网络安全解决方案建议书模板.doc

1、Juniper ISG网络安全处理方案提议书美国Juniper网络企业目 录1序言31.1范围定义31.2参考标准32系统脆弱性和风险分析42.1网络边界脆弱性和风险分析42.2网络内部脆弱性和风险分析43系统安全需求分析53.1边界访问控制安全需求53.2应用层攻击和蠕虫检测和阻断需求73.3安全管理需求84系统安全处理方案94.1设计目标94.2设计标准94.3安全产品选型标准104.4整体安全处理方案114.4.1访问控制处理方案114.4.2防拒绝服务攻击处理方案134.4.3应用层防护处理方案184.4.4安全管了处理方案215方案中配置安全产品介绍225.1Juniper企业介绍2

2、25.2Juniper ISG 系列安全网关251 序言1.1 范围定义本文针正确是XXX网络信息安全问题，从对象层次上讲，它比较全方面地囊括了从物理安全、网络安全、系统安全、应用安全到业务安全各个层次。标准上和信息安全风险相关原因全部应在考虑范围内，但为了抓住关键，表现关键矛盾，在本文关键针对含有较高风险等级原因加以讨论。从安全手段上讲，本文覆盖了管理和技术两大方面，其中安全管理体系包含策略体系、组织体系和运作体系。就XXX实际需要，此次方案将分别从管理和技术两个步骤分别给出对应处理方案。1.2 参考标准XXX属于一个经典行业网络，必需遵照行业相关保密标准，同时，为了确保多种网络设备兼容性和

3、业务不停发展需要，也必需遵照国际上相关统一标准，我们在设计XXX网络安全处理方案时候，关键参考标准以下： NAS IATF3.1美国国防部信息保障技术框架v3.1 ISO15408 / GB/T 18336信息技术 安全技术 信息技术安全性评定准则，第一部分 介绍和通常模型 ISO15408 / GB/T 18336信息技术 安全技术 信息技术安全性评定准则，第二部分 安全功效要求 ISO15408 / GB/T 18336信息技术 安全技术 信息技术安全性评定准则，第三部分 安全确保要求 加拿大信息安全技术指南, 1997 ISO17799第一部分, 信息安全管理Code of Practi

4、ce for Information Security Management GB/T 18019-1999 包过滤防火墙安全技术要求； GB/T 18020-1999 应用级防火墙安全技术要求； 国家973信息和网络安全体系研究G课题组IATF信息技术保障技术框架。2 系统脆弱性和风险分析2.1 网络边界脆弱性和风险分析网络边界隔离着不一样功效或地域多个网络区域，因为职责和功效不一样，相连网络密级也不一样，这么网络直接相连，肯定存在着安全风险，下面我们将对XXX网络就网络边界问题做脆弱性和风险分析。XXX网络关键存在边界安全风险包含： XXX网络和各级单位连接，可能遭到来自各地越权访问、恶意

5、攻击和计算机病毒入侵；比如一个不满内部用户，利用盗版软件或从Internet下载黑客程序恶意攻击内部站点，致使网络局部或整体瘫痪； 内部各个功效网络经过骨干交换相互连接，这么话，关键部门或专网将遭到来自其它部门越权访问。这些越权访问可能包含恶意攻击、误操作等等，不过它们后果全部将造成关键信息泄漏或是网络瘫痪。2.2 网络内部脆弱性和风险分析XXX内部网络风险分析关键针对XXX整个内网安全风险，关键表现为以下多个方面： 内部用户非授权访问；XXX内部资源也不是对任何职员全部开放，也需要有对应访问权限。内部用户非授权访问，更轻易造成资源和关键信息泄漏。 内部用户误操作；因为内部用户计算机造作水平参

6、差不齐，对于应用软件了解也各不相同，假如一部分软件没有对应对误操作防范方法，极轻易给服务系统和其它主机造成危害。 内部用户恶意攻击；就网络安全来说，据统计约有70左右攻击来自内部用户，相比外部攻击来说，内部用户含有更得天独厚优势，所以，对内部用户攻击防范也很关键。 设备本身安全性也会直接关系到XXX网络系统和多种网络应用正常运转。比如，路由设备存在路由信息泄漏、交换机和路由器设备配置风险等。 关键服务器或操作系统本身存在安全漏洞，假如管理员没有立即发觉而且进行修复，将会为网络安全带来很多不安定原因。 关键服务器当机或关键数据意外丢失，全部将会造成XXX内部业务无法正常运行。 安全管理困难，对于

