juniperisg2000网络安全解决方案建议书

ISG2000网络安全解决方案建议书第1页共26页JuniperISG2000网络安全解决方案建议书美国Juniper网络公司ISG2000网络安全解决方案建议书第2页共26页目录1前言..............................................................................................................................................31.1范围定义..............................................................................................................................31.2参考标准..............................................................................................................................32系统脆弱性和风险分析.............................................................................................................42.1网络边界脆弱性和风险分析..............................................................................................42.2网络内部脆弱性和风险分析..............................................................................................43系统安全需求分析......................................................................................................................53.1边界访问控制安全需求......................................................................................................53.2应用层攻击和蠕虫的检测和阻断需求..............................................................................73.3安全管理需求......................................................................................................................84系统安全解决方案......................................................................................................................94.1设计目标..............................................................................................................................94.2设计原则..............................................................................................................................94.3安全产品的选型原则........................................................................................................104.4整体安全解决方案............................................................................................................114.4.1访问控制解决方案....................................................................................................114.4.2防拒绝服务攻击解决方案........................................................................................134.4.3应用层防护解决方案................................................................................................184.4.4安全管理解决方案....................................................................................................215方案中配置安全产品简介.......................................................................................................225.1JUNIPER公司介绍..............................................................................................................225.2JUNIPERISG2000系列安全网关......................................................................................25ISG2000网络安全解决方案建议书第3页共26页1前言1.1范围定义本文针对的是XXX网络的信息安全问题，从对象层次上讲，它比较全面地囊括了从物理安全、网络安全、系统安全、应用安全到业务安全的各个层次。原则上与信息安全风险有关的因素都应在考虑范围内，但为了抓住重点，体现主要矛盾，在本文主要针对具有较高风险级别的因素加以讨论。从安全手段上讲，本文覆盖了管理和技术两大方面，其中安全管理体系包括策略体系、组织体系和运作体系。就XXX的实际需要，本次方案将分别从管理和技术两个环节分别给出相应的解决方案。1.2参考标准XXX属于一个典型的行业网络，必须遵循行业相关的保密标准，同时，为了保证各种网络设备的兼容性和业务的不断发展需要，也必须遵循国际上的相关的统一标准，我们在设计XXX的网络安全解决方案的时候，主要参考的标准如下：NASIATF3.1美国国防部信息保障技术框架v3.1ISO15408/GB/T18336信息技术安全技术信息技术安全性评估准则，第一部分简介和一般模型ISO15408/GB/T18336信息技术安全技术信息技术安全性评估准则，第二部分安全功能要求ISO15408/GB/T18336信息技术安全技术信息技术安全性评估准则，第三部分安全保证要求加拿大信息安全技术指南,1997ISO17799第一部分,信息安全管理CodeofPracticeforInformationSecurityManagementGB/T18019-1999包过滤防火墙安全技术要求；ISG2000网络安全解决方案建议书第4页共26页GB/T18020-1999应用级防火墙安全技术要求；国家973信息与网络安全体系研究G1999035801课题组IATF《信息技术保障技术框架》。2系统脆弱性和风险分析2.1网络边界脆弱性和风险分析网络的边界隔离着不同功能或地域的多个网络区域，由于职责和功能的不同，相连网络的密级也不同，这样的网络直接相连，必然存在着安全风险，下面我们将对XXX网络就网络边界问题做脆弱性和风险的分析。XXX的网络主要存在的边界安全风险包括：XXX网络与各级单位的连接，可能遭到来自各地的越权访问、恶意攻击和计算机病毒的入侵；例如一个不满的内部用户，利用盗版软件或从Internet下载的黑客程序恶意攻击内部站点，致使网络局部或整体瘫痪；内部的各个功能网络通过骨干交换相互连接，这样的话，重要的部门或者专网将遭到来自其他部门的越权访问。这些越权访问可能包括恶意的攻击、误操作等等，但是它们的后果都将导致重要信息的泄漏或者是网络的瘫痪。2.2网络内部脆弱性和风险分析XXX内部网络的风险分析主要针对XXX的整个内网的安全风险，主要表现为以下几个方面：内部用户的非授权访问；XXX内部的资源也不是对任何的员工都开放的，也需要有相应的访问权限。内部用户的非授权的访问，更容易造成资源和重要信息的泄漏。内部用户的误操作；由于内部用户的计算机造作的水平参差不齐，对于应用软件的理解也各不相同，如果一部分软件没有相应的对误操作的防范措施，极容易给ISG2000网络安全解决方案建议书第5页共26页服务系统和其他主机造成危害。内部用户的恶意攻击；就网络安全来说，据统计约有70％左右的攻击来自内部用户，相比外部攻击来说，内部用户具有更得天独厚的优势，因此，对内部用户攻击的防范也很重要。设备的自身安全性也会直接关系到XXX网络系统和各种网络应用的正常运转。例如，路由设备存在路由信息泄漏、交换机和路由器设备配置风险等。重要服务器或操作系统自身存在安全的漏洞，如果管理员没有及时的发现并且进行修复，将会为网络的安全带来很多不安定的因素。重要服务器的当机或者重要数据的意外丢失，都将会造成XXX内部的业务无法正常运行。安全管理的困难，对于众多的网络设备和网络安全设备，安全策略的配置和安全事件管理的难度很大。3系统安全需求分析通过对上面XXX网络的脆弱性和风险的分析，我们认为整个XXX网络的安全建设目前还比较简单，存在着一定的安全隐患，主要的安全需求体现为以下几个方面：边界访问控制安全需求，网络级防病毒安全需求、入侵行为检测安全需求、安全管理需求等，下面我们将继续上几章的方法，分别在边界安全需求，内网安全需求环节就这几个关键技术进行描述。3.1边界访问控制安全需求防火墙是实现网络逻辑隔离的首选技术，在XXX的网络中，既要保证在整个网络的连通性，又要实现不同网络的逻辑隔离。针对XXX网络的具体情况，得到的防火墙的需求包括以下几个方面：先进的安全理念支持基于安全域的策略设定，让用户能够更好的理解防火墙的应用目的。ISG2000网络安全解决方案建议书第6页共26页访问控制防火墙必须能够实现网络边界的隔离，具有基于状态检测的包过滤功能，能够实现针对源地址、目的地址、网络协议、服务、时间、带宽等的访问控制，能够实现网络层的内容过滤，支持网络地址转换等功能。高可靠性由于防火墙是网络中的重要设备，意外的当机都会造成网络的瘫痪，因此防火墙必须是运行稳定，故障率低的系统，并且要求能够实现双机的热备份，实现不间断的网络服务。日志和审计要求防火墙能够对重要关键资源的使用情况应进行有效的监控，防火墙系统应有较强的日志处理能力和日志分析能力，能够实现日志的分级管理、自动报表、自动报警功能，同时希望支持第三方的日志软件，实现功能的定制。身份认证防火墙