Juniper金融银行业网络及安全解决方案.ppt

《Juniper金融银行业网络及安全解决方案.ppt》由会员分享，可在线阅读，更多相关《Juniper金融银行业网络及安全解决方案.ppt（72页珍藏版）》请在三一办公上搜索。

1、,Juniper金融行业解决方案,Juniper 公司简介,Juniper,致力于解决网络和安全的最尖端的难题，以技术创新为主导的公司,Includes Acquisitions,超过1900人的研发队伍(45%),每年3 亿美金的产品研发投入,可靠、安全和速度Juniper 企业解决方案,UAC,Enterprise Core Routers,FUNK,Secure Access SSL VPN,Security Management,Integrated Firewall/IPSec VPN,Intrusion Prevention,J-Series Edge Routers,DX&WX,

2、Juniper 企业解决方案组成,三大系统、六大技术门类，都以网络通信为应用目的群体与群体之间的安全通信 安全网关系统个体与群体之间的安全通信 安全接入系统传输通道的建立与优化 广域网优化通信系统,Juniper Networks 金融行业防火墙方案,大型银行网络结构,Branch,Data Center MainShanghai,Data Center BackupBeijing,总行/数据中心,一级行（省行）,二级行（地市行）,ISP1,ISP2,WAN1,WAN2,Branch,数据集中处理流程,主机,主机接入,协议转换网络,广域网接入,协议转换,分行大前置机,数据中心,行,网点前端,网

3、点,SNA,DLSWSNA Over IP,SNA,IP,终端,ATM,前端,DLSW,DLSW,WAN,CIP,大前置,TokenRing,分,数据中心防火墙方案,一级分行,一级分行,数据中心,交 换 核 心,生产业务系统,网银/中间业务,OA办公系统,开发测试系统,经营管理系统,网管系统,externet,internet,internet,一级分行防火墙方案,营业网点,营业网点,一级分行,总行业务网,总行办公网,交 换 核 心,生产业务系统,OA办公系统,internet,中间业务系统,extranet,经营管理系统,ATM机防火墙保护方案,专线连接：提供安全性无线连接或ADSL:提供安

4、全性与其它收益,大幅度降低银行ATM自助终端业务运营成本扩大ATM机的铺设范围 缩短ATM机的铺设周期 增加ATM机移动、迁移的灵活性 为银行带来其它不可忽视的众多收益,ATM方案投资回报分析,Secure Meeting for cross-enterprise,online meetings,我们以一个分行向CDMA迁移200台ATM机计算：迁移前：以电信DDN专线连接每条线路租金：￥1,000/月200台一年的专线运营成本：200*￥1000*12=2,400,000/年迁移后：部署VPN安全接入解决方案，以ADSL方式连接，每条线路的ADSL费用：￥150/月每台ATM机内部部署的安全

5、网关的费用：￥6,000/台分行/支行 部署的VPN中心安全网关的费用（双机冗余）：￥150,000*2=￥300,000方案投资费用：200*￥6,000+￥300,000=￥1,500,000迁移后运行一年的运营成本：200*￥150*12=￥360,000迁移前后运营成本差别：￥2400000-￥360000=￥2,040,000/年结论：迁移后，运行不到1年即可收回方案所有投资费用，并且每年运营成本节省2,040,000/年,银行防火墙部署环境需求,流量：数据中心 200M，一级分行 1030M 连接数：数据中心5万，一级分行5000 功能及版本：ScreenOS 5.0内网生产网：基

6、本的访问控制(ip/port)内网OA网：访问控制、防蠕虫、防扫描、深层检测外联网：NAT，访问控制OA的Internet出口：抗DoS、访问控制、防蠕虫、防扫描、深层检测、URL过滤接口使用/区段划分：26/24工作模式：所有银行部署均使用路由模式HA需求：所有银行部署均使用AP或AP-Full Mesh,Juniper Banking solution,Internet,Data Center MainShanghai,Data Center BackupBeijing,Extranet,ATMS,防火墙异构在银行的需求,电信路由器,ALO-0,ALO-1,东软防火墙,Alteon-02,

7、6509-01,Nokia防火墙,Alteon-01,Alteon-11,Alteon-12,6509-02,Alteon-22,Alteon-21,6509-11,6509-12,Alteon-31,Alteon-32,Alteon-41,Alteon-42,Netscreen防火墙,分布层6509,分布层6509,Internet,Overview of Juniper strength in banking,Banking customer in China,Thousands of fws running in banking network,中国银行：全国范围部署Juniper Ne

