【正文】 網(wǎng)絡(luò)安全解決方案 . 用戶現(xiàn)狀與需求分析 . 用戶現(xiàn)狀 TCL 公司現(xiàn)在的網(wǎng)絡(luò)使用 JUNIPER SSG550M 的防火墻，該防火墻使用已有幾年了使用一直很穩(wěn)定?，F(xiàn)由于業(yè)務(wù)的不斷的發(fā)展，公司的網(wǎng)絡(luò)規(guī)模也越來越大，其性能已經(jīng)不能滿足使用需求了，故需求更換性能更高的防火墻。 . 需求分析 從 TCL 有限公司的目前網(wǎng)絡(luò)狀況來看，需要規(guī)劃的網(wǎng)絡(luò)狀況如下： 網(wǎng)關(guān)處需要有防火墻設(shè)備，保護(hù)內(nèi)部電腦免受來自互聯(lián)網(wǎng)的各種威脅 網(wǎng)關(guān)處部署防火墻設(shè)備容易引起單點(diǎn)故障，所我們建議使用兩臺同型防火墻作雙機(jī)熱備。 由于大部分應(yīng)用來自內(nèi) 網(wǎng)，因此內(nèi)網(wǎng)到服務(wù)器之間應(yīng)該由防火墻建立專有的區(qū)域保護(hù)服務(wù)器避免受到來自內(nèi)網(wǎng)的攻擊。 從上面的分析結(jié)果可以看出，需要解決上述問題 ,是此次方案的設(shè)計(jì)目標(biāo) ,本方案的設(shè)計(jì)目標(biāo)如下： ? 網(wǎng)關(guān)處架設(shè)兩臺專業(yè)的防火墻做 HA，使用防火墻連接到互聯(lián)網(wǎng)，使本地網(wǎng)絡(luò)免受一些來自互聯(lián)網(wǎng)的攻擊、威脅。 ? 對內(nèi)網(wǎng)用戶訪問外部的應(yīng)用作限制．同時(shí)防火墻應(yīng)具 備極強(qiáng)的防止四層以上攻擊的入侵檢測功能，以保證內(nèi)外網(wǎng)的安全隔離。 ? 使用防火墻 IPS 功能模塊 .對內(nèi)網(wǎng)、外網(wǎng)的出入數(shù)據(jù)作檢測，預(yù)防網(wǎng)絡(luò)攻擊行為。 . 防火墻網(wǎng)絡(luò)安全方案設(shè)計(jì) 針對以上需求分析及實(shí) 現(xiàn)的設(shè)計(jì)目標(biāo)，我們設(shè)計(jì)了以下的方案來完成網(wǎng)絡(luò)連接。此方案既能解決當(dāng)前面臨的互聯(lián)網(wǎng)安全問題，也能滿足當(dāng)前以及未來的應(yīng)用需要。 . 方案拓樸 . 拓樸描述 在網(wǎng)關(guān)處部署兩臺 JUNIPER ISG 1000 防火墻作 HA。 防火墻下面分別針對每個(gè)部門建立一個(gè)處立的區(qū)域。 每個(gè)區(qū)域之間通過策略來控制通信。 . 方案實(shí)施 由于現(xiàn)在公司的現(xiàn)狀我們本次項(xiàng)目的實(shí)施暫時(shí)部署一臺防火墻，到第二期時(shí)再部署另一臺防火墻，與本期的防火墻作 HA。 . Juniper ISG1000 產(chǎn)品介紹 . 產(chǎn)品概述 Juniper推出業(yè)內(nèi)第一款整合了多種最佳網(wǎng)絡(luò) 邊界 安全功能的整合式安全網(wǎng)關(guān) JuniperISG 1000（ Integrated Security Gateway） , 可在有效防護(hù)來自網(wǎng)絡(luò)層及應(yīng)用層的威 脅的同時(shí)，為企業(yè)和運(yùn)營商的網(wǎng)絡(luò)提供最優(yōu)化的性能并降低網(wǎng)絡(luò)復(fù)雜性。 