Juniper互联网数据中心IDC网络安全解决方案建议书.doc

《Juniper互联网数据中心IDC网络安全解决方案建议书.doc》由会员分享，可在线阅读，更多相关《Juniper互联网数据中心IDC网络安全解决方案建议书.doc（45页珍藏版）》请在咨信网上搜索。

Juniper互联网数据中心IDC网络安全解决方案建议书 45 2020年5月29日 文档仅供参考 Juniper互联网数据中心(IDC)网络安全解决方案建议书 美国Juniper网络公司 目录 第一章 综述 3 1.1前言 3 1.2 Juniper的安全理念 3 1.2.1 IPSec/SSL VPN 4 1.2.2网络攻击检测 4 1.2.3访问控制 5 1.2.4入侵预防 5 1.2.5管理方式 6 1.2.6合作方案 6 1.2.7流量控制 6 1.3 Juniper的数据中心应用加速理念 6 第二章 总体方案建议 7 2.1 设备选型 7 2.1.1 防火墙 7 2.1.2 入侵检测和防护 8 2.1.3 SSL VPN网关 8 2.1.4 应用加速 10 2.2 应用和管理 10 2.2.1 虚拟防火墙技术在IDC的应用方案 10 2.2.2 防火墙的网络地址转换实现方案 11 2.2.3 安全策略的实施和应用 14 2.2.4 防火墙防网络层攻击保护 15 2.2.5 防火墙管理 20 2.2.6 IDP刀片模块或IDP设备对应用层的保护 21 2.2.7 应用加速设备DX的使用 24 第一章 综述 1.1前言 随着计算机技术和通信技术的飞速发展,信息化浪潮席卷全球,一种全新的先进生产力的出现已经把人类带入了一个新的时代。信息技术的发展极大地改变了人们的生活、工作模式,网上新闻、网上购物、远程教育、电子商务等等各种应用层出不穷,世界各地的信息资源得到了高度的共享。这充分显示出信息化对社会生产力的巨大变革作用。 1.2 Juniper的安全理念 网络安全能够分为数据安全和服务安全两个层次。数据安全是防止信息被非法探听;服务安全是使网络系统提供不间断的通畅的对外服务。从严格的意义上讲,只有物理上完全隔离的网络系统才是安全的。但为了实际生产以及信息交换的需要,采用完全隔离手段保障网络安全很少被采用。在有了对外的联系之后,网络安全的目的就是使不良用心的人窃听数据、破坏服务的成本提高到她们不能承受的程度。这里的成本包括设备成本、人力成本、时间成本等多方面的因素。 为提高恶意攻击者的攻击成本,Juniper的安全理念提供了多层次、多深度的防护体系,如图所示。 核心关键资源 Intrusion Prevention DoS Firewall IPSec VPN 集中管理 合作方案 Juniper提供了防火墙/VPN系列设备和IDP(入侵检测和防护)系列设备用以实现不同层次的保护功能。针对不同的应用环境有不同的产品型号对应,而且提供集中式管理工具。 Global-PRO & IDP Manager Global-PRO Express Central Site Medium Site Small Office/Telecommuter Network Core VPN, Firewall, DoS Intrusion prevention Mobile Management Tools 1.2.1 IPSec/SSL VPN IPsec/SSL VPN应用是为网络通信提供有效的信息安全手段。IPSec/SSL VPN是被广泛认可的公开、安全的VPN标准,它从技术角度保证数据的安全性。VPN应用中,多采用3DES、AES等加密技术和MD5、SHA1认证技术,这是当前广被认可的最先进、最实用的常见网络通信加密/认证技术手段。加密的目的是防止非法用户提取信息;认证的目的是防止非法用户篡改信息。 网络的VPN应用有两种:防火墙到防火墙、移动用户到IPsec VPN/防火墙或SSL VPN网关设备。前者是针对企业各分支机构,应用在各分支机构有固定IP地址的防火墙系统之间,供分支结构之间互通信息;后者针对移动办公的IP地址不固定的企业员工从Internet上对企业内部资源的访问,其中SSL VPN能够更好地为移动用户提供服务而且具备更强的安全性和可控性,是移动用户安全访问应用的技术趋势。 Juniper能够实现IPsec VPN与防火墙功能的紧密结合,SSL VPN解决方案在业界的市场占用率最高。 