Juniper防火墙标准解决方案.docx

1、Juniper防火墙标准解决方案计算机网络系统防火墙部署工程技术方案第一章 Juniper的安全理念网络安全可以分为数据安全和服务安全两个层次。数据安全是防止信息被非法探听；服务安全是使网络系统提供不间断的通畅的对外服务。从严格的意义上讲，只有物理上完全隔离的网络系统才是安全的。但为了实际生产以及信息交换的需要，采用完全隔离手段保障网络安全很少被采用。在有了对外的联系之后，网络安全的目的就是使不良用心的人窃听数据、破坏服务的成本提高到他们不能承受的程度。这里的成本包括设备成本、人力成本、时间成本等多方面的因素。Juniper的整合式安全设备是专为互联网网络安全而设，将硬件状态防火墙、虚拟专用网

2、（IPsec VPN）、入侵防护（IPS）和流量管理等多种安全功能集于一体。Juniper整合式安全设备具有ASIC芯片硬件加速的安全策略、IPSec加密演算性能、低延时，可以无缝地部署到任何网络。设备安装和操控也是非常容易，可以通过内置的WebUI、命令行界面或中央管理方案进行统一管理。1.1 基本防火墙功能Juniper提供了可扩展的网络安全解决方案，适用于包括宽带移动用户、中小型企业Internet边界、大型企业的内部网络安全域划分和控制，以至电子商务网站的服务器保护等等。Juniper全功能防火墙采用实时检测技术，可以防止入侵者和拒绝服务(denial-of-service)的攻击。J

3、uniper防火墙采用ScreenOS软件，是经过ICSA认证的实时检测防火墙。Juniper的防火墙系列采用安全优化的硬件（包括ASIC芯片和主板、操作系统和防火墙），比拼凑而成的软件类方案提供更高级的安全水平。Juniper的防火墙系列提供强大的攻击防御能力，包括SYN攻击、ICMP泛滥、端口扫描(Port Scan)等攻击防御能力，配备硬件加速的会话建立 (session ramp rates)性能，即使在最关键性的环境下也可以提供安全保护。Juniper的防火墙系列提供各种网络地址翻译(NAT)、端口地址翻译(PAT)的功能有效隐藏内部、无法路由的IP地址。1.2 内容安全功能Juni

4、per提供多样的内容安全功能，包括深层检测功能、防病毒、垃圾邮件过滤、和网页过滤4种，并且可以提供试用的临时许可license，可以让用户在一定时间内下载特征库及使用该内容安全更新。过了试用期后，用户必须定购年度服务来获得最新的入侵防护攻击库、病毒库、并得到垃圾邮件和网页过滤的定时更新。用户可以分别购买某个单项的内容安全服务，也可以购买价格更加优惠的4项打包的内容安全服务。1.2.1 深层检测功能(Deep Inspection)深层检测功能（Deep Inspection，简称DI）是Juniper的防火墙操作系统ScreenOS里集成的一个专门对网络流量里的应用层攻击（包括网络蠕虫、木马和

5、恶意软件）进行检测的功能，其实就是将Juniper的IPS/IDP的入侵检测和防护的功能集成到Juniper防火墙的ScreenOS里面，对会话实施基于状态的策略的同时进行对应用层攻击特征的匹配，并且作出相应的保护动作。Juniper的防火墙针对流量的应用层的分析和特征匹配进行了一系列的优化，降低了对数据吞吐能力的影响。为了减少对防火墙性能的影响，Juniper为深层检测提供4种特征包，让IT管理员根据需要保护的资源而灵活选择下载、更新和采用，包括：1、 基础版（Base）特征包：针对中小型企业的全面防护（包括保护C/S应用和防蠕虫）；2、 服务器（Server）特征包：针对服务器群进行保护（

