Juniper 一体化信息安全解决方案.doc

Juniper一体化信息安全解决方案 Juniper Networks, Inc. 目 录 1. 总体描述及总体方案建议 1 1.1 综述 1 1.2 系统现状和需求分析 1 1.3 方案设计概述 3 1.3.1 安全域的划分 4 1.3.2 安全策略设计： 5 1.3.3 防火墙系统的部署 6 1.3.4 入侵检测防御系统（IDP）的部署： 7 1.3.5 SSL VPN 安全接入系统部署 7 2. 系统详细设计方案 8 2.1 解决方案综述 8 2.1.1 一体化信息安全技术模型 8 2.1.2 电力信息系统安全域基本概念 10 2.2 XX电力网络安全域划分及防火墙部署方案 11 2.2.1 安全域的逻辑划分 11 2.2.2 防火墙系统部署方案 15 2.3 入侵检测防御系统设计与部署 23 2.3.1 入侵检测防御系统的需求及选型 23 2.3.2 IDP应用层防护的步骤 27 2.3.3 安全管理解决方案 28 2.4 SSL VPN 安全接入系统建设 30 2.4.1 安全接入技术的选择 30 2.4.2 方案建议 31 2.4.3 SSL VPN安全接入系统对安全的控制 34 2.4.4 SSL 远程安全接入方案实现说明 35 3. 方案产品介绍 42 3.1 Juniper ISG防火墙与入侵防护（IDP）产品介绍 42 3.2 Juniper SSL VPN 产品介绍 47 4. Juniper 公司介绍 48 总体描述及总体方案建议 综述 XX电力公司是一家大型国有企业。XX电力信息安全系统是XX电力公司计算机信息网络的重要组成部分。信息安全系统的目的是为营销管理、财务管理、生产管理、物资管理、办公自动化、信息共享、数据管理以及其它网络应用提供必备的安全网络环境和运行平台，为XX电力公司的信息化建设奠定坚实基础。 由于电力系统一直以来网络结构和业务系统的相对封闭性，电力系统出现的网络安全问题也基本产生于内部。但是，随着近年来与外界接口的增加，特别是与电厂、银行等合作单位中间业务的接口、网上电力服务、三网融合、应用/数据集中化、内部各系统间的互联互通等需求的日益增多，其安全问题已不仅仅局限于内部事件了，来自外界及第三方合作伙伴的威胁已越来越多，已经成为电力信息网不可忽视的安全问题。 计算机系统的安全重点在于防范于未然，即在安全事故发生之前就给予充分的重视，制定综合的安全管理策略，并建立起一套行之有效的可操作控制和集中管理的信息安全保障系统，对安全风险做到可知、可控、可防。因此尽早在XX电力建立和实施一套先进高效并基于风险控制与管理理论的完整的信息安全保障系统势在必行。 系统现状和需求分析 信息技术是公司提高生产和管理效率的一个有力手段。而一个安全可靠、结构合理、支持数字、视频和语音的网络平台则是企业信息化建设高效进行的前提和保障。 如下图所示，从200X年开始XX电力就开始了网络安全的建设工作，至今已建设完成：总公司Internet DMZ 安全接入、总公司银行网关安全接入、全省桌面防病毒系统、总公司入侵检测系统、总公司安全扫描系统等安全子系统。 通过多年的安全建设及安全实践工作XX电力从网络安全设施及安全运作上已经具备网络系统安全运行的基本保障能力。但随着电力行业完成组织机构重组和区域的重新划分之后，厂网分开、竞价上网的经营模式将逐步变为现实，这意味着电力系统一直以来相对封闭性网络结构和业务系统将被打破，与外界接口将进一步增加，特别是与银行、电厂等合作单位中间业务的接口，电力营销、网上客服、三网融合、数据大集中应用、内部各系统间的互联互通等需求将进一步发展，XX电力的安全问题将不仅仅局限于内部事件了，来自外界的攻击将越来越多，原有的安全结构及安全基础设施已越来越不适应XX电力下一步信息化建设发展的需求。其在信息安全技术上表现出的问题及需要解决的问题主要表现为： 无完整的安全系统体系。未形成从网络安全到应用安全到安全管理、安全服务的完整安全体系。 网络结构不合理。原有的简单面向Internet接入及简单网络建设的“核心、汇聚、接入”思想已经不适应供电公司多业务、多合作伙伴、多供应商、多客户及多样化经营、移动办公的业务发展需求。其单一划一的核心接入汇聚方式已不能适应各业务单位的信息系统建设安全及资源保障要求。 内外网不分。全省的网络接入不论性质一律以生产数据网核心交换机为交换中心，低安全级别系统对高安全级别系统进行穿越，破坏安全体系，给信息网造成极大的安全隐患。 无安全数据中心。应用服务器群直接裸露在骨干网核心交换机上，极易受到病毒、黑客的攻击，造成应用系统的瘫痪。 数据中心未根据具体业务性质进行安全服务级别区分及控制。 Internet的接入区仅靠防火墙系统进行安全保护，对数据流的深入分析能