網(wǎng)絡(luò)安全解決方案建議書模板

JuniperISG網(wǎng)絡(luò)安全處理方案提議書美國Juniper網(wǎng)絡(luò)企業(yè)目錄TOC\o"1-3"\h\z1 序言 31.1 范圍定義 31.2 參考標(biāo)準(zhǔn) 32 系統(tǒng)脆弱性和風(fēng)險(xiǎn)分析 42.1 網(wǎng)絡(luò)邊界脆弱性和風(fēng)險(xiǎn)分析 42.2 網(wǎng)絡(luò)內(nèi)部脆弱性和風(fēng)險(xiǎn)分析 43 系統(tǒng)安全需求分析 53.1 邊界訪問控制安全需求 53.2 應(yīng)用層攻擊和蠕蟲檢測(cè)和阻斷需求 73.3 安全管理需求 84 系統(tǒng)安全處理方案 94.1 設(shè)計(jì)目標(biāo) 94.2 設(shè)計(jì)標(biāo)準(zhǔn) 94.3 安全產(chǎn)品選型標(biāo)準(zhǔn) 104.4 整體安全處理方案 114.4.1 訪問控制處理方案 114.4.2 防拒絕服務(wù)攻擊處理方案 134.4.3 應(yīng)用層防護(hù)處理方案 184.4.4 安全管了處理方案 215 方案中配置安全產(chǎn)品介紹 225.1 Juniper企業(yè)介紹 225.2 JuniperISG系列安全網(wǎng)關(guān) 25序言范圍定義本文針正確是XXX網(wǎng)絡(luò)信息安全問題，從對(duì)象層次上講，它比較全方面地囊括了從物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全到業(yè)務(wù)安全各個(gè)層次。標(biāo)準(zhǔn)上和信息安全風(fēng)險(xiǎn)相關(guān)原因全部應(yīng)在考慮范圍內(nèi)，但為了抓住關(guān)鍵，表現(xiàn)關(guān)鍵矛盾，在本文關(guān)鍵針對(duì)含有較高風(fēng)險(xiǎn)等級(jí)原因加以討論。從安全手段上講，本文覆蓋了管理和技術(shù)兩大方面，其中安全管理體系包含策略體系、組織體系和運(yùn)作體系。就XXX實(shí)際需要，此次方案將分別從管理和技術(shù)兩個(gè)步驟分別給出對(duì)應(yīng)處理方案。參考標(biāo)準(zhǔn) XXX屬于一個(gè)經(jīng)典行業(yè)網(wǎng)絡(luò)，必需遵照行業(yè)相關(guān)保密標(biāo)準(zhǔn)，同時(shí)，為了確保多種網(wǎng)絡(luò)設(shè)備兼容性和業(yè)務(wù)不停發(fā)展需要，也必需遵照國際上相關(guān)統(tǒng)一標(biāo)準(zhǔn)，我們?cè)谠O(shè)計(jì)XXX網(wǎng)絡(luò)安全處理方案時(shí)候，關(guān)鍵參考標(biāo)準(zhǔn)以下：NASIATF3.1美國國防部信息保障技術(shù)框架v3.1ISO15408/GB/T18336信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)定準(zhǔn)則，第一部分介紹和通常模型ISO15408/GB/T18336信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)定準(zhǔn)則，第二部分安全功效要求ISO15408/GB/T18336信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)定準(zhǔn)則，第三部分安全確保要求加拿大信息安全技術(shù)指南,1997ISO17799第一部分,信息安全管理CodeofPracticeforInformationSecurityManagementGB/T18019-1999包過濾防火墻安全技術(shù)要求；GB/T18020-1999應(yīng)用級(jí)防火墻安全技術(shù)要求；國家973信息和網(wǎng)絡(luò)安全體系研究G課題組IATF《信息技術(shù)保障技術(shù)框架》。系統(tǒng)脆弱性和風(fēng)險(xiǎn)分析網(wǎng)絡(luò)邊界脆弱性和風(fēng)險(xiǎn)分析網(wǎng)絡(luò)邊界隔離著不一樣功效或地域多個(gè)網(wǎng)絡(luò)區(qū)域，因?yàn)槁氊?zé)和功效不一樣，相連網(wǎng)絡(luò)密級(jí)也不一樣，這么網(wǎng)絡(luò)直接相連，肯定存在著安全風(fēng)險(xiǎn)，下面我們將對(duì)XXX網(wǎng)絡(luò)就網(wǎng)絡(luò)邊界問題做脆弱性和風(fēng)險(xiǎn)分析。XXX網(wǎng)絡(luò)關(guān)鍵存在邊界安全風(fēng)險(xiǎn)包含：XXX網(wǎng)絡(luò)和各級(jí)單位連接，可能遭到來自各地越權(quán)訪問、惡意攻擊和計(jì)算機(jī)病毒入侵；比如一個(gè)不滿內(nèi)部用戶，利用盜版軟件或從Internet下載黑客程序惡意攻擊內(nèi)部站點(diǎn)，致使網(wǎng)絡(luò)局部或整體癱瘓；內(nèi)部各個(gè)功效網(wǎng)絡(luò)經(jīng)過骨干交換相互連接，這么話，關(guān)鍵部門或?qū)＞W(wǎng)將遭到來自其它部門越權(quán)訪問。這些越權(quán)訪問可能包含惡意攻擊、誤操作等等，不過它們后果全部將造成關(guān)鍵信息泄漏或是網(wǎng)絡(luò)癱瘓。網(wǎng)絡(luò)內(nèi)部脆弱性和風(fēng)險(xiǎn)分析XXX內(nèi)部網(wǎng)絡(luò)風(fēng)險(xiǎn)分析關(guān)鍵針對(duì)XXX整個(gè)內(nèi)網(wǎng)安全風(fēng)險(xiǎn)，關(guān)鍵表現(xiàn)為以下多個(gè)方面：內(nèi)部用戶非授權(quán)訪問；XXX內(nèi)部資源也不是對(duì)任何職員全部開放，也需要有對(duì)應(yīng)訪問權(quán)限。內(nèi)部用戶非授權(quán)訪問，更輕易造成資源和關(guān)鍵信息泄漏。內(nèi)部用戶誤操作；因?yàn)閮?nèi)部用戶計(jì)算機(jī)造作水平參差不齊，對(duì)于應(yīng)用軟件了解也各不相同，假如一部分軟件沒有對(duì)應(yīng)對(duì)誤操作防范方法，極輕易給服務(wù)系統(tǒng)和其它主機(jī)造成危害。