Juniper互联网数据中心网络安全解决方案建议书.docx

Juniper互联网数据中心网络安全解决方案建议书Juniper互联网数据中心（1DC）网络安全解决方案建议书美国Juniper网络公司器实施负载均衡。2.2应用与管理2.2.1 虚拟防火墙技术在IDC的应用方案基于IDC用户的需求，Juniper防火墙最早在业界实现虚拟防火墙技术，并成功地 在多个IDC用户处进行了实际应用。在NS500以上级别的防火墙系统里提供虚拟防火 墙功能升级选项。由于一个IDC数据中心的主机托管用户众多，许多用户都提出来需要有独立的防火 墙供其操纵对其托管服务器进行管理与保护。虚拟防火墙技术关于IDC对其说是一个很 好的增值服务解决方案，方便为各个用户提供虚拟防火墙供其管理配置。具体的实现方法有两种：基于VLAN划分虚拟防火墙到外部路由器到外部路由器基于VLAN对信息流分类到不一致的虚拟防火墙里，一个简单的拓扑连接图如下：到 VLAN1 (vsysl)到 VLAN2 (vsys2)至ij VLAN3 (vsys3)三个托管用户的主机分别位于三个VLAN里面，分别是vlanl、vlan2> vlan3,该三个 vlan的缺省网关都在防火墙上，是防火墙的三个逻辑子接口。防火墙上划分三个虚拟防火墙，分别是vsysl、vsys2> vsys3 0以上典型配置的逻辑图为:UNTRUST-VR注意:堡垒图标代表安全区 接口。各 vsys 卜.的 Trust Zone 及虚拟路由器三个虚拟防火墙vsysl、vsys2、vsys3都共用一个外部接口，接外网段。各托管用户能 够配置到自己的vvys流量的策略，包含地址翻译、IPsecVPN等。三个vsys之间能够 操纵是否同意互相访问。基于IP地址段划分虚拟防火墙基于IP地址段对信息流分类到不一致的虚拟防火墙里，一个简单的拓扑连接图如下（与基于VLAN的一样）：到外部路由器内部交换机到 vsysl 到 vsys2 到 vsys310.1.1.0/24> 10.1.2.0/24> 与 。共享的 内部区段三个托管用户的主机分别放在三个网段:三个网段的缺省网关在防火墙后面的路由器上，防火墙的内网口地址是。防 火墙的外网口与内网口都是三个虚拟防火墙共享的。防火墙对信息流的IP地址进行分 类，归入不一致的虚拟防火墙vsys来进行处理。2.2.2 防火墙的网络地址转换实现方案在很多环境下，IDC有可能需要做地址翻译。防火墙除了接口支持NAT模式以外，防火墙还能够通过设定策略实现下列地址转换 的功能：基于策略的源与目标地址与端口翻译在策略中能够定义目标地址是否需要转换,其IP地址与端口能够转换为需要的地址 与端口 O动态 IP 地址翻译（DIP, Dynamic IP Pool）DIP池包含一个范围内的IP地址，防火墙设备在对IP封包包头中的源IP地址 执行网络地址转换（NAT）时，可从中动态地提取地址。在实施动态IP地址翻译具体方式上，能够实现下列功能a）端口地址翻译的DIP使用“端口地址转换”（PAT）,多台主机可共享同一 IP地址，防火墙设备保护一个 已分配端口号的列表，以识别哪个会话属于哪个主机。启用PAT后，最多64, 500台 主机即可共享单个IP地址。b）固定端口地址的DIP一些应用,如“NetBIOS扩展用户接口”（NetBEUI）与“Windows互联网命名服务” （WINS）,需要具体的端口号，假如将PAT应用于它们，它们将无法正常运行。关于这 种应用，应用DIP时，可指定不执行PAT （即，使用固定端口）。关于固定端口 DIP, 防火墙设备散列原始的主机IP地址，并将它储存在其主机散列表中，从而同意防火墙 设备将正确的会话与每个主机有关联。c）扩展端口与DIP根据情况，假如需要将出站防火墙信息流中的源IP地址，从出口接口的地址转换 成不一致子网中的地址，可使用扩展接口选项。此选项同意将第二个IP地址与一个伴 随DIP池连接到一个在不一致子网中的接口。然后，可基于每个策略启用NAT,同时 指定DIP池，该池在用于转换的扩展接口上创建。d）附着DIP主机发起与已启用网络地址转换（NAT）的策略相匹配的几个会话，同时获得了来自 动态IP （DIP）池的分配地址时，防火墙设备为每个会话分配不一致的源IP地址。