Copyright © 2015 Juniper Networks, Inc.1
最新セキュリティサーベイからみる
トレンドと解決策
2015年6月10日
ジュニパーネットワークス株式会社
技術統括本部 シニア・システムズ・エンジニア
川名 清太

Copyright © 2015 Juniper Networks, Inc.2 Copyright © 2015 Juniper Networks, Inc.
はじめに
• 本資料にあるロードマップの内容は、資料作成時点における
ジュニパーネットワークスの予定を示したものであり、事前の通告無しに
内容が変更されることがあります。
• またロードマップに描かれている機能や構成は、購入時の条件になりません
ので、ご注意ください。
Legal
Disclaimer:
This
statement
of
product
direc7on
(formerly
called“roadmap”)
sets
forth
Juniper
Networks'
current
inten7on,
and
is
subject
to
change
at
any
7me
without
no7ce.
No
purchases
are
con7ngent
upon
Juniper
Networks
delivering
any
feature
or
func7onality
depicted
on
this
statement.

Copyright © 2015 Juniper Networks, Inc.3
会社紹介

Copyright © 2015 Juniper Networks, Inc.4
ジュニパーネットワークスの会社概要
! 設⽴立立 1996年年2⽉月
! 本社所在地 アメリカ合衆国カリフォルニア州サニーベール市
! CEO ラミー・ラヒム
! 事業概要 ネットワーク機器
（ルータ、スイッチ、ファイアウォール等)の製造・販売
! 従業員数 9,600名+
! 売上⾼高 47億⽶米ドル(2014年年度度実績)
ジュニパーネットワークス株式会社
• 設⽴立立 1999年年3⽉月
• 所在地 東京都新宿区⻄西新宿3-‐‑‒20-‐‑‒2
東京オペラシティタワー45F
• 代表取締役社⻑⾧長 古屋 知弘
• 従業員数 130名

Copyright © 2015 Juniper Networks, Inc.5
ジュニパーネットワークスの戦略略
ルーティング・スイッチング・セキュリティの三本柱でNW業界を牽引
⼀一元化した
インテリジェンス
& コントロール
スイッチングルーティング セキュリティ
シリコン システム ソフトウェア

Copyright © 2015 Juniper Networks, Inc.6
セキュリティコンサルタント会社RANDとの協業
RANDとジュニパーが協力して今後10年のセキュリティトレンドを調査

Copyright © 2015 Juniper Networks, Inc.7
ガードナー社は、2016年までに、パブリック
クラウドのインフラは、アメリカ政府より、
厳格な管理とセキュリティが要求されると
発表しています。
10%
100%
10%のVPN/FWマーケットは、
2015年までに仮想アプライアン
スベースで展開されるでしょう。
20%の全てのITセキュリティ製
品は、2015年までに、クラウド
を利用することになるでしょう。
クラウドに配備・展開される
資産及びサービス、全てに
対して、最適化されたセキュリ
ティが要求されるでしょう。
20
20%
セキュリティ・マーケットトレンド
10
100

Copyright © 2015 Juniper Networks, Inc.8
0%
20%
40%
60%
80%
75%
74%
74%
73%
71%
69%
68%
67%
65%
60%
仮想アプライアンスへの要望
Improve
performance
of
virtual
infrastructure
Decrease
cost
of
deploying
security
Consistent
security
across
virtual
&
non-­‐virtual
environments
Maintain
secure
server
configuraGon
Increase
manageability
of
security
Prevent
inter-­‐virtual
machine
aKacks
Prevent
new
threats
that
are
specific
to
virtual
environments
Add
an
addiGonal
layer
of
security
Gain
visibility
into
virtual
infrastructure
Need
security
soluGons
compaGble
with
SDN
rollout
1.
パフォーマンス
2.
コスト削減
3.
中央管理
データセンターセキュリティへの要望
Protect
virtualized
servers
Deploy
soluGons
supporGng
more
total
and
concurrent
sessions
Regulatory
requirements
Add
new
threat
protecGon
technologies
Upgrade
security
products
to
match
network
performance
Upgrade
to
high
speed
network
interfaces
on
security
appliances
Prevent
new
DDoS
aKacks
Need
to
increase
mulG-­‐funcGon
security
performance
Consolidate
security
technologies
into
fewer
plaTorms
Move
to
cloud/hybrid-­‐cloud
architecture
Environmental
concerns
Add
support
for
IPv6
Need
security
soluGons
compaGble
with
SDN
rollout
0%
20%
40%
60%
80%
78%
77%
74%
73%
70%
69%
68%
63%
62%
61%
3. コンプライアンス
59%
57%
60%
2. パフォーマンス
1. セキュリティ
InfoneGcs
Research,
2014
セキュリティ・マーケットトレンド
NOTE:
This
graph
only
reflects
the
percentage
of
respondents
who
gave
a
raGng
of
6
or
7
(1
means
not
a
driver,
7
means
definitely
a
driver)

