【正文】 測(cè)（ DI）是對(duì)應(yīng)用層 控制 字段 信息進(jìn)行攻擊特征匹配 （一般是蠕蟲病毒或緩沖區(qū)溢出等攻擊），而 防病毒是針對(duì)文件里的 攜帶的攻擊（包括間諜軟件、廣告軟件、網(wǎng)絡(luò)釣魚軟件和鍵盤側(cè)錄軟件） 進(jìn)行匹配的技術(shù)，而文件的傳遞一般依靠 web、 FTP 的下載和上傳，以及 附件等 。 此外，Juniper 還 按需要發(fā)布 緊急更新，對(duì)重點(diǎn)攻擊進(jìn)行防護(hù)。 網(wǎng)絡(luò)安全工程技術(shù)方案建議書 第 6 頁(yè) 共 36 頁(yè) Juniper 的防火墻目前都可以集成入侵防護(hù)的功能，并且入侵防護(hù)的特征庫(kù)可以更新升級(jí)， 目前 攻擊特征 已超過(guò) 800 種 。深層檢測(cè)（ DI）防火墻應(yīng)用已知的特征匹配（在防火墻內(nèi)部的數(shù)據(jù)庫(kù)里已經(jīng)有了相應(yīng)的定義），與流量的相關(guān)部分進(jìn)行比較，查找出帶攻擊的惡 意部分流量。 服務(wù) 控制字段是依相應(yīng)協(xié)議事先定義的包頭值，代表了相應(yīng)的目的，使用了固定的流量的相對(duì)位置。 對(duì)已知攻擊的服務(wù) 控制字段 特征匹配 協(xié)議匹配檢測(cè)的是一些未知的和更狡猾的攻擊，還有一些攻擊是已知的，可以通過(guò)已知的特 征匹配的方式來(lái)更有效地防護(hù)它們。這意味著這種解決方法可以在對(duì)新攻擊出現(xiàn)的第 0 天即具備防護(hù)能力。而這些 字段 就代表了應(yīng)用層信息，并讓深層 檢測(cè)（ DI）防火墻可以理解應(yīng)用層會(huì)話，并在正確的字段上進(jìn)行攻擊特征庫(kù)的匹配查找。 服務(wù)控制字段 是與特別功能相關(guān)的流量中的部分，如 地址、 URL、文件名等。對(duì)協(xié)議異常的細(xì)化管理包括調(diào)整如何及在哪里查找異常，從而使得支持非正常協(xié)議的系統(tǒng)獲得同樣的支持。首先，它根據(jù)協(xié)議的定義進(jìn)行分析，如果數(shù)據(jù)偏離了協(xié)議的定義，就代表了協(xié)議異常。防火墻的分析引擎由其本身的數(shù)據(jù)庫(kù)實(shí)時(shí)提取有關(guān)的攻擊特征來(lái)有效地分析流量。一旦深層檢測(cè)（ DI）防火墻按這些方法重組出了網(wǎng)絡(luò)流量，它就用協(xié)議異常檢測(cè)和服務(wù) 控制字段里的上下文的 攻擊特征匹配的方法來(lái)對(duì)流量里的攻擊進(jìn)行防護(hù)。對(duì)這些協(xié)議，深層檢測(cè)（ DI）防火墻采用和數(shù)據(jù)接收方（如服務(wù)器和客戶端的應(yīng)用） 相同的方式來(lái)理解應(yīng)用層信息。 為了減少對(duì)防火墻性能的影響， Juniper 為深層檢測(cè)提供 4 種特征包，讓 IT 管理員根據(jù)需要保護(hù)的資源而靈活選擇下載 、更新和 采用，包括： 基礎(chǔ)版（ Base）特征包：針對(duì)中小型企業(yè)的全面防護(hù)（包括保護(hù) C/S 應(yīng)用和防蠕蟲）； 服務(wù)器（ Server）特征包：針對(duì)服務(wù)器群進(jìn)行保護(hù)（包括保護(hù) IIS、 Exchange和 Oracle 服務(wù)器等）； 客戶端（ Client）特征包：針對(duì)分布式企業(yè)的中小型分支機(jī)構(gòu)客戶端設(shè)備進(jìn)行保 護(hù)（如手提電腦等）； 常見蠕蟲保護(hù)（ Worm）特征包：針對(duì) 大企業(yè)的分支機(jī)構(gòu)提供全面的常見的蠕蟲保護(hù)。 深層檢測(cè)功能 (Deep Inspection) 深層檢測(cè)功能 （ Deep Inspection，簡(jiǎn)稱 DI） 是 Juniper 的防火墻操作系統(tǒng) ScreenOS里集成的一個(gè)專門對(duì) 網(wǎng)絡(luò)流量里的 應(yīng)用層攻擊 （包括網(wǎng)絡(luò)蠕蟲、木馬和惡意軟件） 進(jìn)行檢測(cè)的功能 ，其實(shí)就是將 Juniper 的 IPS/IDP 的 入侵檢測(cè)和防護(hù)的功能集成到 Juniper防火墻的 ScreenOS 里面，對(duì)會(huì)話實(shí)施基于狀態(tài)的策略的同時(shí)進(jìn)行對(duì)應(yīng)用層攻擊特征的匹配，并且作出相應(yīng)的保護(hù)動(dòng)作 。過(guò)了試用期后，用戶 必須定購(gòu) 年度 服務(wù)來(lái)獲得最新的 入侵防護(hù) 攻擊庫(kù) 、病毒庫(kù)、并得到垃圾郵件和網(wǎng)頁(yè)過(guò)濾的定時(shí)更新 。 Juniper 的防火墻系列 提供 各種 網(wǎng)絡(luò)地址翻譯 (NAT)、端口地址翻譯 (PAT)的功能――有效 隱藏內(nèi)部、無(wú)法路由的 IP 地址。 Juniper 的防火墻系列 采用安全優(yōu)化的硬件 （包括 ASIC 芯片和主板 、操作系統(tǒng)和防火墻 ） ，比拼湊而成的軟件類方案提供更高級(jí)的安全水平。 Juniper 全功能 防火墻采用實(shí)時(shí)檢測(cè)技術(shù)，可以防止入侵者和拒絕服務(wù)(denialofservice)的攻擊。設(shè)備安裝和操控也是非常容易，可以通過(guò)內(nèi)置的 WebUI、命令行界面或中央管理方案進(jìn)行 統(tǒng)一管理 。 