北京市二十一世纪实验学校防火墙解决方案Word文档格式.docx
- 文档编号:17334343
- 上传时间:2022-12-01
- 格式:DOCX
- 页数:9
- 大小:111.13KB
北京市二十一世纪实验学校防火墙解决方案Word文档格式.docx
《北京市二十一世纪实验学校防火墙解决方案Word文档格式.docx》由会员分享,可在线阅读,更多相关《北京市二十一世纪实验学校防火墙解决方案Word文档格式.docx(9页珍藏版)》请在冰豆网上搜索。
3.5完备简易的管理11
五、产品亮点11
前言
随着信息化程度的提高,越来越多的学(院)校建了校园网和网站,把校园的介绍、规划、招生、研究成果等发布在网站,让更多的人了解自己的校园,甚至在网上即时进行学习交流等。
信息化程度的提高,极大地促进了教育事业的发展,但是随之而来的却是信息安全问题。
校园网络都是以广域网络作为支撑平台,如何保障网络安全成为不可避免的重大问题。
在校园网中,无论是有意的攻击,还是无意的误操作,都将会给信息系统带来不可估量的损失。
攻击者可以窃听网络上的信息、窃取用户的口令和数据库的信息;
还可以篡改数据库内容、伪造用户身份、否认自己的签名;
更有甚者,攻击者可以删除数据库内容、摧毁网络节点、释放计算机病毒等等。
内部工作人员能较多地接触内部信息,工作中的任何不小心都可能给信息安全带来危险。
这些都使信息安全问题越来越复杂。
面对计算机网络中的种种安全威胁,必须采取有力的措施来保证安全。
无论是在局域网还是在广域网中,网络的安全措施应是能全方位地杜绝各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。
根据网络安全监测软件的实际测试情况显示,一个没有安全防护措施的大型网络,一定会造成重大的损失。
一、目前我校网络的现状
从图中我们可以看出,目前校园网络中并没有建立起一个由外到内的安全措施,我校内部通过一台路由器和互联网相连,没有任何的安全措施来防护外来的攻击,校园网计算机系统作为信息化程度较高、计算机网络应用情况比较先进的一个特殊系统,其校内的业务也同样地越来越依赖于计算机。
保证业务系统和工作的正常、可靠和安全地进行是信息系统工作的一个重要话题。
但是不安全的校园网络计算机系统,可能给学校带来了重大的经济损失,这种损失可分为直接损失和间接损失:
直接损失是由此而带来的经济损失,间接损失是由于安全而导致工作效率降低、机密情报数据泄露、系统不正常、修复系统而导致工作无法进行等。
间接损失往往是很难以数字来衡量的。
在所有计算机安全威胁中,外部入侵和非法访问是最为严重的事。
为了防患于未然,学校必须要加强网络边界的安全性,来保护整个校园网络的安全——包括状态防火墙、入侵防御、防病毒(即时消息扫描、防间谍软件、防广告软件和防网页仿冒)、防垃圾邮件和Web过滤—可阻断蠕虫、间谍软件、特洛伊木马、恶意软件和其他新形式的攻击。
另外,针对目前网络攻击的多样性和不固定性,我们要不单单要采用网络层的防护,对于应用层的保护更应当加强,以针对蠕虫、特洛伊木马、间谍软件和广告软件提供无与伦比的应用层防护。
Internet是一个开放的、无控制机构的网络,黑客(Hacker)经常会侵入网络中的计算机系统,或窃取机密数据和盗用特权,或破坏重要数据,或使系统功能得不到充分发挥直至瘫痪。
计算机病毒通过Internet的传播也有可能给校园网网用户带来极大的危害,病毒可以使计算机和计算机网络系统瘫痪、数据和文件丢失。
因此,我们现在需要在网络边界建立起这样一个系统,能够抵御外来的攻击,对进出的数据进行安全的检测,保护内部校园网络的安全。
Internet防火墙就是这样的系统(或一组系统),它能增强机构内部网络的安全性。
防火墙系统决定了哪些内部服务可以被外界访问;