1.2.2网络攻击检测 对有服务攻击倾向的访问请求,防火墙采取两种方式来处理:禁止或代理。对于明确的百害而无一利的数据包如地址欺骗、Ping of Death等,防火墙会明确地禁止。对一些借用正常访问形式发生的攻击,因为不能一概否定,防火墙会启用代理功能,只将正常的数据请求放行。防火墙处在最前线的位置,承受攻击分析带来的资源损耗,从而使内部数据服务器免受攻击,专心做好服务。 因为防火墙主动承接攻击,或主动分析数据避免攻击,其性能方面有一定的要求。完善的解决方案应该是安全产品从技术设计层面、实际应用层面能够承受大工作量下的性能、安全需求。 1.2.3访问控制 从外网(互联网或广域网)进入企业网的用户,能够被防火墙有效地进行类别划分,即区分为企业移动用户和外部的公共访问者。防火墙能够允许合法用户的访问以及限制其正常的访问,禁止非法用户的试图访问。 限制用户访问的方法,简单讲就是策略控制。经过源IP、目的IP、源应用端口、目的端口等对用户的访问进行区分。另外,配合策略控制,还有多种辅助手段增强这种策略控制的灵活性和强度,如日志记录、流量计数、身份验证、时间定义、流量控制等。 Juniper的规则设置采取自上而下的传统。每条策略能够经过图形化的方式添加、修改、移动、删除,也能够经过ID号进行命令行操作。一些细小的特性使使用者感到方便,如能够在添加策略的同时定义Address等。 Juniper支持Zone到Zone之间、相同Zone内、Zone到其它所有Zone的策略定义,而且其不同的策略种类具有不同的优先级,充分体现出灵活性与实用性。 1.2.4入侵预防 Juniper建议采用单独的NetScreen-IDP(入侵检测和防护)系列设备,或者在ISG系列防火墙内增加刀片式的IDP(入侵检测和防护)安全模块。IDP(入侵检测和防护)不同于常规意义的IDS产品,主要有三方面的技术优势:1、主动防御。传统IDS采用Sniffer方式,在攻击产生后才响应,而且对UDP等方式的攻击无能为力。IDP(入侵检测和防护)能够采用Active方式,在攻击发生的同时进行保护,对所有的数据类型都有效。2、检测手段丰富。传统的IDS产品检测手段只有2-3种,多数采用”正向”误报产生告警;IDP(入侵检测和防护)为了实现精确报告,检测手段多达7种。3、管理方便。IDP(入侵检测和防护)采用分级式集中管理,能够高校利用管理资源,相较于基于单台设备进行管理的传统IDS,能够节省管理时间,提高实施效率。 1.2.5管理方式 任何网络设备都需要合理的管理方式。安全产品要求合理的、丰富的管理方式以提供给管理人员正确的配置、快速的分析手段。在整体的安全系统中,如果涉及数量较大的产品,集中的产品管理、监控将降低不必要的重复性工作,提高效率并减少失误。 1.2.6合作方案 安全是一个融合了多种技术的整体系统,当前的趋势是越来越专业化。专业化的产品之间需要配合,经过合理的、灵活的配合实现整体系统的安全最大化。 1.2.7流量控制 IP技术”尽力发送”的服务方式对服务质量控制能力的欠缺是IP技术发展的桎梏。防火墙作为网络系统的关键位置上其关键作用的关键设备,对各种数据的控制能力是保证服务正常运行的关键。不同的服务应用其数据流量有不同的特征,突发性强的FTP、实时性的语音、大流量的视频、关键性的Telnet控制等。如果防火墙系统不能针对不同的应用做出合理的带宽分配和流量控制,某一个用户的应用会在一定的时间内独占全部或大部分带宽资源,从而导致关键业务流量丢失、实时性业务流量中断等。 当前很多IP网络设备包括防火墙设备在QoS上采取了不同的实现方法。具有QoS机制的防火墙设备能够给用户最大的两或控制带宽效率的手段,从而保证服务的连续性、合理性。 1.3 Juniper的数据中心应用加速理念 由于数据中心的发展趋势是Web应用越来越多,许多用户在访问应用时发现Web服务器对应用的响应时间越来越慢,同时为确保Web应用交付的安全,我们愈加需要更高级别的多功能设备－应用前端(AFE)。经过结合关键功能以卸载(Offload) Web服务器处理、加速Web浏览器会话并保护”Web层”的安全,Juniper网络公司DX系列应用加速平台可在易于管理且非常灵活的平台内提供前所未有的应用性能、安全性和可用性。 