第一章 Juniper的安全理念... 3
1.1 基本
防火墙功能... 3
1.2 内容安全功能... 4
1.3 虚拟专网(
VPN)功能... 7
1.4 流量管理功能... 7
1.5 强大的ASIC的硬件保障... 8
1.6 设备的可靠性和安全性... 8
1.7 完备简易的管理... 9
第二章 项目概述... 9
第三章 总体
方案建议... 10
3.1 防火墙A和防火墙B的双机热备、均衡负载实现方案... 10
3.2 防火墙A和防火墙B的VLAN(802.1Q的trunk协议)实现方案... 15
3.3 防火墙A和防火墙B的动态路由支持程度的实现方案... 16
3.4 防火墙的VPN实现方案... 16
3.5 防火墙的安全控制实现方案... 17
3.6 防火墙的网络地址转换实现方案... 25
3.7 防火墙的应用代理实现方案... 28
3.9 防火墙用户
认证的实现方案... 28
3.10 防火墙对带宽管理实现方案... 30
3.11 防火墙日志管理、管理特性以及集中管理实现方案... 31
第一章 Juniper的安全理念
网络安全可以分为数据安全和服务安全两个层次。数据安全是防止信息被非法探听;服务安全是使网络系统提供不间断的通畅的对外服务。从严格的意义上讲,只有物理上完全隔离的网络系统才是安全的。但为了实际生产以及信息交换的需要,采用完全隔离手段保障网络安全很少被采用。在有了对外的联系之后,网络安全的目的就是使不良用心的人窃听数据、破坏服务的成本提高到他们不能承受的程度。这里的成本包括设备成本、人力成本、时间成本等多方面的因素。Juniper的整合式安全设备是专为互联网网络安全而设,将硬件状态防火墙、虚拟专用网(IPsec VPN)、入侵防护(IPS)和流量管理等多种安全功能集于一体。Juniper整合式安全设备具有ASIC芯片硬件加速的安全策略、IPSec加密演算性能、低延时,可以无缝地部署到任何网络。设备安装和操控也是非常容易,可以通过内置的WebUI、命令行界面或中央管理方案进行统一管理。
1.1 基本防火墙功能 Juniper提供了可扩展的网络安全解决方案,适用于包括宽带移动用户、中小型企业Internet边界、大型企业的内部网络安全域划分和控制,以至电子商务网站的服务器保护等等。Juniper全功能防火墙采用实时检测技术,可以防止入侵者和拒绝服务(denial-of-service)的攻击。
Juniper防火墙采用ScreenOS软件,是经过ICSA认证的实时检测防火墙。
Juniper的防火墙系列采用安全优化的硬件(包括ASIC芯片和主板、操作系统和防火墙),比拼凑而成的软件类方案提供更高级的安全水平。
Juniper的防火墙系列提供强大的攻击防御能力,包括SYN攻击、ICMP泛滥、端口扫描(Port Scan)等攻击防御能力,配备硬件加速的会话建立 (session ramp rates)性能,即使在最关键性的环境下也可以提供安全保护。
Juniper的防火墙系列提供各种网络地址翻译(NAT)、端口地址翻译(PAT)的功能――有效隐藏内部、无法路由的IP地址。
1.2 内容安全功能Juniper提供多样的内容安全功能,包括深层检测功能、防病毒、垃圾邮件过滤、和网页过滤4种,并且可以提供试用的临时许可license,可以让用户在一定时间内下载特征库及使用该内容安全更新。过了试用期后,用户必须定购年度服务来获得最新的入侵防护攻击库、病毒库、并得到垃圾邮件和网页过滤的定时更新。
用户可以分别购买某个单项的内容安全服务,也可以购买价格更加优惠的4项打包的内容安全服务。
