内容发布更新时间 : 2024/5/19 5:14:34星期一 下面是文章的全部内容请认真阅读。

×××网络安全解决方案

附件二：

ＸＸＸ公司

Juniper UTM统一威胁管理系统

解决方案

北京阳光金网科技发展有限公司

2006年12月

- 1 -

×××网络安全解决方案

目 录

一． Juniper的安全理念 ................................................................................................. - 3 -

1.1 基本防火墙功能 ................................................................................................... - 3 - 1.2 内容安全功能 ....................................................................................................... - 4 - 1.3 虚拟专网(VPN)功能 ............................................................................................ - 7 - 1.4 流量管理功能 ....................................................................................................... - 8 - 1.5 强大的ASIC的硬件保障 .................................................................................... - 8 - 1.6 设备的可靠性和安全性 ....................................................................................... - 9 - 1.7 完备简易的管理 ................................................................................................... - 9 -

二． 解决方案 ...................................................................................................................... - 9 -

2．1 方案部署.................................................................................................................. - 10 - 2．2 安全业务网关设备UTM功能概述 ...................................................................... - 10 -

2．2．1 SSG 550和SSG 20的UTM特性 ............................................................ - 10 - 2．2．2 UTM概述 .................................................................................................. - 11 -

三．SSG 550产品介绍 ............................................................................................................ - 15 -

3．1 SSG 550产品简介 ................................................................................................... - 15 -

- 2 -

×××网络安全解决方案

一． Juniper的安全理念

网络安全可以分为数据安全和服务安全两个层次。数据安全是防止信息被非法探听；服务安全是使网络系统提供不间断的通畅的对外服务。从严格的意义上讲，只有物理上完全隔离的网络系统才是安全的。但为了实际生产以及信息交换的需要，采用完全隔离手段保障网络安全很少被采用。在有了对外的联系之后，网络安全的目的就是使不良用心的人窃听数据、破坏服务的成本提高到他们不能承受的程度。这里的成本包括设备成本、人力成本、时间成本等多方面的因素。Juniper的整合式安全设备是专为互联网网络安全而设，将硬件状态防火墙、虚拟专用网（IPsec VPN）、入侵防护（IPS）和流量管理等多种安全功能集于一体。Juniper整合式安全设备具有ASIC芯片硬件加速的安全策略、IPSec加密演算性能、低延时，可以无缝地部署到任何网络。设备安装和操控也是非常容易，可以通过内置的WebUI、命令行界面或中央管理方案进行统一管理。

为提高恶意攻击者的攻击成本，Juniper的安全理念提供了多层次、多深度的防护体系，如图所示。

集中管理 核心关键资源 Intrusion Prevention Firewall DoS IPSec VPN 合作方案 Juniper提供了防火墙/VPN系列设备和IDP（入侵检测和防护）系列设备用以实现不同层次的保护功能。针对不同的应用环境有不同的产品型号对应，而且提供集中式管理工具。

1.1 基本防火墙功能

Juniper提供了可扩展的网络安全解决方案，适用于包括宽带移动用户、中小型企业Internet边界、大型企业的内部网络安全域划分和控制，以至电子商务网站的服务器保护等等。Juniper全功能防火墙采用实时检测技术，可以防止入侵者和拒绝服务(denial-of-service)的攻击。

- 3 -

×××网络安全解决方案

Juniper防火墙采用ScreenOS软件，是经过ICSA认证的实时检测防火墙。

Juniper的防火墙系列采用安全优化的硬件（包括ASIC芯片和主板、操作系统和防火墙），比拼凑而成的软件类方案提供更高级的安全水平。

Juniper的防火墙系列提供强大的攻击防御能力，包括SYN攻击、ICMP泛滥、端口扫描(Port Scan)等攻击防御能力，配备硬件加速的会话建立 (session ramp rates)性能，即使在最关键性的环境下也可以提供安全保护。

