Juniper Networks 防火墙 VPN 购买指南.docx

1、Juniper Networks 防火墙 VPN 购买指南白皮书Juniper Networks 防火墙 / VPN 购买指南Juniper Networks, Inc.1194 North Mathilda AvenueSunnyvale, CA 94089 USA408 745 2000 或 888 JUNIPER文件编号：71000810 / 2006目录目录 2介绍 3概述 3提供强大的安全性 4最佳恶意软件攻击防御 4提供可预见的性能 5促进分支机构的设备整合 5提供容错能力以确保解决方案的可用性 5提供易用性和易于管理性 5支持快速简单的部署和安装 5询问用户的问题 6强大的安全性

2、 6统一威胁管理特性 6可预见的性能 7产品整合 7容错能力 7部署与安装 8易用性和管理方便性 8详细的用户检查清单 8附录A：Juniper Networks集成防火墙 / IPSec VPN 产品规格 1介绍技术正在全球范围内从根本上改变企业开展业务的方式，为企业在提高经营效率并实现业务增长创造了新机会。但技术在发挥促进作用的同时也带来了新风险，迫使企业开始思考如何保护辛苦构建起来的资产。如何成功地利用技术来确保企业的经营业绩，同时保护企业关键资源的安全性？这些问题每天都在困扰着企业的安全和IT 管理人员。企业部署防火墙最主要的目的是对进出网络的流量进行控制。防火墙最初被部署在网络外围，

3、主要基于IP地址和源/目的端口提供业务服务，包括基本的访问控制、用户身份验证和策略执行，以确保只有适当的用户和服务才能穿过网络。为了适应当今攻击形态和用户特征的不断变化，企业在评估现在的防火墙产品所提供的功能时，还必须考虑能根据更加严格更加细粒度的标准来准许/拒绝访问的产品，以此增强或替代基于访问控制的防火墙，这些标准包括端点状态和用户身份等。无论实施哪种访问控制机制，防火墙不再局限于网络外围部署都已成为不争的事实。相当多的机构都日益青睐在整个网络上利用防火墙的各项功能：他们将网络分成多个区域，然后在不同的区域之间实施相应的安全策略，如应用访问控制、IPSec VPN 和攻击防御技术。这些分割

4、的区域可以代表地理上的分散网络，如地方分支机构；也可以代表不同类型的流量，如无线接入的流量或 VPN 连接的流量；还可以代表不同部门甚至是不同的服务器。这种分区的方法通过建立多个安全级别，能使企业更可靠地保护敏感资源并抑制攻击。防火墙还提供了一些攻击保护功能，传统意义上来说都是集中在网络层面，如拒绝服务攻击DOS保护。但许多企业都已意识到，攻击形态瞬息万变，他们不仅需要网络层的防御，还需要在应用层和内容的有效负载层面提供有效的防御措施。更糟糕的是，企业还需要同时监控并过滤进出网络两个方向的流量，以便同时防御内部员工的恶意攻击和传统的外部攻击。因此，许多防火墙都已开始对获准出入网络的流量进行多个

5、级别的(网络、应用和内容)深入检测，力求提前查出并抑制攻击，避免造成实际损失。防火墙还经常与虚拟专用网(VPN)功能配合使用，旨在帮助企业利用低成本的公共互连网设置安全的点到点VPN连接。IPSec VPN 是最普遍使用的站点间 VPN 技术，因此，本指南将重点介绍这些解决方案。IPSec VPN 可通过加密流量来保证私密性并防止数据被修改或篡改，使企业能够跨越公共互网络安全地扩展网络外围设备，以促进各地区之间的安全通信。与其他解决方案一样，对于 IPSec VPN，管理员也应考虑到产品对网络性能及可用性的潜在影响，以及每个解决方案所带来的部署时间和管理成本。虽然 VPN 也能部署成单独的解决