1.2.1 深层检测功能(Deep Inspection)深层检测功能(Deep Inspection,简称DI)是Juniper的防火墙操作系统ScreenOS里集成的一个专门对网络流量里的应用层攻击(包括网络蠕虫、木马和恶意软件)进行检测的功能,其实就是将Juniper的IPS/IDP的入侵检测和防护的功能集成到Juniper防火墙的ScreenOS里面,对会话实施基于状态的策略的同时进行对应用层攻击特征的匹配,并且作出相应的保护动作。Juniper的防火墙针对流量的应用层的分析和特征匹配进行了一系列的优化,降低了对数据吞吐能力的影响。
为了减少对防火墙性能的影响,Juniper为深层检测提供4种特征包,让IT管理员根据需要保护的资源而灵活选择下载、更新和采用,包括:
1、
基础版(Base)特征包:针对中小型企业的全面防护(包括保护C/S应用和防蠕虫);
2、
服务器(Server)特征包:针对服务器群进行保护(包括保护IIS、Exchange和Oracle服务器等);
3、
客户端(Client)特征包:针对分布式企业的中小型分支机构客户端设备进行保护(如手提电脑等);
4、
常见蠕虫保护(Worm)特征包:针对大企业的分支机构提供全面的常见的蠕虫保护。
深层检测(DI)防火墙被设计用来对网络上一系列最常见的协议(如HTTP, DNS, FTP, SMTP, POP3, IMAP, NetBIOS/SMB, MS-RPC, P2P, 和IM等)的应用层保护,并且可在将来简单地添加更多的协议。对这些协议,深层检测(DI)防火墙采用和数据接收方(如服务器和客户端的应用)相同的方式来理解应用层信息。为了精确地理解应用层信息,深层检测(DI)防火墙实施包碎片重组,次序重组,去除无用信息和信息正常化处理。一旦深层检测(DI)防火墙按这些方法重组出了网络流量,它就用协议异常检测和服务控制字段里的上下文的攻击特征匹配的方法来对流量里的攻击进行防护。
深层检测(DI)防火墙利用了攻击数据库来储存异常协议和攻击特征(有时被称做“特征”),按协议和攻击的严重性分类,来实施状态检测和深层检测任务。防火墙的分析引擎由其本身的数据库实时提取有关的攻击特征来有效地分析流量。
一旦Juniper的深层检测(DI)防火墙对应用层数据进行重组后,它就实施针对该应用的分析,决定该流量的目的是恶意的还是非恶意的。首先,它根据协议的定义进行分析,如果数据偏离了协议的定义,就代表了协议异常。高冲击力的、带恶意的协议异常,如设法造成内存溢出来控制系统的,将被识别为攻击。对协议异常的细化管理包括调整如何及在哪里查找异常,从而使得支持非正常协议的系统获得同样的支持。深层检测(DI)防火墙将按照细化的协议控制来对相关的服务域进行识别。服务控制字段是与特别功能相关的流量中的部分,如email地址、URL、文件名等。深层检测(DI)防火墙将按特征匹配的方法对相应的字段进行检测。而这些字段就代表了应用层信息,并让深层检测(DI)防火墙可以理解应用层会话,并在正确的字段上进行攻击特征库的匹配查找。
协议符合检查使用户获得攻击出现日第0天防护
因为Juniper深层检测(DI)防火墙可以对流量进行协议符合检查,它也就具备了无须了解某一特别攻击,就可以对一系列的攻击如内存溢出攻击等的防护能力。这意味着这种解决方法可以在对新攻击出现的第0天即具备防护能力。同时,这也是对某些无法简单匹配特征的更狡猾攻击的防护方式。
对已知攻击的服务控制字段特征匹配
协议匹配检测的是一些未知的和更狡猾的攻击,还有一些攻击是已知的,可以通过已知的特征匹配的方式来更有效地防护它们。Juniper深层检测(DI)防火墙实施应用分析,理解信息内容,并将流量信息的不同部分对应到相应的服务控制字段上。服务控制字段是依相应协议事先定义的包头值,代表了相应的目的,使用了固定的流量的相对位置。如:在SMTP里,有一些服务控制字段包括:命令行(从客户端发给服务器的命令),数据行(一行email内容),From:(发送者的email地址),等。深层检测(DI)防火墙应用已知的特征匹配(在防火墙内部的数据库里已经有了相应的定义),与流量的相关部分进行比较,查找出带攻击的恶意部分流量。Juniper的特征匹配减少了系统资源的使用,将主要精力集中在相关恶意流量部分,有效地实施了对已知攻击的保护。