8、tscreen 防火墙包括5200/500/208/204/100 等，总数200台左右 中国农业银行：数据中心，某些一级行部署Juniper Netscreen 防火墙包括5200/200 系列等。中国工商银行：全国南北数据中心、全国各省行全部部署JuniperNetscreen 防火墙，产品包括5000/2000/500/208/204 等，总数500 台以上。中国建设银行：数据中心，某些一级行部署Juniper Netscreen 防火墙2000/1000/200 系列等 中国农业发展银行：数据中心各、全国各省行均采用Juniper Netscreen 防火墙，包括5200/500/20

9、4/208防火墙。共600多台。中国光大银行：总行及全国各省行采用Juniper Netscreen 防火墙，包括500/200/100总数200台以上 中国造币总公司：全国采用Juniper Netscreen 防火墙，包括500/200系列等 中国邮政储蓄：总部及全国各省行采用Juniper Netscreen 500防火墙 中国人民银行：部分分行采用 Juniper Netscreen 防火墙。深圳发展银行：部分采用Juniper Netscreen 防火墙。,Juniper 银行业经验价值,“Juniper 不仅仅是把这些当作一个个的案例，而是把这些资源作为我们能为每一个银行用户提供更

10、好的服务和产品的基础，我们有专业的银行服务支持小组，负责把这些银行的服务联成一个大的体系，每一家银行用户在这个大体系中都不是孤立的，而是靠我们的服务和支持使之互通的，在经验相互共享、相互参照中获得健康的生存，每家客户的网络安全性都靠这个大的体系获得了更强的生命力”Juniper Networks,Inc.,Juniper firewall product line,办公室,区县,总部,地市,省级单位,Juniper 防火墙产品线,NetScreen-5GT,NetScreen-25/50,NetScreen-Hardware Security Client,NetScreen-5400,ISG

11、 2000,ISG1000,NetScreen-5GT Wireless,NetScreen-5200,100M,200M,4G-30G,200-600M,1G-4G,SSG520,SSG550,Netscreen-500,Netscreen204/208,品质就是不一样,ISG 2000,保护的企业,入侵防护,反垃圾邮件,用户认证授权,基本防火墙,防病毒,业界最优的防火墙产品,IPSec VPN,被Gartner评为防火墙领域的领导者,Juniper#1 out of 18 vendors,Gartner Magic Quadran报告是针对IT特定细分市场上的厂商实力所进行的极具声望的评价

12、，它从各个方面来全方位评价厂商，包括产品线的完整度和功能、技术实力、创新性、成功实施情 况、满足客户现有和未来需求的能力，以及包括服务和支持在内的执行能力、市场 份额、财务健康状况和其它关键指标,被Gartner评为防火墙领域的领导者,Juniper#1 out of 14 vendors,Gartner Magic Quadran报告是针对IT特定细分市场上的厂商实力所进行的极具声望的评价，它从各个方面来全方位评价厂商，包括产品线的完整度和功能、技术实力、创新性、成功实施情 况、满足客户现有和未来需求的能力，以及包括服务和支持在内的执行能力、市场 份额、财务健康状况和其它关键指标,国内防火墙

13、市场分额Juniper稳步上升,Source:Frost&Sullivan,国内安全市场分额06年Q1第一,Source:Frost&Sullivan,Juniper 全球高端防火墙市场分额,举例来说，Juniper在05年全球卖出了5000台左右的高端千兆设备，而fortinet只卖了170台左右,Juniper Networks 金融行业入侵检测与防御(IDP)方案,IDS只检测攻击不阻挡攻击,00000000000000000000000000000 000000000000000000000000000 00000000000000000000000000000000000000000

14、000000000000000000000000000000000000000000000000,000000000000000000000000000,000000000000000000000000000,000000000000000000000000000,000000000000000000000000000,0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000

15、0000000,00000000000000000000000000000000000000000000000 00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000,拒绝流量,允许流量,拒绝一些攻击,公司网络,Juniper-IDP是一个主动的，在线方式的，能够在线检测攻击并在检测过程中将恶意流量丢弃的系统,真正的入侵保护：Juniper-IDP第一台能够丢弃攻击的安全设备,用户,服务器群,用户,用户,Mail服务器,Web服务器,防火墙,Code r

