一体化信息安全解决方案

_Security in ePower Provincial Level NetworkJuniper Networks, Inc.目 录1.总体描述及总体方案建议11.1综述11.2系统现状和需求分析11.3方案设计概述31.3.1安全域的划分41.3.2安全策略设计：51.3.3防火墙系统的部署61.3.4入侵检测防御系统（IDP）的部署：71.3.5SSL VPN 安全接入系统部署72.系统详细设计方案82.1解决方案综述82.1.1一体化信息安全技术模型82.1.2电力信息系统安全域基本概念102.2XX电力网络安全域划分及防火墙部署方案112.2.1安全域的逻辑划分112.2.2防火墙系统部署方案152.3入侵检测防御系统设计与部署232.3.1入侵检测防御系统的需求及选型232.3.2IDP应用层防护的步骤272.3.3安全管理解决方案282.4SSL VPN 安全接入系统建设302.4.1安全接入技术的选择302.4.2方案建议312.4.3SSL VPN安全接入系统对安全的控制342.4.4SSL 远程安全接入方案实现说明353.方案产品介绍423.1Juniper ISG防火墙与入侵防护（IDP）产品介绍423.2Juniper SSL VPN 产品介绍474.Juniper 公司介绍48Juniper Networks, Inc. 第1页1. 总体描述及总体方案建议1.1 综述XX电力公司是一家大型国有企业。XX电力信息安全系统是XX电力公司计算机信息网络的重要组成部分。信息安全系统的目的是为营销管理、财务管理、生产管理、物资管理、办公自动化、信息共享、数据管理以及其它网络应用提供必备的安全网络环境和运行平台，为XX电力公司的信息化建设奠定坚实基础。由于电力系统一直以来网络结构和业务系统的相对封闭性，电力系统出现的网络安全问题也基本产生于内部。但是，随着近年来与外界接口的增加，特别是与电厂、银行等合作单位中间业务的接口、网上电力服务、三网融合、应用/数据集中化、内部各系统间的互联互通等需求的日益增多，其安全问题已不仅仅局限于内部事件了，来自外界及第三方合作伙伴的威胁已越来越多，已经成为电力信息网不可忽视的安全问题。计算机系统的安全重点在于防范于未然，即在安全事故发生之前就给予充分的重视，制定综合的安全管理策略，并建立起一套行之有效的可操作控制和集中管理的信息安全保障系统，对安全风险做到可知、可控、可防。因此尽早在XX电力建立和实施一套先进高效并基于风险控制与管理理论的完整的信息安全保障系统势在必行。1.2 系统现状和需求分析信息技术是公司提高生产和管理效率的一个有力手段。而一个安全可靠、结构合理、支持数字、视频和语音的网络平台则是企业信息化建设高效进行的前提和保障。如下图所示，从200X年开始XX电力就开始了网络安全的建设工作，至今已建设完成：总公司Internet DMZ 安全接入、总公司银行网关安全接入、全省桌面防病毒系统、总公司入侵检测系统、总公司安全扫描系统等安全子系统。通过多年的安全建设及安全实践工作XX电力从网络安全设施及安全运作上已经具备网络系统安全运行的基本保障能力。但随着电力行业完成组织机构重组和区域的重新划分之后，厂网分开、竞价上网的经营模式将逐步变为现实，这意味着电力系统一直以来相对封闭性网络结构和业务系统将被打破，与外界接口将进一步增加，特别是与银行、电厂等合作单位中间业务的接口，电力营销、网上客服、三网融合、数据大集中应用、内部各系统间的互联互通等需求将进一步发展，XX电力的安全问题将不仅仅局限于内部事件了，来自外界的攻击将越来越多，原有的安全结构及安全基础设施已越来越不适应XX电力下一步信息化建设发展的需求。其在信息安全技术上表现出的问题及需要解决的问题主要表现为： 1. 无完整的安全系统体系。未形成从网络安全到应用安全到安全管理、安全服务的完整安全体系。2. 网络结构不合理。原有的简单面向Internet接入及简单网络建设的“核心、汇聚、接入”思想已经不适应供电公司多业务、多合作伙伴、多供应商、多客户及多样化经营、移动办公的业务发展需求。其单一划一的核心接入汇聚方式已不能适应各业务单位的信息系统建设安全及资源保障要求。3. 内外网不分。全省的网络接入不论性质一律以生产数据网核心交换机为交换中心，低安全级别系统对高安全级别系统进行穿越，破坏安全体系，给信息网造成极大的安全隐患。4. 无安全数据中心。应用服务器群直接裸露在骨干网核心交换机上，极易受到病毒、黑客的攻击，造成应用系统的瘫痪。5. 数据中心未根据具体业务性质进行安全服务级别区分及控制。6. Internet的接入区仅靠防火墙系统进行安全保护，对数据流的深入分析能力较差，无法对DOS/DDOS攻击、垃圾邮件、协议非法使用、病毒等安全事件进行网关级的应对；7. 无法对有限的Internet互连网带宽资源进行有效带宽分配及控制；（如：无法对BT等P-P软件通过80端口对带宽进行非法占用进行控制）8. 无法对有限的广域网带宽资源进行有效带宽分配及控制；（如：进行电视会议或VOIP时是否有足够的广域网带宽支持，是否会出现马赛克）9. 