juniperisg2000網(wǎng)絡(luò)安全解決方案建議書.doc

J Ju un ni ip pe er r I IS SG G2 20 00 00 0 網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全解解決決方方案案建建 議議書書 美國(guó)美國(guó) JuniperJuniper 網(wǎng)絡(luò)公司網(wǎng)絡(luò)公司 目目 錄錄 1前言前言 3 1 1范圍定義 3 1 2參考標(biāo)準(zhǔn) 3 2系統(tǒng)脆弱性和風(fēng)險(xiǎn)分析系統(tǒng)脆弱性和風(fēng)險(xiǎn)分析 4 2 1網(wǎng)絡(luò)邊界脆弱性和風(fēng)險(xiǎn)分析 4 2 2網(wǎng)絡(luò)內(nèi)部脆弱性和風(fēng)險(xiǎn)分析 4 3系統(tǒng)安全需求分析系統(tǒng)安全需求分析 5 3 1邊界訪問控制安全需求 5 3 2應(yīng)用層攻擊和蠕蟲的檢測(cè)和阻斷需求 7 3 3安全管理需求 8 4系統(tǒng)安全解決方案系統(tǒng)安全解決方案 9 4 1設(shè)計(jì)目標(biāo) 9 4 2設(shè)計(jì)原則 9 4 3安全產(chǎn)品的選型原則 10 4 4整體安全解決方案 11 4 4 1訪問控制解決方案 11 4 4 2防拒絕服務(wù)攻擊解決方案 13 4 4 3應(yīng)用層防護(hù)解決方案 18 4 4 4安全管理解決方案 21 5方案中配置安全產(chǎn)品簡(jiǎn)介方案中配置安全產(chǎn)品簡(jiǎn)介 22 5 1JUNIPER公司介紹 22 5 2JUNIPER ISG2000 系列安全網(wǎng)關(guān) 25 1 前言前言 1 1 范圍定義范圍定義 本文針對(duì)的是 XXX 網(wǎng)絡(luò)的信息安全問題 從對(duì)象層次上講 它比較全面地囊括了從物 理安全 網(wǎng)絡(luò)安全 系統(tǒng)安全 應(yīng)用安全到業(yè)務(wù)安全的各個(gè)層次 原則上與信息安全風(fēng)險(xiǎn)有 關(guān)的因素都應(yīng)在考慮范圍內(nèi) 但為了抓住重點(diǎn) 體現(xiàn)主要矛盾 在本文主要針對(duì)具有較高風(fēng) 險(xiǎn)級(jí)別的因素加以討論 從安全手段上講 本文覆蓋了管理和技術(shù)兩大方面 其中安全管理 體系包括策略體系 組織體系和運(yùn)作體系 就 XXX 的實(shí)際需要 本次方案將分別從管理和 技術(shù)兩個(gè)環(huán)節(jié)分別給出相應(yīng)的解決方案 1 2 參考標(biāo)準(zhǔn)參考標(biāo)準(zhǔn) XXX 屬于一個(gè)典型的行業(yè)網(wǎng)絡(luò) 必須遵循行業(yè)相關(guān)的保密標(biāo)準(zhǔn) 同時(shí) 為了保證各 種網(wǎng)絡(luò)設(shè)備的兼容性和業(yè)務(wù)的不斷發(fā)展需要 也必須遵循國(guó)際上的相關(guān)的統(tǒng)一標(biāo)準(zhǔn) 我 們?cè)谠O(shè)計(jì) XXX 的網(wǎng)絡(luò)安全解決方案的時(shí)候 主要參考的標(biāo)準(zhǔn)如下 NAS IATF3 1 美國(guó)國(guó)防部信息保障技術(shù)框架 v3 1 ISO15408 GB T 18336 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則 第一部分 簡(jiǎn)介和一般模型 ISO15408 GB T 18336 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則 第二部分 安全功能要求 ISO15408 GB T 18336 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則 第三部分 安全保證要求 加拿大信息安全技術(shù)指南 1997 ISO17799 第一部分 信息安全管理 Code of Practice for Information Security Management GB T 18019 1999 包過濾防火墻安全技術(shù)要求 GB T 18020 1999 應(yīng)用級(jí)防火墻安全技術(shù)要求 國(guó)家 973 信息與網(wǎng)絡(luò)安全體系研究 G1999035801 課題組 IATF 信息技術(shù)保障技術(shù)框架 2 系統(tǒng)脆弱性和風(fēng)險(xiǎn)分析系統(tǒng)脆弱性和風(fēng)險(xiǎn)分析 2 1 網(wǎng)絡(luò)邊界脆弱性和風(fēng)險(xiǎn)分析網(wǎng)絡(luò)邊界脆弱性和風(fēng)險(xiǎn)分析 網(wǎng)絡(luò)的邊界隔離著不同功能或地域的多個(gè)網(wǎng)絡(luò)區(qū)域 由于職責(zé)和功能的不同 相連網(wǎng)絡(luò) 的密級(jí)也不同 這樣的網(wǎng)絡(luò)直接相連 必然存在著安全風(fēng)險(xiǎn) 下面我們將對(duì) XXX 網(wǎng)絡(luò)就網(wǎng) 絡(luò)邊界問題做脆弱性和風(fēng)險(xiǎn)的分析 XXX 的網(wǎng)絡(luò)主要存在的邊界安全風(fēng)險(xiǎn)包括 XXX 網(wǎng)絡(luò)與各級(jí)單位的連接 可能遭到來自各地的越權(quán)訪問 惡意攻擊和計(jì)算機(jī)病 毒的入侵 例如一個(gè)不滿的內(nèi)部用戶 利用盜版軟件或從 Internet 下載的黑客程序惡 意攻擊內(nèi)部站點(diǎn) 致使網(wǎng)絡(luò)局部或整體癱瘓 內(nèi)部的各個(gè)功能網(wǎng)絡(luò)通過骨干交換相互連接 這樣的話 重要的部門或者專網(wǎng)將遭 到來自其他部門的越權(quán)訪問 這些越權(quán)訪問可能包括惡意的攻擊 誤操作等等 但 是它們的后果都將導(dǎo)致重要信息的泄漏或者是網(wǎng)絡(luò)的癱瘓 2 2 網(wǎng)絡(luò)內(nèi)部脆弱性和風(fēng)險(xiǎn)分析網(wǎng)絡(luò)內(nèi)部脆弱性和風(fēng)險(xiǎn)分析 XXX 內(nèi)部網(wǎng)絡(luò)的風(fēng)險(xiǎn)分析主要針對(duì) XXX 的整個(gè)內(nèi)網(wǎng)的安全風(fēng)險(xiǎn) 主要表現(xiàn)為以下 幾個(gè)方面 內(nèi)部用戶的非授權(quán)訪問 XXX 內(nèi)部的資源也不是對(duì)任何的員工都開放的 也需 要有相應(yīng)的訪問權(quán)限 