juniperisg2000網(wǎng)絡(luò)安全解決方案建議書.doc

J Ju un ni ip pe er r I IS SG G2 20 00 00 0 網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全解解決決方方案案建建 議議書書 美國美國 JuniperJuniper 網(wǎng)絡(luò)公司網(wǎng)絡(luò)公司 目目 錄錄 1前言前言 3 1 1范圍定義 3 1 2參考標(biāo)準(zhǔn) 3 2系統(tǒng)脆弱性和風(fēng)險分析系統(tǒng)脆弱性和風(fēng)險分析 4 2 1網(wǎng)絡(luò)邊界脆弱性和風(fēng)險分析 4 2 2網(wǎng)絡(luò)內(nèi)部脆弱性和風(fēng)險分析 4 3系統(tǒng)安全需求分析系統(tǒng)安全需求分析 5 3 1邊界訪問控制安全需求 5 3 2應(yīng)用層攻擊和蠕蟲的檢測和阻斷需求 7 3 3安全管理需求 8 4系統(tǒng)安全解決方案系統(tǒng)安全解決方案 9 4 1設(shè)計目標(biāo) 9 4 2設(shè)計原則 9 4 3安全產(chǎn)品的選型原則 10 4 4整體安全解決方案 11 4 4 1訪問控制解決方案 11 4 4 2防拒絕服務(wù)攻擊解決方案 13 4 4 3應(yīng)用層防護解決方案 18 4 4 4安全管理解決方案 21 5方案中配置安全產(chǎn)品簡介方案中配置安全產(chǎn)品簡介 22 5 1JUNIPER公司介紹 22 5 2JUNIPER ISG2000 系列安全網(wǎng)關(guān) 25 1 前言前言 1 1 范圍定義范圍定義 本文針對的是 XXX 網(wǎng)絡(luò)的信息安全問題 從對象層次上講 它比較全面地囊括了從物 理安全 網(wǎng)絡(luò)安全 系統(tǒng)安全 應(yīng)用安全到業(yè)務(wù)安全的各個層次 原則上與信息安全風(fēng)險有 關(guān)的因素都應(yīng)在考慮范圍內(nèi) 但為了抓住重點 體現(xiàn)主要矛盾 在本文主要針對具有較高風(fēng) 險級別的因素加以討論 從安全手段上講 本文覆蓋了管理和技術(shù)兩大方面 其中安全管理 體系包括策略體系 組織體系和運作體系 就 XXX 的實際需要 本次方案將分別從管理和 技術(shù)兩個環(huán)節(jié)分別給出相應(yīng)的解決方案 1 2 參考標(biāo)準(zhǔn)參考標(biāo)準(zhǔn) XXX 屬于一個典型的行業(yè)網(wǎng)絡(luò) 必須遵循行業(yè)相關(guān)的保密標(biāo)準(zhǔn) 同時 為了保證各 種網(wǎng)絡(luò)設(shè)備的兼容性和業(yè)務(wù)的不斷發(fā)展需要 也必須遵循國際上的相關(guān)的統(tǒng)一標(biāo)準(zhǔn) 我 們在設(shè)計 XXX 的網(wǎng)絡(luò)安全解決方案的時候 主要參考的標(biāo)準(zhǔn)如下 NAS IATF3 1 美國國防部信息保障技術(shù)框架 v3 1 ISO15408 GB T 18336 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準(zhǔn)則 第一部分 簡介和一般模型 ISO15408 GB T 18336 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準(zhǔn)則 第二部分 安全功能要求 ISO15408 GB T 18336 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準(zhǔn)則 第三部分 安全保證要求 加拿大信息安全技術(shù)指南 1997 ISO17799 第一部分 信息安全管理 Code of Practice for Information Security Management GB T 18019 1999 包過濾防火墻安全技術(shù)要求 GB T 18020 1999 應(yīng)用級防火墻安全技術(shù)要求 國家 973 信息與網(wǎng)絡(luò)安全體系研究 G1999035801 課題組 IATF 信息技術(shù)保障技術(shù)框架 2 系統(tǒng)脆弱性和風(fēng)險分析系統(tǒng)脆弱性和風(fēng)險分析 2 1 網(wǎng)絡(luò)邊界脆弱性和風(fēng)險分析網(wǎng)絡(luò)邊界脆弱性和風(fēng)險分析 網(wǎng)絡(luò)的邊界隔離著不同功能或地域的多個網(wǎng)絡(luò)區(qū)域 由于職責(zé)和功能的不同 相連網(wǎng)絡(luò) 的密級也不同 這樣的網(wǎng)絡(luò)直接相連 必然存在著安全風(fēng)險 下面我們將對 XXX 網(wǎng)絡(luò)就網(wǎng) 絡(luò)邊界問題做脆弱性和風(fēng)險的分析 XXX 的網(wǎng)絡(luò)主要存在的邊界安全風(fēng)險包括 XXX 網(wǎng)絡(luò)與各級單位的連接 可能遭到來自各地的越權(quán)訪問 惡意攻擊和計算機病 毒的入侵 例如一個不滿的內(nèi)部用戶 利用盜版軟件或從 Internet 下載的黑客程序惡 意攻擊內(nèi)部站點 致使網(wǎng)絡(luò)局部或整體癱瘓 內(nèi)部的各個功能網(wǎng)絡(luò)通過骨干交換相互連接 這樣的話 重要的部門或者專網(wǎng)將遭 到來自其他部門的越權(quán)訪問 這些越權(quán)訪問可能包括惡意的攻擊 誤操作等等 但 是它們的后果都將導(dǎo)致重要信息的泄漏或者是網(wǎng)絡(luò)的癱瘓 2 2 網(wǎng)絡(luò)內(nèi)部脆弱性和風(fēng)險分析網(wǎng)絡(luò)內(nèi)部脆弱性和風(fēng)險分析 XXX 內(nèi)部網(wǎng)絡(luò)的風(fēng)險分析主要針對 