JuniperUTM统一威胁管理系统项目解决方案.docx
- 文档编号:29191677
- 上传时间:2023-07-21
- 格式:DOCX
- 页数:16
- 大小:410.95KB
JuniperUTM统一威胁管理系统项目解决方案.docx
《JuniperUTM统一威胁管理系统项目解决方案.docx》由会员分享,可在线阅读,更多相关《JuniperUTM统一威胁管理系统项目解决方案.docx(16页珍藏版)》请在冰豆网上搜索。
JuniperUTM统一威胁管理系统项目解决方案
附件二:
XXX公司
JuniperUTM统一威胁管理系统
解决方案
金网科技发展
2006年12月
一.Juniper的安全理念
网络安全可以分为数据安全和服务安全两个层次。
数据安全是防止信息被非法探听;服务安全是使网络系统提供不间断的通畅的对外服务。
从严格的意义上讲,只有物理上完全隔离的网络系统才是安全的。
但为了实际生产以及信息交换的需要,采用完全隔离手段保障网络安全很少被采用。
在有了对外的联系之后,网络安全的目的就是使不良用心的人窃听数据、破坏服务的成本提高到他们不能承受的程度。
这里的成本包括设备成本、人力成本、时间成本等多方面的因素。
Juniper的整合式安全设备是专为互联网网络安全而设,将硬件状态防火墙、虚拟专用网(IPsecVPN)、入侵防护(IPS)和流量管理等多种安全功能集于一体。
Juniper整合式安全设备具有ASIC芯片硬件加速的安全策略、IPSec加密演算性能、低延时,可以无缝地部署到任何网络。
设备安装和操控也是非常容易,可以通过置的WebUI、命令行界面或中央管理方案进行统一管理。
为提高恶意攻击者的攻击成本,Juniper的安全理念提供了多层次、多深度的防护体系,如图所示。
核心关键资源
Intrusion
Prevention
DoS
Firewall
IPSec
VPN
集中管理
合作方案
Juniper提供了防火墙/VPN系列设备和IDP(入侵检测和防护)系列设备用以实现不同层次的保护功能。
针对不同的应用环境有不同的产品型号对应,而且提供集中式管理工具。
1.1基本防火墙功能
Juniper提供了可扩展的网络安全解决方案,适用于包括宽带移动用户、中小型企业Internet边界、大型企业的部网络安全域划分和控制,以至电子商务的服务器保护等等。
Juniper全功能防火墙采用实时检测技术,可以防止入侵者和拒绝服务(denial-of-service)的攻击。
Juniper防火墙采用ScreenOS软件,是经过ICSA认证的实时检测防火墙。
Juniper的防火墙系列采用安全优化的硬件(包括ASIC芯片和主板、操作系统和防火墙),比拼凑而成的软件类方案提供更高级的安全水平。
Juniper的防火墙系列提供强大的攻击防御能力,包括SYN攻击、ICMP泛滥、端口扫描(PortScan)等攻击防御能力,配备硬件加速的会话建立(sessionramprates)性能,即使在最关键性的环境下也可以提供安全保护。
Juniper的防火墙系列提供各种网络地址翻译(NAT)、端口地址翻译(PAT)的功能――有效隐藏部、无法路由的IP地址。
1.2容安全功能
Juniper提供多样的容安全功能,包括深层检测功能、防病毒、垃圾过滤、和网页过滤4种,并且可以提供试用的临时许可license,可以让用户在一定时间下载特征库及使用该容安全更新。
过了试用期后,用户必须定购年度服务来获得最新的入侵防护攻击库、病毒库、并得到垃圾和网页过滤的定时更新。
用户可以分别购买某个单项的容安全服务,也可以购买价格更加优惠的4项打包的容安全服务。
1.2.1深层检测功能(DeepInspection)
