Juniper互联网数据中心(IDC)网络安全解决方案建议书.docx
《Juniper互联网数据中心(IDC)网络安全解决方案建议书.docx》由会员分享,可在线阅读,更多相关《Juniper互联网数据中心(IDC)网络安全解决方案建议书.docx(26页珍藏版)》请在三一办公上搜索。
1、IDC网络安全工程技术方案建议书Juniper互联网数据中心(IDC)网络安全解决方案建议书美国Juniper网络公司目录第一章 综述31.1前言31.2 Juniper的安全理念31.2.1 IPSec/SSL VPN41.2.2网络攻击检测41.2.3访问控制51.2.4入侵预防51.2.5管理方式61.2.6合作方案61.2.7流量控制61.3 Juniper的数据中心应用加速理念6第二章 总体方案建议72.1 设备选型72.1.1 防火墙72.1.2 入侵检测和防护82.1.3 SSL VPN网关82.1.4 应用加速102.2 应用和管理102.2.1 虚拟防火墙技术在IDC的应用方
2、案102.2.2 防火墙的网络地址转换实现方案112.2.3 安全策略的实施和应用142.2.4 防火墙防网络层攻击保护152.2.5 防火墙管理202.2.6 IDP刀片模块或IDP设备对应用层的保护212.2.7 应用加速设备DX的使用24第一章 综述1.1前言随着计算机技术和通信技术的飞速发展,信息化浪潮席卷全球,一种全新的先进生产力的出现已经把人类带入了一个新的时代。信息技术的发展极大地改变了人们的生活、工作模式,网上新闻、网上购物、远程教育、电子商务等等各种应用层出不穷,世界各地的信息资源得到了高度的共享。这充分显示出信息化对社会生产力的巨大变革作用。1.2 Juniper的安全理念
3、网络安全可以分为数据安全和服务安全两个层次。数据安全是防止信息被非法探听;服务安全是使网络系统提供不间断的通畅的对外服务。从严格的意义上讲,只有物理上完全隔离的网络系统才是安全的。但为了实际生产以及信息交换的需要,采用完全隔离手段保障网络安全很少被采用。在有了对外的联系之后,网络安全的目的就是使不良用心的人窃听数据、破坏服务的成本提高到他们不能承受的程度。这里的成本包括设备成本、人力成本、时间成本等多方面的因素。为提高恶意攻击者的攻击成本,Juniper的安全理念提供了多层次、多深度的防护体系,如图所示。核心关键资源IntrusionPreventionDoSFirewallIPSec VPN
4、集中管理合作方案Juniper提供了防火墙/VPN系列设备和IDP(入侵检测和防护)系列设备用以实现不同层次的保护功能。针对不同的应用环境有不同的产品型号对应,而且提供集中式管理工具。Global-PRO & IDP ManagerGlobal-PRO ExpressCentral SiteMedium SiteSmall Office/TelecommuterNetwork CoreVPN, Firewall, DoSIntrusion preventionMobileManagement Tools1.2.1 IPSec/SSL VPNIPsec/SSL VPN应用是为网络通信提供有效的信
5、息安全手段。IPSec/SSL VPN是被广泛认可的公开、安全的VPN标准,它从技术角度保证数据的安全性。VPN应用中,多采用3DES、AES等加密技术和MD5、SHA1认证技术,这是目前广被认可的最先进、最实用的常用网络通信加密/认证技术手段。加密的目的是防止非法用户提取信息;认证的目的是防止非法用户篡改信息。网络的VPN应用有两种:防火墙到防火墙、移动用户到IPsec VPN/防火墙或SSL VPN网关设备。前者是针对企业各分支机构,应用在各分支机构有固定IP地址的防火墙系统之间,供分支结构之间互通信息;后者针对移动办公的IP地址不固定的企业员工从Internet上对企业内部资源的访问,其
6、中SSL VPN可以更好地为移动用户提供服务并且具备更强的安全性和可控性,是移动用户安全访问应用的技术趋势。Juniper可以实现IPsec VPN与防火墙功能的紧密结合,SSL VPN解决方案在业界的市场占用率最高。1.2.2网络攻击检测对有服务攻击倾向的访问请求,防火墙采取两种方式来处理:禁止或代理。对于明确的百害而无一利的数据包如地址欺骗、Ping of Death等,防火墙会明确地禁止。对一些借用正常访问形式发生的攻击,因为不能一概否定,防火墙会启用代理功能,只将正常的数据请求放行。防火墙处在最前线的位置,承受攻击分析带来的资源损耗,从而使内部数据服务器免受攻击,专心做好服务。因为防火
