FW-ISG2000防火墙方案

1.1 防火墙技术比较

通过对目前网络安全系统应用现状的分析，可以看出，用户需要的是性能稳定、运行高速的防火墙产品，以保证应用的业务连续性。

我们觉得，在进行防火墙选择时需要考虑以下几个方面  是否选择硬件或软件防火墙；

 是否选择包过滤、代理或状态防火墙；

1.1.1 防火墙平台分析

目前的防火墙从使用平台上有硬件防火墙、软件防火墙两种。

硬件防火墙 软件防火墙 用专用芯片处理数据包，CPU只作管理运行在通用操作系统上的能安全控制存取访之用。 使用专用的操作系统平台，避免了通用性操作系统的安全性漏洞。 问的软件，性能依靠于计算机CPU,内存等。 基于众所周知的通用操作系统（如WINDOWS, LINUX, UNIX等），对底层操作系统的安全依赖性很高。 由于操作系统平台的限制，极易造成网络带宽高带宽，高吞吐量，真正线速防火墙。 瓶颈 即实际带宽与理论值可以达到一致。 实际所能达到的带宽通常只有理论值的20%--70%。 管理简单，快捷，更提供Web方式管理。 管理复杂，与系统有关，要求维护人员必须熟悉各种工作站及操作系统的安装及维护。 硬件防火墙有可分为ASIC架构、NP架构和X86架构三种。

ASIC架构 ASIC防火墙通过专门设计的ASIC芯片逻辑进行硬件加速处理，非常适合对吞吐量和时延指标要求较高的电信级大流量的处理。 NP架构 NP是介于两者之间的技术，使用NP开发的难度和灵活性都介于ASIC和x86构架之间。 x86架构的产品已经发展多年，但其性能发展却受到体系X86架构 结构的制约，作为通用的计算平台，x86的结构层次较多，不易优化，且往往会受到PCI总线的带宽限制。

1.1.2 防火墙实现方式分析

防火墙实现方式有包过滤、应用代理和状态检测三种。

检查每个在网络间被传送的IP数据包中的内容，并根据它包过滤 们的地址及指定的应用服务来决定接受或拒绝这个数据包。 在网络应用层上建立协议过滤和转发功能。它针对特定的应用代理 网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。 只在同一台主机上打开一个限时的窗口回应该数据包，并且通过保留前一个数据包的信息（比如，“state”数据），状态检测 状态检测防火墙可以快速的确认符合授权流通标准的数据包，这使它们本身的运行非常快速。

性能比较如下

速度/性能 成熟性/保护 灵活性/新服务或应用程序 1.2 系统设计概述

状态检测 高 高 高 应用代理 中等 高 低 包过滤 高 低 中等 Juniper防火墙产品均为基于ASIC芯片的状态检测型硬件防火墙。 Juniper的NetScreen-ISG 2000是基于下一代体系结构而完全由Juniper公司设计的面向应用安全的高性能硬件防火墙，其中包括一个第4代安全ASIC，即GigaScreen3、高速微处理器和可扩展的安全模块，可以提供要求最高的网络安全区控制需要的可预测的多千兆位性能，集成了一流的深层检测防火墙、VPN和DoS防护解决方案，因此可以实现安全、可靠的连接和网络及应用级防护功能来保护关键的大流量网络分段。NetScreen-ISG 2000的硬件结构示意图如下：

各模块的功能如下：

1、管理模块：管理模块上有2个1Ghz的PowerPC的CPU，以及1－2GB的内存，主要对会话的第一个数据包进行处理，双 CPU 结构实现了并行处理，提高了整体性能和安全保护能力，策略查找通过FPGA芯片实现。

2、ASIC芯片模块：上有GigaScreen3 的ASIC芯片和512MB的SDRAM，Juniper的硬件防火墙的最新一代安全 ASIC 技术，具有突破性的硬件性能，可达4 Gbps

