当前位置:首页 >> 互联网 >>

juniper防火墙安全解决方案

计算机网络系统 防火墙部署工程

技术方案

2006 年 10 月

网络安全工程技术方案建议书

目录

第一章 Juniper 的安全理念 ......................................................................................................................... 3 1.1 基本状态检测防火墙功能 ...................................................................................................... 3 1.2 内容安全功能 .......................................................................................................................... 4 1.3 虚拟专网(VPN)功能 ............................................................................................................... 7 1.4 流量管理功能 .......................................................................................................................... 7 1.5 完善的路由功能 ...................................................................................................................... 8 1.6 Juniper 的统一访问控制架构(Unified Access Control, 简称 UAC)................................. 8 1.7 强大的 ASIC 的硬件和 ScreenOS 软件保障 ......................................................................... 9 1.8 设备的可靠性和安全性 ........................................................................................................ 12 1.9 完备简易的管理 .................................................................................................................... 13 第二章 项目概述 ......................................................................................................................................... 13 第三章 总体方案建议 ................................................................................................................................. 14 3.1 防火墙 A 和防火墙 B 的双机热备、均衡负载实现方案........................................................... 14 3.2 防火墙 A 和防火墙 B 的 VLAN(802.1Q 的 trunk 协议)实现方案 ....................................... 19 3.3 防火墙 A 和防火墙 B 的动态路由支持程度的实现方案........................................................... 19 3.4 防火墙的 VPN 实现方案 .............................................................................................................. 20 3.5 防火墙的安全控制实现方案 ........................................................................................................ 20 3.6 防火墙的网络地址转换实现方案 ................................................................................................ 28 3.7 防火墙的应用代理实现方案 ........................................................................................................ 31 3.9 防火墙用户认证的实现方案 ........................................................................................................ 32 3.10 防火墙对带宽管理实现方案 ...................................................................................................... 33 3.11 防火墙日志管理、管理特性以及集中管理实现方案 .............................................................. 34

广州惠群计算机科技有限公司

第 2 页 共 41 页

网络安全工程技术方案建议书

第一章 Juniper 的安全理念
网络安全可以分为数据安全和服务安全两个层次。数据安全是防止信息被非法探听; 服务安全是使网络系统提供不间断的通畅的对外服务。从严格的意义上讲,只有物理上 完全隔离的网络系统才是安全的。但为了实际生产以及信息交换的需要,采用完全隔离 手段保障网络安全很少被采用。在有了对外的联系之后,网络安全的目的就是使不良用 心的人窃听数据、破坏服务的成本提高到他们不能承受的程度。这里的成本包括设备成 本、人力成本、时间成本等多方面的因素。Juniper 的整合式安全设备是专为互联网网络 安全而设,将硬件状态防火墙、虚拟专用网(IPsec VPN) 、入侵防护(IPS)和流量管 理等多种安全功能集于一体。 Juniper 整合式安全设备具有 ASIC 芯片硬件加速的安全策 略、IPSec 加密演算性能、低延时,可以无缝地部署到任何网络。设备安装和操控也是 非常容易,可以通过内置的 WebUI、命令行界面或中央管理方案进行统一管理。

1.1 基本状态检测防火墙功能
Juniper 提供了可扩展的网络安全解决方案,适用于包括宽带移动用户、中小型 企业 Internet 边界、大型企业如银行、电信等的内部网络安全域划分和控制,以至电子 商务网站的服务器保护等等。 Juniper 全功能防火墙采用实时检测技术, 可以防止入侵者 和拒绝服务(denial-of-service)的攻击。 Juniper 防火墙采用 ScreenOS 软件,是经过 ICSA 认证的实时检测防火墙。 Juniper 的防火墙系列采用安全优化的硬件(包括 ASIC 芯片和主板、操作系统和防 火墙) ,比拼凑而成的软件类方案提供更高级的安全水平。 Juniper 的防火墙系列提供强大的攻击防御能力,包括 SYN 攻击、ICMP 泛滥、端口 扫描(Port Scan)等攻击防御能力,配备硬件加速的会话建立 (session ramp rates)性能, 即使在最关键性的环境下也可以提供安全保护。 Juniper 的防火墙系列提供各种网络地址翻译(NAT)、端口地址翻译(PAT)的功能―― 有效隐藏内部、无法路由的 IP 地址。

广州惠群计算机科技有限公司

第 3 页 共 41 页

网络安全工程技术方案建议书

1.2 内容安全功能
Juniper 提供多样的内容安全功能,包括深层检测功能、防病毒、垃圾邮件过滤、和 网页过滤 4 种。Juniper 安全设备的 UTM(统一威胁控制)功能是集成了 Juniper 自己 的内容安全技术(如入侵防护)和安全业界领先的其他合作伙伴厂家的技术,如:防病 毒集成了卡巴斯基(Kaspersky)的防病毒引擎和病毒特征库更新,防垃圾邮件集成了 赛门铁克(Symantec)的防垃圾邮件技术,网页过滤集成了美讯智(Surf Control) 的 网络过滤技术,所以各项内容安全功能都非常先进。用户可以选购年度服务来获得最新 的入侵防护攻击库、病毒库、并得到垃圾邮件和网页过滤的定时更新。 用户可以分别购买某个单项的内容安全服务,也可以购买价格更加优惠的 4 项打包 的内容安全服务。

1.2.1 深层检测功能(Deep Inspection)
深层检测功能(Deep Inspection,简称 DI)是 Juniper 的防火墙操作系统 ScreenOS 里集成的一个专门对网络流量里的应用层攻击(包括网络蠕虫、木马和恶意软件)进行 检测的功能,其实就是将 Juniper 的 IPS/IDP 的入侵检测和防护的功能集成到 Juniper 防火墙的 ScreenOS 里面,对会话实施基于状态的策略的同时进行对应用层攻击特征的 匹配, 并且作出相应的保护动作。 Juniper 的防火墙针对流量的应用层的分析和特征匹配 进行了一系列的优化,降低了对数据吞吐能力的影响。 为了减少对防火墙性能的影响, Juniper 为深层检测提供 4 种特征包, IT 管理员根 让 据需要保护的资源而灵活选择下载、更新和采用,包括: 1、 基础版(Base)特征包:针对中小型企业的全面防护(包括保护 C/S 应用和 防蠕虫) ; 2、 服务器(Server)特征包:针对服务器群进行保护(包括保护 IIS、Exchange 和 Oracle 服务器等) ; 3、 客户端(Client)特征包:针对分布式企业的中小型分支机构客户端设备进行 保护(如手提电脑等) ; 4、 常见蠕虫保护(Worm)特征包:针对大企业的分支机构提供全面的常见的蠕 虫保护。 深层检测 (DI) 防火墙被设计用来对网络上一系列最常见的协议 (如 HTTP, DNS, FTP,
广州惠群计算机科技有限公司 第 4 页 共 41 页

网络安全工程技术方案建议书

SMTP, POP3, IMAP, NetBIOS/SMB, MS-RPC, P2P, 和 IM 等)的应用层保护,并且可 在将来简单地添加更多的协议。对这些协议,深层检测(DI)防火墙采用和数据接收方 (如服务器和客户端的应用)相同的方式来理解应用层信息。为了精确地理解应用层信 息,深层检测(DI)防火墙实施包碎片重组,次序重组,去除无用信息和信息正常化处 理。一旦深层检测(DI)防火墙按这些方法重组出了网络流量,它就用协议异常检测和 服务控制字段里的上下文的攻击特征匹配的方法来对流量里的攻击进行防护。 深层检测 (DI) 防火墙利用了攻击数据库来储存异常协议和攻击特征 (有时被称做 “特 征”,按协议和攻击的严重性分类,来实施状态检测和深层检测任务。防火墙的分析引 ) 擎由其本身的数据库实时提取有关的攻击特征来有效地分析流量。 一旦 Juniper 的深层检测(DI)防火墙对应用层数据进行重组后,它就实施针对该应 用的分析,决定该流量的目的是恶意的还是非恶意的。首先,它根据协议的定义进行分 析,如果数据偏离了协议的定义,就代表了协议异常。高冲击力的、带恶意的协议异常, 如设法造成内存溢出来控制系统的,将被识别为攻击。对协议异常的细化管理包括调整 如何及在哪里查找异常, 从而使得支持非正常协议的系统获得同样的支持。 深层检测 (DI) 防火墙将按照细化的协议控制来对相关的服务域进行识别。服务控制字段是与特别功能 相关的流量中的部分,如 email 地址、URL、文件名等。深层检测(DI)防火墙将按特 征匹配的方法对相应的字段进行检测。而这些字段就代表了应用层信息,并让深层检测 (DI)防火墙可以理解应用层会话,并在正确的字段上进行攻击特征库的匹配查找。

协议符合检查使用户获得攻击出现日第 0 天防护
因为 Juniper 深层检测(DI)防火墙可以对流量进行协议符合检查,它也就具备了无 须了解某一特别攻击,就可以对一系列的攻击如内存溢出攻击等的防护能力。这意味着 这种解决方法可以在对新攻击出现的第 0 天即具备防护能力。同时,这也是对某些无法 简单匹配特征的更狡猾攻击的防护方式。

对已知攻击的服务控制字段特征匹配
协议匹配检测的是一些未知的和更狡猾的攻击, 还有一些攻击是已知的, 可以通过已 知的特征匹配的方式来更有效地防护它们。 Juniper 深层检测 (DI) 防火墙实施应用分析, 理解信息内容,并将流量信息的不同部分对应到相应的服务控制字段上。服务控制字段 是依相应协议事先定义的包头值,代表了相应的目的,使用了固定的流量的相对位置。 如:在 SMTP 里,有一些服务控制字段包括:命令行(从客户端发给服务器的命令) ,
广州惠群计算机科技有限公司 第 5 页 共 41 页