7、众多网络设备和网络安全设备，安全策略配置和安全事件管理难度很大。3 系统安全需求分析经过对上面XXX网络脆弱性和风险分析，我们认为整个XXX网络安全建设现在还比较简单，存在着一定安全隐患，关键安全需求表现为以下多个方面：边界访问控制安全需求，网络级防病毒安全需求、入侵行为检测安全需求、安全管理需求等，下面我们将继续上几章方法，分别在边界安全需求，内网安全需求步骤就这多个关键技术进行描述。3.1 边界访问控制安全需求防火墙是实现网络逻辑隔离首选技术，在XXX网络中，既要确保在整个网络连通性，又要实现不一样网络逻辑隔离。针对XXX网络具体情况，得到防火墙需求包含以下多个方面： 优异安全理念支持基于

8、安全域策略设定，让用户能够愈加好了解防火墙应用目标。 访问控制防火墙必需能够实现网络边界隔离，含有基于状态检测包过滤功效，能够实现针对源地址、目标地址、网络协议、服务、时间、带宽等访问控制，能够实现网络层内容过滤，支持网络地址转换等功效。 高可靠性因为防火墙是网络中关键设备，意外当机全部会造成网络瘫痪，所以防火墙必需是运行稳定，故障率低系统，而且要求能够实现双机热备份，实现不间断网络服务。 日志和审计要求防火墙能够对关键关键资源使用情况应进行有效监控，防火墙系统应有较强日志处理能力和日志分析能力，能够实现日志分级管理、自动报表、自动报警功效，同时期望支持第三方日志软件，实现功效定制。 身份认证

9、防火墙本身必需支持身份认证功效，在简单地方能够实现防火墙本身自带数据库身份认证，在大型情况下，能够支持和如RADIUS等认证服务器结合使用。 易管理性XXX网络是一个大型网络，防火墙分布在网络各处，所以防火墙产品必需支持集中管理，安全管理员能够在一个地点实现对防火墙集中管理，策略配置，日志审计等等。系统安装、配置和管理尽可能简练，安装便捷、配置灵活、操作简单。 高安全性作为安全设备，防火墙本身必需含有高安全性，本身没有安全漏洞，不开放服务，能够抵御多种类型攻击。针对防火墙保护服务器拒绝服务攻击，防火墙能够进行阻挡，而且在阻挡同时，确保正常业务不间断。 高性能作为网络接入设备，防火墙必需含有高性

10、能，不影响原有网络正常运行，千兆防火墙性能应该在900M以上，并发连接数要在50万以上。 可扩展性系统建设必需考虑到未来发展需要，系统必需含有良好可扩展性和良好可升级性。支持标准IP、IPSEC等国际协议。支持版本在线升级。 易实现性防火墙能够很好布署在现有网络当中，最小改变网络拓扑结构和应用设计。防火墙要支持动态路由、VLAN协议、H323协议等。3.2 应用层攻击和蠕虫检测和阻断需求入侵检测关键用于检测网络中存在攻击迹象，确保当网络中存在攻击时候，我们能够在攻击发生后果之前能够发觉它，而且进行有效阻挡，同时提供具体相关信息，确保管理员能够进行正确紧急响应，将攻击影响降低到最低程度。它关键需

11、求包含： 入侵检测和防护要求能够对攻击行为进行检测和防护，是对入侵防护设备关键需求，入侵防护设备应该采取最优异检测手段，如基于状态协议分析、协议异常等多个检测手段结合等等；要求能够检测种类包含：攻击行为检测、异常行为检测等等。 对网络病毒阻拦因为现在80以上病毒全部是经过网络来传输，所以为了愈加好进行防毒，需要安全设备能够在网关处检测而且阻拦基于网络传输病毒和蠕虫，而且能够提供相关特征立即更新。 性能要求内部网络流量很多，入侵检测和防护需要处理数据量也相对较大，同时因为对性能要求能够大大降低对于攻击漏报率和误报率， 本身安全性要求作为网络安全设备，入侵检测系统必需含有很高安全性，配置文件需要加

