2023年Juniper互联网数据中心网络安全解决方案建议书(2023年)
下面是小编为大家整理的2023年Juniper互联网数据中心网络安全解决方案建议书(2023年),供大家参考。
Juniper 互联网数据中心网络安全解决方案建议书 r Juniper 互联网数据中心 (IDC) 网络安全解决方案建议书 美国 r Juniper 网络 公司 目录 第一章 综述 ................................................................................................................................................... 3 1.1 前言 ................................................................................................................................................... 3 1.2 Juniper 的安全理念 .......................................................................................................................... 3 1.2.1 IPSec/SSL VPN ...................................................................................................................... 4 1.2.2 网络攻击检测 ........................................................................................................................ 4 1.2.3 访问操纵 ................................................................................................................................ 5 1.2.4 入侵预防 ................................................................................................................................ 5 1.2.5 管理方式 ................................................................................................................................ 6 1.2.6 合作方案 ................................................................................................................................ 6 1.2.7 流量操纵 ................................................................................................................................ 6 1.3 Juniper 的数据中心应用加速理念 .................................................................................................. 6 第二章 总体方案建议 ................................................................................................................................... 7 2.1 设备选型 .......................................................................................................................................... 7 2.1.1 防火墙 ................................................................................................................................... 7 2.1.2 入侵检测与防护 ................................................................................................................... 8 2.1.3 SSL VPN 网关 ....................................................................................................................... 8 2.1.4 应用加速 ............................................................................................................................... 9 2.2 应用与管理 .................................................................................................................................... 10 2.2.1 虚拟防火墙技术在 IDC 的应用方案 ................................................................................ 10 2.2.2 防火墙的网络地址转换实现方案 ..................................................................................... 11 2.2.3 安全策略的实施与应用 ..................................................................................................... 14 2.2.4 防火墙防网络层攻击保护 ................................................................................................. 15 2.2.5 防火墙管理 ......................................................................................................................... 19 2.2.6 IDP 刀片模块或者 IDP 设备对应用层的保护 .................................................................. 20 2.2.7 应用加速设备 DX 的使用 ................................................................................................. 23 第一章 综述 1.1 前言 随着计算机技术与通信技术的飞速进展,信息化浪潮席卷全球,一种全新的先进生产力的出现已经把人类带入了一个新的时代。信息技术的进展极大地改变了人们的生活、工作模式,网上新闻、网上购物、远程教育、电子商务等等各类应用层出不穷,世界各地的信息资源得到了高度的共享。这充分显示出信息化对社会生产力的巨大变革作用。