內(nèi)部用戶惡意攻擊；就網(wǎng)絡(luò)安全來說，據(jù)統(tǒng)計(jì)約有70％左右攻擊來自內(nèi)部用戶，相比外部攻擊來說，內(nèi)部用戶含有更得天獨(dú)厚優(yōu)勢(shì)，所以，對(duì)內(nèi)部用戶攻擊防范也很關(guān)鍵。設(shè)備本身安全性也會(huì)直接關(guān)系到XXX網(wǎng)絡(luò)系統(tǒng)和多種網(wǎng)絡(luò)應(yīng)用正常運(yùn)轉(zhuǎn)。比如，路由設(shè)備存在路由信息泄漏、交換機(jī)和路由器設(shè)備配置風(fēng)險(xiǎn)等。關(guān)鍵服務(wù)器或操作系統(tǒng)本身存在安全漏洞，假如管理員沒有立即發(fā)覺而且進(jìn)行修復(fù)，將會(huì)為網(wǎng)絡(luò)安全帶來很多不安定原因。關(guān)鍵服務(wù)器當(dāng)機(jī)或關(guān)鍵數(shù)據(jù)意外丟失，全部將會(huì)造成XXX內(nèi)部業(yè)務(wù)無法正常運(yùn)行。安全管理困難，對(duì)于眾多網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全設(shè)備，安全策略配置和安全事件管理難度很大。系統(tǒng)安全需求分析經(jīng)過對(duì)上面XXX網(wǎng)絡(luò)脆弱性和風(fēng)險(xiǎn)分析，我們認(rèn)為整個(gè)XXX網(wǎng)絡(luò)安全建設(shè)現(xiàn)在還比較簡(jiǎn)單，存在著一定安全隱患，關(guān)鍵安全需求表現(xiàn)為以下多個(gè)方面：邊界訪問控制安全需求，網(wǎng)絡(luò)級(jí)防病毒安全需求、入侵行為檢測(cè)安全需求、安全管理需求等，下面我們將繼續(xù)上幾章方法，分別在邊界安全需求，內(nèi)網(wǎng)安全需求步驟就這多個(gè)關(guān)鍵技術(shù)進(jìn)行描述。邊界訪問控制安全需求防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)邏輯隔離首選技術(shù)，在XXX網(wǎng)絡(luò)中，既要確保在整個(gè)網(wǎng)絡(luò)連通性，又要實(shí)現(xiàn)不一樣網(wǎng)絡(luò)邏輯隔離。針對(duì)XXX網(wǎng)絡(luò)具體情況，得到防火墻需求包含以下多個(gè)方面：優(yōu)異安全理念支持基于安全域策略設(shè)定，讓用戶能夠愈加好了解防火墻應(yīng)用目標(biāo)。訪問控制防火墻必需能夠?qū)崿F(xiàn)網(wǎng)絡(luò)邊界隔離，含有基于狀態(tài)檢測(cè)包過濾功效，能夠?qū)崿F(xiàn)針對(duì)源地址、目標(biāo)地址、網(wǎng)絡(luò)協(xié)議、服務(wù)、時(shí)間、帶寬等訪問控制，能夠?qū)崿F(xiàn)網(wǎng)絡(luò)層內(nèi)容過濾，支持網(wǎng)絡(luò)地址轉(zhuǎn)換等功效。高可靠性因?yàn)榉阑饓κ蔷W(wǎng)絡(luò)中關(guān)鍵設(shè)備，意外當(dāng)機(jī)全部會(huì)造成網(wǎng)絡(luò)癱瘓，所以防火墻必需是運(yùn)行穩(wěn)定，故障率低系統(tǒng)，而且要求能夠?qū)崿F(xiàn)雙機(jī)熱備份，實(shí)現(xiàn)不間斷網(wǎng)絡(luò)服務(wù)。日志和審計(jì)要求防火墻能夠?qū)﹃P(guān)鍵關(guān)鍵資源使用情況應(yīng)進(jìn)行有效監(jiān)控，防火墻系統(tǒng)應(yīng)有較強(qiáng)日志處理能力和日志分析能力，能夠?qū)崿F(xiàn)日志分級(jí)管理、自動(dòng)報(bào)表、自動(dòng)報(bào)警功效，同時(shí)期望支持第三方日志軟件，實(shí)現(xiàn)功效定制。身份認(rèn)證防火墻本身必需支持身份認(rèn)證功效，在簡(jiǎn)單地方能夠?qū)崿F(xiàn)防火墻本身自帶數(shù)據(jù)庫身份認(rèn)證，在大型情況下，能夠支持和如RADIUS等認(rèn)證服務(wù)器結(jié)合使用。易管理性XXX網(wǎng)絡(luò)是一個(gè)大型網(wǎng)絡(luò)，防火墻分布在網(wǎng)絡(luò)各處，所以防火墻產(chǎn)品必需支持集中管理，安全管理員能夠在一個(gè)地點(diǎn)實(shí)現(xiàn)對(duì)防火墻集中管理，策略配置，日志審計(jì)等等。系統(tǒng)安裝、配置和管理盡可能簡(jiǎn)練，安裝便捷、配置靈活、操作簡(jiǎn)單。高安全性作為安全設(shè)備，防火墻本身必需含有高安全性，本身沒有安全漏洞，不開放服務(wù)，能夠抵御多種類型攻擊。針對(duì)防火墻保護(hù)服務(wù)器拒絕服務(wù)攻擊，防火墻能夠進(jìn)行阻擋，而且在阻擋同時(shí)，確保正常業(yè)務(wù)不間斷。高性能作為網(wǎng)絡(luò)接入設(shè)備，防火墻必需含有高性能，不影響原有網(wǎng)絡(luò)正常運(yùn)行，千兆防火墻性能應(yīng)該在900M以上，并發(fā)連接數(shù)要在50萬以上。可擴(kuò)展性系統(tǒng)建設(shè)必需考慮到未來發(fā)展需要，系統(tǒng)必需含有良好可擴(kuò)展性和良好可升級(jí)性。支持標(biāo)準(zhǔn)IP、IPSEC等國際協(xié)議。支持版本在線升級(jí)。易實(shí)現(xiàn)性防火墻能夠很好布署在現(xiàn)有網(wǎng)絡(luò)當(dāng)中，最小改變網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和應(yīng)用設(shè)計(jì)。防火墻要支持動(dòng)態(tài)路由、VLAN協(xié)議、H323協(xié)議等。應(yīng)用層攻擊和蠕蟲檢測(cè)和阻斷需求入侵檢測(cè)關(guān)鍵用于檢測(cè)網(wǎng)絡(luò)中存在攻擊跡象，確保當(dāng)網(wǎng)絡(luò)中存在攻擊時(shí)候，我們能夠在攻擊發(fā)生后果之前能夠發(fā)覺它，而且進(jìn)行有效阻擋，同時(shí)提供具體相關(guān)信息，確保管理員能夠進(jìn)行正確緊急響應(yīng)，將攻擊影響降低到最低程度。