关 于创建多个会话（每个会话都需要同一源IP地址）的服务，这种随机地址分配可能会 产生问题。静态地址翻译（映射IP地址）映射IP （MIP）是一个IP地址到另一个IP地址的一对一直接映射。防火墙设备 将目的地为MIP的内向信息流转发至地址为MIP指向地址的主机。实际上，MIP是静 态目的地地址转换。“动态IP"（DIP）将IP封包包头中的源IP地址转换为DIP池中 随机选择的地址，而MIP将IP封包包头中的目的地IP地址映射为另一个静态IP 地址。MIP同意入站信息流到达接口模式为NAT的区段中的私有地址。MIP还部分解决通过VPN通道连接的两个站点之间地址空间重叠的问题。BW IP：来自 Untrust 区段的入站信息流在Trust区段从21011.5公坦专址映射到1011.5.空间BW IP：来自 Untrust 区段的入站信息流在Trust区段从21011.5公坦专址映射到1011.5.空间模式私有地址 空间注意:MIP (210.1.1.5)Untrust 区段接 U (210.1.1.1/24) 相同的子网中,但在小同的区 段中.为保证MIP实现的灵活性，可在与任何已编号通道接口(即带IP地址/网络掩码 的接口)及任何绑定到第3层(L3)安全区段的已编号接口相同的子网中创建MIPo VIP地址翻译根据TCP或者UDP片段包头的目的地端口号，虚拟IP (VIP)地址将在一个IP 地址处接收到的信息流映射到另一个地址。比如：目的地为210. 1. 1. 3:21的FTP封包可能映射到地址为的FTP服务 器。 目的地为210. 1. 1.3:25的FTP封包可能映射到地址为的FTP服务 器。由于目的地IP地址相同，防火墙设备根据目的地端口号确定将信息流转发到的主 机。Web服务器Untrust ZoneGlobal Zoneunirusi r.one mtenacei rust zone imenace虚拟IP转发表Untrust Zone Global Zone端口转发至Trust Zone中的接口 IP中的VIP中的主机IP80(HTTP) >21(FTP) >25(SMTP) >能够对众所周知(Well-Known)的服务使用虚拟端口号以增强安全性。比如，假如 您只想同意分支机构的雇员在公司网站访问FTP服务器，能够指定从1024到65, 535 的注册端口号充当内向FTP信息流的端口号。Juniper设备拒绝任何尝试在其众所周 知的端口号(21)到达FTP服务器的信息流。只有预先明白虚拟端口号并将其附加到 封包包头的人员才能访问该服务器。2.2.3 安全策略的实施与应用防火墙系统的安全策略是整个系统的核心，关于一个安全系统，安全策略的制订至 关重要。策略本身出现问题，会导致整个安全系统产生致命的安全问题。因此，关于安 全系统的策略制订一定要遵守有关的原则。几乎所有防火墙系统的安全策略由下列元素构成：源地址目的地址服务动作所有防火墙策略的执行是按照前后顺序方式执行，当策略被执行后，其后的策略不 被执行。因此，在制订安全策略时要遵循下列原则： 越严格的策略越要放在前面 越宽松的策略越要往后放 策略避免有二意性 三种类型的策略可通过下列三种策略操纵信息流的流淌: 通过创建区段间策略，能够管理同意从一个安全区段到另一个安全区段的信息流 的种类。 通过创建区段内部策略，也能够操纵同意通过绑定到同一区段的接口间的信息流 的类型。 通过创建全局策略，能够管理地址间的信息流，而不考虑它们的安全区段。策略定义防火墙提供具有单个进入与退出点的网络边界。由于所有信息流都务必通过此点, 因此能够筛选并引导所有通过执行策略组列表（区段间策略、内部区段策略与全局策略） 产生的信息流。策略能同意、拒绝、加密、认证、排定优先次序、调度与监控尝试从一 个安全区段流到另一个安全区段的信息流。能够决定什么用户与信息能进入与离开，与 它们进入与离开的时间与地点。策略的结构策略务必包含下列元素: 区段（源区段与目的区段） 地址（源地址与目的地址） 服务 动作(permit> deny> tunnel)策略也可包含下列元素：.VPN通道确定 Layer 2 (第2层)传输协议(L2TP)通道确定 策略组列表顶部位置 网络地址转换(NAT),使用动态IP (DIP)池 用户认证 备份HA会话 记录 计数 信息流报警设置 时间表 信息流整形时间表通过将时间表与策略有关联，能够确定策略生效的时间。