企業(yè)網(wǎng)絡(luò)系統(tǒng)安全方案

1、PAGE 1 一-18企業(yè)網(wǎng)絡(luò)系統(tǒng)安全方案目 錄 TOC o 1-3 h z u HYPERLINK l _Toc51272356 一、企業(yè)網(wǎng)絡(luò)安全面臨的威脅 PAGEREF _Toc51272356 h 一-3 HYPERLINK l _Toc51272357 二、防火墻簡(jiǎn)介 PAGEREF _Toc51272357 h 二-6 HYPERLINK l _Toc51272358 1、防火墻的應(yīng)用 PAGEREF _Toc51272358 h 二-6 HYPERLINK l _Toc51272359 2防火墻的部署位置： PAGEREF _Toc51272359 h 二-7 HYPERLINK

2、 l _Toc51272360 3防火墻應(yīng)該具備以下特點(diǎn)： PAGEREF _Toc51272360 h 二-7 HYPERLINK l _Toc51272361 4防火墻應(yīng)該具有以下功能 PAGEREF _Toc51272361 h 二-8 HYPERLINK l _Toc51272362 三、企業(yè)網(wǎng)絡(luò)系統(tǒng)安全需求 PAGEREF _Toc51272362 h 三-8 HYPERLINK l _Toc51272363 2.1 安全需求 PAGEREF _Toc51272363 h 三-8 HYPERLINK l _Toc51272364 2.2安全需求分析 PAGEREF _Toc51272

3、364 h 三-9 HYPERLINK l _Toc51272365 四、安全解決方案設(shè)計(jì) PAGEREF _Toc51272365 h 四-10 HYPERLINK l _Toc51272366 4.1 方案說(shuō)明 PAGEREF _Toc51272366 h 四-10 HYPERLINK l _Toc51272367 42 遠(yuǎn)程用戶的接入 PAGEREF _Toc51272367 h 四-11 HYPERLINK l _Toc51272368 4.3 產(chǎn)品說(shuō)明 PAGEREF _Toc51272368 h 四-12 HYPERLINK l _Toc51272369 五、JUNIPER公司簡(jiǎn)介

4、 PAGEREF _Toc51272369 h 五-18企業(yè)網(wǎng)絡(luò)安全面臨的威脅在現(xiàn)代社會(huì)中，隨著計(jì)算機(jī)運(yùn)用的普及和計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，計(jì)算機(jī)為整個(gè)社會(huì)帶來(lái)了前所未有的變革，信息化成為社會(huì)發(fā)展的大趨勢(shì)?，F(xiàn)代生活的快節(jié)奏，迅速、及時(shí)、準(zhǔn)確、有效的信息傳遞、處理，使得人類社會(huì)充斥了大量以計(jì)算機(jī)或以計(jì)算機(jī)處理器為主的系統(tǒng)及網(wǎng)絡(luò)。系統(tǒng)一體化趨勢(shì)，使網(wǎng)絡(luò)化成為了整個(gè)信息社會(huì)的核心。與此同時(shí)，人們認(rèn)識(shí)到計(jì)算機(jī)在給現(xiàn)代社會(huì)注入強(qiáng)大生命力同時(shí)，不可避免的成為對(duì)手攻擊的重點(diǎn)對(duì)象。攻擊與反攻擊，成為信息社會(huì)中敵對(duì)雙方利用互聯(lián)網(wǎng)為作戰(zhàn)平臺(tái)，展開斗爭(zhēng)的重要手段。而我國(guó)信息安全的前景，并不引人樂觀。企業(yè)信息安全面臨