6、方案，但对 VPN 流量实施访问控制始终都不失为明智的决策。并且，将防火墙与 VPN 功能紧密集成在一起可降低网络复杂性、简化部署和管理工作并降低企业连接和安全系统的总体拥有成本。管理人员要求这些解决方案能同时提高经营效率和网络安全性，因此，本指南旨在为您评估防火墙和 VPN 安全解决方案提供框架，以帮助企业在功能与安全性之间实现完美均衡。本文共分三部分。在第一部分的“概述”中，文章将评估标准分成五类并解释了每类标准对解决方案价值的总体影响。第二部分具体阐述了这五类标准，同时提供了简单的检查清单，用于帮助评估人员通过适当的问题来考察备选解决方案。最后一部分详细列出了每类标准的具体特性，使评估人

7、员能够准确对比备选产品，选出最适合的解决方案。概述防火墙是构建严格的网络安全解决方案的基础，因此，用户在购买防火墙时应考虑到产品能否提供长期的投资保护，满足企业变化和增长方面的需求。企业选择的防火墙/VPN 解决方案不仅应提供强大的安全功能，而且还必须提供网络和可用性特性，以满足企业将来的连接和扩展要求。此外，安全解决方案还应能够轻松集成到网络中并具备易于管理性，以防给已经紧张的 IT、安全和网络预算雪上加霜。目前市场上的防火墙和VPN 解决方案数不胜数，给企业选择适合的产品带来了困难。本部分内容旨在帮助决策和评估人员基于最主要的标准从多个角度考察安全解决方案，以便做出明智的决策。提供强大的安

8、全性此解决方案应提供强大的安全功能，以便最大限度地保护网络。它应该包括严格的访问控制，基于防火墙或更细粒度标准的用户认证系统，如端点状态和用户身份；以便适应攻击形态和用户特征的不断变化。除了控制进入网络的人和流量外，多级的攻击保护、用于确保数据完整性的IPSec 等加密技术、以及用于抑制攻击的网络分区等特性都是选择防火墙的关键标准。有些解决方案看上去极为简单，并且一开始凭借着易于管理的假象吸引了许多客户，但他们最后都发现，由于解决方案的问题造成了许多可供发动攻击的网络漏洞，因此大幅度加重了管理负担。例如，路由器无法跟踪通信状态、对协议进行状态检测、查找并阻断各类恶意软件攻击，无法提供严格的验证

9、机制，以致使网络暴露在非法使用的风险之中时，如何在路由器上来有效地添加访问控制列表呢？为了解决问题，解决方案必须提供一定的粒度和灵活性，以便识别并适当处理异常流量。这项功能最好能够集成到系统中，以便最大限度地发挥解决方案的安全作用。例如，将 VPN 功能集成到防火墙中将减少开放的端口数量并允许对 VPN 流量轻松应用防火墙策略。此外，防火墙还必须能够识别出设备本身的潜在安全漏洞，如通用平台和操作系统的安全漏洞。解决方案必须满足不同网段的不同要求，从规模最小的远程部署到最大规模的中央站点，以确保一致地安全部署，消除危险链路。 最佳恶意软件攻击防御随着网络攻击形态持续变化，IT 经理不能再指望通过

10、防御一类攻击来确保网络安全性。形形色色的攻击都将矛头直接指向企业网络。以前相对简单的网络级攻击现已演变成为更复杂的攻击，能够同时利用网络和应用级组件来实现攻击目的。随着越来越多的企业提供直接访问的WEB服务，最终用户有时在网络冲浪时会访问已知恶意软件下载源的网站，或在无意中泄漏个人或企业的保密数据(信用卡、密码及企业商业机密等)，被电子邮件窥探程序或隐藏的后台程序收集并转发。这意味着 IT 经理必须采取适当措施来阻断入站和出站的网络、应用和内容层攻击。 互联网入站威胁出站威胁 Windows, Macro, & Script病毒, Backdoors 间谍软件、广告件、键盘操作记录 垃圾邮件、