下级单位、兄弟单位及小区的接入在安全上不可控，尤其是小区的接入。当网上任一单位发生病毒或蠕虫时会对其他单位造成巨大冲击，无法有效进行免疫隔离。10. 入侵防御系统漏报、误报，且仅提供带外监测，无法对其所发现的入侵行为进行有效响应。缺乏适合XX电力现有技术能力的在线的安全主动入侵防御系统。11. 缺乏移动安全接入的有效手段。无法对公司的领导及移动用户提供安全有效的移动接入方案。12. 缺乏为关键应用提供强认证及数据保密及数据一致性的安全基础设施-PKI系统。13. 所用网络、应用及安全监控及管理系统自成体系，缺乏综合、统一的网络及安全监控系统、分析系统及决策支持系统。14. 无全网统一的网络身份管理系统。造成大量的用户名及口令数据库系统孤岛，重复投资、重复建设。且每个用户需要面对大量用户名及口令，使用麻烦且极不安全存在极大安全隐患。15. 内部安全技术人员有较大的信息、时间及实践的局限性，无法面对日愈增多及日愈频繁和技术日愈复杂的病毒、蠕虫及黑客的攻击。综上所述，为适应XX电力将来信息系统建设发展的需求，XX电力的信息安全系统建设仍然有很长的路走。本次项目建设旨在为XX电力公司建立一个高效、安全、可靠的信息安全平台，为后续信息化建设奠定坚实的基础。从XX电力目前信息系统整体情况来看， 如何规划一个结构合理、技术先进、可管理、便于扩展的信息网络安防体系是本次项目建设的一个关键。l 本次项目的主要内容为：对XX电力信息系统进行安全域化分，并进行全网安全策略设计和规划，购买并合理部署相关的网络系统层、应用层、管理层的安全设施，为XX电力的信息系统建设奠定坚实的安全的基础。1.3 方案设计概述在上一章中，我们对本次项目建设的目标以及系统的现状进行了分析。除了安全设备的采购和安装部署外，怎样进行XX电力信息网络系统的合理安全结构设计、进行合理的安全域的划分和安全策略设计、进一步提高网络系统的安全和性能是本项目建设的一个重要目标。在进行方案设计时，我们详细分析了XX电力公司网络和业务系统的特点，并以JUNIPER公司电力信息系统安全解决方案为指导，针对XX电力信息系统就安全域划分、安全策略设置、防火墙系统的部署、入侵检测防御系统的部署、SSL VPN远程安全接入及审计管理、防火墙运行维护和日志分析等方面作出了详细的设计方案。本项目系统总图如下：方案概述1.3.1 安全域的划分安全域的划分是现代企业信息网络安全的根本基础之一，通过合理的安全域的划分和实现可帮助XX电力构筑一个层次性的、纵深的安全综合防护系统。安全域的划分主要由防火墙系统及入侵检测防御系统实现隔离，安全应用代理，防病毒/蠕虫及防垃圾邮件功能、SSL VPN系统、统一安全管理系统等进行配套而实现的。XX电力公司信息系统安全域的整体划分和实现如下图所示：为了提高整个XX电力信息系统的系统安全性和结构合理性，建议将XX电力公司信息网络根据其业务特性、职能划分及连接对象划分为Internet 接入区、DMZ 区（外网，为公共信息服务、拨号接入、小区住宅接入及Extranet 接入等应用提供等）、办公区、IDC 数据核心区（内网服务器集中保护区）及广域网接入区等5 大区域。将来如需要还可以进一步将安全区域细分。1.3.2 安全策略设计：在安全域划分的基础上，我们将不同的网络资源部署在相应的安全域中，利用防火墙的安全控制机制、入侵检测防御系统的防御机制来实现各安全域之间的访问控制。原则上，只允许各安全域根据服务和应用的需要开放相应的资源和访问端口，限制不必要的服务，提高本域的安全性；允许高安全级别用户访问低安全域中的资源。但不允许低安全域中的用户访问高安全域中的非授权资源。各安全域的总体安全策略设计示意如下图所示：1.3.3 防火墙系统的部署在Internet 接入区、DMZ 区（外网）、办公区、IDC 数据核心区及广域网接入区5 大区域的互联部分部署防火墙系统对以上各安全域实施有效的安全隔离及安全互联。其中，在Internet 接入区和内网与外网隔离点采用Netscreen千兆防火墙系统。通过双防火墙屏蔽的方式，在两个防火墙中间形成一个大的DMZ 区，即外网区，以满足公共服务提供，拨号接入、小区住宅接入及Extranet 接入等接入服务，同时进一步强化该区的安全。在内外网互联部分采用千兆防火墙系统进行隔离；在IDC 核心数据区，采用千兆防火墙系统进行隔离。为配合内网核心交换及IDC 数据核心的高可用性要求，该两部分防火墙系统为双机热备工作方式，负载均衡，互为备份。既可发挥双机双倍的性能，又可强化网络安全的可靠性，可充分满足IDC 数据中心对安全性、可靠性及性能的要求。1.3.4 入侵检测防御系统（IDP）的部署：由于入侵检测防御系统IDP采用带内工作方式，在发现攻击之时就可以将攻击数据包屏蔽，相比于只有报警而不能阻挡攻击的传统的IDS系统，IDP是真正的可检测并阻止攻击的技术。Juniper Netscreen可提供单独的IDP系统或者与防火墙硬件集成的方案。建议该系统配置于IDC 数据核心网络与内网核心交换机之间以配合IDC 的防火墙共同构成IDC 的完整防护体系。