juniper防火墙标准方案

juniper防火墙标准方案内容摘要：

时会话信息同步等功能，此时两台防火墙的会话状态表保持一致， 传递信息的流量实际并不大（主要是会话 建立的初期需要传递 较多的 会话的参数信息），所以两台防火墙的会话信息可以实时得到同步。 第二个端口 HA2配置为传递实际数据流量数据线路，主要是在不对称流量进出的情况发挥作用，即某一会话的流量进来是通过第一台防火墙，但是返回的流量却因为 相邻路由设备的原因发到了第二台防火墙，此时第二台防火墙进行会话状态检测后 发现是基于现有会话的，而且属于第一台防火墙处理的流量，于是将返回的流量通过 HA2 端口发给第一台防火墙。 两个 HA 端口可以作为备份，即实际上一个 HA 就可以实现以上功能 ，保证了网络的高可靠性。 在实际应用中，可以通过网络优化、路由调整的方法将不对称的流量减少，从而使得第二个端口 HA2 的负载处在合理水平。 以上的故障切换均可在小于 1 秒内完成，并且对用户流量透明。 具体切换的触发因素和检测方式列表如下： 故障描述 NSRP / Juniper 保护 Juniper 保护的故障 数据端口故障 (物理层和链路层 ) 冗余数据端口 HA 端口 冗余 HA 端口 电源故障 冗余电源 网络安全工程技术方案建议书 第 14 页 共 36 页 设备完全掉电 心跳信号 ScreenOS 系统故障导致流量不通过但端口是 up 的 (layer 3 故障 ) 心跳信号 相邻设备故障 完全掉电和不提供服务 IP 路径检测 路由器故障 端口故障 链路监测 设备故障 IP 路径检测 amp。 链路监测 应用故障 IP 路径检测 交换机故障 端口故障 链路监测 设 备故障 链路监测 应用故障 IP 路径检测 管理员控制的设备维护和 down 机 IP 路径检测 多设备故障 Juniper 和周围设备在不同路径故障 冗余端口 环境故障 物理接线故障 链路监测 电路故障 心跳信号 , 多电源 , 链路监测 , IP 路径检测 此外，由于实施了 Juniper 的冗余协议 NSRP，包括 VPN、地址翻译等多种应用的实时信息都得到同步，即对 VPN 连接、地址翻译连接的切换也是在小于 1 秒完成，所以在实施时具备很强的灵活性，适应了各种网络应用的情况。 而且查 错较为简单。 所以网络安全工程技术方案建议书 第 15 页 共 36 页 该方案的优势还是比较明显的，只需在实施时注意减少不对称路由的条数 ，让大部分的流量对称地传送，小部分 不对称 路由的 流量通过 HA2 口做“ h”型的转发即可。 防火墙 A和防火墙 B的 VLAN（ trunk协议）实现方案 Juniper 防火墙 在路由模式 的 （包括 5GT） 都支持 VLAN 终结 和 VLAN 间的路由 ，即在物理端口下可以开 的 逻辑子接口。 不同的逻辑子接口可以放在不同的安全区里面，然后可以对不同安全区之间的互相访问进行控制（缺省情况下的规则是不允许互相访问）。 Juniper 防火墙在透明模式下一般可以支持对不带 vlan tag标记和带 vlan tag标记的数据包的穿越，同时对该数据包的 IP 层及应用层的信息进行分析，从而可以更容易地将该防火墙部署到网络里面。 防火墙 A和防火墙 B 的动态路由支持程度的实现方案 Juniper 的防火墙 支持的路由协议包括： OSPF/BGP 动态路由； RIPv2 动态路由； 源 路由：即根据源 IP 地址 或源接口 来确定下 一跳 ； 多链路负载均衡： Juniper 防火墙支持 同一物理接口下 多链路 和不同不物理接口下的多链路 的负载均衡，最多的链路可达 4 条。 Juniper防火墙的三层接口，包括物理接口、逻辑子接口、 loopback接口、 VPN 通道接口等都可以运行动态路由； 防火墙的 VPN 实现方案 Juniper 防火墙的各个 三层 接口都可端结 IPsec VPN，并且可以实施基于策略的VPN（通过防火墙策略定义手动调用相应的 VPN），和基于路由的 VPN（通过路由协议自动选择相应的 VPN 隧道，然后单独实施防火墙策略）。 Juniper 防火墙 中整合了一个全功能 VPN 解决方案，它们支持站点到站点 VPN 及远程接入 VPN 应用。 