Juniper Networks 防火墙 VPN 购买指南.docx
《Juniper Networks 防火墙 VPN 购买指南.docx》由会员分享,可在线阅读,更多相关《Juniper Networks 防火墙 VPN 购买指南.docx(45页珍藏版)》请在冰点文库上搜索。
JuniperNetworks防火墙VPN购买指南
白皮书
JuniperNetworks防火墙/VPN购买指南
JuniperNetworks,Inc.
1194NorthMathildaAvenue
Sunnyvale,CA94089USA
4087452000或888JUNIPER
文件编号:
710008
10/2006
目录
目录2
介绍3
概述3
提供强大的安全性4
最佳恶意软件攻击防御4
提供可预见的性能5
促进分支机构的设备整合5
提供容错能力以确保解决方案的可用性5
提供易用性和易于管理性5
支持快速简单的部署和安装5
询问用户的问题6
强大的安全性6
统一威胁管理特性6
可预见的性能7
产品整合7
容错能力7
部署与安装8
易用性和管理方便性8
详细的用户检查清单8
附录A:
JuniperNetworks集成防火墙/IPSecVPN产品规格1
介绍
技术正在全球范围内从根本上改变企业开展业务的方式,为企业在提高经营效率并实现业务增长创造了新机会。
但技术在发挥促进作用的同时也带来了新风险,迫使企业开始思考如何保护辛苦构建起来的资产。
如何成功地利用技术来确保企业的经营业绩,同时保护企业关键资源的安全性?
这些问题每天都在困扰着企业的安全和IT管理人员。
企业部署防火墙最主要的目的是对进出网络的流量进行控制。
防火墙最初被部署在网络外围,主要基于IP地址和源/目的端口提供业务服务,包括基本的访问控制、用户身份验证和策略执行,以确保只有适当的用户和服务才能穿过网络。
为了适应当今攻击形态和用户特征的不断变化,企业在评估现在的防火墙产品所提供的功能时,还必须考虑能根据更加严格更加细粒度的标准来准许/拒绝访问的产品,以此增强或替代基于访问控制的防火墙,这些标准包括端点状态和用户身份等。
无论实施哪种访问控制机制,防火墙不再局限于网络外围部署都已成为不争的事实。
相当多的机构都日益青睐在整个网络上利用防火墙的各项功能:
他们将网络分成多个区域,然后在不同的区域之间实施相应的安全策略,如应用访问控制、IPSecVPN和攻击防御技术。
这些分割的区域可以代表地理上的分散网络,如地方分支机构;也可以代表不同类型的流量,如无线接入的流量或VPN连接的流量;还可以代表不同部门甚至是不同的服务器。
这种分区的方法通过建立多个安全级别,能使企业更可靠地保护敏感资源并抑制攻击。
防火墙还提供了一些攻击保护功能,传统意义上来说都是集中在网络层面,如拒绝服务攻击DOS保护。
但许多企业都已意识到,攻击形态瞬息万变,他们不仅需要网络层的防御,还需要在应用层和内容的有效负载层面提供有效的防御措施。
更糟糕的是,企业还需要同时监控并过滤进出网络两个方向的流量,以便同时防御内部员工的恶意攻击和传统的外部攻击。
因此,许多防火墙都已开始对获准出入网络的流量进行多个级别的(网络、应用和内容)深入检测,力求提前查出并抑制攻击,避免造成实际损失。
防火墙还经常与虚拟专用网(VPN)功能配合使用,旨在帮助企业利用低成本的公共互连网设置安全的点到点VPN连接。
IPSecVPN是最普遍使用的站点间VPN技术,因此,本《指南》将重点介绍这些解决方案。