內(nèi)部用戶的非授權(quán)的訪問 更容易造成資源和重要信息 的泄漏 內(nèi)部用戶的誤操作 由于內(nèi)部用戶的計(jì)算機(jī)造作的水平參差不齊 對(duì)于應(yīng)用軟 件的理解也各不相同 如果一部分軟件沒有相應(yīng)的對(duì)誤操作的防范措施 極容 易給服務(wù)系統(tǒng)和其他主機(jī)造成危害 內(nèi)部用戶的惡意攻擊 就網(wǎng)絡(luò)安全來說 據(jù)統(tǒng)計(jì)約有 70 左右的攻擊來自內(nèi)部 用戶 相比外部攻擊來說 內(nèi)部用戶具有更得天獨(dú)厚的優(yōu)勢(shì) 因此 對(duì)內(nèi)部用 戶攻擊的防范也很重要 設(shè)備的自身安全性也會(huì)直接關(guān)系到 XXX 網(wǎng)絡(luò)系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)轉(zhuǎn) 例如 路由設(shè)備存在路由信息泄漏 交換機(jī)和路由器設(shè)備配置風(fēng)險(xiǎn)等 重要服務(wù)器或操作系統(tǒng)自身存在安全的漏洞 如果管理員沒有及時(shí)的發(fā)現(xiàn)并且 進(jìn)行修復(fù) 將會(huì)為網(wǎng)絡(luò)的安全帶來很多不安定的因素 重要服務(wù)器的當(dāng)機(jī)或者重要數(shù)據(jù)的意外丟失 都將會(huì)造成 XXX 內(nèi)部的業(yè)務(wù)無法 正常運(yùn)行 安全管理的困難 對(duì)于眾多的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全設(shè)備 安全策略的配置和安 全事件管理的難度很大 3 系統(tǒng)安全需求分析系統(tǒng)安全需求分析 通過對(duì)上面 XXX 網(wǎng)絡(luò)的脆弱性和風(fēng)險(xiǎn)的分析 我們認(rèn)為整個(gè) XXX 網(wǎng)絡(luò)的安全建設(shè)目前 還比較簡(jiǎn)單 存在著一定的安全隱患 主要的安全需求體現(xiàn)為以下幾個(gè)方面 邊界訪問控制 安全需求 網(wǎng)絡(luò)級(jí)防病毒安全需求 入侵行為檢測(cè)安全需求 安全管理需求等 下面我們將 繼續(xù)上幾章的方法 分別在邊界安全需求 內(nèi)網(wǎng)安全需求環(huán)節(jié)就這幾個(gè)關(guān)鍵技術(shù)進(jìn)行描述 3 1 邊界訪問控制安全需求邊界訪問控制安全需求 防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)邏輯隔離的首選技術(shù) 在 XXX 的網(wǎng)絡(luò)中 既要保證在整個(gè)網(wǎng)絡(luò) 的連通性 又要實(shí)現(xiàn)不同網(wǎng)絡(luò)的邏輯隔離 針對(duì) XXX 網(wǎng)絡(luò)的具體情況 得到的防火墻 的需求包括以下幾個(gè)方面 先進(jìn)的安全理念 支持基于安全域的策略設(shè)定 讓用戶能夠更好的理解防火墻的應(yīng)用目的 訪問控制 防火墻必須能夠?qū)崿F(xiàn)網(wǎng)絡(luò)邊界的隔離 具有基于狀態(tài)檢測(cè)的包過濾功能 能夠?qū)?現(xiàn)針對(duì)源地址 目的地址 網(wǎng)絡(luò)協(xié)議 服務(wù) 時(shí)間 帶寬等的訪問控制 能夠?qū)?現(xiàn)網(wǎng)絡(luò)層的內(nèi)容過濾 支持網(wǎng)絡(luò)地址轉(zhuǎn)換等功能 高可靠性 由于防火墻是網(wǎng)絡(luò)中的重要設(shè)備 意外的當(dāng)機(jī)都會(huì)造成網(wǎng)絡(luò)的癱瘓 因此防火墻必 須是運(yùn)行穩(wěn)定 故障率低的系統(tǒng) 并且要求能夠?qū)崿F(xiàn)雙機(jī)的熱備份 實(shí)現(xiàn)不間斷的 網(wǎng)絡(luò)服務(wù) 日志和審計(jì) 要求防火墻能夠?qū)χ匾P(guān)鍵資源的使用情況應(yīng)進(jìn)行有效的監(jiān)控 防火墻系統(tǒng)應(yīng)有 較強(qiáng)的日志處理能力和日志分析能力 能夠?qū)崿F(xiàn)日志的分級(jí)管理 自動(dòng)報(bào)表 自 動(dòng)報(bào)警功能 同時(shí)希望支持第三方的日志軟件 實(shí)現(xiàn)功能的定制 身份認(rèn)證 防火墻本身必須支持身份認(rèn)證的功能 在簡(jiǎn)單的地方可以實(shí)現(xiàn)防火墻本身自帶數(shù)據(jù) 庫(kù)的身份認(rèn)證 在大型的情況下 可以支持與如 RADIUS 等認(rèn)證服務(wù)器的結(jié)合使用 易管理性 XXX 網(wǎng)絡(luò)是一個(gè)大型的網(wǎng)絡(luò) 防火墻分布在網(wǎng)絡(luò)的各處 所以防火墻產(chǎn)品必須支 持集中的管理 安全管理員可以在一個(gè)地點(diǎn)實(shí)現(xiàn)對(duì)防火墻的集中管理 策略配置 日志審計(jì)等等 系統(tǒng)的安裝 配置與管理盡可能的簡(jiǎn)潔 安裝便捷 配置靈活 操作簡(jiǎn)單 高安全性 作為安全設(shè)備 防火墻本身必須具有高安全性 本身沒有安全漏洞 不開放服務(wù) 可以抵抗各種類型的攻擊 針對(duì)防火墻保護(hù)的服務(wù)器的拒絕服務(wù)攻擊 防火墻可以 進(jìn)行阻擋 并且在阻擋的同時(shí) 保證正常業(yè)務(wù)的不間斷 高性能 作為網(wǎng)絡(luò)的接入設(shè)備 防火墻必須具有高性能 不影響原有網(wǎng)絡(luò)的正常運(yùn)行 千兆 防火墻的性能應(yīng)該在 900M 以上 并發(fā)連接數(shù)要在 50 萬以上 可擴(kuò)展性 系統(tǒng)的建設(shè)必須考慮到未來發(fā)展的需要 系統(tǒng)必須具有良好的可擴(kuò)展性和良好的可 升級(jí)性 支持標(biāo)準(zhǔn)的 IP IPSEC 等國(guó)際協(xié)議 支持版本的在線升級(jí) 易實(shí)現(xiàn)性 防火墻可以很好的部署在現(xiàn)有的網(wǎng)絡(luò)當(dāng)中 最小改變網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和應(yīng)用設(shè)計(jì) 防火墻要支持動(dòng)態(tài)路由 VLAN 協(xié)議 H323 協(xié)議等 3 2 應(yīng)用層攻擊和蠕蟲的檢測(cè)和阻斷需求應(yīng)用層攻擊和蠕蟲的檢測(cè)和阻斷需求 入侵檢測(cè)主要用于檢測(cè)網(wǎng)絡(luò)中存在的攻擊跡象 