某石油公司网络系统防火墙部署方案

某石油项目是国家大型的企业，随着企业的不断发展和壮大，企业需要对现有的网络和网络安全进行改造，以适应企业现代化建设的需要。

该石油企业网络根据地域和功能的不同划分了多个网络区域，这些网络区域均被网络边界所隔离。由于职责和功能的不同，相连网络的密级也不同，这样的网络直接相连，必然存在着安全风险。

边界安全、内部安全均需要重视

该企业网络主要存在的边界安全风险包括：该企业网络与各级单位的连接，可能遭到来自各地的越权访问、恶意攻击和计算机病毒的入侵；内部用户利用盗版软件或从Internet 下载的黑客程序恶意攻击内部站点，致使网络局部或整体瘫痪；内部的各个功能网络通过骨干交换相互连接，这样的话，重要的部门或者专网将遭到来自其他部门的越权访问。这些越权访问可能包括恶意的攻击、误操作等等，但是它们的后果都将导致重要信息的泄漏或者是网络的瘫痪。

这家石油企业不仅需要防范外部攻击，同时，网络内部安全同样不容忽视：内部用户的非授权的访问，更容易造成资源和重要信息的泄漏；由于内部用户的计算机造作的水平参差不齐，对于应用软件的理解也各不相同，如果一部分软件没有相应的对误操作的防范措施，极容易给服务系统和其他主机造成危害；70%左右安全威胁来自内部，对内部用户攻击
的防范同样重要；设备的自身安全性也会直接关系到某石油企业网络系统和各种网络应用的正常运转，需避免路由设备存在路由信息泄漏、交换机和路由器设备配置等风险问题；系统自身存在安全的漏洞，没得到及时发现和修补，会为网络安全带来诸多不安定因素；重要服务器宕机事故或者重要数据意外丢失都严重影响企业正常业务地运行；在安全管理方面，对于众多的网络设备和网络安全设备，安全策略的配置和安全事件管理的难度很大。

多个防火墙方案搭建整体防御体系
据Juniper 观察，该石油企业需要的网络应该具有极高的安全性才可使其业务正常运行。为此，Juniper 网络公司针对用户需求制定的安全方案的目的是保证内网中的重要数据的保密性，完整性、可用性、防抵赖性和可管理性。

方案执行之后，可有效控制、发现、处理非法的网络访问；保护在不安全网络上的数据传输的安全性；能有效地预防、发现、处理网络上传输的蠕虫病毒和其他的计算机病毒；完全预防、发现、处理网络上存在的恶意攻击和非授权访问；合理的安全体系架构和管理措施；实现网络系统安全系统的集中管理；同时具有较强的扩展性。

Juniper 网络安全建设方案是参照国际通行的PDRR（Protection －防护、Detection－检测、Respone－响应和Recovery－恢复）安全模型进行设计，以满足用户的安全需求。Juniper 一体化防火墙系统作为整合式网络安全设备，是专为互联网网络安全而设，将防火墙、虚拟专用网（VPN）和流量管理等功能集于一体，Juniper整合式安全设备具有硬件加速的IPSec加密演算性能（包括在3DES 加密的应用下）、低延时，可以无缝地部署到任何网络。设备安装和操控也是非常容易，可以通过内置的WebUI、命令行界面或Juniper NetScreen 中央管理方案进行处理。

由于该石油公司业务量巨大，网络规模大，导致信息安全问题日益复杂多样。虽然Juniper防火墙系统是整合式安全通信设备，但若不根据用户实际网络区域对安全需求的差异性，盲目部署防火墙设备时，防火墙的防护能力将大大降低。因此Juniper 根据用户网络不同区域对信息安全需求的不同，提供了多个防火墙解决方案，从而搭建起一个整体的防御体系，以抵御那些来自内部和外部的威胁攻击。

Juniper的UTM设备——集高级安全与全路由于一体的新一代安全多业务网关500（SSG 500）系列可以很好地满足用户实际需求。SSG 500 系列产品集成Juniper 广受赞誉与认可的高性能VPN/ 安全与电信级路由技术于一体。SSG 产品应用范围广泛——可以防范网络及应用层的攻击，支持当前及未来的网络联接技术方案；在局域网安全基础上，还支持分支机构到总部的网络连接功能和性能。用户可将其作为网络安全设备使用：作为防火墙可为中型/中大型企业提供高级别的安全网网络能力；其VPN 功能，为客户提供高速WAN 提供高性能安全联网。

Juniper利用SSG 550为用户制定的以防火墙功能为主的安全系统，其具体方案包括：

防火墙的安全控制实现方案
整个防火墙系统的核心是安全策略——对于一个安全系统来说，安全策略的制订至关重要。策略本身出现问题，会导致整个安全系统产生致命的安全问题。几乎所有防火墙系统的安全策略由源地址、目的地址、服务、动作元素组成；所有防火墙策略的执行是按照前后顺序方式执行，当策略被执行后，其后的策略不被执行。因此，在制订安全策略时要遵循越严格的策略越要放在前面；越宽松的策略越要往后放；策略避免有二意性的原则。