IPSecVPN可通过加密流量来保证私密性并防止数据被修改或篡改,使企业能够跨越公共互网络安全地扩展网络外围设备,以促进各地区之间的安全通信。
与其他解决方案一样,对于IPSecVPN,管理员也应考虑到产品对网络性能及可用性的潜在影响,以及每个解决方案所带来的部署时间和管理成本。
虽然VPN也能部署成单独的解决方案,但对VPN流量实施访问控制始终都不失为明智的决策。
并且,将防火墙与VPN功能紧密集成在一起可降低网络复杂性、简化部署和管理工作并降低企业连接和安全系统的总体拥有成本。
管理人员要求这些解决方案能同时提高经营效率和网络安全性,因此,本《指南》旨在为您评估防火墙和VPN安全解决方案提供框架,以帮助企业在功能与安全性之间实现完美均衡。
本文共分三部分。
在第一部分的“概述”中,文章将评估标准分成五类并解释了每类标准对解决方案价值的总体影响。
第二部分具体阐述了这五类标准,同时提供了简单的检查清单,用于帮助评估人员通过适当的问题来考察备选解决方案。
最后一部分详细列出了每类标准的具体特性,使评估人员能够准确对比备选产品,选出最适合的解决方案。
概述
防火墙是构建严格的网络安全解决方案的基础,因此,用户在购买防火墙时应考虑到产品能否提供长期的投资保护,满足企业变化和增长方面的需求。
企业选择的防火墙/VPN解决方案不仅应提供强大的安全功能,而且还必须提供网络和可用性特性,以满足企业将来的连接和扩展要求。
此外,安全解决方案还应能够轻松集成到网络中并具备易于管理性,以防给已经紧张的IT、安全和网络预算雪上加霜。
目前市场上的防火墙和VPN解决方案数不胜数,给企业选择适合的产品带来了困难。
本部分内容旨在帮助决策和评估人员基于最主要的标准从多个角度考察安全解决方案,以便做出明智的决策。
提供强大的安全性
此解决方案应提供强大的安全功能,以便最大限度地保护网络。
它应该包括严格的访问控制,基于防火墙或更细粒度标准的用户认证系统,如端点状态和用户身份;以便适应攻击形态和用户特征的不断变化。
除了控制进入网络的人和流量外,多级的攻击保护、用于确保数据完整性的IPSec等加密技术、以及用于抑制攻击的网络分区等特性都是选择防火墙的关键标准。
有些解决方案看上去极为简单,并且一开始凭借着易于管理的假象吸引了许多客户,但他们最后都发现,由于解决方案的问题造成了许多可供发动攻击的网络漏洞,因此大幅度加重了管理负担。
例如,路由器无法跟踪通信状态、对协议进行状态检测、查找并阻断各类恶意软件攻击,无法提供严格的验证机制,以致使网络暴露在非法使用的风险之中时,如何在路由器上来有效地添加访问控制列表呢?
为了解决问题,解决方案必须提供一定的粒度和灵活性,以便识别并适当处理异常流量。
这项功能最好能够集成到系统中,以便最大限度地发挥解决方案的安全作用。
例如,将VPN功能集成到防火墙中将减少开放的端口数量并允许对VPN流量轻松应用防火墙策略。
此外,防火墙还必须能够识别出设备本身的潜在安全漏洞,如通用平台和操作系统的安全漏洞。
解决方案必须满足不同网段的不同要求,从规模最小的远程部署到最大规模的中央站点,以确保一致地安全部署,消除危险链路。
最佳恶意软件攻击防御
随着网络攻击形态持续变化,IT经理不能再指望通过防御一类攻击来确保网络安全性。
形形色色的攻击都将矛头直接指向企业网络。
以前相对简单的网络级攻击现已演变成为更复杂的攻击,能够同时利用网络和应用级组件来实现攻击目的。
随着越来越多的企业提供直接访问的WEB服务,最终用户有时在网络冲浪时会访问已知恶意软件下载源的网站,或在无意中泄漏个人或企业的保密数据(信用卡、密码及企业商业机密等),被电子邮件窥探程序或隐藏的后台程序收集并转发。
