Juniper与cisco产品比较

随着安全思想不断深入，和安全形势的不断变化，内网安全成为市场讨论的热点，而作为能有效解决内网安全的桌面准入技术，自然成为安全厂商竞相投入大批人力物力的方向，因而现有桌面准入市场的产品层出不穷，如何挑选合适的桌面准入产品成为信息管理人员的一个难题，撰写本文的目的，就是以本人的角度，谈谈我对桌面准入产品的理解，希望对大家有所帮助，欢迎大家讨论。

安全准入的思想首先有cisco提出，而后得到全球范围内IT厂商的一致相应，进而各大厂商也竞相推出自己的安全准入产品，具体分类如下：1网络设备厂商：CISCO NAC H3C EAD HUAWEI SECOSPACE JUNIPER2信息提供商：microsoft NAP synamtic SEP3桌面管理提供商landesk北信源联软宝信盈高本文讨论的范畴亦在上述产品中。

其他产品不在本文讨论访问内下面先给出实现安全准入的常见手段：1 802.1x技术（内嵌agent）----在支持802.1x认证的网络设备上，使用EAP OVER LAN协议，对client的身份做验证，来确保进入授信网络的主机可信性。

此种实现方式，准入强度最高，但是对接入层设备要求有对802.1x支持能力，同时对不支持802.1x条件下的设备，用户控制力度较弱。

同时传统的802.1x技术，无法对终端做安全状况的检查。

只是实现对用户身份验证。

2 AGENT+802.1x技术-----在支持802.1x认证的网络设备上，使用EAP OVER LAN协议，传递数据到radius，对终端的身份做验证，用户身份得到验证同时，通过agent传送终端的安全状况的信息到posture终端安全管理中心，检查终端安全状况是否符合要求，只允许同时符合身份验证和安全可信的终端接入到授信网络中。

此种实现方式：准入强度最高，同时结合终端安全信息检查的功能，是现有技术最成熟的实现方式，3 cisco NAC技术--------cisco NAC技术准确的来说是技术集合，从现有的情况来看，包括传统的NAC技术---NAC framework和新兴的NAC技术----NAC applianceNAC framework技术----A 802.1x技术-----特指支持802.1x的cisco所有设备使用cisco CTA agent+802.1x可实现第2点的所用功能。

CISCO GSR与Juniper骨干路由器比较CISCO 千兆交换路由器(GSR)体系结构Cisco 12012 全交换总线结构CISCO GSR仍然是基于对传统路由器的改进，增强了路由器处理器（RP）和增加了专用的ASIC接口处理器。

采用接口分布式处理和单一（或冗余）的CPU处理，仍然基于总线结构。

GSR 接口卡GSR 路由处理器采用RISC 处理器：IDT R5000 Reduced Instruction Set Computing (RISC) processor used for the CPU. The CPU runs at an external bus clock speed of 100 MHz and an internal clock speed of 200 MHz.配置内存包括：DRAMM—Up to 256 megabytes (MB) of parity-protected, extended data output (EDO) dynamic random-access memory (DRAM) on two, 60-nanosecond (ns), dual in-line memory modules (DIMMs). 128 MB of DRAM is the minimum shipping configuration for the GRP.SRAM—512 kilobytes (KB) of static random-access memory (SRAM) for secondary CPU cache memory functions. (SRAM is not user configurable or field upgradeable.)NVRAM—512 KB of nonvolatile RAM (NVRAM). (NVRAM is not user configurable or field upgradeable.)Memory—Most of the additional memory components used by the system, including onboard Flash memory and up to two Personal Computer Memory Card International Association (PCMCIA)-based Flash memory cards.Juniper骨干路由器体系结构体系结构两个关键部件：Packet Forwarding Engine (PFE)、Routing Engine，, which are connected via a 100-Mbps link._ PFE完成分组的转发，包括Flexible PIC Concentrators (FPCs), physical interface cards (PICs), System Control Board (SCB), and state-of-the-art ASICs._ Routing Engine维护路由表，控制路由选择协议。

销售一指禅――Juniper EX 系列交换机产品优势针对目前上市销售的juniper EX 3200和EX 4200系列交换机，具备如下产品优势：1、成熟稳定先进的模块化JUNOS操作系统基于统一的JUNOS操作系统，继承近10年成熟稳定的JUNOS软件平台以及不断积累的研发技术。