6、包括保护IIS、Exchange和Oracle服务器等）；3、 客户端（Client）特征包：针对分布式企业的中小型分支机构客户端设备进行保护（如手提电脑等）；4、 常见蠕虫保护（Worm）特征包：针对大企业的分支机构提供全面的常见的蠕虫保护。深层检测（DI）防火墙被设计用来对网络上一系列最常见的协议（如HTTP, DNS, FTP, SMTP, POP3, IMAP, NetBIOS/SMB, MS-RPC, P2P, 和IM等）的应用层保护，并且可在将来简单地添加更多的协议。对这些协议，深层检测（DI）防火墙采用和数据接收方（如服务器和客户端的应用）相同的方式来理解应用层信息。为了精确地理

7、解应用层信息，深层检测（DI）防火墙实施包碎片重组，次序重组，去除无用信息和信息正常化处理。一旦深层检测（DI）防火墙按这些方法重组出了网络流量，它就用协议异常检测和服务控制字段里的上下文的攻击特征匹配的方法来对流量里的攻击进行防护。深层检测（DI）防火墙利用了攻击数据库来储存异常协议和攻击特征（有时被称做“特征”），按协议和攻击的严重性分类，来实施状态检测和深层检测任务。防火墙的分析引擎由其本身的数据库实时提取有关的攻击特征来有效地分析流量。一旦Juniper的深层检测（DI）防火墙对应用层数据进行重组后，它就实施针对该应用的分析，决定该流量的目的是恶意的还是非恶意的。首先，它根据协议的定义

8、进行分析，如果数据偏离了协议的定义，就代表了协议异常。高冲击力的、带恶意的协议异常，如设法造成内存溢出来控制系统的，将被识别为攻击。对协议异常的细化管理包括调整如何及在哪里查找异常，从而使得支持非正常协议的系统获得同样的支持。深层检测（DI）防火墙将按照细化的协议控制来对相关的服务域进行识别。服务控制字段是与特别功能相关的流量中的部分，如email地址、URL、文件名等。深层检测（DI）防火墙将按特征匹配的方法对相应的字段进行检测。而这些字段就代表了应用层信息，并让深层检测（DI）防火墙可以理解应用层会话，并在正确的字段上进行攻击特征库的匹配查找。协议符合检查使用户获得攻击出现日第0天防护因为

9、Juniper深层检测（DI）防火墙可以对流量进行协议符合检查，它也就具备了无须了解某一特别攻击，就可以对一系列的攻击如内存溢出攻击等的防护能力。这意味着这种解决方法可以在对新攻击出现的第0天即具备防护能力。同时，这也是对某些无法简单匹配特征的更狡猾攻击的防护方式。对已知攻击的服务控制字段特征匹配协议匹配检测的是一些未知的和更狡猾的攻击，还有一些攻击是已知的，可以通过已知的特征匹配的方式来更有效地防护它们。Juniper深层检测（DI）防火墙实施应用分析，理解信息内容，并将流量信息的不同部分对应到相应的服务控制字段上。服务控制字段是依相应协议事先定义的包头值，代表了相应的目的，使用了固定的流量

10、的相对位置。如：在SMTP里，有一些服务控制字段包括：命令行（从客户端发给服务器的命令），数据行（一行email内容），From：（发送者的email地址），等。深层检测（DI）防火墙应用已知的特征匹配（在防火墙内部的数据库里已经有了相应的定义），与流量的相关部分进行比较，查找出带攻击的恶意部分流量。Juniper的特征匹配减少了系统资源的使用，将主要精力集中在相关恶意流量部分，有效地实施了对已知攻击的保护。Juniper的防火墙目前都可以集成入侵防护的功能，并且入侵防护的特征库可以更新升级，目前攻击特征已超过800种。当然，攻击特征库可以自动或手动更新，更新过程将包括连接Juniper的攻击