11、网页仿冒 蠕虫, 特洛伊木马, DDoS, DoS, 端口和侦察扫描 间谍软件、广告件、坏件下载 病毒和基于文件的特洛伊木马传播 响应网页仿冒攻击 蠕虫和特洛伊木马传播 入站威胁指来自企业网络外部的威胁，例如，攻击人试图通过互网络穿过企业的外围防御设施。这些威胁几乎包括从蠕虫、病毒、间谍软件、直到欺诈性电子邮件等各类攻击。 出站威胁指来自企业网络内部的威胁，例如，员工的办公室设备无意中感染了蠕虫或病毒并将其传播给企业的整个网络。再例如，用户受到网页仿冒威胁的攻击，将个人数据输入到恶意网站上；以及员工设备上的间谍软件通过互网络向恶意攻击人秘密发送企业敏感的信息等。阻断入站和出站攻击需要一致的多层

12、解决方案，以防攻击对网络资产及最终用户造成损害。 提供可预见的性能无论是部署在数据中心、网络外围还是分支机构，防火墙都应促进而不是妨碍网络连接。如果解决方案无法满足目标网络的性能要求，它的价值将大打折扣。因此，防火墙必须能够有效地处理流量并在负载情况下提供可预测的性能。解决方案应能够为各种规模的数据包提供性能保证、最大限度地缩短时延、满足基本的并发会话要求并为特殊的网络段提供所需的 VPN 隧道。为了全面防御拒绝服务(DoS)攻击，解决方案还必须能够快速处理性能超载的情况，使网络不会因实施安全特性而降低性能。促进分支机构的设备整合 行业调查显示，分支机构的数量以每年6.5%的速度快速增长，总部

13、以外办公的比例已经高达80%以上。原因很简单：企业希望竭诚为员工服务，只有接近员工居住地点、交通方便且成本适度的工作环境才能产生长期效益。此外，低成本带宽以及希望提高员工生产率等因素也推动企业为分支机构部署直接的互连网络，以便增强或替换分支与总部之间的回程连接。但分支机构的直接访问带来了安全和网络需求，使每个分支机构中平均安装的网络设备数量增加到了7个。 在为分支机构选择安全和网络产品时，理想的解决方案应为企业提供部署选择性，允许部署单独的安全或路由产品或是安全和路由的集成产品，以便同时降低前期购置和后期运行成本。为了实现这个目标，产品首先必须是能够支持各种核心网络功能的安全平台。此外，产品还

14、必须具备各类公认的模块化局域网/广域网插卡来提供多个接口和VLAN功能，并支持适当的路由协议和广域网封装技术，以满足企业网络将来的扩展需求。 提供容错能力以确保解决方案的可用性能够在故障情况下确保连接和安全不受影响是优良解决方案的标志。在基于成本和连接的需求下，解决方案应提供各个级别的冗余，以便企业能为每个网络段灵活地选择可用性级别。产品本身应提供稳定的性能和组件冗余，并支持高可用性配置，以便同时维护面向防火墙和 VPN 的会话和状态信息，同时能借助主/主的全网状架构全面抵御上下游的产品故障。解决方案应具备网络冗余特性，以便利用动态路由的弹性能力实现面向多个 ISP 或备用拨号线路的路径冗余。

15、在 VPN 级别，解决方案应支持多条隧道并最大限度地缩短故障切换时间，以确保最佳连接。只有满足上述所有冗余要求的产品才是真正具备容错功能的解决方案。 提供易用性和易于管理性解决方案的真正成本不仅包括最初的购置成本，而且还包括启动并运行解决方案的后期管理和运行成本。如果维护解决方案需要大量的时间和资源，必将影响到其他工作并加重企业的管理负担。解决方案应支持配置更改方面的易用性，来确保安全策略得以快速执行。解决方案应尽量提高自动化水平，以便最大限度地减少手动工作。解决方案还应提供全面的支持选项来帮助进行轻松排障，以便企业能够快速解决和处理问题。企业不希望在管理上浪费大量时间，而是希望部署易用的解决