同时也可根据网络实际受到黑客或病毒及蠕虫的实际攻击情况灵活临时部署到任何需要的地方，在强化安全的同时不会给网络带来任何影响。1.3.5 SSL VPN 安全接入系统部署通过SSL VPN 安全接入系统平台的部署，用户在任何地方：无论是出差或是在家中或是在任何下属单位，只要能访问Internet，只要有标准的web 浏览器，无需进行任何部署或安装硬件、软件客户端设备，也无需对内部服务器进行任何修改，没有地址翻译穿越的影响，也不受私有地址冲突的影响，而且几乎不需要任何后期维护，所以可以方便地让用户安全地接入企业网络。同时，Juniper Netscreen-SA 系列的SSL VPN 安全接入系统平台还可以强制对远程用户的安装防火墙及防病毒软件做出要求；可支持用户的C/S 、B/S 应用；可支持包括双因素、数字证书在内的各种强认证方法；可支持比IPSEC 高得多的访问控制粒度。2. 系统详细设计方案1.4 解决方案综述通过对XX电力公司信息系统安全具体需求的详细分析，及对国内多个兄弟单位信息安全系统建设经验的借鉴，同时结合了我们多年的网络和安全系统实践经验，我们建议本次XX电力信息安全系统的建设应以电力信息系统安全域的划分为前提，以深层防御思想为指导，采用国内外先进的系统安全产品和技术，建设符合XX电力自身信息系统发展要求的全面的、系统的安全解决方案。1.4.1 一体化信息安全技术模型在安全技术体系上一体化信息安全技术模型主要包括：系统安全平台、应用安全平台和综合安全管理平台三个层面，通过三个层面平台的一体化部署及它们之间的相互支撑和配合充分地实现信息安全系统的P2DR2功能需求，即： Policy策略、Protection防护、Detection检测、Response响应和Recovery恢复五个方面的安全需求。系统安全平台：主要是指在安全域及深入防御思想的指导下，信息系统平台自身的安全加固及多安全域的配套安全设施强化。主要包括网络系统、主机系统及平台系统等系统自身的安全及安全加固（如用户弱口令强化、非使用网络服务关闭及系统升级打补丁等）；安全域的划分及安全强化设施（如防火墙、防病毒、入侵监测、漏洞扫描、物理隔离等）的合理部署。应用安全平台：主要完成网络资源的身份管理、身份认证及网络应用资源的访问控制。网络应用的集中登陆，集中访问控制。具体技术设施包括门户系统（Portal）、身份管理系统（IM）、访问控制系统（AM）、证书系统（PKI）等。安全管理平台：安全管理平台是安全技术体系的核心组成部分。是企业的安全管理中心（SMC）的重要支撑。主要完成安全系统的策略设置、安全事件监控及响应、安全审计、风险分析和决策支持。1.4.2 电力信息系统安全域基本概念安全域是根据信息性质、使用主体、安全目标和策略等的不同来划分的，是具有相近的安全属性需求的网络实体的集合。电力网络是一个多应用和多连接的网络。多应用体现在网络中同时运行公司的生产系统、管理系统、其他业务系统和办公系统；多连接体现为网络连接既有节点内部不同网段的连接（如生产网段和办公网段连接），又有节点间的连接（如总公司到省公司的连接、省公司到地市公司的连接、地市公司到县级公司的连接），同时还存在许多外部连接（如与小区的连接、地市公司与电厂的连接、与行业用户的连接、与银行的连接、拨号用户接入等）。这些应用和连接，很好的帮助了电力公司用户提高计算机在电力公司系统中的应用水平，实现电力信息化。但如同硬币有两个面一样，我们应该意识到事务的两面性，随着应用的不断增加，网络安全风险也会不断暴露出来。原来由单个计算机安全事故引起的损害可能传播到其他系统和主机，引起大范围的瘫痪和损失。而且由于电力公司属于商业系统，都有一些各自的商业机密信息，如果这些涉密信息在网上传输过程中泄密，其造成的损失将是不可估量的。目前的电力企业一般安全措施主要有：依靠防火墙进行互连网安全隔离，通过路由器的访问控制列表和划分VLAN的方式隔离网络，以及防病毒系统。以上这些安全措施的简单部署已经不能完全适应现代电力系统的安全需求。随着电力网络的逐渐复杂化，应用系统的逐渐增多，外联单位的逐渐众多，原有的居于简单安全域划分的网络设计结构已越来越不能适应电力行业信息网络建设的需要。因此，随着电力行业应用的多样化及网络的复杂化，电力信息系统越来越需要以多安全域为基础，进行新一代电力信息网络的安全规划及安全建设。对安全系数要求高的安全域来说，在安全域的边界一定要包含防火墙，对安全系数要求较低的安全域的边界可以使用VLAN或访问控制列表来代替。而有些安全域之间则必需通过物理隔离的方法来控制访问。1.5 XX电力网络安全域划分及防火墙部署方案1.5.1 安全域的逻辑划分根据我公司对实际需求的分析并结合国调对二次系统的相关建设要求，我们将XX电力信息系统划分为以下几个大的网络安全域：IDC核心区、办公区、广域网接入区、Intranet DMZ区（即外网部分，含Internet DMZ区）和Internet区等5个安全域。