juniperisg网络安全解决方案建议书.doc

《juniperisg网络安全解决方案建议书.doc》由会员分享，可在线阅读，更多相关《juniperisg网络安全解决方案建议书.doc（39页珍藏版）》请在咨信网上搜索。

juniperisg网络安全解决方案建议书 39 2020年5月29日 文档仅供参考 Juniper ISG 网络安全解决方案建议书 美国Juniper网络公司 目 录 1 前言 3 1.1 范围定义 3 1.2 参考标准 3 2 系统脆弱性和风险分析 4 2.1 网络边界脆弱性和风险分析 4 2.2 网络内部脆弱性和风险分析 4 3 系统安全需求分析 5 3.1 边界访问控制安全需求 5 3.2 应用层攻击和蠕虫的检测和阻断需求 7 3.3 安全管理需求 8 4 系统安全解决方案 9 4.1 设计目标 9 4.2 设计原则 9 4.3 安全产品的选型原则 10 4.4 整体安全解决方案 11 4.4.1 访问控制解决方案 11 4.4.2 防拒绝服务攻击解决方案 13 4.4.3 应用层防护解决方案 18 4.4.4 安全管理解决方案 21 5 方案中配置安全产品简介 22 5.1 Juniper公司介绍 22 5.2 Juniper ISG 系列安全网关 25 1 前言 1.1 范围定义 本文针正确是XXX网络的信息安全问题,从对象层次上讲,它比较全面地囊括了从物理安全、网络安全、系统安全、应用安全到业务安全的各个层次。原则上与信息安全风险有关的因素都应在考虑范围内,但为了抓住重点,体现主要矛盾,在本文主要针对具有较高风险级别的因素加以讨论。从安全手段上讲,本文覆盖了管理和技术两大方面,其中安全管理体系包括策略体系、组织体系和运作体系。就XXX的实际需要,本次方案将分别从管理和技术两个环节分别给出相应的解决方案。 1.2 参考标准 XXX属于一个典型的行业网络,必须遵循行业相关的保密标准,同时,为了保证各种网络设备的兼容性和业务的不断发展需要,也必须遵循国际上的相关的统一标准,我们在设计XXX的网络安全解决方案的时候,主要参考的标准如下: ü NAS IATF3.1美国国防部信息保障技术框架v3.1 ü ISO15408 / GB/T 18336信息技术 安全技术 信息技术安全性评估准则,第一部分 简介和一般模型 ü ISO15408 / GB/T 18336信息技术 安全技术 信息技术安全性评估准则,第二部分 安全功能要求 ü ISO15408 / GB/T 18336信息技术 安全技术 信息技术安全性评估准则,第三部分 安全保证要求 ü 加拿大信息安全技术指南, 1997 ü ISO17799第一部分, 信息安全管理Code of Practice for Information Security Management ü GB/T 18019-1999 包过滤防火墙安全技术要求; ü GB/T 18020-1999 应用级防火墙安全技术要求; ü 国家973信息与网络安全体系研究G课题组IATF<信息技术保障技术框架>。 2 系统脆弱性和风险分析 2.1 网络边界脆弱性和风险分析 网络的边界隔离着不同功能或地域的多个网络区域,由于职责和功能的不同,相连网络的密级也不同,这样的网络直接相连,必然存在着安全风险,下面我们将对XXX网络就网络边界问题做脆弱性和风险的分析。 XXX的网络主要存在的边界安全风险包括: ü XXX网络与各级单位的连接,可能遭到来自各地的越权访问、恶意攻击和计算机病毒的入侵;例如一个不满的内部用户,利用盗版软件或从Internet下载的黑客程序恶意攻击内部站点,致使网络局部或整体瘫痪; ü 内部的各个功能网络经过骨干交换相互连接,这样的话,重要的部门或者专网将遭到来自其它部门的越权访问。这些越权访问可能包括恶意的攻击、误操作等等,可是它们的后果都将导致重要信息的泄漏或者是网络的瘫痪。 2.2 网络内部脆弱性和风险分析 XXX内部网络的风险分析主要针对XXX的整个内网的安全风险,主要表现为以下几个方面: ü 内部用户的非授权访问;XXX内部的资源也不是对任何的员工都开放的,也需要有相应的访问权限。内部用户的非授权的访问,更容易造成资源和重要信息的泄漏。 ü 内部用户的误操作;由于内部用户的计算机造作的水平参差不齐,对于应用软件的理解也各不相同,如果一部分软件没有相应的对误操作的防范措施,极容易给服务系统和其它主机造成危害。 