网络安全工程技术方案建议书

数据行(一行 email 内容) ,From: (发送者的 email 地址) ,等。深层检测(DI)防火 墙应用已知的特征匹配 (在防火墙内部的数据库里已经有了相应的定义) 与流量的相关 , 部分进行比较, 查找出带攻击的恶意部分流量。 Juniper 的特征匹配减少了系统资源的使 用,将主要精力集中在相关恶意流量部分,有效地实施了对已知攻击的保护。 Juniper 的防火墙目前都可以集成入侵防护的功能,并且入侵防护的特征库可以更新 升级,目前攻击特征已超过 800 种。当然,攻击特征库可以自动或手动更新,更新过程 将包括连接 Juniper 的攻击特征库服务器(定期对新攻击和旧有攻击进行更新) 。此外, Juniper 还按需要发布紧急更新,对重点攻击进行防护。

1.2.2 防病毒
防病毒也是一项内容保护不可缺少的部分。深层检测(DI)是对应用层控制字段信息 进行攻击特征匹配 (一般是蠕虫病毒或缓冲区溢出等攻击) 而防病毒是针对文件里的携 , 带的攻击(包括间谍软件、广告软件、网络钓鱼软件和键盘侧录软件)进行匹配的技术, 而文件的传递一般依靠 web、FTP 的下载和上传,以及 email 附件等。通过和业界领先 的防病毒厂家的卡巴斯基(Kaspersky)公司合作,Juniper 在 HSC、NetScreen-5GT 和 SSG 系列(包括 SSG550、SSG520、SSG20、SSG5 等)的防火墙提供防病毒的 一体化解决方案,即卡巴斯基(Kaspersky)病毒扫描引擎完全集成在防火墙的操作系 统里,并且通过操作系统的升级而升级。 对于不同的用户,Juniper 可以提供 3 种不同的扫描级别,包括: A) 标准级别(Standard) :缺省和推荐采用的级别,可以提供最全面和误报率最 低的扫描; B) C) 常见病毒级别(In the wild) :只对常见病毒进行扫描从而性能更佳; 扩展级别(Extended) :对更多的广告软件进行扫描,误报率相对较高。

而对其他高端产品如 ISG 系列的防火墙, 则可采用标准的 iCAP 协议重定向到防病毒 网关服务器上的方式实现网关防毒。

1.2.3 垃圾邮件过滤
垃圾邮件过滤功能也是内容安全的一个重要的组成部分。Juniper 的垃圾邮件过滤功 能主要集成在 Juniper 的部分防火墙(包括 HSC、NetScreen-5GT、NS25、NS50、以
广州惠群计算机科技有限公司 第 6 页 共 41 页

网络安全工程技术方案建议书

及 SSG 和 ISG 系列)里。通过不断更新的 IP 地址和垃圾邮件发送者列表,有效地高精 确性地屏蔽垃圾邮件发送者和网络钓鱼者。当然用户也可以自己定义垃圾邮件的白名单 和黑名单,手工地对垃圾邮件进行屏蔽。

1.2.4 网页过滤
对于放在网络边界为用户提供 Internet 访问的边界防火墙而言, 还必须对企业员工对 Internet 访问的网站进行控制。包括 Surfcontrol 和 Websense 都实时对 Internet 上的站 点进行分类,如:新闻类、盗版软件类、军事类、财经等等。通过允许用户能和不能访 问某一类型的网站,可以提高企业员工的工作效率,并避免诸如员工到非法恶意软件站 点下载等情况而导致的法律纠纷。Juniper 的网页过滤功能(采用 Surfcontrl 技术)主要 集成在 Juniper 的部分防火墙(包括 HSC、NetScreen-5GT、NS25、NS50、以及 SSG 和 ISG 系列) 而对全部系列的防火墙而言, 里, 还可以采用用防火墙重定向到 Surfcontrol 或 Websense 服务器的方式来实现网页访问过滤。

1.3 虚拟专网(VPN)功能
Juniper 防火墙中整合了一个全功能 VPN 解决方案,它们支持站点到站点 VPN 及远 程接入 VPN 应用。
? ? ? ?

通过 VPNC 测试,与其他通过 IPSec 认证的厂商设备兼容。 三倍 DES、DES 和 AES 加密使用数字证书(PKI X.509),自动的或手动的 IKE。 SHA-1 和 MD5 认证。 同时支持网状式(mesh)及集中星型(hub and spoke)的 VPN 网络,可按 VPN 部 署的需求,配置用其一或整合两种网络拓扑。

?

Juniper 的防火墙很好地支持 VPN 的冗余,可以实施基于策略的 VPN 和基于路 由的 VPN。

1.4 流量管理功能
流量管理允许网络管理员实时监视、 分析和分配各类网络流量使用的带宽, 有助确保 在用户上网浏览时或在执行其他非关键性应用时而不会影响关键性业务的流量。

广州惠群计算机科技有限公司

第 7 页 共 41 页

网络安全工程技术方案建议书

? ? ? ? ?

根据 IP 地址、用户、应用或时间段来进行管理 可以对进出两个方向的流量都进行流量管理 设定保障带宽和最大带宽 以八种优先等级,为流量分配优先权 支持符合行业标准的 diffserv 数据包标记

1.5 完善的路由功能
Juniper 的全系列防火墙都缺省支持以下路由: 1、 2、 全面的动态路由协议,包括 OSPF、RIP 和 BGP; 支持策略路由,即可以按照流量的源 IP、目的 IP 和端口、以及 TOS/DSCP 的标志位来选择路径; 3、 4、 支持源路由,即可以按照流量的源 IP 或源接口来选择路径; 支持多路径下的负载分担,最大的同时可用路径可达 4 条。

除了可对物理接口允许运行动态路由协议之外,对于各种逻辑接口包括 802.1q 逻辑 子接口和 VPN 的隧道接口都可以运行动态路由协议,有效地保障了网络的连续性。

1.6 Juniper 的统一访问控制架构(Unified Access Control, 简称 UAC)

J
广州惠群计算机科技有限公司 第 8 页 共 41 页

网络安全工程技术方案建议书

由于防火墙往往部署在内网的重要服务器的前面或者是 Internet 网络出口的位置, 所以防火墙是极佳的策略实施设备。为了更好的保障内网安全,并且将端点安全(如 PC 的安全性)和资源访问控制结合在一起,Juniper 提出了统一访问控制的架构,如上图, 该架构的组件包括: 1、 2、 3、 策略集中控制器(Infranet Controller,简称 IC) ; 策略执行设备(Infranet Enforcer) ,如防火墙; 用户 PC(可运行 Infranet Agent,简称 IA) ,IA 由 IC 通过浏览器的插件方式 推送到用户 PC 上后自动运行; 4、 AAA 认证设备(可选,IC 本身支持用户数据库的建立) 。

该架构的实现方式是: 1、 用户开启浏览器,需要访问防火墙后面的资源,防火墙截取该访问信息,将 用户的浏览器的界面重定向到策略集中控制器(Infranet Controller,简称 IC) 上; 2、 IC 可向用户 PC 推送插件 IA,并根据该插件对用户 PC 的安全状况的分析结 果(如是否安装相应的防病毒软件、病毒库是否最新等等) ,向用户的浏览器 推出登录界面, 用户输入正确的用户名、 密码后, 用户 PC 将该信息提交给 IC; 3、 IC 依靠内嵌的认证数据库或者外挂的 AAA 认证服务器进行用户认证和授权, 根据用户匹配到的角色的情况向防火墙推送基于用户的策略; 4、 防火墙在相应的策略里将用户添加到策略用户表里后,用户就可以顺利访问 防火墙后面的资源; 5、 用户在访问资源的同时,IC 还和 IA 进行通讯,确保用户 PC 的安全状态没有 改变。一旦改变后,IC 向防火墙发送取消用户策略信息,防火墙将用户由策 略用户表里删除,用户无法继续访问资源。

1.7 强大的 ASIC 的硬件和 ScreenOS 软件保障
Juniper 防火墙的安全机制广泛采用了 ASIC 芯片技术,在 ASIC 硬件中处理防 火墙访问策略和加密算法,这方面运算的速度是软件类方案不能相比的;同时它还可以 省出中央处理器资源用于管理数据流。这种安全加密的 ASIC 更可与 Juniper 的 ScreenOS 操作系统和系统软件紧密地集成起来,与其他基于通用的商用操作系统的安

广州惠群计算机科技有限公司

第 9 页 共 41 页

网络安全工程技术方案建议书

全产品相比,Juniper 产品消除了不必要的软件层和安全漏洞。Juniper 将安全功能提升 到系统层次,更可以节省建立额外平台带来的开支。目前,其他采用 PC 或工作站作为 平台的软件类方案,往往令系统性能大打折扣。 ASIC 芯片对防火墙的性能和稳定性有极大的提高,主要体现在: 1、 2、 3、 ASIC 芯片可以对会话建立后的流量进行不经过 CPU 处理的直接转发; ASIC 芯片可以对 IPsec VPN 进行加解密处理。 可以对一系列的网络层的 DDoS 攻击(包括生成对 TCP Syn 泛洪攻击的 cookie)进行防护,直接在 ASIC 芯片上对数据包进行丢弃,避免了对系统的 影响。 4、 IP 包的碎片重组和流量统计也依靠 ASIC 芯片实现。

正是由于采用了高性能的专用 ASIC 芯片,所以 Juniper 的安全产品的性能不仅仅 在实验室网络环境下都能够发挥出高水平,在实际的生产网络环境中同样可以保持高性 能。 所 有 Juniper 防 火 墙 /VPN 平 台 的 控 制 组 件 均 采 用 实 时 安 全 专 用 操 作 系 统 ScreenOS,该操作系统从系统底层开始即设计为与专用硬件平台配合运行,以实现性 能最大化。ScreenOS 通过基于流(Flow-based)的处理机制,可帮助加快安全和流量 转发决策,基于流的处理机制利用会话状态可最大限度地减少独立的,逐包进行的转发 决策流程,从而提高解决方案的总体性能。