深层检测功能(DeepInspection,简称DI)是Juniper的防火墙操作系统ScreenOS里集成的一个专门对网络流量里的应用层攻击(包括网络蠕虫、木马和恶意软件)进行检测的功能,其实就是将Juniper的IPS/IDP的入侵检测和防护的功能集成到Juniper防火墙的ScreenOS里面,对会话实施基于状态的策略的同时进行对应用层攻击特征的匹配,并且作出相应的保护动作。
Juniper的防火墙针对流量的应用层的分析和特征匹配进行了一系列的优化,降低了对数据吞吐能力的影响。
为了减少对防火墙性能的影响,Juniper为深层检测提供4种特征包,让IT管理员根据需要保护的资源而灵活选择下载、更新和采用,包括:
1、基础版(Base)特征包:
针对中小型企业的全面防护(包括保护C/S应用和防蠕虫);
2、服务器(Server)特征包:
针对服务器群进行保护(包括保护IIS、Exchange和Oracle服务器等);
3、客户端(Client)特征包:
针对分布式企业的中小型分支机构客户端设备进行保护(如手提电脑等);
4、常见蠕虫保护(Worm)特征包:
针对大企业的分支机构提供全面的常见的蠕虫保护。
深层检测(DI)防火墙被设计用来对网络上一系列最常见的协议(如HTTP,DNS,FTP,SMTP,POP3,IMAP,NetBIOS/SMB,MS-RPC,P2P,和IM等)的应用层保护,并且可在将来简单地添加更多的协议。
对这些协议,深层检测(DI)防火墙采用和数据接收方(如服务器和客户端的应用)相同的方式来理解应用层信息。
为了精确地理解应用层信息,深层检测(DI)防火墙实施包碎片重组,次序重组,去除无用信息和信息正常化处理。
一旦深层检测(DI)防火墙按这些方法重组出了网络流量,它就用协议异常检测和服务控制字段里的上下文的攻击特征匹配的方法来对流量里的攻击进行防护。
深层检测(DI)防火墙利用了攻击数据库来储存异常协议和攻击特征(有时被称做“特征”),按协议和攻击的严重性分类,来实施状态检测和深层检测任务。
防火墙的分析引擎由其本身的数据库实时提取有关的攻击特征来有效地分析流量。
一旦Juniper的深层检测(DI)防火墙对应用层数据进行重组后,它就实施针对该应用的分析,决定该流量的目的是恶意的还是非恶意的。
首先,它根据协议的定义进行分析,如果数据偏离了协议的定义,就代表了协议异常。
高冲击力的、带恶意的协议异常,如设法造成存溢出来控制系统的,将被识别为攻击。
对协议异常的细化管理包括调整如何及在哪里查找异常,从而使得支持非正常协议的系统获得同样的支持。
深层检测(DI)防火墙将按照细化的协议控制来对相关的服务域进行识别。
服务控制字段是与特别功能相关的流量中的部分,如email地址、URL、文件名等。
深层检测(DI)防火墙将按特征匹配的方法对相应的字段进行检测。
而这些字段就代表了应用层信息,并让深层检测(DI)防火墙可以理解应用层会话,并在正确的字段上进行攻击特征库的匹配查找。
协议符合检查使用户获得攻击出现日第0天防护
因为Juniper深层检测(DI)防火墙可以对流量进行协议符合检查,它也就具备了无须了解某一特别攻击,就可以对一系列的攻击如存溢出攻击等的防护能力。
这意味着这种解决方法可以在对新攻击出现的第0天即具备防护能力。
同时,这也是对某些无法简单匹配特征的更狡猾攻击的防护方式。
对已知攻击的服务控制字段特征匹配
协议匹配检测的是一些未知的和更狡猾的攻击,还有一些攻击是已知的,可以通过已知的特征匹配的方式来更有效地防护它们。
Juniper深层检测(DI)防火墙实施应用分析,理解信息容,并将流量信息的不同部分对应到相应的服务控制字段上。
服务控制字段是依相应协议事先定义的值,代表了相应的目的,使用了固定的流量的相对位置。
如:
