【正文】 描攻擊）： 當(dāng) 一個(gè)源 IP 地址在定義的時(shí)間間 隔 內(nèi)向位于相同目標(biāo) IP 地址 10 個(gè)不同的 端 口發(fā)送 IP 封包時(shí)， 就 會(huì)發(fā)生 端 口 掃描攻 擊。 當(dāng)啟 用了 UDP 泛濫保護(hù)功 能時(shí)，可以設(shè)置一個(gè) 臨界值 ，一 旦超 過(guò) 此臨界值就 會(huì) 調(diào) 用 UDP 泛濫攻 擊 保護(hù)功能。如果 超 過(guò)了該 臨界值 ， 防火墻 設(shè)備在該 秒余 下的時(shí)間和下一 秒 內(nèi)會(huì) 忽 略其它的 ICMP 回 應(yīng)要 求 。 ? ICMP Flood（ ICMP 泛濫）： 當(dāng) ICMP ping 產(chǎn)生的 大量回 應(yīng)請(qǐng) 求超 出了 系統(tǒng) 的最 大限度 ，以 至 于 系統(tǒng)耗費(fèi) 所有 資 源來(lái)進(jìn)行 響 應(yīng) 直至再也無(wú)法 處理有 效 的網(wǎng) 絡(luò) 信息流時(shí)， 就發(fā)生了 ICMP 泛濫 。下列選項(xiàng)可用于具有物理接口的區(qū)段（這些選項(xiàng)不適用于子接口）： SYN Attack（ SYN 攻擊）、 ICMP Flood（ ICMP 泛濫）、 UDP Flood （ UDP 泛濫）和 Port Scan Attack（端口掃描攻擊）。 防火墻選項(xiàng)用于保護(hù)區(qū)段的安全，具體做法是先檢查要求經(jīng)過(guò)某一接口離開(kāi)和到達(dá)該區(qū)域的所有連接嘗試，然后予以準(zhǔn)許或拒絕。如果相符，允許響應(yīng)封包通過(guò)防火墻。（防火墻也會(huì)根據(jù)變化的元素，如動(dòng)態(tài)端口變化或會(huì)話終止，來(lái)修改會(huì)話狀態(tài)。 網(wǎng)絡(luò)安全工程技術(shù)方案建議書(shū) 第 20 頁(yè) 共 36 頁(yè) 為保護(hù)所有連接嘗試的安全，防火墻設(shè)備使用了一種動(dòng)態(tài)封包過(guò)濾方法，即通常所說(shuō)的狀態(tài)式檢查。范圍最大時(shí)，可以允許所有類型的信息流從一個(gè)區(qū)段中的任何源地點(diǎn)到其它所有區(qū)段中的任何目的地點(diǎn)，而且沒(méi)有任何預(yù)定時(shí)間限制。缺省情 況下，防火墻拒絕所有方向的所有信息流。在 CLI 中，使用 set schedule 命令。在稍后的一個(gè)范例中，如果您擔(dān)心職員向公司外傳輸重要數(shù)據(jù)，則可設(shè)置一個(gè)策略，阻塞正常上班時(shí)間以外的出站 FTPPut 和 MAIL 信息流?？梢詫r(shí)間表配置為 循環(huán)生效，也可配置為單次事件?？梢詻Q定哪些用戶和信息 能進(jìn)入和離開(kāi)，以及它們進(jìn)入和離開(kāi)的時(shí)間和地點(diǎn)。由于所有信息流都必須通過(guò)此點(diǎn)，因此可以篩選并引導(dǎo)所有通過(guò)執(zhí)行策略組列表（區(qū)段間策略、內(nèi)部區(qū)段策略和全局策略）產(chǎn)生的信息流。因此，必須在列表中將較為特殊的策略定位在不太特殊的策略上面。（或）如果 Juniper 設(shè)備執(zhí)行區(qū)段內(nèi)部和全局策略查詢，但是沒(méi)有找到匹配策略， Juniper 設(shè)備會(huì)將該區(qū)段的區(qū)段內(nèi)部阻塞設(shè)置應(yīng)用到封包： unset/set zone zone block。 如果 Juniper 設(shè)備執(zhí)行區(qū)段間或區(qū)段內(nèi)部策略查詢，但是沒(méi)有找到匹配策略，則 Juniper 設(shè)備會(huì)檢查全局策略組列表以查找匹配策略。