Juniper 的整合式安全設(shè)備是專為互聯(lián)網(wǎng)網(wǎng)絡(luò)安全而設(shè)，將 硬件狀態(tài) 防火墻、虛擬專用網(wǎng) （ IPsec VPN）、入侵防護(hù)（ IPS） 和流量管理等 多種安全 功能集于一體 。在有了對(duì)外的聯(lián)系之后，網(wǎng)絡(luò)安全的目的就是使不良用心的人竊聽數(shù)據(jù)、破壞服務(wù)的成本提高到他們不能承受的程度。從嚴(yán)格的意義上講，只有物理上完全隔離的網(wǎng)絡(luò)系統(tǒng)才是安全的。 Jun iper 防火墻標(biāo)準(zhǔn) 方案建議書 美國(guó) Juniper 網(wǎng)絡(luò)公司 網(wǎng)絡(luò)安全工程技術(shù)方案建議書 第 2 頁(yè) 共 36 頁(yè) 目錄 第一章 Juniper 的安全理念 ...........................................................................................................3 基本防火墻功能 ........................................................................................................3 內(nèi)容安全功能 ............................................................................................................4 虛擬專網(wǎng) (VPN)功能 ..................................................................................................7 流量管理功能 ............................................................................................................7 強(qiáng)大的 ASIC 的硬件保障 ...........................................................................................8 設(shè)備的可靠性和安全性 ..............................................................................................8 完備簡(jiǎn)易的管理 ........................................................................................................9 第二章 項(xiàng)目概述 ...........................................................................................................................9 第三章 總體方案建議 ....................................................................................................................9 防火墻 A 和防火墻 B 的雙機(jī)熱備、均衡負(fù)載實(shí)現(xiàn)方案 .................................................... 10 防火墻 A 和防火墻 B 的 VLAN（ 的 trunk 協(xié)議）實(shí)現(xiàn)方案 ................................... 15 防火墻 A 和防火墻 B 的動(dòng)態(tài)路由支持程度的實(shí)現(xiàn)方案 .................................................... 15 防火墻的 VPN 實(shí)現(xiàn)方案 ................................................................................................. 15 防火墻的安全控制實(shí)現(xiàn)方案 ............................................................................................ 16 防火墻的網(wǎng)絡(luò)地址轉(zhuǎn)換實(shí)現(xiàn)方案 ..................................................................................... 24 防火墻的應(yīng)用代理實(shí)現(xiàn)方案 ............................................................................................ 27 防火墻用戶認(rèn)證的實(shí)現(xiàn)方案 ............................................................................................ 