網路資安產品規劃銷售建議 - · pdf file網路資安產品規劃銷售建議...
TRANSCRIPT
網路資安產品規劃銷售建議
技術顧問 余彩武 Jasper
名牌通路 加值服務
全方位解決方案
各位可以銷售網路產品有哪些?
網路交換器JuniperBrocadeDell
防火牆Juniper SSG/SRXCheckpoint
線路整合Ascenlink
頻寬管理AscenFlow
入侵防禦系統Juniper IDPMcAfee NSP
SSLVPNJuniper SA/MAG
Internet
路由器Juniper J/M/MX/SRX
垃圾郵件過濾Cellopoint
頻寬優化及加速Juniper WXC
網路規劃趨勢Legacy Three TierData Center
Up to 75% of traffic EW
3 Two Tier Data Center2 Data Center Fabric1
The Challenge
� Too complex
� Too slow
� Too expensive
� Too inflexible
3-2-1 DATA CENTER ELIMINATES LAYERS OF COST AND COMPLEXITY
FC SAN
StorageServers
� Compounding layers of complexity� Complexity drives Opex costs� Scale to meet the new network � Requirements for performance,
cost & security are unsustainable
Ethernet
Legacy Data Center Network3
3-2-1 DATA CENTER ELIMINATES LAYERS OF COST AND COMPLEXITY
FC SAN
EX8216
� Reduced network layers save35% Capex
� Opex improved 60%+� Dynamic security
protects at scale
� Reduced layers to single fabric
� Flat, any to any connectivity
� Greatest reduction in Opex & Capex
Reduced Layers & Complexity2
StorageServers
MX Series
SRX5800
Security Frame Work
各樓層各樓層各樓層各樓層
Internet
Firewall
ManagementServer
伺服器機房伺服器機房伺服器機房伺服器機房
SSLVPN
SwitchSwitch
終端連線管理終端連線管理終端連線管理終端連線管理
網路管理網路管理網路管理網路管理
日誌管理日誌管理日誌管理日誌管理
DMZ
Intranet
Firewall Firewall
EX3200
Branch Office
Ascenlink
實體網路環境安全規劃建議實體網路環境安全規劃建議實體網路環境安全規劃建議實體網路環境安全規劃建議網路型入侵防禦系統(Juniper IDP/McAfee IPS)
安全連線閘道(Juniper SSG/SRX)
端點安全系統(Juniper UAC)
應用程式防火牆(Citrix WAF)
電子文件控管系統(IPGuard/McAfee DLP)
遠端連線控管系統(Juniper/Citrix SSLVPN)
遠端登入身分驗證(RSA SecureID)
主機型入侵防禦系統(McAfee host IPS)
網路防火牆(Juniper SRX)
日誌管理系統(ArcSight Logger/enVision)
關於台銀採購部網路週邊第十五標1. 本標預計自十月一日正式適用,期限至 2012 年八月
2. Juniper 於本標跟進 63 項次
3. SI Partner 利潤超過 30%者 ,佔 38 項, 約為全部的 6 成
4. 為保障夥伴權益,請協助提出”供契單”佐證
第一組第一組第一組第一組 第三組第三組第三組第三組 第四組第四組第四組第四組 小計小計小計小計
Juniper 42 16 5 63
JUNIPER JUNIPER JUNIPER JUNIPER 第第第第 15 15 15 15 標主要促銷項次標主要促銷項次標主要促銷項次標主要促銷項次
EX2200 – JUNIPER 史上最史上最史上最史上最”殺殺殺殺” 的超高性價比的超高性價比的超高性價比的超高性價比 L3交換器交換器交換器交換器
組別組別組別組別/項次項次項次項次 CTOC 15 品名品名品名品名 交付項目交付項目交付項目交付項目 決標價決標價決標價決標價(含稅含稅含稅含稅/手續費手續費手續費手續費)
