juniper网络安全防火墙解决方案.docx

《juniper网络安全防火墙解决方案.docx》由会员分享，可在线阅读，更多相关《juniper网络安全防火墙解决方案.docx（16页珍藏版）》请在三一办公上搜索。

1、网络安全解决方案1.1. 用户现状与需求分析1.1.1. 用户现状TCL公司现在的网络使用JUNIPER SSG550M的防火墙，该防火墙使用已有几 年了使用一直很稳定。现由于业务的不断的发展，公司的网络规模也越来越大， 其性能已经不能满足使用需求了，故需求更换性能更高的防火墙。1.1.2. 需求分析从TCL有限公司的目前网络状况来看，需要规划的网络状况如下： 网关处需要有防火墙设备，保护内部电脑免受来自互联网的各种威胁 网关处部署防火墙设备容易引起单点故障，所我们建议使用两台同型防火墙作双 机热备。由于大部分应用来自内网，因此内网到服务器之间应该由防火墙建立专有的 区域保护服务器避免受到来自

2、内网的攻击。从上面的分析结果可以看出，需要解决上述问题，是此次方案的设计目标， 本方案的设计目标如下：网关处架设两台专业的防火墙做HA，使用防火墙连接到互联网，使本地网络 免受一些来自互联网的攻击、威胁。对内网用户访问外部的应用作限制.同时防火墙应具备极强的防止四层以上 攻击的入侵检测功能，以保证内外网的安全隔离。使用防火墙IPS功能模块.对内网、外网的出入数据作检测，预防网络攻击 行为。1.2. 防火墙网络安全方案设计针对以上需求分析及实现的设计目标，我们设计了以下的方案来完成网络连接。此方案既能解决当前面临的互联网安全问题，也能满足当前以及未来的应用 需要。惠州TCL移动逋信有限公司HA部

3、署解决方案1.2.2. 拓朴描述1、在网关处部署两台JUNIPER ISG 1000防火墙作HA。2、防火墙下面分别针对每个部门建立一个处立的区域。3、每个区域之间通过策略来控制通信。1.2.3. 方案实施惠州TCL移动通信有限公司HA部署解决方案由于现在公司的现状我们本次项目的实施暂时部署一台防火墙，到第二期时再部署另一台防火墙，与本期的防火墙作HA。1.3. Juniper ISG1000 产品介绍1.3.1.产品概述Juniper推出业内第一款整合了多种最佳网络边界安全功能的整合式安全 网关 Juniper-ISG 1000 (Integrated Security Gateway),可

4、在有效防护来自 网络层及应用层的威胁的同时，为企业和运营商的网络提供最优化的性能并降低网络复杂性。目前业内其他安全解决方案提供商的整合方式往往以牺牲网络性能为代 价，并增加了网络复杂性。而Juniper的最新专属定制的系统采用模块化设计及 独特的处理架构-包括基于Juniper的新型第四代ASIC芯片的整合了防火墙 及VPN功能，不久的将来还可整合完善的入侵检测与防护(IDP)功能。 Juniper-ISG 1000具备卓越的性能，以及灵活性和可扩展性，从而有效抵御今 天和未来日益复杂的网络威胁。Juniper-ISG 1000是企业、电信运营商和数据中心的网管人员的理想选择， 可帮助他们有效

5、应对不断增加且更为隐蔽的网络攻击，同时确保超卓的网络性 能，平衡有限的网络资源和预算。世界著名调研机构Infonetics Research的首席分析员Jeff Wilson表示： “功能整合的安全设备已是大势所趋。然而，如果没有适当的设计和功能性的结 合，就会造成网络性能或管理的障碍。Juniper处理这一问题时，对整合可能造 成的缺陷非常清楚。而Juniper-ISG 1000是成功结合设备的管理能力、性能和 不同安全功能的良好范例。” 独特的处理架构Juniper-ISG 1000具备高达1Gbps线速的防火墙速率及1 Gbps 3DES/AES IPSec VPN速率；支持高达8个千兆

6、的以太网连接或28个FE以太网连接，甚 至两种兼备。还可支持10,000个VPN通道，250,000个并发会话，每秒20,000 个新会话。以上增强的性能是通过将几项灵活的处理功能相结合实现的：包括高 性能双GHz CPU管理模块、现场可编程门阵列(FPGA)、以及新一代ASIC芯片 GigaScreen3 ASIC。GigaScreen3 ASIC是业内第一个具备千兆速率，硬件加速 AES和3DES加密以及对任何大小的数据包进行千兆以上防火墙监测的可编程 ASIC芯片。与上一代相比，第四代ASIC芯片的性能提高了一倍，防火墙包处理速度 (pps)高达每秒300万，加密数据包处理速度高达每秒1