同时，通过对安全域的进一步细分，可以将上述安全域进一步细分为管理安全域、服务器群安全域、关键办公（人事、财务、领导部门）安全域、普通办公安全域、广域网接入安全域、Intranet DMZ服务安全域、拨号网接入安全域、Extranet接入安全域、Internet 接入安全域等。在本方案中，主安全域的划分主要通过防火墙及入侵检测防御系统（IDP）实现。通过其它安全系统进行安全配套。考虑到IDC核心区及办公区网络系统在整个XX电力信息系统中的核心地位，我们建议将原有的单机单网的核心网络交换机升级成为双机双网的的结构，通过双网双机的备份提高系统的性能及可靠性。局域网办公区和IDC核心区通过楼层/汇聚交换机接入核心交换。鉴于IDC核心区的安全性要求非常高，建业数据核心的交换机也配置为双交换机模式。除了部署防火墙模块和IDP入侵防御双机系统外，建议今后可进一步增加部署反向代理服务器、网络身份系统、访问控制系统、文件完整性系统等多种安全设施以确保IDC区的系统级安全及应用级安全。XX电力总公司安全域的逻辑细分图如下图所示：各地市公司的安全域逻辑细分如下图所示：建议关键地市采用模式一双机方式，其他地市局采用模式二方式。下面我们对各安全域进行更进一步说明：IDC数据核心区（内网服务器集中保护区）：建议在XX电力公司总部局域网，单独设立一个IDC核心区，主要用于部署关键的业务服务器系统，如生产管理信息系统、办公自动化系统、燃料管理系统的应用服务器和数据库服务器等。在IDC数据核心交换机与内网网络核心交换机之间部署Netscreen千兆防火墙系统。为IDC核心区提供安全隔离和访问控制的功能。鉴于可能受到来自公司总部局域网的非法入侵和攻击。为了解决这一问题，建议在数据核心交换机与网络核心交换机之间部署入侵防御IDP系统或在Netscreen防火墙上采用集成硬件IDP模块的方式，从而提高了IDC核心区对网络蠕虫和网络入侵的抗攻击能力。在IDC核心区中，还可根据具体得管理需要进一步细分为服务器区、存储备份区、管理区等等。局域网办公区：公司总部大楼办公用网络设备和计算机终端全部属于局域网办公区。根据具体管理及安全要求的不同该区可进一步细分为领导、财务、人事和普通办公VLAN等子安全域；广域网接入区完成广域网的安全接入功能。为各地市电厂等单位提供安全的广域网接入服务；Intrnet DMZ区（即外网区）：如上图所示，在公司总部设立Intranet DMZ区。建议使用Catalyst4500以上级别交换机作为外网核心交换机。根据所提供服务的不同，DMZ区可以进一步进行安全子域的划分，具体包括拨号接入区、小区和住宅接入区、Extranet接入区、公共信息服务提供区，以上网络区域的划分和安全隔离可通过外网核心交换机上的路由引擎ACL功能及配套防火墙系统来实现。各安全子域的具体功能描述如下：拨号接入区为移动拨号用户提供安全接入；Extranet接入区为相关Extranet行业单位提供安全接入；小区、住宅接入区为住宅区网络系统提供内部局域网和Internet访问服务；公共信息服务区DNS，安全代理、应用安全网关、邮件网关防病毒、防垃圾服务等公共服务部署在DMZ区，与关键的业务系统分离开来，为内部关键业务提供非军事化停火区，进一步提高公司总部内部局域网的安全性；Internet接入区：在internet接入区，可以通过防火墙、在线入侵防御系统、带宽管理系统、链路负载均衡设备等来提高internet接入的安全性和可靠性，保护局域网免受各种网络行为攻击。安全域划分的实现：通过防火墙及入侵检测防御系统实现IDC核心区、办公区、IntrenetDMZ区、Internet接入区及广域网接入区等主安全区域的划分。对以上所有安全区域网络的访问必须通过防火墙和入侵检测防御（IDP）系统进行安全检测；1.5.2 防火墙系统部署方案防火墙系统在网络边界设置进出口控制，可以防御外来攻击、监控往来通讯流量，是企业网络安全的第一道关卡，其重要性不言而喻。网络防火墙系统从其设置的物理位置来说，最恰当的位置就是不同安全级别的网络物理边界的出入口。所以可以说，网络安全系统最为关键的组成部分实际上是利用上述的各种技术手段，通过对网络出入口的控制实现安全服务的目的。目前所有厂商的高端防火墙系统本身都支持多物理端口，同时其物理端口还可进一步支持802.1Q协议。因此，安全域的划分既可通过网段的物理端口连接实现，也可以通过VLAN虚拟端口方式连接。我们可将安全等级不同的网络划分在不同物理网段或逻辑VLAN中，然后将物理网段直接与防火墙不同的物理端口相连或将VLAN指定为防火墙系统的某个接口的网逻辑子接口。这样，防火墙系统就成为不同网段或VLAN之间相互访问的唯一通道，所有跨网段或VLAN间的流量都要经过防火墙模块的检测，实现安全域的划分。一般防火墙系统往往和交换机路由功能配合使用。交换机路由引擎实现网络中的路由，并通过ACL设置来实现访问控制，防火墙系统则可以提供更加丰富和深入的网络安全防护功能。通过VLAN设置，网段在网络中的逻辑位置会产生相应的变化，从而使网络结构产生根本性的变化。在本方案中我们建议系统采用Netscren千兆防火墙系列产品：Netscreen-ISG1000, Netscreen-ISG2000与Netscreen-5200。 