1、Juniper 防火墙安全方案12020 年 5 月 29 日计算 机 网络 系统防火 墙 部署 工程技术方案文档仅供参考目录第一章 Juniper 的安全理念 .错误 ! 未定义书签。1.1基本防火墙功能 .错误 ! 未定义书签。1.2内容安全功能 .错误 ! 未定义书签。1.3虚拟专网 (VPN) 功能 .错误 ! 未定义书签。1.4流量管理功能 .错误 ! 未定义书签。1.5强大的 ASIC 的硬件保障 .错误 ! 未定义书签。1.6设备的可靠性和安全性 .错误 ! 未定义书签。1.7完备简易的管理 .错误 ! 未定义书签。第二章 项目概述 .错误 ! 未定义书签。第三章 总体方案建议
2、.错误 ! 未定义书签。3.1 防火墙 A 和防火墙 B 的双机热备、均衡负载实现方案错误 ! 未定义书签。3.2 防火墙 A 和防火墙B 的 VLAN(802.1Q的 trunk 协议 )实现方案. 错误 !未定义书签。3.3防火墙 A 和防火墙 B 的动态路由支持程度的实现方案错误 ! 未定义书签。3.4防火墙的 VPN 实现方案 .错误 ! 未定义书签。3.5防火墙的安全控制实现方案 .错误 ! 未定义书签。3.6防火墙的网络地址转换实现方案 .错误 ! 未定义书签。32020 年 5 月 29 日文档仅供参考3.7 防火墙的应用代理实现方案 .错误 ! 未定义书签。3.9 防火墙用户认
3、证的实现方案 .错误 ! 未定义书签。3.10防火墙对带宽管理实现方案 .错误 ! 未定义书签。3.11防火墙日志管理、管理特性以及集中管理实现方案错 误 ! 未 定 义 书签。42020 年 5 月 29 日文档仅供参考第一章 Juniper 的安全理念网络安全能够分为数据安全和服务安全两个层次。数据安全是防止信息被非法探听 ; 服务安全是使网络系统提供不间断的通畅的对外服务。从严格的意义上讲 ,只有物理上完全隔离的网络系统才是安全的。但为了实际生产以及信息交换的需要,采用完全隔离手段保障网络安全很少被采用。在有了对外的联系之后,网络安全的目的就是使不良用心的人窃听数据、破坏服务的成本提高到
4、她们不能承受的程度。这里的成本包括设备成本、人力成本、时间成本等多方面的因素。Juniper 的整合式安全设备是专为互联网网络安全而设,将硬件状态防火墙、虚拟专用网(IPsecVPN) 、入侵防护 (IPS)和流量管理等多种安全功能集于一体。Juniper 整合式安全设备具有ASIC芯片硬件加速的安全策略、IPSec 加密演算性能、低延时 ,能够无缝地部署到任何网络。设备安装和操控也是非常容易,能够经过内置的WebUI 、命令行界面或中央管理方案进行统一管理。1.1 基本防火墙功能Juniper 提供了可扩展的网络安全解决方案,适用于包括宽带移动用户、中小型企业Internet 边界、大型企业
5、的内部网络安全域划分和控制,以至电子商务网站的服务器保护等等。Juniper 全功能防火墙采用实时检测技术 ,能够防止入侵者和拒绝服务(denial-of-service) 的攻击。Juniper 防火墙采用ScreenOS 软件 ,是经过ICSA 认证的实时检测防火52020 年 5 月 29 日文档仅供参考墙。Juniper 的防火墙系列采用安全优化的硬件(包括 ASIC 芯片和主板、操作系统和防火墙),比拼凑而成的软件类方案提供更高级的安全水平。Juniper 的防火墙系列提供强大的攻击防御能力,包括SYN 攻击、ICMP 泛滥、端口扫描(Port Scan)等攻击防御能力,配备硬件加速
6、的会话建立 (session ramp rates)性能 ,即使在最关键性的环境下也能够提供安全保护。Juniper 的防火墙系列提供各种网络地址翻译(NAT) 、端口地址翻译(PAT)的功能有效隐藏内部、无法路由的IP 地址。1.2 内容安全功能Juniper 提供多样的内容安全功能,包括深层检测功能、防病毒、垃圾邮件过滤、和网页过滤4 种 ,而且能够提供试用的临时许可license,能够让用户在一定时间内下载特征库及使用该内容安全更新。过了试用期后 ,用户必须定购年度服务来获得最新的入侵防护攻击库、病毒库、并得到垃圾邮件和网页过滤的定时更新。用户能够分别购买某个单项的内容安全服务 ,也能够购买价格更加优惠的 4 项打包的内容安全服务。1.2.1 深层检测功能 (Deep Inspection)深层检测功能 (Deep Inspection, 简称DI) 是 Juniper 的防火墙操作系统ScreenOS 里集成的一个专门对网络流量里的应用层攻击(包括网络蠕62020 年 5 月 29 日