广州惠群计算机科技有限公司

第 10 页 共 41 页

网络安全工程技术方案建议书

基于流的处理机制利用源区域和目的区域、 源地址和目的地址以及业务类型这五元组 的状态,在 TCP/UDP 层面上检测流量,确定当前会话是新会话还是已建立会话。如果 是新会话,则通过一条慢速路径进行路由和安全策略查询,在这一步骤完成后,该会话 中的所有后续数据包将通过基于第一个数据包匹配策略所确定的行为创建的快速路径进 行处理,如果后续流量与初始数据流相匹配,将继续维护这个快速路径。在下图中,基 于流的转发机制通过第一个数据包建立快速路径后,后续数据包都沿着快速路径进行发 送。 而传统的分支机构设备采用“逐包转发(atomic forwarding) ”的处理方式,对每个 数据包都进行路由和安全策略查询。基于流的处理机制具有以下特性: 1. 防火墙:当处理完数据流的第一个数据包之后,再进行防火墙的状态检测几乎不 会影响性能。并且防火墙性能不会因为策略数目多而降低——有 50 条策略的防 火墙性能与单一策略的防火墙性能相同。 2. 路由:将每个会话的多次路由表查询减少为一次查询从而加速路由转发,直到路 由表发生改变。当路由表改变时,会话表也会同步更新。 3. QoS 分类:分类属于状态匹配五元组查询的一部分,因此不会影响转发性能。
广州惠群计算机科技有限公司 第 11 页 共 41 页

网络安全工程技术方案建议书

4. NAT/PAT:由于 NAT 同样可以匹配会话状态,因此对转发性能没有任何影响。 5. 业务分配:会话状态匹配意味着 AV 等其他类型的防护可以细粒度地只应用到特 定数据流中而不会影响其他数据流转发。 6. HA:由于基于流的处理机制,所有会话信息都被保存在单一数据库中以方便设 备间的状态同步,这样发生故障切换时可以快速切换。 基于流的解决方案在部署安全性和业务上更加快捷, 尤其是在分支/地区和远程机构, 因为这些机构的流量模式比起总部或数据中心来更加单一。

用 HTTP 流量进一步说明基于流的处理优势。上图显示,当通过第一个 TCP 数据包 建立流后,所有后续数据包沿着这一快速路径传送,由此提高了性能。

1.8 设备的可靠性和安全性
Juniper 将所有功能集成于单一硬件产品中,它不仅易于安装和管理,而且能够 提供更高可靠性和安全性。由于 Juniper 设备没有其它品牌对硬盘驱动器和移动部件所 存在的稳定型问题,所以它是对在线时间要求极高的用户的最佳方案。采用 Juniper 设 备的 WebUI 管理方式,可以直接登陆 Web 界面里对防火墙、VPN 和流量管理功能进行
广州惠群计算机科技有限公司 第 12 页 共 41 页

网络安全工程技术方案建议书

配置和管理,减轻了配置另外的硬件和操作系统。这个做法缩短了安装的时间,并在防 范安全漏洞的工作上,减少设定的步骤。

1.9 完备简易的管理
Juniper 的安全设备包括强健的管理支持,允许网络管理员安全地管理设备。由 于 VPN 功能是内置的,因此可以对所有管理加密,从而实现真正的安全远程管理。
? ? ?

采用 NetScreen Security Manager,以 C/S 形式实现中央站点管理。 通过内置 WebUI 实现浏览操作式的管理。 带内,可透过 SSH 和 Telnet 进入命令行界面(CLI);带外,则可透过控制台/调制 解调器端口/带外管理口进行管理。

? ?

电子邮件告警、SNMP traps 和告警。 系统日志(Syslog)、简单网络管理协议(SNMP)、WebTrends 和 MicroMuse NetCool 界面可与第三方报表系统互兼容。

防火墙上将 syslog 发到到多台普通的 syslog 服务器上, 如果要进行 syslog 汇总分析 报表, 则可以和 WebTrend 服务器配合使用, 也可以通过多家 syslog 的报表分析软件 (包 括中文界面的软件)对 syslog 进行日志报表。 除了 Syslog 服务器, Juniper 防火墙还可以将 syslog 发到 Juniper 的 NSM 集中管理 服务器上,然后 NSM 服务器按照策略将不同的日志发给不同的 syslog 服务器。如果在 NSM 服务器的基础上安装了 SRS 的日志报表服务器后,用户也可以用 SRS 来生成历 史报表。 防火墙上本身提供一定数量的本地认证用户数据库,也可和 Radius 服务器、LDAP 服务器等配合使用提供外部用户身份认证。

第二章 项目概述

广州惠群计算机科技有限公司

第 13 页 共 41 页

网络安全工程技术方案建议书

第三章 总体方案建议
计算机网络安全建设方案是参照国际通行的 PDRR(Protection-防护、Detection -检测、Respone-响应和 Recovery-恢复)安全模型进行设计的。与防火墙 A 和 B 直接相关的网络部分如下图所示:

注:◎ 2 台防火墙间可增加 HA(高可用性)连接。

3.1 防火墙 A 和防火墙 B 的双机热备、均衡负载实现方案
Juniper 的中高端防火墙对双机热备、负载分担的实现有很好的支持,实施的方式 是通过 Juniper 的冗余协议 NSRP,类似于 VRRP(HSRP)但在其基础上有很大的改 进,现详细介绍如下: Juniper 为了实现更安全、更有效的防火墙冗余体系,开发了专有的防火墙 HA 工作 的协议 NSRP,NSRP 协议借鉴了 VRRP 协议,而且弥补了 VRRP 协议的不足,是针 对安全设备的 HA 协议。NSRP 实现了:
广州惠群计算机科技有限公司 第 14 页 共 41 页

网络安全工程技术方案建议书

①在 HA 组成员之间镜像配置,在发生故障切换时确保正确的行为。 ②可以在 HA 组中维护所有活动会话和 VPN 隧道。 ③故障切换算法根据系统健康状态确定哪个系统是主系统,把状态与相邻系统连接 起来或监控从本系统到远端的路径。 ④无论活动会话和 VPN 隧道的数量有多少,故障检测和切换到备用系统可以在低 于一秒时间内完成。 ⑤整个系统的防火墙处理能力提高一倍。 ⑥Juniper 的中高端防火墙更支持全网状的 Active/Active HA, 避免低级的网络故障 导致 Juniper 防火墙的不可用。 Juniper 设备处于“路由”或 NAT 模式时,可以将冗余集群中的两台设备都配置 为主动,通过具有负载均衡能力的路由器,运行诸如“虚拟路由器冗余协议 (VRRP)” 等协议,共享它们之间分配的流量。通过使用“NetScreen 冗余协议 (NSRP)”创建两 个虚拟安全设备 (VSD) 组,每个组都具有自己的虚拟安全接口 (VSI),即可实现此目 的。设备 A 充当 VSD 组 1 的主设备,并充当 VSD 组 2 的备份设备。设备 B 充 当 VSD 组 2 的主设备,并充当 VSD 组 1 的备份设备。此配置称为双主动(请参阅 下图) 。由于设备冗余,因此不存在单一故障点。负载分担的方式是通过同一 VLAN 内 一部分设备的网关指向一台防火墙的端口 ip 地址, 另一部分设备的网网关指向另一台防 火墙的端口 ip 地址。故障切换后,该 VLAN 的所有设备都指向同一防火墙的物理端口 (逻辑上具备两个同网段的 IP 地址,作为不同设备的缺省网关 IP 地址) 。

广州惠群计算机科技有限公司

第 15 页 共 41 页

网络安全工程技术方案建议书

设备 A 和设备 B 各接收 50% 的网络和 VPN 流量。设备 A 出现故障时,设备 B 变成 VSD 组 1 的主设备,同时继续作为 VSD 组 2 的主设备,并处理 100% 的 流量。在双主动配置中,故障切换产生的流量转移结果如下图所示。

尽管处于双主动配置的两台设备分开的会话总数不能超过单个防火墙设备的容量, 但添加的第二台设备使可用的潜在带宽加倍。 第二台主动设备也保证两台设备都具有网 络连接功能。即双主动的配置方法的最大连接数保持为原单机时的数量,该数量对一个 大型网络也已足够了,但是数据吞吐量则增大一倍。 除 NSRP 集群(主要负责在组成员间传播配置并通告每个成员的当前 VSD 组状 态)外,还可以将设备 A 和设备 B 配置为 RTO 镜像组中的成员,该镜像组负责维 持一对设备之间执行对象 (RTO)3 的同步性。主设备让位时,通过维持所有当前会话, 备份设备可立即用最短的服务停顿时间承担主地位。 除冗余设备外,还可以在防火墙设备上配置冗余物理接口。如果一级端口失去网络 连接,则二级端口承担连接的任务。 在防火墙设备中,也存在冗余物理 HA 接口,它不仅处理不同种类的 HA 通信, 而且彼此充当备份。缺省情况下, HA1 处理控制消息, HA2 处理数据消息。如果失 去任一 HA 链接, 则另一链接可承担起两种消息类型。 在没有专用 HA 接口的 Juniper 设备上,必须将一个或两个物理以太网接口绑定到 HA 区段上。 由于 NSRP 通信的机密特性,可以通过加密和认证保障所有 NSRP 流量的安全。对 于加密和认证,NSRP 分别支持 DES 和 MD5 算法。 通常, Juniper 的冗余协议 NSRP 的支持下, 在 防火墙的冗余连接有以下几种形式: ? Active-Standby: 有冗余,无法同时工作 ? Active-Active: 有冗余,双机同时工作,仅能容忍 1 个故障点
广州惠群计算机科技有限公司 第 16 页 共 41 页

网络安全工程技术方案建议书

?