Netscreen ISG1000/2000是代表着全球最先进防火墙技术的产品，最有价值的优势在于其卓越的实际环境性能、稳定性和与IDP硬件集成的特性，Netscreen-5200是业界最高容量的防火墙，并可支持万兆以太网接口。Netscreen-ISG1000/2000, Netscreen-5200能全面适应XX电力安全发展的需要。该系列防火墙拥有高性能的真正的ASIC硬件平台、ScreenOS安全操作系统、 Security Manager集中管理工具、齐全的高密端口布局，体现了软硬兼顾、内外统一、应用灵活、集中管理等多种设计优点。本规划书中我们采用防火墙系统来对企业网络的所有不同安全域互联接口进行安全控制，包括Internet进出口控制、内网外网接口控制、广域网进出口控制及IDC 进出口控制总公司防火墙系统部署图如下图所示：FW1: Netscreen-ISG1000；FW2: Netscreen-ISG2000FW3/4: Netscreen-ISG1000FW5/6: Netscreen-ISG2000各地市公司的防火墙部署如下图所示：FW1/2: Netscreen-ISG1000FW3/4: Netscreen-ISG2000；FW1 : Netscreen-ISG1000FW2 : Netscreen-ISG2000防火墙高可用性设计由于XX电力公司的核心业务服务器、数据库服务器及所有的核心数据存储都位于IDC核心数据区，因此IDC数据核心网络是否能安全可靠运行关系到整个企业信息系统的安全性和稳定性。作为网络系统得重要组成部分之一，IDC核心数据区防火墙系统得可用性也将直接影响着整个IDC核心数据区的可用性。我们建议IDC区防火墙系统与其核心交换机系统一样采用双机方式运行。同时为了进一步充分发挥防火墙设备的高性能，我们建议该双机系统以并行方式运行，这样1+1=2 充分发挥双机的性能。真正意义上做到高可靠性和高性能兼得的双机运行。以冗余对方式部署时，操作系统可以在冗余系统之间自动映射配置，以提供工作防火墙和VPN会话的维护功能。这些设备可以使静态信息（如配置）和动态实时信息同步。因此在故障切换同步期间可以共享以下信息：连接/会话状态信息、IPSec安全性关联、NAT流量、地址簿信息以及配置变化等。 防火墙双机解决方案所采用的先进故障切换算法可提供网络流量重新路由，以免在出现设备故障的情况下发生连接中断。在进行故障切换时，备份设备已经包含有必要的网络配置信息、会话状态信息和安全关联，因此可以在一秒种之内完成切换，继续处理现有流量。利用内置的故障切换协议和动态路由功能，企业可以在全网状网络环境或负载分担环境中部署防火墙双机系统。 防火墙系统的双机工作方式可以提供多种配置选项，包括：主动/被动方式 及 主动主动方式。 主动/被动：一台设备作为主要设备，而另一台设备用作其备份。主设备向备份设备发送它的所有网络和配置设置以及当前的会话信息。如果主设备出现故障，备份设备就升级为主设备并继续进行流量处理。 主动/主动：两台设备都配置为主动，通过负载分担机制来分担分配给它们的流量。每一台设备约处理50%的网络和VPN流量。如果一台设备出现故障，那么另一台设备就成为主设备并处理所有流量。 主动/主动全网状：两台设备都配置为主动，网络和VPN流量同时通过两台设备。如果一台设备出现故障，那么另一台设备就成为主设备并继续处理所有流量。在全网状模式下，必须进行吞吐量调整以确保在出现故障切换时设备性能不会受到影响。为了实现最高的可用性并确保两个设备的同步，高端的防火墙安全产品一般都有一对专用的高可用性接口。如果到一个接口的连接由于某种原因而丢失，同步信息就会通过另一个接口传输。 n 心跳信息丢失 n 任何接口上的链路丢失 n 无法接入配置的IP地址或一组监控的IP地址 在本项目中我们采用主动/被动方式完成IDC隔离防火墙及内外网隔离防火墙的高可用设计。后期随着系统安全可靠性要求进一步提升，及信息中心技术人员技术的提升，我们建议将该防火墙双机系统的连接方式升级为Full Mesh 方式。 进行从设备到链路的全备份。其它建议分析：1. 防火墙位置：两台防火墙以高可靠HA结构部署, 就流量来说，ISG-1000/2000防火墙支持 背板2G/4G吞吐量, ，完全可以满足用户现有需求；就扩展性来说，以后如果流量有扩展性要求，Netscreen-ISG1000/2000 防火墙可以支持802.3ad协议，将多个接口捆绑扩展带宽。 因此从可预见的5-8年时间内，防火墙在此位置上不会形成整体系统的瓶颈问题。2. 防火墙工作模式建议防火墙的部署模式为路由模式，防火墙两侧为不同的网段，内侧为服务器群所处的网段，服务器的网关为防火墙内网口地址。路由模式的好处在于网络层次划分清晰，缺陷为需要调整现有网络拓扑。如果不想改变现有网络拓扑而直接加入防火墙，可以选用防火墙的透明模式。3. 防火墙之间的关系：NetScreen防火墙的高可用性协议NSRP，可以保证两台防火墙之间处于共同工作、互为状态备份的关系，消除单点故障。