ü 内部用户的恶意攻击;就网络安全来说,据统计约有70％左右的攻击来自内部用户,相比外部攻击来说,内部用户具有更得天独厚的优势,因此,对内部用户攻击的防范也很重要。 ü 设备的自身安全性也会直接关系到XXX网络系统和各种网络应用的正常运转。例如,路由设备存在路由信息泄漏、交换机和路由器设备配置风险等。 ü 重要服务器或操作系统自身存在安全的漏洞,如果管理员没有及时的发现而且进行修复,将会为网络的安全带来很多不安定的因素。 ü 重要服务器的当机或者重要数据的意外丢失,都将会造成XXX内部的业务无法正常运行。 ü 安全管理的困难,对于众多的网络设备和网络安全设备,安全策略的配置和安全事件管理的难度很大。 3 系统安全需求分析 经过对上面XXX网络的脆弱性和风险的分析,我们认为整个XXX网络的安全建设当前还比较简单,存在着一定的安全隐患,主要的安全需求体现为以下几个方面:边界访问控制安全需求,网络级防病毒安全需求、入侵行为检测安全需求、安全管理需求等,下面我们将继续上几章的方法,分别在边界安全需求,内网安全需求环节就这几个关键技术进行描述。 3.1 边界访问控制安全需求 防火墙是实现网络逻辑隔离的首选技术,在XXX的网络中,既要保证在整个网络的连通性,又要实现不同网络的逻辑隔离。针对XXX网络的具体情况,得到的防火墙的需求包括以下几个方面: ü 先进的安全理念 支持基于安全域的策略设定,让用户能够更好的理解防火墙的应用目的。 ü 访问控制 防火墙必须能够实现网络边界的隔离,具有基于状态检测的包过滤功能,能够实现针对源地址、目的地址、网络协议、服务、时间、带宽等的访问控制,能够实现网络层的内容过滤,支持网络地址转换等功能。 ü 高可靠性 由于防火墙是网络中的重要设备,意外的当机都会造成网络的瘫痪,因此防火墙必须是运行稳定,故障率低的系统,而且要求能够实现双机的热备份,实现不间断的网络服务。 ü 日志和审计 要求防火墙能够对重要关键资源的使用情况应进行有效的监控,防火墙系统应有较强的日志处理能力和日志分析能力,能够实现日志的分级管理、自动报表、自动报警功能,同时希望支持第三方的日志软件,实现功能的定制。 ü 身份认证 防火墙本身必须支持身份认证的功能,在简单的地方能够实现防火墙本身自带数据库的身份认证,在大型的情况下,能够支持与如RADIUS等认证服务器的结合使用。 ü 易管理性 XXX网络是一个大型的网络,防火墙分布在网络的各处,因此防火墙产品必须支持集中的管理,安全管理员能够在一个地点实现对防火墙的集中管理,策略配置,日志审计等等。 系统的安装、配置与管理尽可能的简洁,安装便捷、配置灵活、操作简单。 ü 高安全性 作为安全设备,防火墙本身必须具有高安全性,本身没有安全漏洞,不开放服务,能够抵抗各种类型的攻击。针对防火墙保护的服务器的拒绝服务攻击,防火墙能够进行阻挡,而且在阻挡的同时,保证正常业务的不间断。 ü 高性能 作为网络的接入设备,防火墙必须具有高性能,不影响原有网络的正常运行,千兆防火墙的性能应该在900M以上,并发连接数要在50万以上。 ü 可扩展性 系统的建设必须考虑到未来发展的需要,系统必须具有良好的可扩展性和良好的可升级性。支持标准的IP、IPSEC等国际协议。支持版本的在线升级。 ü 易实现性 防火墙能够很好的部署在现有的网络当中,最小改变网络的拓扑结构和应用设计。防火墙要支持动态路由、VLAN协议、H323协议等。 3.2 应用层攻击和蠕虫的检测和阻断需求 入侵检测主要用于检测网络中存在的攻击迹象,保证当网络中存在攻击的时候,我们能够在攻击发生后果之前能够发现它,而且进行有效的阻挡,同时提供详细的相关信息,保证管理员能够进行正确的紧急响应,将攻击的影响减少到最低的程度。它的主要需求包括: ü 入侵检测和防护要求 能够对攻击行为进行检测和防护,是对入侵防护设备的核心需求,入侵防护设备应该采用最先进的检测手段,如基于状态的协议分析、协议异常等多种检测手段结合等等;要求能够检测的种类包括:攻击行为检测、异常行为检测等等。 ü 对网络病毒的阻拦 由于当前80％以上的病毒都是经过网络来传播的,因此为了更好的进行防毒,需要安全设备能够在网关处检测而且阻拦基于网络传输的病毒和蠕虫,而且能够提供相关特征的及时更新。 