它關(guān)鍵需求包含：入侵檢測(cè)和防護(hù)要求能夠?qū)粜袨檫M(jìn)行檢測(cè)和防護(hù)，是對(duì)入侵防護(hù)設(shè)備關(guān)鍵需求，入侵防護(hù)設(shè)備應(yīng)該采取最優(yōu)異檢測(cè)手段，如基于狀態(tài)協(xié)議分析、協(xié)議異常等多個(gè)檢測(cè)手段結(jié)合等等；要求能夠檢測(cè)種類包含：攻擊行為檢測(cè)、異常行為檢測(cè)等等。對(duì)網(wǎng)絡(luò)病毒阻攔因?yàn)楝F(xiàn)在80％以上病毒全部是經(jīng)過網(wǎng)絡(luò)來傳輸，所以為了愈加好進(jìn)行防毒，需要安全設(shè)備能夠在網(wǎng)關(guān)處檢測(cè)而且阻攔基于網(wǎng)絡(luò)傳輸病毒和蠕蟲，而且能夠提供相關(guān)特征立即更新。性能要求內(nèi)部網(wǎng)絡(luò)流量很多，入侵檢測(cè)和防護(hù)需要處理數(shù)據(jù)量也相對(duì)較大，同時(shí)因?yàn)閷?duì)性能要求能夠大大降低對(duì)于攻擊漏報(bào)率和誤報(bào)率，本身安全性要求作為網(wǎng)絡(luò)安全設(shè)備，入侵檢測(cè)系統(tǒng)必需含有很高安全性，配置文件需要加密保留，管理臺(tái)和探測(cè)器之間通訊必需采取加密方法，探測(cè)器要能夠去除協(xié)議棧，而且能夠抵御多種攻擊。服務(wù)要求因?yàn)橄到y(tǒng)漏洞不停出現(xiàn)和攻擊手段不停發(fā)展，要求應(yīng)用層防護(hù)設(shè)備攻擊特征庫能夠立即進(jìn)行更新。以滿足網(wǎng)絡(luò)最新安全需求。日志審計(jì)要求系統(tǒng)能對(duì)入侵警報(bào)信息分類過濾、進(jìn)行統(tǒng)計(jì)或生成報(bào)表。對(duì)用戶端、服務(wù)器端不一樣地址和不一樣服務(wù)協(xié)議流量分析。能夠選擇不一樣時(shí)間間隔生成報(bào)表，反應(yīng)用戶在一定時(shí)期內(nèi)受到攻擊類型、嚴(yán)重程度、發(fā)生頻率、攻擊起源等信息，使管理員隨時(shí)對(duì)網(wǎng)絡(luò)安全情況有正確了解。能夠依據(jù)管理員選擇，定制不一樣形式報(bào)表。安全管理需求安全管理是安全體系建設(shè)極為關(guān)鍵一個(gè)步驟，現(xiàn)在XXX網(wǎng)絡(luò)需要建立針對(duì)多個(gè)安全設(shè)備統(tǒng)一管理平臺(tái)，總體需求以下：安全事件統(tǒng)一監(jiān)控對(duì)于網(wǎng)絡(luò)安全設(shè)備上發(fā)覺安全事件，全部能夠進(jìn)行集中監(jiān)控。而且進(jìn)行對(duì)應(yīng)關(guān)聯(lián)分析，確保管理員能夠經(jīng)過簡(jiǎn)單方法，不需要登陸多個(gè)設(shè)備，就能夠明了現(xiàn)在網(wǎng)絡(luò)中發(fā)生安全事件。安全設(shè)備集中化管理伴隨使用安全產(chǎn)品種類和數(shù)量增加需要不停增加管理和維護(hù)人員，管理成本往往呈指數(shù)級(jí)增加，所以需要對(duì)應(yīng)技術(shù)手段對(duì)這些產(chǎn)品進(jìn)行集中控管。安全響應(yīng)能力提升響應(yīng)能力是衡量一個(gè)網(wǎng)絡(luò)安全建設(shè)水平關(guān)鍵標(biāo)準(zhǔn)，發(fā)覺安全問題和安全事件后，必需能快速找四處理方法并最快速度進(jìn)行響應(yīng)，響應(yīng)方法包含安全設(shè)備自動(dòng)響應(yīng)，聯(lián)動(dòng)響應(yīng)，人工響應(yīng)等等。系統(tǒng)安全處理方案設(shè)計(jì)目標(biāo)XXX網(wǎng)絡(luò)含有很高安全性。本方案關(guān)鍵針對(duì)XXX網(wǎng)絡(luò)，確保XXX內(nèi)網(wǎng)中關(guān)鍵數(shù)據(jù)保密性，完整性、可用性、防抵賴性和可管理性，具體來說可分為以下多個(gè)方面：有效控制、發(fā)覺、處理非法網(wǎng)絡(luò)訪問；保護(hù)在不安全網(wǎng)絡(luò)上數(shù)據(jù)傳輸安全性；能有效預(yù)防、發(fā)覺、處理網(wǎng)絡(luò)上傳輸蠕蟲病毒和其它計(jì)算機(jī)病毒；能有效預(yù)防、發(fā)覺、處理網(wǎng)絡(luò)上存在惡意攻擊和非授權(quán)訪問；合理安全體系架構(gòu)和管理方法；實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)安全系統(tǒng)集中管理；有較強(qiáng)擴(kuò)展性。設(shè)計(jì)標(biāo)準(zhǔn)我們嚴(yán)格根據(jù)國家相關(guān)要求進(jìn)行系統(tǒng)方案設(shè)計(jì)。設(shè)計(jì)方案中遵守設(shè)計(jì)標(biāo)準(zhǔn)為：統(tǒng)一性 系統(tǒng)必需統(tǒng)一規(guī)范、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一接口，使用國際標(biāo)準(zhǔn)、國家標(biāo)準(zhǔn)，采取統(tǒng)一系統(tǒng)體系結(jié)構(gòu)，以保持系統(tǒng)統(tǒng)一性和完整性。實(shí)用性系統(tǒng)能最大程度滿足XXX網(wǎng)絡(luò)需求，結(jié)合XXX網(wǎng)絡(luò)實(shí)際情況，在對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行設(shè)計(jì)和優(yōu)化基礎(chǔ)上進(jìn)行設(shè)計(jì)。優(yōu)異性不管對(duì)業(yè)務(wù)系統(tǒng)設(shè)計(jì)還是對(duì)信息系統(tǒng)和網(wǎng)絡(luò)設(shè)計(jì)，全部要采取成熟優(yōu)異技術(shù)、手段、方法和設(shè)備?？蓴U(kuò)展性系統(tǒng)設(shè)計(jì)必需考慮到未來發(fā)展需要，含有良好可擴(kuò)展性和良好可升級(jí)性。安全性必需建立可靠安全體系，以預(yù)防對(duì)信息系統(tǒng)非法侵入和攻擊。