12、密保留，管理台和探测器之间通讯必需采取加密方法，探测器要能够去除协议栈，而且能够抵御多种攻击。 服务要求因为系统漏洞不停出现和攻击手段不停发展，要求应用层防护设备攻击特征库能够立即进行更新。以满足网络最新安全需求。 日志审计要求系统能对入侵警报信息分类过滤、进行统计或生成报表。对用户端、服务器端不一样地址和不一样服务协议流量分析。能够选择不一样时间间隔生成报表，反应用户在一定时期内受到攻击类型、严重程度、发生频率、攻击起源等信息，使管理员随时对网络安全情况有正确了解。能够依据管理员选择，定制不一样形式报表。3.3 安全管理需求安全管理是安全体系建设极为关键一个步骤，现在XXX网络需要建立针对多

13、个安全设备统一管理平台，总体需求以下： 安全事件统一监控对于网络安全设备上发觉安全事件，全部能够进行集中监控。而且进行对应关联分析，确保管理员能够经过简单方法，不需要登陆多个设备，就能够明了现在网络中发生安全事件。 安全设备集中化管理伴随使用安全产品种类和数量增加需要不停增加管理和维护人员，管理成本往往呈指数级增加，所以需要对应技术手段对这些产品进行集中控管。 安全响应能力提升响应能力是衡量一个网络安全建设水平关键标准，发觉安全问题和安全事件后，必需能快速找四处理方法并最快速度进行响应，响应方法包含安全设备自动响应，联动响应，人工响应等等。4 系统安全处理方案4.1 设计目标XXX网络含有很高

14、安全性。本方案关键针对XXX网络，确保XXX内网中关键数据保密性，完整性、可用性、防抵赖性和可管理性，具体来说可分为以下多个方面： 有效控制、发觉、处理非法网络访问； 保护在不安全网络上数据传输安全性； 能有效预防、发觉、处理网络上传输蠕虫病毒和其它计算机病毒； 能有效预防、发觉、处理网络上存在恶意攻击和非授权访问； 合理安全体系架构和管理方法； 实现网络系统安全系统集中管理； 有较强扩展性。4.2 设计标准我们严格根据国家相关要求进行系统方案设计。设计方案中遵守设计标准为：(1) 统一性系统必需统一规范、统一标准、统一接口，使用国际标准、国家标准，采取统一系统体系结构，以保持系统统一性和完整

15、性。(2) 实用性系统能最大程度满足XXX网络需求，结合XXX网络实际情况，在对业务系统进行设计和优化基础上进行设计。(3) 优异性不管对业务系统设计还是对信息系统和网络设计，全部要采取成熟优异技术、手段、方法和设备。(4) 可扩展性系统设计必需考虑到未来发展需要，含有良好可扩展性和良好可升级性。(5) 安全性必需建立可靠安全体系，以预防对信息系统非法侵入和攻击。(6) 保密性信息系统相关业务信息，资金信息等必需有严格管理方法和技术手段加以保护，以免因泄密而造成国家、单位和个人损失。(7) 最高保护标准系统中包含到多个密级资源，按最高密级保护(8) 易实现性和可管理性系统安装、配置和管理尽可能

16、简练，安装便捷，配置灵活，操作简单，而且系统应含有可授权集中管理能力。4.3 安全产品选型标准XXX网络属于一个行业专用网络，所以在安全产品选型上，必需慎重，选型标准包含： 安全保密产品接入应不显著影响网络系统运行效率，而且满足工作要求，不影响正常业务； 安全保密产品必需满足上面提出安全需求，确保整个XXX网络安全性。 安全保密产品必需经过国家主管部门指定测评机构检测； 安全保密产品必需含有自我保护能力； 安全保密产品必需符合国家和国际上相关标准； 安全产品必需操作简单易用，便于简单布署和集中管理 。4.4 整体安全处理方案4.4.1 访问控制处理方案4.4.1.1 划分安全区（Securit

17、y Zone）Juniper ISG系统防火墙模块增加了全新安全区域（Security Zone）概念，安全区域是一个逻辑结构，是多个处于相同属性区域物理接口集合。当不一样安全区域之间相互通讯时，必需经过事先定义策略检验才能经过；当在同一个安全区域进行通讯时，默认状态下许可不经过策略检验，经过配置后，也能够强制进行策略检验，以提升安全性。安全区域概念出现，使防火墙配置能更灵活同现有网络结构相结合。以下图为例，经过实施安全区域配置，内网不一样部门之间通讯也必需经过策略检验，深入提升系统安全。4.4.1.2 划分VSYS为满足网络中心或数据中心要求，即网络中心或数据中心管理员提供防火墙硬件设备维护

