JuniperISG網絡安全處理方案提議書美國Juniper網絡企業目錄TOC\o"1-3"\h\z1 序言 31.1 范圍定義 31.2 參考標準 32 系統脆弱性和風險分析 42.1 網絡邊界脆弱性和風險分析 42.2 網絡內部脆弱性和風險分析 43 系統安全需求分析 53.1 邊界訪問控制安全需求 53.2 應用層攻擊和蠕蟲檢測和阻斷需求 73.3 安全管理需求 84 系統安全處理方案 94.1 設計目標 94.2 設計標準 94.3 安全產品選型標準 104.4 整體安全處理方案 114.4.1 訪問控制處理方案 114.4.2 防拒絕服務攻擊處理方案 134.4.3 應用層防護處理方案 184.4.4 安全管了處理方案 215 方案中配置安全產品介紹 225.1 Juniper企業介紹 225.2 JuniperISG系列安全網關 25序言范圍定義本文針正確是XXX網絡信息安全問題，從對象層次上講，它比較全方面地囊括了從物理安全、網絡安全、系統安全、應用安全到業務安全各個層次。標準上和信息安全風險相關原因全部應在考慮范圍內，但為了抓住關鍵，表現關鍵矛盾，在本文關鍵針對含有較高風險等級原因加以討論。從安全手段上講，本文覆蓋了管理和技術兩大方面，其中安全管理體系包含策略體系、組織體系和運作體系。就XXX實際需要，此次方案將分別從管理和技術兩個步驟分別給出對應處理方案。參考標準 XXX屬于一個經典行業網絡，必需遵照行業相關保密標準，同時，為了確保多種網絡設備兼容性和業務不停發展需要，也必需遵照國際上相關統一標準，我們在設計XXX網絡安全處理方案時候，關鍵參考標準以下：NASIATF3.1美國國防部信息保障技術框架v3.1ISO15408/GB/T18336信息技術安全技術信息技術安全性評定準則，第一部分介紹和通常模型ISO15408/GB/T18336信息技術安全技術信息技術安全性評定準則，第二部分安全功效要求ISO15408/GB/T18336信息技術安全技術信息技術安全性評定準則，第三部分安全確保要求加拿大信息安全技術指南,1997ISO17799第一部分,信息安全管理CodeofPracticeforInformationSecurityManagementGB/T18019-1999包過濾防火墻安全技術要求；GB/T18020-1999應用級防火墻安全技術要求；國家973信息和網絡安全體系研究G課題組IATF《信息技術保障技術框架》。系統脆弱性和風險分析網絡邊界脆弱性和風險分析網絡邊界隔離著不一樣功效或地域多個網絡區域，因為職責和功效不一樣，相連網絡密級也不一樣，這么網絡直接相連，肯定存在著安全風險，下面我們將對XXX網絡就網絡邊界問題做脆弱性和風險分析。XXX網絡關鍵存在邊界安全風險包含：XXX網絡和各級單位連接，可能遭到來自各地越權訪問、惡意攻擊和計算機病毒入侵；比如一個不滿內部用戶，利用盜版軟件或從Internet下載黑客程序惡意攻擊內部站點，致使網絡局部或整體癱瘓；內部各個功效網絡經過骨干交換相互連接，這么話，關鍵部門或專網將遭到來自其它部門越權訪問。這些越權訪問可能包含惡意攻擊、誤操作等等，不過它們后果全部將造成關鍵信息泄漏或是網絡癱瘓。網絡內部脆弱性和風險分析XXX內部網絡風險分析關鍵針對XXX整個內網安全風險，關鍵表現為以下多個方面：內部用戶非授權訪問；XXX內部資源也不是對任何職員全部開放，也需要有對應訪問權限。內部用戶非授權訪問，更輕易造成資源和關鍵信息泄漏。內部用戶誤操作；因為內部用戶計算機造作水平參差不齊，對于應用軟件了解也各不相同，假如一部分軟件沒有對應對誤操作防范方法，極輕易給服務系統和其它主機造成危害。