27 防火墻對(duì)帶寬管理實(shí)現(xiàn)方案 .......................................................................................... 29 防火墻日志管理、管理特性以及集中管理實(shí)現(xiàn)方案 ....................................................... 30 網(wǎng)絡(luò)安全工程技術(shù)方案建議書 第 3 頁(yè) 共 36 頁(yè) 第一章 Juniper 的 安全理念 網(wǎng)絡(luò)安全可以分為數(shù)據(jù)安全和服務(wù)安全兩個(gè)層次。數(shù)據(jù)安全是防止信息被非法探聽；服務(wù)安全是使網(wǎng)絡(luò)系統(tǒng)提供不間斷的通暢的對(duì)外服務(wù)。但為了實(shí)際生產(chǎn)以及信息交換的需要，采用完全隔離手段保障網(wǎng)絡(luò)安全很少被采用。這里的成本包括設(shè)備成本、人力成本、時(shí)間成本等多方面的因素。 Juniper 整合式安全設(shè)備具有 ASIC 芯片 硬件加速的 安全策略、 IPSec 加密演算性能、低延時(shí)，可以無(wú)縫地部署到任何網(wǎng)絡(luò)。 基本 防火墻 功能 Juniper 提供了可擴(kuò)展的網(wǎng)絡(luò)安全解決方案，適用于包括寬帶移動(dòng)用戶、 中小型企業(yè) Inter 邊界、大型企業(yè)的內(nèi)部網(wǎng)絡(luò)安全域劃分和控制 ，以至電子商務(wù)網(wǎng)站 的服務(wù)器保護(hù)等等 。 Juniper 防火墻采用 ScreenOS 軟件 ， 是 經(jīng)過(guò) ICSA 認(rèn)證的實(shí)時(shí)檢測(cè)防火墻。 Juniper 的防火墻系列提供 強(qiáng)大的攻擊防御能力，包括 SYN 攻擊、 ICMP 泛濫、端口掃描 (Port Scan)等攻擊防御能力，配備硬件加速的會(huì)話 建立 (session ramp rates)性能，即使在最關(guān)鍵性的環(huán)境下也可以提供安全保護(hù)。 網(wǎng)絡(luò)安全工程技術(shù)方案建議書 第 4 頁(yè) 共 36 頁(yè) 內(nèi)容安全 功能 Juniper 提供多樣的內(nèi)容安全功能， 包括深層檢測(cè)功能、防病毒、垃圾郵件過(guò)濾、和網(wǎng)頁(yè)過(guò)濾 4 種 ， 并且可以提供試用的臨時(shí)許可 license，可以讓用戶在一定時(shí)間內(nèi)下載特征庫(kù)及使用該內(nèi)容安全 更新 。 用戶可以分別購(gòu)買某個(gè)單 項(xiàng)的內(nèi)容安全服務(wù)，也可以購(gòu)買 價(jià)格 更加優(yōu)惠的 4 項(xiàng)打包的內(nèi)容安全服務(wù)。 Juniper 的防火墻 針對(duì)流量的應(yīng)用層的 分析和特征匹配進(jìn)行了一系列的優(yōu)化， 降低了對(duì)數(shù)據(jù)吞吐能力的影響。 深層檢測(cè)（ DI）防火墻被設(shè)計(jì)用來(lái)對(duì) 網(wǎng)絡(luò) 上 一系列 最常見的協(xié)議（如 HTTP, DNS, FTP, SMTP, POP3, IMAP, NetBIOS/SMB, MSRPC, P2P, 和 IM 等 ）的應(yīng)用層保護(hù)，并且可在將來(lái)簡(jiǎn)單地添加更多的協(xié)議。為了精確地理解應(yīng)用層信網(wǎng)絡(luò)安全工程技術(shù)方案建議書 第 5 頁(yè) 共 36 頁(yè) 息，深層檢測(cè)（ DI）防火墻實(shí)施包碎片重組，次 序重組，去除無(wú)用信息和信息正?；幚?。 深層檢測(cè)（ DI）防火墻利用了攻擊數(shù)據(jù)庫(kù)來(lái)儲(chǔ)存異常協(xié)議和攻擊特征（有時(shí)被稱做“特征”），按協(xié)議和攻擊 的 嚴(yán)重性分類，來(lái)實(shí)施狀態(tài)檢測(cè)和深層檢測(cè)任務(wù)。 一旦 Juniper 的深層檢測(cè)（ DI）防火墻對(duì)應(yīng)用層數(shù)據(jù)進(jìn)行重組后，它就實(shí)施針對(duì)該應(yīng)用的分析，決定該流量的目的是惡意 的還是非惡意的。高沖擊力的、帶惡意的協(xié)議異常，如設(shè)法造成內(nèi)存溢出來(lái)控制系統(tǒng)的，將被識(shí)別為攻擊。深層檢測(cè)（ DI）防火墻將按照細(xì)化的協(xié)議控制來(lái)對(duì)相關(guān)的服務(wù)域進(jìn)行識(shí)別。深層檢測(cè)（ DI）防火墻將按特征匹配的方法對(duì)相應(yīng)的 字段 進(jìn)行檢測(cè)。 協(xié)議符合檢查使用戶獲得攻擊出現(xiàn)日第 0 天防護(hù) 因?yàn)?Juniper 深層檢測(cè)（ DI）防火墻可以對(duì)流量進(jìn)行協(xié)議符合檢查，它也就具備了無(wú)須了解某一特別攻擊，就可以對(duì)一系列的攻擊如內(nèi)存溢出攻擊等的防護(hù)能力。同時(shí)，這也是對(duì)某些無(wú)法簡(jiǎn)單匹配特征的更狡猾攻擊的防護(hù)方式。 Juniper 深層檢測(cè)（ DI）防火墻實(shí)施應(yīng)用分析，理解信息內(nèi)容，并將流量信息的不同部分對(duì)應(yīng)到相應(yīng)的服務(wù) 控制字段 上。如：在 SMTP 里，有一些 服務(wù) 控制字段 包括：命令行（從客戶端發(fā)給服務(wù)器的命令），數(shù)據(jù)行（一行 內(nèi)容）， Fro