Juniper20防火墙标准方案v1.doc

网络安全工程技术方案建议书 第  PAGE 36 页 共  NUMPAGES 36 页 Juniper 防火墙标准方案建议书 美国Juniper网络公司 目录  TOC \o 1-3 \h \z \u  HYPERLINK \l _Toc138839422 第一章 Juniper的安全理念  PAGEREF _Toc138839422 \h 3  HYPERLINK \l _Toc138839423 1.1 基本防火墙功能  PAGEREF _Toc138839423 \h 3  HYPERLINK \l _Toc138839424 1.2 内容安全功能  PAGEREF _Toc138839424 \h 4  HYPERLINK \l _Toc138839425 1.3 虚拟专网(VPN)功能  PAGEREF _Toc138839425 \h 7  HYPERLINK \l _Toc138839426 1.4 流量管理功能  PAGEREF _Toc138839426 \h 7  HYPERLINK \l _Toc138839427 1.5 强大的ASIC的硬件保障  PAGEREF _Toc138839427 \h 8  HYPERLINK \l _Toc138839428 1.6 设备的可靠性和安全性  PAGEREF _Toc138839428 \h 8  HYPERLINK \l _Toc138839429 1.7 完备简易的管理  PAGEREF _Toc138839429 \h 9  HYPERLINK \l _Toc138839430 第二章 项目概述  PAGEREF _Toc138839430 \h 9  HYPERLINK \l _Toc138839431 第三章 总体方案建议  PAGEREF _Toc138839431 \h 10  HYPERLINK \l _Toc138839432 3.1 防火墙A和防火墙B的双机热备、均衡负载实现方案  PAGEREF _Toc138839432 \h 10  HYPERLINK \l _Toc138839433 3.2 防火墙A和防火墙B的VLAN（802.1Q的trunk协议）实现方案  PAGEREF _Toc138839433 \h 15  HYPERLINK \l _Toc138839434 3.3 防火墙A和防火墙B的动态路由支持程度的实现方案  PAGEREF _Toc138839434 \h 16  HYPERLINK \l _Toc138839435 3.4 防火墙的VPN实现方案  PAGEREF _Toc138839435 \h 16  HYPERLINK \l _Toc138839436 3.5 防火墙的安全控制实现方案  PAGEREF _Toc138839436 \h 17  HYPERLINK \l _Toc138839437 3.6 防火墙的网络地址转换实现方案  PAGEREF _Toc138839437 \h 25  HYPERLINK \l _Toc138839438 3.7 防火墙的应用代理实现方案  PAGEREF _Toc138839438 \h 28  HYPERLINK \l _Toc138839439 3.9 防火墙用户认证的实现方案  PAGEREF _Toc138839439 \h 28  HYPERLINK \l _Toc138839440 3.10 防火墙对带宽管理实现方案  PAGEREF _Toc138839440 \h 30  HYPERLINK \l _Toc138839441 3.11 防火墙日志管理、管理特性以及集中管理实现方案  PAGEREF _Toc138839441 \h 31  第一章 Juniper的安全理念 网络安全可以分为数据安全和服务安全两个层次。数据安全是防止信息被非法探听；服务安全是使网络系统提供不间断的通畅的对外服务。从严格的意义上讲，只有物理上完全隔离的网络系统才是安全的。但为了实际生产以及信息交换的需要，采用完全隔离手段保障网络安全很少被采用。在有了对外的联系之后，网络安全的目的就是使不良用心的人窃听数据、破坏服务的成本提高到他们不能承受的程度。这里的成本包括设备成本、人力成本、时间成本等多方面的因素。Juniper的整合式安全设备是专为互联网网络安全而设，将硬件状态防火墙、虚拟专用网（IPsec VPN）、