內部用戶惡意攻擊；就網絡安全來說，據統計約有70％左右攻擊來自內部用戶，相比外部攻擊來說，內部用戶含有更得天獨厚優勢，所以，對內部用戶攻擊防范也很關鍵。設備本身安全性也會直接關系到XXX網絡系統和多種網絡應用正常運轉。比如，路由設備存在路由信息泄漏、交換機和路由器設備配置風險等。關鍵服務器或操作系統本身存在安全漏洞，假如管理員沒有立即發覺而且進行修復，將會為網絡安全帶來很多不安定原因。關鍵服務器當機或關鍵數據意外丟失，全部將會造成XXX內部業務無法正常運行。安全管理困難，對于眾多網絡設備和網絡安全設備，安全策略配置和安全事件管理難度很大。系統安全需求分析經過對上面XXX網絡脆弱性和風險分析，我們認為整個XXX網絡安全建設現在還比較簡單，存在著一定安全隱患，關鍵安全需求表現為以下多個方面：邊界訪問控制安全需求，網絡級防病毒安全需求、入侵行為檢測安全需求、安全管理需求等，下面我們將繼續上幾章方法，分別在邊界安全需求，內網安全需求步驟就這多個關鍵技術進行描述。邊界訪問控制安全需求防火墻是實現網絡邏輯隔離首選技術，在XXX網絡中，既要確保在整個網絡連通性，又要實現不一樣網絡邏輯隔離。針對XXX網絡具體情況，得到防火墻需求包含以下多個方面：優異安全理念支持基于安全域策略設定，讓用戶能夠愈加好了解防火墻應用目標。訪問控制防火墻必需能夠實現網絡邊界隔離，含有基于狀態檢測包過濾功效，能夠實現針對源地址、目標地址、網絡協議、服務、時間、帶寬等訪問控制，能夠實現網絡層內容過濾，支持網絡地址轉換等功效。高可靠性因為防火墻是網絡中關鍵設備，意外當機全部會造成網絡癱瘓，所以防火墻必需是運行穩定，故障率低系統，而且要求能夠實現雙機熱備份，實現不間斷網絡服務。日志和審計要求防火墻能夠對關鍵關鍵資源使用情況應進行有效監控，防火墻系統應有較強日志處理能力和日志分析能力，能夠實現日志分級管理、自動報表、自動報警功效，同時期望支持第三方日志軟件，實現功效定制。身份認證防火墻本身必需支持身份認證功效，在簡單地方能夠實現防火墻本身自帶數據庫身份認證，在大型情況下，能夠支持和如RADIUS等認證服務器結合使用。易管理性XXX網絡是一個大型網絡，防火墻分布在網絡各處，所以防火墻產品必需支持集中管理，安全管理員能夠在一個地點實現對防火墻集中管理，策略配置，日志審計等等。系統安裝、配置和管理盡可能簡練，安裝便捷、配置靈活、操作簡單。高安全性作為安全設備，防火墻本身必需含有高安全性，本身沒有安全漏洞，不開放服務，能夠抵御多種類型攻擊。針對防火墻保護服務器拒絕服務攻擊，防火墻能夠進行阻擋，而且在阻擋同時，確保正常業務不間斷。高性能作為網絡接入設備，防火墻必需含有高性能，不影響原有網絡正常運行，千兆防火墻性能應該在900M以上，并發連接數要在50萬以上。可擴展性系統建設必需考慮到未來發展需要，系統必需含有良好可擴展性和良好可升級性。支持標準IP、IPSEC等國際協議。支持版本在線升級。易實現性防火墻能夠很好布署在現有網絡當中，最小改變網絡拓撲結構和應用設計。防火墻要支持動態路由、VLAN協議、H323協議等。應用層攻擊和蠕蟲檢測和阻斷需求入侵檢測關鍵用于檢測網絡中存在攻擊跡象，確保當網絡中存在攻擊時候，我們能夠在攻擊發生后果之前能夠發覺它，而且進行有效阻擋，同時提供具體相關信息，確保管理員能夠進行正確緊急響應，將攻擊影響降低到最低程度。它關鍵需求包含：入侵檢測和防護要求能夠對攻擊行為進行檢測和防護，是對入侵防護設備關鍵需求，入侵防護設備應該采取最優異檢測手段，如基于狀態協議分析、協議異常等多個檢測手段結合等等；要求能夠檢測種類包含：攻擊行為檢測、異常行為檢測等等。