Copyright © 2015 Juniper Networks, Inc.9
vSRXのご紹介

Copyright © 2015 Juniper Networks, Inc.10
vSRX 製品概要
アドバンスセキュリティサービス
UTM機能(IPS/Full
AnG-­‐virus/AnG-­‐spam/Web-­‐filtering/Content-­‐
filtering)
APPSecure2.0
高性能ルーティングとネットワークキャパシティ
Junos
OSをベースにした各種VPNコネクションやルーティング機能を提供
フル・ステートフルファイヤウォール
仮想マシーン版SRX、仮想環境・プライベート環境・ハイブリット環境へファイヤウォールを提供、A/
A・A/PのHAをサポート、マルチプラットホームサポート(VMware/KVMなど)

Copyright © 2015 Juniper Networks, Inc.11
仮想アプライアンス版SRX -‐‑‒ vSRX
Junos
ルーティングプロトコル・SDK
Junos
高性能・高拡張性セキュリティスタック
Firewall
VPN
NAT
Rou7ng
An7-­‐Virus
IDP
Web
Filtering
An7-­‐Spam
AppID
AppFW
AppQoS
AppTrack
Junos
Space
–
Security
Director
&
Virtual
Director,
CLI,
JWEB,
SNMP,
HA/FT
ベースセキュリティ
コンテンツ
セキュリティ
アプリケーション
セキュリティ

Copyright © 2015 Juniper Networks, Inc.12
vSRX スケール・パフォーマンスマトリックス
(2015年5月現在)
Firewall
(UDP
1514B
puts)
4.6
Gbps
3.6
Gbps
Firewall
(IMIX)
1.1
Gbps
221
Mbps
Firewall
Ramp
Rate
(TCP)
22K
CPS
9K
CPS
Firewall
Latency
(512B
UDP)
107
Micro
Sec
114
Micro
Sec
Firewall
IPv6
(UDP
512B
pkts)
1.46
Gbps
374
Mbps
NAT
(UDP
1514B
pkts)
4.4
Gbps
981
Mbps
NAT
(IMIX)
1.1
Gbps
218
Mbps
NAT
Ramp
Rate
(TCP)
19K
CPS
8K
CPS
IPSec
(3DES+SHA1,
1514B)
294
Mbps
195
Mbps
IPSec
(3DES+SHA1,
IMIX)
132
Mbps
99
Mbps
IPSec
(3DES+SHA1,
64B)
50
Mbps
25
Mbps
IKE
Rate
(3DES+SHA1,V1
or
2)
71
Tunnels/Sec
48
Tunnels/Sec
EWF
(44KB
File)
251
Mbps
(650
CPS
Load)
62
Mbps
(160
CPS
Load)
SAV
(Allscan
44KB
File)
280
Mbps
(720
CPS
Load)
116
Mbps
(300
CPS
Load)
HTTP
Throughput2
(Response
Content
–
44KB
File)
740
Mbps
385
Mbps
HTTP
CPS2
(Response
Content
–
64
bytes)
3000
CPS
2000
CPS
Performance1
VMware
KVM
1Reference
plaTorm
for
performance:
Dell
PowerEdge
R820,
ESXI
5.1,
24
Cores,
2.899
Ghz
CPUs
2IDP
Performance
is
based
on
default
recommended
IDP
policy
1024
Max
Addresses/Address-­‐set
256K
Max
Firewall
Sessions
256K
Max
Pat
Sessions
(Source
NAT
with
PAT)
8K
MAC/ARP
Table
Size
2GB
vRAM
Required/Instance
10
Max
vNICs/Instance
128
Max
Zones
128
Max
Address
Books
10240
Max
Policies
128
Max
Policies
with
Count
1024
Max
Applica7ons/Policy
4K
Max
VLANS
160K
Max
OSPF
Routes
2
vCPUs
Required/Instance
Max
VRs
Supported
5
IDP
Session
Scaling2
32K
Scale
VMware
&
KVM

Copyright © 2015 Juniper Networks, Inc.13
3. サーバ構成 其の参
2. サーバ構成 其の弐
1. サーバ構成 其の壱
vSRX マシーン密度度マトリックス
vSRX
インスタンス/サーバ数1
25
vSRX
仮想マシーン
100
vSRX
仮想マシーン
(@
~
25Mbps)
500
vSRX
仮想マシーン3
(@
~
25Mbps)
8
Cores
@
2.66
GHz
64
GB
RAM
2
x
10G
NICs
40
Cores
@
2.393
GHz
256
GB
RAM
4
x
10G
NICs
ホットプラグノードx4
の2Uサーバ2
80
Cores
@
2.8
GHz
512
GB
RAM
(x4)
2
x
10G
NICs
(x4)
1This
is
a
funcGon
of
network
I/O,
memory
and
CPU)
2SuperMicro
2027TR
3This
server
is
~$40K
which
translates
to
$80
per
subscriber
for
iniGal
server
cost