长期有效的支持体系，充分发挥和保护用户投资。

2、全系列均为线速转发Juniper EX全系列产品均为全线速转发，无阻塞的结构设计充分发挥业务能力，而不存在能力缺陷和网络瓶颈。

3、支持灵活的POE选配在千兆三层交换机这个层面，区别于其他厂家设备，Juniper全系列产品均支持POE功能，从8端口、24端口、48端口POE可选配置。

提供用户灵活的选择。

特别是8端口POE在小型分支办公环境，能够充分满足用户多功能的需求。

4、友好的图形化网元管理工具基于HTTP方式的J-WEB图形化网元管理工具，提供了一种方便快捷的设备面板试图、配置管理、故障管理、性能监控、诊断排障的手段，对于EX 3200/EX 4200这种接入汇聚层交换机产品，更利于网管维护人员的友好使用。

比其他厂家产品更加突出的特色和卖点。

5、全面的路由协议支持基于JUNOS操作系统，Juniper EX全系列交换机标准配置就支持例如OSPF等动态路由功能，而不像cisco、H3C等厂家分标准版和增强版，标准版配置不支持动态路由功能。

6、冗余及模块化电源、增强型风扇电源冗余提高设备可靠性，模块化设计便于维修更换，不用整机RMA。

增强型风扇采用模块化设计，便于清洗维修，电源模块自带散热风扇外，专门设计的模块化增强型风扇更利于整机散热。

Juniper EX交换机侧进风后出风的设计区别部分其他厂商产品侧进风侧出风设计，更利于在IDC密集排列的机柜中使用。

7、绿色以太网支持同等密度端口POE供电情况下，比其他厂家设备更节能省电，还可以通过配置实现可选端口的供电输出，从而更高效省电。

国内常见网络设备厂商分析（Cisco、Juniper、H3C、华为、中兴、神码、锐捷、迈普等）国内常见网络设备提供商分析:得益于国家对信息化建设的大力投入，国内网络市场非常繁荣，目前市场中有着数量众多的网络设备提供商，常见的厂商包括：思科（CISCO ），瞻博网络（Juniper ）、华三通信（H3C）、Force 10、博科（Brocade）、Exterme、HP Procuve、华为、中兴、迈普、博达、神州数码、锐捷、D-LINK、TP-LINK、联想、NetGear、华硕、TCL、腾达、金星等。

针对这些常见的网络设备厂商，根据厂商实力、技术研发实力、服务能力等，进行简单的分析：第一梯队：思科（cisco）、瞻博网络（Juniper ）、华三通信（H3C）在网络设备厂商中，思科、瞻博、华三是目前市场上的最主流供应商，三家厂商各有擅长，在各自领域内都有非常出色的业绩。

思科（CISCO）网络通信业龙头老大思科作为一家传统的网络通信产品供应商，占据了全球60%以上的网络设备份额，其产品做工精良、运行稳定，在网设备最长记录为12 年，是当之无愧的网络通信老大。

优势：全球第一批网络厂商，和施乐、3COM 等以太网始祖为同一时代公司，技术积累深厚，对行业理解深刻，引领技术潮流，产品技术过硬；劣势：在国内不提供原厂服务（在北美和欧洲都是提供原厂服务），全部依靠渠道完成服务交付；设备价格高，基本为国内最高价格，性价比不足。

瞻博网络（Juniper ）Juniper 为思科部分员工离开后创办的网络通信公司，具有良好的市场口碑和技术品牌，在行业内突出的产品不是其网络设备而是安全设备，号称全球技术最先进，其实Juniper 的网络产品在全球骨干都拥有非常大的份额，约35%的骨干路由器为Juniper 提供，国内很多厂家也通过OEM 方式销售Juniper 路由器，其交换机产品线为新推出，正在加强对企业网的投入，意图获取更多份额；优势：良好的技术品牌和口碑，相对而言，产品线较全；劣势：在国内没有原厂服务，国内渠道资源不足，在产品及服务交付方面存在较大缺陷；华三通信（H3C）H3C 前身为华为和3C0M 合资公司，主打企业网网络通信，主推企业网解决方案，其企业网建设理念IToIP 经过多年实践，逐步完善并被客户接受，被后续厂商所追随，其产品紧紧围绕企业网应用，对行业理解深刻，产品满足度高，相比第一梯队的其他两家，产品线的完整性、产品稳定性可靠性与思科媲美，提供覆盖全国的服务网络和完善的备件体系，在国内用户具有良好的口碑，在Government、公共事业、大企业、运营商等都拥有大量应用案例，占据国内企业网市场的40%的第一份额，是思科在国内的最大竞争对手。