5、的主要威脅信息安全的威脅主要來(lái)自信息網(wǎng)絡(luò)上的非法操作，其威脅是多種多樣的，并隨著時(shí)間推移和技術(shù)的發(fā)展發(fā)生著變化，這些威脅既有針對(duì)信息運(yùn)用系統(tǒng)物理環(huán)境的攻擊破壞，也有對(duì)信息系統(tǒng)軟件和信息資源的“軟”攻擊。主要表現(xiàn)為：信息泄露、完整性破壞、業(yè)務(wù)拒絕和非法使用。信息安全的威脅主要來(lái)自五種類型的威脅源：計(jì)算機(jī)病毒、網(wǎng)絡(luò)“黑客”和蓄意入侵、內(nèi)部失竊和反叛、預(yù)置陷阱以及有組織、有預(yù)謀的計(jì)算機(jī)犯罪等。 1計(jì)算機(jī)病毒 計(jì)算機(jī)病毒是一種能自身繁殖和自動(dòng)隱藏、自動(dòng)傳輸?shù)挠?jì)算機(jī)程序，具有傳染性、潛伏性、隱蔽性和破壞性四大特點(diǎn)，可以通過(guò)磁盤、網(wǎng)絡(luò)、電子郵件等進(jìn)行傳播，其對(duì)計(jì)算機(jī)上的信息資源、系統(tǒng)運(yùn)行環(huán)境有極大的破壞作

6、用。計(jì)算機(jī)病毒的傳播是人為的，其傳播速度是非?？斓?，隨著網(wǎng)絡(luò)的不斷普及，網(wǎng)上計(jì)算機(jī)病毒的入侵已成為威脅信息安全的首要大敵。 2 網(wǎng)絡(luò)“黑客”和蓄意入侵 網(wǎng)絡(luò)黑客是指哪些極具有天賦的計(jì)算機(jī)程序編程能力和運(yùn)用其程序能力的人員，為了某種利益，試圖非法進(jìn)入一些企業(yè)的要害部門，獲取資料、修改程序、攻擊網(wǎng)絡(luò)系統(tǒng)，使系統(tǒng)部分或全部崩潰。 3內(nèi)部失竊和反叛 信息系統(tǒng)的內(nèi)部人員由于失誤造成敏感信息的外泄，或?yàn)槔嫠?qū)動(dòng)而為競(jìng)爭(zhēng)對(duì)手提供情報(bào)服務(wù)是信息安全面臨的另一種威脅。諸如：物理環(huán)境的安全防范不嚴(yán)，對(duì)廢棄的載有敏感信息的媒體未進(jìn)行安全的銷毀，或無(wú)意中把重要的信息泄露給其它人員，或?yàn)楦?jìng)爭(zhēng)對(duì)手收買，出賣重要情報(bào)信息

7、或提供攻擊的途徑等。這些是造成信息安全威脅的人為因素。 4預(yù)置陷阱 預(yù)置陷阱是在信息系統(tǒng)的設(shè)計(jì)或使用的軟硬件中，人為地預(yù)設(shè)一些陷阱，以干擾或改變計(jì)算機(jī)的正常運(yùn)用，甚至使計(jì)算機(jī)系統(tǒng)崩潰。信息安全面臨的各種威脅之中，預(yù)置陷阱是最危險(xiǎn)、最可怕的，也是最難以防范的。陷阱一般分為三類：“后門”、“病毒”和特定程序?！昂箝T”又叫“陷阱門”是軟件系統(tǒng)的設(shè)計(jì)者為了調(diào)試系統(tǒng)的需要，預(yù)先在軟件中設(shè)計(jì)的一種入口。這個(gè)入口可以讓軟件設(shè)計(jì)者或熟悉軟件系統(tǒng)并知悉這一入口的人員，通過(guò)入口超越系統(tǒng)保護(hù)，進(jìn)入系統(tǒng)，竊取數(shù)據(jù)或攻擊系統(tǒng)。如美國(guó)微軟公司開發(fā)的“視窗軟件WIN98”就曾預(yù)留有“后門”?！安《尽笔擒浖O(shè)計(jì)人員按一系列特