使用源區(qū)段和目的區(qū)段， Juniper 設(shè)備可以執(zhí)行策略查詢，按以下順序查閱策略組列表： 如果源區(qū)段和目的區(qū)段不同，則 Juniper 設(shè)備在區(qū)段間策略組列表中執(zhí)行策略查詢。 策略組列表 Juniper 設(shè)備維護(hù)三種不同的策略組列表，每種策略組列表對(duì)應(yīng)于以下三種策略之一： ? 區(qū)段間策略 ? 區(qū)段內(nèi)部策略 ? 全局策略 Juniper 設(shè)備接收到發(fā)起新會(huì)話的封包時(shí)，會(huì)記錄入口接口，從而獲知接口所綁定的源區(qū)段。這些地址可以跨越多個(gè)安全區(qū)段。 全局策略 與區(qū)段間和區(qū)段內(nèi)部策略不同，全局策略不引用特定的源和目的區(qū)段。與區(qū)段間策略一樣，區(qū)段內(nèi)部策略也控制信息流單向流動(dòng)。 區(qū)段內(nèi)部策略 區(qū)段內(nèi)部策略提供對(duì)綁定到同一安全區(qū)段的接口間信息流的控制 。找到回應(yīng)批準(zhǔn) HTTP 請(qǐng)求的封包時(shí)， Juniper 設(shè)備允許來(lái)自 Untrust 區(qū)段中服務(wù)器 B 的封包穿越防火墻到達(dá) Trust 區(qū)段中的主機(jī) A。使用狀態(tài)式檢查技術(shù)， Juniper 設(shè)備保持活動(dòng) TCP 會(huì)話表和活動(dòng) UDP“ pseudo”會(huì)話表，以便允許它能回應(yīng)服務(wù)請(qǐng)求。 網(wǎng)絡(luò)安全工程技術(shù)方案建議書(shū) 第 17 頁(yè) 共 36 頁(yè) 區(qū)段間策略 區(qū)段間策略提供對(duì)安全區(qū)段間信息流的控制。 ? 通過(guò)創(chuàng)建區(qū)段內(nèi)部策略，也可以控制允許通過(guò)綁定到同一區(qū)段的接口間的信息流的類型。 幾乎所有防火墻系統(tǒng)的安全策略由以下元素組成： 源地址 目的地址 服務(wù) 動(dòng)作 所有防火墻策略的執(zhí)行是按照前后順序方式執(zhí)行，當(dāng)策略被執(zhí)行后，其后的策略不被執(zhí)行。策略本身出現(xiàn)問(wèn)題，會(huì)導(dǎo)致整個(gè)安全系統(tǒng)產(chǎn)生致命的安全問(wèn)題。 ? 支持 IPsec NAT 穿越； ? 支持遠(yuǎn)程接入 VPN，即通過(guò) PC 上的 VPN 客戶端（需客戶自己提供）發(fā)起 IPsec VPN，并在防火墻上終結(jié)。 ? SHA1 和 MD5 認(rèn)證。 網(wǎng)絡(luò)安全工程技術(shù)方案建議書(shū) 第 16 頁(yè) 共 36 頁(yè) ? 通 過(guò) VPNC 測(cè)試，與其他通過(guò) IPSec 認(rèn) 證的廠商設(shè)備兼容。 Juniper 防火墻的三層接口，包括物理接口、邏輯子接口、 loopback 接口、 VPN 通道接口等都可以運(yùn)行動(dòng)態(tài)路由； 防火墻的 VPN實(shí)現(xiàn)方案 Juniper 防火墻的各個(gè) 三層 接口都可端結(jié) IPsec VPN，并且可以實(shí)施基于策略的VPN（通過(guò)防火墻策略定義手動(dòng)調(diào)用相應(yīng)的 VPN），和基于路由的 VPN（通過(guò)路由協(xié)議自動(dòng)選擇相應(yīng)的 VPN 隧道，然后單獨(dú)實(shí)施防火墻策略）。 