| Juniper 网络公司 NetScreen-204/208集成安全解决方案介绍 |
|
|
 Juniper 网络公司 NetScreen-204/208集成安全解决方案,设计用于大中型企业网络、办事处、电子商务站点、数据中心和运营商基础设施 高性能平台,提供卓越的性价比和特性在每个接口上提供防火墙攻击防护,保护内外部网络的安全。 |
| Juniper网络公司NetScreen-200系列包括两款企业网络产品:带4个10/100接口的NetScreen-204以及带8个10/100接口的NetScreen-208。这两种产品都是目前市场上功能最全面的安全产品,易于集成到多种不同环境中,如大中型企业网络、办事处、电子商务站点、数据中心和运营商基础设施等。NetScreen-200系列产品可配备4个或8个自感10/100 Base-T以太网端口,从而使其能够提供线速防火墙功能(375 Mbps)。即便是3DES和AES加密等计算最密集的应用,也能在这些产品上以175 Mbps以上的速率运行。除了物理接口密度外,NetScreen-200系列还可提供虚拟化功能选项,包括VLAN支持、额外的定制安全区及虚拟路由器等。 |
|
 | Juniper统一接入控制的部署指南 |
|
|
| UAC功能强大,但因为涉及重要的安全问题,加上配置和管理工作的重要性也不容忽视,因此企业需要周全计划,以及慎重地选择适当的UAC方案。 |
| 企业网络的安全内患 |
| 在信息高速传递的现代工业社会,企业无可避免要利用公司网络来连结员工、伙伴、客户和供货商以传递高度敏感的资料和数据,万一网络被恶意程序入侵,则可能令企业停止运作,或者令机密数据被黑客窃取,造成重大损失。 |
| 一直以来,企业面对的攻击主要来自网络外部,因此企业都十分着重搭建防御外在威胁的安全架构,例如部署防火墙和入侵侦测系统;但现今的间谍软件等恶意程序能够先通过互联网感染企业用户的流动设备,然后当这些用户登入企业网络时,便在企业内部网络进行档案破坏或密码破解等动作,再将企业内部信息传送到外界。这种攻击模式已经十分流行,因此,完善企业网络安全的关键,除了对外联信息要进行管制之外,还要加强对内联信息传递的监管,应该从每一个使用者连接到网络的那一刻开始,进行彻底的统一接入控制 (Unified Access Control),对于登入企业网络及使用网络者进行最全面的安全监控。 |
| 部署统一接入控制的考虑因素 |
| 统一接入控制可以分成三个层面,除了监控使用者能否连接网络之外,接下来要监控使用者在网络上的行为,让其符合公司的安全规范,最后一个部份则是分层管理,也就是针对使用者不同的身份及角色,实施不同的网络监控政策,使不同部门有不同的权限要求与保障。 |
| UAC功能强大,但因为涉及重要的安全问题,加上配置和管理工作的重要性也不容忽视,因此企业需要周全计划,以及慎重地选择适当的UAC方案。部署统一接入控制应当考虑的方面应该包括: |
| • 周全性 |
| 完善的UAC方案应可根据不同的准则来订出存取操控决策,包括设备的完整性、用户身份及设备的地点。不同的用户可能会于不同地点以不同的设备登入网络,所以UAC方案要能够对应各种可能会出现的网络存取情况,以及随时监控已登入的端点设备及用户,并更新其存取权限,并向管理人员提供其相关信息。 |
| • 对应日后扩展需要 |
| 理想的UAC方案应该要有灵活和扩展能力,以应对日后的发展需要,例如企业可能会扩展其网络基建以接纳更大量用户和端点设备,用户亦可能会在日后采用全新的硬件设备、网络接入方式和应用程序。好的UAC方案应该可以提供各种不同的配置选项,以对应硬件、网络技术、应用软件甚至存取操控政策方面的改变。 |
| • 开放式标准 |
| UAC方案应该尽量采用符合业界标准的开放式规格,例如 TCG建议的 Trusted Network Connect标准,才能够确保与客户端安全软件、防火墙、IDS/IPS、身份认证基及政策储存目录等现有的安全方案互相配合,同时确保可以对应日后推出的方案,以及简化安装、维护、更新和管理等各方面的程序和降低成本。 |
| • 简化管理和报告功能 |
| 除了最重要的安全功能外,UAC方案最好还应当具有易于管理和方便用户产生详尽报告等优点,这样有助企业减低成本、遵守法规需求,和让管理人员充分了解网络管理人员和安全状况。 |
| • 配置及管理成本 |
| 为降低成本,考虑UAC的时候,企业还需要计算其配置选项的灵活性、操作方便程度及管理存取控制政策时所动用的资源。与之有关的准则包括:其架构是否采用开放式标准以方便管理和整体管理,以及配置成本能否分阶段建立等。 |
| 在综合考虑了以上各方面因素之后,企业才可以部署合理的统一接入控制方案,从而实现对于来自企业内部网络的安全问题的防范与管理,并且对于内部信息存取动作与权限进行有效监管。 |
|
| | 【联强技术加油站】:NSM与NSMXpress介绍(一) |
|
|
| 我曾经接触过一些代理商伙伴,他们从事juniper安全产品的业务很长时间,有丰富的售前/售后经验。无意中,我向他们提到了NSM,回应我的多是茫然困惑的眼神。原来,他们不知道NSM是个什么东西。 |
| 实际上,NSM是Netscreen-Security Manager的缩写;它是一套对juniper安全设备进行集中式管理的工具。我们知道,Juniper的防火墙可以通过WEB或者CLI等方式进行配置和监控。但是如果需要网管的设备众多,则用上述方式配置会显得非常麻烦。NSM采用基准模版的方式,可同时制作众多的配置脚本文件,并支持批量上传功能。Juniper防火墙的丰富日志信息功能得到了很多用户的青睐。但是由于系统本身的存储空间有限,新生的日志会慢慢覆盖原来日志;使用NSM后,防火墙的日志信息将自动传送到NSM服务器上;这样,有了NSM服务器的巨大存储空间(可由用户根据需求自行定制,并可做多种备份),用户就不必担心日志被覆盖的困惑了;此外,NSM还提供了丰富的日志分类查询方式,我们既可以通过事件重要性进行查询,也可以通过事件的发生顺序查询;这就为用户对日志分析提供了更加便利的条件。通过Statistical Report Server这个统计报告模块,NSM可以将日志/统计信息中的数据生成报表,以便进一步浏览和分析安全部署信息。 |
| 目前的NSM所能网管的设备为两大类:防火墙/安全网关和IDP设备。在可以预计的将来,NSM将会将更多产品纳入到它的管辖范围。 |
| NSM是开发于UNIX(linux)环境下的应用软件,采用C/S的方式进行应用。故部署NSM的时候,我们需要在运行UNIX或linux系统的服务器上安装NSM服务器端程序;然后在UNIX(linux、Windows等)PC上安装NSM客户端软件;通过客户端来控制服务器端与防火墙进行信息的交互(命令执行,日志导出等等)。 |
| 综上所述,我们可以知道NSM是一款功能强大的网管工具。但是有些用户会问:这个NSM需要安装UNIX/linux服务器,又要在其上安装相应的服务端程序;我对UNIX涉猎不多,这么多的工作要在上面做,并且还有日后的系统维护工作,怎么搞得定哦?这看起来确实是个问题,毕竟熟练掌握UNIX还是需要很长的时间的。 |
2001-2007 Comsenz Inc.