防火墙之间用HA线连接保证状态同步、协同工作以及必要数据转发。4稳定性和功能扩展性保障：Netscreen防火墙采用多总线的ASIC硬件结构，ASIC 技术在国外已经历了10多年的发展，技术成熟稳定。ASIC防火墙采用多组专门的ASIC芯片处理不同任务，如Session表维持、查找、防拒绝服务攻击、VPN加解密、应用层检测等资源耗用严重的任务，CPU配合处理一些简单功能调用。并且防火墙采用系统多总线结构设计，数据总线与控制总线分开，互不影响，在大任务量大流量环境下，ASIC防火墙可以保持一致的稳定性和性能，是关键网络中有保障的防火墙技术。由于Netscreen ASIC技术的成熟度以及与CPU配合处理的机制，保证了产品的功能集成度和扩展性， Netscreen防火墙从推出至今，其功能集成度和扩展速度一直保持业界领先5网络层访问控制：Netscreen防火墙可以基于源、目的地址、源、目的端口、协议类型、用户和时间进行细粒度的设置访问控制规则，控制进入服务器网段的流量和访问企图。6应用层入侵防御：Netscreen-ISG系列防火墙可扩展集成完整的IDP（应用层入侵检测与防御）功能模块，可以理解上百种应用协议的上层内容，识别并封堵3600多种攻击手法。省去了单独购买IDS或IDP设备的投资。并且集成化的设备也减少了数据流经过多个安全控制设备造成的延迟。7防病毒：Netscreen-ISG系列防火墙可扩展集成趋势科技的防病毒引擎和病毒库，可以不需要其它设备而实现对内部服务器的病毒/蠕虫防御功能，NetScreen防火墙能够对收到的SMTP、HTTP、POP3，FTP封包进行病毒扫描。当病毒扫描引擎发现封包内有病毒代码则丢弃该封包，并向客户端发送通知，如果没有在封包内发现病毒代码，则正常转发该封包。NetScreen防火墙支持自动更新最新的病毒库。8 抗拒绝服务攻击：可以在Netscreen防火墙上启用抗拒绝服务攻击功能，针对内部服务器群进行抗拒绝服务攻击防护，支持的抗攻击类型如：SYN Attack /Deny ICMP Flood /Deny UDP Flood /Limit Session /Deny SYN Fragment /Deny TCP Packet Without Flag /Deny SYN and FIN Bits Set /Deny FIN Bit With No ACK Bit /Deny Port Scan Attack /Deny ICMP Fragment /Deny Ping of Death Attack /Address Sweep Attack /Deny Large ICMP Packet /Deny Tear Drop Attack /Deny IP Source Route Option /Detect IP Record Route Option /Detect IP Security Option Detect IP Strict Source Route Option /Deny Unknown Protocol /Deny Fragment /Deny IP Spoofing Attack Deny Bad IP Option /Deny IP Timestamp Option /Detect IP Loose Source Route Option /Detect IP Stream Option /Filter WinNuke Attack / Deny Land Attack等9身份认证：Netscreen防火墙支持身份认证功能，包括本地认证（用户库设置在防火墙本地，认证判断在防火墙上进行） 和远程认证（用户库在远程认证服务器上，认证判断在认证服务器上进行）两种， 为实现动态口令式的身份认证，我们需要使用防火墙的远程认证功能，让防火墙与RSA认证服务器联动。具体方法为：我们需要部署一台RSA认证服务器，建议将RSA服务器也部署在服务器网段，使其同样受到防火墙的保护，在RSA服务器上设置了管理员用户的帐号库。 在防火墙上配置与RSA认证服务器通信的通道。一般外部用户在对内部服务器做正常访问时，不需要做身份认证，依据防火墙内设置的访问控制规则决定其是否允许通过；对于管理员用户，我们可以在防火墙上设置其对内部服务器管理端口访问的身份认证策略，管理员在管理服务器之前，必须登陆防火墙进行身份认证，即输入他的用户名和动态口令，防火墙将这两个信息转发给RSA认证服务器，由RSA做判决后返回信息通知防火墙认证是否有效。防火墙根据RSA服务器返回的结果，决定是否允许管理员对内部服务器管理端口的访问。10带宽管理：在一个高效管理的网络结构里，带宽管理是非常重要的功能，它能够避免在网络关键节点产生拥塞。防火墙系统通常会被部署在外网到内网、内网子网之间的关键位置，因此，防火墙具备必要的带宽管理功能对提高整个网络效率会起非常重要的作用。因此，防火墙应该支持基于Policy对带宽进行控制。