Embed Size (px)
DESCRIPTION
Презентация для доклада, сделанного в рамках конференции Juniper New Network Day 01.01.2014. Докладчик -- Senior System Engineer компании Juniper Дмитрий Карякин. Видеозапись этого доклада с онлайн-трансляции конференции вы можете увидеть здесь: http://www.youtube.com/watch?v=yqINtev0zdA
Citation preview
Copyright © 2014 Juniper Networks, Inc. 1 Copyright © 2014 Juniper Networks, Inc.
Сервисы NFVДМИТРИЙ КАРЯКИН
[email protected] #428
АПРЕЛЬ 2014
Copyright © 2014 Juniper Networks, Inc. 2
ОБЗОР ВИРТУАЛЬНЫХ СЕРВИСОВ
• Virtual MX
• Virtual Route Reflector
• Virtual Routing Engine
• Virtual PE
• Virtual CPE
• Virtual Cell Site Router
СЕТЬБЕЗОПАСНОСТЬ
• Firefly Perimeter
• Firefly Host
• Junos Space Virtual Director
• DDoS Secure
• WebApp Secure
• Virtual Secure Access
• Secure Analytics Virtual
• Virtual Wireless Lan Controller (vWLC)
• SmartPass
• SmartPass Connect
• Virtual CGN
• Virtual CDN
• Virtual Junos Content Encore
ПРИЛОЖЕНИЯ
Copyright © 2014 Juniper Networks, Inc. 3
FIREFLY PERIMETER
Firefly Perimeter
VMVMВиртуальная версия SRX; межсетевое экранирование 5 Гбит/с; NAT, маршрутизация, VPN связность в формате виртуальной машины
Официально доступен с января 2014 для Vmware и Contrail
VM VM
Secure
Copyright © 2014 Juniper Networks, Inc. 4
FIREFLY PERIMETER
Firewall
VPN
NAT
Network AdmissionControl
Безопасность
Anti-Virus
IPS / IDP
Web Filtering
Anti-Spam
Контент
ApplicationAwareness
IdentityAwareness
Приложения
CLI, JWeb, SNMP, JSpace- SD, Hypervisor Management, HA/FT
Junos Routing Protocols и SDK
Богатый и расширяемый стек безопасности JunOS
Основан на проверенном и полнофункциональном коде Junos SRX
Copyright © 2014 Juniper Networks, Inc. 5
ОТКАЗОУСТОЙЧИВОСТЬ И ВЫСОКАЯ ДОСТУПНОСТЬ
FIREFLY PERIMETER
Firefly Perimeter поддерживает кластеризацию шасси в режиме Active/Active и Active/Passive. Переключение между устройствами обеспечивается с сохранением
всех пользовательских сессий.
HYPERVISOR
VM VM
Virtualized Environment
HYPERVISOR
VM VM
Virtualized Environment
Firefly Perim Customer 1
(Active)
Firefly Perim Customer 1 (Passive)
Firefly Perim Customer 2
(Active)
Firefly Perim Customer 2(Passive)
Copyright © 2014 Juniper Networks, Inc. 6
МОНИТОРИНГ И КОНТРОЛЬ
• Провижининг - создание и управление экземплярами Firefly perimeter
• Загрузчик – включение конфигурации для новых экземпляров ВМ
• Мониторинг – управление отчетностью
• Автоматизация – пошаговое выполнение задач
JUNOS SPACE VIRTUAL DIRECTOR
Copyright © 2014 Juniper Networks, Inc. 7
Интегрированное решение безопасности в ядро гипервизора, межсетевое экранирование 35+ Гбит/с, антивирус, IDS, самоинспекция, мониторинг сети
ДОСТУПЕН ДЛЯ VMWARE, ДЛЯ CONTRAIL БУДЕТ В 2014
FIREFLY HOST (VGW)
Firefly Host Engine
VMVM1 VM2 VM3
VMWARE DVFILTER
VMWARE VSWITCH OR CISCO 1000V
HYPERVISOR
ES
X K
ernel
ES
X H
ost
Firefly Host SECURITY VM• POLICY FROM MGMT TO ENGINE• LOGGING FROM ENGINE TO MGMT• IDS ENGINE• DEPLOYED AS HA PAIR• DELIVERED AS VIRTUAL APPLIANCE
The Firefly Host ENGINE• FULL FW
IMPLEMENTATION IN THE KERNEL
• STATEFUL FW• PER-VM POLICY
Copyright © 2014 Juniper Networks, Inc. 8
JUNOS DDOS SECUREПредотвращение атак «volumetric» и «Low and Slow» на приложения
Эвристический анализ
Легитимный трафик
Трафик DDoS атаки
Легитимный трафик
Преимущества
Комплексное Анти-DDoS решение
• Детектирование и минимизация мультивекторных DDoS атак, включая определенные приложения
• Обеспечивает доступность ресурсов для легитимных пользователей, блокируя нежелательный трафик
• Эффективен на 80% через 10 мин. после установки
• Эффективен на 99.999% через 6-12 часов
• Динамическая безсигнатурная эвристическая технология
• Не требуется подстройка порогов сброса
• Гибкие варианты развертывания: физическое устройство или виртуальная машина
Copyright © 2014 Juniper Networks, Inc. 9
Механизм ловушек для обнаружения угроз без ложных срабатываний
Трекинг по IP, браузеру, ПО и другим
параметрам
Оценка возможностей и намерений
злоумышленника
Адаптивная реакция: блокирование,
предупреждения, обман
Защита web-приложений на основе обмана злоумышленников
JUNOS WEBAPP SECURE
Детектирование Отслеживание Профилирование Реакция
Copyright © 2014 Juniper Networks, Inc. 10
Безопасный удаленный доступ по SSL VPN
VIRTUAL SECURE ACCESS
ЦОД предприятия
Виртуальная SSL VPNинфраструктура
AAA
Data Server
Apps Server
Finance Server
ЦОД оператора или крупного предприятия
Публичная сеть Apps
Мобильные пользователи Сервис включен внутри
виртуальной инфраструктуры
Предназначен для больших инсталляцийРаботает на различных платформахОбеспечивает маршрутизацию контента с минимальной задержкой и максимальной полосой