XXX 的整個內(nèi)網(wǎng)的安全風(fēng)險 主要表現(xiàn)為以下 幾個方面 內(nèi)部用戶的非授權(quán)訪問 XXX 內(nèi)部的資源也不是對任何的員工都開放的 也需 要有相應(yīng)的訪問權(quán)限 內(nèi)部用戶的非授權(quán)的訪問 更容易造成資源和重要信息 的泄漏 內(nèi)部用戶的誤操作 由于內(nèi)部用戶的計算機造作的水平參差不齊 對于應(yīng)用軟 件的理解也各不相同 如果一部分軟件沒有相應(yīng)的對誤操作的防范措施 極容 易給服務(wù)系統(tǒng)和其他主機造成危害 內(nèi)部用戶的惡意攻擊 就網(wǎng)絡(luò)安全來說 據(jù)統(tǒng)計約有 70 左右的攻擊來自內(nèi)部 用戶 相比外部攻擊來說 內(nèi)部用戶具有更得天獨厚的優(yōu)勢 因此 對內(nèi)部用 戶攻擊的防范也很重要 設(shè)備的自身安全性也會直接關(guān)系到 XXX 網(wǎng)絡(luò)系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的正常運轉(zhuǎn) 例如 路由設(shè)備存在路由信息泄漏 交換機和路由器設(shè)備配置風(fēng)險等 重要服務(wù)器或操作系統(tǒng)自身存在安全的漏洞 如果管理員沒有及時的發(fā)現(xiàn)并且 進行修復(fù) 將會為網(wǎng)絡(luò)的安全帶來很多不安定的因素 重要服務(wù)器的當(dāng)機或者重要數(shù)據(jù)的意外丟失 都將會造成 XXX 內(nèi)部的業(yè)務(wù)無法 正常運行 安全管理的困難 對于眾多的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全設(shè)備 安全策略的配置和安 全事件管理的難度很大 3 系統(tǒng)安全需求分析系統(tǒng)安全需求分析 通過對上面 XXX 網(wǎng)絡(luò)的脆弱性和風(fēng)險的分析 我們認(rèn)為整個 XXX 網(wǎng)絡(luò)的安全建設(shè)目前 還比較簡單 存在著一定的安全隱患 主要的安全需求體現(xiàn)為以下幾個方面 邊界訪問控制 安全需求 網(wǎng)絡(luò)級防病毒安全需求 入侵行為檢測安全需求 安全管理需求等 下面我們將 繼續(xù)上幾章的方法 分別在邊界安全需求 內(nèi)網(wǎng)安全需求環(huán)節(jié)就這幾個關(guān)鍵技術(shù)進行描述 3 1 邊界訪問控制安全需求邊界訪問控制安全需求 防火墻是實現(xiàn)網(wǎng)絡(luò)邏輯隔離的首選技術(shù) 在 XXX 的網(wǎng)絡(luò)中 既要保證在整個網(wǎng)絡(luò) 的連通性 又要實現(xiàn)不同網(wǎng)絡(luò)的邏輯隔離 針對 XXX 網(wǎng)絡(luò)的具體情況 得到的防火墻 的需求包括以下幾個方面 先進的安全理念 支持基于安全域的策略設(shè)定 讓用戶能夠更好的理解防火墻的應(yīng)用目的 訪問控制 防火墻必須能夠?qū)崿F(xiàn)網(wǎng)絡(luò)邊界的隔離 具有基于狀態(tài)檢測的包過濾功能 能夠?qū)?現(xiàn)針對源地址 目的地址 網(wǎng)絡(luò)協(xié)議 服務(wù) 時間 帶寬等的訪問控制 能夠?qū)?現(xiàn)網(wǎng)絡(luò)層的內(nèi)容過濾 支持網(wǎng)絡(luò)地址轉(zhuǎn)換等功能 高可靠性 由于防火墻是網(wǎng)絡(luò)中的重要設(shè)備 意外的當(dāng)機都會造成網(wǎng)絡(luò)的癱瘓 因此防火墻必 須是運行穩(wěn)定 故障率低的系統(tǒng) 并且要求能夠?qū)崿F(xiàn)雙機的熱備份 實現(xiàn)不間斷的 網(wǎng)絡(luò)服務(wù) 日志和審計 要求防火墻能夠?qū)χ匾P(guān)鍵資源的使用情況應(yīng)進行有效的監(jiān)控 防火墻系統(tǒng)應(yīng)有 較強的日志處理能力和日志分析能力 能夠?qū)崿F(xiàn)日志的分級管理 自動報表 自 動報警功能 同時希望支持第三方的日志軟件 實現(xiàn)功能的定制 身份認(rèn)證 防火墻本身必須支持身份認(rèn)證的功能 在簡單的地方可以實現(xiàn)防火墻本身自帶數(shù)據(jù) 庫的身份認(rèn)證 在大型的情況下 可以支持與如 RADIUS 等認(rèn)證服務(wù)器的結(jié)合使用 易管理性 XXX 網(wǎng)絡(luò)是一個大型的網(wǎng)絡(luò) 防火墻分布在網(wǎng)絡(luò)的各處 所以防火墻產(chǎn)品必須支 持集中的管理 安全管理員可以在一個地點實現(xiàn)對防火墻的集中管理 策略配置 日志審計等等 系統(tǒng)的安裝 配置與管理盡可能的簡潔 安裝便捷 配置靈活 操作簡單 高安全性 作為安全設(shè)備 防火墻本身必須具有高安全性 本身沒有安全漏洞 不開放服務(wù) 可以抵抗各種類型的攻擊 針對防火墻保護的服務(wù)器的拒絕服務(wù)攻擊 防火墻可以 進行阻擋 并且在阻擋的同時 保證正常業(yè)務(wù)的不間斷 高性能 作為網(wǎng)絡(luò)的接入設(shè)備 防火墻必須具有高性能 不影響原有網(wǎng)絡(luò)的正常運行 千兆 防火墻的性能應(yīng)該在 900M 以上 并發(fā)連接數(shù)要在 50 萬以上 可擴展性 系統(tǒng)的建設(shè)必須考慮到未來發(fā)展的需要 系統(tǒng)必須具有良好的可擴展性和良好的可 升級性 支持標(biāo)準(zhǔn)的 IP IPSEC 等國際協(xié)議 支持版本的在線升級 易實現(xiàn)性 防火墻可以很好的部署在現(xiàn)有的網(wǎng)絡(luò)當(dāng)中 最小改變網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和應(yīng)用設(shè)計 