保密性信息系統(tǒng)相關(guān)業(yè)務(wù)信息，資金信息等必需有嚴(yán)格管理方法和技術(shù)手段加以保護(hù)，以免因泄密而造成國家、單位和個(gè)人損失。最高保護(hù)標(biāo)準(zhǔn)系統(tǒng)中包含到多個(gè)密級(jí)資源，按最高密級(jí)保護(hù)易實(shí)現(xiàn)性和可管理性系統(tǒng)安裝、配置和管理盡可能簡(jiǎn)練，安裝便捷，配置靈活，操作簡(jiǎn)單，而且系統(tǒng)應(yīng)含有可授權(quán)集中管理能力。安全產(chǎn)品選型標(biāo)準(zhǔn)XXX網(wǎng)絡(luò)屬于一個(gè)行業(yè)專用網(wǎng)絡(luò)，所以在安全產(chǎn)品選型上，必需慎重，選型標(biāo)準(zhǔn)包含：安全保密產(chǎn)品接入應(yīng)不顯著影響網(wǎng)絡(luò)系統(tǒng)運(yùn)行效率，而且滿足工作要求，不影響正常業(yè)務(wù)；安全保密產(chǎn)品必需滿足上面提出安全需求，確保整個(gè)XXX網(wǎng)絡(luò)安全性。安全保密產(chǎn)品必需經(jīng)過國家主管部門指定測(cè)評(píng)機(jī)構(gòu)檢測(cè)；安全保密產(chǎn)品必需含有自我保護(hù)能力；安全保密產(chǎn)品必需符合國家和國際上相關(guān)標(biāo)準(zhǔn)；安全產(chǎn)品必需操作簡(jiǎn)單易用，便于簡(jiǎn)單布署和集中管理。整體安全處理方案訪問控制處理方案劃分安全區(qū)（SecurityZone）JuniperISG系統(tǒng)防火墻模塊增加了全新安全區(qū)域（SecurityZone）概念，安全區(qū)域是一個(gè)邏輯結(jié)構(gòu)，是多個(gè)處于相同屬性區(qū)域物理接口集合。當(dāng)不一樣安全區(qū)域之間相互通訊時(shí)，必需經(jīng)過事先定義策略檢驗(yàn)才能經(jīng)過；當(dāng)在同一個(gè)安全區(qū)域進(jìn)行通訊時(shí)，默認(rèn)狀態(tài)下許可不經(jīng)過策略檢驗(yàn)，經(jīng)過配置后，也能夠強(qiáng)制進(jìn)行策略檢驗(yàn)，以提升安全性。安全區(qū)域概念出現(xiàn)，使防火墻配置能更靈活同現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)相結(jié)合。以下圖為例，經(jīng)過實(shí)施安全區(qū)域配置，內(nèi)網(wǎng)不一樣部門之間通訊也必需經(jīng)過策略檢驗(yàn)，深入提升系統(tǒng)安全。劃分VSYS為滿足網(wǎng)絡(luò)中心或數(shù)據(jù)中心要求，即網(wǎng)絡(luò)中心或數(shù)據(jù)中心管理員提供防火墻硬件設(shè)備維護(hù)和資源分配，部門級(jí)系統(tǒng)管理員或托管用戶管理員來配置防火墻IP配置和具體策略。Juniper企業(yè)防火墻自500系列起，支持虛擬防火墻技術(shù)，即能夠?qū)⒁粋€(gè)物理防火墻系統(tǒng)虛擬成多個(gè)邏輯防火墻系統(tǒng)，滿足了數(shù)據(jù)中心或網(wǎng)絡(luò)中心硬件系統(tǒng)和管理系統(tǒng)維護(hù)分離要求。Virtual-RouterJuniper企業(yè)防火墻支持虛擬路由器技術(shù)，在一個(gè)防火墻設(shè)備里，將原來單一路由方法下單一路由表，進(jìn)化為多個(gè)虛擬路由器和對(duì)應(yīng)多張獨(dú)立路由表，提升了防火墻系統(tǒng)安全性和IP地址配置靈活性。安全策略定義Juniper企業(yè)ISG系統(tǒng)防火墻模塊在定義策略時(shí)，關(guān)鍵需要設(shè)定源IP地址、目標(biāo)IP地址、網(wǎng)絡(luò)服務(wù)和防火墻動(dòng)作。在設(shè)定網(wǎng)絡(luò)服務(wù)時(shí)，JuniperISG系統(tǒng)防火墻模塊已經(jīng)內(nèi)置預(yù)設(shè)了大量常見網(wǎng)絡(luò)服務(wù)類型，同時(shí)，也能夠由用戶自行定義網(wǎng)絡(luò)服務(wù)。在用戶自行定義經(jīng)過防火墻服務(wù)時(shí)，需要選擇網(wǎng)絡(luò)服務(wù)協(xié)議，是UDP、TCP還是其它，需要定義源端口或端口范圍、目標(biāo)端口或端口范圍、網(wǎng)絡(luò)服務(wù)在無流量情況下超時(shí)定義等。所以，經(jīng)過對(duì)網(wǎng)絡(luò)服務(wù)定義，和IP地址定義，使JuniperISG系統(tǒng)防火墻模塊策略細(xì)致程度大大加強(qiáng)，安全性也提升了。除了定義上述這些關(guān)鍵參數(shù)以外，在策略中還能夠定義用戶認(rèn)證、在策略里定義是否要做地址翻譯、帶寬管理等功效。經(jīng)過這些關(guān)鍵安全元素和附加元素控制，能夠讓系統(tǒng)管理員對(duì)進(jìn)出防火墻數(shù)據(jù)流量進(jìn)行嚴(yán)格訪問控制，達(dá)成保護(hù)內(nèi)網(wǎng)系統(tǒng)資源安全目標(biāo)。防拒絕服務(wù)攻擊處理方案Juniper企業(yè)ISG系統(tǒng)高性能確保它足以抵御現(xiàn)在Internet上流行DDoS攻擊，能夠識(shí)別多達(dá)28種以上網(wǎng)絡(luò)攻擊。在抵御關(guān)鍵分布式拒絕服務(wù)功效方面，Juniper企業(yè)JuniperISG系統(tǒng)支持SYN網(wǎng)關(guān)代理功效，即當(dāng)SYN連接請(qǐng)求超出正常定義范圍時(shí)，NS防火墻會(huì)自動(dòng)開啟SYN網(wǎng)關(guān)功效，代理后臺(tái)服務(wù)器端結(jié)SYN請(qǐng)求并發(fā)出ACK回應(yīng)，直到收到SYN/ACK響應(yīng)，才會(huì)將該連接轉(zhuǎn)發(fā)給服務(wù)器；不然會(huì)將超時(shí)沒有響應(yīng)SYN連接請(qǐng)求丟棄。Juniper企業(yè)NetScreen系列除了支持SYN網(wǎng)關(guān)功效之外，能夠針對(duì)SYN攻擊設(shè)定閥值，只有當(dāng)SYN連接請(qǐng)求超出預(yù)定義閥值時(shí)，才開啟SYN網(wǎng)關(guān)功效。