Juniper ISG1000网络安全解决方案建议书.doc

Juniper ISG1000网络安全解决方案建议书目 录1 前言 31.1 范围定义 31.2 参考标准 32 系统脆弱性和风险分析 42.1 网络边界脆弱性和风险分析 42.2 网络内部脆弱性和风险分析 43 系统安全需求分析 53.1 边界访问控制安全需求 53.2 应用层攻击和蠕虫的检测和阻断需求 73.3 安全管理需求 84 系统安全解决方案 94.1 设计目标 94.2 设计原则 94.3 安全产品的选型原则 104.4 整体安全解决方案 114.4.1 访问控制解决方案 114.4.2 防拒绝服务攻击解决方案 134.4.3 应用层防护解决方案 184.4.4 安全管理解决方案 215 方案中配置安全产品简介 225.1 Juniper公司介绍 225.2 Juniper ISG1000 系列安全网关 251 前言1.1 范围定义本文针对的是XXX网络的信息安全问题，从对象层次上讲，它比较全面地囊括了从物理安全、网络安全、系统安全、应用安全到业务安全的各个层次原则上与信息安全风险有关的因素都应在考虑范围内，但为了抓住重点，体现主要矛盾，在本文主要针对具有较高风险级别的因素加以讨论。

从安全手段上讲，本文覆盖了管理和技术两大方面，其中安全管理体系包括策略体系、组织体系和运作体系就XXX的实际需要，本次方案将分别从管理和技术两个环节分别给出相应的解决方案1.2 参考标准 XXX属于一个典型的行业网络，必须遵循行业相关的保密标准，同时，为了保证各种网络设备的兼容性和业务的不断发展需要，也必须遵循国际上的相关的统一标准，我们在设计XXX的网络安全解决方案的时候，主要参考的标准如下：ü NAS IATF3.1美国国防部信息保障技术框架v3.1ü ISO15408 / GB/T 18336信息技术 安全技术 信息技术安全性评估准则，第一部分 简介和一般模型ü ISO15408 / GB/T 18336信息技术 安全技术 信息技术安全性评估准则，第二部分 安全功能要求ü ISO15408 / GB/T 18336信息技术 安全技术 信息技术安全性评估准则，第三部分 安全保证要求ü 加拿大信息安全技术指南, 1997ü ISO17799第一部分, 信息安全管理Code of Practice for Information Security Managementü GB/T 18019-1999 包过滤防火墙安全技术要求；ü GB/T 18020-1999 应用级防火墙安全技术要求；ü 国家973信息与网络安全体系研究G1999035801课题组IATF《信息技术保障技术框架》。

2 系统脆弱性和风险分析2.1 网络边界脆弱性和风险分析网络的边界隔离着不同功能或地域的多个网络区域，由于职责和功能的不同，相连网络的密级也不同，这样的网络直接相连，必然存在着安全风险，下面我们将对XXX网络就网络边界问题做脆弱性和风险的分析XXX的网络主要存在的边界安全风险包括：ü XXX网络与各级单位的连接，可能遭到来自各地的越权访问、恶意攻击和计算机病毒的入侵；例如一个不满的内部用户，利用盗版软件或从Internet下载的黑客程序恶意攻击内部站点，致使网络局部或整体瘫痪；ü 内部的各个功能网络通过骨干交换相互连接，这样的话，重要的部门或者专网将遭到来自其他部门的越权访问这些越权访问可能包括恶意的攻击、误操作等等，但是它们的后果都将导致重要信息的泄漏或者是网络的瘫痪2.2 网络内部脆弱性和风险分析XXX内部网络的风险分析主要针对XXX的整个内网的安全风险，主要表现为以下几个方面：ü 内部用户的非授权访问；XXX内部的资源也不是对任何的员工都开放的，也需要有相应的访问权限内部用户的非授权的访问，更容易造成资源和重要信息的泄漏ü 内部用户的误操作；由于内部用户的计算机造作的水平参差不齐，对于应用软件的理解也各不相同，如果一部分软件没有相应的对误操作的防范措施，极容易给服务系统和其他主机造成危害。

