【正文】 行防護(hù)。 防病毒 防病毒 也 是一項(xiàng) 內(nèi)容保護(hù) 不可缺少的部分。深層檢測（ DI）是對應(yīng)用層 控制 字段 信息進(jìn)行攻擊特征匹配 （一般是蠕蟲病毒或緩沖區(qū)溢出等攻擊），而 防病毒是針對文件里的 攜帶的攻擊（包括間諜軟件、廣告軟件、網(wǎng)絡(luò)釣魚軟件和鍵盤側(cè)錄軟件） 進(jìn)行匹配的技術(shù)，而文件的傳遞一般依靠 web、 FTP 的下載和上傳，以及 附件等 。通過 和業(yè)界領(lǐng)先的防病毒廠家的卡巴斯基（ Kaspersky） 公司合作， Juniper 在 HSC、 NetScreen5GT和 SSG 系列（包括 SSG550、 SSG520 等） 的 防火墻 提供防病毒的一體化解決方案，即卡巴斯基（ Kaspersky）病毒掃描引擎完全集成在防火墻的操作系統(tǒng)里，并 且通過操作系統(tǒng)的升級而升級。 對于不同的用戶， Juniper 可以提供 3 種不同的掃描級別，包括： A） 標(biāo)準(zhǔn)級別（ Standard）：缺省和推薦采用的級別，可以提供最全面和誤報(bào)率最低的掃描； B） 常見病毒級別（ In the wild）：只對常見病毒進(jìn)行掃描從而性能更佳； C） 擴(kuò)展級別（ Extended）：對更多的廣告軟件進(jìn)行掃描，誤報(bào)率相對較高。 而對 其他 高端產(chǎn)品，則用重定向到防病毒網(wǎng)關(guān)服務(wù)器上 的方式實(shí)現(xiàn)網(wǎng)關(guān)防毒 。 垃圾郵件過濾 垃圾郵件過濾功能也是內(nèi)容安全的一個(gè)重要的組成部分。 Juniper 的垃圾郵件過濾功能 主要集成在 Juniper 的中低端防火墻（包括 HSC、 NetScreen5GT、 NS2 NS50、以及 SSG 系列）里。通過不斷更新的 IP 地址和垃圾郵件發(fā)送者列表，有效地高精確性地屏蔽垃圾郵件發(fā)送者和網(wǎng)絡(luò)釣魚者。當(dāng)然用戶也可以自己定義垃圾郵件的白名單和黑名單，手工地對垃圾郵件進(jìn)行屏蔽。 網(wǎng)絡(luò)安全工程技術(shù)方案建議書 第 7 頁 共 36 頁 網(wǎng)頁過濾 對于放在網(wǎng)絡(luò)邊界為用戶提供 Inter 訪問的邊界防火墻而言，還必須對企業(yè)員工對Inter 訪問的網(wǎng)站進(jìn)行控制。包括 Surfcontrol 和 Websense 都實(shí)時(shí)對 Inter 上的站點(diǎn)進(jìn)行分類 ，如：新聞類、盜版軟件類、軍事類、財(cái)經(jīng)等等。通過允許用戶能和不能訪問某一類型的網(wǎng)站，可以提高企業(yè)員工的工作效率，并避免諸如員工到非法惡意軟件站點(diǎn)下載等情況而導(dǎo)致的法律糾紛。 Juniper 的網(wǎng)頁過濾功能（采用 Surfcontrl 技術(shù)）主要集成在 Juniper 的中低端防火墻（包括 HSC、 NetScreen5GT、 NS2 NS50、以及SSG 系列）里，而對中高端的防火墻而言，可以采用用防火墻重定向到 Surfcontrol 或Websense 服務(wù)器的方式。 虛擬專 網(wǎng) (VPN)功能 Juniper 防火墻 中整 合了一個(gè)全功能 VPN 解決方案，它們支持站點(diǎn)到站點(diǎn) VPN 及遠(yuǎn)程接入 VPN 應(yīng)用。 ? 通 過 VPNC 測試，與其他通過 IPSec 認(rèn)證的廠商設(shè)備兼容。 ? 三倍 DES、 DES 和 AES 加密使用數(shù)字證書 (PKI )，自動的或手動的 IKE。 ? SHA1 和 MD5 認(rèn)證。 ? 同時(shí)支持網(wǎng)狀式 (mesh)及集中星型 (hub and spoke)的 VPN 網(wǎng)絡(luò)，可按 VPN 部署的需求，配置用其一或整合兩種網(wǎng)絡(luò)拓?fù)洹? ? Juniper 的防火墻很好地支持 VPN 的冗余，可以實(shí)施基于策略的 VPN 和基于路由的 VPN。 