fw-isg2000防火墙方案

fw-isg2000防火墙方案内容摘要：

配置了 4 个 GE光口，其中 1 个GE口配置成 HA 端口，另外的 2 个 GE口做数据接口 ，分别接 上联和下联的交换机。 路由模式 下 可以实施更多的功能，如：逻辑子接口终结 Vlan， IPsec VPN的终结 ，路由等； 基于安全区的 安全 配置 由于 ISG2020 防火墙处在 xxDMZ 区出口的边界的位置，所以在防攻击上需要针对安全区来进行防网络层和应用层攻击的设置。 基于安全区可以设置以下的防攻击内容：  SYN Attack（ SYN 攻击）  ICMP Flood（ ICMP 泛滥）  UDP Flood（ UDP 泛滥）  Port Scan Attack（端口扫描攻击）  Limit session（限制会话）  SYNACKACK Proxy 保护  SYN Fragment（ SYN 碎片）  SYN and FIN Bits Set（ SYN 和 FIN 位的封包）  TCP Packet Without Flag（无标记的 TCP 封包）  FIN Bit With No ACK Bit（有 FIN 位无 ACK 位）  ICMP Fragment（ ICMP 碎片）  Ping of Death  Address Sweep Attack（地址扫描攻击）  Large ICMP Packet（大的 ICMP 封包）  Tear Drop Attack（撕毁攻击）  Filter IP Source Route Option（过滤 IP 源路由选项）  Record Route Option（记录路由选项）  IP Security Option（ IP 安全性选项）  IP Strict Source Route Option（ IP 严格源路由选项）  Unknown Protocol（未知协议）  IP Spoofing（ IP 欺骗）  Bad IP Option（坏的 IP 选项）  IP Timestamp Option（ IP 时戳选项）  Loose Source Route Option  IP Stream Option（ IP 流选项）  WinNuke Attack（ WinNuke 攻击）  Land Attack  Malicious URL Protection（恶意 URL保护）  Block Java/ActiveX/ZIP/EXE Component(阻断 /ActiveX/ZIP/EXE)  Deny Fragment（阻断碎片）  Fragment Reassembly（碎片重组）  Aggressive Timing out（ 连接超时加速 ） 基于 策略 的安全 配置 需要根据服务器 提供服务的情况配置相应的策略 ， Juniper 公司的 ISG2020防火墙 在定义策略时，主要需要设定源 IP 地址、目的 IP 地址、网络服务以及防火墙的动作。 在设定网络服务时， Juniper 公司的 ISG2020 防火墙 已经内置预设了大量常见的网络服务类型，同时，也可以由客户自行定义网络服务。 在客户自行定义通过防火墙的服务时，需要选择网络服务的协议，是 UDP、TCP 还是其它，需要定义源端口或端口范围、目的端口或端口范围、网络服务在无流量情况下的超时定义等。 因此，通过对网络服务的定义，以及 IP 地址的定义，使 ISG2020 防火墙的策略细致程度大大加强，安全性也提高了。 除了定义上述这些主要参数以外，在策略中还可以定义用户的认证、在策略里定义是否要做地址翻译、带宽管理等功能。 通过这些主要的安全元素和附加元素的控制，可以让系统管理员对进出防火墙的数据流量进行严格的访问控制，达到保护内网系统资源安全的目的。 如果采用扩展的应用层防护模块，则在实施应用层安全防护上，可以采用两种模式： active 模式和 Inline_Tap 模式，由于攻击检测本身所具有的误报性，建议用户在使用 ISG2020 系统的应用层保护模块的时候，可以采用如下的配置步骤： 1． 通过防火墙安全策略的定制，将需要进行应用层攻击检测和防护的流量传给应用层防护模块，对于其他的无关紧要的网络数据流量，可以不需要通过应用层保护模块，只通过防火墙的检测就可以保证其安全性，这样的配置可以保证在将敏感数据进行了攻击检测的同时，最大限度的保证网络的性能，提高网络吞吐 量，减少网络延迟。 2． 设备部署初期，对于需要检测的流量，我们首先可以将应用层防护模块采用 Inline_Tap 模式，这样的话，网络数据就会在通过防火墙检测后，直接进行转发，而紧紧是复制一遍到应用层保护模块，这个时候应用层保护模块相当于一个旁路的检测设备，仅仅对攻击进行报警，而不会对数据流有任何的影响。 在这个时期，我们可以通过调整攻击特征码，自定制攻击特征等手段，来减少网络攻击的漏报率和误报率，提高攻击检测的准确性。 3．。