1、Juniper互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)網(wǎng)絡(luò)安全解決方案建議書美國Juniper網(wǎng)絡(luò)公司目錄第一章 綜述31.1前言31.2 Juniper的安全理念31.2.1 IPSec/SSL VPN41.2.2網(wǎng)絡(luò)攻擊檢測41.2.3訪問控制51.2.4入侵預(yù)防51.2.5管理方式61.2.6合作方案61.2.7流量控制61.3 Juniper的數(shù)據(jù)中心應(yīng)用加速理念6第二章 總體方案建議72.1 設(shè)備選型72.1.1 防火墻72.1.2 入侵檢測和防護(hù)82.1.3 SSL VPN網(wǎng)關(guān)82.1.4 應(yīng)用加速102.2 應(yīng)用和管理102.2.1 虛擬防火墻技術(shù)在IDC的應(yīng)用方案102.2.2 防火墻的網(wǎng)絡(luò)地

2、址轉(zhuǎn)換實(shí)現(xiàn)方案112.2.3 安全策略的實(shí)施和應(yīng)用142.2.4 防火墻防網(wǎng)絡(luò)層攻擊保護(hù)152.2.5 防火墻管理202.2.6 IDP刀片模塊或IDP設(shè)備對應(yīng)用層的保護(hù)212.2.7 應(yīng)用加速設(shè)備DX的使用24第一章 綜述1.1前言隨著計(jì)算機(jī)技術(shù)和通信技術(shù)的飛速發(fā)展，信息化浪潮席卷全球，一種全新的先進(jìn)生產(chǎn)力的出現(xiàn)已經(jīng)把人類帶入了一個新的時代。信息技術(shù)的發(fā)展極大地改變了人們的生活、工作模式，網(wǎng)上新聞、網(wǎng)上購物、遠(yuǎn)程教育、電子商務(wù)等等各種應(yīng)用層出不窮，世界各地的信息資源得到了高度的共享。這充分顯示出信息化對社會生產(chǎn)力的巨大變革作用。1.2 Juniper的安全理念網(wǎng)絡(luò)安全可以分為數(shù)據(jù)安全和服務(wù)安

3、全兩個層次。數(shù)據(jù)安全是防止信息被非法探聽；服務(wù)安全是使網(wǎng)絡(luò)系統(tǒng)提供不間斷的通暢的對外服務(wù)。從嚴(yán)格的意義上講，只有物理上完全隔離的網(wǎng)絡(luò)系統(tǒng)才是安全的。但為了實(shí)際生產(chǎn)以及信息交換的需要，采用完全隔離手段保障網(wǎng)絡(luò)安全很少被采用。在有了對外的聯(lián)系之后，網(wǎng)絡(luò)安全的目的就是使不良用心的人竊聽數(shù)據(jù)、破壞服務(wù)的成本提高到他們不能承受的程度。這里的成本包括設(shè)備成本、人力成本、時間成本等多方面的因素。為提高惡意攻擊者的攻擊成本，Juniper的安全理念提供了多層次、多深度的防護(hù)體系，如圖所示。核心關(guān)鍵資源IntrusionPreventionDoSFirewallIPSec VPN集中管理合作方案Juniper提

4、供了防火墻/VPN系列設(shè)備和IDP（入侵檢測和防護(hù)）系列設(shè)備用以實(shí)現(xiàn)不同層次的保護(hù)功能。針對不同的應(yīng)用環(huán)境有不同的產(chǎn)品型號對應(yīng)，而且提供集中式管理工具。Global-PRO & IDP ManagerGlobal-PRO ExpressCentral SiteMedium SiteSmall Office/TelecommuterNetwork CoreVPN, Firewall, DoSIntrusion preventionMobileManagement Tools1.2.1 IPSec/SSL VPNIPsec/SSL VPN應(yīng)用是為網(wǎng)絡(luò)通信提供有效的信息安全手段。IPSec/SSL