防火墙竞争比较Juniper 网络公司安全市场竞争格局–各类安全厂商的议程定位•防火墙/IPSec VPN竞争情况回顾•Cisco，Check Point，Fortinet•国产厂家（如天融信）安全市场格局–主要产品系列定位防火墙厂商•第1级= Cisco，Check Point•第2级= Fortinet, WatchGuard，SonicWALL•特定市场参与者= Secure Computing，CyberGuard，Lucent Brick•综合性公司= ISS M-series，Symantec5400 series•应用防火墙= Sanctum，Teros，Netcontinuum，Magnifire，Kavado•大型设备厂商= Cosine，Inkra，Crossbeam，安全市场竞争格局–各类安全厂商的议程定位•防火墙/IPSec VPN竞争情况回顾•Cisco•Check Point,•Fortinet•天融信如何针对Cisco进行全面定位卖点•使购买决策成为安全决策•向安全人员销售－让他们帮助说服管理层•向网络管理人员销售－强调强大的网络集成功能，和安全部署简便性及安全管理简便性的重要性•着重强调安全管理的重要性－配置和事件分析/事件响应–这是Cisco安全解决方案的重大弱点•性能至关重要•在负载情况下提供强劲的、可预测的性能•可靠性和可扩展性SOHO 中小企业服务供应商成本千兆接口PIX 535PIX 506EPIX 515EPIX 525大企业远程办事处分支办事处PIX 501管理(Cisco VMS)功能是没有集成、杂乱无章的功能集合没有应用层攻击防护（PIX 不带AIP SSM 模块）•仅有带基本网络层拒绝服务攻击防护功能的状态检测接入控制(MailGuard －阻止特定命令（expn, vrfy ）的SMTP 命令是最小的)•无特征升级，无法自定义特征•不基于策略实现入侵防护，而是基于接口，非常原始多年前开发的老式PC 体系结构•负载情况下性能和稳定性会降低•时延和拙劣的小数据包处理性能会影响VoIP 和其它对性能敏感的应用的可用性 产品系列缺乏创新缺少关键的安全功能：•没有逻辑安全区划分•没有防病毒功能；嵌入式或网关重新定向缺少先进的VPN 功能：•不支持基于路由的VPN •没有冗余VPN 网关•很低的3DES 性能墙•ASA防DoS和DDoS功能很弱，只有简单的基于接口的Per-client Connection Limits•Juniper有基于syn cookie的Tcp Syn-flooding保护功能•有基于源IP和目的IP的会话数限制•Juniper有30多种防攻击的机制，并且很多防护是由ASIC硬件实现，不占用cpu资源缺少关键的网络集成功能：•不支持BGP•不支持多接口的ECMP功能 一定要在主动的设备上修改配置才能实现配置自动同步，Juniper在主动和被动的设备上修改配置都可以自动同步透明模式下只能用2个接口，juniper透明模式下可以用多个接口和安全区透明模式不支持QoS透明模式不支持Trunk穿越接口最多14个，Vlan最多150个墙•ASACatalyst 6500机箱的模块PIX 7.1的主要特性高性能防火墙，为5Gbps100万条并发连接3Mpps每秒100K条新连接100个VLAN主用/备用LAN故障切换(机箱间/内)动态路由，即OSPF在机箱中支持多个blade –多达4个支持128K 规则集不提供应用层攻击保护支持基于Native IOS & CatOS的CatalystCatalyst FWSM 的问题每块FWSM 运行自己的独立操作系统和管理界面－进一步增加了复杂性和出现配置错误的可能性 没有安全区功能-不能提供逻辑安全区划分应用“fix-up”会大大降低性能(Cisco 用“fix up”指ALG) 没有任何VPN 功能没有应用层攻击防护拙劣的管理和设计集成意味着更高的TCO 和更多的配置挑战（与Juniper 网络公司NetScreen 解决方案相比） 安全性与Catalyst 交换机的配置及操作系统密切相关 浪费了MSFC 模块 查错困难Cisco Systems•PIX ¾FWSM•IOS 路由器防火墙•ASA针对PIX/FWSM 的销售战略Juniper 网络公司的NetScreen 解决方案系列可以提供更全面的一流安全功能（DDoS 攻击、入侵防护）、强劲而可预测的高性能以及Web 单机管理、和集中安全管理 功能、性能领先硬件加速的集成防火墙、VPN 和网络层应用层攻击保护•即使在高负载情况下也可提供强劲的、可预测的高性能•强大的防火墙和VPN 功能－VPN 不是一个简单的附加式加速器卡可扩展的应用层攻击保护 管理界面友好•FWSM•IOS 路由器防火墙•ASA成本ASA5510300Mbps ASA5520450MbpsASA5540650MbpsASA55501.2GbpsASA 防火墙的问题拼凑的操作系统-PIX ，VPN3000，IPS42xx ，等等，管理界面没有完全整合 没有千兆吞吐每个功能模块都比较弱：•AIP SSM 采用的是Cisco 第一代的IPS （Cisco 以前只有IDS ）, 特征库少(700个左右)而且检测机制只有一种，响应机制只有3种，而IDP 有3600+特征库，DI 有700+个，IDP 检测机制有8种，响应机制有7种•只能插一块应用层保护模块，即CSC SSM 和AIP SSM 只能选一个，不能同时实现入侵防护和防病毒•ASA5550不能插安全模块•FWSM•IOS 路由器防火墙¾ASA安全市场竞争格局-各类安全厂商的议程定位•防火墙/IPSec VPN竞争情况回顾•Cisco•Check Point•Fortinet•天融信如何针对Check Point进行全面定位NetScreen的主要优势：真正集成的专用防火墙和VPN安全设备安全性和基础平台的有效管理更简单的产品购买和支持流程(Check Point许可证流程的复杂性已是众所周知的事实)更广泛的安全解决方案–防火墙/VPN，使用面向从SOHO到大企业/运营商的产品，一流的专用IPS和最先进的远程接入VPN。

