SRX3400产品介绍

Juniper SRX3400产品

产品概述

瞻博网络 SRX3000 系列业务网关是新一代解决方案，能够满足大型企业和电信运营商环境对网络基础架构和应用安全性不断增长的需求。SRX3000 系列从底层设计开始就着眼于提供灵活的处理扩展能力、I/O 扩展性和高级集成能力，能够满足数据中心高度整合、托管服务快速部署和安全解决方案汇聚等应用对网络和安全的需求。SRX3000 将路由功能、Junos OS 的电信运营商级高可靠性以及 ScreenOS 的多种安全特性结合在一起，为保护现代化的网络基础架构和应用提供了必要的、紧密的特性/服务集成能力。

SRX3400 业务网关与 SRX3600 使用相同的 SPC、IOC 和NPC，最多支持 20 Gbps 的防火墙吞吐量、6 Gbps 的防火墙和 IPS 吞吐量、或 6 Gbps 的 IPsec VPN 吞吐量以及每秒最多 17.5 万条新建连接。SRX3400 最适合保护并分割大型企业数据中心/网络基础架构以及不同安全解决方案的汇聚环境。SRX3400 提供了为每个分区实施不同安全策略的功能，并且能够随网络需求的增长进行扩展，因此，它是中小型服务器机房、托管站点或移动运营商的理想部署选择。SRX3400 业务网关也由瞻博网络 Network and Security Manager 软件负责管理。

SRX3000 系列的服务处理卡*

作为 SRX3000 系列的“核心”，SPC 负责处理平台上提供的所有服务。SPC 无需您为特定服务或应用安装专用硬件，也不允许出现某些硬件组件负担过重、其他硬件组件闲置的情况。SPC 被设计成集中在一起，使 SRX3000 系列能够通过启用其它的 SPC 来扩展性能和容量，从而大大地减少了管理开支和复杂性。SRX3600 和 SRX3400 使用相同的 SPC（注：系统正常运行至少需要 1 个 NPC 和 1 个 SPC）。

SRX3000 系列的 I/O 卡*

除了支持固有的铜缆端口、小型可插拔收发器 (SFP) 和高可用性 (HA) 端口的理想组合外，SRX3000 系列还支持同类产品中最高的 I/O 端口密度。SRX3000 系列中的每个业务网关都可配置一个或多个 IOC，每个 IOC 都支持 16 Gbps 接口（16 口铜缆或光纤千兆以太网）或 20 Gbps 接口（2 口万兆 XFP 以太网）。SRX3000 具备支持多个 IOC 的灵活性，能够在接口数量与处理能力之间实现理想均衡（注：系统正常运行至少需要1 个 NPC 和 1 个 SPC）。

SRX3000 系列的网络处理卡*

为了确保最高的处理性能和灵活性，SRX3000 系列利用 NPC将入站和出站流量分配给适当的 SPC 和 IOC、应用 QoS、并且执行 DoS/分布式拒绝服务 (DDoS) 攻击防御任务。您可将SRX3600 配置为支持 1-3 个 NPC，将 SRX3400 配置为支持 1-2 个 NPC。SRX3000 系列允许配置更多的 NPC，以便您通过定制解决方案来满足特殊的性能要求（注：要想系统正常运行，您至少需要 1 个 NPC 和 1 个 SPC）。

特性和优势

网络和安全性

SRX3000 系列从底层设计开始就着眼于提供强大的网络和安全服务。

特性特性说明优势

专用平台从底层设计开始就基于专用硬件，旨在支持网络和安全服务提供无与伦比的性能和灵活性来支持高速网络环境

可扩展的性能基于动态服务架构，提供可扩展的处理能力提供经济高效的简单解决方案，利用新技术来执行适当的处理

任务

系统和网络永续性提供运营商级硬件设计和经过实践检验的操作系统满足所有关键的高速网络部署的可靠性需求

高可用性(H A) 支持主用/备用和主用/主用HA 配置，使用专用的HA 控制接口实现高可用性和永续性，支持关键网络

接口灵活性采用板载端口和模块化的CFM I/O 卡，提供灵活的I/O 选项支持灵活的I/O 配置和独立的I/O 可扩展性，能够满足多个网

络环境的端口密度要求

网络分割提供安全区、VLAN 和虚拟路由器，管理员可以部署安全策略，提供的功能可以为不同的内部、外部和DMZ 子组定制特殊的安以便隔离客人和地区服务器或数据库全性和网络策略