网络安全工程技术方案建议书 第 16 页 共 36 页  通 过 VPNC 测试，与其他通过 IPSec 认 证的厂商设备兼容。  三倍 DES、 DES 和 AES 加密 ， 使用数字证书 (PKI )，自动的或手动的 IKE。  SHA1 和 MD5 认证。  同时支持网状式 (mesh)及集中星型 (hub and spoke)的 VPN 网络，可按 VPN 部署的需求，配置用其一或整合两种网络拓扑。  支持 IPsec NAT 穿越；  支持远程接入 VPN，即通过 PC 上的 VPN客户端（需客户自己提供）发起 IPsec VPN，并在防火墙上终结。 防火墙的安全控制实现方案 防火墙系统的安全策略是整个系统的核心，对于一个安全系统，安全策略的 制订至关重要。 策略本身出现问题，会导致整个安全系统产生致命的安全问题。 因此，对于安全系统的策略制订一定要遵守相关的原则。 几乎所有防火墙系统的安全策略由以下元素组成： 源地址 目的地址 服务 动作 所有防火墙策略的执行是按照前后顺序方式执行，当策略被执行后，其后的策略不被执行。 因此，在制订安全策略时要遵循以下原则：  越严格的策略越要放在前面  越宽松的策略越要往后放  策略避免有二意性 三种类型的策略 可通过以下三种策略控制信息流的流动：  通过创建区段间策略，可以管理允许从一个安全区段到另一个安全区段的信息流的 种类。  通过创建区段内部策略，也可以控制允许通过绑定到同一区段的接口间的信息流的类型。  通过创建全局策略，可以管理地址间的信息流，而不考虑它们的安全区段。 网络安全工程技术方案建议书 第 17 页 共 36 页 区段间策略 区段间策略提供对安全区段间信息流的控制。 可以设置区段间策略来允许、拒绝或设置从一个区段到另一个区段的信息流通道。 使用状态式检查技术， Juniper 设备保持活动 TCP 会话表和活动 UDP“ pseudo”会话表，以便允许它能回应服务请求。 例如，如果有一个策略允许从 Trust 区段中的主机 A 到 Untrust 区段中的服务器 B 的 HTTP 请求， 则当 Juniper 设备接收到从服务器 B 到主机 A 的 HTTP 回应时， Juniper 设备将接收到的封包与它的表进行对照检查。 找到回应批准 HTTP 请求的封包时， Juniper 设备允许来自 Untrust 区段中服务器 B 的封包穿越防火墙到达 Trust 区段中的主机 A。 要控制由服务器 B 发起的流向主机 A 的信息流（不只是回应由主机 A 发起的信息流），必须创建从 Untrust 区段中服务器 B 到 Trust 区段中主机 A 的第二个策略。 区段内部策略 区段内部策略提供对绑定到同一安全区段的接口间信息流的控制。 源地址和目的地址都在同一安全区段中，但是通过 Juniper 设备上的不同接口到达。 与区段间策略一样，区段内部策略也控制信息流单向流动。 要允许从数据路径任一端发起的信息流，必须创建两个策略，每个方向一个策略。 全局策略 与区段间和区段内部策略不同，全局策略不引用特定的源和目的区段。 全局策略引用用户定义的 Global 区段地址或预定义的 Global 区段地址“ any”。 这些地址可以跨越多个安全区段。 例如，如果要提供对多个区段的访问或从多个区段进行访问，则可以创建具有 Global 区段地址“ any”的全局策略， 它包含所有区段中的所有地址。 策略组列表 Juniper 设备维护三种不同的策略组列表，每种策略组列表对应于以下三种策略之一：  区段间策略  区段内部策略  全局策略 Juniper 设备接收到发起新会话的封包时，会记录入口接口，从而获知接口所绑定的源区段。 然后 Juniper 设备执行路由查询以确定出口接口，从而确定该接口所绑定的网络安全工程技术方案建议书 第 18 页 共 36 页 目的区段。 使用源区段和目的区段， Juniper 设备可以执行策略查询，按以下顺序查阅策略组列表： 如果源区段和目的区段不同，则 Juniper 设备在区段间策略组列表中执行策略查询。 （或 ）如果源区段和目的区段相同，则 Juniper 设备在区段内部策略组列表中执行策略查询。 