11、特征库服务器（定期对新攻击和旧有攻击进行更新）。此外，Juniper还按需要发布紧急更新，对重点攻击进行防护。1.2.2 防病毒防病毒也是一项内容保护不可缺少的部分。深层检测（DI）是对应用层控制字段信息进行攻击特征匹配（一般是蠕虫病毒或缓冲区溢出等攻击），而防病毒是针对文件里的携带的攻击（包括间谍软件、广告软件、网络钓鱼软件和键盘侧录软件）进行匹配的技术，而文件的传递一般依靠web、FTP的下载和上传，以及email附件等。通过和业界领先的防病毒厂家的卡巴斯基（Kaspersky）公司合作，Juniper在HSC、NetScreen-5GT和SSG系列（包括SSG550、SSG520等）的防

12、火墙提供防病毒的一体化解决方案，即卡巴斯基（Kaspersky）病毒扫描引擎完全集成在防火墙的操作系统里，并且通过操作系统的升级而升级。对于不同的用户，Juniper可以提供3种不同的扫描级别，包括：A） 标准级别（Standard）：缺省和推荐采用的级别，可以提供最全面和误报率最低的扫描；B） 常见病毒级别（In the wild）：只对常见病毒进行扫描从而性能更佳；C） 扩展级别（Extended）：对更多的广告软件进行扫描，误报率相对较高。而对其他高端产品，则用重定向到防病毒网关服务器上的方式实现网关防毒。1.2.3 垃圾邮件过滤垃圾邮件过滤功能也是内容安全的一个重要的组成部分。Juni

13、per的垃圾邮件过滤功能主要集成在Juniper的中低端防火墙（包括HSC、NetScreen-5GT、NS25、NS50、以及SSG系列）里。通过不断更新的IP地址和垃圾邮件发送者列表，有效地高精确性地屏蔽垃圾邮件发送者和网络钓鱼者。当然用户也可以自己定义垃圾邮件的白名单和黑名单，手工地对垃圾邮件进行屏蔽。1.2.4 网页过滤对于放在网络边界为用户提供Internet访问的边界防火墙而言，还必须对企业员工对Internet访问的网站进行控制。包括Surfcontrol和Websense都实时对Internet上的站点进行分类，如：新闻类、盗版软件类、军事类、财经等等。通过允许用户能和不能访问

14、某一类型的网站，可以提高企业员工的工作效率，并避免诸如员工到非法恶意软件站点下载等情况而导致的法律纠纷。Juniper的网页过滤功能（采用Surfcontrl技术）主要集成在Juniper的中低端防火墙（包括HSC、NetScreen-5GT、NS25、NS50、以及SSG系列）里，而对中高端的防火墙而言，可以采用用防火墙重定向到Surfcontrol或Websense服务器的方式。1.3 虚拟专网(VPN)功能Juniper防火墙中整合了一个全功能VPN解决方案，它们支持站点到站点VPN及远程接入VPN应用。 通过VPNC测试，与其他通过IPSec认证的厂商设备兼容。 三倍DES、DES和A

15、ES加密使用数字证书(PKI X.509)，自动的或手动的IKE。 SHA-1和MD5认证。 同时支持网状式(mesh)及集中星型(hub and spoke)的VPN网络，可按VPN部署的需求，配置用其一或整合两种网络拓扑。 Juniper的防火墙很好地支持VPN的冗余，可以实施基于策略的VPN和基于路由的VPN。1.4 流量管理功能流量管理允许网络管理员实时监视、分析和分配各类网络流量使用的带宽，有助确保在用户上网浏览时或在执行其他非关键性应用时而不会影响关键性业务的流量。 根据IP地址、用户、应用或时间段来进行管理 可以对进出两个方向的流量都进行流量管理 设定保障带宽和最大带宽 以八种优

16、先等级，为流量分配优先权 支持符合行业标准的diffserv数据包标记1.5 强大的ASIC的硬件保障Juniper防火墙的安全机制广泛采用了ASIC芯片技术，在ASIC硬件中处理防火墙访问策略和加密算法，这方面运算的速度是软件类方案不能相比的；同时它还可以省出中央处理器资源用于管理数据流。这种安全加密的ASIC更可与Juniper的ScreenOS操作系统和系统软件紧密地集成起来，与其他基于通用的商用操作系统的安全产品相比，Juniper产品消除了不必要的软件层和安全漏洞。Juniper将安全功能提升到系统层次，更可以节省建立额外平台带来的开支。目前，其他采用PC或工作站作为平台的软件类方案