Active-Active(全网状,Full Mesh): 有冗余,双机同时工作,最多容忍 3 个故障点,网络结构较复杂,可以检测切换非

相邻设备的故障。

Juniper 的中高端防火墙设备通过一个或两个高可靠性端口 HA1 和 HA2 来实现 NSRP。在实际配置时,可将第一个端口 HA1 配置为传递控制信息的连接,实现两台防 火墙的配置同步、心跳检测、故障检测、实时会话信息同步等功能,此时两台防火墙的 会话状态表保持一致,传递信息的流量实际并不大(主要是会话建立的初期需要传递较 多的会话的参数信息) 所以两台防火墙的会话信息可以实时得到同步。 , 第二个端口 HA2 配置为传递实际数据流量数据线路,主要是在不对称流量进出的情况发挥作用,即某一 会话的流量进来是通过第一台防火墙, 但是返回的流量却因为相邻路由设备的原因发到 了第二台防火墙,此时第二台防火墙进行会话状态检测后发现是基于现有会话的,而且 属于第一台防火墙处理的流量,于是将返回的流量通过 HA2 端口发给第一台防火墙。 两个 HA 端口可以作为备份,即实际上一个 HA 就可以实现以上功能,保证了网络的高 可靠性。 在实际应用中,可以通过网络优化、路由调整的方法将不对称的流量减少,从而使 得第二个端口 HA2 的负载处在合理水平。 以上的故障切换均可在小于 1 秒内完成,并且对用户流量透明。具体切换的触发因 素和检测方式列表如下: 故障描述 NSRP / Juniper 保护

广州惠群计算机科技有限公司

第 17 页 共 41 页

网络安全工程技术方案建议书

Juniper 保护的故障 数据端口故障 (物理层和链路层) HA 端口 电源故障 设备完全掉电 冗余数据端口 冗余 HA 端口 冗余电源 心跳信号

ScreenOS 系统故障导致流量不通过但端口 心跳信号 是 up 的 (layer 3 故障)

相邻设备故障 完全掉电和不提供服务 路由器故障 端口故障 设备故障 应用故障 交换机故障 端口故障 设备故障 应用故障 管理员控制的设备维护和 down 机 链路监测 链路监测 IP 路径检测 IP 路径检测 链路监测 IP 路径检测&链路监测 IP 路径检测 IP 路径检测

多设备故障 Juniper 和周围设备在不同路径故障 冗余端口

广州惠群计算机科技有限公司

第 18 页 共 41 页

网络安全工程技术方案建议书

环境故障 物理接线故障 电路故障 链路监测 心跳信号, 多电源, 链路监 测, IP 路径检测 此外,由于实施了 Juniper 的冗余协议 NSRP,包括 VPN、地址翻译等多种应用的 实时信息都得到同步,即对 VPN 连接、地址翻译连接的切换也是在小于 1 秒完成,所 以在实施时具备很强的灵活性,适应了各种网络应用的情况。而且查错较为简单。所以 该方案的优势还是比较明显的,只需在实施时注意减少不对称路由的条数,让大部分的 流量对称地传送,小部分不对称路由的流量通过 HA2 口做“h”型的转发即可。

3.2 防火墙 A 和防火墙 B 的 VLAN(802.1Q 的 trunk 协议)实现方案
Juniper 防火墙在路由模式的(包括 5GT)都支持 VLAN 终结和 VLAN 间的路由, 即在物理端口下可以开 802.1Q 的逻辑子接口。 不同的逻辑子接口可以放在不同的安全区里面,然后可以对不同安全区之间的互相 访问进行控制(缺省情况下的规则是不允许互相访问) 。 Juniper 防火墙在透明模式下一般可以支持对不带 vlan tag 标记和带 vlan tag 标记的 数据包的穿越,同时对该数据包的 IP 层及应用层的信息进行分析,从而可以更容易地 将该防火墙部署到网络里面。

3.3 防火墙 A 和防火墙 B 的动态路由支持程度的实现方案
Juniper 的防火墙支持的路由协议包括: 1、
2、 3、 4、

OSPF/BGP 动态路由; RIPv2 动态路由; 源路由:即根据源 IP 地址或源接口来确定下一跳; 多链路负载均衡: Juniper 防火墙支持同一物理接口下多链路和不同不物理 接口下的多链路的负载均衡,最多的链路可达 4 条。

5、

Juniper 防火墙的三层接口,包括物理接口、逻辑子接口、loopback 接口、VPN 通道 接口等都可以运行动态路由;

广州惠群计算机科技有限公司

第 19 页 共 41 页

网络安全工程技术方案建议书

3.4 防火墙的 VPN 实现方案
Juniper 防火墙的各个三层接口都可端结 IPsec VPN,并且可以实施基于策略的 VPN(通过防火墙策略定义手动调用相应的 VPN) ,和基于路由的 VPN(通过路由协议 自动选择相应的 VPN 隧道,然后单独实施防火墙策略) 。 Juniper 防火墙中整合了一个全功能 VPN 解决方案,它们支持站点到站点 VPN 及 远程接入 VPN 应用。
? ? ? ?

通过 VPNC 测试,与其他通过 IPSec 认证的厂商设备兼容。 三倍 DES、 DES 和 AES 加密, 使用数字证书(PKI X.509), 自动的或手动的 IKE。 SHA-1 和 MD5 认证。 同时支持网状式(mesh)及集中星型(hub and spoke)的 VPN 网络,可按 VPN 部 署的需求,配置用其一或整合两种网络拓扑。

? ?

支持 IPsec NAT 穿越; 支持远程接入 VPN, 即通过 PC 上的 VPN 客户端 (需客户自己提供) 发起 IPsec VPN,并在防火墙上终结。

3.5 防火墙的安全控制实现方案
防火墙系统的安全策略是整个系统的核心,对于一个安全系统,安全策略的制订至 关重要。策略本身出现问题,会导致整个安全系统产生致命的安全问题。因此,对于安 全系统的策略制订一定要遵守相关的原则。 几乎所有防火墙系统的安全策略由以下元素组成: 源地址 目的地址 服务 动作

所有防火墙策略的执行是按照前后顺序方式执行,当策略被执行后,其后的策略不 被执行。因此,在制订安全策略时要遵循以下原则:
?

越严格的策略越要放在前面

广州惠群计算机科技有限公司

第 20 页 共 41 页

网络安全工程技术方案建议书

? ?

越宽松的策略越要往后放 策略避免有二意性

三种类型的策略 可通过以下三种策略控制信息流的流动:
?

通过创建区段间策略, 可以管理允许从一个安全区段到另一个安全区段的信息流 的种类。

?

通过创建区段内部策略, 也可以控制允许通过绑定到同一区段的接口间的信息流 的类型。

?

通过创建全局策略,可以管理地址间的信息流,而不考虑它们的安全区段。

区段间策略 区段间策略提供对安全区段间信息流的控制。可以设置区段间策略来允许、拒绝或 设置从一个区段到另一个区段的信息流通道。使用状态式检查技术,Juniper 设备保持 活动 TCP 会话表和活动 UDP“pseudo”会话表,以便允许它能回应服务请求。例如, 如果有一个策略允许从 Trust 区段中的主机 A 到 Untrust 区段中的服务器 B 的 HTTP 请求,则当 Juniper 设备接收到从服务器 B 到主机 A 的 HTTP 回应时,Juniper 设备 将接收到的封包与它的表进行对照检查。找到回应批准 HTTP 请求的封包时,Juniper 设备允许来自 Untrust 区段中服务器 B 的封包穿越防火墙到达 Trust 区段中的主机 A。 要控制由服务器 B 发起的流向主机 A 的信息流 (不只是回应由主机 A 发起的信息流) , 必须创建从 Untrust 区段中服务器 B 到 Trust 区段中主机 A 的第二个策略。

区段内部策略 区段内部策略提供对绑定到同一安全区段的接口间信息流的控制。 源地址和目的地 址都在同一安全区段中, 但是通过 Juniper 设备上的不同接口到达。 与区段间策略一样, 区段内部策略也控制信息流单向流动。要允许从数据路径任一端发起的信息流,必须创 建两个策略,每个方向一个策略。 全局策略 与区段间和区段内部策略不同,全局策略不引用特定的源和目的区段。全局策略引 用用户定义的 Global 区段地址或预定义的 Global 区段地址“any” 。这些地址可以跨
广州惠群计算机科技有限公司 第 21 页 共 41 页

网络安全工程技术方案建议书

越多个安全区段。例如,如果要提供对多个区段的访问或从多个区段进行访问,则可以 创建具有 Global 区段地址“any”的全局策略,它包含所有区段中的所有地址。 策略组列表 Juniper 设备维护三种不同的策略组列表,每种策略组列表对应于以下三种策略之 一:
? ? ?

区段间策略 区段内部策略 全局策略 Juniper 设备接收到发起新会话的封包时,会记录入口接口,从而获知接口所绑定

的源区段。然后 Juniper 设备执行路由查询以确定出口接口,从而确定该接口所绑定的 目的区段。使用源区段和目的区段,Juniper 设备可以执行策略查询,按以下顺序查阅 策略组列表: 1、 如果源区段和目的区段不同,则 Juniper 设备在区段间策略组列表中执行 策略查询。 (或)如果源区段和目的区段相同,则 Juniper 设备在区段内部 策略组列表中执行策略查询。 2、 如果 Juniper 设备执行区段间或区段内部策略查询,但是没有找到匹配策 略,则 Juniper 设备会检查全局策略组列表以查找匹配策略。 3、 如果 Juniper 设备执行区段间和全局策略查询,但是没有找到匹配项, Juniper 设备会将缺省的允许 /拒绝策略应用到封包: unset/set policy default-permit-all。 (或)如果 Juniper 设备执行区段内部和全局策略查询, 但是没有找到匹配策略,Juniper 设备会将该区段的区段内部阻塞设置应 用到封包:unset/set zone zone block。 Juniper 设备从上至下搜索每个策略组列表。因此,必须在列表中将较为特殊的策 略定位在不太特殊的策略上面。 策略定义 防火墙提供具有单个进入和退出点的网络边界。由于所有信息流都必须通过此点, 因此可以筛选并引导所有通过执行策略组列表 (区段间策略、 内部区段策略和全局策略) 产生的信息流。策略能允许、拒绝、加密、认证、排定优先次序、调度以及监控尝试从

广州惠群计算机科技有限公司

第 22 页 共 41 页

网络安全工程技术方案建议书

一个安全区段流到另一个安全区段的信息流。可以决定哪些用户和信息能进入和离开, 以及它们进入和离开的时间和地点。 策略的结构 策略必须包含下列元素:
? ? ? ?

区段(源区段和目的区段) 地址(源地址和目的地址) 服务 动作(permit、deny、tunnel) 策略也可包含下列元素:

? ? ? ? ? ? ? ? ? ? ?