能够将时间表配置为循环 生效，也可配置为单次事件。时间表为操纵网络信息流的流淌与确保网络安全提供了强 有力的工具。在稍后的一个范例中，假如您担心职员向公司外传输重要数据，则可设置 一个策略，堵塞正常上班时间以外的出站FTP-Put与MAIL信息流。2.2.4 防火墙防网络层攻击保护基于安全区段的防火墙保护选项防火墙用于保护网络的安全，具体做法是先检查要求从一个安全区段到另一区段的 通路的所有连接尝试，然后予以同意或者拒绝。缺省情况下，防火墙拒绝所有方向的所 有信息流。通过创建策略，定义同意在预定时间通过指定源地点到达指定目的地点的信 息流的种类，您能够操纵区段间的信息流。范围最大时，能够同意所有类型的信息流从 一个区段中的任何源地点到其它所有区段中的任何目的地点，而且没有任何预定时间限 制。范围最小时，能够创建一个策略，只同意一种信息流在预定的时间段内、在一个区 段中的指定主机与另一区段中的指定主机之间流淌。广义的互联网访问:任何服务可在任何时间、从Trust区段的任何一点到Untrust 1< 段的任何一点广义的互联网访问:任何服务可在任何时间、从Trust区段的任何一点到Untrust 1< 段的任何一点狭义的互联网访问:SMTP服务可在5:00 AM fij7:00 PM,从Trust区段的邮件版务器到Untrust区段 的邮件服务器为保护所有连接尝试的安全，防火墙设备使用了一种动态封包过滤方法，即通常所 说的状态式检查。使用此方法，防火墙设备在TCP包头中记入各类不一致的信息单元 源与目的IP地址、源与目的端口号，与封包序列号一并保持穿越防火墙的每个TCP 会话的状态。（防火墙也会根据变化的元素，如动态端口变化或者会话终止，来修改会 话状态。）当响应的TCP封包到达时，防火墙设备会将其包头中包含的信息与检查表中 储存的有关会话的状态进行比较。假如相符，同意响应封包通过防火墙。假如不相符， 则丢弃该封包。防火墙选项用于保护区段的安全，具体做法是先检查要求通过某一接口离开与到达 该区域的所有连接尝试，然后予以准许或者拒绝。为避免来自其它区段的攻击，能够启 用防御机制来检测并躲开下列常见的网络攻击。下列选项可用于具有物理接口的区段 （这些选项不适用于子接口）： SYN Attack （SYN攻击）、ICMP Flood （ICMP泛滥）、 UDP Flood （UDP 泛滥）与 Port Scan Attack （端口扫描攻击）。 SYNAttack （SYN攻击）：当网络中充满了会发出无法完成的连接请求的SYN封包, 以至于网络无法再处理合法的连接请求，从而导致拒绝服务（DoS）时，就发生了SYN泛 滥攻击。 ICMP Flood （ICMP泛滥）：当ICMP ping产生的大量回应请求超出了系统的最大 限度，以至于系统耗费所有资源来进行响应直至再也无法处理有效的网络信息流时，就 发生了ICMP泛滥。当启用了ICMP泛滥保护功能时，能够设置一个临界值，一旦超过此 值就会调用ICMP泛滥攻击保护功能。假如超过了该临界值，防火墙设备在该秒余下的 时间与下一秒内会忽略其它的ICMP回应要求。 UDP Flood （UDP泛滥）：与ICMP泛滥相似，当以减慢系统速度为目的向该点发送 UDP封包，以至于系统再也无法处理有效的连接时，就发生了UDP泛滥。当启用了UDP泛 滥保护功能时，能够设置一个临界值，一旦超过此临界值就会调用UDP泛滥攻击保护功 能。假如从一个或者多个源向单个目表发送的UDP封包数超过了此临界值，Juniper设 备在该秒余下的时间与下一秒内会忽略其它到该目标的UDP封包。 Port Scan Attack （端口扫描攻击）：当一个源IP地址在定义的时间间隔内向位 于相同目标IP地址10个不一致的端口发送IP封包时，就会发生端口扫描攻击。这个 方案的目的是扫描可用的服务，希望会有一个端口响应，因此识别出作为目标的服务。 Juniper设备在内部记录从某一远程源地点扫描的不一致端口的数目。使用缺省设置， 假如远程主机在0.005秒内扫描了 10个端口 （5, 000微秒），防火墙会将这一情况标 记为端口扫描攻击，并在该秒余下的时间内拒绝来自该源地点的其它封包（不论目标IP 地址为何）。