防火墻要支持動態(tài)路由 VLAN 協(xié)議 H323 協(xié)議等 3 2 應(yīng)用層攻擊和蠕蟲的檢測和阻斷需求應(yīng)用層攻擊和蠕蟲的檢測和阻斷需求 入侵檢測主要用于檢測網(wǎng)絡(luò)中存在的攻擊跡象 保證當(dāng)網(wǎng)絡(luò)中存在攻擊的時候 我 們可以在攻擊發(fā)生后果之前能夠發(fā)現(xiàn)它 并且進行有效的阻擋 同時提供詳細的相關(guān)信 息 保證管理員可以進行正確的緊急響應(yīng) 將攻擊的影響減少到最低的程度 它的主要 需求包括 入侵檢測和防護要求 能夠?qū)粜袨檫M行檢測和防護 是對入侵防護設(shè)備的核心需求 入侵防護設(shè)備應(yīng) 該采用最先進的檢測手段 如基于狀態(tài)的協(xié)議分析 協(xié)議異常等多種檢測手段結(jié)合 等等 要求可以檢測的種類包括 攻擊行為檢測 異常行為檢測等等 對網(wǎng)絡(luò)病毒的阻攔 由于目前 80 以上的病毒都是通過網(wǎng)絡(luò)來傳播的 所以為了更好的進行防毒 需要 安全設(shè)備能夠在網(wǎng)關(guān)處檢測并且阻攔基于網(wǎng)絡(luò)傳輸?shù)牟《竞腿湎x 并且可以提供相 關(guān)特征的及時更新 性能要求 內(nèi)部網(wǎng)絡(luò)的流量很多 入侵檢測和防護需要處理的數(shù)據(jù)量也相對較大 同時由于對 性能的要求可以大大的減少對于攻擊的漏報率和誤報率 自身安全性要求 作為網(wǎng)絡(luò)安全設(shè)備 入侵檢測系統(tǒng)必須具有很高的安全性 配置文件需要加密保存 管理臺和探測器之間的通訊必須采用加密的方式 探測器要可以去除協(xié)議棧 并且 能夠抵抗各種攻擊 服務(wù)要求 由于系統(tǒng)漏洞的不斷出現(xiàn)和攻擊手段的不斷發(fā)展 要求應(yīng)用層防護設(shè)備的攻擊特征 庫能夠及時的進行更新 以滿足網(wǎng)絡(luò)最新的安全需求 日志審計要求 系統(tǒng)能對入侵警報信息分類過濾 進行統(tǒng)計或生成報表 對客戶端 服務(wù)器端的不 同地址和不同服務(wù)協(xié)議的流量分析 可以選擇不同的時間間隔生成報表 反映用戶 在一定時期內(nèi)受到的攻擊類型 嚴(yán)重程度 發(fā)生頻率 攻擊來源等信息 使管理員 隨時對網(wǎng)絡(luò)安全狀況有正確的了解 可以根據(jù)管理員的選擇 定制不同形式的報表 3 3 安全管理需求安全管理需求 安全管理是安全體系建設(shè)極為重要的一個環(huán)節(jié) 目前 XXX 網(wǎng)絡(luò)的需要建立針對多 種安全設(shè)備的統(tǒng)一管理平臺 總體需求如下 安全事件的統(tǒng)一監(jiān)控 對于網(wǎng)絡(luò)安全設(shè)備上發(fā)現(xiàn)的安全事件 都可以進行集中的監(jiān)控 并且進行相應(yīng)的關(guān) 聯(lián)分析 保證管理員可以通過簡單的方式 不需要登陸多個設(shè)備 就能夠明了目前 網(wǎng)絡(luò)中發(fā)生的安全事件 安全設(shè)備的集中化管理 隨著使用安全產(chǎn)品種類和數(shù)量的增加需要不斷增加管理和維護人員 管理成本往往 呈指數(shù)級的增加 因此需要相應(yīng)的技術(shù)手段對這些產(chǎn)品進行集中的控管 安全響應(yīng)能力的提升 響應(yīng)能力是衡量一個網(wǎng)絡(luò)安全建設(shè)水平的重要標(biāo)準(zhǔn) 發(fā)現(xiàn)安全問題和安全事件后 必須能快速找到解決方法并最快速度進行響應(yīng) 響應(yīng)的方式包括安全設(shè)備的自動響 應(yīng) 聯(lián)動響應(yīng) 人工響應(yīng)等等 4 系統(tǒng)安全解決方案系統(tǒng)安全解決方案 4 1 設(shè)計目標(biāo)設(shè)計目標(biāo) XXX 網(wǎng)絡(luò)具有很高的安全性 本方案主要針對 XXX 網(wǎng)絡(luò) 保證 XXX 內(nèi)網(wǎng)中的重 要數(shù)據(jù)的保密性 完整性 可用性 防抵賴性和可管理性 具體來說可分為如下幾個方 面 有效控制 發(fā)現(xiàn) 處理非法的網(wǎng)絡(luò)訪問 保護在不安全網(wǎng)絡(luò)上的數(shù)據(jù)傳輸?shù)陌踩?能有效的預(yù)防 發(fā)現(xiàn) 處理網(wǎng)絡(luò)上傳輸?shù)娜湎x病毒和其他的計算機病毒 能有效的預(yù)防 發(fā)現(xiàn) 處理網(wǎng)絡(luò)上存在的惡意攻擊和非授權(quán)訪問 合理的安全體系架構(gòu)和管理措施 實現(xiàn)網(wǎng)絡(luò)系統(tǒng)安全系統(tǒng)的集中管理 有較強的擴展性 4 2 設(shè)計原則設(shè)計原則 我們嚴(yán)格按照國家相關(guān)規(guī)定進行系統(tǒng)方案設(shè)計 設(shè)計方案中遵守的設(shè)計原則為 1 統(tǒng)一性 系統(tǒng)必須統(tǒng)一規(guī)范 統(tǒng)一標(biāo)準(zhǔn) 統(tǒng)一接口 使用國際標(biāo)準(zhǔn) 國家標(biāo)準(zhǔn) 采用統(tǒng)一的系 統(tǒng)體系結(jié)構(gòu) 以保持系統(tǒng)的統(tǒng)一性和完整性 2 實用性 系統(tǒng)能最大限度滿足 XXX 網(wǎng)絡(luò)的需求 結(jié)合 XXX 網(wǎng)絡(luò)的實際情況 在對業(yè)務(wù)系統(tǒng)進 行設(shè)計和優(yōu)化的基礎(chǔ)上進行設(shè)計 3 先進性 無論對業(yè)務(wù)系統(tǒng)的設(shè)計還是對信息系統(tǒng)和網(wǎng)絡(luò)的設(shè)計 