第二章 总体方案建议 XXXXIDC的网络安全建设方案是参照国际通行的PDRR(Protection－防护、Detection－检测、Respone－响应和Recovery－恢复)安全模型进行设计的。 2.1 设备选型 2.1.1 防火墙 建议经过在IDC节点配置2台NetScreen ISG1000 或2台NetScreen ISG 的防火墙来进行网络安全保护。 ISG1000是Juniper 公司 初推出的防火墙产品,采用的是最新一代的ASIC芯片(第4代安全ASIC,即GigaScreen3),集成了一流的深层检测防火墙、VPN和DoS防护解决方案,因此能够实现安全、可靠的连接和网络及应用级防护功能来保护关键的大流量网络分段,为大型企业、运营商和数据中心网络提供可扩展的网络和应用安全性。具体的性能指标是:对大包和小包的最大吞吐能力都在1Gbps以上(对IDC而言,特别需要防火墙能够对实现对小包的高吞吐能力,在保护托管主机用户的安全同时,不会因为流量大或小包多而成为网络瓶颈),总会话数250,000条,每秒钟的新建会话数达20,000条,3DES VPN吞吐1Gbps。 由于ISG1000采用的是下一代安全网络系统架构,具备良好的扩展能力,除了2个外部数据插槽外(机箱上已有4个10/100/1000的电口),设备内部预留了2个扩展插槽,能够将应用层安全硬件模块(IDP刀片)插入,从而实施基于硬件的全面的应用层入侵检测和防护,实施应用层防护的性能能够达到1Gbps,在提高性能的同时,扩大对应用层保护的范围。 ISG 是Juniper 公司 初推出的防火墙产品,采用的是最新一代的ASIC芯片(第4代安全ASIC,即GigaScreen3),集成了一流的深层检测防火墙、VPN和DoS防护解决方案,因此能够实现安全、可靠的连接和网络及应用级防护功能来保护关键的大流量网络分段,为大型企业、运营商和数据中心网络提供可扩展的网络和应用安全性。具体的性能指标是:对大包和小包的最大吞吐能力都在2Gbps以上(对IDC而言,特别需要防火墙能够对实现对小包的高吞吐能力,在保护托管主机用户的安全同时,不会因为流量大或小包多而成为网络瓶颈),总会话数512,000条,每秒钟的新建会话数达30,000条,3DES VPN吞吐1Gbps。 由于ISG 采用的是下一代安全网络系统架构,具备良好的扩展能力,除了4个外部数据插槽外,设备内部预留了3个扩展插槽,能够将应用层安全硬件模块(IDP刀片)插入,从而实施基于硬件的全面的应用层入侵检测和防护,实施应用层防护的性能能够达到2Gbps,在提高性能的同时,扩大对应用层保护的范围。 ISG1000/ISG 防火墙都能够支持虚拟系统,方便IDC开展业务。虚拟防火墙技术是由Juniper最早推出并得到IDC的广泛使用,它允许在一台物理防火墙中创立多个虚拟防火墙系统,每个虚拟系统拥有独立的地址簿、策略和管理等功能。虚拟系统与802.1Q VLAN标记/物理接口/相结合,把安全域延伸到整个交换网络中。NetScreen设备和相应的VLAN/物理接口/交换网络,能够表现为多个具有完全安全特性的防火墙系统。虚系统功能对IDC提供增值服务特别有利。Juniper是最早成熟提供虚系统技术的防火墙厂家,并在实际环境中有大量的稳定运行的案例。基于VLAN的逻辑子接口,除了配合不同的Vsys经过一个物理接口连接到多个网络外,还能够单独使用,其表现就像一个独立的物理接口一样具有众多的可配置特性。防火墙系统会识别带由tag的帧,并转换成正常的以太帧进行防火检测、路由、策略等基本操作。VSYS的划分标准除802.1Q标准外,还能够经过不同的端口(包括物理端口、逻辑端口)以及不同的IP地址划分,为满足不同用户的需求提供了灵活的实施方法。 2.1.2 入侵检测和防护 建议经过在IDC节点配置ISG防火墙 的IDP(入侵检测和防护)刀片模块(如果选用ISG 防火墙,最多3块;ISG1000最多2块)或单独的IDP1100。如果采用3块IDP刀片模块插在ISG 防火墙内部,则实施应用层防护的吞吐能够达到2Gbps;如果采用2块IDP刀片模块插在ISG1000防火墙内部,则实施应用层防护的吞吐能够达到1Gbps;如果采用单独的IDP1100,应用层防护的吞吐能够达到1Gbps。 2.1.3 SSL VPN网关 为方便IDC机房托管主机的用户管理人员能够安全、方便地远程访问和控制IDC托管机房的主机,建议采用Juniper的SSL VPN设备。