juniper方案模板

Juniper防火墙实施方案2009-2-12信德远致科技有限公司相福斌项目方案书目录1、客户简介.....................................................................................................................................32、项目需求分析.............................................................................................................................32.1、项目背景介绍..........................................................................................................32.2、原拓扑......................................................................................................................42.3、网络需求描述..........................................................................................................43、网络规划设计.............................................................................................................................43.1、项目设备需求..........................................................................................................43.2、拓扑规划..................................................................................................................53.3、设备简介..................................................................................................................54、全局技术介绍.............................................................................................................................84.1、Juniper防火墙管理方式介绍.................................................................................84.2、Juniper防火墙运行模式介绍.................................................................................94.3、Juniper防火墙安全区域介绍.................................................................................94.4、Juniper防火墙虚拟路由技术介绍.........................................................................94.5、Juniper防火墙支持路由协议介绍.......................................................................104.6、Juniper防火墙防攻击安全技术介绍...................................................................104.7、Juniper防火墙安全策略介绍...............................................................................184.8、高可用性热备份协议............................................................................................19项目方案书1、客户简介2、项目需求分析2.1、项目背景介绍XX公司网络内部网络现有一台JUNIPERNS-50防火墙，由于设备已经比较老旧，对日益增加的电脑数，NS-50已无法满足现有网络的需求，而且由于NS-50已停产，所以无法通过升级的方式实现更多检测与网络防御的功能。项目方案书2.2、原拓扑2.3、网络需求描述2.3.1、要求更换一台新的JUNIPER防火墙设备部署在公司网络的internet出口处，对公司出广域网流量进行隔离保护。2.3.2、开启防病毒与入侵检测系统，对公司内部网络的电脑进行保护，提供网络中的安全性。3、网络规划设计3.1、项目设备需求基于以上情况，需要更换防火墙等安全设备，对网络安全进行控制，保证网络的安全可靠的运行。项目方案书3.2、拓扑规划拓扑描述：3.2.1、计划在公司网络的internet出口处更换一台JUNIPERSSG550M防火墙，防火墙上联ISP线路，下联公司内部网络路由器。