17、，往往令系统性能大打折扣。ASIC芯片对防火墙的性能和稳定性有极大的提高，主要体现在：1、 ASIC芯片可以对会话建立后的流量进行不经过CPU处理的直接转发；2、 ASIC芯片可以对IPsec VPN进行加解密处理。3、 可以对一系列的网络层的DDoS攻击（包括生成对TCP Syn泛洪攻击的cookie）进行防护，直接在ASIC芯片上对数据包进行丢弃，避免了对系统的影响。4、 IP包的碎片重组和流量统计也依靠ASIC芯片实现。 正是由于采用了高性能的专用ASIC芯片，所以Juniper的安全产品的性能不仅仅在实验室网络环境下都能够发挥出高水平，在实际的生产网络环境中同样可以保持高性能。1.6

18、设备的可靠性和安全性Juniper将所有功能集成于单一硬件产品中，它不仅易于安装和管理，而且能够提供更高可靠性和安全性。由于Juniper设备没有其它品牌对硬盘驱动器和移动部件所存在的稳定型问题，所以它是对在线时间要求极高的用户的最佳方案。采用Juniper设备的WebUI管理方式，可以直接登陆Web界面里对防火墙、VPN和流量管理功能进行配置和管理，减轻了配置另外的硬件和操作系统。这个做法缩短了安装的时间，并在防范安全漏洞的工作上，减少设定的步骤。1.7 完备简易的管理Juniper的安全设备包括强健的管理支持，允许网络管理员安全地管理设备。由于VPN功能是内置的，因此可以对所有管理加密，从

19、而实现真正的安全远程管理。 采用NetScreen Security Manager，以C/S形式实现中央站点管理。 通过内置WebUI实现浏览操作式的管理。 带内，可透过SSH和Telnet进入命令行界面(CLI)；带外，则可透过控制台/调制解调器端口/带外管理口进行管理。 电子邮件告警、SNMP traps和告警。 系统日志(Syslog)、简单网络管理协议(SNMP)、WebTrends和MicroMuse NetCool界面可与第三方报表系统互兼容。防火墙上将syslog发到到多台普通的syslog服务器上，如果要进行syslog汇总分析报表，则可以和WebTrend服务器配合使用，也

20、可以通过多家syslog的报表分析软件（包括中文界面的软件）对syslog进行日志报表。除了Syslog服务器，Juniper防火墙还可以将syslog发到Juniper的NSM集中管理服务器上，然后NSM服务器按照策略将不同的日志发给不同的syslog服务器。如果在NSM服务器的基础上安装了SRS的日志报表服务器后，用户也可以用SRS来生成历史报表。防火墙上本身提供一定数量的本地认证用户数据库，也可和Radius服务器、LDAP服务器等配合使用提供外部用户身份认证。第二章 项目概述第三章 总体方案建议计算机网络安全建设方案是参照国际通行的PDRR（Protection防护、Detection

21、检测、Respone响应和Recovery恢复）安全模型进行设计的。与防火墙A和B直接相关的网络部分如下图所示：3.1 防火墙A和防火墙B的双机热备、均衡负载实现方案Juniper 的中高端防火墙对双机热备、负载分担的实现有很好的支持，实施的方式是通过Juniper的冗余协议NSRP，类似于VRRP（HSRP）但在其基础上有很大的改进，现详细介绍如下：Juniper为了实现更安全、更有效的防火墙冗余体系，开发了专有的防火墙HA工作的协议NSRP，NSRP协议借鉴了VRRP协议，而且弥补了VRRP协议的不足，是针对安全设备的HA协议。NSRP实现了：在HA组成员之间镜像配置，在发生故障切换时确保

