安全生产J防火墙安全方案Word文件下载.docx

1、1.7 完备简易的管理9第二章 项目概述9第三章 总体方案建议103.1 防火墙A和防火墙B的双机热备、均衡负载实现方案103.2 防火墙A和防火墙B的VLAN（802.1Q的trunk协议）实现方案153.3 防火墙A和防火墙B的动态路由支持程度的实现方案163.4 防火墙的VPN实现方案163.5 防火墙的安全控制实现方案173.6 防火墙的网络地址转换实现方案253.7 防火墙的应用代理实现方案283.9 防火墙用户认证的实现方案283.10 防火墙对带宽管理实现方案303.11 防火墙日志管理、管理特性以及集中管理实现方案31第壹章Juniper的安全理念网络安全能够分为数据安全和服务

2、安全俩个层次。数据安全是防止信息被非法探听；服务安全是使网络系统提供不间断的通畅的对外服务。从严格的意义上讲，只有物理上完全隔离的网络系统才是安全的。但为了实际生产以及信息交换的需要，采用完全隔离手段保障网络安全很少被采用。在有了对外的联系之后，网络安全的目的就是使不良用心的人窃听数据、破坏服务的成本提高到他们不能承受的程度。这里的成本包括设备成本、人力成本、时间成本等多方面的因素。Juniper的整合式安全设备是专为互联网网络安全而设，将硬件状态防火墙、虚拟专用网（IPsecVPN）、入侵防护（IPS）和流量管理等多种安全功能集于壹体。Juniper整合式安全设备具有ASIC芯片硬件加速的安

3、全策略、IPSec加密演算性能、低延时，能够无缝地部署到任何网络。设备安装和操控也是非常容易，能够通过内置的WebUI、命令行界面或中央管理方案进行统壹管理。1.1基本防火墙功能Juniper提供了可扩展的网络安全解决方案，适用于包括宽带移动用户、中小型企业Internet边界、大型企业的内部网络安全域划分和控制，以至电子商务网站的服务器保护等等。Juniper全功能防火墙采用实时检测技术，能够防止入侵者和拒绝服务（denial-of-service）的攻击。Juniper防火墙采用ScreenOS软件，是经过ICSA认证的实时检测防火墙。Juniper的防火墙系列采用安全优化的硬件（包括AS

4、IC芯片和主板、操作系统和防火墙），比拼凑而成的软件类方案提供更高级的安全水平。Juniper的防火墙系列提供强大的攻击防御能力，包括SYN攻击、ICMP泛滥、端口扫描（PortScan）等攻击防御能力，配备硬件加速的会话建立（sessionramprates）性能，即使在最关键性的环境下也能够提供安全保护。Juniper的防火墙系列提供各种网络地址翻译（NAT）、端口地址翻译（PAT）的功能有效隐藏内部、无法路由的IP地址。1.2内容安全功能Juniper提供多样的内容安全功能，包括深层检测功能、防病毒、垃圾邮件过滤、和网页过滤4种，且且能够提供试用的临时许可license，能够让用户在壹定

5、时间内下载特征库及使用该内容安全更新。过了试用期后，用户必须定购年度服务来获得最新的入侵防护攻击库、病毒库、且得到垃圾邮件和网页过滤的定时更新。用户能够分别购买某个单项的内容安全服务，也能够购买价格更加优惠的4项打包的内容安全服务。1.2.1深层检测功能（DeepInspection）深层检测功能（DeepInspection，简称DI）是Juniper的防火墙操作系统ScreenOS里集成的壹个专门对网络流量里的应用层攻击（包括网络蠕虫、木马和恶意软件）进行检测的功能，其实就是将Juniper的IPS/IDP的入侵检测和防护的功能集成到Juniper防火墙的ScreenOS里面，对会话实施基

