防火墙安全方案.docx
- 文档编号:23274697
- 上传时间:2023-05-15
- 格式:DOCX
- 页数:40
- 大小:592.95KB
防火墙安全方案.docx
《防火墙安全方案.docx》由会员分享,可在线阅读,更多相关《防火墙安全方案.docx(40页珍藏版)》请在冰豆网上搜索。
防火墙安全方案
防火墙安全方案
运算机网络系统
防火墙部署工程
技术方案
名目
第一章Juniper的安全理念
网络安全能够分为数据安全和服务安全两个层次。
数据安全是防止信息被非法探听;服务安全是使网络系统提供不间断的通畅的对外服务。
从严格的意义上讲,只有物理上完全隔离的网络系统才是安全的。
但为了实际生产以及信息交换的需要,采纳完全隔离手段保证网络安全专门少被采纳。
在有了对外的联系之后,网络安全的目的确实是使不良用心的人窃听数据、破坏服务的成本提高到他们不能承担的程度。
那个地点的成本包括设备成本、人力成本、时刻成本等多方面的因素。
Juniper的整合式安全设备是专为互联网网络安全而设,将硬件状态防火墙、虚拟专用网(IPsecVPN)、入侵防护(IPS)和流量治理等多种安全功能集于一体。
Juniper整合式安全设备具有ASIC芯片硬件加速的安全策略、IPSec加密演算性能、低延时,能够无缝地部署到任何网络。
设备安装和操控也是专门容易,能够通过内置的WebUI、命令行界面或中央治理方案进行统一治理。
1.1差不多防火墙功能
Juniper提供了可扩展的网络安全解决方案,适用于包括宽带移动用户、中小型企业Internet边界、大型企业的内部网络安全域划分和操纵,以至电子商务网站的服务器爱护等等。
Juniper全功能防火墙采纳实时检测技术,能够防止入侵者和拒绝服务(denial-of-service)的攻击。
Juniper防火墙采纳ScreenOS软件,是通过ICSA认证的实时检测防火墙。
Juniper的防火墙系列采纳安全优化的硬件(包括ASIC芯片和主板、操作系统和防火墙),比拼凑而成的软件类方案提供更高级的安全水平。
Juniper的防火墙系列提供强大的攻击防备能力,包括SYN攻击、ICMP泛滥、端口扫描(PortScan)等攻击防备能力,配备硬件加速的会话建立(sessionramprates)性能,即使在最关键性的环境下也能够提供安全爱护。
Juniper的防火墙系列提供各种网络地址翻译(NAT)、端口地址翻译(PAT)的功能――有效隐藏内部、无法路由的IP地址。
1.2内容安全功能
Juniper提供多样的内容安全功能,包括深层检测功能、防病毒、垃圾邮件过滤、和网页过滤4种,同时能够提供试用的临时许可license,能够让用户在一定时刻内下载特点库及使用该内容安全更新。
过了试用期后,用户必须定购年度服务来获得最新的入侵防护攻击库、病毒库、并得到垃圾邮件和网页过滤的定时更新。
用户能够分别购买某个单项的内容安全服务,也能够购买价格更加优待的4项打包的内容安全服务。
1.2.1深层检测功能(DeepInspection)
深层检测功能(DeepInspection,简称DI)是Juniper的防火墙操作系统ScreenOS里集成的一个专门对网络流量里的应用层攻击(包括网络蠕虫、木马和恶意软件)进行检测的功能,事实上确实是将Juniper的IPS/IDP的入侵检测和防护的功能集成到Juniper防火墙的ScreenOS里面,对会话实施基于状态的策略的同时进行对应用层攻击特点的匹配,同时作出相应的爱护动作。
Juniper的防火墙针对流量的应用层的分析和特点匹配进行了一系列的优化,降低了对数据吞吐能力的阻碍。
为了减少对防火墙性能的阻碍,Juniper为深层检测提供4种特点包,让IT治理员依照需要爱护的资源而灵活选择下载、更新和采纳,包括:
1、基础版(Base)特点包:
针对中小型企业的全面防护(包括爱护C/S应用和防蠕虫);
2、服务器(Server)特点包:
针对服务器群进行爱护(包括爱护IIS、Exchange和Oracle服务器等);
3、客户端(Client)特点包:
针对分布式企业的中小型分支机构客户端设备进行爱护(如手提电脑等);
4、常见蠕虫爱护(Worm)特点包:
针对大企业的分支机构提供全面的常见的蠕虫爱护。
深层检测(DI)防火墙被设计用来对网络上一系列最常见的协议(如,DNS,FTP,SMTP,POP3,IMAP,NetBIOS/SMB,MS-RPC,P2P,和IM等)的应用层爱护,同时可在今后简单地添加更多的协议。
对这些协议,深层检测(DI)防火墙采纳和数据接收方(如服务器和客户端的应用)相同的方式来明白得应用层信息。
为了精确地明白得应用层信息,深层检测(DI)防火墙实施包碎片重组,次序重组,去除无用信息和信息正常化处理。
一旦深层检测(DI)防火墙按这些方法重组出了网络流量,它就用协议专门检测和服务操纵字段里的上下文的攻击特点匹配的方法来对流量里的攻击进行防护。
深层检测(DI)防火墙利用了攻击数据库来储存专门协议和攻击特点(有时被称做“特点”),按协议和攻击的严峻性分类,来实施状态检测和深层检测任务。
防火墙的分析引擎由其本身的数据库实时提取有关的攻击特点来有效地分析流量。
一旦Juniper的深层检测(DI)防火墙对应用层数据进行重组后,它就实施针对该应用的分析,决定该流量的目的是恶意的依旧非恶意的。
第一,它依照协议的定义进行分析,假如数据偏离了协议的定义,就代表了协议专门。
高冲击力的、带恶意的协议专门,如设法造成内存溢出来操纵系统的,将被识别为攻击。
对协议专门的细化治理包括调整如何及在哪里查找专门,从而使得支持非正常协议的系统获得同样的支持。
深层检测(DI)防火墙将按照细化的协议操纵来对相关的服务域进行识别。
服务操纵字段是与专门功能相关的流量中的部分,如email地址、URL、文件名等。
深层检测(DI)防火墙将按特点匹配的方法对相应的字段进行检测。
而这些字段就代表了应用层信息,并让深层检测(DI)防火墙能够明白得应用层会话,并在正确的字段上进行攻击特点库的匹配查找。
协议符合检查使用户获得攻击显现日第0天防护
因为Juniper深层检测(DI)防火墙能够对流量进行协议符合检查,它也就具备了无须了解某一专门攻击,就能够对一系列的攻击如内存溢出攻击等的防护能力。
这意味着这种解决方法能够在对新攻击显现的第0天即具备防护能力。
同时,这也是对某些无法简单匹配特点的更狡猾攻击的防护方式。
对已知攻击的服务操纵字段特点匹配
协议匹配检测的是一些未知的和更狡猾的攻击,还有一些攻击是已知的,能够通过已知的特点匹配的方式来更有效地防护它们。
Juniper深层检测(DI)防火墙实施应用分析,明白得信息内容,并将流量信息的不同部分对应到相应的服务操纵字段上。
服务操纵字段是依相应协议事先定义的包头值,代表了相应的目的,使用了固定的流量的相对位置。
如:
在SMTP里,有一些服务操纵字段包括:
命令行(从客户端发给服务器的命令),数据行(一行email内容),From:
(发送者的email地址),等。
深层检测(DI)防火墙应用已知的特点匹配(在防火墙内部的数据库里差不多有了相应的定义),与流量的相关部分进行比较,查找出带攻击的恶意部分流量。
Juniper的特点匹配减少了系统资源的使用,将要紧精力集中在相关恶意流量部分,有效地实施了对已知攻击的爱护。
Juniper的防火墙目前都能够集成入侵防护的功能,同时入侵防护的特点库能够更新升级,目前攻击特点已超过800种。
因此,攻击特点库能够自动或手动更新,更新过程将包括连接Juniper的攻击特点库服务器(定期对新攻击和旧有攻击进行更新)。
此外,Juniper还按需要公布紧急更新,对重点攻击进行防护。
1.2.2防病毒
