1、<p><b>　　網(wǎng)絡(luò)安全解決方案</b></p><p>　　用戶現(xiàn)狀與需求分析</p><p><b>　　用戶現(xiàn)狀</b></p><p>　　TCL公司現(xiàn)在的網(wǎng)絡(luò)使用JUNIPER SSG550M的防火墻，該防火墻使用已有幾年了使用一直很穩(wěn)定?，F(xiàn)由于業(yè)務(wù)的不斷的發(fā)展，公司的網(wǎng)絡(luò)規(guī)模也越來越大，其性能已

2、經(jīng)不能滿足使用需求了，故需求更換性能更高的防火墻。</p><p><b>　　需求分析</b></p><p>　　從TCL有限公司的目前網(wǎng)絡(luò)狀況來看，需要規(guī)劃的網(wǎng)絡(luò)狀況如下：</p><p>　　網(wǎng)關(guān)處需要有防火墻設(shè)備，保護內(nèi)部電腦免受來自互聯(lián)網(wǎng)的各種威脅</p><p>　　網(wǎng)關(guān)處部署防火墻設(shè)備容易引起單點故障，所

3、我們建議使用兩臺同型防火墻作雙機熱備。</p><p>　　由于大部分應(yīng)用來自內(nèi)網(wǎng)，因此內(nèi)網(wǎng)到服務(wù)器之間應(yīng)該由防火墻建立專有的區(qū)域保護服務(wù)器避免受到來自內(nèi)網(wǎng)的攻擊。</p><p>　　從上面的分析結(jié)果可以看出，需要解決上述問題,是此次方案的設(shè)計目標(biāo),本方案的設(shè)計目標(biāo)如下：</p><p>　　網(wǎng)關(guān)處架設(shè)兩臺專業(yè)的防火墻做HA，使用防火墻連接到互聯(lián)網(wǎng)，使本地網(wǎng)絡(luò)免受

4、一些來自互聯(lián)網(wǎng)的攻擊、威脅。</p><p>　　對內(nèi)網(wǎng)用戶訪問外部的應(yīng)用作限制．同時防火墻應(yīng)具備極強的防止四層以上攻擊的入侵檢測功能，以保證內(nèi)外網(wǎng)的安全隔離。</p><p>　　使用防火墻IPS功能模塊.對內(nèi)網(wǎng)、外網(wǎng)的出入數(shù)據(jù)作檢測，預(yù)防網(wǎng)絡(luò)攻擊行為。</p><p>　　防火墻網(wǎng)絡(luò)安全方案設(shè)計</p><p>　　針對以上需求分析及實現(xiàn)

5、的設(shè)計目標(biāo)，我們設(shè)計了以下的方案來完成網(wǎng)絡(luò)連接。此方案既能解決當(dāng)前面臨的互聯(lián)網(wǎng)安全問題，也能滿足當(dāng)前以及未來的應(yīng)用需要。</p><p><b>　　方案拓樸</b></p><p><b>　　拓樸描述</b></p><p>　　1、在網(wǎng)關(guān)處部署兩臺JUNIPER ISG 1000防火墻作HA。</p>

6、<p>　　2、防火墻下面分別針對每個部門建立一個處立的區(qū)域。</p><p>　　3、每個區(qū)域之間通過策略來控制通信。</p><p><b>　　方案實施</b></p><p>　　由于現(xiàn)在公司的現(xiàn)狀我們本次項目的實施暫時部署一臺防火墻，到第二期時再部署另一臺防火墻，與本期的防火墻作HA。</p><p>

7、;　　Juniper ISG1000 產(chǎn)品介紹</p><p><b>　　產(chǎn)品概述</b></p><p>　　Juniper推出業(yè)內(nèi)第一款整合了多種最佳網(wǎng)絡(luò)邊界安全功能的整合式安全網(wǎng)關(guān) Juniper-ISG 1000（Integrated Security Gateway）, 可在有效防護來自網(wǎng)絡(luò)層及應(yīng)用層的威</p><p>　　脅的同

8、時，為企業(yè)和運營商的網(wǎng)絡(luò)提供最優(yōu)化的性能并降低網(wǎng)絡(luò)復(fù)雜性。</p><p>　　目前業(yè)內(nèi)其他安全解決方案提供商的整合方式往往以犧牲網(wǎng)絡(luò)性能為代價，并增加了網(wǎng)絡(luò)復(fù)雜性。而Juniper的最新專屬定制的系統(tǒng)采用模塊化設(shè)計及獨特的處理架構(gòu) – 包括基于Juniper的新型第四代ASIC芯片的整合了防火墻及VPN功能，不久的將來還可整合完善的入侵檢測與防護(IDP)功能。Juniper-ISG 1000具備卓越的性能，以

