プロキシ環境でも容易に導入可能エンタープライ …...WAN 帯域を保証し、ユーザ体感を改善します。© 2019 Juniper Networks Juniper Business Use

© 2019 Juniper Networks Juniper Business Use Only

プロキシ環境でも容易に導入可能エンタープライズSD-WANとは

2019年7月31日


デジタル時代の

企業ネットワークのトレンド


デジタル時代の企業ネットワークトレンド

Wi-Fi, BYODおよびIoTデバイスの増

加

クラウドを活用したアプリやコンテンツ

内部に侵入した

セキュリティ脅威のリスク

自動化による業務効率アップ

クラウド化する通信の最適化、業務効率、サイバーセキュリティの脅威、コスト効果・・・

3


企業ユーザが

クラウドを利用するにつれて、

顕在化し始めた課題と対策

© 2019 Juniper Networks Juniper Business Use Only5

クラウド導入後、アプリケーションの応答性が悪くなったり、ビデオ動画が止まったりしませんか？

1

優先度が高い動画アプリケーションのWAN帯域を保証し、ユーザ体感を改善します。


ユーザ属性とアプリを条件に業務を優先制御

プロキシ環境でも手間なく導入

アプリケーションを識別し、トラフィックを制御

クラウド利用時のユーザ体感品質を改善







アプリケーションの応答性が低下する要因

メールやアプリケーションサーバをクラウドに移行すると、インターネットやWANトラフィックを管理するサーバの負荷が増大。

オンプレサーバの時と比べて、クラウドサービスの応答性が遅くなる。

ユーザ体感品質の改善

ネットワークが遅い！

8


クラウドアプリケーションを識別して最適な経路にルーティング

A 拠点 B 拠点

本社

インターネットへの通信経路特定アプリへの通信経路

VPN トンネル

• Office365等のクラウドトラフィックをインターネットにオフロード


ネットワークが早くなった！

9







アプリケーションレイヤまで可視化およびコントロール

IN OUT

4,100種類以上のアプリケーションを定義済み

カスタムシグネチャにより、追跡可能なアプリケーションを可視化・制御

App Tracking

App QoS

App Firewall

App Routing

トラフィックの可視化

特定アプリケーションの経路変更

特定アプリケーションのブロック

特定アプリケーションにQoS適用



ビデオ動画や音声通話が品質劣化する要因

データがクラウドに移行すると、WANに流れ込むトラフィック量が増大し、タイムクリティカルなアプリケーションが影響を受ける。

VoIPやオンライン会議の音声品質が低下し、会話が聞き取り難くなる。


声が途切れて話が聞こえん！

12


リアルタイム性の高いアプリケーションを最優先させ、ユーザ体感を向上

WAN

高品質な音声通信

オンラインストレージ

ウェブ閲覧

オンライン会議

SRXシリーズ

出力キュー

`パケット廃棄率 Medium

パケット廃棄率 Low

パケット廃棄率 High

パケット廃棄優先度PLPが低いほど優先的に転送

High

Medium High

Medium Low

Low


良く聞こえるようになった！

13


AppQoSデモユーザ体感品質

の改善

14

PC

SRXパケットジェネレータ

帯域上限に近い通信量を送信

trustゾーン untrustゾーン