5、VPN是被廣泛認(rèn)可的公開、安全的VPN標(biāo)準(zhǔn)，它從技術(shù)角度保證數(shù)據(jù)的安全性。VPN應(yīng)用中，多采用3DES、AES等加密技術(shù)和MD5、SHA1認(rèn)證技術(shù)，這是目前廣被認(rèn)可的最先進(jìn)、最實(shí)用的常用網(wǎng)絡(luò)通信加密/認(rèn)證技術(shù)手段。加密的目的是防止非法用戶提取信息；認(rèn)證的目的是防止非法用戶篡改信息。網(wǎng)絡(luò)的VPN應(yīng)用有兩種：防火墻到防火墻、移動用戶到IPsec VPN/防火墻或SSL VPN網(wǎng)關(guān)設(shè)備。前者是針對企業(yè)各分支機(jī)構(gòu)，應(yīng)用在各分支機(jī)構(gòu)有固定IP地址的防火墻系統(tǒng)之間，供分支結(jié)構(gòu)之間互通信息；后者針對移動辦公的IP地址不固定的企業(yè)員工從Internet上對企業(yè)內(nèi)部資源的訪問，其中SSL VPN可以更好地為移動

6、用戶提供服務(wù)并且具備更強(qiáng)的安全性和可控性，是移動用戶安全訪問應(yīng)用的技術(shù)趨勢。Juniper可以實(shí)現(xiàn)IPsec VPN與防火墻功能的緊密結(jié)合，SSL VPN解決方案在業(yè)界的市場占用率最高。1.2.2網(wǎng)絡(luò)攻擊檢測對有服務(wù)攻擊傾向的訪問請求，防火墻采取兩種方式來處理：禁止或代理。對于明確的百害而無一利的數(shù)據(jù)包如地址欺騙、Ping of Death等，防火墻會明確地禁止。對一些借用正常訪問形式發(fā)生的攻擊，因?yàn)椴荒芤桓欧穸ǎ阑饓⒂么砉δ?，只將正常的?shù)據(jù)請求放行。防火墻處在最前線的位置，承受攻擊分析帶來的資源損耗，從而使內(nèi)部數(shù)據(jù)服務(wù)器免受攻擊，專心做好服務(wù)。因?yàn)榉阑饓χ鲃映薪庸?，或主動分析?shù)據(jù)避

7、免攻擊，其性能方面有一定的要求。完善的解決方案應(yīng)該是安全產(chǎn)品從技術(shù)設(shè)計(jì)層面、實(shí)際應(yīng)用層面能夠承受大工作量下的性能、安全需求。1.2.3訪問控制從外網(wǎng)（互聯(lián)網(wǎng)或廣域網(wǎng)）進(jìn)入企業(yè)網(wǎng)的用戶，可以被防火墻有效地進(jìn)行類別劃分，即區(qū)分為企業(yè)移動用戶和外部的公共訪問者。防火墻可以允許合法用戶的訪問以及限制其正常的訪問，禁止非法用戶的試圖訪問。限制用戶訪問的方法，簡單講就是策略控制。通過源IP、目的IP、源應(yīng)用端口、目的端口等對用戶的訪問進(jìn)行區(qū)分。此外，配合策略控制，還有多種輔助手段增強(qiáng)這種策略控制的靈活性和強(qiáng)度，如日志記錄、流量計(jì)數(shù)、身份驗(yàn)證、時間定義、流量控制等。Juniper的規(guī)則設(shè)置采取自上而下的傳統(tǒng)