9、及靈活性和可擴展性，從而有效抵御今天和未來日益復(fù)雜的網(wǎng)絡(luò)威脅。</p><p>　　Juniper-ISG 1000是企業(yè)、電信運營商和數(shù)據(jù)中心的網(wǎng)管人員的理想選擇，可幫助他們有效應(yīng)對不斷增加且更為隱蔽的網(wǎng)絡(luò)攻擊，同時確保超卓的網(wǎng)絡(luò)性能，平衡有限的網(wǎng)絡(luò)資源和預(yù)算。</p><p>　　世界著名調(diào)研機構(gòu)Infonetics Research的首席分析員 Jeff Wilson表示：“功能整合

10、的安全設(shè)備已是大勢所趨。然而，如果沒有適當(dāng)?shù)脑O(shè)計和功能性的結(jié)合，就會造成網(wǎng)絡(luò)性能或管理的障礙。Juniper處理這一問題時，對整合可能造成的缺陷非常清楚。而Juniper-ISG 1000是成功結(jié)合設(shè)備的管理能力、性能和不同安全功能的良好范例。” </p><p><b>　　獨特的處理架構(gòu)</b></p><p>　　Juniper-ISG 1000具備高達(dá)1Gbp

11、s線速的防火墻速率及1 Gbps 3DES/AES IPSec VPN 速率；支持高達(dá)8個千兆的以太網(wǎng)連接或28個 FE 以太網(wǎng)連接，甚至兩種兼?zhèn)?。還可支持10,000個VPN 通道， 250,000個并發(fā)會話，每秒20,000個新會話。以上增強的性能是通過將幾項靈活的處理功能相結(jié)合實現(xiàn)的：包括高性能雙GHz CPU管理模塊、現(xiàn)場可編程門陣列（FPGA）、以及新一代ASIC芯片GigaScreen3 ASIC。 GigaScreen3

12、ASIC是業(yè)內(nèi)第一個具備千兆速率，硬件加速AES和3DES加密以及對任何大小的數(shù)據(jù)包進(jìn)行千兆以上防火墻監(jiān)測的可編程ASIC芯片。</p><p>　　與上一代相比，第四代ASIC芯片的性能提高了一倍，防火墻包處理速度(pps)高達(dá)每秒300萬，加密數(shù)據(jù)包處理速度高達(dá)每秒150萬，同時處理任何大小的數(shù)據(jù)包均保證傳輸流量的低延遲，這種特性對VoIP等新的應(yīng)用來講非常關(guān)鍵。另外，多重內(nèi)嵌的處理器提升了拒絕服務(wù)式攻擊（D

13、oS）防護及加密碎片的功能，同時具備透過軟件升級而未來進(jìn)行新增功能的特性。</p><p>　　此外，Juniper-ISG 1000系統(tǒng)架構(gòu)的獨特設(shè)計可支持線速防火墻和VPN包處理功能，同時執(zhí)行基于安全策略，將個別會話另行導(dǎo)向特定的安全模塊，以進(jìn)行進(jìn)一步的安全處理，額外的安全處理所需的特定安全模塊的會話重置。GigaScreen 3 ASIC可平衡處理多達(dá)三個安全模塊的所有會話，而每一個模塊都具備雙GHz 中央

14、處理器（CPU）, 一個現(xiàn)場可編程門陣列（FPGAs）及內(nèi)存，以運行入侵檢測與防護（IDP）等額外的安全應(yīng)用 。除了設(shè)計獨特的系統(tǒng)，Juniper-ISG 1000 的用戶還可受益于Juniper的操作系統(tǒng)軟件ScreenOS中的網(wǎng)絡(luò)和安全功能, 其中包括深層監(jiān)測防火墻技術(shù), 基于動態(tài)路由的VPN及虛擬系統(tǒng)功能，還包括對BGP, RIPv2及OSPF路由協(xié)議的支持，從而可簡化多種復(fù)雜環(huán)境下的設(shè)備部署。ISG1000系統(tǒng)中也可以集成IDP

15、（入侵防護）模塊，該模塊采用了多種檢測方法和強大的簽名定制功能，可提供在線攻擊防護功能，來防止惡意攻擊、蠕蟲、病毒和特洛伊等對內(nèi)部網(wǎng)絡(luò)敏感資源的竊取和破壞，可以有效地識別并阻止您網(wǎng)絡(luò)中的攻擊，從而最大限度地縮短處理入侵的時間并降低成本。同時</p><p>　　Juniper亞太區(qū)高級市場總監(jiān)PaulSerrano說：“新推出的具高擴展性的Juniper-ISG1000平臺代表了一個新的產(chǎn)品等級，此類產(chǎn)品可有效防

16、范當(dāng)今日趨復(fù)雜的網(wǎng)絡(luò)層和應(yīng)用層的攻擊，并同時確保最佳的網(wǎng)絡(luò)性能和最簡單的管理操作。其獨特的處理架構(gòu)和模塊化的設(shè)計可實現(xiàn)網(wǎng)絡(luò)性能和安全功能的可擴展性，從而在今天和未來有效確保網(wǎng)絡(luò)安全?！?lt;/p><p><b>　　產(chǎn)品特性和優(yōu)勢</b></p><p><b>　　產(chǎn)品技規(guī)格</b></p><p><b>