都要采用成熟先進的技術(shù) 手段 方法和設(shè)備 4 可擴展性 系統(tǒng)的設(shè)計必須考慮到未來發(fā)展的需要 具有良好的可擴展性和良好的可升級性 5 安全性 必須建立可靠的安全體系 以防止對信息系統(tǒng)的非法侵入和攻擊 6 保密性 信息系統(tǒng)的有關(guān)業(yè)務(wù)信息 資金信息等必須有嚴(yán)格的管理措施和技術(shù)手段加以保護 以免因泄密而造成國家 單位和個人的損失 7 最高保護原則 系統(tǒng)中涉及到多種密級的資源 按最高密級保護 8 易實現(xiàn)性和可管理性 系統(tǒng)的安裝 配置與管理盡可能的簡潔 安裝便捷 配置靈活 操作簡單 并且系 統(tǒng)應(yīng)具有可授權(quán)的集中管理能力 4 3 安全產(chǎn)品的選型原則安全產(chǎn)品的選型原則 XXX 網(wǎng)絡(luò)屬于一個行業(yè)的專用網(wǎng)絡(luò) 因此在安全產(chǎn)品的選型上 必須慎重 選型的原 則包括 安全保密產(chǎn)品的接入應(yīng)不明顯影響網(wǎng)絡(luò)系統(tǒng)運行效率 并且滿足工作的要求 不影 響正常的業(yè)務(wù) 安全保密產(chǎn)品必須滿足上面提出的安全需求 保證整個 XXX 網(wǎng)絡(luò)的安全性 安全保密產(chǎn)品必須通過國家主管部門指定的測評機構(gòu)的檢測 安全保密產(chǎn)品必須具備自我保護能力 安全保密產(chǎn)品必須符合國家和國際上的相關(guān)標(biāo)準(zhǔn) 安全產(chǎn)品必須操作簡單易用 便于簡單部署和集中管理 4 4 整體安全解決方案整體安全解決方案 4 4 1 訪問控制解決方案訪問控制解決方案 4 4 1 1劃分安全區(qū) 劃分安全區(qū) Security Zone Juniper ISG2000 系統(tǒng)的防火墻模塊增加了全新的安全區(qū)域 Security Zone 的概 念 安全區(qū)域是一個邏輯的結(jié)構(gòu) 是多個處于相同屬性區(qū)域的物理接口的集合 當(dāng)不同安全區(qū)域之間相互通訊時 必須通過事先定義的策略檢查才能通過 當(dāng)在 同一個安全區(qū)域進行通訊時 默認(rèn)狀態(tài)下允許不通過策略檢查 經(jīng)過配置后 也 可以強制進行策略檢查 以提高安全性 安全區(qū)域概念的出現(xiàn) 使防火墻的配置能更靈活同現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)相結(jié)合 以下 圖為例 通過實施安全區(qū)域的配置 內(nèi)網(wǎng)的不同部門之間的通訊也必須通過策略 的檢查 進一步提高的系統(tǒng)的安全 4 4 1 2 劃分劃分 VSYS 為滿足網(wǎng)絡(luò)中心或數(shù)據(jù)中心的要求 即網(wǎng)絡(luò)中心或數(shù)據(jù)中心的管理員提供防火墻 硬件設(shè)備的維護和資源的分配 部門級系統(tǒng)管理員或托管用戶的管理員來配置防 火墻的 IP 配置以及具體策略 Juniper 公司的防火墻自 500 系列起 支持虛擬防 火墻技術(shù) 即可以將一個物理的防火墻系統(tǒng)虛擬成多個邏輯的防火墻系統(tǒng) 滿足 了數(shù)據(jù)中心或網(wǎng)絡(luò)中心硬件系統(tǒng)和管理系統(tǒng)維護的分離要求 4 4 1 3 Virtual Router Juniper 公司防火墻支持虛擬路由器技術(shù) 在一個防火墻設(shè)備里 將原來單一路 由方式下的單一路由表 進化為多個虛擬路由器以及相應(yīng)的多張獨立的路由表 提高了防火墻系統(tǒng)的安全性以及 IP 地址配置的靈活性 4 4 1 4安全策略定義安全策略定義 Juniper 公司 ISG2000 系統(tǒng)的防火墻模塊在定義策略時 主要需要設(shè)定源 IP 地址 目的 IP 地址 網(wǎng)絡(luò)服務(wù)以及防火墻的動作 在設(shè)定網(wǎng)絡(luò)服務(wù)時 Juniper ISG2000 系統(tǒng)的防火墻模塊已經(jīng)內(nèi)置預(yù)設(shè)了大量常見的網(wǎng)絡(luò)服務(wù)類型 同時 也 可以由客戶自行定義網(wǎng)絡(luò)服務(wù) 在客戶自行定義通過防火墻的服務(wù)時 需要選擇網(wǎng)絡(luò)服務(wù)的協(xié)議 是 UDP TCP 還是其它 需要定義源端口或端口范圍 目的端口或端口范圍 網(wǎng) 絡(luò)服務(wù)在無流量情況下的超時定義等 因此 通過對網(wǎng)絡(luò)服務(wù)的定義 以及 IP 地址的定義 使 Juniper ISG2000 系統(tǒng)的防火墻模塊的策略細致程度大大加強 安全性也提高了 除了定義上述這些主要參數(shù)以外 在策略中還可以定義用戶的認(rèn)證 在策略 里定義是否要做地址翻譯 帶寬管理等功能 通過這些主要的安全元素和附加 元素的控制 可以讓系統(tǒng)管理員對進出防火墻的數(shù)據(jù)流量進行嚴(yán)格的訪問控制 達到保護內(nèi)網(wǎng)系統(tǒng)資源安全的目的 4 4 2 防拒絕服務(wù)攻擊解決方案防拒絕服務(wù)攻擊解決方案 Juniper 公司 ISG2000 系統(tǒng)的高性能確保它足以抵御目前 Internet 上流行的 DDoS 的攻擊 能夠識別多達 28 種以上的網(wǎng)絡(luò)攻擊 在抵御主要的分布式拒絕服務(wù)功能方 面 Juniper 公司 Juniper ISG2000 系統(tǒng)支持 SYN 網(wǎng)關(guān)代理功能 即當(dāng) SYN 的連接請 求超過正常的定義的范圍時 NS 防火墻會自動啟動 SYN 網(wǎng)關(guān)功能 代理后臺服務(wù) 器端結(jié) SYN 的請求并發(fā)出 