16、ed,HTTP Traffic,IDS只是空摆设,时间,保证安全的条件：Dt+Rt Pt,Juniper-IDP 能帮用户解决的问题,检测并阻断拒绝服务攻击检测并且阻挡针对多种应用服务器和主机的攻击检测并且阻挡网络病毒和蠕虫的传输检测并且阻挡P2P的网络流量网络邻居共享BT下载QQ,MSN检测并且阻挡后门程序、Spyware的流量检测自定义的违规行为完全完成IDS系统的功能,Juniper的IDP技术创新,1st 检测和防范攻击的安全设备能够丢弃恶意数据包1st 多方式检测(MMD)能够最大化攻击的检测1st 基于状态签名的检测通过检查相关的数据流量来减少误报1st 中央式、基于策略的管理1s

17、t 支持针对所有及时短消息协议(Instant Messaging Protocols)的保护，防止潜在的系统缺陷1st 支持当天对微软软件漏洞提供防护的安全设备1st 有能力提供每天攻击状态签名更新的公司1st 针对间谍软件提供抵御措施1st 更多,Juniper Networks 金融行业移动办公(SSL VPN)方案,银行业移动办公解决方案,MRP/ERP,Intranet/Web Server,Unix/NFS,企业内部广域网,客户,Directory Store,合作伙伴,企业的合作伙伴与客户,ServerFarms,E-mail,在外的网管人员,出差员工/分支机构员工,本企业的在外

18、员工,家庭办公人员,=加密的外部会话=标准的内部会话,内部员工用机,方案优势,实施简单(免客户端软件、免服务端配置）使用方便（随时随地、任意设备、对人的要求低）扩展性强，适合快速的大规模扩展安全（应用层，比IPSec 更高的安全性）投资成本低特别适合保险、传媒等行业,移动办公解决方案举例,移动办公解决方案举例,Gartner的评价,Juniper#1 out of 16 vendors,Gartner Magic Quadran报告是针对IT特定细分市场上的厂商实力所进行的极具声望的评价，它从各个方面来全方位评价厂商，包括产品线的完整度和功能、技术实力、创新性、成功实施情 况、满足客户现有和未

19、来需求的能力，以及包括服务和支持在内的执行能力、市场 份额、财务健康状况和其它关键指标,2005年市场分额,Source:Infonetics Research,VPN&Firewall Products Appliances and Software,2005 Report，Unit Market share,Juniper 46%,F5 12%,Aventail 11%,Nokia 5%,Other 27%,JNPR is#1 in the SSL market.,市场分额长期情况-2004,市场分额长期情况-2003,Juniper SSL 获得的奖项,Info World test A

20、ward Network World World Class awardNetwork Computing Editors choice:InfoWorld Test AwardPC Magazine Editors choicehttp:/Magazine First Lookhttp:/,Secure Enterprise-Testers Choice Award(#1 out of 9 vendors)Aug 01,2005,NetworkComputing-Editors Choice(#1 out of 8 vendors),InfoWorld Top Honors(#1 out o

21、f 6 vendors),Juniper是SSL VPN领域的领导者,市场领导地位,产品评测Awards Nov.2003 to present,#1 of 7,#1 of 8,#1 of 6,More than 1,250 enterprise customer deploymentsGreater than 2 million licensed users worldwide,市场份额,Infonetics,Juniper Networks 金融行业网络加速与优化(WX)方案,方案概述,作用通过数据压缩、应用加速、流量控制和应用监控等功能，提供综合的广域网优化解决方案目标改善企业应用系统在

22、广域网上的传输性能，从而提升其商业效率,Optimize data transfer between Networks connected via WAN,Data Center,Branch 1,Branch 2,HQ,Web-enabled=10 x bandwidth,Bandwidth,Server consolidation,New apps,App performance,Data replication,QoS,VoIP,为什么需要广域网优化？,广域网优化技术的崛起传统技术-数据压缩、QoS服务质量、流量整型等新兴技术-应用加速、网络缓存、应用管理监控等广域网优化市场的发展趋势目

