【正文】 安全防護(hù)上，可以采用兩種模式： active 模式和 Inline_Tap 模式，由于攻擊檢測(cè)本身所具有的誤報(bào)性，建議用戶在使用 ISG2020 系統(tǒng)的應(yīng)用層保護(hù)模塊的時(shí)候，可以采用如下的配置步驟： 1． 通過防火墻安全策略的定制，將需要進(jìn)行應(yīng)用層攻擊檢測(cè)和防護(hù)的流量傳給應(yīng)用層防護(hù)模塊，對(duì)于其他的無關(guān)緊要的網(wǎng)絡(luò)數(shù)據(jù)流量，可以不需要通過應(yīng)用層保護(hù)模塊，只通過防火墻的檢測(cè)就可以保證其安全性，這樣的配置可以保證在將敏感數(shù)據(jù)進(jìn)行了攻擊檢測(cè)的同時(shí)，最大限度的保證網(wǎng)絡(luò)的性能，提高網(wǎng)絡(luò)吞吐 量，減少網(wǎng)絡(luò)延遲。瀏覽器方式，可以使用戶使用通用的 Web 界面對(duì)設(shè)備進(jìn)行配置、查詢。 NSM 的專業(yè)特點(diǎn)還在于它可以將管理者的權(quán)限進(jìn)行詳細(xì)的 限定，實(shí)現(xiàn)基于角色的多級(jí)別管理和授權(quán)。設(shè)備 A 充當(dāng) VSD 組 0 的主設(shè)備，設(shè)備 B 充當(dāng) VSD 組 0 的備份設(shè)備。具體切換的觸發(fā)因素和檢測(cè)方式列表如下： 故障描述 NSRP / NetScreen 保護(hù) NetScreen 保護(hù)的故障 數(shù)據(jù)端口故障 (物理層和鏈路層 ) 冗余數(shù)據(jù)端口 HA 端口 冗余 HA 端口 電源故障 冗余電源 設(shè)備完全掉電 心跳信號(hào) ScreenOS 系統(tǒng)故障導(dǎo)致流量不通過但端口是 up 的 (layer 3 故障 ) 心跳信號(hào) 相鄰設(shè)備故障 完全掉電和不提供服務(wù) IP 路徑檢測(cè) 路由器故障 端口故障 鏈路監(jiān)測(cè) 設(shè)備故 障 IP 路徑檢測(cè) amp。 簡(jiǎn)言之， NSM 為設(shè)備部署提供高度易操作性與靈活性，減少管理工作。 分散方式讓用戶分別管理每臺(tái)防火墻。 在客戶自行定義通過防火墻的服務(wù)時(shí)，需要選擇網(wǎng)絡(luò)服務(wù)的協(xié)議，是 UDP、TCP 還是其它，需要定義源端口或端口范圍、目的端口或端口范圍、網(wǎng)絡(luò)服務(wù)在無流量情況下的超時(shí)定義等。 Juniper 特點(diǎn) 網(wǎng)絡(luò)層 攻擊防護(hù) Juniper 的 防火墻上均配置了 防 30 多種網(wǎng)絡(luò)層攻擊的功能，尤其是 ISG2020防火墻，具備硬件防攻擊的能力，在抗攻擊的同時(shí)不影響防火墻的性能。目前，其他采用 PC 或工作站作為平臺(tái)的軟件類方案，往往令系統(tǒng)性能大打折扣。 NP 架構(gòu) NP 是介于兩者之間的技術(shù)，使用 NP 開發(fā)的難度和靈活性都介于 ASIC 和 x86 構(gòu)架之間。 硬件防火墻 軟件防火墻 用專用芯片處理數(shù)據(jù)包， CPU只作管理之用。它針對(duì)特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過濾邏輯，并在過濾的同時(shí)，對(duì)數(shù)據(jù)包進(jìn)行必要的分析、登記和統(tǒng)計(jì)，形成報(bào)告。