8、。每條策略可以通過圖形化的方式添加、修改、移動、刪除，也可以通過ID號進(jìn)行命令行操作。一些細(xì)小的特性使使用者感到方便，如可以在添加策略的同時定義Address等。Juniper支持Zone到Zone之間、相同Zone內(nèi)、Zone到其他所有Zone的策略定義，而且其不同的策略種類具有不同的優(yōu)先級，充分體現(xiàn)出靈活性與實(shí)用性。1.2.4入侵預(yù)防Juniper建議采用單獨(dú)的NetScreen-IDP（入侵檢測和防護(hù)）系列設(shè)備，或者在ISG系列防火墻內(nèi)增加刀片式的IDP（入侵檢測和防護(hù)）安全模塊。IDP（入侵檢測和防護(hù)）不同于常規(guī)意義的IDS產(chǎn)品，主要有三方面的技術(shù)優(yōu)勢：1、主動防御。傳統(tǒng)IDS采用Sn

9、iffer方式，在攻擊產(chǎn)生后才響應(yīng)，而且對UDP等方式的攻擊無能為力。IDP（入侵檢測和防護(hù)）可以采用Active方式，在攻擊發(fā)生的同時進(jìn)行保護(hù)，對所有的數(shù)據(jù)類型都有效。2、檢測手段豐富。傳統(tǒng)的IDS產(chǎn)品檢測手段只有2-3種，多數(shù)采用“正向”誤報(bào)產(chǎn)生告警；IDP（入侵檢測和防護(hù)）為了實(shí)現(xiàn)精確報(bào)告，檢測手段多達(dá)7種。3、管理方便。IDP（入侵檢測和防護(hù)）采用分級式集中管理，可以高校利用管理資源，相較于基于單臺設(shè)備進(jìn)行管理的傳統(tǒng)IDS，可以節(jié)省管理時間，提高實(shí)施效率。1.2.5管理方式任何網(wǎng)絡(luò)設(shè)備都需要合理的管理方式。安全產(chǎn)品要求合理的、豐富的管理方式以提供給管理人員正確的配置、快速的分析手段。在

10、整體的安全系統(tǒng)中，如果涉及數(shù)量較大的產(chǎn)品，集中的產(chǎn)品管理、監(jiān)控將降低不必要的重復(fù)性工作，提高效率并減少失誤。1.2.6合作方案安全是一個融合了多種技術(shù)的整體系統(tǒng)，目前的趨勢是越來越專業(yè)化。專業(yè)化的產(chǎn)品之間需要配合，通過合理的、靈活的配合實(shí)現(xiàn)整體系統(tǒng)的安全最大化。1.2.7流量控制IP技術(shù)“盡力發(fā)送”的服務(wù)方式對服務(wù)質(zhì)量控制能力的欠缺是IP技術(shù)發(fā)展的桎梏。防火墻作為網(wǎng)絡(luò)系統(tǒng)的關(guān)鍵位置上其關(guān)鍵作用的關(guān)鍵設(shè)備，對各種數(shù)據(jù)的控制能力是保證服務(wù)正常運(yùn)行的關(guān)鍵。不同的服務(wù)應(yīng)用其數(shù)據(jù)流量有不同的特征，突發(fā)性強(qiáng)的FTP、實(shí)時性的語音、大流量的視頻、關(guān)鍵性的Telnet控制等。如果防火墻系統(tǒng)不能針對不同的應(yīng)用做

11、出合理的帶寬分配和流量控制，某一個用戶的應(yīng)用會在一定的時間內(nèi)獨(dú)占全部或大部分帶寬資源，從而導(dǎo)致關(guān)鍵業(yè)務(wù)流量丟失、實(shí)時性業(yè)務(wù)流量中斷等。目前很多IP網(wǎng)絡(luò)設(shè)備包括防火墻設(shè)備在QoS上采取了不同的實(shí)現(xiàn)方法。具有QoS機(jī)制的防火墻設(shè)備可以給用戶最大的兩或控制帶寬效率的手段，從而保證服務(wù)的連續(xù)性、合理性。1.3 Juniper的數(shù)據(jù)中心應(yīng)用加速理念由于數(shù)據(jù)中心的發(fā)展趨勢是Web應(yīng)用越來越多，許多用戶在訪問應(yīng)用時發(fā)現(xiàn)Web服務(wù)器對應(yīng)用的響應(yīng)時間越來越慢，同時為確保Web應(yīng)用交付的安全，我們愈加需要更高級別的多功能設(shè)備應(yīng)用前端（AFE）。通過結(jié)合關(guān)鍵功能以卸載(Offload) Web服務(wù)器處理、加速Web