22、正确的行为。可以在HA组中维护所有活动会话和VPN隧道。故障切换算法根据系统健康状态确定哪个系统是主系统，把状态与相邻系统连接起来或监控从本系统到远端的路径。无论活动会话和VPN隧道的数量有多少，故障检测和切换到备用系统可以在低于一秒时间内完成。整个系统的防火墙处理能力提高一倍。Juniper 的中高端防火墙更支持全网状的Active/Active HA，避免低级的网络故障导致Juniper防火墙的不可用。Juniper 设备处于“路由”或 NAT 模式时，可以将冗余集群中的两台设备都配置为主动，通过具有负载均衡能力的路由器，运行诸如“虚拟路由器冗余协议 (VRRP)”等协议，共享它们之间分配

23、的流量。通过使用“NetScreen 冗余协议 (NSRP)”创建两个虚拟安全设备 (VSD) 组，每个组都具有自己的虚拟安全接口 (VSI)，即可实现此目的。设备 A 充当 VSD 组 1 的主设备，并充当 VSD 组 2 的备份设备。设备 B 充当 VSD 组 2 的主设备，并充当 VSD 组 1 的备份设备。此配置称为双主动（请参阅下图）。由于设备冗余，因此不存在单一故障点。负载分担的方式是通过同一VLAN内一部分设备的网关指向一台防火墙的端口ip地址，另一部分设备的网网关指向另一台防火墙的端口ip地址。故障切换后，该VLAN的所有设备都指向同一防火墙的物理端口（逻辑上具备两个同网段的I

24、P地址，作为不同设备的缺省网关IP地址）。设备 A 和设备 B 各接收 50% 的网络和 VPN 流量。设备 A 出现故障时，设备 B 变成 VSD 组 1 的主设备，同时继续作为 VSD 组 2 的主设备，并处理 100% 的流量。在双主动配置中，故障切换产生的流量转移结果如下图所示。尽管处于双主动配置的两台设备分开的会话总数不能超过单个防火墙设备的容量，但添加的第二台设备使可用的潜在带宽加倍。第二台主动设备也保证两台设备都具有网络连接功能。即双主动的配置方法的最大连接数保持为原单机时的数量，该数量对一个大型网络也已足够了，但是数据吞吐量则增大一倍。除 NSRP 集群（主要负责在组成员间传播

25、配置并通告每个成员的当前 VSD 组状态）外，还可以将设备 A 和设备 B 配置为 RTO 镜像组中的成员，该镜像组负责维持一对设备之间执行对象 (RTO)3 的同步性。主设备让位时，通过维持所有当前会话，备份设备可立即用最短的服务停顿时间承担主地位。除冗余设备外，还可以在防火墙设备上配置冗余物理接口。如果一级端口失去网络连接，则二级端口承担连接的任务。在防火墙设备中，也存在冗余物理 HA 接口，它不仅处理不同种类的 HA 通信，而且彼此充当备份。缺省情况下， HA1 处理控制消息， HA2 处理数据消息。如果失去任一 HA 链接，则另一链接可承担起两种消息类型。在没有专用 HA 接口的 Ju

26、niper 设备上，必须将一个或两个物理以太网接口绑定到 HA 区段上。由于 NSRP 通信的机密特性，可以通过加密和认证保障所有 NSRP 流量的安全。对于加密和认证，NSRP 分别支持DES 和 MD5 算法。通常，在Juniper的冗余协议NSRP的支持下，防火墙的冗余连接有以下几种形式： Active-Standby：有冗余，无法同时工作如果设备A 或 ISP A 出现故障，则设备B 将成为主设备，而设备A 将成为备份设备 ( 或者在出现内部系统故障时变得不可操作)。 Active-Active： 有冗余，双机同时工作，仅能容忍1个故障点 Active-Active(全网状，Full