16、方案，以便将更多的时间用在确保业务成功的核心工作上。支持快速简单的部署和安装IT、网络和安全经理都希望以更少的投入开展更多工作，因此，解决方案的快速启动和运行能力非常重要。首选解决方案应能够无缝集成到网络环境中，不会引发互用性问题。解决方案应该是直观而简单的，以避免大量的培训和安全技能要求。解决方案应支持轻松升级，无需担心覆盖定制的配置或带来新的安全漏洞。例如，企业无需担心全新的操作系统补丁会影响基础平台及其运行的应用。解决方案的设计应支持互操作性，以便最大限度地降低复杂性并简化部署和安装工作。 询问用户的问题 本部分将为评估前一部分描述的防火墙和 VPN 产品提供框架，包括每类标准中一些主要

17、问题的检查清单。如需了解如何通过更深入的问题分析对不同解决方案进行逐一对比， 请参见下部分“详细的用户检查清单”。 强大的安全性a. 是不是状态检测防火墙？ b. 支持哪些类型的访问控制，用户认证及检查？c. 如何利用现有的用户资料库来实施访问控制以及用户认证？d. 无论是作为单独产品、还是与解决方案的其他组件结合在一起，防火墙是否能基于用户身份、端点安全状态和网络信息支持更智能的接入访问？e. 防火墙能否与基于 802.1X 的L2 准入控制产品互动？ f. 防火墙能够有效防御哪类攻击(网络、应用或内容级)？ g. 解决方案是否支持主流的 VoIP 协议？ h. 防火墙能否在不影响呼叫质量的

18、情况下保护 VoIP 协议？i. 当打开如 NAT 等基本安全特性时，VoIP 能否继续保持可接受的运行水平？j. IPSec VPN 能否与其他VPN 互操作？ k. VPN 支持哪类加密类型？ l. 产品支持哪类安全证书？m. 解决方案如何抑制攻击？ n. 客户能否从单一控制台集中管理防火墙和VPN设备，实现信息共享，并能对 VPN 流量应用防火墙策略？ o. 系统如何防御系统自身携带的潜在安全漏洞？p. 解决方案如何通过扩展来满足各种规模站点的不同的安全需求？统一威胁管理特性a. 统一威胁管理(UTM)特性是自主研发的，还是利用了其他供应商提供的最佳的攻击防御技术与支持？b. 网页仿冒、

19、间谍软件、灰色软件和其他恶意软件是否含在标准的防病毒产品中？c. 防病毒解决方案是不是真正的基于文件的产品，能够拆析有效负荷、解码文件或脚本、评估是否存在病毒，然后再将其重新组装后发送到目的地？d. 解决方案能否在几小时内处理好突然爆发的病毒？e. IPS 是否能够全面了解各种协议，如状态签名、协议异常检测及阻断其他试探式的威胁？f. IPS 是否能够进行流量深层分析并在重组后进行发送，还是只能进行初步的模式匹配？g. IPS 解决方案是否支持多种响应机制？h. IPS 解决方案是否支持多种管理通知机制？i. 解决方案提供的防垃圾邮件目标列表是否基于真实的流量情况？j. 解决方案要求您使用多少

20、个服务器来监控流量，是否部署在全世界范围内？k. 防垃圾邮件列表多长时间更新一次？ l. URL 过滤数据库多长时间更新一次？m. 解决方案能否提供大量的种类，足以支持您订制细粒度的web 过滤策略？ n. 解决方案是否提供 URL 过滤的集成或重定向选项？可预见的性能a. 解决方案在大包和小包情况下所能提供的可保障的可预见的性能？b. 解决方案如何优化流量处理？c. 解决方案如何处理快速的会话以抵御DoS 攻击？d. 解决方案的架构如何在负载环境中确保性能的稳定性？e. 解决方案如何处理大量的并发会话以确保用户连接不丢失或减慢速度？f. 解决方案如何在不影响性能的情况下添加更多功能？g. 解

