下面是小编为大家整理的Juniper防火墙安全方案(精选文档),供大家参考。
Juniper 防火墙安全方案 计算机网络系统 防火墙部署工程 技术 方案 目录 第一章 Juniper 的安全理念 ......................................................................................................................... 3 1.1 基本防火墙功能 ...................................................................................................................... 3 1.2 内容安全功能 .......................................................................................................................... 4 1.3 虚拟专网(VPN)功能 ............................................................................................................... 7 1.4 流量管理功能 .......................................................................................................................... 7 1.5 强大的 ASIC 的硬件保障 ....................................................................................................... 7 1.6 设备的可靠性与安全性 .......................................................................................................... 8 1.7 完备简易的管理 ...................................................................................................................... 8 第二章 项目概述 ........................................................................................................................................... 9 第三章 总体方案建议 ................................................................................................................................. 10 3.1 防火墙 A 与防火墙 B 的双机热备、均衡负载实现方案 ........................................................... 10 3.2 防火墙 A 与防火墙 B 的 VLAN(802.1Q 的 trunk 协议)实现方案 ....................................... 15 3.3 防火墙 A 与防火墙 B 的动态路由支持程度的实现方案 ........................................................... 15 3.4 防火墙的 VPN 实现方案 .............................................................................................................. 15 3.5 防火墙的安全操纵实现方案 ........................................................................................................ 16 3.6 防火墙的网络地址转换实现方案 ................................................................................................ 23 3.7 防火墙的应用代理实现方案 ........................................................................................................ 26 3.9 防火墙用户认证的实现方案 ........................................................................................................ 