VPN 通道确定 Layer 2(第 2 层)传输协议(L2TP) 通道确定 策略组列表顶部位置 网络地址转换(NAT),使用动态 IP (DIP) 池 用户认证 备份 HA 会话 记录 计数 信息流报警设置 时间表 信息流整形

时间表 通过将时间表与策略相关联,可以确定策略生效的时间。可以将时间表配置为循环 生效,也可配置为单次事件。时间表为控制网络信息流的流动以及确保网络安全提供了 强有力的工具。在稍后的一个范例中,如果您担心职员向公司外传输重要数据,则可设 置一个策略,阻塞正常上班时间以外的出站 FTP-Put 和 MAIL 信息流。 在 WebUI 中,在 Objects > Schedules 部分中定义时间表。在 CLI 中,使用 set schedule 命令。
广州惠群计算机科技有限公司 第 23 页 共 41 页

网络安全工程技术方案建议书

基于安全区段的防火墙保护选项 防火墙用于保护网络的安全, 具体做法是先检查要求从一个安全区段到另一区段的 通路的所有连接尝试,然后予以允许或拒绝。缺省情况下,防火墙拒绝所有方向的所有 信息流。通过创建策略,定义允许在预定时间通过指定源地点到达指定目的地点的信息 流的种类,您可以控制区段间的信息流。范围最大时,可以允许所有类型的信息流从一 个区段中的任何源地点到其它所有区段中的任何目的地点,而且没有任何预定时间限 制。范围最小时,可以创建一个策略,只允许一种信息流在预定的时间段内、在一个区 段中的指定主机与另一区段中的指定主机之间流动。

为保护所有连接尝试的安全,防火墙设备使用了一种动态封包过滤方法,即通常所 说的状态式检查。使用此方法,防火墙设备在 TCP 包头中记入各种不同的信息单元— 源和目的 IP 地址、源和目的端口号,以及封包序列号—并保持穿越防火墙的每个 TCP 会话的状态。 (防火墙也会根据变化的元素,如动态端口变化或会话终止,来修改会话 状态。 当响应的 TCP 封包到达时, ) 防火墙设备会将其包头中包含的信息与检查表中储 存的相关会话的状态进行比较。如果相符,允许响应封包通过防火墙。如果不相符,则 丢弃该封包。

防火墙选项用于保护区段的安全, 具体做法是先检查要求经过某一接口离开和到达 该区域的所有连接尝试,然后予以准许或拒绝。为避免来自其它区段的攻击,可以启用

广州惠群计算机科技有限公司

第 24 页 共 41 页

网络安全工程技术方案建议书

防御机制来检测并避开以下常见的网络攻击。下列选项可用于具有物理接口的区段(这 些选项不适用于子接口) :SYN Attack(SYN 攻击) 、ICMP Flood(ICMP 泛滥) 、UDP Flood (UDP 泛滥)和 Port Scan Attack(端口扫描攻击) 。 ? SYN Attack(SYN 攻击):当网络中充满了会发出无法完成的连接请求的SYN 封包, 以至于网络无法再处理合法的连接请求,从而导致拒绝服务(DoS) 时,就发生了SYN 泛 滥攻击。 ? ICMP Flood(ICMP 泛滥):当ICMP ping 产生的大量回应请求超出了系统的最大 限度,以至于系统耗费所有资源来进行响应直至再也无法处理有效的网络信息流时,就 发生了ICMP 泛滥。当启用了ICMP 泛滥保护功能时,可以设置一个临界值,一旦超过此 值就会调用ICMP 泛滥攻击保护功能。如果超过了该临界值,防火墙设备在该秒余下的 时间和下一秒内会忽略其它的ICMP 回应要求。 ? UDP Flood(UDP 泛滥):与ICMP 泛滥相似,当以减慢系统速度为目的向该点发送 UDP 封包, 以至于系统再也无法处理有效的连接时, 就发生了UDP 泛滥。 当启用了UDP 泛 滥保护功能时,可以设置一个临界值,一旦超过此临界值就会调用UDP 泛滥攻击保护功 能。如果从一个或多个源向单个目表发送的UDP 封包数超过了此临界值,Juniper 设备 在该秒余下的时间和下一秒内会忽略其它到该目标的UDP 封包。 ? Port Scan Attack(端口扫描攻击):当一个源IP 地址在定义的时间间隔内向位 于相同目标IP 地址10 个不同的端口发送IP 封包时,就会发生端口扫描攻击。这个方 案的目的是扫描可用的服务,希望会有一个端口响应,因此识别出作为目标的服务。 Juniper 设备在内部记录从某一远程源地点扫描的不同端口的数目。使用缺省设置,如 果远程主机在0.005 秒内扫描了10 个端口(5,000 微秒),防火墙会将这一情况标记 为端口扫描攻击, 并在该秒余下的时间内拒绝来自该源地点的其它封包 (不论目标IP 地 址为何)。 余下的选项可用于具有物理接口和子接口的区段: ? Limit session(限制会话):防火墙设备可限制由单个IP 地址建立的会话数量。 例如,如果从同一客户端发送过多的请求,就能耗尽Web 服务器上的会话资源。此选项 定义了每秒钟防火墙设备可以为单个IP 地址建立的最大会话数量。 ? SYN-ACK-ACK Proxy 保护:当认证用户初始化Telnet 或FTP 连接时,用户会SYN 封 包到Telnet 或FTP服务器。Juniper 设备会截取封包,通过Proxy 将SYN-ACK 封包发送 给用户。用户用ACK 封包响应。此时,初始的三方握手就已完成。防火墙设备在其会话 表中建立项目,并向用户发送登录提示。如果用户怀有恶意而不登录,但继续启动 SYN-ACK-ACK 会话,防火墙会话表就可能填满到某个程度,让设备开始拒绝合法的连接 要求。 要阻挡这类攻击, 您可以启用SYN-ACK-ACK Proxy 保护SCREEN 选项。 从相同IP 地 址的连接数目到达syn-ack-ack-proxy 临界值后,防火墙设备就会拒绝来自该IP 地址 的进一步连接要求。缺省情况下,来自单一IP 地址的临界值是512 次连接。您可以更 改这个临界值(为1 到2,500,000 之间的任何数目)以更好地适合网络环境的需求。 ? SYN Fragment(SYN 碎片):SYN 碎片攻击使目标主机充塞过量的SYN 封包碎片。 主机接到这些碎片后,会等待其余的封包到达以便将其重新组合在起来。通过向服务器 或主机堆积无法完成的连接, 主机的内存缓冲区最终将会塞满。 进一步的连接无法进行, 并且可能会破坏主机操作系统。当协议字段指示是ICMP封包,并且片断标志被设置为1
广州惠群计算机科技有限公司 第 25 页 共 41 页

网络安全工程技术方案建议书

或指出了偏移值时,防火墙设备会丢弃ICMP 封包。 ? SYN and FIN Bits Set(SYN 和FIN 位的封包):通常不会在同一封包中同时设置 SYN 和FIN 标志。但是,攻击者可以通过发送同时置位两个标志的封包来查看将返回何 种系统应答,从而确定出接收端上的系统的种类。接着,攻击者可以利用已知的系统漏 洞来实施进一步的攻击。 启用此选项可使防火墙设备丢弃在标志字段中同时设置SYN 和 FIN 位的封包。 ? TCP Packet Without Flag(无标记的TCP 封包):通常,在发送的TCP 封包的标 志字段中至少会有一位被置位。此选项将使防火墙设备丢弃字段标志缺少或不全的TCP 封包。 ? FIN Bit With No ACK Bit(有FIN 位无ACK 位):设置了FIN 标志的TCP 封包通 常也会设置ACK 位。此选项将使防火墙设备丢弃在标志字段中设置了FIN 标志,但没有 设置ACK 位的封包。 ? ICMP Fragment(ICMP 碎片):检测任何设置了“更多片断”标志,或在偏移字段 中指出了偏移值的ICMP 帧。 ? Ping of Death:TCP/IP 规范要求用于数据包报传输的封包必须具有特定的大小。 许多ping 实现允许用户根据需要指定更大的封包大小。 过大的ICMP 封包会引发一系列 负面的系统反应,如拒绝服务(DoS)、系统崩溃、死机以及重新启动。如果允许防火墙 设备执行此操作,它可以检测并拒绝此类过大且不规则的封包。 ? Address Sweep Attack(地址扫描攻击):与端口扫描攻击类似,当一个源IP 地 址在定义的时间间隔(缺省值为5,000 微秒)内向不同的主机发送ICMP 响应要求(或 ping)时,就会发生地址扫描攻击。这个配置的目的是Ping 数个主机,希望有一个会 回复响应, 以便找到可以作为目标的地址。 防火墙设备在内部记录从一个远程源ping 的 不同地址的数目。使用缺省设置,如果某远程主机在0.005 秒(5,000 微秒)内ping 了 10 个地址,防火墙会将这一情况标记为地址扫描攻击,并在该秒余下的时间内拒绝来 自于该主机的ICMP 回应要求。 ? Large ICMP Packet(大的ICMP 封包):防火墙设备丢弃长度大于1024 的ICMP 封 包。 ? Tear Drop Attack(撕毁攻击):撕毁攻击利用了IP 封包碎片的重新组合。在IP 包 头中, 选项之一为偏移值。 当一个封包碎片的偏移值与大小之和不同于下一封包碎片时, 封包发生重叠,并且服务器尝试重新组合封包时会引起系统崩溃。如果防火墙在某封包 碎片中发现了这种不一致现象,将会丢弃该碎片。 ? Filter IP Source Route Option(过滤IP 源路由选项):IP 包头信息有一个选 项,其中所含的路由信息可指定与包头源路由不同的源路由。启用此选项可封锁所有使 用“源路由选项”的IP 信息流。 “源路由选项”可允许攻击者以假的IP 地址进入网络, 并将数据送回到其真正的地址。 ? Record Route Option(记录路由选项):防火墙设备封锁IP 选项为7(记录路由) 的封包。此选项用于记录封包的路由。记录的路由由一系列互联网地址组成,外来者经 过分析可以了解到您的网络的编址方案及拓扑结构方面的详细信息。 ? IP Security Option(IP 安全性选项):此选项为主机提供了一种手段,可发送 与DOD 要求兼容的安全性、分隔、TCC(非公开用户组)参数以及“处理限制代码”。 ? IP Strict Source Route Option(IP 严格源路由选项):防火墙设备封锁IP 选 项为9(严格源路由选择)的封包。此选项为封包源提供了一种手段,可在向目标转发 封包时提供网关所要使用的路由信息。此选项为严格源路由,因为网关或主机IP 必须 将数据包报直接发送到源路由中的下一地址, 并且只能通过下一地址中指示的直接连接
广州惠群计算机科技有限公司 第 26 页 共 41 页