Juniper的SSL安全访问产品(可简称为IVE)从根本上解决了安全远程访问问题,能够为IDC提供对重要服务器资源的安全远程访问,同时它又消除了因为远程用户客户端的维护等带来的诸多不便。 建议采用一台SA700的SSL VPN设备,并发VPN用户数各为25个,能够对重要的IDC托管主机用户提供该项服务,方便用户安全管理自己的托管主机。SA700的配置简单,可采用单臂连接的方式(即交换机Cat6509和SA700之间用百兆网线连接)即可,实施时无需对现有网络进行任何改动。 SA700主要采用网络层连接(network connect)的方式,让远程用户(只需是WindowsMe或以上平台)首先登陆到IVE系统当中,进行相关的安全机制检查和身份认证,经过认证和授权后,远程系统会自动加载一个小插件,这个插件能够从IVE系统中自动的获得一个内部网络的IP地址,从而实现对内部网络资源的访问,该种访问方式与IPSec类似,可是就不受地址翻译和配置客户端软件的影响。该方式能够支持几乎全部的网络应用,包括相对复杂的视频会议、IP电话等等。 采用SA700的设备,还能够对用户终端设备进行节点安全机制检查,而且根据检查的结果,实施相应的访问控制,确保安全性。SA700允许管理员对以下的选项进行定制。 ü 和第三方节点安全解决方案整合 ü 注册表参数检查 ü 开放/不允许的 ports检查 ü 允许/不允许的进程检查 ü 允许/不允许的文件检查 ü 检查定制的dlls ü 对第三方软件实施心跳检查 ü 应用认证检查 (进程, 文件 MD5 Hash) 在动态访问控制方面,SA700也有很强的细粒度的访问控制机制,真正实现了对用户身份(Who),访问的目的资源(What),时间(When),位置(Where)和方式(How)的动态控制。IVE平台提供整体的网络安全设计,经过坚固的系统完成对外部应用请求的转换,同时对各种连接进行细粒度的访问控制,而这种安全上的保障,是不以投资、复杂性和稳定性的牺牲为前提的。 2.1.4 应用加速 建议经过在IDC节点配置应用加速产品对数据中心的Web应用进行加速和对服务器实施负载均衡。 2.2 应用和管理 2.2.1 虚拟防火墙技术在IDC的应用方案 基于IDC用户的需求,Juniper防火墙最早在业界实现虚拟防火墙技术,并成功地在多个IDC用户处进行了实际应用。在NS500以上级别的防火墙系统里提供虚拟防火墙功能升级选项。 由于一个IDC数据中心的主机托管用户众多,许多用户都提出来需要有独立的防火墙供其控制对其托管服务器进行管理和保护。虚拟防火墙技术对于IDC对其说是一个很好的增值服务解决方案,方便为各个用户提供虚拟防火墙供其管理配置。 具体的实现方法有两种: 基于VLAN划分虚拟防火墙 基于VLAN对信息流分类到不同的虚拟防火墙里,一个简单的拓扑连接图如下: 三个托管用户的主机分别位于三个VLAN里面,分别是vlan1、vlan2、vlan3,该三个vlan的缺省网关都在防火墙上,是防火墙的三个逻辑子接口。防火墙上划分三个虚拟防火墙,分别是vsys1、vsys2、vsys3。以上典型配置的逻辑图为: 三个虚拟防火墙vsys1、vsys2、vsys3都共用一个外部接口,接外网段。各托管用户能够配置到自己的vvys流量的策略,包括地址翻译、IPsec VPN等。三个vsys之间能够控制是否允许互相访问。 基于IP地址段划分虚拟防火墙 基于IP地址段对信息流分类到不同的虚拟防火墙里,一个简单的拓扑连接图如下(和基于VLAN的一样): 三个托管用户的主机分别放在三个网段:10.1.1.0/24、10.1.2.0/24、和10.1.3.0/24。 三个网段的缺省网关在防火墙后面的路由器上,防火墙的内网口地址是10.1.0.1/16。防火墙的外网口和内网口都是三个虚拟防火墙共享的。防火墙对信息流的IP地址进行分类,归入不同的虚拟防火墙vsys来进行处理。 2.2.2 防火墙的网络地址转换实现方案 在很多环境下,IDC有可能需要做地址翻译。 防火墙除了接口支持NAT模式以外,防火墙还能够经过设定策略实现以下地址转换的功能: 基于策略的源和目标地址和端口翻译 在策略中能够定义目标地址是否需要转换,其IP地址和端口能够转换为需要的地址和端口。 