1-22 項次有網管交換器之24埠10/100/1000Base-T(含加值服務選項功能)(支援IPv6)
EX2200-24T-4G-TAA(1set) 21,215
1-26 項次有網管交換器之48埠10/100/1000Base-T(含加值服務選項功能)(支援IPv6)
EX2200-48T-4G-TAA(1set) 44,775
1-32 項次有網管供電(PoE)交換器之24埠10/100/1000Base-T(含加值服務選項功能)(支援IPv6)
EX2200-24P-4G-TAA(1set) 34,814
1-34項次有網管供電(PoE)交換器之48埠10/100/1000Base-T(含加值服務選項功能)(支援IPv6)
EX2200-48P-4G-TAA(1set) 63,859
10G 交換器交換器交換器交換器 - EX4500 APPLE 大方送大方送大方送大方送� 1-40 項次 – EX4500-40F-VC1-BF-TAA(1set)
� 1-45 項次 - EX4500-40F-VC1-FB-TAA(1set)
即日起送 Mac book Air
即日起送 10G網卡*2
稅後價 : NTD 724,947
稅後價 : NTD 1,055,437稅後價 : NTD 1,055,437
Apple Mac book Air
10G 交換器交換器交換器交換器 - EX8200 骨幹交換器大俗賣骨幹交換器大俗賣骨幹交換器大俗賣骨幹交換器大俗賣
組別組別組別組別/項次項次項次項次 CTOC 15 品名品名品名品名 交付項目交付項目交付項目交付項目 決標價決標價決標價決標價(含稅含稅含稅含稅/手續費手續費手續費手續費)
1-88 項次骨幹核心交換器之9個擴充槽模組96969696埠
10/100/1000Base-T與24個10GBase-X(含加值服務選項功能)(支援IPv6)
EX8208-BASE-AC(1set)EX8200-48TL(2set)EX8200-40XS(1set)
$2,025,586
1-90項次 骨幹核心交換器之9個擴充槽模組96埠10/100/1000Base-T與48個10GBase-X(含加值
服務選項功能)(支援IPv6)
EX8208-BASE-AC(1set)EX8200-48TL (2set)EX8200-40XS(1set)EX8200-8XS(1set)
EX8208-SRE320(1set)EX8200-PWR-AC2K(1set)
CBL-EX-PWR-C19-US15(1set)
$3,411,514
不到 200 萬(稅前)就可以買到24 個個個個 10G 埠埠埠埠 + 96 個個個個 10/100/1000M 的 Juniper 骨幹交換器 !!
SRX Series
Physical
Hypervisor
vGW Series
VM VM VM VM
vGW Virtual Gateway
Services Virtual
Firewall
IPS
DoS Protection
AppSecure
DoS
JUNIPER 是目前唯一具有實體是目前唯一具有實體是目前唯一具有實體是目前唯一具有實體 ( SRX) 及虛擬防火牆聯防的資安廠商及虛擬防火牆聯防的資安廠商及虛擬防火牆聯防的資安廠商及虛擬防火牆聯防的資安廠商
Juniper SRX JuniperSwitching
Policies
vGW Virtual
Gateway
vGW Virtual
GatewayVMware vSphere Hypervisor
…1. SRX Zone Visibility extends to include
VM awareness
2. Firewall Event Syslogs and Netflow for
Inter-VM Traffic
to STRM
3. VM Traffic Inspection and
Enforcement with selective mirroring
to SRX for IPS
vGW Solution Integration
VM 1 VM 2 VM 3 VM 20
vGW 虛擬防火牆虛擬防火牆虛擬防火牆虛擬防火牆 - 延伸安全防護到延伸安全防護到延伸安全防護到延伸安全防護到 VM
Security Design
虛擬化後網路的安全(雲端防護)
實體網路和虛擬網路的差異實體網路和虛擬網路的差異實體網路和虛擬網路的差異實體網路和虛擬網路的差異
實體網路實體網路實體網路實體網路實體網路實體網路實體網路實體網路 虛擬網路虛擬網路虛擬網路虛擬網路虛擬網路虛擬網路虛擬網路虛擬網路
實體安全防禦部署網路防火牆
入侵防禦系統實體安全防護設備無法看到虛擬系統
間的網路封包
VM1 VM2 VM3
Virtual Switch
HYPERVISOR
ES
X H
ost
