网络安全解决方案1.1. 用户现状与需求分析1.1.1. 用户现状 TCL公司现在的网络使用JUNIPER SSG550M的防火墙，该防火墙使用已有几年了使用一直很稳定。现由于业务的不断的发展，公司的网络规模也越来越大，其性能已经不能满足使用需求了，故需求更换性能更高的防火墙。1.1.2. 需求分析 从TCL有限公司的目前网络状况来看，需要规划的网络状况如下：网关处需要有防火墙设备，保护内部电脑免受来自互联网的各种威胁网关处部署防火墙设备容易引起单点故障，所我们建议使用两台同型防火墙作双机热备。由于大部分应用来自内网，因此内网到服务器之间应该由防火墙建立专有的区域保护服务器避免受到来自内网的攻击。从上面的分析结果可以看出，需要解决上述问题,是此次方案的设计目标,本方案的设计目标如下： 网关处架设两台专业的防火墙做HA，使用防火墙连接到互联网，使本地网络免受一些来自互联网的攻击、威胁。 对内网用户访问外部的应用作限制同时防火墙应具备极强的防止四层以上攻击的入侵检测功能，以保证内外网的安全隔离。 使用防火墙IPS功能模块.对内网、外网的出入数据作检测，预防网络攻击行为。1.2. 防火墙网络安全方案设计针对以上需求分析及实现的设计目标，我们设计了以下的方案来完成网络连接。此方案既能解决当前面临的互联网安全问题，也能满足当前以及未来的应用需要。1.2.1. 方案拓朴1.2.2. 拓朴描述1、在网关处部署两台JUNIPER ISG 1000防火墙作HA。2、防火墙下面分别针对每个部门建立一个处立的区域。3、每个区域之间通过策略来控制通信。1.2.3. 方案实施 由于现在公司的现状我们本次项目的实施暂时部署一台防火墙，到第二期时再部署另一台防火墙，与本期的防火墙作HA。 1.3. Juniper ISG1000 产品介绍1.3.1. 产品概述 Juniper推出业内第一款整合了多种最佳网络边界安全功能的整合式安全网关 Juniper-ISG 1000（Integrated Security Gateway）, 可在有效防护来自网络层及应用层的威胁的同时，为企业和运营商的网络提供最优化的性能并降低网络复杂性。目前业内其他安全解决方案提供商的整合方式往往以牺牲网络性能为代价，并增加了网络复杂性。而Juniper的最新专属定制的系统采用模块化设计及独特的处理架构 包括基于Juniper的新型第四代ASIC芯片的整合了防火墙及VPN功能，不久的将来还可整合完善的入侵检测与防护(IDP)功能。Juniper-ISG 1000具备卓越的性能，以及灵活性和可扩展性，从而有效抵御今天和未来日益复杂的网络威胁。 Juniper-ISG 1000是企业、电信运营商和数据中心的网管人员的理想选择，可帮助他们有效应对不断增加且更为隐蔽的网络攻击，同时确保超卓的网络性能，平衡有限的网络资源和预算。世界著名调研机构Infonetics Research的首席分析员 Jeff Wilson表示：“功能整合的安全设备已是大势所趋。然而，如果没有适当的设计和功能性的结合，就会造成网络性能或管理的障碍。Juniper处理这一问题时，对整合可能造成的缺陷非常清楚。而Juniper-ISG 1000是成功结合设备的管理能力、性能和不同安全功能的良好范例。” 独特的处理架构Juniper-ISG 1000具备高达1Gbps线速的防火墙速率及1 Gbps 3DES/AES IPSec VPN 速率；支持高达8个千兆的以太网连接或28个 FE 以太网连接，甚至两种兼备。还可支持10,000个VPN 通道， 250,000个并发会话，每秒20,000个新会话。以上增强的性能是通过将几项灵活的处理功能相结合实现的：包括高性能双GHz CPU管理模块、现场可编程门阵列（FPGA）、以及新一代ASIC芯片GigaScreen3 ASIC。 GigaScreen3 ASIC是业内第一个具备千兆速率，硬件加速AES和3DES加密以及对任何大小的数据包进行千兆以上防火墙监测的可编程ASIC芯片。与上一代相比，第四代ASIC芯片的性能提高了一倍，防火墙包处理速度(pps)高达每秒300万，加密数据包处理速度高达每秒150万，同时处理任何大小的数据包均保证传输流量的低延迟，这种特性对VoIP等新的应用来讲非常关键。另外，多重内嵌的处理器提升了拒绝服务式攻击（DoS）防护及加密碎片的功能，同时具备透过软件升级而未来进行新增功能的特性。 此外，Juniper-ISG 1000系统架构的独特设计可支持线速防火墙和VPN包处理功能，同时执行基于安全策略，将个别会话另行导向特定的安全模块，以进行进一步的安全处理，额外的安全处理所需的特定安全模块的会话重置。GigaScreen 3 ASIC可平衡处理多达三个安全模块的所有会话，而每一个模块都具备双GHz 中央处理器（CPU）, 一个现场可编程门阵列（FPGAs）及内存，以运行入侵检测与防护（IDP）等额外的安全应用 。除了设计独特的系统，Juniper-ISG 1000 的用户还可受益于Juniper的操作系统软件ScreenOS中的网络和安全功能, 其中包括深层监测防火墙技术, 基于动态路由的VPN及虚拟系统功能，还包括对BGP, RIPv2及OSPF路由协议的支持，从而可简化多种复杂环境下的设备部署。