网络安全工程技术方案建议书

的网络才能到达路由中指定的下一网关或主机。 ? Unknown Protocol(未知协议):防火墙设备丢弃协议字段设置为101 或更大值的 封包。目前,这些协议类型被保留,尚未定义。 ? IP Spoofing(IP 欺骗):当攻击者试图通过假冒有效的客户端IP 地址来绕过防 火墙保护时,就发生了欺骗攻击。如果启用了IP 欺骗防御机制,防火墙设备会用自己 的路由表对IP 地址进行分析,来抵御这种攻击。如果IP 地址不在路由表中,则不允许 来自该源的信息流通过防火墙设备进行通信,并且会丢弃来自该源的所有封包。在CLI 中,您可以指示Juniper 设备丢弃没有包含源路由或包含已保留源IP 地址(不可路由 的,例如127.0.0.1)的封包:set zone zone screen ip-spoofing drop-no-rpf-route。 ? Bad IP Option(坏的IP 选项):当IP 数据包包头中的IP 选项列表不完整或残缺 时,会触发此选项。 ? IP Timestamp Option(IP 时戳选项):防火墙设备封锁IP 选项列表中包括选项4 (互联网时戳)的封包。 ? Loose Source Route Option:防火墙设备封锁IP 选项为3(松散源路由)的封包。 此选项为封包源提供了一种手段,可在向目标转发封包时提供网关所要使用的路由信 息。此选项是松散源路由,因为允许网关或主机IP 使用任何数量的其它中间网关的任 何路由来到达路由中的下一地址。 ? IP Stream Option(IP 流选项):防火墙设备封锁IP 选项为8(流ID)的封包。 此选项提供了一种方法,用于在不支持流概念的网络中输送16 位SATNET 流标识符。 ? WinNuke Attack(WinNuke 攻击):WinNuke 是一种常见的应用程序,其唯一目的 就是使互联网上任何运行Windows 的计算机崩溃。 WinNuke 通过已建立的连接向主机发 送带外(OOB) 数据— 通常发送到NetBIOS 端口139— 并引起NetBIOS 碎片重叠,以此 来使多台机器崩溃。重新启动后,会显示下列信息,指示攻击已经发生: An exception OE has occurred at 0028:[address] in VxD MSTCP(01) + 000041AE. This was called from 0028:[address] in VxD NDIS(01) + 00008660. It may be possible to continue normally.(00008660。有可能继续 正常运行。) Press any key to attempt to continue.(请按任意键尝试继续运行。) Press CTRL+ALT+DEL to restart your computer. You will lose any unsaved information in all applications.(按CTRL+ALT+DEL 可尝试继续运行。将丢失 所有应用程序中的未保存信息。) Press any key to continue. (按任意键继续。) 如果启用了WinNuke 攻击防御机制,Juniper 设备会扫描所有进入的“Microsoft NetBIOS 会话服务” (端口139) 封包。 如果防火墙设备发现某个封包上设置了TCP URG 代码位,就会检查偏移值、删除碎片重叠并根据需要纠正偏移值以防止发生OOB 错 误。然后让经过修正的封包通过,并在“事件警报”日 志中创建一个WinNuke 攻击日志条目。 ? Land Attack:“陆地”攻击将SYN 攻击和IP 欺骗结合在了一起,当攻击者发送含 有受害方IP 地址的欺骗性SYN 封包, 将其作为目的和源IP 地址时, 就发生了陆地攻击。 接收系统通过向自己发送SYN-ACK 封包来进行响应,同时创建一个空的连接,该连接将 会一直保持到达到空闲超时值为止。向系统堆积过多的这种空连接会耗尽系统资源,导 致DoS。通过将SYN 泛滥防御机制和IP 欺骗保护措施结合在一起,防火墙设备将会封锁
广州惠群计算机科技有限公司 第 27 页 共 41 页

网络安全工程技术方案建议书

任何此类性质的企图。 ? Malicious URL Protection:当启用“恶意URL 检测”时,Juniper 设备会监视每 个HTTP 封包并检测与若干用户定义模式中的任意一个相匹配的任何封包。设备会自动 丢弃所有此类封包。 ? Block Java/ActiveX/ZIP/EXE Component :Web 网页中可能藏有恶意的Java 或 ActiveX 组件。下载完以后,这些applet 会在您的计算机上安装特洛伊木马病毒。同 样,特洛伊木马病毒2也可以隐藏在压缩文件(如.zip)和可执行(.exe)文件中。在 安全区中启用这些组件的阻塞时,防火墙设备会检查每个到达绑定到该区域的接口的 HTTP 包头。会检查包头中列出的内容类型是否指示封包负荷中有任何目的组件。如果 内容类型为ActiveX、Java、.exe 或.zip,而且您将防火墙设备配置为阻塞这些组件, 防火墙设备会阻塞封包。如果内容类型仅列出“八位位组流”,而不是特定的组件类型, 则防火墙设备会检查负荷中的文件类型。 如果文件类型为ActiveX、 Java、 .exe 或.zip, 而且您将防火墙设备配置为阻塞这些组件,防火墙设备会阻塞封包。 ? Deny Fragment:封包通过不同的网络时,有时必须根据网络的最大传输单位(MTU) 将封包分成更小的部分(片断)。攻击者可能会利用IP 栈具体实现的封包重新组合代 码中的漏洞,通过IP 碎片进行攻击。当目标系统收到这些封包时,造成的结果小到无 法正确处理封包,大到使整个系统崩溃。如果允许防火墙设备拒绝安全区段上的IP 碎 片,设备将封锁在绑定到该区段的接口处接收到的所有IP 封包碎片。 对于网络层的攻击,大多数从技术角度无法判断该数据包的合法性,如 SYN flood, UDP flood,通常防火墙采用阀值来控制该访问的流量。通常防火墙对这些选项提供了 缺省值。对于在实际网络上该阀值的确定,通常要对实施防火墙的网络实际情况进行合 理的分析,通过对现有网络的分析结果确定最终的设定值。比如,网络在正常工作的情 况下的最大 Syn 数据包值为 3000,考虑到网络突发流量,对现有值增加 20%,则该值 作为系统的设定值。 在实际应用中,这些参数要随时根据网络流量情况进行动态监控的更新。

3.6 防火墙的网络地址转换实现方案
当防火墙的接口处于“网络地址转换 (NAT)”模式下时, 该设备的作用与 Layer 3 (第 3 层)交换机(或路由器)相似,将绑定到 Untrust 区段的 IP 封包包头中的两 个组件进行转换:其源 IP 地址和源端口号。防火墙设备用目的地区段接口的 IP 地址 替换发送封包的主机的源 IP 地址。另外,它用另一个由设备生成的任意端口号替换源 端口号。 当回复封包到达防火墙设备时,该设备转换内向封包的 IP 包头中的两个组件:目 的地地址和端口号,它们被转换回初始号码。封包于是被转发到其目的地地址。
广州惠群计算机科技有限公司 第 28 页 共 41 页

网络安全工程技术方案建议书

NAT 添加 Transparent 模式(透明模式)中未提供的一个安全级别:连接到 NAT 模式 接口的主机的地址对 Untrust 区段中的主机从不公开。 另外,NAT 还保留对互联网可路由的 IP 地址的使用。只用一个公共、互联网可路 由的 IP 地址 (Untrust 区段中的接口的 IP 地址) 时, Trust 区段或任意使用 NAT 服 务的其它区段中的 LAN 可拥有具有私有 IP 地址的大量主机。 以下 IP 地址范围保留给 私有 IP 网络,并且不必在互联网上设定路由: 10.0.0.0 - 10.255.255.255 172.16.0.0 - 172.31.255.255 192.168.0.0 - 192.168.255.255 通过 NAT 模式下的接口发送信息流的区段内的主机,能够发出流向 Untrust 区段 的信息流(如果策略允许) ,但是不能够接收来自 Untrust 区段的信息流,除非为其设 置了映射 IP (MIP)、虚拟 IP (VIP) 或 VPN 通道。从 Untrust 区段外的其它任意区段 向拥有已启用 NAT 的接口的区段发送信息流时,不需要使用 MIP、VIP 或 VPN。如果要 保护某区段内地址的私密性,可定义 MIP 并为该区段创建一个策略,将该 MIP 引用为 目的地地址。 防火墙除了接口支持 NAT 模式以外, 还可以通过设定策略实现以下地址转换的功能: 基于策略的源和目标地址和端口翻译 在策略中可以定义目标地址是否需要转换, IP 地址和端口可以转换为需要的地址 其 和端口。 动态 IP 地址翻译(DIP,Dynamic IP Pool) DIP 池包含一个范围内的 IP 地址, 防火墙设备在对 IP 封包包头中的源 IP 地址 执行网络地址转换 (NAT) 时,可从中动态地提取地址。 在实施动态 IP 地址翻译具体方式上,可以实现下列功能 a) 端口地址翻译的 DIP 使用“端口地址转换”(PAT),多台主机可共享同一 IP 地址,防火墙设备维护一个 已分配端口号的列表,以识别哪个会话属于哪个主机。启用 PAT 后,最多 64,500 台 主机即可共享单个 IP 地址。 b) 固定端口地址的 DIP 一些应用,如“NetBIOS 扩展用户接口”(NetBEUI) 和“Windows 互联网命名服务”