虛擬化所面臨的安全衝擊虛擬化所面臨的安全衝擊虛擬化所面臨的安全衝擊虛擬化所面臨的安全衝擊
擬主機間的安全疑慮擬主機間的安全疑慮擬主機間的安全疑慮擬主機間的安全疑慮– Malware, 擬系統間的交互攻擊
擬網路活動的可視性擬網路活動的可視性擬網路活動的可視性擬網路活動的可視性(Visibility) – 擬主機間流量, 不安全的連線行為
安全控制的複雜度安全控制的複雜度安全控制的複雜度安全控制的複雜度(Control) –因需求增加VM或透由vMotion移動VM時,安全政策如何設定或網路隔離
公司資安政策落實公司資安政策落實公司資安政策落實公司資安政策落實(Compliance) –主機的存取控制與連線稽核
Database SAP WWW
VMware
Desktop Desktop
VMware
Physical Network
Virtual Switch Virtual Switch
PhysicalFirewall /IDS
WWW
Physical Server Physical Server
3. Kernel-based Firewall
常見的虛擬網路防禦部署方式常見的虛擬網路防禦部署方式常見的虛擬網路防禦部署方式常見的虛擬網路防禦部署方式
所有VM的網路流量均經由Firewall保護,並自動將所有VM進行網路分段及隔離
優點:不影響效能、單一介面集中管理所以安全政策
VM1 VM2 VM3
VS
ES
X H
ost
FW as Kernel ModuleFW as Kernel Module
2. 在在在在VM中安裝中安裝中安裝中安裝Agent1. 投由投由投由投由VLAN方式隔離方式隔離方式隔離方式隔離
VM1 VM2 VM3
VS
ES
X H
ost
VM透由VLAN進行隔離,所有存取流量透由外部的Firewall進行封包過濾
缺點: 複雜的VLAN網路設定、兩倍網路流量需求、管理成本高
在每個VM中安裝單機版軟體防火牆
缺點: 影響虛擬主機的效能、不容易管理所有防火牆設定、管理成本高
VM1 VM2 VM3
VS
ES
X H
ost
FW Agents
HYPERVISORHYPERVISORHYPERVISOR
VGW VGW VGW VGW ---- THE HYPERVISORTHE HYPERVISORTHE HYPERVISORTHE HYPERVISOR----BASEDBASEDBASEDBASED安全閘道安全閘道安全閘道安全閘道
• 全球第一家提供全球第一家提供全球第一家提供全球第一家提供Virtual Firewall,Virtual Firewall,Virtual Firewall,Virtual Firewall,擁有五項專利擁有五項專利擁有五項專利擁有五項專利
• 企業級虛擬網路防禦企業級虛擬網路防禦企業級虛擬網路防禦企業級虛擬網路防禦– 通過VMware “VMsafe Certified”
– 有效保護 VM and the hypervisor
– 容錯架構(i.e. HA)
• 虛擬網路偵測功能虛擬網路偵測功能虛擬網路偵測功能虛擬網路偵測功能– “Secure VMotion” 可擴充至 1,000+ ESX
– “Auto Secure” 自動偵測及保護新增加VM
• 多層次縱深防禦多層次縱深防禦多層次縱深防禦多層次縱深防禦– 具備Stateful firewall及IDS功能
– 彈性的安全政策部署 – Zone, VM group, VM, Application, Port, Protocol, Security state
THE vGW ENGINE
Virtual Center VM
VM1 VM2 VM3
Partner Server(IDS, SIM,
Syslog, Netflow)
Packet Data
VMWARE DVFILTER
VMWARE VSWITCH OR CISCO 1000V
HYPERVISOR
ES
X K
ernal
ES
X H
ost
Security Design
for VGW
VGWVGWVGWVGW對對對對ESXESXESXESX效能影響最小效能影響最小效能影響最小效能影響最小10500
8750
7000
5250
0
3500
1750
10 VMs5 VMs 15 VMs 20 VMs
vGW secures ESX with only a 3% overhead
Unsecured ESX
vGW FastPath Firewall
Tot
al T
hrou
ghpu
t (M
bps)
Competitor Slowpath Firewall
實現雲端網路安全實現雲端網路安全實現雲端網路安全實現雲端網路安全
Database SAP WWW Desktop Desktop
Physical Network
PhysicalSecurity Devices