如果 Juniper 设备执行区段间或区段内部策略查询，但是没有找到匹配策略，则 Juniper 设备会检查全局策略组列表以查找匹配策略。 如果 Juniper 设备执行区段间和全局策略查询，但是没有找到匹配项，Juniper 设备会将缺省的允许 /拒绝策略应用到封包： unset/set policy defaultpermitall。 （或）如果 Juniper 设备执行区段内部和全局策略查询，但是没有找到匹配策略， Juniper 设备会将该区段的区段内部阻塞设置应用到封包： unset/set zone zone block。 Juniper 设备从上至下搜索每个策略组列表。 因此，必须在列表中将较为特殊的策略定位在不太特殊的策略上面。 策略定义 防火墙提供具有单个进入和退出点的网络边界。 由于所有信息流都必须通过此点，因此可以筛选并引导所有通过执行策略组列表（区段间策略、内部区段策略和全局策略）产生的信息流。 策略能允许、拒绝、加密、认证、排定优先次序、调度以及监控尝试从一个安全区段流到另一个安全区段的信息流。 可以决定哪些用户和信息 能进入和离开，以及它们进入和离开的时间和地点。 策略的结构 策略必须包含下列元素：  区段（源区段和目的区段）  地址（源地址和目的地址）  服务  动作（ permit、 deny、 tunnel） 策略也可包含下列元素：  VPN 通道确定 网络安全工程技术方案建议书 第 19 页 共 36 页  Layer 2（第 2 层）传输协议 (L2TP) 通道确定  策略组列表顶部位置  网络地址转换 (NAT)，使用动态 IP (DIP) 池  用户认证  备份 HA 会话  记录  计数  信息流报警设置  时间表  信息流整形 时间表 通过将时间表与策略相关联，可以确定策略生效的时间。 可以将时间表配置为 循环生效，也可配置为单次事件。 时间表为控制网络信息流的流动以及确保网络安全提供了强有力的工具。 在稍后的一个范例中，如果您担心职员向公司外传输重要数据，则可设置一个策略，阻塞正常上班时间以外的出站 FTPPut 和 MAIL 信息流。 在 WebUI 中，在 Objects Schedules 部分中定义时间表。 在 CLI 中，使用 set schedule 命令。 基于安全区段的防火墙保护选项 防火墙用于保护网络的安全，具体做法是先检查要求从一个安全区段到另一区段的通路的所有连接尝试，然后予以允许或拒绝。 缺省情 况下，防火墙拒绝所有方向的所有信息流。 通过创建策略，定义允许在预定时间通过指定源地点到达指定目的地点的信息流的种类，您可以控制区段间的信息流。 范围最大时，可以允许所有类型的信息流从一个区段中的任何源地点到其它所有区段中的任何目的地点，而且没有任何预定时间限制。 范围最小时，可以创建一个策略，只允许一种信息流在预定的时间段内、在一个区段中的指定主机与另一区段中的指定主机之间流动。 网络安全工程技术方案建议书 第 20 页 共 36 页 为保护所有连接尝试的安全，防火墙设备使用了一种动态封包过滤方法，即通常所说的状态式检查。 使用此方法，防火墙设备在 TCP 包头中 记入各种不同的信息单元 — 源和目的 IP 地址、源和目的端口号，以及封包序列号 — 并保持穿越防火墙的每个 TCP 会话的状态。 （防火墙也会根据变化的元素，如动态端口变化或会话终止，来修改会话状态。 ）当响应的 TCP 封包到达时，防火墙设备会将其包头中包含的信息与检查表中储存的相关会话的状态进行比较。 如果相符，允许响应封包通过防火墙。 如果不相符，则丢弃该封包。 防火墙选项用于保护区段的安全，具体做法是先检查要求经过某一接口离开和到达该区域的所有连接尝试，然后予以准许或拒绝。 为避免来自其它区段的攻击，可以启用防御机制 来检测并避开以下常见的网络攻击。 下列选项可用于具有物理接口的区段（这些选项不适用于子接口）： SYN Attack（ SYN 攻击）、 ICMP Flood（ ICMP 泛滥）、 UDP Flood （ UDP 泛滥）和 Port Scan Attack（端口扫描攻击）。  SYN Attack（ SYN 攻击）： 当 网 络 中 充满 了会发出 无法完成 的连接请 求 的。