ü 性能要求 内部网络的流量很多,入侵检测和防护需要处理的数据量也相对较大,同时由于对性能的要求能够大大的减少对于攻击的漏报率和误报率, ü 自身安全性要求 作为网络安全设备,入侵检测系统必须具有很高的安全性,配置文件需要加密保存,管理台和探测器之间的通讯必须采用加密的方式,探测器要能够去除协议栈,而且能够抵抗各种攻击。 ü 服务要求 由于系统漏洞的不断出现和攻击手段的不断发展,要求应用层防护设备的攻击特征库能够及时的进行更新。以满足网络最新的安全需求。 ü 日志审计要求 系统能对入侵警报信息分类过滤、进行统计或生成报表。对客户端、服务器端的不同地址和不同服务协议的流量分析。能够选择不同的时间间隔生成报表,反映用户在一定时期内受到的攻击类型、严重程度、发生频率、攻击来源等信息,使管理员随时对网络安全状况有正确的了解。能够根据管理员的选择,定制不同形式的报表。 3.3 安全管理需求 安全管理是安全体系建设极为重要的一个环节,当前XXX网络的需要建立针对多种安全设备的统一管理平台,总体需求如下: ü 安全事件的统一监控 对于网络安全设备上发现的安全事件,都能够进行集中的监控。而且进行相应的关联分析,保证管理员能够经过简单的方式,不需要登陆多个设备,就能够明了当前网络中发生的安全事件。 ü 安全设备的集中化管理 随着使用安全产品种类和数量的增加需要不断增加管理和维护人员,管理成本往往呈指数级的增加,因此需要相应的技术手段对这些产品进行集中的控管。 ü 安全响应能力的提升 响应能力是衡量一个网络安全建设水平的重要标准,发现安全问题和安全事件后,必须能快速找到解决方法并最快速度进行响应,响应的方式包括安全设备的自动响应,联动响应,人工响应等等。 4 系统安全解决方案 4.1 设计目标 XXX网络具有很高的安全性。本方案主要针对XXX网络,保证XXX内网中的重要数据的保密性,完整性、可用性、防抵赖性和可管理性,具体来说可分为如下几个方面: ü 有效控制、发现、处理非法的网络访问; ü 保护在不安全网络上的数据传输的安全性; ü 能有效的预防、发现、处理网络上传输的蠕虫病毒和其它的计算机病毒; ü 能有效的预防、发现、处理网络上存在的恶意攻击和非授权访问; ü 合理的安全体系架构和管理措施; ü 实现网络系统安全系统的集中管理; ü 有较强的扩展性。 4.2 设计原则 我们严格按照国家相关规定进行系统方案设计。设计方案中遵守的设计原则为: (1) 统一性 系统必须统一规范、统一标准、统一接口,使用国际标准、国家标准,采用统一的系统体系结构,以保持系统的统一性和完整性。 (2) 实用性 系统能最大限度满足XXX网络的需求,结合XXX网络的实际情况,在对业务系统进行设计和优化的基础上进行设计。 (3) 先进性 无论对业务系统的设计还是对信息系统和网络的设计,都要采用成熟先进的技术、手段、方法和设备。 (4) 可扩展性 系统的设计必须考虑到未来发展的需要,具有良好的可扩展性和良好的可升级性。 (5) 安全性 必须建立可靠的安全体系,以防止对信息系统的非法侵入和攻击。 (6) 保密性 信息系统的有关业务信息,资金信息等必须有严格的管理措施和技术手段加以保护,以免因泄密而造成国家、单位和个人的损失。 (7) 最高保护原则 系统中涉及到多种密级的资源,按最高密级保护 (8) 易实现性和可管理性 系统的安装、配置与管理尽可能的简洁,安装便捷,配置灵活,操作简单,而且系统应具有可授权的集中管理能力。 4.3 安全产品的选型原则 XXX网络属于一个行业的专用网络,因此在安全产品的选型上,必须慎重,选型的原则包括: ü 安全保密产品的接入应不明显影响网络系统运行效率,而且满足工作的要求,不影响正常的业务; ü 安全保密产品必须满足上面提出的安全需求,保证整个XXX网络的安全性。 ü 安全保密产品必须经过国家主管部门指定的测评机构的检测; ü 安全保密产品必须具备自我保护能力; ü 安全保密产品必须符合国家和国际上的相关标准; ü 安全产品必须操作简单易用,便于简单部署和集中管理 。 4.4 整体安全解决方案 4.4.1 访问控制解决方案 4.4.1.1 划分安全区(Security Zone) Juniper ISG 系统的防火墙模块增加了全新的安全区域(Security Zone)的概念,安全区域是一个逻辑的结构,是多个处于相同属性区域的物理接口的集合。