對網絡病毒阻攔因為現在80％以上病毒全部是經過網絡來傳輸，所以為了愈加好進行防毒，需要安全設備能夠在網關處檢測而且阻攔基于網絡傳輸病毒和蠕蟲，而且能夠提供相關特征立即更新。性能要求內部網絡流量很多，入侵檢測和防護需要處理數據量也相對較大，同時因為對性能要求能夠大大降低對于攻擊漏報率和誤報率，本身安全性要求作為網絡安全設備，入侵檢測系統必需含有很高安全性，配置文件需要加密保留，管理臺和探測器之間通訊必需采取加密方法，探測器要能夠去除協議棧，而且能夠抵御多種攻擊。服務要求因為系統漏洞不停出現和攻擊手段不停發展，要求應用層防護設備攻擊特征庫能夠立即進行更新。以滿足網絡最新安全需求。日志審計要求系統能對入侵警報信息分類過濾、進行統計或生成報表。對用戶端、服務器端不一樣地址和不一樣服務協議流量分析。能夠選擇不一樣時間間隔生成報表，反應用戶在一定時期內受到攻擊類型、嚴重程度、發生頻率、攻擊起源等信息，使管理員隨時對網絡安全情況有正確了解。能夠依據管理員選擇，定制不一樣形式報表。安全管理需求安全管理是安全體系建設極為關鍵一個步驟，現在XXX網絡需要建立針對多個安全設備統一管理平臺，總體需求以下：安全事件統一監控對于網絡安全設備上發覺安全事件，全部能夠進行集中監控。而且進行對應關聯分析，確保管理員能夠經過簡單方法，不需要登陸多個設備，就能夠明了現在網絡中發生安全事件。安全設備集中化管理伴隨使用安全產品種類和數量增加需要不停增加管理和維護人員，管理成本往往呈指數級增加，所以需要對應技術手段對這些產品進行集中控管。安全響應能力提升響應能力是衡量一個網絡安全建設水平關鍵標準，發覺安全問題和安全事件后，必需能快速找四處理方法并最快速度進行響應，響應方法包含安全設備自動響應，聯動響應，人工響應等等。系統安全處理方案設計目標XXX網絡含有很高安全性。本方案關鍵針對XXX網絡，確保XXX內網中關鍵數據保密性，完整性、可用性、防抵賴性和可管理性，具體來說可分為以下多個方面：有效控制、發覺、處理非法網絡訪問；保護在不安全網絡上數據傳輸安全性；能有效預防、發覺、處理網絡上傳輸蠕蟲病毒和其它計算機病毒；能有效預防、發覺、處理網絡上存在惡意攻擊和非授權訪問；合理安全體系架構和管理方法；實現網絡系統安全系統集中管理；有較強擴展性。設計標準我們嚴格根據國家相關要求進行系統方案設計。設計方案中遵守設計標準為：統一性 系統必需統一規范、統一標準、統一接口，使用國際標準、國家標準，采取統一系統體系結構，以保持系統統一性和完整性。實用性系統能最大程度滿足XXX網絡需求，結合XXX網絡實際情況，在對業務系統進行設計和優化基礎上進行設計。優異性不管對業務系統設計還是對信息系統和網絡設計，全部要采取成熟優異技術、手段、方法和設備。可擴展性系統設計必需考慮到未來發展需要，含有良好可擴展性和良好可升級性。安全性必需建立可靠安全體系，以預防對信息系統非法侵入和攻擊。保密性信息系統相關業務信息，資金信息等必需有嚴格管理方法和技術手段加以保護，以免因泄密而造成國家、單位和個人損失。最高保護標準系統中包含到多個密級資源，按最高密級保護易實現性和可管理性系統安裝、配置和管理盡可能簡練，安裝便捷，配置靈活，操作簡單，而且系統應含有可授權集中管理能力。安全產品選型標準XXX網絡屬于一個行業專用網絡，所以在安全產品選型上，必需慎重，選型標準包含：安全保密產品接入應不顯著影響網絡系統運行效率，而且滿足工作要求，不影響正常業務；安全保密產品必需滿足上面提出安全需求，確保整個XXX網絡安全性。