netscreen防火墙及vpn方案.docx
《netscreen防火墙及vpn方案.docx》由会员分享,可在线阅读,更多相关《netscreen防火墙及vpn方案.docx(10页珍藏版)》请在冰点文库上搜索。
netscreen防火墙及vpn方案
xxx公司网络系安全方案
企业网络安全面临的威胁
在现代社会中,随着计算机运用的普及和计算机网络技术的不断发展,计算机为整个社会带来了前所未有的变革,信息化成为社会发展的大趋势。
现代生活的快节奏,迅速、及时、准确、有效的信息传递、处理,使得人类社会充斥了大量以计算机或以计算机处理器为主的系统及网络。
系统一体化趋势,使网络化成为了整个信息社会的核心。
与此同时,人们认识到计算机在给现代社会注入强大生命力同时,不可避免的成为对手攻击的重点对象。
攻击与反攻击,成为信息社会中敌对双方利用互联网为作战平台,展开斗争的重要手段。
而我国信息安全的前景,并不引人乐观。
企业信息安全面临的主要威胁
信息安全的威胁主要来自信息网络上的非法操作,其威胁是多种多样的,并随着时间推移和技术的发展发生着变化,这些威胁既有针对信息运用系统物理环境的攻击破坏,也有对信息系统软件和信息资源的“软”攻击。
主要表现为:
信息泄露、完整性破坏、业务拒绝和非法使用。
信息安全的威胁主要来自五种类型的威胁源:
计算机病毒、网络“黑客”和蓄意入侵、内部失窃和反叛、预置陷阱以及有组织、有预谋的计算机犯罪等。
1计算机病毒
计算机病毒是一种能自身繁殖和自动隐藏、自动传输的计算机程序,具有传染性、潜伏性、隐蔽性和破坏性四大特点,可以通过磁盘、网络、电子邮件等进行传播,其对计算机上的信息资源、系统运行环境有极大的破坏作用。
计算机病毒的传播是人为的,其传播速度是非常快的,随着网络的不断普及,网上计算机病毒的入侵已成为威胁信息安全的首要大敌。
2网络“黑客”和蓄意入侵
网络黑客是指哪些极具有天赋的计算机程序编程能力和运用其程序能力的人员,为了某种利益,试图非法进入一些企业的要害部门,获取资料、修改程序、攻击网络系统,使系统部分或全部崩溃。
3内部失窃和反叛
信息系统的内部人员由于失误造成敏感信息的外泄,或为利益所驱动而为竞争对手提供情报服务是信息安全面临的另一种威胁。
诸如:
物理环境的安全防范不严,对废弃的载有敏感信息的媒体未进行安全的销毁,或无意中把重要的信息泄露给其它人员,或为竞争对手收买,出卖重要情报信息或提供攻击的途径等。
这些是造成信息安全威胁的人为因素。
4预置陷阱
预置陷阱是在信息系统的设计或使用的软硬件中,人为地预设一些陷阱,以干扰或改变计算机的正常运用,甚至使计算机系统崩溃。
信息安全面临的各种威胁之中,预置陷阱是最危险、最可怕的,也是最难以防范的。
陷阱一般分为三类:
“后门”、“病毒”和特定程序。
“后门”又叫“陷阱门”是软件系统的设计者为了调试系统的需要,预先在软件中设计的一种入口。
这个入口可以让软件设计者或熟悉软件系统并知悉这一入口的人员,通过入口超越系统保护,进入系统,窃取数据或攻击系统。
如美国微软公司开发的“视窗软件WIN98”就曾预留有“后门”。
“病毒”是软件设计人员按一系列特定条件设计的隐藏在软件工具中的特定程序,遇到条件满足后,就会发作,使计算机系统出现混乱或陷入瘫痪。
特定程序也是隐藏在计算机程序中具有伪装功能的程序代码,通常用以在设置的系统中执行预置者赋予的特定功能。
如“特洛伊木马”,这种网上特定程序能够安全隐藏在用户计算机中,把用户的授权指令等以电子邮件的方式发给程序的设计者。
软件陷阱是通过网络或使用软件工具进行传播,由于其依附的软件载体是用户的使用系统或工具,难以甚至无法检测,因而危害性更大。
5有组织的计算机犯罪
信息网络在方便人类社会生活的同时也带来了很大的负面影响,反政府组织、宗教极端组织、犯罪团伙或个人利用网络传播、宣传、搜索违反法律和社会道德的信息,进行颠覆活动或敲诈勒索;造谣、蛊惑民众,导致社会不稳定,也给国家安全带来严重的威胁。