外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。
要使一个防火墙有效,所有来自和去往Internet的信息都必须经过防火墙,接受防火墙的检查。
防火墙只允许授权的数据通过,并且防火墙本身也必须能够免于渗透。
随着网络不断扩大、安全性威胁不断增多且日益复杂,传统的异构防火墙可能会给校园网络带来危险。
二、防火墙选择
Juniper作为网络安全设备的领导厂商,Juniper公司的Juniper安全平台通过动态威胁防御技术、高级启发式异常扫描引擎提供了无与伦比的功能和检测能力。
Juniper网络公司的高性能防火墙解决方案可以为学校提供很高的吞吐量,以满足现有网络的汇聚性能要求。
为了确保可靠性,Juniper网络公司的防火墙可以提供状态式高可用性,以最大限度地减少网络故障停机的可能性,并降低此类故障停机对网络的影响。
Juniper网络公司的安全解决方案是真正的联网设备,可以迅速而无缝地集成到网络中。
利用Juniper网络公司的内置虚拟化功能,学校可以在一个平台上配置多个虚拟防火墙。
这些防火墙各有自己的策略、网络寻址和管理机制,可以全面分割不同的网络分段。
虚拟化使学校能够减少所需要的防火墙数量而不影响安全策略和管理。
学校还可以通过安全区域来对实现网络分段,使学校可以在不同部门之间提供细粒度的安全性控制,同时可使校园网维持较理想的总体安全性状态。
此外,为了尽可能提高IT信息部门的工作效率,Juniper网络公司还可以为学校提供基于策略的集中管理功能,以配合当前的安全性和控制功能。
2.1部署防火墙后的网络拓扑
三、Juniper防火墙的作用
●在各网络出口处安装速通防火墙。
Juniper防火墙在这里首先起到网络隔离、划分不同安全域,进行访问控制的功能。
通过防火墙的多网口结构设计,控制授权合法用户可以访问到授权服务,而限制非授权的访问。
同时速通防火墙自带的认证功能,可以实现内部用户认证,同时可以结合用户原有的域用户认证或者radius认证,实现用户级的访问控制。
●Juniper防火墙自带的入侵检测功能采用了基于模式匹配的入侵检测系统,超越了传统防火墙中的基于统计异常的入侵检测功能,实现了可扩展的攻击检测库,真正实现了抵御目前已知的各种攻击方法,并通过升级入侵检测库的方法,不断抵御新的攻击方法。
JuniperSSG防火墙的入侵检测模块,可以自动检测网络数据流中潜在的入侵、攻击和滥用方式,并防火墙模块实现联动,自动调整控制规则,为整个网络提供动态的网络保护。
速通防火墙入侵检测模块中包含了对网络上传输病毒和蠕虫的检测,可以在计算机病毒和蠕虫传输到宿主机之前检测出来,在网关上防止网络病毒的传播,防患于未然。
真正实现了少花钱多办事的效果。
●利用Juniper防火墙自带的VPN功能,实现多级VPN系统。
虚拟专用网技术(VPN,VirtualPrivateNetwork)是指在公共网络中建立专用网络,数据通过安全的“加密通道”在公共网络中传播。
企业只需要租用本地的数据专线,连接上本地的公众信息网,那么各地的机构就可以互相传递信息。
使用VPN有节约成本、扩展性强、便于管理和实现全面控制等好处。
在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的,是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。
所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。
所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。
根据国家有关规定,政府网络可以通过现有公有平台搭建自己的内部网络,但必须通过认证和加密技术,保证数据传输的安全性。