Copyright © 2015 Juniper Networks, Inc.14
vSRX 価格モデル
年間契約ライセンス
MSSPモデルに最適化された価格モデル
買い切りライセンス
価格の柔軟性
! ライセンスは、買い切り
! 買い切りライセンスの約22%がサポートメン
テナンス費用として必要となる
! VM毎に最小構成で2コア必要となる
! vSRX一つのサポートメンテナンス費用は、年
間40,040円
! vSRX一つのライセンス費用は、182,000円
! 年単位での契約ライセンス
! 年間契約でのライセンスには、サポートメンテ
ナンス費用が含まれる
! VM毎に最小構成で2コア必要となる
! vSRX一つのサポートメンテナンス費用は、年
間契約ライセンスに含まれる
! vSRX一つの年間契約ライセンス費用は、
85,800円
この資料に記載されている価格に関しては、参考価格であり、価格を拘束するものではありません。

Copyright © 2015 Juniper Networks, Inc.15
1TB FWのご紹介

Copyright © 2015 Juniper Networks, Inc.16
キャリア・クラウド事業者にて実績多数
SRX5000シリーズサービスゲートウェイ
高帯域・低遅延が要求される環境対応モデル
業界最高クラスのセキュリティ
業界最高クラスのパフォーマンス性能

Copyright © 2015 Juniper Networks, Inc.17
SRX 40G/100Gインタフェース
高帯域をサポートするインタフェースラインナップ
業界初40G/100Gインタフェースを搭載したFW
商用初の100GインタフェースFW実績
100Gインタフェース

Copyright © 2015 Juniper Networks, Inc.18
SRXエクスプレス・パス概要
超低遅延を実現する技術
Express path data pathFast data pathFirst packet path
NG -SPC
NG -SPCSCB 1
NG -IOC
Traffic
10 x100 G
+
4x40G
+
4x10 G
=
1200 G
=
1.2 Tbps
NG -IOC
NG-IOC
100 /40 /10 G/1G
MIC
100/40/10G/1G
MIC
XF
1x100 G or
2x40 G or
10 x10 G LU
LU
SCB 0 NG-SPC
CP
SPU
SPU
SPU
LU
LU
XM
Security Services Offloaded from SPU to IOC
First packet " Fast data path " Express (hardware fast) path

Copyright © 2015 Juniper Networks, Inc.19
10Gbps
@
64byte
line
rate
~14MPPS
1xSPCII
Hardware
Pricelist
Qty
Subtotal
SRX5400E-­‐B1-­‐AC
$180,000.00
1
$180,000.00
TOTAL
$180,000.00
10Gbps
@
64byte
line
rate
~14MPPS
3xSPCII
Hardware
Pricelist
Qty
Subtotal
SRX5600BASE-­‐HC-­‐AC
$65,000.00
1
$65,000.00
SRX5K-­‐SPC-­‐4-­‐15-­‐320
$100,000.00
3
$300,000.00
SRX5K-­‐MPC
$89,500.00
1
$89,500.00
SRX-­‐MIC-­‐10XG-­‐SFPP
$45,000.00
1
$45,000.00
TOTAL
$499,500.00
⾦金金融取引環境での利利⽤用事例例
証券会社A
コンテンツプロバイダー コンテンツプロバイダー コンテンツプロバイダー
金融サービス・プロバイダー
SRX
証券会社B
SRX
証券会社C
SRX
金融取引アプリケーションのセキュリティ
に適合
パケットパスの遅延を7-9マイクロ秒以内
に抑える
64バイト10Gラインレートサポート
14MPPSが要求事項
コンプライアンスのために、IPSなどの
レイヤ7のサービスは、SPCで有効化