Juniper的防火墙目前都可以集成入侵防护的功能,并且入侵防护的特征库可以更新升级,目前攻击特征已超过800种。当然,攻击特征库可以自动或手动更新,更新过程将包括连接Juniper的攻击特征库服务器(定期对新攻击和旧有攻击进行更新)。此外,Juniper还按需要发布紧急更新,对重点攻击进行防护。
1.2.2 防病毒防病毒也是一项内容保护不可缺少的部分。深层检测(DI)是对应用层控制字段信息进行攻击特征匹配(一般是蠕虫病毒或缓冲区溢出等攻击),而防病毒是针对文件里的携带的攻击(包括间谍软件、广告软件、网络钓鱼软件和键盘侧录软件)进行匹配的技术,而文件的传递一般依靠web、FTP的下载和上传,以及email附件等。通过和业界领先的防病毒厂家的卡巴斯基(Kaspersky)公司合作,Juniper在HSC、NetScreen-5GT和SSG系列(包括SSG550、SSG520等)的防火墙提供防病毒的一体化解决方案,即卡巴斯基(Kaspersky)病毒扫描引擎完全集成在防火墙的操作系统里,并且通过操作系统的升级而升级。
对于不同的用户,Juniper可以提供3种不同的扫描级别,包括:
A)
标准级别(Standard):缺省和推荐采用的级别,可以提供最全面和误报率最低的扫描;
B)
常见病毒级别(In the wild):只对常见病毒进行扫描从而性能更佳;
C)
扩展级别(Extended):对更多的广告软件进行扫描,误报率相对较高。
而对其他高端产品,则用重定向到防病毒网关服务器上的方式实现网关防毒。
1.2.3 垃圾邮件过滤垃圾邮件过滤功能也是内容安全的一个重要的组成部分。Juniper的垃圾邮件过滤功能主要集成在Juniper的中低端防火墙(包括HSC、NetScreen-5GT、NS25、NS50、以及SSG系列)里。通过不断更新的IP地址和垃圾邮件发送者列表,有效地高精确性地屏蔽垃圾邮件发送者和网络钓鱼者。当然用户也可以自己定义垃圾邮件的白名单和黑名单,手工地对垃圾邮件进行屏蔽。
1.2.4 网页过滤对于放在网络边界为用户提供Internet访问的边界防火墙而言,还必须对企业员工对Internet访问的网站进行控制。包括Surfcontrol和Websense都实时对Internet上的站点进行分类,如:新闻类、盗版软件类、军事类、财经等等。通过允许用户能和不能访问某一类型的网站,可以提高企业员工的工作效率,并避免诸如员工到非法恶意软件站点下载等情况而导致的法律纠纷。Juniper的网页过滤功能(采用Surfcontrl技术)主要集成在Juniper的中低端防火墙(包括HSC、NetScreen-5GT、NS25、NS50、以及SSG系列)里,而对中高端的防火墙而言,可以采用用防火墙重定向到Surfcontrol或Websense服务器的方式。
1.3 虚拟专网(VPN)
功能Juniper防火墙中整合了一个全功能VPN解决方案,它们支持站点到站点VPN及远程接入VPN应用。
- 通过VPNC测试,与其他通过IPSec认证的厂商设备兼容。
- 三倍DES、DES和AES加密使用数字证书(PKI X.509),自动的或手动的IKE。
- SHA-1和MD5认证。
- 同时支持网状式(mesh)及集中星型(hub and spoke)的VPN网络,可按VPN部署的需求,配置用其一或整合两种网络拓扑。
- Juniper的防火墙很好地支持VPN的冗余,可以实施基于策略的VPN和基于路由的VPN。