防火墙培训目录一、防火墙概念二、主流品牌防火墙的介绍、基本工作原理三、主流品牌防火墙常见组网方式及配置示例四、防火墙的维护2一、防火墙的概念1、防火墙的概念2、防火墙和路由器的差异3、防火墙的分类1、防火墙的概念随着Internet的日益普及，许多LAN（内部网络）已经直接可以接入Internet网络，这种开放式的网络同时带来了许多不安全的隐患。

在开放网络式的网络上，我们的周围存在着许多不能信任的计算机（包括在一个LAN之间），这些计算机对我们私有的一些敏感信息造成了很大的威胁。

在大厦的构造，防火墙被设计用来防止火从大厦的一部分传播到大厦的另外一部分。

我们所涉及的防火墙服务具有类似的目的：“防止Internet的危险传播到你的内部网络”。

现代的防火墙体系不应该只是一个“入口的屏障”，防火墙应该是几个网络的接入控制点，所有经过被防火墙保护的网络的数据流都应该首先经过防火墙，形成一个信息进入的关口，因此防火墙不但可以保护内部网络在Internet中的安全，同时可以保护若干主机在一个内部网络中的安全。

在每一个被防火墙分割的网络中，所有的计算机之间是被认为“可信任的”，它们之间的通信可以不受防火墙的干涉。

而在各个被防火墙分割的网络之间，必须按照防火墙规定的“策略”进行互相的访问。

简单的说，防火墙是保护一个网络免受“不信任”的网络的攻击，但是同时还必须允许两个网络之间可以进行合法的通信。

防火墙应该具有如下基本特征：经过防火墙保护的网络之间的通信必须都经过防火墙。

只有经过各种配置的策略验证过的合法数据包才可以通过防火墙。

防火墙本身必须具有很强的抗攻击、渗透能力。

防火墙可以保护内部网络的安全，可以使受保护的网络避免遭到外部网络的攻击。

硬件防火墙应该可以支持若干个网络接口，这些接口都是LAN 接口（如Ethernet 、Token Ring 、FDDI ），这些接口用来连接几个网络。

在这些网络中进行的连接都必须经过硬件防火墙，防火墙来控制这些连接，对连接进行验证、过滤。