防火墙吞吐，具有多重内嵌处理器支持新功能的加速，对会话的后续数据包进行稳定的高速转发而不占用管理模块的CPU处理资源；同时抗拒绝服务攻击也基于ASIC芯片实现硬件处理。

3、安全模块：可选项，可配置0－3块。安全模块其实是刀片式IDP，上有2个1Ghz的PowerPC的CPU，以及2GB的内存，让防火墙具备基于单独专用硬件的对应用层流量进行入侵检测和防护处理的能力。

第 二 章 防火墙系统设计

2.1 Juniper特点-强大的ASIC功能

Juniper的安全机制采用ASIC，在硬件中处理防火墙访问策略和加密算法，这方面运算的速度是软件类方案不能相比的；同时它还可以省出中央处理器资源用于管理数据流。这种安全加密的ASIC更可与Juniper的ScreenOS操作系统和系统软件紧密地集成起来，与其他基于通用的商用操作系统的安全产品相比，Juniper产品消除了不必要的软件层和安全漏洞。Juniper将安全功能提升到系统层次，更可以节省建立额外平台带来的开支。目前，其他采用PC或工作站作为平台的软件类方案，往往令系统性能大打折扣。

正是由于采用了高性能的专用ASIC芯片，所以Juniper的安全产品的性能不仅仅在实验室网络环境下都能够发挥出高水平，在实际的生产网络环境中同样可以保持高性能。ISG2000对64byte小包的吞吐在2Gbps以上，1518Byte的大包吞吐达4Gbps。

2.2 Juniper特点-应用层攻击防护

为进一步提高网络和应用的安全性，Juniper的防火墙上均配置了深层检测（Deep Inspection）服务，以提供应用层级别的攻击防护。

Juniper的深层检测（DI）防火墙被设计用来对Internet上常见的协议（如HTTP, SMTP, IMAP, POP, FTP和DNS等）的应用层保护。对这些协议，深层检测（DI）防火墙采用和数据接收方相同的方式来理解应用层信息。为了精确地理解应用层信息，深层检测（DI）防火墙实施包碎片重组，次序重组，去除无用信息和信息正常化处理。一旦深层检测（DI）防火墙按这些方法重组出了网络流量，它就用协议异常检测和服务域攻击特征匹配的方法来对流量里的攻击进行防护。 作为Juniper最新一代防火墙，ISG2000还提供可扩展的内部插槽，可以插1-3块硬件安全模块（需要NS-ISG-2000-IKT和NS-ISG-SEC），提供高性能的完整的入侵检测和防护（IPS）功能。采用硬件模块实施应用层入侵检测和防护时性能可以达到2Gbps，并且攻击特征库达3600个以上。Juniper网络公司ISG2000

中的应用层防护模块先进的攻击防护功能具有以下特点：

 多种检测方法，包括复合签名、状态签名、协议异常以及后门检测。  开放式签名格式允许管理员查看攻击字符串如何匹配攻击签名，并根据需

求对签名进行编辑。这种理解和定制级别允许管理员定制攻击签名，以满足独特的攻击要求。

 全面的签名定制通过提供更高的控制能力，以适应签名的特定要求，从而

增强检测独特攻击的能力。

o 复合签名：能够将状态签名和协议异常结合到单个攻击对象中，以

检测单个会话中的复杂攻击，从而提高检测速度。

o 400多个定制参数和Perl式的常规表达式：能够定制签名或创建

完全定制的签名。

2.3 Juniper特点-网络层攻击防护

Juniper的防火墙上均配置了防30多种网络层攻击的功能，尤其是ISG2000防火墙，具备硬件防攻击的能力，在抗攻击的同时不影响防火墙的性能。以下是两种防御机制的介绍：

