Juniper 防火墙标准方案.doc

Juniper 防火墙标准方案建议书 美国Juniper网络公司 目录 第一章 Juniper的安全理念 3 1.1 基本防火墙功能 3 1.2 内容安全功能 4 1.3 虚拟专网(VPN)功能 7 1.4 流量管理功能 7 1.5 强大的ASIC的硬件保障 8 1.6 设备的可靠性和安全性 8 1.7 完备简易的管理 9 第二章 项目概述 9 第三章 总体方案建议 10 3.1 防火墙A和防火墙B的双机热备、均衡负载实现方案 10 3.2 防火墙A和防火墙B的VLAN（802.1Q的trunk协议）实现方案 15 3.3 防火墙A和防火墙B的动态路由支持程度的实现方案 16 3.4 防火墙的VPN实现方案 16 3.5 防火墙的安全控制实现方案 17 3.6 防火墙的网络地址转换实现方案 25 3.7 防火墙的应用代理实现方案 28 3.9 防火墙用户认证的实现方案 28 3.10 防火墙对带宽管理实现方案 30 3.11 防火墙日志管理、管理特性以及集中管理实现方案 31 第一章 Juniper的安全理念 网络安全可以分为数据安全和服务安全两个层次。数据安全是防止信息被非法探听；服务安全是使网络系统提供不间断的通畅的对外服务。从严格的意义上讲，只有物理上完全隔离的网络系统才是安全的。但为了实际生产以及信息交换的需要，采用完全隔离手段保障网络安全很少被采用。在有了对外的联系之后，网络安全的目的就是使不良用心的人窃听数据、破坏服务的成本提高到他们不能承受的程度。这里的成本包括设备成本、人力成本、时间成本等多方面的因素。Juniper的整合式安全设备是专为互联网网络安全而设，将防火墙、虚拟专用网VPN）、入侵防护（IPS）和流量管理等功能集于一体Juniper整合式安全设备具有硬件加速的IPSec加密演算性能、低延时，可以无缝地部署到任何网络。设备安装和操控也是非常容易，可以通过内置的WebUI、命令行界面或中央管理方案进行。防火墙　　Juniper提供了可扩展的网络安全解决方案，适用于包括宽带移动用户、，以至电子商务网站。Juniper全功能防火墙采用实时检测技术，可以防止入侵者和拒绝服务(denial-of-service)的攻击。 JuniperScreenOS软件是ICSA认证的实时检测防火墙。 采用安全优化的硬件、操作系统和防火墙，比拼凑而成的软件类方案提供更高级的安全水平。 强大的攻击防御能力，包括SYN攻击、ICMP泛滥、端口扫描(Port Scan)等攻击防御能力，配备硬件加速的会话 (session ramp rates)性能，即使在最关键性的环境下也可以提供安全保护。 提供网络地址翻译(NAT)、端口地址翻译(PAT)隐藏内部、无法路由的IP地址。HTTP, DNS, FTP, SMTP, POP3, IMAP, NetBIOS/SMB, MS-RPC, P2P, 和IM等）的应用层保护，并且可在将来简单地添加更多的协议。对这些协议，深层检测（DI）防火墙采用和数据接收方（如服务器和客户端的应用）相同的方式来理解应用层信息。为了精确地理解应用层信息，深层检测（DI）防火墙实施包碎片重组，次序重组，去除无用信息和信息正常化处理。一旦深层检测（DI）防火墙按这些方法重组出了网络流量，它就用协议异常检测和服务控制字段里的上下文的攻击特征匹配的方法来对流量里的攻击进行防护。 深层检测（DI）防火墙利用了攻击数据库来储存异常协议和攻击特征（有时被称做“特征”），按协议和攻击的严重性分类，来实施状态检测和深层检测任务。防火墙的分析引擎由其本身的数据库实时提取有关的攻击特征来有效地分析流量。 一旦Juniper的深层检测（DI）防火墙对应用层数据进行重组后，它就实施针对该应用的分析，决定该流量的目的是恶意的还是非恶意的。首先，它根据协议的定义进行分析，如果数据偏离了协议的定义，就代表了协议异常。高冲击力的、带恶意的协议异常，如设法造成内存溢出来控制系统的，将被识别为攻击。对协议异常的细化管理包括调整如何及在哪里查找异常，从而使得支持非正常协议的系统获得同样的支持。深层检测（DI）防火墙将按照细化的协议控制来对相关的服务域进行识别。服务控制字段是与特别功能相关的流量中的部分，如email地址、URL、文件名等。深层检测（DI）防火墙将按特征匹配的方法对相应的字段进行检测。而这些字段就代表了应用层信息，并让深层检测（DI）防火墙可以理解应用层会话，并在正确的字段上进行攻击特征库的匹配查找。 协议符合检查使用户获得攻击出现日第0天防护 因为Juniper深层检测（DI）防火墙可以对流量进行协议符合检查，它也就具备了无须了解某一特别攻击，就可以对一系列的攻击如内存溢出攻击等的防护能力。这意味着这种解决方法可以在对新攻击出现的第0