1.2 Juniper 的安全理念 网络安全能够分为数据安全与服务安全两个层次。数据安全是防止信息被非法探听;服务安全是使网络系统提供不间断的通畅的对外服务。从严格的意义上讲,只有物理上完全隔离的网络系统才是安全的。但为了实际生产与信息交换的需要,使用完全隔离手段保障网络安全很少被使用。在有了对外的联系之后,网络安全的目的就是使不良用心的人窃听数据、破坏服务的成本提高到他们不能承受的程度。这里的成本包含设备成本、人力成本、时间成本等多方面的因素。
为提高恶意攻击者的攻击成本,Juniper 的安全理念提供了多层次、多深度的防护体系,如图所示。
Juniper 提供了防火墙/VPN 系列设备与 IDP(入侵检测与防护)系列设备用以实现不一致层次的保护功能。针对不一致的应用环境有不一致的产品型号对应,而且提供集中式管理工具。
核心关键资源 Intrusion Prevention DoS Firewall IPSec VPN 集中管理 合作方案 1.2.1 IPSec/SSL VPN IPsec/SSL VPN 应用是为网络通信提供有效的信息安全手段。IPSec/SSL VPN 是被广泛认可的公开、安全的 VPN 标准,它从技术角度保证数据的安全性。VPN 应用中,多使用 3DES、AES 等加密技术与 MD5、SHA1 认证技术,这是目前广被认可的最先进、最有用的常用网络通信加密/认证技术手段。加密的目的是防止非法用户提取信息;认证的目的是防止非法用户篡改信息。
网络的 VPN 应用有两种:防火墙到防火墙、移动用户到 IPsec VPN/防火墙或者 SSL VPN 网关设备。前者是针对企业各分支机构,应用在各分支机构有固定 IP 地址的防火墙系统之间,供分支结构之间互通信息;后者针对移动办公的 IP 地址不固定的企业员工从 Internet 上对企业内部资源的访问,其中 SSL VPN 能够更好地为移动用户提供服务同时具备更强的安全性与可控性,是移动用户安全访问应用的技术趋势。
Juniper 能够实现 IPsec VPN 与防火墙功能的紧密结合,SSL VPN 解决方案在业界的市场占用率最高。
1.2.2 网络攻击 检测 对有服务攻击倾向的访问请求,防火墙采取两种方式来处理:禁止或者代理。关于明确的百害而无一利的数据包如地址欺骗、Ping of Death 等,防火墙会明确地禁止。对一些借用正常访问形式发生的攻击,由于不能一概否定,防火墙会启用代理功能,只将正常的数据请求放行。防火墙处在最前线的位置,承受攻击分析带来的资源损耗,从而使Global-Global-Central Mediu Small Network CoreVPN, Firewall, DoS Intrusion prevention MoManagement Tools 内部数据服务器免受攻击,用心做好服务。
由于防火墙主动承接攻击,或者主动分析数据避免攻击,其性能方面有一定的要求。完善的解决方案应该是安全产品从技术设计层面、实际应用层面能够承受大工作量下的性能、安全需求。
1.2.3 访问操纵 从外网(互联网或者广域网)进入企业网的用户,能够被防火墙有效地进行类别划分,即区分为企业移动用户与外部的公共访问者。防火墙能够同意合法用户的访问与限制其正常的访问,禁止非法用户的试图访问。
限制用户访问的方法,简单讲就是策略操纵。通过源 IP、目的 IP、源应用端口、目的端口等对用户的访问进行区分。此外,配合策略操纵,还有多种辅助手段增强这种策略操纵的灵活性与强度,如日志记录、流量计数、身份验证、时间定义、流量操纵等。
Juniper 的规则设置采取自上而下的传统。每条策略能够通过图形化的方式添加、修改、移动、删除,也能够通过 ID 号进行命令行操作。一些细小的特性使使用者感到方便,如能够在添加策略的同时定义 Address 等。
Juniper 支持 Zone 到 Zone 之间、相同 Zone 内、Zone 到其他所有 Zone 的策略定义,而且其不一致的策略种类具有不一致的优先级,充分表达出灵活性与有用性。
1.2.4 入侵预防 Juniper 建议使用单独的 NetScreen-IDP(入侵检测与防护)系列设备,或者者在 ISG系列防火墙内增加刀片式的 IDP(入侵检测与防护)安全模块。IDP(入侵检测与防护)不一致于常规意义的 IDS 产品,要紧有三方面的技术优势:1、主动防御。传统 IDS 使用 Sniffer 方式,在攻击产生后才响应,而且对 UDP 等方式的攻击无能为力。IDP(入侵检测与防护)能够使用 Active 方式,在攻击发生的同时进行保护,对所有的数据类型都有效。2、检测手段丰富。传统的 IDS 产品检测手段只有 2-3 种,多数使用“正向”误报产生告警;IDP(入侵检测与防护)为了实现精确报告,检测手段多达 7 种。3、管理方便。IDP(入侵检测与防护)使用分级式集中管理,能够高校利用管理资源,相较于基于单台设备进行管理的传统 IDS,能够节约管理时间,提高实施效率。
1.2.5 管理方式 任何网络设备都需要合理的管理方式。安全产品要求合理的、丰富的管理方式以提供给管理人员正确的配置、快速的分析手段。在整体的安全系统中,假如涉及数量较大的产品,集中的产品管理、监控将降低不必要的重复性工作,提高效率并减少失误。
1.2.6 合作方案 安全是一个融合了多种技术的整体系统,目前的趋势是越来越专业化。专业化的产品之间需要配合,通过合理的、灵活的配合实现整体系统的安全最大化。
1.2.7 流量操纵 IP 技术“尽力发送”的服务方式对服务质量操纵能力的欠缺是 IP 技术进展的桎梏。防火墙作为网络系统的关键位置上其关键作用的关键设备,对各类数据的操纵能力是保证服务正常运行的关键。不一致的服务应用其数据流量有不一致的特征,突发性强的FTP、实时性的语音、大流量的视频、关键性的 Telnet 操纵等。假如防火墙系统不能针对不一致的应用做出合理的带宽分配与流量操纵,某一个用户的应用会在一定的时间内独占全部或者大部分带宽资源,从而导致关键业务流量丢失、实时性业务流量中断等。
目前很多 IP 网络设备包含防火墙设备在 QoS 上采取了不一致的实现方法。具有 QoS机制的防火墙设备能够给用户最大的两或者操纵带宽效率的手段,从而保证服务的连续性、合理性。
1.3 Juniper 的数据中心应用加速理念 由于数据中心的进展趋势是 Web 应用越来越多,许多用户在访问应用时发现 Web服务器对应用的响应时间越来越慢,同时为确保 Web 应用交付的安全,我们愈加需要更高级别的多功能设备-应用前端(AFE)。通过结合关键功能以卸载(Offload) Web 服务器处理、加速 Web 浏览器会话并保护“Web 层”的安全,Juniper 网络公司 DX 系列应用加速平台可在易于管理且非常灵活的平台内提供前所未有的应用性能、安全性与可用性。
第二章 章 总体方案建议 XXXXIDC 的网络安全建设方案是参照国际通行的 PDRR(Protection-防护、Detection-检测、Respone-响应与 Recovery-恢复)安全模型进行设计的。
2.1 设备选型 2.1.1 防火墙 建议通过在IDC节点配置2 台NetScreen ISG1000 或者2 台NetScreen ISG2000的防火墙来进行网络安全保护。
ISG1000 是Juniper 公司2005 年初推出的防火墙产品,使用的是最新一代的 ASIC芯片(第 4 代安全 ASIC,即 GigaScreen3),集成了一流的深层检测防火墙、VPN 与DoS 防护解决方案,因此能够实现安全、可靠的连接与网络及应用级防护功能来保护关键的大流量网络分段,为大型企业、运营商与数据中心网络提供可扩展的网络与应用安全性。具体的性能指标是:
对大包与小包的最大吞吐能力在 都在 1Gbps 以上(对 IDC 而 而言,特别需要防火墙能够对实现对小包的高吞吐能力,在保护托管主机用户 的安全同时,) 不可能由于流量大或者小包多而成为网络瓶颈),总会话数 250,000 条,每秒钟的新建会话数达 20,000 条,3DES VPN 吞吐 1Gbps。
由于 ISG1000 使用的是下一代安全网络系统架构,具备良好的扩展能力,除了 2个外部数据插槽外(机箱上已有 4 个 10/100/1000 的电口),设备内部预留了 2 个扩展插槽,能够将应用层安全硬件模块(IDP 刀片)插入,从而实施基于硬件的全面的应用层入侵检测与防护,实施应用层防护的性能能够达到 1Gbps,在提高性能的同时,扩大对应用层保护的范围。
ISG2000 是Juniper 公司2004 年初推出的防火墙产品,使用的是最新一代的 ASIC芯片(第 4 代安全 ASIC,即 GigaScreen3),集成了一流的深层检测防...