ACK 回應(yīng) 直到收到 SYN ACK 的響應(yīng) 才會將該連接 轉(zhuǎn)發(fā)給服務(wù)器 否則會將超時沒有響應(yīng)的 SYN 連接請求丟棄 Juniper 公司 NetScreen 系列除了支持 SYN 網(wǎng)關(guān)功能之外 可以針對 SYN 的攻擊設(shè)定 閥值 只有當(dāng) SYN 連接請求超過預(yù)定義閥值時 才啟動 SYN 網(wǎng)關(guān)的功能 這樣可以 有效的提高防火墻在正常情況下的工作效率 如果防火墻沒有閥值的選項 那么用戶面臨的選擇是 要么不要 SYN 防御的功能提 高性能 要么使用 SYN 防御的功能大大降低在正常工作狀態(tài)下的性能 這是其它防 火墻產(chǎn)品非常不靈活的產(chǎn)品設(shè)計 Juniper 公司的 Juniper ISG2000 系統(tǒng)在兩者之間取 得了一種平衡 4 4 2 1SYN Flooding 當(dāng)主機中充滿了需要發(fā)出響應(yīng)的 無法完成連接的 SYN 請求 以至于主機無法 再處理合法的 SYN 連接請求時 就發(fā)生了 SYN 泛濫 利用三方封包交換 即常說的三方握手 兩個主機之間建立 TCP 連接 A 向 B 發(fā)送 SYN 數(shù)據(jù)包 B 用 SYN ACK 數(shù)據(jù)包進行響應(yīng) 然后 A 又用 ACK 數(shù)據(jù)包 進行響應(yīng) SYN 泛濫攻擊用偽造的 IP 源地址 不存在或不可到達的地址 的 SYN 請求來塞滿站點 B B 用 SYN ACK 數(shù)據(jù)包響應(yīng)這些來自非法地址的請求 并等待來自這些地址的響應(yīng)的 ACK 數(shù)據(jù)包 因為 SYN ACK 數(shù)據(jù)包被發(fā)送到不 存在或不可到達的 IP 地址 所以它們永遠不會得到響應(yīng)并最終超時 通過用無法完成的 TCP 連接泛濫攻擊主機 攻擊者最后會填滿受害服務(wù)主機的 內(nèi)存緩存區(qū) 當(dāng)該緩存區(qū)填滿后 主機就不能再處理新的 TCP 連接請求 泛濫 甚至可能會破壞受害者的操作系統(tǒng) Juniper ISG2000 設(shè)備可以對每秒鐘允許通過防火墻的 SYN 數(shù)據(jù)包數(shù)量加以限制 可以針對目標(biāo)地址和端口 僅目標(biāo)地址或僅源地址的攻擊臨界值設(shè)置閥值 當(dāng)每 秒的 SYN 數(shù)據(jù)包數(shù)量超過這些臨界值之一時 Juniper 設(shè)備開始代理發(fā)送流入的 SYN 數(shù)據(jù)包 用 SYN ACK 數(shù)據(jù)包回復(fù)并將不完全的連接請求儲存到連接隊列 中 未完成的連接請求保留在隊列中 直到連接完成或請求超時 在下面的示意 圖中 已超過了 SYN 攻擊臨界值 Juniper 防火墻開始代理 SYN 數(shù)據(jù)包 在下一個示意圖中 通過代理連接的隊列已完全填滿 Juniper ISG2000 系統(tǒng)正在 拒絕流入的 SYN 數(shù)據(jù)包請求 此操作保護受保護網(wǎng)絡(luò)中的主機 使其免遭不完 整的三方握手的轟擊 ICMP Flooding 當(dāng)有大量的 ICMP 回應(yīng)請求時 往往會造成服務(wù)器耗盡資源來進行響應(yīng) 直至 最后超出了服務(wù)器的最大極限以致無法處理有效的網(wǎng)絡(luò)信息流 這時就發(fā)生了 ICMP 泛濫 當(dāng)啟用了 ICMP 泛濫保護的功能時 可以設(shè)置一個臨界值 一旦超 過此值就會調(diào)用 ICMP 泛濫攻擊保護功能 缺省的臨界值為每秒 1000 個封包 如果超過了該臨界值 Juniper ISG2000 設(shè)備在該秒余下的時間和下一秒內(nèi)會忽 略其它的 ICMP 回應(yīng)要求 4 4 2 2UDP Flooding 與 ICMP 泛濫相似 當(dāng)攻擊者以減慢受害服務(wù)器響應(yīng)速度為目的向該點發(fā)送含有 UDP 數(shù)據(jù)包的 IP 封包 以至于受害服務(wù)器再也無法處理有效的連接時 就發(fā)生 了 UDP 泛濫 當(dāng)啟用了 UDP 泛濫保護功能時 可以設(shè)置一個臨界值 一旦超過 此臨界值就會調(diào)用 UDP 泛濫攻擊保護功能 缺省臨界值為每秒 1000 個封包 如果從一個或多個源向多個目標(biāo)發(fā)送的 UDP 數(shù)據(jù)包數(shù)量超過了此臨界值 Juniper ISG2000 在該秒余下的時間和下一秒內(nèi)會忽略其它到該目標(biāo)的 UDP 數(shù)據(jù) 包 4 4 2 3MISC 攻擊攻擊 能夠抵御的主要的攻擊方式有 分布式服務(wù)拒絕攻擊 DDOS Distributed Denial Of Service attacks IP 碎片攻擊 IP Fragmentation attacks 端口掃描攻 擊 Port Scan Attacks IP 源路由攻擊 IP Source Attacks IP Spoofing Attacks Address Sweep Attacks WinNuke Attack 等共 31 種 請參考附件 Screen Description 4 4 3 應(yīng)用層防護解決方案應(yīng)用層防護解決方案 4 4 3 1應(yīng)用層防護應(yīng)用層防護 當(dāng)前 復(fù)雜的攻擊以不同的方式出現(xiàn)在不同的客戶環(huán)境中 Juniper 網(wǎng)絡(luò)公司 ISG2000 中 的應(yīng)用層防護模塊先進的攻擊防護和定制功能有助于準(zhǔn)確地檢測攻擊 并阻止其攻擊網(wǎng)絡(luò) 以避免產(chǎn)生損失 Juniper 網(wǎng)絡(luò)公司 ISG2000 中的應(yīng)用層防護模塊 