WWW
ESX ESX
管理面管理面管理面管理面- 視覺化管理虛擬並網路整合入侵偵測及防火牆功能
- 單一管理介面統一管理VMs的安全存取政策
具備高網路存取效能具備高網路存取效能具備高網路存取效能具備高網路存取效能- 整合Hypervisor Kernel 的安全閘道,提供完整虛擬系統的安全 並具備高傳輸效能
vGW 4.5 vGW 4.5
JUNIPER VGW
Inter-VM
Visibility
Inter-VM
Visibility
Compliance
Assessment
Compliance
Assessment
VM
Introspection
VM
Introspection
JUNIPER VGW INTROSPECTION
雲端服務不中斷
雲端動態管理需求雲端動態管理需求雲端動態管理需求雲端動態管理需求
• 伺服器IP設定
– 新增減少伺服器
• 效能監控
– 伺服器到底誰在用?
– 用了多少資源
• 動態調整資源
– 可自動即時調整伺服器及網路負載平衡
vCenter
ServerIron ADXs
vSphere Client
Plug-in
Brocade Application Resource Broker• 單一介面調整網路及伺服器資源
Application Traffic
VM Metrics / VM Mgmt
ADX Metrics/
ADX Mgmt
Virtual
Infrastructure
Application
Resource Broker
Physical
Infrastructure
Custom
http http
Brocade 虛擬化環境應用- VM整合ARB (Application Resource Broker)
Brocade
ADX
Users
VM2VM1
(1) ADX monitors application performance by measuring application response time
Shared Resource PoolDedicated VMs
(3) Load increases; ADX automatically redirects new requests to VM’s with fastest response times
(2) End of quarter: Financial reports initiated across the company
(4) Load increases further still.Application Resource Broker alerts the operator and commissions additional VM’s from the shared pool
(5) Earnings are announced after quarter end; load on application decreases dramatically
(6) Newly created VM’s are decommissioned and resources available for use by other applications VM VMVM
Application Load
Application
Resource
BrokerVMwarevCenter
Brocade ServerIron ADX 1000 Series
© 2010 Brocade Communications Systems, Inc. Company Proprietary Information
29
1008-1 1016-2 1016-4 1216-4
L7 Thoughput 2 Gbps 4.5 Gbps 9 Gbps 9 Gbps
CPS (L4/L7) 50k/22.5k 100k/45k 200k/90k 200k/90k
TPS (L4/L7) 500k/37.5k 1M / 75k 2M/150k 2M/150k
Ports 8x1GE 16x1GE 16x1GE 16x1GE,
2x10GE
Brocade ADX 1000 Series
無需擴充硬體即可昇級四倍效能
SW License Upgradable
當服務效能需求增加時
只需upgrade License不用更換硬體
最高達9 Gbps的 throughput
業界1RU 設備最高效能
同時提供10GE和GE連接介面
利用software license昇級即可增加連接埠
彈性化的介面彈性化的介面彈性化的介面彈性化的介面強大的效能強大的效能強大的效能強大的效能Capacity On DemandCapacity On DemandCapacity On DemandCapacity On Demand
~Thank You~