Juniper的防火墙系列提供各种网络地址翻译(NAT)、端口地址翻译(PAT)的功能――有效隐藏内部、无法路由的IP地址。

1.2 内容安全功能

Juniper提供多样的内容安全功能，包括深层检测功能、防病毒、垃圾邮件过滤、和网页过滤4种，并且可以提供试用的临时许可license，可以让用户在一定时间内下载特征库及使用该内容安全更新。过了试用期后，用户必须定购年度服务来获得最新的入侵防护攻击库、病毒库、并得到垃圾邮件和网页过滤的定时更新。

用户可以分别购买某个单项的内容安全服务，也可以购买价格更加优惠的4项打包的内容安全服务。

1.2.1 深层检测功能(Deep Inspection)

深层检测功能（Deep Inspection，简称DI）是Juniper的防火墙操作系统ScreenOS里集成的一个专门对网络流量里的应用层攻击（包括网络蠕虫、木马和恶意软件）进行检测的功能，其实就是将Juniper的IPS/IDP的入侵检测和防护的功能集成到Juniper防火墙的ScreenOS里面，对会话实施基于状态的策略的同时进行对应用层攻击特征的匹配，并且作出相应的保护动作。Juniper的防火墙针对流量的应用层的分析和特征匹配进行了一系列的优化，降低了对数据吞吐能力的影响。

为了减少对防火墙性能的影响，Juniper为深层检测提供4种特征包，让IT管理员根据需要保护的资源而灵活选择下载、更新和采用，包括：

1、

基础版（Base）特征包：针对中小型企业的全面防护（包括保护C/S应用和防蠕虫）；

2、

服务器（Server）特征包：针对服务器群进行保护（包括保护IIS、Exchange和

- 4 -

×××网络安全解决方案

Oracle服务器等）；

3、

客户端（Client）特征包：针对分布式企业的中小型分支机构客户端设备进行保护（如手提电脑等）；

4、

常见蠕虫保护（Worm）特征包：针对大企业的分支机构提供全面的常见的蠕虫保护。

深层检测（DI）防火墙被设计用来对网络上一系列最常见的协议（如HTTP, DNS, FTP, SMTP, POP3, IMAP, NetBIOS/SMB, MS-RPC, P2P, 和IM等）的应用层保护，并且可在将来简单地添加更多的协议。对这些协议，深层检测（DI）防火墙采用和数据接收方（如服务器和客户端的应用）相同的方式来理解应用层信息。为了精确地理解应用层信息，深层检测（DI）防火墙实施包碎片重组，次序重组，去除无用信息和信息正常化处理。一旦深层检测（DI）防火墙按这些方法重组出了网络流量，它就用协议异常检测和服务控制字段里的上下文的攻击特征匹配的方法来对流量里的攻击进行防护。

深层检测（DI）防火墙利用了攻击数据库来储存异常协议和攻击特征（有时被称做“特征”），按协议和攻击的严重性分类，来实施状态检测和深层检测任务。防火墙的分析引擎由其本身的数据库实时提取有关的攻击特征来有效地分析流量。

一旦Juniper的深层检测（DI）防火墙对应用层数据进行重组后，它就实施针对该应用的分析，决定该流量的目的是恶意的还是非恶意的。首先，它根据协议的定义进行分析，如果数据偏离了协议的定义，就代表了协议异常。高冲击力的、带恶意的协议异常，如设法造成内存溢出来控制系统的，将被识别为攻击。对协议异常的细化管理包括调整如何及在哪里查找异常，从而使得支持非正常协议的系统获得同样的支持。深层检测（DI）防火墙将按照细化的协议控制来对相关的服务域进行识别。服务控制字段是与特别功能相关的流量中的部分，如email地址、URL、文件名等。深层检测（DI）防火墙将按特征匹配的方法对相应的字段进行检测。而这些字段就代表了应用层信息，并让深层检测（DI）防火墙可以理解应用层会话，并在正确的字段上进行攻击特征库的匹配查找。

协议符合检查使用户获得攻击出现日第0天防护

因为Juniper深层检测（DI）防火墙可以对流量进行协议符合检查，它也就具备了无须了解某一特别攻击，就可以对一系列的攻击如内存溢出攻击等的防护能力。这意味着这种解决方法可以在对新攻击出现的第0天即具备防护能力。同时，这也是对某些无法简单匹配特征的更狡猾攻击的防护方式。

- 5 -