 SYN Attack（SYN 攻击）：当网络中充满了会发出无法完成的连接请求的

SYN 封包，以至于网络无法再处理合法的连接请求，从而导致拒绝服务(DoS) 时，就发生了SYN 泛滥攻击。防火墙可以采用Syn Proxy和Syn Cookie两种机制进行防御，其中Syn Proxy机制里是先对数据包进行策略匹配，匹配通过的syn包如果每秒超过了阀值（阀值可以基于目的地址和端口、或目的地址、或源地址进行设置），则开启防御机制，新的syn包就由防火墙做应答syn/ack，并放入队列，等待应答ack是否超时，超时则丢弃；Syn Cookie机制则是完全无连接状态的，每秒的syn包超过阀值就开启防御机制，防火墙做syn的应答syn/ack，并在syn/ack应答里嵌入加密的cookie，如果接收到的ack里有该cookie，则是正常连接。  Limit session（限制会话）：NetScreen 设备可限制由单个IP 地址(源

或目的)建立的会话数量。例如，如果从同一客户端发送过多的请求，就能耗尽Web 服务器上的会话资源。此选项定义了每秒钟NetScreen 设备可以为单个IP 地址建立的最大会话数量。（缺省阀值为每个IP 地址每秒

128个会话。）对源地址进行回话数的限制可以避免感染Nimda等病毒的服务器发出太多的回话请求避免防火墙的回话表被填满。对目的地址进行回话数的限制则可以防止DDoS的攻击，使得目标服务器得到太多的虚假的连接请求。

2.4 防火墙实施网络安全隔离与访问控制

XX网DMZ区出口配置2台相同配置的ISG2000 的防火墙（2台防火墙间有HA连接）。如果配置为路由模式，Juniper的防火墙可实现主/主方式的负载分担（如果流量很大，峰值超过单台防火墙的处理能力）或主备方式（如果流量不大，峰值不超过单台防火墙的处理能力）；如果配置为透明模式，则可实现主备方式。根据防火墙所处位置、实际流量、实施管理方便性的考虑，建议对这两台防火墙采用路由模式下的主备方式。ISG2000防火墙配置了4个GE光口，其中1个GE口配置成HA端口，另外的2个GE口做数据接口，分别接上联和下联的交换机。

路由模式下可以实施更多的功能，如：逻辑子接口终结Vlan，IPsec VPN的终结，路由等；

基于安全区的安全配置

由于ISG2000防火墙处在xxDMZ区出口的边界的位置，所以在防攻击上需要针对安全区来进行防网络层和应用层攻击的设置。

基于安全区可以设置以下的防攻击内容：       

SYN Attack（SYN 攻击） ICMP Flood（ICMP 泛滥） UDP Flood（UDP 泛滥）

Port Scan Attack（端口扫描攻击） Limit session（限制会话） SYN-ACK-ACK Proxy 保护 SYN Fragment（SYN 碎片）

                     

SYN and FIN Bits Set（SYN 和FIN 位的封包） TCP Packet Without Flag（无标记的TCP 封包） FIN Bit With No ACK Bit（有FIN 位无ACK 位） ICMP Fragment（ICMP 碎片） Ping of Death

Address Sweep Attack（地址扫描攻击） Large ICMP Packet（大的ICMP 封包） Tear Drop Attack（撕毁攻击）

Filter IP Source Route Option（过滤IP 源路由选项） Record Route Option（记录路由选项） IP Security Option（IP 安全性选项）

IP Strict Source Route Option（IP 严格源路由选项） Unknown Protocol（未知协议） IP Spoofing（IP 欺骗） Bad IP Option（坏的IP 选项） IP Timestamp Option（IP 时戳选项） Loose Source Route Option IP Stream Option（IP 流选项） WinNuke Attack（WinNuke 攻击） Land Attack

Malicious URL Protection（恶意URL保护）

Block Java/ActiveX/ZIP/EXE Component(阻断/ActiveX/ZIP/EXE)

  