安全保密產品必需經過國家主管部門指定測評機構檢測；安全保密產品必需含有自我保護能力；安全保密產品必需符合國家和國際上相關標準；安全產品必需操作簡單易用，便于簡單布署和集中管理。整體安全處理方案訪問控制處理方案劃分安全區（SecurityZone）JuniperISG系統防火墻模塊增加了全新安全區域（SecurityZone）概念，安全區域是一個邏輯結構，是多個處于相同屬性區域物理接口集合。當不一樣安全區域之間相互通訊時，必需經過事先定義策略檢驗才能經過；當在同一個安全區域進行通訊時，默認狀態下許可不經過策略檢驗，經過配置后，也能夠強制進行策略檢驗，以提升安全性。安全區域概念出現，使防火墻配置能更靈活同現有網絡結構相結合。以下圖為例，經過實施安全區域配置，內網不一樣部門之間通訊也必需經過策略檢驗，深入提升系統安全。劃分VSYS為滿足網絡中心或數據中心要求，即網絡中心或數據中心管理員提供防火墻硬件設備維護和資源分配，部門級系統管理員或托管用戶管理員來配置防火墻IP配置和具體策略。Juniper企業防火墻自500系列起，支持虛擬防火墻技術，即能夠將一個物理防火墻系統虛擬成多個邏輯防火墻系統，滿足了數據中心或網絡中心硬件系統和管理系統維護分離要求。Virtual-RouterJuniper企業防火墻支持虛擬路由器技術，在一個防火墻設備里，將原來單一路由方法下單一路由表，進化為多個虛擬路由器和對應多張獨立路由表，提升了防火墻系統安全性和IP地址配置靈活性。安全策略定義Juniper企業ISG系統防火墻模塊在定義策略時，關鍵需要設定源IP地址、目標IP地址、網絡服務和防火墻動作。在設定網絡服務時，JuniperISG系統防火墻模塊已經內置預設了大量常見網絡服務類型，同時，也能夠由用戶自行定義網絡服務。在用戶自行定義經過防火墻服務時，需要選擇網絡服務協議，是UDP、TCP還是其它，需要定義源端口或端口范圍、目標端口或端口范圍、網絡服務在無流量情況下超時定義等。所以，經過對網絡服務定義，和IP地址定義，使JuniperISG系統防火墻模塊策略細致程度大大加強，安全性也提升了。除了定義上述這些關鍵參數以外，在策略中還能夠定義用戶認證、在策略里定義是否要做地址翻譯、帶寬管理等功效。經過這些關鍵安全元素和附加元素控制，能夠讓系統管理員對進出防火墻數據流量進行嚴格訪問控制，達成保護內網系統資源安全目標。防拒絕服務攻擊處理方案Juniper企業ISG系統高性能確保它足以抵御現在Internet上流行DDoS攻擊，能夠識別多達28種以上網絡攻擊。在抵御關鍵分布式拒絕服務功效方面，Juniper企業JuniperISG系統支持SYN網關代理功效，即當SYN連接請求超出正常定義范圍時，NS防火墻會自動開啟SYN網關功效，代理后臺服務器端結SYN請求并發出ACK回應，直到收到SYN/ACK響應，才會將該連接轉發給服務器；不然會將超時沒有響應SYN連接請求丟棄。Juniper企業NetScreen系列除了支持SYN網關功效之外，能夠針對SYN攻擊設定閥值，只有當SYN連接請求超出預定義閥值時，才開啟SYN網關功效。這么能夠有效提升防火墻在正常情況下工作效率。假如防火墻沒有閥值選項，那么用戶面臨選擇是：要么不要SYN防御功效提升性能，要么使用SYN防御功效大大降低在正常工作狀態下性能。這是其它防火墻產品很不靈活產品設計，Juniper企業JuniperISG系統在二者之間取得了一個平衡。SYNFlooding當主機中充滿了需要發出響應、無法完成連接SYN請求，以至于主機無法再處理正當SYN連接請求時，就發生了SYN泛濫。