保證當(dāng)網(wǎng)絡(luò)中存在攻擊的時(shí)候 我 們可以在攻擊發(fā)生后果之前能夠發(fā)現(xiàn)它 并且進(jìn)行有效的阻擋 同時(shí)提供詳細(xì)的相關(guān)信 息 保證管理員可以進(jìn)行正確的緊急響應(yīng) 將攻擊的影響減少到最低的程度 它的主要 需求包括 入侵檢測(cè)和防護(hù)要求 能夠?qū)粜袨檫M(jìn)行檢測(cè)和防護(hù) 是對(duì)入侵防護(hù)設(shè)備的核心需求 入侵防護(hù)設(shè)備應(yīng) 該采用最先進(jìn)的檢測(cè)手段 如基于狀態(tài)的協(xié)議分析 協(xié)議異常等多種檢測(cè)手段結(jié)合 等等 要求可以檢測(cè)的種類包括 攻擊行為檢測(cè) 異常行為檢測(cè)等等 對(duì)網(wǎng)絡(luò)病毒的阻攔 由于目前 80 以上的病毒都是通過網(wǎng)絡(luò)來傳播的 所以為了更好的進(jìn)行防毒 需要 安全設(shè)備能夠在網(wǎng)關(guān)處檢測(cè)并且阻攔基于網(wǎng)絡(luò)傳輸?shù)牟《竞腿湎x 并且可以提供相 關(guān)特征的及時(shí)更新 性能要求 內(nèi)部網(wǎng)絡(luò)的流量很多 入侵檢測(cè)和防護(hù)需要處理的數(shù)據(jù)量也相對(duì)較大 同時(shí)由于對(duì) 性能的要求可以大大的減少對(duì)于攻擊的漏報(bào)率和誤報(bào)率 自身安全性要求 作為網(wǎng)絡(luò)安全設(shè)備 入侵檢測(cè)系統(tǒng)必須具有很高的安全性 配置文件需要加密保存 管理臺(tái)和探測(cè)器之間的通訊必須采用加密的方式 探測(cè)器要可以去除協(xié)議棧 并且 能夠抵抗各種攻擊 服務(wù)要求 由于系統(tǒng)漏洞的不斷出現(xiàn)和攻擊手段的不斷發(fā)展 要求應(yīng)用層防護(hù)設(shè)備的攻擊特征 庫(kù)能夠及時(shí)的進(jìn)行更新 以滿足網(wǎng)絡(luò)最新的安全需求 日志審計(jì)要求 系統(tǒng)能對(duì)入侵警報(bào)信息分類過濾 進(jìn)行統(tǒng)計(jì)或生成報(bào)表 對(duì)客戶端 服務(wù)器端的不 同地址和不同服務(wù)協(xié)議的流量分析 可以選擇不同的時(shí)間間隔生成報(bào)表 反映用戶 在一定時(shí)期內(nèi)受到的攻擊類型 嚴(yán)重程度 發(fā)生頻率 攻擊來源等信息 使管理員 隨時(shí)對(duì)網(wǎng)絡(luò)安全狀況有正確的了解 可以根據(jù)管理員的選擇 定制不同形式的報(bào)表 3 3 安全管理需求安全管理需求 安全管理是安全體系建設(shè)極為重要的一個(gè)環(huán)節(jié) 目前 XXX 網(wǎng)絡(luò)的需要建立針對(duì)多 種安全設(shè)備的統(tǒng)一管理平臺(tái) 總體需求如下 安全事件的統(tǒng)一監(jiān)控 對(duì)于網(wǎng)絡(luò)安全設(shè)備上發(fā)現(xiàn)的安全事件 都可以進(jìn)行集中的監(jiān)控 并且進(jìn)行相應(yīng)的關(guān) 聯(lián)分析 保證管理員可以通過簡(jiǎn)單的方式 不需要登陸多個(gè)設(shè)備 就能夠明了目前 網(wǎng)絡(luò)中發(fā)生的安全事件 安全設(shè)備的集中化管理 隨著使用安全產(chǎn)品種類和數(shù)量的增加需要不斷增加管理和維護(hù)人員 管理成本往往 呈指數(shù)級(jí)的增加 因此需要相應(yīng)的技術(shù)手段對(duì)這些產(chǎn)品進(jìn)行集中的控管 安全響應(yīng)能力的提升 響應(yīng)能力是衡量一個(gè)網(wǎng)絡(luò)安全建設(shè)水平的重要標(biāo)準(zhǔn) 發(fā)現(xiàn)安全問題和安全事件后 必須能快速找到解決方法并最快速度進(jìn)行響應(yīng) 響應(yīng)的方式包括安全設(shè)備的自動(dòng)響 應(yīng) 聯(lián)動(dòng)響應(yīng) 人工響應(yīng)等等 4 系統(tǒng)安全解決方案系統(tǒng)安全解決方案 4 1 設(shè)計(jì)目標(biāo)設(shè)計(jì)目標(biāo) XXX 網(wǎng)絡(luò)具有很高的安全性 本方案主要針對(duì) XXX 網(wǎng)絡(luò) 保證 XXX 內(nèi)網(wǎng)中的重 要數(shù)據(jù)的保密性 完整性 可用性 防抵賴性和可管理性 具體來說可分為如下幾個(gè)方 面 有效控制 發(fā)現(xiàn) 處理非法的網(wǎng)絡(luò)訪問 保護(hù)在不安全網(wǎng)絡(luò)上的數(shù)據(jù)傳輸?shù)陌踩?能有效的預(yù)防 發(fā)現(xiàn) 處理網(wǎng)絡(luò)上傳輸?shù)娜湎x病毒和其他的計(jì)算機(jī)病毒 能有效的預(yù)防 發(fā)現(xiàn) 處理網(wǎng)絡(luò)上存在的惡意攻擊和非授權(quán)訪問 合理的安全體系架構(gòu)和管理措施 實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)安全系統(tǒng)的集中管理 有較強(qiáng)的擴(kuò)展性 4 2 設(shè)計(jì)原則設(shè)計(jì)原則 我們嚴(yán)格按照國(guó)家相關(guān)規(guī)定進(jìn)行系統(tǒng)方案設(shè)計(jì) 設(shè)計(jì)方案中遵守的設(shè)計(jì)原則為 1 統(tǒng)一性 系統(tǒng)必須統(tǒng)一規(guī)范 統(tǒng)一標(biāo)準(zhǔn) 統(tǒng)一接口 使用國(guó)際標(biāo)準(zhǔn) 國(guó)家標(biāo)準(zhǔn) 采用統(tǒng)一的系 統(tǒng)體系結(jié)構(gòu) 以保持系統(tǒng)的統(tǒng)一性和完整性 2 實(shí)用性 系統(tǒng)能最大限度滿足 XXX 網(wǎng)絡(luò)的需求 結(jié)合 XXX 網(wǎng)絡(luò)的實(shí)際情況 在對(duì)業(yè)務(wù)系統(tǒng)進(jìn) 行設(shè)計(jì)和優(yōu)化的基礎(chǔ)上進(jìn)行設(shè)計(jì) 3 先進(jìn)性 無論對(duì)業(yè)務(wù)系統(tǒng)的設(shè)計(jì)還是對(duì)信息系統(tǒng)和網(wǎng)絡(luò)的設(shè)計(jì) 都要采用成熟先進(jìn)的技術(shù) 手段 方法和設(shè)備 4 可擴(kuò)展性 系統(tǒng)的設(shè)計(jì)必須考慮到未來發(fā)展的需要 