juniper一体化信息安全解决方案

juniper一体化信息安全解决方案内容摘要：

区、小区和住宅接入区、 Extra 接入区、公共信息服务提供区，以上网络区域的划分和安全隔离可通过外网核心交换机上的路由引擎 ACL 功能及配套防火墙系统来实现。 各安全子域的具体功能描述如下： 拨号接入区 为移动拨号用户提供安全接入； Extra 接入区 为相关 Extra 行业单位提供安全接入； 小区、住宅接入区 为住宅区网络系统提供 内部局域网和 Inter 访问服务； 公共信息服务区 DNS，安全代理、应用安全网关、邮件网关防病毒、防垃圾服务等公共服务部署在 DMZ 区，与关键的业务系统分离开来，为内部关键业务提供非军事化停火区，进一步提高公司总部内部局域网的安全性； Inter 接入区： 在 inter 接入区，可以通过防火墙、在线入侵防御系统、带宽管理系统、链路负载均衡设备等来提高 inter 接入的安全性和可靠性，保护局域网免受各种网络行为攻击。 安全域划分的实现： 通过防火墙及入侵检测防御系统实现 IDC 核心区、办公区、 IntreDMZ 区、Inter 接入区及广域网接入区等主安全区域的划分。 对以上所有安全区域网络 第 17 页 共 61 页 的访问必须通过防火墙和入侵检测防御（ IDP）系统进行安全检测； 防火墙系统部署方案 防火墙系统在网络边界设置进出口控制，可以防御外来攻击、监控往来通讯流量，是企业网络安全的第一道关卡，其重要性不言而喻。 网络防火墙系统从其设置的物理位置来说，最恰当的位置就是不同安全级别的网络物理边界的出入口。 所以可以说，网络安全系统最为关键的组成部分实际上是利用上述的各种技术手段，通过对网络出入口的控制实现安全服务的目的。 目前所有厂商的高端防火墙系统本身都支持多物理端口，同时其物理端口还可进一步支持 协议。 因此，安全域的划分既可通过网段的物理端口连接实现，也可以通过 VLAN 虚拟端口方式连接。 我们可将安全等级不同的网络划分在不同物理网段或逻辑 VLAN 中，然后将物理网段直接与防火墙不同的物理端口相连或将 VLAN 指定为防火墙系统的某个接口的网逻辑子接口。 这样，防火墙系统就成为不同网段或 VLAN 之间相互访问的唯一通道，所有跨网段或VLAN 间的流量都要经过防火墙模块的检测，实现安全域的划分。 一般防火墙系统往往和交换机路由 功能配合使用。 交换机路由引擎实现网络中的路由，并通过 ACL 设置来实现访问控制，防火墙系统则可以提供更加丰富和深入的网络安全防护功能。 通过 VLAN 设置，网段在网络中的逻辑位置会产生相应的变化，从而使网络结构产生根本性的变化。 在本方 案中我 们建议 系统 采用 Netscren 千兆 防火墙 系列 产品：NetscreenISG1000, NetscreenISG2020 与 Netscreen5200。 Netscreen ISG1000/2020 是代表着全球最先进防火墙技术的产品，最有价值的优势在于其卓越的实际环境性能 、稳定性和与 IDP 硬件集成的特性， Netscreen5200 是业界最高容量的防火墙，并可支持万兆以太网接口。 NetscreenISG1000/2020, Netscreen5200 能全面适应 XX 电力 安全发展的需要。 该系列防火墙 拥有高性能的 真正的 ASIC 硬件平台、 ScreenOS 安全操作系统、 Security Manager 集中 管理工具、齐全的高密端口布局，体现了软硬兼顾、内外统一、应用灵活、集中管理 第 18 页 共 61 页 等多种设计优点。 本规划书中我们采用防火墙系统来对企业网络的所有不同安全域互联接口进行安全控制，包括 Inter 进出口控制、内网外网接口控制、广域网进出口控制及 IDC 进出口控制 总公司防火墙系统部署图如下图所示： FW1: NetscreenISG1000； FW2: NetscreenISG2020 FW3/4: NetscreenISG1000 FW5/6: NetscreenISG2020 各地市公司的防火墙部署如下图所示： 第 19 页 共 61 页 FW1/2: NetscreenISG1000 FW3/4: NetscreenISG2020； FW1 : NetscreenISG1000 FW2 : NetscreenISG2020 防火墙高可用性设计 由于 XX 电力公司的核心业务服务器、数据库服务器及所有的核心数据存储都位于 IDC 核心数据区，因此 IDC 数据核心网络是否能安全可靠运行关系到整个企业信息系统的安全性和稳定性。 