21、决方案如何加速 VPN 协商流程来建立VPN 隧道，同时做到不为用户觉察？h. 解决方案如何最大限度地缩短时延，以确保 VoIP 等实时应用不受到影响？i. 解决方案如何快速创建并维护 VPN 隧道，以确保它们始终能够供用户使用？产品整合a. 首先，产品能否同时用作防火墙和VPN 安全产品？b. 产品是不是具备强大的路由功能，用于满足传统分支机构互连的路由需求？c. 产品能否在提供安全和路由特性时保持性能？d. 真正的广域网连接(ADSL、T1、E1、ISDN 和 DS3 等) 是否已被集成到产品中？e. 产品能否为局域网和广域网I/O提供模块化支持，以适应未来的连接变化？f. 产品能否通过适

22、当的路由协议和封装特性来支持局域网/广域网的连接选项？ 容错能力a. 解决方案是否支持高可用性(HA)，包括主用/主用全网状架构，以降低单点故障的发生几率？b. HA 解决方案能否同时维护会话和 VPN 状态信息，以确保在发生故障时保持连接和VPN 安全连接？ c. 解决方案能否为 VPN 隧道提供弹性动态路由协议支持？d. 解决方案是否支持冗余路径？如果是，支持哪类：多个ISP备份 还是拨号备份？e. VPN 架构中支持哪些冗余特性？f. 解决方案使用哪些机制来最大限度地缩短故障切换时延并确保最长的运行时间？ 部署与安装a. 解决方案是否易于部署？b. 解决方案是否提供不同的安装和配置选项，

23、以便管理员根据喜好进行选择？c. 解决方案是否支持CLI、WebUI 和基于策略的配置？d. 解决方案是否支持轻松配置新策略？ e. 解决方案支持哪些网络特性以促进及时部署？f. 如何为解决方案安装补丁？ 易用性和管理方便性a. 执行管理任务的易用性如何？ b. 在大规模分布式网络中进行更改需要多长时间得以执行？c. 解决方案是否能以多种方式进行互动和管理？d. 连接断开时需要进行多少手动工作才能恢复？e. 解决方案是否提供轻松排障？ f. 解决方案是否支持向 VPN 中添加网段？g. 解决方案是否支持轻松配置复杂的VPN ，如网状和星形的混合拓扑？h. 解决方案针对 VPN 流量是否支持轻松

24、应用防火墙策略，并无需大量的额外配置？i. 解决方案是否提供大量的支持选项？ j. 基础设施的支持工作有多复杂？是否需要购买多个许可或供应商产品？详细的用户检查清单本部分列出了每类标准的特性/功能检查清单，以帮助评估人判断解决方案的真正能力。 评估日期： 评估人： 特性Juniper Networks防火墙/VPN 解决方案其他备选解决方案：备注强大的安全性访问控制和用户验证是 用户名/密码是 内部数据库是 RADIUS是 LDAP是 SecureID是 Xauth是 Web Auth是 X.509 证书是 令牌是 802.1X是基于用户身份、端点安全状态和网络情况来执行访问控制策略是防火墙与

25、IC(UAC系统) 一起构成策略执行点能够对网络进行分段并在各段之间执行策略，以抑制攻击并添加信任层 是使用安全区、虚拟局域网和虚拟路由器技术 能够将网络分成多个完全独立的区域并为每个区域创建安全策略是使用虚拟系统 完全隔离的策略 是 完全隔离的管理控制方法是进行状态检测 是防止网络层攻击是防止DoS 和 DDoS 攻击是使用状态签名机制来检测攻击是使用协议执行机制来检测攻击是防止传输层攻击是如端口扫描和Tear Drop攻击防止网络层攻击是如IP 碎片、ICMP“ping of death ”攻击阻断恶意 URL是匹配用户定义的模式检测并保护 VoIP 是 SIP是 H.323是 SCCP是