利用三方封包交換，即常說三方握手，兩個主機之間建立TCP連接：A向B發送SYN數據包；B用SYN/ACK數據包進行響應；然后A又用ACK數據包進行響應。SYN泛濫攻擊用偽造IP源地址（不存在或不可抵達地址）SYN請求來塞滿站點B。B用SYN/ACK數據包響應這些來自非法地址請求，并等候來自這些地址響應ACK數據包。因為SYN/ACK數據包被發送到不存在或不可抵達IP地址，所以它們永遠不會得到響應并最終超時。經過用無法完成TCP連接泛濫攻擊主機，攻擊者最終會填滿受害服務主機內存緩存區。當該緩存區填滿后，主機就不能再處理新TCP連接請求，泛濫甚至可能會破壞受害者操作系統。JuniperISG設備能夠對每秒鐘許可經過防火墻SYN數據包數量加以限制。能夠針對目標地址和端口、僅目標地址或僅源地址攻擊臨界值設置閥值。當每秒SYN數據包數量超出這些臨界值之一時，Juniper設備開始代剪發送流入SYN數據包、用SYN/ACK數據包回復并將不完全連接請求儲存到連接隊列中。未完成連接請求保留在隊列中，直到連接完成或請求超時。在下面示意圖中，已超出了SYN攻擊臨界值，Juniper防火墻開始代理SYN數據包。在下一個示意圖中，經過代理連接隊列已完全填滿，JuniperISG系統正在拒絕流入SYN數據包請求。此操作保護受保護網絡中主機，使其免遭不完整三方握手轟擊。ICMPFlooding當有大量ICMP回應請求時，往往會造成服務器耗盡資源來進行響應，直至最終超出了服務器最大極限以致無法處理有效網絡信息流，這時就發生了ICMP泛濫。當啟用了ICMP泛濫保護功效時，能夠設置一個臨界值，一旦超出此值就會調用ICMP泛濫攻擊保護功效。（缺省臨界值為每秒1000個封包）。假如超出了該臨界值，JuniperISG設備在該秒余下時間和下一秒內會忽略其它ICMP回應要求。UDPFlooding和ICMP泛濫相同，當攻擊者以減慢受害服務器響應速度為目標向該點發送含有UDP數據包IP封包，以至于受害服務器再也無法處理有效連接時，就發生了UDP泛濫。當啟用了UDP泛濫保護功效時，能夠設置一個臨界值，一旦超出此臨界值就會調用UDP泛濫攻擊保護功效。（缺省臨界值為每秒1000個封包）假如從一個或多個源向多個目標發送UDP數據包數量超出了此臨界值，JuniperISG在該秒余下時間和下一秒內會忽略其它到該目標UDP數據包。MISC攻擊能夠抵御關鍵攻擊方法有：分布式服務拒絕攻擊DDOS（DistributedDenial-Of-Serviceattacks）、IP碎片攻擊（IPFragmentationattacks）、端口掃描攻擊（PortScanAttacks）、IP源路由攻擊（IPSourceAttacks）、IPSpoofingAttacks；AddressSweepAttacks、WinNukeAttack等共31種，請參考附件（ScreenDescription）。應用層防護處理方案應用層防護目前，復雜攻擊以不一樣方法出現在不一樣用戶環境中。Juniper網絡企業ISG中應用層防護模塊優異攻擊防護和定制功效有利于正確地檢測攻擊，并阻止其攻擊網絡，以避免產生損失。Juniper網絡企業ISG中應用層防護模塊優異攻擊防護功效含有以下特點：多個檢測方法，包含復合署名、狀態署名、協議異常和后門檢測。開放式署名格式許可管理員查看攻擊字符串怎樣匹配攻擊署名，并依據需求對署名進行編輯。這種了解和定制等級許可管理員定制攻擊署名，以滿足獨特攻擊要求。全方面署名定制經過提供更高控制能力，以適應署名特定要求，從而增強檢測獨特攻擊能力。復合署名：能夠將狀態署名和協議異常結合到單個攻擊對象中，以檢測單個會話中復雜攻擊，從而提升檢測速度。