1.4 流量管理功能流量管理允许网络管理员实时监视、分析和分配各类网络流量使用的带宽,有助确保在用户上网浏览时或在执行其他非关键性应用时而不会影响关键性业务的流量。
- 根据IP地址、用户、应用或时间段来进行管理
- 可以对进出两个方向的流量都进行流量管理
- 设定保障带宽和最大带宽
- 以八种优先等级,为流量分配优先权
- 支持符合行业标准的diffserv数据包标记
1.5 强大的ASIC
的硬件保障 Juniper防火墙的安全机制广泛采用了ASIC芯片技术,在ASIC硬件中处理防火墙访问策略和加密算法,这方面运算的速度是软件类方案不能相比的;同时它还可以省出中央处理器资源用于管理数据流。这种安全加密的ASIC更可与Juniper的ScreenOS操作系统和系统软件紧密地集成起来,与其他基于通用的商用操作系统的安全产品相比,Juniper产品消除了不必要的软件层和安全漏洞。Juniper将安全功能提升到系统层次,更可以节省建立额外平台带来的开支。目前,其他采用PC或工作站作为平台的软件类方案,往往令系统性能大打折扣。
ASIC芯片对防火墙的性能和稳定性有极大的提高,主要体现在:
1、
ASIC芯片可以对会话建立后的流量进行不经过CPU处理的直接转发;
2、
ASIC芯片可以对IPsec VPN进行加解密处理。
3、
可以对一系列的网络层的DDoS攻击(包括生成对TCP Syn泛洪攻击的cookie)进行防护,直接在ASIC芯片上对数据包进行丢弃,避免了对系统的影响。
4、
IP包的碎片重组和流量统计也依靠ASIC芯片实现。
正是由于采用了高性能的专用ASIC芯片,所以Juniper的安全产品的性能不仅仅在实验室网络环境下都能够发挥出高水平,在实际的生产网络环境中同样可以保持高性能。
1.6 设备的可靠性和安全性 Juniper将所有功能集成于单一硬件产品中,它不仅易于安装和管理,而且能够提供更高可靠性和安全性。由于Juniper设备没有其它品牌对硬盘驱动器和移动部件所存在的稳定型问题,所以它是对在线时间要求极高的用户的最佳方案。采用Juniper设备的WebUI管理方式,可以直接登陆Web界面里对防火墙、VPN和流量管理功能进行配置和管理,减轻了配置另外的硬件和操作系统。这个做法缩短了安装的时间,并在防范安全漏洞的工作上,减少设定的步骤。
1.7 完备简易的管理 Juniper的安全设备包括强健的管理支持,允许网络管理员安全地管理设备。由于VPN功能是内置的,因此可以对所有管理加密,从而实现真正的安全远程管理。
- 采用NetScreen Security Manager,以C/S形式实现中央站点管理。
- 通过内置WebUI实现浏览操作式的管理。
- 带内,可透过SSH和Telnet进入命令行界面(CLI);带外,则可透过控制台/调制解调器端口/带外管理口进行管理。
- 电子邮件告警、SNMP traps和告警。
- 系统日志(Syslog)、简单网络管理协议(SNMP)、WebTrends和MicroMuse NetCool界面可与第三方报表系统互兼容。
防火墙上将syslog发到到多台普通的syslog服务器上,如果要进行syslog汇总分析报表,则可以和WebTrend服务器配合使用,也可以通过多家syslog的报表分析软件(包括中文界面的软件)对syslog进行日志报表。
除了Syslog服务器,Juniper防火墙还可以将syslog发到Juniper的NSM集中管理服务器上,然后NSM服务器按照策略将不同的日志发给不同的syslog服务器。如果在NSM服务器的基础上安装了SRS的日志报表服务器后,用户也可以用SRS来生成历史报表。
防火墙上本身提供一定数量的本地认证用户数据库,也可和Radius服务器、LDAP服务器等配合使用提供外部用户身份认证。
2001-2007 Comsenz Inc.
