주니퍼 SRX 방화벽소개자료
SRX PRODUCT LINE Branch Edge Data Center 2T 300G 100G 10G Up to 2Tbps FW throughput 230 million concurrent sessions scaling SRX340 vsrx (Virtual SRX) SRX345 SRX550 SRX1500 SRX4100 SRX4200 SRX4600 SRX5400 SRX5600 SRX5800 1G SRX300 SRX320 Integrated Routing, Switching and Security Single Junos Unprecedented Scale 2
SRX1500 대규모 지점에서소규모데이터센터, 기업및서비스제공업체네트워크에이상적 Software Security Services AppSecure and IPS AV and web filtering Threat intelligence Typical Use Cases Large Secure Router VPN Concentrator Small Data Center NGFW On-board Ethernet SRX1500 16x1GE (12Cu +4SPF) + 4x10GE (SPF+) JUNOS Software Version Support JUNOS 15.1X Firewall Performance (Large Packets) Firewall Performance (IMIX) Firewall Performance (Firewall + Routing PPS 64byte) VPN Performance AES256+SHA-1 or 3DES+SHA 1 (Large Packets) 9 Gbps 5 Gbps 1.7 Mpps 4Gbps NGFW Performance (IPS + AppFW + Logging) Intrusion Prevention System 1.5Gbps 3 Gbps Connections Per Second (CPS) 50,000 Maximum Concurrent Sessions 2,000,000 High Availability (Dedicated HA control port - SPF) A/A or A/P 3
WHY JUNIPER? 성능 / 확장성 안정성 OS 혁신 / 자동화 Line-rate performance Wire-speed security Scale Density Rich service provider feature set Carrier-class platform Redundant hardware and software options Virtual Chassis technology In-service software upgrades Collapsed architectures One Junos OS across routing portfolio Platform for innovation On-Box Scripting 4
WHY JUNIPER? Junos 20 Serving 는 1998 년개발및도입 First high-performance network operating system 년간의꾸준한개발과혁신을위한노력의산물 Spans routing, switching, and security platforms Simplify operations and deliver operational excellence Evolutionary architecture expands and extends to tomorrow the most demanding customers Top 100+ service providers High-performance enterprise and public sector customers 5
DATA MANAGEMENT ROUTING WHY JUNIPER? 최고의안정성을위한 SW 아키텍쳐 일반적인 SHARED PLANE 구조의문제점 DOS & DDOS ATTACKS Monopoly 구조에서는특정 Process 의장애가전체시스템장애로이어짐 관리 Process 의소프트웨어적인문제발생시전체시스템 Reset 발생 DDoS attack 으로과다 Traffic 유입시에 management 접속이급속히느려지거나끊어짐 6
MANAGEMENT ROUTING SNMP / SYSLOG 관리 PROCESS WHY JUNIPER? 최고의안정성을위한 SW 아키텍쳐 JUNOS 의분리된 PLANE 구조!! Data Plane(Traffic처리 ) 과 Control Plane( 관리 ) 이분리되어서로영향을주지않음!! Control Plane : 관리적인기능만담당 MANAGEMENT KERNEL DDoS attack 으로과다 Traffic 유입시에도, admin 의관리접속은항상보장되어, 불법적인 traffic 을 Deny 하는정책을통하여 attack 차단 Data Plane : 트래픽처리 트래픽처리 (PACKET FORWARDING) Physical Interfaces DOS & DDOS ATTACKS Management Port 로이상 Traffic 유입으로관리 CPU 증가또는관리 Process 의소프트웨어이상이발생하더라도, Data Plane 트래픽처리에는전혀지장을주지않음 your network stays up 7