ü 内部用户的恶意攻击；就网络安全来说，据统计约有70％左右的攻击来自内部用户，相比外部攻击来说，内部用户具有更得天独厚的优势，因此，对内部用户攻击的防范也很重要ü 设备的自身安全性也会直接关系到XXX网络系统和各种网络应用的正常运转例如，路由设备存在路由信息泄漏、交换机和路由器设备配置风险等ü 重要服务器或操作系统自身存在安全的漏洞，如果管理员没有及时的发现并且进行修复，将会为网络的安全带来很多不安定的因素ü 重要服务器的当机或者重要数据的意外丢失，都将会造成XXX内部的业务无法正常运行ü 安全管理的困难，对于众多的网络设备和网络安全设备，安全策略的配置和安全事件管理的难度很大3 系统安全需求分析通过对上面XXX网络的脆弱性和风险的分析，我们认为整个XXX网络的安全建设目前还比较简单，存在着一定的安全隐患，主要的安全需求体现为以下几个方面：边界访问控制安全需求，网络级防病毒安全需求、入侵行为检测安全需求、安全管理需求等，下面我们将继续上几章的方法，分别在边界安全需求，内网安全需求环节就这几个关键技术进行描述3.1 边界访问控制安全需求防火墙是实现网络逻辑隔离的首选技术，在XXX的网络中，既要保证在整个网络的连通性，又要实现不同网络的逻辑隔离。

针对XXX网络的具体情况，得到的防火墙的需求包括以下几个方面：ü 先进的安全理念支持基于安全域的策略设定，让用户能够更好的理解防火墙的应用目的ü 访问控制防火墙必须能够实现网络边界的隔离，具有基于状态检测的包过滤功能，能够实现针对源地址、目的地址、网络协议、服务、时间、带宽等的访问控制，能够实现网络层的内容过滤，支持网络地址转换等功能ü 高可靠性由于防火墙是网络中的重要设备，意外的当机都会造成网络的瘫痪，因此防火墙必须是运行稳定，故障率低的系统，并且要求能够实现双机的热备份，实现不间断的网络服务ü 日志和审计要求防火墙能够对重要关键资源的使用情况应进行有效的监控，防火墙系统应有较强的日志处理能力和日志分析能力，能够实现日志的分级管理、自动报表、自动报警功能，同时希望支持第三方的日志软件，实现功能的定制ü 身份认证防火墙本身必须支持身份认证的功能，在简单的地方可以实现防火墙本身自带数据库的身份认证，在大型的情况下，可以支持与如RADIUS等认证服务器的结合使用ü 易管理性XXX网络是一个大型的网络，防火墙分布在网络的各处，所以防火墙产品必须支持集中的管理，安全管理员可以在一个地点实现对防火墙的集中管理，策略配置，日志审计等等。

系统的安装、配置与管理尽可能的简洁，安装便捷、配置灵活、操作简单ü 高安全性作为安全设备，防火墙本身必须具有高安全性，本身没有安全漏洞，不开放服务，可以抵抗各种类型的攻击针对防火墙保护的服务器的拒绝服务攻击，防火墙可以进行阻挡，并且在阻挡的同时，保证正常业务的不间断ü 高性能作为网络的接入设备，防火墙必须具有高性能，不影响原有网络的正常运行，千兆防火墙的性能应该在900M以上，并发连接数要在25万以上ü 可扩展性系统的建设必须考虑到未来发展的需要，系统必须具有良好的可扩展性和良好的可升级性支持标准的IP、IPSEC等国际协议支持版本的升级ü 易实现性防火墙可以很好的部署在现有的网络当中，最小改变网络的拓扑结构和应用设计防火墙要支持动态路由、VLAN协议、H323协议等3.2 应用层攻击和蠕虫的检测和阻断需求入侵检测主要用于检测网络中存在的攻击迹象，保证当网络中存在攻击的时候，我们可以在攻击发生后果之前能够发现它，并且进行有效的阻挡，同时提供详细的相关信息，保证管理员可以进行正确的紧急响应，将攻击的影响减少到最低的程度它的主要需求包括：ü 入侵检测和防护要求能够对攻击行为进行检测和防护，是对入侵防护设备的核心需求，入侵防护设备应该采用最先进的检测手段，如基于状态的协议分析、协议异常等多种检测手段结合等等；要求可以检测的种类包括：攻击行为检测、异常行为检测等等。