12、瀏覽器會話并保護(hù)“Web層”的安全，Juniper網(wǎng)絡(luò)公司DX系列應(yīng)用加速平臺可在易于管理且非常靈活的平臺內(nèi)提供前所未有的應(yīng)用性能、安全性和可用性。第二章 總體方案建議XXXXIDC的網(wǎng)絡(luò)安全建設(shè)方案是參照國際通行的PDRR（Protection防護(hù)、Detection檢測、Respone響應(yīng)和Recovery恢復(fù)）安全模型進(jìn)行設(shè)計(jì)的。2.1 設(shè)備選型2.1.1 防火墻建議通過在IDC節(jié)點(diǎn)配置2臺NetScreen ISG1000 或2臺NetScreen ISG2000的防火墻來進(jìn)行網(wǎng)絡(luò)安全保護(hù)。ISG1000是Juniper 公司2005年初推出的防火墻產(chǎn)品，采用的是最新一代的ASIC芯片

13、（第4代安全ASIC，即GigaScreen3），集成了一流的深層檢測防火墻、VPN和DoS防護(hù)解決方案，因此可以實(shí)現(xiàn)安全、可靠的連接和網(wǎng)絡(luò)及應(yīng)用級防護(hù)功能來保護(hù)關(guān)鍵的大流量網(wǎng)絡(luò)分段，為大型企業(yè)、運(yùn)營商和數(shù)據(jù)中心網(wǎng)絡(luò)提供可擴(kuò)展的網(wǎng)絡(luò)和應(yīng)用安全性。具體的性能指標(biāo)是：對大包和小包的最大吞吐能力都在1Gbps以上（對IDC而言，尤其需要防火墻能夠?qū)?shí)現(xiàn)對小包的高吞吐能力，在保護(hù)托管主機(jī)用戶的安全同時，不會因?yàn)榱髁看蠡蛐“喽蔀榫W(wǎng)絡(luò)瓶頸），總會話數(shù)250,000條，每秒鐘的新建會話數(shù)達(dá)20,000條，3DES VPN吞吐1Gbps。由于ISG1000采用的是下一代安全網(wǎng)絡(luò)系統(tǒng)架構(gòu)，具備良好的擴(kuò)展能力

14、，除了2個外部數(shù)據(jù)插槽外（機(jī)箱上已有4個10/100/1000的電口），設(shè)備內(nèi)部預(yù)留了2個擴(kuò)展插槽，可以將應(yīng)用層安全硬件模塊（IDP刀片）插入，從而實(shí)施基于硬件的全面的應(yīng)用層入侵檢測和防護(hù)，實(shí)施應(yīng)用層防護(hù)的性能可以達(dá)到1Gbps，在提高性能的同時，擴(kuò)大對應(yīng)用層保護(hù)的范圍。ISG2000是Juniper 公司2004年初推出的防火墻產(chǎn)品，采用的是最新一代的ASIC芯片（第4代安全ASIC，即GigaScreen3），集成了一流的深層檢測防火墻、VPN和DoS防護(hù)解決方案，因此可以實(shí)現(xiàn)安全、可靠的連接和網(wǎng)絡(luò)及應(yīng)用級防護(hù)功能來保護(hù)關(guān)鍵的大流量網(wǎng)絡(luò)分段，為大型企業(yè)、運(yùn)營商和數(shù)據(jù)中心網(wǎng)絡(luò)提供可擴(kuò)展的網(wǎng)絡(luò)