這么能夠有效提升防火墻在正常情況下工作效率。假如防火墻沒有閥值選項(xiàng)，那么用戶面臨選擇是：要么不要SYN防御功效提升性能，要么使用SYN防御功效大大降低在正常工作狀態(tài)下性能。這是其它防火墻產(chǎn)品很不靈活產(chǎn)品設(shè)計(jì)，Juniper企業(yè)JuniperISG系統(tǒng)在二者之間取得了一個(gè)平衡。SYNFlooding當(dāng)主機(jī)中充滿了需要發(fā)出響應(yīng)、無法完成連接SYN請(qǐng)求，以至于主機(jī)無法再處理正當(dāng)SYN連接請(qǐng)求時(shí)，就發(fā)生了SYN泛濫。利用三方封包交換，即常說三方握手，兩個(gè)主機(jī)之間建立TCP連接：A向B發(fā)送SYN數(shù)據(jù)包；B用SYN/ACK數(shù)據(jù)包進(jìn)行響應(yīng)；然后A又用ACK數(shù)據(jù)包進(jìn)行響應(yīng)。SYN泛濫攻擊用偽造IP源地址（不存在或不可抵達(dá)地址）SYN請(qǐng)求來塞滿站點(diǎn)B。B用SYN/ACK數(shù)據(jù)包響應(yīng)這些來自非法地址請(qǐng)求，并等候來自這些地址響應(yīng)ACK數(shù)據(jù)包。因?yàn)镾YN/ACK數(shù)據(jù)包被發(fā)送到不存在或不可抵達(dá)IP地址，所以它們永遠(yuǎn)不會(huì)得到響應(yīng)并最終超時(shí)。經(jīng)過用無法完成TCP連接泛濫攻擊主機(jī)，攻擊者最終會(huì)填滿受害服務(wù)主機(jī)內(nèi)存緩存區(qū)。當(dāng)該緩存區(qū)填滿后，主機(jī)就不能再處理新TCP連接請(qǐng)求，泛濫甚至可能會(huì)破壞受害者操作系統(tǒng)。JuniperISG設(shè)備能夠?qū)γ棵腌娫S可經(jīng)過防火墻SYN數(shù)據(jù)包數(shù)量加以限制。能夠針對(duì)目標(biāo)地址和端口、僅目標(biāo)地址或僅源地址攻擊臨界值設(shè)置閥值。當(dāng)每秒SYN數(shù)據(jù)包數(shù)量超出這些臨界值之一時(shí)，Juniper設(shè)備開始代剪發(fā)送流入SYN數(shù)據(jù)包、用SYN/ACK數(shù)據(jù)包回復(fù)并將不完全連接請(qǐng)求儲(chǔ)存到連接隊(duì)列中。未完成連接請(qǐng)求保留在隊(duì)列中，直到連接完成或請(qǐng)求超時(shí)。在下面示意圖中，已超出了SYN攻擊臨界值，Juniper防火墻開始代理SYN數(shù)據(jù)包。在下一個(gè)示意圖中，經(jīng)過代理連接隊(duì)列已完全填滿，JuniperISG系統(tǒng)正在拒絕流入SYN數(shù)據(jù)包請(qǐng)求。此操作保護(hù)受保護(hù)網(wǎng)絡(luò)中主機(jī)，使其免遭不完整三方握手轟擊。ICMPFlooding當(dāng)有大量ICMP回應(yīng)請(qǐng)求時(shí)，往往會(huì)造成服務(wù)器耗盡資源來進(jìn)行響應(yīng)，直至最終超出了服務(wù)器最大極限以致無法處理有效網(wǎng)絡(luò)信息流，這時(shí)就發(fā)生了ICMP泛濫。當(dāng)啟用了ICMP泛濫保護(hù)功效時(shí)，能夠設(shè)置一個(gè)臨界值，一旦超出此值就會(huì)調(diào)用ICMP泛濫攻擊保護(hù)功效。（缺省臨界值為每秒1000個(gè)封包）。假如超出了該臨界值，JuniperISG設(shè)備在該秒余下時(shí)間和下一秒內(nèi)會(huì)忽略其它ICMP回應(yīng)要求。UDPFlooding和ICMP泛濫相同，當(dāng)攻擊者以減慢受害服務(wù)器響應(yīng)速度為目標(biāo)向該點(diǎn)發(fā)送含有UDP數(shù)據(jù)包IP封包，以至于受害服務(wù)器再也無法處理有效連接時(shí)，就發(fā)生了UDP泛濫。當(dāng)啟用了UDP泛濫保護(hù)功效時(shí)，能夠設(shè)置一個(gè)臨界值，一旦超出此臨界值就會(huì)調(diào)用UDP泛濫攻擊保護(hù)功效。（缺省臨界值為每秒1000個(gè)封包）假如從一個(gè)或多個(gè)源向多個(gè)目標(biāo)發(fā)送UDP數(shù)據(jù)包數(shù)量超出了此臨界值，JuniperISG在該秒余下時(shí)間和下一秒內(nèi)會(huì)忽略其它到該目標(biāo)UDP數(shù)據(jù)包。MISC攻擊能夠抵御關(guān)鍵攻擊方法有：分布式服務(wù)拒絕攻擊DDOS（DistributedDenial-Of-Serviceattacks）、IP碎片攻擊（IPFragmentationattacks）、端口掃描攻擊（PortScanAttacks）、IP源路由攻擊（IPSourceAttacks）、IPSpoofingAttacks；AddressSweepAttacks、WinNukeAttack等共31種，請(qǐng)參考附件（ScreenDescription）。應(yīng)用層防護(hù)處理方案應(yīng)用層防護(hù)目前，復(fù)雜攻擊以不一樣方法出現(xiàn)在不一樣用戶環(huán)境中。Juniper網(wǎng)絡(luò)企業(yè)ISG中應(yīng)用層防護(hù)模塊優(yōu)異攻擊防護(hù)和定制功效有利于正確地檢測(cè)攻擊，并阻止其攻擊網(wǎng)絡(luò)，以避免產(chǎn)生損失。Juniper網(wǎng)絡(luò)企業(yè)ISG中應(yīng)用層防護(hù)模塊優(yōu)異攻擊防護(hù)功效含有以下特點(diǎn)：多個(gè)檢測(cè)方法，包含復(fù)合署名、狀態(tài)署名、協(xié)議異常和后門檢測(cè)。開放式署名格式許可管理員查看攻擊字符串怎樣匹配攻擊署名，并依據(jù)需求對(duì)署名進(jìn)行編輯。這種了解和定制等級(jí)許可管理員定制攻擊署名，以滿足獨(dú)特攻擊要求。全方面署名定制經(jīng)過提供更高控制能力，以適應(yīng)署名特定要求，從而增強(qiáng)檢測(cè)獨(dú)特攻擊能力。