流量管理 功能 流量管理允 許網(wǎng)絡(luò)管理員實(shí)時(shí)監(jiān)視、分析和分配各類網(wǎng)絡(luò)流量使用的帶寬，有助確保在用戶上網(wǎng)瀏覽時(shí)或在執(zhí)行其他非關(guān)鍵性應(yīng)用時(shí)而不會影響關(guān)鍵性業(yè)務(wù)的流量。 ? 根據(jù) IP 地址、用戶、應(yīng)用或時(shí)間段來進(jìn)行管理 ? 可以對進(jìn)出兩個(gè)方向的流量都進(jìn)行流量管理 ? 設(shè) 定保障帶寬和最大帶寬 ? 以八種優(yōu)先等級，為流量分配優(yōu)先權(quán) 網(wǎng)絡(luò)安全工程技術(shù)方案建議書 第 8 頁 共 36 頁 ? 支 持 符合行業(yè)標(biāo)準(zhǔn)的 diffserv 數(shù)據(jù)包標(biāo)記 強(qiáng)大的 ASIC的硬件保障 Juniper 防火墻 的安全機(jī)制 廣泛 采用 了 ASIC 芯片技術(shù) ，在 ASIC 硬件中處理防火墻訪問策略和加密算法，這方面運(yùn)算的速度是軟件類方案不能相比的；同時(shí)它 還可以省出中央處理器資源用于管理數(shù)據(jù)流。這種安全加密的 ASIC 更可與 Juniper 的ScreenOS 操作系統(tǒng)和系統(tǒng)軟件緊密地集成起來，與其他基于通用的商用操作系統(tǒng)的安全產(chǎn)品相比， Juniper 產(chǎn)品消除了不必要的軟件層和安全漏洞。 Juniper 將安全功能提升到系統(tǒng)層次，更可以節(jié)省建立額外平臺帶來的開支。目前，其他采用 PC 或工作站作為平臺的軟件類方案，往往令系統(tǒng)性能大打折扣。 ASIC 芯片對 防火墻的性能和穩(wěn)定性有極大的提高， 主要體現(xiàn)在 ： ASIC 芯片可以對會話建立后的流量進(jìn)行不經(jīng)過 CPU 處理的直接轉(zhuǎn)發(fā)； ASIC 芯片可以對 IPsec VPN 進(jìn)行加解密處理。 可以對一系列的網(wǎng)絡(luò)層的 DDoS 攻擊 （包括生成對 TCP Syn 泛洪攻擊的cookie） 進(jìn)行防護(hù)，直接在 ASIC 芯片上對數(shù)據(jù)包進(jìn)行丟棄 ，避免了對系統(tǒng)的影響 。 IP 包的碎片重組和流量統(tǒng)計(jì)也 依靠 ASIC 芯片實(shí)現(xiàn)。 正是由于采用了高性能的專用 ASIC 芯片，所以 Juniper 的安全產(chǎn)品的性能不僅僅在實(shí)驗(yàn)室網(wǎng)絡(luò)環(huán)境下都能夠發(fā)揮出高水平，在實(shí)際的生產(chǎn)網(wǎng)絡(luò)環(huán)境中同樣可以保持高性能。 設(shè)備的可靠性和安全性 Juniper 將所有功能集成于單一硬件產(chǎn)品中，它不僅易于安裝 和管理，而且能夠提供更高可靠性和安全性。由于 Juniper 設(shè)備沒有其它品牌對硬盤驅(qū)動器和移動部件所存在的穩(wěn)定型問題，所以它是對在線時(shí)間要求極高的用戶的最佳方案。采用 Juniper 設(shè)備 的 WebUI管理方式 ， 可以直接登陸 Web 界面里 對防火墻、 VPN 和流量管理功能進(jìn)行配置和管理，減輕了配置另外的硬件和操作系統(tǒng)。這個(gè)做法縮短了安裝的時(shí)間，并在防范安全漏洞的工作上，減少設(shè)定的步驟。 網(wǎng)絡(luò)安全工程技術(shù)方案建議書 第 9 頁 共 36 頁 完備簡易的管理 Juniper 的安全設(shè)備包括強(qiáng)健的管理支持，允許網(wǎng)絡(luò)管理員安全地管理設(shè)備。由于 VPN 功能是內(nèi)置的，因此可以對 所有管理加密，從而實(shí)現(xiàn)真正的安全遠(yuǎn)程管理。 ? 采用 NetScreen Security Manager，以 C/S 形式實(shí)現(xiàn)中央站點(diǎn)管理。 ? 通過內(nèi)置 WebUI實(shí)現(xiàn)瀏覽操作式的管理。 ? 帶內(nèi)，可透過 SSH 和 Tel 進(jìn)入命令行界面 (CLI)； 帶外，則可透過控制臺 /調(diào)制解調(diào)器端口 /帶外管理口進(jìn)行管理 。 ? 電子郵件告警、 SNMP traps 和告警。 ? 