|
|
本帖最后由 gzhq 于 2011-11-3 09:22 编辑
1.1. 用户现状与需求分析
1.1.1. 用户现状
TCL公司现在的网络使用JUNIPER SSG550M的防火墙,该防火墙使用已有几年了使用一直很稳定。现由于业务的不断的发展,公司的网络规模也越来越大,其性能已经不能满足使用需求了,故需求更换性能更高的防火墙。
1.1.2. 需求分析
从TCL有限公司的目前网络状况来看,需要规划的网络状况如下:
网关处需要有防火墙设备,保护内部电脑免受来自互联网的各种威胁
网关处部署防火墙设备容易引起单点故障,所我们建议使用两台同型防火墙作双机热备。
由于大部分应用来自内网,因此内网到服务器之间应该由防火墙建立专有的区域保护服务器避免受到来自内网的攻击。
从上面的分析结果可以看出,需要解决上述问题,是此次方案的设计目标,本方案的设计目标如下:
网关处架设两台专业的防火墙做HA,使用防火墙连接到互联网,使本地网络免受一些来自互联网的攻击、威胁。
对内网用户访问外部的应用作限制.同时防火墙应具备极强的防止四层以上攻击的入侵检测功能,以保证内外网的安全隔离。
使用防火墙IPS功能模块.对内网、外网的出入数据作检测,预防网络攻击行为。
1.2. 防火墙网络安全方案设计
针对以上需求分析及实现的设计目标,我们设计了以下的方案来完成网络连接。此方案既能解决当前面临的互联网安全问题,也能满足当前以及未来的应用需要。
1.2.1. 方案拓朴
1.2.2. 拓朴描述
1、在网关处部署两台JUNIPER ISG 1000防火墙作HA。
2、防火墙下面分别针对每个部门建立一个处立的区域。
3、每个区域之间通过策略来控制通信。
1.2.3. 方案实施
由于现在公司的现状我们本次项目的实施暂时部署一台防火墙,到第二期时再部署另一台防火墙,与本期的防火墙作HA。
1.3. Juniper ISG1000 产品介绍
1.3.1. 产品概述
Juniper推出业内第一款整合了多种最佳网络边界安全功能的整合式安全网关 Juniper-ISG 1000(Integrated Security Gateway), 可在有效防护来自网络层及应用层的威
胁的同时,为企业和运营商的网络提供最优化的性能并降低网络复杂性。
目前业内其他安全解决方案提供商的整合方式往往以牺牲网络性能为代价,并增加了网络复杂性。而Juniper的最新专属定制的系统采用模块化设计及独特的处理架构 – 包括基于Juniper的新型第四代ASIC芯片的整合了防火墙及VPN功能,不久的将来还可整合完善的入侵检测与防护(IDP)功能。Juniper-ISG 1000具备卓越的性能,以及灵活性和可扩展性,从而有效抵御今天和未来日益复杂的网络威胁。
Juniper-ISG 1000是企业、电信运营商和数据中心的网管人员的理想选择,可帮助他们有效应对不断增加且更为隐蔽的网络攻击,同时确保超卓的网络性能,平衡有限的网络资源和预算。
世界著名调研机构Infonetics Research的首席分析员 Jeff Wilson表示:“功能整合的安全设备已是大势所趋。然而,如果没有适当的设计和功能性的结合,就会造成网络性能或管理的障碍。Juniper处理这一问题时,对整合可能造成的缺陷非常清楚。而Juniper-ISG 1000是成功结合设备的管理能力、性能和不同安全功能的良好范例。”
独特的处理架构
Juniper-ISG 1000具备高达1Gbps线速的防火墙速率及1 Gbps 3DES/AES IPSec VPN 速率;支持高达8个千兆的以太网连接或28个 FE 以太网连接,甚至两种兼备。还可支持10,000个VPN 通道, 250,000个并发会话,每秒20,000个新会话。以上增强的性能是通过将几项灵活的处理功能相结合实现的:包括高性能双GHz CPU管理模块、现场可编程门阵列(FPGA)、以及新一代ASIC芯片GigaScreen3 ASIC。 GigaScreen3 ASIC是业内第一个具备千兆速率,硬件加速AES和3DES加密以及对任何大小的数据包进行千兆以上防火墙监测的可编程ASIC芯片。
与上一代相比,第四代ASIC芯片的性能提高了一倍,防火墙包处理速度(pps)高达每秒300万,加密数据包处理速度高达每秒150万,同时处理任何大小的数据包均保证传输流量的低延迟,这种特性对VoIP等新的应用来讲非常关键。另外,多重内嵌的处理器提升了拒绝服务式攻击(DoS)防护及加密碎片的功能,同时具备透过软件升级而未来进行新增功能的特性。