在SMTP里,有一些服务控制字段包括:
命令行(从客户端发给服务器的命令),数据行(一行email容),From:
(发送者的email地址),等。
深层检测(DI)防火墙应用已知的特征匹配(在防火墙部的数据库里已经有了相应的定义),与流量的相关部分进行比较,查找出带攻击的恶意部分流量。
Juniper的特征匹配减少了系统资源的使用,将主要精力集中在相关恶意流量部分,有效地实施了对已知攻击的保护。
Juniper的防火墙目前都可以集成入侵防护的功能,并且入侵防护的特征库可以更新升级,目前攻击特征已超过800种。
当然,攻击特征库可以自动或手动更新,更新过程将包括连接Juniper的攻击特征库服务器(定期对新攻击和旧有攻击进行更新)。
此外,Juniper还按需要发布紧急更新,对重点攻击进行防护。
1.2.2防病毒
防病毒也是一项容保护不可缺少的部分。
深层检测(DI)是对应用层控制字段信息进行攻击特征匹配(一般是蠕虫病毒或缓冲区溢出等攻击),而防病毒是针对文件里的携带的攻击(包括间谍软件、广告软件、网络钓鱼软件和键盘侧录软件)进行匹配的技术,而文件的传递一般依靠web、FTP的下载和上传,以及email附件等。
通过和业界领先的防病毒厂家的卡巴斯基(Kaspersky)公司合作,Juniper在HSC、NetScreen-5GT和SSG系列(包括SSG550、SSG520等)的防火墙提供防病毒的一体化解决方案,即卡巴斯基(Kaspersky)病毒扫描引擎完全集成在防火墙的操作系统里,并且通过操作系统的升级而升级。
对于不同的用户,Juniper可以提供3种不同的扫描级别,包括:
A)标准级别(Standard):
缺省和推荐采用的级别,可以提供最全面和误报率最低的扫描;
B)常见病毒级别(Inthewild):
只对常见病毒进行扫描从而性能更佳;
C)扩展级别(Extended):
对更多的广告软件进行扫描,误报率相对较高。
而对其他高端产品,则用重定向到防病毒网关服务器上的方式实现网关防毒。
1.2.3垃圾过滤
垃圾过滤功能也是容安全的一个重要的组成部分。
Juniper的垃圾过滤功能主要集成在Juniper的中低端防火墙(包括HSC、NetScreen-5GT、NS25、NS50、以及SSG系列)里。
通过不断更新的IP地址和垃圾发送者列表,有效地高精确性地屏蔽垃圾发送者和网络钓鱼者。
当然用户也可以自己定义垃圾的白和黑,手工地对垃圾进行屏蔽。
1.2.4网页过滤
对于放在网络边界为用户提供Internet访问的边界防火墙而言,还必须对企业员工对Internet访问的进行控制。
包括Surfcontrol和Websense都实时对Internet上的站点进行分类,如:
新闻类、盗版软件类、军事类、财经等等。
通过允许用户能和不能访问某一类型的,可以提高企业员工的工作效率,并避免诸如员工到非法恶意软件站点下载等情况而导致的法律纠纷。
Juniper的网页过滤功能(采用Surfcontrl技术)主要集成在Juniper的中低端防火墙(包括HSC、NetScreen-5GT、NS25、NS50、以及SSG系列)里,而对中高端的防火墙而言,可以采用用防火墙重定向到Surfcontrol或Websense服务器的方式。
1.3虚拟专网(VPN)功能
Juniper防火墙中整合了一个全功能VPN解决方案,它们支持站点到站点VPN及远程接入VPN应用。
∙通过VPNC测试,与其他通过IPSec认证的厂商设备兼容。
∙三倍DES、DES和AES加密使用数字证书(PKIX.509),自动的或手动的IKE。
∙SHA-1和MD5认证。
∙同时支持网状式(mesh)及集中星型(hubandspoke)的VPN网络,可按VPN部署的需求,配置用其一或整合两种网络拓扑。