ISG1000系统中也可以集成IDP（入侵防护）模块，该模块采用了多种检测方法和强大的签名定制功能，可提供在线攻击防护功能，来防止恶意攻击、蠕虫、病毒和特洛伊等对内部网络敏感资源的窃取和破坏，可以有效地识别并阻止您网络中的攻击，从而最大限度地缩短处理入侵的时间并降低成本。同时，ISG1000系统还具备双主动(Active-Active)或主动-被动(Active-Passive)模式的高可用性选择，该功能可避免单点故障，将网络连通性及生产力最大化。 Juniper亚太区高级市场总监PaulSerrano说：“新推出的具高扩展性的Juniper-ISG1000平台代表了一个新的产品等级，此类产品可有效防范当今日趋复杂的网络层和应用层的攻击，并同时确保最佳的网络性能和最简单的管理操作。其独特的处理架构和模块化的设计可实现网络性能和安全功能的可扩展性，从而在今天和未来有效确保网络安全。”1.3.2. 产品特性和优势特性特性描述优势专用平台专用的、安全性特定的处理硬件和软件平台 。提供所需的性能来保护高速局域网环境。 可预测的性能 基于ASIC 的架构以数千兆位的速度为各种规格的数据包提供线性性能 。确保VoIP和流媒体等敏感应用的低延迟 。系统和网络永续性 硬件组件冗余，多个高可用性选项和基于路由的 VPN 。提供高速网络部署所需的可靠性 最佳的网络安全特性内嵌的 Web 过滤、防垃圾邮件、IPS、ICAP防病毒重定向和可选的集成 IDP。 赛门铁克(Symantec)和SurfControl等世界知名的安全合作伙伴提供更多的安全特性 。接口灵活性模块化架构允许通过广泛的铜线和光纤接口选项部署系统。简化网络集成工作并降低将来的网络升级成本 。网络分区安全区、虚拟局域网和虚拟路由器支持管理员部署安全策略，以便隔离访客、地区服务器或数据库。 强大的功能可促进为网络中不同的内外部和DMZ子组部署安全性，以防非法访问 。集中管理通过NSM集中管理瞻博网络公司防火墙和IDP产品。跨越多个平台实现紧密集成，以实现简单直观的网络级安全管理。 强韧的路由引擎公认的路由引擎支持OSPF、BGP和 RIP v1/2 以及帧中继、多链路帧中继、PPP、多链路PPP和HDLC 。允许部署整合后的安全和路由设备，从而降低运行和购置成本 。全面的威胁防护专用处理模块允许通过单一解决方案提供最佳的数千兆防火墙/VPN/IDP性能。无与伦比的性能，保护网络免遭高速网络中所有类型的攻击 。世界一流的专业服务从单一实验室测试到大型网络实施，瞻博网络公司的专业服务都将竭诚和您的团队合作, 来确定目标、定义部署流程、创建或验证网络设计并管理部署项目。转变网络基础设施，确保基础设施的安全性、灵活性、可扩展性和可靠性。1.3.3. 产品技规格本规格对应的ScreenOS版本ScreenOS 6.1防火墙性能（大数据包） 2Gbps 防火墙性能（小数据包） 1 Gbps 防火墙数据包转发性能/pps（64 字节数据包） 1.5 M PPS AES256+SHA-1 VPN 性能1 Gbps 3DES+SHA-1 VPN 性能1 Gbps 最多并发会话数(3)250,000 每秒新建会话数（有背景流压力）(7)20,000 最多安全策略数 30,000 最多支持的用户数不限 固定 I/O 0 接口扩展插槽4 局域网接口选项8个mini-GBIC (SX, LX 或 TX)，最多4个10/100/1000接口，最多28个10/100接口, 最多4个10GE网络攻击检测是拒绝服务(DoS)和分布式拒绝服务(DDoS)防护 是用于分段数据包保护的 TCP 重组是强行攻击缓解是SYN cookie 防护是 基于区域的 IP 欺骗防护是异常数据包保护是状态协议签名是攻击检测机制状态签名、流量异常检测、协议异常检测（零日防护），后门检测 攻击响应机制丢弃连接、结束连接、会话数据包日志、会话总结、电子邮件、定制攻击通知机制 会话数据包日志、会话总结、电子邮件、SNMP、系统日志、Webtrends 蠕虫防护是通过建议的策略实现简单的安装 是特洛伊木马防护是间谍软件/广告软件/键盘记录软件防护是其他恶意软件防护是防止攻击从受感染系统扩散是侦察防护 是请求和响应端攻击防护 是复合攻击将状态特征和协议异常相结合是创建定制攻击特征是定制访问上下文500+ 攻击编辑（端口范围等）是流签名是协议门限值是状态协议签名是所能防护的攻击的大概数量5,500+* 详细的威胁描述和补救措施/补丁信息是企业安全事件探查器是创建并执行适当的应用使用策略是攻击者与攻击目标审计跟踪和报告是部署模式串联或串联 TAP更新频率每日更新和紧急更新 深层检测签名包(4) 是IPS(深层检测防火墙)(4) 是协议异常检测 是状态协议签名 是IPS/深层检测攻击模式迷惑 是ICAP 防病毒重定向 是防垃圾邮件是集成 URL 过滤 是外部 URL 过滤 (6) 是H.323 ALG 是SIP ALG 是MGCP ALG 是SCCP ALG 是面向VoIP协议的网络地址转换 是GTP 隧道(7) 300,000 GTP 数据包检测(IPS或 IDP) 是并发 VPN 隧道数(8) 10,000 隧道接口(8) 最多1,024个DES(56位), 3DES (168位)和AES (256位) 是MD-5和SHA-1验证是手动密钥, IKE, PKI (X.509)，IKEv2/EAP 是完美转发密钥(DH组) 1,2,5防重放攻