復(fù)合署名：能夠?qū)顟B(tài)署名和協(xié)議異常結(jié)合到單個(gè)攻擊對(duì)象中，以檢測(cè)單個(gè)會(huì)話中復(fù)雜攻擊，從而提升檢測(cè)速度。400多個(gè)定制參數(shù)和Perl式常規(guī)表示式：能夠定制署名或創(chuàng)建完全定制署名。多重方法攻擊檢測(cè)Juniper網(wǎng)絡(luò)企業(yè)多重方法檢測(cè)技術(shù)(MMD?)將多個(gè)檢測(cè)機(jī)制結(jié)合到單一產(chǎn)品中，以實(shí)現(xiàn)全方面檢測(cè)。因?yàn)椴灰粯庸纛愋鸵蟛扇〔灰粯幼R(shí)別方法，所以，僅使用多個(gè)檢測(cè)方法產(chǎn)品不能檢測(cè)出全部類型攻擊。Juniper網(wǎng)絡(luò)企業(yè)ISG中應(yīng)用層防護(hù)模塊采取多重方法檢測(cè)技術(shù)能夠最大程度地檢測(cè)出多種攻擊類型，確保不會(huì)遺漏關(guān)鍵威脅。MMD中采取檢測(cè)方法包含：機(jī)制說明狀態(tài)署名僅檢測(cè)相關(guān)流量中已知攻擊模式協(xié)議異常檢測(cè)未知或經(jīng)過修改攻擊方法。后門檢測(cè)檢測(cè)未經(jīng)授權(quán)交互式后門流量。復(fù)合署名將狀態(tài)署名和協(xié)議異常結(jié)合在一起，檢測(cè)單個(gè)會(huì)話中復(fù)雜攻擊。狀態(tài)署名檢測(cè)一些攻擊能夠采取攻擊署名進(jìn)行識(shí)別，在網(wǎng)絡(luò)流量中能夠發(fā)覺這種攻擊模式。狀態(tài)署名設(shè)計(jì)用于大幅度提升檢測(cè)性能，并降低現(xiàn)在市場(chǎng)上基于署名入侵檢測(cè)系統(tǒng)錯(cuò)誤告警。Juniper網(wǎng)絡(luò)企業(yè)ISG中應(yīng)用層防護(hù)模塊跟蹤連接狀態(tài)，而且僅在可能發(fā)生攻擊相關(guān)流量部分來查找攻擊模式。傳統(tǒng)基于署名入侵檢測(cè)系統(tǒng)在流量流任意部分尋求攻擊模式，從而造成較高錯(cuò)誤告警幾率。比如，要確定某人是否嘗試以根用戶身份登錄服務(wù)器，傳統(tǒng)基于署名IDS會(huì)在傳輸中出現(xiàn)"root"字樣時(shí)隨時(shí)發(fā)送告警，造成錯(cuò)誤告警產(chǎn)生。Juniper網(wǎng)絡(luò)企業(yè)ISG中應(yīng)用層防護(hù)模塊采取狀態(tài)署名檢測(cè)方法，僅在登錄序列中查找字符串"root"，這種方法可正確地檢測(cè)出攻擊。Juniper網(wǎng)絡(luò)企業(yè)ISG中應(yīng)用層防護(hù)模塊全部署名全部可經(jīng)過簡(jiǎn)單圖形用戶界面來接入，所以能夠輕易地了解系統(tǒng)在監(jiān)控流量哪一部分。另外，開放式署名格式和署名編輯器可用于快速修改或添加署名。這兩種功效使用戶能夠確定對(duì)其環(huán)境關(guān)鍵部分，并確保系統(tǒng)也能夠識(shí)別出這個(gè)關(guān)鍵部分。然而，狀態(tài)署名方法能夠跟蹤并了解通信狀態(tài)，所以可縮小和可能發(fā)生攻擊特定站點(diǎn)相匹配模式范圍（通信模式和流方向-表示用戶機(jī)至服務(wù)器或服務(wù)器至用戶機(jī)流量）。如上圖所表示，狀態(tài)署名僅實(shí)施和可能發(fā)生攻擊相關(guān)流量相匹配署名模型。這么，檢測(cè)性能將顯著提升，而且錯(cuò)誤告警數(shù)量也大大降低。ISG系統(tǒng)能夠?qū)崿F(xiàn)對(duì)攻擊署名庫每日升級(jí)，JUNIPER企業(yè)將在自己安全網(wǎng)站上進(jìn)行攻擊特征每日更新，現(xiàn)在攻擊特征包含應(yīng)用層攻擊，蠕蟲特征、網(wǎng)絡(luò)病毒特征、P2P應(yīng)用特征等多個(gè)攻擊特征。能夠?qū)ι鲜龇钦ＴL問進(jìn)行檢測(cè)和阻擋。協(xié)議異常檢測(cè)攻擊者并不遵照某種模式來發(fā)動(dòng)攻擊，她們會(huì)不停開發(fā)并推出新攻擊或復(fù)雜攻擊。協(xié)議異常檢測(cè)可用于識(shí)別和"正常"流量協(xié)議不一樣攻擊。比如，這種檢測(cè)可識(shí)別出那種采取不確定流量以試圖躲避檢測(cè)、并威脅網(wǎng)絡(luò)和/或主機(jī)安全攻擊。以緩沖器溢出為例（見下圖），攻擊者在服務(wù)器許可下使服務(wù)器運(yùn)行攻擊者代碼，從而取得機(jī)器全部訪問權(quán)限。協(xié)議異常檢測(cè)將緩沖器許可數(shù)據(jù)量和發(fā)送數(shù)據(jù)量、和流量超出許可量時(shí)告警進(jìn)行比較。協(xié)議異常檢測(cè)和其所支持多個(gè)協(xié)議含有一樣效力。假如協(xié)議不被支持，則無法在網(wǎng)絡(luò)中檢測(cè)出使用該協(xié)議攻擊。Juniper網(wǎng)絡(luò)企業(yè)ISG中應(yīng)用層防護(hù)模塊是第一個(gè)支持多個(gè)協(xié)議產(chǎn)品，包含SNMP（保護(hù)60,000多個(gè)微弱點(diǎn)）和SMB（保護(hù)運(yùn)行于內(nèi)部系統(tǒng)中基于Windows微弱點(diǎn)）。我們能夠利用協(xié)議異常檢測(cè)技術(shù)，檢測(cè)到現(xiàn)在攻擊特征碼中沒有定義攻擊，和部分最新出現(xiàn)攻擊，新緩沖區(qū)溢出攻擊就是要經(jīng)過協(xié)議異常技術(shù)進(jìn)行檢測(cè)，因?yàn)閰f(xié)議異常技術(shù)采取是和正常協(xié)議標(biāo)準(zhǔn)進(jìn)行匹配，所以存在誤報(bào)可能性。后門檢測(cè)Juniper網(wǎng)絡(luò)企業(yè)ISG中應(yīng)用層防護(hù)模塊是能夠識(shí)別并抵御后門攻擊產(chǎn)品。后門攻擊進(jìn)入網(wǎng)絡(luò)并許可攻擊者完全控制系統(tǒng)，這常常造成數(shù)據(jù)丟失，比如，攻擊者能夠利用系統(tǒng)微弱點(diǎn)將特洛伊木馬病毒加載到網(wǎng)絡(luò)資源中，然后經(jīng)過和該系統(tǒng)進(jìn)行交互來對(duì)其進(jìn)行控制。然后，攻擊者嘗試以不一樣命令提議對(duì)系統(tǒng)攻擊，或威脅其它系統(tǒng)安全。