Juniper互联网数据中心网络安全解决方案建议书.docx

《Juniper互联网数据中心网络安全解决方案建议书.docx》由会员分享，可在线阅读，更多相关《Juniper互联网数据中心网络安全解决方案建议书.docx（23页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Juniper互联网数据中心网络安全解决方案建议书Juniper互联网数据中心（1DC）网络安全解决方案建议书美国Juniper网络公司器实施负载均衡。2.2应用与管理2.2.1 虚拟防火墙技术在IDC的应用方案基于IDC用户的需求，Juniper防火墙最早在业界实现虚拟防火墙技术，并成功地 在多个IDC用户处进行了实际应用。在NS500以上级别的防火墙系统里提供虚拟防火 墙功能升级选项。由于一个IDC数据中心的主机托管用户众多，许多用户都提出来需要有独立的防火 墙供其操纵对其托管服务器进行管理与保护。虚拟防火墙技术关于IDC对其说是一个很 好的增值服务解决方案，方便为各个用户提供虚拟防火墙供

2、其管理配置。具体的实现方法有两种：基于VLAN划分虚拟防火墙到外部路由器到外部路由器基于VLAN对信息流分类到不一致的虚拟防火墙里，一个简单的拓扑连接图如下：到 VLAN1 (vsysl)到 VLAN2 (vsys2)至ij VLAN3 (vsys3)三个托管用户的主机分别位于三个VLAN里面，分别是vlanl、vlan2 vlan3,该三个 vlan的缺省网关都在防火墙上，是防火墙的三个逻辑子接口。防火墙上划分三个虚拟防火墙，分别是vsysl、vsys2 vsys3 0以上典型配置的逻辑图为:UNTRUST-VR注意:堡垒图标代表安全区 接口。各 vsys 卜.的 Trust Zone 及虚

3、拟路由器三个虚拟防火墙vsysl、vsys2、vsys3都共用一个外部接口，接外网段。各托管用户能 够配置到自己的vvys流量的策略，包含地址翻译、IPsecVPN等。三个vsys之间能够 操纵是否同意互相访问。基于IP地址段划分虚拟防火墙基于IP地址段对信息流分类到不一致的虚拟防火墙里，一个简单的拓扑连接图如下（与基于VLAN的一样）：到外部路由器内部交换机到 vsysl 到 vsys2 到 vsys310.1.1.0/24 10.1.2.0/24 与 。共享的 内部区段三个托管用户的主机分别放在三个网段:三个网段的缺省网关在防火墙后面的路由器上，防火墙的内网口地址是。防 火墙的外网口与内网

4、口都是三个虚拟防火墙共享的。防火墙对信息流的IP地址进行分 类，归入不一致的虚拟防火墙vsys来进行处理。2.2.2 防火墙的网络地址转换实现方案在很多环境下，IDC有可能需要做地址翻译。防火墙除了接口支持NAT模式以外，防火墙还能够通过设定策略实现下列地址转换 的功能：基于策略的源与目标地址与端口翻译在策略中能够定义目标地址是否需要转换,其IP地址与端口能够转换为需要的地址 与端口 O动态 IP 地址翻译（DIP, Dynamic IP Pool）DIP池包含一个范围内的IP地址，防火墙设备在对IP封包包头中的源IP地址 执行网络地址转换（NAT）时，可从中动态地提取地址。在实施动态IP地址

5、翻译具体方式上，能够实现下列功能a）端口地址翻译的DIP使用“端口地址转换”（PAT）,多台主机可共享同一 IP地址，防火墙设备保护一个 已分配端口号的列表，以识别哪个会话属于哪个主机。启用PAT后，最多64, 500台 主机即可共享单个IP地址。b）固定端口地址的DIP一些应用,如“NetBIOS扩展用户接口”（NetBEUI）与“Windows互联网命名服务” （WINS）,需要具体的端口号，假如将PAT应用于它们，它们将无法正常运行。关于这 种应用，应用DIP时，可指定不执行PAT （即，使用固定端口）。关于固定端口 DIP, 防火墙设备散列原始的主机IP地址，并将它储存在其主机散列表中

6、，从而同意防火墙 设备将正确的会话与每个主机有关联。c）扩展端口与DIP根据情况，假如需要将出站防火墙信息流中的源IP地址，从出口接口的地址转换 成不一致子网中的地址，可使用扩展接口选项。此选项同意将第二个IP地址与一个伴 随DIP池连接到一个在不一致子网中的接口。然后，可基于每个策略启用NAT,同时 指定DIP池，该池在用于转换的扩展接口上创建。d）附着DIP主机发起与已启用网络地址转换（NAT）的策略相匹配的几个会话，同时获得了来自 动态IP （DIP）池的分配地址时，防火墙设备为每个会话分配不一致的源IP地址。关 于创建多个会话（每个会话都需要同一源IP地址）的服务，这种随机地址分配可能