8、定條件設(shè)計(jì)的隱藏在軟件工具中的特定程序，遇到條件滿足后，就會(huì)發(fā)作，使計(jì)算機(jī)系統(tǒng)出現(xiàn)混亂或陷入癱瘓。特定程序也是隱藏在計(jì)算機(jī)程序中具有偽裝功能的程序代碼，通常用以在設(shè)置的系統(tǒng)中執(zhí)行預(yù)置者賦予的特定功能。如“特洛伊木馬”，這種網(wǎng)上特定程序能夠安全隱藏在用戶計(jì)算機(jī)中，把用戶的授權(quán)指令等以電子郵件的方式發(fā)給程序的設(shè)計(jì)者。軟件陷阱是通過(guò)網(wǎng)絡(luò)或使用軟件工具進(jìn)行傳播，由于其依附的軟件載體是用戶的使用系統(tǒng)或工具，難以甚至無(wú)法檢測(cè)，因而危害性更大。 5有組織的計(jì)算機(jī)犯罪 信息網(wǎng)絡(luò)在方便人類社會(huì)生活的同時(shí)也帶來(lái)了很大的負(fù)面影響，反政府組織、宗教極端組織、犯罪團(tuán)伙或個(gè)人利用網(wǎng)絡(luò)傳播、宣傳、搜索違反法律和社會(huì)道德的信

9、息，進(jìn)行顛覆活動(dòng)或敲詐勒索；造謠、蠱惑民眾，導(dǎo)致社會(huì)不穩(wěn)定，也給國(guó)家安全帶來(lái)嚴(yán)重的威脅。信息網(wǎng)絡(luò)日益普及和完善，企業(yè)在各個(gè)領(lǐng)域也越來(lái)越依賴信息網(wǎng)，同時(shí)信息網(wǎng)絡(luò)易受攻擊的薄弱環(huán)節(jié)也越發(fā)明顯，任何國(guó)家、組織和個(gè)人，都有可能掌握攻擊的方法和技巧，企業(yè)的重要信息和重大的戰(zhàn)略資源都有可能受到來(lái)自信息網(wǎng)絡(luò)上的直接攻擊。防火墻簡(jiǎn)介1、防火墻的應(yīng)用防火墻是在兩個(gè)網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng)包括硬件和軟件目的是不被非法用戶侵入，本質(zhì)上它遵循的是一種允許或禁止業(yè)務(wù)來(lái)往的網(wǎng)絡(luò)通信安全機(jī)制也就是提供可控的過(guò)濾網(wǎng)絡(luò)通訊只允許授權(quán)的通訊基于Internet 體系應(yīng)用有兩大部分：Intranet 和Extranet。 Int

10、ranet是借助Internet 的技術(shù)和設(shè)備在Internet 上面構(gòu)造出企業(yè)WWW 網(wǎng)，可放入企業(yè)全部信息；而Extranet 是在電子商務(wù)互相合作的需求下，用Intranet 間的通道，可獲得其它體系中部分信息，按照一個(gè)企業(yè)的安全體系可以在以下位置部署防火墻通過(guò)防火墻保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)的安全2防火墻的部署位置： 局域網(wǎng)內(nèi)的VLAN 之間控制信息流向時(shí) Intranet 與Internet 之間連接時(shí) 在廣域網(wǎng)系統(tǒng)中，由于安全的需要，總部的局域網(wǎng)可以將各分支機(jī)構(gòu)的局域網(wǎng)看成不安全的系統(tǒng)，（通過(guò)公網(wǎng)ChinaPac ChinaDDN FarmeRelay 等連接）在總部的局域網(wǎng)和各分支機(jī)構(gòu)連接

11、時(shí)，采用防火墻隔離并利用VPN 構(gòu)成虛擬專網(wǎng)。 總部的局域網(wǎng)和分支機(jī)構(gòu)的局域網(wǎng)是通過(guò)Internet 連接，需要各自安裝防火墻，并利用VPN 組成虛擬專網(wǎng) 在遠(yuǎn)程用戶撥號(hào)訪問(wèn)時(shí)加入虛擬專網(wǎng)3防火墻應(yīng)該具備以下特點(diǎn)： 廣泛的服務(wù)支持，通過(guò)將動(dòng)態(tài)的、應(yīng)用層的過(guò)濾能力和認(rèn)證相結(jié)合，可實(shí)現(xiàn)WWW 瀏覽器、HTTP 服務(wù)器、FTP 等 對(duì)私有數(shù)據(jù)的加密支持，保證通過(guò)Internet 進(jìn)行虛擬私人網(wǎng)絡(luò)和商務(wù)活動(dòng)不受損壞 客戶端認(rèn)證只允許指定的用戶訪問(wèn)內(nèi)部網(wǎng)絡(luò)或選擇服務(wù)，是企業(yè)本地網(wǎng)與分支機(jī)構(gòu)、商業(yè)伙伴和移動(dòng)用戶間安全通信的附加部分 反欺騙、欺騙是從外部獲取網(wǎng)絡(luò)訪問(wèn)權(quán)的常用手段，它使數(shù)據(jù)包好似來(lái)自網(wǎng)絡(luò)內(nèi)部4

