目录 目 录 行业概述 解决方案电力调度数据网骨干网路由解决方案 电网公司网络安全系统解决方案 电网公司 SSL VPN 系统解决方案 Juniper 网络公司的统一接入控制 (UAC) 解决方案概述 相关产品 Juniper 网络公司 M

Transcription

1

2 目录 目 录 行业概述 解决方案电力调度数据网骨干网路由解决方案 电网公司网络安全系统解决方案 电网公司 SSL VPN 系统解决方案 Juniper 网络公司的统一接入控制 (UAC) 解决方案概述 相关产品 Juniper 网络公司 M- 系列路由平台 Juniper 网络公司 J4350/J6350 业务路由器 Juniper 网络公司 SSG 系列 Juniper 网络公司 ISG /NetScreen Juniper 网络公司 SSL VPN 概述 Juniper 网络公司 IDP 专属系列 Juniper 网络公司统一接入控制解决方案 v2.0(uac 2.0) 概述 Juniper 网络公司 WX/WXC 应用加速平台概述

3 行业概述 电力行业概述近年来, 信息技术在电力企业管理 生产管理和过程管理中的应用, 提高了电力企业的生产运行和经营管理水平 电力行业是国家重要的能源支柱产业, 也是我们日常工作和生活的基础保障 全国电力行业覆盖了五大发电集团和两大电网公司, 电力网络采用全网统一调度, 分级管理的管理模式 安全防护的核心业务系统包括二次系统, 电力市场监控系统, 完成生产过程中控制 调节 保护和监测管理的信息系统 其运行的基础网络平台包括调度数据网和数据通信网 电力系统核心网络按业务类型划分, 可以分成四大区域 : 实时控制区 非控制区 生产管理区和管理信息区 电力信息化网络建设应体现技术的领先性, 适应不断变化的电力改革进程, 并且可以在原有的网络基础上不断发展完善, 以确保电力用户的投资, 电力行业的发展对信息平台的依赖将会越来越大 面临的挑战在电力行业, 很多重要的信息化应用系统不断扩展, 给承载网络提出了更高的要求, 需要现有网络不断改进升级, 电力信息网络安全体系和企业级数据中心需要不断强化 归纳而言, 信息网络完善的挑战主要来源于三个方面 : 保护其基础设施的同时, 需要灵活的开放式网络服务, 又要面对系统的日益复杂化以及抵御频繁的安全攻击 既需要大规模的复杂智能, 又需要超强的性能 既需要互联网的灵活与经济, 又需要专网的安全可靠 在这样的背景下,Juniper 的安全网络技术展现独特的价值, 协助电力企业构建稳定 安全可扩展性强的网络平台, 使得信息在企业 IT 网络内部能够智能的流动, 提升网络效率和投资回报率 未来发展趋势在中国, 经济的持续高速增长引起对能源需求的高速增长, 而电力改革 市场化营销带使电力产业生机勃勃 电力信息网络建设得到了高速发展 而未来, 竞争决胜的关键将在于, 电力信息网络如何获得更高的效率 更安全的运行 更高效益的应用 电网公司作为发电企业的下游, 面对巨大的终端客户进行电力销售和供应 更需要体现一定公众网络服务意境, 需要成熟的网络体系 ; 而在电调专网和数据专网两个核心应用层面则强调安全 稳定和可管理 电力信息化发展战略的目的是要提升电力企业的核心竞争能力, 超等级的应用需求给网络建设带来更大的挑战,Juniper 网络公司为电力企业提供同类最佳的网络及安全解决方案, 提供可靠和稳定的软件以及符合业界标准的服务和支持, 确保产业的顺畅发展 2 本书汇集 Juniper 网络公司在电力行业的众多解决方案 成功案例及相关产品介绍, 希望越来越多的企业, 借助 Juniper 的领先技术, 共同创建理想的网络平台

4 解决方案 电力调度数据网骨干网路由解决方案 随着国内经济的高速发展和改革开放的深入进行以及中国加入 WTO, 电力行业的运营模式也发生了很大的变化, 逐步引入了新的商业模式, 如 厂网分开, 竞价上网 等 但无论怎样变, 建立一个安全 可靠 高性能的网络, 终归是电力信息化建设的基石, 毕竟任何应用都需要承载在基础网络之上 我们知道, 电力调度数据网络是电力生产实时信息传输的网络, 网络传输的主要信息是电力调度实时数据 生产管理数据 通信监测数据等, 是电力指挥安全生产和调度自动化的重要基础, 在协调电力系统发 送 变 配 用电等组成部分的联合运转及保证电网安全 经济 稳定 可靠的运行方面发挥关键的作用 因此, 安全 可靠 可用, 是网络建设中一个也不能放低的要求 构建三层网络结构的需求 电力的调度数据网主要承载的业务包括三个方面 首先是变电站, 其主要功能包括调度自动化实时信息 (EMS) 广域相量测量系统 继电保护故障录波 安全自动控制系统 电能量计量关口表计采集信息等 第二是发电厂, 其主要职能包括调度自动化实时信息 广域相量测量系统 继电保护信息 安全自动控制系统 电力市场辅助报价系统 电能量计量关口表计采集信息等 第三是调度, 其主要职能包括调度自动化实时信息 广域相量测量系统 继电保护信息 安全自动控制系统 电力市场辅助报价系统 电能量计量关口表计采集信息等 在大型电力调度数据网设计中, 往往采用三层结构, 即核心层 骨干层 ( 也称汇聚层 ) 和接入层 并设置网管中心, 统一进行全网的网络管理和业务管理 核心层由网络调度和若干个变电站构成 骨干层由每个省 ( 市 地区 ) 的若干枢纽点构成 各个变电站和电厂构成接入层, 其中包括例如 220KV 变电站及 500KV 变电站 直属电厂 独立发电厂等单位 接入节点采用双归接入的方式就近连接到骨干节点 网络建设要求高规格 鉴于电力调度数据网的应用特点, 自然对于建设这样的网络也有着非常高的要求 从网络的基本要求来说, 就是要求有效性 先进性 统一性 可扩充性 安全性及可管理性 在这些一般网络设计要求的基础上, 还需要满足营运级的可靠性 QoS 扩展性 网络互联 通信协议 网管与安全等方面的要求 具有高可靠性 : 核心 IP 路由交换设备的所有模块和环境部件应具备 1+1 或 1:N 热备份的功能, 切换时间足够小 所有模块具备热插拔的功能 系统具备 99.99% 以上的可用性 而网络的结构设计应提供足够的路由冗余功能 拥塞控制与服务质量保障 (QoS): 这是调度网的重要品质 由于接入方式 接入速率 应用方式 数据性质的丰富多样, 网络的数据流量突发是不可避免的 因此, 网络对拥塞的控制和对不同性质数据流的不同处理是十分重要的 支持多业务分类 : 网络设备应支持 4 种以上业务分类 当用户终端不提供业务分类信息时, 网络设备应根据用户所在网段 应用类型 流量大小等自动对业务进行分类 可控制接入速率 : 接入本网络的业务应遵守其接入速率承诺 超过承诺速率的数据将被丢弃或标以最低的优先级 3

5 解决方案 支持多种通信协议 : 以支持 TCP/IP 协议为主, 也可支持 RIPv2 OSPF IS-IS 等多种国际标准的域内路由协议 BGP-4 等标准的域间路由协议 支持 MPLS 标准及相关应用 支持丰富的组播协议 统一的网络管理与完善的安全体系 : 应可支持整个网络系统各种网络设备的统一网络管理 ; 支持故障管理 记帐管理 配置管理 性能管理和安全管理五大功能 ; 支持系统级的管理, 包括系统分析 系统规划等 ; 支持基于策略的管理, 对策略的修改能够立即反应到所有相关设备中 ; 网络设备支持多级管理权限, 支持 RADIUS TACACS+ 等认证机制 ; 支持安全监控和控制机制, 即当发现存在安全漏洞和遭到攻击时, 应及时通知网络管理人员, 并应自动采取适当的措施予以保护 合理设计和规划保证高可用性 全网的路由设计与策略可以从这四个部分来分别考虑 : 域内路由的设置 骨干路由策略 互联路由策略和组播路由策略 能否统一管理决定自治域设置方式我们知道, 外部路由协议的创建是为了控制路由表的扩展以及通过把路由域划分成独立的管理区以便为因特网提供更加结构化的模式, 这些具有自己独立的路由策略的管理区称为自治系统 (AS) 根据网络规模和管理需求的不同, 自治域的设置可以分为多自治域方式和单自治域的方式 采用多自治域方式的主要优点是网络的可扩展性比较好, 但复杂程度高, 降低网络维护的成本 由于 IGP 协议对于单一区域内路由器的数量都有一定的限制, 如果没有经过统一规划, 容易出现扩展性问题 但经过统一规划, 采用单自治域方式仍然可以实现很大的网络规模 Juniper 网络公司认为, 网络规模并不是决定自治域设置方式的关键因素, 能否对整个系统进行统一的管理和规划才是决定自治域设置方式的关键因素 合理分配 IP 地址 IP 地址的合理分配是保证网络顺利运行和网络资源有效利用的关键 对于该电力调度网的 IP 地址的分配应该尽可能地利用申请到的地址空间, 充分考虑到地址空间的合理使用, 保证实现最佳的网络内地址分配及业务流量的均匀分布 Juniper 网络公司认为,IP 地址规划应遵循以下原则 : 首先, 应考虑到网络的业务飞速发展, 能够满足未来发展的需 要 既要满足本期工程对 IP 地址的需求, 同时要充分考虑未来业务发展, 预留相应的地址段 ; 第二, 应有足够的灵活性, 能够满足各种用户的需要 ; 第三, 应由业务驱动, 按照业务量的大小分配各地的地址段 ; 第四, 须采用 VLSM 技术, 保证 IP 地址的利用效率 ; 第五, 应采用 CIDR 技术, 以减小路由器路由表的大小, 加快路由器路由的收敛速度, 也可以减小网络中广播的路由信息的大小 ; 第六, 应合理利用已申请的地址空间, 提高地址的利用效率 因此, 为了更有效的使用宝贵的 IP 地址资源,IP 地址的分配可以根据以下两个层次考虑 : 第一层, 以网络汇接区域来划分, 即根据网络汇接分布的地理区域来划分连续的 IP 地址空间, 这样有利于路由协议的计算和地址汇聚 第二层 : 在区域接入网内, 以网络功能来划分, 即根据不同的应用和网络功能来划分为不同的 VLAN, 这样可以从号码上识别出应用和功能 组播路由协议选择因 密 疏 而异组播能力可以最大程度地节省网络带宽资源, 它可以使同样的数据无需在网络中传送多次即可到达终端用户 组播协议包括组管理协议 IGMP 和组播路由协议 (DVMRP MOSPF PIM 等 ) IGMP 负责本地路由器到直接与它相连的子网的组播分组的发送, 并不关心路由器间或跨越中间网络的组播分组转发 组播路由协议则完成路由器间和跨网络的组播分组的转发任务 终端用户通过 IGMP 协议通知路由器所希望加入的组播组, 路由器确定出每个组播组内的用户所在的位置 根据网络的实际情况, 有两大类组播路由协议 : 密集模式和稀疏模式 两者之间没有固定的界限 密集模式适用于小型网络, 其假设是全网有非常 密集 的组员存在, 采用广播 + 剪枝的工作策略 密集模式的路由协议包括 DVMRP MOSPF 和 PIM-DM 而稀疏模式默认所有机器都不需要收多播包, 只有明确指定需要的才予以转发 稀疏方式的路由协议包括 PIM-SM 4