Juniper 可通过以下三种策略控制信息流的流动：
■通过创建区段间策略，可以管理允许从一个安全区段到另一个安全区段的信息流的种类；
■通过创建区段内部策略，也可以控制允许通过绑定到同一区段的接口间的信息流的类型；
■通过创建全局策略，可以管理地址间的信息流，而不考虑它们的安全区段。

防火墙的网络地址转换实现方案
当防火墙的接口处于“网络地址转换 (NAT)”模式下时，该设备的作用与Layer 3（第3 层）交换机（或路由器）相似，将绑定到Untrust区段的IP封包包头中的两个组件进行转换：其源 IP 地址和源端口号。防火墙设备用目的地区段接口的 IP 地址替换发送封包的主机的源 IP 地址。另外，它用另一个由设备生成的任意端口号替换源端口号。

当回复封包到达防火墙设备时，该设备转换内向封包的 IP 包头中的两个组件：目的地地址和端口号，它们被转换回初始号码。封包于是被转发到其目的地地址。

NAT 添加Transparent 模式（透明模式）中未提供的一个安全级别：连接到NAT 模式接口的主机的地址对Untrust 区段中的主机从不公开。

另外，NAT 还保留对互联网可路由的 IP 地址的使用。只用一个公共、互联网可路由的IP 地址（Untrust 区段中的接口的IP 地址）时， Trust 区段或任意使用 NAT 服务的其它区段中的 LAN 可拥有具有私有 IP 地址的大量主机。以下IP 地址范围保留给私有 IP 网络，并且不必在互联网上设定路由。

通过 NAT 模式下的接口发送信息流的区段内的主机，能够发出流向Untrust 区段的信息流（如果策略允许），但是不能够接收来自Untrust 区段的信息流，除非为其设置了映射IP (MIP)、虚拟IP (VIP) 或 VPN 通道。从Untrust 区段外的其它任意区段向拥有已启用 NAT 的接口的区段发送信息流时，不需要使用MIP、VIP 或 VPN。如果要保护某区段内地址的私密性，可定义 MIP 并为该区段创建一个策略，将该 MIP 引用为目的地地址。

防火墙除了接口支持NAT 模式以外，还可以通过设定策略实现基于策略的源和目标地址和端口翻译、动态IP 地址翻译（DIP，Dynamic IP Pool）、静态地址翻译（映射IP 地址）、VIP 地址翻译等地址转换的功能。

防火墙的应用代理实现方案
Juniper SSG 550只是在实施基于TCP Syn-Flood保护时才采用了TCP 的代理proxy，通过对外部TCP Syn 包做代理的方式，保护内部主机不至于受到TCP Syn-Flood的攻击。由于设计原理和应用的区别，Juniper 不建议在大网里采用应用代理，避免了网络速度的大幅下降，因此针对TCP 的Syn-Flood 攻击我们采用Syn-cookie 的方式进行防御，Syn-cookie 的好处是：它通过ASIC硬件来实现cookie，使得防火墙在处理攻击的时候性能、安全性大幅度提高，同时这种方式不占用现有的session 数量，对于降低防火墙的资源消耗也是非常好的。

防火墙用户认证的实现方案
在策略定义时，Juniper 提供了用户认证选项，选择此选项要求源地址的auth 用户，在允许信息流穿越防火墙或进入VPN 通道前，通过提供用户名和密码，以验证他/ 她的身份。Juniper 设备可使用本地数据库或外部RADIUS、SecurID 或LDAP auth 服务器，执行认证检查。Juniper 提供两种验证方案：
■运行时验证，在收到与启用认证的策略相匹配的HTTP、FTP或Telnet 信息流时，Juniper 设备提示auth 用户登录，用户一旦验证成功就可以访问HTTP、FTP、TELNET 这三种应用，这种方式的好处事非常简单，对于用户来说是完全透明的。
■WebAuth，通过Juniper 设备发送信息流前，用户首先需要登录到防火墙作身份认证，一旦认证通过，该用户可以访问由防火墙授权允许的任何应用和服务，这种方式对于企业的接入控制更加灵活和全面。

防火墙对带宽管理实现方案
■Traffic Priority（信息流优先级）：当信息流带宽在保障带宽和最大带宽设置之间时，NetScreen 设备首先让较高优先级的信息流通过，并且只有在没有其它更高优先级的信息流时，才让较低优先级的信息流通过，Juniper 的防火墙可以设置多达八个的优先级设置。