12、防火墻應(yīng)該具有以下功能 所有進(jìn)出網(wǎng)絡(luò)的通訊流都應(yīng)通過(guò)防火墻 所有穿過(guò)防火墻的通訊流都必須有安全策略和計(jì)劃的確認(rèn)和授權(quán) 理論上說(shuō)防火墻自身是不能被攻破的企業(yè)網(wǎng)絡(luò)系統(tǒng)安全需求2.1 安全需求公司網(wǎng)絡(luò)系統(tǒng)安全目標(biāo)是為了保證公司網(wǎng)絡(luò)系統(tǒng)及與之連接的內(nèi)部生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)的安全，同時(shí)提供內(nèi)部辦公網(wǎng)絡(luò)系統(tǒng)到Internet的安全接入，使內(nèi)部員工能安全訪問(wèn)網(wǎng)上的信息資源。網(wǎng)絡(luò)接入安全管理方案需要實(shí)現(xiàn)的基本功能要求如下： 具有網(wǎng)絡(luò)隔離功能和代理服務(wù)/地址映射功能； 具有時(shí)限、流量、地址、用戶、應(yīng)用、節(jié)點(diǎn)等控制管理功能； 具有用戶對(duì)Internet訪問(wèn)目標(biāo)的監(jiān)控和記錄功能； 具有網(wǎng)絡(luò)安全通訊功能； 具有實(shí)時(shí)入侵檢

13、測(cè)、識(shí)別、記錄和自動(dòng)響應(yīng)功能； 支持流行的各種應(yīng)用，包括音視頻多媒體應(yīng)用環(huán)境； 安全管理策略可由管理人員進(jìn)行定義、修改； 防火墻對(duì)用戶和應(yīng)用應(yīng)具有透明性，不會(huì)明顯減低應(yīng)用系統(tǒng)的效率； 防火墻應(yīng)具有歷史記錄、審計(jì)和統(tǒng)計(jì)、報(bào)表功能； 防火墻的安裝、維護(hù)工作量相對(duì)少、難度低； 防火墻本身及所依賴的運(yùn)行平臺(tái)價(jià)格合理，投資少、見效快。 防火墻支持與其他的安全產(chǎn)品建立VPN通道。2.2安全需求分析根據(jù)安全需求分析，公司網(wǎng)絡(luò)系統(tǒng)安全改造工程完成后，網(wǎng)絡(luò)應(yīng)能做到如下幾點(diǎn)： 設(shè)置NAT模式，能保護(hù)內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)，防止非法用戶入侵內(nèi)部網(wǎng)絡(luò)，造成破壞和損失。 對(duì)網(wǎng)絡(luò)帶寬速率不能有任何的影響。因公司網(wǎng)站提供大量設(shè)計(jì)圖

