【IT168 资讯】目录

　　Juniper SSG系列概述 1

　　目录 2

　　1 纲要 3

　　2 引言 3

　　3 Juniper SSG系列特点 4

　　3.1 专用平台 4

　　3.2 软件架构 5

　　3.3 流转发的优势 6

　　3.4 局域网/广域网可扩展性 8

　　3.5 ScreenOS 路由引擎 9

　　4 综述 9

　　1 纲要

　　对强大网络安全的需求影响了向企业的分支机构(地区、分支、小型远程机构)和中型企业部署网络服务的方式，这反过来也推动了新型安全解决方案的兴起。此类解决方案能够满足这些机构对关键的安全性、性能和连接性的要求。本文将说明Juniper SSG系列如何帮助企业满足地区分支机构的安全和连接需求。

　　2 引言

　　在降低成本带宽和提高生产效率要求的驱动下，企业在地区和分支机构部署直接的互联网接入，以替换或加强分支机构到企业的回路连接。直接互联网接入会大幅度提高远程机构的性能和连接性，同时也降低头端的总带宽和设备成本。随着网络接入的增加，攻击的风险也在增大。现在，最终用户能够自由地查看其 Web邮件账户，无视风险的存在而接入以前不能访问的网络，从而使得病毒、蠕虫或间谍软件通过分支机构感染企业网络的风险加大。

　　同时，频繁的内部攻击和未经授权的访问也迫使企业重新审视传统局域网的部署方法，因为该方法允许任何人或任何流量都可以访问网络中的任意位置。根据 CSI/FBI调查，至少有56% 的企业遭受过至少一次内部攻击。当今，网络安全不仅仅是要防范外部攻击，制止由怀有恶意的员工和黑客通过间谍软件等多种方法，未经授权地访问内部网络而发起内部攻击也同样重要。

　　第三种趋势表明，随着企业进一步将互联网用作关键的广域网基础架构组件，他们也在寻找更快捷的技术，例如城域以太网，以提供新应用所需要的更多带宽。对增长率的统计表明，向带有10/100Mbps和1Gbps接口的城域以太网移植的增长率分别为52%和74%。地区/分支机构及中型企业的这些业务发展动向表明，理想的解决方案系统架构应该能够提供非常好的的安全性、性能和连接性能力。这种理想的解决方案架构应符合以下标准：

　　将高安全性放在首要地位的架构，可提供网络、应用和内容安全性以及基于策略的安全域、网络分段等高级特性。

　　通过将网络层安全性和处理密集型应用及基于有效负载(内容)的安全性相结合，能够以广域网和局域网的速度防护来自外部和内部的攻击。

　　能够在瞬间做出安全和流量路由决策，而且能够在接受数百Mbps甚至更多的网络流量时做到这一点。模块化I/O架构，提供向未来的安全性及连接性选项移植的途径。

　　3 JuniperSSG系列特点

　　JuniperSSG(网络公司安全业务网关)系列是一种新型的专用智能安全设备，采用全新设计，提供高性能安全性及局域网/广域网路由平台。SSG系列可采用多种方式部署。

　　作为独立的网络层和应用层安全解决方案，用以阻止蠕虫、间谍软件、特洛伊木马、恶意软件和其他新兴攻击。

　　作为整合的安全和路由解决方案部署，充分利用广域网硬件及软件连接性选项。

　　SSG系列的专用性质提供了安全性、高性能和广域网连接性，是地区/分支机构、中型企业和服务供应商的理想解决方案，因为他们希望在保护其广域网和高速内部网络的同时，通过高级别的系统和接口模块化特性来扩展平台的投资回报。