Deny Fragment（阻断碎片） Fragment Reassembly（碎片重组） Aggressive Timing out（连接超时加速）

基于策略的安全配置

需要根据服务器提供服务的情况配置相应的策略，Juniper公司的 ISG2000防火墙在定义策略时，主要需要设定源IP地址、目的IP地址、网络服务以及防火墙的动作。在设定网络服务时，Juniper公司的 ISG2000防火墙已经内置预设了大量常见的网络服务类型，同时，也可以由客户自行定义网络服务。

在客户自行定义通过防火墙的服务时，需要选择网络服务的协议，是UDP、TCP还是其它，需要定义源端口或端口范围、目的端口或端口范围、网络服务在无流量情况下的超时定义等。因此，通过对网络服务的定义，以及IP地址的定义，使ISG2000防火墙的策略细致程度大大加强，安全性也提高了。

除了定义上述这些主要参数以外，在策略中还可以定义用户的认证、在策略里定义是否要做地址翻译、带宽管理等功能。通过这些主要的安全元素和附加元素的控制，可以让系统管理员对进出防火墙的数据流量进行严格的访问控制，达到保护内网系统资源安全的目的。

如果采用扩展的应用层防护模块，则在实施应用层安全防护上，可以采用两种模式：active 模式和Inline_Tap模式，由于攻击检测本身所具有的误报性，建议用户在使用ISG2000系统的应用层保护模块的时候，可以采用如下的配置步骤：

1．通过防火墙安全策略的定制，将需要进行应用层攻击检测和防护的流

量传给应用层防护模块，对于其他的无关紧要的网络数据流量，可以不需要通过应用层保护模块，只通过防火墙的检测就可以保证其安全性，这样的配置可以保证在将敏感数据进行了攻击检测的同时，最大限度的保证网络的性能，提高网络吞吐量，减少网络延迟。 2．设备部署初期，对于需要检测的流量，我们首先可以将应用层防护模

块采用Inline_Tap模式，这样的话，网络数据就会在通过防火墙检测后，直接进行转发，而紧紧是复制一遍到应用层保护模块，这个时候应用层保护模块相当于一个旁路的检测设备，仅仅对攻击进行报警，而不会对数据流有任何的影响。在这个时期，我们可以通过调整攻击特征码，自定制攻击特征等手段，来减少网络攻击的漏报率和误

报率，提高攻击检测的准确性。

3．当攻击检测的准确率达到一定的程度的时候，我们可以将应用层防护

模块改为采用Active模式，Active模式的情况下，数据包在经过防火墙检测后，会接着进行应用层的检测，如果存在攻击，则进行报警或阻挡，然后再进行数据报的转发。在这个时期，我们可以对于一些比较肯定和威胁很大的攻击，在规则中配置成阻断攻击。如果发现这种攻击，我们可以在线的进行阻挡，对于其他的攻击，可以暂时采用仅仅报警的方式，继续修改相关的攻击特征码，最大限度的提高攻击检测的准确性。

4．当攻击特征码优化到误报率很低的程度后，我们对大部分攻击都可以

采用在线阻挡的模式，这样的话，就可以完全实现ISG2000应用层防护模块的全部功能，大大减少了网络管理员安全响应额时间和工作量。

IPsec 的配置

对于一些重要的服务器或网络设备，如果需要通过承载网对其进行配置修改、调试，可以考虑利用防火墙的IPSec VPN功能，通过IPsec VPN终结在防火墙的端口，允许相应的协议（如telnet）通过IPsec VPN加密的方式通过防火墙，从而进一步提高安全性。

如果需要对防火墙进行基于snmp的统一网络管理，也可以应用IPsec VPN,将信息加密传输到相应的网管平台上。

如果需要通过telnet或http方式明文管理防火墙（防火墙支持基于加密的https和SSH的加密管理），可以考虑使用IPsec VPN将所有的防护会话内容加密。

