网络安全工程技术方案建议书
4、 Juniper 设备或外部auth 服务器认证auth 用户的登录信息。
如果认证尝试成功,则Juniper 设备允许auth 用户启动信息流,使其流向在强制通过WebAuth 方法执行认证的策略中指定的目的位置。
注意:启用了认证的策略不支持将DNS (端口为53)作为服务。
3.10 防火墙对带宽管理实现方案
信息流整形
可以为每个策略设置控制和整形信息流的参数。信息流整形参数包括:
?
Guaranteed Bandwidth(保障带宽): 以千比特每秒(kbps) 表示的保障吞吐量。低于此临界值的信息流以最高优先级通过,不受任何信息流管理或整形机制的限制。
?
Maximum Bandwidth(最大带宽): 以千比特每秒(kbps) 表示的连接类型可用的安全带宽。超过此临界值的信息流被抑制并丢弃。
注意:在WebUI 中,已排定进度的策略如有灰色背景,表示当前时间不在定义的时间表内。已排定进度的策略活动时,背景为白色。
注意:建议不要使用低于10 kbps 的额定值。低于此临界值的额定值会导致封包被丢弃以及过多的重试,从而使信息流的管理目的失败。
?
Traffic Priority (信息流优先级): 当信息流带宽在保障带宽和最大带宽设置之间时, Juniper 设备首先让较高优先级的信息流通过,并且只有在没有其它更高优先级的信息流时,才让较低优先级的信息流通过。有八个优先级。
?
DiffServ Codepoint Marking(差异服务码点标记):差异服务(DiffServ) 是标记信息流在优先级层次结构中位置的系统。可以将八个Juniper 优先级映射到DiffServ 系统中。缺省情况下,Juniper 系统中的最高优先级(优先级0)映射到DiffServ 字段(请参阅RFC 2474)中的头三位(0111),或映射到IP 封包包头的ToS 字节(请参阅RFC 1349)的IP 前字段中。Juniper 系统中的最低优先级(优先级7)映射到ToS DiffServ 系统中的(0000)。
第 29 页 共 36 页
网络安全工程技术方案建议书
3.11 防火墙日志管理、管理特性以及集中管理实现方案
1. 管理员角色定义:
设备支持多个管理员。对于管理员对设备进行的任何配置和更改,设备至少记录以下信息:
? 进行更改的管理员 ? 该管理员的IP 地址 ? 更改的时间
设备应该支持分级的管理员管理权限。仅当管理员用有效的用户名和密码成功登录后,才能访问相应的特权。
审计管理员
审计管理员只具有进行查看设备状态、配置的权限,他只能发出有限的用于查看性质的命令。审计管理员具有以下权限:
? 监控设备状态,包括各种物理/逻辑部件 ? 对各种技术参数进行察看/处理/保存等
安全管理员
安全管理员一般具有读和写的能力,具有与超级管理员几乎相同的权限,但是他不能创建、修改或删除其他的管理员用户。安全管理员具有以下权限:
? 设备的安全/性能等方面的设置 ? 修改自身账号密码 ? 审计管理员的所有权限
超级管理员
超级管理员具有完全的管理权限。每个设备只有一个超级管理员,具有以下权限: ? 管理设备的全部系统,包括全部的物理/逻辑特性 ? 添加、删除和管理所有其他的管理员 ? 具有其他管理员的所有权限
所有的管理员账号都可以修改用户名和密码。
2.用户参数管理: 认证模式
设备支持本地/外部认证方式。设备本身支持管理用户的添加/修改/删除;外部认证
第 30 页 共 36 页
网络安全工程技术方案建议书
支持Radius/LDAP/SecureID等多种标准。 闲置时间
登陆成功的管理员,在沉默一定时间后系统将自动将其退出,以避免非法操作人员利用用户长时间离开的机会进行操作,也可以避免并发管理用户数量被长期占用。这个时间一般在10分钟左右。 并发用户数量管理
同时登陆设备的用户总数。设备应当可以查看当前的管理员/登陆的方式/登陆IP地址信息。
3、日志审计及监控 安全审计原则
网络安全的审计对于整个网络的状况、设备的运行状况和网络故障及攻击事件的追溯至关重要。一旦网络系统出现问题,管理员要及时对问题和事件进行分析,确定出现哪些问题,对目前哪些系统造成了影响,如何采取相应的措施。因此,对于网络安全系统管理员在进行安全审计时要遵循以下原则。
突发安全事件的审计要及时
众所周知,网络安全事件层出不穷,任何人都无法预知即将发生的事件,因此,对于网络突发事件的监控和审计对于整个网络的整体安全性举足轻重。网络所熟悉的病毒,如红色代码、冲击波,口令蠕虫等对网络造成了巨大损失。对于这样的事件发生,如果网络安全监控及时,可以在事件发生初期以最快的速度采取相关措施,可以及大地减小事件对整个网络造成的影响和损失。
定期安全事件的审计要高效、准确、持续
安全审计工作是一个持久的工作,任何的疏忽就可能给整个网络埋下潜在的危险。同时,任何事件都不是孤立的,对于整个网络安全系统包括路由器,交换机,主机系统,防火墙,以及入侵检测系统都是相关链的。防火墙的安全审计要与整个网络系统相结合,这样才能做到定期安全事件的审计的高效性、准确性和持续性。
安全日志收集
日志存储方式包括本地/外部两种方式。
本地的日志存储,一般有console显示,内存存储,非易失性存储等形式。Console
第 31 页 共 36 页
网络安全工程技术方案建议书
显示受其字符输出速度的限制(一般为9600波特或稍高),只适合严重级别较高的日志类型;内存存储不受速度限制,但属于易失性存储,设备掉电会丢失数据,而且受内存大小限制,因此只能作为临时存储,设备应具备将这些数据另外保存的方法;非易失性存储,适合对关键的日志类型如攻击、管理、异常信息等的保存,便于出现问题时能够保存必要的资料。
外部的日志存储,常见的有syslog/SNMP等。Syslog标准适合存储大量的信息。Syslog的局限性在于UDP协议,这种协议没有重传机制,很容易造成信息丢失。Juniper建议采用支持TCP方式(新的扩展标准)传输日志。对于外部存储而言,网络的可通性是另外一个不确定因素,因此Juniper建议采用多个Syslog server备份的方式。
SNMP是常用的监控协议,Juniper支持标准的MIBII和私有的MIB。SNMP采用的是v2c。
对安全设备而言,日志的保密性也需要考虑。Juniper防火墙设备支持从本身的VPN通道传送日志信息。
5、
集中的网管平台NetScreen-Security manager
NetScreen-Security Manager 为IT部门提供了一套简单易用的管理方案,对Juniper设备进行配置部署、网络设置和安全策略设定,实现一种全新的网络安全管理方法。使用NetScreen-Security Manager,IT经理、网络管理员和安全管理员可以协同工作一起把效率提高,降低管理和运营成本。NSM完全管理Juniper 的防火墙和IDP设备。
其主要特性包括:
? 集中的端到端生命周期管理实现对设备配置、网络设置和安全策略的精细控制 ? 管理职责的分配使用户可以向需要信息的人员提供信息接入权限 ? 直观的GUI可以简化多种复杂工作,如设备配置、策略创建和VPN部署 ? 3层体系结构可最大限度地提高性能和灵活性 功能包括:
? 管理权限的分配:
NetScreen-Security Manager使企业IT部门可以为特定用户分配适当级别的
第 32 页 共 36 页