　　3.1 专用平台

　　Juniper防火墙/VPN平台的一个重要原则，是要能够通过专用安全平台提供高性能安全性。专用平台利用适当的处理组合提供高性能，这些处理组合紧密集成到由安全性特性的操作系统控制的安全性特性平台中。与Juniper此前所有的防火墙/VPN 应用一样，SSG系列将定制硬件、强大的处理能力和安全性特定的操作系统完美结合，具有卓越的性能。其中SSG可提供从140Mbps到1Gbps的IMIX 流量。选择IMIX流量来衡量SSG系列的防火墙性能，是因为该标准不但更能体现客户实际网络流量，而且其要求比单一数据包规模的性能测试严格5倍。所采用的IMIX 流量是由58.33%的64字节数据包、33.33%的570字节数据包和8.33% 的1518字节数据包的UDP流量组成。

　　SSG系列硬件架构秉承了市场领先的NetScreen架构的成功特性，该架构将功能强大的通用处理器和安全协处理器完美结合起来。SSG系列的核心是可定制的、安全性特定的集成电路板，其设计宗旨是通过强大的处理器、安全协处理器及从256MB到1 GB的RAM相结合，最大限度地提高网络安全性能。随着应用层安全和内容安全日益受到重视，额外内存由于能够支持平台更加有效地应对当前攻击的动态性质，因而成为实现高性能的关键因素。

　　图例：SSG500系统架构

▲

　　目前，仅有少数厂商采用自主研究设计的定制集成电路板来最大限度地提高安全处理和吞吐量。某些其他产品中类似于 PC 的现成电路板，其总线限制性能，而SSG采用多条高速总线，每条总线供一组接口或一个接口卡专用，使流量能够快速有效地传输到决定安全性和流量路由的CPU中。SSG集成电路板设计提供了经过优化的处理能力，以用于从局域网到新一代广域网及从局域网到局域网等高性能网络。

　　3.2 软件架构

　　Juniper ScreenOS是一种为安全性特制的实时操作系统，采用了全新的设计，它与硬件平台配套使用，可最大限度提高性能。ScreenOS通过与全面的安全特性紧密集成，以防止网络层和应用层攻击，同时阻断基于内容的攻击。UTM安全特性包括：

　　状态检测防火墙，用于执行接入控制和阻断网络层攻击。

　　IPS(深层检测防火墙)，用于阻断应用层攻击。

　　业界领先的防病毒功能，基于卡巴斯基实验室的病毒扫描引擎而构建，包括防网页仿冒、防间谍软件、防广告软件等功能，用于阻断病毒、特洛伊木马及其他恶意软件，避免它们破坏网络。

　　与赛门铁克公司合作提供的防垃圾邮件功能，用于阻止已知的垃圾邮件发送者和网页仿冒者。

　　采用SurfControl的Web过滤功能，用于阻止访问恶意下载网站或其他不恰当的Web内容。

　　网关到网关的IPSec VPN，建立机构间的安全通信。

　　拒绝服务(DoS)攻击防护功能。

　　适用于H.323、SIP、SCCP和MGCP的应用层网关，用于检测和保护VoIP流量。

　　ScreenOS与硬件平台的紧密集成有助于消除传统解决方案中存在的性能瓶颈和已知的安全缺陷。除了内置安全应用外，ScreenOS还支持管理员创建多个安全区，每个区有其自己的防火墙及相关策略。安全区是对接口、子接口、IP 主机和子网进行的逻辑分组，这些接口、主机和子网共享安全接入控制和设置，因而增强了网络内部的安全控制。企业利用安全区更容易满足内部局域网安全性的需求，例如，将产品开发和工程设计文档归入“工程设计区”，这样，分配到该区的所有接口和IP主机及网络都使用通用的安全方式和接入规则，从而能够保护这些产品开发和工程设计文档。安全区是由Juniper创新的技术，具备与局域网速度相匹配的性能，能使客户轻松满足当前企业环境中对防范内部和外部攻击的要求。

