+ | -

• SRX - firewall/VPN
  • SRX 100
  • SRX 210, 220, 240
  • SRX 650
  • SRX 3400, 3600
  • SRX 5600, 5800
  • Broszury
• SSG - firewall/VPN
  • Dla małych firm
  • SSG 5, 20
  • SSG 140
  • SSG 320M, 350M
  • SSG 520, 550
  • Funkcje UTM w rodzinie SSG
  • Broszury
• Przełączniki EX
  • EX2200
  • EX3200
  • EX3300
  • EX2500
  • EX4500
  • EX4200
  • EX8200
  • Broszury
• Przełączniki QFX
  • QFX3500
• ISG
  • ISG 1000, ISG 2000
• IDP
  • IDP 75, 250, 800, 8200
• SSL VPN i NAC
  • MAG - Pulse Gateway
  • SA SSL 2500, 4500, 6500
  • IAC - System NAC
  • Broszury
• Rutery
  • Seria J
• NSM - zarządzanie
• System STRM - Security Threat Response Manager
• Steel-Belted RADIUS

Juniper Networks - Secure Access - SA SSL 2500, 4500, 6500

SA 2500, SA 4500 i SA 6500 są urządzeniami SSL VPN, które spełniają wymagania firm każdych rozmiarów. Urządzenia Secure Access używają protokołu SSL, który znaleźć można we wszystkich standardowych przeglądarkach WWW. Użycie SSL likwiduje potrzebę instalacji oprogramowania po stronie klienta lub zmian na wewnętrznych serwerach, oraz eliminuje koszty związane z konserwacją i obsługą techniczną stacji końcowych. Urządzenia Juniper Secure Access SSL VPN oferują także zaawansowane funkcje partner/klient dla sieci ekstranet, które umożliwiają kontrolę dostępu do użytkowników i ich grup bez konieczności wprowadzana zmian w infrastrukturze, tworzenia stref zdemilitaryzowanych (DMZ) oraz instalowania agentów programowych.

Architektura i modele

Model Juniper Networks SA 2500 umożliwia małym i średnim przedsiębiorstwom uzyskanie zdalnego dostępu do zasobów sieciowych oraz sieci ekstranet, jak również zapewnia bezpieczeństwo sieci intranet. Użytkownicy mogą łączyć się z siecią przedsiębiorstwa z jakiegokolwiek komputera podłączonego do Internetu. Model SA 2500 oferuje wysoką dostępność (HA) oraz płynne przełączanie sesji użytkowników w razie pojawienia się usterki. Ponieważ SA 2500 używa dokładnie tego samego oprogramowania co większe SA 4500 i SA 6500, nawet mniejsze organizacje uzyskają tą samą wysoką wydajność, administracyjną elastyczność i wygodę użytkowania. Dzięki modelowi Juniper Networks SA 4500 średnie oraz duże przedsiębiorstwa bez większych nakładów finansowych mogą zapewnić dostęp do sieci ekstranet jedynie za pomocą przeglądarki WWW. Jedną z cech urządzeń z serii SA 4500 jest wysoka funkcjonalność zarządzania prawami dostępu, która może być wykorzystana przy tworzeniu bezpiecznych sieci ekstranet klient-partner. Ta funkcjonalność pozwala przedsiębiorcy zabezpieczyć również dostęp do sieci intranet, dzięki czemu pracownicy lub goście mogą skorzystać z dokładnie tych zasobów sieci, które aktualnie są im potrzebne, jednocześnie nie naruszając polityki bezpieczeństwa przedsiębiorstwa. Wbudowana kompresja dla wszystkich typów ruchu sieciowego zwiększa wydajność. Dostępna jest również sprzętowa akceleracja SSL dla bardziej wymagających środowisk. Model SA 4500 oferuje również wysoką dostępność (HA) wraz z płynnym przełączaniem sesji użytkowników w razie pojawienia się usterki. Model Juniper Networks SA 6500 przeznaczony jest dla dużych przedsiębiorstw i dostawców usług. Jego cechy to najlepsza wydajność w tej klasie produktów, skalowalność oraz nadmiarowość, dzięki czemu sprawdza się w organizacjach mających większe wymogi odnośnie bezpiecznego dostępu oraz autoryzacji. Ponadto model SA 6500 oferuje wysoką dostępność (HA) oraz zapewnia przełączanie sesji użytkowników w razie pojawienia się usterki. SA 6500 posiada również wbudowaną kompresję dla Web i plików, oraz najwyższej klasy chipset przyspieszający szyfrowanie SSL, który odciąża procesor przy wykonywaniu procesów szyfrowania i odszyfrowania. Ponieważ każde z urządzeń Juniper Netoworks Secure Access SSL VPN używa tego samego oprogramowania, nie ma problemu wyboru urządzenia w zależności od umiejętności użytkowników lub administratorów. Wszystkie urządzenia oferują najwyższą wydajność, stabilność i skalowalność. Dlatego decyzję, które urządzenie najlepiej spełni potrzeby twojej organizacji, łatwo uzależnić od ilości użytkowników, redundancji systemu, możliwości akceleracji i potrzeb rosnącej populacji użytkowników korzystających ze zdalnego dostępu.

