Juniper互联网数据中心(IDC)网络安全解决方案建议书

Juniper互联网数据中心(IDC)网络安全解决方案建议书美国Juniper网络公司IDC网络安全工程技术方案建议书第2页共25页目录第一章综述...................................................................................................................................................31.1前言...................................................................................................................................................31.2Juniper的安全理念..........................................................................................................................31.2.1IPSec/SSLVPN......................................................................................................................41.2.2网络攻击检测........................................................................................................................41.2.3访问控制................................................................................................................................51.2.4入侵预防................................................................................................................................51.2.5管理方式................................................................................................................................61.2.6合作方案................................................................................................................................61.2.7流量控制................................................................................................................................61.3Juniper的数据中心应用加速理念..................................................................................................6第二章总体方案建议...................................................................................................................................72.1设备选型..........................................................................................................................................72.1.1防火墙...................................................................................................................................72.1.2入侵检测和防护...................................................................................................................82.1.3SSLVPN网关.......................................................................................................................82.1.4应用加速...............................................................................................................................92.2应用和管理....................................................................................................................................102.2.1虚拟防火墙技术在IDC的应用方案................................................................................102.2.2防火墙的网络地址转换实现方案.....................................................................................112.2.3安全策略的实施和应用.....................................................................................................142.2.4防火墙防网络层攻击保护.................................................................................................152.2.5防火墙管理.........................................................................................................................202.2.6IDP刀片模块或IDP设备对应用层的保护......................................................................212.2.7应用加速设备DX的使用.................................................................................................24IDC网络安全工程技术方案建议书第3页共25页第一章综述1.1前言随着计算机技术和通信技术的飞速发展，信息化浪潮席卷全球，一种全新的先进生产力的出现已经把人类带入了一个新的时代。信息技术的发展极大地改变了人们的生活、工作模式，网上新闻、网上购物、远程教育、电子商务等等各种应用层出不穷，世界各地的信息资源得到了高度的共享。这充分显示出信息化对社会生产力的巨大变革作用。1.2Juniper的安全理念网络安全可以分为数据安全和服务安全两个层次。数据安全是防止信息被非法探听；服务安全是使网络系统提供不间断的通畅的对外服务。从严格的意义上讲，只有物理上完全隔离的网络系统才是安全的。但为了实际生产以及信息交换的需要，采用完全隔离手段保障网络安全很少被采用。在有了对外的联系之后，网络安全的目的就是使不良用心的人窃听数据、破坏服务的成本提高到他们不能承受的程度。这里的成本包括设备成本、人力成本、时间成本等多方面的因素。为提高恶意攻击者的攻击成本，Juniper的安全理念提供了多层次、多深度的防护体系，如图所示。Juniper提供了防火墙/VPN系列设备和IDP（入侵检测和防护）系列设备用以实现不同层次的保护功能。针对不同的应用环境有不同的产品型号对应，而且提供集中式管理工具。核心关键资源IntrusionPreventionDoSFirewallIPSecVPN集中管理合作方案IDC网络安全工程技术方案建议书第4页共25页1.2.1IPSec/SSLVPNIPsec/SSLVPN应用是为网络通信提供有效的信息安全手段。IPSec/SSLVPN是被广泛认可的公开、安全的VPN标准，它从技术角度保证数据的安全性。VPN应用中，多采用3DES、AES等加密技术和MD5、SHA1认证技术，这是目前广被认可的最先进、最实用的常用网络通信加密/认证技术手段。加密的目的是防止非法用户提取信息；认证的目的是防止非法用户篡改信息。网络的VPN应用有两种：防火墙到防火墙、移动用户到IPsecVPN/防火墙或SSLVPN网关设备。前者是针对企业各分支机构，应用在各分支机构有固定IP地址的防火墙系统之间，供分支结构之间互通信息；后者针对移动办公的IP地址不固定的企业员工从Internet上对企业内部资源的访问，其中SSLVPN可以更好地为移动用户提供服务并且具备更强的安全性和可控性，是移动用户安全访问应用的技术趋势。Juniper可以实现IPsecVPN与防火墙功能的紧密结合，SSLVPN解决方案在业界的市场占用率最高。1.2.2网络攻击检测对有服务攻击倾向的访问请求，防火墙采取两种方式来处理：禁止或代理。对于明确的百害而无一利的数据包如地址欺骗、PingofDeath等，防火墙会明确地禁止。对一些借用正常访问形式发生的攻击，因为不能一概否定，防火墙会启用代理功能，只将正常Global-PRO&IDPManagerGlobal-PROExpressCentralSiteMediumSiteSmallOffice/TelecommuterNetworkCoreVPN,Firewall,DoSIntrusionpreventionMobileManagementToolsIDC网络安全工程技术方案建议书第5页共25页的数据请求放行。防火墙处在最前线的位置，承受攻击分析带来的资源损耗，从而使内部数据服务器免受攻击，专心做好服务。因为防火墙主动承接攻击，或主动分析数据避免攻击，其性能方面有一定的要求。完善的解决方案应该是安全产品从技术设计层面、实际应用层面能够承受大工作量下的性能、安全需求。1.2.3访问控制从外网（互联网或广域网）进入企业网的用户，可以被防火墙有效地进行类别划分，即区分为企业移动用户和外部的公共访问者。防火墙可以允许合法用户的访问以及限制其正常的访问，禁止非法用户的试图访问。限制用户访问的方法，简单讲就是策略控制。通过源IP、目的IP、源应用端口、目的端口等对用户的访问进行区分。此