广州惠群计算机科技有限公司

第 29 页 共 41 页

网络安全工程技术方案建议书

(WINS),需要具体的端口号,如果将 PAT 应用于它们,它们将无法正常运行。对于这 种应用,应用 DIP 时,可指定不执行 PAT(即,使用固定端口) 。对于固定端口 DIP, 防火墙设备散列原始的主机 IP 地址,并将它保存在其主机散列表中,从而允许防火墙 设备将正确的会话与每个主机相关联。 c) 扩展端口和 DIP 根据情况,如果需要将出站防火墙信息流中的源 IP 地址,从出口接口的地址转换 成不同子网中的地址,可使用扩展接口选项。此选项允许将第二个 IP 地址和一个伴随 DIP 池连接到一个在不同子网中的接口。 然后, 可基于每个策略启用 NAT, 并且指定 DIP 池,该池在用于转换的扩展接口上创建。 d) 附着 DIP 主机发起与已启用网络地址转换 (NAT) 的策略相匹配的几个会话, 并且获得了来自 动态 IP (DIP) 池的分配地址时,防火墙设备为每个会话分配不同的源 IP 地址。对于 创建多个会话(每个会话都需要同一源 IP 地址)的服务,这种随机地址分配可能会产 生问题。 静态地址翻译(映射 IP 地址) 映射 IP (MIP) 是一个 IP 地址到另一个 IP 地址的一对一直接映射。防火墙设备 将目的地为 MIP 的内向信息流转发至地址为 MIP 指向地址的主机。实际上,MIP 是静 态目的地地址转换。 “动态 IP” (DIP) 将 IP 封包包头中的源 IP 地址转换为 DIP 池中 随机选择的地址,而 MIP 将 IP 封包包头中的目的地 IP 地址映射为另一个静态 IP 地址。 MIP 允许入站信息流到达接口模式为 NAT 的区段中的私有地址。 MIP 还部分解决通 过 VPN 通道连接的两个站点之间地址空间重叠的问题。

为保证 MIP 实现的灵活性,可在与任何已编号通道接口(即带 IP 地址/ 网络掩码
广州惠群计算机科技有限公司 第 30 页 共 41 页

网络安全工程技术方案建议书

的接口)及任何绑定到第 3 层 (L3) 安全区段的已编号接口相同的子网中创建 MIP。 VIP 地址翻译 根据 TCP 或 UDP 片段包头的目的地端口号,虚拟 IP (VIP) 地址将在一个 IP 地 址处接收到的信息流映射到另一个地址。例如: ? 目的地为 210.1.1.3:80(即,IP 地址为 210.1.1.3,端口为 80)的 HTTP 封包可 能映射到地址为 10.1.2.10 的 web 服务器。 ? 目的地为 210.1.1.3:21 的 FTP 封包可能映射到地址为 10.1.2.20 的 FTP 服务 器。 ? 目的地为 210.1.1.3:25 的 FTP 封包可能映射到地址为 10.1.2.30 的 FTP 服务 器。 由于目的地 IP 地址相同,防火墙设备根据目的地端口号确定将信息流转发到的主 机。

可以对众所周知(Well-Known)的服务使用虚拟端口号以增强安全性。例如,如果 您只想允许分支机构的雇员在公司网站访问 FTP 服务器, 可以指定从 1024 到 65,535 的注册端口号充当内向 FTP 信息流的端口号。Juniper 设备拒绝任何尝试在其众所周 知的端口号 (21) 到达 FTP 服务器的信息流。只有预先知道虚拟端口号并将其附加到 封包包头的人员才能访问该服务器。

3.7 防火墙的应用代理实现方案
Juniper 的防火墙只是在实施基于 TCP Syn-Flood 保护时才采用了 TCP 的代理 proxy, 通过对外部 TCP Syn 包做代理的方式, 保护内部主机不至于受到 TCP Syn-Flood 的攻击。

广州惠群计算机科技有限公司

第 31 页 共 41 页

网络安全工程技术方案建议书

由于设计原理和应用的区别,Juniper 不建议在大网里采用应用代理,避免了网络速度 的大幅下降。

3.9 防火墙用户认证的实现方案
在策略定义时, Juniper 提供了用户认证选项, 选择此选项要求源地址的 auth 用户, 在允许信息流穿越防火墙或进入 VPN 通道前,通过提供用户名和密码,以认证他/ 她 的身份。Juniper 设备可使用本地数据库或外部 RADIUS、SecurID 或 LDAP auth 服 务器,执行认证检查。

Juniper 提供两种认证方案:
?

运行时认证,在收到与启用认证的策略相匹配的 HTTP、FTP 或 Telnet 信息流 时,Juniper 设备提示 auth 用户登录

?

WebAuth,通过 Juniper 设备发送信息流前,用户必须认证自己

运行时认证 运行时认证的过程如下: 1、 当 auth 用户发送 HTTP、FTP 或 Telnet 连接请求到目的地址时,Juniper 设备截取封包并对其进行缓冲。 2、 3、 4、 Juniper 设备向 auth 用户发出登录提示。 auth 用户用自己的用户名和密码响应此提示。 Juniper 设备认证 auth 用户的登录信息。

如果认证成功,则在 auth 用户和目的地址间建立连接。 注意:如果将需要认证的策略应用到 IP 地址的子网,则每个 IP 地址都需要认证。 如果主机支持多个 auth 用户帐户(如运行 Telnet 的 Unix 主机) ,则在第一个用户认 证后,该主机的所有其它用户都可以继承第一个用户的权限,让信息流通过 Juniper 设 备而不必经过认证。对于初始的连接请求,策略必须包括下列三个服务中的一项或所有 服务:Telnet、HTTP 或 FTP。只有具有这些服务中的一个或所有服务的策略才能启动 认证过程。可以在涉及用户认证的策略中使用以下任一服务:
广州惠群计算机科技有限公司 第 32 页 共 41 页

网络安全工程技术方案建议书

? ? ?

Any (因为“any”包括所有三项必需的服务) Telnet、HTTP 或 FTP。 包括所希望的服务或多个服务的服务组, 加上启动认证过程必需的三个服务中的 一个或多个(Telnet、FTP 或 HTTP) 。例如,可以创建名为“Login”的定制服 务组,支持 FTP、网络会议系统和 H.323 服务。然后,在创建策略时,指定服 务为“Login” 。对于成功认证后的任何连接,策略中指定的所有服务都有效。

策略前检查认证(WebAuth) WebAuth 认证的过程如下: 1、 2、 3、 4、 auth 用户为 WebAuth 服务器建立到 IP 地址的 HTTP 连接。 Juniper 设备向 auth 用户发出登录提示。 auth 用户用自己的用户名和密码响应此提示。 Juniper 设备或外部 auth 服务器认证 auth 用户的登录信息。

如果认证尝试成功,则 Juniper 设备允许 auth 用户启动信息流,使其流向在强制 通过 WebAuth 方法执行认证的策略中指定的目的位置。 注意:启用了认证的策略不支持将 DNS (端口为 53)作为服务。

3.10 防火墙对带宽管理实现方案
信息流整形 可以为每个策略设置控制和整形信息流的参数。信息流整形参数包括:
?

Guaranteed Bandwidth(保障带宽) 以千比特每秒(kbps) 表示的保障吞吐量。 : 低于此临界值的信息流以最高优先级通过, 不受任何信息流管理或整形机制的限 制。

?

Maximum Bandwidth(最大带宽) 以千比特每秒(kbps) 表示的连接类型可用 : 的安全带宽。超过此临界值的信息流被抑制并丢弃。 注意:在 WebUI 中,已排定进度的策略如有灰色背景,表示当前时间不在定义的

时间表内。已排定进度的策略活动时,背景为白色。

广州惠群计算机科技有限公司

第 33 页 共 41 页

网络安全工程技术方案建议书

注意: 建议不要使用低于 10 kbps 的额定值。 低于此临界值的额定值会导致封包被 丢弃以及过多的重试,从而使信息流的管理目的失败。
?

Traffic Priority (信息流优先级) 当信息流带宽在保障带宽和最大带宽设置之 : 间时, Juniper 设备首先让较高优先级的信息流通过, 并且只有在没有其它更高 优先级的信息流时,才让较低优先级的信息流通过。有八个优先级。

?

DiffServ Codepoint Marking(差异服务码点标记) :差异服务(DiffServ) 是标记 信息流在优先级层次结构中位置的系统。可以将八个 Juniper 优先级映射到 DiffServ 系统中。缺省情况下,Juniper 系统中的最高优先级(优先级 0)映射 到 DiffServ 字段(请参阅 RFC 2474)中的头三位(0111),或映射到 IP 封包包 头的 ToS 字节(请参阅 RFC 1349)的 IP 前字段中。Juniper 系统中的最低优 先级(优先级 7)映射到 ToS DiffServ 系统中的(0000)。

3.11 防火墙日志管理、管理特性以及集中管理实现方案
1. 管理员角色定义: 设备支持多个管理员。对于管理员对设备进行的任何配置和更改,设备至少记录以 下信息: ? 进行更改的管理员 ? 该管理员的IP 地址 ? 更改的时间 设备应该支持分级的管理员管理权限。 仅当管理员用有效的用户名和密码成功登录 后,才能访问相应的特权。

审计管理员 审计管理员只具有进行查看设备状态、配置的权限,他只能发出有限的用于查看性 质的命令。审计管理员具有以下权限: ? 监控设备状态,包括各种物理/逻辑部件 ? 对各种技术参数进行察看/处理/保存等 安全管理员 安全管理员一般具有读和写的能力,具有与超级管理员几乎相同的权限,但是他不 能创建、修改或删除其他的管理员用户。安全管理员具有以下权限:
广州惠群计算机科技有限公司 第 34 页 共 41 页

网络安全工程技术方案建议书

? 设备的安全/性能等方面的设置 ? 修改自身账号密码 ? 审计管理员的所有权限 超级管理员 超级管理员具有完全的管理权限。每个设备只有一个超级管理员,具有以下权限: ? 管理设备的全部系统,包括全部的物理/逻辑特性 ? 添加、删除和管理所有其他的管理员 ? 具有其他管理员的所有权限 所有的管理员账号都可以修改用户名和密码。

