Шлюзы серии SRX построены на базе архитектуры динамического предоставления услуг (Dynamic Services Architecture) и программного обеспечения JUNOS. Они обеспечивают надежную и безопасную работу сети, что необходимо для инфраструктур предприятий и поставщиков услуг.Шлюз SRX3400 поддерживает межсетевые экраны с пропускной способностью до 20 Гбит/с, межсетевые экраны и IPS до 6 Гбит/с или IPsec VPN со скоростью 6 Гбит/с, а также обеспечивает до 175000 новых соединений в секунду. Шлюзы серии SRX — оптимальное решение для защиты и сегментации сетевых инфраструктур центра обработки данных, так как они объединяют различные решения для обеспечения безопасности и применяют уникальные политики безопасности к отдельным зонам на малых и средних фермах серверов и в хостинговых компаниях.Характеристики серии SRX3400
Проверенная версия JUNOS: Junos 10.2
Производительность межсетевого экрана (максимум): 20 Гбит/c
Производительность IPS (NSS 4.2.1) 6 Гбит/c
Производительность сетей VPN AES256+SHA-1 / 3DES+SHA-1 6 Гбит/c
Максимальное количество сессий 2,25 млн.
Скорость создания сессий (устойчивые, TCP, 3-сторонние), в секунду 175,000
Максимальное количество политик безопасности 40,000
Максимальное количество поддерживаемых пользователей Неограниченно
Максимальное количество разъемов для карт ввода-вывода (IOC) 4 (передних разъема)
Фиксированные порты ввод-вывода 8 10/100/1000 + 4 SFP
Поддержка CX111 3G Bridge Не применимо
Внутренний разъем для платы 3G Express Не применимо
Интерфейсы LAN
- 16 x 1 10/100/1000, медноволоконные
- Трансиверы 16 х 1 Gigabit Ethernet SFP
- 2 x 10 Gigabit Ethernet XFP
Поддержка функций обеспечения доступности
- Активная/пассивная, активная/активная
- Обслуживание кластера на шасси с минимальным снижением уровня сервиса
- Группы агрегации интерфейсов в кластере шасси
Сервисы AppSecure
- Идентификация приложений: да
- Защита приложений от атак типа «отказ в обслуживании» (AppDoS): да
- AppTrack: да
Межсетевой экран
- Обнаружение атак на уровне сети: Да
- Защита от DoS и DDoS: Да
- Повторная сборка TCP для защиты фрагментированных пакетов: Да
- Противодействие атакам методом перебора: Да
- Защита cookie SYN: Да
- Подмена IP-адресов в зонах: Да
- Защита от неверно сформированных пакетов: Да
- Инспекция GPRS с контролем состояния соединений: Да
|
Система защиты от вторжения
- Сигнатуры протокола с контролем состояния: Да
- Механизмы обнаружения атак: Сигнатуры с контролем состояния соединений, обнаружение аномальных изменений протокола (отражение атак, использующих бреши в приложениях), идентификация приложений
- Механизмы реагирования на атаки: Сброс соединения, остановка соединения, журнал пакетов сессии, сводный отчет по сессии, передача сообщения по электронной почте, настройка сессииМеханизмы уведомления об атаках: Структурированный системный журнал
- Защита от червей: Да
- Инспекция трафика, шифруемого с помощью SSL: Да
- Упрощенная установка с использованием рекомендованных политик: Да
- Защита от троянов: Да
- Защита от шпионских/рекламных программ и логгеров клавиатуры: ДаЗащита от других вредоносных программ: Да
- Защита от непрерывных атак со стороны инфицированных систем: Да
- Защита от зондирования: Да
- Защита от подделки межсайтовых запросов: Да
- Распределенные атаки — комбинация сигнатур с контролем соединений и обнаружения аномалий протоколов: Да
- Создание собственных сигнатур атак: Да
- Контексты доступа для настройки: 500+