26 3.10 防火墙对带宽管理实现方案 ...................................................................................................... 27 3.11 防火墙日志管理、管理特性与集中管理实现方案 .................................................................. 28 第一章 Juniper 的安全理念 网络安全能够分为数据安全与服务安全两个层次。数据安全是防止信息被非法探听;服务安全是使网络系统提供不间断的通畅的对外服务。从严格的意义上讲,只有物理上完全隔离的网络系统才是安全的。但为了实际生产与信息交换的需要,使用完全隔离手段保障网络安全很少被使用。在有了对外的联系之后,网络安全的目的就是使不良用心的人窃听数据、破坏服务的成本提高到他们不能承受的程度。这里的成本包含设备成本、人力成本、时间成本等多方面的因素。Juniper 的整合式安全设备是专为互联网网络安全而设,将硬件状态防火墙、虚拟专用网(IPsec VPN)、入侵防护(IPS)与流量管理等多种安全功能集于一体。Juniper 整合式安全设备具有 ASIC 芯片硬件加速的安全策略、IPSec 加密演算性能、低延时,能够无缝地部署到任何网络。设备安装与操控也是非常容易,能够通过内置的 WebUI、命令行界面或者中央管理方案进行统一管理。
1.1 基本 防火墙 功能 Juniper 提供了可扩展的网络安全解决方案,适用于包含宽带移动用户、中小型企业 Internet 边界、大型企业的内部网络安全域划分与操纵,以至电子商务网站的服务器保护等等。Juniper 全功能防火墙使用实时检测技术,能够防止入侵者与拒绝服务(denial-of-service)的攻击。
Juniper 防火墙使用 ScreenOS 软件,是通过 ICSA 认证的实时检测防火墙。
Juniper 的防火墙系列使用安全优化的硬件(包含 ASIC 芯片与主板、操作系统与防火墙),比拼凑而成的软件类方案提供更高级的安全水平。
Juniper 的防火墙系列提供强大的攻击防御能力,包含 SYN 攻击、ICMP 泛滥、端口扫描(Port Scan)等攻击防御能力,配备硬件加速的会话建立 (session ramp rates)性能,即使在最关键性的环境下也能够提供安全保护。
Juniper 的防火墙系列提供各类网络地址翻译(NAT)、端口地址翻译(PAT)的功能――有效隐藏内部、无法路由的 IP 地址。
1.2 内容安全 功能 Juniper 提供多样的内容安全功能,包含深层检测功能、防病毒、垃圾邮件过滤、与网页过滤 4 种,同时能够提供试用的临时许可 license,能够让用户在一定时间内下载特征库及使用该内容安全更新。过了试用期后,用户务必定购年度服务来获得最新的入侵防护攻击库、病毒库、并得到垃圾邮件与网页过滤的定时更新。
用户能够分别购买某个单项的内容安全服务,也能够购买价格更加优惠的 4 项打包的内容安全服务。
1.2.1 深层检测功能(Deep Inspection) 深层检测功能(Deep Inspection,简称 DI)是 Juniper 的防火墙操作系统 ScreenOS里集成的一个专门对网络流量里的应用层攻击(包含网络蠕虫、木马与恶意软件)进行检测的功能,事实上就是将 Juniper 的 IPS/IDP 的入侵检测与防护的功能集成到 Juniper防火墙的 ScreenOS 里面,对会话实施基于状态的策略的同时进行对应用层攻击特征的匹配,同时作出相应的保护动作。Juniper 的防火墙针对流量的应用层的分析与特征匹配进行了一系列的优化,降低了对数据吞吐能力的影响。
为了减少对防火墙性能的影响,Juniper 为深层检测提供 4 种特征包,让 IT 管理员根据需要保护的资源而灵活选择下载、更新与使用,包含:
1、 基础版(Base)特征包:针对中小型企业的全面防护(包含保护 C/S 应用与防蠕虫);
2、 服务器(Server)特征包:针对服务器群进行保护(包含保护 IIS、Exchange与 Oracle 服务器等);
3、 客户端(Client)特征包:针对分布式企业的中小型分支机构客户端设备进行保护(如手提电脑等);
4、 常见蠕虫保护(Worm)特征包:针对大企业的分支机构提供全面的常见的蠕虫保护。
深层检测(DI)防火墙利用了攻击数据库来储存特殊协议与攻击特征(有的时候被称做“特征”),按协议与攻击的严重性分类,来实施状态检测与深层检测任务。防火墙的分析引擎由其本身的数据库实时提取有关的攻击特征来有效地分析流量。
一旦 Juniper 的深层检测(DI)防火墙对应用层数据进行重组后,它就实施针对该应用的分析,决定该流量的目的是恶意的还是非恶意的。首先,它根据协议的定义进行分 析,假如数据偏离了协议的定义,就代表了协议特殊。高冲击力的、带恶意的协议特殊,如设法造成内存溢出来操纵系统的,将被识别为攻击。对协议特殊的细化管理包含调整如何及在哪里查找特殊,从而使得支持非正常协议的系统获得同样的支持。深层检测(DI)防火墙将按照细化的协议操纵来对有关的服务域进行识别。服务操纵字段是与特别功能有关的流量中的部分,如 email 地址、URL、文件名等。深层检测(DI)防火墙将按特征匹配的方法对相应的字段进行检测。而这些字段就代表了应用层信息,并让深层检测(DI)防火墙能够懂得应用层会话,并在正确的字段上进行攻击特征库的匹配查找。