信息网络日益普及和完善,企业在各个领域也越来越依赖信息网,同时信息网络易受攻击的薄弱环节也越发明显,任何国家、组织和个人,都有可能掌握攻击的方法和技巧,企业的重要信息和重大的战略资源都有可能受到来自信息网络上的直接攻击。
二、防火墙简介
1、防火墙的应用
防火墙是在两个网络之间执行控制策略的系统包括硬件和软件目的是不被非法用户侵入,本质上它遵循的是一种允许或禁止业务来往的网络通信安全机制也就是提供可控的过滤网络通讯只允许授权的通讯
基于Internet体系应用有两大部分:
Intranet和Extranet。
Intranet是借助Internet的技术和设备在Internet上面构造出企业WWW网,可放入企业全部信息;而Extranet是在电子商务互相合作的需求下,用Intranet间的通道,可获得其它体系中部分信息,按照一个企业的安全体系可以在以下位置部署防火墙
通过防火墙保护企业内部网络的安全
2.防火墙的部署位置:
●局域网内的VLAN之间控制信息流向时
●Intranet与Internet之间连接时
●在广域网系统中,由于安全的需要,总部的局域网可以将各分支机构的局域网看成不安全的系统,(通过公网ChinaPacChinaDDNFarmeRelay等连接)在总部的局域网和各分支机构连接时,采用防火墙隔离并利用VPN构成虚拟专网。
●总部的局域网和分支机构的局域网是通过Internet连接,需要各自安装防火墙,并利用VPN组成虚拟专网
●在远程用户拨号访问时加入虚拟专网
3.防火墙应该具备以下特点:
●广泛的服务支持,通过将动态的、应用层的过滤能力和认证相结合,可实现WWW浏览器、HTTP服务器、FTP等
●对私有数据的加密支持,保证通过Internet进行虚拟私人网络和商务活动不受损坏
●客户端认证只允许指定的用户访问内部网络或选择服务,是企业本地网与分支机构、商业伙伴和移动用户间安全通信的附加部分
●反欺骗、欺骗是从外部获取网络访问权的常用手段,它使数据包好似来自网络内部
4.防火墙应该具有以下功能
●所有进出网络的通讯流都应通过防火墙
●所有穿过防火墙的通讯流都必须有安全策略和计划的确认和授权
●理论上说防火墙自身是不能被攻破的
三xxx公司网络系统安全需求
2.1安全需求
xxx公司网络系统安全目标是为了保证xxx公司网络系统及与之连接的内部生产业务网络系统的安全,同时提供内部办公网络系统到Internet的安全接入,使内部员工能安全访问网上的信息资源。
网络接入安全管理方案需要实现的基本功能要求如下:
●具有网络隔离功能和代理服务/地址映射功能;
●具有时限、流量、地址、用户、应用、节点等控制管理功能;
●具有用户对Internet访问目标的监控和记录功能;
●具有网络安全通讯功能;
●具有实时入侵检测、识别、记录和自动响应功能;
●支持流行的各种应用,包括音视频多媒体应用环境;
●安全管理策略可由管理人员进行定义、修改;
●防火墙对用户和应用应具有透明性,不会明显减低应用系统的效率;
●防火墙应具有历史记录、审计和统计、报表功能;
●防火墙的安装、维护工作量相对少、难度低;
●防火墙本身及所依赖的运行平台价格合理,投资少、见效快。
●防火墙支持与其他的安全产品建立VPN通道。
2.2安全需求分析
根据安全需求分析,xxx公司网络系统安全改造工程完成后,网络应能做到如下几点:
●设置NAT模式,能保护内部的网络结构,防止非法用户入侵内部网络,造成破坏和损失。
●对网络带宽速率不能有任何的影响。
因xxx公司网站提供大量设计图片和视频服务,防火墙对带宽的质量应有保障。
●通过在公司的各部门网络前端设置防火墙,保护其内部资料数据的可靠,防止内部数据被非法窃取。
●设置认证功能,通过对用户的身份认证,控制用户对服务器进行访问。
●有完整的历史记录,能查看每一个经过防火墙的连接,包括日期、源地址、目的地址等,并有识别并阻断攻击功能。