- Внесение изменений в описания атак (диапазон портов и т. д.): Да
- Сигнатуры потоков: Да
- Границы протоколов: Да
- Сигнатуры протокола с контролем состояния: Да
- Приблизительное количество отражаемых атак: 6,000+
- Подробное описание угроз и сведения об устранении угрозы/патчах: Да
- Создание и применение подходящих политик использования приложений: Да
- Создание отчетов и контрольных записей о злоумышленниках и цели атак: Да
- Режимы развертывания: Встроенный или TAP
Размеры и питание
- Размеры (Д x Ш x В): 44,5 x 64,8 x 13,3 см (17,5 x 25,5 x 5,25 дюйма)
- Вес: Шасси: 14,7 кг, полная конфигурация: 34,1 кг
- Модуль питания (переменный ток): 100-240 В переменного тока
- Модуль питания (постоянный ток): -40 – -72 В постоянного тока
- Максимальная потребляемая мощность: 1100 Вт (переменный ток), 1050 Вт (постоянный ток)
- Резервная поддержка источников питания: 1 + 1
| Производительность
Пакетная фильтрация, NAT |
11 Гбит/с для IMIX-трафика,3,5 млн 64-байтовых пакетов в секунду
( При установке четырех сервисных модулей (SPC).IMIX — стандартизованный шаблон трафика, состоящий из 58,33% 64-байтовых, 33,33% 570-байтовых и 8,33% 1518-байтовых UDP-пакетов ) |
Защита от атак (IDP-система) |
6 Гбит/с
( При установке четырех сервисных модулей (SPC) |
IPSec VPN( 3DES/AES256.) |
8
( При установке четырех сервисных модулей (SPC) |
Одновременно установленных сессий |
1 млн
( При установке четырех сервисных модулей (SPC) |
Новых сессий в секунду |
180 000
( При установке четырех сервисных модулей (SPC) | Общесистемные параметры
Операционная система |
JUNOS |
Аппаратное разделение подсистем управления и коммутации |
Да |
Коммутация сессий |
Аппаратная | Сетевые интерфейсы, VLAN
Встроенные |
12( 8 ? 10/100/1000Base-T, 4 x Gigabit Ethernet SFP ) |
Слоты расширения |
7
— до 4-х для интерфейсных модулей (IOC),— до 4-х для сервисных модулей (SPC),— до 3-х для модулей сетевой обработки (NPC). |
VLAN |
4 096 на интерфейс,до 16 384 подынтерфейсов на систему | Маршрутизация
IS-IS |
Да |
RIP |
Да |
OSPF |
Да |
BGP |
Да |
Виртуальные маршрутизаторы |
256 |
Экземпляров BGP |
128 |
BGP-соединений |
2 000 |
BGP-маршрутов |
1 000 000 |
Экземпляров OSPF |
256 |
OSPF-маршрутов |
1 000 000 |
Экземпляров RIP v1/v2 |
50 |
RIPv2-маршрутов |
4 096 |
Маршрутизация по правилам(Policy based routing.) |
Да |
Балансировка нагрузки по равноценным маршрутам (ECMP) |
Да | Трансляция адресов (NAT)
Трансляция адресов отправителя |
Да |
Трансляция адресов получателя |
Да |
1-to-1 NAT |
Да |
Трансляция портов (PAT) |
Да | Фильтрация трафика
Stateful firewall |
Да |
Фильтрация по расписанию |
Да |
Блокирование ICMP, UDP, SVN flood |
Да |
Ограничение количества установленных сессий(По IP-адресу источника или отправителя.) |
Да |
Защита от сканирования IP-адресов и портов |
Да |
Защита от подмены IP-адресов |
Да |
Обнаружение аномалий протоколов IP и TCP |
Да | IPSec VPN
Максимальное количество туннельных интерфейсов |
5 000 |
Максимальное количество установленных туннелей |
10 000 |
Резервирование туннелей |
Да |
Пользовательские VPN |
Да | PKI (PKCS 7, PKCS 10)
SCEP |
Да |
Самоподписываемые сертификаты |
Да | IDP-система
Производительность |
6 Гбит/с(При установке четырех сервисных карт (SPC) |
Количество поддерживаемых сигнатур атак(База данных сигнатур обновляется каждый день, при обнаружении критических уязвимостей — чаще, по мере необходимости.Подписка на обновления входит в состав сервисного контракта производителя (см. раздел «Сервис»). |