23、前的特点：单一的技术、单一的产品导致存在诸多单一市场发展趋势：技术融合、市场融合,形成综合的广域网优化技术和市场,应用加速,网络缓存,目前网络加速市场的问题,Juniper 是此领域拥有最全面技术解决方案的厂商,*Requires a separate box,Compression,Reporting,QoS,Path Optimization,Sequence Caching,HTTP Acceleration,TCP/FEC Accel.,Exch(MAPI).Accel.,CIFS Acceleration,IP SEC Encryption,*,*,WAN Optimization,

24、Juniper是唯一在广域网优化领域提供最全面解决方案的厂商,通过WX和WXC系列产品提供10到100倍的带宽容量减少了网络的数据流量节省WAN链路升级投资节省添加额外的路由器/交换机模块,应用性能报告、监控和远程管理具有WAN探测器功能提供WAN监控和报告软件节省额外的人工维护管理成本,通过TCP和应用层加速技术，提高应用响应时间提高用户满意度提高内部员工的效力提高商业运行效率,带宽管理和多链路路径优化提高了带宽利用效率解决了应用冲突的烦恼提供了应用保护的功能,Juniper WX Frameworks技术体系架构,部署透明、简单,EasyLAN side of routersNo rout

25、ing changes10-minute or auto installReliableFault-tolerant bypass modeIntegrates withH/A environmentsLoad-balanced networksFlexiblePoint-to-point and multi-point networksAny WAN connectionWorks with private IP,VPNs,or MPLS networks,LAN,LAN,LAN,Switch,Switch,Switch,WAN,Router,Router,Router,银行广域网优化提速解

26、决方案-Banco Santander Central Hispano,需求：核心数据频繁备份 需要在Miami 与 New York 这2 个站点之间，利用T1线路实现Veritas的磁盘卷的复制，一次性备份数据量高达40GB 需要快速完成数据备份，减少带宽消耗,应用Juniper WX后带来的收益：(1)广域网传输数据量减少了68%(2)简单的管理和快速的复制速率减少了95%的维护时间(3)节省链路扩容费用$60,000/年。,银行广域网优化提速解决方案-Absa,Absa(Amalgamated Banks of South Africa)是南非第二大银行，业务遍及南非、坦桑尼亚、莫桑比

27、亚等非洲国家，提供商业银行业务、金融、保险等服务 IT管理上存在的问题：Absa的网络数据流量不断增加Absa想将企业应用分布到各地的数据中心，但受阻於广域网链路的限制，如带宽紧张、应用延迟较大、无法保证QoS有些链路只有64Kbps，而且链路成本非常昂贵。例如：由莫桑比亚至南非的64Kbps的卫星链路成本$1,700/月，IT部门预计须每年增加两百万以支付广域网链路租金寻求解决方案曾经研究路由器的压缩方案，但是路由器负担过重而且增加了应用延迟寻找一些数据压缩产品，但这些产品缺乏全面的优化手段在市场上，很多厂商只支持单一功能的产品，有只增加带宽的、也有只支持服务质量最终发现Juniper WX

28、的序列压缩产品不仅支持增加带宽功能、也支持服务质量、而且用户对包流加速非常感兴趣，因为此功能帮助缩减应用延迟,银行广域网优化提速解决方案-Absa,Absa在关键的地区部署45台Juniper WX分子序列压缩器，以应付不断增加的数据流量 WX方案增加了从Absa各区主要的分行到网络中心三倍的带宽，同时也提供实时监测功能，使Absa能即时了解到每个应用对数据通信模式的影响 WX序列压缩器減少了Absa广域网上76的通信流量，为分布式的应用策略提供基础 与广域网的租金相比，WX的解决方案相等於广域网的十一个月的租金,典型案例分析-ABSA,运行报告Oracle/ERP实现约4倍压缩Mail实现约

29、3倍压缩Web实现约4倍压缩带来的好处Peribit解决方案增加了从Absa各区主要的分行到网络中心三倍的带宽，同时也提供实时监测功能，使Absa能即时了解到每个应用对数据通信模式的影响Peribit序列压缩器減少了Absa广域网上68的通信流量，为分布式的应用策略提供基础与广域网的租金相比，Peribit的解决方案相等於广域网的十一个月的租金Peribit的解决方案提供了综合的优化手段，如数据压缩、应用加速、QoS功能、中央管理系统及应用监控等功能,WX销售如何引导用户？,A、有所少分布在全球或全国的分支机构，是否通过广域网连接这些分支机构，他们的链路带宽租金是否昂贵？B、用户是否现在有增加