400多個定制參數和Perl式常規表示式：能夠定制署名或創建完全定制署名。多重方法攻擊檢測Juniper網絡企業多重方法檢測技術(MMD?)將多個檢測機制結合到單一產品中，以實現全方面檢測。因為不一樣攻擊類型要求采取不一樣識別方法，所以，僅使用多個檢測方法產品不能檢測出全部類型攻擊。Juniper網絡企業ISG中應用層防護模塊采取多重方法檢測技術能夠最大程度地檢測出多種攻擊類型，確保不會遺漏關鍵威脅。MMD中采取檢測方法包含：機制說明狀態署名僅檢測相關流量中已知攻擊模式協議異常檢測未知或經過修改攻擊方法。后門檢測檢測未經授權交互式后門流量。復合署名將狀態署名和協議異常結合在一起，檢測單個會話中復雜攻擊。狀態署名檢測一些攻擊能夠采取攻擊署名進行識別，在網絡流量中能夠發覺這種攻擊模式。狀態署名設計用于大幅度提升檢測性能，并降低現在市場上基于署名入侵檢測系統錯誤告警。Juniper網絡企業ISG中應用層防護模塊跟蹤連接狀態，而且僅在可能發生攻擊相關流量部分來查找攻擊模式。傳統基于署名入侵檢測系統在流量流任意部分尋求攻擊模式，從而造成較高錯誤告警幾率。比如，要確定某人是否嘗試以根用戶身份登錄服務器，傳統基于署名IDS會在傳輸中出現"root"字樣時隨時發送告警，造成錯誤告警產生。Juniper網絡企業ISG中應用層防護模塊采取狀態署名檢測方法，僅在登錄序列中查找字符串"root"，這種方法可正確地檢測出攻擊。Juniper網絡企業ISG中應用層防護模塊全部署名全部可經過簡單圖形用戶界面來接入，所以能夠輕易地了解系統在監控流量哪一部分。另外，開放式署名格式和署名編輯器可用于快速修改或添加署名。這兩種功效使用戶能夠確定對其環境關鍵部分，并確保系統也能夠識別出這個關鍵部分。然而，狀態署名方法能夠跟蹤并了解通信狀態，所以可縮小和可能發生攻擊特定站點相匹配模式范圍（通信模式和流方向-表示用戶機至服務器或服務器至用戶機流量）。如上圖所表示，狀態署名僅實施和可能發生攻擊相關流量相匹配署名模型。這么，檢測性能將顯著提升，而且錯誤告警數量也大大降低。ISG系統能夠實現對攻擊署名庫每日升級，JUNIPER企業將在自己安全網站上進行攻擊特征每日更新，現在攻擊特征包含應用層攻擊，蠕蟲特征、網絡病毒特征、P2P應用特征等多個攻擊特征。能夠對上述非正常訪問進行檢測和阻擋。協議異常檢測攻擊者并不遵照某種模式來發動攻擊，她們會不停開發并推出新攻擊或復雜攻擊。協議異常檢測可用于識別和"正常"流量協議不一樣攻擊。比如，這種檢測可識別出那種采取不確定流量以試圖躲避檢測、并威脅網絡和/或主機安全攻擊。以緩沖器溢出為例（見下圖），攻擊者在服務器許可下使服務器運行攻擊者代碼，從而取得機器全部訪問權限。協議異常檢測將緩沖器許可數據量和發送數據量、和流量超出許可量時告警進行比較。協議異常檢測和其所支持多個協議含有一樣效力。假如協議不被支持，則無法在網絡中檢測出使用該協議攻擊。Juniper網絡企業ISG中應用層防護模塊是第一個支持多個協議產品，包含SNMP（保護60,000多個微弱點）和SMB（保護運行于內部系統中基于Windows微弱點）。我們能夠利用協議異常檢測技術，檢測到現在攻擊特征碼中沒有定義攻擊，和部分最新出現攻擊，新緩沖區溢出攻擊就是要經過協議異常技術進行檢測，因為協議異常技術采取是和正常協議標準進行匹配，所以存在誤報可能性。后門檢測Juniper網絡企業ISG中應用層防護模塊是能夠識別并抵御后門攻擊產品。后門攻擊進入網絡并許可攻擊者完全控制系統，這常常造成數據丟失，比如，攻擊者能夠利用系統微弱點將特洛伊木馬病毒加載到網絡資源中，然后經過和該系統進行交互來對其進行控制。