ISG2000网络安全解决方案建议书
Inline_Tap模式,由于攻击检测本身所具有的误报性,建议用户在使用ISG2000系统的应用层保护模块的时候,可以采用如下的配置步骤:
1.通过防火墙安全策略的定制,将需要进行应用层攻击检测和防护的流量传给应用层防护模块,对于其他的无关紧要的网络数据流量,可以不需要通过应用层保护模块,只通过防火墙的检测就可以保证其安全性,这样的配置可以保证在将敏感数据进行了攻击检测的同时,最大限度的保证网络的性能,提高网络吞吐量,减少网络延迟。
2.设备部署初期,对于需要检测的流量,我们首先可以将应用层防护模块采用Inline_Tap模式,这样的话,网络数据就会在通过防火墙检测后,直接进行转发,而紧紧是复制一遍到应用层保护模块,这个时候应用层保护模块相当于一个旁路的检测设备,仅仅对攻击进行报警,而不会对数据流有任何的影响。在这个时期,我们可以通过调整攻击特征码,自定制攻击特征等手段,来减少网络攻击的漏报率和误报率,提高攻击检测的准确性。
3.当攻击检测的准确率达到一定的程度的时候,我们可以将应用层防护模块改为采用Active模式,Active模式的情况下,数据包在经过防火墙检测后,会接着进行应用层的检测,如果存在攻击,则进行报警或阻挡,然后再进行数据报的转发。在这个时期,我们可以对于一些比较肯定和威胁很大的攻击,在规则中配置成阻断攻击。如果发现这种攻击,我们可以在线的进行阻挡,对于其他的攻击,可以暂时采用仅仅报警的方式,继续修改相关的攻击特征码,最大限度的提高攻击检测的准确性。
4.当攻击特征码优化到误报率很低的程度后,我们对大部分攻击都可以采用在线阻挡的模式,这样的话,就可以完全实现ISG2000应用层防护模块的全部功能,大大减少了网络管理员安全响应额时间和工作量。
4.4.4 安全管理解决方案
Juniper的ISG2000系统采用Juniper公司的统一安全管理平台NSM进行管理,NSM 不
第 21 页 共 26 页
ISG2000网络安全解决方案建议书
仅可以管理ISG2000系统上的防火墙模块、VPN模块和应用层保护模块,同时可以实现对多台ISG2000设备的集中管理,这样我们就实现了在一个统一的界面上实现了对多台安全设备,多种安全技术的统一管理,安全策略的统一配置,安全事件和日志信息的统一查询和分析。
NSM系统为一套单独的软件系统,其服务器端软件可以安装在单独的LINUX或者
SOLARIS主机上,客户端软件可以安装在WINDOW或者UNIX系统下。可以采用三层的架构对安全设备进行统一的管理。
5 方案中配置安全产品简介
5.1 Juniper公司介绍
Juniper网络公司致力于实现网络商务模式的转型。作为全球领先的联网和安全性解决方案供应商,Juniper网络公司对依赖网络获得关键基础设施的客户一直给予密切关注。
第 22 页 共 26 页
ISG2000网络安全解决方案建议书
公司的客户来自全球各行各业,包括主要的网络运营商、企业、政府机构以及研究和教育机构等。Juniper网络公司推出的一系列联网解决方案,提供所需的安全性和性能来支持全球最大型、最复杂、要求最严格的关键网络,其中包括全球顶尖的25家服务供应商和《财富》全球500强企业前15强中的8个企业。
Juniper网络公司成立的唯一宗旨是--预测并解决业内最高难度的联网和安全性问题。今天,Juniper网络公司通过以下努力,帮助全球客户转变他们的网络经济模式,从而建立强大的竞争优势: ? ? ? ? ? ?