14、片和視頻服務(wù)，防火墻對(duì)帶寬的質(zhì)量應(yīng)有保障。 通過(guò)在公司的各部門網(wǎng)絡(luò)前端設(shè)置防火墻，保護(hù)其內(nèi)部資料數(shù)據(jù)的可靠，防止內(nèi)部數(shù)據(jù)被非法竊取。 設(shè)置認(rèn)證功能，通過(guò)對(duì)用戶的身份認(rèn)證，控制用戶對(duì)服務(wù)器進(jìn)行訪問(wèn)。 有完整的歷史記錄，能查看每一個(gè)經(jīng)過(guò)防火墻的連接，包括日期、源地址、目的地址等，并有識(shí)別并阻斷攻擊功能。 能提供集中的、圖形化的安全管理功能和系統(tǒng)狀態(tài)查看器，方便管理人員進(jìn)行定義、修改。盡量減少維護(hù)工作量。 設(shè)計(jì)的網(wǎng)絡(luò)安全解決方案能提供網(wǎng)絡(luò)入侵檢測(cè)、識(shí)別、記錄和自動(dòng)響應(yīng)報(bào)警功能。 將公司對(duì)內(nèi)提供的郵件、文件服務(wù)的服務(wù)器統(tǒng)一放置在防火墻后端，徹底將網(wǎng)絡(luò)內(nèi)外隔開，同時(shí)具有防止IP Spoofing，SYN

15、 flood，,Ping of death 手段的攻擊。 安全解決方案應(yīng)考慮日后系統(tǒng)升級(jí)和冗余的工作。 安全解決方案應(yīng)考慮搭建安全的VPN通道，保護(hù)重要部門之間文件傳輸通過(guò)vpn實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)陌踩踩鉀Q方案設(shè)計(jì)4.1 方案說(shuō)明根據(jù)以上，我們建議在公司計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的網(wǎng)關(guān)防火墻采用Netscreen-SSG 20/140，并作如下解決方案：將公司的數(shù)據(jù)服務(wù)器和財(cái)務(wù)服務(wù)器統(tǒng)一放置在防火墻的Trust區(qū)，內(nèi)部用戶到服務(wù)器將通過(guò)防火墻的安全審查，普通用戶通過(guò)防火墻時(shí)只充許使用數(shù)據(jù)服務(wù)器，訪問(wèn)將通過(guò)嚴(yán)格認(rèn)證，其他的端口將禁止通訊。Netscreen 防火墻可將網(wǎng)絡(luò)分成三個(gè)區(qū)域，Trust(可信任區(qū)

16、，連接服務(wù)器)，Untrust(不信任區(qū)，連接內(nèi)部局域網(wǎng) ),DMZ（中立區(qū)）。將公司業(yè)務(wù)服務(wù)器集中放置在Trust區(qū)，通過(guò)Netscreen防火墻卓越的帶寬管理功能，能針對(duì)不同的區(qū)域、策略和主機(jī)分配固定的帶寬，并可根據(jù)部門工作的需要分配帶寬優(yōu)先權(quán)，公司的財(cái)務(wù)服務(wù)器使用的是最高優(yōu)先級(jí)帶寬的線路，并通過(guò)策略和主機(jī)的設(shè)置分配某些部門帶寬優(yōu)先權(quán)?？赏ㄟ^(guò)Netscreen_20 的實(shí)現(xiàn)服務(wù)的負(fù)載平衡（Load Balancing）功能，合理分配Trust區(qū)的主機(jī)訪問(wèn)負(fù)載，滿足用戶分步投資網(wǎng)絡(luò)服務(wù)器的需求。因Netscreen 防火墻將黑客代碼庫(kù)集成在其可升級(jí)的結(jié)構(gòu)芯片中，所以它對(duì)黑客的多種攻擊手段能做

17、出最快的反應(yīng)，例如著名的DDOS分布式拒絕服務(wù)攻擊（Distributed Denial-Of Service）,Netscreen能讓用戶根據(jù)客戶端主機(jī)發(fā)出的數(shù)據(jù)報(bào)的數(shù)量判斷是否是DDOS 攻擊程序攻擊，并采取措施過(guò)濾掉攻擊包中的源IP地址（盡管這些IP地址可能不是真實(shí)的）。Netscreen 提供多種簡(jiǎn)單有效的功能設(shè)置使用戶能在最快的時(shí)間里做出防護(hù)措施。如關(guān)閉一些不必要的端口服務(wù)，以保障主要的服務(wù)有足夠的帶寬。42 遠(yuǎn)程用戶的接入采用VPN方式接入隨著通訊事業(yè)的發(fā)展，Internet 的廣泛應(yīng)用，利用Internet 公共資源傳輸電子郵件及其它文件信息已經(jīng)成為人們?nèi)粘Ｉ畹囊徊糠郑踩珕?wèn)題