先進的攻擊防護功能具有 以下特點 多種檢測方法 包括復(fù)合簽名 狀態(tài)簽名 協(xié)議異常以及后門檢測 開放式簽名格式允許管理員查看攻擊字符串如何匹配攻擊簽名 并根據(jù)需求對簽名進 行編輯 這種理解和定制級別允許管理員定制攻擊簽名 以滿足獨特的攻擊要求 全面的簽名定制通過提供更高的控制能力 以適應(yīng)簽名的特定要求 從而增強檢測獨 特攻擊的能力 o復(fù)合簽名 能夠?qū)顟B(tài)簽名和協(xié)議異常結(jié)合到單個攻擊對象中 以檢測單個會 話中的復(fù)雜攻擊 從而提高檢測速度 o400 多個定制參數(shù)和 Perl 式的常規(guī)表達式 能夠定制簽名或創(chuàng)建完全定制的簽 名 4 4 3 1 1多重方法攻擊檢測多重方法攻擊檢測 Juniper 網(wǎng)絡(luò)公司的多重方法檢測技術(shù) MMD 將多種檢測機制結(jié)合到單一產(chǎn)品中 以 實現(xiàn)全面的檢測 由于不同的攻擊類型要求采用不同的識別方法 因此 僅使用幾種檢測方 法的產(chǎn)品不能檢測出所有類型的攻擊 Juniper 網(wǎng)絡(luò)公司 ISG2000 中的應(yīng)用層防護模塊采用 多重方法檢測技術(shù)能夠最大限度地檢測出各種攻擊類型 確保不會遺漏關(guān)鍵的威脅 MMD 中采用的檢測方法包括 機機 制制說說 明明 狀態(tài)簽名僅檢測相關(guān)流量中的已知攻擊模式 協(xié)議異常檢測未知或經(jīng)過修改的攻擊方式 后門檢測檢測未經(jīng)授權(quán)的交互式后門流量 復(fù)合簽名將狀態(tài)簽名和協(xié)議異常結(jié)合在一起 檢測單個會話中的復(fù)雜攻擊 狀態(tài)簽名檢測狀態(tài)簽名檢測 某些攻擊可以采用攻擊簽名進行識別 在網(wǎng)絡(luò)流量中可以發(fā)現(xiàn)這種攻擊模式 狀態(tài)簽名 設(shè)計用于大幅度提高檢測性能 并減少目前市場上基于簽名的入侵檢測系統(tǒng)的錯誤告警 Juniper 網(wǎng)絡(luò)公司 ISG2000 中的應(yīng)用層防護模塊跟蹤連接狀態(tài) 并且僅在可能發(fā)生攻擊的相 關(guān)流量部分來查找攻擊模式 傳統(tǒng)的基于簽名的入侵檢測系統(tǒng)在流量流的任意部分尋找攻擊 模式 從而導(dǎo)致較高的錯誤告警幾率 例如 要確定某人是否嘗試以根用戶身份登錄服務(wù)器 傳統(tǒng)的基于簽名的 IDS 會在傳輸中出 現(xiàn) root 字樣時隨時發(fā)送告警 導(dǎo)致錯誤告警的產(chǎn)生 Juniper 網(wǎng)絡(luò)公司 ISG2000 中的應(yīng)用層 防護模塊采用狀態(tài)簽名檢測方法 僅在登錄序列中查找字符串 root 這種方法可準(zhǔn)確地檢 測出攻擊 Juniper 網(wǎng)絡(luò)公司 ISG2000 中的應(yīng)用層防護模塊的所有簽名都可通過簡單的圖形用戶界面來 接入 因此可以容易地了解系統(tǒng)在監(jiān)控流量的哪一部分 此外 開放式簽名格式和簽名編輯 器可用于迅速修改或添加簽名 這兩種功能使用戶能夠確定對其環(huán)境的重要部分 并確保系 統(tǒng)也能夠識別出這個重要部分 然而 狀態(tài)簽名方法可以跟蹤并了解通信狀態(tài) 因此可縮小與可能發(fā)生攻擊的特定站點 相匹配的模式范圍 通信模式和流方向 表示客戶機至服務(wù)器或服務(wù)器至客戶機的流量 如上圖所示 狀態(tài)簽名僅執(zhí)行與可能發(fā)生攻擊的相關(guān)流量相匹配的簽名模型 這樣 檢測性 能將顯著提高 而且錯誤告警的數(shù)量也大大減少 ISG2000 系統(tǒng)可以實現(xiàn)對攻擊簽名庫的每日升級 JUNIPER 公司將在自己的安全網(wǎng)站上 進行攻擊特征的每日更新 目前的攻擊特征包括應(yīng)用層攻擊 蠕蟲特征 網(wǎng)絡(luò)病毒特征 P2P 應(yīng)用特征等多種攻擊特征 可以對上述的非正常訪問進行檢測和阻擋 協(xié)議異常檢測協(xié)議異常檢測 攻擊者并不遵循某種模式來發(fā)動攻擊 他們會不斷開發(fā)并推出新攻擊或復(fù)雜攻擊 協(xié)議 異常檢測可用于識別與 正常 流量協(xié)議不同的攻擊 例如 這種檢測可識別出那種采用不確 定的流量以試圖躲避檢測 并威脅網(wǎng)絡(luò)和 或主機安全的攻擊 以緩沖器溢出為例 見下圖 攻擊者在服務(wù)器的許可下使服務(wù)器運行攻擊者的代碼 從而獲得機器的全部訪問權(quán)限 協(xié)議 異常檢測將緩沖器允許的數(shù)據(jù)量與發(fā)送的數(shù)據(jù)量 以及流量超出允許量時的告警進行比較 協(xié)議異常檢測與其所支持的多種協(xié)議具有同樣的效力 如果協(xié)議不被支持 則無法在網(wǎng)絡(luò)中 檢測出使用該協(xié)議的攻擊 Juniper 網(wǎng)絡(luò)公司 ISG2000 中的應(yīng)用層防護模塊是第一種支持多 種協(xié)議的產(chǎn)品 包括 SNMP 保護 60 000 多個薄弱點 和 SMB 保護運行于內(nèi)部系統(tǒng)中 的基于 Windows 的薄弱點 我們可以利用協(xié)議異常檢測技術(shù) 檢測到目前攻擊特征碼中沒有定義的攻擊 和一些最 新出現(xiàn)的攻擊 新的緩沖區(qū)溢出攻擊就是要通過協(xié)議異常技術(shù)進行檢測的 由于協(xié)議異常技 術(shù)采用的是與正常的協(xié)議標(biāo)準(zhǔn)進行匹配 所以存在誤報的可能性 后門檢測后門檢測 Juniper 網(wǎng)絡(luò)公司 ISG2000 中的應(yīng)用層防護模塊是可以識別并抵御后門攻擊的產(chǎn)品 后門 攻擊進入網(wǎng)絡(luò)并允許攻擊者完全控制系統(tǒng) 這經(jīng)常導(dǎo)致數(shù)據(jù)丟失 例如 