SRX 3600 Chassis, Midplane, Fan, RE, SFB-12GE, 2xDC PEM - no SPC - no NPC
Шлюзы серии SRX построены на базе архитектуры динамического предоставления услуг (Dynamic Services Architecture) и программного обеспечения JUNOS. Они обеспечивают надежную и безопасную работу сети, что необходимо для инфраструктур предприятий и поставщиков услуг.Шлюз SRX3600 поддерживает межсетевые экраны с пропускной способностью до 30 Гбит/с, межсетевые экраны и IPS до 10 Гбит/с или IPsec VPN со скоростью 10 Гбит/с, а также обеспечивает до 175000 новых соединений в секунду. Шлюзы серии SRX оснащены всеми функциями обеспечения безопасности. SRX — оптимальное решение для защиты центров обработки данных средних и крупных предприятий, центров обработки данных, размещенных у провайдеров или на арендованном у провайдера оборудовании, а также услуг и приложений нового поколения.Характеристики серии SRX3600
Проверенная версия JUNOS: Junos 10.2
Производительность межсетевого экрана (максимум): 30 Гбит/c
Производительность IPS (NSS 4.2.1) 10 Гбит/c
Производительность сетей VPN AES256+SHA-1 / 3DES+SHA-1 10 Гбит/c
Максимальное количество сессий 2,25 млн.
Скорость создания сессий (устойчивые, TCP, 3-сторонние), в секунду 175,000
Максимальное количество политик безопасности 40,000
Максимальное количество поддерживаемых пользователей Unrestricted
Максимальное количество разъемов для карт ввода-вывода (IOC) 6 (передних разъема)
Фиксированные порты ввод-вывода 8 10/100/1000 + 4 SFP
Поддержка CX111 3G Bridge Не применимо
Внутренний разъем для платы 3G Express Не применимо
Интерфейсы LAN
16 x 1 10/100/1000, медные
Трансиверы 16 х 1 Gigabit Ethernet SFP
2 x 10 Gigabit Ethernet XFP
Поддержка функций обеспечения доступности
Активная/пассивная, активная/активная
Обслуживание кластера на шасси с минимальным снижением уровня сервиса
Группы агрегации интерфейсов в кластере шасси
Службы AppSecure
Идентификация приложений: да
Защита приложений от атак типа «отказ в обслуживании» (AppDoS): да
AppTrack: да
Межсетевой экран
Обнаружение атак на уровне сети: Да
Защита от DoS и DDoS: Да
Повторная сборка TCP для защиты фрагментированных пакетов: Да
Противодействие атакам методом перебора: Да
Защита cookie SYN: Да
Подмена IP-адресов в зонах: Да
Защита от неверно сформированных пакетов: Да
Инспекция GPRS с контролем состояния соединений: Да
Система защиты от вторжения
Сигнатуры протокола с контролем состояния: Да
Механизмы обнаружения атак: Сигнатуры с контролем состояния соединений, обнаружение аномальных изменений протокола (отражение атак, использующих бреши в приложениях), идентификация приложений
Механизмы реагирования на атаки: Сброс соединения, остановка соединения, журнал пакетов сессии, сводный отчет по сессии, передача сообщения по электронной почте, настройка сессииМеханизмы уведомления об атаках: Структурированный системный журнал
Защита от червей: Да
Инспекция трафика, шифруемого с помощью SSL: Да
Упрощенная установка с использованием рекомендованных политик: Да
Защита от троянов: Да
Защита от шпионских/рекламных программ и логгеров клавиатуры: ДаЗащита от других вредоносных программ: Да
Защита от непрерывных атак со стороны инфицированных систем: Да
Защита от зондирования: Да
Защита от подделки межсайтовых запросов: Да
Распределенные атаки — комбинация сигнатур с контролем соединений и обнаружения аномалий протоколов: Да
Создание собственных сигнатур атак: Да
Контексты доступа для настройки: 500+
Внесение изменений в описания атак (диапазон портов и т. д.): Да
Сигнатуры потоков: Да
Границы протоколов: Да
Сигнатуры протокола с контролем состояния: Да
Приблизительное количество отражаемых атак: 6,000+
Подробное описание угроз и сведения об устранении угрозы/патчах: Да
Создание и применение подходящих политик использования приложений: Да
Создание отчетов и контрольных записей о злоумышленниках и цели атак: Да
Режимы развертывания: Встроенный или TAP
Размеры и питание
Размеры (Д x Ш x В): 44,5 x 64,8 x 22.2 см (17,5 x 25,5 x 8.75 дюйма)
Вес: Шасси: 19,8 кг, полная конфигурация: 52,6 кг
Модуль питания (переменный ток): 100-240 В переменного тока
Модуль питания (постоянный ток): -40 – -72 В постоянного тока
Резервная поддержка источников питания: 2 + 1 / 2 + 2
Производительность
Пакетная фильтрация, NAT
20 Гбит/с для IMIX-трафика,6,5 млн 64-байтовых пакетов в секунду
( При установке четырех сервисных модулей (SPC).IMIX — стандартизованный шаблон трафика, состоящий из 58,33% 64-байтовых, 33,33% 570-байтовых и 8,33% 1518-байтовых UDP-пакетов )
Защита от атак (IDP-система)
11 Гбит/с
( При установке семи сервисных модулей (SPC)
IPSec VPN( 3DES/AES256.)
