JuniperUTM统一威胁标准管理系统解决专项方案.docVIP

附件二： ＸＸＸ企业 Juniper UTM统一威胁管理系统 处理方案 北京阳光金网科技发展 12月 目 录 TOC \o 1-3 \h \z \u 一． Juniper安全理念 - 3 - 1.1 基础防火墙功效 - 3 - 1.2 内容安全功效 - 4 - 1.3 虚拟专网(VPN)功效 - 7 - 1.4 流量管理功效 - 8 - 1.5 强大ASIC硬件保障 - 8 - 1.6 设备可靠性和安全性 - 9 - 1.7 完备简易管理 - 9 - 二． 处理方案 - 10 - 2．1 方案布署 - 10 - 2．2 安全业务网关设备UTM功效概述 - 10 - 2．2．1 SSG 550和SSG 20UTM特征 - 10 - 2．2．2 UTM概述 - 11 - 三．SSG 550产品介绍 - 16 - 3．1 SSG 550产品介绍 - 16 - 一． Juniper安全理念 网络安全能够分为数据安全和服务安全两个层次。数据安全是预防信息被非法探听；服务安全是使网络系统提供不间断通畅对外服务。从严格意义上讲，只有物理上完全隔离网络系统才是安全。但为了实际生产和信息交换需要，采取完全隔离手段保障网络安全极少被采取。在有了对外联络以后，网络安全目标就是使不良用心人窃听数据、破坏服务成本提升到她们不能承受程度。这里成本包含设备成本、人力成本、时间成本等多方面原因。Juniper整合式安全设备是专为互联网网络安全而设，将硬件状态防火墙、虚拟专用网（IPsec VPN）、入侵防护（IPS）和流量管理等多个安全功效集于一体。Juniper整合式安全设备含有ASIC芯片硬件加速安全策略、IPSec加密演算性能、低延时，能够无缝地布署到任何网络。设备安装和操控也是很轻易，能够经过内置WebUI、命令行界面或中央管理方案进行统一管理。 为提升恶意攻击者攻击成本，Juniper安全理念提供了多层次、多深度防护体系，图所表示。 关键关键资源IntrusionPrevention 关键关键资源 IntrusionPrevention DoS Firewall IPSec VPN 集中管理 合作方案 1.1 基础防火墙功效 　　Juniper提供了可扩展网络安全处理方案，适适用于包含宽带移动用户、中小型企业Internet边界、大型企业内部网络安全域划分和控制，以至电子商务网站服务器保护等等。Juniper全功效防火墙采取实时检测技术，能够预防入侵者和拒绝服务(denial-of-service)攻击。 Juniper防火墙采取ScreenOS软件，是经过ICSA认证实时检测防火墙。 Juniper防火墙系列采取安全优化硬件（包含ASIC芯片和主板、操作系统和防火墙），比拼凑而成软件类方案提供更高级安全水平。 Juniper防火墙系列提供强大攻击防御能力，包含SYN攻击、ICMP泛滥、端口扫描(Port Scan)等攻击防御能力，配置硬件加速会话建立 (session ramp rates)性能，即使在最关键性环境下也能够提供安全保护。 Juniper防火墙系列提供多种网络地址翻译(NAT)、端口地址翻译(PAT)功效――有效隐藏内部、无法路由IP地址。 1.2 内容安全功效 Juniper提供多样内容安全功效，包含深层检测功效、防病毒、垃圾邮件过滤、和网页过滤4种，而且能够提供试用临时许可license，能够让用户在一定时间内下载特征库及使用该内容安全更新。过了试用期后，用户必需定购年度服务来取得最新入侵防护攻击库、病毒库、并得到垃圾邮件和网页过滤定时更新。 用户能够分别购置某个单项内容安全服务，也能够购置价格愈加优惠4项打包内容安全服务。 1.2.1 深层检测功效(Deep Inspection) 深层检测功效（Deep Inspection，简称DI）是Juniper防火墙操作系统ScreenOS里集成一个专门对网络流量里应用层攻击（包含网络蠕虫、木马和恶意软件）进行检测功效，其实就是将JuniperIPS/IDP入侵检测和防护功效集成到Juniper防火墙ScreenOS里面，对会话实施基于状态策略同时进行对应用层攻击特征匹配，而且作出对应保护动作。Juniper防火墙针对流量应用层分析和特征匹配进行了一系列优化，降低了对数据吞吐能力影响。 为了降低对防火墙性能影响，Juniper为深层检测提供4种特征包，让IT管理员依据需要保护资源而灵活选择下载、更新和采取，包含： 基础版（Base）特征包：针对中小型企业全方面防护（包含保护C/S应用和防蠕虫）； 服务器（Server）特征包：针对服务器群进行保护（包含保护IIS、Exchang