防病毒也是一项内容爱护不可缺少的部分。
深层检测(DI)是对应用层操纵字段信息进行攻击特点匹配(一样是蠕虫病毒或缓冲区溢出等攻击),而防病毒是针对文件里的携带的攻击(包括间谍软件、广告软件、网络钓鱼软件和键盘侧录软件)进行匹配的技术,而文件的传递一样依靠web、FTP的下载和上传,以及email附件等。
通过和业界领先的防病毒厂家的卡巴斯基(Kaspersky)公司合作,Juniper在HSC、NetScreen-5GT和SSG系列(包括SSG550、SSG520等)的防火墙提供防病毒的一体化解决方案,即卡巴斯基(Kaspersky)病毒扫描引擎完全集成在防火墙的操作系统里,同时通过操作系统的升级而升级。
关于不同的用户,Juniper能够提供3种不同的扫描级别,包括:
A)标准级别(Standard):
缺省和举荐采纳的级别,能够提供最全面和误报率最低的扫描;
B)常见病毒级别(Inthewild):
只对常见病毒进行扫描从而性能更佳;
C)扩展级别(Extended):
对更多的广告软件进行扫描,误报率相对较高。
而对其他高端产品,则用重定向到防病毒网关服务器上的方式实现网关防毒。
1.2.3垃圾邮件过滤
垃圾邮件过滤功能也是内容安全的一个重要的组成部分。
Juniper的垃圾邮件过滤功能要紧集成在Juniper的中低端防火墙(包括HSC、NetScreen-5GT、NS25、NS50、以及SSG系列)里。
通过不断更新的IP地址和垃圾邮件发送者列表,有效地高精确性地屏蔽垃圾邮件发送者和网络钓鱼者。
因此用户也能够自己定义垃圾邮件的白名单和黑名单,手工地对垃圾邮件进行屏蔽。
1.2.4网页过滤
关于放在网络边界为用户提供Internet访问的边界防火墙而言,还必须对企业职员对Internet访问的网站进行操纵。
包括Surfcontrol和Websense都实时对Internet上的站点进行分类,如:
新闻类、盗版软件类、军事类、财经等等。
通过承诺用户能和不能访问某一类型的网站,能够提高企业职员的工作效率,并幸免诸如职员到非法恶意软件站点下载等情形而导致的法律纠纷。
Juniper的网页过滤功能(采纳Surfcontrl技术)要紧集成在Juniper的中低端防火墙(包括HSC、NetScreen-5GT、NS25、NS50、以及SSG系列)里,而对中高端的防火墙而言,能够采纳用防火墙重定向到Surfcontrol或Websense服务器的方式。
1.3虚拟专网(VPN)功能
Juniper防火墙中整合了一个全功能VPN解决方案,它们支持站点到站点VPN及远程接入VPN应用。
∙通过VPNC测试,与其他通过IPSec认证的厂商设备兼容。
∙三倍DES、DES和AES加密使用数字证书(PKIX.509),自动的或手动的IKE。
∙SHA-1和MD5认证。
∙同时支持网状式(mesh)及集中星型(hubandspoke)的VPN网络,可按VPN部署的需求,配置用其一或整合两种网络拓扑。
∙Juniper的防火墙专门好地支持VPN的冗余,能够实施基于策略的VPN和基于路由的VPN。
1.4流量治理功能
流量治理承诺网络治理员实时监视、分析和分配各类网络流量使用的带宽,有助确保在用户上网扫瞄时或在执行其他非关键性应用时而可不能阻碍关键性业务的流量。
∙依照IP地址、用户、应用或时刻段来进行治理
∙能够对进出两个方向的流量都进行流量治理
∙设定保证带宽和最大带宽
∙以八种优先等级,为流量分配优先权
∙支持符合行业标准的diffserv数据包标记
1.5强大的ASIC的硬件保证
Juniper防火墙的安全机制广泛采纳了ASIC芯片技术,在ASIC硬件中处理防火墙访问策略和加密算法,这方面运算的速度是软件类方案不能相比的;同时它还能够省出中央处理器资源用于治理数据流。