系統(tǒng)日志 (Syslog)、簡單網(wǎng)絡(luò)管理協(xié)議 (SNMP)、 WebTrends 和 MicroMuse NetCool 界面可與第三方報(bào)表系統(tǒng)互兼容。 防火墻上 將 syslog 發(fā)到 到多臺 普通的 syslog 服務(wù)器上，如果要進(jìn)行 syslog 匯總分析報(bào)表，則可以和 WebTrend 服務(wù)器配合使用，也可以通過多家 syslog 的報(bào)表分析軟件（包括中文界面的軟件）對 syslog 進(jìn)行日志報(bào)表。 除了 Syslog 服務(wù)器， Juniper 防火墻還可以將 syslog 發(fā)到 Juniper 的 NSM 集中管理服務(wù)器上，然后 NSM 服務(wù)器按照策略將不同的日志發(fā)給不同的 syslog 服務(wù)器。如果在NSM 服務(wù)器的基礎(chǔ)上安裝了 SRS 的日志報(bào)表服務(wù)器后，用戶也可以用 SRS 來生成歷史報(bào)表。 防火墻上本身提供一定數(shù)量的本地認(rèn)證用戶數(shù)據(jù)庫，也 可和 Radius 服務(wù)器、 LDAP服務(wù)器等配合使用提供外部用戶身份認(rèn)證。 第二章 項(xiàng)目概述 第 三 章 總體方案建議 計(jì)算機(jī)網(wǎng)絡(luò) 安全建設(shè)方案是參照國際通行的 PDRR（ Protection－防護(hù)、 Detection－檢測、 Respone－響應(yīng)和 Recovery－恢復(fù)）安全模型進(jìn)行設(shè)計(jì)的。 與防火墻 A 和 B網(wǎng)絡(luò)安全工程技術(shù)方案建議書 第 10 頁 共 36 頁 直接相關(guān)的網(wǎng)絡(luò)部分如下 圖所示： 注：◎ 2 臺防火墻間可增加 HA（高可用性）連接。 防火墻 A和防火墻 B的雙機(jī)熱備、均衡負(fù)載實(shí)現(xiàn)方案 Juniper 的中高端 防火墻對 雙機(jī)熱備、負(fù)載 分擔(dān) 的實(shí)現(xiàn)有很好的支持， 實(shí) 施的方式是通過 Juniper 的冗余協(xié)議 NSRP，類似于 VRRP（ HSRP） 但 在其基礎(chǔ)上有很大的改進(jìn) ，現(xiàn)詳細(xì)介紹如下： Juniper 為了實(shí)現(xiàn)更安全、更有效的防火墻冗余體系，開發(fā)了專有的防火墻 HA 工作的協(xié)議 NSRP， NSRP 協(xié)議借鑒了 VRRP 協(xié)議，而且彌補(bǔ)了 VRRP 協(xié)議的不足，是針對安全設(shè)備的 HA 協(xié)議。 NSRP 實(shí)現(xiàn)了： ① 在 HA 組成員之間鏡像配置，在發(fā)生故障切換時(shí)確保正確的行為。 ② 可以在 HA 組中維護(hù)所有活動會話和 VPN 隧道。 ③ 故障切換算法根據(jù)系統(tǒng)健康狀態(tài)確定哪個(gè)系統(tǒng)是主系統(tǒng)，把狀態(tài)與相鄰系統(tǒng)連接起來或監(jiān)控從本系統(tǒng)到遠(yuǎn)端的路徑。 ④ 無論活動會話和 VPN 隧道的數(shù)量有多少，故障檢測和切換到備用系統(tǒng)可以在低于一秒時(shí)間內(nèi)完成。 網(wǎng)絡(luò)安全工程技術(shù)方案建議書 第 11 頁 共 36 頁 ⑤ 整個(gè)系統(tǒng)的防火墻處理能力提高一倍。 ⑥ Juniper 的中高端 防火墻 更支持全網(wǎng)狀的 Active/Active HA，避免低級的網(wǎng)絡(luò)故障導(dǎo)致 Juniper 防火墻的不可用。 Juniper 設(shè)備處于“路由”或 NAT 模式時(shí)，可以將冗余集群中的兩臺設(shè)備都配置為主動，通過具有負(fù)載均衡能力的路由器，運(yùn)行諸如“虛擬路由器冗余協(xié)議 (VRRP)”等協(xié)議，共享它們之間分配的流量。通過使用“ NetScreen 冗余協(xié)議 (NSRP)”創(chuàng)建兩個(gè)虛擬安全設(shè)備 (VSD) 組，每個(gè)組都具有自己的虛擬安全接口 (VSI)，即可實(shí)現(xiàn)此目的。設(shè)備 A 充當(dāng) VSD 組 1 的主設(shè)備，并充當(dāng) VSD 組 2 的備份設(shè)備。