScreen-500.

    Модульная система. Предусматривает подключение до 4 портов Gigabit Ethernet или 8портов FastEthernet и пропускную способность 700Mbps. Предназначена для использования в центрах обработки данных, центральных корпоративных узлах доступа к Интернет, сетях операторов связи.

NetScreen-200.

    Включает два продукта, NetScreen-204 и NetScreen-208, отличающиеся количеством портов Ethernet 10/100 (четыре и восемь соответственно). Это наиболее универсальные устройства безопасности, имеющиеся на рынке и легко интегрируемые в многие приложения, включая средние и крупные корпоративные сети, е-бизнес приложения, центры обработки данных, инфраструктуру операторов связи и интернет-провайдеров. Устройства обеспечивают производительность 550 Mbps и 400 Mbps (устройства 208 и 204 соответственно) при выполнении функций межсетевого экрана. Даже для таких ресурсоемких приложений как применение алгоритмов шифрования 3DES и AES, устройства обеспечивают скорость 200 Mbps.

NetScreen-50 и NetScreen-25.

    Обеспечивают интегрированное решение для малого и среднего бизнеса и для удаленных офисов. Имеют 4 порта Ethernet 10/100. Устройства обеспечивают гибкое решение для задач, где требуются несколько демилитаризованных зон (DMZ), беспроводная локальная сеть, или несколько независимых сегментов сети. NetScreen 50 высокопроизводительное устройство обеспечивает 170 Mbps при выполнении функций межсетевого экрана и 50 Mbps для 3DES, с поддержкой 8,000 сессий и 100 VPN туннелей (100Mbps, 20Mbps при 3DES VPN, 4000 сессий и 25 VPN туннелей для NetScreen-25).

NetScreen-5XT, NetScreen-5XP и Netscreen-5GT.

    Устройства являются устройствами начального уровня, но основаны на таких же технологиях межсетевых экранов, виртуальных частных сетей и управления трафиком, что и устройства верхнего ряда. Это дает возможность использовать данные устройства в удаленных офисах, магазинах и для удаленных пользователей, подключенных по высокоскоростному доступу. Модели выпускаются в двух версиях: версия на 10 пользователей и неограниченная по количеству пользователей Elite- версия. NetScreen-5XT имеет более высокую производительность, встроенный коммутатор на 4 порта 10/100, дополнительную память и резервный доступ по коммутируемой линии.

Программные продукты для мобильных пользователей NetScreen Remote

    Семейство включает два продукта: NetScreen-Remote VPN Client и NetScreen-Remote Security Client, - соответственно VPN клиент и VPN клиент с персональным межсетевым экраном

 
 
 Дополнительные материалы по Firewall / IPSec VPN