这种安全加密的ASIC更可与Juniper的ScreenOS操作系统和系统软件紧密地集成起来,与其他基于通用的商用操作系统的安全产品相比,Juniper产品排除了不必要的软件层和安全漏洞。
Juniper将安全功能提升到系统层次,更能够节约建立额外平台带来的开支。
目前,其他采纳PC或工作站作为平台的软件类方案,往往令系统性能大打折扣。
ASIC芯片对防火墙的性能和稳固性有极大的提高,要紧表达在:
1、ASIC芯片能够对会话建立后的流量进行不通过CPU处理的直截了当转发;
2、ASIC芯片能够对IPsecVPN进行加解密处理。
3、能够对一系列的网络层的DDoS攻击(包括生成对TCPSyn泛洪攻击的cookie)进行防护,直截了当在ASIC芯片上对数据包进行丢弃,幸免了对系统的阻碍。
4、IP包的碎片重组和流量统计也依靠ASIC芯片实现。
正是由于采纳了高性能的专用ASIC芯片,因此Juniper的安全产品的性能不仅仅在实验室网络环境下都能够发挥出高水平,在实际的生产网络环境中同样能够保持高性能。
1.6设备的可靠性和安全性
Juniper将所有功能集成于单一硬件产品中,它不仅易于安装和治理,而且能够提供更高可靠性和安全性。
由于Juniper设备没有其它品牌对硬盘驱动器和移动部件所存在的稳固型问题,因此它是对在线时刻要求极高的用户的最佳方案。
采纳Juniper设备的WebUI治理方式,能够直截了当登陆Web界面里对防火墙、VPN和流量治理功能进行配置和治理,减轻了配置另外的硬件和操作系统。
那个做法缩短了安装的时刻,并在防范安全漏洞的工作上,减少设定的步骤。
1.7完备简易的治理
Juniper的安全设备包括强健的治理支持,承诺网络治理员安全地治理设备。
由于VPN功能是内置的,因此能够对所有治理加密,从而实现真正的安全远程治理。
∙采纳NetScreenSecurityManager,以C/S形式实现中央站点治理。
∙通过内置WebUI实现扫瞄操作式的治理。
∙带内,可透过SSH和Telnet进入命令行界面(CLI);带外,则可透过操纵台/调制解调器端口/带外治理口进行治理。
∙电子邮件告警、SNMPtraps和告警。
∙系统日志(Syslog)、简单网络治理协议(SNMP)、WebTrends和MicroMuseNetCool界面可与第三方报表系统互兼容。
防火墙上将syslog发到到多台一般的syslog服务器上,假如要进行syslog汇总分析报表,则能够和WebTrend服务器配合使用,也能够通过多家syslog的报表分析软件(包括中文界面的软件)对syslog进行日志报表。
除了Syslog服务器,Juniper防火墙还能够将syslog发到Juniper的NSM集中治理服务器上,然后NSM服务器按照策略将不同的日志发给不同的syslog服务器。
假如在NSM服务器的基础上安装了SRS的日志报表服务器后,用户也能够用SRS来生成历史报表。
防火墙上本身提供一定数量的本地认证用户数据库,也可和Radius服务器、LDAP服务器等配合使用提供外部用户身份认证。
第二章项目概述
第三章总体方案建议
运算机网络安全建设方案是参照国际通行的PDRR(Protection-防护、Detection-检测、Respone-响应和Recovery-复原)安全模型进行设计的。
与防火墙A和B直截了当相关的网络部分如下图所示:
注:
◎2台防火墙间可增加HA(高可用性)连接。
3.1防火墙A和防火墙B的双机热备、均衡负载实现方案
Juniper的中高端防火墙对双机热备、负载分担的实现有专门好的支持,实施的方式是通过Juniper的冗余协议NSRP,类似于VRRP(HSRP)但在其基础上有专门大的改进,现详细介绍如下:
Juniper为了实现更安全、更有效的防火墙冗余体系,开发了专有的防火墙HA工作的协议NSRP,NSRP协议借鉴了VRRP协议,而且补偿了VRRP协议的不足,是针对安全设备的HA协议。