Skype通信

その他通信

Queue

帯域上限に近いトラフィックを送信し、Skypeビデオ映像の乱れを比較

PC

Queue 通信Packet Loss

Priority

AppQoS-

PLP

Skype Low

その他 high

パケットジェネレータ

その他通信

© 2019 Juniper Networks Juniper Business Use Only 15

AppQoSデモ

AppQoS デモ動画


ユーザベースのアプリケーション優先制御

16

ユーザ属性とアプリケーションを条件にポリシーを適用

16

Sales▪P2P, YouTubeはブロック

▪アンチウイルス有効

Finance▪P2Pはブロック

▪YouTubeは許可


CEO

▪全アプリ許可


▪Skype最優先

ADサーバ

AD連携








プロキシ環境におけるブレイクアウトの課題：クライアントのPACファイルやプロキシサーバのアドレス変更を伴う

IP-VPN

Office 365

インターネット

192.168.1.1 200.xxx.xxx.xxx

1. クライアントPCは Office365向け通信をプロキシサーバに送る（PAC情報に基づく）

2. ゲートウェイはアプリケーション（Office365）を判別

3. Office365 の宛先を192.168.1.1と認識してしまう

4. 192.168.1.1宛の通信がブレイクアウトされるが、

宛先経路がないため、通信が成立しない！

• プロキシ環境でブレイクアウトが失敗する例

SRX（ゲートウェイ）

18


IP-VPN

Office 365

192.168.1.1 200.xxx.xxx.xxx

SRX（ゲートウェイ）

19

1. クライアントPCは Office365向け通信をプロキシサーバに送る（PAC情報に基づく）

2. ゲートウェイはプロキシサーバ宛の通信をインターセプトし、アプリケーションを識別

3. ブレイクアウト対象ではないアプリは、既存のプロキシサーバと通信

4. ブレイクアウト対象のアプケーションは、ゲートウェイがプロキシサーバとして動作

インターネット

プロキシ環境における透過的なブレイクアウト：プロキシサーバ向けトラフィックから、ブレイクアウト対象の通信を識別する

• プロキシ環境であっても、ゲートウェイがブレイクアウト対象通信を識別し最適化する


Secure-Web-Proxy機能によるプロキシ環境でのオフロードユーザ体感品質

の改善

Secure-Web-Proxyの動作：:

✓ クライアントと本来のproxy serverとのTCPコネクションをインターセプトし、SRXで終端させる

✓ SRXは”HTTP connect request”の”Host” から宛先を確認し、DNSによる名前解決を行う

✓ SRXは該当サーバとのコネクションを確立し、サーバからのレスポンスをクライアントに送信する

✓ SRXはサーバとの接続に自身のIPアドレスを使用せず、クライアントのIPを使用する

プロキシ環境は意外と多いな・・・

20


HTTP/HTTPS通信のアクセスログ取得ユーザ体感品質の

改善

21

ユーザ名アクセス先 URLパス名（HTTPのみ）

HTTPS通信

HTTP通信

SRXは、HTTPS（SSL）の通信でもアクセス先（URL）とユーザ名をログ出力することが可能Web Proxyが無くても、証跡として利用可能


アプリケーションと利用ユーザを可視化ユーザ体感品質の

改善

22

Yahoo!