Более 5 600 |
Виды предотвращаемых атак |
Атаки с транспортного по прикладной уровень
( Включая обнаружение вackdoor, сетевых червей, троянов и других вредоносных программ ) |
Механизмы обнаружения атак |
Сигнатурный анализ, анализ аномалий протоколов и трафика
( Возможность комбинирования и создания пользовательских сигнатур ) |
Установка пороговых значений параметров протоколов |
Да | Операционные режимы
Route/NAT (L3)(В режиме
Route/NAT межсетевой экран является маршрутизирующим устройством.Трансляция адресов (NAT) и некоторые другие функции доступны только в этом режиме.) |
Да |
Transparent (L2)(В режиме Transparent межсетевой экран не является маршрутизирующим устройством, и его внедрение не требует изменения IP-адресации сети.В этом режиме недоступны все виды трансляции адресов (NAT), виртуальные системы, виртуальные маршрутизаторы, протоколы динамической маршрутизации, VLAN-тэгирование и резервирование в режиме
Active/Active (кроме ISG-серии). |
Да | Назначение IP-адресов
Статическое |
Да |
PPPoE-Клиент |
Нет |
DHCP-клиент |
Да |
DHCP-сервер |
Да |
DHCP relay |
Да | Качество обслуживания (QoS) и управление трафиком
Выделение гарантированной пропускной способности |
Нет |
Ограничение максимальной пропускной способности |
Да |
Приоритезация трафика |
Да |
DiffServ marking |
Да |
WRED |
Да |
Планировщики (schedulers) |
Да | Горячее резервирование (High Availability)
Active/Active(Только в режиме
Route/NAT (L3) (Кроме ISG-серии). |
Да |
Active/Passive |
Да |
Синхронизация конфигураций |
Да |
Синхронизация сессий(В том числе внутри VPN.) |
Да |
VRRP |
Да |
Резервирование сессий при изменении маршрутизации |
Да |
Обнаружение отказа устройства |
Да |
Обнаружение отказа сетевого подключения |
Да |
Аутентификация устройств в кластере |
Нет |
Защита трафика между устройствами кластера |
Нет | UAC
Взаимодействие с контроллером доступа Infranet Controller |
Да | Управление и администрирование
Интерфейс командной строки(Консоль, Telnet, SSH. |
Да |
Web-интерфейс(HTTP и HTTPS) |
Да |
Network and Security Manager(Juniper Networks Network and Security Manager (NSM)) |
Да |
Управление через VPN-соединение |
Да |
Rapid Deployement |
Да |
Внешняя аутентификация администраторов(RADIUS, RSA SecurID (кроме ISG), LDAP) |
Да |
Уровни привелегий администраторов(ScreenOS поддерживает три уровня привилегий администраторов: root, admin и read-only.JUNOS поддерживает стандартные классы super-user, operator, read-only и возможность определения пользвательских привелений с возможностью запрещения или разрешения отдельных команд) |
Да |
Резервирование конфигураций |
Да |
Syslog(До 4-х серверов) |
Да |
SNMP |
Да |
Выделенный интерфейс управления(Специальный сетевой интерфейс (как правило медный Ethernet) может использоваться только для удаленного доступа к устройству. Передача через него транзитного трафика невозможна.) |
Да |
Виртуальные системы(Виртуальные системы с автономным управлением. Требуется лицензия.) |
Нет | Электропитание
Резервирование блоков питания |
По схеме «1+1» |
Переменное напряжение питания (AC) |
100-240 В |
Постоянное напряжение питания (DC) |
40-60 В |
Максимальная потребляемая мощность переменного тока |
1 кВт |
Максимальная потребляемая мощность постоянного тока |
850 Вт | Габариты и вес
Ширина |
44,5 см |
Глубина |
64,8 см |
Высота |
13,3 см |
Монтаж в стойку |
3 RU |
Максимальный вес |
34,1 кг | |