余下的选项可用于具有物理接口与子接口的区段： Limit session （限制会话）：防火墙设备可限制由单个IP地址建立的会话数量。 比如，假如从同一客户端发送过多的请求，就能耗尽Web服务器上的会话资源。此选项 定义了每秒钟防火墙设备能够为单个IP地址建立的最大会话数量。 SYN-ACK-ACK Proxy保护：当认证用户初始化Telnet或者FTP连接时，用户会SYN 封包到Telnet或者FTP服务器。Juniper设备会截取封包，通过Proxy将SYN-ACK封包 发送给用户。用户用ACK封包响应。如今，初始的三方握手就已完成。防火墙设备在其 会话表中建立项目，并向用户发送登录提示。假如用户怀有恶意而不登录，但继续启动 SYN-ACK-ACK会话，防火墙会话表就可能填满到某个程度，让设备开始拒绝合法的连接 要求。要阻挡这类攻击，您能够启用SYN-ACK-ACKProxy保护SCREEN选项。从相同IP地 址的连接数目到达syn-ack-ack-proxy临界值后，防火墙设备就会拒绝来自该IP地址 的进一步连接要求。缺省情况下，来自单一IP地址的临界值是512次连接。您能够更 换这个临界值（为1至吃,500, 000之间的任何数目）以更好地适合网络环境的需求。 SYN Fragment （SYN碎片）：SYN碎片攻击使目标主机充塞过量的SYN封包碎片。 主机接到这些碎片后，会等待其余的封包到达以便将其重新组合在起来。通过向服务器 或者主机堆积无法完成的连接，主机的内存缓冲区最终将会塞满。进一步的连接无法进 行，同时可能会破坏主机操作系统。当协议字段指示是ICMP封包，同时片断标志被设置 为1或者指出了偏移值时，防火墙设备会丢弃ICMP封包。 SYN and FIN Bits Set （SYN与FIN位的封包）：通常不可能在同一封包中同时设 置SYN与FIN标志。但是，攻击者能够通过发送同时置位两个标志的封包来查看将返回 何种系统应答，从而确定出接收端上的系统的种类。接着，攻击者能够利用已知的系统 漏洞来实施进一步的攻击。启用此选项可使防火墙设备丢弃在标志字段中同时设置SYN 与FIN位的封包。 TCP Packet Without Flag （无标记的TCP封包）：通常，在发送的TCP封包的标 志字段中至少会有一位被置位。此选项将使防火墙设备丢弃字段标志缺少或者不全的 TCP封包。 FIN Bit With No ACK Bit （有FIN位无ACK位）：设置了FIN标志的TCP封包通 常也会设置ACK位。此选项将使防火墙设备丢弃在标志字段中设置了FIN标志，但没有 设置ACK位的封包。 ICMP Fragment （ICMP碎片）：检测任何设置了 “更多片断”标志，或者在偏移字 段中指出了偏移值的ICMP帧。 Ping of Death： TCP/IP规范要求用于数据包报传输的封包务必具有特定的大小。 许多ping实现同意用户根据需要指定更大的封包大小。过大的ICMP封包会引发一系列 负面的系统反应，如拒绝服务（DoS）、系统崩溃、死机与重新启动。假如同意防火墙设 备执行此操作，它能够检测并拒绝此类过大且不规则的封包。 Address Sweep Attack （地址扫描攻击）：与端口扫描攻击类似，当一个源IP地 址在定义的时间间隔（缺省值为5, 000微秒）内向不一致的主机发送ICMP响应要求（或 者ping）时、就会发生地址扫描攻击。这个配置的目的是Ping数个主机，希望有一个 会回复响应，以便找到能够作为目标的地址。防火墙设备在内部记录从一个远程源ping 的不一致地址的数目。使用缺省设置，假如某远程主机在0.005秒（5, 000微秒）内ping 了 10个地址，防火墙会将这一情况标记为地址扫描攻击，并在该秒余下的时间内拒绝 来自于该主机的ICMP回应要求。 Large ICMP Packet （大的ICMP封包）：防火墙设备丢弃长度大于1024的ICMP封 包。 Tear Drop Attack （撕毁攻击）：撕毁攻击利用了 IP封包碎片的重新组合。在IP包 头中，选项之一为偏移值。当一个封包碎片的偏移值与大小之与不一致于下一封包碎片 时，封包发生重叠，同时服务器尝试重新组合封包时会引起系统崩溃。假如防火墙在某 封包碎片中发现了这种不一致现象，将会丢弃该碎片。 