NSRP实现了:
在HA组成员之间镜像配置,在发生故障切换时确保正确的行为。
能够在HA组中爱护所有活动会话和VPN隧道。
故障切换算法依照系统健康状态确定哪个系统是主系统,把状态与相邻系统连接起来或监控从本系统到远端的路径。
不管活动会话和VPN隧道的数量有多少,故障检测和切换到备用系统能够在低于一秒时刻内完成。
整个系统的防火墙处理能力提高一倍。
Juniper的中高端防火墙更支持全网状的Active/ActiveHA,幸免低级的网络故障导致Juniper防火墙的不可用。
Juniper设备处于“路由”或NAT模式时,能够将冗余集群中的两台设备都配置为主动,通过具有负载均衡能力的路由器,运行诸如“虚拟路由器冗余协议(VRRP)”等协议,共享它们之间分配的流量。
通过使用“NetScreen冗余协议(NSRP)”创建两个虚拟安全设备(VSD)组,每个组都具有自己的虚拟安全接口(VSI),即可实现此目的。
设备A充当VSD组1的主设备,并充当VSD组2的备份设备。
设备B充当VSD组2的主设备,并充当VSD组1的备份设备。
此配置称为双主动(请参阅下图)。
由于设备冗余,因此不存在单一故障点。
负载分担的方式是通过同一VLAN内一部分设备的网关指向一台防火墙的端口ip地址,另一部分设备的网网关指向另一台防火墙的端口ip地址。
故障切换后,该VLAN的所有设备都指向同一防火墙的物理端口(逻辑上具备两个同网段的IP地址,作为不同设备的缺省网关IP地址)。
设备A和设备B各接收50%的网络和VPN流量。
设备A显现故障时,设备B变成VSD组1的主设备,同时连续作为VSD组2的主设备,并处理100%的流量。
在双主动配置中,故障切换产生的流量转移结果如下图所示。
尽管处于双主动配置的两台设备分开的会话总数不能超过单个防火墙设备的容量,但添加的第二台设备使可用的潜在带宽加倍。
第二台主动设备也保证两台设备都具有网络连接功能。
即双主动的配置方法的最大连接数保持为原单机时的数量,该数量对一个大型网络也已足够了,然而数据吞吐量则增大一倍。
除NSRP集群(要紧负责在组成员间传播配置并通告每个成员的当前VSD组状态)外,还能够将设备A和设备B配置为RTO镜像组中的成员,该镜像组负责坚持一对设备之间执行对象(RTO)3的同步性。
主设备让位时,通过坚持所有当前会话,备份设备可赶忙用最短的服务停赶忙间承担主地位。
除冗余设备外,还能够在防火墙设备上配置冗余物理接口。
假如一级端口失去网络连接,则二级端口承担连接的任务。
在防火墙设备中,也存在冗余物理HA接口,它不仅处理不同种类的HA通信,而且彼此充当备份。
缺省情形下,HA1处理操纵消息,HA2处理数据消息。
假如失去任一HA链接,则另一链接可承担起两种消息类型。
在没有专用HA接口的Juniper设备上,必须将一个或两个物理以太网接口绑定到HA区段上。
由于NSRP通信的隐秘特性,能够通过加密和认证保证所有NSRP流量的安全。
关于加密和认证,NSRP分别支持DES和MD5算法。
通常,在Juniper的冗余协议NSRP的支持下,防火墙的冗余连接有以下几种形式:
●Active-Standby:
有冗余,无法同时工作
●Active-Active:
有冗余,双机同时工作,仅能容忍1个故障点
●Active-Active(全网状,FullMesh):
有冗余,双机同时工作,最多容忍3个故障点,网络结构较复杂,能够检测切换非相邻设备的故障。
Juniper的中高端防火墙设备通过一个或两个高可靠性端口HA1和HA2来实现NSRP。
在实际配置时,可将第一个端口HA1配置为传递操纵信息的连接,实现两台防火墙的配置同步、心跳检测、故障检测、实时会话信息同步等功能,现在两台防火墙的会话状态表保持一致,传递信息的流量实际并不大(要紧是会话建立的初期需要传递较多的会话的参数信息),因此两台防火墙的会话信息能够实时得到同步。
