|
|
Шлюзы серии SRX построены на базе архитектуры динамического предоставления услуг (Dynamic Services Architecture) и программного обеспечения JUNOS. Они обеспечивают надежную и безопасную работу сети, что необходимо для инфраструктур предприятий и поставщиков услуг.Шлюз SRX3600 поддерживает межсетевые экраны с пропускной способностью до 30 Гбит/с, межсетевые экраны и IPS до 10 Гбит/с или IPsec VPN со скоростью 10 Гбит/с, а также обеспечивает до 175000 новых соединений в секунду. Шлюзы серии SRX оснащены всеми функциями обеспечения безопасности. SRX — оптимальное решение для защиты центров обработки данных средних и крупных предприятий, центров обработки данных, размещенных у провайдеров или на арендованном у провайдера оборудовании, а также услуг и приложений нового поколения.Характеристики серии SRX3600
Проверенная версия JUNOS: Junos 10.2
Производительность межсетевого экрана (максимум): 30 Гбит/c
Производительность IPS (NSS 4.2.1) 10 Гбит/c
Производительность сетей VPN AES256+SHA-1 / 3DES+SHA-1 10 Гбит/c
Максимальное количество сессий 2,25 млн.
Скорость создания сессий (устойчивые, TCP, 3-сторонние), в секунду 175,000
Максимальное количество политик безопасности 40,000
Максимальное количество поддерживаемых пользователей Unrestricted
Максимальное количество разъемов для карт ввода-вывода (IOC) 6 (передних разъема)
Фиксированные порты ввод-вывода 8 10/100/1000 + 4 SFP
Поддержка CX111 3G Bridge Не применимо
Внутренний разъем для платы 3G Express Не применимо
Интерфейсы LAN
- 16 x 1 10/100/1000, медные
- Трансиверы 16 х 1 Gigabit Ethernet SFP
- 2 x 10 Gigabit Ethernet XFP
Поддержка функций обеспечения доступности
- Активная/пассивная, активная/активная
- Обслуживание кластера на шасси с минимальным снижением уровня сервиса
- Группы агрегации интерфейсов в кластере шасси
Службы AppSecure
- Идентификация приложений: да
- Защита приложений от атак типа «отказ в обслуживании» (AppDoS): да
- AppTrack: да
Межсетевой экран
- Обнаружение атак на уровне сети: Да
- Защита от DoS и DDoS: Да
- Повторная сборка TCP для защиты фрагментированных пакетов: Да
- Противодействие атакам методом перебора: Да
- Защита cookie SYN: Да
- Подмена IP-адресов в зонах: Да
- Защита от неверно сформированных пакетов: Да
- Инспекция GPRS с контролем состояния соединений: Да
|
Система защиты от вторжения
- Сигнатуры протокола с контролем состояния: Да
- Механизмы обнаружения атак: Сигнатуры с контролем состояния соединений, обнаружение аномальных изменений протокола (отражение атак, использующих бреши в приложениях), идентификация приложений
- Механизмы реагирования на атаки: Сброс соединения, остановка соединения, журнал пакетов сессии, сводный отчет по сессии, передача сообщения по электронной почте, настройка сессииМеханизмы уведомления об атаках: Структурированный системный журнал
- Защита от червей: Да
- Инспекция трафика, шифруемого с помощью SSL: Да
- Упрощенная установка с использованием рекомендованных политик: Да
- Защита от троянов: Да
- Защита от шпионских/рекламных программ и логгеров клавиатуры: ДаЗащита от других вредоносных программ: Да
- Защита от непрерывных атак со стороны инфицированных систем: Да
- Защита от зондирования: Да
- Защита от подделки межсайтовых запросов: Да
- Распределенные атаки — комбинация сигнатур с контролем соединений и обнаружения аномалий протоколов: Да
- Создание собственных сигнатур атак: Да
- Контексты доступа для настройки: 500+
- Внесение изменений в описания атак (диапазон портов и т. д.): Да
- Сигнатуры потоков: Да