　　3.3 流转发的优势

　　ScreenOS与硬件平台配套运行，通过基于流的处理，有助于加快安全性和流量决策。基于流的处理利用会话状态，最大限度地避免逐数据包的单个安全决策流程，由此提高了分支机构解决方案的整体性能。利用源区和目的区、源地址和目的地址以及服务类型这五个元组的组合，基于流的处理在TCP/UDP级别上检测流量，确定并了解流量为新的数据流还是现有数据流。如果数据流是新的，它将通过一条缓慢路径进行路由和策略查找，在完成之后，根据第一个数据包所确定的行为，该数据流中的所有后续数据包将通过一条快速路径发送。只要未来的数据流与初始的相匹配，这一处理将不间断地进行下去。如上所述，如果数据流是新的，接下来便进入到第一个数据包的决策流程。在下图中，基于流的转发建立了第一个数据包的流动路径，而后续数据包都遵循这一快速路径发送。

　　传统分支设备采用“按基本单位转发(atomic forwarding)”，在每个数据包上都进行路由和策略查找。基于流的处理具有以下特性：

　　1. 防火墙：在处理完第一个数据包之后，运行防火墙几乎不会影响性能。拥有大型规则集并不会损害性能——一个有着50条规则的策略的性能与单一规则策略的性能一样高。

　　2. 路由：在路由不改变的情况下，通过将路由表查找减少到逐会话单一查找，加快流量的路由。路由改变时，会话表将被更新。

　　3. QoS分类：分类属于五元组查找的一部分，因此不影响吞吐量性能。

　　4. NAT/PAT：由于NAT是会话感知的，因此对性能没有任何影响。

　　5. 服务分配：会话感知意味着防病毒等其他类型的防护可细粒度地应用到特定流中。

　　6. 高可用性：由于是基于流，所有会话信息都保存在单一数据仓库中，这样在发生故障切换时便于快速同步状态信息。

　　基于流的处理解决方案在应用安全性和服务方面更加快捷，尤其是在分支/地区和远程机构，因为这些机构的流量模式不像中央网站和数据中心那么变化多端。

　　用HTTP流量进一步说明基于流处理的优势。上图显示，第一个TCP数据包建立了流，所有后续数据包通过快速路径传输，从而提高了性能。

　　3.4 局域网/广域网可扩展性

　　SSG系列采用模块化方法实现连接性，带有个固定10/100/1000以太网接口和能够支持传统局域网或广域网接口卡的接口扩展插槽，可提供非常好的局域网/广域网可扩展性。

　　固定局域网接口、I/O扩展插槽与SSG系列中集成的路由协议的结合使得该系列成为业界最具扩展性的防火墙。由于SSG系列既可以作为单独的安全设备部署，也可以作为组合的安全设备与路由部署，因此最终用户享有巨大的灵活性。

　　3.5 ScreenOS路由引擎

　　Juniper ScreenOS路由引擎发布以来，已经成为应用于分支、远程机构的一款经过实践检验的强大路由引擎，使客户能够在部署了单一平台之后，将其作为防火墙和路由器组合使用。在全球范围内，防火墙客户广泛利用ScreenOS路由引擎的特性。在某些情况下，它简单得如同一条单一的出站BGP路由，但却同时支持OSPF以满足内部路由要求。另一方面，它也可以支持一个拥有近一万个站点的大型金融机构，这些站点利用公共互联网传输数据。

　　随着SSG系列的发布，ScreenOS路由引擎添加了几种新的广域网封装协议，以便更好地支持广域网硬件接口选项。现在，除了早已支持的OSPF、BGP和RIP v1/2之外，ScreenOS路由引擎还支持帧中继、多链路帧中继、PPP、多链路PPP和HDLC。目前，SSG 500系列是市场上唯一一款能够支持最广泛路由协议的智能防火墙产品。

　　4 综述

　　一直以来，Juniper致力于提供专用高性能安全解决方案，以满足当前及未来客户的需求，并且取得了令人瞩目的成就，而SSG系列在此基础上又取得了更大的成功。SSG系列采用了全新的设计，在安全协处理的协助下，利用大型高性能处理器的非常好的组合为地区/分支机构执行安全和路由任务，其安全协处理器是基于流的安全性特制的操作系统所控制的。这些性能要素的组合有助于优化安全流量处理，这使SSG成为地区/分支机构和中型企业部署网络服务的理想选择。