• SA 2500: Wspiera biznes małych i średnich rozmiarów (SMB) jako ekonomiczne rozwiązanie, które bez problemu obsłuży do 100 użytkowników jednoczenie w pojedynczym systemie lub w dwu-jednostkowym klastrze.
• SA 4500: Umożliwia średnim i dużym organizacjom obsługę 1000 użytkowników jednocześnie w pojedynczym systemie. Oferuje opcję migracji do sprzętowej akceleracji SSL dla tych organizacji, które wymagają największej wydajności przy dużym obciążeniu.
• SA 6500: Zbudowany z myślą o dużych przedsiębiorstwach i dostawcach usług, SA 6500 zapewnia najlepszą w swojej klasie wydajność, skalowalność i redundancję dla organizacji z wysokimi wymaganiami odnośnie bezpiecznego dostępu i autoryzacji. Obsługuje aż 10 000 użytkowników jednocześnie w pojedynczym systemie lub dziesiątki tysięcy w 4-jednostkowym klastrze.

Podsumowanie Cech

Cecha	SA2500	SA4500	SA6500
Wymiary, waga	1U; 43.8 × 4.4 × 36.8 cm; 6.6kg	1U; 43.8 × 4.4 × 36.8 cm; 7.1kg	2U; 43.8 × 8.8 × 45 cm; 12 kg
Liczba interfejsów	Dwa RJ-45 Ethernet 10/100/1000	Dwa RJ-45 Ethernet 10/100/1000	Cztery RJ-45 Ethernet lub halflub full-duplex Opcjonalnie moduł SFP plu zarządzanie
Port konsoli	1 szeregowy port RJ45	1 szeregowy port RJ45	1 szeregowy port RJ45
Klastrowanie	tak	tak	tak
Advanced Endpoint Defense	tak	tak	tak
Maksymalna liczba użytkowników (licencja)	100	1000	10000 / 30000 (w ramach klastra)
Licencje ICE	-	tak	tak
Wirtualizacja	-	tak	tak
moduł akceleracji sprzętowej SSL	-	tak (opcja)	wbudowany
wymienny moduł zasilania	-	-	tak
Moduły GBIC (SX, LX, copper)	-	-	tak
wymienny dysk twardy	-	-	tak
wymienny zasilacz i wentylatory	-	-	tak

Metody dostęp do zasobów

Modele SA 2500, SA 4500 oraz SA 6500 zapewniają trzy różne metody dostępu. Selekcja danej metody jest jednym z elementów roli użytkownika, administrator może uaktywnić odpowiednią metodę dostępu dla poszczególnych sesji biorąc pod uwagę atrybuty użytkownika, urządzenia oraz sieci w połączeniu z politykami bezpieczeństwa przedsiębiorstwa.

• Clientless Core Web Access - Dostęp do aplikacji webowych, zawierających złożone elementy typu JavaScript, XML lub aplikacje Flash oraz aplety Java, które wymagają dostępu do socket'u, jak również do standardowych aplikacji e-mail, takich jak Outlook Web Access (OWA), współdzielonych zasobów plików Windows i UNIX, aplikacji telnet/SSH, emulacji terminali, SharePoint i innych.
• Secure Application Manager (SAM) - Pobranie niewielkiego kodu Javy lub aplikacji umożliwia uzyskanie dostępu do aplikacji klient/ serwer.
• Network Connect (NC) - Zapewnia kompletne połączenie sieciowe pomiędzy wieloma platformami; integracja Windows Logon/GINA z pojedynczym logowaniem (SSO) do domeny; usługi instalacyjne zmniejszające potrzebę posiadania praw administratorskich.