●能提供集中的、图形化的安全管理功能和系统状态查看器,方便管理人员进行定义、修改。
尽量减少维护工作量。
●设计的网络安全解决方案能提供网络入侵检测、识别、记录和自动响应报警功能。
●将公司对内提供的邮件、文件服务的服务器统一放置在防火墙后端,彻底将网络内外隔开,同时具有防止IPSpoofing,SYNflood,,Pingofdeath手段的攻击。
●安全解决方案应考虑日后系统升级和冗余的工作。
●●安全解决方案应考虑搭建安全的VPN通道,保护重要部门之间文件传输
通过vpn实现网络数据传输的安全
四安全解决方案设计
4.1方案说明
根据以上,我们建议在xxx公司计算机网络系统的网关防火墙采用Netscreen-SSG20/140,并作如下解决方案:
将公司的数据服务器和财务服务器统一放置在防火墙的Trust区,内部用户到服务器将通过防火墙的安全审查,普通用户通过防火墙时只充许使用数据服务器,访问将通过严格认证,其他的端口将禁止通讯。
Netscreen防火墙可将网络分成三个区域,Trust(可信任区,连接服务器),Untrust(不信任区,连接内部局域网),DMZ(中立区)。
将公司业务服务器集中放置在Trust区,通过Netscreen防火墙卓越的带宽管理功能,能针对不同的区域、策略和主机分配固定的带宽,并可根据部门工作的需要分配带宽优先权,xxx公司的财务服务器使用的是最高优先级带宽的线路,并通过策略和主机的设置分配某些部门带宽优先权。
可通过Netscreen_20的实现服务的负载平衡(LoadBalancing)功能,合理分配Trust区的主机访问负载,满足用户分步投资网络服务器的需求。
因Netscreen防火墙将黑客代码库集成在其可升级的结构芯片中,所以它对黑客的多种攻击手段能做出最快的反应,例如著名的DDOS分布式拒绝服务攻击(DistributedDenial-OfService),Netscreen能让用户根据客户端主机发出的数据报的数量判断是否是DDOS攻击程序攻击,并采取措施过滤掉攻击包中的源IP地址(尽管这些IP地址可能不是真实的)。
Netscreen提供多种简单有效的功能设置使用户能在最快的时间里做出防护措施。
如关闭一些不必要的端口服务,以保障主要的服务有足够的带宽。
4.2远程用户的接入
●采用VPN方式接入
随着通讯事业的发展,Internet的广泛应用,利用Internet公共资源传输电子邮件及其它文件信息已经成为人们日常生活的一部分,安全问题也就越来越值得人们的重视。
Xxx公司与分公司之间设置帧中继专线,财务部门之间建立虚拟专用网VPN(VirtualPrivateNetwork)。
通过加密,实现安全可靠的信息传输。
对于分公司远程用户接入公司内部局域网,Netscreen防火墙将提供安全、快速、可靠的VPN接入解决方案,Netscreen防火墙能提供高速安全的Triple-DES(168bit)线速加密机制,使用户的通讯能在一个最高安全性的通道内进行。
这是其他任何防火墙不能达到的。
NetScreen提供的VPN功能,采用点对点的DES和3DES加密,支持人工密钥管理、自动ISAKMP密钥管理及用户认证。
DES是一种对称的保密字加密系统。
换而言之,用于加密和解密的密钥是同一个(对称的)。
从标准上讲,DES是受人喜爱的加密机制,它是一种块数据编码方案,适合于硬件实现。
SNMP和SNMP2及Kerberos系统都使用DES。
NetScreen的VPN采用IPsec协议。
IPsec作为在IPv4及IPv6上的加密通讯框架已为大多数厂商所支持。
IPsec主要提供IP网络层上的加密通讯能力。
该标准为每个IP包增加了新的包头格式,AH(AuthenticationHeader)及ESP(EncapsulatingSecurityPayload)。
IPsec使用ISAKMP/Oakley及SKIP进行密钥交换,管理及加密协商SA(SecurityAssociation)。