当不同安全区域之间相互通讯时,必须经过事先定义的策略检查才能经过;当在同一个安全区域进行通讯时,默认状态下允许不经过策略检查,经过配置后,也能够强制进行策略检查,以提高安全性。 安全区域概念的出现,使防火墙的配置能更灵活同现有的网络结构相结合。以下图为例,经过实施安全区域的配置,内网的不同部门之间的通讯也必须经过策略的检查,进一步提高的系统的安全。 4.4.1.2 划分VSYS 为满足网络中心或数据中心的要求,即网络中心或数据中心的管理员提供防火墙硬件设备的维护和资源的分配,部门级系统管理员或托管用户的管理员来配置防火墙的IP配置以及具体策略。Juniper公司的防火墙自500系列起,支持虚拟防火墙技术,即能够将一个物理的防火墙系统虚拟成多个逻辑的防火墙系统,满足了数据中心或网络中心硬件系统和管理系统维护的分离要求。 4.4.1.3 Virtual-Router Juniper公司防火墙支持虚拟路由器技术,在一个防火墙设备里,将原来单一路由方式下的单一路由表,进化为多个虚拟路由器以及相应的多张独立的路由表,提高了防火墙系统的安全性以及IP地址配置的灵活性。 4.4.1.4 安全策略定义 Juniper公司ISG 系统的防火墙模块在定义策略时,主要需要设定源IP地址、目的IP地址、网络服务以及防火墙的动作。在设定网络服务时,Juniper ISG 系统的防火墙模块已经内置预设了大量常见的网络服务类型,同时,也能够由客户自行定义网络服务。 在客户自行定义经过防火墙的服务时,需要选择网络服务的协议,是UDP、TCP还是其它,需要定义源端口或端口范围、目的端口或端口范围、网络服务在无流量情况下的超时定义等。因此,经过对网络服务的定义,以及IP地址的定义,使Juniper ISG 系统的防火墙模块的策略细致程度大大加强,安全性也提高了。 除了定义上述这些主要参数以外,在策略中还能够定义用户的认证、在策略里定义是否要做地址翻译、带宽管理等功能。经过这些主要的安全元素和附加元素的控制,能够让系统管理员对进出防火墙的数据流量进行严格的访问控制,达到保护内网系统资源安全的目的。 4.4.2 防拒绝服务攻击解决方案 Juniper公司ISG 系统的高性能确保它足以抵御当前Internet上流行的DDoS的攻击,能够识别多达28种以上的网络攻击。在抵御主要的分布式拒绝服务功能方面,Juniper公司Juniper ISG 系统支持SYN网关代理功能,即当SYN的连接请求超过正常的定义的范围时,NS防火墙会自动启动SYN网关功能,代理后台服务器端结SYN的请求并发出ACK回应,直到收到SYN/ACK的响应,才会将该连接转发给服务器;否则会将超时没有响应的SYN连接请求丢弃。 Juniper公司NetScreen系列除了支持SYN网关功能之外,能够针对SYN的攻击设定阀值,只有当SYN连接请求超过预定义阀值时,才启动SYN网关的功能。这样能够有效的提高防火墙在正常情况下的工作效率。 如果防火墙没有阀值的选项,那么用户面临的选择是:要么不要SYN防御的功能提高性能,要么使用SYN防御的功能大大降低在正常工作状态下的性能。这是其它防火墙产品非常不灵活的产品设计,Juniper公司的Juniper ISG 系统在两者之间取得了一种平衡。 4.4.2.1 SYN Flooding 当主机中充满了需要发出响应的、无法完成连接的SYN请求,以至于主机无法再处理合法的SYN连接请求时,就发生了SYN泛滥。 利用三方封包交换,即常说的三方握手,两个主机之间建立TCP连接: A向B发送SYN数据包;B用SYN/ACK数据包进行响应;然后A又用ACK数据包进行响应。SYN泛滥攻击用伪造的IP源地址(不存在或不可到达的地址)的SYN请求来塞满站点B。B用SYN/ACK数据包响应这些来自非法地址的请求,并等待来自这些地址的响应的ACK数据包。因为SYN/ACK数据包被发送到不存在或不可到达的IP地址,因此它们永远不会得到响应并最终超时。 经过用无法完成的TCP连接泛滥攻击主机,攻击者最后会填满受害服务主机的内存缓存区。当该缓存区填满后,主机就不能再处理新的TCP连接请求,泛滥甚至可能会破坏受害者的操作系统。 Juniper ISG 设备能够对每秒钟允许经过防火墙的SYN数据包数量加以限制。能够针对目标地址和端口、仅目标地址或仅源地址的攻击临界值设置阀值。