防火墙对Policy的定义可以根据源地址、目标地址、源端口、目标端口以及时间段等多种因素，所以，对带宽管理的控制也是高度灵活的。通过实施带宽管理，可以保证关键应用的顺畅进行，同时，可以防止某些应用或某些用户无限制的消耗带宽，或防止某些攻击耗尽带宽。在实施的过程中，防火墙的流量算法可以精确控制带宽分配：类似于帧中继技术中的带宽管理功能，对特定的网络服务设定最小网络带宽（最小是10K）和最大网络带宽；另外，通过设置8级队列的优先级，为不同的流量分配优先权。1.6 入侵检测防御系统设计与部署1.6.1 入侵检测防御系统的需求及选型在现有网络中，通常大部分人认为传统防火墙可以保护处于它身后的网络不受外界的侵袭和干扰。但随着网络技术的发展，网络结构日趋复杂，传统防火墙在使用的过程中暴露出以下的不足和弱点：一、传统的防火墙在工作时，入侵者可以伪造数据绕过防火墙或者找到传统防火墙中可能敞开的后门；二、传统防火墙完全不能防止来自网络内部的袭击，通过调查发现，将近65%的攻击都来自网络内部，对于那些对企业心怀不满或假意卧底的员工来说，防火墙形同虚设；三、由于传统防火墙性能上的限制，通常它不具备实时监控入侵的能力；四、传统防火墙对于病毒的侵袭也是束手无策。正因为如此，那些认为在网络安全接口处设置传统防火墙系统就足以保护企业网络安全的想法是不切实际的。也正是这些因素引起了人们对入侵检测技术的研究及开发。入侵检测系统（IDS）可以弥补传统防火墙的不足，为网络提供实时的监控，并且在发现入侵的初期采取相应的防护手段，IDS系统作为必要附加手段。已经为大多数组织机构的安全构架所接受。经过近几年的发展，IDS产品开始步入一个快速的成长期，用户也开始认可IDS在网络安全防御中不可替代的作用。但是，与此同时，大家也逐渐意识到IDS所面临的问题：一、较高的漏报率和误报率；二、对IDS系统的管理和维护比较难，它需要安全管理员有足够的时间、精力及丰富的知识，以保持传感器的更新和安全策略的有效；三、当IDS系统遭受拒绝服务攻击时，它的失效开放机制使得黑客可以实施攻击而不被发现（IDS系统的失效开放机制是指，一旦系统停止作用，整个网络或主机就变成开放的。这与防火墙的失效关闭机制正好相反，防火墙一旦失效，整个网络是不可访问的）；四、最重要的是，IDS系统是以旁路的方式工作，只能检测攻击，而不能阻止攻击。IDP(入侵检测防御)系统可以补充上述产品的不足。其在线工作方式，多重有效的检测方式，及硬件级的高性能可使用户同时兼得IDS的全部技术优势及防火墙系统的在线执行能力。 Juniper公司提供独立的IDP产品线和与ISG防火墙集成硬件IDP模块的方式来保护客户的应用服务，满足客户的需求。当前，复杂的攻击以不同的方式出现在不同的客户环境中。Juniper网络公司ISG系列防火墙中的IDP应用层防护模块先进的攻击防护和定制功能有助于准确地检测攻击，并阻止其攻击网络，以避免产生损失。Juniper网络公司ISG系列防火墙中的IDP应用层防护模块先进的攻击防护功能具有以下特点： l 多种检测方法，包括复合签名、状态签名、协议异常以及后门检测。 l 开放式签名格式允许管理员查看攻击字符串如何匹配攻击签名，并根据需求对签名进行编辑。这种理解和定制级别允许管理员定制攻击签名，以满足独特的攻击要求。 l 全面的签名定制通过提供更高的控制能力，以适应签名的特定要求，从而增强检测独特攻击的能力。 复合签名：能够将状态签名和协议异常结合到单个攻击对象中，以检测单个会话中的复杂攻击，从而提高检测速度。 400多个定制参数和Perl式的常规表达式：能够定制签名或创建完全定制的签名。 多重方法攻击检测 Juniper网络公司的多重方法检测技术 (MMD) 将多种检测机制结合到单一产品中，以实现全面的检测。由于不同的攻击类型要求采用不同的识别方法，因此，仅使用几种检测方法的产品不能检测出所有类型的攻击。Juniper网络公司ISG防火墙中的IDP应用层防护模块采用多重方法检测技术能够最大限度地检测出各种攻击类型，确保不会遗漏关键的威胁。MMD 中采用的检测方法包括： 机 制说 明状态签名仅检测相关流量中的已知攻击模式协议异常检测未知或经过修改的攻击方式。后门检测检测未经授权的交互式后门流量。复合签名将状态签名和协议异常结合在一起，检测单个会话中的复杂攻击。状态签名检测某些攻击可以采用攻击签名进行识别，在网络流量中可以发现这种攻击模式。状态签名设计用于大幅度提高检测性能，并减少目前市场上基于签名的入侵检测系统的错误告警。Juniper网络公司ISG防火墙中的IDP应用层防护模块跟踪连接状态，并且仅在可能发生攻击的相关流量部分来查找攻击模式。传统的基于签名的入侵检测系统在流量流的任意部分寻找攻击模式，从而导致较高的错误告警几率。例如，要确定某人是否尝试以根用户身份登录服务器，传统的基于签名的IDS会在传输中出现root字样时随时发送告警，导致错误告警的产生。Juniper网络公司ISG防火墙中的IDP应用层防护模块采用状态签名检测方法，仅在登录序列中查找字符串root，这种方法可准确地检测出攻击。