Juniper網(wǎng)絡(luò)企業(yè)ISG中應(yīng)用層防護(hù)模塊能夠識(shí)別交互式流量獨(dú)特特征，并對(duì)意外活動(dòng)發(fā)送告警。后門檢測(cè)是檢測(cè)蠕蟲和特洛伊木馬病毒唯一方法：查看交互式流量依據(jù)管理員定義檢測(cè)未授權(quán)交互式流量檢測(cè)每個(gè)后門，即使流量已加密或協(xié)議是未知應(yīng)用層防護(hù)步驟JuniperISG系統(tǒng)應(yīng)用層防護(hù)模塊能夠提供兩種接入模式，Active模式和Inline_Tap模式，因?yàn)楣魴z測(cè)本身所含有誤報(bào)性，提議用戶在使用ISG系統(tǒng)應(yīng)用層保護(hù)模塊時(shí)候，能夠采取以下配置步驟：經(jīng)過防火墻安全策略定制，將需要進(jìn)行應(yīng)用層攻擊檢測(cè)和防護(hù)流量傳給應(yīng)用層防護(hù)模塊，對(duì)于其它無關(guān)緊要網(wǎng)絡(luò)數(shù)據(jù)流量，能夠不需要經(jīng)過應(yīng)用層保護(hù)模塊，只經(jīng)過防火墻檢測(cè)就能夠確保其安全性，這么配置能夠確保在將敏感數(shù)據(jù)進(jìn)行了攻擊檢測(cè)同時(shí)，最大程度確保網(wǎng)絡(luò)性能，提升網(wǎng)絡(luò)吞吐量，降低網(wǎng)絡(luò)延遲。設(shè)備布署早期，對(duì)于需要檢測(cè)流量，我們首先能夠?qū)?yīng)用層防護(hù)模塊采取Inline_Tap模式，這么話，網(wǎng)絡(luò)數(shù)據(jù)就會(huì)在經(jīng)過防火墻檢測(cè)后，直接進(jìn)行轉(zhuǎn)發(fā)，而緊緊是復(fù)制一遍到應(yīng)用層保護(hù)模塊，這個(gè)時(shí)候應(yīng)用層保護(hù)模塊相當(dāng)于一個(gè)旁路檢測(cè)設(shè)備，僅僅對(duì)攻擊進(jìn)行報(bào)警，而不會(huì)對(duì)數(shù)據(jù)流有任何影響。在這個(gè)時(shí)期，我們能夠經(jīng)過調(diào)整攻擊特征碼，自定制攻擊特征等手段，來降低網(wǎng)絡(luò)攻擊漏報(bào)率和誤報(bào)率，提升攻擊檢測(cè)正確性。當(dāng)攻擊檢測(cè)正確率達(dá)成一定程度時(shí)候，我們能夠?qū)?yīng)用層防護(hù)模塊改為采取Active模式，Active模式情況下，數(shù)據(jù)包在經(jīng)過防火墻檢測(cè)后，會(huì)接著進(jìn)行應(yīng)用層檢測(cè)，假如存在攻擊，則進(jìn)行報(bào)警或阻擋，然后再進(jìn)行數(shù)據(jù)報(bào)轉(zhuǎn)發(fā)。在這個(gè)時(shí)期，我們能夠?qū)τ诓糠直容^肯定和威脅很大攻擊，在規(guī)則中配置成阻斷攻擊。假如發(fā)覺這種攻擊，我們能夠在線進(jìn)行阻擋，對(duì)于其它攻擊，能夠臨時(shí)采取僅僅報(bào)警方法，繼續(xù)修改相關(guān)攻擊特征碼，最大程度提升攻擊檢測(cè)正確性。當(dāng)攻擊特征碼優(yōu)化到誤報(bào)率很低程度后，我們對(duì)大部分攻擊全部能夠采取在線阻擋模式，這么話，就能夠完全實(shí)現(xiàn)ISG應(yīng)用層防護(hù)模塊全部功效，大大降低了網(wǎng)絡(luò)管理員安全響應(yīng)額時(shí)間和工作量。安全管了處理方案JuniperISG系統(tǒng)采取Juniper企業(yè)統(tǒng)一安全管理平臺(tái)NSM進(jìn)行管理，NSM不僅能夠管理ISG系統(tǒng)上防火墻模塊、VPN模塊和應(yīng)用層保護(hù)模塊，同時(shí)能夠?qū)崿F(xiàn)對(duì)多臺(tái)ISG設(shè)備集中管理，這么我們就實(shí)現(xiàn)了在一個(gè)統(tǒng)一界面上實(shí)現(xiàn)了對(duì)多臺(tái)安全設(shè)備，多個(gè)安全技術(shù)統(tǒng)一管理，安全策略統(tǒng)一配置，安全事件和日志信息統(tǒng)一查詢和分析。 NSM系統(tǒng)為一套單獨(dú)軟件系統(tǒng)，其服務(wù)器端軟件能夠安裝在單獨(dú)LINUX或SOLARIS主機(jī)上，用戶端軟件能夠安裝在WINDOW或UNIX系統(tǒng)下。能夠采取三層架構(gòu)對(duì)安全設(shè)備進(jìn)行統(tǒng)一管理。方案中配置安全產(chǎn)品介紹Juniper企業(yè)介紹Juniper網(wǎng)絡(luò)企業(yè)致力于實(shí)現(xiàn)網(wǎng)絡(luò)商務(wù)模式轉(zhuǎn)型。作為全球領(lǐng)先聯(lián)網(wǎng)和安全性處理方案供給商，Juniper網(wǎng)絡(luò)企業(yè)對(duì)依靠網(wǎng)絡(luò)取得關(guān)鍵基礎(chǔ)設(shè)施用戶一直給親密關(guān)注。企業(yè)用戶來自全球各行各業(yè)，包含關(guān)鍵網(wǎng)絡(luò)運(yùn)行商、企業(yè)、政府機(jī)構(gòu)和研究和教育機(jī)構(gòu)等。Juniper網(wǎng)絡(luò)企業(yè)推出一系列聯(lián)網(wǎng)處理方案，提供所需安全性和性能來支持全球最大型、最復(fù)雜、要求最嚴(yán)格關(guān)鍵網(wǎng)絡(luò)，其中包含全球頂尖25家服務(wù)供給商和《財(cái)富》全球500強(qiáng)企業(yè)前15強(qiáng)中8個(gè)企業(yè)。Juniper網(wǎng)絡(luò)企業(yè)成立唯一宗旨是--估計(jì)并處理業(yè)內(nèi)最高難度聯(lián)網(wǎng)和安全性問題。今天，Juniper網(wǎng)絡(luò)企業(yè)經(jīng)過以下努力，幫助全球用戶轉(zhuǎn)變她們網(wǎng)絡(luò)經(jīng)濟(jì)模式，從而建立強(qiáng)大競(jìng)爭(zhēng)優(yōu)勢(shì)： 保護(hù)網(wǎng)絡(luò)安全，以抵御日益頻繁復(fù)雜攻擊 利用網(wǎng)絡(luò)應(yīng)用和服務(wù)來取得市場(chǎng)競(jìng)爭(zhēng)優(yōu)勢(shì) 為用戶和業(yè)務(wù)合作伙伴提供安全定制方法來接入遠(yuǎn)程資源Juniper網(wǎng)絡(luò)企業(yè)Juniper系列安全性處理方案可幫助企業(yè)經(jīng)濟(jì)高效地保護(hù)她們遠(yuǎn)程站點(diǎn)、地域辦事處、網(wǎng)絡(luò)周圍和網(wǎng)絡(luò)關(guān)鍵，而且不會(huì)對(duì)性能造成任何影響。