Juniper防火墙标准解决方案

计算机网络系统 防火墙部署工程

技术方案

网络安全工程技术方案建议书

目录

第一章 Juniper的安全理念 ......................................................................................................................... 3

1.1 基本防火墙功能 ...................................................................................................................... 3 1.2 内容安全功能 .......................................................................................................................... 4 1.3 虚拟专网(VPN)功能 ............................................................................................................... 7 1.4 流量管理功能 .......................................................................................................................... 7 1.5 强大的ASIC的硬件保障 ....................................................................................................... 8 1.6 设备的可靠性和安全性 .......................................................................................................... 8

1.7 完备简易的管理 ...................................................................................................................... 9

第二章 项目概述 ........................................................................................................................................... 9 第三章 总体方案建议 ................................................................................................................................. 10

3.1 防火墙A和防火墙B的双机热备、均衡负载实现方案 ........................................................... 10 3.2 防火墙A和防火墙B的VLAN（802.1Q的trunk协议）实现方案 ....................................... 16 3.3 防火墙A和防火墙B的动态路由支持程度的实现方案 ........................................................... 17 3.4 防火墙的VPN实现方案 .............................................................................................................. 17 3.5 防火墙的安全控制实现方案 ........................................................................................................ 18 3.6 防火墙的网络地址转换实现方案 ................................................................................................ 26 3.7 防火墙的应用代理实现方案 ........................................................................................................ 29 3.9 防火墙用户认证的实现方案 ........................................................................................................ 29 3.10 防火墙对带宽管理实现方案 ...................................................................................................... 31 3.11 防火墙日志管理、管理特性以及集中管理实现方案 .............................................................. 32

第 2 页 共 38 页

网络安全工程技术方案建议书

第一章 Juniper的安全理念

网络安全可以分为数据安全和服务安全两个层次。数据安全是防止信息被非法探听；服务安全是使网络系统提供不间断的通畅的对外服务。从严格的意义上讲，只有物理上完全隔离的网络系统才是安全的。但为了实际生产以及信息交换的需要，采用完全隔离手段保障网络安全很少被采用。在有了对外的联系之后，网络安全的目的就是使不良用心的人窃听数据、破坏服务的成本提高到他们不能承受的程度。这里的成本包括设备成本、人力成本、时间成本等多方面的因素。Juniper的整合式安全设备是专为互联网网络安全而设，将硬件状态防火墙、虚拟专用网（IPsec VPN）、入侵防护（IPS）和流量管理等多种安全功能集于一体。Juniper整合式安全设备具有ASIC芯片硬件加速的安全策略、IPSec加密演算性能、低延时，可以无缝地部署到任何网络。设备安装和操控也是非常容易，可以通过内置的WebUI、命令行界面或中央管理方案进行统一管理。

1.1 基本防火墙功能

Juniper提供了可扩展的网络安全解决方案，适用于包括宽带移动用户、中小型企业Internet边界、大型企业的内部网络安全域划分和控制，以至电子商务网站的服务器保护等等。Juniper全功能防火墙采用实时检测技术，可以防止入侵者和拒绝服务(denial-of-service)的攻击。

Juniper防火墙采用ScreenOS软件，是经过ICSA认证的实时检测防火墙。 Juniper的防火墙系列采用安全优化的硬件（包括ASIC芯片和主板、操作系统和防火墙），比拼凑而成的软件类方案提供更高级的安全水平。

Juniper的防火墙系列提供强大的攻击防御能力，包括SYN攻击、ICMP泛滥、端口扫描(Port Scan)等攻击防御能力，配备硬件加速的会话建立 (session ramp rates)性能，即使在最关键性的环境下也可以提供安全保护。

Juniper的防火墙系列提供各种网络地址翻译(NAT)、端口地址翻译(PAT)的功能――有效隐藏内部、无法路由的IP地址。

第 3 页 共 38 页

网络安全工程技术方案建议书

1.2 内容安全功能

Juniper提供多样的内容安全功能，包括深层检测功能、防病毒、垃圾邮件过滤、和网页过滤4种，并且可以提供试用的临时许可license，可以让用户在一定时间内下载特征库及使用该内容安全更新。过了试用期后，用户必须定购年度服务来获得最新的入侵防护攻击库、病毒库、并得到垃圾邮件和网页过滤的定时更新。

用户可以分别购买某个单项的内容安全服务，也可以购买价格更加优惠的4项打包的内容安全服务。

1.2.1 深层检测功能(Deep Inspection)

深层检测功能（Deep Inspection，简称DI）是Juniper的防火墙操作系统ScreenOS里集成的一个专门对网络流量里的应用层攻击（包括网络蠕虫、木马和恶意软件）进行检测的功能，其实就是将Juniper的IPS/IDP的入侵检测和防护的功能集成到Juniper防火墙的ScreenOS里面，对会话实施基于状态的策略的同时进行对应用层攻击特征的匹配，并且作出相应的保护动作。Juniper的防火墙针对流量的应用层的分析和特征匹配进行了一系列的优化，降低了对数据吞吐能力的影响。

为了减少对防火墙性能的影响，Juniper为深层检测提供4种特征包，让IT管理员根据需要保护的资源而灵活选择下载、更新和采用，包括： 1、

基础版（Base）特征包：针对中小型企业的全面防护（包括保护C/S应用和防蠕虫）； 2、

服务器（Server）特征包：针对服务器群进行保护（包括保护IIS、Exchange和Oracle服务器等）； 3、

客户端（Client）特征包：针对分布式企业的中小型分支机构客户端设备进行保护（如手提电脑等）； 4、

常见蠕虫保护（Worm）特征包：针对大企业的分支机构提供全面的常见的蠕虫保护。

深层检测（DI）防火墙被设计用来对网络上一系列最常见的协议（如HTTP, DNS, FTP, SMTP, POP3, IMAP, NetBIOS/SMB, MS-RPC, P2P, 和IM等）的应用层保护，并且可在将来简单地添加更多的协议。对这些协议，深层检测（DI）防火墙采用和数据接收方（如服务器和客户端的应用）相同的方式来理解应用层信息。为了精确地理解应用层信

第 4 页 共 38 页