作为网络系统得重要组成部分之一， IDC核心数据区防火墙系统得可用性也将直接影响着整个 IDC 核心数据区的可用 性。 第 20 页 共 61 页 我们建议 IDC 区防火墙系统与其核心交换机系统一样采用双机方式运行。 同时为了进一步充分发挥防火墙设备的高性能，我们建议该双机系统以并行方式运行，这样 1+1=2 充分发挥双机的性能。 真正意义上做到高可靠性和高性能兼得的双机运行。 以冗余对方式部署时，操作系统可以在冗余系统之间自动映射配置，以提供工作防火墙和 VPN 会话的维护功能。 这些设备可以使静态信息（如配置）和动态实时信息同步。 因此在故障切换同步期间可以共享以下信息：连接 /会话状态信息、 IPSec 安全性关联、 NAT 流量、地址簿信息以及配置变化等。 防火墙 双机 解决方案 所 采用 的 先进故障切换算法 可提供 网络流量重新路由，以免在出现设备故障的情况下发生连接中断。 在进行故障切换时，备份设备已经包含有必要的网络配置信息、会话状态信息和安全关联，因此可以在一秒种之内完成切换，继续处理现有流量。 利用内置的故障切换协议和动态路由功能，企业可以在全网状网络环境或负载分担环境中部署 防火墙双机 系统。 防火墙系统的双机工作方式 可以提供多种配置选项，包括： 主动 /被动方式 及 主动主动方式。  主动 /被动：一台设备作为主要设备，而另一台设备用作其备份。 主设备向备份设备发送它的所有网络和配 置设置以及当前的会话信息。 如果主设备出现故障，备份设备就升级为主设备并继续进行流量处理。 第 21 页 共 61 页  主动 /主动：两台设备都配置为主动，通过负载分担机制来分担分配给它们的流量。 每一台设备约处理 50%的网络和 VPN 流量。 如果一台设备出现故障，那么另一台设备就成为主设备并处理所有流量。 第 22 页 共 61 页  主动 /主动全网状：两台设备都配置为主动，网络和 VPN 流量同时通过两台设备。 如果一台设备出现故障，那么另一台设备就成为主设备并继续处理所有流量。 在全网状模式下，必须进行吞吐量调整以确保在出现故障切换时设备性能不会受到影响。 第 23 页 共 61 页 为了实现最高的可用性并确保两个设备的同步，高端的 防火墙 安全产品 一般 都有一对专用的高可用性接口。 如果到一个接口的连接由于某种原因而丢失，同步信息就会通过另一个接口传输。  心跳信息丢失  任何接口上的链路丢失  无法接入配置的 IP 地址或一组监控的 IP 地址 在本项目中我们采用主动 /被动方式完成 IDC 隔离防火墙及内外网隔离防火墙的高可用设计。 后期随着系统安全可靠性要求进一步提升，及信息中心技术人员技术的提升，我们建议将该防火墙双机系统的连接方式升级为 Full Mesh 方式。 进行从设备到链路的全备份。 其它建议分析： 1. 防火墙位置：两台防火墙以高可靠 HA 结构部署 , 就流量来说， 第 24 页 共 61 页 ISG1000/2020 防火墙支持 背板 2G/4G 吞吐量 , ，完全可以满足用户现有需求；就扩展性来说，以后如果流量有扩展性要求， NetscreenISG1000/2020 防火墙可以支持 协议，将多个接口捆绑扩展带宽。 因此从可预见的 58 年时间内，防火墙在此位置上不会形成整体系统的瓶颈问题。 2. 防火墙工作模式建议防火墙的部署模式为路由模式，防火墙两侧为不 同的网段，内侧为服务器群所处的网段，服务器的网关为防火墙内网口地址。 路由模式的好处在于网络层次划分清晰，缺陷为需要调整现有网络拓扑。 如果不想改变现有网络拓扑而直接加入防火墙，可以选用防火墙的透明模式。 3. 防火墙之间的关系： NetScreen 防火墙的高可用性协议 NSRP，可以保证两台防火墙之间处于共同工作、互为状态备份的关系，消除单点故障。 防火墙之间用 HA 线连接保证状态同步、协同工作以及必要数据转发。 4．稳定性和功能扩展性保障： Netscreen 防火墙采用多总线的 ASIC 硬件结构， ASIC 技术在国 外已经历了 10 多年的发展，技术成熟稳定。 