7、墙主动承接攻击,或主动分析数据避免攻击,其性能方面有一定的要求。完善的解决方案应该是安全产品从技术设计层面、实际应用层面能够承受大工作量下的性能、安全需求。1.2.3访问控制从外网(互联网或广域网)进入企业网的用户,可以被防火墙有效地进行类别划分,即区分为企业移动用户和外部的公共访问者。防火墙可以允许合法用户的访问以及限制其正常的访问,禁止非法用户的试图访问。限制用户访问的方法,简单讲就是策略控制。通过源IP、目的IP、源应用端口、目的端口等对用户的访问进行区分。此外,配合策略控制,还有多种辅助手段增强这种策略控制的灵活性和强度,如日志记录、流量计数、身份验证、时间定义、流量控制等。Junip
8、er的规则设置采取自上而下的传统。每条策略可以通过图形化的方式添加、修改、移动、删除,也可以通过ID号进行命令行操作。一些细小的特性使使用者感到方便,如可以在添加策略的同时定义Address等。Juniper支持Zone到Zone之间、相同Zone内、Zone到其他所有Zone的策略定义,而且其不同的策略种类具有不同的优先级,充分体现出灵活性与实用性。1.2.4入侵预防Juniper建议采用单独的NetScreen-IDP(入侵检测和防护)系列设备,或者在ISG系列防火墙内增加刀片式的IDP(入侵检测和防护)安全模块。IDP(入侵检测和防护)不同于常规意义的IDS产品,主要有三方面的技术优势:
9、1、主动防御。传统IDS采用Sniffer方式,在攻击产生后才响应,而且对UDP等方式的攻击无能为力。IDP(入侵检测和防护)可以采用Active方式,在攻击发生的同时进行保护,对所有的数据类型都有效。2、检测手段丰富。传统的IDS产品检测手段只有2-3种,多数采用“正向”误报产生告警;IDP(入侵检测和防护)为了实现精确报告,检测手段多达7种。3、管理方便。IDP(入侵检测和防护)采用分级式集中管理,可以高校利用管理资源,相较于基于单台设备进行管理的传统IDS,可以节省管理时间,提高实施效率。1.2.5管理方式任何网络设备都需要合理的管理方式。安全产品要求合理的、丰富的管理方式以提供给管理人
10、员正确的配置、快速的分析手段。在整体的安全系统中,如果涉及数量较大的产品,集中的产品管理、监控将降低不必要的重复性工作,提高效率并减少失误。1.2.6合作方案安全是一个融合了多种技术的整体系统,目前的趋势是越来越专业化。专业化的产品之间需要配合,通过合理的、灵活的配合实现整体系统的安全最大化。1.2.7流量控制IP技术“尽力发送”的服务方式对服务质量控制能力的欠缺是IP技术发展的桎梏。防火墙作为网络系统的关键位置上其关键作用的关键设备,对各种数据的控制能力是保证服务正常运行的关键。不同的服务应用其数据流量有不同的特征,突发性强的FTP、实时性的语音、大流量的视频、关键性的Telnet控制等。如
11、果防火墙系统不能针对不同的应用做出合理的带宽分配和流量控制,某一个用户的应用会在一定的时间内独占全部或大部分带宽资源,从而导致关键业务流量丢失、实时性业务流量中断等。目前很多IP网络设备包括防火墙设备在QoS上采取了不同的实现方法。具有QoS机制的防火墙设备可以给用户最大的两或控制带宽效率的手段,从而保证服务的连续性、合理性。1.3 Juniper的数据中心应用加速理念由于数据中心的发展趋势是Web应用越来越多,许多用户在访问应用时发现Web服务器对应用的响应时间越来越慢,同时为确保Web应用交付的安全,我们愈加需要更高级别的多功能设备应用前端(AFE)。通过结合关键功能以卸载(Offload
12、) Web服务器处理、加速Web浏览器会话并保护“Web层”的安全,Juniper网络公司DX系列应用加速平台可在易于管理且非常灵活的平台内提供前所未有的应用性能、安全性和可用性。第二章 总体方案建议XXXXIDC的网络安全建设方案是参照国际通行的PDRR(Protection防护、Detection检测、Respone响应和Recovery恢复)安全模型进行设计的。2.1 设备选型2.1.1 防火墙建议通过在IDC节点配置2台NetScreen ISG1000 或2台NetScreen ISG2000的防火墙来进行网络安全保护。ISG1000是Juniper 公司2005年初推出的防火墙产品