速通防火墙VPN模块支持两种用户模式:
远程访问虚拟网(AccessVPN)和企业内部虚拟网(IntranetVPN)。
如上图所示,在教委和有局域网的学校网络出口处安装速通防火墙,利用速通防火墙的VPN模块,实现他们之间的企业内部虚拟网(IntranetVPN),而对于一些规模比较小的学校或移动用户,通过安装VPN客户端,实现远程访问虚拟网(AccessVPN),整个构成一个安全的虚拟内部局域网,保障教育网络的数据安全传输。
●利用Juniper防火墙的DNS/URL过滤功能,限制内部用户访问一些不良站点,或者限制内部用户滥用网络资源,下载大量与工作无关的数据。
本方案的特点在于:
根据教育网络的实际需要,充分利用了Juniper防火墙的各功能模块,实现了各功能模块(防火墙模块、入侵检测模块、用户认证模块、VPN模块)的协同工作,构建了一个动态安全门户,以比较经济实惠的方式,实现了对教育网络的整体安全防护。
四、Juniper的安全理念
网络安全可以分为数据安全和服务安全两个层次。
数据安全是防止信息被非法探听;
服务安全是使网络系统提供不间断的通畅的对外服务。
从严格的意义上讲,只有物理上完全隔离的网络系统才是安全的。
但为了实际生产以及信息交换的需要,采用完全隔离手段保障网络安全很少被采用。
在有了对外的联系之后,网络安全的目的就是使不良用心的人窃听数据、破坏服务的成本提高到他们不能承受的程度。
这里的成本包括设备成本、人力成本、时间成本等多方面的因素。
Juniper的整合式安全设备是专为互联网网络安全而设,将硬件状态防火墙、虚拟专用网(IPsecVPN)、入侵防护(IPS)和流量管理等多种安全功能集于一体。
Juniper整合式安全设备具有ASIC芯片硬件加速的安全策略、IPSec加密演算性能、低延时,可以无缝地部署到任何网络。
设备安装和操控也是非常容易,可以通过内置的WebUI、命令行界面或中央管理方案进行统一管理。
3.1基本防火墙功能
Juniper提供了可扩展的网络安全解决方案,适用于包括宽带移动用户、中小型企业Internet边界、大型企业的内部网络安全域划分和控制,以至电子商务网站的服务器保护等等。
Juniper全功能防火墙采用实时检测技术,可以防止入侵者和拒绝服务(denial-of-service)的攻击。
Juniper防火墙采用ScreenOS软件,是经过ICSA认证的实时检测防火墙。
Juniper的防火墙系列采用安全优化的硬件(包括ASIC芯片和主板、操作系统和防火墙),比拼凑而成的软件类方案提供更高级的安全水平。
Juniper的防火墙系列提供强大的攻击防御能力,包括SYN攻击、ICMP泛滥、端口扫描(PortScan)等攻击防御能力,配备硬件加速的会话建立(sessionramprates)性能,即使在最关键性的环境下也可以提供安全保护。
Juniper的防火墙系列提供各种网络地址翻译(NAT)、端口地址翻译(PAT)的功能――有效隐藏内部、无法路由的IP地址。
3.2内容安全功能
Juniper提供多样的内容安全功能,包括深层检测功能、防病毒、垃圾邮件过滤、和网页过滤4种,并且可以提供试用的临时许可license,可以让用户在一定时间内下载特征库及使用该内容安全更新。
过了试用期后,用户必须定购年度服务来获得最新的入侵防护攻击库、病毒库、并得到垃圾邮件和网页过滤的定时更新。
用户可以分别购买某个单项的内容安全服务,也可以购买价格更加优惠的4项打包的内容安全服务。
3.2.1深层检测功能(DeepInspection)