强大的路由引擎专用路由引擎，同时对数据和控制平面实施物理和逻辑分割允许部署整合后的路由和安全设备，同时确保路由基础架构的安

全性—均通过一个专用管理环境实现全面的威胁防护在Ju n os 上提供紧密集成的服务，包括数千兆位的防火提供无与伦比的集成能力，在各级攻击环境中均可确保网络安全墙、IPs ec VP N、IP S、D o S、应用安全和其他网络和安全服务

状态GP RS 检测在移动运营商网络中支持GP RS 防火墙在移动运营商网络中，SRX3000 系列提供状态防火墙功能以保

护主要的GP RS 节点

基于角色/身份的接入控制实施通过瞻博网络统一接入控制解决方案与SR X3000的紧密集成，通过集成SR X3000 与瞻博网络统一接入控制解决方案基于

标确保安全地访问数据中心资源准的接入控制功能，能够为企业数据中心提供基于用户/身份的

安全服务

流量检测方法

SRX 系列支持种类繁多的检测方法，以便准确识别流经网络的应用和流量。

协议异常检测针对已经发布的RFC 对流量使用情况进行验证，以便检测出任

特性

特性说明

优势

Ap p Tr a ck

基于字节、数据包和会话详细分析网络上的应用数量/使用情况

能够跟踪应用的使用情况，帮助识别高风险的应用并分析流量模 式，以改进网络的管理和控制

AppSecure

瞻博网络 A ppSecure 是新一代安全套件，它利用高级应用识别和分类功能为网络提供更大的可视性、执行、控制和保护。

App FW

利用细粒度的应用控制策略，基于动态的应用名称或群组名称来 基于应用和用户的角色（而非传统的端口和协议分析）来增强安 允许或拒绝流量

全策略的创建和执行

A pp Q o S* 基于应用信息和上下文为流量设置优先级

基于应用信息和上下文为流量分配优先级，并限制和调整带宽， 以改进应用和总体的网络性能

Ap p Do S 利用多级检测方式来识别和缓解针对应用的分布式 Do S 攻击 过滤和拦截恶意流量，同时允许合法流量通过，从而防止针对应

用的攻击引起服务中断

应用特征码 提供 700 多个特征码，以识别应用和嵌套应用

能够准确识别应用，相关的信息可以用于支持可视性、执行、控 制

和保护

SSL 检查

对任意 TCP/U DP 端口上进行了 SSL 加密的 H TTP 流量进行 与应用识别配合使用，对嵌入在SS L 加密流量中的威胁提供可视 检查

性和防御

IPS 功能

瞻博网络 IPS 产品提供独特的功能来确保最高级别的网络安全性。

状态特征码检测 基于适当的协议上下文，只对相关的网段实施特征码检测 最大限度地避免误报，支持灵活地开发特征码

协议解码 支持超过 65 种协议解码机制以及超过 500 个上下文，以便适 当利用协议

通过更加精准的协议上下文来提高特征码的准确性 特征码1 通过 6,000 多个特征码来识别异常、攻击、间谍软件和应用 能够准确识别攻击并且检测对已知安全漏洞的利用企图 流量标准化 支持重新装配、标准化和协议解码功能