Filter IP Source Route Option （过滤IP源路由选项）：IP包头信息有一个选 项，其中所含的路由信息可指定与包头源路由不一致的源路由。启用此选项可封锁所有 使用“源路由选项”的IP信息流。“源路由选项”可同意攻击者以假的IP地址进入网 络，并将数据送回到其真正的地址。 Record Route Option （记录路由选项）：防火墙设备封锁IP选项为7 （记录路由） 的封包。此选项用于记录封包的路由。记录的路由由一系列互联网地址构成，外来者通 过分析能够熟悉到您的网络的编址方案及拓扑结构方面的全面信息。 IP Security Option （IP安全性选项）：此选项为主机提供了一种手段，可发送 与DOD要求兼容的安全性、分隔、TCC （非公开用户组）参数与“处理限制代码”。 IP Strict Source Route Option （IP严格源路由选项）：防火墙设备封锁IP选 项为9 （严格源路由选择）的封包。此选项为封包源提供了一种手段，可在向目标转发 封包时提供网关所要使用的路由信息。此选项为严格源路由，由于网关或者主机IP务 必将数据包报直接发送到源路由中的下一地址，同时只能通过下一地址中指示的直接连 接的网络才能到达路由中指定的下一网关或者主机。 Unknown Protocol （未知协议）：防火墙设备丢弃协议字段设置为101或者更大值 的封包。目前，这些协议类型被保留，尚未定义。 IP Spoofing （IP欺骗）：当攻击者试图通过假冒有效的客户端IP地址来绕过防 火墙保护时，就发生了欺骗攻击。假如启用了IP欺骗防御机制，防火墙设备会用自己 的路由表对IP地址进行分析，来抵御这种攻击。假如IP地址不在路由表中，则不同意 来自该源的信息流通过防火墙设备进行通信，同时会丢弃来自该源的所有封包。在CLI 中，您能够指示Juniper设备丢弃没有包含源路由或者包含已保留源IP地址（不可路 由的，比如 127. 0. 0. 1）的封包：set zone zone screen ip-spoofing drop-no-rpf-route0 Bad IP Option （坏的IP选项）：当IP数据包包头中的IP选项列表不完整或者残 缺时，会触发此选项。 IP Timestamp Option （IP时戳选项）：防火墙设备封锁IP选项列表中包含选项4 （互联网时戳）的封包。 Loose Source Route Option：防火墙设备封锁IP选项为3 （松散源路由）的封包。 此选项为封包源提供了一种手段，可在向目标转发封包时提供网关所要使用的路由信 息。此选项是松散源路由，由于同意网关或者主机IP使用任何数量的其它中间网关的 任何路由来到达路由中的下一地址。 IP Stream Option （IP流选项）：防火墙设备封锁IP选项为8 （流ID）的封包。 此选项提供了一种方法，用于在不支持流概念的网络中输送16位SATNET流标识符。 WinNuke Attack （WinNuke攻击）：WinNuke是一种常见的应用程序，其唯一目的 就是使互联网上任何运行Windows的计算机崩溃。WinNuke通过已建立的连接向主机发 送带外（00B）数据一通常发送到NetBIOS端口 139一并引起NetBIOS碎片重叠，以此 来使多台机器崩溃。重新启动后，会显示下列信息，指示攻击已经发生：An exception OE has occurred at 0028:address in VxD MSTCP（01） + 000041AE. This was called from 0028:address in VxD NDIS（01） + 00008660. It may be possible to continue normally. （OOOO866O0 有可能继续 正常运行。）Press any key to attempt to continue.（请按任意键尝试继续运行。）Press CTRL+ALT+DEL to restart your computer. You will lose any unsaved information in all applications.（按CTRL+ALT+DEL 可尝试继续运行。