3.2.2、启用AV防病毒功能，对进出网络的流量进行扫描，同时还启用DI入侵检测功能，对流量进行监控，一旦发现可疑流量即可屏蔽该流量，确保了网络的安全。3.2.3、由于是更换新的防火墙，所以原防火墙的配置可以导入至新防火墙内，最大限度的减少了更换防火墙时对整个公司网络的影响。3.3、设备简介JuniperSSG550M防火墙概述Juniper网络公司的安全业务网关500系列（SSG）是一种新型的专用安全设备，这些设备将高性能、安全性和局域网/广域网连接完美地组合起来，可以用于地区和分支办事处部署。产品提供一套全面的统一威胁管理（UTM）安全特性，包括状态防火墙、IPSecVPN、IPS、防病毒（包括防间谍软件、防广告软件、防网页仿冒）、防垃圾邮件和Web过滤等，可防止出入分支办事处的流量免遭蠕虫、间谍软件、特洛伊木马和恶意软件等安全攻击。SSG500系列产品还提供强劲的路由引擎来补充强大的UTM安全特性，可以作为传统的分支办事处路由器部署，也可部署成防火墙和路由的综合产品，以降低前期购置和后期运行成项目方案书本。SSG520/SSG520M:SSG520和SSG520M提供超过650Mbps的防火墙流量和300Mbps的IPSecVPN。SSG550/SSG550M:SSG550和SSG550M提供超过1Gbps的IMIX防火墙流量和500Mbps的IPSecVPN。SSG550支持冗余电源，并兼容NEBS。对地区/分支办事处、中型企业和服务供应商来说，如果他们希望拥有一个安全平台，能够保护他们的WAN和高速内部网络，而同时还要通过高级别的系统和接口模块化扩展该平台的投资回报，那么，SSG500系列便是理想的选择。特性与优势Juniper网络公司SSG500系列解决方案的关键特性与优势包括：高性能专用平台，提供广域网连接性与安全性，还可以保护高速局域网免受内部网络层和应用层攻击将安全和局域网/广域网路由功能组合在一起，可以提供合并设备并降低IT成本的能力一套全面的统一威胁管理(UTM)安全特性，可防止网络和应用层攻击，同时阻断基于内容的攻击。UTM安全特性包括：状态检测防火墙，可进行接入控制并阻断网络层攻击IPS（深层检测防火墙），可阻断应用层攻击基于卡巴斯基实验室扫描引擎的最佳防病毒特性，包括网页仿冒、间谍软件和广告软件防护等功能，可在病毒、特洛伊木马和其他恶意软件损害网络之前阻断它们与赛门铁克合作阻断已知的垃圾邮件和网页仿冒攻击的发送方，提供防垃圾邮件功能通过SurfControl提供Web过滤，阻止访问已知的恶意下载网站或其他不适当的web内容站点间IPSecVPN，可在办事处之间建立安全通信拒绝服务(DoS)攻击牵制功能面向H.323、SIP、SCCP和MGCP的应用层网关，用于检测并保护VoIP流量全面的局域网和广域网接口，支持串行、T1/E1、DS3、10/100/1000、SFP和FE接口与路由灵活性，应对不断变化的网络连接性需求和未来的增长需求多种高可用性选项，可以在一秒钟之内在接口或设备之间进行故障切换可自定义的安全区，能够在不增加额外的硬件开销的情况下提高接口密度，降低策略创建成本，控制未经验证的用户和攻击，并简化防火墙/VPN的管理通过图形WebUI、CLI或NetScreen-SecurityManager集中管理系统进行管理基于策略的管理，允许集中的端到端生命周期管理技术规格特性/容量SSG520SSG550接口数4x10/100/10004x10/100/1000可信接口中的最多IP地址数无限无限物理接口模块（PIM）扩展插槽66增强的PIM扩展插槽24项目方案书特性/容量SSG520SSG550广域网接口选项串口,T1,E1,DS3串口,T1,E1,DS3局域网接口选项SFP,FE,10/100/1000SFP,FE,10/100/1000最大吞吐量650+MbpsFW600MbpsIMIXFW300MbpsVPN300MbpsIPS1+GbpsFW1GbpsIMIXFW500MbpsVPN500MbpsIPS每秒传输的防火墙数据包数(64字节)300,000600,000最多会话数64,000128,000最多VPN隧道数VPNTunnels5001,000最多策略数1,0004,000最多虚拟局域网数125150最多安全区数6060最多虚拟路由器数58支持的广域网封装帧中继、多链路帧中继、PPP、多链路PPP、HDLC帧中继、多链路帧中继、PPP、多链路PPP、HDLC支持的路由协议OSPF,BGP,RIPv1/v2OSPF,BGP,RIPv1/v2支持的高可用性模式主用/备用主用/备用主用/主用升级到JUNOS8.0仅SSG520M(需付费)仅SSG520M(需付费)统一威胁管理/内容安全性(1)IPS（深层检测防火墙）是是防病毒功能(1)是是特征数据库100,000+100,000+扫描的协议POP3,SMTP,HTTP,IMAP,FTPPOP3,SMTP,HTTP,IMAP,FTP防间谍软件是是防广告软件是是防键盘记录是是项目方案书特性/容量SSG520SSG550防垃圾邮件是是集成Web过滤是是外部Web过滤(2)是是(1)统一威胁管理（UTM）安全特性（IPS/深层检测、防病毒防垃圾邮件和Web过滤）需按年度从Juniper网络公司单独订购。年度订购提供特征更新及相关支持。UTM安全特性需要采用高配置内存选项。(2)重定向Web过滤将流量发送到副服务器，因此需要从Websense或SurfControl单独购买Web过滤许可4、全局技术介绍4.1、Juniper防火墙管理方式介绍Juniper防火墙可使用三种管理方式对其进行管理，分别是webUI、CLI命令行、NSM网管软件，CLI方式有三种：telnet、SSH、console控制口。webUI即通过pc上的IE浏览器即入ip进入，telnet、SSH及console的进入