6 解决方案 Juniper 网络公司地 M/J 系列路由器具有强大的组播支持能力, 包括 IGMP v1/v2/v3 PIM-SM PIM-DM MLD SSM RP MSDP BSR 以及 MPLS/BGP VPN 中的组播, 以高效利用资源 传输高价值的内容 由于大量的基于组播技术的网络应用涉及视频和音频的应用, 因而如何保证基于组播的服务质量的要求也至关重要 Juniper 网络公司先进的 QoS 技术可以保证对组播的服务质量 划分业务等级以实现最佳应用在一个网络中 QoS 的部署需要进行详细的分工, 以实现最高的效率 在该电力调度数据网的 QoS 实现中, 可以通过 Juniper M 系列路由器对 MPLS 的强大支持实现基于 QoS 的选路, 通过 Juniper 路由器基于硬件的 CoS 机制实现每一跳的 CQS 在 Juniper 网络公司的路由器上,CoS 机制作为分组转发操作的一部分 缺省情况下, 路由器将所有输出业务放置到一个 FIFO 队列中, 其基于加权循环处理对分组进行传输, 在阻塞发生时, 通过 RED 对传输队列头部的分组进行丢弃处理 对于宽带 IP 网,CoS/QoS 的应用应在网络设计的开始便应予以细致的考虑, 即要考虑与当前业务需求的结合 网络的状况, 又要考虑到将来业务及网络的发展 设备的可靠性保证作为核心路由器的 M 系列路由器具有高可靠性, 这在市场实际运营中已得到众多用户的好评 它除了具有能够可靠地除了网络异常状况的能力, 同时软硬件设计也确保了自身系统的稳定 M 系列结构的设计使它能够在几个方面可靠地处理网络异常情况 对于接口速率来说,Internet 处理器的查询能力是 超大的 另外, 接口间共享缓存内存 缓冲能力可以容纳大型的突发数据包 因此, 即便对于很小尺寸的数据包,M 系列也能够在接口上对其进行线速转发 同时,M 系列内部的路由和转发功能是分开的, 这样便确保了因本地路由不稳定性而引起的路由表重新计算不会中断包转发处理 除了保持网络的可靠性外,M 系列路由器的设计也确保了自身系统的稳定性 Juniper 的 M 系列的高端路由器所有产品在主要易出现故障的硬件部分包括电源 风扇等均提供备份方式 M 路由器采用统一的 JUNOS 软件, 其具有保护模式的模块化设计结构, 每个单独的进程在一个独立操作系统顶部的保护内存中运行 模块化设计防止了整个系统范围的故障, 确保对一部分模块的修改不会对代码库的其它部分造成影响 基于 MPLS 的网络应该将不同的 QoS 功能分布到边缘和核心的 LER 这种分布方式是建立在如下的假设之上的: 边缘速度较低 流量较小可以进行较多的处理, 而核心速度高 通过的流量大只能进行较少的处理, 这是最为有效和可扩展的模型 多角度保障可靠性 一般来讲, 对于骨干网络需采用冗余设计以防止网络的任何位置发生故障 在实际网络中如果当条链路发生故障时, 业务参数会发生剧烈变化, 网络必须在不增加其它不稳定因素的前提下对故障进行处理 同时, 为保证网络设计的完整型, 必须选用可靠的骨干路由器 Juniper 的 M 系列路由器是基于能在异常条件下工作而设计的, 可以成为非常可靠的核心路由器 而对于重要的业务或特殊需求, 则需要进行些特别设计以实现高可靠保证, 比如利用 MPLS LSP 的链路保护技术 5

7 解决方案 网络结构的可靠性在网络设计方面, 无论是环形结构 还是 Full Mesh 结构, Juniper 网络公司均可提供相应的解决方案, 并部署相应的协议保障网络的高可靠性 链路的冗余保护 Juniper M 系列路由器支持 SDH APS 保护 支持 VRRP; 支持 802.3ad 多链路点对点协议 MLPPP SDH 链路的多链路聚合 ; 支持 MPLS LSP 路径保护 : 包括 MPLS 备选路径 MPLS 快速重路由 MPLS 链路保护等方式 MPLS LSP 的可靠性 MPLS LSP 上的任意节点或链路故障都会导致该 LSP 失效, 当然入口 LSR 收到故障通知后, 可以重新计算路由, 并通过 MPLS RSVP-TE 信令在每个 hop 点分配标签以新建立一条路径, 然后将失效 LSP 上的业务流通过新建 Path 转发到目的 LSR 但是该重路由的过程耗时太长 当节点或链路故障而引起 LSP 失效时, 为了能迅速实施故障恢复, 以保证网络业务的正常运行, 可以利用 MPLS LSP 的路径保护 全面保障网络安全 当网络变得越来越重要的时候, 也就意味着其会受到的安全威胁也将越来越多 因此, 保障网络的安全必须从全方位入手, 包括保障网络设备是安全的 网络设备安全路由器和交换机可能会成为攻击者的目标, 因为一旦路由器或交换机瘫痪, 影响的是整个网络的服务 而应付的对策则包括以下几点 : 首先, 对路由协议报文进行密码验证, 如 MD5 加密, 使假的消息不会被接受 其次, 对路由器的对等节点建立信任列表 第三, 对于网络管理员的登录, 建立 ACL 访问控制列表, 并对网管连接进行加密 第四, 对于路由协议以外的 IP/ICMP 报文, 通过 ACL 协议的过滤, 使攻击无效 网络管理系统的安全网管系统存储和传输的管理和控制信息对网络的运行和管理至关重要, 一旦出现信息泄漏 被纂改和被伪造, 将给网络造成灾难性的破坏 应对的方法包括 : 设置专用的防火墙 利用带外网管 利用 SSL 加密 利用 SSH 加密 利用源地址验证以及对网络管理员的权限进行分级 数据传输的安全基于 L2( 第二层 ) 的安全传送是 90 年代以来被运营商和客户广泛采纳的模式, 如 DDN 帧中继 ATM Juniper 路由器可以提供 VPLS 虚拟局域网专网互连功能, 为用户提供基于 VLAN 的二层广域网互连 所有用户数据不经过第三层的处理, 在第二层实现充分隔离, 为集团用户的数据安全提供了保障 6

8 解决方案 电网公司网络安全系统解决方案 就目前电力行业用户而言, 电网和电厂无疑是电力行业用户的核心 而二者之间的信息沟通不可或缺 自从电力行业组织机构重组和区域重新划分之后, 厂网拆分以及三网融合 数据大集中等多种 IT 应用出现, 不仅要求电厂 电网用户内部网络的互联互通, 还要求二者要开放更多的外接网络端口 电网总公司安全域的逻辑细分图如下图所示 : 电网用户更是如此 售电 是电网用户的主要业务之一, 除 ERP OA CRM 等内部应用之外, 还需开展电力营销 网上客服等新业务 新业务的开展又让电网公司必需与银行等第三方服务机构发生业务关系, 电网公司网络也需向其提供外接网络端口 电力行业网络端口开放使该行业的信息安全问题由原来仅限于内部事件, 转变为现在来自外界的攻击将越来越多, 原有网络安全设计很难满足这种变化 众所周知, 电力行业是一个国计民生的行业, 其行业最大的特点是不容中断, 即便是 5 个 9 (99.999%) 的安全系数保证也有可能造成极为恶劣的负面影响 各地市公司的安全域逻辑细分如下图所示 : 根据安全域部署安全网关 根据 Juniper 对电力系统实际需求的分析并结合国调对二次系统的相关建设要求, 建议将电网公司信息系统划分为以下几个大的网络安全域 :IDC 核心区 办公区 广域网接入区 Intranet DMZ 区 ( 即外网部分, 含 Internet DMZ 区 ) 和 Internet 区等 5 个安全域 同时, 通过对安全域的进一步细分, 可以将上述安全域进一步细分为管理安全域 服务器群安全域 关键办公 ( 人事 财务 领导部门 ) 安全域 普通办公安全域 广域网接入安全域 Intranet DMZ 服务安全域 拨号网接入安全域 Extranet 接入安全域 Internet 接入安全域等 在本方案中, 主安全域的划分主要通过安全网关及入侵检测防御系统 (IDP) 实现 通过其它安全系统进行安全配套 考虑到 IDC 核心区及办公区网络系统在整个电力信息系统中的核心地位, 因此将原单机单网的核心网络交换机升级成为双机双网结构, 通过双网双机的备份提高系统的性能及可靠性 局域网办公区和 IDC 核心区通过楼层 / 汇聚交换机接入核心交换 鉴于 IDC 核心区的安全性要求极高, 数据核心交换机也将配置为双交换机模式 7

9 解决方案 这里,Juniper 提供的方案中采用了千兆安全网关 / 防火墙系列产品 :ISG 1000 ISG 2000 与 Netscreen-5200 ISG 1000/2000 是代表着全球最先进网络安全技术的产品, 最有价值的优势在于其卓越的实际环境性能 稳定性和与 IDP 硬件集成的特性, Netscreen-5200 是业界最高容量的防火墙, 并可支持万兆以太网接口 ISG 1000/ 2000 Netscreen-5200 能全面适应电网安全发展的需要 该系列防火墙拥有高性能的真正的 ASIC 硬件平台 ScreenOS 安全操作系统 Security Manager 集中管理工具 齐全的高密端口布局, 体现了软硬兼顾 内外统一 应用灵活 集中管理等多种设计优点 方案中,Juniper 采用安全网关 / 防火墙系统来对企业网络的所有不同安全域互联接口进行安全控制, 包括 Internet 进出口控制 内网外网接口控制 广域网进出口控制及 IDC 进出口控制 总公司安全网关 / 防火墙系统部署图如下图所示 : FW1:Juniper ISG 1000 FW2:Juniper ISG 2000 FW3/4:Juniper ISG 1000 FW5/6:Juniper ISG 2000 各地市公司的安全网关 / 防火墙部署如下图所示 : FW1/2:Juniper ISG 1000 FW3/4: Juniper ISG 2000 FW1: Juniper ISG 1000 FW2:Juniper ISG 2000 安全网关 / 防火墙高可用性设计 由于电网公司的核心业务服务器 数据库服务器及所有的核心数据存储都位于 IDC 核心数据区, 因此 IDC 数据核心网络是否能安全可靠运行关系到整个企业信息系统的安全性和稳定性 作为网络系统的重要组成部分之一,IDC 核心数据区防火墙系统的可用性也将直接影响着整个 IDC 核心数据区的可用性 Juniper 建议 IDC 区防火墙系统与其核心交换机系统一样采用双机方式运行 同时为了进一步充分发挥防火墙设备的高性能,Juniper 建议该双机系统以并行方式运行, 这样 1+1=2 充分发挥双机的性能 真正意义上做到高可靠性和高性能兼得的双机运行 以冗余对方式部署时, 操作系统可以在冗余系统之间自动映射配置, 以提供工作防火墙和 VPN 会话的维护功能 这些设备可以使静态信息 ( 如配置 ) 和动态实时信息同步 因此在故障切换同步期间可以共享以下信息 : 连接 / 会话状态信息 IPSec 安全性关联 NAT 流量 地址簿信息以及配置变化等 防火墙双机解决方案所采用的先进故障切换算法可提供网络流量重新路由, 以免在出现设备故障的情况下发生连接中断 在进行故障切换时, 备份设备已经包含有必要的网络配置信息 会话状态信息和安全关联, 因此可以在一秒种之内完成切换, 继续处理现有流量 利用内置的故障切换协议和动态路由功能, 企业可以在全网状网络环境或负载分担环境中部署防火墙双机系统 防火墙系统的双机工作方式可以提供多种配置选项, 包括 : 主动 / 被动方式及主动 / 主动方式 主动 / 被动 : 一台设备作为主要设备, 而另一台设备用作其备份 主设备向备份设备发送它的所有网络和配置设置以及当前 8

10 解决方案 的会话信息 如果主设备出现故障, 备份设备就升级为主设备并继续进行流量处理 ( 如下图 ) 主动 / 主动 : 两台设备都配置为主动, 通过负载分担机制来分担分配给它们的流量 每一台设备约处理 50% 的网络和 VPN 流量 如果一台设备出现故障, 那么另一台设备就成为主设备并处理所有流量 ( 如下图 ) 为了实现最高的可用性并确保两个设备的同步, 高端的防火墙安全产品一般都有一对专用的高可用性接口 如果到一个接口的连接由于某种原因而丢失, 同步信息就会通过另一个接口传输 心跳信息丢失 任何接口上的链路丢失 无法接入配置的 IP 地址或一组监控的 IP 地址在本项目中 Juniper 采用主动 / 被动方式完成 IDC 隔离防火墙及内外网隔离防火墙的高可用设计 后期随着系统安全可靠性要求进一步提升, 及信息中心技术人员技术的提升,Juniper 建议将该防火墙双机系统的连接方式升级为 Full Mesh 方式 进行从设备到链路的全备份 安全多样性导致 UTM 使用 项目完成之后, 经过了一段时间的实际使用, 解决了用户对网络安全的需求 然而随着时间的推移, 用户发现网络安全出现了新问题 : 网络遭受的攻击已经不是过去病毒或者是黑客单纯性攻击威胁, 信息安全日益成为发展成为多种安全威胁混合性攻击 主动 / 主动全网状 : 两台设备都配置为主动, 网络和 VPN 流量同时通过两台设备 如果一台设备出现故障, 那么另一台设备就成为主设备并继续处理所有流量 在全网状模式下, 必须进行吞吐量调整以确保在出现故障切换时设备性能不会受到影响 ( 如右图 ) 实际上, 并不是只有该电网公司遇到这类网络安全问题 电网公司用户遇到的信息安全威胁具有一定的代表性 据 Juniper 网络公司发起的一项调查研究显示, 在接受调研的中国企业中有 63% 在去年受到了病毒或蠕虫攻击, 而 41% 的公司受到了间谍软件和恶意软件的攻击 预计针对中国企业网的攻击在近期将不会减弱 超过半数的被调查者都认为今年会有更多的病毒和蠕虫攻击 中国网络在去年遭受到的混合性网络威胁攻击中, 病毒和蠕虫攻击 ( 占 63%); 间谍软件和恶意软件攻击 ( 占 41%); 非预 9