14
( При установке семи сервисных модулей (SPC)
Одновременно установленных сессий
2 млн
( При установке пяти и более сервисных модулей (SPC)
Новых сессий в секунду
180 000
( При установке четырех и более сервисных модулей (SPC)
Общесистемные параметры
Операционная система
JUNOS
Аппаратное разделение подсистем управления и коммутации
Да
Коммутация сессий
Аппаратная
Сетевые интерфейсы, VLAN
Встроенные
12( 8 ? 10/100/1000Base-T, 4 x Gigabit Ethernet SFP )
Слоты расширения
12
— до 6-х для интерфейсных модулей (IOC),— до 7-х для сервисных модулей (SPC),— до 3-х для модулей сетевой обработки (NPC).
VLAN
4 096 на интерфейс,до 16 384 подынтерфейсов на систему
Маршрутизация
IS-IS
Да
RIP
Да
OSPF
Да
BGP
Да
Виртуальные маршрутизаторы
256
Экземпляров BGP
128
BGP-соединений
2 000
BGP-маршрутов
1 000 000
Экземпляров OSPF
256
OSPF-маршрутов
1 000 000
Экземпляров RIP v1/v2
50
RIPv2-маршрутов
4 096
Маршрутизация по правилам(Policy based routing.)
Да
Балансировка нагрузки по равноценным маршрутам (ECMP)
Да
Трансляция адресов (NAT)
Трансляция адресов отправителя
Да
Трансляция адресов получателя
Да
1-to-1 NAT
Да
Трансляция портов (PAT)
Да
Фильтрация трафика
Stateful firewall
Да
Фильтрация по расписанию
Да
Блокирование ICMP, UDP, SVN flood
Да
Ограничение количества установленных сессий(По IP-адресу источника или отправителя.)
Да
Защита от сканирования IP-адресов и портов
Да
Защита от подмены IP-адресов
Да
Обнаружение аномалий протоколов IP и TCP
Да
IPSec VPN
Максимальное количество туннельных интерфейсов
5 000
Максимальное количество установленных туннелей
20 000
Резервирование туннелей
Да
Пользовательские VPN
Да
PKI (PKCS 7, PKCS 10)
SCEP
Да
Самоподписываемые сертификаты
Да
IDP-система
Производительность
11 Гбит/с(При установке семи сервисных карт (SPC).
Количество поддерживаемых сигнатур атак(База данных сигнатур обновляется каждый день, при обнаружении критических уязвимостей — чаще, по мере необходимости.Подписка на обновления входит в состав сервисного контракта производителя (см. раздел «Сервис»).
Более 5 600
Виды предотвращаемых атак
Атаки с транспортного по прикладной уровень
( Включая обнаружение вackdoor, сетевых червей, троянов и других вредоносных программ )
Механизмы обнаружения атак
Сигнатурный анализ, анализ аномалий протоколов и трафика
( Возможность комбинирования и создания пользовательских сигнатур )
Установка пороговых значений параметров протоколов
Да
Операционные режимы
Route/NAT (L3)(В режиме
Route/NAT межсетевой экран является маршрутизирующим устройством.Трансляция адресов (NAT) и некоторые другие функции доступны только в этом режиме.)
Да
Transparent (L2)(В режиме Transparent межсетевой экран не является маршрутизирующим устройством, и его внедрение не требует изменения IP-адресации сети.В этом режиме недоступны все виды трансляции адресов (NAT), виртуальные системы, виртуальные маршрутизаторы, протоколы динамической маршрутизации, VLAN-тэгирование и резервирование в режиме
Active/Active (кроме ISG-серии).
Да
Назначение IP-адресов
Статическое
Да
PPPoE-Клиент
Нет
DHCP-клиент
Да
DHCP-сервер
Да
DHCP relay
Да
Качество обслуживания (QoS) и управление трафиком
Выделение гарантированной пропускной способности
Нет
Ограничение максимальной пропускной способности
Да
Приоритезация трафика
Да
DiffServ marking
Да
WRED
Да
Планировщики (schedulers)
Да
Горячее резервирование (High Availability)
Active/Active(Только в режиме
Route/NAT (L3) (Кроме ISG-серии).
Да
Active/Passive
Да
Синхронизация конфигураций
Да
Синхронизация сессий(В том числе внутри VPN.)
Да
VRRP
Да
Резервирование сессий при изменении маршрутизации
Да
Обнаружение отказа устройства
Да
Обнаружение отказа сетевого подключения
Да
Аутентификация устройств в кластере
Нет
Защита трафика между устройствами кластера
Нет
UAC
Взаимодействие с контроллером доступа Infranet Controller
Да
Управление и администрирование
Интерфейс командной строки(Консоль, Telnet, SSH.
Да
Web-интерфейс(HTTP и HTTPS)
Да
Network and Security Manager(Juniper Networks Network and Security Manager (NSM))
Да
Управление через VPN-соединение
Да
Rapid Deployement
Да
Внешняя аутентификация администраторов(RADIUS, RSA SecurID (кроме ISG), LDAP)
Да
Уровни привелегий администраторов(ScreenOS поддерживает три уровня привилегий администраторов: root, admin и read-only.JUNOS поддерживает стандартные классы super-user, operator, read-only и возможность определения пользвательских привелений с возможностью запрещения или разрешения отдельных команд)
Да
Резервирование конфигураций
Да
Syslog(До 4-х серверов)
Да
SNMP
Да
Выделенный интерфейс управления(Специальный сетевой интерфейс (как правило медный Ethernet) может использоваться только для удаленного доступа к устройству. Передача через него транзитного трафика невозможна.)
Да
Виртуальные системы(Виртуальные системы с автономным управлением. Требуется лицензия.)
Нет
Электропитание
Резервирование блоков питания
По схеме «2+1» или «2+2»
Переменное напряжение питания (AC)
100-240 В
Постоянное напряжение питания (DC)
40-60 В
Максимальная потребляемая мощность переменного тока
1,5 кВт
Максимальная потребляемая мощность постоянного тока