juniper防火墙安全计划.docVIP

第 PAGE 2 页 共 NUMPAGES 36 页 计算机网络系统 防火墙部署工程 技术方案  目录 TOC \o 1-3 \h \z \u HYPERLINK \l _Toc138839422 第一章 Juniper的安全理念 PAGEREF _Toc138839422 \h 3 HYPERLINK \l _Toc138839423 1.1 基本防火墙功能 PAGEREF _Toc138839423 \h 3 HYPERLINK \l _Toc138839424 1.2 内容安全功能 PAGEREF _Toc138839424 \h 4 HYPERLINK \l _Toc138839425 1.3 虚拟专网(VPN)功能 PAGEREF _Toc138839425 \h 7 HYPERLINK \l _Toc138839426 1.4 流量管理功能 PAGEREF _Toc138839426 \h 7 HYPERLINK \l _Toc138839427 1.5 强大的ASIC的硬件保障 PAGEREF _Toc138839427 \h 8 HYPERLINK \l _Toc138839428 1.6 设备的可靠性和安全性 PAGEREF _Toc138839428 \h 8 HYPERLINK \l _Toc138839429 1.7 完备简易的管理 PAGEREF _Toc138839429 \h 9 HYPERLINK \l _Toc138839430 第二章 项目概述 PAGEREF _Toc138839430 \h 9 HYPERLINK \l _Toc138839431 第三章 总体方案建议 PAGEREF _Toc138839431 \h 10 HYPERLINK \l _Toc138839432 3.1 防火墙A和防火墙B的双机热备、均衡负载实现方案 PAGEREF _Toc138839432 \h 10 HYPERLINK \l _Toc138839433 3.2 防火墙A和防火墙B的VLAN（802.1Q的trunk协议）实现方案 PAGEREF _Toc138839433 \h 15 HYPERLINK \l _Toc138839434 3.3 防火墙A和防火墙B的动态路由支持程度的实现方案 PAGEREF _Toc138839434 \h 16 HYPERLINK \l _Toc138839435 3.4 防火墙的VPN实现方案 PAGEREF _Toc138839435 \h 16 HYPERLINK \l _Toc138839436 3.5 防火墙的安全控制实现方案 PAGEREF _Toc138839436 \h 17 HYPERLINK \l _Toc138839437 3.6 防火墙的网络地址转换实现方案 PAGEREF _Toc138839437 \h 25 HYPERLINK \l _Toc138839438 3.7 防火墙的应用代理实现方案 PAGEREF _Toc138839438 \h 28 HYPERLINK \l _Toc138839439 3.9 防火墙用户认证的实现方案 PAGEREF _Toc138839439 \h 28 HYPERLINK \l _Toc138839440 3.10 防火墙对带宽管理实现方案 PAGEREF _Toc138839440 \h 30 HYPERLINK \l _Toc138839441 3.11 防火墙日志管理、管理特性以及集中管理实现方案 PAGEREF _Toc138839441 \h 31 第一章 Juniper的安全理念 网络安全可以分为数据安全和服务安全两个层次。数据安全是防止信息被非法探听；服务安全是使网络系统提供不间断的通畅的对外服务。从严格的意义上讲，只有物理上完全隔离的网络系统才是安全的。但为了实际生产以及信息交换的需要，采用完全隔离手段保障网络安全很少被采用。在有了对外的联系之后，网络安全的目的就是使不良用心的人窃听数据、破坏服务的成本提高到他们不能承受的程度。这里的成本包括设备成本、人力成本、时间成本等多方面的因素。Juniper的整合式安全设备是专为互联网网络安全而设，将硬件状态防火墙、虚拟专用网（IPsec VPN）、入侵防护（IPS）和流量管理等多种安全功能集于一体。Juniper整合式安全设备具有ASIC芯片硬件加速的安全策略、IPSec加密演算性能、低延时，可以无缝地部署到任何网络。设备安装和操控也是非常容易，可以通过内置的WebUI、命令行界面或中央管理方案进行统一管理。 1.1 基本防火墙功能 　　Juniper