Juniper防火墻在透明模式下一般可以支持對(duì)不帶 vlan tag 標(biāo)記和帶 vlan tag 標(biāo)記的數(shù)據(jù)包的穿越，同時(shí)對(duì)該數(shù)據(jù)包的 IP 層及應(yīng)用層的信息進(jìn)行分析，從而可以更容易地將該防火墻部署到網(wǎng)絡(luò)里面。 防火墻 A和防火墻 B的 VLAN（ trunk協(xié)議）實(shí)現(xiàn)方案 Juniper 防火墻 在路由模式 的 （包括 5GT） 都支持 VLAN 終結(jié) 和 VLAN 間的路由 ，即在物理端口下可以開(kāi) 的 邏輯子接口。而且查 錯(cuò)較為簡(jiǎn)單。 具體切換的觸發(fā)因素和檢測(cè)方式列表如下： 故障描述 NSRP / Juniper 保護(hù) Juniper 保護(hù)的故障 數(shù)據(jù)端口故障 (物理層和鏈路層 ) 冗余數(shù)據(jù)端口 HA 端口 冗余 HA 端口 電源故障 冗余電源 網(wǎng)絡(luò)安全工程技術(shù)方案建議書(shū) 第 14 頁(yè) 共 36 頁(yè) 設(shè)備完全掉電 心跳信號(hào) ScreenOS 系統(tǒng)故障導(dǎo)致流量不通過(guò)但端口是 up 的 (layer 3 故障 ) 心跳信號(hào) 相鄰設(shè)備故障 完全掉電和不提供服務(wù) IP 路徑檢測(cè) 路由器故障 端口故障 鏈路監(jiān)測(cè) 設(shè)備故障 IP 路徑檢測(cè) amp。 在實(shí)際應(yīng)用中，可以通過(guò)網(wǎng)絡(luò)優(yōu)化、路由調(diào)整的方法將不對(duì)稱的流量減少，從而使得第二個(gè)端口 HA2 的負(fù)載處在合理水平。第二個(gè)端口 HA2配置為傳遞實(shí)際數(shù)據(jù)流量數(shù)據(jù)線路，主要是在不對(duì)稱流量進(jìn)出的情況發(fā)揮作用，即某一會(huì)話的流量進(jìn)來(lái)是通過(guò)第一臺(tái)防火墻，但是返回的流量卻因?yàn)?相鄰路由設(shè)備的原因發(fā)到了第二臺(tái)防火墻，此時(shí)第二臺(tái)防火墻進(jìn)行會(huì)話狀態(tài)檢測(cè)后 發(fā)現(xiàn)是基于現(xiàn)有會(huì)話的，而且屬于第一臺(tái)防火墻處理的流量，于是將返回的流量通過(guò) HA2 端口發(fā)給第一臺(tái)防火墻。 網(wǎng)絡(luò)安全工程技術(shù)方案建議書(shū) 第 13 頁(yè) 共 36 頁(yè) Juniper 的 中高端 防火墻設(shè)備通過(guò) 一個(gè)或 兩個(gè)高可靠性端口 HA1 和 HA2 來(lái)實(shí)現(xiàn)NSRP。對(duì)于加密和認(rèn)證， NSRP 分別支持 DES 和 MD5 算法。在沒(méi)有專用 HA 接口的 Juniper 設(shè)備上，必須將一個(gè)或兩個(gè)物理以太網(wǎng)接口綁定到 HA 區(qū)段上。缺省情況下， HA1 處理控制消息， HA2 處理數(shù)據(jù)消息。如果一級(jí)端口失去網(wǎng)絡(luò)連接，則二級(jí)端口承擔(dān)連接的任務(wù)。主設(shè)備 讓位時(shí)，通過(guò)維持所有當(dāng)前會(huì)話，備份設(shè)備可立即用最短的服務(wù)停頓時(shí)間承擔(dān)主地位。 即雙主動(dòng)的配置方法的最大連接數(shù)保持為 原單機(jī)時(shí)的數(shù)量 ，該數(shù)量對(duì)一個(gè)大型網(wǎng)絡(luò)也已足夠了，但是 數(shù)據(jù) 吞吐量則增大 一倍 。 網(wǎng)絡(luò)安全工程技術(shù)方案建議書(shū) 第 12 頁(yè) 共 36 頁(yè) 盡管處于雙主動(dòng)配置的兩臺(tái)設(shè)備分開(kāi)的會(huì)話總數(shù)不能超過(guò)單個(gè)防火墻設(shè)備的容量，但添加的第二臺(tái)設(shè)備使可用的潛在帶寬加倍。