SRX产品介绍.doc
- 文档编号:1220113
- 上传时间:2023-04-30
- 格式:DOC
- 页数:11
- 大小:2.18MB
SRX产品介绍.doc
《SRX产品介绍.doc》由会员分享,可在线阅读,更多相关《SRX产品介绍.doc(11页珍藏版)》请在冰点文库上搜索。
JuniperSRX3400产品
产品概述
瞻博网络SRX3000系列业务网关是新一代解决方案,能够满足大型企业和电信运营商环境对网络基础架构和应用安全性不断增长的需求。
SRX3000系列从底层设计开始就着眼于提供灵活的处理扩展能力、I/O扩展性和高级集成能力,能够满足数据中心高度整合、托管服务快速部署和安全解决方案汇聚等应用对网络和安全的需求。
SRX3000将路由功能、JunosOS的电信运营商级高可靠性以及ScreenOS的多种安全特性结合在一起,为保护现代化的网络基础架构和应用提供了必要的、紧密的特性/服务集成能力。
SRX3400业务网关与SRX3600使用相同的SPC、IOC和NPC,最多支持20Gbps的防火墙吞吐量、6Gbps的防火墙和IPS吞吐量、或6Gbps的IPsecVPN吞吐量以及每秒最多17.5万条新建连接。
SRX3400最适合保护并分割大型企业数据中心/网络基础架构以及不同安全解决方案的汇聚环境。
SRX3400提供了为每个分区实施不同安全策略的功能,并且能够随网络需求的增长进行扩展,因此,它是中小型服务器机房、托管站点或移动运营商的理想部署选择。
SRX3400业务网关也由瞻博网络NetworkandSecurityManager软件负责管理。
SRX3000系列的服务处理卡*
作为SRX3000系列的“核心”,SPC负责处理平台上提供的所有服务。
SPC无需您为特定服务或应用安装专用硬件,也不允许出现某些硬件组件负担过重、其他硬件组件闲置的情况。
SPC被设计成集中在一起,使SRX3000系列能够通过启用其它的SPC来扩展性能和容量,从而大大地减少了管理开支和复杂性。
SRX3600和SRX3400使用相同的SPC(注:
系统正常运行至少需要1个NPC和1个SPC)。
SRX3000系列的I/O卡*
除了支持固有的铜缆端口、小型可插拔收发器(SFP)和高可用性(HA)端口的理想组合外,SRX3000系列还支持同类产品中最高的I/O端口密度。
SRX3000系列中的每个业务网关都可配置一个或多个IOC,每个IOC都支持16Gbps接口(16口铜缆或光纤千兆以太网)或20Gbps接口(2口万兆XFP以太网)。
SRX3000具备支持多个IOC的灵活性,能够在接口数量与处理能力之间实现理想均衡(注:
系统正常运行至少需要1个NPC和1个SPC)。
SRX3000系列的网络处理卡*
为了确保最高的处理性能和灵活性,SRX3000系列利用NPC将入站和出站流量分配给适当的SPC和IOC、应用QoS、并且执行DoS/分布式拒绝服务(DDoS)攻击防御任务。
您可将SRX3600配置为支持1-3个NPC,将SRX3400配置为支持1-2个NPC。
SRX3000系列允许配置更多的NPC,以便您通过定制解决方案来满足特殊的性能要求(注:
要想系统正常运行,您至少需要1个NPC和1个SPC)。
特性和优势
网络和安全性
特性
特性说明
优势
专用平台
从底层设计开始就基于专用硬件,旨在支持网络和安全服务
提供无与伦比的性能和灵活性来支持高速网络环境
SRX3000系列从底层设计开始就着眼于提供强大的网络和安全服务。
可扩展的性能 基于动态服务架构,提供可扩展的处理能力 提供经济高效的简单解决方案,利用新技术来执行适当的处理任务
系统和网络永续性 提供运营商级硬件设计和经过实践检验的操作系统 满足所有关键的高速网络部署的可靠性需求
高可用性(HA) 支持主用/备用和主用/主用HA配置,使用专用的HA控制接口 实现高可用性和永续性,支持关键网络
接口灵活性 采用板载端口和模块化的CFMI/O卡,提供灵活的I/O选项 支持灵活的I/O配置和独立的I/O可扩展性,能够满足多个网络环境的端口密度要求