11 解决方案 谋内部攻击 ( 占 29%) 黑客攻击 ( 占 14%); 拒绝服务 (DoS) 和分布式拒绝服务 (DDoS) 攻击 ( 占 13%) 安全领域的专家一致认为 : 网络安全需要一个多层次的防护 为应对复杂且随时都有可能发生的攻击, 企业不得不需要布置层次化的安全产品系列 真的如此吗? 并非如此 随着信息安全防护技术的发展, 市场上出现了统一威胁管理 (UTM,United Threat Management) 技术 UTM 是将企业防火墙 入侵检测和防御以及防病毒结合于一体的设备 因此很多像该电网公司一样的企业都计划把更多的投资花费在入侵检测和防护 (IDP) 等能够抵御混合性威胁的设备上 一体化防护才可确保安全 目前解决信息安全威胁问题绝不是处理好防毒 防黑即可确保为了网络无恙这么简单, 需要一体化防护手段 在安全技术体系上一体化信息安全技术模型主要包括 : 系统安全平台 应用安全平台和综合安全管理平台三个层面, 通过三个层面平台的一体化部署及它们之间的相互支撑和配合充分地实现信息安全系统的 P2DR2 功能需求, 即 :Policy 策略 Protection 防护 Detection 检测 Response 响应和 Recovery 恢复五个方面的安全需求 系统安全平台 : 主要是指在安全域及深入防御思想的指导下, 信息系统平台自身的安全加固及多安全域的配套安全设施强化 主要包括网络系统 主机系统及平台系统等系统自身的安全及安全加固 ( 如用户弱口令强化 非使用网络服务关闭及系统升级打补丁等 ); 安全域的划分及安全强化设施 ( 如防火墙 防病毒 入侵监测 漏洞扫描 物理隔离等 ) 的合理部署 应用安全平台 : 主要完成网络资源的身份管理 身份认证及网络应用资源的访问控制 网络应用的集中登陆, 集中访问控制 具体技术设施包括门户系统 (Portal) 身份管理系统(IM) 访问控制系统 (AM) 证书系统(PKI) 等 安全管理平台 : 安全管理平台是安全技术体系的核心组成部分 是企业的安全管理中心 (SMC) 的重要支撑 主要完成安全系统的策略设置 安全事件监控及响应 安全审计 风险分析和决策支持 Juniper 根据其一体化防护思路指导下推出了 UTM 设备 集高级安全与全路由于一体的新一代安全多业务网关 500(SSG 500) 系列 该系列产品集成 Juniper 广受赞誉与认可的高性能 VPN/ 安全与电信级路由技术于一体 各个产品型号完全是针对中型企业 大型企业分支机构 中小型企业等不同安全需求量身定制的 值得注意的是,SSG 产品应用范围广泛 可以防范网络及应用层的攻击, 支持当前及未来的网络联接技术方案 ; 在局域网安全基础上, 还支持分支机构到总部的网络连接性能 用户可将其作为网络安全设备使用 : 作为防火墙可为中型 / 中大型企业提供高级别的安全网网络能力 ; 其 VPN 功能, 为客户提供高速 WAN 提供高性能安全联网 与其它信息安全设备提供商的产品相比,SSG 产品系列不仅是用户的 UTM 设备的理想选择, 用户还可以将 SSG 作为安全路由器使用 作为安全路由器,SSG 产品除了安全以外, 同时还能替代传统路由器, 为企业提供安全与路由的一站式方案 考虑到用户网络应用的实际需求, 对于超大规模网络用户,Juniper 建议用户还是应将路由和安全设备不要集成使用 10

12 解决方案 SSG 500 系列产品内置深度检测等内容安全级的 IPS 功能, 对网络进行由表及里的全方位防护, 将主流网络安全设备的定义由 FW/VPN 集成推进到 FW/VPN/IPS 集成时代 ; 配备 ScreenOS, 支持深度检测 状态检测等集成化入侵检测等内容级的高级安全特性 ; 内置 Web 过滤 反病毒 反垃圾邮件 反网络欺诈等新一代安全功能 ; 实现网络安全与企业级路由功能一体化, 简化网络设计, 消除网络瓶颈, 提高网络安全通信的效能 ; 基于 JUNOS 的完整的路由能力, 支持 RIP1/2 OSPF BGP 等路由协议 ; 支持 FR/MLFR/FRPPP/MLPPP/HDLC 等多类型主流广域网联接 ; 支持多类型高低速广域网接口, 高至千兆以太网, 低至 64K 专线 / ISDN 等 ; 模块化 高性能 全千兆联网, 性价比业界无与伦比 ; 防火墙性能最高达 1Gbps,IPSec VPN 性能达 500Mbps; 内置 4 GE 端口, 配有 6 个 I/O 接口模块 ; 配备直流电源选项, 配备电信机房要求的设备附件选项 由于 Juniper 网络公司原有防火墙均会被升级, 使其具有 UTM 功能 目前, 很多电网公司已经开始对原有网络安全设备进行改造 开始部署 SSG 设备 11

13 解决方案 电网公司 SSL VPN 系统解决方案 近年来电力行业完成了组织机构重组和区域重新划分之后, 该行业的经营模式则逐步转向厂网分开 竞价上网的方式 经营模式的改变意味着电力行业原有 IT 系统也将随之改变蜒由封闭转向有限性开放 电力行业信息系统一直以来处于相对封闭环境, 正是由于电力厂网拆分, 致使原有一个系统成为了两个系统, 每个系统都需为对方开放端口 电力营销 网上客服 三网融合 数据大集中应用 内部各系统间的互联互通等需求让电厂 电网网络将进一步开放 ; 同时电力行业也加强与金融等第三方服务机构的合作 这些均需要电力行业信息网络进一步增加其外接网络端口数量 如此众多的外接端口数量, 没有强力的安全技术支撑, 不能从根本上保证用户数据远程传输的安全性 与此同时, 国家要求电力行业进一步增强盈利能力 因此电力企业尤其是电网企业, 为其销售方便设立了多个分公司和办事处 ; 为实现人 财 物等信息流在企业的顺畅流转, 纷纷采用 ERP 和 OA 等办公系统等多种 IT 手段, 以降低运营成本提升自身的竞争能力 因此, 电网公司对于 SSL VPN 系统的使用, 将可从技术上支持上述这些业务要求, 是极具代表性的 具体需求 很多电网公司现已建立 OA 办公系统 内部门户网站 内部邮件系统 ERP 系统和联网财务结算等应用系统 网络中心与总部的各个网络节点之间也采用了千兆连接技术, 以确保数据 信息的高质量传输 另外, 内部网络则通过 100M 光纤专线, 接入互联网 但在总部与各个分支机构之间, 如果继续像过去那样采用电信的专线组网方式, 那么费用将会非常昂贵, 会给企业带来沉重的负担 相比之下, 基于 VPN( 虚拟专用网 ) 的联网方式为其提供了一种经济的手段, 它具有不受地域限制 安全性高 费用低廉 设置简便等特点, 非常适合现代企业的远程接入和移动办公的需要 这样, 不仅分支机构的员工能够使用与总部员工相同的网络应用和服务, 而且员工还可以在外出途中或者家中, 借助互联网接入到公司内部网络, 真正地建立起 移动办公室 或者 家 庭办公室 另外, 由于电力系统信息安全问题威胁到电力系统的安全 稳定 优质的运行, 影响着数字电力系统信息化的实现 因此, 在帮助分支机构或者移动用户方便 快捷地接入公司内部网络的同时, 还必须保证数据在互联网上传输的安全性问题 综合上述因素, 电网公司对所要选择的远程接入系统总体上需要满足下列要求 : 方便性 : 因为各个分支机构和移动用户所使用的上网方式和系统配置各不相同, 所以该系统应当能够实现免客户端的连接方式, 减轻用户和总部管理人员的工作负担 安全性 : 确保在网络传输数据的安全性, 数据通过高强度的加密算法进行底层传输, 执行严格的权限管理 这不仅要求对数据进行高强度的加密, 还需要利用精确的身份验证 权限管理机制, 识别接入用户的身份, 授予符合其职能的访问权限 稳定性 : 要求远程接入系统能够长期稳定 高效地运行, 并通过故障恢复机制, 在不影响业务正常运转的情况下修复故障 制止攻击和升级软硬件 扩展性 : 随着业务规模的增长和用户分布范围的扩大, 接入系统应当能够不断地进行扩展, 提供方便的扩展接口和充足的扩展空间, 以适应业务环境的不断变化 兼容性 : 由于网络应用的种类日益增多和功能的复杂化, 接入系统应当具有对不同应用的兼容性, 支持 Web 方式 客户端 / 服务器 分布式计算等不同的体系结构 方案建议 经过综合比较和筛选, 以 Juniper Secure Access 系列产品 (SA2000/SA4000/SA6000 等 ) 为核心的 Juniper SSL VPN 解决方案不仅可满足各项技术要求, 而且具有便于部署 总拥有成本低等优点 Juniper 建议在电网公司实施的 SSL VPN 安全接入的网络拓扑图如下 : 12

14 解决方案 数据传输的安全性 Juniper SSL VPN 解决方案采用 SSL 协议加密建立安全的专用通道, 使用 1024 位密钥进行身份认证过程的加密, 并使用 128 位算法保护数据传输的安全 而且, 所有存储在设备上的数据使用 AES 进行加密, 只有系统软件可以读取存储的加密数据 因此, 如果用户和管理员没有系统级账号, 就不能替换任意的可执行文件 这样, 黑客就无法针对系统进行攻击 技术特点 方便易用, 用户只需使用标准的 Web 浏览器 Juniper Secure Access 4000(SA 4000) 是一款在业界广受好评的 SSL VPN 产品, 采用 Instant Virtual Extranet(IVE) 系统平台 因为该产品将标准 Web 浏览器内置的 SSL 作为加密传输机制, 所以用户只需要使用标准的 Web 浏览器, 就可以迅速地建立 SSL VPN 连接, 而不需要安装任何额外的软件或者硬件 用户界面可以定制, 只需单次登陆 Juniper SA 4000 支持为不同类别的用户定制不同的登陆界面, 让用户可以更加迅速地找到自己最感兴趣的功能 此外, 还支持一次登录访问多个需认证的应用的功能, 使得用户只需要单次登陆, 就能够使用各种不同的安全应用 支持多种基于 TCP/IP 的应用和网络连接方式广泛的应用支持是 Juniper SSL VPN 解决方案的另一特色 除了对 Web 和 等应用的支持外,SA 4000 还为许多客户端 / 服务器应用提供了透明支持 对用户权限进行安全认证 Juniper Netscreen IVE 系统支持多种接入安全措施, 包括动态认证策略, 角色定义和策略匹配, 以及资源访问策略等 管理员可以通过多种标准对用户身份进行认证 管理员还可以定义用户属于一个或多个角色, 对不同角色提供不同的访问权限 对属于多个角色的用户可以一次性地给该用户多个角色的总和, 也可以让用户选择采用多个角色进行应用访问 性能强大, 便于扩展 Juniper SA 4000 可以同时支持数百个用户, 最多可扩展至 1000 个并发用户, 完全能满足电网公司的负载要求 在需要进行网络扩容时, 该公司只需要在总部升级硬件和软件, 而不需要对客户端进行任何改动, 大大加快了扩展速度 具有故障恢复能力, 确保高可用性为了防止因为单机 单点故障导致远程访问中断,Juniper SA 4000 支持高可用性功能 当主 IVE 设备出现故障 ( 包括网络故障和主机故障 ), 备用 IVE 设备就会自动切换为主设备, 接替原有设备的工作, 这样已有的用户连接不会中断 全面的服务和支持 Juniper 网络公司提供了一系列全面 灵活 领先的技术支持 专业服务和培训课程 Juniper 网络公司的专业服务部由很多具有丰富经验的顾问和专家组成, 在帮助客户评估网络安全漏洞 制定解决方案和提升网络性能方面都拥有业界领先的专业水平 实施效果 该方案在若干电网公司已有实际应用 在采用 Juniper SSL VPN 解决方案之后, 这些用户建立起了现代化的网络系统管理系统和全面的远程接入服务 曾有网络业务负责人表示 : 在使用了 Juniper 的产品之后, 我们的员工都能够比以前更加方便地使用内部网络的各项应用和服务, 而且我们有效地解决了网络攻击和数据安全问题 今后, 我们打算将该解决方案推广到更多的分支机构和合作伙伴, 进一步提高我们的信息化水平 13