然后，攻擊者嘗試以不一樣命令提議對系統攻擊，或威脅其它系統安全。Juniper網絡企業ISG中應用層防護模塊能夠識別交互式流量獨特特征，并對意外活動發送告警。后門檢測是檢測蠕蟲和特洛伊木馬病毒唯一方法：查看交互式流量依據管理員定義檢測未授權交互式流量檢測每個后門，即使流量已加密或協議是未知應用層防護步驟JuniperISG系統應用層防護模塊能夠提供兩種接入模式，Active模式和Inline_Tap模式，因為攻擊檢測本身所含有誤報性，提議用戶在使用ISG系統應用層保護模塊時候，能夠采取以下配置步驟：經過防火墻安全策略定制，將需要進行應用層攻擊檢測和防護流量傳給應用層防護模塊，對于其它無關緊要網絡數據流量，能夠不需要經過應用層保護模塊，只經過防火墻檢測就能夠確保其安全性，這么配置能夠確保在將敏感數據進行了攻擊檢測同時，最大程度確保網絡性能，提升網絡吞吐量，降低網絡延遲。設備布署早期，對于需要檢測流量，我們首先能夠將應用層防護模塊采取Inline_Tap模式，這么話，網絡數據就會在經過防火墻檢測后，直接進行轉發，而緊緊是復制一遍到應用層保護模塊，這個時候應用層保護模塊相當于一個旁路檢測設備，僅僅對攻擊進行報警，而不會對數據流有任何影響。在這個時期，我們能夠經過調整攻擊特征碼，自定制攻擊特征等手段，來降低網絡攻擊漏報率和誤報率，提升攻擊檢測正確性。當攻擊檢測正確率達成一定程度時候，我們能夠將應用層防護模塊改為采取Active模式，Active模式情況下，數據包在經過防火墻檢測后，會接著進行應用層檢測，假如存在攻擊，則進行報警或阻擋，然后再進行數據報轉發。在這個時期，我們能夠對于部分比較肯定和威脅很大攻擊，在規則中配置成阻斷攻擊。假如發覺這種攻擊，我們能夠在線進行阻擋，對于其它攻擊，能夠臨時采取僅僅報警方法，繼續修改相關攻擊特征碼，最大程度提升攻擊檢測正確性。當攻擊特征碼優化到誤報率很低程度后，我們對大部分攻擊全部能夠采取在線阻擋模式，這么話，就能夠完全實現ISG應用層防護模塊全部功效，大大降低了網絡管理員安全響應額時間和工作量。安全管了處理方案JuniperISG系統采取Juniper企業統一安全管理平臺NSM進行管理，NSM不僅能夠管理ISG系統上防火墻模塊、VPN模塊和應用層保護模塊，同時能夠實現對多臺ISG設備集中管理，這么我們就實現了在一個統一界面上實現了對多臺安全設備，多個安全技術統一管理，安全策略統一配置，安全事件和日志信息統一查詢和分析。 NSM系統為一套單獨軟件系統，其服務器端軟件能夠安裝在單獨LINUX或SOLARIS主機上，用戶端軟件能夠安裝在WINDOW或UNIX系統下。能夠采取三層架構對安全設備進行統一管理。方案中配置安全產品介紹Juniper企業介紹Juniper網絡企業致力于實現網絡商務模式轉型。作為全球領先聯網和安全性處理方案供給商，Juniper網絡企業對依靠網絡取得關鍵基礎設施用戶一直給親密關注。企業用戶來自全球各行各業，包含關鍵網絡運行商、企業、政府機構和研究和教育機構等。Juniper網絡企業推出一系列聯網處理方案，提供所需安全性和性能來支持全球最大型、最復雜、要求最嚴格關鍵網絡，其中包含全球頂尖25家服務供給商和《財富》全球500強企業前15強中8個企業。Juniper網絡企業成立唯一宗旨是--估計并處理業內最高難度聯網和安全性問題。今天，Juniper網絡企業經過以下努力，幫助全球用戶轉變她們網絡經濟模式，從而建立強大競爭優勢： 保護網絡安全，以抵御日益頻繁復雜攻擊 利用網絡應用和服務來取得市場競爭優勢 為用戶和業務合作伙伴提供安全定制方法來接入遠程資源Juniper網絡企業Juniper系列安全性處理方案可幫助企業經濟高效地保護她們遠程站點、地域辦事處、網絡周圍和網絡關鍵，而且不會對性能造成任何影響。