此外,Juniper-ISG 1000系统架构的独特设计可支持线速防火墙和VPN包处理功能,同时执行基于安全策略,将个别会话另行导向特定的安全模块,以进行进一步的安全处理,额外的安全处理所需的特定安全模块的会话重置。GigaScreen 3 ASIC可平衡处理多达三个安全模块的所有会话,而每一个模块都具备双GHz 中央处理器(CPU), 一个现场可编程门阵列(FPGAs)及内存,以运行入侵检测与防护(IDP)等额外的安全应用 。除了设计独特的系统,Juniper-ISG 1000 的用户还可受益于Juniper的操作系统软件ScreenOS中的网络和安全功能, 其中包括深层监测防火墙技术, 基于动态路由的VPN及虚拟系统功能,还包括对BGP, RIPv2及OSPF路由协议的支持,从而可简化多种复杂环境下的设备部署。ISG1000系统中也可以集成IDP(入侵防护)模块,该模块采用了多种检测方法和强大的签名定制功能,可提供在线攻击防护功能,来防止恶意攻击、蠕虫、病毒和特洛伊等对内部网络敏感资源的窃取和破坏,可以有效地识别并阻止您网络中的攻击,从而最大限度地缩短处理入侵的时间并降低成本。同时,ISG1000系统还具备双主动(Active-Active)或主动-被动(Active-Passive)模式的高可用性选择,该功能可避免单点故障,将网络连通性及生产力最大化。
Juniper亚太区高级市场总监PaulSerrano说:“新推出的具高扩展性的Juniper-ISG1000平台代表了一个新的产品等级,此类产品可有效防范当今日趋复杂的网络层和应用层的攻击,并同时确保最佳的网络性能和最简单的管理操作。其独特的处理架构和模块化的设计可实现网络性能和安全功能的可扩展性,从而在今天和未来有效确保网络安全。”
1.3.2. 产品特性和优势
特性 特性描述 优势
专用平台 专用的、安全性特定的处理硬件和软件平台 。 提供所需的性能来保护高速局域网环境。
可预测的性能 基于 ASIC 的架构以数千兆位的速度为各种规格的数据包提供线性性能 。 确保VoIP和流媒体等敏感应用的低延迟 。
系统和网络永续性 硬件组件冗余,多个高可用性选项和基于路由的 VPN 。 提供高速网络部署所需的可靠性
最佳的网络安全特性 内嵌的 Web 过滤、防垃圾邮件、IPS、ICAP防病毒重定向和可选的集成 IDP。 赛门铁克(Symantec)和SurfControl等世界知名的安全合作伙伴提供更多的安全特性 。
接口灵活性 模块化架构允许通过广泛的铜线和光纤接口选项部署系统。 简化网络集成工作并降低将来的网络升级成本 。
网络分区 安全区、虚拟局域网和虚拟路由器支持管理员部署安全策略,以便隔离访客、地区服务器或数据库。 强大的功能可促进为网络中不同的内外部和DMZ子组部署安全性,以防非法访问 。
集中管理 通过NSM集中管理瞻博网络公司防火墙和IDP产品。 跨越多个平台实现紧密集成,以实现简单直观的网络级安全管理。
强韧的路由引擎 公认的路由引擎支持OSPF、BGP和 RIP v1/2 以及帧中继、多链路帧中继、PPP、多链路PPP和HDLC 。 允许部署整合后的安全和路由设备,从而降低运行和购置成本 。
全面的威胁防护 专用处理模块允许通过单一解决方案提供最佳的数千兆防火墙/VPN/IDP性能。 无与伦比的性能,保护网络免遭高速网络中所有类型的攻击 。
世界一流的专业服务 从单一实验室测试到大型网络实施,瞻博网络公司的专业服务都将竭诚和您的团队合作, 来确定目标、定义部署流程、创建或验证网络设计并管理部署项目。 转变网络基础设施,确保基础设施的安全性、灵活性、可扩展性和可靠性。
1.3.3. 产品技规格
本规格对应的ScreenOS版本 ScreenOS 6.1
防火墙性能(大数据包) 2Gbps
防火墙性能(小数据包) 1 Gbps
防火墙数据包转发性能/pps(64 字节数据包) 1.5 M PPS
AES256+SHA-1 VPN 性能 1 Gbps
3DES+SHA-1 VPN 性能 1 Gbps
最多并发会话数(3) 250,000
每秒新建会话数(有背景流压力)(7) 20,000
最多安全策略数 30,000
最多支持的用户数 不限
固定 I/O 0
接口扩展插槽 4
局域网接口选项 8个mini-GBIC (SX, LX 或 TX),最多4个10/100/1000接口,最多28个10/100接口, 最多4个10GE
网络攻击检测 是
拒绝服务(DoS)和分布式拒绝服务(DDoS)防护 是
用于分段数据包保护的 TCP 重组 是
强行攻击缓解 是
SYN cookie 防护 是
基于区域的 IP 欺骗防护 是
异常数据包保护 是
状态协议签名 是
攻击检测机制
状态签名、流量异常检测、协议异常检测(零日防护),后门检测
攻击响应机制 丢弃连接、结束连接、会话数据包日志、会话总结、电子邮件、
定制
攻击通知机制