将丢失 所有应用程序中的未储存信息。）Press any key to continue.（按任意键继续。）假如启用了WinNuke攻击防御机制，Juniper设备会扫描所有进入的"Microsoft NetBIOS会话服务”（端口139）封包。假如防火墙设备发现某个封包上设置了TCP URG 代码位，就会检查偏移值、删除碎片重叠并根据需要纠正偏移值以防止发生00B错 误。然后让通过修正的封包通过，并在“事件警报”日志中创建一个WinNuke攻击日志条目。 Land Attack： “陆地”攻击将SYN攻击与IP欺骗结合在了一起，当攻击者发送含 有受害方IP地址的欺骗性SYN封包，将其作为目的与源IP地址时，就发生了陆地攻击。 接收系统通过向自己发送SYN-ACK封包来进行响应，同时创建一个空的连接，该连接将 会一直保持到达到空闲超时值为止。向系统堆积过多的这种空连接会耗尽系统资源，导 致DoS。通过将SYN泛滥防御机制与IP欺骗保护措施结合在一起，防火墙设备将会封锁 任何此类性质的企图。 Deny Fragment：封包通过不一致的网络时，有的时候务必根据网络的最大传输单 位（MTU）将封包分成更小的部分（片断）。攻击者可能会利用IP栈具体实现的封包重 新组合代码中的漏洞，通过IP碎片进行攻击。当目标系统收到这些封包时，造成的结 果小到无法正确处理封包，大到使整个系统崩溃。假如同意防火墙设备拒绝安全区段上 的IP碎片，设备将封锁在绑定到该区段的接口处接收到的所有IP封包碎片。关于网络层的攻击，大多数从技术角度无法推断该数据包的合法性，如SYNflood, UDP flood,通常防火墙使用阀值来操纵该访问的流量。通常防火墙对这些选项提供了 缺省值。关于在实际网络上该阀值的确定，通常要对实施防火墙的网络实际情况进行合 理的分析，通过对现有网络的分析结果确定最终的设定值。比如，网络在正常工作的情 况下的最大Syn数据包值为3000,考虑到网络突发流量，对现有值增加20%,则该值 作为系统的设定值。在实际应用中，这些参数要随时根据网络流量情况进行动态监控的更新。防火墙管理在防火墙系统的管理上，有分散与集中两种方式。NetScreen设备在管理方面的实 现很受用户欢迎。NetScreen支持多级用户权限管理（Root/AII/Read-Only）,支持在线升级，支持恢 复出厂设置，支持配置的备份与恢复，能够实现所有的防火墙功能管理。目录第一章综述31.1 前言31.2 Juniper 的安全理念3IPSec/SSLVPN41.2.1 网络攻击检测4访问操纵51.2.2 入侵预防5管理方式61.2.3 合作方案6流量操纵61.3 Juniper的数据中心应用加速理念6第二章总体方案建议72.1 设备选型7防火墙72.1.1 入侵检测与防护8SSLVPN 网关82.1.2 应用加速92.2 应用与管理10虚拟防火墙技术在IDC的应用方案102.2.1 防火墙的网络地址转换实现方案11安全策略的实施与应用142.2.2 防火墙防网络层攻击保护15防火墙管理192.2.3 IDP刀片模块或者IDP设备对应用层的保护20应用加速设备DX的使用23集中方式从全局的角度对所有防火墙实现集中的管理，集中制定安全策略，这将很好的克服以上缺点。NetScreen防火墙可实现通过NSM专用网管工具（需要单独购买）集中管理。NSM 需要安装在RedHat Linux或者Solaris服务器上。假如使用ISG系列防火墙的内部IDP 安全刀片模块，则务必使用NSM集中管理系统实现对防火墙的管理。NetScreen的安 全管理系统NSM具有集中的设备配置/保护、故障/事件管理、基于角色的监控、使用 跟踪与报表等功能。NetScreen-NSM提供了中央配置管理功能，能够高效地把数百条、 甚至数千条策略分发到各NetScreen设备或者设备群组。NetScreen-NSM系列的关键性能在于它能够通过简便操作、直观的策略管理用户 界面，迅速为设备完成部署。用户只需一次性地定义一条策略，然后将其映射使用到多 个设备中。简言之，NSM为设备部署提供高度易操作性与灵活性，减少管理工作。NSM的报表分析功能使它更加有价值。通过集中的日志收集、存储、分析、报表, 能够提供专业的日志处理功能，并根据用户的喜好生成灵活的报告方式与趋势分析。