2.用户参数管理: 认证模式 设备支持本地/外部认证方式。设备本身支持管理用户的添加/修改/删除;外部认证 支持 Radius/LDAP/SecureID 等多种标准。 闲置时间 登陆成功的管理员,在沉默一定时间后系统将自动将其退出,以避免非法操作人员 利用用户长时间离开的机会进行操作,也可以避免并发管理用户数量被长期占用。这个 时间一般在 10 分钟左右。 并发用户数量管理 同时登陆设备的用户总数。 设备应当可以查看当前的管理员/登陆的方式/登陆 IP 地 址信息。

3、日志审计及监控 安全审计原则 网络安全的审计对于整个网络的状况、 设备的运行状况和网络故障及攻击事件的追 溯至关重要。一旦网络系统出现问题,管理员要及时对问题和事件进行分析,确定出现 哪些问题,对目前哪些系统造成了影响,如何采取相应的措施。因此,对于网络安全系 统管理员在进行安全审计时要遵循以下原则。 突发安全事件的审计要及时 众所周知,网络安全事件层出不穷,任何人都无法预知即将发生的事件,因此,对 于网络突发事件的监控和审计对于整个网络的整体安全性举足轻重。网络所熟悉的病
广州惠群计算机科技有限公司 第 35 页 共 41 页

网络安全工程技术方案建议书

毒,如红色代码、冲击波,口令蠕虫等对网络造成了巨大损失。对于这样的事件发生, 如果网络安全监控及时,可以在事件发生初期以最快的速度采取相关措施,可以及大地 减小事件对整个网络造成的影响和损失。

定期安全事件的审计要高效、准确、持续 安全审计工作是一个持久的工作,任何的疏忽就可能给整个网络埋下潜在的危险。 同时,任何事件都不是孤立的,对于整个网络安全系统包括路由器,交换机,主机系统, 防火墙, 以及入侵检测系统都是相关链的。 防火墙的安全审计要与整个网络系统相结合, 这样才能做到定期安全事件的审计的高效性、准确性和持续性。

安全日志收集 日志存储方式包括本地/外部两种方式。 本地的日志存储, 一般有 console 显示, 内存存储, 非易失性存储等形式。 Console 显示受其字符输出速度的限制 (一般为 9600 波特或稍高) 只适合严重级别较高的日志 , 类型;内存存储不受速度限制,但属于易失性存储,设备掉电会丢失数据,而且受内存 大小限制,因此只能作为临时存储,设备应具备将这些数据另外保存的方法;非易失性 存储,适合对关键的日志类型如攻击、管理、异常信息等的保存,便于出现问题时能够 保存必要的资料。

外部的日志存储,常见的有 syslog/SNMP 等。Syslog 标准适合存储大量的信息。 Syslog 的局限性在于 UDP 协议, 这种协议没有重传机制, 很容易造成信息丢失。 Juniper 建议采用支持 TCP 方式(新的扩展标准)传输日志。对于外部存储而言,网络的可通 性是另外一个不确定因素,因此 Juniper 建议采用多个 Syslog server 备份的方式。

SNMP 是常用的监控协议,Juniper 支持标准的 MIBII 和私有的 MIB。SNMP 采用 的是 v2c。

对安全设备而言,日志的保密性也需要考虑。Juniper 防火墙设备支持从本身的 VPN 通 道传送日志信息。 5、 集中的网管平台 NetScreen-Security manager
第 36 页 共 41 页

广州惠群计算机科技有限公司

网络安全工程技术方案建议书

NetScreen-Security Manager 为 IT 部门提供了一套简单易用的管理方案,对 Juniper 设备进行配置部署、网络设置和安全策略设定,实现一种全新的网络安全管理 方法。使用 NetScreen-Security Manager,IT 经理、网络管理员和安全管理员可以协同 工作一起把效率提高,降低管理和运营成本。NSM 完全管理 Juniper 的防火墙和 IDP 设备。 其主要特性包括: ? ? ? ? 集中的端到端生命周期管理实现对设备配置、网络设置和安全策略的精细控制 管理职责的分配使用户可以向需要信息的人员提供信息接入权限 直观的 GUI 可以简化多种复杂工作,如设备配置、策略创建和 VPN 部署 3 层体系结构可最大限度地提高性能和灵活性

功能包括: ? 管理权限的分配: NetScreen-Security Manager 使企业 IT 部门可以为特定用户分配适当级别的 管理接入权限来完成各种工作:从只读到全面的编辑功能。其他可以为公司内不同 的个人或部门提供对信息的接入权限或限制对信息的接入,使员工可以做出与自己 角色相对应的决策。同样,通过根据员工技能集来允许或限制系统权限,企业就可 以实现基于角色的管理。在这种情况下,许可权限和任务直接对应于企业的理想团 队结构。 基于角色的管理可以通过 NetScreen-Security Manager 中预先定义的角色 实现,也可以通过系统中 70 多种可分配任务中创建一个定制角色实现。此外, NetScreen-Security Manager 还有另外几种特性可以帮助提高企业安全性团队的工 作效率。 ? 对象锁定允许多个管理员同时安全地修改不同地策略或设备 ? 日志和策略地评注字段使管理小组可以公布规则地目的或事件的状态 ? 工作管理器可以集中显示所有设备的更新状态 ? 简化的复杂任务管理 NetScreen-Security Manager 的一个主要设计理念是简化安全设备管理的复杂 性,同时提 供足够 的 灵活性来满 足各个 部 门的要求。 为了实 现 这样的目标, NetScreen-Security Manager 提供一个集成的管理界面,使每个设备参数都可以从 一个中央站点上控制。管理员只需点击几下鼠标就可以配置设备、制订安全策略或
广州惠群计算机科技有限公司 第 37 页 共 41 页

网络安全工程技术方案建议书

管理固件更新。可通过 CLI 配置的设备所有方面都可以通过 NetScreen-Security Manager 进行管理。NetScreen-Security Manager 提供的一些工具包括: ? 角色模板可以简化用户权限的创建和管理 ? 设备模板可以通过一个模板来管理一个和一组设备的所有方面 ? VPN 管理器可以在基本拓扑结构定义完毕后创建所有必要的规则,从而加 快 VPN 部署 ? 日志和报告 NetScreen-Security Manager 还包括一种高性能日志存储机制, IT 部门可以 使 收集并监控主要指标方面的详尽历史信息,如网络流量和安全性事件。通过内 置的报告功能,管理员可以迅速生成报告以达到进行调查和符合要求的目的。 为了进行更广泛的分析,日志文件可以被输出到第三方报告攻击或数据库中。 实时监控功能包括 VPN 和设备运行、故障状态和高可用性群集监控。保存在 NetScreen-Security Manager 中的日志可以按照以下方式进行分析: ? 日志查看功能允许实时查看系统中存储的日志。用户定义的过滤器可以使 管理员迅速分析安全性状态和事件 ? Log Investigator 可以提供关联高级日志信息以了解发展趋势和异常情况的 功能 ? 日志报告使管理员可以生成、查看和导出报告,同时总结来自所管理的防 火墙、VPN 设备的日志和告警 体系结构包括一个设备服务器端、一个 GUI 服务器端和一个小型用户界面(UI) 。 当成本和/或简便性是主要要求时,设备和 GUI 服务组件可以位于同一服务器上。当性 能和部署灵活性更为重要时, 可以部署在不同服务器上。 可以为管理员提供所有信息 UI 和系统功能地单一接入点而不手所选择地设备和 GUI 服务器部署的影响。 通过利用 GUI 服务器的计算功能支持大多数负载,对最终用户系统的影响可以减小到最低。 NetScreen-Security Manager 中的所有 3 个层都通过一条基于 TCP 的通信信道连 接,通过 AES 加密和 SHA-1 认证受到保护。通过在通信信道中嵌入类似 IPsec VPN 的安全性,用户可以轻松地在大多数网络环境中部署安全管理。 特性概述 配置

广州惠群计算机科技有限公司

第 38 页 共 41 页

网络安全工程技术方案建议书

? 具有改写功能地设备模板 ? 配置设备的所有方面 ? 全面的设备导入 ? 设备配置验证 ? 有关配置差异的报告 ? VPN 建模工具 ? 基于路由和基于策略的 VPN 管理 ? 全网状、集中分散、合并 VPN 拓扑结构 ? 共享策略基于角色的防病毒管理 ? 基于角色的深度检查管理 ? 策略验证 ? 共享对象 日志 ? 集成的实时和历史日志 ? 全面的过滤功能 ? 保存的每个用户的视图 ? 用于团队协作的日志标记和评注 管理 ? 基于角色的管理 ? 对象锁定 ? 审计日志 ? 域(domain) ? 自动域版本确定和回退 ? 用于跟踪更新状态的工作管理器 第三方集成 ? 逐个规则的系统日志 ? 逐个规则的 SNMP 实时监控 ? 防火墙设备

广州惠群计算机科技有限公司

第 39 页 共 41 页

网络安全工程技术方案建议书

? IDP 设备 ? VPN ? NSRP ? GUI 服务器 CPU ? 设备服务器 CPU 报告 ? 防火墙报告 ? IDP 报告 ? 屏蔽报告(攻击) ? 深度检测报告(攻击) ? 管理报告 ? HTML 输出 ? 日志调查程序可关联日志信息 安全通信 ? 所有层上的安全通信 ? 基于 TCP 的通信机制 ? 加密:AES, 256 位 ? 认证:SHA-1 最低硬件系统要求(需用户自行提供) 用户界面 操作系统支持 CPU 最低要求 RMA 最低要求 最小可用磁盘空间 到服务器的最低连接要求 Microsoft Windows 2000,NT, xp PIII 1GHz 或更高(或 AMD Athlon) 256MB,建议 512MB 100MB 384Kbps 或 LAN

管理服务器(GUI 服务器和设备服务器一体机) CPU 最低要求 RMA 最低要求 最低硬盘要求 1GHz 1Gb 15K rpm 磁盘的可变容量大小(估计日志的平均大小为 150 字节)
广州惠群计算机科技有限公司 第 40 页 共 41 页

网络安全工程技术方案建议书

NIC 最低要求 操作系统支持 最大设备量

100Mbps Solaris 8, Solaris 9,RedHat Linux ES3.0,ES4.0 6000

广州惠群计算机科技有限公司

第 41 页 共 41 页