会话数据包日志、会话总结、
电子邮件、SNMP、系统日志、
Webtrends
蠕虫防护 是
通过建议的策略实现简单的安装 是
特洛伊木马防护 是
间谍软件/广告软件/键盘记录软件防护 是
其他恶意软件防护 是
防止攻击从受感染系统扩散 是
侦察防护 是
请求和响应端攻击防护 是
复合攻击——将状态特征和协议异常相结合 是
创建定制攻击特征 是
定制访问上下文 500+
攻击编辑(端口范围等) 是
流签名 是
协议门限值 是
状态协议签名 是
所能防护的攻击的大概数量 5,500+*
详细的威胁描述和补救措施/补丁信息 是
企业安全事件探查器 是
创建并执行适当的应用使用策略 是
攻击者与攻击目标审计跟踪和报告 是
部署模式 串联或串联 TAP
更新频率 每日更新和紧急更新
深层检测签名包(4) 是
IPS(深层检测防火墙)(4) 是
协议异常检测 是
状态协议签名 是
IPS/深层检测攻击模式迷惑 是
ICAP 防病毒重定向 是
防垃圾邮件 是
集成 URL 过滤 是
外部 URL 过滤 (6) 是
H.323 ALG 是
SIP ALG 是
MGCP ALG 是
SCCP ALG 是
面向VoIP协议的网络地址转换 是
GTP 隧道(7) 300,000
GTP 数据包检测(IPS或 IDP) 是
并发 VPN 隧道数(8) 10,000
隧道接口(8) 最多1,024个
DES(56位), 3DES (168位)和AES (256位) 是
MD-5和SHA-1验证 是
手动密钥, IKE, PKI (X.509),IKEv2/EAP 是
完美转发密钥(DH组) 1,2,5
防重放攻击 是
远程接入VPN 是
IPSec中的 L2TP 是
IPSec NAT 穿越 是
冗余的VPN 网关 是
内置的(内部)数据库- 用户数量限制(8) 50,000
第三方用户验证 RADIUS, RSA SecureID, LDAP
RADIUS 记账 是 – 开始/结束
XAUTH VPN 验证 是
基于Web的验证 是
802.1X 验证 是
统一接入控制执行点 是
PKI 证书请求(PKCS 7和 PICS 10) 是
自动证书登记(SCEP) 是
在线证书状态协议(OCSP) 是
支持的证书颁发机构 VeriSign, Entrust, Microsoft, RSA Keon, iPlanet (Netscape) Baltimore, DoD PKI
自签名证书 是
最多虚拟系统数 默认为 0,可升级到250
最多安全区域数 默认为 26,可升级到526
最多虚拟路由器数 默认为 3,可升级到253
最多支持的 VLAN 数 4,094
路由
BGP 实例 64
BGP 对 128
BGP 路由 20,000
OSPF 实例 8
OSPF 路由 6,000
RIP v1/v2 实例 最多支持50个实例
RIP v2 表 20,000
动态路由 是
静态路由 20,000
基于源的路由 是
基于策略的路由 是
ECMP 是
组播 是
反向路径转发(RPF)
IGMP (v1, v2)
IGMP 代理
PIM SM
PIM SSM 是
是
是
是
是
IPSec 隧道内的组播 是
双堆栈IPv4/IPv6 防火墙和 VPN 是
同步Cookie和同步代理DoS攻击检测 是
SIP,RTSP,Sun-RPC和MS-RPC ALG 是
IPv4 与 IPv6 的转换和封装 是
虚拟化(VSYS, 安全区, VR, VLAN) 是
RIPng 是
L2模式(透明模式) 是
L3模式(路由和NAT 模式) 是
网络地址转换(NAT) 是
端口地址转换(PAT) 是
基于策略的 NAT/PAT 是
映射的 IP 8,192
虚拟 IP (VIP) (9) 8
MIP/VIP 分组 是
静态 是
DHCP, PPPoE 客户端 否, 否
内部 DHCP 服务器 否
DHCP relay 是
最大带宽 是 – 仅逐物理接口
巨型帧 是(11)
DiffServ 标记 是 – 逐策略
主用/主用-透明和L3模式 是
主用/备用 是
配置同步 是
用于防火墙和 VPN 的会话同步 是
用于路由变化的会话故障切换 是
设备故障检测 是
链路故障检测 是
新HA成员验证 是
HA流量加密 是
WebUI (HTTP 和 HTTPS) 是
命令行接口(控制台) 是
命令行接口(远程登录) 是
命令行接口(SSH) 是
NetScreen-Security Manager 是
通过任何接口上的VPN隧道提供全部管理 是
快速部署 是
本地管理员数据库大小 256
外部管理员数据库支持 RADIUS, LDAP
受限制的管理网络 是
根管理员、管理员和只读用户级别 是
