– 是 IDP 防“phone-home” 攻击（向外发布私人信息）的补充(保 护已受感染设备)
– 完全和ScreenOS 5.3 整合
• 客户可以选择采用Kaspersky还是Trend – 推荐用卡 巴斯基
25
内嵌防垃圾邮件
– 阻断垃圾邮件和网页仿冒攻击
• 将赛门铁克的防垃圾邮件功能集成到SSG 520/550中 • 使用基于IP的、强韧的、始终更新的垃圾邮件发送人和网页仿
• Source/Destination ip Session number limit
20
SSG：多种领先的安全技术的集成
• 入侵防御功能：
• 防病毒：卡巴斯基
• 防垃圾邮件：赛门铁克
• 网页过滤：美讯智
其他厂家主要依靠自己开发，特征库不完善，不专业；或者只能支 持部分的UTM功能
21
更多应用层协议的DI（IPS）支持
3
Juniper将电信级的技术精髓带入金融企业
2006
M-Series
1996
Incorporated
1998
1999
Revenue Employees
2000
2001
2002
$500M 1000
T-Series
1500
5
2004
$1B 2500
2005
#789
Acorn
UAC
SSG
$2B $2.3B
– 2个选项：集成 (SurfControl) 或重新定向 (SurfControl 或Websense)
URL 请求
许可接入
XOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXO
Malformed Packet Protection • SYN and FIN bit set • No flags in TCP • FIN with no ACK • ICMP fragment • Large ICMP • IP strict source route • IP record route • IP security options • IP timestamp • IP stream • IP bad options • Unknown protocols
control)
探测保护 • Port scan • IP address sweep
PROTECTION
DoS 和 DDoS 防护
• SYN flood • 包括syn proxy和syn
cookie 方式
• ICMP flood • UDP flood • IP spoofing • Per-session limiting • SYN fragments •恶D意e数fau据lt包pa防c护ket deny •• SPiYnNg-AofCdKe-aAtChK attack • Land attack • Tear drop attack • WinNuke attack • IP source route • Loose source route
性能
小型/中型办事处/远程站点 /远程工作人员
大中型站点/分支办事处 /远程办事处
18
内部网络、服务供应商、 高速网关
网络分区有助加强安全性和管理
Untrust
Internet
Custom Zone (DMZ #2)
Custom Zone (DMZ #1)
Trust
• 接口与安全域是对应的 • 多个接口可与同一安全域对应 • 安全域间的流量必须通过安全策略控制
• Juniper 是全球IDP领域市场分额第二 2004-2006 Frost & Suቤተ መጻሕፍቲ ባይዱlivan
• Juniper在2006年国内网络安全市场分额第一 (Frost & Sullivan)
6
客户影响力不断提升－中国
• Juniper在大中国
– 已经为大中国各顶尖 运营商提供战略性网 络系统。
• 对入站和出站流量进行病毒扫描
XOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOX OXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXO XOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOX
19
HA Link
Custom Zone (Wireless LAN)
基于安全区的Denial-of-Service 防护
Firewall
Protected Network
防火墙保护 • 状态检测 (i.e., TCP and
UDP) • TCP顺序检测 • MAC 地址检测 • CRC 检测
内容保护 • Java/ActiveX/Zip/Exe 阻断 • 用户定义的恶意 URLs • URL 阻断 (Websense、surf
入侵防护解决方案
Intrusion prevention appliances that help protect networks and critical resources from attacks
整合接入控制解决方案
Juniper Unified Access Control (UAC) combines user identity, device security state and location information for session-specific access policy by user
致：John Subject：请打开这 个文件
丢弃受感染的电子邮件， 并向用户发送消息
24
Juniper的防病毒引擎
• 和业界领先的防病毒厂家(卡巴斯基Kaspersky)合作
– 一直以来该都被评为最佳的检测和响应引擎
• 新的防病毒解决方案包括的向内方向的Spyware / Adware / Keyloggers的阻断
Screen OS 5.1 and 5.2
Screen OS 5.3
FTP, Gnutella, HTTP, IMAP, NetBIOS, POP3, DNS, MSRPC, SMB, SMTP and Instant Messaging (AOL, MSN, Yahoo).
CHARGEN, DHCP, DISCARD, ECHO, FINGER, Gopher, ICMP, IDENT, IKE, IRC, LDAP, LPR, MS-SQL, NFS, NNTP, NTP, PortMapper, RADIUS, Rexec, rlogin, SunRPC, Rsh, RTSPRusers, SNMP/Trap, SQL Mon, SSH, SSL, Syslog, TELNET, TFTP, VNC, WHOIS
冒人的全球名单来阻断（及/或标记出）垃圾邮件 • 使用特定的域、电子邮件发送方或IP地址来创建定制的“黑名
单”和“白名单”
• 过滤垃圾邮件，由赛门铁克提供
XOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOX OXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXO XOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOX
– 已经为尖端教育科研 系统、银行系统、能 源系统、以及广泛的 商用市场/中小企业等 提供尖端网络系统服 务。
9
Juniper 安全系列产品 防火墙
防火墙议程
1. Juniper简介 2. Juniper 防火墙整合的安全功能 3. Juniper 防火墙硬件结构及性能方面与其
它产品的区别 4. Juniper 防火墙产品型号
SSL VPN Solutions
Product lines for secure LAN, extranet and intranet access to mobile employees, customers and partners with no client software deployment
Juniper Networks
防火墙产品
防火墙议程
1. Juniper简介 2. Juniper 防火墙整合的安全功能 3. Juniper 防火墙硬件结构及性能方面与其
它产品的区别 4. Juniper 防火墙产品型号
2
Gartner历年的评价 (2007年报告)
Juniper #1 out of 11 vendors
不希望的 / 主动发 送的电子邮件
全球垃圾 邮件数据库
减少没有价值的电子 邮件流量
26
内嵌Web过滤
• 控制Web的使用以提高员工生产率和网络资源利用率 并避免诉讼
– 防止用户访问已知的间谍软件和网页仿冒站点 – 通过预定义的或定制的URL列表来控制对网站的访问
• 可基于站点、内容类型或用户群来制订策略
11
SSG使用了业界最好的引擎与技术
保护 的企 业
入侵 防护
防病毒
反垃圾 邮件
网页过 滤
基本防 火墙
IPSec VPN
“ ” Layered protection model
12
安全产品分类
UAC Agent
企业安全路由解决方案
Service provider quality routers for the enterprise designed for remote, branch or regional offices