7、50万，同时处理任何大 小的数据包均保证传输流量的低延迟，这种特性对VoIP等新的应用来讲非常关 键。另外，多重内嵌的处理器提升了拒绝服务式攻击（DoS）防护及加密碎片的 功能，同时具备透过软件升级而未来进行新增功能的特性。此外，Juniper-ISG 1000系统架构的独特设计可支持线速防火墙和VPN包 处理功能，同时执行基于安全策略，将个别会话另行导向特定的安全模块，以进 行进一步的安全处理，额外的安全处理所需的特定安全模块的会话重置。 GigaScreen 3 ASIC可平衡处理多达三个安全模块的所有会话，而每一个模块都 具备双GHz中央处理器（CPU）, 一个现场可编程门阵列（FPGA

8、s）及内存，以 运行入侵检测与防护（IDP）等额外的安全应用。除了设计独特的系统， Juniper-ISG 1000的用户还可受益于Juniper的操作系统软件ScreenOS中的网 络和安全功能，其中包括深层监测防火墙技术，基于动态路由的VPN及虚拟系 统功能，还包括对BGP, RIPv2及OSPF路由协议的支持，从而可简化多种复杂环 境下的设备部署ISG1000系统中也可以集成IDP（入侵防护）模块，该模块采 用了多种检测方法和强大的签名定制功能，可提供在线攻击防护功能，来防止恶 意攻击、蠕虫、病毒和特洛伊等对内部网络敏感资源的窃取和破坏，可以有效地 识别并阻止您网络中的攻击，从而最大限度

9、地缩短处理入侵的时间并降低成本。 同时，ISG1000系统还具备双主动（Active-Active）或主动-被动（Active-Passive） 模式的高可用性选择，该功能可避免单点故障，将网络连通性及生产力最大化。Juniper亚太区高级市场总监PaulSerrano说：新推出的具高扩展性的 Juniper-ISG1000平台代表了一个新的产品等级，此类产品可有效防范当今日趋 复杂的网络层和应用层的攻击，并同时确保最佳的网络性能和最简单的管理操 作。其独特的处理架构和模块化的设计可实现网络性能和安全功能的可扩展性， 从而在今天和未来有效确保网络安全。”1.3.2.产品特性和优势特性特性描述优

10、势专用平台专用的、安全性特定的处理硬件和 软件平台。提供所需的性能来保护高速局 域网环境。可预测的性能基于ASIC的架构以数千兆位的 速度为各种规格的数据包提供线性 性能。确保VoIP和流媒体等敏感应 用的低延迟。系统和网络永续性硬件组件冗余，多个高可用性选项 和基于路由的VPN。提供高速网络部署所需的可靠性最佳的网络安全特性内嵌的Web过滤、防垃圾邮件、IPS、ICAP防病毒重定向和可选的集成IDP。赛 门铁克(Symantec)和SurfControl等世界知名的安全合作伙伴提供更多的安全特 性。接口灵活性模块化架构允许通过广泛的铜线和 光纤接口选项部署系统。简化网络集成工作并降低将来 的

11、网络升级成本。网络分区安全区、虚拟局域网和虚拟路由器 支持管理员部署安全策略，以便隔 离访客、地区服务器或数据库。强大的功能可促进为网络中不 同的内外部和DMZ子组部署 安全性，以防非法访问。集中管理通过NSM集中管理瞻博网络公司 防火墙和IDP产品。跨越多个平台实现紧密集成， 以实现简单直观的网络级安全 管理。强韧的路由引擎公认的路由引擎支持OSPF、BGP 和RIP v1/2以及帧中继、多链路帧 中继、PPP、多链路PPP和HDLC。允许部署整合后的安全和路由 设备，从而降低运行和购置成 本。全面的威胁防护专用处理模块允许通过单一解决方 案提供最佳的数千兆防火墙 /VPN/IDP 性能。无