目前業(yè)內(nèi)其他安全解決方案提供商的整合方式往往以犧牲網(wǎng)絡(luò)性能為代價(jià)，并增加了網(wǎng)絡(luò)復(fù)雜性。而 Juniper 的最新專屬定制的系統(tǒng)采用模塊化設(shè)計(jì)及獨(dú)特的處理架構(gòu) – 包括基于 Juniper 的新型第四代 ASIC 芯片的整合了防火墻及 VPN 功能，不久的將來 還可整合完善的入侵檢測與防護(hù) (IDP)功能。JuniperISG 1000 具備卓越的性能，以及靈活性和可擴(kuò)展性，從而有效抵御今天和未來日益復(fù)雜的網(wǎng)絡(luò)威脅。 JuniperISG 1000 是企業(yè)、電信運(yùn)營商和數(shù)據(jù)中心的網(wǎng)管人員的理想選擇，可幫助他們有效應(yīng)對不斷增加且更為隱蔽的網(wǎng)絡(luò)攻擊，同時(shí)確保超卓的網(wǎng)絡(luò)性能，平衡有限的網(wǎng)絡(luò)資源和預(yù)算。 世界著名調(diào)研機(jī)構(gòu) Infoics Research 的首席分析員 Jeff Wilson 表示：“ 功能整合的安全設(shè)備已是大勢所趨。然而，如果沒有適當(dāng)?shù)脑O(shè)計(jì)和功能性 的結(jié)合，就會造成網(wǎng)絡(luò)性能或管理的障礙。 Juniper 處理這一問題時(shí)，對整合可能造成的缺陷非常清楚。而 JuniperISG 1000 是成功結(jié)合設(shè)備的管理能力、性能和不同安全功能的良好范例。 ” 獨(dú)特的處理架構(gòu) JuniperISG 1000 具備高達(dá) 1Gbps 線速的防火墻速率及 1 Gbps 3DES/AES IPSec VPN 速率；支持高達(dá) 8 個(gè)千 兆的以太網(wǎng)連接或 28 個(gè) FE 以太網(wǎng)連接，甚至兩種兼?zhèn)洹＿€可支持 10,000 個(gè) VPN 通道， 250,000 個(gè)并發(fā)會話， 每秒 20,000個(gè)新會話。以上增強(qiáng)的性能 是通過將幾項(xiàng)靈活的處理功能相結(jié)合實(shí)現(xiàn)的：包括高性能雙 GHz CPU 管理模塊、現(xiàn)場可編程門陣列（ FPGA）、以及新一代 ASIC 芯片GigaScreen3 ASIC。 GigaScreen3 ASIC 是業(yè)內(nèi)第一個(gè)具備千兆速率，硬件加速AES 和 3DES 加密以及對任何大小的數(shù)據(jù)包進(jìn)行千兆以上防火墻監(jiān)測的可編程ASIC 芯片。 與上一代相比，第四代 ASIC 芯片的性能提高了一倍，防火墻包處理速度(pps)高達(dá)每秒 300 萬，加密數(shù)據(jù)包處理速度高達(dá)每秒 150 萬，同時(shí)處理任何大小的數(shù)據(jù)包均保證傳輸流量的低延遲，這種特性對 VoIP 等新的應(yīng)用來講非常關(guān)鍵。另外，多重內(nèi)嵌的處理器提升了拒絕服務(wù)式攻擊（ DoS）防護(hù)及加密碎片的功能，同時(shí)具備透過軟件升級而未來進(jìn)行新增功能的特性。 