設(shè)備 B 充當(dāng) VSD 組 2 的主設(shè)備，并充當(dāng) VSD 組 1 的備份設(shè)備。此配置稱為雙主動（請參閱下圖）。由于設(shè)備冗余，因此 不存在單一故障點(diǎn)。 負(fù)載分擔(dān)的方式是通過同一 VLAN 內(nèi)一部分設(shè)備的網(wǎng)關(guān)指向一臺防火墻的端口 ip 地址，另一部分設(shè)備的網(wǎng)網(wǎng)關(guān)指向另一臺防火墻的端口 ip 地址。故障切換后，該 VLAN 的所有設(shè)備都指向同一防火墻的物理端口（邏輯上 具備 兩個(gè)同網(wǎng)段的 IP 地址，作為不同設(shè)備的 缺省 網(wǎng)關(guān) IP 地址 ） 。 設(shè)備 A 和設(shè)備 B 各接收 50% 的網(wǎng)絡(luò)和 VPN 流量。設(shè)備 A 出現(xiàn)故障時(shí)，設(shè)備 B 變成 VSD 組 1 的主設(shè)備，同時(shí)繼續(xù)作為 VSD 組 2 的主設(shè)備，并處理 100% 的流量。在雙主動配置中，故障切換產(chǎn)生的流量轉(zhuǎn)移 結(jié)果如下圖所示。 網(wǎng)絡(luò)安全工程技術(shù)方案建議書 第 12 頁 共 36 頁 盡管處于雙主動配置的兩臺設(shè)備分開的會話總數(shù)不能超過單個(gè)防火墻設(shè)備的容量，但添加的第二臺設(shè)備使可用的潛在帶寬加倍。第二臺主動設(shè)備也保證兩臺設(shè)備都具有網(wǎng)絡(luò)連接功能。 即雙主動的配置方法的最大連接數(shù)保持為 原單機(jī)時(shí)的數(shù)量 ，該數(shù)量對一個(gè)大型網(wǎng)絡(luò)也已足夠了，但是 數(shù)據(jù) 吞吐量則增大 一倍 。 除 NSRP 集群（主要負(fù)責(zé)在組成員間傳播配置并通告每個(gè)成員的當(dāng)前 VSD 組狀態(tài)）外，還可以將設(shè)備 A 和設(shè)備 B 配置為 RTO 鏡像組中的成員，該鏡像組負(fù)責(zé)維持一對設(shè)備之間執(zhí)行對象 (RTO)3 的同步性。主設(shè)備 讓位時(shí)，通過維持所有當(dāng)前會話，備份設(shè)備可立即用最短的服務(wù)停頓時(shí)間承擔(dān)主地位。 除冗余設(shè)備外，還可以在防火墻設(shè)備上配置冗余物理接口。如果一級端口失去網(wǎng)絡(luò)連接，則二級端口承擔(dān)連接的任務(wù)。 在防火墻設(shè)備中，也存在冗余物理 HA 接口，它不僅處理不同種類的 HA 通信，而且彼此充當(dāng)備份。缺省情況下， HA1 處理控制消息， HA2 處理數(shù)據(jù)消息。如果失去任一 HA 鏈接，則另一鏈接可承擔(dān)起兩種消息類型。在沒有專用 HA 接口的 Juniper 設(shè)備上，必須將一個(gè)或兩個(gè)物理以太網(wǎng)接口綁定到 HA 區(qū)段上。 由于 NSRP 通信的機(jī)密特性，可以通過加密和認(rèn)證保障所有 NSRP 流量的安全。對于加密和認(rèn)證， NSRP 分別支持 DES 和 MD5 算法。 通常，在 Juniper 的冗余 協(xié)議 NSRP 的支持下，防火墻的冗余連接有以下幾種形式： ? ActiveStandby： 有冗余，無法同時(shí)工作 ? ActiveActive： 有冗余，雙機(jī)同時(shí)工作，僅能容忍 1 個(gè)故障點(diǎn) ? ActiveActive(全網(wǎng)狀， Full Mesh)： 有冗余，雙機(jī)同時(shí)工作，最多容忍 3 個(gè)故障點(diǎn)，網(wǎng)絡(luò)結(jié)構(gòu)較復(fù)雜 ，可以檢測切換非相鄰設(shè)備的故障 。 網(wǎng)絡(luò)安全工程技術(shù)方案建議書 第 13 頁 共 36 頁 Juniper 的 中高端 防火墻設(shè)備通過 一個(gè)或 兩個(gè)高可靠性端口 HA1 和 HA2 來實(shí)現(xiàn)NSRP。在實(shí)際配置時(shí)，可將第一個(gè)端口 HA1 配置為傳遞控制信息的連接，實(shí)現(xiàn)兩臺防火墻的配置同步、心跳檢測、故障檢測