ü 对网络病毒的阻拦由于目前80％以上的病毒都是通过网络来传播的，所以为了更好的进行防毒，需要安全设备能够在网关处检测并且阻拦基于网络传输的病毒和蠕虫，并且可以提供相关特征的及时更新ü 性能要求内部网络的流量很多，入侵检测和防护需要处理的数据量也相对较大，同时由于对性能的要求可以大大的减少对于攻击的漏报率和误报率，ü 自身安全性要求作为网络安全设备，入侵检测系统必须具有很高的安全性，配置文件需要加密保存，管理台和探测器之间的通讯必须采用加密的方式，探测器要可以去除协议栈，并且能够抵抗各种攻击ü 服务要求由于系统漏洞的不断出现和攻击手段的不断发展，要求应用层防护设备的攻击特征库能够及时的进行更新以满足网络最新的安全需求ü 日志审计要求系统能对入侵警报信息分类过滤、进行统计或生成报表对客户端、服务器端的不同地址和不同服务协议的流量分析可以选择不同的时间间隔生成报表，反映用户在一定时期内受到的攻击类型、严重程度、发生频率、攻击来源等信息，使管理员随时对网络安全状况有正确的了解可以根据管理员的选择，定制不同形式的报表3.3 安全管理需求安全管理是安全体系建设极为重要的一个环节，目前XXX网络的需要建立针对多种安全设备的统一管理平台，总体需求如下：ü 安全事件的统一监控对于网络安全设备上发现的安全事件，都可以进行集中的监控。

并且进行相应的关联分析，保证管理员可以通过简单的方式，不需要登陆多个设备，就能够明了目前网络中发生的安全事件ü 安全设备的集中化管理随着使用安全产品种类和数量的增加需要不断增加管理和维护人员，管理成本往往呈指数级的增加，因此需要相应的技术手段对这些产品进行集中的控管ü 安全响应能力的提升响应能力是衡量一个网络安全建设水平的重要标准，发现安全问题和安全事件后，必须能快速找到解决方法并最快速度进行响应，响应的方式包括安全设备的自动响应，联动响应，人工响应等等4 系统安全解决方案4.1 设计目标XXX网络具有很高的安全性本方案主要针对XXX网络，保证XXX内网中的重要数据的保密性，完整性、可用性、防抵赖性和可管理性，具体来说可分为如下几个方面：ü 有效控制、发现、处理非法的网络访问；ü 保护在不安全网络上的数据传输的安全性；ü 能有效的预防、发现、处理网络上传输的蠕虫病毒和其他的计算机病毒；ü 能有效的预防、发现、处理网络上存在的恶意攻击和非授权访问；ü 合理的安全体系架构和管理措施；ü 实现网络系统安全系统的集中管理；ü 有较强的扩展性4.2 设计原则我们严格按照国家相关规定进行系统方案设计。

设计方案中遵守的设计原则为：(1) 统一性 系统必须统一规范、统一标准、统一接口，使用国际标准、国家标准，采用统一的系统体系结构，以保持系统的统一性和完整性2) 实用性系统能最大限度满足XXX网络的需求，结合XXX网络的实际情况，在对业务系统进行设计和优化的基础上进行设计3) 先进性无论对业务系统的设计还是对信息系统和网络的设计，都要采用成熟先进的技术、手段、方法和设备4) 可扩展性系统的设计必须考虑到未来发展的需要，具有良好的可扩展性和良好的可升级性5) 安全性必须建立可靠的安全体系，以防止对信息系统的非法侵入和攻击6) 保密性信息系统的有关业务信息，资金信息等。