返回
Juniper互联网数据中心(IDC)网络安全解决方案建议书

Juniper互联网数据中心(IDC)网络安全解决方案建议书

ID:37736177

大小:1.68 MB

页数:25页

时间:2019-05-29

Juniper互联网数据中心(IDC)网络安全解决方案建议书_第1页
Juniper互联网数据中心(IDC)网络安全解决方案建议书_第2页
Juniper互联网数据中心(IDC)网络安全解决方案建议书_第3页
Juniper互联网数据中心(IDC)网络安全解决方案建议书_第4页
Juniper互联网数据中心(IDC)网络安全解决方案建议书_第5页
资源描述:

《Juniper互联网数据中心(IDC)网络安全解决方案建议书》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、IDC网络安全工程技术方案建议书Juniper互联网数据中心(IDC)网络安全解决方案建议书美国Juniper网络公司第25页共25页IDC网络安全工程技术方案建议书目录第一章综述31.1前言31.2Juniper的安全理念31.2.1IPSec/SSLVPN41.2.2网络攻击检测41.2.3访问控制51.2.4入侵预防51.2.5管理方式61.2.6合作方案61.2.7流量控制61.3Juniper的数据中心应用加速理念6第二章总体方案建议72.1设备选型72.1.1防火墙72.1.2入侵检测和防护82

2、.1.3SSLVPN网关82.1.4应用加速102.2应用和管理102.2.1虚拟防火墙技术在IDC的应用方案102.2.2防火墙的网络地址转换实现方案112.2.3安全策略的实施和应用142.2.4防火墙防网络层攻击保护152.2.5防火墙管理202.2.6IDP刀片模块或IDP设备对应用层的保护212.2.7应用加速设备DX的使用24第25页共25页IDC网络安全工程技术方案建议书第一章综述1.1前言随着计算机技术和通信技术的飞速发展,信息化浪潮席卷全球,一种全新的先进生产力的出现已经把人类带入了一个新

3、的时代。信息技术的发展极大地改变了人们的生活、工作模式,网上新闻、网上购物、远程教育、电子商务等等各种应用层出不穷,世界各地的信息资源得到了高度的共享。这充分显示出信息化对社会生产力的巨大变革作用。1.2Juniper的安全理念网络安全可以分为数据安全和服务安全两个层次。数据安全是防止信息被非法探听;服务安全是使网络系统提供不间断的通畅的对外服务。从严格的意义上讲,只有物理上完全隔离的网络系统才是安全的。但为了实际生产以及信息交换的需要,采用完全隔离手段保障网络安全很少被采用。在有了对外的联系之后,网络安全

4、的目的就是使不良用心的人窃听数据、破坏服务的成本提高到他们不能承受的程度。这里的成本包括设备成本、人力成本、时间成本等多方面的因素。为提高恶意攻击者的攻击成本,Juniper的安全理念提供了多层次、多深度的防护体系,如图所示。核心关键资源IntrusionPreventionDoSFirewallIPSecVPN集中管理合作方案Juniper提供了防火墙/VPN系列设备和IDP(入侵检测和防护)系列设备用以实现不同层次的保护功能。针对不同的应用环境有不同的产品型号对应,而且提供集中式管理工具。第25页共25

5、页IDC网络安全工程技术方案建议书Global-PRO&IDPManagerGlobal-PROExpressCentralSiteMediumSiteSmallOffice/TelecommuterNetworkCoreVPN,Firewall,DoSIntrusionpreventionMobileManagementTools1.2.1IPSec/SSLVPNIPsec/SSLVPN应用是为网络通信提供有效的信息安全手段。IPSec/SSLVPN是被广泛认可的公开、安全的VPN标准,它从技术角度保证数

6、据的安全性。VPN应用中,多采用3DES、AES等加密技术和MD5、SHA1认证技术,这是目前广被认可的最先进、最实用的常用网络通信加密/认证技术手段。加密的目的是防止非法用户提取信息;认证的目的是防止非法用户篡改信息。网络的VPN应用有两种:防火墙到防火墙、移动用户到IPsecVPN/防火墙或SSLVPN网关设备。前者是针对企业各分支机构,应用在各分支机构有固定IP地址的防火墙系统之间,供分支结构之间互通信息;后者针对移动办公的IP地址不固定的企业员工从Internet上对企业内部资源的访问,其中SSLV

7、PN可以更好地为移动用户提供服务并且具备更强的安全性和可控性,是移动用户安全访问应用的技术趋势。Juniper可以实现IPsecVPN与防火墙功能的紧密结合,SSLVPN解决方案在业界的市场占用率最高。1.2.2网络攻击检测对有服务攻击倾向的访问请求,防火墙采取两种方式来处理:禁止或代理。对于明确的百害而无一利的数据包如地址欺骗、Pingof第25页共25页IDC网络安全工程技术方案建议书Death等,防火墙会明确地禁止。对一些借用正常访问形式发生的攻击,因为不能一概否定,防火墙会启用代理功能,只将正常的数

8、据请求放行。防火墙处在最前线的位置,承受攻击分析带来的资源损耗,从而使内部数据服务器免受攻击,专心做好服务。因为防火墙主动承接攻击,或主动分析数据避免攻击,其性能方面有一定的要求。完善的解决方案应该是安全产品从技术设计层面、实际应用层面能够承受大工作量下的性能、安全需求。1.2.3访问控制从外网(互联网或广域网)进入企业网的用户,可以被防火墙有效地进行类别划分,即区分为企业移动用户和外部的公共访问者。防火墙可以允

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。