12、与伦比的性能，保护网络免遭高速网络中所有类型的攻击。世界一流的专业服务从单一实验室测试到大型网络实 施，瞻博网络公司的专业服务都将 竭诚和您的团队合作，来确定目 标、定义部署流程、创建或验证网转变网络基础设施，确保基础 设施的安全性、灵活性、可扩 展性和可靠性。络设计并管理部署项目。1.3.3. 产品技规格本规格对应的ScreenOS版本ScreenOS 6.1防火墙性能(大数据包)2Gbps防火墙性能(小数据包)1 Gbps防火墙数据包转发性能/pps(64字节数据包)M PPSAES256+SHA-1 VPN 性能1 Gbps3DES+SHA-1 VPN 性能1 Gbps最多并发会话数(3

13、)250,000每秒新建会话数(有背景流压力)(7)20,000最多安全策略数30,000最多支持的用户数不限固定I/O0接口扩展插槽4局域网接口选项8 个 mini-GBIC (SX, LX 或 TX)， 最多4个10/100/1000接口，最多28 个10/100接口，最多4个10GE网络攻击检测是拒绝服务(DoS)和分布式拒绝服务(DDoS)防护是用于分段数据包保护的TCP重组是强行攻击缓解是SYN cookie 防护是基于区域的IP欺骗防护是异常数据包保护是状态协议签名是攻击检测机制状态签名、流量异常检测、协议异常检测（零日防护），后门检测攻击响应机制丢弃连接、结束连接、会话数据包日志

14、、会话总结、电子邮件、定制攻击通知机制会话数据包日志、会话总结、电子邮件、SNMP、系统日志、Webtrends蠕虫防护是通过建议的策略实现简单的安装是特洛伊木马防护是间谍软件/广告软件/键盘记录软件防护是其他恶意软件防护是防止攻击从受感染系统扩散是侦察防护是请求和响应端攻击防护是复合攻击一一将状态特征和协议异常相结合是创建定制攻击特征是定制访问上下文500+攻击编辑（端口范围等）是流签名是协议门限值是状态协议签名是所能防护的攻击的大概数量5,500+*详细的威胁描述和补救措施/补丁信息是企业安全事件探查器是创建并执行适当的应用使用策略是攻击者与攻击目标审计跟踪和报告是部署模式串联或串联TAP

15、更新频率每日更新和紧急更新深层检测签名包(4)是IPS(深层检测防火墙)(4)是协议异常检测是状态协议签名是IPS/深层检测攻击模式迷惑是ICAP防病毒重定向是防垃圾邮件是集成URL过滤是外部URL过滤(6)是H.323 ALG是SIP ALG是MGCP ALG是SCCP ALG是面向VoIP协议的网络地址转换是GTP隧道（7）300,000GTP数据包检测(IPS或IDP)是并发VPN隧道数(8)10,000隧道接口 (8)最多1,024个DES（56 位）,3DES （168 位）和 AES （256 位）是MD-5和SHA-1验证是手动密钥,IKE, PKI （X.509），IKEv2/

16、EAP是完美转发密钥(DH组)1,2,5防重放攻击是远程接入VPN是IPSec 中的 L2TP是IPSec NAT 穿越是冗余的VPN网关是内置的(内部)数据库-用户数量限制(8)50,000第三方用户验证RADIUS, RSA SecureID, LDAPRADIUS记账是-开始/结束XAUTH VPN 验证是基于Web的验证是802.1X验证是统一接入控制执行点是PKI 证书请求(PKCS 7 和 PICS 10)是自动证书登记（SCEP）是在线证书状态协议（O CSP）是支持的证书颁发机构VeriSign, Entrust, Microsoft, RSA Keon, iPlanet (N

17、etscape) Baltimore,DoD PKI自签名证书是最多虚拟系统数默认为0,可升级到250最多安全区域数默认为26,可升级到526最多虚拟路由器数默认为3,可升级到253最多支持的VLAN数4,094路由BGP实例64BGP对128BGP路由20,000OSPF实例8OSPF路由6,000RIP v1/v2 实例最多支持50个实例RIP v2 表20,000动态路由是静态路由20,000基于源的路由是基于策略的路由是ECMP是组播是反向路径转发(RPF)是IGMP (v1, v2)是IGMP代理是PIM SM是PIM SSM是IPSec隧道内的组播是双堆栈IPv4/IPv6防火墙和

18、VPN是同步Cookie和同步代理DoS攻击检测是SIP，RTSP，Sun-RPC 和 MS-RPC ALG是IPv4与IPv6的转换和封装是虚拟化(VSYS,安全区,VR, VLAN)是RIPng是L2模式(透明模式)是L3模式(路由和NAT模式)是网络地址转换(NAT)是端口地址转换(PAT)是基于策略的NAT/PAT是映射的IP8,192虚拟 IP (VIP) (9)8MIP/VIP 分组是静态是DHCP, PPPoE 客户端否，否内部DHCP服务器否DHCP relay是旦一U地出 最大带宽是-仅逐物理接口巨型帧是(11)DiffServ 标记是-逐策略主用/主用一透明和L3模式是主用