具有良好的可擴(kuò)展性和良好的可升級(jí)性 5 安全性 必須建立可靠的安全體系 以防止對(duì)信息系統(tǒng)的非法侵入和攻擊 6 保密性 信息系統(tǒng)的有關(guān)業(yè)務(wù)信息 資金信息等必須有嚴(yán)格的管理措施和技術(shù)手段加以保護(hù) 以免因泄密而造成國(guó)家 單位和個(gè)人的損失 7 最高保護(hù)原則 系統(tǒng)中涉及到多種密級(jí)的資源 按最高密級(jí)保護(hù) 8 易實(shí)現(xiàn)性和可管理性 系統(tǒng)的安裝 配置與管理盡可能的簡(jiǎn)潔 安裝便捷 配置靈活 操作簡(jiǎn)單 并且系 統(tǒng)應(yīng)具有可授權(quán)的集中管理能力 4 3 安全產(chǎn)品的選型原則安全產(chǎn)品的選型原則 XXX 網(wǎng)絡(luò)屬于一個(gè)行業(yè)的專用網(wǎng)絡(luò) 因此在安全產(chǎn)品的選型上 必須慎重 選型的原 則包括 安全保密產(chǎn)品的接入應(yīng)不明顯影響網(wǎng)絡(luò)系統(tǒng)運(yùn)行效率 并且滿足工作的要求 不影 響正常的業(yè)務(wù) 安全保密產(chǎn)品必須滿足上面提出的安全需求 保證整個(gè) XXX 網(wǎng)絡(luò)的安全性 安全保密產(chǎn)品必須通過國(guó)家主管部門指定的測(cè)評(píng)機(jī)構(gòu)的檢測(cè) 安全保密產(chǎn)品必須具備自我保護(hù)能力 安全保密產(chǎn)品必須符合國(guó)家和國(guó)際上的相關(guān)標(biāo)準(zhǔn) 安全產(chǎn)品必須操作簡(jiǎn)單易用 便于簡(jiǎn)單部署和集中管理 4 4 整體安全解決方案整體安全解決方案 4 4 1 訪問控制解決方案訪問控制解決方案 4 4 1 1劃分安全區(qū) 劃分安全區(qū) Security Zone Juniper ISG2000 系統(tǒng)的防火墻模塊增加了全新的安全區(qū)域 Security Zone 的概 念 安全區(qū)域是一個(gè)邏輯的結(jié)構(gòu) 是多個(gè)處于相同屬性區(qū)域的物理接口的集合 當(dāng)不同安全區(qū)域之間相互通訊時(shí) 必須通過事先定義的策略檢查才能通過 當(dāng)在 同一個(gè)安全區(qū)域進(jìn)行通訊時(shí) 默認(rèn)狀態(tài)下允許不通過策略檢查 經(jīng)過配置后 也 可以強(qiáng)制進(jìn)行策略檢查 以提高安全性 安全區(qū)域概念的出現(xiàn) 使防火墻的配置能更靈活同現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)相結(jié)合 以下 圖為例 通過實(shí)施安全區(qū)域的配置 內(nèi)網(wǎng)的不同部門之間的通訊也必須通過策略 的檢查 進(jìn)一步提高的系統(tǒng)的安全 4 4 1 2 劃分劃分 VSYS 為滿足網(wǎng)絡(luò)中心或數(shù)據(jù)中心的要求 即網(wǎng)絡(luò)中心或數(shù)據(jù)中心的管理員提供防火墻 硬件設(shè)備的維護(hù)和資源的分配 部門級(jí)系統(tǒng)管理員或托管用戶的管理員來配置防 火墻的 IP 配置以及具體策略 Juniper 公司的防火墻自 500 系列起 支持虛擬防 火墻技術(shù) 即可以將一個(gè)物理的防火墻系統(tǒng)虛擬成多個(gè)邏輯的防火墻系統(tǒng) 滿足 了數(shù)據(jù)中心或網(wǎng)絡(luò)中心硬件系統(tǒng)和管理系統(tǒng)維護(hù)的分離要求 4 4 1 3 Virtual Router Juniper 公司防火墻支持虛擬路由器技術(shù) 在一個(gè)防火墻設(shè)備里 將原來單一路 由方式下的單一路由表 進(jìn)化為多個(gè)虛擬路由器以及相應(yīng)的多張獨(dú)立的路由表 提高了防火墻系統(tǒng)的安全性以及 IP 地址配置的靈活性 4 4 1 4安全策略定義安全策略定義 Juniper 公司 ISG2000 系統(tǒng)的防火墻模塊在定義策略時(shí) 主要需要設(shè)定源 IP 地址 目的 IP 地址 網(wǎng)絡(luò)服務(wù)以及防火墻的動(dòng)作 在設(shè)定網(wǎng)絡(luò)服務(wù)時(shí) Juniper ISG2000 系統(tǒng)的防火墻模塊已經(jīng)內(nèi)置預(yù)設(shè)了大量常見的網(wǎng)絡(luò)服務(wù)類型 同時(shí) 也 可以由客戶自行定義網(wǎng)絡(luò)服務(wù) 在客戶自行定義通過防火墻的服務(wù)時(shí) 需要選擇網(wǎng)絡(luò)服務(wù)的協(xié)議 是 UDP TCP 還是其它 需要定義源端口或端口范圍 目的端口或端口范圍 網(wǎng) 絡(luò)服務(wù)在無流量情況下的超時(shí)定義等 因此 通過對(duì)網(wǎng)絡(luò)服務(wù)的定義 以及 IP 地址的定義 使 Juniper ISG2000 系統(tǒng)的防火墻模塊的策略細(xì)致程度大大加強(qiáng) 安全性也提高了 除了定義上述這些主要參數(shù)以外 在策略中還可以定義用戶的認(rèn)證 在策略 里定義是否要做地址翻譯 帶寬管理等功能 通過這些主要的安全元素和附加 元素的控制 可以讓系統(tǒng)管理員對(duì)進(jìn)出防火墻的數(shù)據(jù)流量進(jìn)行嚴(yán)格的訪問控制 達(dá)到保護(hù)內(nèi)網(wǎng)系統(tǒng)資源安全的目的 4 4 2 防拒絕服務(wù)攻擊解決方案防拒絕服務(wù)攻擊解決方案 Juniper 公司 ISG2000 系統(tǒng)的高性能確保它足以抵御目前 Internet 上流行的 DDoS 的攻擊 能夠識(shí)別多達(dá) 28 種以上的網(wǎng)絡(luò)攻擊 在抵御主要的分布式拒絕服務(wù)功能方 面 Juniper 公司 Juniper ISG2000 系統(tǒng)支持 SYN 網(wǎng)關(guān)代理功能 即當(dāng) SYN 的連接請(qǐng) 求超過正常的定義的范圍時(shí) NS 防火墻會(huì)自動(dòng)啟動(dòng) SYN 網(wǎng)關(guān)功能 代理后臺(tái)服務(wù) 器端結(jié) SYN 的請(qǐng)求并發(fā)出 ACK 回應(yīng) 直到收到 SYN ACK 的響應(yīng) 才會(huì)將該連接 轉(zhuǎn)發(fā)給服務(wù)器 否則會(huì)將超時(shí)沒有響應(yīng)的 SYN 連接請(qǐng)求丟棄 Juniper 公司 NetScreen 系列除了支持 SYN 網(wǎng)關(guān)功能之外 可以針對(duì) SYN 