對(duì)這些協(xié)議，深層檢測(cè)（ DI）防火墻采用和數(shù)據(jù)接收方相同的方式來理解應(yīng)用層信息。此選項(xiàng)定義了每秒鐘 NetScreen 設(shè)備可以為單個(gè) IP 地址建立的最大會(huì)話數(shù)量。 2． 設(shè)備部署初期，對(duì)于需要檢測(cè)的流量，我們首先可以將應(yīng)用層防護(hù)模塊采用 Inline_Tap 模式，這樣的話，網(wǎng)絡(luò)數(shù)據(jù)就會(huì)在通過防火墻檢測(cè)后，直接進(jìn)行轉(zhuǎn)發(fā)，而緊緊是復(fù)制一遍到應(yīng)用層保護(hù)模塊，這個(gè)時(shí)候應(yīng)用層保護(hù)模塊相當(dāng)于一個(gè)旁路的檢測(cè)設(shè)備，僅僅對(duì)攻擊進(jìn)行報(bào)警，而不會(huì)對(duì)數(shù)據(jù)流有任何的影響。瀏覽器方式支持 HTTP（ 80） 和 HTTPS（ 443）。 HA 方案實(shí)施要點(diǎn) Juniper 防火墻的冗余連接有以下幾種形式： ? 主動(dòng) /被動(dòng) ： 有冗余，配置和維護(hù)簡(jiǎn)便； 根據(jù)防火墻所處位置、實(shí)際流量、實(shí)施管理方便性、以及本次采用異構(gòu)防火墻互連的考慮 ， 本次實(shí)施建議此方案。 上圖是一臺(tái)三層交換機(jī)，但是 如果 是兩臺(tái)三層交換機(jī)，而且三層 交換機(jī)和防 火墻之間用三層路由連接，兩臺(tái)三層 交換機(jī)之間應(yīng)運(yùn) 行VRRP。以上的故障切換均可 在小于 1 秒內(nèi)完成，并且對(duì)用戶流量透明。用戶只需一次性地定義一條策略，然后將其映射采用到多個(gè)設(shè)備中。 NetScreen 設(shè)備在管理方面的實(shí)現(xiàn)很受用戶歡迎。在設(shè)定網(wǎng)絡(luò)服務(wù)時(shí)， Juniper 公司的 ISG2020 防火墻 已經(jīng)內(nèi)置預(yù)設(shè)了大量常見的網(wǎng)絡(luò)服務(wù)類型，同時(shí)，也可以由客戶自行定義網(wǎng)絡(luò)服務(wù)。 o 400 多個(gè)定制參數(shù)和 Perl 式的常規(guī)表達(dá)式：能夠定制簽名或創(chuàng)建完全定制的簽名。 Juniper 將安全功能提升到系統(tǒng)層次，更可以節(jié)省建立額外平臺(tái)帶來的開支。 ASIC 架構(gòu) ASIC防火墻通過專門設(shè)計(jì)的 ASIC芯片邏輯進(jìn)行硬件加速處理，非常適合對(duì)吞吐量和時(shí)延指標(biāo)要求較高的電信級(jí)大流量的處理。 運(yùn)行在通用操作系統(tǒng)上的能安全控制存取訪問的軟件，性能依靠于計(jì)算機(jī) CPU,內(nèi)存等。 狀態(tài)檢測(cè) 只在同一臺(tái)主機(jī)上打開一個(gè)限時(shí)的窗口回應(yīng)該數(shù)據(jù)包，并且通過保留前一個(gè)數(shù)據(jù)包的信息（比如，“ state”數(shù)據(jù)），狀態(tài)檢測(cè)防火墻可以快速的確認(rèn)符合授權(quán)流通標(biāo)準(zhǔn)的數(shù)據(jù)包，這使它們本身的運(yùn)行非?？焖佟榱司_地理解應(yīng)用層信息，深層檢測(cè)（ DI）防火墻實(shí)施包碎片重組，次序重組，去除無用信息和信息正?；幚?。（缺省 閥 值為每個(gè) IP 地址每秒128 個(gè)會(huì)話。在這個(gè)時(shí)期，我們可以通過調(diào)整攻擊