Juniper防火墙标准解决方案.docx
《Juniper防火墙标准解决方案.docx》由会员分享,可在线阅读,更多相关《Juniper防火墙标准解决方案.docx(31页珍藏版)》请在冰豆网上搜索。
Juniper防火墙标准解决方案
计算机网络系统
防火墙部署工程
技术方案
第一章Juniper的安全理念
网络安全可以分为数据安全和服务安全两个层次。
数据安全是防止信息被非法探听;服务安全是使网络系统提供不间断的通畅的对外服务。
从严格的意义上讲,只有物理上完全隔离的网络系统才是安全的。
但为了实际生产以及信息交换的需要,采用完全隔离手段保障网络安全很少被采用。
在有了对外的联系之后,网络安全的目的就是使不良用心的人窃听数据、破坏服务的成本提高到他们不能承受的程度。
这里的成本包括设备成本、人力成本、时间成本等多方面的因素。
Juniper的整合式安全设备是专为互联网网络安全而设,将硬件状态防火墙、虚拟专用网(IPsecVPN)、入侵防护(IPS)和流量管理等多种安全功能集于一体。
Juniper整合式安全设备具有ASIC芯片硬件加速的安全策略、IPSec加密演算性能、低延时,可以无缝地部署到任何网络。
设备安装和操控也是非常容易,可以通过内置的WebUI、命令行界面或中央管理方案进行统一管理。
1.1基本防火墙功能
Juniper提供了可扩展的网络安全解决方案,适用于包括宽带移动用户、中小型企业Internet边界、大型企业的内部网络安全域划分和控制,以至电子商务网站的服务器保护等等。
Juniper全功能防火墙采用实时检测技术,可以防止入侵者和拒绝服务(denial-of-service)的攻击。
Juniper防火墙采用ScreenOS软件,是经过ICSA认证的实时检测防火墙。
Juniper的防火墙系列采用安全优化的硬件(包括ASIC芯片和主板、操作系统和防火墙),比拼凑而成的软件类方案提供更高级的安全水平。
Juniper的防火墙系列提供强大的攻击防御能力,包括SYN攻击、ICMP泛滥、端口扫描(PortScan)等攻击防御能力,配备硬件加速的会话建立(sessionramprates)性能,即使在最关键性的环境下也可以提供安全保护。
Juniper的防火墙系列提供各种网络地址翻译(NAT)、端口地址翻译(PAT)的功能――有效隐藏内部、无法路由的IP地址。
1.2内容安全功能
Juniper提供多样的内容安全功能,包括深层检测功能、防病毒、垃圾邮件过滤、和网页过滤4种,并且可以提供试用的临时许可license,可以让用户在一定时间内下载特征库及使用该内容安全更新。
过了试用期后,用户必须定购年度服务来获得最新的入侵防护攻击库、病毒库、并得到垃圾邮件和网页过滤的定时更新。
用户可以分别购买某个单项的内容安全服务,也可以购买价格更加优惠的4项打包的内容安全服务。
1.2.1深层检测功能(DeepInspection)
深层检测功能(DeepInspection,简称DI)是Juniper的防火墙操作系统ScreenOS里集成的一个专门对网络流量里的应用层攻击(包括网络蠕虫、木马和恶意软件)进行检测的功能,其实就是将Juniper的IPS/IDP的入侵检测和防护的功能集成到Juniper防火墙的ScreenOS里面,对会话实施基于状态的策略的同时进行对应用层攻击特征的匹配,并且作出相应的保护动作。
Juniper的防火墙针对流量的应用层的分析和特征匹配进行了一系列的优化,降低了对数据吞吐能力的影响。
为了减少对防火墙性能的影响,Juniper为深层检测提供4种特征包,让IT管理员根据需要保护的资源而灵活选择下载、更新和采用,包括:
1、基础版(Base)特征包:
针对中小型企业的全面防护(包括保护C/S应用和防蠕虫);
2、服务器(Server)特征包:
针对服务器群进行保护(包括保护IIS、Exchange和Oracle服务器等);
3、客户端(Client)特征包:
针对分布式企业的中小型分支机构客户端设备进行保护(如手提电脑等);
4、常见蠕虫保护(Worm)特征包:
针对大企业的分支机构提供全面的常见的蠕虫保护。
深层检测(DI)防火墙被设计用来对网络上一系列最常见的协议(如HTTP,DNS,FTP,SMTP,POP3,IMAP,NetBIOS/SMB,MS-RPC,P2P,和IM等)的应用层保护,并且可在将来简单地添加更多的协议。
对这些协议,深层检测(DI)防火墙采用和数据接收方(如服务器和客户端的应用)相同的方式来理解应用层信息。
为了精确地理解应用层信息,深层检测(DI)防火墙实施包碎片重组,次序重组,去除无用信息和信息正常化处理。
一旦深层检测(DI)防火墙按这些方法重组出了网络流量,它就用协议异常检测和服务控制字段里的上下文的攻击特征匹配的方法来对流量里的攻击进行防护。
深层检测(DI)防火墙利用了攻击数据库来储存异常协议和攻击特征(有时被称做“特征”),按协议和攻击的严重性分类,来实施状态检测和深层检测任务。
防火墙的分析引擎由其本身的数据库实时提取有关的攻击特征来有效地分析流量。
一旦Juniper的深层检测(DI)防火墙对应用层数据进行重组后,它就实施针对该应用的分析,决定该流量的目的是恶意的还是非恶意的。
首先,它根据协议的定义进行分析,如果数据偏离了协议的定义,就代表了协议异常。
高冲击力的、带恶意的协议异常,如设法造成内存溢出来控制系统的,将被识别为攻击。
对协议异常的细化管理包括调整如何及在哪里查找异常,从而使得支持非正常协议的系统获得同样的支持。
深层检测(DI)防火墙将按照细化的协议控制来对相关的服务域进行识别。
服务控制字段是与特别功能相关的流量中的部分,如email地址、URL、文件名等。
深层检测(DI)防火墙将按特征匹配的方法对相应的字段进行检测。
而这些字段就代表了应用层信息,并让深层检测(DI)防火墙可以理解应用层会话,并在正确的字段上进行攻击特征库的匹配查找。
协议符合检查使用户获得攻击出现日第0天防护
因为Juniper深层检测(DI)防火墙可以对流量进行协议符合检查,它也就具备了无须了解某一特别攻击,就可以对一系列的攻击如内存溢出攻击等的防护能力。
这意味着这种解决方法可以在对新攻击出现的第0天即具备防护能力。
同时,这也是对某些无法简单匹配特征的更狡猾攻击的防护方式。
对已知攻击的服务控制字段特征匹配
协议匹配检测的是一些未知的和更狡猾的攻击,还有一些攻击是已知的,可以通过已知的特征匹配的方式来更有效地防护它们。
Juniper深层检测(DI)防火墙实施应用分析,理解信息内容,并将流量信息的不同部分对应到相应的服务控制字段上。
服务控制字段是依相应协议事先定义的包头值,代表了相应的目的,使用了固定的流量的相对位置。
如:
在SMTP里,有一些服务控制字段包括:
命令行(从客户端发给服务器的命令),数据行(一行email内容),From:
(发送者的email地址),等。
深层检测(DI)防火墙应用已知的特征匹配(在防火墙内部的数据库里已经有了相应的定义),与流量的相关部分进行比较,查找出带攻击的恶意部分流量。
Juniper的特征匹配减少了系统资源的使用,将主要精力集中在相关恶意流量部分,有效地实施了对已知攻击的保护。
Juniper的防火墙目前都可以集成入侵防护的功能,并且入侵防护的特征库可以更新升级,目前攻击特征已超过800种。
当然,攻击特征库可以自动或手动更新,更新过程将包括连接Juniper的攻击特征库服务器(定期对新攻击和旧有攻击进行更新)。
此外,Juniper还按需要发布紧急更新,对重点攻击进行防护。
1.2.2防病毒
防病毒也是一项内容保护不可缺少的部分。