网络分割 提供安全区、VLAN和虚拟路由器,管理员可以部署安全策略, 提供的功能可以为不同的内部、外部和DMZ子组定制特殊的安以便隔离客人和地区服务器或数据库 全性和网络策略
强大的路由引擎 专用路由引擎,同时对数据和控制平面实施物理和逻辑分割 允许部署整合后的路由和安全设备,同时确保路由基础架构的安全性—均通过一个专用管理环境实现
全面的威胁防护 在Junos上提供紧密集成的服务,包括数千兆位的防火 提供无与伦比的集成能力,在各级攻击环境中均可确保网络安全墙、IPsecVPN、IPS、DoS、应用安全和其他网络和安全服务
状态GPRS检测 在移动运营商网络中支持GPRS防火墙 在移动运营商网络中,SRX3000系列提供状态防火墙功能以保护主要的GPRS节点
基于角色/身份的接入控制实施 通过瞻博网络统一接入控制解决方案与SRX3000的紧密集成, 通过集成SRX3000与瞻博网络统一接入控制解决方案基于标确保安全地访问数据中心资源 准的接入控制功能,能够为企业数据中心提供基于用户/身份的
安全服务
流量检测方法
SRX系列支持种类繁多的检测方法,以便准确识别流经网络的应用和流量。
特性 特性说明 优势
4
协议异常检测 针对已经发布的RFC对流量使用情况进行验证,以便检测出任何攻击或滥用
主动保护网络免遭未经披露的安全漏洞的攻击
流量异常检测 通过启发式规则来检测可能预示着侦听或攻击的意外流量模式 主动防止侦听活动或阻断DDoS攻击IP欺骗检测 通过查看网络内外部获准使用的地址来验证IP地址的真实性 只允许授权流量穿行,阻断伪装流量DoS检测 防御SYNflood、IP、ICMP和应用攻击 保护关键网络资产免遭拒绝服务攻击
AppSecure
特性
特性说明
优势
AppTrack
基于字节、数据包和会话详细分析网络上的应用数量/使用情况
能够跟踪应用的使用情况,帮助识别高风险的应用并分析流量模式,以改进网络的管理和控制
瞻博网络AppSecure是新一代安全套件,它利用高级应用识别和分类功能为网络提供更大的可视性、执行、控制和保护。
AppFW 利用细粒度的应用控制策略,基于动态的应用名称或群组名称来 基于应用和用户的角色(而非传统的端口和协议分析)来增强安允许或拒绝流量 全策略的创建和执行
AppQoS* 基于应用信息和上下文为流量设置优先级 基于应用信息和上下文为流量分配优先级,并限制和调整带宽,以改进应用和总体的网络性能
AppDoS 利用多级检测方式来识别和缓解针对应用的分布式DoS攻击 过滤和拦截恶意流量,同时允许合法流量通过,从而防止针对应用的攻击引起服务中断
应用特征码 提供700多个特征码,以识别应用和嵌套应用 能够准确识别应用,相关的信息可以用于支持可视性、执行、控制和保护
SSL检查 对任意TCP/UDP端口上进行了SSL加密的HTTP流量进行 与应用识别配合使用,对嵌入在SSL加密流量中的威胁提供可视检查 性和防御
IPS功能
瞻博网络IPS产品提供独特的功能来确保最高级别的网络安全性。
特性 特性说明 优势
状态特征码检测 基于适当的协议上下文,只对相关的网段实施特征码检测 最大限度地避免误报,支持灵活地开发特征码
协议解码 支持超过65种协议解码机制以及超过500个上下文,以便适当利用协议
通过更加精准的协议上下文来提高特征码的准确性
特征码1 通过6,000多个特征码来识别异常、攻击、间谍软件和应用 能够准确识别攻击并且检测对已知安全漏洞的利用企图流量标准化 支持重新装配、标准化和协议解码功能 避免使用迷惑方法来绕过其他IPS检测机制的企图零日防护 面对新发现的安全漏洞,支持协议异常检测和当天防御 保护您的网络免遭任何利用新安全漏洞发起的攻击
推荐策略 瞻博网络安全部门提供一组攻击特征,作为对企业基本安全防御 简化了安全和维护工作,同时确保最高级别的网络安全性工作的基本要求
主动/主动流量监测 对SRX3000系列集群进行主动/主动IPS监测 支持主动/主动IPS监测,包括低影响的集群升级等高级功能