此外， JuniperISG 1000 系統(tǒng)架構(gòu)的獨(dú)特設(shè)計(jì)可支持線速防火墻和 VPN 包處理功能，同時(shí)執(zhí)行基于安全策略，將個(gè)別會話另行導(dǎo)向特定的安全模塊，以進(jìn)行進(jìn)一步的安全處理，額外的安全處理所需的特定安全模塊的會話重置。GigaScreen 3 ASIC 可平衡處理多達(dá)三個(gè)安全模塊的所有會話，而每一個(gè)模塊都具備雙 GHz 中央處理器（ CPU） , 一個(gè)現(xiàn)場可編程 門陣列（ FPGAs）及內(nèi)存，以運(yùn)行入侵檢測與防護(hù)（ IDP）等額外的安全應(yīng)用 。除了設(shè)計(jì)獨(dú)特的系統(tǒng)，JuniperISG 1000 的用戶還可受益于 Juniper 的操作系統(tǒng)軟件 ScreenOS 中的網(wǎng)絡(luò)和安全功能 , 其中包括深層監(jiān)測防火墻技術(shù) , 基于動(dòng)態(tài)路由的 VPN 及虛擬系統(tǒng)功能，還包括對 BGP, RIPv2 及 OSPF 路由協(xié)議的支持，從而可簡化多種復(fù)雜環(huán)境下的設(shè)備部署。 ISG1000 系統(tǒng)中也可以集成 IDP（入侵防護(hù)）模塊，該模塊采用了多種檢測方法和強(qiáng)大的簽名定制功能，可提供在線攻擊防護(hù)功能，來防止惡意攻擊、蠕 蟲、病毒和特洛伊等對內(nèi)部網(wǎng)絡(luò)敏感資源的竊取和破壞，可以有效地識別并阻止您網(wǎng)絡(luò)中的攻擊，從而最大限度地縮短處理入侵的時(shí)間并降低成本。同時(shí)， ISG1000系統(tǒng) 還具備雙主動(dòng) (ActiveActive)或主動(dòng) 被動(dòng) (ActivePassive)模式的高可用性選擇，該功能可避免單點(diǎn)故障，將網(wǎng)絡(luò)連通性及生產(chǎn)力最大化。 Juniper 亞太區(qū)高級市場總監(jiān) PaulSerrano 說： “ 新推出的具高擴(kuò)展性的JuniperISG1000 平臺代表了一個(gè)新的產(chǎn)品等級，此類產(chǎn)品可有效防范當(dāng)今日趨復(fù)雜的網(wǎng)絡(luò)層和應(yīng)用層的攻擊，并 同時(shí)確保最佳的網(wǎng)絡(luò)性能和最簡單的管理操作。其獨(dú)特的處理架構(gòu)和模塊化的設(shè)計(jì)可實(shí)現(xiàn)網(wǎng)絡(luò)性能和安全功能的可擴(kuò)展性，從而在今天和未來有效確保網(wǎng)絡(luò)安全。 ” . 產(chǎn)品 特性和優(yōu)勢 特性 特性 描述 優(yōu)勢 專用平臺 專用的、安全性特定的處理硬件和軟件平臺 。 提供所需的性能來保護(hù)高速局域網(wǎng)環(huán)境 。 可預(yù)測的性能 基于 ASIC 的架構(gòu)以數(shù)千兆位的速度為各種規(guī)格的數(shù)據(jù)包提供線性性能 。 確保 VoIP 和流媒體等敏感應(yīng)用的低延遲 。 系統(tǒng)和網(wǎng)絡(luò)永續(xù)性 硬件組件冗余，多個(gè)高可用性選項(xiàng)和基于路由的 VPN 。 提供高速網(wǎng) 絡(luò)部署所需的可靠性 最佳的網(wǎng)絡(luò)安全特性 內(nèi)嵌的 Web 過濾、防垃圾郵件、IPS、 ICAP 防病毒重定向和可選的集成 IDP。 賽門鐵克 (Symantec) 和SurfControl 等世界知名的安全合作伙伴提供更多的安全特性 。 