設(shè)備 A 出現(xiàn)故障時(shí)，設(shè)備 B 變成 VSD 組 1 的主設(shè)備，同時(shí)繼續(xù)作為 VSD 組 2 的主設(shè)備，并處理 100% 的流量。故障切換后，該 VLAN 的所有設(shè)備都指向同一防火墻的物理端口（邏輯上 具備 兩個(gè)同網(wǎng)段的 IP 地址，作為不同設(shè)備的 缺省 網(wǎng)關(guān) IP 地址 ） 。由于設(shè)備冗余，因此 不存在單一故障點(diǎn)。設(shè)備 B 充當(dāng) VSD 組 2 的主設(shè)備，并充當(dāng) VSD 組 1 的備份設(shè)備。通過(guò)使用“ NetScreen 冗余協(xié)議 (NSRP)”創(chuàng)建兩個(gè)虛擬安全設(shè)備 (VSD) 組，每個(gè)組都具有自己的虛擬安全接口 (VSI)，即可實(shí)現(xiàn)此目的。 ⑥ Juniper 的中高端 防火墻 更支持全網(wǎng)狀的 Active/Active HA，避免低級(jí)的網(wǎng)絡(luò)故障導(dǎo)致 Juniper 防火墻的不可用。 ④ 無(wú)論活動(dòng)會(huì)話和 VPN 隧道的數(shù)量有多少，故障檢測(cè)和切換到備用系統(tǒng)可以在低于一秒時(shí)間內(nèi)完成。 ② 可以在 HA 組中維護(hù)所有活動(dòng)會(huì)話和 VPN 隧道。 防火墻 A和防火墻 B的雙機(jī)熱備、均衡負(fù)載實(shí)現(xiàn)方案 Juniper 的中高端 防火墻對(duì) 雙機(jī)熱備、負(fù)載 分擔(dān) 的實(shí)現(xiàn)有很好的支持， 實(shí) 施的方式是通過(guò) Juniper 的冗余協(xié)議 NSRP，類似于 VRRP（ HSRP） 但 在其基礎(chǔ)上有很大的改進(jìn) ，現(xiàn)詳細(xì)介紹如下： Juniper 為了實(shí)現(xiàn)更安全、更有效的防火墻冗余體系，開(kāi)發(fā)了專有的防火墻 HA 工作的協(xié)議 NSRP， NSRP 協(xié)議借鑒了 VRRP 協(xié)議，而且彌補(bǔ)了 VRRP 協(xié)議的不足，是針對(duì)安全設(shè)備的 HA 協(xié)議。 第二章 項(xiàng)目概述 第 三 章 總體方案建議 計(jì)算機(jī)網(wǎng)絡(luò) 安全建設(shè)方案是參照國(guó)際通行的 PDRR（ Protection－防護(hù)、 Detection－檢測(cè)、 Respone－響應(yīng)和 Recovery－恢復(fù)）安全模型進(jìn)行設(shè)計(jì)的。如果在NSM 服務(wù)器的基礎(chǔ)上安裝了 SRS 的日志報(bào)表服務(wù)器后，用戶也可以用 SRS 來(lái)生成歷史報(bào)表。 防火墻上 將 syslog 發(fā)到 到多臺(tái) 普通的 syslog 服務(wù)器上，如果要進(jìn)行 syslog 匯總分析報(bào)表，則可以和 WebTrend 服務(wù)器配合使用，也可以通過(guò)多家 syslog 的報(bào)表分析軟件（包括中文界面的軟件）對(duì) syslog 進(jìn)行日志報(bào)表。 ? 電子郵件告警、 SNMP traps 和告警。 ? 通過(guò)內(nèi)置 WebUI實(shí)現(xiàn)瀏覽操作式的管理。由于 VPN 功能是內(nèi)置的，因此可以對(duì) 所有管理加密，從而實(shí)現(xiàn)真正的安全遠(yuǎn)程管理。這個(gè)做法縮短了安裝的時(shí)間，并在防范安全漏洞的工作上，減少設(shè)定的步驟。