避免使用迷惑方法来绕过其他 IP S 检测机制的企图 零日防护 面对新发现的安全漏洞，支持协议异常检测和当天防御

保护您的网络免遭任何利用新安全漏洞发起的攻击

推荐策略

瞻博网络安全部门提供一组攻击特征，作为对企业基本安全防御 简化了安全和维护工作，同时确保最高级别的网络安全性 工作的 基本要求

主动/主动流量监测

对 SR X3000 系列集群进行主动/主动 IP S 监测

支持主动/主动 IP S 监测，包括低影响的集群升级等高级功能

1 截至 2010 年5 月，该产品提供 6200 个特征码，并且每周大约新增 10 个。用户如要获得最新的特征码，需订购特征码更新服务。

* AppQoS 于2011年下半年推出。

集中管理

Network and Security Ma nager 负责管理 SRX 系列业务网关。这个软件是面向所有瞻博网络防火墙、IDP 系列产 品、SA 系列

SSL VPN 产品、UAC 和 EX 系列交换机的通用管理解决方案。

基于角色的管理

可以为不同的管理员分配特殊许可，以便他们开展 100 多种 不同的活动

从逻辑上分离不同的管理员角色并给他们分配不同的任务，以简 化了业务运行

有计划的实施安全升级 SRX 系列业务网关能自动进行攻击对象/特征码更新 抵御最新发现的安全攻击，无需人为介入

域 允许从逻辑上分离设备、策略、报告和其他管理活动 基于业务实践对设备分组，与业务运行保持一致

对象锁定

安全地并发更改管理环境 避免因改写管理设置而发生配置错误

有计划的数据库备份 自动备份 NSM 数据库

提供配置冗余

工作管理器

查看尚未完成的和已经完成的工作

简化多个设备的更新流程

S RX 3400

S RX 3600

规格

2

提供以下性能、容量和功能的设备配置如下：

SRX 3400 配备 4 个 SP C 、1 个 IOC 、2 个 NPC 和 AC 电源

SRX 3600 配备 7 个 SP C 、2 个 IOC 、3 个 NPC 和 AC 电源

网络连接

固定 I/O 8 10/100/1000 + 4 SFP 8 10/100/1000 + 4 SFP

局域网接口选项 16 x 1 10/100/1000 铜缆 16 x 千兆以太网 SFP 2 x 万兆以太网 XFP 16 x 1 10/100/1000 铜缆 16 x 千兆以太网 SFP 2 x 万兆以太网 XFP 最多可用的 IOC 插槽数

4 个（前端插槽）

6 个（前端插槽）

处理容量的可扩展性

最多可用的 SPC 插槽数3

每个机箱最多支持 4 个 SP C 4（任意插槽） 每个机箱最多支持 7 个 SP C （任意插槽） 最多

槽） 网络攻击检测 是 是

DoS 和 DDoS 保护

是 是 用于数据包片段保护的 T CP 重组 是 是 强行攻击缓解 是 是 SYN cookie 保护 是 是 基于区域的 IP 欺骗防护 是 是 异常数据包保护

是

是

IPsec VP N

站点间隧道数 10,000 10,000

并发隧道数

10,000 10,000

DES （56 位），3DES （168 位）和 AES 加密 是 是

MD-5 和 SHA -1 验证 是 是 手动密钥，IKE ，PKI (X.509)

是 是

Perfect Forward Secrecy (PFS)（DH 组群） 1，2，6 1，2，6

防止重放攻击 是 是

远程接入 V PN 是 是 冗余 V PN 网关

是

是

2

除非另有说明，否则所列出的性能、容量和特性都是基于运行 JUNOS 10.4 的系统，并且是在理想测试条件下进行测量。使用 DC 电源的 SR X3400 系统支持 的卡数更少，因此，性能略低些。实际结果可能会因 Junos 版本和部署情况的不同而有所差异。如需获得 SRX 系列业务网关所支持的 Junos 软件版本的完整列 表，请访问瞻博网络客户支持中心 (http://ww w.j uni per .ne t/cus t omer s/support/)。 3

每个 S R X3000 系列业务网关都在机箱前后端提供多个通用外形模块 (CFM) 扩展插槽，以便基于客户要求定制 I/O 配置和处理容量。SPC 和 NPC 可安装在所 有可用的 CFM 插槽上。但是，如想系统正常运行并且支持 I/O 扩展，每台 SR X3400 要支持 全部的 4 个 SPC 和 2 个 N PC ，每台 SR X3600 要支持全部的 7 个 SPC 和 3 个 NPC 。关于 SPC 和 NPC 的更多信息以及部署原则，请参见相应的硬件指南。

4关于如何使用DC 电源，请参见用户指南。

5要支持300 万和600 万次会话，需要额外获得Ext rem e Lic e nse(最大许可)。

入侵防御系统

运行模式：In-line和in-line tap 是是

GP R S 安全

目的地NAT/P AT 是是目的地NAT 位于作为入口处接口IP 的相同子网中是是目的地地址和端口编号对应一个地址和一个特定的端口编号(M:1P) 是是目的地地址对应一个地址(M:1) 是是目的地地址对应另一组地址(M:M) 是是源网络地址转换

静态源NAT –IP转换DIP 是是支持PAT 的源NAT –端口转换是是不支持PAT 的源NAT –固定端口是是源NAT –IP 地址持久性是是源地址池分组是是源地址池使用警报是是