接口靈活性 模塊化架構(gòu)允許通過廣泛的銅線和光纖接口選項(xiàng)部署系統(tǒng) 。 簡化網(wǎng)絡(luò)集成工作并降低將來的網(wǎng)絡(luò)升級成本 。 網(wǎng)絡(luò)分區(qū) 安全區(qū)、虛擬局域網(wǎng)和虛擬路由器支持 管理員部署安全策略，以便隔離訪客、地區(qū)服務(wù)器或數(shù)據(jù)庫 。 強(qiáng)大的功能可促進(jìn)為網(wǎng)絡(luò)中不同的內(nèi)外部和 DMZ 子組 部署安全性，以 防非法訪問 。 集中管理 通過 NSM 集中管理瞻博網(wǎng)絡(luò)公司防火墻和 IDP 產(chǎn)品 。 跨越多個(gè)平臺實(shí)現(xiàn)緊密集成，以實(shí)現(xiàn)簡單直觀的網(wǎng)絡(luò)級安全管理 。 強(qiáng)韌的路由引擎 公認(rèn)的路由引擎支持 OSPF、 BGP和 RIP v1/2 以及幀中繼、多鏈路幀中繼、 PPP、多鏈路 PPP 和 HDLC 。 允許部署整合后的安全和路由設(shè)備，從而降低運(yùn)行和購置成本 。 全面的威脅防護(hù) 專用處理模塊允許通過單一解決方案提供最佳的數(shù)千兆防火墻/VPN/IDP 性能。 無與倫比的性能，保護(hù)網(wǎng)絡(luò)免遭高速網(wǎng)絡(luò)中所有類型的攻擊 。 世界一流的專業(yè)服務(wù) 從 單一 實(shí)驗(yàn)室測試到 大型 網(wǎng)絡(luò)實(shí)施，瞻博網(wǎng)絡(luò)公司 的 專業(yè)服務(wù)都將竭誠和您的團(tuán)隊(duì)合作 , 來 確定目標(biāo)、定義部署流程、創(chuàng)建或驗(yàn)證網(wǎng)轉(zhuǎn)變網(wǎng)絡(luò)基礎(chǔ)設(shè)施，確保基礎(chǔ)設(shè)施的安全性、靈活性、可擴(kuò)展性和可靠性。 絡(luò)設(shè)計(jì)并管理部署 項(xiàng)目 。 . 產(chǎn)品技 規(guī)格 本規(guī)格對應(yīng)的 ScreenOS 版本 ScreenOS 防火墻性能（大數(shù)據(jù)包） 2Gbps 防火墻性能（小數(shù)據(jù)包） 1 Gbps 防火墻數(shù)據(jù)包轉(zhuǎn)發(fā)性能 /pps（ 64 字節(jié)數(shù)據(jù)包） M PPS AES256+SHA1 VPN 性能 1 Gbps 3DES+SHA1 VPN 性能 1 Gbps 最多并發(fā)會話數(shù) (3) 250,000 每秒新建會話數(shù) （有背景流壓力） (7) 20,000 最多安全策略數(shù) 30,000 最多支持的用戶數(shù) 不限 固定 I/O 0 接口擴(kuò)展插槽 4 局域網(wǎng)接口選項(xiàng) 8 個(gè) miniGBIC (SX, LX 或 TX)，最多 4 個(gè) 10/100/1000 接口，最多 28個(gè) 10/100 接口 , 最多 4 個(gè) 10GE 網(wǎng)絡(luò)攻擊檢測 是 拒絕服務(wù) (DoS)和分布式拒絕服務(wù) (DDoS)防護(hù) 是 用于分段數(shù)據(jù)包保護(hù)的 TCP 重組 是 強(qiáng)行 攻擊緩解 是 SYN cookie 防護(hù) 是 基于區(qū)域的 IP 欺騙 防護(hù) 是 異常 數(shù)據(jù)包 保護(hù) 是 狀態(tài)協(xié)議簽名 是 攻擊檢測機(jī)制 