ISG2000网络安全解决方案建议书
Juniper ISG2000网络安全解决方案
建议书
美国Juniper网络公司
第 1 页 共 26 页
ISG2000网络安全解决方案建议书
目 录
1
前言 .............................................................................................................................................. 3 1.1 1.2 2
范围定义 .............................................................................................................................. 3 参考标准 .............................................................................................................................. 3
系统脆弱性和风险分析 ............................................................................................................. 4 2.1 2.2
网络边界脆弱性和风险分析 .............................................................................................. 4 网络内部脆弱性和风险分析 .............................................................................................. 4
3 系统安全需求分析...................................................................................................................... 5 3.1 3.2 3.3
边界访问控制安全需求 ...................................................................................................... 5 应用层攻击和蠕虫的检测和阻断需求 .............................................................................. 7 安全管理需求 ...................................................................................................................... 8
4 系统安全解决方案...................................................................................................................... 9 4.1 4.2 4.3 4.4
设计目标 .............................................................................................................................. 9 设计原则 .............................................................................................................................. 9 安全产品的选型原则 ........................................................................................................ 10 整体安全解决方案 ............................................................................................................ 11
访问控制解决方案 .................................................................................................... 11 防拒绝服务攻击解决方案 ........................................................................................ 13 应用层防护解决方案 ................................................................................................ 18 安全管理解决方案 .................................................................................................... 21
4.4.1 4.4.2 4.4.3 4.4.4 5
方案中配置安全产品简介 ....................................................................................................... 22 5.1 5.2
JUNIPER公司介绍 .............................................................................................................. 22 JUNIPER ISG2000 系列安全网关 ...................................................................................... 25
第 2 页 共 26 页
ISG2000网络安全解决方案建议书
1 前言
1.1 范围定义
本文针对的是XXX网络的信息安全问题,从对象层次上讲,它比较全面地囊括了从物理安全、网络安全、系统安全、应用安全到业务安全的各个层次。原则上与信息安全风险有关的因素都应在考虑范围内,但为了抓住重点,体现主要矛盾,在本文主要针对具有较高风险级别的因素加以讨论。从安全手段上讲,本文覆盖了管理和技术两大方面,其中安全管理体系包括策略体系、组织体系和运作体系。就XXX的实际需要,本次方案将分别从管理和技术两个环节分别给出相应的解决方案。
1.2 参考标准
XXX属于一个典型的行业网络,必须遵循行业相关的保密标准,同时,为了保证各
种网络设备的兼容性和业务的不断发展需要,也必须遵循国际上的相关的统一标准,我们在设计XXX的网络安全解决方案的时候,主要参考的标准如下: ? NAS IATF3.1美国国防部信息保障技术框架v3.1
? ISO15408 / GB/T 18336信息技术 安全技术 信息技术安全性评估准则,第一部分 简
介和一般模型
? ISO15408 / GB/T 18336信息技术 安全技术 信息技术安全性评估准则,第二部分 安
全功能要求
? ISO15408 / GB/T 18336信息技术 安全技术 信息技术安全性评估准则,第三部分 安
全保证要求
? 加拿大信息安全技术指南, 1997
? ISO17799第一部分, 信息安全管理Code of Practice for Information Security
Management
? GB/T 18019-1999 包过滤防火墙安全技术要求;
第 3 页 共 26 页
ISG2000网络安全解决方案建议书
? GB/T 18020-1999 应用级防火墙安全技术要求;
? 国家973信息与网络安全体系研究G1999035801课题组IATF《信息技术保障技术框架》。
2 系统脆弱性和风险分析
2.1 网络边界脆弱性和风险分析
网络的边界隔离着不同功能或地域的多个网络区域,由于职责和功能的不同,相连网络的密级也不同,这样的网络直接相连,必然存在着安全风险,下面我们将对XXX网络就网络边界问题做脆弱性和风险的分析。
XXX的网络主要存在的边界安全风险包括:
? XXX网络与各级单位的连接,可能遭到来自各地的越权访问、恶意攻击和计算机病
毒的入侵;例如一个不满的内部用户,利用盗版软件或从Internet下载的黑客程序恶意攻击内部站点,致使网络局部或整体瘫痪;
? 内部的各个功能网络通过骨干交换相互连接,这样的话,重要的部门或者专网将遭到
来自其他部门的越权访问。这些越权访问可能包括恶意的攻击、误操作等等,但是它们的后果都将导致重要信息的泄漏或者是网络的瘫痪。
2.2 网络内部脆弱性和风险分析
XXX内部网络的风险分析主要针对XXX的整个内网的安全风险,主要表现为以下几个方面:
? 内部用户的非授权访问;XXX内部的资源也不是对任何的员工都开放的,也需
要有相应的访问权限。内部用户的非授权的访问,更容易造成资源和重要信息的泄漏。
? 内部用户的误操作;由于内部用户的计算机造作的水平参差不齐,对于应用软件
的理解也各不相同,如果一部分软件没有相应的对误操作的防范措施,极容易给
第 4 页 共 26 页
ISG2000网络安全解决方案建议书
服务系统和其他主机造成危害。
? 内部用户的恶意攻击;就网络安全来说,据统计约有70%左右的攻击来自内部用
户,相比外部攻击来说,内部用户具有更得天独厚的优势,因此,对内部用户攻击的防范也很重要。
? 设备的自身安全性也会直接关系到XXX网络系统和各种网络应用的正常运转。例
如,路由设备存在路由信息泄漏、交换机和路由器设备配置风险等。
? 重要服务器或操作系统自身存在安全的漏洞,如果管理员没有及时的发现并且进
行修复,将会为网络的安全带来很多不安定的因素。
? 重要服务器的当机或者重要数据的意外丢失,都将会造成XXX内部的业务无法正
常运行。
? 安全管理的困难,对于众多的网络设备和网络安全设备,安全策略的配置和安全
事件管理的难度很大。
3 系统安全需求分析
通过对上面XXX网络的脆弱性和风险的分析,我们认为整个XXX网络的安全建设目前还比较简单,存在着一定的安全隐患,主要的安全需求体现为以下几个方面:边界访问控制安全需求,网络级防病毒安全需求、入侵行为检测安全需求、安全管理需求等,下面我们将继续上几章的方法,分别在边界安全需求,内网安全需求环节就这几个关键技术进行描述。
3.1 边界访问控制安全需求
防火墙是实现网络逻辑隔离的首选技术,在XXX的网络中,既要保证在整个网络的连通性,又要实现不同网络的逻辑隔离。针对XXX网络的具体情况,得到的防火墙的需求包括以下几个方面: ? 先进的安全理念
支持基于安全域的策略设定,让用户能够更好的理解防火墙的应用目的。
第 5 页 共 26 页