15 解决方案 Juniper 网络公司的统一接入控制 (UAC) 解决方案概述 随着国网公司 SG186 工程出台, 一强三优 战略的提出, 电力二次系统在继续加强电网安全的同时, 对电网企业的管理信息化提出了新的要求 SG186 工程明确提出, 构筑由数据交换 数据中心 应用集成 企业门户五个部分组成的一体化信息集成平台 一体化平台的建设, 必将使得电力宽带综合业务网上承载的应用不论从应用数量上, 还是从应用类型上都会有极大的增长 生产管理系统 企业经营管理系统 电力营销系统 电力生产应急指挥系统 电力调度生产及管理系统 电力市场交易平台 财务管理系统 视频会议系统 客户服务系统 办公管理信息系统 邮件及互联网等业务系统都会运行在这张信息网上 上静态添加策略, 且此时也不会对用户的机器状态 ( 如是否染病毒 是否就是用户本人等 ) 进行任何的检测 很显然, 这样的访问控制是繁琐的, 且安全性不高 Juniper 网络公司的统一接入控制 (UAC) 解决方案能够很好的解决这些问题 通过一台或多台统一控制器, 可以根据事先指定好的访问策略 ( 如人力资源人员才能访问人力资源服务器, 领导都能访问所有的服务器 ), 在防火墙上动态加入控制策略 并且, 在这些策略应用的同时, 还可以检查机器的状态 ( 是否染毒 是否打了补丁 ), 或采用多种方式对用户进行认证 ( 如用户名 / 密码 Token 等 ) 不同应用系统有着不同的特性, 对于安全性都有着不同的要求 加之, 随着应用的增多, 且用户 PC 数量的增加, 用户对于各个应用系统的访问访问的复杂性也大大增加 加上电力综合信息网一般都具备 Internet 接入的能力, 都增加了网络被染毒, 被攻击的可能性 如何对用户访问进行智能控制, 即保证网络的安全性, 又不增加用户访问的复杂性, 是新一代电力综合业务网需要解决的问题 UAC 解决方案是一个基于标准的 可扩展的 经济高效的解决方案, 采用网络控制器 (IC) 与网络中原有的认证系统结合, 作为统一的身份认证和授权服务器, 而在网络当中部署相应的交换机或者防火墙, 作为策略执行器, 对不同的用户接入实行细粒度的访问控制 对于电力宽度综合业务来说, 一般都会在广域网划分多个 MPLS VPN, 如调动生产 财务系统 视频会议等, 对不同的应用在广域网进行隔离 在局域网内部, 采用防火墙对不同的应用进行保护和隔离 为了实现用户对不同应用系统的访问, 需要在防火墙 UAC 系统实现了全面的细粒度的访问控制授权机制, 真正实现了关联用户的帐户标识, 网络标识和终端状况的动态控制 系统可以通过多种要素对用户身份进行认证和授权, 包括用户身份的相关属性 ( 如用户名, 组等 ) 源地址 证书 节点安全状况检查 浏览器 操作系统等, 系统根据这些内容的不同, 将网络中的用户划分为相应的角色, 并且基于角色实现授权, 每个角色具有针对不同应用资源的不同的访问权限 另外, 系统对上述授权依据 14

16 解决方案 信息的获取都是一个动态的过程, 系统可以定时的检查客户端的相关信息 如可以定时的检查客户端的防病毒软件是否开启, 如果用户在使用过程中关闭了防病毒软件, 系统可能会因此在用户的访问过程中改变该用户所属的角色, 可以强制将该用户退出系统, 或者重新为该用户分配相应的权限 这样的话, 就实现了一个动态的访问规则的控制, 也保证了用户实时的策略遵从性 方案介绍网络部署和用户流程 UAC 的解决方案对最终的用户是透明的, 终端电脑无需预先安装客户端软件, 利用 IE 对访问重定向的技术, 终端用户也无需主动到 IC 上进行认证, 方便了最终用户的体验 7.IC 根据这些信息, 判断该用户的权限和指定的安全策略 8.IC 将该用户的访问权限, 以 SSH/SSL 的方式下发到网络中的执行器, 该例中策略将会下发到 ISG2000 安全网关 9.IC 上设置的个人防火墙策略也会下发到 IA 上 10. 由于在防火墙上已经有了相应的权限, 该用户可以穿过 ISG2000 访问其后保护的核心服务器 IC 结合支持 802.1x 协议和动态 VLAN 的交换机作为网络控制器, 可以很好的完成网络准入和权限控制的问题 如下图所示, 用户接入交换后, 进行 802.1x 认证和授权的流程是 : 下面的图例是一个典型的 UAC 方案的部署,Juniper ISG2000 安全网关作为网络执行器 (IE), 对核心的服务器资源进行保护 ; 部署了微软的 Active Directory, 做为 AAA 认证服务器 1. 终端用户发出请求, 要访问 ISG2000 安全网关保护的核心服务器, 由于防火墙的规则配置要求只有通过 IC 认证的用户才可以访问这些服务器, 该用户的请求被阻挡 2. 终端用户的请求被 ISG2000 安全网关重定向到 IC 的认证界面 3.IC 通过 SSL 的方式向终端主机传送 IA, 利用 ActiveX 或者 Java 的方式从 IC 的登陆界面中对客户端自动安装 IA 软件 用户只需要在第一次登陆 IC 的时候安装 IA 软件, 以后无需再次下载安装 4.IA 软件对客户端的状况进行检查, 如果与 IC 中定制的安全策略不相匹配, 则将用户重新定向到相应的修复服务器, 进行客户端安全软件的修复 5. 客户端利用 IA 向 IC 进行身份认证, 输入相应的用户名和密码 6.IC 将用户名和密码信息传送给 AAA 服务器, 进行认证, 从 AAA 认证服务器上得到用户的相关属性信息, 如组等 1. 用户终端接入交换机设备, 物理网线连接 这个时候用户没有得到 IP 地址, 没有任何的 IP 访问权限, 只允许 802.1X 的认证报文通过 2. 交换机检查用户终端是否含有 802.1X 的客户端, 如果没有, 则将其分配到 guest VLAN 当中, 获得该 VLAN 的 IP 地址, 与 IC 实行了路由的可连接, 用户可以登陆到 IC 上, 自动的下载和安装相应的 IA 客户端软件 3. 安装了客户端软件的主机, 可以利用 802.1x 认证客户端进行身份认证 向交换机发送身份信息和主机的安全检查结果 4.IA 客户端对用户的主机进行安全检查, 如是否安装了防病毒软件, 是否更新到最新的特征, 是否安装了最新的补丁等 通过认证的主机如果不符合企业的安全策略, 交换机会将其分配跟修复服务器同一个 VLAN 中, 自动的重定向到修复服务器进行修复 15

17 解决方案 5. 如果认证的主机符合企业的安全策略, 交换机会将其分配到内部网络的 VLAN, 与内部的服务器之间实现路由可达, 只要用户具备相应的访问权限, 即可以进行针对服务器的数据访问 客户端状态检查技术 客户端的安全状况, 是衡量一个网络安全水平的重要标志, 安全状况没有符合安全策略的主机对网络的接入, 可能会造成很大的安全隐患 如何有效的评价客户端的安全状况也是网络授权的一个重要组成部分 目前来讲, 就终端安全检查方面, 国际最为著名的标志为 TNC TCG-TNC 标准可信计算集团 (TCG,Trusted Computing Group) 是一个编写 NAC 标准的行业组织, 其目标是促进多厂商互操作性 该集团也拥有自己的 NAC 方案 可信网络连接 (TNC) 规定了厂商用于 TNC 架构的各类设备上的产品接口 TCG 将 NAC 定义为一种 能够在端点连接至企业网络的过程中应用和执行各类安全要求的开放的 非专用的规格 可信网络连接技术 TNC(Trusted Network Connection) 是建立在基于主机的可信计算技术之上的, 其主要目的在于通过使用可信主机提供的终端技术, 实现网络访问控制的协同工作 又因为完整性校验被终端作为安全状态的证明技术, 所以用 TNC 的权限控制策略可以估算目标网络的终端适应度 TNC 网络构架会结合已存在的网络访问控制策略 ( 例如 802.1x IKE Radius 协议 ) 来实现访问控制功能 Juniper UAC 解决方案可以全面支持 TNC 标准, 可以与 Symantec,McAFee,IBM,PatchLink 等安全厂商做紧密的结合, 从而来判断终端安全性 系统对于不符合安全策略的客户端, 提供了自定义的修复功能, 比如对于没有安装防病毒软件或者病毒软件没有及时更新的主机, 可以采用将其重定向到病毒更新服务器方法, 强制其进行更新 ; 对于没有对操作系统进行足够补丁的主机, 可以重定向到补丁服务器 ; 对于存在恶意进程的主机, 可以采用杀死该进程或者删除文件的修复方法等 安全策略建议 企业网工作终端企业网 LAN 中的用户直接接入到企业的内部网络, 给企业网络带来了不少的安全隐患 部署了 UAC 解决方案以后, 尚未安装 Infranet 代理的用户在登录 LAN 时, 必须到企业的门户页面寻求支持 这个门户页面将用户连接到 Infranet 控制器并自动下载 Infranet 代理软件 代理评估端点安全性 ( 如病毒升级和补丁管理等 ) 并对端点进行验证, 以确定它们是安全的和正确的, 或将 不安全的端点发送至修复页面 代理配置用于对整个会话定期进行此类检查, 以确保一致的安全性 终端上网用户用户终端在想要访问互联网时, 必须首先接受 IC 的认证和检查, 比如其防病毒软件的安装和更新状况, 其操作系统补丁情况, 只有通过了正常的身份认证, 并且符合了企业的安全策略, 足够健壮的客户端, 才可以去访问互联网, 这样的客户端可以避免受到来自互联网恶意网站, 恶意程序的侵袭, 保证了内网的安全性 终端访问重要服务器已通过评估和验证的端点, 同时要验证其安全状况, 如是否有足够的保护机制, 是否已经感染了后门程序或者间谍软件, 只有本身是干净的用户才可以接入数据中心, 其他没有经过认证或者端点安全性不够的主机, 不能与数据中心的资源进行通讯 这样, 通过屏蔽不可管理的或违规端点,Juniper 网络公司企业 Infranet 可在无需替换任何基础设施的前提下, 更好的实现了数据中心的安全性 UAC 解决方案的好处 Juniper UAC 解决方案充分利用已有的网络安全建设, 将各个孤立的解决方案实现最佳的融合 UAC 将内部网络的防病毒解决方案, 补丁管理解决方案, 身份认证解决方案, 网络访问控制解决方案结合在一起, 实现了对终端安全方案的强制执行, 不符合终端安全策略的用户, 将会在网络访问中受到限制, 对网络访问的方案增强到基于网络标识 用户标识和终端状况等因素的集中授权 Juniper UAC 解决方案支持公开的标准, 是一个兼容性很强的解决方案, 通过对 802.1x 的支持, 所有支持标志的 802.1x 的交换机和无线接入设备, 都可以作为 UAC 方案当中的执行器, 如 Cisco, Huawei, Foundry, 3Com 等 ; 通过对 TNC 标准的支持, UAC 解决方案可以与更多的终端安全产品开放接口, 实现网络控制和终端安全的完全互操作 TNC 组织的成员包括 Symantec, IBM, McAFee, PatchLink 等 通过对标准的支持, 用户可以充分利用已有的网络设备和安全软件, 即使没有某一个解决方案, 也不必担心会被某个单一厂家绑定, 完全可以在同类产品当中选择最优的方案 16