18、也就越來(lái)越值得人們的重視。公司與分公司之間設(shè)置幀中繼專線，財(cái)務(wù)部門之間建立虛擬專用網(wǎng)VPN（ Virtual Private Network） 。通過(guò)加密，實(shí)現(xiàn)安全可靠的信息傳輸。對(duì)于分公司遠(yuǎn)程用戶接入公司內(nèi)部局域網(wǎng)，Netscreen防火墻將提供安全、快速、可靠的VPN接入解決方案，Netscreen 防火墻能提供高速安全的Triple-DES （168bit）線速加密機(jī)制，使用戶的通訊能在一個(gè)最高安全性的通道內(nèi)進(jìn)行。這是其他任何防火墻不能達(dá)到的。NetScreen 提供的VPN 功能，采用點(diǎn)對(duì)點(diǎn)的DES 和3DES 加密，支持人工密鑰管理、自動(dòng)ISAKMP 密鑰管理及用戶認(rèn)證。DES是一種

19、對(duì)稱的保密字加密系統(tǒng)。換而言之，用于加密和解密的密鑰是同一個(gè)（對(duì)稱的）。從標(biāo)準(zhǔn)上講，DES 是受人喜愛的加密機(jī)制，它是一種塊數(shù)據(jù)編碼方案，適合于硬件實(shí)現(xiàn)。SNMP 和SNMP2 及Kerberos 系統(tǒng)都使用DES。NetScreen 的VPN 采用IPsec 協(xié)議。IPsec 作為在IPv4 及IPv6 上的加密通訊框架已為大多數(shù)廠商所支持。IPsec 主要提供IP 網(wǎng)絡(luò)層上的加密通訊能力。該標(biāo)準(zhǔn)為每個(gè)IP 包增加了新的包頭格式，AH （Authentication Header） 及ESP（Encapsulating Security Payload ）。IPsec 使用ISAKMP/Oa

20、kley 及SKIP 進(jìn)行密鑰交換，管理及加密協(xié)商SA （Security Association）。通過(guò)在遠(yuǎn)程用戶的PC機(jī)上安裝Netscreen Vpn Remote Client軟件和netscreen SSG 140建立VPN通道，可以實(shí)現(xiàn)遠(yuǎn)程用戶和總部之間的安全通訊。它將與公司總部的netscreen SSG 140建立VPN 加密通道，通信的數(shù)據(jù)將在通道里得到保護(hù)，其他用戶將無(wú)法偵聽攔截?cái)?shù)據(jù)包。實(shí)現(xiàn)數(shù)據(jù)保密。4.3 產(chǎn)品說(shuō)明Netscreen-SSG 20簡(jiǎn)介Juniper 網(wǎng)絡(luò)公司 SSG 20系列解決方案的關(guān)鍵特性與優(yōu)勢(shì)包括：高性能專用平臺(tái)，提供廣域網(wǎng)連接性與安全性，還可以保護(hù)

21、高速局域網(wǎng)免受內(nèi)部網(wǎng)絡(luò)層和應(yīng)用層攻擊 公認(rèn)的安全性和局域網(wǎng)/廣域網(wǎng)路由功能，可以提供合并設(shè)備并降低IT成本 一套全面的統(tǒng)一威脅管理 (UTM) 安全特性，可防止網(wǎng)絡(luò)和應(yīng)用層攻擊，同時(shí)阻斷基于內(nèi)容的攻擊。UTM 安全特性包括： 狀態(tài)檢測(cè)防火墻，可進(jìn)行接入控制并阻斷網(wǎng)絡(luò)層攻擊 IPS (深層檢測(cè)防火墻)，可阻斷應(yīng)用層攻擊 基于卡巴斯基實(shí)驗(yàn)室掃描引擎的最佳防病毒特性，包括網(wǎng)頁(yè)仿冒、間諜軟件和廣告軟件防護(hù)等功能，可在病毒、特洛伊木馬和其他惡意軟件損害網(wǎng)絡(luò)之前阻斷它們 與賽門鐵克合作阻斷已知的垃圾郵件和網(wǎng)頁(yè)仿冒攻擊的發(fā)送方，提供防垃圾郵件功能 通過(guò)SurfControl 提供Web 過(guò)濾，阻止訪問(wèn)已知的