保护网络安全,以抵御日益频繁复杂的攻击 利用网络应用和服务来取得市场竞争优势
为客户和业务合作伙伴提供安全的定制方式来接入远程资源
Juniper网络公司Juniper系列安全性解决方案可帮助企业经济高效地保护他们的远程站点、地区办事处、网络周边以及网络核心,而且不会对性能造成任何影响。Juniper一流的安全性功能能够以分层的方式部署于整个网络中,以提供所需的网络级和应用级防护。无论是为员工、合作伙伴和客户提供到非信任网络的安全接入,还是保护周边网络的安全、用IPSec虚拟专网(VPN)替代传统的WAN网络、将基于软件的传统防火墙整合到经优化的专用设备,或者是保护新的网络部署,如VoIP、无线LAN,外网或安全在线会议,Juniper解决方案都是企业和运营商网络的首选网络安全性解决方案。
Juniper解决方案在专用设备中集成了多层安全性技术,非常适用于保护关键资产的安全。它使用的主要技术包括:
? 防火墙:
Juniper状态型检测防火墙提供了强劲的网络接入控制和攻击限制特性,可以帮助客户有效地保护周边和核心网络基础设施。Juniper深度检测防火墙充分利用了状态型检测的优点并在防火墙中集成了入侵防护技术,可在网络周边提供应用级攻击防护。
? IPSec VPN:
Juniper VPN解决方案可以提供具备故障恢复功能的安全连接来代替帧中继或专线,在企业总部、远程办公室和固定远程工作者之间提供全面的网络接入。
第 23 页 共 26 页
ISG2000网络安全解决方案建议书
? 拒绝服务防护:
为了减小暴力攻击及其他基于网络的攻击的影响,客户可部署Juniper高性能产品来保护其Web基础设施的安全。
? 防病毒:
利用Trend Micro公司市场领先的网关防病毒技术,Juniper集成防病毒解决方案可以在分布式企业中提供更有效的应用层保护功能。
? 入侵防护:
Juniper入侵防护设备远远超越了传统的入侵检测产品,它可以准确地检测网络、应用和混合攻击,而且使客户能够阻止攻击,保护关键资源。
? SSL VPN:
Juniper的SA系列产品可以利用成熟的SSL安全协议,实现了有效的、安全的完成对局域网资源的访问,用户操作简单,无需单独客户端的安装。
? 安全会议:
Juniper会议设备可以实现安全的跨企业在线会议,同时保证符合企业的安全性策略和监管要求,并减少来自互联网的攻击风险。
Juniper网络公司提供一系列全面、灵活、业界领先的技术支持、专业服务以及培训课程,帮助客户从他们的网络和安全性投资中获取最大的收益。
Juniper网络公司的支持服务系列可提供大型网络所要求的后备支持,并可让客户选择各种服务选项来补充他们的内部专业技术。Juniper网络公司支持服务还结合了积极主动的服务特性,以增强客户网络的性能。
Juniper网络公司专业服务部可提供业界领先的专业技术和定制的咨询服务,帮助客
第 24 页 共 26 页
ISG2000网络安全解决方案建议书
户规划新型业务和技术,设计下一代网络解决方案并以最高的效率来实施项目。
Juniper网络公司培训服务可提供专家培训和技术认证项目,通过标准的技术课程、基于web的课程、定制的专题研讨会以及动手实验课,帮助客户提高他们的IP网络专业技术。
5.2 Juniper ISG2000 系列安全网关
Juniper推出业内第一款整合了多种最佳网络边界安全功能的整合式安全网关 Juniper-ISG 2000(Integrated Security Gateway), 可在有效防护来自网络层及应用层的威 胁的同时,为企业和运营商的网络提供最优化的性能并降低网络复杂性。
目前业内其他安全解决方案提供商的整合方式往往以牺牲网络性能为代价,并增加了网络复杂性。而Juniper的最新专属定制的系统采用模块化设计及独特的处理架构 – 包括基于Juniper的新型第四代ASIC芯片的整合了防火墙及VPN功能,不久的将来还可整合完善的入侵检测与防护(IDP)功能。Juniper-ISG 2000具备卓越的性能,以及灵活性和可扩展性,从而有效抵御今天和未来日益复杂的网络威胁。