动态IP地址翻译(DIP,Dynamic IP Pool) DIP 池包含一个范围内的 IP 地址, 防火墙设备在对 IP 封包包头中的源 IP 地址执行网络地址转换 (NAT) 时,可从中动态地提取地址。 在实施动态IP地址翻译具体方式上,能够实现下列功能 a) 端口地址翻译的DIP 使用”端口地址转换”(PAT),多台主机可共享同一 IP 地址,防火墙设备维护一个已分配端口号的列表,以识别哪个会话属于哪个主机。启用 PAT 后,最多 64,500 台主机即可共享单个 IP 地址。 b) 固定端口地址的DIP 一些应用,如”NetBIOS 扩展用户接口”(NetBEUI) 和”Windows 互联网命名服务”(WINS),需要具体的端口号,如果将 PAT 应用于它们,它们将无法正常运行。对于这种应用,应用 DIP 时,可指定不执行 PAT(即,使用固定端口)。对于固定端口 DIP,防火墙设备散列原始的主机 IP 地址,并将它保存在其主机散列表中,从而允许防火墙设备将正确的会话与每个主机相关联。 c) 扩展端口和DIP 根据情况,如果需要将出站防火墙信息流中的源 IP 地址,从出口接口的地址转换成不同子网中的地址,可使用扩展接口选项。此选项允许将第二个 IP 地址和一个伴随 DIP 池连接到一个在不同子网中的接口。然后,可基于每个策略启用 NAT,而且指定 DIP 池,该池在用于转换的扩展接口上创立。 d) 附着DIP 主机发起与已启用网络地址转换 (NAT) 的策略相匹配的几个会话,而且获得了来自动态 IP (DIP) 池的分配地址时,防火墙设备为每个会话分配不同的源 IP 地址。对于创立多个会话(每个会话都需要同一源 IP 地址)的服务,这种随机地址分配可能会产生问题。 静态地址翻译(映射IP地址) 映射 IP (MIP) 是一个 IP 地址到另一个 IP 地址的一对一直接映射。防火墙设备将目的地为 MIP 的内向信息流转发至地址为 MIP 指向地址的主机。实际上,MIP 是静态目的地地址转换。”动态 IP”(DIP) 将 IP 封包包头中的源 IP地址转换为 DIP 池中随机选择的地址,而 MIP 将 IP 封包包头中的目的地 IP 地址映射为另一个静态 IP 地址。 MIP 允许入站信息流到达接口模式为 NAT 的区段中的私有地址。MIP 还部分解决经过 VPN 通道连接的两个站点之间地址空间重叠的问题。 为保证MIP实现的灵活性,可在与任何已编号通道接口(即带 IP 地址/ 网络掩码的接口)及任何绑定到第 3 层 (L3) 安全区段的已编号接口相同的子网中创立 MIP。 VIP地址翻译 根据 TCP 或 UDP 片段包头的目的地端口号,虚拟 IP (VIP) 地址将在一个 IP 地址处接收到的信息流映射到另一个地址。例如: l 目的地为 210.1.1.3:80(即,IP 地址为 210.1.1.3,端口为 80)的 HTTP 封包可能映射到地址为 10.1.2.10 的web 服务器。 l 目的地为 210.1.1.3:21 的 FTP 封包可能映射到地址为 10.1.2.20 的 FTP 服务器。 l 目的地为 210.1.1.3:25 的 FTP 封包可能映射到地址为 10.1.2.30 的 FTP 服务器。 由于目的地 IP 地址相同,防火墙设备根据目的地端口号确定将信息流转发到的主机。 能够对众所周知(Well-Known)的服务使用虚拟端口号以增强安全性。例如,如果您只想允许分支机构的雇员在公司网站访问 FTP 服务器,能够指定从 1024 到 65,535 的注册端口号充当内向 FTP 信息流的端口号。Juniper 设备拒绝任何尝试在其众所周知的端口号 (21) 到达 FTP 服务器的信息流。只有预先知道虚拟端口号并将其附加到封包包头的人员才能访问该服务器。 2.2.3 安全策略的实施和应用 防火墙系统的安全策略是整个系统的核心,对于一个安全系统,安全策略的制订至关重要。策略本身出现问题,会导致整个安全系统产生致命的安全问题。因此,对于安全系统的策略制订一定要遵守相关的原则。 几乎所有防火墙系统的安全策略由以下元素组成: 源地址 目的地址 服务 动作 所有防火墙策略的执行是按照前后顺序方式执行,当策略被执行后,其后的策略不被执行。因此,在制订安全策略时要遵循以下原则: · 越严格的策略越要放在前面 · 越宽松的策略越要往后放 · 策略避免有二意性 三种类型的策略 可经过以下三种策略控制信息流的流动: · 经过创立区段间策略,能够管理允许从一个安全区段到另一个安全区段的信息流的种类。 · 经过创立区段内部策略,也能够控制允许经过绑定到同一区段的接口间的信息流的类型。 · 经过创立全局策略,能够管理地址间的信息流,而不考虑它们的安全区段。 策略定义 防火墙提供具有单个进入和退出点的网络边界。由于所有信息流都必须经过此点,因此能够筛选并引导所有经过执行策略组列表(区段间策略、内部区段策略和全局策略)产生的信息流。策略能允许、拒绝、加密、认证、排定优先次序、调度以及监控尝试从一个安全区段流到另一个安全区段的信息流。能够决定哪些用户和信息能进入和离开,以及它们进入和离开的时间和地点。 策略的结构 策略必须包含下列元素: · 区段(源区段和目的区段) · 地址(源地址和目的地址) · 服务 · 动作(permit、deny、tunnel) 策略也可包含下列元素: · VPN 通道确定 · Layer 2(第2 层)传输协议(L2TP) 通道确定 · 策略组列表顶部位置 · 网络地址转换(NAT),使用动态IP (DIP) 池 · 用户认证 · 备份HA 会话 · 记录 · 计数 · 信息流报警设置 · 时间表 · 信息流整形 时间表 经过将时间表与策略相关联,能够确定策略生效的时间。能够将时间表配置为循环生效,也可配置为单次事件。时间表为控制网络信息流的流动以及确保网络安全提供了强有力的工具。在稍后的一个范例中,如果您担心职员向公司外传输重要数据,则可设置一个策略,阻塞正常上班时间以外的出站FTP-Put 和MAIL 信息流。 2.2.4 防火墙防网络层攻击保护 基于安全区段的防火墙保护选项 防火墙用于保护网络的安全,具体做法是先检查要求从一个安全区段到另一区段的通路的所有连接尝试,然后予以允许或拒绝。缺省情况下,防火墙拒绝所有方向的所有信息流。经过创立策略,定义允许在预定时间经过指定源地点到达指定目的地点的信息流的种类,您能够控制区段间的信息流。范围最大时,能够允许所有类型的信息流从一个区段中的任何源地点到其它所有区段中的任何目的地点,而且没有任何预定时间限制。范围最小时,能够创立一个策略,只允许一种信息流在预定的时间段内、在一个区段中的指定主机与另一区段中的指定主机之间流动。 为保护所有连接尝试的安全,防火墙设备使用了一种动态封包过滤方法,即一般所说的状态式检查。使用此方法,防火墙设备在TCP 包头中记入各种不同的信息单元— 源和目的IP 地址、源和目的端口号,以及封包序列号—并保持穿越防火墙的每个TCP 会话的状态。(防火墙也会根据变化的元素,如动态端口变化或会话终止,来修改会话状态。)当响应的TCP 封包到达时,防火墙设备会将其包头中包含的信息与检查表中储存的相关会话的状态进行比较。如果相符,允许响应封包经过防火墙。如果不相符,则丢弃该封包。 防火墙选项用于保护区段的安全,具体做法是先检查要求经过某一接口离开和到达该区域的所有连接尝试,然后予以准许或拒绝。为避免来自其它区段的攻击,能够启用防御机制来检测并避开以下常见的网络攻击。下列选项可用于具有物理接口的区段(这些选项不适用于子接口):SYN Attack(SYN 攻击)、ICMP Flood(ICMP 泛滥)、UDP Flood (UDP 泛滥)和Port Scan Attack(端口扫描攻击)。 l SYN Attack(SYN 攻击):当网络中充满了会发出无法完成的连接请求的SYN 封包,以至于网络无法再处理合法的连接请求,从而导致拒绝服务(DoS) 时,就发生了SYN 泛滥攻击。 l ICMP Flood(ICMP 泛滥):当ICMP ping 产生的大量回应请求超出了系统的最大限度,以至于系统耗费所有资源来进行响应直至再也无法处理有效的网络信息流时,就发生了ICMP 泛滥。当启用了ICMP 泛滥保护功能时,能够设置一个临界值,一旦超过此值就会调用ICMP 泛滥攻击保护功能。如果超过了该临界值,防火墙设备在该秒余下的时间和下一秒内会忽略其它的ICMP 回应要求。 l UDP Flood(UDP 泛滥):与ICMP 泛滥相似,当以减慢系统速度为目的向该点发送UDP 封包,以至于系统再也无法处理有效的连接时,就发生了UDP 泛滥。当启用了UDP 泛滥保护功能时,能够设置一个临界值,一旦超过此临界值就会调用UDP 泛滥攻击保护功能。