《(安全生产)J互联网数据中心(IDC)网络安全解决方案建议书》由会员分享,可在线阅读,更多相关《(安全生产)J互联网数据中心(IDC)网络安全解决方案建议书(25页珍藏版)》请在金锄头文库上搜索。
1、IDC网络安全工程技术方案建议书Juniper互联网数据中心(IDC)网络安全解决方案建议书美国Juniper网络公司目录第一章 综述31.1前言31.2 Juniper的安全理念31.2.1 IPSec/SSL VPN41.2.2网络攻击检测41.2.3访问控制51.2.4入侵预防51.2.5管理方式61.2.6合作方案61.2.7流量控制61.3 Juniper的数据中心应用加速理念6第二章 总体方案建议72.1 设备选型72.1.1 防火墙72.1.2 入侵检测和防护82.1.3 SSL VPN网关82.1.4 应用加速102.2 应用和管理102.2.1 虚拟防火墙技术在IDC的应用方
2、案102.2.2 防火墙的网络地址转换实现方案112.2.3 安全策略的实施和应用142.2.4 防火墙防网络层攻击保护152.2.5 防火墙管理202.2.6 IDP刀片模块或IDP设备对应用层的保护212.2.7 应用加速设备DX的使用24第一章 综述1.1前言随着计算机技术和通信技术的飞速发展,信息化浪潮席卷全球,一种全新的先进生产力的出现已经把人类带入了一个新的时代。信息技术的发展极大地改变了人们的生活、工作模式,网上新闻、网上购物、远程教育、电子商务等等各种应用层出不穷,世界各地的信息资源得到了高度的共享。这充分显示出信息化对社会生产力的巨大变革作用。1.2 Juniper的安全理念
3、网络安全可以分为数据安全和服务安全两个层次。数据安全是防止信息被非法探听;服务安全是使网络系统提供不间断的通畅的对外服务。从严格的意义上讲,只有物理上完全隔离的网络系统才是安全的。但为了实际生产以及信息交换的需要,采用完全隔离手段保障网络安全很少被采用。在有了对外的联系之后,网络安全的目的就是使不良用心的人窃听数据、破坏服务的成本提高到他们不能承受的程度。这里的成本包括设备成本、人力成本、时间成本等多方面的因素。为提高恶意攻击者的攻击成本,Juniper的安全理念提供了多层次、多深度的防护体系,如图所示。核心关键资源IntrusionPreventionDoSFirewallIPSec VPN
4、集中管理合作方案Juniper提供了防火墙/VPN系列设备和IDP(入侵检测和防护)系列设备用以实现不同层次的保护功能。针对不同的应用环境有不同的产品型号对应,而且提供集中式管理工具。Global-PRO & IDP ManagerGlobal-PRO ExpressCentral SiteMedium SiteSmall Office/TelecommuterNetwork CoreVPN, Firewall, DoSIntrusion preventionMobileManagement Tools1.2.1 IPSec/SSL VPNIPsec/SSL VPN应用是为网络通信提供有效的信
5、息安全手段。IPSec/SSL VPN是被广泛认可的公开、安全的VPN标准,它从技术角度保证数据的安全性。VPN应用中,多采用3DES、AES等加密技术和MD5、SHA1认证技术,这是目前广被认可的最先进、最实用的常用网络通信加密/认证技术手段。加密的目的是防止非法用户提取信息;认证的目的是防止非法用户篡改信息。网络的VPN应用有两种:防火墙到防火墙、移动用户到IPsec VPN/防火墙或SSL VPN网关设备。前者是针对企业各分支机构,应用在各分支机构有固定IP地址的防火墙系统之间,供分支结构之间互通信息;后者针对移动办公的IP地址不固定的企业员工从Internet上对企业内部资源的访问,其