22、惡意下載網(wǎng)站或其他不適當(dāng)?shù)?web 內(nèi)容 站點(diǎn)間 IPSec VPN，可在辦事處之間建立安全通信 拒絕服務(wù)(DoS) 攻擊牽制功能 面向H.323、SIP、SCCP 和 MGCP 的應(yīng)用層網(wǎng)關(guān)，用于檢測(cè)并保護(hù)VoIP 流量 固定的局域網(wǎng)接口和廣域網(wǎng)接口選項(xiàng)，包括RS-232 Serial/AUX、V.92、T1、E1、ISDN BRI S/T 和ADSL 2+ 接口與路由靈活性，應(yīng)對(duì)不斷變化的網(wǎng)絡(luò)連接性需求和未來(lái)的增長(zhǎng)需求 多種高可用性選項(xiàng)，可以在一秒鐘之內(nèi)在接口或設(shè)備之間進(jìn)行故障切換 可自定義的安全區(qū)，能夠在不增加額外的硬件開銷的情況下提高接口密度，降低策略創(chuàng)建成本，控制未經(jīng)驗(yàn)證的用戶和攻擊

23、，并簡(jiǎn)化防火墻/VPN的管理 通過(guò)圖形Web UI、CLI或NetScreen-Security Manager 集中管理系統(tǒng)進(jìn)行管理 基于策略的管理，允許集中的端到端生命周期管理 Netscreen-SSG 140簡(jiǎn)介Juniper網(wǎng)絡(luò)公司SSG140的主要特性和優(yōu)勢(shì)包括：專用的高性能平臺(tái)，除提供廣域網(wǎng)連接和安全性外，還可保護(hù)高速局域網(wǎng)免遭內(nèi)部網(wǎng)絡(luò)和應(yīng)用級(jí)攻擊 公認(rèn)的安全性和局域網(wǎng)/廣域網(wǎng)路由功能，允許整合產(chǎn)品并降低 IT 成本 一套完整的統(tǒng)一威脅管理(UTM)安全特性，用于防止網(wǎng)絡(luò)和應(yīng)用級(jí)攻擊，同時(shí)阻斷基于內(nèi)容的攻擊。UTM 的安全特性包括： 狀態(tài)檢測(cè)防火墻，用于執(zhí)行訪問(wèn)控制和阻斷網(wǎng)絡(luò)級(jí)攻

24、擊 IPS (深層檢測(cè)防火墻)，可阻斷應(yīng)用級(jí)攻擊 基于 Kaspersky Lab 掃描引擎的一流防病毒功能，包括防網(wǎng)頁(yè)仿冒、防間諜軟件和防廣告軟件功能，可在病毒、特洛伊木馬和其他惡意軟件破壞網(wǎng)絡(luò)之前阻斷它們 與賽門鐵克合作開發(fā)了防垃圾郵件功能，用于阻斷已知垃圾郵件發(fā)送者和網(wǎng)頁(yè)仿冒者發(fā)送的郵件 使用SurfControl的Web過(guò)濾功能，可阻止用戶訪問(wèn)已知的惡意下載網(wǎng)站或其他不適宜的Web內(nèi)容 站點(diǎn)間的 IPSec VPN，用于在分支機(jī)構(gòu)之間建立安全的通信連接 拒絕服務(wù)(DoS)防御功能 面向 H.323、SIP、SCCP 和 MGCP 的應(yīng)用層網(wǎng)關(guān)，用于檢測(cè)和保護(hù) VoIP 流量 種類繁多的