ASIC 防火墙采用多组专门的 ASIC 芯片处理不同任务，如 Session 表维持、查找、防拒绝服务攻击、 VPN 加解密、应用层检测等资源耗用严重的任务， CPU 配合处理一些简单功能调用。 并且防火墙采用系统多总线结构设计，数据总线与控制总线分开，互不影响，在大任务量大流量环境下， ASIC 防火墙可以保持一致的稳定性和性能，是关键网络中有保障的防火墙技术。 由于 Netscreen ASIC 技术的成熟度以及与 CPU 配合处理的机制，保证了产品的功能集成度和扩展性， Netscreen 防火墙从推出至今，其功能集成度和扩展速度一直保持业界领先 5．网络层访问控制： Netscreen 防火墙可以基于源、目的地址、源、目的端口、协议类型、用户和时间进行细粒度的设置访问控制规则，控制进入服务器网段的流量和访问企图。 6．应用层入侵防御： NetscreenISG 系列防火墙可扩展集成完整的 IDP（应 第 25 页 共 61 页 用层入侵检测与防御）功能模块，可以理解上百种应用协议的上层内容，识别并封堵 3600 多种攻击手法。 省去了单独购买 IDS 或 IDP 设备的投资。 并且集成化的设备也减少了数据流经过多个安全控制设备造成的延迟。 7．防病毒： NetscreenISG 系列防火墙可扩展集成趋势科技的防病毒引擎和病毒库，可以不需要其它设备而实现对内部服务器的病毒 /蠕虫防御功能，NetScreen 防火墙能够对收到的 SMTP、 HTTP、 POP3， FTP 封包进行病毒扫描。 当病毒扫描引擎发现封包内有病毒代码则丢弃该封包，并向客户端发送通知，如果没有在封包内发现病毒代码，则正常转发该封包。 NetScreen 防火墙支持自动更新最新的病毒库。 8． 抗拒绝服务攻击：可以在 Netscreen 防火墙上启用抗拒绝服务攻击功能，针对内部服务器群进行抗拒绝服务 攻击防护，支持的抗攻击类型如： SYN Attack /Deny ICMP Flood /Deny UDP Flood /Limit Session /Deny SYN Fragment /Deny TCP Packet Without Flag /Deny SYN and FIN Bits Set /Deny FIN Bit With No ACK Bit /Deny Port Scan Attack /Deny ICMP Fragment /Deny Ping of Death Attack /Address Sweep Attack /Deny Large ICMP Packet /Deny Tear Drop Attack /Deny IP Source Route Option /Detect IP Record Route Option /Detect IP Security Option Detect IP Strict Source Route Option /Deny Unknown Protocol /Deny Fragment /Deny IP Spoofing Attack Deny Bad IP Option /Deny IP Timestamp Option /Detect IP Loose Source Route Option /Detect IP Stream Option /Filter WinNuke Attack / Deny Land Attack 等 9．身份认证： Netscreen 防火墙支持身份认证功能，包括本地认证（用户库设置在防火墙本地，认证判断在防火墙上进行） 和远程认证（用户库在远程认证服务器上，认证判断在认证服务器上进行）两种， 为实现动态口令式的身份认证，我们需要使用防火墙的远程认证功能，让防火墙与 RSA 认证服务器联动。 具体方法为：我们需要部署一台 RSA 认证服务器，建议将 RSA 服务器也部署在服务器网段，使其同样受到防火墙的保护，在 RSA 服务器上设置了管理员用户 第 26 页 共 61 页 的帐号库。 在防火墙上配置与 RSA 认证服务器通信的通道。 一般外部用户在对内部 服务器做正常访问时，不需要做身份认证，依据防火墙内设置的访问控制规则决定其是否允许通过；对于管理员用户，我们可以在防火墙上设置其对内部服务器管理端口访问的身份认证策略，。