网络管理

在防火墙系统的管理上，有分散和集中两种方式。NetScreen设备在管理方面的实现很受用户欢迎。

分散方式让用户分别管理每台防火墙。优点是符合大多数人的思维习惯，管

理灵活。命令行方式，可以通过Console接口、Telnet（23）或安全的SCS（22）方式对设备进行管理、排查故障等。命令行方式可以完成所有的配置、检查、排错等工作。浏览器方式，可以使用户使用通用的Web界面对设备进行配置、查询。浏览器方式支持HTTP（80）和HTTPS（443）。NetScreen浏览器管理方式实用性

很好，具有良好的用户反馈。所有管理接口使用的端口号可以根据需要改变。

NetScreen支持多级用户权限管理（Root/All/Read-Only），支持在线升级，支持恢复出厂设置，支持配置的备份和恢复，可以实现所有的防火墙功能管理。

单机管理的分散方式在大型网络应用中存在较大的缺点，许多资源的定义重复（如地址本、协议等），相应提高了整体的管理成本；其次，当下属企业较多时，由于各自制定安全策略，存在安全隐患较大，同时，当出现安全问题时，由于没有实现统一监控，很难判断问题出现在何处，从而不能及时解决问题。

集中方式属于可选方式，从全局的角度对所有防火墙实现集中的管理，集中制定安全策略，这将很好的管理多台防火墙和ISG2000的内部扩展硬件安全模块。

NetScreen防火墙可实现通过NSM专用网管工具集中管理。NetScreen的安全管理系统NSM具有集中的设备配置/维护、故障/事件管理、基于角色的监控、使用跟踪以及报表等功能。NetScreen-NSM提供了中央配置管理功能，可以高效地把数百条、甚至数千条策略分发到各NetScreen设备或设备群组。

NetScreen-NSM系列的关键性能在于它能够通过简便操作、直观的策略管理用户界面，迅速为设备完成部署。用户只需一次性地定义一条策略，然后将其映射采用到多个设备中。 简言之，NSM为设备部署提供高度易操作性与灵活性，减少管理工作。

NSM的报表分析功能使它更加有价值。通过集中的日志收集、存储、分析、报表，可以提供专业的日志处理功能，并根据用户的喜好生成灵活的报告方式以及趋势分析。

NSM提供对设备的集中、实时的监控，以及集中的设备维护如升级等。 NSM的专业特点还在于它可以将管理者的权限进行详细的限定，实现基于角色的多级别管理和授权。 2.5 HA方案实施要点

Juniper防火墙的冗余连接有以下几种形式： 

主动/被动：

有冗余，配置和维护简便；根据防火墙所处位置、实际流量、实施管理方便性、以及本次采用异构防火墙互连的考虑，本次实施建议此方案。 

主动/主动：

配置维护复杂，有冗余，双机同时工作，仅能容忍1个故障点

 主动/主动(全网状)：

有冗余，双机同时工作，最多容忍3个故障点，网络结构较复杂，可以检测切换非相邻设备的故障。

ISG2000防火墙实施HA的方式依靠的是NetScreen冗余协议NSRP，类似于VRRP但有一定区别，现详细介绍如下：

Juniper为了实现更安全、更有效的防火墙冗余体系，开发了专有的防火墙HA工作的协议NSRP，NSRP协议借鉴了VRRP协议，而且弥补了VRRP协议的不足，是针对安全设备的HA协议。NSRP实现了：

①在HA组成员之间镜像配置，在发生故障切换时确保正确的行为。 ②可以在HA组中维护所有活动会话和VPN隧道。

③故障切换算法根据系统健康状态确定哪个系统是主系统，把状态与相邻系统连接起来或监控从本系统到远端的路径。

④无论活动会话和VPN隧道的数量有多少，故障检测和切换到备用系统可以在低于一秒时间内完成。

⑤整个系统的防火墙处理能力提高一倍（在双主动的情况下）。

⑥NetSctreen-ISG2000更支持全网状的A-A HA，避免低级的网络故障导致NetScreen防火墙的不可用。

NetScreen-ISG2000防火墙设备通过GE端口来做HA心跳口，来实现NSRP。以上的故障切换均可在小于1秒内完成，并且对用户流量透明。具体切换的触发因素和检测方式列表如下：