6、于状态的策略的同时进行对应用层攻击特征的匹配，且且作出相应的保护动作。Juniper的防火墙针对流量的应用层的分析和特征匹配进行了壹系列的优化，降低了对数据吞吐能力的影响。为了减少对防火墙性能的影响，Juniper为深层检测提供4种特征包，让IT管理员根据需要保护的资源而灵活选择下载、更新和采用，包括：1、 基础版（Base）特征包：针对中小型企业的全面防护（包括保护C/S应用和防蠕虫）；2、 服务器（Server）特征包：针对服务器群进行保护（包括保护IIS、Exchange和Oracle服务器等）；3、 客户端（Client）特征包：针对分布式企业的中小型分支机构客户端设备进行保护（如手提

7、电脑等）；4、 常见蠕虫保护（Worm）特征包：针对大企业的分支机构提供全面的常见的蠕虫保护。深层检测（DI）防火墙被设计用来对网络上壹系列最常见的协议（如HTTP,DNS,FTP,SMTP,POP3,IMAP,NetBIOS/SMB,MS-RPC,P2P,和IM等）的应用层保护，且且可在将来简单地添加更多的协议。对这些协议，深层检测（DI）防火墙采用和数据接收方（如服务器和客户端的应用）相同的方式来理解应用层信息。为了精确地理解应用层信息，深层检测（DI）防火墙实施包碎片重组，次序重组，去除无用信息和信息正常化处理。壹旦深层检测（DI）防火墙按这些方法重组出了网络流量，它就用协议异常检测和服

8、务控制字段里的上下文的攻击特征匹配的方法来对流量里的攻击进行防护。深层检测（DI）防火墙利用了攻击数据库来储存异常协议和攻击特征（有时被称做“特征”），按协议和攻击的严重性分类，来实施状态检测和深层检测任务。防火墙的分析引擎由其本身的数据库实时提取有关的攻击特征来有效地分析流量。壹旦Juniper的深层检测（DI）防火墙对应用层数据进行重组后，它就实施针对该应用的分析，决定该流量的目的是恶意的仍是非恶意的。首先，它根据协议的定义进行分析，如果数据偏离了协议的定义，就代表了协议异常。高冲击力的、带恶意的协议异常，如设法造成内存溢出来控制系统的，将被识别为攻击。对协议异常的细化管理包括调整如何及在

9、哪里查找异常，从而使得支持非正常协议的系统获得同样的支持。深层检测（DI）防火墙将按照细化的协议控制来对相关的服务域进行识别。服务控制字段是和特别功能相关的流量中的部分，如email地址、URL、文件名等。深层检测（DI）防火墙将按特征匹配的方法对相应的字段进行检测。而这些字段就代表了应用层信息，且让深层检测（DI）防火墙能够理解应用层会话，且在正确的字段上进行攻击特征库的匹配查找。协议符合检查使用户获得攻击出现日第0天防护因为Juniper深层检测（DI）防火墙能够对流量进行协议符合检查，它也就具备了无须了解某壹特别攻击，就能够对壹系列的攻击如内存溢出攻击等的防护能力。这意味着这种解决方法能

10、够在对新攻击出现的第0天即具备防护能力。同时，这也是对某些无法简单匹配特征的更狡猾攻击的防护方式。对已知攻击的服务控制字段特征匹配协议匹配检测的是壹些未知的和更狡猾的攻击，仍有壹些攻击是已知的，能够通过已知的特征匹配的方式来更有效地防护它们。Juniper深层检测（DI）防火墙实施应用分析，理解信息内容，且将流量信息的不同部分对应到相应的服务控制字段上。服务控制字段是依相应协议事先定义的包头值，代表了相应的目的，使用了固定的流量的相对位置。如：在SMTP里，有壹些服务控制字段包括：命令行（从客户端发给服务器的命令），数据行（壹行email内容），From：（发送者的email地址），等。深层检