Juniper-ISG 2000是企业、电信运营商和数据中心的网管人员的理想选择,可帮助他们有效应对不断增加且更为隐蔽的网络攻击,同时确保超卓的网络性能,平衡有限的网络资源和预算。
世界著名调研机构Infonetics Research的首席分析员 Jeff Wilson表示:“功能整合的安全设备已是大势所趋。然而,如果没有适当的设计和功能性的结合,就会造成网络性能或管理的障碍。Juniper处理这一问题时,对整合可能造成的缺陷非常清楚。而Juniper-ISG 2000是成功结合设备的管理能力、性能和不同安全功能的良好范例。”
独特的处理架构
Juniper-ISG 2000具备高达2 Gbps线速的防火墙速率及1 Gbps 3DES/AES IPSec VPN 速率;支持高达8兆的以太网连接或28 FE 以太网连接,甚至两种兼备。还可支持10,000个VPN 通道, 512,000个并发会话,每秒30,000个新会话。以上增强的性能是通过将几项灵活的处理功能相结合实现的:包括高性能双GHz CPU管理模块、现场可编程门阵列(FPGA)、
第 25 页 共 26 页
ISG2000网络安全解决方案建议书
以及新一代ASIC芯片GigaScreen3 ASIC。 GigaScreen3 ASIC是业内第一个具备千兆速率,硬件加速AES和3DES加密以及对任何大小的数据包进行千兆以上防火墙监测的可编程ASIC芯片。
与上一代相比,第四代ASIC芯片的性能提高了一倍,防火墙包处理速度(pps)高达每秒300万,加密数据包处理速度高达每秒150万,同时处理任何大小的数据包均保证传输流量的低延迟,这种特性对VoIP等新的应用来讲非常关键。另外,多重内嵌的处理器提升了拒绝服务式攻击(DoS)防护及加密碎片的功能,同时具备透过软件升级而未来进行新增功能的特性。
此外,Juniper-ISG 2000系统架构的独特设计可支持线速防火墙和VPN包处理功能,同时执行基于安全策略,将个别会话另行导向特定的安全模块,以进行进一步的安全处理,额外的安全处理所需的特定安全模块的会话重置。GigaScreen 3 ASIC可平衡处理多达三个安全模块的所有会话,而每一个模块都具备双GHz 中央处理器(CPU), 一个现场可编程门阵列(FPGAs)及内存,以运行入侵检测与防护(IDP)等额外的安全应用 。
除了设计独特的系统,Juniper-ISG 2000 的用户还可受益于Juniper的操作系统软件ScreenOS中的网络和安全功能, 其中包括深层监测防火墙技术, 基于动态路由的VPN及虚拟系统功能,还包括对BGP, RIPv2及OSPF路由协议的支持,从而可简化多种复杂环境下的设备部署。ISG2000系统中也可以集成IDP(入侵防护)模块,该模块采用了多种检测方法和强大的签名定制功能,可提供在线攻击防护功能,来防止恶意攻击、蠕虫、病毒和特洛伊等对内部网络敏感资源的窃取和破坏,可以有效地识别并阻止您网络中的攻击,从而最大限度地缩短处理入侵的时间并降低成本。同时,ISG2000系统还具备双主动(Active-Active)或主动-被动(Active-Passive)模式的高可用性选择,该功能可避免单点故障,将网络连通性及生产力最大化。
Juniper亚太区高级市场总监PaulSerrano说:“新推出的具高扩展性的Juniper-ISG2000平台代表了一个新的产品等级,此类产品可有效防范当今日趋复杂的网络层和应用层的攻击,并同时确保最佳的网络性能和最简单的管理操作。其独特的处理架构和模块化的设计可实现网络性能和安全功能的可扩展性,从而在今天和未来有效确保网络安全。”
第 26 页 共 26 页