深层检测(DI)是对应用层控制字段信息进行攻击特征匹配(一般是蠕虫病毒或缓冲区溢出等攻击),而防病毒是针对文件里的携带的攻击(包括间谍软件、广告软件、网络钓鱼软件和键盘侧录软件)进行匹配的技术,而文件的传递一般依靠web、FTP的下载和上传,以及email附件等。
通过和业界领先的防病毒厂家的卡巴斯基(Kaspersky)公司合作,Juniper在HSC、NetScreen-5GT和SSG系列(包括SSG550、SSG520等)的防火墙提供防病毒的一体化解决方案,即卡巴斯基(Kaspersky)病毒扫描引擎完全集成在防火墙的操作系统里,并且通过操作系统的升级而升级。
对于不同的用户,Juniper可以提供3种不同的扫描级别,包括:
A)标准级别(Standard):
缺省和推荐采用的级别,可以提供最全面和误报率最低的扫描;
B)常见病毒级别(Inthewild):
只对常见病毒进行扫描从而性能更佳;
C)扩展级别(Extended):
对更多的广告软件进行扫描,误报率相对较高。
而对其他高端产品,则用重定向到防病毒网关服务器上的方式实现网关防毒。
1.2.3垃圾邮件过滤
垃圾邮件过滤功能也是内容安全的一个重要的组成部分。
Juniper的垃圾邮件过滤功能主要集成在Juniper的中低端防火墙(包括HSC、NetScreen-5GT、NS25、NS50、以及SSG系列)里。
通过不断更新的IP地址和垃圾邮件发送者列表,有效地高精确性地屏蔽垃圾邮件发送者和网络钓鱼者。
当然用户也可以自己定义垃圾邮件的白名单和黑名单,手工地对垃圾邮件进行屏蔽。
1.2.4网页过滤
对于放在网络边界为用户提供Internet访问的边界防火墙而言,还必须对企业员工对Internet访问的网站进行控制。
包括Surfcontrol和Websense都实时对Internet上的站点进行分类,如:
新闻类、盗版软件类、军事类、财经等等。
通过允许用户能和不能访问某一类型的网站,可以提高企业员工的工作效率,并避免诸如员工到非法恶意软件站点下载等情况而导致的法律纠纷。
Juniper的网页过滤功能(采用Surfcontrl技术)主要集成在Juniper的中低端防火墙(包括HSC、NetScreen-5GT、NS25、NS50、以及SSG系列)里,而对中高端的防火墙而言,可以采用用防火墙重定向到Surfcontrol或Websense服务器的方式。
1.3虚拟专网(VPN)功能
Juniper防火墙中整合了一个全功能VPN解决方案,它们支持站点到站点VPN及远程接入VPN应用。
∙通过VPNC测试,与其他通过IPSec认证的厂商设备兼容。
∙三倍DES、DES和AES加密使用数字证书(PKIX.509),自动的或手动的IKE。
∙SHA-1和MD5认证。
∙同时支持网状式(mesh)及集中星型(hubandspoke)的VPN网络,可按VPN部署的需求,配置用其一或整合两种网络拓扑。
∙Juniper的防火墙很好地支持VPN的冗余,可以实施基于策略的VPN和基于路由的VPN。
1.4流量管理功能
流量管理允许网络管理员实时监视、分析和分配各类网络流量使用的带宽,有助确保在用户上网浏览时或在执行其他非关键性应用时而不会影响关键性业务的流量。
∙根据IP地址、用户、应用或时间段来进行管理
∙可以对进出两个方向的流量都进行流量管理
∙设定保障带宽和最大带宽
∙以八种优先等级,为流量分配优先权
∙支持符合行业标准的diffserv数据包标记
1.5强大的ASIC的硬件保障
Juniper防火墙的安全机制广泛采用了ASIC芯片技术,在ASIC硬件中处理防火墙访问策略和加密算法,这方面运算的速度是软件类方案不能相比的;同时它还可以省出中央处理器资源用于管理数据流。