这意味着IT经理必须采取适当措施来阻断入站和出站的网络、应用和内容层攻击。
互联网
入站威胁
出站威胁
●Windows,Macro,&Script病毒,Backdoors
●间谍软件、广告件、键盘操作记录
●垃圾邮件、网页仿冒
●蠕虫,特洛伊木马,DDoS,DoS,端口和侦察扫描
●间谍软件、广告件、坏件下载
●病毒和基于文件的特洛伊木马传播
●响应网页仿冒攻击
●蠕虫和特洛伊木马传播
∙入站威胁指来自企业网络外部的威胁,例如,攻击人试图通过互网络穿过企业的外围防御设施。
这些威胁几乎包括从蠕虫、病毒、间谍软件、直到欺诈性电子邮件等各类攻击。
∙出站威胁指来自企业网络内部的威胁,例如,员工的办公室设备无意中感染了蠕虫或病毒并将其传播给企业的整个网络。
再例如,用户受到网页仿冒威胁的攻击,将个人数据输入到恶意网站上;以及员工设备上的间谍软件通过互网络向恶意攻击人秘密发送企业敏感的信息等。
阻断入站和出站攻击需要一致的多层解决方案,以防攻击对网络资产及最终用户造成损害。
提供可预见的性能
无论是部署在数据中心、网络外围还是分支机构,防火墙都应促进而不是妨碍网络连接。
如果解决方案无法满足目标网络的性能要求,它的价值将大打折扣。
因此,防火墙必须能够有效地处理流量并在负载情况下提供可预测的性能。
解决方案应能够为各种规模的数据包提供性能保证、最大限度地缩短时延、满足基本的并发会话要求并为特殊的网络段提供所需的VPN隧道。
为了全面防御拒绝服务(DoS)攻击,解决方案还必须能够快速处理性能超载的情况,使网络不会因实施安全特性而降低性能。
促进分支机构的设备整合
行业调查显示,分支机构的数量以每年6.5%的速度快速增长,总部以外办公的比例已经高达80%以上。
原因很简单:
企业希望竭诚为员工服务,只有接近员工居住地点、交通方便且成本适度的工作环境才能产生长期效益。
此外,低成本带宽以及希望提高员工生产率等因素也推动企业为分支机构部署直接的互连网络,以便增强或替换分支与总部之间的回程连接。
但分支机构的直接访问带来了安全和网络需求,使每个分支机构中平均安装的网络设备数量增加到了7个。
在为分支机构选择安全和网络产品时,理想的解决方案应为企业提供部署选择性,允许部署单独的安全或路由产品或是安全和路由的集成产品,以便同时降低前期购置和后期运行成本。
为了实现这个目标,产品首先必须是能够支持各种核心网络功能的安全平台。
此外,产品还必须具备各类公认的模块化局域网/广域网插卡来提供多个接口和VLAN功能,并支持适当的路由协议和广域网封装技术,以满足企业网络将来的扩展需求。
提供容错能力以确保解决方案的可用性
能够在故障情况下确保连接和安全不受影响是优良解决方案的标志。
在基于成本和连接的需求下,解决方案应提供各个级别的冗余,以便企业能为每个网络段灵活地选择可用性级别。
产品本身应提供稳定的性能和组件冗余,并支持高可用性配置,以便同时维护面向防火墙和VPN的会话和状态信息,同时能借助主/主的全网状架构全面抵御上下游的产品故障。
解决方案应具备网络冗余特性,以便利用动态路由的弹性能力实现面向多个ISP或备用拨号线路的路径冗余。
在VPN级别,解决方案应支持多条隧道并最大限度地缩短故障切换时间,以确保最佳连接。
只有满足上述所有冗余要求的产品才是真正具备容错功能的解决方案。
提供易用性和易于管理性
解决方案的真正成本不仅包括最初的购置成本,而且还包括启动并运行解决方案的后期管理和运行成本。