Copyright © 2015 Juniper Networks, Inc.20
100G/40Gbps エレファント・フローの利利⽤用事例例
10G/ 40G/ 100G リンク
サイト/キャンパスLAN
データ転送クラスター
(DTC)
SRX
プロジェクトY
DTN
プロジェクトX
データ転送ノード
(DTN)
研究機関DMZ スイッチ/ルータ
エリア・ボーダールータ エンタプライズ・ボーダーFW
サイト/キャンパスは、
研究機関のDMZリ
ソースへ
アクセス
10G/ 40G/ 100G リンク
ハイパフォーマンスが要求される研究機
関のアプリケーションセキュリティに適合
100G/40G シングル・エレファント・フロー
DTN/DTC用のラージTCPフローデータ
コストパフォーマンスが求められる
100Gbps
Large
Packet
3xSPCII
Hardware
Pricelist
Qty
Subtotal
SRX5600BASE-­‐HC-­‐AC
$65,000.00
1
$65,000.00
SRX5K-­‐SPC-­‐4-­‐15-­‐320
$100,000.00
3
$300,000.00
SRX5K-­‐MPC
$89,500.00
1
$89,500.00
SRX-­‐MIC-­‐10XG-­‐SFPP
$45,000.00
1
$45,000.00
TOTAL
$499,500.00
100Gbps
Large
Packet
1xSPCII
Hardware
Pricelist
Qty
Subtotal
SRX5400E-­‐B1-­‐AC
$180,000.00
1
$180,000.00
TOTAL
$180,000.00

Copyright © 2015 Juniper Networks, Inc.21
エクスプレス・パス パフォーマンス
SRX5400
SRX5600
SRX5800
Normal
Mode
FW
Perf
Max
(G)
64
137
320
Express
Path
(SOF)
FW
Perf
Max
(G)
240
480
1200
0
200
400
600
800
1000
1200
1400
Max
Throughput
(G
)
エクスプレスパス無効(左)・有効化(右)のパフォーマンス比較

Copyright © 2015 Juniper Networks, Inc.22
エクスプレス・パス パフォーマンス
! システムの最大パフォーマンスを計測するには、Inter-PFE(Inter-IOC)のトラフィックパターンが適している。
! L7レベルの検知・遮断、ALGなどのアドバンスセキュリティは、どの顧客にも必ず要求される事項ではない。
60G 60G 60G60G
100G
100G
100G
100G

Copyright © 2015 Juniper Networks, Inc.23
IOC2を利利⽤用したエクスプレス・パスの遅延測定
@50%
@50%
@50%
64B
512B
1514B
Inter-­‐PFE
Latency
(Between
2x100G
IOCII)
15
17
17.8
15
17
17.8
13.5
14
14.5
15
15.5
16
16.5
17
17.5
18
18.5
Latency
in
microseconds
Inter-­‐PFE(PFE外部折り返し)
遅延 ：
100G-­‐MIC
2x
IOC2
@50%
@90%
@50%
@90%
@50%
@90%
64B
512B
1514B
Intra-­‐PFE
Latency
(with
1xIOCII)
7
7.4
7
8.5
7.5
9.5
7
7.4
7
8.5
7.5
9.5
0
1
2
3
4
5
6
7
8
9
10
Latency
in
microseconds
Intra-­‐PFE
(PFE内部折り返し)遅延：100G-­‐MIC
1xIOC2
*1セッションでテストを実施

Copyright © 2015 Juniper Networks, Inc.24 Copyright © 2015 Juniper Networks, Inc.
時代は、1TBから2TBFWへ
ハイパフォーマンスセキュリティリーダーとして
• RSAカンファレンス2015にて、IXIA様協力の元、次世代IOCを利用し、
2TBFWライブデモンストレーションを実施
https://www.youtube.com/watch?v=D3w0XN2SzSA

Copyright © 2015 Juniper Networks, Inc.25
vSRX・SRX5k活⽤用事例例

Copyright © 2015 Juniper Networks, Inc.26
vSRX：パブリッククラウド活⽤用例例
パブリッククラウド個別環境:
企業Aクラウド
vSRX
VM
個別クラウドのGW
VM
App
Server
VM
Web
Server
VM
DB
Server
VM
Other
Server
企業 Aクラウド
企業Bクラウド
企業Cクラウド
パブリッククラウド
企業B
企業A
企業C
IPSec
VPN
SRX240
インターネットへ
App
Server
DB
Server
企業A
社内
ITインフラ

Copyright © 2015 Juniper Networks, Inc.27
SRX5000:データセンターでの活⽤用例例
データセンター
インターネット
SRX5600
・高帯域100Gインタフェース搭載
・インターネット境界FWとして
・IPSecのハブとして
SRX5800
・高帯域40G/100Gインタフェース搭載
・ファブリック内の低遅延FWとして
・トリプル9の安定実績

Copyright © 2015 Juniper Networks, Inc.28
ジュニパーは今後も、ハイパフォーマンス
FWを提供し続けます
本⽇日の重要ポイント
10年後でも陳腐化しないセキュリティ技術を磨いて
仮想環境においてもvSRXで高度な防御を
2TBFWでノンブロッキングなフロー処理を
vSRX

Copyright © 2015 Juniper Networks, Inc.29
THE
POWER
OF
A
CONNECTED
WORLD
CONNECT EVERYTHING. EMPOWER EVERYONE.