1截至2010年5月,该产品提供6200个特征码,并且每周大约新增10个。
用户如要获得最新的特征码,需订购特征码更新服务。
*AppQoS于2011年下半年推出。
集中管理
NetworkandSecurityManager负责管理SRX系列业务网关。
这个软件是面向所有瞻博网络防火墙、IDP系列产品、SA系列
SSLVPN产品、UAC和EX系列交换机的通用管理解决方案。
特性 特性说明 优势
基于角色的管理 可以为不同的管理员分配特殊许可,以便他们开展100多种不同的活动
从逻辑上分离不同的管理员角色并给他们分配不同的任务,以简化了业务运行
有计划的实施安全升级 SRX系列业务网关能自动进行攻击对象/特征码更新 抵御最新发现的安全攻击,无需人为介入
域 允许从逻辑上分离设备、策略、报告和其他管理活动 基于业务实践对设备分组,与业务运行保持一致
对象锁定 安全地并发更改管理环境 避免因改写管理设置而发生配置错误
有计划的数据库备份 自动备份NSM数据库 提供配置冗余
工作管理器 查看尚未完成的和已经完成的工作 简化多个设备的更新流程
SRX3400 SRX3600
规格
12
最大性能和容量2
提供以下性能、容量和功能的设备配置如下:
SRX3400配备4个SPC、1个IOC、2个NPC和AC电源
SRX3600配备7个SPC、2个IOC、3个NPC和AC电源
SRX3400
测试时采用的Junos操作系统版本 JUNOS10.4 JUNOS10.4防火墙性能(最大) 20Gbps 30Gbps防火墙性能(IMIX) 8Gbps 18Gbps防火墙每秒数据包转发性能(64字节) 3Mpps 6Mpps最大的AES256+SHA-1VPN吞吐量 6Gbps 10Gbps最大的3DES+SHA-1VPN吞吐量 6Gbps 10Gbps最大的IPS吞吐量(NSS4.2.1) 6Gbps 10Gbps最大AppTrack性能 16Gbps 25Gbps
最大并发会话数 225万/300万5 225万/600万5每秒新建会话(持续、TCP、三向) 175,000 175,000最大安全策略数 40,000 40,000最多能够支持的用户数 不限 不限
网络连接
固定I/O 810/100/1000+4SFP 810/100/1000+4SFP
局域网接口选项
16x110/100/1000铜缆
16x千兆以太网SFP
2x万兆以太网XFP
16x110/100/1000铜缆
16x千兆以太网SFP
2x万兆以太网XFP
最多可用的IOC插槽数 4个(前端插槽) 6个(前端插槽)
处理容量的可扩展性
最多可用的SPC插槽数3 每个机箱最多支持4个SPC4(任意插槽) 每个机箱最多支持7个SPC(任意插槽)最多可用的NPC插槽数3 每个机箱最多支持2个NPC4(3个后端插槽)每个机箱最多支持3个NPC(3个后端右侧插槽)防火墙
网络攻击检测 是 是
DoS和DDoS保护 是 是
用于数据包片段保护的TCP重组 是 是
强行攻击缓解 是 是
SYNcookie保护 是 是
基于区域的IP欺骗防护 是 是
异常数据包保护 是 是
IPsecVPN
站点间隧道数 10,000 10,000
并发隧道数 10,000 10,000
DES(56位),3DES(168位)和AES加密 是 是
MD-5和SHA-1验证 是 是
手动密钥,IKE,PKI(X.509) 是 是
PerfectForwardSecrecy(PFS)(DH组群) 1,2,6 1,2,6
防止重放攻击 是 是
远程接入VPN 是 是
冗余VPN网关 是 是
2除非另有说明,否则所列出的性能、容量和特性都是基于运行JUNOS10.4的系统,并且是在理想测试条件下进行测量。
使用DC电源的SRX3400系统支持的卡数更少,因此,性能略低些。
实际结果可能会因Junos版本和部署情况的不同而有所差异。
如需获得SRX系列业务网关所支持的Junos软件版本的完整列表,请访问瞻博网络客户支持中心(
