IDC网络工程技术方案建议书-.doc

目录 第一章 综述 3 1.1前言 3 1.2 Juniper的安全理念 3 1.2.1 IPSec/SSL VPN 4 1.2.2网络攻击检测 4 1.2.3访问控制 5 1.2.4入侵预防 5 1.2.5管理方式 6 1.2.6合作方案 6 1.2.7流量控制 6 1.3 Juniper的数据中心应用加速理念 6 第二章 总体方案建议 7 2.1 设备选型 7 2.1.1 防火墙 7 2.1.2 入侵检测和防护 8 2.1.3 SSL VPN网关 8 2.1.4 应用加速 10 2.2 应用和管理 10 2.2.1 虚拟防火墙技术在IDC的应用方案 10 2.2.2 防火墙的网络地址转换实现方案 11 2.2.3 安全策略的实施和应用 14 2.2.4 防火墙防网络层攻击保护 15 2.2.5 防火墙管理 20 2.2.6 IDP刀片模块或IDP设备对应用层的保护 21 2.2.7 应用加速设备DX的使用 24 第一章 综述 1.1前言 随着计算机技术和通信技术的飞速发展，信息化浪潮席卷全球，一种全新的先进生产力的出现已经把人类带入了一个新的时代。信息技术的发展极大地改变了人们的生活、工作模式，网上新闻、网上购物、远程教育、电子商务等等各种应用层出不穷，世界各地的信息资源得到了高度的共享。这充分显示出信息化对社会生产力的巨大变革作用。 1.2 Juniper的安全理念 网络安全可以分为数据安全和服务安全两个层次。数据安全是防止信息被非法探听；服务安全是使网络系统提供不间断的通畅的对外服务。从严格的意义上讲，只有物理上完全隔离的网络系统才是安全的。但为了实际生产以及信息交换的需要，采用完全隔离手段保障网络安全很少被采用。在有了对外的联系之后，网络安全的目的就是使不良用心的人窃听数据、破坏服务的成本提高到他们不能承受的程度。这里的成本包括设备成本、人力成本、时间成本等多方面的因素。 为提高恶意攻击者的攻击成本，Juniper的安全理念提供了多层次、多深度的防护体系，如图所示。 Juniper提供了防火墙/VPN系列设备和IDP（入侵检测和防护）系列设备用以实现不同层次的保护功能。针对不同的应用环境有不同的产品型号对应，而且提供集中式管理工具。 1.2.1 IPSec/SSL VPN IPsec/SSL VPN应用是为网络通信提供有效的信息安全手段。IPSec/SSL VPN是被广泛认可的公开、安全的VPN标准，它从技术角度保证数据的安全性。VPN应用中，多采用3DES、AES等加密技术和MD5、SHA1认证技术，这是目前广被认可的最先进、最实用的常用网络通信加密/认证技术手段。加密的目的是防止非法用户提取信息；认证的目的是防止非法用户篡改信息。 网络的VPN应用有两种：防火墙到防火墙、移动用户到IPsec VPN/防火墙或SSL VPN网关设备。前者是针对企业各分支机构，应用在各分支机构有固定IP地址的防火墙系统之间，供分支结构之间互通信息；后者针对移动办公的IP地址不固定的企业员工从Internet上对企业内部资源的访问，其中SSL VPN可以更好地为移动用户提供服务并且具备更强的安全性和可控性，是移动用户安全访问应用的技术趋势。 Juniper可以实现IPsec VPN与防火墙功能的紧密结合，SSL VPN解决方案在业界的市场占用率最高。 1.2.2网络攻击检测 对有服务攻击倾向的访问请求，防火墙采取两种方式来处理：禁止或代理。对于明确的百害而无一利的数据包如地址欺骗、Ping of Death等，防火墙会明确地禁止。对一些借用正常访问形式发生的攻击，因为不能一概否定，防火墙会启用代理功能，只将正常的数据请求放行。防火墙处在最前线的位置，承受攻击分析带来的资源损耗，从而使内部数据服务器免受攻击，专心做好服务。 因为防火墙主动承接攻击，或主动分析数据避免攻击，其性能方面有一定的要求。完善的解决方案应该是安全产品从技术设计层面、实际应用层面能够承受大工作量下的性能、安全需求。 1.2.3访问控制 从外网（互联网或广域网）进入企业网的用户，可以被防火墙有效地进行类别划分，即区分为企业移动用户和外部的公共访问者。防火墙可以允许合法用户的访问以及限制其正常的访问，禁止非法用户的试图访问。 限制用户访问的方法，简单讲就是策略控制。通过源IP、目的IP、源应用端口、目的端口等对用户的访问进行区分。此外，配合策略控制，还有多种辅助手段增强这种策略控制的灵活性和强度，如日志记录、流量计数、身份验证、时间定义、流量控制等。 Juniper的规则设置采取自上而下的传统。每条策略可以通过图形化的方式添加、修改、移动、删除，也可以通过ID号进行命令行操作。一些细小的特性使使用者感到方便，如可以在添加策略的同时定义Address等。 Juniper