WHY JUNIPER? JUNOS SCRIPT 를통한자동화 System Event 모니터링 & 감지 (SNMP Trap 포함다양한 Event) 특정 Event 에대한 대응 Action(Config 변경 ) 을자동화 Operation Command 실행및 Output 요약 네트웍 / 장비관리및 Troubleshooting 자동화 Operation 자동화 Configuration 변경자동화 OP Script SRX Event Script Commit Script On-Box 에서구동 (XSLT/ SLAX) Configuration 변경에대한 Auditing 관리자의실수예방 8
WHY JUNIPER? JET 을통한보안자동화사례 감염된 Host 가연결된 Switch / Interface 를찾아서자동격리처리 4 SNMP trap for MAC move activity 2 SRX Connect to Switch for gathering HOST info JET 어플리케이션 Python Script Email / Syslog to external system 1 Threat Log 발생 EX/QFX EX/QFX EX/QFX Malware DoS Attack 3 Firewall Filter 적용 or 포트 Shutdown 1 호스트가멀웨어다운로드등으로감염되어 SRX 장비에서위협 Log 발생 2 스위치에연결하여감염호스트의 MAC 주소를찾은후해당 HOST 가연결된 Physical Interface 를확인 3 관리자설정에따라서감염호스트격리조치시행 (Firewall Filter or 포트 Shutdown) 4 MAC Learning SNMP Trap 을모니터링하여감염된 Host 가이동시에도동일한격리조치시행 ** 감염호스트상태및격리조치및해제설정을위한 WebUI 제공 9
JUNIPER SRX 특징소개 ALL-IN-ONE DEVICE 보안, NAT, VPN, 라우팅, L2 기능을하나의솔루션에서 APPLICATION & USER AWARENESS 어플리케이션 & 사용자-그룹인식및정책적용 NGFW BEST-IN-CLASS CONTENT SECURITY 최고의컨텐츠보안기능제공 FAST NETWORK & PROACTIVE SECURITY 최고의안정성으로 네트웍 SPEED ADVANCED SECURITY 를동시에보장 EASY ACTIVATION & SCALABLE MANAGEMENT WEBUI 기반의직관적인 CENTRAL MANAGEMENT 10
SRX SECURITY SERVICES 차세대방화벽 (NGFW) 기능 Unified Threat Management (Known Threats 방어 ) Threat Intelligence 제공 Advanced Threat Prevention (Zero Day Threats 방어 ) 어플리케이션제어 & 가시성제공 안티바이러스 봇넷 / C&C Sandboxing 침입방지 (IPS) 웹 / 컨텐츠필터링 GEO-IP ( 국가별 IP Prefix) Evasive Malware 사용자기반방화벽정책 (User-ID) 안티스팸 Custom Feeds 연동 Rich Reporting & Analytics SRX Foundation Services (Legacy 방화벽 + Junos Rich features) 방화벽 NAT VPN 라우팅 On-box Management Logging / Reporting High Availability Automation / API 11
차세대방화벽기능 - 어플리케이션방화벽기능 App Track App FW App QoS SSL-Proxy 어플리케이션레벨의보안위협모니터링 사용자행동분석 App-ID 식별및컨트롤 다중 Policy 정책적용 Application 별중요도에따른 QoS 정책적용 SSL 암호화된 Traffic 에대한가시성및컨트롤제공 어플리케이션에대한인지및차단, Control 지원 3000 + 어플리케이션 Signature 제공 ( 국내 APP 포함 ) Custom 어플리케이션 Signature 지원 12
차세대방화벽기능 - IPS 사용사례 SRX Server Protection 서버및응용프로그램취약성보호 (PHP, SQL Injection) SRX3600 Client Protection 클라이언트취약점보호, 멀웨어다운로드또는콜백, 어플리케이션터널링및 C&C 채널탐지 SRX Internal Attack Detection 멀웨어확산탐지, 무차별공격, 내부공격 13