这种安全加密的ASIC更可与Juniper的ScreenOS操作系统和系统软件紧密地集成起来,与其他基于通用的商用操作系统的安全产品相比,Juniper产品消除了不必要的软件层和安全漏洞。
Juniper将安全功能提升到系统层次,更可以节省建立额外平台带来的开支。
目前,其他采用PC或工作站作为平台的软件类方案,往往令系统性能大打折扣。
ASIC芯片对防火墙的性能和稳定性有极大的提高,主要体现在:
1、ASIC芯片可以对会话建立后的流量进行不经过CPU处理的直接转发;
2、ASIC芯片可以对IPsecVPN进行加解密处理。
3、可以对一系列的网络层的DDoS攻击(包括生成对TCPSyn泛洪攻击的cookie)进行防护,直接在ASIC芯片上对数据包进行丢弃,避免了对系统的影响。
4、IP包的碎片重组和流量统计也依靠ASIC芯片实现。
正是由于采用了高性能的专用ASIC芯片,所以Juniper的安全产品的性能不仅仅在实验室网络环境下都能够发挥出高水平,在实际的生产网络环境中同样可以保持高性能。
1.6设备的可靠性和安全性
Juniper将所有功能集成于单一硬件产品中,它不仅易于安装和管理,而且能够提供更高可靠性和安全性。
由于Juniper设备没有其它品牌对硬盘驱动器和移动部件所存在的稳定型问题,所以它是对在线时间要求极高的用户的最佳方案。
采用Juniper设备的WebUI管理方式,可以直接登陆Web界面里对防火墙、VPN和流量管理功能进行配置和管理,减轻了配置另外的硬件和操作系统。
这个做法缩短了安装的时间,并在防范安全漏洞的工作上,减少设定的步骤。
1.7完备简易的管理
Juniper的安全设备包括强健的管理支持,允许网络管理员安全地管理设备。
由于VPN功能是内置的,因此可以对所有管理加密,从而实现真正的安全远程管理。
∙采用NetScreenSecurityManager,以C/S形式实现中央站点管理。
∙通过内置WebUI实现浏览操作式的管理。
∙带内,可透过SSH和Telnet进入命令行界面(CLI);带外,则可透过控制台/调制解调器端口/带外管理口进行管理。
∙电子邮件告警、SNMPtraps和告警。
∙系统日志(Syslog)、简单网络管理协议(SNMP)、WebTrends和MicroMuseNetCool界面可与第三方报表系统互兼容。
防火墙上将syslog发到到多台普通的syslog服务器上,如果要进行syslog汇总分析报表,则可以和WebTrend服务器配合使用,也可以通过多家syslog的报表分析软件(包括中文界面的软件)对syslog进行日志报表。
除了Syslog服务器,Juniper防火墙还可以将syslog发到Juniper的NSM集中管理服务器上,然后NSM服务器按照策略将不同的日志发给不同的syslog服务器。
如果在NSM服务器的基础上安装了SRS的日志报表服务器后,用户也可以用SRS来生成历史报表。
防火墙上本身提供一定数量的本地认证用户数据库,也可和Radius服务器、LDAP服务器等配合使用提供外部用户身份认证。
第二章项目概述
第三章总体方案建议
计算机网络安全建设方案是参照国际通行的PDRR(Protection-防护、Detection-检测、Respone-响应和Recovery-恢复)安全模型进行设计的。
与防火墙A和B直接相关的网络部分如下图所示:
3.1防火墙A和防火墙B的双机热备、均衡负载实现方案
Juniper的中高端防火墙对双机热备、负载分担的实现有很好的支持,实施的方式是通过Juniper的冗余协议NSRP,类似于VRRP(HSRP)但在其基础上有很大的改进,现详细介绍如下:
Juniper为了实现更安全、更有效的防火墙冗余体系,开发了专有的防火墙HA工作的协议NSRP,NSRP协议借鉴了VRRP协议,而且弥补了VRRP协议的不足,是针对安全设备的HA协议。