3每个SRX3000系列业务网关都在机箱前后端提供多个通用外形模块(CFM)扩展插槽,以便基于客户要求定制I/O配置和处理容量。
SPC和NPC可安装在所有可用的CFM插槽上。
但是,如想系统正常运行并且支持I/O扩展,每台SRX3400要支持全部的4个SPC和2个NPC,每台SRX3600要支持全部的7个SPC和3个NPC。
关于SPC和NPC的更多信息以及部署原则,请参见相应的硬件指南。
4关于如何使用DC电源,请参见用户指南。
5要支持300万和600万次会话,需要额外获得ExtremeLicense(最大许可)。
入侵防御系统
SRX3400 SRX3600
运行模式:
In-line和in-linetap 是 是主动/主动流量监测 是 是状态协议特征码 是 是
攻击检测机制 状态特征、协议异常检测(零日防御)、应用身份识别
攻击响应机制 丢弃连接、关闭连接、会话包记录、会话总结、电子邮件、定制会话
状态特征、协议异常检测(零日防御)、应用身份识别
丢弃连接、关闭连接、会话包记录、会话总结、电子邮件、定制会话
攻击通知机制 结构化系统日志 结构化系统日志防蠕虫 是 是通过建议的策略来简化安装工作 是 是
防特洛伊木马 是 是防间谍软件/广告软件/键盘记录软件 是 是防其他恶意软件 是 是防应用拒绝服务攻击 是 是防御受感染系统的散播攻击 是 是防侦听 是 是防请求和响应端的攻击 是 是复合攻击—结合了状态特征码和协议异常 是 是创建定制的攻击特征码 是 是支持定制化的接入上下文数量 500+ 500+攻击编辑(端口范围等) 是 是流特征码 是 是协议门限值 是 是状态协议特征码 是 是
覆盖的攻击数量 6,000+ 6,000+具体的威胁说明和补救方法/补丁信息 是 是创建并执行适当的应用使用策略 是 是攻击者和目标的审计跟踪及报告 是 是
更新频率 日更新和紧急更新 日更新和紧急更新
GPRS安全
GPRS状态防火墙 是 是
GTP隧道数 250,000 500,000
目的地网络地址转换
目的地NAT/PAT 是 是
目的地NAT位于作为入口处接口IP的相同子网中 是 是
目的地地址和端口编号对应一个地址和一个特定的端口编号(M:
1P) 是 是
目的地地址对应一个地址(M:
1) 是 是
目的地地址对应另一组地址(M:
M) 是 是
源网络地址转换
静态源NAT–IP转换DIP 是 是
支持PAT的源NAT–端口转换 是 是
不支持PAT的源NAT–固定端口 是 是
源NAT–IP地址持久性 是 是
源地址池分组 是 是
源地址池使用警报 是 是
SRX3400
SRX3600
源网络地址转换(续)
源IP地址在接口子网范围外 是 是
接口源NAT–接口DIP 是 是
超额开通的NAT地址池,可在地址池耗尽时回退到PAT 是 是
对称NAT 是 是
在NAT池中分配多个范围 是 是
面向物理端口的代理ARP 是 是
支持环回组的源NAT–DIP环回组 是 是
用户验证和接入控制
内置的(内部)数据库 是 是
RADIUS记账 是 是
基于Web的身份验证 是 是
UAC执行点 是 是
公共密钥基础架构(PKI)支持
PKI证书要求(PKCS7和PKCS10) 是 是
自动证书登记(SCEP) 是 是
支持证书颁发机构 是 是
自签署的证书 是 是
虚拟化
最大安全区数量
256
256
最大虚拟路由器数量
256
256
每个接口支持的最大VLAN数量
4,096
4,096
最大L3子接口数量
16,3846
16,3846
路由
BGP实例
128
128
BGP对等体
2,000
2,000
BGP路由
1,000,0007
1,000,0007
OSPF实例
256
256
OSPF路由
1,000,0007
1,000,0007
RIPv1/v2实例
50
50
RIPv2路由表的规模
30,000
30,000
动态路由
是
是
静态路由
是
是
基于过滤器进行转发(FBF)
是
是
等成本多路径(ECMP)