NSM提供对设备的集中、实时的监控，与集中的设备保护如升级等。NSM的专业特点还在于它能够将管理者的权限进行全面的限定，实现基于角色的 多级别管理与授权。2.2.4 IDP刀片模块或者IDP设备对应用层的保护Juniper的IDP （入侵检测与防护）被设计用来对各类协议的应用层保护，同时可在 将来简单地添加更多的协议。IDP （入侵检测与防护）系统通过应用协议特殊、状态签名、流量特殊、后门、同步 攻击（Syn-flood）、IP欺骗（IP spoof）与第二层检测，与网络蜜罐（network honeypot） 等8个不一致的检测方法，能准确地识别入侵。Juniper不像其他厂商那样应用一个单 一入侵检测机制去驱动整个产品架构，IDP （入侵检测与防护）的架构设计则能支持上 述所有检测方法。这些方法共享信息，同时用最有效的方式一起去识别网络与应用层中 的所有形式的攻击。同时，这些检测方法皆针对以高数据速率进行分析而被优化的，从 而确保性能未能受到影响。由于IDP （入侵检测与防护）能提供一个全面的覆盖，你再 也不需要费神决定到底是买一个基于协议特殊的系统还是基于签名的系统，甚至需要两 台或者更多的产品。另外，多方法检测使管理员能够信任报警，而不用再担心会浪费时 间去调查错误报警。为了恰当地分析与表达流量，IDP （入侵检测与防护）系统拥有众多的封包处理技 术去保证数据表达式的精确度。这些技术是：1 > IP 碎片整理(IP De-fragmentation)与 TCP 重组(TCP reassembling)。适当地重建 流量，以达到如目标系统原先要接收的流量状况。2、流量跟踪(Flow Tracking)o为更精确的分析，将多个连接联结为一个单一会话 (session )o3、协议常规化(protocol normalization)。将数据流解码成一个公共格式，以便能够精 确分析。Juniper的IDP的特征库的更新非常及时，单独的IDP (入侵检测与防护)设备具备4对以上的数据接口，对数据能够进行带内 模式操作，为安全级别要求高的用户提高真正的防护，在封包到达指定目标之前，让 NetScreen-IDP从结构与内容方面对它们进行核实，这样可防止攻击潜逃的发生。；也能 够部署为IDS,即只对镜像数据进行分析而不提供真正防护。为了执行容错操作， NetScreen-IDP系统支持高可用性的配置。ISG系列防火墙内部的IDP刀片模块也具备与IDP设备相同的特征库，对数据能够 进行带内模式或者镜像模式操作。假如需要部署IDP设备或者IDP刀片模块，则需要使用三层管理架构的方式进行管 理，即需要安装相应的管理服务器(基于Redhat Linux或者Solaris平台)。IDP的实施过程是一个较为复杂的过程，涉及网络业务内容、攻击类型、安全级别等 多方面的因素。因此对IDP设备的实施不是一个简单的过程，建议使用一个三段式实施 步骤，引导如何从打开包装开始，直到IDP系统能够对网络的攻击进行预防，完全发挥 功能。这个过程为嗅探模式，微调，线内模式。这个有顺序的实施过程是最有效与直接 的方式。1)第一阶段，嗅探模式在这个阶段，将在网络中实施嗅探模式的IDP系统。如今IDP起到一个被动入侵监 测系统的作用。安装一个管理主机与管理接口软件，同时装入能够立即开始生成安全日 志的安全策略，以便随时回顾日志记录。以嗅探模式安装IDP能够达到这样几个目的。首先，能够确认在系统功能还没有充 分发挥之前不可能丢弃网络流量。第二，能够马上从网络活动中收到日志纪录，这有助 于帮助懂得现有流量的种类，与IDP检测机制如何工作。最后，在实施步骤的第一阶段 以嗅探模式使用IDP,然后在第三阶段迁移到具有全部功能的线内模式，更能够显示出 线内模式独一无二的预防攻击的能力。在第一个阶段，将能够完成： 安装、配置IDP组件（IDP传感器、管理主机、用户接口软件） 安装IDP用户接口软件，然后用对象编辑器将IDP传感器当作一个网络对象 加入到网络当中。 根据实施向导，检查、加载初始安全策略2）第二阶段，微调在第二个实施阶段，将开始定制安全策略以减少误报、漏报率，检测到真正的针对网 络的攻击。在这个阶段将会开始懂得网络流量的种类，并学习识别良性与恶意的行为。