Juniper一流安全性功效能夠以分層方法布署于整個網絡中，以提供所需網絡級和應用級防護。不管是為職員、合作伙伴和用戶提供到非信任網絡安全接入，還是保護周圍網絡安全、用IPSec虛擬專網（VPN）替換傳統WAN網絡、將基于軟件傳統防火墻整合到經優化專用設備，或是保護新網絡布署，如VoIP、無線LAN，外網或安全在線會議，Juniper處理方案全部是企業和運行商網絡首選網絡安全性處理方案。Juniper處理方案在專用設備中集成了多層安全性技術，很適適用于保護關鍵資產安全。它使用關鍵技術包含：防火墻：Juniper狀態型檢測防火墻提供了強勁網絡接入控制和攻擊限制特征，能夠幫助用戶有效地保護周圍和關鍵網絡基礎設施。Juniper深度檢測防火墻充足利用了狀態型檢測優點并在防火墻中集成了入侵防護技術，可在網絡周圍提供給用級攻擊防護。IPSecVPN:JuniperVPN處理方案能夠提供含有故障恢復功效安全連接來替換幀中繼或專線，在企業總部、遠程辦公室和固定遠程工作者之間提供全方面網絡接入。拒絕服務防護：為了減小暴力攻擊及其它基于網絡攻擊影響，用戶可布署Juniper高性能產品來保護其Web基礎設施安全。防病毒：利用TrendMicro企業市場領先網關防病毒技術，Juniper集成防病毒處理方案能夠在分布式企業中提供更有效應用層保護功效。入侵防護：Juniper入侵防護設備遠遠超越了傳統入侵檢測產品，它能夠正確地檢測網絡、應用和混合攻擊，而且使用戶能夠阻止攻擊，保護關鍵資源。SSLVPN:JuniperSA系列產品能夠利用成熟SSL安全協議，實現了有效、安全完成對局域網資源訪問，用戶操作簡單，無需單獨用戶端安裝。安全會議：Juniper會議設備能夠實現安全跨企業在線會議，同時確保符合企業安全性策略和監管要求，并降低來自互聯網攻擊風險。Juniper網絡企業提供一系列全方面、靈活、業界領先技術支持、專業服務和培訓課程，幫助用戶從她們網絡和安全性投資中獲取最大收益。Juniper網絡企業支持服務系列可提供大型網絡所要求后備支持，并可讓用戶選擇多種服務選項來補充她們內部專業技術。Juniper網絡企業支持服務還結合了主動主動服務特征，以增強用戶網絡性能。Juniper網絡企業專業服務部可提供業界領先專業技術和定制咨詢服務，幫助用戶計劃新型業務和技術，設計下一代網絡處理方案并以最高效率來實施項目。Juniper網絡企業培訓服務可提供教授培訓和技術認證項目，經過標準技術課程、基于web課程、定制專題研討會和動手試驗課，幫助用戶提升她們IP網絡專業技術。JuniperISG系列安全網關Juniper推出業內第一款整合了多個最好網絡邊界安全功效整合式安全網關Juniper-ISG（IntegratedSecurityGateway）,可在有效防護來自網絡層及應用層威脅同時，為企業和運行商網絡提供最優化性能并降低網絡復雜性。現在業內其它安全處理方案提供商整合方法往往以犧牲網絡性能為代價，并增加了網絡復雜性。而Juniper最新專屬定制系統采取模塊化設計及獨特處理架構–包含基于Juniper新型第四代ASIC芯片整合了防火墻及VPN功效，很快未來還可整合完善入侵檢測和防護(IDP)功效。Juniper-ISG含有卓越性能，和靈活性和可擴展性，從而有效抵御今天和未來日益復雜網絡威脅。Juniper-ISG是企業、電信運行商和數據中心網管人員理想選擇，可幫助她