如果维护解决方案需要大量的时间和资源,必将影响到其他工作并加重企业的管理负担。
解决方案应支持配置更改方面的易用性,来确保安全策略得以快速执行。
解决方案应尽量提高自动化水平,以便最大限度地减少手动工作。
解决方案还应提供全面的支持选项来帮助进行轻松排障,以便企业能够快速解决和处理问题。
企业不希望在管理上浪费大量时间,而是希望部署易用的解决方案,以便将更多的时间用在确保业务成功的核心工作上。
支持快速简单的部署和安装
IT、网络和安全经理都希望以更少的投入开展更多工作,因此,解决方案的快速启动和运行能力非常重要。
首选解决方案应能够无缝集成到网络环境中,不会引发互用性问题。
解决方案应该是直观而简单的,以避免大量的培训和安全技能要求。
解决方案应支持轻松升级,无需担心覆盖定制的配置或带来新的安全漏洞。
例如,企业无需担心全新的操作系统补丁会影响基础平台及其运行的应用。
解决方案的设计应支持互操作性,以便最大限度地降低复杂性并简化部署和安装工作。
询问用户的问题
本部分将为评估前一部分描述的防火墙和VPN产品提供框架,包括每类标准中一些主要问题的检查清单。
如需了解如何通过更深入的问题分析对不同解决方案进行逐一对比,请参见下部分“详细的用户检查清单”。
强大的安全性
a.是不是状态检测防火墙?
b.支持哪些类型的访问控制,用户认证及检查?
c.如何利用现有的用户资料库来实施访问控制以及用户认证?
d.无论是作为单独产品、还是与解决方案的其他组件结合在一起,防火墙是否能基于用户身份、端点安全状态和网络信息支持更智能的接入访问?
e.防火墙能否与基于802.1X的L2准入控制产品互动?
f.防火墙能够有效防御哪类攻击(网络、应用或内容级)?
g.解决方案是否支持主流的VoIP协议?
h.防火墙能否在不影响呼叫质量的情况下保护VoIP协议?
i.当打开如NAT等基本安全特性时,VoIP能否继续保持可接受的运行水平?
j.IPSecVPN能否与其他VPN互操作?
k.VPN支持哪类加密类型?
l.产品支持哪类安全证书?
m.解决方案如何抑制攻击?
n.客户能否从单一控制台集中管理防火墙和VPN设备,实现信息共享,并能对VPN流量应用防火墙策略?
o.系统如何防御系统自身携带的潜在安全漏洞?
p.解决方案如何通过扩展来满足各种规模站点的不同的安全需求?
统一威胁管理特性
a.统一威胁管理(UTM)特性是自主研发的,还是利用了其他供应商提供的最佳的攻击防御技术与支持?
b.网页仿冒、间谍软件、灰色软件和其他恶意软件是否含在标准的防病毒产品中?
c.防病毒解决方案是不是真正的基于文件的产品,能够拆析有效负荷、解码文件或脚本、评估是否存在病毒,然后再将其重新组装后发送到目的地?
d.解决方案能否在几小时内处理好突然爆发的病毒?
e.IPS是否能够全面了解各种协议,如状态签名、协议异常检测及阻断其他试探式的威胁?
f.IPS是否能够进行流量深层分析并在重组后进行发送,还是只能进行初步的模式匹配?
g.IPS解决方案是否支持多种响应机制?
h.IPS解决方案是否支持多种管理通知机制?
i.解决方案提供的防垃圾邮件目标列表是否基于真实的流量情况?
j.解决方案要求您使用多少个服务器来监控流量,是否部署在全世界范围内?
k.防垃圾邮件列表多长时间更新一次?
l.URL过滤数据库多长时间更新一次?
m.解决方案能否提供大量的种类,足以支持您订制细粒度的web过滤策略?
n.解决方案是否提供URL过滤的集成或重定向选项?