18、和资源分配，部门级系统管理员或托管用户管理员来配置防火墙IP配置和具体策略。Juniper企业防火墙自500系列起，支持虚拟防火墙技术，即能够将一个物理防火墙系统虚拟成多个逻辑防火墙系统，满足了数据中心或网络中心硬件系统和管理系统维护分离要求。4.4.1.3 Virtual-RouterJuniper企业防火墙支持虚拟路由器技术，在一个防火墙设备里，将原来单一路由方法下单一路由表，进化为多个虚拟路由器和对应多张独立路由表，提升了防火墙系统安全性和IP地址配置灵活性。4.4.1.4 安全策略定义Juniper企业ISG系统防火墙模块在定义策略时，关键需要设定源IP地址、目标IP地址、网络服务和防

19、火墙动作。在设定网络服务时，Juniper ISG系统防火墙模块已经内置预设了大量常见网络服务类型，同时，也能够由用户自行定义网络服务。在用户自行定义经过防火墙服务时，需要选择网络服务协议，是UDP、TCP还是其它，需要定义源端口或端口范围、目标端口或端口范围、网络服务在无流量情况下超时定义等。所以，经过对网络服务定义，和IP地址定义，使Juniper ISG系统防火墙模块策略细致程度大大加强，安全性也提升了。除了定义上述这些关键参数以外，在策略中还能够定义用户认证、在策略里定义是否要做地址翻译、带宽管理等功效。经过这些关键安全元素和附加元素控制，能够让系统管理员对进出防火墙数据流量进行严格访

20、问控制，达成保护内网系统资源安全目标。4.4.2 防拒绝服务攻击处理方案Juniper企业ISG系统高性能确保它足以抵御现在Internet上流行DDoS攻击，能够识别多达28种以上网络攻击。在抵御关键分布式拒绝服务功效方面，Juniper企业Juniper ISG系统支持SYN网关代理功效，即当SYN连接请求超出正常定义范围时，NS防火墙会自动开启SYN网关功效，代理后台服务器端结SYN请求并发出ACK回应，直到收到SYN/ACK响应，才会将该连接转发给服务器；不然会将超时没有响应SYN连接请求丢弃。Juniper企业NetScreen系列除了支持SYN网关功效之外，能够针对SYN攻击设定阀

21、值，只有当SYN连接请求超出预定义阀值时，才开启SYN网关功效。这么能够有效提升防火墙在正常情况下工作效率。假如防火墙没有阀值选项，那么用户面临选择是：要么不要SYN防御功效提升性能，要么使用SYN防御功效大大降低在正常工作状态下性能。这是其它防火墙产品很不灵活产品设计，Juniper企业Juniper ISG系统在二者之间取得了一个平衡。4.4.2.1 SYN Flooding当主机中充满了需要发出响应、无法完成连接SYN请求，以至于主机无法再处理正当SYN连接请求时，就发生了SYN泛滥。利用三方封包交换，即常说三方握手，两个主机之间建立TCP连接： A向B发送SYN数据包；B用SYN/AC

22、K数据包进行响应；然后A又用ACK数据包进行响应。SYN泛滥攻击用伪造IP源地址（不存在或不可抵达地址）SYN请求来塞满站点B。B用SYN/ACK数据包响应这些来自非法地址请求，并等候来自这些地址响应ACK数据包。因为SYN/ACK数据包被发送到不存在或不可抵达IP地址，所以它们永远不会得到响应并最终超时。经过用无法完成TCP连接泛滥攻击主机，攻击者最终会填满受害服务主机内存缓存区。当该缓存区填满后，主机就不能再处理新TCP连接请求，泛滥甚至可能会破坏受害者操作系统。Juniper ISG设备能够对每秒钟许可经过防火墙SYN数据包数量加以限制。能够针对目标地址和端口、仅目标地址或仅源地址攻击临

23、界值设置阀值。当每秒SYN数据包数量超出这些临界值之一时，Juniper设备开始代剪发送流入SYN数据包、用SYN/ACK数据包回复并将不完全连接请求储存到连接队列中。未完成连接请求保留在队列中，直到连接完成或请求超时。在下面示意图中，已超出了SYN攻击临界值，Juniper防火墙开始代理SYN数据包。在下一个示意图中，经过代理连接队列已完全填满，Juniper ISG系统正在拒绝流入SYN数据包请求。此操作保护受保护网络中主机，使其免遭不完整三方握手轰击。ICMP Flooding当有大量ICMP 回应请求时，往往会造成服务器耗尽资源来进行响应，直至最终超出了服务器最大极限以致无法处理有效网