是
是
反向路径转发(RPF)
是
是
多播
是
是
IPv6
防火墙/无状态过滤器
是
是
IPv4/IPv6双栈防火墙
是
是
RIPng
是
是
BFD,BGP
是
是
ICMPv6
是
是
OSPFv3
是
是
CoS
是
是
6在高可用性配置中最多支持1000个L3子接口。
7建议的最大BGP和OSPF路由数量为100000。
SRX3400
SRX3600
运行模式
L2(透明)模式 是 是
L3(路由和/或NAT)模式 是 是
IP地址分配
静态 是 是
动态主机配置协议(DHCP) 是 是
内部DHCP服务器 是 是
DHCP中继 是 是
流量管理QoS
最大带宽 是 是
IPv4中的RFC2474IPDiServ 是 是
面向CoS的过滤器 是 是
分类 是 是
调度 是 是
整形 是 是
智能丢弃机制(WRED) 是 是
三级调度 是 是
面向每级调度的加权循环 是 是
路由协议的优先级分配 是 是
高可用性
主用/备用、主用/主用 是 是
低影响的设备库更新 是 是
配置同步 是 是
防火墙和IPsecVPN的会话同步 是 是
用于路由更改的会话故障切换 是 是
设备故障检测 是 是
链路和上行故障检测 是 是
接口链路聚合/LACP 是 是
冗余的数据和控制链路* 是 是
管理
WebUI(HTTP和HTTPS) 是 是
命令行接口(控制台) 是 是
命令行接口(远程登录) 是 是
命令行接口(SSH) 是 是
NetworkandSecurityManager软件2008.2版本或更高版本 是 是
管理员
本地管理员数据库支持 是 是
外部管理员数据库支持 是 是
受限制的管理网络 是 是
根管理员、管理员和只读用户级别 是 是
软件升级 是 是
配置回退 是 是
*为了支持SRX3000上的双控制链路,SRX3000CRM模块必须安装在每个集群成员上。
日志记录/监控
SRX3400 SRX3600
结构化系统日志
是
是
SNMP(v2/v3)
是
是
Traceroute
是
是
外观尺寸和电源
尺寸(WxHxD) 17.5x5.25x25.5in
(44.5x13.3x64.8cm)
重量 机箱:
32.3磅(14.7千克)满配:
75磅(34.1千克)
17.5x8.75x25.5in
(44.5x22.2x64.8cm)机箱:
43.6磅(19.8千克)满配:
115.7磅(52.6千克)
电源(AC) 100至240VAC 100至240VAC
电源(DC) -40至-72VDC -40至-72VDC
最大功耗 1,100W(AC电源)
1,050W(DC电源)
1,750W(AC电源)
1,850W(DC电源)
电源冗余 1+1 2+1/2+2
认证
安全性认证 是 是电磁兼容性(EMC)认证 是 是
3GPPtS20.060Compliance*
R6:
3GPPTS29.060version6.21.0
是
是
R7:
3GPPTS29.060version7.3.0
是
是
R8:
3GPPTS29.060version8.3.0
是
是
运行环境
运行温度
32°-104°F(0°-40°C)
32°-104°F(0°-40°C)
湿度
5%-90%,非冷凝
5%-90%,非冷凝
*运行JunosOS10.0和更高版本的SRX3000系列网关支持R6、R7和R8版本的3GPPTS20.060,但以下是一些例外的情况(SRX3000系列不提供支持):
-Section7.5AMultimediaBroadcastandMulticastServices(MBMS)messages
-Section7,5BMobileStation(MS)infochangemessages
-Section7.3.12InitiatesecondaryPDPcontextfromGGSN
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- SRX 产品 介绍