软件升级 是
配置回退 是
系统日志(多个服务器) 是
电子邮件(2 个地址) 是
NetIQ WebTrends 是
SNMP (v2) 是
SNMP 全配置/定制的 MIB 是
路由跟踪 是
VPN 隧道监视器 是
其他的日志存储容量 支持128或512 MB的工业级 SanDisk
事件日志和告警 是
系统配置脚本 是
ScreenOS 软件 是
尺寸(W×H×D) 17.5 X 5.25×23英寸
(44.5×13.3×58.4厘米)
重量 50磅/23千克
机架安装 是,3U
电源(交流) 两个,冗余
电源(直流) 两个,冗余
最大热输出 537 BTU/小时(W)
安全认证 UL, CUL, CSA, CB
EMC 认证 FCC class A, CE class A, C-Tick, VCCI class A
NEBS 是
MTBF (Bellcore模式) 7.6年
Common Criteria:EAL4 和 EAL4+ 是
FIPS 140-2:2级 是
ICSA 防火墙和VPN 是
运行温度 32°至122°F, 0°至50°C
非运行温度 - 4°至158°F, -20°至70°C
湿度 10至90%,非冷凝
1.3.4. 产品参数
产品特性
产品结构 软硬一体化的结构
采用ASIC专用安全硬件平台。
使用专用安全操作系统
接口可扩展模块化设计
支持千兆光纤接口
4个千兆电口数量
远程Modem 管理口
专用的带外管理接口
Compact Flash外部接口
性能指标 两接口间吞吐量(64字节)1G
最大流量2G,
VPN 3DES吞吐量(64字节)1G
VPN 3DES吞吐量(512~1518字节)1G
VPN AES吞吐量 (64字节)1G
VPN AES吞吐量(512~1518字节)1G
NAT 支持的NAT的类型;支持MIP,VIP,DIP,支持双向地址转换,支持从任意区域到任意区域的地址转换
支持基于访问控制规则的 NAT配置
NAT功能由高性能ASIC芯片处理
访问控制及认证 支持对源、目的地址,源、目的端口,协议,用户,时间的精细粒度访问控制策略的配置
支持Sun-RPC、MS-RPC、SQL Net v2等动态端口协议
支持LDAP, Radius, SecureID,同时支持主动认证与被动认证方式
支持802.1x协议
路由协议支持能力 支持源地址路由功能
支持虚拟路由器
支持OSPF,RIP,BGP等路由协议
支持策略路由(根据源IP、目的IP、端口、ToS标志位等)选择路由
支持Source Interface based Routing(SIBR)
支持Interface Based Track IP
支持基于同一接口下或不同接口下的多条等价路由同时使用的ECMP(Equal Cost Multi-path Routing)功能
组播支持 支持基于访问控制策略的组播通讯
支持PIM-SM,PIM-SSM
支持IGMP
多媒体安全 支持多媒体协议,
多媒体通讯的带宽保证
支持SIP Source Flood 攻击防护
支持 Gatekeeper to Gatekeeper Calling和Gatekeeper Routed Call
支持DHCP for VoIP
高可用性 支持Active-Active负载分担
支持Actvie/Passive 双机热备
支持接口链路冗余 (Redundant)和与交换机的交叉连接。必须支持Full-Mesh接口链路冗余部署
冗余心跳线路
支持HA的状态同步;支持Session同步、ARP Cache同步、NAT Catch同步、IPSec SA同步
管理 远程管理手段
可提供单一集中管理软件来实现集中管理配置和策略、并且可以获得流量日志和审计日志
集中管理分域分级别
VPN 支持L2TP, IPSec VPN
支持基于路由(Route-Based)的 VPN
支持VPN隧道通过动态路由协议自动恢复
支持冗余VPN 网关
1.4. 项目预算
NS-ISG-1000 NS-ISG 1000 Advanced System, 4-10/100/1000 ports, Fan Tray, 0 I/O modules, AC power supply, 0 VSYS 11万
注:以上项目预算包括产品安装调试费用。 |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有帐号?注册通行证
x
|
IP卡
狗仔卡
发表于 2011-11-2 12:43:02
收藏
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
楼主
每日一顶