∙Juniper的防火墙很好地支持VPN的冗余,可以实施基于策略的VPN和基于路由的VPN。
1.4流量管理功能
流量管理允许网络管理员实时监视、分析和分配各类网络流量使用的带宽,有助确保在用户上网浏览时或在执行其他非关键性应用时而不会影响关键性业务的流量。
∙根据IP地址、用户、应用或时间段来进行管理
∙可以对进出两个方向的流量都进行流量管理
∙设定保障带宽和最大带宽
∙以八种优先等级,为流量分配优先权
∙支持符合行业标准的diffserv数据包标记
1.5强大的ASIC的硬件保障
Juniper防火墙的安全机制广泛采用了ASIC芯片技术,在ASIC硬件中处理防火墙访问策略和加密算法,这方面运算的速度是软件类方案不能相比的;同时它还可以省出中央处理器资源用于管理数据流。
这种安全加密的ASIC更可与Juniper的ScreenOS操作系统和系统软件紧密地集成起来,与其他基于通用的商用操作系统的安全产品相比,Juniper产品消除了不必要的软件层和安全漏洞。
Juniper将安全功能提升到系统层次,更可以节省建立额外平台带来的开支。
目前,其他采用PC或工作站作为平台的软件类方案,往往令系统性能大打折扣。
ASIC芯片对防火墙的性能和稳定性有极大的提高,主要体现在:
1、ASIC芯片可以对会话建立后的流量进行不经过CPU处理的直接转发;
2、ASIC芯片可以对IPsecVPN进行加解密处理。
3、可以对一系列的网络层的DDoS攻击(包括生成对TCPSyn泛洪攻击的cookie)进行防护,直接在ASIC芯片上对数据包进行丢弃,避免了对系统的影响。
4、IP包的碎片重组和流量统计也依靠ASIC芯片实现。
正是由于采用了高性能的专用ASIC芯片,所以Juniper的安全产品的性能不仅仅在实验室网络环境下都能够发挥出高水平,在实际的生产网络环境中同样可以保持高性能。
1.6设备的可靠性和安全性
Juniper将所有功能集成于单一硬件产品中,它不仅易于安装和管理,而且能够提供更高可靠性和安全性。
由于Juniper设备没有其它品牌对硬盘驱动器和移动部件所存在的稳定型问题,所以它是对在线时间要求极高的用户的最佳方案。
采用Juniper设备的WebUI管理方式,可以直接登陆Web界面里对防火墙、VPN和流量管理功能进行配置和管理,减轻了配置另外的硬件和操作系统。
这个做法缩短了安装的时间,并在防安全漏洞的工作上,减少设定的步骤。
1.7完备简易的管理
Juniper的安全设备包括强健的管理支持,允许网络管理员安全地管理设备。
由于VPN功能是置的,因此可以对所有管理加密,从而实现真正的安全远程管理。
∙采用NetScreenSecurityManager,以C/S形式实现中央站点管理。
∙通过置WebUI实现浏览操作式的管理。
∙带,可透过SSH和Telnet进入命令行界面(CLI);带外,则可透过控制台/调制解调器端口/带外管理口进行管理。
∙电子告警、SNMPtraps和告警。
∙系统日志(Syslog)、简单网络管理协议(SNMP)、WebTrends和MicroMuseNetCool界面可与第三方报表系统互兼容。
防火墙上将syslog发到到多台普通的syslog服务器上,如果要进行syslog汇总分析报表,则可以和WebTrend服务器配合使用,也可以通过多家syslog的报表分析软件(包括中文界面的软件)对syslog进行日志报表。
除了Syslog服务器,Juniper防火墙还可以将syslog发到Juniper的NSM集中管理服务器上,然后NSM服务器按照策略将不同的日志发给不同的syslog服务器。
如果在NSM服务器的基础上安装了SRS的日志报表服务器后,用户也可以用SRS来生成历史报表。