深层检测功能(DeepInspection,简称DI)是Juniper的防火墙操作系统ScreenOS里集成的一个专门对网络流量里的应用层攻击(包括网络蠕虫、木马和恶意软件)进行检测的功能,其实就是将Juniper的IPS/IDP的入侵检测和防护的功能集成到Juniper防火墙的ScreenOS里面,对会话实施基于状态的策略的同时进行对应用层攻击特征的匹配,并且作出相应的保护动作。
Juniper的防火墙针对流量的应用层的分析和特征匹配进行了一系列的优化,降低了对数据吞吐能力的影响。
为了减少对防火墙性能的影响,Juniper为深层检测提供4种特征包,让IT管理员根据需要保护的资源而灵活选择下载、更新和采用,包括:
1、基础版(Base)特征包:
针对中小型企业的全面防护(包括保护C/S应用和防蠕虫);
2、服务器(Server)特征包:
针对服务器群进行保护(包括保护IIS、Exchange和Oracle服务器等);
3、客户端(Client)特征包:
针对分布式企业的中小型分支机构客户端设备进行保护(如手提电脑等);
4、常见蠕虫保护(Worm)特征包:
针对大企业的分支机构提供全面的常见的蠕虫保护。
深层检测(DI)防火墙被设计用来对网络上一系列最常见的协议(如HTTP,DNS,FTP,SMTP,POP3,IMAP,NetBIOS/SMB,MS-RPC,P2P,和IM等)的应用层保护,并且可在将来简单地添加更多的协议。
对这些协议,深层检测(DI)防火墙采用和数据接收方(如服务器和客户端的应用)相同的方式来理解应用层信息。
为了精确地理解应用层信息,深层检测(DI)防火墙实施包碎片重组,次序重组,去除无用信息和信息正常化处理。
一旦深层检测(DI)防火墙按这些方法重组出了网络流量,它就用协议异常检测和服务控制字段里的上下文的攻击特征匹配的方法来对流量里的攻击进行防护。
深层检测(DI)防火墙利用了攻击数据库来储存异常协议和攻击特征(有时被称做“特征”),按协议和攻击的严重性分类,来实施状态检测和深层检测任务。
防火墙的分析引擎由其本身的数据库实时提取有关的攻击特征来有效地分析流量。
一旦Juniper的深层检测(DI)防火墙对应用层数据进行重组后,它就实施针对该应用的分析,决定该流量的目的是恶意的还是非恶意的。
首先,它根据协议的定义进行分析,如果数据偏离了协议的定义,就代表了协议异常。
高冲击力的、带恶意的协议异常,如设法造成内存溢出来控制系统的,将被识别为攻击。
对协议异常的细化管理包括调整如何及在哪里查找异常,从而使得支持非正常协议的系统获得同样的支持。
深层检测(DI)防火墙将按照细化的协议控制来对相关的服务域进行识别。
服务控制字段是与特别功能相关的流量中的部分,如email地址、URL、文件名等。
深层检测(DI)防火墙将按特征匹配的方法对相应的字段进行检测。
而这些字段就代表了应用层信息,并让深层检测(DI)防火墙可以理解应用层会话,并在正确的字段上进行攻击特征库的匹配查找。
协议符合检查使用户获得攻击出现日第0天防护
因为Juniper深层检测(DI)防火墙可以对流量进行协议符合检查,它也就具备了无须了解某一特别攻击,就可以对一系列的攻击如内存溢出攻击等的防护能力。
这意味着这种解决方法可以在对新攻击出现的第0天即具备防护能力。
同时,这也是对某些无法简单匹配特征的更狡猾攻击的防护方式。
对已知攻击的服务控制字段特征匹配
协议匹配检测的是一些未知的和更狡猾的攻击,还有一些攻击是已知的,可以通过已知的特征匹配的方式来更有效地防护它们。
Juniper深层检测(DI)防火墙实施应用分析,理解信息内容,并将流量信息的不同部分对应到相应的服务控制字段上。
服务控制字段是依相应协议事先定义的包头值,代表了相应的目的,使用了固定的流量的相对位置。
如:
在SMTP里,有一些服务控制字段包括:
命令行(从客户端发给服务器的命令),数据行(一行email内容),From:
(发送者的email地址),等。