故障描述

NetScreen 保护的故障 数据端口故障 (物理层和链路层) HA端口 电源故障 设备完全掉电

ScreenOS 系统故障导致流量不通过但端口是up的 (layer 3 故障)

NSRP / NetScreen 保

护

冗余数据端口 冗余HA端口 冗余电源

心跳信号 心跳信号

相邻设备故障

完全掉电和不提供服务 路由器故障 端口故障 设备故障 应用故障 交换机故障 端口故障 设备故障 应用故障

管理员控制的设备维护和down机 多设备故障

NetScreen 和周围设备在不同路径故障 环境故障

物理接线故障 电路故障

IP 路径检测

链路监测

IP 路径检测&链路监测 IP 路径检测

链路监测 链路监测 IP 路径检测 IP 路径检测

冗余端口

链路监测

心跳信号, 多电源, 链路监测, IP路径检测

此外，由于实施了NetScreen 的冗余协议NSRP，包括VPN、地址翻译等多种应用的实时信息都得到同步，即对VPN连接、地址翻译连接的切换也是在小于1秒完成，所以在实施时具备很强的灵活性，适应了各种网络应用的情况。而且查错较为简单。

实施主/备方式的示意图如下：

通过使用“NetScreen 冗余协议 (NSRP)”创建一个虚拟安全设备 (VSD) 组0，具有自己的虚拟安全接口 (VSI)。设备 A 充当 VSD 组 0 的主设备，设备 B 充当 VSD 组0 的备份设备。上图是一台三层交换机，但是如果是两台三层交换机，而且三层交换机和防火墙之间用三层路由连接，两台三层交换机之间应运行VRRP。

如果HA不是单独的VLAN或直联，可以通过加密和认证保障所有 NSRP 流量的安全。

第 三 章

课程名称 INSG 5.0 Implementing NetScreen Security Gateways（NetScreen专家认证）

高级培训课程简介

内容简介 培训

备注 学习防火墙的使用，管理和配置，创建和修改VPN。 INSG Implementing NetScreen Security Gateways（NetScreen专家认证） 课程简介

INSG5.0是ScreenOS5.0一系列课程中最基础的一门，它教学员们管理、配置、执行NetScren防火墙的多个安全域和虚拟路由一些基本的和必须的概念；学员们将结合实验环境学习使用不同的接口配置Juniper防火墙以及多级管理员配置Juniper防火墙策略、使用手动和自动IKE方式配置基于策略的VPN和基于路由的VPN和用户认证。 培训对象：

需要进行基本配置的Juniper防火墙系统管理员、安全管理员及网络工程师，以及希望获得Juniper安全管理员认证的人。

学员基础：理解网络概念，包括tcp/ip、网桥、交换和路由 课程内容：

防火墙概念

1. Juniper全线安全产品的功能、性能介绍 2. 防火墙在NAT、Louter模式下的配置

3. 防火墙ScreenOS管理；接口管理、防火墙策略的导入、导出 4. 如何配置日志，syslog日志分析

5. Remote Client VPN配置，使用VLAN1接口配置和管理防火墙的透明模式 6. 如何生成和配置使用定义的安全域

7. 如何指派一个安全域到一个虚拟路由中和指派一个接口到一个安全域中

8. 配置多重级别的用户管理防火墙 9. 配置IP环境下正确地路由表 10. 配置防火墙允许和拒绝流量

11. 配置MIP和VIP（即一对一和一对多映射） 12. 配置基于路由方式的策略和VPNs 13. 使用手工秘钥和自动秘钥配置VPN隧道 14. 配置用户认证

15. 在防火墙和远程客户端使用自动秘钥配置VPN