Kontrola dostępu i konta użytków

Modele SA 2500, SA 4500 oraz SA 6500 pozwalają na dynamiczne zarządzanie prawami dostępu bez wprowadzania zmian w infrastrukturze, opracowywania nowych rozwiązań, wprowadzania i obsługiwania dodatkowego oprogramowania. Umożliwia to instalację i utrzymanie mechanizmów bezpiecznego dostępu, jak również zabezpieczenie sieci ekstranet i intranet. Kiedy użytkownik loguje się do urządzenia SA, musi przejść przez proces wstępnego uwierzytelnienia, a następnie w sposób dynamiczny przydzielony zostaje do określonej roli sesji, w skład której wchodzą ustawienia sieci, urządzenia, tożsamości oraz reguły sesji. Szczegółowe polityki autoryzacji dostępu do zasobów dodatkowo zapewniają dokładne przestrzeganie wymogów bezpieczeństwa.

Właściwości modeli SA 2500, SA 4500 oraz SA 6500 pozwalają na kompleksowe zarządzanie hasłami. Właściwości te zwiększają produktywność użytkownika końcowego, znacznie upraszczają zarządzanie dużymi i zróżnicowanymi zasobami użytkowników, jak również w dużym stopniu redukują liczbę zgłoszeń do centrum obsługi technicznej.

• Zintegrowane zarządzanie hasłami - Oparty o standardy interfejs pozwalający na szeroką integrację z politykami dotyczącymi zarządzania hasłami w usługach katalogowych (LDAP, Microsoft Active Directory, NT i inne).
• Pojedyncze logowanie (SSO) i NT LAN Manager (NTLM) przez Web - Pozwala użytkownikom na uzyskanie dostępu do innych aplikacji lub zasobów, które chronione są przez odmienne systemy zarządzające dostępem bez potrzeby ponownego wprowadzania danych identyfikacyjnych.
• Pojedyncze logowanie (SSO) bazujące na formularzach, zmiennych nagłówka, SAML przez Web - Możliwość wprowadzania nazwy użytkownika, danych uwierzytelniania lub innych atrybutów zdefiniowanych przez użytkownika do formularzy uwierzytelniających innych produktów, lub jako zmiennych nagłówka.

Funkcje i Licencjonowanie

Wraz z pojawieniem się SA 2500, 4500 oraz 6500, proces zamawiania urządzeń został uproszczony dzięki kombinacji opcji, które można wprowadzać niezależnie od siebie. Obecnie w wariancie podstawowym potrzebna jest tylko jedna licencja: licencja na liczbę użytkowników. Również obecni użytkownicy starszej generacji urządzeń (SA 2000, 4000 i 6000) skorzystają z tych zmian, gdyż ich systemy zostaną uaktualnione do nowszej wersji oprogramowania (6.1 lub wyższej), czyli do nowego sposobu licencjonowania.

Licencje użytkownika dostarczają funkcjonalności, która umożliwia użytkownikom zdalnym, ekstranetowym i intranetowym dostęp do sieci. W pełni spełniają potrzeby zarówno podstawowych jak i kompleksowych wdrożeń z różnorodnymi odbiorcami i sposobami wykorzystania. Wymagają niewielkiej ilości zmian oprogramowania po stronie klienta, lub serwera, przebudowy strefy DMZ, wdrożeń agentów programowych lub nie wymagają ich wcale. Dla łatwego zarządzania ilością licencji użytkownika, każda licencja dopuszcza tylu użytkowników, ilu było określonych w licencji z możliwością dodania kolejnych. Na przykład, jeśli oryginalnie zakupiono licencje na 100 użytkowników, ale liczba użytkowników w ciągu ostatniego roku wzrosła i wyczerpała pulę z licencji, wystarczy dokupić licencję na kolejnych 100 użytkowników i wówczas system umożliwi obsługę do 200 użytkowników jednocześnie. Kluczowe cechy zawarte w ramach tej licencji to:

• Secure Application Manager (SAM) oraz Network Connect (NC) zapewniają funkcjonujące na różnych platformach wsparcie dla aplikacji klient/serwer dzięki użyciu SAM, jak również pełnego dostępu do wszystkich warstw sieci dzięki użyciu dwóch adaptacyjnych metod transportu, które są dostępne w NC. Połączenie SAM i NC z dostępem webowym zapewni bezpieczny dostęp dla praktycznie wszystkich użytkowników i klientów: od zdalnie pracujących/mobilnych pracowników, po partnerów i klientów, korzystających z różnorodnych urządzeń, w jakiejkolwiek sieci,
• wybór dostępu w zależności od zadań wykracza poza opartą na rolach kontrolę dostępu i pozwala administratorom właściwie, dokładnie i dynamicznie równoważyć wymagania bezpieczeństwa z wymaganiami dostępu,
• zaawansowane wsparcie dla PKI to możliwość importowania wielu głównych i pośrednich CA, wsparcia protokołu Online Certificate Status Protocol (OCSP) oraz wielu certyfikatów serwerów,
• usługa samoobsługi użytkownika daje możliwość tworzenia własnych, ulubionych zakładek, w tym dostęp do ich własnych stacji roboczych ze zdalnej lokalizacji, a nawet zmianę swojego hasła kiedy już wygaśnie,
• wsparcie dla serwisów z wieloma nazwami (na przykład, https:// employees.company.com, https://partners.company.com and https://employees.company.com/engineering). Każdy z nich może sprawiać wrażenie, jakby był jedynym serwisem obsługiwanym przez system, z osobnymi stronami logowania i z dostosowanym wyglądem tak, aby trafiać w potrzeby i przyzwyczajenia odbiorców,
• interfejs użytkownika dostosowany do potrzeb użytkownika i delegowanych ról administracyjnych,
• zaawansowana kontrola bezpieczeństwa stacji końcowych przy pomocy narzędzi takich jak: Host Checker, Cache Cleaner i Secure Virtual Workspace zapewnia, aby użytkownicy w sposób dynamiczny uzyskiwali dostęp do systemów i zasobów, ale tylko w stopniu, na który pozwala polityka bezpieczeństwa organizacji. Dane pozostałe po realizacji usługi są usuwane z dysków tak, aby nie pozostał żaden ślad,
• wsparcie dla VLAN (do 240 sieci VLAN).

Dodatkowe licencje (opcje)