深层检测(DI)防火墙应用已知的特征匹配(在防火墙内部的数据库里已经有了相应的定义),与流量的相关部分进行比较,查找出带攻击的恶意部分流量。
Juniper的特征匹配减少了系统资源的使用,将主要精力集中在相关恶意流量部分,有效地实施了对已知攻击的保护。
Juniper的防火墙目前都可以集成入侵防护的功能,并且入侵防护的特征库可以更新升级,目前攻击特征已超过800种。
当然,攻击特征库可以自动或手动更新,更新过程将包括连接Juniper的攻击特征库服务器(定期对新攻击和旧有攻击进行更新)。
此外,Juniper还按需要发布紧急更新,对重点攻击进行防护。
3.2.2防病毒
防病毒也是一项内容保护不可缺少的部分。
深层检测(DI)是对应用层控制字段信息进行攻击特征匹配(一般是蠕虫病毒或缓冲区溢出等攻击),而防病毒是针对文件里的携带的攻击(包括间谍软件、广告软件、网络钓鱼软件和键盘侧录软件)进行匹配的技术,而文件的传递一般依靠web、FTP的下载和上传,以及email附件等。
通过和业界领先的防病毒厂家的卡巴斯基(Kaspersky)公司合作,Juniper在HSC、Juniper-5GT和SSG系列(包括SSG550、SSG520等)的防火墙提供防病毒的一体化解决方案,即卡巴斯基(Kaspersky)病毒扫描引擎完全集成在防火墙的操作系统里,并且通过操作系统的升级而升级。
对于不同的用户,Juniper可以提供3种不同的扫描级别,包括:
A)标准级别(Standard):
缺省和推荐采用的级别,可以提供最全面和误报率最低的扫描;
B)常见病毒级别(Inthewild):
只对常见病毒进行扫描从而性能更佳;
C)扩展级别(Extended):
对更多的广告软件进行扫描,误报率相对较高。
而对其他高端产品,则用重定向到防病毒网关服务器上的方式实现网关防毒。
3.2.3垃圾邮件过滤
垃圾邮件过滤功能也是内容安全的一个重要的组成部分。
Juniper的垃圾邮件过滤功能主要集成在Juniper的中低端防火墙(包括HSC、Juniper-5GT、NS25、NS50、以及SSG系列)里。
通过不断更新的IP地址和垃圾邮件发送者列表,有效地高精确性地屏蔽垃圾邮件发送者和网络钓鱼者。
当然用户也可以自己定义垃圾邮件的白名单和黑名单,手工地对垃圾邮件进行屏蔽。
3.3强大的ASIC的硬件保障
Juniper防火墙的安全机制广泛采用了ASIC芯片技术,在ASIC硬件中处理防火墙访问策略和加密算法,这方面运算的速度是软件类方案不能相比的;
同时它还可以省出中央处理器资源用于管理数据流。
这种安全加密的ASIC更可与Juniper的ScreenOS操作系统和系统软件紧密地集成起来,与其他基于通用的商用操作系统的安全产品相比,Juniper产品消除了不必要的软件层和安全漏洞。
Juniper将安全功能提升到系统层次,更可以节省建立额外平台带来的开支。
目前,其他采用PC或工作站作为平台的软件类方案,往往令系统性能大打折扣。
ASIC芯片对防火墙的性能和稳定性有极大的提高,主要体现在:
1、ASIC芯片可以对会话建立后的流量进行不经过CPU处理的直接转发;
2、ASIC芯片可以对IPsecVPN进行加解密处理。
3、可以对一系列的网络层的DDoS攻击(包括生成对TCPSyn泛洪攻击的cookie)进行防护,直接在ASIC芯片上对数据包进行丢弃,避免了对系统的影响。
4、IP包的碎片重组和流量统计也依靠ASIC芯片实现。
正是由于采用了高性能的专用ASIC芯片,所以Juniper的安全产品的性能不仅仅在实验室网络环境下都能够发挥出高水平,在实际的生产网络环境中同样可以保持高性能。
3.4设备的可靠性和安全性
Juniper将所有功能集成于单一硬件产品中,它不仅易于安装和管理,而且能够提供更高可靠性和安全性。