13、,采用的是最新一代的ASIC芯片(第4代安全ASIC,即GigaScreen3),集成了一流的深层检测防火墙、VPN和DoS防护解决方案,因此可以实现安全、可靠的连接和网络及应用级防护功能来保护关键的大流量网络分段,为大型企业、运营商和数据中心网络提供可扩展的网络和应用安全性。具体的性能指标是:对大包和小包的最大吞吐能力都在1Gbps以上(对IDC而言,尤其需要防火墙能够对实现对小包的高吞吐能力,在保护托管主机用户的安全同时,不会因为流量大或小包多而成为网络瓶颈),总会话数250,000条,每秒钟的新建会话数达20,000条,3DES VPN吞吐1Gbps。由于ISG1000采用的是下一代安全
14、网络系统架构,具备良好的扩展能力,除了2个外部数据插槽外(机箱上已有4个10/100/1000的电口),设备内部预留了2个扩展插槽,可以将应用层安全硬件模块(IDP刀片)插入,从而实施基于硬件的全面的应用层入侵检测和防护,实施应用层防护的性能可以达到1Gbps,在提高性能的同时,扩大对应用层保护的范围。ISG2000是Juniper 公司2004年初推出的防火墙产品,采用的是最新一代的ASIC芯片(第4代安全ASIC,即GigaScreen3),集成了一流的深层检测防火墙、VPN和DoS防护解决方案,因此可以实现安全、可靠的连接和网络及应用级防护功能来保护关键的大流量网络分段,为大型企业、运营
15、商和数据中心网络提供可扩展的网络和应用安全性。具体的性能指标是:对大包和小包的最大吞吐能力都在2Gbps以上(对IDC而言,尤其需要防火墙能够对实现对小包的高吞吐能力,在保护托管主机用户的安全同时,不会因为流量大或小包多而成为网络瓶颈),总会话数512,000条,每秒钟的新建会话数达30,000条,3DES VPN吞吐1Gbps。由于ISG2000采用的是下一代安全网络系统架构,具备良好的扩展能力,除了4个外部数据插槽外,设备内部预留了3个扩展插槽,可以将应用层安全硬件模块(IDP刀片)插入,从而实施基于硬件的全面的应用层入侵检测和防护,实施应用层防护的性能可以达到2Gbps,在提高性能的同时
16、,扩大对应用层保护的范围。ISG1000/ISG2000防火墙都可以支持虚拟系统,方便IDC开展业务。虚拟防火墙技术是由Juniper最早推出并得到IDC的广泛使用,它允许在一台物理防火墙中创建多个虚拟防火墙系统,每个虚拟系统拥有独立的地址簿、策略和管理等功能。虚拟系统与802.1Q VLAN标记/物理接口/相结合,把安全域延伸到整个交换网络中。NetScreen设备和相应的VLAN/物理接口/交换网络,可以表现为多个具有完全安全特性的防火墙系统。虚系统功能对IDC提供增值服务特别有利。Juniper是最早成熟提供虚系统技术的防火墙厂家,并在实际环境中有大量的稳定运行的案例。基于VLAN的逻辑
17、子接口,除了配合不同的Vsys通过一个物理接口连接到多个网络外,还可以单独使用,其表现就像一个独立的物理接口一样具有众多的可配置特性。防火墙系统会识别带由tag的帧,并转换成正常的以太帧进行防火检测、路由、策略等基本操作。VSYS的划分标准除802.1Q标准外,还可以通过不同的端口(包括物理端口、逻辑端口)以及不同的IP地址划分,为满足不同用户的需求提供了灵活的实施方法。2.1.2 入侵检测和防护建议通过在IDC节点配置ISG防火墙 的IDP(入侵检测和防护)刀片模块(如果选用ISG2000防火墙,最多3块;ISG1000最多2块)或单独的IDP1100。如果采用3块IDP刀片模块插在ISG2
18、000防火墙内部,则实施应用层防护的吞吐可以达到2Gbps;如果采用2块IDP刀片模块插在ISG1000防火墙内部,则实施应用层防护的吞吐可以达到1Gbps;如果采用单独的IDP1100,应用层防护的吞吐可以达到1Gbps。2.1.3 SSL VPN网关为方便IDC机房托管主机的用户管理人员能够安全、方便地远程访问和控制IDC托管机房的主机,建议采用Juniper的SSL VPN设备。Juniper的SSL安全访问产品(可简称为IVE)从根本上解决了安全远程访问问题,可以为IDC提供对重要服务器资源的安全远程访问,同时它又消除了因为远程用户客户端的维护等带来的诸多不便。建议采用一台SA700的