- Границы протоколов: Да
- Сигнатуры протокола с контролем состояния: Да
- Приблизительное количество отражаемых атак: 6,000+
- Подробное описание угроз и сведения об устранении угрозы/патчах: Да
- Создание и применение подходящих политик использования приложений: Да
- Создание отчетов и контрольных записей о злоумышленниках и цели атак: Да
- Режимы развертывания: Встроенный или TAP
Размеры и питание
- Размеры (Д x Ш x В): 44,5 x 64,8 x 22.2 см (17,5 x 25,5 x 8.75 дюйма)
- Вес: Шасси: 19,8 кг, полная конфигурация: 52,6 кг
- Модуль питания (переменный ток): 100-240 В переменного тока
- Модуль питания (постоянный ток): -40 – -72 В постоянного тока
- Максимальная потребляемая мощность: 1750 Вт (переменный ток), 1850 Вт (постоянный ток)
- Резервная поддержка источников питания: 2 + 1 / 2 + 2
| Производительность
| Пакетная фильтрация, NAT |
20 Гбит/с для IMIX-трафика,6,5 млн 64-байтовых пакетов в секунду
( При установке четырех сервисных модулей (SPC).IMIX — стандартизованный шаблон трафика, состоящий из 58,33% 64-байтовых, 33,33% 570-байтовых и 8,33% 1518-байтовых UDP-пакетов ) |
| Защита от атак (IDP-система) |
11 Гбит/с
( При установке семи сервисных модулей (SPC) |
| IPSec VPN( 3DES/AES256.) |
14
( При установке семи сервисных модулей (SPC) |
| Одновременно установленных сессий |
2 млн
( При установке пяти и более сервисных модулей (SPC) |
| Новых сессий в секунду |
180 000
( При установке четырех и более сервисных модулей (SPC) | Общесистемные параметры
| Операционная система |
JUNOS |
| Аппаратное разделение подсистем управления и коммутации |
Да |
| Коммутация сессий |
Аппаратная | Сетевые интерфейсы, VLAN
| Встроенные |
12( 8 ? 10/100/1000Base-T, 4 x Gigabit Ethernet SFP ) |
| Слоты расширения |
12
— до 6-х для интерфейсных модулей (IOC),— до 7-х для сервисных модулей (SPC),— до 3-х для модулей сетевой обработки (NPC). |
| VLAN |
4 096 на интерфейс,до 16 384 подынтерфейсов на систему | Маршрутизация
| IS-IS |
Да |
| RIP |
Да |
| OSPF |
Да |
| BGP |
Да |
| Виртуальные маршрутизаторы |
256 |
| Экземпляров BGP |
128 |
| BGP-соединений |
2 000 |
| BGP-маршрутов |
1 000 000 |
| Экземпляров OSPF |
256 |
| OSPF-маршрутов |
1 000 000 |
| Экземпляров RIP v1/v2 |
50 |
| RIPv2-маршрутов |
4 096 |
| Маршрутизация по правилам(Policy based routing.) |
Да |
| Балансировка нагрузки по равноценным маршрутам (ECMP) |
Да | Трансляция адресов (NAT)
| Трансляция адресов отправителя |
Да |
| Трансляция адресов получателя |
Да |
| 1-to-1 NAT |
Да |
| Трансляция портов (PAT) |
Да | Фильтрация трафика
| Stateful firewall |
Да |
| Фильтрация по расписанию |
Да |
| Блокирование ICMP, UDP, SVN flood |
Да |
| Ограничение количества установленных сессий(По IP-адресу источника или отправителя.) |
Да |
| Защита от сканирования IP-адресов и портов |
Да |
| Защита от подмены IP-адресов |
Да |
| Обнаружение аномалий протоколов IP и TCP |
Да | IPSec VPN
| Максимальное количество туннельных интерфейсов |
5 000 |
| Максимальное количество установленных туннелей |
20 000 |
| Резервирование туннелей |
Да |
| Пользовательские VPN |
Да | PKI (PKCS 7, PKCS 10)
| SCEP |
Да |
| Самоподписываемые сертификаты |
Да | IDP-система
| Производительность |
11 Гбит/с(При установке семи сервисных карт (SPC). |
| Количество поддерживаемых сигнатур атак(База данных сигнатур обновляется каждый день, при обнаружении критических уязвимостей — чаще, по мере необходимости.Подписка на обновления входит в состав сервисного контракта производителя (см. раздел «Сервис»). |
Более 5 600 |