■DiffServ Codepoint Marking（差分服务码点标记）：差分服务(DiffServ) 是标记信息流在优先级层次结构中位置的系统。可以将八个Juniper 优先级映射到DiffServ 系统中。缺省情况下，Juniper 系统中的最高优先级（优先级0）映射到DiffServ 字段（请参阅RFC 2474）中的头三位（0111），或映射到IP 封包包头的ToS 字节（请参阅RFC 1349）的IP 前字段中。Juniper 系统中的最低优先级（优先级7）映射到ToS DiffServ 系统中的（0000）。

虚拟防火墙技术的应用方案
本方案用户无疑是大型行业用户的代表，根据其实际的需求，Juniper 提供虚拟防火墙技术应用。Juniper NetScreen 防火墙最早在业界实现虚拟防火墙功能，并成功地在多个大型企业用户用户处进行了实际应用。在ISG 2000 以上级别的防火墙系统以及在Juniper 新一代的多功能安全网关里均提供虚拟防火墙功能。

由于一个大型企业用户数据中心的主机托管用户众多，许多用户都提出来需要有独立的防火墙供其控制对其托管服务器进行管理和保护。虚拟防火墙技术对于大型企业用户来说是一个很好的增值服务解决方案，方便为各个用户提供虚拟防火墙供其管理配置。具体的实现方法有两种：

基于VLAN 划分虚拟防火墙
基于VLAN对信息流分类到不同的虚拟防火墙里，一个简单的拓扑连接图如下：



33 个托管用户的主机分别位于3 个VLAN 里面，分别是vlan1、vlan2、vlan3。防火墙上划分3 个虚拟防火墙，分别是vsys1、vsys2、vsys3。以上典型配置的逻辑图为：





3 个虚拟防火墙vsys1、vsys2、vsys3 都共用一个外部接口，接外网段。各托管用户可以配置到自己的vvys 流量的策略，包括地址翻译、IPSec VPN 等。3 个vsys 之间可以控制是否允许互相访问。

基于IP 地址段划分虚拟防火墙
基于IP地址段对信息流分类到不同的虚拟防火墙里，一个简单的拓扑连接图如下（和基于VLAN 的一样）：



防火墙日志管理、管理特性以及集中管理实现方案
众所周知，管理水平的高低是网络能否真正安全最根本的决定因素。网络管理员的角色重要性由此显现。Juniper 相关设备支持多个管理员，包括只具有进行查看设备状态、配置权限的审计管理员，具有读和写的能力，但不能创建、修改或删除其他管理员用户的安全管理员，以及具有完全管理权限的超级管理员。


网络安全的审计对于整个网络的状况、设备的运行状况和网络故障及攻击事件的追溯至关重要。一旦网络系统出现问题，管理员要及时对问题和事件进行分析，确定出现哪些问题，对目前哪些系统造成了影响，如何采取相应的措施。

因此，对于网络安全系统管理员在进行安全审计时要遵循突发安全事件的审计要及时、定期安全事件的审计要高效、准确、持续等原则。安全审计工作是一个持久的工作，任何的疏忽就可能给整个网络埋下潜在的危险。同时，任何事件都不是孤立的，对于整个网络安全系统包括路由器，交换机，主机系统，防火墙，以及入侵检测系统都是相关链的。防火墙的安全审计要与整个网络系统相结合，这样才能做到定期安全事件的审计的高效性、准确性和持续性。

安全日志收集有本地、外部两种存储方式，本地的日志存储，一般有console 显示，内存存储，非易失性存储等形式；外部的日志存储，常见的有syslog/SNMP 等，也可以和第三方的专业日志分析厂商做集成，把我们的日志传输到它们的日志服务器中，通过它们的日志服务器做日志采集和日志分析例如全球最著名的Websense。对安全设备而言，日志的保密性也需要考虑。而Juniper 防火墙以及安全多业务网关等设备均支持从本身的VPN 通道传送日志信息。Juniper 的NetScreen-Security Manager 为IT 部门提供了一套简单易用的管理方案，对Juniper 设备进行配置部署、网络设置和安全策略设定，实现一种全新的网络安全管理方法。使用NetScreen-Security Manager，IT 经理、网络管理员和安全管理员可以协同工作一起把效率提高，降低管理和运营成本。此管理方案主要特性包括：

■集中的端到端生命周期管理实现对设备配置、网络设置和安全策略的精细控制；
■管理职责的分配使用户可以向需要信息的人员提供信息接入权限；
■直观的GUI 可以简化多种复杂工作，如设备配置、策略创建和VPN 部署；
■三层体系结构可最大限度地提高性能和灵活性以及管理权限的分配。

Juniper NetScreen-Security Manager 中的所有三个层都通过一条基于TCP 的通信信道连接，通过AES 加密和SHA-1 认证受到保护。通过在通信信道中嵌入类似IPSec VPN的安全性，用户可以轻松地在大多数网络环境中部署安全管理。

有创意，没看先回。。:lol

这样了行啊！！！！！顶一下

这样的应该多看。。。。

不错.........学习了

哈哈 又学到了 东西谢谢