通过在远程用户的PC机上安装NetscreenVpnRemoteClient软件和netscreenSSG140建立VPN通道,可以实现远程用户和总部之间的安全通讯。
它将与公司总部的netscreenSSG140建立VPN加密通道,通信的数据将在通道里得到保护,其他用户将无法侦听拦截数据包。
实现数据保密。
4.3产品说明
Netscreen-SSG20简介
Juniper网络公司SSG20系列解决方案的关键特性与优势包括:
∙高性能专用平台,提供广域网连接性与安全性,还可以保护高速局域网免受内部网络层和应用层攻击
∙公认的安全性和局域网/广域网路由功能,可以提供合并设备并降低IT成本
∙一套全面的统一威胁管理(UTM)安全特性,可防止网络和应用层攻击,同时阻断基于内容的攻击。
UTM安全特性包括:
o状态检测防火墙,可进行接入控制并阻断网络层攻击
oIPS(深层检测防火墙),可阻断应用层攻击
o基于卡巴斯基实验室扫描引擎的最佳防病毒特性,包括网页仿冒、间谍软件和广告软件防护等功能,可在病毒、特洛伊木马和其他恶意软件损害网络之前阻断它们
o与赛门铁克合作阻断已知的垃圾邮件和网页仿冒攻击的发送方,提供防垃圾邮件功能
o通过SurfControl提供Web过滤,阻止访问已知的恶意下载网站或其他不适当的web内容
o站点间IPSecVPN,可在办事处之间建立安全通信
o拒绝服务(DoS)攻击牵制功能
o面向H.323、SIP、SCCP和MGCP的应用层网关,用于检测并保护VoIP流量
∙固定的局域网接口和广域网接口选项,包括RS-232Serial/AUX、V.92、T1、E1、ISDNBRIS/T和ADSL2+
∙接口与路由灵活性,应对不断变化的网络连接性需求和未来的增长需求
∙多种高可用性选项,可以在一秒钟之内在接口或设备之间进行故障切换
∙可自定义的安全区,能够在不增加额外的硬件开销的情况下提高接口密度,降低策略创建成本,控制未经验证的用户和攻击,并简化防火墙/VPN的管理
∙通过图形WebUI、CLI或NetScreen-SecurityManager集中管理系统进行管理
∙基于策略的管理,允许集中的端到端生命周期管理
Netscreen-SSG140简介
Juniper网络公司SSG140的主要特性和优势包括:
∙专用的高性能平台,除提供广域网连接和安全性外,还可保护高速局域网免遭内部网络和应用级攻击
∙公认的安全性和局域网/广域网路由功能,允许整合产品并降低IT成本
∙一套完整的统一威胁管理(UTM)安全特性,用于防止网络和应用级攻击,同时阻断基于内容的攻击。
UTM的安全特性包括:
o状态检测防火墙,用于执行访问控制和阻断网络级攻击
oIPS(深层检测防火墙),可阻断应用级攻击
o基于KasperskyLab扫描引擎的一流防病毒功能,包括防网页仿冒、防间谍软件和防广告软件功能,可在病毒、特洛伊木马和其他恶意软件破坏网络之前阻断它们
o与赛门铁克合作开发了防垃圾邮件功能,用于阻断已知垃圾邮件发送者和网页仿冒者发送的邮件
o使用SurfControl的Web过滤功能,可阻止用户访问已知的恶意下载网站或其他不适宜的Web内容
o站点间的IPSecVPN,用于在分支机构之间建立安全的通信连接
o拒绝服务(DoS)防御功能
o面向H.323、SIP、SCCP和MGCP的应用层网关,用于检测和保护VoIP流量
∙种类繁多的模块化局域网和广域网接口选项
∙自动配置VPN(ACVPN),允许在集中星形拓扑中自动建立并断开远程分支机构之间的VPN隧道
∙多个高可用性选项,可在接口或设备之间实现一秒内的故障切换
∙可定制的安全区,用于在不增加硬件成本的情况下增加接口密度、降低策略创建成本、牵制非法用户和攻击、简化防火墙/VPN的管理
∙通过图形WebUI、CLI或NetScreen-SecurityManager中央管理系统进行管理
∙基于策略的管理支持集中的、端到端的生命周期管理