源网络地址转换（续）

源IP 地址在接口子网范围外是是

接口源NAT –接口DIP 是是

超额开通的NAT 地址池，可在地址池耗尽时回退到PAT 是是

对称NAT 是是

在NAT 池中分配多个范围是是

面向物理端口的代理ARP 是是

支持环回组的源NAT –DIP 环回组是是

用户验证和接入控制

内置的（内部）数据库是是RADIUS 记账是是

基于Web的身份验证是是

UAC 执行点是是

公共密钥基础架构(PKI) 支持

PKI 证书要求（PKCS 7 和PKCS 10）是是

自动证书登记(SCEP) 是是

支持证书颁发机构是是

自签署的证书是是

虚拟化

最大安全区数量256256

最大虚拟路由器数量256256

每个接口支持的最大VLAN 数量4,0964,096

最大L3 子接口数量16,384616,3846

路由

BGP 实例128128

BGP 对等体2,0002,000 BGP 路由1,000,00071,000,0007 OSPF 实例256256 OSPF 路由1,000,00071,000,0007 RIP v1/v2 实例5050

RIP v2 路由表的规模30,00030,000

动态路由是是

静态路由是是

基于过滤器进行转发(FBF)是是

等成本多路径(ECMP)是是

反向路径转发(RPF)是是

多播是是

IPv6

防火墙/无状态过滤器是是

IPv4/IPv6双栈防火墙是是

RIPng是是

BFD, BGP是是

ICMPv6是是

OSPFv3是是

Co S是是

6 在高可用性配置中最多支持1000个L3子接口。

7 建议的最大B GP和OSP F路由数量为100000。

S RX3400S RX3600运行模式

L2（透明）模式是是

L3（路由和/或NAT）模式是是

IP 地址分配

静态是是

动态主机配置协议(DHCP) 是是

内部DHCP 服务器是是DHCP 中继是是

流量管理Qo S

最大带宽是是

IPv4 中的RFC2474 IP Di Serv 是是

面向CoS 的过滤器是是

分类是是

调度是是

整形是是

智能丢弃机制(WRED)是是

三级调度是是

面向每级调度的加权循环是是

路由协议的优先级分配是是

高可用性

主用/备用、主用/主用是是

低影响的设备库更新是是

配置同步是是

防火墙和IPsec VPN 的会话同步是是

用于路由更改的会话故障切换是是

设备故障检测是是

链路和上行故障检测是是

接口链路聚合/LACP 是是

冗余的数据和控制链路* 是是

管理

WebUI（H TTP 和HTTPS）是是

命令行接口（控制台）是是

命令行接口（远程登录）是是

命令行接口(SSH) 是是

Netw ork and Secu rity Manag er 软件2008.2 版本或更高版本是是

管理员

本地管理员数据库支持是是

外部管理员数据库支持是是

受限制的管理网络是是

根管理员、管理员和只读用户级别是是

软件升级是是

配置回退是是

* 为了支持SR X3000上的双控制链路，SR X3000 CRM模块必须安装在每个集群成员上。

日志记录/监控

结构化系统日志是是SNMP (v2/v3)是是T r ac er out e是是外观尺寸和电源

尺寸(W x H x D) 17.5 x 5.25 x 25.5 in

(44.5 x 13.3 x 64.8cm)重量机箱：32.3磅（14.7千克）满

配：75磅（34.1千克）17.5 x 8.75 x 25.5 in

(44.5 x 22.2 x 64.8cm) 机箱：43.6磅（19.8千克）满配：115.7磅（52.6千克）

电源(AC) 100 至240V AC 100至240V A C 电源(DC)-40 至-72V DC -40 至-72V DC

最大功耗1,100W（AC电源）

1,050W（DC电源）1,750W（AC电源）1,850W（DC电源）

12

认证

安全性认证

是 是 电磁兼容性 (EMC) 认证 是 是

R6: 3GPP TS 29.060 version 6.21.0

是是

R7: 3GPP TS 29.060 version 7.3.0

是 是 R8: 3GPP TS 29.060 version 8.3.0

是

是

运行环境

运行温度

* 运行Junos OS 10.0和更高版本的S R X3000系列网关支持R 6、R7和R 8版本的3GP P TS 20.060，但以下是一些例外的情况（S R X3000系列不提供支持）：

- Section 7.5A Multi m edi a B roadcast and Mul ti cast S ervi ces (MB MS ) messa g es - Section 7,5B Mobil e St at ion (MS) i nfo change messa g es - Section 7.3.12 Initi at e secondary P DP cont ext fro m GGS N