24、络信息流，这时就发生了ICMP泛滥。当启用了ICMP泛滥保护功效时，能够设置一个临界值，一旦超出此值就会调用ICMP泛滥攻击保护功效。（缺省临界值为每秒1000个封包）。假如超出了该临界值，Juniper ISG设备在该秒余下时间和下一秒内会忽略其它ICMP回应要求。4.4.2.2 UDP Flooding和ICMP泛滥相同，当攻击者以减慢受害服务器响应速度为目标向该点发送含有UDP数据包IP封包，以至于受害服务器再也无法处理有效连接时，就发生了UDP泛滥。当启用了UDP泛滥保护功效时，能够设置一个临界值，一旦超出此临界值就会调用UDP泛滥攻击保护功效。（缺省临界值为每秒1000个封包）假如从

25、一个或多个源向多个目标发送UDP数据包数量超出了此临界值，Juniper ISG在该秒余下时间和下一秒内会忽略其它到该目标UDP数据包。4.4.2.3 MISC攻击能够抵御关键攻击方法有： 分布式服务拒绝攻击DDOS（Distributed Denial-Of-Service attacks）、IP碎片攻击（IP Fragmentation attacks）、端口扫描攻击（Port Scan Attacks）、IP源路由攻击（IP Source Attacks）、IP Spoofing Attacks；Address Sweep Attacks、WinNuke Attack等共31种，请参考附

26、件（Screen Description）。4.4.3 应用层防护处理方案4.4.3.1 应用层防护目前，复杂攻击以不一样方法出现在不一样用户环境中。Juniper网络企业ISG中应用层防护模块优异攻击防护和定制功效有利于正确地检测攻击，并阻止其攻击网络，以避免产生损失。Juniper网络企业ISG中应用层防护模块 优异攻击防护功效含有以下特点： 多个检测方法，包含复合署名、状态署名、协议异常和后门检测。 开放式署名格式许可管理员查看攻击字符串怎样匹配攻击署名，并依据需求对署名进行编辑。这种了解和定制等级许可管理员定制攻击署名，以满足独特攻击要求。 全方面署名定制经过提供更高控制能力，以适应署

27、名特定要求，从而增强检测独特攻击能力。 o 复合署名：能够将状态署名和协议异常结合到单个攻击对象中，以检测单个会话中复杂攻击，从而提升检测速度。 o 400多个定制参数和Perl式常规表示式：能够定制署名或创建完全定制署名。 4.4.3.1.1 多重方法攻击检测 Juniper网络企业多重方法检测技术 (MMD) 将多个检测机制结合到单一产品中，以实现全方面检测。因为不一样攻击类型要求采取不一样识别方法，所以，仅使用多个检测方法产品不能检测出全部类型攻击。Juniper网络企业ISG中应用层防护模块采取多重方法检测技术能够最大程度地检测出多种攻击类型，确保不会遗漏关键威胁。MMD 中采取检测方

28、法包含： 机 制说 明状态署名仅检测相关流量中已知攻击模式协议异常检测未知或经过修改攻击方法。后门检测检测未经授权交互式后门流量。复合署名将状态署名和协议异常结合在一起，检测单个会话中复杂攻击。状态署名检测一些攻击能够采取攻击署名进行识别，在网络流量中能够发觉这种攻击模式。状态署名设计用于大幅度提升检测性能，并降低现在市场上基于署名入侵检测系统错误告警。Juniper网络企业ISG中应用层防护模块跟踪连接状态，而且仅在可能发生攻击相关流量部分来查找攻击模式。传统基于署名入侵检测系统在流量流任意部分寻求攻击模式，从而造成较高错误告警几率。比如，要确定某人是否尝试以根用户身份登录服务器，传统基于署

29、名IDS会在传输中出现root字样时随时发送告警，造成错误告警产生。Juniper网络企业ISG中应用层防护模块采取状态署名检测方法，仅在登录序列中查找字符串root，这种方法可正确地检测出攻击。Juniper网络企业ISG中应用层防护模块全部署名全部可经过简单图形用户界面来接入，所以能够轻易地了解系统在监控流量哪一部分。另外，开放式署名格式和署名编辑器可用于快速修改或添加署名。这两种功效使用户能够确定对其环境关键部分，并确保系统也能够识别出这个关键部分。 然而，状态署名方法能够跟踪并了解通信状态，所以可缩小和可能发生攻击特定站点相匹配模式范围（通信模式和流方向 - 表示用户机至服务器或服务器