当每秒的SYN数据包数量超过这些临界值之一时,Juniper设备开始代理发送流入的SYN数据包、用SYN/ACK数据包回复并将不完全的连接请求储存到连接队列中。未完成的连接请求保留在队列中,直到连接完成或请求超时。在下面的示意图中,已超过了SYN攻击临界值,Juniper防火墙开始代理SYN数据包。 在下一个示意图中,经过代理连接的队列已完全填满,Juniper ISG 系统正在拒绝流入的SYN数据包请求。此操作保护受保护网络中的主机,使其免遭不完整的三方握手的轰击。 ICMP Flooding 当有大量的ICMP 回应请求时,往往会造成服务器耗尽资源来进行响应,直至最后超出了服务器的最大极限以致无法处理有效的网络信息流,这时就发生了ICMP泛滥。当启用了ICMP泛滥保护的功能时,能够设置一个临界值,一旦超过此值就会调用ICMP泛滥攻击保护功能。(缺省的临界值为每秒1000个封包)。如果超过了该临界值,Juniper ISG 设备在该秒余下的时间和下一秒内会忽略其它的ICMP回应要求。 4.4.2.2 UDP Flooding 与ICMP泛滥相似,当攻击者以减慢受害服务器响应速度为目的向该点发送含有UDP数据包的IP封包,以至于受害服务器再也无法处理有效的连接时,就发生了UDP泛滥。当启用了UDP泛滥保护功能时,能够设置一个临界值,一旦超过此临界值就会调用UDP泛滥攻击保护功能。(缺省临界值为每秒1000个封包)如果从一个或多个源向多个目标发送的UDP数据包数量超过了此临界值,Juniper ISG 在该秒余下的时间和下一秒内会忽略其它到该目标的UDP数据包。 4.4.2.3 MISC攻击 能够抵御的主要的攻击方式有: 分布式服务拒绝攻击DDOS(Distributed Denial-Of-Service attacks)、IP碎片攻击(IP Fragmentation attacks)、端口扫描攻击(Port Scan Attacks)、IP源路由攻击(IP Source Attacks)、IP Spoofing Attacks;Address Sweep Attacks、WinNuke Attack等共31种,请参考附件(Screen Description)。 4.4.3 应用层防护解决方案 4.4.3.1 应用层防护 当前,复杂的攻击以不同的方式出现在不同的客户环境中。Juniper网络公司ISG 中的应用层防护模块先进的攻击防护和定制功能有助于准确地检测攻击,并阻止其攻击网络,以避免产生损失。Juniper网络公司ISG 中的应用层防护模块 先进的攻击防护功能具有以下特点: · 多种检测方法,包括复合签名、状态签名、协议异常以及后门检测。 · 开放式签名格式允许管理员查看攻击字符串如何匹配攻击签名,并根据需求对签名进行编辑。这种理解和定制级别允许管理员定制攻击签名,以满足独特的攻击要求。 · 全面的签名定制经过提供更高的控制能力,以适应签名的特定要求,从而增强检测独特攻击的能力。 o 复合签名:能够将状态签名和协议异常结合到单个攻击对象中,以检测单个会话中的复杂攻击,从而提高检测速度。 o 400多个定制参数和Perl式的常规表示式:能够定制签名或创立完全定制的签名。 4.4.3.1.1 多重方法攻击检测 Juniper网络公司的多重方法检测技术 (MMD™) 将多种检测机制结合到单一产品中,以实现全面的检测。由于不同的攻击类型要求采用不同的识别方法,因此,仅使用几种检测方法的产品不能检测出所有类型的攻击。Juniper网络公司ISG 中的应用层防护模块采用多重方法检测技术能够最大限度地检测出各种攻击类型,确保不会遗漏关键的威胁。MMD 中采用的检测方法包括: 机 制 说 明 状态签名 仅检测相关流量中的已知攻击模式 协议异常 检测未知或经过修改的攻击方式。 后门检测 检测未经授权的交互式后门流量。 复合签名 将状态签名和协议异常结合在一起,检测单个会话中的复杂攻击。 状态签名检测 某些攻击能够采用攻击签名进行识别,在网络流量中能够发现这种攻击模式。状态签名设计用于大幅度提高检测性能,并减少当前市场上基于签名的入侵检测系统的错误告警。Juniper网络公司ISG 中的应用层防护模块跟踪连接状态,而且仅在可能发生攻击的相关流量部分来查找攻击模式。