NSRP实现了:
在HA组成员之间镜像配置,在发生故障切换时确保正确的行为。
可以在HA组中维护所有活动会话和VPN隧道。
故障切换算法根据系统健康状态确定哪个系统是主系统,把状态与相邻系统连接起来或监控从本系统到远端的路径。
无论活动会话和VPN隧道的数量有多少,故障检测和切换到备用系统可以在低于一秒时间内完成。
整个系统的防火墙处理能力提高一倍。
Juniper的中高端防火墙更支持全网状的Active/ActiveHA,避免低级的网络故障导致Juniper防火墙的不可用。
Juniper设备处于“路由”或NAT模式时,可以将冗余集群中的两台设备都配置为主动,通过具有负载均衡能力的路由器,运行诸如“虚拟路由器冗余协议(VRRP)”等协议,共享它们之间分配的流量。
通过使用“NetScreen冗余协议(NSRP)”创建两个虚拟安全设备(VSD)组,每个组都具有自己的虚拟安全接口(VSI),即可实现此目的。
设备A充当VSD组1的主设备,并充当VSD组2的备份设备。
设备B充当VSD组2的主设备,并充当VSD组1的备份设备。
此配置称为双主动(请参阅下图)。
由于设备冗余,因此不存在单一故障点。
负载分担的方式是通过同一VLAN内一部分设备的网关指向一台防火墙的端口ip地址,另一部分设备的网网关指向另一台防火墙的端口ip地址。
故障切换后,该VLAN的所有设备都指向同一防火墙的物理端口(逻辑上具备两个同网段的IP地址,作为不同设备的缺省网关IP地址)。
设备A和设备B各接收50%的网络和VPN流量。
设备A出现故障时,设备B变成VSD组1的主设备,同时继续作为VSD组2的主设备,并处理100%的流量。
在双主动配置中,故障切换产生的流量转移结果如下图所示。
尽管处于双主动配置的两台设备分开的会话总数不能超过单个防火墙设备的容量,但添加的第二台设备使可用的潜在带宽加倍。
第二台主动设备也保证两台设备都具有网络连接功能。
即双主动的配置方法的最大连接数保持为原单机时的数量,该数量对一个大型网络也已足够了,但是数据吞吐量则增大一倍。
除NSRP集群(主要负责在组成员间传播配置并通告每个成员的当前VSD组状态)外,还可以将设备A和设备B配置为RTO镜像组中的成员,该镜像组负责维持一对设备之间执行对象(RTO)3的同步性。
主设备让位时,通过维持所有当前会话,备份设备可立即用最短的服务停顿时间承担主地位。
除冗余设备外,还可以在防火墙设备上配置冗余物理接口。
如果一级端口失去网络连接,则二级端口承担连接的任务。
在防火墙设备中,也存在冗余物理HA接口,它不仅处理不同种类的HA通信,而且彼此充当备份。
缺省情况下,HA1处理控制消息,HA2处理数据消息。
如果失去任一HA链接,则另一链接可承担起两种消息类型。
在没有专用HA接口的Juniper设备上,必须将一个或两个物理以太网接口绑定到HA区段上。
由于NSRP通信的机密特性,可以通过加密和认证保障所有NSRP流量的安全。
对于加密和认证,NSRP分别支持DES和MD5算法。
通常,在Juniper的冗余协议NSRP的支持下,防火墙的冗余连接有以下几种形式:
●Active-Standby:
有冗余,无法同时工作
如果设备A或ISPA出现故障,则设备B将成为主设备,而设备A将成为备份设
备(或者在出现内部系统故障时变得不可操作)。
●Active-Active:
有冗余,双机同时工作,仅能容忍1个故障点
●Active-Active(全网状,FullMesh):
有冗余,双机同时工作,最多容忍3个故障点,网络结构较复杂,可以检测切换非相邻设备的故障。
Juniper的中高端防火墙设备通过一个或两个高可靠性端口HA1和HA2来实现NSRP。