30、至用户机流量）。如上图所表示，状态署名仅实施和可能发生攻击相关流量相匹配署名模型。这么，检测性能将显着提升，而且错误告警数量也大大降低。ISG系统能够实现对攻击署名库每日升级，JUNIPER企业将在自己安全网站上进行攻击特征每日更新，现在攻击特征包含应用层攻击，蠕虫特征、网络病毒特征、P2P应用特征等多个攻击特征。能够对上述非正常访问进行检测和阻挡。协议异常检测 攻击者并不遵照某种模式来发动攻击，她们会不停开发并推出新攻击或复杂攻击。协议异常检测可用于识别和正常流量协议不一样攻击。比如，这种检测可识别出那种采取不确定流量以试图躲避检测、并威胁网络和/或主机安全攻击。以缓冲器溢出为例（见下图），

31、攻击者在服务器许可下使服务器运行攻击者代码，从而取得机器全部访问权限。协议异常检测将缓冲器许可数据量和发送数据量、和流量超出许可量时告警进行比较。协议异常检测和其所支持多个协议含有一样效力。假如协议不被支持，则无法在网络中检测出使用该协议攻击。Juniper 网络企业ISG中应用层防护模块是第一个支持多个协议产品，包含 SNMP（保护 60,000 多个微弱点）和 SMB（保护运行于内部系统中基于Windows微弱点）。我们能够利用协议异常检测技术，检测到现在攻击特征码中没有定义攻击，和部分最新出现攻击，新缓冲区溢出攻击就是要经过协议异常技术进行检测，因为协议异常技术采取是和正常协议标准进行匹

32、配，所以存在误报可能性。后门检测 Juniper网络企业ISG中应用层防护模块是能够识别并抵御后门攻击产品。后门攻击进入网络并许可攻击者完全控制系统，这常常造成数据丢失，比如，攻击者能够利用系统微弱点将特洛伊木马病毒加载到网络资源中，然后经过和该系统进行交互来对其进行控制。然后，攻击者尝试以不一样命令提议对系统攻击，或威胁其它系统安全。Juniper网络企业ISG中应用层防护模块能够识别交互式流量独特特征，并对意外活动发送告警。 后门检测是检测蠕虫和特洛伊木马病毒唯一方法 ： 查看交互式流量 依据管理员定义检测未授权交互式流量 检测每个后门，即使流量已加密或协议是未知 4.4.3.2 应用层防

33、护步骤JuniperISG系统应用层防护模块能够提供两种接入模式，Active 模式和Inline_Tap模式，因为攻击检测本身所含有误报性，提议用户在使用ISG系统应用层保护模块时候，能够采取以下配置步骤：1 经过防火墙安全策略定制，将需要进行应用层攻击检测和防护流量传给应用层防护模块，对于其它无关紧要网络数据流量，能够不需要经过应用层保护模块，只经过防火墙检测就能够确保其安全性，这么配置能够确保在将敏感数据进行了攻击检测同时，最大程度确保网络性能，提升网络吞吐量，降低网络延迟。2 设备布署早期，对于需要检测流量，我们首先能够将应用层防护模块采取Inline_Tap模式，这么话，网络数据就会

34、在经过防火墙检测后，直接进行转发，而紧紧是复制一遍到应用层保护模块，这个时候应用层保护模块相当于一个旁路检测设备，仅仅对攻击进行报警，而不会对数据流有任何影响。在这个时期，我们能够经过调整攻击特征码，自定制攻击特征等手段，来降低网络攻击漏报率和误报率，提升攻击检测正确性。3 当攻击检测正确率达成一定程度时候，我们能够将应用层防护模块改为采取Active模式，Active模式情况下，数据包在经过防火墙检测后，会接着进行应用层检测，假如存在攻击，则进行报警或阻挡，然后再进行数据报转发。在这个时期，我们能够对于部分比较肯定和威胁很大攻击，在规则中配置成阻断攻击。假如发觉这种攻击，我们能够在线进行阻挡

