【正文】 AP, POP, FTP 和 DNS 等）的應(yīng)用層保護(hù)。安全模塊其實(shí)是刀片式 IDP，上有2 個(gè) 1Ghz 的 PowerPC 的 CPU，以及 2GB 的內(nèi)存，讓防火墻具備基于單獨(dú)專用硬件的對(duì)應(yīng)用層流量進(jìn)行入侵檢測(cè)和防護(hù)處理的能力。 應(yīng)用代理 在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過(guò)濾和轉(zhuǎn)發(fā)功能。 管理簡(jiǎn)單，快捷，更提供 Web 方式管理。 我們覺(jué)得，在進(jìn)行防火墻選擇時(shí)需要考慮以下幾個(gè)方面 ? 是否選擇硬件或軟件防火墻； ? 是否選擇包過(guò)濾、代理或狀態(tài)防火墻； 防火墻平臺(tái)分析 目前的防火墻從使用平臺(tái)上有硬件防火墻、軟件防火墻兩種。 高帶寬，高吞吐量，真正線速防火墻。 X86 架構(gòu) x86 架構(gòu)的產(chǎn)品已經(jīng)發(fā)展多年，但其性能發(fā)展卻受到體系結(jié)構(gòu)的制約，作為通用的計(jì)算平臺(tái)， x86 的結(jié)構(gòu)層次較多，不易優(yōu)化，且往往會(huì)受到 PCI 總線的帶寬限制。 NetScreenISG 2020 的硬件結(jié)構(gòu)示意圖如下： 各模塊的功能如下： 管理模塊：管理模塊上有 2 個(gè) 1Ghz 的 PowerPC 的 CPU，以及 1－ 2GB 的內(nèi)存，主要對(duì)會(huì)話的第一個(gè)數(shù)據(jù)包進(jìn)行處理，雙 CPU 結(jié)構(gòu)實(shí)現(xiàn)了并行處理，提高了整體性能和安全保護(hù)能力，策略查找通過(guò) FPGA 芯片實(shí)現(xiàn)。 正是由于采用了高性能的專用 ASIC 芯片，所以 Juniper 的安全產(chǎn)品的性能不僅僅在實(shí)驗(yàn)室網(wǎng)絡(luò)環(huán)境下都能夠發(fā)揮出高水平，在實(shí)際的生產(chǎn)網(wǎng)絡(luò)環(huán)境中同樣可以保持高性能。采用硬件 模塊 實(shí)施應(yīng)用層入侵檢測(cè)和防護(hù)時(shí)性能可以達(dá)到 2Gbps，并且攻擊特征庫(kù)達(dá) 3600個(gè)以上。以下是兩種防御機(jī)制的介紹： ? SYN Attack（ SYN 攻擊）：當(dāng)網(wǎng)絡(luò)中充滿了會(huì)發(fā)出無(wú)法完成的連接請(qǐng)求的SYN 封包，以至于網(wǎng)絡(luò)無(wú) 法再處理合法的連接請(qǐng)求，從而導(dǎo)致拒絕服務(wù)(DoS) 時(shí)，就發(fā)生了 SYN 泛濫攻擊。 防火墻實(shí)施網(wǎng)絡(luò)安全隔離與訪問(wèn)控制 XX 網(wǎng) DMZ 區(qū)出口 配置 2 臺(tái)相同配置的 ISG2020 的 防火墻（ 2 臺(tái)防火墻間有HA 連接）。因此，通過(guò)對(duì)網(wǎng)絡(luò)服務(wù)的定義，以及 IP 地址的定義，使 ISG2020 防火墻的策略細(xì)致程度大大加強(qiáng)，安全性也提高了。如果發(fā)現(xiàn)這種攻擊，我們可以在線的進(jìn)行阻擋，對(duì)于其他的攻擊，可以暫時(shí)采用僅僅報(bào)警的方式，繼續(xù)修改相關(guān)的攻擊特征碼，最大限度的提高攻擊檢測(cè)的準(zhǔn)確性。優(yōu)點(diǎn)是符合大多數(shù)人的思維習(xí)慣，管理靈活。 