27、Mesh)： 有冗余，双机同时工作，最多容忍3个故障点，网络结构较复杂，可以检测切换非相邻设备的故障。Juniper的中高端防火墙设备通过一个或两个高可靠性端口HA1和HA2来实现NSRP。在实际配置时，可将第一个端口HA1配置为传递控制信息的连接，实现两台防火墙的配置同步、心跳检测、故障检测、实时会话信息同步等功能，此时两台防火墙的会话状态表保持一致，传递信息的流量实际并不大（主要是会话建立的初期需要传递较多的会话的参数信息），所以两台防火墙的会话信息可以实时得到同步。第二个端口HA2配置为传递实际数据流量数据线路，主要是在不对称流量进出的情况发挥作用，即某一会话的流量进来是通过第一台防火墙

28、，但是返回的流量却因为相邻路由设备的原因发到了第二台防火墙，此时第二台防火墙进行会话状态检测后发现是基于现有会话的，而且属于第一台防火墙处理的流量，于是将返回的流量通过HA2端口发给第一台防火墙。两个HA端口可以作为备份，即实际上一个HA就可以实现以上功能，保证了网络的高可靠性。在实际应用中，可以通过网络优化、路由调整的方法将不对称的流量减少，从而使得第二个端口HA2的负载处在合理水平。以上的故障切换均可在小于1秒内完成，并且对用户流量透明。具体切换的触发因素和检测方式列表如下：故障描述NSRP / Juniper 保护Juniper 保护的故障数据端口故障 (物理层和链路层)冗余数据端口HA

29、端口冗余HA端口电源故障冗余电源设备完全掉电心跳信号ScreenOS 系统故障导致流量不通过但端口是up的 (layer 3 故障)心跳信号相邻设备故障完全掉电和不提供服务IP 路径检测路由器故障 端口故障链路监测 设备故障IP 路径检测&链路监测 应用故障IP 路径检测交换机故障 端口故障链路监测 设备故障链路监测 应用故障IP 路径检测管理员控制的设备维护和down机IP 路径检测多设备故障Juniper 和周围设备在不同路径故障冗余端口环境故障物理接线故障链路监测电路故障心跳信号, 多电源, 链路监测, IP路径检测此外，由于实施了Juniper 的冗余协议NSRP，包括VPN、地址翻译

30、等多种应用的实时信息都得到同步，即对VPN连接、地址翻译连接的切换也是在小于1秒完成，所以在实施时具备很强的灵活性，适应了各种网络应用的情况。而且查错较为简单。所以该方案的优势还是比较明显的，只需在实施时注意减少不对称路由的条数，让大部分的流量对称地传送，小部分不对称路由的流量通过HA2口做“h”型的转发即可。3.2 防火墙A和防火墙B的VLAN（802.1Q的trunk协议）实现方案Juniper 防火墙在路由模式的（包括5GT）都支持VLAN终结和VLAN间的路由，即在物理端口下可以开802.1Q的逻辑子接口。不同的逻辑子接口可以放在不同的安全区里面，然后可以对不同安全区之间的互相访问进行

31、控制（缺省情况下的规则是不允许互相访问）。Juniper防火墙在透明模式下一般可以支持对不带vlan tag标记和带vlan tag标记的数据包的穿越，同时对该数据包的IP层及应用层的信息进行分析，从而可以更容易地将该防火墙部署到网络里面。3.3 防火墙A和防火墙B的动态路由支持程度的实现方案Juniper 的防火墙支持的路由协议包括：1、 OSPF/BGP动态路由；2、 RIPv2动态路由；3、 源路由：即根据源IP地址或源接口来确定下一跳；4、 多链路负载均衡：Juniper防火墙支持同一物理接口下多链路和不同不物理接口下的多链路的负载均衡，最多的链路可达4条。5、 Juniper防火墙的三层接口，包括物理接口、逻辑子接口、loopback接口、VPN通道接口等都可以运行动态路由；3.4 防火墙的VPN实现方案Juniper防火墙的各个三层接口都可端结IPsec VPN，并且可以实施基于策略的VPN（通过防火墙策略定义手动调用相应的VPN），和基于路由的VPN（通过路由协议自动选择相应的VPN隧道，然后单独实施防火墙策略）。Juniper防火墙中整合了一个全功能VPN解决方案，它们支持站点到站点V