18 相关产品 Juniper 网络公司 M- 系列路由平台 M10i M20 M40e M120 和 M320 路由平台 因为所有 M- 系列平台都运行统一的可扩展 为生产增强的 JUNOS 软件, 因此无论客户使用何种连接, 服务区域密度有多大, 都可以在所有网络位置提供一致的功能 Juniper 网络公司 M - 系列平台可跨各种平台提供同样的特性和可预测的性能 这种一致性可在扩展网络并降低运营开销的同时在短期内实现创收 提高成本效率 M- 系列路由平台 Juniper 网络公司业务构建 M- 系列平台部署在世界最大的网络中, 广泛提供高级 IP/MPLS 业务, 并帮助用户进行网络转型, 增加收入 M- 系列平台完全隔离了控制 转发和业务层面, 可在不影响性能的情况下, 单一平台支持多种业务 最大程度增加收入并降低资本成本 这些业务包括各种 VPN 基于网络的安全性 实时语音和视频应用 应需带宽 丰富的高级内容广播 IPv6 业务 精度记帐等等 利用业务构建体系结构的强大的灵活性和性能优势, 随着新版本的 JUNOS 路由操作系统软件不断推出, 基于 M- 系列路由平台的多种数据业务也将随之不断增加 广泛的用途 M- 系列平台用途极为广泛, 可以部署在电信级骨干网络边缘 企业网的核心网络 对等网络 路由反射器以及数据中心等等 但是, 目前 M- 系列平台上的创新是利用高度可编程的 Internet Processor II ASIC 和 IP/MPLS 特性丰富的 JUNOS 软件, 极大地扩展了它的各项功能 M- 系列平台已经部署在了一些世界最大的运营商网络系统中, 及很多大型企业的骨干网中 为所有客户提供一致的服务 M- 系列平台的吞吐量可从 5 Gbps 扩展到 320 Gbps, 包括 M7i 具有领先密度的接入 利用其广泛的接口,M- 系列平台可通过任何接入类型为成千上万的客户提供单点边缘汇聚, 其中包括 :ATM 帧中继 以太网和 TDM, 速度可以从 DS0 一直到 OC-192/STM-64 和万兆以太网 M- 系列平台利用高密度以太网和高度信道化接口, 实际上可为所有端口类型提供领先的密度 全面的 VPN 业务 M- 系列平台能够在不影响性能的情况下同步运行和扩展第 2 层虚拟电路 第 2 层 VPN 第 2.5 层互通 VPN 第 3 层 2547 VPN VPLS IPSec GRE IP over IP 及其他隧道贯穿机制, 支持业界最全面的 VPN 业务, 可满足尽可能多的客户的需要, 同时最大程度提高服务供应商的收入并最大限度降低对基础设施的要求 例如 : 服务供应商能够使用第 3 层 VPN 提供外包路由业务, 还能够使用应用层 VPN, 在通用 IP/MPLS 基础设施上提供点到点 ATM 业务 高精度 QoS 和统计数据 丰富的数据包处理功能使 M- 系列平台能够为每个端口 每条逻辑电路 (DLCI VC/VP VLAN) 以及每条信道 (DS0) 实现多级高精度 QoS, 以实现流量优先级分配 这些全面的 QoS 功能包括分类 速率限制 整形 加权循环调度 严格优先级调度 加权随机早期检测 随机早期检测和数据包标记等 对于网络融合应用, 第 2 层 CoS 能够 DLCI VP/VC 或 VLAN 映射到第 3 层 CoS 同时, 能够以同一级别的精度采集广泛的统计数据并执行诊断, 以实现灵活的计费 流量规划和快速故障排除 丰富数据包处理 可以在 VPN 的基础上分层添加广泛的业务, 以进一步增加收入 利用包括 MPLS VPN 组播在内的综合组播功能可实现高效的高 17

19 相关产品 级内容分发 基于硬件的 IPv6 以及 IPv6 over MPLS 等 IPv6 移植工具, 能够更加简便地利用并受益于这种下一代 IP 协议, 而且不会影响性能 NAT 和状态型防火墙能够按 VRF 配置, 实现基于网络的安全性, 以提高收入 并且,IPSec 能够用来为安全性要求高的最终用户提供高级安全业务 新的数据包处理功能将不断增强 M- 系列业务构建边缘的能力, 以确保最大的创收机遇 高度可靠 M- 系列业务构建体系结构在基础设计中考虑到了规模和稳定性, 包括模块化的 拥有故障保护的 JUNOS 软件设计以及严格的系统测试流程 而且, 所有 M- 系列平台都提供了冗余电源和冷却系统 ;M10i M20 M40e M120 和 M320 路由平台还提供了包括路由引擎和系统 / 转发引擎板在内的完全冗余硬件 JUNOS 软件特性进一步增强这种冗余的体系结构, 在路由引擎发生故障的情况下, 可通过无中断路由引擎切换 (HitlessRouting EngineSwitchover) 实现无中断转发, 并支持联机软件升级 (Inservice Software Upgrades) 这种功能可补充其他高可用性功能, 包括 : 平稳协议路由重启 MPLS 快速重新路由 VRRP SONET APS SDHMSP BFD 以及 LACP 强大的安全性 所有 M- 系列平台都支持扩展性高的 J-Protect 过滤功能 单点发送反向路径转发及高性能速率限制功能, 以实现业界领先的 DOS 攻击防护功能 其他 M- 系列平台的 J-Protect 安全功能可利用多业务 PIC 卡进一步增强 ; 这些 PIC 卡以硬件方式促进高速 NAT 具有攻击检测的状态型防火墙以及 J-Flow 记帐等其他基于网络的安全性业务 JUNOS 新一代路由操作系统 随着用户从提供尽力而为的 IP 网络业务向提供更丰富 更有保证的体验迁移, 他们需要包含核心路由系统特性 多业务以及安全性等一起的操作系统 JUNOS 软件不仅提供功能强大的操作系统, 还提供丰富的 IP 业务工具包 JUNOS 软件可提供无与伦比的 IP 可靠性和安全性, 可确保可预测的高效 IP 基础设施 利用这个稳定的可用网络, 客户能够灵活地分割流量 创建独特的应用环境 或部署可创收的 IP 业务 JUNOS 软件在全球最大的 IP 网络中经过生产验证, 能够帮助客户将 IP 基础设施转变成 Infranet- 用户获得持续经济成功的重要途径 M320 互联网路由器 M320 是高性能的, 分布式架构的高性能企业核心路由器 / 电信骨干边缘路由器, 具有 10 Gbps 接口 每个机箱提供多达 16 个 OC-192c/STM-64 PIC 卡 ( 每个机架 32 个 ), 或者可以在每个机箱中提供多达 64 个 OC-48c/STM16 端口 ( 每个机架 128 个 ), 吞吐量高达 320Gbps M320 平台具备在一个机箱中支持多达 32 种第 1 类和第 2 类 PIC, 以及在万兆上行链路中支持 16 种第 3 类 PIC, 因此成为用户提供万兆 PoP 点边缘业务的完美解决方案 此外, 这个平台还适用于要求交换矩阵和路由引擎冗余特性的环境 所有主要组件均可现场更换, 进而提高系统可用性和可靠性, 并缩短平均维修时间 为了保护投资和实现平滑升级, 该平台还支持 M40e PIC 卡, 而且, 这些 PIC 卡与 M40e T320 和 T640 兼容 M120 多业务路由器 M120 多业务路由器是 Juniper 网络公司业界领先的 M 系列产品家族的最新成员, 是迄今为止 Juniper 推出的最强大的路由器 M120 可支持 128 个千兆以太网用户端口, 具有 10Gb 以太网或 OC192 上行链路的功能, 价格合理, 外形紧凑, 是支持高带宽融合边缘路由应用的理想选择 该平台设计用于促进业务汇聚, 可满足服务供应商和企业用户对多重播放服务的需求 M120 多业务路由器具有两个适用于 10Gb 以太网或 OC192 上行链路的 cfpc 插横槽, 完全保留了四个灵活的 PIC 集中器 (FPC) 的可用性 以支持用户连接 18

20 相关产品 M120 凭借 10Gb 的联网功能, 将经济高效 经以太网优化的基础设施扩展到网络边缘 M120 能够支持第 2 层和第 3 层 ( 包括第 3 层 VPN) 的 MPLS 业务, 可提供卓越的冗余功能, 促进传统的帧中继和 ATM 流量在高带宽的以太网链路上传输 M120 平台在冗余功能和扩展能力方面取得了重大进展, 再一次证实了 Juniper 网络公司在技术方面处于领先地位 M120 支持在城域网和广域网环境中无中断地向以太网业务迁移, 同时保持基于 ATM 和帧中继的传统创收业务的完整性 M40e 多业务路由器 M40e 路由器提供了一个高密度 高度冗余的平台, 主要针对大中型 PoP 点中的高密度专用接入汇聚和供应商边缘业务 这个 40+Gbps 的平台通过 8 个 FPC 支持 32 个具有扳手装置的 PIC, 在半机架空间内提供高达 OC-48/STM-16 的上行速度 M40e 提供通用硬件冗余特性, 包括交换矩阵 路由引擎 风扇支架和电源 该平台支持 M20 PIC M160 PIC, 并且许多 PIC 都可以向前移植到 T- 系列路由平台 M20 多业务路由器 M10i 多业务路由器 Juniper 网络公司 M10i 路由器是最经济高效的完全冗余 M- 系列边缘路由器 M10i 拥有完全冗余的通用硬件组件, 包括冗余路由引擎 小巧转发引擎板 风扇支架和电源 M10i 结合了 JUNOS 可靠性特性, 是在中小企型 PoP 点支持可靠和安全业务的首选产品, 也是中型企业网核心系统的优异平台 M10i 通过两个内置的灵活 PIC 集中器支持 8 个具有扳手装置的 PIC, 接口速度高达 OC-12/STM-4 和千兆以太网 PIC 可在 M7i 和 M10i 路由之间互换 M7i 多业务路由器 M7i 路由器是 Juniper 网络公司外型最小巧的高端路由平台, 高 3.5 英寸 (8.9 厘米 ), 支持 7+Gbps 的吞吐量 它适用于小型 PoP 中的 IP/MPLS 运营商边缘路由器, 或中型企业网的路由核心, 或者可以利用集成多业务模块, 支持硬件加速的 NAT, 状态型防火墙 IPSec 和 J-Flow 记账 ; 它能够用作园区网边界路由器或以太网端口, 并可以扶持 4 个带扳手装置的 PIC 它支持的接口速度可高达 OC-12C/STM-4 和千兆以太网 PIC 可在 M7i 和 M10i 路由器之间互换 M20 路由器的高度只有 14 英寸 (35.56 厘米 ),M20 的设计高效利用空间, 实现了更高的端口密度 20+Gbps 吞吐量的性能 扩展性和可靠性 M20 提供了完全冗余的硬件, 包括冗余交换矩阵和路由引擎以提高系统可用性 M20 支持 16 个具有扳手装置的 PIC, 上行速度高达 OC-48/STM-16 小巧的设计适用于中小型 PoP 点的边缘或中型企业网的核心 M20 PIC 能够在 M40e 平台上运行 19

21 相关产品 Juniper 网络公司 J4350/J6350 业务路由器 提供性能扩展空间和内存可扩展性来满足未来需求, 并且为企业提供无与伦比的可靠性 投资保护和价值 Juniper 网络公司 J4350 和 J6350 路由器适用于直接连接专线 帧中继 ATM 或 MPLS 等传统专网的分支办事处, 以及将公共互联网作为传统专用广域网替代方案的分支办事处 J4350 和 J6350 提供卓越的性能, 同时运行状态防火墙 网络地址转换 (NAT) 和 IPSec 等服务, 因此也是城域以太网部署的理想选择 Juniper 网络公司 J4350 和 J6350 路由器能够为企业远程 分支和地区办事处提供高达千兆以太网的性能 该产品运行模块化 JUNOS 软件, 能够在不增加成本的情况下提供 MPLS IPv6 服务质量 (QoS) 和组播等高级服务, 也能提供安全性 ( 状态防火墙和 IPSec VPN) J4350 和 J6350 业务路由器支持使用 Avaya IG500 集成网关的集成 IP 电话, 该产品为前瞻性平台, 能够通过 Juniper 网络公司 J4350 和 J6350 是支持 Juniper 物理接口模块 (PIM) 的模块化路由器, 可提供大量的通用广域网和局域网接口, 包括千兆以太网接口 这两款产品都提供硬件加密加速特性 ( 对 J4350 为可选项 ), 分为 DC 和网络设备构建系统 (NEBS) 两个版本 此外,J6350 还提供冗余的 AC 或 DC 电源 下表列出了主要硬件特性 : 产品 说明 J4350 支持 T1 E1 快速以太网 串行 ISDN BRI ADSL/2/2+ G.SHDSL DS3 E3 和千兆以太网接口 支持使用 Avaya IG550 集成网关的集成 IP 电话 4 个固定的千兆以太网局域网端口,4 个 PIM 插槽,2 个 EPIM/PIM 插槽 提供 DC 版本 默认设置为 1GB 或 256MB DRAM, 可扩展到 2GB DRAM 默认设置是 256 MB 紧凑型闪存, 可升级到 1GB 硬件加密加速 ( 可选 ) 提供满足 NEBS 要求的机型 J6350 支持 T1 E1 快速以太网 串行 ISDN BRI ADSL/2/2+ G.SHDSL DS3 E3 和千兆以太网接口 支持使用 Avaya IG550 集成网关的集成 IP 电话 4 个固定的千兆以太网局域网端口,2 个 PIM 插槽,4 个 EPIM/PIM 插槽 提供 DC 版本 默认设置为 1GB DRAM, 可扩展到 2GB DRAM 默认设置是 256 MB 紧凑型闪存, 可升级到 1GB CF 硬件加密加速为标配 提供满足 NEBS 要求的机型 冗余的 AC 或 DC 电源 20