35、，对于其它攻击，能够临时采取仅仅报警方法，继续修改相关攻击特征码，最大程度提升攻击检测正确性。4 当攻击特征码优化到误报率很低程度后，我们对大部分攻击全部能够采取在线阻挡模式，这么话，就能够完全实现ISG应用层防护模块全部功效，大大降低了网络管理员安全响应额时间和工作量。4.4.4 安全管了处理方案JuniperISG系统采取Juniper企业统一安全管理平台NSM进行管理，NSM 不仅能够管理ISG系统上防火墙模块、VPN模块和应用层保护模块，同时能够实现对多台ISG设备集中管理，这么我们就实现了在一个统一界面上实现了对多台安全设备，多个安全技术统一管理，安全策略统一配置，安全事件和日志信息

36、统一查询和分析。NSM系统为一套单独软件系统，其服务器端软件能够安装在单独LINUX或SOLARIS主机上，用户端软件能够安装在WINDOW或UNIX系统下。能够采取三层架构对安全设备进行统一管理。5 方案中配置安全产品介绍5.1 Juniper企业介绍Juniper网络企业致力于实现网络商务模式转型。作为全球领先联网和安全性处理方案供给商，Juniper网络企业对依靠网络取得关键基础设施用户一直给亲密关注。企业用户来自全球各行各业，包含关键网络运行商、企业、政府机构和研究和教育机构等。Juniper网络企业推出一系列联网处理方案，提供所需安全性和性能来支持全球最大型、最复杂、要求最严格关键网

37、络，其中包含全球顶尖25家服务供给商和财富全球500强企业前15强中8个企业。Juniper网络企业成立唯一宗旨是-估计并处理业内最高难度联网和安全性问题。今天，Juniper网络企业经过以下努力，帮助全球用户转变她们网络经济模式，从而建立强大竞争优势：u 保护网络安全，以抵御日益频繁复杂攻击 u 利用网络应用和服务来取得市场竞争优势 u 为用户和业务合作伙伴提供安全定制方法来接入远程资源 Juniper网络企业Juniper系列安全性处理方案可帮助企业经济高效地保护她们远程站点、地域办事处、网络周围和网络关键，而且不会对性能造成任何影响。Juniper一流安全性功效能够以分层方法布署于整个网

38、络中，以提供所需网络级和应用级防护。不管是为职员、合作伙伴和用户提供到非信任网络安全接入，还是保护周围网络安全、用IPSec虚拟专网（VPN）替换传统WAN网络、将基于软件传统防火墙整合到经优化专用设备，或是保护新网络布署，如VoIP、无线LAN，外网或安全在线会议，Juniper处理方案全部是企业和运行商网络首选网络安全性处理方案。Juniper处理方案在专用设备中集成了多层安全性技术，很适适用于保护关键资产安全。它使用关键技术包含：u 防火墙：Juniper状态型检测防火墙提供了强劲网络接入控制和攻击限制特征，能够帮助用户有效地保护周围和关键网络基础设施。Juniper深度检测防火墙充足利

39、用了状态型检测优点并在防火墙中集成了入侵防护技术，可在网络周围提供给用级攻击防护。u IPSec VPN:Juniper VPN处理方案能够提供含有故障恢复功效安全连接来替换帧中继或专线，在企业总部、远程办公室和固定远程工作者之间提供全方面网络接入。u 拒绝服务防护：为了减小暴力攻击及其它基于网络攻击影响，用户可布署Juniper高性能产品来保护其Web基础设施安全。u 防病毒：利用Trend Micro企业市场领先网关防病毒技术，Juniper集成防病毒处理方案能够在分布式企业中提供更有效应用层保护功效。u 入侵防护：Juniper入侵防护设备远远超越了传统入侵检测产品，它能够正确地检测网络

40、、应用和混合攻击，而且使用户能够阻止攻击，保护关键资源。u SSL VPN:JuniperSA系列产品能够利用成熟SSL安全协议，实现了有效、安全完成对局域网资源访问，用户操作简单，无需单独用户端安装。u 安全会议：Juniper会议设备能够实现安全跨企业在线会议，同时确保符合企业安全性策略和监管要求，并降低来自互联网攻击风险。Juniper网络企业提供一系列全方面、灵活、业界领先技术支持、专业服务和培训课程，帮助用户从她们网络和安全性投资中获取最大收益。Juniper网络企业支持服务系列可提供大型网络所要求后备支持，并可让用户选择多种服务选项来补充她们内部专业技术。Juniper网络企业支持