传统的基于签名的入侵检测系统在流量流的任意部分寻找攻击模式,从而导致较高的错误告警几率。 例如,要确定某人是否尝试以根用户身份登录服务器,传统的基于签名的IDS会在传输中出现"root"字样时随时发送告警,导致错误告警的产生。Juniper网络公司ISG 中的应用层防护模块采用状态签名检测方法,仅在登录序列中查找字符串"root",这种方法可准确地检测出攻击。 Juniper网络公司ISG 中的应用层防护模块的所有签名都可经过简单的图形用户界面来接入,因此能够容易地了解系统在监控流量的哪一部分。另外,开放式签名格式和签名编辑器可用于迅速修改或添加签名。这两种功能使用户能够确定对其环境的重要部分,并确保系统也能够识别出这个重要部分。 然而,状态签名方法能够跟踪并了解通信状态,因此可缩小与可能发生攻击的特定站点相匹配的模式范围(通信模式和流方向 - 表示客户机至服务器或服务器至客户机的流量)。如上图所示,状态签名仅执行与可能发生攻击的相关流量相匹配的签名模型。这样,检测性能将显着提高,而且错误告警的数量也大大减少。 ISG 系统能够实现对攻击签名库的每日升级,JUNIPER公司将在自己的安全网站上进行攻击特征的每日更新,当前的攻击特征包括应用层攻击,蠕虫特征、网络病毒特征、P2P应用特征等多种攻击特征。能够对上述的非正常访问进行检测和阻挡。 协议异常检测 攻击者并不遵循某种模式来发动攻击,她们会不断开发并推出新攻击或复杂攻击。协议异常检测可用于识别与"正常"流量协议不同的攻击。例如,这种检测可识别出那种采用不确定的流量以试图躲避检测、并威胁网络和/或主机安全的攻击。以缓冲器溢出为例(见下图),攻击者在服务器的许可下使服务器运行攻击者的代码,从而获得机器的全部访问权限。协议异常检测将缓冲器允许的数据量与发送的数据量、以及流量超出允许量时的告警进行比较。协议异常检测与其所支持的多种协议具有同样的效力。如果协议不被支持,则无法在网络中检测出使用该协议的攻击。Juniper 网络公司ISG 中的应用层防护模块是第一种支持多种协议的产品,包括 SNMP(保护 60,000 多个薄弱点)和 SMB(保护运行于内部系统中的基于Windows的薄弱点)。 我们能够利用协议异常检测技术,检测到当前攻击特征码中没有定义的攻击,和一些最新出现的攻击,新的缓冲区溢出攻击就是要经过协议异常技术进行检测的,由于协议异常技术采用的是与正常的协议标准进行匹配,因此存在误报的可能性。 后门检测 Juniper网络公司ISG 中的应用层防护模块是能够识别并抵御后门攻击的产品。后门攻击进入网络并允许攻击者完全控制系统,这经常导致数据丢失,例如,攻击者能够利用系统的薄弱点将特洛伊木马病毒加载到网络资源中,然后经过与该系统进行交互来对其进行控制。然后,攻击者尝试以不同的命令发起对系统的攻击,或者威胁其它系统的安全。Juniper网络公司ISG 中的应用层防护模块能够识别交互式流量的独特特征,并对意外的活动发送告警。 后门检测是检测蠕虫和特洛伊木马病毒的唯一方式 : ü 查看交互式流量 ü 根据管理员的定义检测未授权的交互式流量 ü 检测每个后门,即使流量已加密或者协议是未知 4.4.3.2 应用层防护的步骤 Juniper的ISG 系统的应用层防护模块能够提供两种的接入模式,Active 模式和Inline_Tap模式,由于攻击检测本身所具有的误报性,建议用户在使用ISG 系统的应用层保护模块的时候,能够采用如下的配置步骤: 1． 经过防火墙安全策略的定制,将需要进行应用层攻击检测和防护的流量传给应用层防护模块,对于其它的无关紧要的网络数据流量,能够不需要经过应用层保护模块,只经过防火墙的检测就能够保证其安全性,这样的配置能够保证在将敏感数据进行了攻击检测的同时,最大限度的保证网络的性能,提高网络吞吐量,减少网络延迟。 2． 设备部署初期,对于需要检测的流量,我们首先能够将应用层防护模块采用Inline_Tap模式,这样的话,网络数据就会在经过防火墙检测后,直接进行转发,而紧紧是复制一遍到应用层保护模块,这个时候应用层保护模块相当于一个旁路的检测设备,仅仅对攻击进行报警,而不会对数据流有任何的影响。在这个时期,我们能够经过调整攻击特征码,自定制攻击特征等手段,来减少网络攻击的漏报率和误报率,提高攻击检测的准确性。 3． 