第二个端口HA2配置为传递实际数据流量数据线路,要紧是在不对称流量进出的情形发挥作用,即某一会话的流量进来是通过第一台防火墙,然而返回的流量却因为相邻路由设备的缘故发到了第二台防火墙,现在第二台防火墙进行会话状态检测后发觉是基于现有会话的,而且属于第一台防火墙处理的流量,因此将返回的流量通过HA2端口发给第一台防火墙。
两个HA端口能够作为备份,即实际上一个HA就能够实现以上功能,保证了网络的高可靠性。
在实际应用中,能够通过网络优化、路由调整的方法将不对称的流量减少,从而使得第二个端口HA2的负载处在合理水平。
以上的故障切换均可在小于1秒内完成,同时对用户流量透亮。
具体切换的触发因素和检测方式列表如下:
故障描述
NSRP/Juniper爱护
Juniper爱护的故障
数据端口故障(物理层和链路层)
冗余数据端口
HA端口
冗余HA端口
电源故障
冗余电源
设备完全掉电
心跳信号
ScreenOS系统故障导致流量不通过但端口是up的(layer3故障)
心跳信号
相邻设备故障
完全掉电和不提供服务
IP路径检测
路由器故障
端口故障
链路监测
设备故障
IP路径检测&链路监测
应用故障
IP路径检测
交换机故障
端口故障
链路监测
设备故障
链路监测
应用故障
IP路径检测
治理员操纵的设备爱护和down机
IP路径检测
多设备故障
Juniper和周围设备在不同路径故障
冗余端口
环境故障
物理接线故障
链路监测
电路故障
心跳信号,多电源,链路监测,IP路径检测
此外,由于实施了Juniper的冗余协议NSRP,包括VPN、地址翻译等多种应用的实时信息都得到同步,即对VPN连接、地址翻译连接的切换也是在小于1秒完成,因此在实施时具备专门强的灵活性,适应了各种网络应用的情形。
而且查错较为简单。
因此该方案的优势依旧比较明显的,只需在实施时注意减少不对称路由的条数,让大部分的流量对称地传送,小部分不对称路由的流量通过HA2口做“h”型的转发即可。
3.2防火墙A和防火墙B的VLAN(802.1Q的trunk协议)实现方案
Juniper防火墙在路由模式的(包括5GT)都支持VLAN终结和VLAN间的路由,即在物理端口下能够开802.1Q的逻辑子接口。
不同的逻辑子接口能够放在不同的安全区里面,然后能够对不同安全区之间的互相访问进行操纵(缺省情形下的规则是不承诺互相访问)。
Juniper防火墙在透亮模式下一样能够支持对不带vlantag标记和带vlantag标记的数据包的穿越,同时对该数据包的IP层及应用层的信息进行分析,从而能够更容易地将该防火墙部署到网络里面。
3.3防火墙A和防火墙B的动态路由支持程度的实现方案
Juniper的防火墙支持的路由协议包括:
1、OSPF/BGP动态路由;
2、RIPv2动态路由;
3、源路由:
即依照源IP地址或源接口来确定下一跳;
4、多链路负载均衡:
Juniper防火墙支持同一物理接口下多链路和不同不物理接口下的多链路的负载均衡,最多的链路可达4条。
5、Juniper防火墙的三层接口,包括物理接口、逻辑子接口、loopback接口、VPN通道接口等都能够运行动态路由;
3.4防火墙的VPN实现方案
Juniper防火墙的各个三层接口都可端结IPsecVPN,同时能够实施基于策略的VPN(通过防火墙策略定义手动调用相应的VPN),和基于路由的VPN(通过路由协议自动选择相应的VPN隧道,然后单独实施防火墙策略)。
Juniper防火墙中整合了一个全功能VPN解决方案,它们支持站点到站点VPN及远程接入VPN应用。
∙通过VPNC测试,与其他通过IPSec认证的厂商设备兼容。
∙三倍DE
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 防火墙 安全 方案