7、会 产生问题。静态地址翻译（映射IP地址）映射IP （MIP）是一个IP地址到另一个IP地址的一对一直接映射。防火墙设备 将目的地为MIP的内向信息流转发至地址为MIP指向地址的主机。实际上，MIP是静 态目的地地址转换。“动态IP（DIP）将IP封包包头中的源IP地址转换为DIP池中 随机选择的地址，而MIP将IP封包包头中的目的地IP地址映射为另一个静态IP 地址。MIP同意入站信息流到达接口模式为NAT的区段中的私有地址。MIP还部分解决通过VPN通道连接的两个站点之间地址空间重叠的问题。BW IP：来自 Untrust 区段的入站信息流在Trust区段从21011.5公坦专址映射到10

8、11.5.空间BW IP：来自 Untrust 区段的入站信息流在Trust区段从21011.5公坦专址映射到1011.5.空间模式私有地址 空间注意:MIP (210.1.1.5)Untrust 区段接 U (210.1.1.1/24) 相同的子网中,但在小同的区 段中.为保证MIP实现的灵活性，可在与任何已编号通道接口(即带IP地址/网络掩码 的接口)及任何绑定到第3层(L3)安全区段的已编号接口相同的子网中创建MIPo VIP地址翻译根据TCP或者UDP片段包头的目的地端口号，虚拟IP (VIP)地址将在一个IP 地址处接收到的信息流映射到另一个地址。比如：目的地为210. 1. 1.

9、3:21的FTP封包可能映射到地址为的FTP服务 器。 目的地为210. 1. 1.3:25的FTP封包可能映射到地址为的FTP服务 器。由于目的地IP地址相同，防火墙设备根据目的地端口号确定将信息流转发到的主 机。Web服务器Untrust ZoneGlobal Zoneunirusi r.one mtenacei rust zone imenace虚拟IP转发表Untrust Zone Global Zone端口转发至Trust Zone中的接口 IP中的VIP中的主机IP80(HTTP) 21(FTP) 25(SMTP) 能够对众所周知(Well-Known)的服务使用虚拟端口号以增强安

10、全性。比如，假如 您只想同意分支机构的雇员在公司网站访问FTP服务器，能够指定从1024到65, 535 的注册端口号充当内向FTP信息流的端口号。Juniper设备拒绝任何尝试在其众所周 知的端口号(21)到达FTP服务器的信息流。只有预先明白虚拟端口号并将其附加到 封包包头的人员才能访问该服务器。2.2.3 安全策略的实施与应用防火墙系统的安全策略是整个系统的核心，关于一个安全系统，安全策略的制订至 关重要。策略本身出现问题，会导致整个安全系统产生致命的安全问题。因此，关于安 全系统的策略制订一定要遵守有关的原则。几乎所有防火墙系统的安全策略由下列元素构成：源地址目的地址服务动作所有防火墙

11、策略的执行是按照前后顺序方式执行，当策略被执行后，其后的策略不 被执行。因此，在制订安全策略时要遵循下列原则： 越严格的策略越要放在前面 越宽松的策略越要往后放 策略避免有二意性 三种类型的策略可通过下列三种策略操纵信息流的流淌: 通过创建区段间策略，能够管理同意从一个安全区段到另一个安全区段的信息流 的种类。 通过创建区段内部策略，也能够操纵同意通过绑定到同一区段的接口间的信息流 的类型。 通过创建全局策略，能够管理地址间的信息流，而不考虑它们的安全区段。策略定义防火墙提供具有单个进入与退出点的网络边界。由于所有信息流都务必通过此点, 因此能够筛选并引导所有通过执行策略组列表（区段间策略、内

12、部区段策略与全局策略） 产生的信息流。策略能同意、拒绝、加密、认证、排定优先次序、调度与监控尝试从一 个安全区段流到另一个安全区段的信息流。能够决定什么用户与信息能进入与离开，与 它们进入与离开的时间与地点。策略的结构策略务必包含下列元素: 区段（源区段与目的区段） 地址（源地址与目的地址） 服务 动作(permit deny tunnel)策略也可包含下列元素：.VPN通道确定 Layer 2 (第2层)传输协议(L2TP)通道确定 策略组列表顶部位置 网络地址转换(NAT),使用动态IP (DIP)池 用户认证 备份HA会话 记录 计数 信息流报警设置 时间表 信息流整形时间表通过将时间表