6、中SSL VPN可以更好地为移动用户提供服务并且具备更强的安全性和可控性,是移动用户安全访问应用的技术趋势。Juniper可以实现IPsec VPN与防火墙功能的紧密结合,SSL VPN解决方案在业界的市场占用率最高。1.2.2网络攻击检测对有服务攻击倾向的访问请求,防火墙采取两种方式来处理:禁止或代理。对于明确的百害而无一利的数据包如地址欺骗、Ping of Death等,防火墙会明确地禁止。对一些借用正常访问形式发生的攻击,因为不能一概否定,防火墙会启用代理功能,只将正常的数据请求放行。防火墙处在最前线的位置,承受攻击分析带来的资源损耗,从而使内部数据服务器免受攻击,专心做好服务。因为防火
7、墙主动承接攻击,或主动分析数据避免攻击,其性能方面有一定的要求。完善的解决方案应该是安全产品从技术设计层面、实际应用层面能够承受大工作量下的性能、安全需求。1.2.3访问控制从外网(互联网或广域网)进入企业网的用户,可以被防火墙有效地进行类别划分,即区分为企业移动用户和外部的公共访问者。防火墙可以允许合法用户的访问以及限制其正常的访问,禁止非法用户的试图访问。限制用户访问的方法,简单讲就是策略控制。通过源IP、目的IP、源应用端口、目的端口等对用户的访问进行区分。此外,配合策略控制,还有多种辅助手段增强这种策略控制的灵活性和强度,如日志记录、流量计数、身份验证、时间定义、流量控制等。Junip
8、er的规则设置采取自上而下的传统。每条策略可以通过图形化的方式添加、修改、移动、删除,也可以通过ID号进行命令行操作。一些细小的特性使使用者感到方便,如可以在添加策略的同时定义Address等。Juniper支持Zone到Zone之间、相同Zone内、Zone到其他所有Zone的策略定义,而且其不同的策略种类具有不同的优先级,充分体现出灵活性与实用性。1.2.4入侵预防Juniper建议采用单独的NetScreen-IDP(入侵检测和防护)系列设备,或者在ISG系列防火墙内增加刀片式的IDP(入侵检测和防护)安全模块。IDP(入侵检测和防护)不同于常规意义的IDS产品,主要有三方面的技术优势:
9、1、主动防御。传统IDS采用Sniffer方式,在攻击产生后才响应,而且对UDP等方式的攻击无能为力。IDP(入侵检测和防护)可以采用Active方式,在攻击发生的同时进行保护,对所有的数据类型都有效。2、检测手段丰富。传统的IDS产品检测手段只有2-3种,多数采用“正向”误报产生告警;IDP(入侵检测和防护)为了实现精确报告,检测手段多达7种。3、管理方便。IDP(入侵检测和防护)采用分级式集中管理,可以高校利用管理资源,相较于基于单台设备进行管理的传统IDS,可以节省管理时间,提高实施效率。1.2.5管理方式任何网络设备都需要合理的管理方式。安全产品要求合理的、丰富的管理方式以提供给管理人
10、员正确的配置、快速的分析手段。在整体的安全系统中,如果涉及数量较大的产品,集中的产品管理、监控将降低不必要的重复性工作,提高效率并减少失误。1.2.6合作方案安全是一个融合了多种技术的整体系统,目前的趋势是越来越专业化。专业化的产品之间需要配合,通过合理的、灵活的配合实现整体系统的安全最大化。1.2.7流量控制IP技术“尽力发送”的服务方式对服务质量控制能力的欠缺是IP技术发展的桎梏。防火墙作为网络系统的关键位置上其关键作用的关键设备,对各种数据的控制能力是保证服务正常运行的关键。不同的服务应用其数据流量有不同的特征,突发性强的FTP、实时性的语音、大流量的视频、关键性的Telnet控制等。如
