網絡安全解決方案1.1.用戶現狀與需求分析1.1.1.用戶現狀TCL公司現在的網絡使用JUNIPERSSG550M的防火墻，該防火墻使用已有幾年了使用一直很穩定?，F由于業務的不斷的發展，公司的網絡規模也越來越大，其性能已經不能滿足使用需求了，故需求更換性能更高的防火墻。1.1.2.需求分析從TCL有限公司的目前網絡狀況來看，需要規劃的網絡狀況如下：網關處需要有防火墻設備，保護內部電腦免受來自互聯網的各種威脅網關處部署防火墻設備容易引起單點故障，所我們建議使用兩臺同型防火墻作雙機熱備。由于大部分應用來自內網，因此內網到服務器之間應該由防火墻建立專有的區域保護服務器避免受到來自內網的攻擊。從上面的分析結果可以看出，需要解決上述問題,是此次方案的設計目標,本方案的設計目標如下：網關處架設兩臺專業的防火墻做HA，使用防火墻連接到互聯網，使本地網絡免受一些來自互聯網的攻擊、威脅。對內網用戶訪問外部的應用作限制同時防火墻應具備極強的防止四層以上攻擊的入侵檢測功能，以保證內外網的安全隔離。使用防火墻IPS功能模塊.對內網、外網的出入數據作檢測，預防網絡攻擊行為。1.2.防火墻網絡安全方案設計針對以上需求分析及實現的設計目標，我們設計了以下的方案來完成網絡連接。此方案既能解決當前面臨的互聯網安全問題，也能滿足當前以及未來的應用需要。1.2.1.方案拓樸1.2.2.拓樸描述1、在網關處部署兩臺JUNIPERISG1000防火墻作HA。2、防火墻下面分別針對每個部門建立一個處立的區域。3、每個區域之間通過策略來控制通信。1.2.3.方案實施由于現在公司的現狀我們本次項目的實施暫時部署一臺防火墻，到第二期時再部署另一臺防火墻，與本期的防火墻作HA。1.3.JuniperISG1000產品介紹1.3.1.產品概述Juniper推出業內第一款整合了多種最佳網絡邊界安全功能的整合式安全網關Juniper-ISG1000（IntegratedSecurityGateway）,可在有效防護來自網絡層及應用層的威脅的同時，為企業和運營商的網絡提供最優化的性能并降低網絡復雜性。目前業內其他安全解決方案提供商的整合方式往往以犧牲網絡性能為代價，并增加了網絡復雜性。而Juniper的最新專屬定制的系統采用模塊化設計及獨特的處理架構包括基于Juniper的新型第四代ASIC芯片的整合了防火墻及VPN功能，不久的將來還可整合完善的入侵檢測與防護(IDP)功能。Juniper-ISG1000具備卓越的性能，以及靈活性和可擴展性，從而有效抵御今天和未來日益復雜的網絡威脅。Juniper-ISG1000是企業、電信運營商和數據中心的網管人員的理想選擇，可幫助他們有效應對不斷增加且更為隱蔽的網絡攻擊，同時確保超卓的網絡性能，平衡有限的網絡資源和預算。世界著名調研機構InfoneticsResearch的首席分析員JeffWilson表示：“功能整合的安全設備已是大勢所趨。然而，如果沒有適當的設計和功能性的結合，就會造成網絡性能或管理的障礙。Juniper處理這一問題時，對整合可能造成的缺陷非常清楚。而Juniper-ISG1000是成功結合設備的管理能力、性能和不同安全功能的良好范例?！豹毺氐奶幚砑軜婮uniper-ISG1000具備高達1Gbps線速的防火墻速率及1Gbps3DES/AESIPSecVPN速率；支持高達8個千兆的以太網連接或28個FE以太網連接，甚至兩種兼備。還可支持10,000個VPN通道，250,000個并發會話，每秒20,000個新會話。以上增強的性能是通過將幾項靈活的處理功能相結合實現的：包括高性能雙GHzCPU管理模塊、現場可編程門陣列（FPGA）、以及新一代ASIC芯片GigaScreen3ASIC。GigaScreen3ASIC是業內第一個具備千兆速率，硬件加速AES和3DES加密以及對任何大小的數據包進行千兆以上防火墻監測的可編程ASIC芯片。與上一代相比，第四代ASIC芯片的性能提高