13、与策略有关联，能够确定策略生效的时间。能够将时间表配置为循环 生效，也可配置为单次事件。时间表为操纵网络信息流的流淌与确保网络安全提供了强 有力的工具。在稍后的一个范例中，假如您担心职员向公司外传输重要数据，则可设置 一个策略，堵塞正常上班时间以外的出站FTP-Put与MAIL信息流。2.2.4 防火墙防网络层攻击保护基于安全区段的防火墙保护选项防火墙用于保护网络的安全，具体做法是先检查要求从一个安全区段到另一区段的 通路的所有连接尝试，然后予以同意或者拒绝。缺省情况下，防火墙拒绝所有方向的所 有信息流。通过创建策略，定义同意在预定时间通过指定源地点到达指定目的地点的信 息流的种类，您能够操纵

14、区段间的信息流。范围最大时，能够同意所有类型的信息流从 一个区段中的任何源地点到其它所有区段中的任何目的地点，而且没有任何预定时间限 制。范围最小时，能够创建一个策略，只同意一种信息流在预定的时间段内、在一个区 段中的指定主机与另一区段中的指定主机之间流淌。广义的互联网访问:任何服务可在任何时间、从Trust区段的任何一点到Untrust 1 段的任何一点广义的互联网访问:任何服务可在任何时间、从Trust区段的任何一点到Untrust 1 IP 碎片整理(IP De-fragmentation)与 TCP 重组(TCP reassembling)。适当地重建 流量，以达到如目标系统原先要接收

15、的流量状况。2、流量跟踪(Flow Tracking)o为更精确的分析，将多个连接联结为一个单一会话 (session )o3、协议常规化(protocol normalization)。将数据流解码成一个公共格式，以便能够精 确分析。Juniper的IDP的特征库的更新非常及时，单独的IDP (入侵检测与防护)设备具备4对以上的数据接口，对数据能够进行带内 模式操作，为安全级别要求高的用户提高真正的防护，在封包到达指定目标之前，让 NetScreen-IDP从结构与内容方面对它们进行核实，这样可防止攻击潜逃的发生。；也能 够部署为IDS,即只对镜像数据进行分析而不提供真正防护。为了执行容错操

16、作， NetScreen-IDP系统支持高可用性的配置。ISG系列防火墙内部的IDP刀片模块也具备与IDP设备相同的特征库，对数据能够 进行带内模式或者镜像模式操作。假如需要部署IDP设备或者IDP刀片模块，则需要使用三层管理架构的方式进行管 理，即需要安装相应的管理服务器(基于Redhat Linux或者Solaris平台)。IDP的实施过程是一个较为复杂的过程，涉及网络业务内容、攻击类型、安全级别等 多方面的因素。因此对IDP设备的实施不是一个简单的过程，建议使用一个三段式实施 步骤，引导如何从打开包装开始，直到IDP系统能够对网络的攻击进行预防，完全发挥 功能。这个过程为嗅探模式，微调，

17、线内模式。这个有顺序的实施过程是最有效与直接 的方式。1)第一阶段，嗅探模式在这个阶段，将在网络中实施嗅探模式的IDP系统。如今IDP起到一个被动入侵监 测系统的作用。安装一个管理主机与管理接口软件，同时装入能够立即开始生成安全日 志的安全策略，以便随时回顾日志记录。以嗅探模式安装IDP能够达到这样几个目的。首先，能够确认在系统功能还没有充 分发挥之前不可能丢弃网络流量。第二，能够马上从网络活动中收到日志纪录，这有助 于帮助懂得现有流量的种类，与IDP检测机制如何工作。最后，在实施步骤的第一阶段 以嗅探模式使用IDP,然后在第三阶段迁移到具有全部功能的线内模式，更能够显示出 线内模式独一无二的

18、预防攻击的能力。在第一个阶段，将能够完成： 安装、配置IDP组件（IDP传感器、管理主机、用户接口软件） 安装IDP用户接口软件，然后用对象编辑器将IDP传感器当作一个网络对象 加入到网络当中。 根据实施向导，检查、加载初始安全策略2）第二阶段，微调在第二个实施阶段，将开始定制安全策略以减少误报、漏报率，检测到真正的针对网 络的攻击。在这个阶段将会开始懂得网络流量的种类，并学习识别良性与恶意的行为。在第二阶段，将能够完成：使用Log Viewer, Log Investigator,与IDP Reports观察日志纪录。加载初始 安全策略后，这些IDP用户接口部件同意马上察看网络上的流量记录。