由于 Juniper 設(shè)備沒(méi)有其它品牌對(duì)硬盤(pán)驅(qū)動(dòng)器和移動(dòng)部件所存在的穩(wěn)定型問(wèn)題，所以它是對(duì)在線時(shí)間要求極高的用戶的最佳方案。 正是由于采用了高性能的專用 ASIC 芯片，所以 Juniper 的安全產(chǎn)品的性能不僅僅在實(shí)驗(yàn)室網(wǎng)絡(luò)環(huán)境下都能夠發(fā)揮出高水平，在實(shí)際的生產(chǎn)網(wǎng)絡(luò)環(huán)境中同樣可以保持高性能。 可以對(duì)一系列的網(wǎng)絡(luò)層的 DDoS 攻擊 （包括生成對(duì) TCP Syn 泛洪攻擊的cookie） 進(jìn)行防護(hù)，直接在 ASIC 芯片上對(duì)數(shù)據(jù)包進(jìn)行丟棄 ，避免了對(duì)系統(tǒng)的影響 。目前，其他采用 PC 或工作站作為平臺(tái)的軟件類方案，往往令系統(tǒng)性能大打折扣。這種安全加密的 ASIC 更可與 Juniper 的ScreenOS 操作系統(tǒng)和系統(tǒng)軟件緊密地集成起來(lái)，與其他基于通用的商用操作系統(tǒng)的安全產(chǎn)品相比， Juniper 產(chǎn)品消除了不必要的軟件層和安全漏洞。 流量管理 功能 流量管理允 許網(wǎng)絡(luò)管理員實(shí)時(shí)監(jiān)視、分析和分配各類網(wǎng)絡(luò)流量使用的帶寬，有助確保在用戶上網(wǎng)瀏覽時(shí)或在執(zhí)行其他非關(guān)鍵性應(yīng)用時(shí)而不會(huì)影響關(guān)鍵性業(yè)務(wù)的流量。 ? 同時(shí)支持網(wǎng)狀式 (mesh)及集中星型 (hub and spoke)的 VPN 網(wǎng)絡(luò)，可按 VPN 部署的需求，配置用其一或整合兩種網(wǎng)絡(luò)拓?fù)洹? ? 三倍 DES、 DES 和 AES 加密使用數(shù)字證書(shū) (PKI )，自動(dòng)的或手動(dòng)的 IKE。 虛擬專 網(wǎng) (VPN)功能 Juniper 防火墻 中整 合了一個(gè)全功能 VPN 解決方案，它們支持站點(diǎn)到站點(diǎn) VPN 及遠(yuǎn)程接入 VPN 應(yīng)用。通過(guò)允許用戶能和不能訪問(wèn)某一類型的網(wǎng)站，可以提高企業(yè)員工的工作效率，并避免諸如員工到非法惡意軟件站點(diǎn)下載等情況而導(dǎo)致的法律糾紛。 網(wǎng)絡(luò)安全工程技術(shù)方案建議書(shū) 第 7 頁(yè) 共 36 頁(yè) 網(wǎng)頁(yè)過(guò)濾 對(duì)于放在網(wǎng)絡(luò)邊界為用戶提供 Inter 訪問(wèn)的邊界防火墻而言，還必須對(duì)企業(yè)員工對(duì)Inter 訪問(wèn)的網(wǎng)站進(jìn)行控制。通過(guò)不斷更新的 IP 地址和垃圾郵件發(fā)送者列表，有效地高精確性地屏蔽垃圾郵件發(fā)送者和網(wǎng)絡(luò)釣魚(yú)者。 垃圾郵件過(guò)濾 垃圾郵件過(guò)濾功能也是內(nèi)容安全的一個(gè)重要的組成部分。 對(duì)于不同的用戶， Juniper 可以提供 3 種不同的掃描級(jí)別，包括： A） 標(biāo)準(zhǔn)級(jí)別（ Standard）：缺省和推薦采用的級(jí)別，可以提供最全面和誤報(bào)率最低的掃描； B） 常見(jiàn)病毒級(jí)別（ In the wild）：只對(duì)常見(jiàn)病毒進(jìn)行掃描從而性能更佳； C） 擴(kuò)展級(jí)別（ Extended）：對(duì)更多的廣告軟件進(jìn)行掃描，誤報(bào)率相對(duì)較高。深層檢