11、测（DI）防火墙应用已知的特征匹配（在防火墙内部的数据库里已经有了相应的定义），和流量的相关部分进行比较，查找出带攻击的恶意部分流量。Juniper的特征匹配减少了系统资源的使用，将主要精力集中在相关恶意流量部分，有效地实施了对已知攻击的保护。Juniper的防火墙目前都能够集成入侵防护的功能，且且入侵防护的特征库能够更新升级，目前攻击特征已超过800种。当然，攻击特征库能够自动或手动更新，更新过程将包括连接Juniper的攻击特征库服务器（定期对新攻击和旧有攻击进行更新）。此外，Juniper仍按需要发布紧急更新，对重点攻击进行防护。1.2.2防病毒防病毒也是壹项内容保护不可缺少的部分。深层

12、检测（DI）是对应用层控制字段信息进行攻击特征匹配（壹般是蠕虫病毒或缓冲区溢出等攻击），而防病毒是针对文件里的携带的攻击（包括间谍软件、广告软件、网络钓鱼软件和键盘侧录软件）进行匹配的技术，而文件的传递壹般依靠web、FTP的下载和上传，以及email附件等。通过和业界领先的防病毒厂家的卡巴斯基（Kaspersky）X公司合作，Juniper在HSC、NetScreen-5GT和SSG系列（包括SSG550、SSG520等）的防火墙提供防病毒的壹体化解决方案，即卡巴斯基（Kaspersky）病毒扫描引擎完全集成在防火墙的操作系统里，且且通过操作系统的升级而升级。对于不同的用户，Juniper能

13、够提供3种不同的扫描级别，包括：A） 标准级别（Standard）：缺省和推荐采用的级别，能够提供最全面和误报率最低的扫描；B） 常见病毒级别（Inthewild）：只对常见病毒进行扫描从而性能更佳；C） 扩展级别（Extended）：对更多的广告软件进行扫描，误报率相对较高。而对其他高端产品，则用重定向到防病毒网关服务器上的方式实现网关防毒。1.2.3垃圾邮件过滤垃圾邮件过滤功能也是内容安全的壹个重要的组成部分。Juniper的垃圾邮件过滤功能主要集成在Juniper的中低端防火墙（包括HSC、NetScreen-5GT、NS25、NS50、以及SSG系列）里。通过不断更新的IP地址和垃圾邮

14、件发送者列表，有效地高精确性地屏蔽垃圾邮件发送者和网络钓鱼者。当然用户也能够自己定义垃圾邮件的白名单和黑名单，手工地对垃圾邮件进行屏蔽。1.2.4网页过滤对于放在网络边界为用户提供Internet访问的边界防火墙而言，仍必须对企业员工对Internet访问的网站进行控制。包括Surfcontrol和Websense都实时对Internet上的站点进行分类，如：新闻类、盗版软件类、军事类、财经等等。通过允许用户能和不能访问某壹类型的网站，能够提高企业员工的工作效率，且避免诸如员工到非法恶意软件站点下载等情况而导致的法律纠纷。Juniper的网页过滤功能（采用Surfcontrl技术）主要集成在J

15、uniper的中低端防火墙（包括HSC、NetScreen-5GT、NS25、NS50、以及SSG系列）里，而对中高端的防火墙而言，能够采用用防火墙重定向到Surfcontrol或Websense服务器的方式。1.3虚拟专网（VPN）功能Juniper防火墙中整合了壹个全功能VPN解决方案，它们支持站点到站点VPN及远程接入VPN应用。 通过VPNC测试，和其他通过IPSec认证的厂商设备兼容。 三倍DES、DES和AES加密使用数字证书（PKIX.509），自动的或手动的IKE。 SHA-1和MD5认证。 同时支持网状式（mesh）及集中星型（hubandspoke）的VPN网络，可按VPN部署的需求，配置用其壹或整合俩种网络拓扑。 Juniper的防火墙很好地支持VPN的冗余，能够实施基于策略的VPN和基于路由的VPN。1.4流量管理功能流量管理允许网络管理员实时监视、分析和分配各类网络流量使用的带宽，有助确保在用户上网浏览时或在执行其他非关键性应用时而不会影响关键性业务的流量。 根据IP地址、用户、应用或时间段来进行管理 能够对进出俩个方向的流量都进行流量管理