如果从一个或多个源向单个目表发送的UDP 封包数超过了此临界值,Juniper 设备在该秒余下的时间和下一秒内会忽略其它到该目标的UDP 封包。 l Port Scan Attack(端口扫描攻击):当一个源IP 地址在定义的时间间隔内向位于相同目标IP 地址10 个不同的端口发送IP 封包时,就会发生端口扫描攻击。这个方案的目的是扫描可用的服务,希望会有一个端口响应,因此识别出作为目标的服务。Juniper 设备在内部记录从某一远程源地点扫描的不同端口的数目。使用缺省设置,如果远程主机在0.005 秒内扫描了10 个端口(5,000 微秒),防火墙会将这一情况标记为端口扫描攻击,并在该秒余下的时间内拒绝来自该源地点的其它封包(不论目标IP 地址为何)。 余下的选项可用于具有物理接口和子接口的区段: l Limit session(限制会话):防火墙设备可限制由单个IP 地址建立的会话数量。例如,如果从同一客户端发送过多的请求,就能耗尽Web 服务器上的会话资源。此选项定义了每秒钟防火墙设备能够为单个IP 地址建立的最大会话数量。 l SYN-ACK-ACK Proxy 保护:当认证用户初始化Telnet 或FTP 连接时,用户会SYN 封包到Telnet 或FTP服务器。Juniper 设备会截取封包,经过Proxy 将SYN-ACK 封包发送给用户。用户用ACK 封包响应。此时,初始的三方握手就已完成。防火墙设备在其会话表中建立项目,并向用户发送登录提示。如果用户怀有恶意而不登录,但继续启动SYN-ACK-ACK 会话,防火墙会话表就可能填满到某个程度,让设备开始拒绝合法的连接要求。要阻挡这类攻击,您能够启用SYN-ACK-ACK Proxy 保护SCREEN 选项。从相同IP 地址的连接数目到达syn-ack-ack-proxy 临界值后,防火墙设备就会拒绝来自该IP 地址的进一步连接要求。缺省情况下,来自单一IP 地址的临界值是512 次连接。您能够更改这个临界值(为1 到2,500,000 之间的任何数目)以更好地适合网络环境的需求。 l SYN Fragment(SYN 碎片):SYN 碎片攻击使目标主机充塞过量的SYN 封包碎片。主机接到这些碎片后,会等待其余的封包到达以便将其重新组合在起来。经过向服务器或主机堆积无法完成的连接,主机的内存缓冲区最终将会塞满。进一步的连接无法进行,而且可能会破坏主机操作系统。当协议字段指示是ICMP封包,而且片断标志被设置为1 或指出了偏移值时,防火墙设备会丢弃ICMP 封包。 l SYN and FIN Bits Set(SYN 和FIN 位的封包):一般不会在同一封包中同时设置SYN 和FIN 标志。可是,攻击者能够经过发送同时置位两个标志的封包来查看将返回何种系统应答,从而确定出接收端上的系统的种类。接着,攻击者能够利用已知的系统漏洞来实施进一步的攻击。启用此选项可使防火墙设备丢弃在标志字段中同时设置SYN 和FIN 位的封包。 l TCP Packet Without Flag(无标记的TCP 封包):一般,在发送的TCP 封包的标志字段中至少会有一位被置位。此选项将使防火墙设备丢弃字段标志缺少或不全的TCP 封包。 l FIN Bit With No ACK Bit(有FIN 位无ACK 位):设置了FIN 标志的TCP 封包一般也会设置ACK 位。此选项将使防火墙设备丢弃在标志字段中设置了FIN 标志,但没有设置ACK 位的封包。 l ICMP Fragment(ICMP 碎片):检测任何设置了”更多片断”标志,或在偏移字段中指出了偏移值的ICMP 帧。 l Ping of Death:TCP/IP 规范要求用于数据包报传输的封包必须具有特定的大小。许多ping 实现允许用户根据需要指定更大的封包大小。过大的ICMP 封包会引发一系列负面的系统反应,如拒绝服务(DoS)、系统崩溃、死机以及重新启动。如果允许防火墙设备执行此操作,它能够检测并拒绝此类过大且不规则的封包。 l Address Sweep Attack(地址扫描攻击):与端口扫描攻击类似,当一个源IP 地址在定义的时间间隔(缺省值为5,000 微秒)内向不同的主机发送ICMP 响应要求(或ping)时,就会发生地址扫描攻击。这个配置的目的是Ping 数个主机,希望有一个会回复响应,以便找到能够作为目标的地址。防火墙设备在内部记录从一个远程源ping 的不同地址的数目。