FW-ISG2000防火墙方案

第一章方案概述
1.1 防火墙技术比较
通过对目前网络安全系统应用现状的分析，可以看出，用户需要的是性能稳定、运行高速的防火墙产品，以保证应用的业务连续性。

我们觉得,在进行防火墙选择时需要考虑以下几个方面
◆是否选择硬件或软件防火墙；
◆是否选择包过滤、代理或状态防火墙；
1.1.1防火墙平台分析
目前的防火墙从使用平台上有硬件防火墙、软件防火墙两种。

硬件防火墙有可分为ASIC架构、NP架构和X86架构三种。

1.1.2防火墙实现方式分析
防火墙实现方式有包过滤、应用代理和状态检测三种。

性能比较如下
状态检测应用代理包过滤
速度/性能高中等高
成熟性/保护高高低
灵活性/新服务或应用程
高低中等
序
1.2 系统设计概述
Juniper防火墙产品均为基于ASIC芯片的状态检测型硬件防火墙。

Juniper的NetScreen—ISG 2000是基于下一代体系结构而完全由Juniper公司设计的面向应用安全的高性能硬件防火墙，其中包括一个第4代安全ASIC,即GigaScreen3、高速微处理器和可扩展的安全模块，可以提供要求最高的网络安全区控制需要的可预测的多千兆位性能，集成了一流的深层检测防火墙、VPN和DoS防护解决方案,因此可以实现安全、可靠的连接和网络及应用级防护功能来保护关键的大流量网络分段。

NetScreen—ISG 2000的硬件结构示意图如下：
各模块的功能如下：
1、管理模块：管理模块上有2个1Ghz的PowerPC的CPU，以及1－2GB的内存,主要对会话的第一个数据包进行处理，双 CPU 结构实现了并行处理，提高了整体性能和安全保护能力,策略查找通过FPGA芯片实现.
2、ASIC芯片模块:上有GigaScreen3 的ASIC芯片和512MB的SDRAM，Juniper的硬件防火墙的最新一代安全 ASIC 技术，具有突破性的硬件性能，可达4 Gbps 防火墙吞吐，具有多重内嵌处理器支持新功能的加速，对会话的后续数据包进行稳定的高速转发而不占用管理模块的CPU 处理资源；同时抗拒绝服务攻击也基于ASIC芯片实现硬件处理.
3、安全模块：可选项，可配置0－3块。

安全模块其实是刀片式IDP,上有2个1Ghz的PowerPC 的CPU，以及2GB的内存，让防火墙具备基于单独专用硬件的对应用层流量进行入侵检测和防护处理的能力。

第二章防火墙系统设计
2.1 Juniper特点—强大的ASIC功能
Juniper的安全机制采用ASIC,在硬件中处理防火墙访问策略和加密算法，这方面运算的速度是软件类方案不能相比的；同时它还可以省出中央处理器资源用于管理数据流。

这种安全加密的ASIC更可与Juniper的ScreenOS操作系统和系统软件紧密地集成起来，与其他基于通用的商用操作系统的安全产品相比，Juniper产品消除了不必要的软件层和安全漏洞.Juniper将安全功能提升到系统层次,更可以节省建立额外平台带来的开支。

目前，其他采用PC或工作站作为平台的软件类方案,往往令系统性能大打折扣。

正是由于采用了高性能的专用ASIC芯片，所以Juniper的安全产品的性能不仅仅在实验室网络环境下都能够发挥出高水平,在实际的生产网络环境中同样可以保持高性能。

ISG2000对64byte小包的吞吐在2Gbps以上,1518Byte的大包吞吐达4Gbps。

2.2 Juniper特点—应用层攻击防护
为进一步提高网络和应用的安全性，Juniper的防火墙上均配置了深层检测（Deep Inspection）服务,以提供应用层级别的攻击防护。

Juniper的深层检测（DI）防火墙被设计用来对Internet上常见的协议（如HTTP， SMTP，IMAP, POP, FTP和DNS等）的应用层保护。

对这些协议，深层检测（DI）防火墙采用和数据接收方相同的方式来理解应用层信息。

为了精确地理解应用层信息,深层检测（DI)防火墙实施包碎片重组，次序重组，去除无用信息和信息正常化处理.一旦深层检测(DI）防火墙按这些方法重组出了网络流量,它就用协议异常检测和服务域攻击特征匹配的方法来对流量里的攻击进行
防护。

作为Juniper最新一代防火墙,ISG2000还提供可扩展的内部插槽，可以插1-3块硬件安全模块（需要NS—ISG-2000-IKT和NS—ISG—SEC)，提供高性能的完整的入侵检测和防护（IPS）功。