当攻击检测的准确率达到一定的程度的时候,我们能够将应用层防护模块改为采用Active模式,Active模式的情况下,数据包在经过防火墙检测后,会接着进行应用层的检测,如果存在攻击,则进行报警或阻挡,然后再进行数据报的转发。在这个时期,我们能够对于一些比较肯定和威胁很大的攻击,在规则中配置成阻断攻击。如果发现这种攻击,我们能够在线的进行阻挡,对于其它的攻击,能够暂时采用仅仅报警的方式,继续修改相关的攻击特征码,最大限度的提高攻击检测的准确性。 4． 当攻击特征码优化到误报率很低的程度后,我们对大部分攻击都能够采用在线阻挡的模式,这样的话,就能够完全实现ISG 应用层防护模块的全部功能,大大减少了网络管理员安全响应额时间和工作量。 4.4.4 安全管理解决方案 Juniper的ISG 系统采用Juniper公司的统一安全管理平台NSM进行管理,NSM 不但能够管理ISG 系统上的防火墙模块、VPN模块和应用层保护模块,同时能够实现对多台ISG 设备的集中管理,这样我们就实现了在一个统一的界面上实现了对多台安全设备,多种安全技术的统一管理,安全策略的统一配置,安全事件和日志信息的统一查询和分析。 NSM系统为一套单独的软件系统,其服务器端软件能够安装在单独的LINUX或者SOLARIS主机上,客户端软件能够安装在WINDOW或者UNIX系统下。能够采用三层的架构对安全设备进行统一的管理。 5 方案中配置安全产品简介 5.1 Juniper公司介绍 Juniper网络公司致力于实现网络商务模式的转型。作为全球领先的联网和安全性解决方案供应商,Juniper网络公司对依赖网络获得关键基础设施的客户一直给予密切关注。公司的客户来自全球各行各业,包括主要的网络运营商、企业、政府机构以及研究和教育机构等。Juniper网络公司推出的一系列联网解决方案,提供所需的安全性和性能来支持全球最大型、最复杂、要求最严格的关键网络,其中包括全球顶尖的25家服务供应商和<财富>全球500强企业前15强中的8个企业。 Juniper网络公司成立的唯一宗旨是--预测并解决业内最高难度的联网和安全性问题。今天,Juniper网络公司经过以下努力,帮助全球客户转变她们的网络经济模式,从而建立强大的竞争优势: u § 保护网络安全,以抵御日益频繁复杂的攻击 u § 利用网络应用和服务来取得市场竞争优势 u § 为客户和业务合作伙伴提供安全的定制方式来接入远程资源 Juniper网络公司Juniper系列安全性解决方案可帮助企业经济高效地保护她们的远程站点、地区办事处、网络周边以及网络核心,而且不会对性能造成任何影响。Juniper一流的安全性功能能够以分层的方式部署于整个网络中,以提供所需的网络级和应用级防护。无论是为员工、合作伙伴和客户提供到非信任网络的安全接入,还是保护周边网络的安全、用IPSec虚拟专网(VPN)替代传统的WAN网络、将基于软件的传统防火墙整合到经优化的专用设备,或者是保护新的网络部署,如VoIP、无线LAN,外网或安全在线会议,Juniper解决方案都是企业和运营商网络的首选网络安全性解决方案。 Juniper解决方案在专用设备中集成了多层安全性技术,非常适用于保护关键资产的安全。它使用的主要技术包括: u 防火墙: Juniper状态型检测防火墙提供了强劲的网络接入控制和攻击限制特性,能够帮助客户有效地保护周边和核心网络基础设施。Juniper深度检测防火墙充分利用了状态型检测的优点并在防火墙中集成了入侵防护技术,可在网络周边提供应用级攻击防护。 u IPSec VPN: Juniper VPN解决方案能够提供具备故障恢复功能的安全连接来代替帧中继或专线,在企业总部、远程办公室和固定远程工作者之间提供全面的网络接入。 u 拒绝服务防护: 为了减小暴力攻击及其它基于网络的攻击的影响,客户可部署Juniper高性能产品来保护其Web基础设施的安全。 u 防病毒: 利用Trend Micro公司市场领先的网关防病毒技术,Juniper集成防病毒解决方案能够在分布式企业中提供更有效的应用层保护功能。 u 入侵防护: Juniper入侵防护设备远远超越了传统的入侵检测产品,它能够准确地检测网络、应用和混合攻击,而且使客户能够阻止攻击,保护关键资源。 u SSL VPN: Juniper的SA系列产品能够利用成熟的SSL安全协议,实现了有效的、安全的完成对局域网资源的访问,用户操作简单,无需单独客户端的安装。 