的攻擊設(shè)定 閥值 只有當(dāng) SYN 連接請(qǐng)求超過預(yù)定義閥值時(shí) 才啟動(dòng) SYN 網(wǎng)關(guān)的功能 這樣可以 有效的提高防火墻在正常情況下的工作效率 如果防火墻沒有閥值的選項(xiàng) 那么用戶面臨的選擇是 要么不要 SYN 防御的功能提 高性能 要么使用 SYN 防御的功能大大降低在正常工作狀態(tài)下的性能 這是其它防 火墻產(chǎn)品非常不靈活的產(chǎn)品設(shè)計(jì) Juniper 公司的 Juniper ISG2000 系統(tǒng)在兩者之間取 得了一種平衡 4 4 2 1SYN Flooding 當(dāng)主機(jī)中充滿了需要發(fā)出響應(yīng)的 無法完成連接的 SYN 請(qǐng)求 以至于主機(jī)無法 再處理合法的 SYN 連接請(qǐng)求時(shí) 就發(fā)生了 SYN 泛濫 利用三方封包交換 即常說的三方握手 兩個(gè)主機(jī)之間建立 TCP 連接 A 向 B 發(fā)送 SYN 數(shù)據(jù)包 B 用 SYN ACK 數(shù)據(jù)包進(jìn)行響應(yīng) 然后 A 又用 ACK 數(shù)據(jù)包 進(jìn)行響應(yīng) SYN 泛濫攻擊用偽造的 IP 源地址 不存在或不可到達(dá)的地址 的 SYN 請(qǐng)求來塞滿站點(diǎn) B B 用 SYN ACK 數(shù)據(jù)包響應(yīng)這些來自非法地址的請(qǐng)求 并等待來自這些地址的響應(yīng)的 ACK 數(shù)據(jù)包 因?yàn)?SYN ACK 數(shù)據(jù)包被發(fā)送到不 存在或不可到達(dá)的 IP 地址 所以它們永遠(yuǎn)不會(huì)得到響應(yīng)并最終超時(shí) 通過用無法完成的 TCP 連接泛濫攻擊主機(jī) 攻擊者最后會(huì)填滿受害服務(wù)主機(jī)的 內(nèi)存緩存區(qū) 當(dāng)該緩存區(qū)填滿后 主機(jī)就不能再處理新的 TCP 連接請(qǐng)求 泛濫 甚至可能會(huì)破壞受害者的操作系統(tǒng) Juniper ISG2000 設(shè)備可以對(duì)每秒鐘允許通過防火墻的 SYN 數(shù)據(jù)包數(shù)量加以限制 可以針對(duì)目標(biāo)地址和端口 僅目標(biāo)地址或僅源地址的攻擊臨界值設(shè)置閥值 當(dāng)每 秒的 SYN 數(shù)據(jù)包數(shù)量超過這些臨界值之一時(shí) Juniper 設(shè)備開始代理發(fā)送流入的 SYN 數(shù)據(jù)包 用 SYN ACK 數(shù)據(jù)包回復(fù)并將不完全的連接請(qǐng)求儲(chǔ)存到連接隊(duì)列 中 未完成的連接請(qǐng)求保留在隊(duì)列中 直到連接完成或請(qǐng)求超時(shí) 在下面的示意 圖中 已超過了 SYN 攻擊臨界值 Juniper 防火墻開始代理 SYN 數(shù)據(jù)包 在下一個(gè)示意圖中 通過代理連接的隊(duì)列已完全填滿 Juniper ISG2000 系統(tǒng)正在 拒絕流入的 SYN 數(shù)據(jù)包請(qǐng)求 此操作保護(hù)受保護(hù)網(wǎng)絡(luò)中的主機(jī) 使其免遭不完 整的三方握手的轟擊 ICMP Flooding 當(dāng)有大量的 ICMP 回應(yīng)請(qǐng)求時(shí) 往往會(huì)造成服務(wù)器耗盡資源來進(jìn)行響應(yīng) 直至 最后超出了服務(wù)器的最大極限以致無法處理有效的網(wǎng)絡(luò)信息流 這時(shí)就發(fā)生了 ICMP 泛濫 當(dāng)啟用了 ICMP 泛濫保護(hù)的功能時(shí) 可以設(shè)置一個(gè)臨界值 一旦超 過此值就會(huì)調(diào)用 ICMP 泛濫攻擊保護(hù)功能 缺省的臨界值為每秒 1000 個(gè)封包 如果超過了該臨界值 Juniper ISG2000 設(shè)備在該秒余下的時(shí)間和下一秒內(nèi)會(huì)忽 略其它的 ICMP 回應(yīng)要求 4 4 2 2UDP Flooding 與 ICMP 泛濫相似 當(dāng)攻擊者以減慢受害服務(wù)器響應(yīng)速度為目的向該點(diǎn)發(fā)送含有 UDP 數(shù)據(jù)包的 IP 封包 以至于受害服務(wù)器再也無法處理有效的連接時(shí) 就發(fā)生 了 UDP 泛濫 當(dāng)啟用了 UDP 泛濫保護(hù)功能時(shí) 可以設(shè)置一個(gè)臨界值 一旦超過 此臨界值就會(huì)調(diào)用 UDP 泛濫攻擊保護(hù)功能 缺省臨界值為每秒 1000 個(gè)封包 如果從一個(gè)或多個(gè)源向多個(gè)目標(biāo)發(fā)送的 UDP 數(shù)據(jù)包數(shù)量超過了此臨界值 Juniper ISG2000 在該秒余下的時(shí)間和下一秒內(nèi)會(huì)忽略其它到該目標(biāo)的 UDP 數(shù)據(jù) 包 4 4 2 3MISC 攻擊攻擊 能夠抵御的主要的攻擊方式有 分布式服務(wù)拒絕攻擊 DDOS Distributed Denial Of Service attacks IP 碎片攻擊 IP Fragmentation attacks 端口掃描攻 擊 Port Scan Attacks IP 源路由攻擊 IP Source Attacks IP Spoofing Attacks Address Sweep Attacks WinNuke Attack 等共 31 種 請(qǐng)參考附件 Screen Description 4 4 3 應(yīng)用層防護(hù)解決方案應(yīng)用層防護(hù)解決方案 4 4 3 1應(yīng)用層防護(hù)應(yīng)用層防護(hù) 當(dāng)前 復(fù)雜的攻擊以不同的方式出現(xiàn)在不同的客戶環(huán)境中 Juniper 網(wǎng)絡(luò)公司 ISG2000 中 的應(yīng)用層防護(hù)模塊先進(jìn)的攻擊防護(hù)和定制功能有助于準(zhǔn)確地檢測(cè)攻擊 并阻止其攻擊網(wǎng)絡(luò) 以避免產(chǎn)生損失 Juniper 網(wǎng)絡(luò)公司 ISG2000 中的應(yīng)用層防護(hù)模塊 先進(jìn)的攻擊防護(hù)功能具有 以下特點(diǎn) 多種檢測(cè)方法 包括復(fù)合簽名 狀態(tài)簽名 協(xié)議異常以及后門檢測(cè) 開放式簽名格式允許管理員查看攻擊字符串如何匹配攻擊簽名 并根據(jù)需求對(duì)簽名進(jìn) 行編輯 這種理解和定制級(jí)別允許管理員定制攻擊簽名 以滿足獨(dú)特的攻擊要求 