22 相关产品 特性和优势 根据默认设置,Juniper J4350 和 J6350 路由器提供大量重要特性, 包括运行高级服务时确保高性能 集成的 IP 语音 先进的模 块化操作系统 大量的连接选项 固有的故障排除功能以及 MPLS 功能等 下表较为详细地说明了这些特性 : 性能和服务特性说明优势 运行服务时确保高性能集成的 IP 语音模块化 JUNOS 操作系统 运行状态防火墙 网络地址转换 (NAT) 及 IPSec 等高级服务时确保最低的性能降级 支持 Avaya IG550 集成网关 一系列可插拔模块, 能够为模拟 数字和 ISDN 中继线以及模拟和 IP 基站提供媒体网关的功能和大量传统电话接口 IG550 集成网关能够与运行 Avaya Communications Manager 4.0 的 Avaya S8400 S8500 和 S8720 媒体服务器互操作, 以便将丰富的通信应用从中央位置透明地扩展到分支办事处 IG550 集成网关还提供广泛的可存活选项, 以便在各种网络情况下提高可用性, 即便广域网连接完全丢失也不例外, 从而帮助客户防止分支办事处出现关键业务通信中断问题 关于 Avaya IG550 的更多信息, 请访问 : en-us/products/offers/ig550_integrated_gateway. htm 操作系统组件明确分割 - 路由引擎 转发引擎和服务引擎 - 允许员工无缝运行多个高级特性和功能 每个引擎都带有自己受保护的处理和内存资源, 因此永远不会出现处理冲突问题 允许从传统的广域网技术迁移到 xdsl 光纤和城域以太网等下一代连接中, 无需替换基础系统 降低部署和管理成本, 从而降低总体拥有成本 (TCO) 提供多级业务连续性选项 与其它 Juniper 和 Avaya 产品互操作 以最佳方式将集中管理 卓越的功能和有限的性能影响集成在一起, 从而降低前期购置和后期运行成本, 进而降低总体拥有成本 将软件功能分成多个模块化组件, 从而最大限度地缩短网络故障停机时间 防止因小故障蔓延而影响整个系统 全面控制路由器, 即便在分布式拒绝服务 (DDoS) 攻击期间也不例外, 允许根据需要添加过滤器 下一代命令行接口 (CLI) 设计用于防止出现操作错误, 从而保持长时间的正常运行 所有路由平台使用单一软件码库, 简单的软件更新和升级可简化运行工作 促进快速的版本认证以及产品之间的全面互操作性 提供面向小型和地区远程办事处的特性, 帮助降低安装 管理 监控和维护产品的运行成本 缩短调整访问控制表顺序和接口重命名等工作所需的时间和精力 21

23 相关产品 Juniper 网络公司 SSG 系列 Juniper 网络公司 SSG 系列分别为 : 安全业务网关 SSG 5 安全业务网关 SSG 20 安全业务网关 SSG 140 安全业务网关 SSG 500 SSG 系列安全业务网关是专用的安全设备, 为小型及中型分支办事处和小型及中型企业的网络部署提供了集高性能 高安全性和广泛的局域网 / 广域网连接方式于一体的完美组合 SSG 系列通过状态防火墙 IPSec VPN IPS 防病毒( 包括防间谍软件 防广告 防网页仿冒 ) 防垃圾邮件以及 Web 过滤等一套完整的统一威胁管理 (UTM) 安全特性, 对进出于分支办事处的流量流进行保护, 分支办事处可以避免蠕虫 间谍软件 特洛伊木马和恶意软件的侵袭 由于拥有这套丰富的 UTM 安全特性, SSG 系列的安全业务网关可以作为独立的网络保护设备进行部署 Juniper 网络公司 SSG 5 和 SSG 20 安全业务网关 Juniper 网络公司 SSG 5 系列安全业务网关 (SSG 5) 和 SSG 20 系列安全业务网关 (SSG 20) 是专用的安全设备, 为小型分支办事处和小型企业的网络部署提供了集高性能 高安全性和广泛的局域网 / 广域网连接方式于一体的完美组合 SSG 5 和 SSG 20 通过状态防火墙 IPSec VPN IPS 防病毒( 包括防间谍软件 防广告 防网页仿冒 ) 防垃圾邮件以及 Web 过滤等一套完整的统一威胁管理 (UTM) 安全特性, 对进出于分支办事处的流量流进行保护, 分支办事处可以避免蠕虫 间谍软件 特洛伊木马和恶意软件的侵袭 由于拥有这套丰富的 UTM 安全特性,SSG 5 和 SSG 20 可以作为独立的网络保护设备进行部署 此外,SSG 5 和 SSG 20 还配备了强劲的路由引擎, 因此还可以作为传统的分支办事处路由器, 或者是作为安全与路由设备的组合进行部署, 从而有助于降低 IT 前期购置成本和运营开销 SSG 5 和 SSG 20 可为客户提供以下特性和优势 : 可扩展的 I/O 架构以无与伦比的安全性提供局域网和广域网连接选项, 以降低成本并扩展投资保护 ; 由最佳的安全合作伙伴支持 UTM 安全特性, 确保网络免遭各种方式的攻击 ; 网络分区等先进的安全特性允许管理员部署安全策略, 以隔离访客 无线网络和地区服务器或数据库 ; 防止未经授权的接入, 并阻断任何可能发生的攻击 ; 专用的 面向安全特性的处理硬件和软件平台, 为保护高速局域网和低速广域网连接提供所需性能 SSG 5 和 SSG 20 可部署在企业 服务供应商和类似的独立企业中, 用于保护关键业务流量在广域网和高速内部网络中传输, 是规模较小 员工较少但仍需要先进的安全和路由特性的运营点的理想选择 典型的部署包括小型企业 分布式分支办事处 零售店以及固定的远程办公环境 SSG 5: SSG 5 是一个固定规格的平台, 提供 160 Mbps 的 IMIX 状态防火墙流量和 50 Mbps 的 IPSec VPN 吞吐量 SSG 5 系列配备 7 个内部集成的 10/100 接口, 并带有可选的固定广域网端口 (SDN BRI S/T V.92 或 RS-232 Serial/Aux) a/b/g 和多种无线特定的安全性支持是可选项, 使 SSG 5 能够将安全性 路由和无线接入点整合到单个设备中 SSG 20: SSG 20 是一个模块化平台, 提供 160 Mbps 的 IMIX 状态防火墙流量和 50 Mbps 的 IPSec VPN 吞吐量 SSG 20 配备 5 个内部集成的 10/100 接口和 2 个 I/O 扩展插槽, 可支持 I/O 卡, 如 ADSL2+ T1 E1 ISDN BRI S/T 以及 V.92, 从而实现额外的广域网连接 a/b/g 和多种无线特定的安全性支持是可选项, 使 SSG 20 能够将安全性 路由和无线接入点整合到单个设备中 22

24 相关产品 Juniper 网络公司 SSG 140 安全业务网关 Juniper 网络公司安全业务网关 140(SSG 140) 预计将于 2006 年第四季度上市, 它是一款专用安全设备, 为中型分支办事处和中型企业的网络部署提供了集高性能 高安全性 路由和广泛的局域网 / 广域网连接方式于一体的完美组合 通过状态防火墙 IPSec VPN IPS 防病毒( 包括防间谍软件 防广告软件 防网页仿冒 ) 防垃圾邮件以及 Web 过滤等一套完整的统一威胁管理 (UTM) 安全特性, 为进出于分支办事处的流量提供完善的保护, 使分支办事处能够避免蠕虫 间谍软件 特洛伊木马和恶意软件的侵袭 由于拥有这套丰富的 UTM 安全特性,SSG 140 可以作为独立的网络保护设备进行部署 此外,SSG 140 还配备了强劲的路由引擎, 因此还可以作为传统的分支办事处路由器或者是作为安全与路由设备的组合进行部署, 从而有助于降低 IT 前期设备购置成本和后期运营开销 SSG 140 可为客户提供以下特性和优势 : 可扩展的 I/O 架构以无与伦比的安全性提供局域网和广域网连接选项, 以降低成本并扩展投资保护 由最佳的安全合作伙伴支持的 UTM 安全特性, 确保保护网络免遭各种方式的攻击 网络分区等先进的安全特性允许管理员部署安全策略, 以隔离访客 无线网络和地区服务器或数据库, 防止未经授权的接入, 并阻断任何可能发生的攻击 专用特定的安全处理硬件和软件平台, 能为高速局域网提供和低速广域网一样的保护性能 除了应用在企业 服务供应商和类似的独立商业用户外,SSG 140 还特别适合部署在那些需要高级安全和路由特性的中型分支办事处, 用于保护关键业务流量在广域网和高速局域网中的传输 典型的部署环境包括中小型独立企业和分支办事处 SSG 140 是一个模块化平台, 提供超过 350 Mbps 的状态防火墙流量和 100Mbps 的 IPSec VPN 吞吐量 SSG 140 配备 8 个固定的 10/100 接口和 2 个 10/100/1000 接口以及 4 个 I/O 扩展插槽, 可支 T1 E1 ISDN BRI S/T 以及串口连接 前后 安全性久经考验的状态防火墙 IPSec VPN 与 IPS 防病毒( 包括防间谍软件 防广告软件 防网页仿冒 ) 防垃圾邮件以及 Web 过滤等最佳 UTM 安全特性相结合, 可以同时保护局域网和广域网流量免遭蠕虫 间谍软件 特洛伊木马 恶意软件和其它新兴攻击的侵袭 局域网 / 广域网连接通过局域网 / 广域网连接选项和各种支持协议的结合, 客户能够将 SSG 140 作为基于局域网连接的传统防火墙, 或者是作为路由与安全设备的组合进行部署, 从而降低总拥有成本 (TCO) 网络分段 SSG 140 提供了一组先进的网络分段特性, 如安全区 虚拟路由和虚拟局域网等, 允许管理员将网络分割为不同层次的安全区域以部署不同的安全策略, 从而为不同的用户群提供不同级别的安全特性 实现无缝的网络转型不论您是向当地办事处部署几个 SSG, 还是在全球实施数千个 SSG,Juniper 网络公司的专业服务部都可以为您提供帮助 从单一实验室测试到大型网络实施, 我们都可以帮您确定目标, 制定部署流程, 创建或验证网络设计, 并管理部署项目 我们可以与您的团队协作, 实现您的网络基础设施的转型, 以确保其灵活性 可扩展性 可靠性和安全性 Juniper 网络公司 SSG 500 系列安全业务网关 Juniper 网络公司 500 系列安全业务网关 (SSG) 代表了新一代的专用安全网关, 为分支机构和分支办事处的网络部署提供了集高性能 高安全性和广泛的局域网 / 广域网接入手段于一体的完美组合 凭借状态防火墙 IPS 防病毒特性( 包括防间谍软件 防广告软件 防网页仿冒 ) 防垃圾邮件以及 Web 过滤等一套完整的统一威胁管理 (UTM) 安全特性,SSG 500 系列可作为单独的安全网关实施, 用于阻断蠕虫 间谍软件 特洛伊木马 恶意软件和其他新兴攻击 强劲的路由引擎使强大的 UTM 安全特性更加完备, 从而使 SSG 500 系列既可以部署为传统的分支办事处路由器, 也可以部署为防火墙和路由设备组合, 以降低前期购置成本和运营成本 500 系列安全业务网关为客户提供以下优势和特性 : 面向安全特性的专用处理硬件和软件平台, 为保护高速局域网和低速广域网连接提供所需性能 ; 23