u 安全会议: Juniper会议设备能够实现安全的跨企业在线会议,同时保证符合企业的安全性策略和监管要求,并减少来自互联网的攻击风险。 Juniper网络公司提供一系列全面、灵活、业界领先的技术支持、专业服务以及培训课程,帮助客户从她们的网络和安全性投资中获取最大的收益。 Juniper网络公司的支持服务系列可提供大型网络所要求的后备支持,并可让客户选择各种服务选项来补充她们的内部专业技术。Juniper网络公司支持服务还结合了积极主动的服务特性,以增强客户网络的性能。 Juniper网络公司专业服务部可提供业界领先的专业技术和定制的咨询服务,帮助客户规划新型业务和技术,设计下一代网络解决方案并以最高的效率来实施项目。 Juniper网络公司培训服务可提供专家培训和技术认证项目,经过标准的技术课程、基于web的课程、定制的专题研讨会以及动手实验课,帮助客户提高她们的IP网络专业技术。 5.2 Juniper ISG 系列安全网关 Juniper推出业内第一款整合了多种最佳网络边界安全功能的整合式安全网关 Juniper-ISG (Integrated Security Gateway), 可在有效防护来自网络层及应用层的威 胁的同时,为企业和运营商的网络提供最优化的性能并降低网络复杂性。 当前业内其它安全解决方案提供商的整合方式往往以牺牲网络性能为代价,并增加了网络复杂性。而Juniper的最新专属定制的系统采用模块化设计及独特的处理架构 – 包括基于Juniper的新型第四代ASIC芯片的整合了防火墙及VPN功能,不久的将来还可整合完善的入侵检测与防护(IDP)功能。Juniper-ISG 具备卓越的性能,以及灵活性和可扩展性,从而有效抵御今天和未来日益复杂的网络威胁。 Juniper-ISG 是企业、电信运营商和数据中心的网管人员的理想选择,可帮助她们有效应对不断增加且更为隐蔽的网络攻击,同时确保超卓的网络性能,平衡有限的网络资源和预算。 世界著名调研机构Infonetics Research的首席分析员 Jeff Wilson表示:”功能整合的安全设备已是大势所趋。然而,如果没有适当的设计和功能性的结合,就会造成网络性能或管理的障碍。Juniper处理这一问题时,对整合可能造成的缺陷非常清楚。而Juniper-ISG 是成功结合设备的管理能力、性能和不同安全功能的良好范例。” 独特的处理架构  Juniper-ISG 具备高达2 Gbps线速的防火墙速率及1 Gbps 3DES/AES IPSec VPN 速率;支持高达8兆的以太网连接或28 FE 以太网连接,甚至两种兼备。还可支持10,000个VPN 通道, 512,000个并发会话,每秒30,000个新会话。以上增强的性能是经过将几项灵活的处理功能相结合实现的:包括高性能双GHz CPU管理模块、现场可编程门阵列(FPGA)、以及新一代ASIC芯片GigaScreen3 ASIC。 GigaScreen3 ASIC是业内第一个具备千兆速率,硬件加速AES和3DES加密以及对任何大小的数据包进行千兆以上防火墙监测的可编程ASIC芯片。 与上一代相比,第四代ASIC芯片的性能提高了一倍,防火墙包处理速度(pps)高达每秒300万,加密数据包处理速度高达每秒150万,同时处理任何大小的数据包均保证传输流量的低延迟,这种特性对VoIP等新的应用来讲非常关键。另外,多重内嵌的处理器提升了拒绝服务式攻击(DoS)防护及加密碎片的功能,同时具备透过软件升级而未来进行新增功能的特性。 另外,Juniper-ISG 系统架构的独特设计可支持线速防火墙和VPN包处理功能,同时执行基于安全策略,将个别会话另行导向特定的安全模块,以进行进一步的安全处理,额外的安全处理所需的特定安全模块的会话重置。GigaScreen 3 ASIC可平衡处理多达三个安全模块的所有会话,而每一个模块都具备双GHz 中央处理器(CPU), 一个现场可编程门阵列(FPGAs)及内存,以运行入侵检测与防护(IDP)等额外的安全应用 。 除了设计独特的系统,Juniper-ISG 的用户还可受益于Juniper的操作系统软件ScreenOS中的网络和安全功能, 其中包括深层监测防火墙技术, 基于动态路由的VPN及虚拟系统功能,还包括对BGP, RIPv2及OSPF路由协议的支持,从而