由于Juniper设备没有其它品牌对硬盘驱动器和移动部件所存在的稳定型问题,所以它是对在线时间要求极高的用户的最佳方案。
采用Juniper设备的WebUI管理方式,可以直接登陆Web界面里对防火墙、VPN和流量管理功能进行配置和管理,减轻了配置另外的硬件和操作系统。
这个做法缩短了安装的时间,并在防范安全漏洞的工作上,减少设定的步骤。
3.5完备简易的管理
Juniper的安全设备包括强健的管理支持,允许网络管理员安全地管理设备。
由于VPN功能是内置的,因此可以对所有管理加密,从而实现真正的安全远程管理。
•采用JuniperSecurityManager,以C/S形式实现中央站点管理。
•通过内置WebUI实现浏览操作式的管理。
•带内,可透过SSH和Telnet进入命令行界面(CLI);
带外,则可透过控制台/调制解调器端口/带外管理口进行管理。
•电子邮件告警、SNMPtraps和告警。
•系统日志(Syslog)、简单网络管理协议(SNMP)、WebTrends和MicroMuseNetCool界面可与第三方报表系统互兼容。
防火墙上将syslog发到到多台普通的syslog服务器上,如果要进行syslog汇总分析报表,则可以和WebTrend服务器配合使用,也可以通过多家syslog的报表分析软件(包括中文界面的软件)对syslog进行日志报表。
除了Syslog服务器,Juniper防火墙还可以将syslog发到Juniper的NSM集中管理服务器上,然后NSM服务器按照策略将不同的日志发给不同的syslog服务器。
如果在NSM服务器的基础上安装了SRS的日志报表服务器后,用户也可以用SRS来生成历史报表。
防火墙上本身提供一定数量的本地认证用户数据库,也可和Radius服务器、LDAP服务器等配合使用提供外部用户身份认证。
五、产品亮点
Juniper以在业界提供基于ASIC硬件高速性能的防火墙解决方案著称,也是业界第一个推出基于专用ASIC芯片的集成防火墙和VPN设备的厂商,并第一个以抛弃恶意数据包来检测及防护攻击与采用多种检测方法检测攻击性能的厂商;
它是第一个采用状态式签名检测(StatefulSignatureDetection)以降低错误报警的厂商。
不同于大多数入侵检测产品,仅对数据包中的某些字段进行匹配而不管实际的数据流情况从而产生错误的报警,Juniper入侵检测和防范产品追踪数据的通信过程,从而在真正可能产生攻击的通信过程中对攻击进行报警,大大提高了产品性能并提高了产品入侵报警的准确性。
●全套的统一威胁管理(UTM)安全特性——包括状态防火墙、入侵防御、防病毒(即时消息扫描、防间谍软件、防广告软件和防网页仿冒)、防垃圾邮件和Web过滤—可阻断蠕虫、间谍软件、特洛伊木马、恶意软件和其他新形式的攻击。
(注:
并非所有平台都提供全部的UTM特性。
)
●基于策略的集中管理简化了部署和全网络升级工作,从而最大限度地减少了忽略安全漏洞的几率。
●虚拟技术允许管理员将网络分成多个安全区域以实现进一步的保护。
●固有的高可用性特性允许成对部署产品以消除单点故障。
●快速部署特性帮助最大限度地减少重复工作以及因大规模部署带来管理负担
综上所述,目前学校网络前端没有部署防火墙,内网安全得不到完善保护,而通过架设防火墙设备能够很好的保障校园网络安全,阻断互联网上的恶意攻击,避免攻击者窃听网络上的信息、窃取用户的口令和数据库的信息,通过防火墙系统决定了哪些内部服务可以被外界访问;
外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问,为校园内部营造一个良好的网络办公环境。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 北京市 十一 世纪 实验学校 防火墙 解决方案