在第二阶段，将能够完成：使用Log Viewer, Log Investigator,与IDP Reports观察日志纪录。加载初始 安全策略后，这些IDP用户接口部件同意马上察看网络上的流量记录。. 通过修改IDP的Main规则库，识别攻击，并减少错报、漏报。即便是在一个小的网络上，日志记录也可能快速增长，使真正攻击发生时识别的 难度更大。通过修改初始安全策略里的规则，能够减少不必要日志记录的数量，从而减 少那些有可能阻止发现真正攻击的“噪音”。 通过生成报警、设置email通知等方法识别出真正的针对网络的攻击，并进 行响应。在这第二个实施阶段，并没有准备丢弃包含恶意事件的网络流量，但是能够认出 这些事件并产生告警，以提醒用户注意这些攻击企图。在第三个阶段，就能够真正预防 这些攻击，使它们根本不可能奏效。 使用多手段检测方法预防攻击。当学会对匹配IDP Main规则库的攻击进行响应的时候，就有机会探索IDP的其他规 则库与检测机制了，包含SYN-flood攻击，后门攻击检测、保护与其他一些特殊流量的 规则库。3）第三阶段，线内模式在实施的最后一个步骤，将IDP从被动的嗅探模式迁移到主动的线内模式，以便使 之能够在恶意流量到达网络之前将它们丢掉。在这个阶段里，用户将会开始懂得IDP系 统独一无二的特性，与在攻击发生时检测并通知的能力，但现在它能够真正地保护网络 防止被那些攻击产生破坏了。在第三阶段，将能够完成： 重新配置IDP系统使之工作在线内模式。第二阶段已经微调了IDP,此后，就能够准备将IDP直接放到网络流量的线上了。 使用基于web页面的设备配置管理器（ACM）,把IDP系统实施为具有完全网络保护能 力的线内模式检查日志记录，看看IDP发现了什么，警告了什么一旦设备工作在线内，请检查日志记录、做进一步微调，在这个多次重复的过程 中确认IDP确实以所希望的方式工作。 在IDP规则库中将“DROP”指令力口入至IJ规则中。这是最后一步，修改IDP的规则库使之包含丢弃动作，将修订过的安全策略加载到 IDP传感器上。应用加速设备DX的使用1、安全性：用于数据中心Web层的内部防火墙所有DX平台都支持单向或者端到端安全套接层（SSL）,以高于能够提供明文的服 务器的速度提供安全内容。2、可用性：实现针对后台服务器的负载均衡3、可用性：利用Juniper Active-NTM实现最大的可用性DX应用加速平台具有一种特殊的功能，可使用Active-N网状配置进行扩展，最多支持32台DX设备，以处理相同或者不一致虚拟IP地址的流量。 借助Active-N配置，一次只需添加一台设备，即可增强可扩展性与故障切换保护；而不 像扩展主用一备用或者主用一主用配置那样，要求成对增加设备并重新设计网络。4、管理：提供详尽的实时信息DX平台可提供200多种实时统计数据，以提供流进及流出流量的各类全面信息。可 通过在线图表简便地按时间段分析几秒、甚至几年内的历史数据，可简化容量规划、趋 势分析与应用与网络问题的故障诊断。通过在前端连接所有服务器，DX设备可方便地 实现Web日志数据整合，以简化管理工作并释放更多的服务器资源。DX平台基于角色的 管理功能可大大简化设备管理，将用户的权限限制在特定区域，并大大提高用户的责任 心。全面的系统、管理与审计日志可提供详尽的管理记录。5、灵活性：OverDrive操纵环境Juniper DX OverDrive1乂操纵环境是一个“用户API",能够在不更换应用本身的情况 下改变应用的行为。OverDrive功能能够改变、更新、附加、预先设计与删除Request, response头、POST数据，甚至返回的内容本身，而不管是使用HTML、JavaScript> CSS （叠层样式表单）、XML、还是其他格式。如要使用OverDrive功能，用户只需使 用类似直观语句的操纵语言编写“kthen”即可；这种操纵语言可基于传入的用户请求与 发出的服务器响应中各类因素的任意组合来支持对数据流进行不受限制的内容处理操 作。比如，OverDrive功能可用来自动保护应用请求与响应，在不导致性能降级且无需 费时、费钱的应用改写的情况下实现即时安全性。OverDrive功能还可用来检查每个响 应的准确性，并采取可配置的操作来消除故障，以最大限度提高应用的可用性。6