• Licencja Advanced Endpoint Defense zintegrowana z ochroną przed złośliwym oprogramowaniem . Advanced Endpoint Defense: moduł ochrony przed złośliwym oprogramowaniem jest oprogramowaniem zintegrowanym z Host Checker'em zapewniającym ochronę przed niebezpieczeństwami, takimi jak konie trojańskie oraz key loggery znajdujące się na punkcie końcowym, z którego użytkownik ma zamiar rozpocząć zdalną sesję dostępu. Moduł chroniący przed złośliwym oprogramowaniem konfigurowany jest jako moduł kontrolera hosta i w sposób dynamiczny dostarczany jest do komputera PC użytkownika końcowego, bez potrzeby uprzedniego instalowania dodatkowego oprogramowania. Wszystkie urządzania Secure Access SSL VPN dostarczane są razem z bezpłatną licencją dla 25 jednocześnie działających użytkowników. W celu zwiększenia tej liczby klienci powinni zamówić dodatkową licencję.
• Licencja Secure Meeting. Licencja na aktywowanie Secure Meeting umożliwia skuteczną ochronę konferencji webowych w dowolnym czasie i miejscu oraz zdalną kontrolę dostępu do PC. Secure Meeting pozwala na współdzielenie aplikacji w czasie rzeczywistym, co umożliwia uprawnionym pracownikom i partnerom w prosty sposób wyznaczać spotkania online lub aktywować spotkania w danej chwili, dzięki intuicyjnemu interfejsowi webowemu, którego obsługa nie wymaga przeprowadzania dodatkowych szkoleń lub wdrożeń. Personel obsługi klienta może służyć pomocą każdemu użytkownikowi lub klientowi zdalnie kontrolując jego PC bez wymogu instalowania przez użytkownika jakiegokolwiek dodatkowego oprogramowania. Najlepsze w swojej klasie możliwości AAA umożliwiają przedsiębiorstwom w prosty sposób zintegrować Secure Meeting z wykorzystywaną już przez nie wewnętrzną infrastrukturą uwierzytelniającą. Wiodąca na rynku, zoptymalizowana i posiadająca certyfikaty Common Criteria architektura urządzenia SSL VPN Junipera oraz zabezpieczenia transferu danych SSL/HTTPS dla wszystkich typów ruchu sieciowego gwarantują zgodność tego rozwiązania z najsurowszymi wymogami bezpieczeństwa przedsiębiorstwa.
• Licencja Instant Virtual System. Opcja Juniper Networks Instant Virtual System (IVS) opracowana została, aby umożliwić administratorom obsługę 255 logicznie niezależnych bram SSL VPN w obrębie jednego urządzenia/klastra. Pozwala to dostawcom usług na dostarczanie wielu klientom usług sieciowych zarządzanych przez SSL VPN z jednego urządzenia lub klastra, jak również umożliwia całkowite segmentowanie ruchu w sieci SSL VPN pomiędzy wieloma grupami użytkowników. IVS umożliwia całkowite odseparowanie klientów i zapewnia segregację ruchu w sieci pomiędzy wieloma klientami, korzystając ze szczegółowego tagowania VLAN (802.1Q) bazującego na rolach. Pozwala to na bezpieczne segregowanie ruchu użytkowników końcowych, nawet w przypadku gdy dwóch klientów posiada ten sam adres IP i umożliwia przypisanie konkretnego VLAN'u dla różnych klas użytkowników, takich jak pracownicy zdalni lub partnerzy klientów. Domain Name Service (DNS)/Windows Internet Name Service (WINS), AAA, serwery log/accounting oraz serwery aplikacji takie jak poczta Web, współdzielone pliki, itp. mogą znajdować się w sieciach intranet klienta lub w sieci dostawcy usługi. Dostawcy mogą dostosować ogólną liczbę jednocześnie pracujących użytkowników dla poszczególnego klienta z możliwością rozszerzenia liczby kolejnych kategorii użytkowników, takich jak pracowników zdalnych przedsiębiorstwa, kontrahentów, partnerów, i innych. Opcja IVS dostępna jest dla modeli SA 4500 and SA 6500.
• Opcja wysokiej dostępności (HA). Juniper Networks opracowało różnorodne opcje klastrowania HA dla urządzeń Secure Access, zapewniając nadmiarowość i płynne funkcjonowanie systemu w potencjalnych przypadkach awarii. Opcje klastrowania umożliwiają również skalowalność wydajności w celu spełnienia wymogów najbardziej wymagających środowisk. Modele Secure Access 2500 i 4500 mogą zostać zakupione w postaci klastrów złożonych z dwóch jednostek, a model Secure Access 6500 także w postaci klastrów złożonych z większej liczby jednostek (Multi-Unit), co zapewnia całkowitą nadmiarowość oraz szeroką skalowalność użytkowania. Zarówno klastry Multi-Unit jak i klastry złożone z dwóch jednostek pozwalają na monitorowanie stanów i płynne funkcjonowanie całej sieci LAN i WAN w razie potencjalnej awarii jednej z jednostek. Wówczas konfiguracje systemu (takie jak konfiguracja serwera uwierzytelniającego, grup autoryzacji, zakładek, itp.), ustawienia profilu użytkownika (takie jak zdefiniowane przez użytkownika zakładki, pliki cookie, itp.) oraz sesje użytkowników zostaną zachowane. Przejęcie pracy przez drugą jednostkę jest płynne, co pozwala uniknąć przerw w produktywności użytkownika/przedsiębiorstwa, potrzeby ponownego logowania się użytkowników oraz przestojów. Klastry złożone z wielu jednostek działają w automatycznym trybie Aktywny-Aktywny, podczas gdy klastry złożone z dwóch jednostek mogą być przestawiane pomiędzy trybami Aktywny-Aktywny i Aktywny-Pasywny. Licencje wysokiej dostępności pozwalają na współdzielenie licencji pomiędzy dwoma lub większą ilością urządzeń Secure Access (w zależności od platformy) bez możliwości łączenia licencji na ilość obsługiwanych użytkowników. Na przykład jeżeli klient posiada licencje na 100 użytkowników dla SA 4500 a następnie zakupi kolejny SA 4500 z licencją klastrową na 100 użytkowników, to w ramach licencji wysokiej dostępności będzie miał możliwość współdzielenia pomiędzy tymi urządzeniami 100 użytkowników.
• Licencja ICE. SSL VPN może pomóc w funkcjonowaniu przedsiębiorstwa utrzymując połączenia nawet w przypadku zaistnienia najmniej spodziewanych zdarzeń losowych takich jak huragany, ataki terrorystyczne, strajki pracowników służb transportowych, pandemii lub epidemii, czyli zdarzeń które wiążą się z izolacją całych regionów lub skupisk ludzkich na dłuższy okres czasu. Przy odpowiednim zbalansowaniu ryzyka i kosztów, opcja ICE dla urządzeń Juniper Networks Secure Access zapewnia rozwiązanie mogące sprostać nagłej potrzebie uzyskania zdalnego dostępu, co zapewniłoby kontynuowanie działalności przedsiębiorstwa w razie katastrofalnych w skutkach zdarzeń losowych. ICE pozwala na udzielenie licencji dla większej ilości dodatkowych użytkowników pracujących na pojedynczych urządzeniach Secure Access SSL VPN na ograniczony okres czasu. Licencja ICE dostępna jest dla modeli SA4500 oraz SA6500.