狀態(tài)簽名、流量異常檢測、協(xié)議異 常檢測（零 日 防護(hù)），后門檢測 攻擊響應(yīng)機(jī)制 丟棄連接、結(jié)束連接、會話數(shù)據(jù)包日志、會話總結(jié)、電子郵件、 定制 攻擊通知機(jī)制 會話數(shù)據(jù)包日志、會話總結(jié)、 電子郵件、 SNMP、系統(tǒng)日志、 Webtrends 蠕蟲防護(hù) 是 通過建議的策略實(shí)現(xiàn)簡單的安裝 是 特洛伊木馬防護(hù) 是 間諜軟件 /廣告軟件 /鍵盤記錄軟件防護(hù) 是 其他惡意軟件防護(hù) 是 防止攻擊從受感染系統(tǒng)擴(kuò)散 是 偵察防護(hù) 是 請求和響應(yīng)端攻擊防護(hù) 是 復(fù)合攻擊 ——將狀態(tài)特征和協(xié)議異常相結(jié)合 是 創(chuàng)建定制攻擊特征 是 定制訪問上下文 500+ 攻擊編輯（端口范圍等） 是 流簽名 是 協(xié)議門限值 是 狀態(tài)協(xié)議簽名 是 所能防護(hù)的攻擊的大概數(shù)量 5,500+* 詳細(xì)的威脅描述和補(bǔ)救措施 /補(bǔ)丁信息 是 企業(yè)安全事件探查器 是 創(chuàng)建并執(zhí)行適當(dāng)?shù)膽?yīng)用使用策略 是 攻擊者與攻擊目標(biāo)審計(jì)跟蹤和報(bào)告 是 部署模式 串聯(lián) 或串聯(lián) TAP 更新頻率 每日更新和緊急更新 深層檢測簽名包 (4) 是 IPS(深層檢測防火墻 )(4) 是 協(xié)議異常檢測 是 狀態(tài)協(xié)議簽名 是 IPS/深層檢測攻擊模式迷惑 是 ICAP 防病毒重定向 是 防垃圾郵件 是 集成 URL 過濾 是 外部 URL 過濾 (6) 是 ALG 是 SIP ALG 是 MGCP ALG 是 SCCP ALG 是 面向 VoIP 協(xié)議的網(wǎng)絡(luò)地址轉(zhuǎn)換 是 GTP 隧道 (7) 300,000 GTP 數(shù)據(jù)包檢測 (IPS 或 IDP) 是 并發(fā) VPN 隧道 數(shù) (8) 10,000 隧道接口 (8) 最多 1,024 個(gè) DES(56 位 ), 3DES (168 位 )和 AES (256 位 ) 是 MD5 和 SHA1 驗(yàn)證 是 手動(dòng)密鑰 , IKE, PKI ()， IKEv2/EAP 是 完美轉(zhuǎn)發(fā)密鑰 (DH 組 ) 1,2,5 防 重放 攻擊 是 遠(yuǎn)程 接入 VPN 是 IPSec 中的 L2TP 是 IPSec NAT 穿越 是 冗余的 VPN 網(wǎng)關(guān) 是 內(nèi)置的 (內(nèi)部 )數(shù)據(jù)庫 用戶數(shù)量限 制 (8) 50,000 第三方用戶驗(yàn)證 RADIUS, RSA SecureID, LDAP RADIUS 記賬 是 – 開始 /結(jié)束 XAUTH VPN 驗(yàn)證 是 基于 Web 的驗(yàn)證 是 驗(yàn)證 是 統(tǒng)一接入控制執(zhí)行點(diǎn) 是 PKI 證書請求（ PKCS 7 和 PICS 10） 是 自動(dòng)證書登記（ SCEP） 是 在線證書狀態(tài)協(xié)議（ OCSP） 是 支持的證書頒發(fā)機(jī)構(gòu) VeriSign, Entrust, Microsoft, RSA Keon, iPla (N