防火墙上本身提供一定数量的本地认证用户数据库,也可和Radius服务器、LDAP服务器等配合使用提供外部用户身份认证。
二.解决方案
2.1方案部署
针对ATA采用Juniper公司的安全业务网关设备进行如下部署:
1.在互联网出口和出口处设置Juniper公司的安全业务网关SSG550两台,对其后的所有网络进行防护,从出口处将网与互联网隔离。
2.部网络安全由安全网关与网IDP入侵防御系统共同构成全网安全体系。
2.2安全业务网关设备UTM功能概述
2.2.1SSG550和SSG20的UTM特性
在SSG550和SSG20设备中使用了一套全面的统一威胁管理(UTM)安全特性,可防止网络和应用层攻击,同时阻断基于容的攻击。
UTM安全特性包括:
●与赛门铁克合作阻断已知的垃圾和网页仿冒攻击的发送方,提供防垃圾功能
●面向H.323、SIP、SCCP和MGCP的应用层网关,用于检测并保护VoIP流量
●基于卡巴斯基实验室扫描引擎的最佳防病毒特性,包括网页仿冒、间谍软件和广告软件防护等功能,可在病毒、特洛伊木马和其他恶意软件损害网络之前阻断它们
●站点间IPSecVPN,可在办事处之间建立安全通信
●拒绝服务(DoS)攻击牵制功能
●通过SurfControl提供Web过滤,阻止访问已知的恶意下载或其他不适当的web容
●状态检测防火墙,可进行接入控制并阻断网络层攻击
●IPS(深层检测防火墙),可阻断应用层攻击
2.2.2UTM概述
2004年9月美国著名的IDC提出将防病毒、入侵检测和防火墙安全设备命名为统一威胁管理(UnitedThreatManagement,简称UTM)新类别,引起了业界重视,开阔了市场思路。
统一威胁管理技术正引领安全行业的潮流。
本文介绍统一威胁管理的功能、特点、关键技术和发展趋势。
2.2.2.1威胁生态系统特点
网络攻击是全球性问题。
黑客们日益聚焦于混合型的威胁,结合各种有害代码来探测和攻击系统漏洞。
这些混合攻击分别绕过现有的安全节点,如独立的VPN、防火墙和防毒产品,形成各种形态持续的攻击流。
黑客自动工具、混合攻击以及蠕虫木马病毒增加了数据曝光的可能性。
脆弱点、配置错误和缺乏管理等问题更使实现安全增加难度。
威胁的形态表现为病毒/蠕虫/木马、灰色件、间谍件、垃圾、配置错误、应用程序脆弱点、自动的黑客工具和脚本、拒绝服务、缓冲溢出、Cookie中毒等。
威胁的另一特点是新漏洞攻击产生速度快,即称为“零小时”(zero-hour)或“零日”(zero-day)新的未知的攻击。
另外,社会工程陷阱型的攻击,包括间谍软件、网络欺诈、基于的攻击和恶意Web站点、Web重定向等,伪装为合法应用和信息欺骗用户的威胁日益增多。
2.2.2.2统一威胁管理的定义
统一威胁管理(UTM)是保持威胁生态平衡的良方。
美国著名的IDC对统一威胁管理(UTM)安全设备的定义的是由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能。
它将多种安全特性集成于一个硬设备里,构成一个标准的统一管理平台。
UTM设备应该具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能。
这几项功能并不一定要同时都得到使用,不过它们应该是UTM设备自身固有的功能。
UTM安全设备也可能包括其它特性,例如安全管理、日志、策略管理、服务质量(QoS)、负载均衡、高可用性(HA)和报告带宽管理等。
不过,其它特性通常都是为主要的安全功能服务的。
图1表示UTM系统平台上的综合多项功能。
图1 UTM系统平台的综合功能
2.2.2.3市场需要UTM的理由
虽然市场上已经有了那么多基于软件的安全产品,为什么人们还是倾向于购买统一威胁管理安全设备呢?