19、/备用是配置同步是用于防火墙和VPN的会话同步是用于路由变化的会话故障切换是设备故障检测是链路故障检测是新HA成员验证是HA流量加密是WebUI (HTTP 和 HTTPS)是命令行接口 （控制台）是命令行接口 （远程登录）是命令行接口 （SSH）是NetScreen-Security Manager是通过任何接口上的VPN隧道提供全部管理是快速部署是本地管理员数据库大小256外部管理员数据库支持RADIUS, LDAP受限制的管理网络是根管理员、管理员和只读用户级别是软件升级是配置回退是系统日志（多个服务器）是电子邮件（2个地址）是NetIQ WebTrends是SNMP (v2)是SNMP

20、全配置/定制的MIB是路由跟踪是VPN隧道监视器是其他的日志存储容量支持128或512 MB的工业级SanDisk事件日志和告警是系统配置脚本是ScreenOS 软件是尺寸（WXHXD）X X23英寸（44.5 XX 58.4 厘米）重量50磅/23千克机架安装是，3U电源（交流）两个，冗余电源（直流）两个，冗余最大热输出537 BTU/ 小时（W）安全认证UL, CUL, CSA, CBEMC认证FCC class A, CE class A, C-Tick,VCCI class ANEBS是MTBF （Bellcore 模式）7.6年Common Criteria： EAL4 和 EAL4

21、+是FIPS 140-2： 2 级是ICSA防火墙和VPN是运行温度32至 122F, 0至 50C非运行温度-4至 158F, -20至 70C湿度10至90%，非冷凝1.3.4. 产品参数产品特性产品结构软硬一体化的结构采用ASIC专用安全硬件平台。使用专用安全操作系统接口可扩展模块化设计支持千兆光纤接口4个千兆电口数量远程Modem管理口专用的带外管理接口Compact Flash 外部接口性能指标两接口间吞吐量（64字节）1G最大流量2G，VPN 3DES吞吐量（64字节）1GVPN 3DES吞吐量（5121518字节）1GVPN AES吞吐量 （64字节）1GVPN AES吞吐量（5

22、121518字节）1GNAT支持的NAT的类型；支持MIP，VIP，DIP，支持双向地址转换，支持从任意 区域到任意区域的地址转换支持基于访问控制规则的NAT配置NAT功能由高性能ASIC芯片处理访问控制及认证支持对源、目的地址，源、目的端口，协议，用户，时间的精细粒度访问控制策略的配置支持Sun-RPC、MS-RPC、SQL Net v2等动态端口协议支持LDAP, Radius, SecureID 同时支持主动认证与被动认证方式路由协议支持能力支持源地址路由功能支持虚拟路由器支持OSPF，RIP，BGP等路由协议支持策略路由（根据源小、目的小、端口、ToS标志位等）选择路由支持 Sourc

23、e Interface based Routing(SIBR)支持 Interface Based Track IP支持基于同一接口下或不同接口下的多条等价路由同时使用的ECMP(EqualCost Multi-path Routing)功能组播支持支持基于访问控制策略的组播通讯支持 PIM-SM,PIM-SSM支持IGMP多媒体安全支持多媒体协议，多媒体通讯的带宽保证支持SIP Source Flood攻击防护支持 Gatekeeper to Gatekeeper Calling 和 Gatekeeper Routed Call支持 DHCP for VIP高可用性支持Active-Acti

24、ve负载分担支持Actvie/Passive双机热备支持接口链路几余(Redundant)和与交换机的交叉连接。必须支持Full-Mesh接口链路冗余部署冗余心跳线路支持HA的状态同步；支持Session同步、ARP Cache同步、NAT Catch同步、IPSec SA 同步管理远程管理手段可提供单一集中管理软件来实现集中管理配置和策略、并且可以获得流量日志和审计日志集中管理分域分级别VPN支持 L2TP, IPSec VPN支持基于路由(Route-Based)的VPN支持VPN隧道通过动态路由协议自动恢复支持冗余VPN网关1.4.项目预算NS-ISG-1000NS-ISG 1000 Advanced System, 4-10/100/1000 ports, Fan Tray, 0 I/O modules, AC power supply, 0 VSYS11万注：以上项目预算包括产品安装调试费用。