Juniper一流安全性功效能夠以分層方法布署于整個(gè)網(wǎng)絡(luò)中，以提供所需網(wǎng)絡(luò)級(jí)和應(yīng)用級(jí)防護(hù)。不管是為職員、合作伙伴和用戶提供到非信任網(wǎng)絡(luò)安全接入，還是保護(hù)周圍網(wǎng)絡(luò)安全、用IPSec虛擬專網(wǎng)（VPN）替換傳統(tǒng)WAN網(wǎng)絡(luò)、將基于軟件傳統(tǒng)防火墻整合到經(jīng)優(yōu)化專用設(shè)備，或是保護(hù)新網(wǎng)絡(luò)布署，如VoIP、無線LAN，外網(wǎng)或安全在線會(huì)議，Juniper處理方案全部是企業(yè)和運(yùn)行商網(wǎng)絡(luò)首選網(wǎng)絡(luò)安全性處理方案。Juniper處理方案在專用設(shè)備中集成了多層安全性技術(shù)，很適適用于保護(hù)關(guān)鍵資產(chǎn)安全。它使用關(guān)鍵技術(shù)包含：防火墻：Juniper狀態(tài)型檢測(cè)防火墻提供了強(qiáng)勁網(wǎng)絡(luò)接入控制和攻擊限制特征，能夠幫助用戶有效地保護(hù)周圍和關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施。Juniper深度檢測(cè)防火墻充足利用了狀態(tài)型檢測(cè)優(yōu)點(diǎn)并在防火墻中集成了入侵防護(hù)技術(shù)，可在網(wǎng)絡(luò)周圍提供給用級(jí)攻擊防護(hù)。IPSecVPN:JuniperVPN處理方案能夠提供含有故障恢復(fù)功效安全連接來替換幀中繼或?qū)＞€，在企業(yè)總部、遠(yuǎn)程辦公室和固定遠(yuǎn)程工作者之間提供全方面網(wǎng)絡(luò)接入。拒絕服務(wù)防護(hù)：為了減小暴力攻擊及其它基于網(wǎng)絡(luò)攻擊影響，用戶可布署Juniper高性能產(chǎn)品來保護(hù)其Web基礎(chǔ)設(shè)施安全。防病毒：利用TrendMicro企業(yè)市場(chǎng)領(lǐng)先網(wǎng)關(guān)防病毒技術(shù)，Juniper集成防病毒處理方案能夠在分布式企業(yè)中提供更有效應(yīng)用層保護(hù)功效。入侵防護(hù)：Juniper入侵防護(hù)設(shè)備遠(yuǎn)遠(yuǎn)超越了傳統(tǒng)入侵檢測(cè)產(chǎn)品，它能夠正確地檢測(cè)網(wǎng)絡(luò)、應(yīng)用和混合攻擊，而且使用戶能夠阻止攻擊，保護(hù)關(guān)鍵資源。SSLVPN:JuniperSA系列產(chǎn)品能夠利用成熟SSL安全協(xié)議，實(shí)現(xiàn)了有效、安全完成對(duì)局域網(wǎng)資源訪問，用戶操作簡(jiǎn)單，無需單獨(dú)用戶端安裝。安全會(huì)議：Juniper會(huì)議設(shè)備能夠?qū)崿F(xiàn)安全跨企業(yè)在線會(huì)議，同時(shí)確保符合企業(yè)安全性策略和監(jiān)管要求，并降低來自互聯(lián)網(wǎng)攻擊風(fēng)險(xiǎn)。Juniper網(wǎng)絡(luò)企業(yè)提供一系列全方面、靈活、業(yè)界領(lǐng)先技術(shù)支持、專業(yè)服務(wù)和培訓(xùn)課程，幫助用戶從她們網(wǎng)絡(luò)和安全性投資中獲取最大收益。Juniper網(wǎng)絡(luò)企業(yè)支持服務(wù)系列可提供大型網(wǎng)絡(luò)所要求后備支持，并可讓用戶選擇多種服務(wù)選項(xiàng)來補(bǔ)充她們內(nèi)部專業(yè)技術(shù)。Juniper網(wǎng)絡(luò)企業(yè)支持服務(wù)還結(jié)合了主動(dòng)主動(dòng)服務(wù)特征，以增強(qiáng)用戶網(wǎng)絡(luò)性能。Juniper網(wǎng)絡(luò)企業(yè)專業(yè)服務(wù)部可提供業(yè)界領(lǐng)先專業(yè)技術(shù)和定制咨詢服務(wù)，幫助用戶計(jì)劃新型業(yè)務(wù)和技術(shù)，設(shè)計(jì)下一代網(wǎng)絡(luò)處理方案并以最高效率來實(shí)施項(xiàng)目。Juniper網(wǎng)絡(luò)企業(yè)培訓(xùn)服務(wù)可提供教授培訓(xùn)和技術(shù)認(rèn)證項(xiàng)目，經(jīng)過標(biāo)準(zhǔn)技術(shù)課程、基于web課程、定制專題研討會(huì)和動(dòng)手試驗(yàn)課，幫助用戶提升她們IP網(wǎng)絡(luò)專業(yè)技術(shù)。JuniperISG系列安全網(wǎng)關(guān)Juniper推出業(yè)內(nèi)第一款整合了多個(gè)最好網(wǎng)絡(luò)邊界安全功效整合式安全網(wǎng)關(guān)Juniper-ISG（IntegratedSecurityGateway）,可在有效防護(hù)來自網(wǎng)絡(luò)層及應(yīng)用層威脅同時(shí)，為企業(yè)和運(yùn)行商網(wǎng)絡(luò)提供最優(yōu)化性能并降低網(wǎng)絡(luò)復(fù)雜性?，F(xiàn)在業(yè)內(nèi)其它安全處理方案提供商整合方法往往以犧牲網(wǎng)絡(luò)性能為代價(jià)，并增加了網(wǎng)絡(luò)復(fù)雜性。而Juniper最新專屬定制系統(tǒng)采取模塊化設(shè)計(jì)及獨(dú)特處理架構(gòu)–包含基于Juniper新型第四代ASIC芯片整合了防火墻及VPN功效，很快未來還可整合完善入侵檢測(cè)和防護(hù)(IDP)功效。Juniper-ISG含有卓越性能，和靈活性和可擴(kuò)展性，從而有效抵御今天和未來日益復(fù)雜網(wǎng)絡(luò)威脅。Juniper-ISG是企業(yè)、電信運(yùn)行商和數(shù)據(jù)中心網(wǎng)管人員理想選擇，可幫助她