25、模塊化局域網(wǎng)和廣域網(wǎng)接口選項(xiàng) 自動(dòng)配置VPN (AC VPN)，允許在集中星形拓?fù)渲凶詣?dòng)建立并斷開遠(yuǎn)程分支機(jī)構(gòu)之間的 VPN 隧道 多個(gè)高可用性選項(xiàng)，可在接口或設(shè)備之間實(shí)現(xiàn)一秒內(nèi)的故障切換 可定制的安全區(qū)，用于在不增加硬件成本的情況下增加接口密度、降低策略創(chuàng)建成本、牽制非法用戶和攻擊、簡(jiǎn)化防火墻/VPN的管理 通過(guò)圖形 Web UI、CLI 或 NetScreen-Security Manager 中央管理系統(tǒng)進(jìn)行管理 基于策略的管理支持集中的、端到端的生命周期管理 VPN技術(shù)的應(yīng)用網(wǎng)絡(luò)系統(tǒng)總部和各分支機(jī)構(gòu)之間采用公網(wǎng)網(wǎng)絡(luò)進(jìn)行連接，其最大的弱點(diǎn)在于缺乏足夠的安全性。企業(yè)網(wǎng)絡(luò)接入到公網(wǎng)中，暴露出

26、兩個(gè)主要危險(xiǎn)：來(lái)自公網(wǎng)的未經(jīng)授權(quán)的對(duì)企業(yè)內(nèi)部網(wǎng)的存取。 當(dāng)網(wǎng)絡(luò)系統(tǒng)通過(guò)公網(wǎng)進(jìn)行通訊時(shí)，信息可能受到竊聽和非法修改。 完整的集成化的企業(yè)范圍的VPN安全解決方案，提供在公網(wǎng)上安全的雙向通訊，以及透明的加密方案以保證數(shù)據(jù)的完整性和保密性。VPN技術(shù)的原理:VPN系統(tǒng)使分布在不同地方的專用網(wǎng)絡(luò)在不可信任的公共網(wǎng)絡(luò)上安全的通信，它采用復(fù)雜的算法來(lái)加密傳輸?shù)男畔?，使得敏感的?shù)據(jù)不會(huì)被竊聽。其處理過(guò)程大體是這樣： 要保護(hù)的主機(jī)發(fā)送明文信息到連接公共網(wǎng)絡(luò)的VPN設(shè)備； VPN設(shè)備根據(jù)網(wǎng)管設(shè)置的規(guī)則，確定是否需要對(duì)數(shù)據(jù)進(jìn)行加密或讓數(shù)據(jù)直接通過(guò)。 對(duì)需要加密的數(shù)據(jù)，VPN設(shè)備對(duì)整個(gè)數(shù)據(jù)包進(jìn)行加密和附上數(shù)字簽名。

27、 VPN設(shè)備加上新的數(shù)據(jù)報(bào)頭，其中包括目的地VPN設(shè)備需要的安全信息和一些初始化參數(shù)。 VPN 設(shè)備對(duì)加密后的數(shù)據(jù)、鑒別包以及源IP地址、目標(biāo)VPN設(shè)備IP地址進(jìn)行重新封裝，重新封裝后的數(shù)據(jù)包通過(guò)虛擬通道在公網(wǎng)上傳輸。 當(dāng)數(shù)據(jù)包到達(dá)目標(biāo)VPN設(shè)備時(shí)，數(shù)據(jù)包被解封裝，數(shù)字簽名被核對(duì)無(wú)誤后，數(shù)據(jù)包被解密。 IPSec作為在IPv4及IPv6上的加密通訊框架，已為大多數(shù)廠商所支持。IPSec主要提供IP網(wǎng)絡(luò)層上的加密通訊能力。IPSec提供了兩種加密通訊手段：IPSec Tunnel：整個(gè)IP封裝在Ipsec-gateway之間的通訊。Ipsec transport：對(duì)IP包內(nèi)的數(shù)據(jù)進(jìn)行加密，使用原來(lái)的源地址和目的地址。IPsec Tunnel 不要求修改已配備好的設(shè)備和應(yīng)用，網(wǎng)絡(luò)黑客不能看到實(shí)際的通訊源地址和目的地址