以下概述了激励威胁管理安全设备增长的因素:
–降低了复杂性:
一体化的设计简化了产品选择、集成和支持服务的工作量。
简单的放置、方便的安装是威胁管理安全设备最关键的优点。
–避免了软件安装工作和服务器的增加:
安全服务商、产品经销商甚至最终用户通常都能很容易的安装和维护这些设备,而且这一过程还可以远程操作进行。
–减少了维护量:
这些设备通常都是即插即用的,只需要很少的安装配置。
–可以和高端软件解决方案协同工作:
当硬件设备安装在企业没有专业安全管理人员的远程地点,由于设备可以很容易的安装并通过远程遥控来管理它,这种管理方式可以很好的和已安装的大型集中式的软件防火墙协同工作。
–更少的操作过程:
用户通常都倾向于尝试各种操作,而安全设备的“黑盒子”设计限制了用户危险操作的可能,降低了误操作隐患,提高了安全性。
–更容易的排错:
当一台设备出现故障之后,即使是一个非专业人员也可以很容易的用另外一台设备替换它,使网络尽快恢复正常。
这项特性对于那些没有专职技术人员的远程办公室显得尤为重要。
2.2.2.4UTM发展趋势
根据IDC的预测,UTM市场在短期将会有大幅度的增长。
全球UTM设备市场将在2003-2008年期间以年均17%的速度增长,于2008年将达到近20亿美元,届时会将超过防火墙/VPN市场份额。
表1表示IDC的UTM增长预测以及与防火墙/VPN市场的比较。
IDC全球安全设备市场预测,2003-2008年(百万美元)
来源:
IDC,2004
表1 IDC的UTM增长预测
UTM市场发展迅速
2003年,市场上还只有7家厂商在销售UTM产品。
而到了2004年底,UTM厂商的数量增长到了至少16家。
这些厂商包括知名的网络安全产品厂商、防病毒市场的前导者及一些欧洲和亚洲的小型设备厂商。
UTM市场上获得成功的关键是提供更高的性能和更强的功能,使之成为与众不同的产品。
在UTM市场领先的Juniper公司利用自主产权的ASIC芯片技术,创新推出JuniperUTM系列,大幅度提升开启防病毒功能下的安全性能,实现7种重要的UTM特性,包括防病毒、VPN、防火墙、IDP、容过滤、反垃圾和流量整形。
展望未来,UTM不仅逐渐形成具有竞争力的安全市场,而且预计会成为安全市场的领导者。
其原因有以下几方面:
(1)UTM设备将防病毒和入侵检测功能融合于防火墙之中,成为防御混合型攻击的利剑。
混合型的攻击可能攻破单点型的安全方案,但却很可能在统一安全方案面前败下阵来。
(2)UTM设备提供综合的功能和安全的性能,降低了复杂度,也降低了成本,适合企业、服务提供商和中小办公用户的网络环境。
(3)UTM设备能为用户定制安全策略,提供灵活性。
用户既可以使用UTM的全部功能,也可酌情使用最需要的某一特定功能。
(4)UTM设备能提供全面的管理、报告和日志平台,用户可以统一地管理全部安全特性,包括特征库更新和日志报告等。
(5)随着性能的提高,大型企业和服务提供商也可以使用UTM作为优化的整体解决方案的一部分,可扩展性好,蕴藏的增长潜力可观。
2.2.2.5UTM的典型技术
实现UTM需要无缝集成多项安全技术,达到在不降低网络应用性能的情况下,提供集成的网络层和容层的安全保护。
以下为一些典型的技术:
(1)完全性容保护(CCP)
完全性容保护(CompleteContentProtection,简称CCP)提供对OSI网络模型所有层次上的网络威胁的实时保护。
这种方法比防火墙状态检测(检查数据)和深度包检测(在状态检测包过滤基础上提供额外检查)等技术先进。
它具备在千兆网络环境中,实时将网络层数据负载重组为应用层对象(如文件和文档)的能力,而且重组之后的应用层对象可以通过动态更新病毒和蠕虫特征来进行扫描和分析。
CCP还可探测其它各种威胁,包括不良Web容、垃圾、间谍软件和网络钓鱼欺骗。
(2)ASIC加速技术
ASIC芯片是UTM产品的一个关键组成部分。
为了提供千兆级实时的应用层安全服务(如防病毒和容过滤)的平台,专门为网络骨干和边界上高性能容处理设计的体系结构是必不可少的。
ASIC芯片集成了硬件扫描引擎、硬件加密和实时容分析处理能力,提供防火墙、加密/解密,特征匹配和启发式数据包扫描,以及流量整形的加速功能。
由于CCP需要强劲的处理能力和更大容量的存来支持,仅利用通用服务器和网络系统要实现容处理往往在性能上达不到要求。
(3)定制的操作系统(OS)
专用的强化安全的OS提供精简的、高性能防火墙和容安全检测平台。
基于容处理加速模块的硬件加速,加上智能排队和管道管理,OS使各种类型流量的处理时间达到最小,从而给用户提供最好的实时系统,有效地实现防病毒、防火墙、VPN、反垃圾、IDP等功能。
(4)紧密型模式识别语言(CPRL)
紧密型模式识别语言(CompactPattenRecognitionLanguage,简称CPRL)
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- JuniperUTM 统一 威胁 管理 系统 项目 解决方案