攻擊者可以利用系 統(tǒng)的薄弱點將特洛伊木馬病毒加載到網(wǎng)絡(luò)資源中 然后通過與該系統(tǒng)進行交互來對其進行控 制 然后 攻擊者嘗試以不同的命令發(fā)起對系統(tǒng)的攻擊 或者威脅其它系統(tǒng)的安全 Juniper 網(wǎng)絡(luò)公司 ISG2000 中的應(yīng)用層防護模塊能夠識別交互式流量的獨特特征 并對意外的活動發(fā) 送告警 后門檢測是檢測蠕蟲和特洛伊木馬病毒的唯一方式 查看交互式流量 根據(jù)管理員的定義檢測未授權(quán)的交互式流量 檢測每個后門 即使流量已加密或者協(xié)議是未知 4 4 3 2應(yīng)用層防護的步驟應(yīng)用層防護的步驟 Juniper 的 ISG2000 系統(tǒng)的應(yīng)用層防護模塊可以提供兩種的接入模式 Active 模式和 Inline Tap 模式 由于攻擊檢測本身所具有的誤報性 建議用戶在使用 ISG2000 系統(tǒng)的應(yīng)用 層保護模塊的時候 可以采用如下的配置步驟 1 通過防火墻安全策略的定制 將需要進行應(yīng)用層攻擊檢測和防護的流量傳給應(yīng)用 層防護模塊 對于其他的無關(guān)緊要的網(wǎng)絡(luò)數(shù)據(jù)流量 可以不需要通過應(yīng)用層保護 模塊 只通過防火墻的檢測就可以保證其安全性 這樣的配置可以保證在將敏感 數(shù)據(jù)進行了攻擊檢測的同時 最大限度的保證網(wǎng)絡(luò)的性能 提高網(wǎng)絡(luò)吞吐量 減 少網(wǎng)絡(luò)延遲 2 設(shè)備部署初期 對于需要檢測的流量 我們首先可以將應(yīng)用層防護模塊采用 Inline Tap 模式 這樣的話 網(wǎng)絡(luò)數(shù)據(jù)就會在通過防火墻檢測后 直接進行轉(zhuǎn)發(fā) 而緊緊是復(fù)制一遍到應(yīng)用層保護模塊 這個時候應(yīng)用層保護模塊相當(dāng)于一個旁路 的檢測設(shè)備 僅僅對攻擊進行報警 而不會對數(shù)據(jù)流有任何的影響 在這個時期 我們可以通過調(diào)整攻擊特征碼 自定制攻擊特征等手段 來減少網(wǎng)絡(luò)攻擊的漏報 率和誤報率 提高攻擊檢測的準(zhǔn)確性 3 當(dāng)攻擊檢測的準(zhǔn)確率達到一定的程度的時候 我們可以將應(yīng)用層防護模塊改為采 用 Active 模式 Active 模式的情況下 數(shù)據(jù)包在經(jīng)過防火墻檢測后 會接著進行 應(yīng)用層的檢測 如果存在攻擊 則進行報警或阻擋 然后再進行數(shù)據(jù)報的轉(zhuǎn)發(fā) 在這個時期 我們可以對于一些比較肯定和威脅很大的攻擊 在規(guī)則中配置成阻 斷攻擊 如果發(fā)現(xiàn)這種攻擊 我們可以在線的進行阻擋 對于其他的攻擊 可以 暫時采用僅僅報警的方式 繼續(xù)修改相關(guān)的攻擊特征碼 最大限度的提高攻擊檢 測的準(zhǔn)確性 4 當(dāng)攻擊特征碼優(yōu)化到誤報率很低的程度后 我們對大部分攻擊都可以采用在線阻 擋的模式 這樣的話 就可以完全實現(xiàn) ISG2000 應(yīng)用層防護模塊的全部功能 大 大減少了網(wǎng)絡(luò)管理員安全響應(yīng)額時間和工作量 4 4 4 安全管理解決方案安全管理解決方案 Juniper 的 ISG2000 系統(tǒng)采用 Juniper 公司的統(tǒng)一安全管理平臺 NSM 進行管理 NSM 不 僅可以管理 ISG2000 系統(tǒng)上的防火墻模塊 VPN 模塊和應(yīng)用層保護模塊 同時可以實現(xiàn)對 多臺 ISG2000 設(shè)備的集中管理 這樣我們就實現(xiàn)了在一個統(tǒng)一的界面上實現(xiàn)了對多臺安全設(shè) 備 多種安全技術(shù)的統(tǒng)一管理 安全策略的統(tǒng)一配置 安全事件和日志信息的統(tǒng)一查詢和分 析 NSM 系統(tǒng)為一套單獨的軟件系統(tǒng) 其服務(wù)器端軟件可以安裝在單獨的 LINUX 或者 SOLARIS 主機上 客戶端軟件可以安裝在 WINDOW 或者 UNIX 系統(tǒng)下 可以采用三層的 架構(gòu)對安全設(shè)備進行統(tǒng)一的管理 5 方案中配置安全產(chǎn)品簡介方案中配置安全產(chǎn)品簡介 5 1 Juniper 公司介紹公司介紹 Juniper 網(wǎng)絡(luò)公司致力于實現(xiàn)網(wǎng)絡(luò)商務(wù)模式的轉(zhuǎn)型 作為全球領(lǐng)先的聯(lián)網(wǎng)和安全性解 決方案供應(yīng)商 Juniper 網(wǎng)絡(luò)公司對依賴網(wǎng)絡(luò)獲得關(guān)鍵基礎(chǔ)設(shè)施的客戶一直給予密切關(guān)注 公司的客戶來自全球各行各業(yè) 包括主要的網(wǎng)絡(luò)運營商 企業(yè) 政府機構(gòu)以及研究和教 育機構(gòu)等 Juniper 網(wǎng)絡(luò)公司推出的一系列聯(lián)網(wǎng)解決方案 提供所需的安全性和性能來支 持全球最大型 最復(fù)雜 要求最嚴(yán)格的關(guān)鍵網(wǎng)絡(luò) 其中包括全球頂尖的 25 家服務(wù)供應(yīng) 商和 財富 全球 500 強企業(yè)前 15 強中的 8 個企業(yè) Juniper 網(wǎng)絡(luò)公司成立的唯一宗旨是 預(yù)測并解決業(yè)內(nèi)最高難度的聯(lián)網(wǎng)和安全性問題 今天 Juniper 網(wǎng)絡(luò)公司通過以下努力 幫助全球客戶轉(zhuǎn)變他們的網(wǎng)絡(luò)經(jīng)濟模式 從而建 立強大的競爭優(yōu)勢 保護網(wǎng)絡(luò)安全 以抵御日益頻繁復(fù)雜的攻擊 