19、SSL VPN设备,并发VPN用户数各为25个,可以对重要的IDC托管主机用户提供该项服务,方便用户安全管理自己的托管主机。SA700的配置简单,可采用单臂连接的方式(即交换机Cat6509和SA700之间用百兆网线连接)即可,实施时无需对现有网络进行任何改动。SA700主要采用网络层连接(network connect)的方式,让远程用户(只需是WindowsMe或以上平台)首先登陆到IVE系统当中,进行相关的安全机制检查和身份认证,通过认证和授权后,远程系统会自动加载一个小插件,这个插件可以从IVE系统中自动的获得一个内部网络的IP地址,从而实现对内部网络资源的访问,该种访问方式与IPSe
20、c类似,但是就不受地址翻译和配置客户端软件的影响。该方式可以支持几乎全部的网络应用,包括相对复杂的视频会议、IP电话等等。采用SA700的设备,还可以对用户终端设备进行节点安全机制检查,并且根据检查的结果,实施相应的访问控制,确保安全性。SA700允许管理员对以下的选项进行定制。 和第三方节点安全解决方案整合 注册表参数检查 开放/不允许的 ports检查 允许/不允许的进程检查 允许/不允许的文件检查 检查定制的dlls 对第三方软件实施心跳检查 应用认证检查 (进程, 文件 MD5 Hash)在动态访问控制方面,SA700也有很强的细粒度的访问控制机制,真正实现了对用户身份(Who),访问
21、的目的资源(What),时间(When),位置(Where)和方式(How)的动态控制。IVE平台提供整体的网络安全设计,通过坚固的系统完成对外部应用请求的转换,同时对各种连接进行细粒度的访问控制,而这种安全上的保障,是不以投资、复杂性和稳定性的牺牲为前提的。2.1.4 应用加速建议通过在IDC节点配置应用加速产品对数据中心的Web应用进行加速和对服务器实施负载均衡。2.2 应用和管理2.2.1 虚拟防火墙技术在IDC的应用方案基于IDC用户的需求,Juniper防火墙最早在业界实现虚拟防火墙技术,并成功地在多个IDC用户处进行了实际应用。在NS500以上级别的防火墙系统里提供虚拟防火墙功能升
22、级选项。由于一个IDC数据中心的主机托管用户众多,许多用户都提出来需要有独立的防火墙供其控制对其托管服务器进行管理和保护。虚拟防火墙技术对于IDC对其说是一个很好的增值服务解决方案,方便为各个用户提供虚拟防火墙供其管理配置。具体的实现方法有两种:基于VLAN划分虚拟防火墙基于VLAN对信息流分类到不同的虚拟防火墙里,一个简单的拓扑连接图如下:三个托管用户的主机分别位于三个VLAN里面,分别是vlan1、vlan2、vlan3,该三个vlan的缺省网关都在防火墙上,是防火墙的三个逻辑子接口。防火墙上划分三个虚拟防火墙,分别是vsys1、vsys2、vsys3。以上典型配置的逻辑图为:三个虚拟防火
23、墙vsys1、vsys2、vsys3都共用一个外部接口,接外网段。各托管用户可以配置到自己的vvys流量的策略,包括地址翻译、IPsec VPN等。三个vsys之间可以控制是否允许互相访问。基于IP地址段划分虚拟防火墙基于IP地址段对信息流分类到不同的虚拟防火墙里,一个简单的拓扑连接图如下(和基于VLAN的一样):三个托管用户的主机分别放在三个网段:10.1.1.0/24、10.1.2.0/24、和10.1.3.0/24。三个网段的缺省网关在防火墙后面的路由器上,防火墙的内网口地址是10.1.0.1/16。防火墙的外网口和内网口都是三个虚拟防火墙共享的。防火墙对信息流的IP地址进行分类,归入不
24、同的虚拟防火墙vsys来进行处理。2.2.2 防火墙的网络地址转换实现方案在很多环境下,IDC有可能需要做地址翻译。防火墙除了接口支持NAT模式以外,防火墙还可以通过设定策略实现以下地址转换的功能:基于策略的源和目标地址和端口翻译在策略中可以定义目标地址是否需要转换,其IP地址和端口可以转换为需要的地址和端口。动态IP地址翻译(DIP,Dynamic IP Pool)DIP 池包含一个范围内的 IP 地址, 防火墙设备在对 IP 封包包头中的源 IP 地址执行网络地址转换 (NAT) 时,可从中动态地提取地址。在实施动态IP地址翻译具体方式上,可以实现下列功能a) 端口地址翻译的DIP使用“端
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Juniper 互联网 数据中心 IDC 网络安全 解决方案 建议书
链接地址:https://www.31ppt.com/p-1937852.html