全面的簽名定制通過提供更高的控制能力 以適應(yīng)簽名的特定要求 從而增強(qiáng)檢測(cè)獨(dú) 特攻擊的能力 o復(fù)合簽名 能夠?qū)顟B(tài)簽名和協(xié)議異常結(jié)合到單個(gè)攻擊對(duì)象中 以檢測(cè)單個(gè)會(huì) 話中的復(fù)雜攻擊 從而提高檢測(cè)速度 o400 多個(gè)定制參數(shù)和 Perl 式的常規(guī)表達(dá)式 能夠定制簽名或創(chuàng)建完全定制的簽 名 4 4 3 1 1多重方法攻擊檢測(cè)多重方法攻擊檢測(cè) Juniper 網(wǎng)絡(luò)公司的多重方法檢測(cè)技術(shù) MMD 將多種檢測(cè)機(jī)制結(jié)合到單一產(chǎn)品中 以 實(shí)現(xiàn)全面的檢測(cè) 由于不同的攻擊類型要求采用不同的識(shí)別方法 因此 僅使用幾種檢測(cè)方 法的產(chǎn)品不能檢測(cè)出所有類型的攻擊 Juniper 網(wǎng)絡(luò)公司 ISG2000 中的應(yīng)用層防護(hù)模塊采用 多重方法檢測(cè)技術(shù)能夠最大限度地檢測(cè)出各種攻擊類型 確保不會(huì)遺漏關(guān)鍵的威脅 MMD 中采用的檢測(cè)方法包括 機(jī)機(jī) 制制說說 明明 狀態(tài)簽名僅檢測(cè)相關(guān)流量中的已知攻擊模式 協(xié)議異常檢測(cè)未知或經(jīng)過修改的攻擊方式 后門檢測(cè)檢測(cè)未經(jīng)授權(quán)的交互式后門流量 復(fù)合簽名將狀態(tài)簽名和協(xié)議異常結(jié)合在一起 檢測(cè)單個(gè)會(huì)話中的復(fù)雜攻擊 狀態(tài)簽名檢測(cè)狀態(tài)簽名檢測(cè) 某些攻擊可以采用攻擊簽名進(jìn)行識(shí)別 在網(wǎng)絡(luò)流量中可以發(fā)現(xiàn)這種攻擊模式 狀態(tài)簽名 設(shè)計(jì)用于大幅度提高檢測(cè)性能 并減少目前市場(chǎng)上基于簽名的入侵檢測(cè)系統(tǒng)的錯(cuò)誤告警 Juniper 網(wǎng)絡(luò)公司 ISG2000 中的應(yīng)用層防護(hù)模塊跟蹤連接狀態(tài) 并且僅在可能發(fā)生攻擊的相 關(guān)流量部分來查找攻擊模式 傳統(tǒng)的基于簽名的入侵檢測(cè)系統(tǒng)在流量流的任意部分尋找攻擊 模式 從而導(dǎo)致較高的錯(cuò)誤告警幾率 例如 要確定某人是否嘗試以根用戶身份登錄服務(wù)器 傳統(tǒng)的基于簽名的 IDS 會(huì)在傳輸中出 現(xiàn) root 字樣時(shí)隨時(shí)發(fā)送告警 導(dǎo)致錯(cuò)誤告警的產(chǎn)生 Juniper 網(wǎng)絡(luò)公司 ISG2000 中的應(yīng)用層 防護(hù)模塊采用狀態(tài)簽名檢測(cè)方法 僅在登錄序列中查找字符串 root 這種方法可準(zhǔn)確地檢 測(cè)出攻擊 Juniper 網(wǎng)絡(luò)公司 ISG2000 中的應(yīng)用層防護(hù)模塊的所有簽名都可通過簡(jiǎn)單的圖形用戶界面來 接入 因此可以容易地了解系統(tǒng)在監(jiān)控流量的哪一部分 此外 開放式簽名格式和簽名編輯 器可用于迅速修改或添加簽名 這兩種功能使用戶能夠確定對(duì)其環(huán)境的重要部分 并確保系 統(tǒng)也能夠識(shí)別出這個(gè)重要部分 然而 狀態(tài)簽名方法可以跟蹤并了解通信狀態(tài) 因此可縮小與可能發(fā)生攻擊的特定站點(diǎn) 相匹配的模式范圍 通信模式和流方向 表示客戶機(jī)至服務(wù)器或服務(wù)器至客戶機(jī)的流量 如上圖所示 狀態(tài)簽名僅執(zhí)行與可能發(fā)生攻擊的相關(guān)流量相匹配的簽名模型 這樣 檢測(cè)性 能將顯著提高 而且錯(cuò)誤告警的數(shù)量也大大減少 ISG2000 系統(tǒng)可以實(shí)現(xiàn)對(duì)攻擊簽名庫(kù)的每日升級(jí) JUNIPER 公司將在自己的安全網(wǎng)站上 進(jìn)行攻擊特征的每日更新 目前的攻擊特征包括應(yīng)用層攻擊 蠕蟲特征 網(wǎng)絡(luò)病毒特征 P2P 應(yīng)用特征等多種攻擊特征 可以對(duì)上述的非正常訪問進(jìn)行檢測(cè)和阻擋 協(xié)議異常檢測(cè)協(xié)議異常檢測(cè) 攻擊者并不遵循某種模式來發(fā)動(dòng)攻擊 他們會(huì)不斷開發(fā)并推出新攻擊或復(fù)雜攻擊 協(xié)議 異常檢測(cè)可用于識(shí)別與 正常 流量協(xié)議不同的攻擊 例如 這種檢測(cè)可識(shí)別出那種采用不確 定的流量以試圖躲避檢測(cè) 并威脅網(wǎng)絡(luò)和 或主機(jī)安全的攻擊 以緩沖器溢出為例 見下圖 攻擊者在服務(wù)器的許可下使服務(wù)器運(yùn)行攻擊者的代碼 從而獲得機(jī)器的全部訪問權(quán)限 協(xié)議 異常檢測(cè)將緩沖器允許的數(shù)據(jù)量與發(fā)送的數(shù)據(jù)量 以及流量超出允許量時(shí)的告警進(jìn)行比較 協(xié)議異常檢測(cè)與其所支持的多種協(xié)議具有同樣的效力 如果協(xié)議不被支持 則無法在網(wǎng)絡(luò)中 檢測(cè)出使用該協(xié)議的攻擊 Juniper 網(wǎng)絡(luò)公司 ISG2000 中的應(yīng)用層防護(hù)模塊是第一種支持多 種協(xié)議的產(chǎn)品 包括 SNMP 保護(hù) 60 000 多個(gè)薄弱點(diǎn) 和 SMB 保護(hù)運(yùn)行于內(nèi)部系統(tǒng)中 的基于 Windows 的薄弱點(diǎn) 我們可以利用協(xié)議異常檢測(cè)技術(shù) 檢測(cè)到目前攻擊特征碼中沒有定義的攻擊 和一些最 新出現(xiàn)的攻擊 新的緩沖區(qū)溢出攻擊就是要通過協(xié)議異常技術(shù)進(jìn)行檢測(cè)的 由于協(xié)議異常技 術(shù)采用的是與正常的協(xié)議標(biāo)準(zhǔn)進(jìn)行匹配 所以存在誤報(bào)的可能性 后門檢測(cè)后門檢測(cè) Juniper 網(wǎng)絡(luò)公司 ISG2000 中的應(yīng)用層防護(hù)模塊是可以識(shí)別并抵御后門攻擊的產(chǎn)品 后門 攻擊進(jìn)入網(wǎng)絡(luò)并允許攻擊者完全控制系統(tǒng) 這經(jīng)常導(dǎo)致數(shù)據(jù)丟失 例如 攻擊者可以利用系 統(tǒng)的薄弱點(diǎn)將特洛伊木馬病毒加載到網(wǎng)絡(luò)資源中 然后通過與該系統(tǒng)進(jìn)行交互來對(duì)其進(jìn)行控 