11、果防火墙系统不能针对不同的应用做出合理的带宽分配和流量控制,某一个用户的应用会在一定的时间内独占全部或大部分带宽资源,从而导致关键业务流量丢失、实时性业务流量中断等。目前很多IP网络设备包括防火墙设备在QoS上采取了不同的实现方法。具有QoS机制的防火墙设备可以给用户最大的两或控制带宽效率的手段,从而保证服务的连续性、合理性。1.3 Juniper的数据中心应用加速理念由于数据中心的发展趋势是Web应用越来越多,许多用户在访问应用时发现Web服务器对应用的响应时间越来越慢,同时为确保Web应用交付的安全,我们愈加需要更高级别的多功能设备应用前端(AFE)。通过结合关键功能以卸载(Offload
12、) Web服务器处理、加速Web浏览器会话并保护“Web层”的安全,Juniper网络公司DX系列应用加速平台可在易于管理且非常灵活的平台内提供前所未有的应用性能、安全性和可用性。第二章 总体方案建议XXXXIDC的网络安全建设方案是参照国际通行的PDRR(Protection防护、Detection检测、Respone响应和Recovery恢复)安全模型进行设计的。2.1 设备选型2.1.1 防火墙建议通过在IDC节点配置2台NetScreen ISG1000 或2台NetScreen ISG2000的防火墙来进行网络安全保护。ISG1000是Juniper 公司2005年初推出的防火墙产品
13、,采用的是最新一代的ASIC芯片(第4代安全ASIC,即GigaScreen3),集成了一流的深层检测防火墙、VPN和DoS防护解决方案,因此可以实现安全、可靠的连接和网络及应用级防护功能来保护关键的大流量网络分段,为大型企业、运营商和数据中心网络提供可扩展的网络和应用安全性。具体的性能指标是:对大包和小包的最大吞吐能力都在1Gbps以上(对IDC而言,尤其需要防火墙能够对实现对小包的高吞吐能力,在保护托管主机用户的安全同时,不会因为流量大或小包多而成为网络瓶颈),总会话数250,000条,每秒钟的新建会话数达20,000条,3DES VPN吞吐1Gbps。由于ISG1000采用的是下一代安全
14、网络系统架构,具备良好的扩展能力,除了2个外部数据插槽外(机箱上已有4个10/100/1000的电口),设备内部预留了2个扩展插槽,可以将应用层安全硬件模块(IDP刀片)插入,从而实施基于硬件的全面的应用层入侵检测和防护,实施应用层防护的性能可以达到1Gbps,在提高性能的同时,扩大对应用层保护的范围。ISG2000是Juniper 公司2004年初推出的防火墙产品,采用的是最新一代的ASIC芯片(第4代安全ASIC,即GigaScreen3),集成了一流的深层检测防火墙、VPN和DoS防护解决方案,因此可以实现安全、可靠的连接和网络及应用级防护功能来保护关键的大流量网络分段,为大型企业、运营
15、商和数据中心网络提供可扩展的网络和应用安全性。具体的性能指标是:对大包和小包的最大吞吐能力都在2Gbps以上(对IDC而言,尤其需要防火墙能够对实现对小包的高吞吐能力,在保护托管主机用户的安全同时,不会因为流量大或小包多而成为网络瓶颈),总会话数512,000条,每秒钟的新建会话数达30,000条,3DES VPN吞吐1Gbps。由于ISG2000采用的是下一代安全网络系统架构,具备良好的扩展能力,除了4个外部数据插槽外,设备内部预留了3个扩展插槽,可以将应用层安全硬件模块(IDP刀片)插入,从而实施基于硬件的全面的应用层入侵检测和防护,实施应用层防护的性能可以达到2Gbps,在提高性能的同时,扩大对应用层保护的范围。ISG1000/ISG2000防火墙都可以支持虚拟系统,方便IDC开展业务。虚拟防火墙技术是由Juniper最早推出并得到IDC的广泛使用,它允许在一台物理防火墙中创建多个虚拟防火墙系统,每个虚拟系统拥有独立的地址簿、策略和管理等功能。虚拟系统与802.1Q VLAN标记/物理接口/相结合,把安全域延伸到整个交换网络中。NetScreen设备和相应的VLAN/物理接口/交换网络,可以表现为多个具有完全安全特性的防火墙系统。虚系统功