Поддерживает Junos Pulse Secure Access Service
Copyright © 2014 Juniper Networks, Inc. 11
Централизованная система логирования, мониторинга и отчетности
Основан на Q1-Labs, ранее - STRM
SECURE ANALYTICS (JSA)
• Сокращает OPEX• Сохраняет данные о событиях и потоках данных в едином хранилище• Поддерживает конфигурации для различных производителей
• Совместимость• Преднастроенные отчеты COBIT, FISMA, GLBA, GSX-Memo22, HIPAA, NERC, PCI и
SOX• Сбор потоков по протоколам NetFlow 1,5,7,9; IPFIX, JFlow, SFlow, QFlow, Packeteer
• Улучшает визуализацию• Поддерживает отчетность и графики для любых событий• Коллектор flow-потоков позволяет выполняет проактивные действия
• Улучшает детектирование• Механизм JSA фиксирует нарушения и аномалии• Встроенная поддержка GeoIP и репутации
• Масштабируемость• Поддерживает до 7M событий в секунду• Поддерживает распределенный сбор данных о событиях и потоках
Copyright © 2014 Juniper Networks, Inc. 12
Виртуальный контроллер беспроводной инфраструктуры
JUNOSV WIRELESS LAN CONTROLLER
• Применяется код программного обеспечения WLC на виртуальной машине
• Работает на стандартном x86 аппаратном обеспечении
• Поддерживает весь функциональный набор аппаратного контроллера
• Допускает смешанную кластеризацию совместно с аппаратными контроллерами
• Пропускная способность и количество пользовательских сессий зависят от выделенных ресурсов для ВМ• Максимально 500 точек доступ и 6400 пользовательских сессий
• Поддерживает функционал гипервизора: vMotion, snapshots, cloning, templates
VMWare vCenter
VM
VM
VM
VM
Virtual Distributed Switch
WLC
Hypervisor on x86 HW
JunosV WLC
EX Series
WLA Access Points
Copyright © 2014 Juniper Networks, Inc. 13
Приложение для управления гостевым доступом
SMARTPASS
• Модуль гостевого доступа• Легкое управление• API для интеграции с внешними приложениями• Авто-регистрация и рассылка пароля доступа через SMS / Email • Политики доступа основанные на MAC адресе гостевого устройства
• База данных пользователей сервиса• Детальная информация об устройствах использовавших приложение
• Модуль политик доступа• Поддержка RFC 3576 (Dynamic Radius) позволяет изменять атрибуты авторизации или
отключать клиентские сессии• Местоопределение устройств
• Позволяет разрешать или блокировать доступ в зависимости от местонахождения устройства• Позволяет менять любой AAA атрибут в зависимости от местонахождения устройства
• Политики доступа (на основе местоположения, на основе времени, или комбинация обоих)
Centralized Guest Access
Database
Copyright © 2014 Juniper Networks, Inc. 14
Автоматическое самообслуживание устройств BYOD
SMARTPASS CONNECT
• Автоматическое подключение BYOD устройств • Безопасный доступ (802.1x или PSK) к беспроводной сети• Безопасный доступ 802.1x к проводной сети
• Аутентификация• Использует встроенные в ОС supplicants• Credentials (PEAP, TTLS) или Certificates (TLS)
• Автоматический процесс запроса и установки сертификата на клиентском устройстве
• Устройства• iOS, Android, Windows, Mac
15 Copyright © 2014 Juniper Networks, Inc.
VIRTUAL MX
Описание• Junos virtual “MX” running on x86
• Control and forwarding planes
Примечание• < 1GB per instance requirement – availability 2014• > 1GB per instance – availability 2015
Доступность• 2014+
16 Copyright © 2014 Juniper Networks, Inc.
Описание• Junos Virtual Route Reflector• Virtualization of RR changes the delivery/deployment model of RR to add service agility• Faster RR CPUs allow larger network segments controlled by one RR – lower the number
of RRs required in a network
Примечание• Junos 13.3R2• Sample CPU: 16-core Intel Xeon E5620 2.4GHz, 48GB RAM
Доступность• 2014
VIRTUAL ROUTER REFLECTOR (VRR)
17 Copyright © 2014 Juniper Networks, Inc.
Описание• Decouple the hardware and functions from a physical CPE to a virtual CPE• Network services with cloud service attributes• Simple, on-demand, access/device independent• Reduction in support costs• Faster time to market
Примечание• Junos 13.2• Junos Space Cloud CPE Application• Phase 2+ - Service Chaining
Доступность• 2013 – Phase 1
VIRTUAL CPE (VCPE)
18 Copyright © 2014 Juniper Networks, Inc.
Описание• Junos Content Encore
Примечание• High performance caching and request routing engines for use in content delivery and
multiscreen solutions• Transparent caching and content optimizations• HTTP proxy and HTTP header manipulation services
Доступность• 2014
VIRTUAL CACHE
Copyright © 2014 Juniper Networks, Inc. 19 Copyright © 2013 Juniper Networks, Inc.
ВОПРОСЫ?