單機(jī)管理的分散方式在大型網(wǎng)絡(luò)應(yīng)用中存在較大的缺點(diǎn)，許多資源的定義重復(fù)（如地址本、協(xié)議等），相應(yīng)提高了整體的管理成本；其次，當(dāng)下屬企業(yè)較多時(shí)，由于各自制定安全策略，存在安全隱患較大，同時(shí)，當(dāng)出現(xiàn)安全問(wèn)題時(shí)，由于沒(méi)有實(shí) 現(xiàn)統(tǒng)一監(jiān)控，很難判斷問(wèn)題出現(xiàn)在何處，從而不能及時(shí)解決問(wèn)題。 NSM 的報(bào)表分析功能使它更加有價(jià)值。 ② 可以在 HA 組中維護(hù)所有活動(dòng)會(huì)話和 VPN隧道。鏈路監(jiān)測(cè) 應(yīng)用故障 IP 路徑檢測(cè) 交換機(jī)故障 端口故障 鏈路監(jiān)測(cè) 設(shè)備故障 鏈路監(jiān)測(cè) 應(yīng)用故障 IP 路徑檢測(cè) 管理員控制的設(shè)備維護(hù)和 down機(jī) IP 路徑檢測(cè) 多設(shè)備故障 NetScreen 和周?chē)O(shè)備在不同路徑故障 冗余端口 環(huán)境故障 物理接線故障 鏈路監(jiān)測(cè) 電路故障 心跳信號(hào) , 多電源 , 鏈路監(jiān)測(cè) , IP 路徑檢測(cè) 此外，由于實(shí)施了 NetScreen 的冗余協(xié)議 NSRP，包括 VPN、地址翻譯等多種應(yīng)用 的實(shí)時(shí)信息都得到同步，即對(duì) VPN連接、地址翻譯連接的切換也是在小于 1 秒完成，所以在實(shí)施時(shí)具備很強(qiáng)的靈活性，適應(yīng)了各種網(wǎng)絡(luò)應(yīng)用的情況。 培訓(xùn)對(duì)象： 需要進(jìn)行基本配置的 Juniper 防火墻系統(tǒng)管理員、安全管理員及網(wǎng)絡(luò)工程師，以及希望獲得 Juniper 安全管理員認(rèn)證的人。 實(shí)施主 /備方式的示意圖如下： 通過(guò)使用“ NetScreen 冗余協(xié)議 (NSRP)”創(chuàng)建一 個(gè)虛擬安全設(shè)備 (VSD) 組0，具有自己的虛擬安全接口 (VSI)。 ④ 無(wú)論活動(dòng)會(huì)話和 VPN隧道的數(shù)量有多少，故障檢測(cè)和切換到備用系統(tǒng)可以在低于一秒時(shí)間內(nèi)完成。 NSM 提供對(duì)設(shè)備的集中、實(shí)時(shí)的監(jiān)控，以及集中的設(shè)備維護(hù)如升級(jí)等。 NetScreen 防火墻可實(shí)現(xiàn)通過(guò) NSM 專用網(wǎng)管工具集中管理。命令行方式可以完成所有的配置、檢查、排錯(cuò)等工作。 IPsec 的 配置 對(duì)于一些重要的服務(wù)器或網(wǎng)絡(luò)設(shè)備，如果需要通過(guò)承載網(wǎng)對(duì)其進(jìn)行配置修改、調(diào)試，可以考慮利用防火墻的 IPSec VPN功能，通過(guò) IPsec VPN 終結(jié)在防火墻的端口，允許相應(yīng)的協(xié)議（如 tel）通過(guò) IPsec VPN加密的方式通過(guò)防火墻，從而進(jìn)一步提高安全性。通過(guò)這些主要的安全元素和附加元素的控制，可以讓系統(tǒng)管理員對(duì)進(jìn)出防火墻的數(shù)據(jù)流量進(jìn)行嚴(yán)格的訪問(wèn)控制，達(dá)到保護(hù)內(nèi)網(wǎng)系統(tǒng)資源安全的目的 。根據(jù) 防火墻所處位置、 實(shí)際流量、實(shí)施管理 方便 性 的 考慮， 建議 對(duì)這兩臺(tái)防火墻采用 路