25 相关产品 UTM 安全特性以最佳安全合作伙伴的支持为后盾, 可确保网络免遭蠕虫 间谍软件 特洛伊木马 恶意软件及其他新兴攻击的侵袭 ; 网络分区等高级安全特性允许管理员部署安全策略, 将访客 无线网络以及地区服务器或数据库相隔离, 以防止未经授权的接入并阻止任何可能发生的攻击 ; 可扩展的 I/O 架构以无与伦比的安全性提供局域网和广域网连接选项, 以降低成本并扩展投资保护 ; SSG 500 系列适用于分支办事处 中型企业和服务供应商, 这些用户需要能够同时保护其广域网和内部网络的安全网关, 同时希望通过高等级的系统和接口模块化特性来提高投资回报率 SSG 550/SSG 550M: SSG 550 和 SSG 550M 提供 1 Gbps 的 IMIX 状态防火墙流量和 500 Mbps 的 IPSec VPN 连接选项包括 4 个内部集成的 10/100/ 1000 接口和 6 个 I/O 扩展插槽, 为局域网和广域网连接提供灵活性 SSG 520/SSG 520M: SSG 520 和 SSG 520M 提供 600 Mbps 的 IMIX 防火墙流量和 300 Mbps 的 IPSec VPN 连接选项包括 4 个内部集成的 10/100/1000 接口和 6 个 I/O 扩展插槽, 为局域网和广域网连接提供灵活性 安全性 久经考验的防火墙和 IPSec VPN 与 IPS 防病毒( 包括防间谍软件 防广告软件 防网页仿冒 ) 防垃圾邮件以及 Web 过滤等同类最佳的 UTM 安全特性相结合, 可以保护局域网和广域网流量免遭蠕虫 间谍软件 特洛伊木马 恶意软件及其他新兴攻击的侵袭 模块化的局域网 / 广域网连接 SSG 500 系列支持内部集成的 4 个 10/100/1000 以太网接口和 6 个扩展接口插槽, 通过扩展插槽可扩展广泛的局域网和广域网接口卡, 包括 T1/E1 DS3 E3 同步串行 10/100/1000 SFP 和 FE 等 广泛的局域网和广域网接口支持为满足客户现在和将来的连接要求提供了灵活性, 从而提高了投资回报率 网络分段 SSG 500 系列提供一组先进的网络分段特性, 如安全区域 虚拟路由器和虚拟局域网等, 允许管理员将网络分割成不同的安全区域以部署不同的安全策略, 从而为不同的用户群提供不同级别的安全性 产品市场定位 在需要用一个高性能的中端安全产品阻止应用和网络级别的攻击时 Juniper 网络公司计划在 2006 年下半年, 向购买年度许可的客户提供内容安全功能 ( 防病毒 防钓鱼 防垃圾邮件和防间谍软件 ); 作为一个具有模块化 WAN 和 LAN 连接能力的集成安全和路由平台, 满足那些希望通过整合路由 安全设备降低运营和投资成本的环境的需要 ; 作为从传统的低速连接转向下一代 WAN( 例如宽带和城域以太网 ) 的移植途径 24

26 相关产品 Juniper 网络公司 ISG / NetScreen 5000 Juniper 网络公司集成安全网关 (ISG) 系列产品, 将第四代安全 ASIC(GigaScreen3) 高速微处理器和可插拔的安全模块结合在一起, 而且每个模块都带有自己的处理容量和存储器, 可提供无与伦比的防火墙 VPN 和 IDP 性能 Juniper 网络公司 ISG 2000 和 ISG 1000, 通过运行在安全模块上的最佳集成入侵检测与防护功能 (IDP), 能够阻止蠕虫 特洛伊木马 间谍软件 恶意软件及其他新型威胁入侵网络进而在网络中蔓延 ISG 系列提供无与伦比的处理能力, 适用于保护企业网络 运营商和数据中心环境的安全, 在这些环境中, VoIP 和流媒体等高级应用需要以可扩展的一致性能提供网络层和应用层保护 状态检测防火墙 IPSec VPN 和强劲的联网功能进一步完善了 IDP 功能, 从而为关键的高流量网络分段提供安全可靠的连接 ISG 2000 性能 模块化架构和丰富的虚拟化功能 基本防火墙 /VPN 系统带有 4 个固定的 10/100/1000 接口和 2 个附加的 I/O 模块, 以实现接口扩展 ISG 1000 还支持 2 个安全模块, 以实现 IDP 集成, 该安全模块计划将于 2005 年下半年推出 带 IDP 功能的 Juniper 网络公司集成安全网关特性包括 : 应用层保护 : ISG 系列产品具有无与伦比的安全处理能力和网络分段特性, 可防止蠕虫 特洛伊木马 间谍软件和恶意软件等现有的和新出现的应用层威胁入侵关键的高速网络并在网络中蔓延 状态特征和协议异常检测等多种攻击检测机制, 使 IDP 能够深入分析应用协议 上下文和状态, 以便针对现有和新型威胁提供 Zero Day 防护 网络友好 : 为了简化网络部署,ISG 系列产品将 IDP 功能与 ScreenOS 无缝集成, 并充分利用了经过验证的联网特性, 如 OSPF BGP 和 RIPV2 等动态路由 通过虚拟路由器实现多个路由域, 以及 NAT/ 路由 / 透明部署选项等 无缝的 ScreenOS 集成还允许跨越虚拟系统和安全区部署 IDP 攻击防护功能, 以防止攻击侵入网络或在整个网络中蔓延 基于策略的管理 : ISG 2000: ISG 2000 是全面集成的防火墙 /VPN/IDP 系统, 可提供数千兆位的性能 模块化架构和丰富的虚拟化功能 基本防火墙 /VPN 系统可支持多达 4 个 I/O 模块和 3 个安全模块, 以实现全面的 IDP 集成 ISG 2000 通过 NetScreen-Security Manager 对所有安全组件进行集中统一的策略管理 网络设置及设备配置 ISG 1000: ISG 1000 ISG 1000 是全面集成的防火墙 /VPN/IDP1 系统, 可提供千兆位 使用 NetScreen-Security Manager 提供逐条规则的细粒度灵活性, 管理员可根据各个规则和协议部署串联 IDP 或串联监听模式 基于角色的管理允许安全团队将管理权分配给适当人员, 让一个团队负责管理 IDP 组件, 而让其他团队负责管理防火墙 VPN 或其他任务 NetScreen-Security Manager 的直观图形用户界面允许用户快速轻松地进行攻击和事故调查以及审核和提交报告等工作, 以保证遵从安全措施 主要特性和优势 : 面向各规模数据包的线性千兆位防火墙和 IPSec VPN 吞吐量, 以保护各类应用的安全, 如 VoIP 和流媒体等需要低时延及可扩展的小型数据包性能的应用 ; 25

27 相关产品 将 GigaScreen3 ASIC 与高性能 CPU 结合在一起, 为应用层保护 网络层保护和管理提供并行处理能力, 以确保提供数千兆位的防火墙 VPN 和 IDP 性能 ; 可选的集成 IDP 升级选项可防止蠕虫 特洛伊木马 间谍软件和恶意软件等现有和新出现的应用层威胁入侵关键的高速网络并在网络中蔓延 ; 吞吐量, 同时提供更多新特性, 如 10 千兆以太网和大型帧支持 Juniper 网络公司 NetScreen-5000 系列防火墙 /VPN 解决方案在设计伊始便同时考虑到现在和未来的网络性能要求 两 (2) 插槽 NetScreen-5200 和四 (4) 插槽 NetScreen-5400 安装采用两个模块化的机箱配置, 可提供卓越的可扩展性和部署灵活性, 用于支持全球要求最严格的大型企业 运营商和数据中心网络 可扩展性满足未来要求, 确保组织能够利用其现有投资并降低总拥有成本 ; 全面的高可用性解决方案, 能够在一秒钟内完成接口或设备的故障切换 ; 全网状配置, 允许在网络中部署冗余的物理路径, 从而提供最大的故障恢复能力和正常运行时间 ; 虚拟系统支持, 允许将网络分成多个安全区, 每个区都有自己一套独特的管理员 策略 防火墙 /VPN 和地址簿 ; 接口灵活性, 用于满足各种网络连接要求和未来增长要求 ; 虚拟路由器支持, 以便将内部 专用或重叠的 IP 地址映射到全新的 IP 地址, 从而提供到最终目的地的更多路由选择, 并将其隐藏起来 ; 可定制的安全区能够提高接口密度而无需添加硬件开销 降低策略制订成本 阻止未经授权的用户和攻击 简化防火墙 /VPN 的管理工作 ; 透明模式, 使设备能够用作第 2 层 IP 安全网桥, 提供防火墙 VPN 和 DoS 保护, 只需对现有网络进行最小的变化 ; 通过基于 Web 的图形用户界面 CLI 或 Juniper 网络公司 NetScreen-Security Manager 集中管理系统进行管理 ; 基于策略的管理, 允许端到端的生命周期集中管理 Juniper 网络公司 NetScreen-5000 NetScreen-5000 系列是专用高端防火墙 /VPN 解决方案的市场领导者 现在, 该产品通过添加两个全新的第二代安全端口模块 (SPM)8G2 和 2XGE, 可以提供前所未有的性能和灵活性水平, 从而进一步巩固了领先地位 当与第二代 Management 2 模块一起使用时, 新模块可大幅度提高系统的总体性能, 允许 NetScreen-5000 系列扩展到 30Gbps 的防火墙和 15Gbps 的 VPN 关键特性与优势 : 基于机箱的模块化安全系统, 为大型企业和运营商提供灵活 可扩展的解决方案 ; 全面的高可用性解决方案, 可在一秒内实现接口间或设备间的故障切换 ; 全网状配置, 允许在网络中提供冗余的物理路径, 从而提供最高的故障恢复功能和最长的正常运行时间 ; 虚拟系统支持, 允许将系统分割为多个安全域, 每个域都有自己独特的管理员 策略 VPN 和地址簿 ; 接口灵活性, 可满足不断变化的网络连接要求和未来增长要求 ; 虚拟路由器支持, 可将内部 专用或重叠的 IP 地址映射到全新的 IP 地址, 提供到最终目的地的备用路由, 且不被公众看到 ; 可定制的安全区, 能够提高接口密度, 无需增加硬件开销, 可降低策略制订成本, 限制未授权用户的接入与攻击, 简化防火墙 / VPN 管理 ; 透明模式, 允许设备作为第 2 层 IP 安全网桥运行, 提供防火墙 VPN 和 DoS 防护功能, 但只需对现有网络进行最少的改变 ; 26

28 相关产品 通过图形 Web UI CLI 或 NetScreen-Security Manager 集中管理系统进行管理 ; 基于策略的管理, 用于进行集中的端到端生命周期管理 市场定位 : 专用的高性能防火墙 /VPN 安全系统, 设计用于大型企业 运营商和数据中心网络 ; 用于数据交换的交换结构, 用于控制信息的单独多总线信道 ; 虚拟功能, 可通过一个安全系统保护多个客户或企业部门的安全 27

29 相关产品 Juniper 网络公司 SSL VPN 概述 Juniper 网络公司凭借全面的远程接入产品, 在 SSL VPN 市场中处于领先地位 Juniper 网络公司的 SSLVPN 产品包含各种机型和特性, 可以满足各种规模公司的需求 从需要连接远程 / 移动员工的 SMB, 到需要从一个统一的平台, 为员工 合作伙伴和客户提供远程和 / 或外联网接入的大型跨国部署 Juniper 网络公司 SSL VPN 基于即时虚拟外联网 (IVE) 平台而构建, 该平台使用任何标准 Web 浏览器都支持的 SSL 安全协议 使用 SSL 使客户无需部署客户端软件 无需更改内部服务器, 也无需提供成本高昂的长期维护服务和桌面系统支持 与传统的 IPSec 客户端解决方案相比,Juniper 网络公司的 SSL VPN 安全接入产品可提 供更低的总拥有成本和独特的端到端安全特性 增强接入方式让企业能够为几乎任何应用提供接入权限, 包括那些对抖动和延时极为敏感的应用 广泛的 SSL VPN 设备和特性, 可提供定制解决方案, 以满足各种规模公司的远程接入要求 ; 独特的安全功能, 为从最终用户设备到内部服务器的各种产品提供端到端的保护 ; SSL VPN 市场公认的领导者,2005 年市场份额占有率高达近 40%; 为服务供应商提供高可用性和可升级性 ; SSL VPN 产品包含 :SA700 SA2000 SA4000 SA6000 SA6000SP 产品目标客户企业级特性 Juniper 网络公司 Secure 中小型企业 为远程 / 移动员工提供安全接入支持, 无需客户端软件 Access 700 可选来自任意地点的任何 PC 进行接入升级 即插即用的部署 强劲的安全特性 Juniper 网络公司 Secure 中小型企业 为员工 业务合作伙伴和客户提供安全的 LAN 内联网和外 Access 2000 联网接入支持 三种接入方法, 允许管理员按目的设置接入 动态接入权限管理 高级软件实现复杂功能, 通过集中管理器简化管理工作 Juniper 网络公司 Secure 大中型企业 可扩展的平台使大中型企业能够从单一平台提供安全的外联 Access 4000 网 内联网和 LAN 接入 企业级性能 / 高可用性 基于许可的 SSL 进行加速, 压缩 动态接入权限管理, 并提供 3 种接入方法 符合 FIPS 标准的平台 (NS-SA-3000) 高级软件实现复杂功能, 通过集中管理器简化管理工作 28