可预见的性能
a.解决方案在大包和小包情况下所能提供的可保障的可预见的性能?
b.解决方案如何优化流量处理?
c.解决方案如何处理快速的会话以抵御DoS攻击?
d.解决方案的架构如何在负载环境中确保性能的稳定性?
e.解决方案如何处理大量的并发会话以确保用户连接不丢失或减慢速度?
f.解决方案如何在不影响性能的情况下添加更多功能?
g.解决方案如何加速VPN协商流程来建立VPN隧道,同时做到不为用户觉察?
h.解决方案如何最大限度地缩短时延,以确保VoIP等实时应用不受到影响?
i.解决方案如何快速创建并维护VPN隧道,以确保它们始终能够供用户使用?
产品整合
a.首先,产品能否同时用作防火墙和VPN安全产品?
b.产品是不是具备强大的路由功能,用于满足传统分支机构互连的路由需求?
c.产品能否在提供安全和路由特性时保持性能?
d.真正的广域网连接(ADSL、T1、E1、ISDN和DS3等)是否已被集成到产品中?
e.产品能否为局域网和广域网I/O提供模块化支持,以适应未来的连接变化?
f.产品能否通过适当的路由协议和封装特性来支持局域网/广域网的连接选项?
容错能力
a.解决方案是否支持高可用性(HA),包括主用/主用全网状架构,以降低单点故障的发生几率?
b.HA解决方案能否同时维护会话和VPN状态信息,以确保在发生故障时保持连接和VPN安全连接?
c.解决方案能否为VPN隧道提供弹性动态路由协议支持?
d.解决方案是否支持冗余路径?
如果是,支持哪类:
多个ISP备份还是拨号备份?
e.VPN架构中支持哪些冗余特性?
f.解决方案使用哪些机制来最大限度地缩短故障切换时延并确保最长的运行时间?
部署与安装
a.解决方案是否易于部署?
b.解决方案是否提供不同的安装和配置选项,以便管理员根据喜好进行选择?
c.解决方案是否支持CLI、WebUI和基于策略的配置?
d.解决方案是否支持轻松配置新策略?
e.解决方案支持哪些网络特性以促进及时部署?
f.如何为解决方案安装补丁?
易用性和管理方便性
a.执行管理任务的易用性如何?
b.在大规模分布式网络中进行更改需要多长时间得以执行?
c.解决方案是否能以多种方式进行互动和管理?
d.连接断开时需要进行多少手动工作才能恢复?
e.解决方案是否提供轻松排障?
f.解决方案是否支持向VPN中添加网段?
g.解决方案是否支持轻松配置复杂的VPN,如网状和星形的混合拓扑?
h.解决方案针对VPN流量是否支持轻松应用防火墙策略,并无需大量的额外配置?
i.解决方案是否提供大量的支持选项?
j.基础设施的支持工作有多复杂?
是否需要购买多个许可或供应商产品?
详细的用户检查清单
本部分列出了每类标准的特性/功能检查清单,以帮助评估人判断解决方案的真正能力。
评估日期:
评估人:
特性
JuniperNetworks防火墙/VPN解决方案
其他备选解决方案:
备注
强大的安全性
访问控制和用户验证
是
∙用户名/密码
是
∙内部数据库
是
∙RADIUS
是
∙LDAP
是
∙SecureID
是
∙Xauth
是
∙WebAuth
是
∙X.509证书
是
∙令牌
是
∙802.1X
是
基于用户身份、端点安全状态和网络情况来执行访问控制策略
是
防火墙与IC(UAC系统)一起构成策略执行点
能够对网络进行分段并在各段之间执行策略,以抑制攻击并添加信任层
是
使用安全区、虚拟局域网和虚拟路由器技术
∙能够将网络分成多个完全独立的区域并为每个区域创建安全策略
是
使用虚拟系统
∙完全隔离的策略
是
∙完全隔离的管理控制方法
是
进行状态检测
是
防止网络层攻击
是
防止DoS和DDoS攻击
是
使用状态签名机制来检测攻击
是
使用协议执行机制来检测攻击
是
防止传输层攻击
是
