FW-ISG2000防火墙方案.doc

方案概述 防火墙技术比较 通过对目前网络安全系统应用现状的分析，可以看出，用户需要的是性能稳定、运行高速的防火墙产品，以保证应用的业务连续性。 我们觉得，在进行防火墙选择时需要考虑以下几个方面 是否选择硬件或软件防火墙； 是否选择包过滤、代理或状态防火墙； 防火墙平台分析 目前的防火墙从使用平台上有硬件防火墙、软件防火墙两种。 硬件防火墙软件防火墙用专用芯片处理数据包，CPU只作管理之用。 运行在通用操作系统上的能安全控制存取访问的软件，性能依靠于计算机CPU,内存等。使用专用的操作系统平台，避免了通用性操作系统的安全性漏洞。基于众所周知的通用操作系统（如WINDOWS, LINUX, UNIX等），对底层操作系统的安全依赖性很高。 高带宽，高吞吐量，真正线速防火墙。即实际带宽与理论值可以达到一致。 由于操作系统平台的限制，极易造成网络带宽瓶颈实际所能达到的带宽通常只有理论值的20%--70%。管理简单，快捷，更提供Web方式管理。 管理复杂，与系统有关，要求维护人员必须熟悉各种工作站及操作系统的安装及维护。NetScreen-ISG 2000是基于下一代体系结构而完全由Juniper公司设计的面向应用安全的高性能硬件防火墙，其中包括一个第4代安全ASIC，即GigaScreen3、高速微处理器和可扩展的安全模块，可以提供要求最高的网络安全区控制需要的可预测的多千兆位性能，集成了一流的深层检测防火墙、VPN和DoS防护解决方案，因此可以实现安全、可靠的连接和网络及应用级防护功能来保护关键的大流量网络分段。NetScreen-ISG 2000的硬件结构示意图如下： 各模块的功能如下： 1、管理模块：管理模块上有2个1Ghz的PowerPC的CPU，以及1－2GB的内存，主要对会话的第一个数据包进行处理，双 CPU 结构实现了并行处理，提高了整体性能和安全保护能力，策略查找通过FPGA芯片实现。 2、ASIC芯片模块：上有GigaScreen3 的ASIC芯片和512MB的SDRAM，Juniper的硬件防火墙的最新一代安全 ASIC 技术，具有突破性的硬件性能，可达4 Gbps 防火墙吞吐，具有多重内嵌处理器支持新功能的加速，对会话的后续数据包进行稳定的高速转发而不占用管理模块的CPU处理资源；同时抗拒绝服务攻击也基于ASIC芯片实现硬件处理。 3、安全模块：可选项，可配置0－3块。安全模块其实是刀片式IDP，上有2个1Ghz的PowerPC的CPU，以及2GB的内存，让防火墙具备基于单独专用硬件的对应用层流量进行入侵检测和防护处理的能力。 防火墙系统设计 Juniper特点-强大的ASIC功能 Juniper的安全机制采用ASIC，在硬件中处理防火墙访问策略和加密算法，这方面运算的速度是软件类方案不能相比的；同时它还可以省出中央处理器资源用于管理数据流。这种安全加密的ASIC更可与Juniper的ScreenOS操作系统和系统软件紧密地集成起来，与其他基于通用的商用操作系统的安全产品相比，Juniper产品消除了不必要的软件层和安全漏洞。Juniper将安全功能提升到系统层次，更可以节省建立额外平台带来的开支。目前，其他采用PC或工作站作为平台的软件类方案，往往令系统性能大打折扣。 正是由于采用了高性能的专用ASIC芯片，所以Juniper的安全产品的性能不仅仅在实验室网络环境下都能够发挥出高水平，在实际的生产网络环境中同样可以保持高性能。ISG2000对64byte小包的吞吐在2Gbps以上，1518Byte的大包吞吐达4Gbps。 Juniper特点-应用层攻击防护 为进一步提高网络和应用的安全性，Juniper的防火墙上均配置了深层检测（Deep Inspection）服务，以提供应用层级别的攻击防护。 Juniper的深层检测（DI）防火墙被设计用来对Internet上常见的协议（如HTTP, SMTP, IMAP, POP, FTP和DNS等）的应用层保护。对这些协议，深层检测（DI）防火墙采用和数据接收方相同的方式来理解应用层信息。为了精确地理解应用层信息，深层检测（DI）防火墙实施包碎片重组，次序重组，去除无用信息和信息正常化处理。一旦深层检测（DI）防火墙按这些方法重组出了网络流量，它就用协议异常检测和服务域攻击特征匹配的方法来对流量里的攻击进行防护。 作为Juniper最新一代防火墙，ISG2000还提供可扩展的内部插槽，可以插1-3块硬件安全模块（需要NS-ISG-2000-IKT和NS-ISG-SEC），提供高性能的完整的入侵检测和防护（IPS）功能。采用硬件模块Juniper网络公司ISG2000中的应用层防护模块 多种检测方法，包括复合签名、状态签名、协议异常以及后门检测。 开放式签名格式允许管理