41、服务还结合了主动主动服务特征，以增强用户网络性能。Juniper网络企业专业服务部可提供业界领先专业技术和定制咨询服务，帮助用户计划新型业务和技术，设计下一代网络处理方案并以最高效率来实施项目。Juniper网络企业培训服务可提供教授培训和技术认证项目，经过标准技术课程、基于web课程、定制专题研讨会和动手试验课，帮助用户提升她们IP网络专业技术。5.2 Juniper ISG 系列安全网关Juniper推出业内第一款整合了多个最好网络边界安全功效整合式安全网关 Juniper-ISG （Integrated Security Gateway）, 可在有效防护来自网络层及应用层威胁同时，为企业

42、和运行商网络提供最优化性能并降低网络复杂性。现在业内其它安全处理方案提供商整合方法往往以牺牲网络性能为代价，并增加了网络复杂性。而Juniper最新专属定制系统采取模块化设计及独特处理架构 包含基于Juniper新型第四代ASIC芯片整合了防火墙及VPN功效，很快未来还可整合完善入侵检测和防护(IDP)功效。Juniper-ISG 含有卓越性能，和灵活性和可扩展性，从而有效抵御今天和未来日益复杂网络威胁。 Juniper-ISG 是企业、电信运行商和数据中心网管人员理想选择，可帮助她们有效应对不停增加且更为隐蔽网络攻击，同时确保超卓网络性能，平衡有限网络资源和预算。世界著名调研机构Infone

43、tics Research首席分析员 Jeff Wilson表示：“功效整合安全设备已是大势所趋。然而，假如没有合适设计和功效性结合，就会造成网络性能或管理障碍。Juniper处理这一问题时，对整合可能造成缺点很清楚。而Juniper-ISG 是成功结合设备管理能力、性能和不一样安全功效良好范例。” 独特处理架构Juniper-ISG 含有高达2 Gbps线速防火墙速率及1 Gbps 3DES/AES IPSec VPN 速率；支持高达8兆以太网连接或28 FE 以太网连接，甚至两种兼备。还可支持10,000个VPN 通道， 512,000个并发会话，每秒30,000个新会话。以上增强性能是经

44、过将几项灵活处理功效相结合实现：包含高性能双GHz CPU管理模块、现场可编程门阵列（FPGA）、和新一代ASIC芯片GigaScreen3 ASIC。 GigaScreen3 ASIC是业内第一个含有千兆速率，硬件加速AES和3DES加密和对任何大小数据包进行千兆以上防火墙监测可编程ASIC芯片。和上一代相比，第四代ASIC芯片性能提升了一倍，防火墙包处理速度(pps)高达每秒300万，加密数据包处理速度高达每秒150万，同时处理任何大小数据包均确保传输流量低延迟，这种特征对VoIP等新应用来讲很关键。另外，多重内嵌处理器提升了拒绝服务式攻击（DoS）防护及加密碎片功效，同时含有透过软件升级

45、而未来进行新增功效特征。 另外，Juniper-ISG 系统架构独特设计可支持线速防火墙和VPN包处理功效，同时实施基于安全策略，将部分会话另行导向特定安全模块，以进行深入安全处理，额外安全处理所需特定安全模块会话重置。GigaScreen 3 ASIC可平衡处理多达三个安全模块全部会话，而每一个模块全部含有双GHz 中央处理器（CPU）, 一个现场可编程门阵列（FPGAs）及内存，以运行入侵检测和防护（IDP）等额外安全应用 。 除了设计独特系统，Juniper-ISG 用户还可受益于Juniper操作系统软件ScreenOS中网络和安全功效, 其中包含深层监测防火墙技术, 基于动态路由VP

46、N及虚拟系统功效，还包含对BGP, RIPv2及OSPF路由协议支持，从而可简化多个复杂环境下设备布署。ISG系统中也能够集成IDP（入侵防护）模块，该模块采取了多个检测方法和强大署名定制功效，可提供在线攻击防护功效，来预防恶意攻击、蠕虫、病毒和特洛伊等对内部网络敏感资源窃取和破坏，能够有效地识别并阻止您网络中攻击，从而最大程度地缩短处理入侵时间并降低成本。同时，ISG系统还含有双主动(Active-Active)或主动-被动(Active-Passive)模式高可用性选择，该功效可避免单点故障，将网络连通性及生产力最大化。 Juniper亚太区高级市场总监PaulSerrano说：“新推出具高扩展性Juniper-ISG平台代表了一个新产品等级，这类产品可有效防范当今日趋复杂网络层和应用层攻击，并同时确保最好网络性能和最简单管理操作。其独特处理架构和模块化设计可实现网络性能和安全功效可扩展性，从而在今天和未来有效确保网络安全。”