如端口扫描和TearDrop攻击
防止网络层攻击
是
如IP碎片、ICMP“pingofdeath”攻击
阻断恶意URL
是
匹配用户定义的模式
检测并保护VoIP
是
∙SIP
是
∙H.323
是
∙SCCP
是
∙MGCP
是
∙面向所有VoIP协议的NAT
是
∙VoIP特定的DoS攻击防御
是
∙安全不会影响VoIP呼叫质量
是
安全认证:
是
∙普通认证
是
∙ICSA认证
是
强大的UTM特性
阻断进和出两个方向的攻击
是
防病毒=进出两个方向
防垃圾邮件=只限入站
IPS=入站和出站两个方向
Web过滤=只限入站
通过一个管理界面来管理所有的UTM特性
是
有些供应商,如思科使用TrendMicro管理界面来控制防病毒特性
最佳的防病毒特性
是
将KasperskyAV引擎集成到分支机构产品中,该引擎在病毒捕获速度上始终首屈一指。
平台支持请参见附录A
∙AV中含防网页仿冒特性
是
∙AV中含防间谍软件特性
是
∙AV中含防垃圾广告特性
是
∙AV数据库能频繁及时更新
是
通过Kaspersky每小时更新一次
∙3小时之内响应突发病毒
是
使用Kaspersky平均1.5小时
最佳的防垃圾邮件特性
是
将基于赛门铁克技术的防垃圾邮件引擎集成到分支机构产品中。
平台支持请参见附录A
∙阻断已知的垃圾邮件源和网页仿冒源
是
在大量平台上提供集成的防垃圾邮件特性,见附录A
∙定期更新垃圾邮件列表
是
每小时更新四次
∙垃圾邮件列表由全球范围内数百万个蜜罐生成
是
防垃圾邮件列表由赛门铁克生成,涉及到25个国家的300万个蜜罐。
分析约20-25%的全球电子邮件流量以生成防垃圾邮件列表
最佳的Web过滤特性
是
将市场排名非1即2的SurfControl的Web过滤技术集成到分支机构产品中,平台支持请参见附录A
∙阻止访问已知的恶意下载网站或其他不适宜的网站内容
是
1900多万URL数据库(30%是国际性的),涉及到54个类别的25亿个网页,每周递增5万个
∙白名单(明确允许的URL)
是
∙黑名单(明确阻止的URL)
是
∙用户可定义的URL类别
是
∙为不同的web访问级别分配不同的组进行管理
是
∙通过防火墙验证来进一步控制网络访问
是
∙Web过滤选项:
集成或重新定向
是
通过多个选项(与SurfControl集成,通过SurfControl或WebSense实施重新定向)来提供灵活性和控制能力。
平台支持请参见附录A
强大的安全-VPN特性
使用IPSec支持安全通信
是
同时实现与其他IPSecVPN的互操作性
使用IKE支持灵活的加密协商
是
互操作性特性
∙AES
是
∙DES
是
∙3DES
是
认证:
是
∙FIPS140-1或140-2
是
∙ICSAIPSec
是
集成防火墙和VPN
通过同一个控制口管理防火墙/VPN
是
简化部署工作,降低因人为错误而导致安全漏洞的几率
解决方案已经在市场上成熟应用多年
防火墙/VPN–1998年6月
深层检测/入侵防御–2002年2月
公认的最佳应用
是
防火墙/VPN/深层检测(Gartner魔力象限)
防火墙策略能应用于VPN流量,而不会导致防火墙产生漏洞
是
在应用防火墙策略时能够保持VPN和动态路由的可用
是
使用安全区、虚拟局域网和虚拟路由器。
如果防火墙策略像某些竞争产品那样需要使用IP地址,则动态路由将丧失功能和管理优势
固有的防篡改特性:
是
∙包装上通过定制的纸带贴封条
是
∙使用防篡改封条来确保真实性
是
∙硬件可通过访问列表来限制远程访问
是
∙基于IP和MAC地址创建访问列表
是
∙硬件能防止密码覆盖
是
∙硬件为远程访问提供安全连接
是
∙定制的OS系统安全性
是
与通用OS相比,定制的OS不容易受到已知攻击的威胁
∙通过