30、带宽的需求？C、网络链路的延迟大吗？例如象网通和电信之间的互连（很多使用Internet做VPN的企业遇到这个问题，延迟很大，应用性能很差）D、是否因为有数据集中的考虑，而考虑广域网优化，保证系统集中后，分支机构对数据中心系统的数据访问性能？E、是否因为做数据中心的异地备份，而考虑广域网优化（前提是数据中心和备份中心之间通过广域网连接）F、是否有特殊的应用需要有足够的网络资源保证（如视频会议、voip）G、是否现有的典型应用如Http、FTP、EMAIL、CIFS、Exchange Server、数据库（ERP）等性能较差？H、是否用户特别希望了解各种应用系统在网络上的运行状况？,Junipe

31、r Networks 金融行业网站解决方案(DX)方案,网上银行解决方案,Transaction Validation,Old Solution for building Web data Center:SLB at the center Rapid proliferation of limited functionality,point productsFor resiliency,each box must be duplicatedData center becomes unmanageableLots of Web and Application servers,网上银行解决方案-Ju

32、niper DX,将Web服务器的容量提高10倍将用户下载速度加快70%将带宽利用率降低70%提供7层负载均衡，Catch能力自动保护应用安全(SSL,入侵保护）,Juniper DX,市场公共网站零售、媒体、旅行、金融等企业网站基于web的所有应用,网上银行解决方案-扩容,所有连接都终接在Juniper DX上到Juniper DX的浏览器连接与到服务器的连接的比例是：50:1 1000:1提高了服务器可扩展性并缩短了响应时间不再为管理连接而消耗CPU和内存,以线速向Juniper DX发送响应消息，解决了日志拥塞问题,通过Juniper DX服务器在几毫秒内生成响应消息，并能够在几毫秒内将

33、消息发送给Juniper DX解决方案:无服务器日志拥塞；服务器速度提升至线速水平！,网上银行解决方案-压缩提速,最终用户 带宽 服务器,网络安全级别防止协议范围内的恶意网络行为线速抵御DDOS、SYN泛滥、窃听和登录等攻击协议安全级别防止协议范围外的行为TCP/HTTP协议整理、发送无缺陷的数据 包、阻止非法请求等应用层安全级别防止恶意的合法请求阻止缓存溢流、拒绝恶意请求、阻止CodeRed和Nimda等运营商/用户安全级别安全管理Juniper DX，保护应用和用户数据FIPS 140-2 3级认证、自动SSL和验证等,网上银行解决方案-网站全面安全防护,Juniper Networks

34、金融行业统一访问控制管理(UAC)方案,数据中心关键业务应用,文件服务器,ERP,CRM 等,Infranet执行端(EP),AAA 服务器身份存储,1.端点访问,验证,修正,遏制&自我保护,统一访问控制管理方案,(EP),(EP),市场机遇已经到来!,“大约有40的大型企业正在谋划在未来的1218个月内部署内网的访问控制解决方案。Forrester Research,“一旦企业用户在网络边界处建立了安全体系，他们将会将重点转向企业的内部，NAC(内网访问控制）将是他们必然要投资的地方。Infonetics Jan 2006 Enforcing Network Access Control:M

35、arket Outlook and Worldwide Forecast,“我们预计，到2007年，80的企业用户将会部署NAC（网络访问控制）解决方案，这个方案不仅仅包括无线的，远处的VPN接入，也包括企业的内部网络。Gartner,Jan 2006-Pitfalls Lurk Where IP Telephony Meets Network Access Control,UAC 解决方案的目标客户,大量部署Netscreen防火墙或IDP的老客户 用户的好处方案部署简单，只需要加入IC设备即可IC可以统一的对防火墙的访问控制策略进行下发。需要端点安全的强制执行能力终端接入控制终端安全软件的安装与网络访问权限相结合增强的个人防火墙功能需要基于身份认证进行网络访问控制需要全面的审计功能内网基于用户的VPN连接的访问,70,Copyright 2004 Juniper Networks,Inc.Proprietary and C,Juniper Netscreen 防火墙全球金融行业客户,全球10强商业银行的7个 全球10强投资银行的6个 中国4大国有商业银行、政策行与主要商业银行 Top 3 banks in Singapore and Hong Kong SWIFT Bloomberg VISA+many more,谢 谢,