制 然后 攻擊者嘗試以不同的命令發(fā)起對(duì)系統(tǒng)的攻擊 或者威脅其它系統(tǒng)的安全 Juniper 網(wǎng)絡(luò)公司 ISG2000 中的應(yīng)用層防護(hù)模塊能夠識(shí)別交互式流量的獨(dú)特特征 并對(duì)意外的活動(dòng)發(fā) 送告警 后門檢測(cè)是檢測(cè)蠕蟲和特洛伊木馬病毒的唯一方式 查看交互式流量 根據(jù)管理員的定義檢測(cè)未授權(quán)的交互式流量 檢測(cè)每個(gè)后門 即使流量已加密或者協(xié)議是未知 4 4 3 2應(yīng)用層防護(hù)的步驟應(yīng)用層防護(hù)的步驟 Juniper 的 ISG2000 系統(tǒng)的應(yīng)用層防護(hù)模塊可以提供兩種的接入模式 Active 模式和 Inline Tap 模式 由于攻擊檢測(cè)本身所具有的誤報(bào)性 建議用戶在使用 ISG2000 系統(tǒng)的應(yīng)用 層保護(hù)模塊的時(shí)候 可以采用如下的配置步驟 1 通過防火墻安全策略的定制 將需要進(jìn)行應(yīng)用層攻擊檢測(cè)和防護(hù)的流量傳給應(yīng)用 層防護(hù)模塊 對(duì)于其他的無關(guān)緊要的網(wǎng)絡(luò)數(shù)據(jù)流量 可以不需要通過應(yīng)用層保護(hù) 模塊 只通過防火墻的檢測(cè)就可以保證其安全性 這樣的配置可以保證在將敏感 數(shù)據(jù)進(jìn)行了攻擊檢測(cè)的同時(shí) 最大限度的保證網(wǎng)絡(luò)的性能 提高網(wǎng)絡(luò)吞吐量 減 少網(wǎng)絡(luò)延遲 2 設(shè)備部署初期 對(duì)于需要檢測(cè)的流量 我們首先可以將應(yīng)用層防護(hù)模塊采用 Inline Tap 模式 這樣的話 網(wǎng)絡(luò)數(shù)據(jù)就會(huì)在通過防火墻檢測(cè)后 直接進(jìn)行轉(zhuǎn)發(fā) 而緊緊是復(fù)制一遍到應(yīng)用層保護(hù)模塊 這個(gè)時(shí)候應(yīng)用層保護(hù)模塊相當(dāng)于一個(gè)旁路 的檢測(cè)設(shè)備 僅僅對(duì)攻擊進(jìn)行報(bào)警 而不會(huì)對(duì)數(shù)據(jù)流有任何的影響 在這個(gè)時(shí)期 我們可以通過調(diào)整攻擊特征碼 自定制攻擊特征等手段 來減少網(wǎng)絡(luò)攻擊的漏報(bào) 率和誤報(bào)率 提高攻擊檢測(cè)的準(zhǔn)確性 3 當(dāng)攻擊檢測(cè)的準(zhǔn)確率達(dá)到一定的程度的時(shí)候 我們可以將應(yīng)用層防護(hù)模塊改為采 用 Active 模式 Active 模式的情況下 數(shù)據(jù)包在經(jīng)過防火墻檢測(cè)后 會(huì)接著進(jìn)行 應(yīng)用層的檢測(cè) 如果存在攻擊 則進(jìn)行報(bào)警或阻擋 然后再進(jìn)行數(shù)據(jù)報(bào)的轉(zhuǎn)發(fā) 在這個(gè)時(shí)期 我們可以對(duì)于一些比較肯定和威脅很大的攻擊 在規(guī)則中配置成阻 斷攻擊 如果發(fā)現(xiàn)這種攻擊 我們可以在線的進(jìn)行阻擋 對(duì)于其他的攻擊 可以 暫時(shí)采用僅僅報(bào)警的方式 繼續(xù)修改相關(guān)的攻擊特征碼 最大限度的提高攻擊檢 測(cè)的準(zhǔn)確性 4 當(dāng)攻擊特征碼優(yōu)化到誤報(bào)率很低的程度后 我們對(duì)大部分攻擊都可以采用在線阻 擋的模式 這樣的話 就可以完全實(shí)現(xiàn) ISG2000 應(yīng)用層防護(hù)模塊的全部功能 大 大減少了網(wǎng)絡(luò)管理員安全響應(yīng)額時(shí)間和工作量 4 4 4 安全管理解決方案安全管理解決方案 Juniper 的 ISG2000 系統(tǒng)采用 Juniper 公司的統(tǒng)一安全管理平臺(tái) NSM 進(jìn)行管理 NSM 不 僅可以管理 ISG2000 系統(tǒng)上的防火墻模塊 VPN 模塊和應(yīng)用層保護(hù)模塊 同時(shí)可以實(shí)現(xiàn)對(duì) 多臺(tái) ISG2000 設(shè)備的集中管理 這樣我們就實(shí)現(xiàn)了在一個(gè)統(tǒng)一的界面上實(shí)現(xiàn)了對(duì)多臺(tái)安全設(shè) 備 多種安全技術(shù)的統(tǒng)一管理 安全策略的統(tǒng)一配置 安全事件和日志信息的統(tǒng)一查詢和分 析 NSM 系統(tǒng)為一套單獨(dú)的軟件系統(tǒng) 其服務(wù)器端軟件可以安裝在單獨(dú)的 LINUX 或者 SOLARIS 主機(jī)上 客戶端軟件可以安裝在 WINDOW 或者 UNIX 系統(tǒng)下 可以采用三層的 架構(gòu)對(duì)安全設(shè)備進(jìn)行統(tǒng)一的管理 5 方案中配置安全產(chǎn)品簡(jiǎn)介方案中配置安全產(chǎn)品簡(jiǎn)介 5 1 Juniper 公司介紹公司介紹 Juniper 網(wǎng)絡(luò)公司致力于實(shí)現(xiàn)網(wǎng)絡(luò)商務(wù)模式的轉(zhuǎn)型 作為全球領(lǐng)先的聯(lián)網(wǎng)和安全性解 決方案供應(yīng)商 Juniper 網(wǎng)絡(luò)公司對(duì)依賴網(wǎng)絡(luò)獲得關(guān)鍵基礎(chǔ)設(shè)施的客戶一直給予密切關(guān)注 公司的客戶來自全球各行各業(yè) 包括主要的網(wǎng)絡(luò)運(yùn)營(yíng)商 企業(yè) 政府機(jī)構(gòu)以及研究和教 育機(jī)構(gòu)等 Juniper 網(wǎng)絡(luò)公司推出的一系列聯(lián)網(wǎng)解決方案 提供所需的安全性和性能來支 持全球最大型 最復(fù)雜 要求最嚴(yán)格的關(guān)鍵網(wǎng)絡(luò) 其中包括全球頂尖的 25 家服務(wù)供應(yīng) 商和 財(cái)富 全球 500 強(qiáng)企業(yè)前 15 強(qiáng)中的 8 個(gè)企業(yè) Juniper 網(wǎng)絡(luò)公司成立的唯一宗旨是 預(yù)測(cè)并解決業(yè)內(nèi)最高難度的聯(lián)網(wǎng)和安全性問題 今天 Juniper 網(wǎng)絡(luò)公司通過以下努力 幫助全球客戶轉(zhuǎn)變他們的網(wǎng)絡(luò)經(jīng)濟(jì)模式 從而建 立強(qiáng)大的競(jìng)爭(zhēng)優(yōu)勢(shì) 保護(hù)網(wǎng)絡(luò)安全 