使用缺省设置,如果某远程主机在0.005 秒(5,000 微秒)内ping 了10 个地址,防火墙会将这一情况标记为地址扫描攻击,并在该秒余下的时间内拒绝来自于该主机的ICMP 回应要求。 l Large ICMP Packet(大的ICMP 封包):防火墙设备丢弃长度大于1024 的ICMP 封包。 l Tear Drop Attack(撕毁攻击):撕毁攻击利用了IP 封包碎片的重新组合。在IP 包头中,选项之一为偏移值。当一个封包碎片的偏移值与大小之和不同于下一封包碎片时,封包发生重叠,而且服务器尝试重新组合封包时会引起系统崩溃。如果防火墙在某封包碎片中发现了这种不一致现象,将会丢弃该碎片。 l Filter IP Source Route Option(过滤IP 源路由选项):IP 包头信息有一个选项,其中所含的路由信息可指定与包头源路由不同的源路由。启用此选项可封锁所有使用”源路由选项”的IP 信息流。”源路由选项”可允许攻击者以假的IP 地址进入网络,并将数据送回到其真正的地址。 l Record Route Option(记录路由选项):防火墙设备封锁IP 选项为7(记录路由)的封包。此选项用于记录封包的路由。记录的路由由一系列互联网地址组成,外来者经过分析能够了解到您的网络的编址方案及拓扑结构方面的详细信息。 l IP Security Option(IP 安全性选项):此选项为主机提供了一种手段,可发送与DOD 要求兼容的安全性、分隔、TCC(非公开用户组)参数以及”处理限制代码”。 l IP Strict Source Route Option(IP 严格源路由选项):防火墙设备封锁IP 选项为9(严格源路由选择)的封包。此选项为封包源提供了一种手段,可在向目标转发封包时提供网关所要使用的路由信息。此选项为严格源路由,因为网关或主机IP 必须将数据包报直接发送到源路由中的下一地址,而且只能经过下一地址中指示的直接连接的网络才能到达路由中指定的下一网关或主机。 l Unknown Protocol(未知协议):防火墙设备丢弃协议字段设置为101 或更大值的封包。当前,这些协议类型被保留,尚未定义。 l IP Spoofing(IP 欺骗):当攻击者试图经过假冒有效的客户端IP 地址来绕过防火墙保护时,就发生了欺骗攻击。如果启用了IP 欺骗防御机制,防火墙设备会用自己的路由表对IP 地址进行分析,来抵御这种攻击。如果IP 地址不在路由表中,则不允许来自该源的信息流经过防火墙设备进行通信,而且会丢弃来自该源的所有封包。在CLI 中,您能够指示Juniper 设备丢弃没有包含源路由或包含已保留源IP 地址(不可路由的,例如127.0.0.1)的封包:set zone zone screen ip-spoofing drop-no-rpf-route。 l Bad IP Option(坏的IP 选项):当IP 数据包包头中的IP 选项列表不完整或残缺时,会触发此选项。 l IP Timestamp Option(IP 时戳选项):防火墙设备封锁IP 选项列表中包括选项4(互联网时戳)的封包。 l Loose Source Route Option:防火墙设备封锁IP 选项为3(松散源路由)的封包。此选项为封包源提供了一种手段,可在向目标转发封包时提供网关所要使用的路由信息。此选项是松散源路由,因为允许网关或主机IP 使用任何数量的其它中间网关的任何路由来到达路由中的下一地址。 l IP Stream Option(IP 流选项):防火墙设备封锁IP 选项为8(流ID)的封包。此选项提供了一种方法,用于在不支持流概念的网络中输送16 位SATNET 流标识符。 l WinNuke Attack(WinNuke 攻击):WinNuke 是一种常见的应用程序,其唯一目的就是使互联网上任何运行Windows 的计算机崩溃。WinNuke 经过已建立的连接向主机发送带外(OOB) 数据— 一般发送到NetBIOS 端口139— 并引起NetBIOS 碎片重叠,以此来使多台机器崩溃。重新启动后,会显示下列信息,指示攻击已经发生: An exception OE has occurred at 0028:[address] in VxD MSTCP(01) + 000041AE. This was called from