| Виды предотвращаемых атак |
Атаки с транспортного по прикладной уровень
( Включая обнаружение вackdoor, сетевых червей, троянов и других вредоносных программ ) |
| Механизмы обнаружения атак |
Сигнатурный анализ, анализ аномалий протоколов и трафика
( Возможность комбинирования и создания пользовательских сигнатур ) |
| Установка пороговых значений параметров протоколов |
Да | Операционные режимы
| Route/NAT (L3)(В режиме
Route/NAT межсетевой экран является маршрутизирующим устройством.Трансляция адресов (NAT) и некоторые другие функции доступны только в этом режиме.) |
Да |
| Transparent (L2)(В режиме Transparent межсетевой экран не является маршрутизирующим устройством, и его внедрение не требует изменения IP-адресации сети.В этом режиме недоступны все виды трансляции адресов (NAT), виртуальные системы, виртуальные маршрутизаторы, протоколы динамической маршрутизации, VLAN-тэгирование и резервирование в режиме
Active/Active (кроме ISG-серии). |
Да | Назначение IP-адресов
| Статическое |
Да |
| PPPoE-Клиент |
Нет |
| DHCP-клиент |
Да |
| DHCP-сервер |
Да |
| DHCP relay |
Да | Качество обслуживания (QoS) и управление трафиком
| Выделение гарантированной пропускной способности |
Нет |
| Ограничение максимальной пропускной способности |
Да |
| Приоритезация трафика |
Да |
| DiffServ marking |
Да |
| WRED |
Да |
| Планировщики (schedulers) |
Да | Горячее резервирование (High Availability)
| Active/Active(Только в режиме
Route/NAT (L3) (Кроме ISG-серии). |
Да |
| Active/Passive |
Да |
| Синхронизация конфигураций |
Да |
| Синхронизация сессий(В том числе внутри VPN.) |
Да |
| VRRP |
Да |
| Резервирование сессий при изменении маршрутизации |
Да |
| Обнаружение отказа устройства |
Да |
| Обнаружение отказа сетевого подключения |
Да |
| Аутентификация устройств в кластере |
Нет |
| Защита трафика между устройствами кластера |
Нет | UAC
| Взаимодействие с контроллером доступа Infranet Controller |
Да | Управление и администрирование
| Интерфейс командной строки(Консоль, Telnet, SSH. |
Да |
| Web-интерфейс(HTTP и HTTPS) |
Да |
| Network and Security Manager(Juniper Networks Network and Security Manager (NSM)) |
Да |
| Управление через VPN-соединение |
Да |
| Rapid Deployement |
Да |
| Внешняя аутентификация администраторов(RADIUS, RSA SecurID (кроме ISG), LDAP) |
Да |
| Уровни привелегий администраторов(ScreenOS поддерживает три уровня привилегий администраторов: root, admin и read-only.JUNOS поддерживает стандартные классы super-user, operator, read-only и возможность определения пользвательских привелений с возможностью запрещения или разрешения отдельных команд) |
Да |
| Резервирование конфигураций |
Да |
| Syslog(До 4-х серверов) |
Да |
| SNMP |
Да |
| Выделенный интерфейс управления(Специальный сетевой интерфейс (как правило медный Ethernet) может использоваться только для удаленного доступа к устройству. Передача через него транзитного трафика невозможна.) |
Да |
| Виртуальные системы(Виртуальные системы с автономным управлением. Требуется лицензия.) |
Нет | Электропитание
| Резервирование блоков питания |
По схеме «2+1» или «2+2» |
| Переменное напряжение питания (AC) |
100-240 В |
| Постоянное напряжение питания (DC) |
40-60 В |
| Максимальная потребляемая мощность переменного тока |
1,5 кВт |
| Максимальная потребляемая мощность постоянного тока |
1,5 кВт | Габариты и вес
| Ширина |
44,5 см |
| Глубина |
64,8 см |
| Высота |
22,2 см |
| Монтаж в стойку |
5 RU |
| Максимальный вес |
52,6 кг | |
|
|
Сетевое оборудование