以抵御日益頻繁復(fù)雜的攻擊 利用網(wǎng)絡(luò)應(yīng)用和服務(wù)來取得市場(chǎng)競(jìng)爭(zhēng)優(yōu)勢(shì) 為客戶和業(yè)務(wù)合作伙伴提供安全的定制方式來接入遠(yuǎn)程資源 Juniper 網(wǎng)絡(luò)公司 Juniper 系列安全性解決方案可幫助企業(yè)經(jīng)濟(jì)高效地保護(hù)他們的遠(yuǎn)程 站點(diǎn) 地區(qū)辦事處 網(wǎng)絡(luò)周邊以及網(wǎng)絡(luò)核心 而且不會(huì)對(duì)性能造成任何影響 Juniper 一 流的安全性功能能夠以分層的方式部署于整個(gè)網(wǎng)絡(luò)中 以提供所需的網(wǎng)絡(luò)級(jí)和應(yīng)用級(jí)防 護(hù) 無論是為員工 合作伙伴和客戶提供到非信任網(wǎng)絡(luò)的安全接入 還是保護(hù)周邊網(wǎng)絡(luò) 的安全 用 IPSec 虛擬專網(wǎng) VPN 替代傳統(tǒng)的 WAN 網(wǎng)絡(luò) 將基于軟件的傳統(tǒng)防火墻 整合到經(jīng)優(yōu)化的專用設(shè)備 或者是保護(hù)新的網(wǎng)絡(luò)部署 如 VoIP 無線 LAN 外網(wǎng)或安 全在線會(huì)議 Juniper 解決方案都是企業(yè)和運(yùn)營(yíng)商網(wǎng)絡(luò)的首選網(wǎng)絡(luò)安全性解決方案 Juniper 解決方案在專用設(shè)備中集成了多層安全性技術(shù) 非常適用于保護(hù)關(guān)鍵資產(chǎn)的安全 它使用的主要技術(shù)包括 防火墻 Juniper 狀態(tài)型檢測(cè)防火墻提供了強(qiáng)勁的網(wǎng)絡(luò)接入控制和攻擊限制特性 可以幫助客 戶有效地保護(hù)周邊和核心網(wǎng)絡(luò)基礎(chǔ)設(shè)施 Juniper 深度檢測(cè)防火墻充分利用了狀態(tài)型 檢測(cè)的優(yōu)點(diǎn)并在防火墻中集成了入侵防護(hù)技術(shù) 可在網(wǎng)絡(luò)周邊提供應(yīng)用級(jí)攻擊防護(hù) IPSec VPN Juniper VPN 解決方案可以提供具備故障恢復(fù)功能的安全連接來代替幀中繼或?qū)＞€ 在企業(yè)總部 遠(yuǎn)程辦公室和固定遠(yuǎn)程工作者之間提供全面的網(wǎng)絡(luò)接入 拒絕服務(wù)防護(hù) 為了減小暴力攻擊及其他基于網(wǎng)絡(luò)的攻擊的影響 客戶可部署 Juniper 高性能產(chǎn)品來 保護(hù)其 Web 基礎(chǔ)設(shè)施的安全 防病毒 利用 Trend Micro 公司市場(chǎng)領(lǐng)先的網(wǎng)關(guān)防病毒技術(shù) Juniper 集成防病毒解決方案可 以在分布式企業(yè)中提供更有效的應(yīng)用層保護(hù)功能 入侵防護(hù) Juniper 入侵防護(hù)設(shè)備遠(yuǎn)遠(yuǎn)超越了傳統(tǒng)的入侵檢測(cè)產(chǎn)品 它可以準(zhǔn)確地檢測(cè)網(wǎng)絡(luò) 應(yīng) 用和混合攻擊 而且使客戶能夠阻止攻擊 保護(hù)關(guān)鍵資源 SSL VPN Juniper 的 SA 系列產(chǎn)品可以利用成熟的 SSL 安全協(xié)議 實(shí)現(xiàn)了有效的 安全的完成 對(duì)局域網(wǎng)資源的訪問 用戶操作簡(jiǎn)單 無需單獨(dú)客戶端的安裝 安全會(huì)議 Juniper 會(huì)議設(shè)備可以實(shí)現(xiàn)安全的跨企業(yè)在線會(huì)議 同時(shí)保證符合企業(yè)的安全性策略 和監(jiān)管要求 并減少來自互聯(lián)網(wǎng)的攻擊風(fēng)險(xiǎn) Juniper 網(wǎng)絡(luò)公司提供一系列全面 靈活 業(yè)界領(lǐng)先的技術(shù)支持 專業(yè)服務(wù)以及培訓(xùn) 課程 幫助客戶從他們的網(wǎng)絡(luò)和安全性投資中獲取最大的收益 Juniper 網(wǎng)絡(luò)公司的支持服務(wù)系列可提供大型網(wǎng)絡(luò)所要求的后備支持 并可讓客戶選 擇各種服務(wù)選項(xiàng)來補(bǔ)充他們的內(nèi)部專業(yè)技術(shù) Juniper 網(wǎng)絡(luò)公司支持服務(wù)還結(jié)合了積極主 動(dòng)的服務(wù)特性 以增強(qiáng)客戶網(wǎng)絡(luò)的性能 Juniper 網(wǎng)絡(luò)公司專業(yè)服務(wù)部可提供業(yè)界領(lǐng)先的專業(yè)技術(shù)和定制的咨詢服務(wù) 幫助客 戶規(guī)劃新型業(yè)務(wù)和技術(shù) 設(shè)計(jì)下一代網(wǎng)絡(luò)解決方案并以最高的效率來實(shí)施項(xiàng)目 Juniper 網(wǎng)絡(luò)公司培訓(xùn)服務(wù)可提供專家培訓(xùn)和技術(shù)認(rèn)證項(xiàng)目 通過標(biāo)準(zhǔn)的技術(shù)課程 基于 web 的課程 定制的專題研討會(huì)以及動(dòng)手實(shí)驗(yàn)課 幫助客戶提高他們的 IP 網(wǎng)絡(luò)專 業(yè)技術(shù) 5 2 Juniper ISG2000 系列安全網(wǎng)關(guān)系列安全網(wǎng)關(guān) Juniper 推出業(yè)內(nèi)第一款整合了多種最佳網(wǎng)絡(luò)邊界安全功能的整合式安全網(wǎng)關(guān) Juniper ISG 2000 Integrated Security Gateway 可在有效防護(hù)來自網(wǎng)絡(luò)層及應(yīng)用層的威 脅的同時(shí) 為企業(yè)和運(yùn)營(yíng)商的網(wǎng)絡(luò)提供最優(yōu)化的性能并降低網(wǎng)絡(luò)復(fù)雜性 目前業(yè)內(nèi)其他安全解決方案提供商的整合方式往往以犧牲網(wǎng)絡(luò)性能為代價(jià) 并增加了網(wǎng) 絡(luò)復(fù)雜性 而 Juniper 的最新專屬定制的系統(tǒng)采用模塊化設(shè)計(jì)及獨(dú)特的處理架構(gòu) 包括基于 Juniper 的新型第四代 ASIC 芯片的整合了防火墻及 VPN 功能 不久的將來還可整合完善的入侵檢測(cè)與防護(hù) IDP 功能 Juniper ISG 2000 具備卓越的性能 以及靈活性和可擴(kuò)展性 從而有效抵御今天和未來日益復(fù)雜的網(wǎng)絡(luò)威脅 Juniper ISG 200