利用網(wǎng)絡(luò)應(yīng)用和服務(wù)來取得市場競爭優(yōu)勢 為客戶和業(yè)務(wù)合作伙伴提供安全的定制方式來接入遠程資源 Juniper 網(wǎng)絡(luò)公司 Juniper 系列安全性解決方案可幫助企業(yè)經(jīng)濟高效地保護他們的遠程 站點 地區(qū)辦事處 網(wǎng)絡(luò)周邊以及網(wǎng)絡(luò)核心 而且不會對性能造成任何影響 Juniper 一 流的安全性功能能夠以分層的方式部署于整個網(wǎng)絡(luò)中 以提供所需的網(wǎng)絡(luò)級和應(yīng)用級防 護 無論是為員工 合作伙伴和客戶提供到非信任網(wǎng)絡(luò)的安全接入 還是保護周邊網(wǎng)絡(luò) 的安全 用 IPSec 虛擬專網(wǎng) VPN 替代傳統(tǒng)的 WAN 網(wǎng)絡(luò) 將基于軟件的傳統(tǒng)防火墻 整合到經(jīng)優(yōu)化的專用設(shè)備 或者是保護新的網(wǎng)絡(luò)部署 如 VoIP 無線 LAN 外網(wǎng)或安 全在線會議 Juniper 解決方案都是企業(yè)和運營商網(wǎng)絡(luò)的首選網(wǎng)絡(luò)安全性解決方案 Juniper 解決方案在專用設(shè)備中集成了多層安全性技術(shù) 非常適用于保護關(guān)鍵資產(chǎn)的安全 它使用的主要技術(shù)包括 防火墻 Juniper 狀態(tài)型檢測防火墻提供了強勁的網(wǎng)絡(luò)接入控制和攻擊限制特性 可以幫助客 戶有效地保護周邊和核心網(wǎng)絡(luò)基礎(chǔ)設(shè)施 Juniper 深度檢測防火墻充分利用了狀態(tài)型 檢測的優(yōu)點并在防火墻中集成了入侵防護技術(shù) 可在網(wǎng)絡(luò)周邊提供應(yīng)用級攻擊防護 IPSec VPN Juniper VPN 解決方案可以提供具備故障恢復(fù)功能的安全連接來代替幀中繼或?qū)＞€ 在企業(yè)總部 遠程辦公室和固定遠程工作者之間提供全面的網(wǎng)絡(luò)接入 拒絕服務(wù)防護 為了減小暴力攻擊及其他基于網(wǎng)絡(luò)的攻擊的影響 客戶可部署 Juniper 高性能產(chǎn)品來 保護其 Web 基礎(chǔ)設(shè)施的安全 防病毒 利用 Trend Micro 公司市場領(lǐng)先的網(wǎng)關(guān)防病毒技術(shù) Juniper 集成防病毒解決方案可 以在分布式企業(yè)中提供更有效的應(yīng)用層保護功能 入侵防護 Juniper 入侵防護設(shè)備遠遠超越了傳統(tǒng)的入侵檢測產(chǎn)品 它可以準(zhǔn)確地檢測網(wǎng)絡(luò) 應(yīng) 用和混合攻擊 而且使客戶能夠阻止攻擊 保護關(guān)鍵資源 SSL VPN Juniper 的 SA 系列產(chǎn)品可以利用成熟的 SSL 安全協(xié)議 實現(xiàn)了有效的 安全的完成 對局域網(wǎng)資源的訪問 用戶操作簡單 無需單獨客戶端的安裝 安全會議 Juniper 會議設(shè)備可以實現(xiàn)安全的跨企業(yè)在線會議 同時保證符合企業(yè)的安全性策略 和監(jiān)管要求 并減少來自互聯(lián)網(wǎng)的攻擊風(fēng)險 Juniper 網(wǎng)絡(luò)公司提供一系列全面 靈活 業(yè)界領(lǐng)先的技術(shù)支持 專業(yè)服務(wù)以及培訓(xùn) 課程 幫助客戶從他們的網(wǎng)絡(luò)和安全性投資中獲取最大的收益 Juniper 網(wǎng)絡(luò)公司的支持服務(wù)系列可提供大型網(wǎng)絡(luò)所要求的后備支持 并可讓客戶選 擇各種服務(wù)選項來補充他們的內(nèi)部專業(yè)技術(shù) Juniper 網(wǎng)絡(luò)公司支持服務(wù)還結(jié)合了積極主 動的服務(wù)特性 以增強客戶網(wǎng)絡(luò)的性能 Juniper 網(wǎng)絡(luò)公司專業(yè)服務(wù)部可提供業(yè)界領(lǐng)先的專業(yè)技術(shù)和定制的咨詢服務(wù) 幫助客 戶規(guī)劃新型業(yè)務(wù)和技術(shù) 設(shè)計下一代網(wǎng)絡(luò)解決方案并以最高的效率來實施項目 Juniper 網(wǎng)絡(luò)公司培訓(xùn)服務(wù)可提供專家培訓(xùn)和技術(shù)認(rèn)證項目 通過標(biāo)準(zhǔn)的技術(shù)課程 基于 web 的課程 定制的專題研討會以及動手實驗課 幫助客戶提高他們的 IP 網(wǎng)絡(luò)專 業(yè)技術(shù) 5 2 Juniper ISG2000 系列安全網(wǎng)關(guān)系列安全網(wǎng)關(guān) Juniper 推出業(yè)內(nèi)第一款整合了多種最佳網(wǎng)絡(luò)邊界安全功能的整合式安全網(wǎng)關(guān) Juniper ISG 2000 Integrated Security Gateway 可在有效防護來自網(wǎng)絡(luò)層及應(yīng)用層的威 脅的同時 為企業(yè)和運營商的網(wǎng)絡(luò)提供最優(yōu)化的性能并降低網(wǎng)絡(luò)復(fù)雜性 目前業(yè)內(nèi)其他安全解決方案提供商的整合方式往往以犧牲網(wǎng)絡(luò)性能為代價 并增加了網(wǎng) 絡(luò)復(fù)雜性 而 Juniper 的最新專屬定制的系統(tǒng)采用模塊化設(shè)計及獨特的處理架構(gòu) 包括基于 Juniper 的新型第四代 ASIC 芯片的整合了防火墻及 VPN 功能 不久的將來還可整合完善的入侵檢測與防護 IDP 功能 Juniper ISG 2000 具備卓越的性能 以及靈活性和可擴展性 從而有效抵御今天和未來日益復(fù)雜的網(wǎng)絡(luò)威脅 Juniper ISG 200