Juniper网络公司ISG防火墙中的IDP应用层防护模块的所有签名都可通过简单的图形用户界面来接入，因此可以容易地了解系统在监控流量的哪一部分。此外，开放式签名格式和签名编辑器可用于迅速修改或添加签名。这两种功能使用户能够确定对其环境的重要部分，并确保系统也能够识别出这个重要部分。 然而，状态签名方法可以跟踪并了解通信状态，因此可缩小与可能发生攻击的特定站点相匹配的模式范围（通信模式和流方向 - 表示客户机至服务器或服务器至客户机的流量）。如上图所示，状态签名仅执行与可能发生攻击的相关流量相匹配的签名模型。这样，检测性能将显着提高，而且错误告警的数量也大大减少。ISG防火墙集成的IDP系统可以实现对攻击签名库的每日升级，JUNIPER公司将在自己的安全网站上进行攻击特征的每日更新，目前的攻击特征包括应用层攻击，蠕虫特征、网络病毒特征、P2P应用特征等多种攻击特征。可以对上述的非正常访问进行检测和阻挡。协议异常检测 攻击者并不遵循某种模式来发动攻击，他们会不断开发并推出新攻击或复杂攻击。协议异常检测可用于识别与正常流量协议不同的攻击。例如，这种检测可识别出那种采用不确定的流量以试图躲避检测、并威胁网络和/或主机安全的攻击。以缓冲器溢出为例（见下图），攻击者在服务器的许可下使服务器运行攻击者的代码，从而获得机器的全部访问权限。协议异常检测将缓冲器允许的数据量与发送的数据量、以及流量超出允许量时的告警进行比较。协议异常检测与其所支持的多种协议具有同样的效力。如果协议不被支持，则无法在网络中检测出使用该协议的攻击。Juniper 网络公司ISG防火墙中的IDP应用层防护模块是第一种支持多种协议的产品，包括 SNMP（保护 60,000 多个薄弱点）和 SMB（保护运行于内部系统中的基于Windows的薄弱点）。我们可以利用协议异常检测技术，检测到目前攻击特征码中没有定义的攻击，和一些最新出现的攻击，新的缓冲区溢出攻击就是要通过协议异常技术进行检测的，由于协议异常技术采用的是与正常的协议标准进行匹配，所以存在误报的可能性。后门检测 Juniper网络公司ISG防火墙中的IDP应用层防护模块是可以识别并抵御后门攻击的产品。后门攻击进入网络并允许攻击者完全控制系统，这经常导致数据丢失，例如，攻击者可以利用系统的薄弱点将特洛伊木马病毒加载到网络资源中，然后通过与该系统进行交互来对其进行控制。然后，攻击者尝试以不同的命令发起对系统的攻击，或者威胁其它系统的安全。Juniper网络公司ISG防火墙中的IDP应用层防护模块能够识别交互式流量的独特特征，并对意外的活动发送告警。 后门检测是检测蠕虫和特洛伊木马的唯一方式 ：l 查看交互式流量 l 根据管理员的定义检测未授权的交互式流量 l 检测每个后门，即使流量已加密或者协议是未知 1.6.2 IDP应用层防护的步骤Juniper的ISG防火墙的IDP应用层防护模块可以提供两种的接入模式，Active 模式和Inline_Tap模式，由于攻击检测本身所具有的误报性，建议用户在使用ISG防火墙系统的IDP应用层保护模块的时候，可以采用如下的配置步骤：1. 通过防火墙安全策略的定制，将需要进行应用层攻击检测和防护的流量传给应用层防护模块，对于其他的无关紧要的网络数据流量，可以不需要通过应用层保护模块，只通过防火墙的检测就可以保证其安全性，这样的配置可以保证在将敏感数据进行了攻击检测的同时，最大限度的保证网络的性能，提高网络吞吐量，减少网络延迟。2. 设备部署初期，对于需要检测的流量，我们首先可以将应用层防护模块采用Inline_Tap模式，这样的话，网络数据就会在通过防火墙检测后，直接进行转发，而紧紧是复制一遍到应用层保护模块，这个时候应用层保护模块相当于一个旁路的检测设备，仅仅对攻击进行报警，而不会对数据流有任何的影响。在这个时期，我们可以通过调整攻击特征码，自定制攻击特征等手段，来减少网络攻击的漏报率和误报率，提高攻击检测的准确性。3. 当攻击检测的准确率达到一定的程度的时候，我们可以将应用层防护模块改为采用Active模式，Active模式的情况下，数据包在经过防火墙检测后，会接着进行应用层的检测，如果存在攻击，则进行报警或阻挡，然后再进行数据报的转发。在这个时期，我们可以对于一些比较肯定和威胁很大的攻击，在规则中配置成阻断攻击。如果发现这种攻击，我们可以在线的进行阻挡，对于其他的攻击，可以暂时采用仅仅报警的方式，继续修改相关的攻击特征码，最大限度的提高攻击检测的准确性。当攻击特征码优化到误报率很低的程度后，我们对大部分攻击都可以采用在线阻挡的模式，这样的话，就可以完全实现IDP应用层防护模块的全部功能，大大减少了网络管理员安全响应额时间和工作量。1.6.3 安全管理解决方案Juniper的Netscreen防火墙系统采用Juniper公司的统一安全管理平台NSM进行管理，NSM 不仅可以管理ISG防火墙系统的防火墙模块、VPN模块和IDP应用层保护模块，同时可以实现对多台防火墙设备的集中管理，这样我们就实现了在一个统一的界面上实现了对多台安全设备，多种安全技术的统一管理，安全策略的统一配置，安全事件和日志信息的统一查询和分析。通过提供集中的端到端生