30 相关产品 产品目标客户企业级特性 Juniper 网络公司 Secure 大型和跨国企业 高性能平台, 适用于最大型 最复杂的安全外联网 内联网 Access 6000 和 LAN 接入部署 对所有的数据类型内建 SSL 加速, 压缩 冗余, 和 / 或热插拔硬盘, 电源及风扇 动态接入权限管理, 并提供 3 种接入方法 高级软件实现复杂功能, 通过集中管理器简化管理工作 符合 FIPS 标准的平台 (NS-SA-5000) Juniper 网络公司 Secure 服务供应商管理服务 SSL VPN 平台全面的实现能力使服务供应商能够为任何大 Access 6000 SP 小的企业提供基于网络得 SSL VPN 服务 无需部署客户端软件, 也没有防火墙 /NAT 穿越问题, 从而降低支持成本, 提高 ROI 提供各种服务盈利机会, 例如外联网接入, 灾难恢复, 内网局域网安全以及移动设备接入 满足服务提供商的性能, 可扩展性以及高可用性需求 Secure Access 系统特性与优势 : Central Manager 集群管理 系统仪表板一瞥 推动配置 可定制的日志过滤 用户自助服务 密码管理 基于标题和表格的 Web SSO 单个设备多个主机名 可定制的用户界面 使用布尔规则进行管理角色的授权 针对每个任务的读 / 写 / 拒绝接入 高级认证 SAML SiteMinder SSO, 用于访问管理产品 高级 PKI 特性 高级角色映射与限制 布尔表达式, 用于整合属性 更多属性标准 高级资源策略 结合布尔表达式的资源访问 更多属性标准 29

31 相关产品 Juniper 网络公司 IDP 专属系列 各种入侵防护解决方案, 适用于各种规模的企业和性能要求 ; 快速放心地部署在线攻击防护, 高可用性配置可确保无中断的安全保护 ; 随需应变的网络层和应用层活动视图, 帮助管理员确定攻击根源 Juniper 网络公司的入侵检测与防护产品 (Juniper 网络公司 IDP) 将应用和网络可视性与事故调查和修复功能集成在一起, 帮助客户充满信心地快速部署在线攻击防护功能 当以串联方式部署时,Juniper 网络公司 IDP 可在网络和应用层攻击产生任何损害前有效识别并终止它们, 从而最大限度地减少与入侵相关的时间和成本 IDP 不仅可以保护网络免遭攻击, 还能提供在管理员不知情的情况下擅自添加到网络中的流氓服务器和应用的相关信息 能够掌握对 P2P 或即时消息收发等未授权应用被添加到网络的信息, 使客户可以更轻松地执行安全策略, 并可确保符合企业应用使用策略 结合能够精确地控制系统行为 便捷接入 大量日志记录 并可全面定制报告的基于规则的集中管理方法,Juniper 网络公司 IDP 是保护关键信息资产安全的最佳途径 Juniper 网络公司 IDP 产品系列包括 IDP 50 IDP 200 IDP 600 和 IDP 1100, 以及集成安全网关 配有 IDP 的 Juniper 网络公司 ISG 1000 和配有 IDP 的 ISG 2000 所有这些产品都包括全面的 IDP 特性, 并使用相同的管理界面 主要特性与优势 多种检测手段, 包括复合特征 状态特征 协议异常和后门检测等 ; 广泛的特征定制, 提高检测独特攻击的能力, 并定制特征以满足客户要求 ; 闭环调查流程, 迅速察看全局视图, 然而深入到适当的详细级别, 以做出明智的安全决策 ; Enterprise Security Profiler( 企业安全事件探查器,ESP), 洞悉网络和攻击活动, 加速串联部署并促进攻击调查 ; Policy Editor( 策略编辑器 ), 创建并部署精确的安全策略, 具体规定查看哪类流量 在该流量中查找哪类攻击, 以及检测到攻击后如何做出响应 ; Log Viewer( 日志查看器 ), 调查特定的安全事故并定制系统中的信息处理方式 ; 基于规则的集中管理方法, 可简化部署 配置和维护工作 ; 可全面定制的报告, 以生成网络活动的实时状态 ; IDP 群集, 实现单独的状态高可用性, 最大限度地降低单点故障风险并提高网络防护水平 产品市场定位 IDP 50: 用于小型网络分段或低速链路 ; IDP 200: 用于中型中央站点和大型分支办事处 ; IDP 600: 用于大中型中央站点或高流量区 ; IDP 1100: 用于大型中央站点或高流量区 ; 不仅需要检测攻击, 还需要抵御攻击的客户 ; 希望提高入侵检测解决方案的准确性及可管理性的客户 30

32 相关产品 产品技术规格一览 IDP 50 IDP 200 IDP 600 IDP 1100 最大吞吐量 50MB 250MB 500MB 1GB 最多会话数 运行模式 被动嗅探器 串联桥接 串联代理 ARP 串联路由器 检测机制 8 个, 包括状态特征和后门检测 特征更新 每天更新或紧急更新 接口数 2 个 10/100/1000 流量端口和 1 个 10/100/1000 管理端口 8 个 10/100/1000 流量端口, 1 个 10/100/1000 管理端口和 1 个 10/ 100/1000 HA 端口 10 个 10/100/1000 或 8 个光纤 SX 和 2 个 10/100/1000 流量端口, 1 个 10/100/1000 管理端口和 1 个 10/100/1000 HA 端口 10 个 10/100/1000 或 8 个光纤 SX 和 2 个 10/100/1000 流量端口, 1 个 10/100/1000 管理端口和 1 个 10/100/1000 HA 端口 高可用性支持 集成旁路 铜缆千兆流量端口的集成旁路, 负载分担 群集和第三方故障切换 31

33 相关产品 Juniper 网络公司统一接入控制解决方案 v2.0 (UAC 2.0) 概述 Juniper 网络公司统一接入控制 v2.0(uac 2.0) 解决方案, 为多样化的用户 访客 承包商和移动员工 提供接入服务 它是能够将用户身份 设备和网络紧密结合在一起, 并能够跨越这些不同的群组一致地执行策略的解决方案 它提供验证前后的安全性 隔离 / 纠正违规用户的行为, 同时提供细粒度的网络接入控制 UAC 2.0 还针对访客用户 合作伙伴 / 承包商及移动员工等全部用户提供接入控制, 同时利用现有的安全和交换基础设施投资 Juniper 网络公司统一接入控制 v2.0(uac 2.0) 解决方案基于开放标准, 帮助企业避免受限于单个供应商的局面 名用户创建特定会话的接入控制策略 您可使用 802.1X 将其部署在第 2 层, 或使用防火墙的部署方法将其部署在第 3 层 您也可使用混合模式来设置 UAC v2.0, 将 802.1X 用于网络准入控制并将第 3 层设置用于资源接入控制 通过 UAC v2.0, 企业将不再受限于 : 交换基础设施 UAC 可与支持 X 的任何厂商的交换机或接入点互操作 ; 互操作性问题 不仅 UAC 可支持任意厂商的 X, 而且 Juniper 还支持 Trusted Computing Group 下属的 TNC 提供的开放标准, 从而确保与大量其他安全厂商产品的互操作性 ; 用户范围 UAC 支持大多数常见的用户, 包括需要不同类型的网络接入的访客用户 承包商和员工 ; 设备类型或操作系统 UAC 可与 Windows Mac Linux 和 Solaris 平台协同运行 ; 融合基于身份的策略和终端智能, 让企业可以实时监控整个网络 ; 为解决整个 LAN 中不受管理的或管理不善的终端问题提供一个经济有效的解决方案 ; 利用 Juniper 网络公司防火墙 /VPN, 在网络中的关键地点动态实施策略 通过将业界标准与经过业界测试的 得到普遍认可的网络和安全产品集成在一起,Juniper UAC 解决方案可帮助企业对试图接入网络的用户和设备提前进行安全策略遵从检查, 并在用户接入企业网络和资源的整个过程中对会话进行全程跟踪检查 这种方法可帮助企业确保全面遵从安全策略, 有效抵御频繁变化的网络威胁 Juniper 网络公司公司统一接入控制 v2.0(uac 2.0) 解决方案将用户身份 设备安全状态信息和网络位置信息结合在一起, 为每 部署问题 通过 UAC, 企业可利用现有的 802.1X 基础设施及 / 或 Juniper 防火墙 此外, 企业也可更改部署, 以便同时利用这两种方法来确保提供最细粒度的接入控制, 无需重新部署任何设备 UAC 2.0 解决方案中的产品包括 : Infranet 控制器 : 作为安全策略的集中引擎和面向现有企业 AAA 基础设施的连接点 控制器还提供来自 SBR 的集成 802.1X 功能 ; UAC 代理 : 可由 Infranet 控制器动态部署 ; 在单一部署中, UAC 代理提供通过 OAC 功能在第 2 层接入网络的方法 在第 3 层接入网络的方法 主机检查器 主机执行器和状态检测个人防火墙 您也可在无代理模式中设置接入, 如访客部署模式, 但此时您将无法下载任何软件 ; UAC 执行点 : 包括 Juniper 网络公司防火墙 /VPN 产品以及任何厂商的支持 802.1X 的有线或无线交换基础设施 32

34 相关产品 AAA AAA 服务器身份库 带 SBR 的集中策略管理器 用户接入受保护的资源 受保护的资源 动态角色设置 防火墙执行器 802.1x 带 OAC 的 UAC 代理 准许用户接入网络资源 统一接入控制解决方案 v2.0 关键特性 将用户身份识别 设备安全评估以及网络信息和策略执行结合在一起, 以实现动态的接入控制 ; 基于标准的解决方案 ; 利用现有的 AAA 交换和安全基础设施投资 33

35 相关产品 Juniper 网络公司 WX/WXC 应用加速平台概述 Juniper 网络公司 WX/WXC 应用加速平台为分布式企业提供了可扩展的方法以加速广域网上的应用交付速度, 包括 ERP CRM 电子邮件和文件服务以及语音 视频 SSL 加密的流量和 Citrix 等终端服务 WX/WXC 平台基于全面的 WX Framework TM 架构, 提供加速应用传输以及优化广域网性能的所需组件, 允许企业为访问中央应用的分支机构用户提供类似局域网的体验, 从而充分利用现有的广域网资源改善应用系统的性能, 最大限度地提高广域网投资回报并加快面向分支机构用户的应用响应速度 WX/WXC 平台通过高效的数据压缩 TCP 应用和特定应用的协议加速 带宽控制管理技术以及多广域网链路策略选择技术, 不仅提高了广域网的应用传输性能还保障了链路的高可用性 WXC 平台内置的硬盘驱动器为网络序列缓存特性奠定了基础, 允许 WXC 产品长时间保存超大规模的数据模式, 保存期更是长达几天甚至几周 从而能够从数千兆字节的数据中识别出重复的流量进行高效压缩, 有效的将广域网容量提升近 100 倍 WXC 产品持续地进行网络检测, 以便提供整个网络的分布式状态, 并与其它 WX 设备交换网络拓扑信息, 以及广域网可用性 路径性能评估等关键信息, 以确保优化效率最大化 WX 产品还可与 Juniper 网络公司 WXC 应用加速平台互操作, 构成完整的集成广域网优化解决方案 通过集成的 WebView 设备管理软件,WX/WXC 平台还能提供前所未有的广域网性能可视性 使用 WebView 软件, 允许网络管理人员跨越整个广域网来查看主要流量情况, 监视应用吞吐量 性能和数据包分配情况, 查看加速统计数据 并制作 概述 报告来简要介绍应用运行的特点 WX 产品家族包括 WX 15 WX 20 WX 50 WX 60 WX 100 和 WX Stack; WXC 产品家族包括 WXC 250 WXC 500 WXC 590 和 WXC Stack 关键特性 运行 WX 操作系统软件 : 支持 WX Framework 中的所有组件 ; 压缩和缓存 : 专利技术 分子序列压缩 (MSR TM ) 允许 WX 平台最多增加 10 倍的有效广域网容量 ; 专利技术 分子序列压缩 (MSR) 和 网络序列缓存 ( NSC) 允许 WXC 平台增加 100 倍的有效广域网容量 ; TCP 加速 : 平台的 " 数据包流加速 (PFA) 技术可使数据流量避免 TCP 传输的限制, 从而在 WX/WXC 平台之间的低带宽或高时延链路上提高广域网吞吐量并加速应用传输 ; 特定应用和协议的加速 : 应用流加速 (AppFlow TM ) 技术可提高广域网上传输的特定应用和协议的性能 ; 应用控制 : 平台的服务质量 (QoS) 功能确保始终为 IP 上的语音 (VoIP) 等关键业务和时延敏感型应用提供足够带宽 ; WebView 和 WX CMS 软件 : 内嵌 WebView 设备管理工具和强大的 WX 中央管理系统 (WX CMS), 提供大梁配置和管理功能 ; 易于安装和配置 : 只需 10 分钟便可完成平台的安装和配置工作 34

36