19、. 通过修改IDP的Main规则库，识别攻击，并减少错报、漏报。即便是在一个小的网络上，日志记录也可能快速增长，使真正攻击发生时识别的 难度更大。通过修改初始安全策略里的规则，能够减少不必要日志记录的数量，从而减 少那些有可能阻止发现真正攻击的“噪音”。 通过生成报警、设置email通知等方法识别出真正的针对网络的攻击，并进 行响应。在这第二个实施阶段，并没有准备丢弃包含恶意事件的网络流量，但是能够认出 这些事件并产生告警，以提醒用户注意这些攻击企图。在第三个阶段，就能够真正预防 这些攻击，使它们根本不可能奏效。 使用多手段检测方法预防攻击。当学会对匹配IDP Main规则库的攻击进行响应的时

20、候，就有机会探索IDP的其他规 则库与检测机制了，包含SYN-flood攻击，后门攻击检测、保护与其他一些特殊流量的 规则库。3）第三阶段，线内模式在实施的最后一个步骤，将IDP从被动的嗅探模式迁移到主动的线内模式，以便使 之能够在恶意流量到达网络之前将它们丢掉。在这个阶段里，用户将会开始懂得IDP系 统独一无二的特性，与在攻击发生时检测并通知的能力，但现在它能够真正地保护网络 防止被那些攻击产生破坏了。在第三阶段，将能够完成： 重新配置IDP系统使之工作在线内模式。第二阶段已经微调了IDP,此后，就能够准备将IDP直接放到网络流量的线上了。 使用基于web页面的设备配置管理器（ACM）,把I

21、DP系统实施为具有完全网络保护能 力的线内模式检查日志记录，看看IDP发现了什么，警告了什么一旦设备工作在线内，请检查日志记录、做进一步微调，在这个多次重复的过程 中确认IDP确实以所希望的方式工作。 在IDP规则库中将“DROP”指令力口入至IJ规则中。这是最后一步，修改IDP的规则库使之包含丢弃动作，将修订过的安全策略加载到 IDP传感器上。应用加速设备DX的使用1、安全性：用于数据中心Web层的内部防火墙所有DX平台都支持单向或者端到端安全套接层（SSL）,以高于能够提供明文的服 务器的速度提供安全内容。2、可用性：实现针对后台服务器的负载均衡3、可用性：利用Juniper Active

22、-NTM实现最大的可用性DX应用加速平台具有一种特殊的功能，可使用Active-N网状配置进行扩展，最多支持32台DX设备，以处理相同或者不一致虚拟IP地址的流量。 借助Active-N配置，一次只需添加一台设备，即可增强可扩展性与故障切换保护；而不 像扩展主用一备用或者主用一主用配置那样，要求成对增加设备并重新设计网络。4、管理：提供详尽的实时信息DX平台可提供200多种实时统计数据，以提供流进及流出流量的各类全面信息。可 通过在线图表简便地按时间段分析几秒、甚至几年内的历史数据，可简化容量规划、趋 势分析与应用与网络问题的故障诊断。通过在前端连接所有服务器，DX设备可方便地 实现Web日志

23、数据整合，以简化管理工作并释放更多的服务器资源。DX平台基于角色的 管理功能可大大简化设备管理，将用户的权限限制在特定区域，并大大提高用户的责任 心。全面的系统、管理与审计日志可提供详尽的管理记录。5、灵活性：OverDrive操纵环境Juniper DX OverDrive1乂操纵环境是一个“用户API,能够在不更换应用本身的情况 下改变应用的行为。OverDrive功能能够改变、更新、附加、预先设计与删除Request, response头、POST数据，甚至返回的内容本身，而不管是使用HTML、JavaScript CSS （叠层样式表单）、XML、还是其他格式。如要使用OverDrive功能，用户只需使 用类似直观语句的操纵语言编写“kthen”即可；这种操纵语言可基于传入的用户请求与 发出的服务器响应中各类因素的任意组合来支持对数据流进行不受限制的内容处理操 作。比如，OverDrive功能可用来自动保护应用请求与响应，在不导致性能降级且无需 费时、费钱的应用改写的情况下实现即时安全性。OverDrive功能还可用来检查每个响 应的准确性，并采取可配置的操作来消除故障，以最大限度提高应用的可用性。6