在实际配置时,可将第一个端口HA1配置为传递控制信息的连接,实现两台防火墙的配置同步、心跳检测、故障检测、实时会话信息同步等功能,此时两台防火墙的会话状态表保持一致,传递信息的流量实际并不大(主要是会话建立的初期需要传递较多的会话的参数信息),所以两台防火墙的会话信息可以实时得到同步。
第二个端口HA2配置为传递实际数据流量数据线路,主要是在不对称流量进出的情况发挥作用,即某一会话的流量进来是通过第一台防火墙,但是返回的流量却因为相邻路由设备的原因发到了第二台防火墙,此时第二台防火墙进行会话状态检测后发现是基于现有会话的,而且属于第一台防火墙处理的流量,于是将返回的流量通过HA2端口发给第一台防火墙。
两个HA端口可以作为备份,即实际上一个HA就可以实现以上功能,保证了网络的高可靠性。
在实际应用中,可以通过网络优化、路由调整的方法将不对称的流量减少,从而使得第二个端口HA2的负载处在合理水平。
以上的故障切换均可在小于1秒内完成,并且对用户流量透明。
具体切换的触发因素和检测方式列表如下:
故障描述
NSRP/Juniper保护
Juniper保护的故障
数据端口故障(物理层和链路层)
冗余数据端口
HA端口
冗余HA端口
电源故障
冗余电源
设备完全掉电
心跳信号
ScreenOS系统故障导致流量不通过但端口是up的(layer3故障)
心跳信号
相邻设备故障
完全掉电和不提供服务
IP路径检测
路由器故障
端口故障
链路监测
设备故障
IP路径检测&链路监测
应用故障
IP路径检测
交换机故障
端口故障
链路监测
设备故障
链路监测
应用故障
IP路径检测
管理员控制的设备维护和down机
IP路径检测
多设备故障
Juniper和周围设备在不同路径故障
冗余端口
环境故障
物理接线故障
链路监测
电路故障
心跳信号,多电源,链路监测,IP路径检测
此外,由于实施了Juniper的冗余协议NSRP,包括VPN、地址翻译等多种应用的实时信息都得到同步,即对VPN连接、地址翻译连接的切换也是在小于1秒完成,所以在实施时具备很强的灵活性,适应了各种网络应用的情况。
而且查错较为简单。
所以该方案的优势还是比较明显的,只需在实施时注意减少不对称路由的条数,让大部分的流量对称地传送,小部分不对称路由的流量通过HA2口做“h”型的转发即可。
3.2防火墙A和防火墙B的VLAN(802.1Q的trunk协议)实现方案
Juniper防火墙在路由模式的(包括5GT)都支持VLAN终结和VLAN间的路由,即在物理端口下可以开802.1Q的逻辑子接口。
不同的逻辑子接口可以放在不同的安全区里面,然后可以对不同安全区之间的互相访问进行控制(缺省情况下的规则是不允许互相访问)。
Juniper防火墙在透明模式下一般可以支持对不带vlantag标记和带vlantag标记的数据包的穿越,同时对该数据包的IP层及应用层的信息进行分析,从而可以更容易地将该防火墙部署到网络里面。
3.3防火墙A和防火墙B的动态路由支持程度的实现方案
Juniper的防火墙支持的路由协议包括:
1、OSPF/BGP动态路由;
2、RIPv2动态路由;
3、源路由:
即根据源IP地址或源接口来确定下一跳;
4、多链路负载均衡:
Juniper防火墙支持同一物理接口下多链路和不同不物理接口下的多链路的负载均衡,最多的链路可达4条。
5、Juniper防火墙的三层接口,包括物理接口、逻辑子接口、loopback接口、VPN通道接口等都可以运行动态路由;
3.4防火墙的VPN实现方案
Juniper防火墙的各个三层接口都可端结IPsecVPN,并且可以实施基于策略的VPN(通过防火墙策略定义手动调用相应的VPN),和基于路由的VPN(通过路由协议自动选择相应的VPN隧道,然后单独实施防火墙策略)。
Juniper防火墙中整合了一个全功能VPN解决方案,它们支持站点到站点V
升级会员 