차세대방화벽기능 - IPS 구성요소 Stateful Signature Inspection Protocol Decodes 오탐지를최소화 정확한프로토콜컨텍스트를통한시그니처정확도향상 Signatures 알려진취약점을악용하려는공격탐지 65+ protocol decoders 600+ contexts! Traffic Normalization 난독화를통해 IPS 탐지우회시도를방지 Zero-Day Protection 새로운취약점및악용에대한보호를위해프로토콜이상을탐지 Recommended Policy 최상의네트워크보안을유지하면서설치및유지보수를간소화할수있는권장정책제공 Traffic Normalization SRX 클러스터모니터링및 In- Service 소프트웨어업그레이드와같은고급기능제공 Zero-Day Protection 주변트래픽에대한패킷분석기능제공 14
차세대방화벽기능 - IPS 탐지정확도 SRX Series IDP 는다음을사용하여탁월한탐지정확도를제공합니다. Application Identification 올바른구문분석기를적용하기위해포트와상관없이응용프로그램 Stateful Signatures 특정상황에서만패턴탐지 Compound Signatures 오탐을배제하기위해패턴조합사용 1 2 3 15
차세대방화벽기능 - IPS 탐지옵션 Accuracy Compound Signatures Protocol Anomalies Stateful Signatures Unknown Attacks Packet Signatures Known Attacks Inaccuracy (False Positives) 16
차세대방화벽기능 IPS LIVE THREAT MAP 17
차세대방화벽기능 IPS OPEN ATTACK DATABASE 18
차세대방화벽기능 IPS EVENTS DASHBOARD 19
차세대방화벽기능 IPS DETAIL EVENTS & LOGS 20
차세대방화벽기능 - 사용자기반방화벽정책 재무팀 P2P apps 차단 YouTube 1Mbps 만허용 Anti-virus 적용 SRX 영업팀 P2P, YouTube 차단 Anti-virus 적용 인터넷 사장님 모든 Application 허용 Anti-virus 적용 ( 사용자 / 그룹별정책적용 ) Active Directory 연동 21
UTM ( 통합위협관리기능 ) 안티바이러스 안티스팸 웹필터링 컨텐츠필터링 Virus 에대한탐지및차단 Reputation 기능을이용한오탐최소화 다중해킹차단매커니즘제공 APT 공격능력향상 비정상 URL 공격차단 업무와상관없는 URL 차단을통한생산성증대 비정상 Content 에대한필터기능 필수적인서비스에대한대역폭유지 모든 SRX 장비에적용가능 최고의서드파티솔루션을연동! Antivirus: Sophos Labs or Kaspersky Antispam: Sophos Labs Filtering: Websense 22
ADVANCED THREAT PREVENTION SKY ATP SKY Advanced Treat Prevention Sand-Boxing APT Solution 을클라우드기반으로제공하여멀웨어와제로데이위협을탐지하고자동화된방어를실행 Sky Advanced Threat Prevention Cloud Sandbox w/deception ATP Static Analysis 1. SRX 에서잠재적인악성파일및콘텐츠를추출 2. SRX 에서 SKY ATP 클라우드로문제의콘텐츠를보냄 Juniper Cloud 3. SKY ATP 클라우드에서정적 (Static), 동적 (Dynamic) 분석작업을수행 Customer 4. 모든과정에서평점이주어지며, 평점에따라서비스차단여부를결정 01101010 01110101 01101110 01101001 01110000 Customer SRX 5. SKY ATP 클라우드에서멀웨어분석결과및 C&C 서버데이터를 SRX 에제공 6. SRX 에서악성파일다운로드및외부로향하는 C&C 트래픽을차단 23
ADVANCED THREAT PREVENTION SKY ATP SKY Advanced Treat Prevention Sand-Boxing APT Solution 을클라우드기반으로제공하여멀웨어와제로데이위협을탐지하고자동화된방어를실행 Potentially malicious files Cache Inline Blocking 안티바이러스 (6 개엔진 ) 정적분석 Behavioral Analysis Sandbox Deception 클라우드 Infrastructure Cache lookup : (~1 second) Files we ve seen before are identified and a verdict immediately goes back to SRX 안티바이러스스캐닝 : (~5 second) Multiple AV engines to return a verdict, which is then cached for future reference 정적분석 : (~30 second) The static analysis engine does a deeper inspection, with the verdict again cached for future reference 동적분석 (Sand-Boxing) : (~7 minutes) Dynamic analysis in a custom sandbox leverages deception and provocation techniques to identify evasive malware 24