ユーザ名

アプリケーション名


XXX

23

23

ネットワーク運用とセキュリティ対策の管理負荷がコスト高になっていませんか？2

ネットワークからセキュリティまで、効率よく管理できます。


WAN, LAN, Wi-Fi を一元管理

セキュリティ対策は追加ハードウェアが不要

導入しやすいサブスクリプションモデル

WAN, LAN, Wi-Fiを一元管理し、セキュリティ対策を自動化







クラウドベースのマネージメントシステム：WANからLAN, Wi-Fiまで一元管理

ネットワークからセキュリティまで一元管理

26

可視化

• Wi-Fi の稼働状況および通信品質の可視化

• アプリケーションの可視化とトラフィックの制御

• ユーザ体感の最適化

一元管理

• NWデバイスの追加、操作、設定変更

• セキュリティ、スイッチ、およびWi-Fi の一元管理

• デバイスのモニタリングとレポーティング

セキュリティ

• 境界セキュリティと脅威対策


クラウドベースのマネージメントシステム：多拠点展開する機器の運用管理コストを軽減

管理設定

モニタリング

レポーティング

ZTP 設定管理（CPE, FW, LANスイッチ、Wi-Fi）

サイトマップトポロジー・アラーム管理

システム管理アプリケーション&NW脅威レポート


27


WiFi AP、クライアント情報の一元管理

クラウドベースのマネージメントシステム：Wi-Fi の稼働状況の可視化

・Mist との連携Mist Cloudのログイン情報を入力

・ Access Point、接続クライアントの一覧Mist Cloud より各接続情報を API により収集し、Sky Enterprise 上で確認可能


28


クラウドベースのマネージメントシステム：設定の簡素化


Template作成による簡単設定

29

・ Template作成必要な値を変数として設定

・ Bulk Updateからの設定投入値を入力しデバイスを指定することで、各機器への個別パラメータを設定また、複数デバイスへの一括設定も可能







入力出力

基本セキュリティ

脅威インテリジェンス

標的型攻撃対策

アプリケーションファイアウォール

UTM

統合脅威管理

• アプリの可視化と制御

• ユーザベースファイアウォール

• アンチウィルス、アンチスパム

• ウェブフィルタリング

• ファイアウォール

• VPN（IPSec, SSL VPN）, NAT

• ボットネット / C&C, GEO-IP

• カスタムフィード

• サンドボックス

• 回避型マルウェア防御

セキュリティ対策は、追加のハードウェアが一切不要

SRXセキュリティ

フローエンジンから

サービスモジュールへ

31







サブスクリプションモデルを可能にするマルチサービスプラットフォーム

Routing SwitchingSecurity

クラウドアプリの最適化• アプリケーションルーティング

• Office365対策等• アプリケーションベースQoS

• タイムクリティカルなアプリの優先制御

• AD連携

豊富なNW&セキュリティ機能• ルーティング、スイッチング

• BGP, OSPF, MPLS,

LTE

• セキュリティ（On-Box）• NGFW, UTM, IPS

• IPSec, SSL VPN

次世代脅威対策のセンサー• セキュリティ防衛ラインを突破した脅威を素早く検知

• 内部に侵入した脅威や感染したデバイスの通信をブロック• ターゲットになりやすい

IoTデバイスを監視

• ベーシックな機能を持つプラットフォームに、必要に応じライセンスを追加して機能拡張できる

33


豊富なネットワーク機能とセキュリティ機能 –必要に応じて選択

SRX 基本サービス

ファイアウォールVPN

（IPSec, SSL VPN）ルーティング（BGP, OSPF）

MPLS

NAT（アドレス変換）冗長化

クラスタリングOn Board GUI オートメーション

次世代ファイアウォール機能

アプリケーションのコントロールと可視化

ユーザーベースファイアウォール

統合脅威管理(UTM)

アンチウイルス

侵入防御(IPS) アンチスパム

ウェブフィルタリング

最新のセキュリティ情報

ボットネット/C&C

GEO-IP

カスタムフィード&

ターゲット型攻撃

アンチマルウェアアンチゼロデイ

サンドボックス

回避型マルウェア防御

レポーティング&分析

34


何故、ジュニパーを選ぶのか？

差別化ポイント


Why Juniper?差別化ポイント

➢ ハードウェアを追加せず、簡単にセキュリティ対策

➢ サブスクリプションモデルにより、必要に応じてセキュリティサービスを追加セキュアな構成

➢ WAN, LAN, Wi-Fi を一元管理

➢ プロキシ環境でも、ネットワーク構成を変えず容易に導入シンプルな設計

➢ クラウドアプリケーションを利用するユーザの体感を改善

➢ ユーザの役割とアプリケーションを条件に最適なトラフィック制御ユーザ体感の向上

36


THANK YOU

Documents

プロキシ環境でも容易に導入可能 エンタープライ …...WAN 帯域を保証し、ユーザ体感を改善します。© 2019 Juniper Networks Juniper Business Use

プロキシ環境でも容易に導入可能エンタープライ …...WAN 帯域を保証し、ユーザ体感を改善します。© 2019 Juniper Networks Juniper Business Use