协议符合检查使用第 户获得攻击出现日第 0 天防护 由于 Juniper 深层检测(DI)防火墙能够对流量进行协议符合检查,它也就具备了无须熟悉某一特别攻击,就能够对一系列的攻击如内存溢出攻击等的防护能力。这意味着这种解决方法能够在对新攻击出现的第 0 天即具备防护能力。同时,这也是对某些无法简单匹配特征的更狡猾攻击的防护方式。
对已知攻击的服务 操纵字段 特征匹配 协议匹配检测的是一些未知的与更狡猾的攻击,还有一些攻击是已知的,能够通过已知的特征匹配的方式来更有效地防护它们。Juniper 深层检测(DI)防火墙实施应用分析,懂得信息内容,并将流量信息的不一致部分对应到相应的服务操纵字段上。服务操纵字段是依相应协议事先定义的包头值,代表了相应的目的,使用了固定的流量的相对位置。如:在 SMTP 里,有一些服务操纵字段包含:命令行(从客户端发给服务器的命令),数据行(一行 email 内容),From:(发送者的 email 地址),等。深层检测(DI)防火墙应用已知的特征匹配(在防火墙内部的数据库里已经有了相应的定义),与流量的有关部分进行比较,查找出带攻击的恶意部分流量。Juniper 的特征匹配减少了系统资源的使用,将要紧精力集中在有关恶意流量部分,有效地实施了对已知攻击的保护。
Juniper 的防火墙目前都能够集成入侵防护的功能,同时入侵防护的特征库能够更新升级,目前攻击特征已超过 800 种。当然,攻击特征库能够自动或者手动更新,更新过程将包含连接 Juniper 的攻击特征库服务器(定期对新攻击与旧有攻击进行更新)。此外,Juniper 还按需要公布紧急更新,对重点攻击进行防护。
1.2.2 防病毒 防病毒也是一项内容保护不可缺少的部分。深层检测(DI)是对应用层操纵字段信息进行攻击特征匹配(通常是蠕虫病毒或者缓冲区溢出等攻击),而防病毒是针对文件里的 携带的攻击(包含间谍软件、广告软件、网络钓鱼软件与键盘侧录软件)进行匹配的技术,而文件的传递通常依靠 web、FTP 的下载与上传,与 email 附件等。通过与业界领先的防病毒厂家的卡巴斯基(Kaspersky)公司合作,Juniper 在 HSC、NetScreen-5GT与 SSG 系列(包含 SSG550、SSG520 等)的防火墙提供防病毒的一体化解决方案,即卡巴斯基(Kaspersky)病毒扫描引擎完全集成在防火墙的操作系统里,同时通过操作系统的升级而升级。
关于不一致的用户,Juniper 能够提供 3 种不一致的扫描级别,包含:
A) 标准级别(Standard):缺省与推荐使用的级别,能够提供最全面与误报率最低的扫描;
B) 常见病毒级别(In the wild):只对常见病毒进行扫描从而性能更佳;
C) 扩展级别(Extended):对更多的广告软件进行扫描,误报率相对较高。
而对其他高端产品,则用重定向到防病毒网关服务器上的方式实现网关防毒。
1.2.3 垃圾邮件过滤 垃圾邮件过滤功能也是内容安全的一个重要的构成部分。Juniper 的垃圾邮件过滤功能要紧集成在 Juniper 的中低端防火墙(包含 HSC、NetScreen-5GT、NS25、NS50、与 SSG 系列)里。通过不断更新的 IP 地址与垃圾邮件发送者列表,有效地高精确性地屏蔽垃圾邮件发送者与网络钓鱼者。当然用户也能够自己定义垃圾邮件的白名单与黑名单,手工地对垃圾邮件进行屏蔽。
1.2.4 网页过滤 关于放在网络边界为用户提供 Internet 访问的边界防火墙而言,还务必对企业员工对Internet 访问的网站进行操纵。包含 Surfcontrol 与 Websense 都实时对 Internet 上的站点进行分类,如:新闻类、盗版软件类、军事类、财经等等。通过同意用户能与不能访问某一类型的网站,能够提高企业员工的工作效率,并避免诸如员工到非法恶意软件站点下载等情况而导致的法律纠纷。Juniper 的网页过滤功能(使用 Surfcontrl 技术)要紧集成在 Juniper 的中低端防火墙(包含 HSC、NetScreen-5GT、NS25、NS50、与 SSG系列)里,而对中高端的防火墙而言,能够使用用防火墙重定向到 Surfcontrol 或者Websense 服务器的方式。
1.3 虚拟专网 网(VPN) 功能 Juniper 防火墙中整合了一个全功能 VPN 解决方案,它们支持站点到站点 VPN 及远程接入 VPN 应用。
通过 VPNC 测试,与其他通过 IPSec 认证的厂商设备兼容。
三倍 DES、DES 与 AES 加密使用数字证书(PKI X.509),自动的或者手动的 IKE。
SHA-1 与 MD5 认证。
同时支持网状式(mesh)及集中星型(hub and spoke)的 VPN 网络,可按 VPN 部署的需求,配置用其一或者整合两种网络拓扑。
Juniper 的防火墙很好地支持 VPN 的冗余,能够实施基于策略的 VPN 与基于路由的 VPN。
1.4 流量管理 功能 流量管理同意网络管理员实时监视、分析与分配各类网络流量使用的带宽,有助确保在用户上网浏览时或者在执行其他非关键性应用时而不可能影响关键性业务的流量。
根据 IP 地址、用户、应用或者时间段来进行管理 能够对进出两个方向的流量都进行流量管理 设定保障带宽与最大带宽 以八种优先等级,为流量分配优先权 支持符合行业标准的 diffserv 数据包标记 1.5 强大的 ASIC 的硬件保障 ...
推荐访问:标签 防火墙 方案 Juniper防火墙安全方案 juniper防火墙教程