Juniper防火墙标准方案建议书.docVIP

Juniper 防火墙标准方案建议书 美国Juniper网络公司 目录 第一章 Juniper的安全理念 3 1.1 基本防火墙功能 3 1.2 内容安全功能 4 1.3 虚拟专网(VPN)功能 7 1.4 流量管理功能 7 1.5 强大的ASIC的硬件保障 8 1.6 设备的可靠性和安全性 8 1.7 完备简易的管理 9 第二章 项目概述 9 第三章 总体方案建议 10 3.1 防火墙A和防火墙B的双机热备、均衡负载实现方案 10 3.2 防火墙A和防火墙B的VLAN（802.1Q的trunk协议）实现方案 15 3.3 防火墙A和防火墙B的动态路由支持程度的实现方案 16 3.4 防火墙的VPN实现方案 16 3.5 防火墙的安全控制实现方案 17 3.6 防火墙的网络地址转换实现方案 25 3.7 防火墙的应用代理实现方案 28 3.9 防火墙用户认证的实现方案 28 3.10 防火墙对带宽管理实现方案 30 3.11 防火墙日志管理、管理特性以及集中管理实现方案 31 第一章 Juniper的安全理念 网络安全可以分为数据安全和服务安全两个层次。数据安全是防止信息被非法探听；服务安全是使网络系统提供不间断的通畅的对外服务。从严格的意义上讲，只有物理上完全隔离的网络系统才是安全的。但为了实际生产以及信息交换的需要，采用完全隔离手段保障网络安全很少被采用。在有了对外的联系之后，网络安全的目的就是使不良用心的人窃听数据、破坏服务的成本提高到他们不能承受的程度。这里的成本包括设备成本、人力成本、时间成本等多方面的因素。Juniper的整合式安全设备是专为互联网网络安全而设，将硬件状态防火墙、虚拟专用网（IPsec VPN）、入侵防护（IPS）和流量管理等多种安全功能集于一体。Juniper整合式安全设备具有ASIC芯片硬件加速的安全策略、IPSec加密演算性能、低延时，可以无缝地部署到任何网络。设备安装和操控也是非常容易，可以通过内置的WebUI、命令行界面或中央管理方案进行统一管理。 1.1 基本防火墙功能 　　Juniper提供了可扩展的网络安全解决方案，适用于包括宽带移动用户、中小型企业Internet边界、大型企业的内部网络安全域划分和控制，以至电子商务网站的服务器保护等等。Juniper全功能防火墙采用实时检测技术，可以防止入侵者和拒绝服务(denial-of-service)的攻击。 Juniper防火墙采用ScreenOS软件，是经过ICSA认证的实时检测防火墙。 Juniper的防火墙系列采用安全优化的硬件（包括ASIC芯片和主板、操作系统和防火墙），比拼凑而成的软件类方案提供更高级的安全水平。 Juniper的防火墙系列提供强大的攻击防御能力，包括SYN攻击、ICMP泛滥、端口扫描(Port Scan)等攻击防御能力，配备硬件加速的会话建立 (session ramp rates)性能，即使在最关键性的环境下也可以提供安全保护。 Juniper的防火墙系列提供各种网络地址翻译(NAT)、端口地址翻译(PAT)的功能――有效隐藏内部、无法路由的IP地址。 1.2 内容安全功能 Juniper提供多样的内容安全功能，包括深层检测功能、防病毒、垃圾邮件过滤、和网页过滤4种，并且可以提供试用的临时许可license，可以让用户在一定时间内下载特征库及使用该内容安全更新。过了试用期后，用户必须定购年度服务来获得最新的入侵防护攻击库、病毒库、并得到垃圾邮件和网页过滤的定时更新。 用户可以分别购买某个单项的内容安全服务，也可以购买价格更加优惠的4项打包的内容安全服务。 1.2.1 深层检测功能(Deep Inspection) 深层检测功能（Deep Inspection，简称DI）是Juniper的防火墙操作系统ScreenOS里集成的一个专门对网络流量里的应用层攻击（包括网络蠕虫、木马和恶意软件）进行检测的功能，其实就是将Juniper的IPS/IDP的入侵检测和防护的功能集成到Juniper防火墙的ScreenOS里面，对会话实施基于状态的策略的同时进行对应用层攻击特征的匹配，并且作出相应的保护动作。Juniper的防火墙针对流量的应用层的分析和特征匹配进行了一系列的优化，降低了对数据吞吐能力的影响。 为了减少对防火墙性能的影响，Juniper为深层检测提供4种特征包，让IT管理员根据需要保护的资源而灵活选择下载、更新和采用，包括： 基础版（Base）特征包：针对中小型企业的全面防护（包括保护C/S应用和防蠕虫）； 服务器（Server）特征包：针对服务器群进行保护（包括保护IIS、Exchange和Oracle服务器等）； 客户端（Client）特征包：针对分布式企业的中小型分支机构客户端设备进行保护（如手提电