26、 MGCP是 面向所有 VoIP 协议的 NAT 是 VoIP特定的 DoS 攻击防御是 安全不会影响VoIP 呼叫质量是安全认证：是 普通认证是 ICSA 认证是强大的UTM特性阻断进和出两个方向的攻击是防病毒= 进出两个方向防垃圾邮件= 只限入站IPS = 入站和出站两个方向Web 过滤 =只限入站通过一个管理界面来管理所有的UTM 特性 是有些供应商，如思科使用 Trend Micro 管理界面来控制防病毒特性最佳的防病毒特性是将 Kaspersky AV 引擎集成到分支机构产品中，该引擎在病毒捕获速度上始终首屈一指。平台支持请参见附录A AV中含防网页仿冒特性是 AV中含防间谍软件特性

27、是 AV中含防垃圾广告特性是 AV数据库能频繁及时更新是通过 Kaspersky 每小时更新一次 3 小时之内响应突发病毒是使用 Kaspersky 平均1.5小时最佳的防垃圾邮件特性是将基于赛门铁克技术的防垃圾邮件引擎集成到分支机构产品中。平台支持请参见附录A 阻断已知的垃圾邮件源和网页仿冒源是在大量平台上提供集成的防垃圾邮件特性，见附录A 定期更新垃圾邮件列表 是每小时更新四次 垃圾邮件列表由全球范围内数百万个蜜罐生成是防垃圾邮件列表由赛门铁克生成，涉及到25个国家的300万个蜜罐。分析约20-25%的全球电子邮件流量以生成防垃圾邮件列表最佳的 Web 过滤特性是将 市场排名非1即2的Su

28、rfControl 的Web 过滤技术集成到分支机构产品中，平台支持请参见附录A 阻止访问已知的恶意下载网站或其他不适宜的网站内容是1900多万URL 数据库(30% 是国际性的)，涉及到 54个类别的25亿个网页，每周递增5万个 白名单(明确允许的URL)是 黑名单(明确阻止的URL)是 用户可定义的URL 类别是 为不同的 web 访问级别分配不同的组进行管理 是 通过防火墙验证来进一步控制网络访问是 Web 过滤选项：集成或重新定向是通过多个选项(与 SurfControl集成，通过SurfControl 或 WebSense 实施重新定向)来提供灵活性和控制能力。平台支持请参见附录A

29、强大的安全VPN 特性使用 IPSec 支持安全通信是同时实现与其他 IPSec VPN 的互操作性使用 IKE 支持灵活的加密协商是互操作性特性 AES是 DES是 3DES是认证：是 FIPS 140-1或140-2是 ICSA IPSec是集成防火墙和 VPN 通过同一个控制口管理防火墙/VPN是简化部署工作，降低因人为错误而导致安全漏洞的几率解决方案已经在市场上成熟应用多年防火墙/VPN 1998年6月深层检测/入侵防御2002年2月公认的最佳应用 是 防火墙/VPN/深层检测(Gartner魔力象限)防火墙策略能应用于 VPN 流量，而不会导致防火墙产生漏洞是在应用防火墙策略时能够保持 VPN 和动态路由的可用是使用安全区、虚拟局域网和虚拟路由器。如果防火墙策略像某些竞争产品那样需要使用 IP 地址，则动态路由将丧失功能和管理优势固有的防篡改特性：是 包装上通过定制的纸带贴封条是 使用防篡改封条来确保真实性是 硬件可通过访问列表来限制远程访问是 基于 IP 和 MAC 地址创建访问列表是 硬件能防止密码覆盖是 硬件为远程访问提供安全连接是 定制的 OS系统安全性是与通用OS 相比，定制的 OS 不容易受到已知攻击的威胁 通过