VPN技术的应用
网络系统总部和各分支机构之间采用公网网络进行连接,其最大的弱点在于缺乏足够的安全性。
企业网络接入到公网中,暴露出两个主要危险:
∙来自公网的XX的对企业内部网的存取。
∙当网络系统通过公网进行通讯时,信息可能受到窃听和非法修改。
完整的集成化的企业范围的VPN安全解决方案,提供在公网上安全的双向通讯,以及透明的加密方案以保证数据的完整性和保密性。
VPN技术的原理:
VPN系统使分布在不同地方的专用网络在不可信任的公共网络上安全的通信,它采用复杂的算法来加密传输的信息,使得敏感的数据不会被窃听。
其处理过程大体是这样:
1.要保护的主机发送明文信息到连接公共网络的VPN设备;
2.VPN设备根据网管设置的规则,确定是否需要对数据进行加密或让数据直接通过。
3.对需要加密的数据,VPN设备对整个数据包进行加密和附上数字签名。
4.VPN设备加上新的数据报头,其中包括目的地VPN设备需要的安全信息和一些初始化参数。
5.VPN设备对加密后的数据、鉴别包以及源IP地址、目标VPN设备IP地址进行重新封装,重新封装后的数据包通过虚拟通道在公网上传输。
6.当数据包到达目标VPN设备时,数据包被解封装,数字签名被核对无误后,数据包被解密。
IPSec作为在IPv4及IPv6上的加密通讯框架,已为大多数厂商所支持。
IPSec主要提供IP网络层上的加密通讯能力。
IPSec提供了两种加密通讯手段:
IPSecTunnel:
整个IP封装在Ipsec-gateway之间的通讯。
Ipsectransport:
对IP包内的数据进行加密,使用原来的源地址和目的地址。
IPsecTunnel不要求修改已配备好的设备和应用,网络黑客不能看到实际的通讯源地址和目的地址,并且能够提供专用网络通过Internet加密传输的通道,因此,绝大多数厂商均使用该模式。
ISAKMP/Oakley使用X.509数字证书,因此,使VPN能够容易地扩大到企业级。
(易于管理)。
在为远程拨号服务的Client端,也能够实现IPsec的客户端,为拨号用户提供加密网络通讯。
由于IPsec即将成为Internet标准,因此不同厂家提供的防火墙(VPN)产品可以实现互通。
五JUNIPER公司简介
Juniper网络公司,作为全球领先的联网和安全性解决方案供应商,十余年来一直致力于实现网络商务模式的转型。
Juniper网络公司的一系列联网解决方案为其全球超过100个国家的20000多个客户(其中包括全球顶尖的30家电信运营商和《财富》全球100强企业中的92家)提供所需的安全性和高性能来支持全球最大型、最复杂、要求最严格的关键网络。
现任CTO兼创始人PradeepSindhu于1996年创立Juniper网络公司。
∙1998年Juniper第一款产品--M40发售。
∙1999年Juniper在NASDAQ公开上市。
∙2002年收购Unisphere网络公司,添加了E-系列边缘路由产品。
∙2003年成立班加罗尔研发中心。
∙2003年Juniper向业界发出创建Infranet的号召,并获得广泛响应。
(Infranet是将互联网的覆盖范围与专网的可靠性和安全性完美相结合的公共网络。
)
∙2004年收购NetScreen科技公司,添加了系列网络安全产品,在SSLVPN市场取得了全球领导地位。
∙2005年收购Peribit科技公司、Kagoor网络公司、Redline网络公司,Acorn公司和Funk软件公司。
∙2005年Juniper为韩国户名电信服务供应商KT部署T-系列核心路由平台,这也是公司部署的第1000台T-系列核心路由器。
∙2006年推出统一接入控制(UAC)解决方案和安全业务网关(SSG)产品。
∙2006年被标准普尔(S&P)选入标准普尔500指数。
∙2006年年收入达23亿美元。
2007年在全球44个国家设有117个办事处,拥有员工超过5000人。
升级会员 