15、和應(yīng)用安全性。具體的性能指標(biāo)是：對大包和小包的最大吞吐能力都在2Gbps以上（對IDC而言，尤其需要防火墻能夠?qū)?shí)現(xiàn)對小包的高吞吐能力，在保護(hù)托管主機(jī)用戶的安全同時，不會因?yàn)榱髁看蠡蛐“喽蔀榫W(wǎng)絡(luò)瓶頸），總會話數(shù)512,000條，每秒鐘的新建會話數(shù)達(dá)30,000條，3DES VPN吞吐1Gbps。由于ISG2000采用的是下一代安全網(wǎng)絡(luò)系統(tǒng)架構(gòu)，具備良好的擴(kuò)展能力，除了4個外部數(shù)據(jù)插槽外，設(shè)備內(nèi)部預(yù)留了3個擴(kuò)展插槽，可以將應(yīng)用層安全硬件模塊（IDP刀片）插入，從而實(shí)施基于硬件的全面的應(yīng)用層入侵檢測和防護(hù)，實(shí)施應(yīng)用層防護(hù)的性能可以達(dá)到2Gbps，在提高性能的同時，擴(kuò)大對應(yīng)用層保護(hù)的范圍。ISG

16、1000/ISG2000防火墻都可以支持虛擬系統(tǒng)，方便IDC開展業(yè)務(wù)。虛擬防火墻技術(shù)是由Juniper最早推出并得到IDC的廣泛使用，它允許在一臺物理防火墻中創(chuàng)建多個虛擬防火墻系統(tǒng)，每個虛擬系統(tǒng)擁有獨(dú)立的地址簿、策略和管理等功能。虛擬系統(tǒng)與802.1Q VLAN標(biāo)記/物理接口/相結(jié)合，把安全域延伸到整個交換網(wǎng)絡(luò)中。NetScreen設(shè)備和相應(yīng)的VLAN/物理接口/交換網(wǎng)絡(luò)，可以表現(xiàn)為多個具有完全安全特性的防火墻系統(tǒng)。虛系統(tǒng)功能對IDC提供增值服務(wù)特別有利。Juniper是最早成熟提供虛系統(tǒng)技術(shù)的防火墻廠家，并在實(shí)際環(huán)境中有大量的穩(wěn)定運(yùn)行的案例?；赩LAN的邏輯子接口，除了配合不同的Vsys通

17、過一個物理接口連接到多個網(wǎng)絡(luò)外，還可以單獨(dú)使用，其表現(xiàn)就像一個獨(dú)立的物理接口一樣具有眾多的可配置特性。防火墻系統(tǒng)會識別帶由tag的幀，并轉(zhuǎn)換成正常的以太幀進(jìn)行防火檢測、路由、策略等基本操作。VSYS的劃分標(biāo)準(zhǔn)除802.1Q標(biāo)準(zhǔn)外，還可以通過不同的端口（包括物理端口、邏輯端口）以及不同的IP地址劃分，為滿足不同用戶的需求提供了靈活的實(shí)施方法。2.1.2 入侵檢測和防護(hù)建議通過在IDC節(jié)點(diǎn)配置ISG防火墻 的IDP（入侵檢測和防護(hù)）刀片模塊（如果選用ISG2000防火墻，最多3塊；ISG1000最多2塊）或單獨(dú)的IDP1100。如果采用3塊IDP刀片模塊插在ISG2000防火墻內(nèi)部，則實(shí)施應(yīng)用層防

18、護(hù)的吞吐可以達(dá)到2Gbps；如果采用2塊IDP刀片模塊插在ISG1000防火墻內(nèi)部，則實(shí)施應(yīng)用層防護(hù)的吞吐可以達(dá)到1Gbps；如果采用單獨(dú)的IDP1100，應(yīng)用層防護(hù)的吞吐可以達(dá)到1Gbps。2.1.3 SSL VPN網(wǎng)關(guān)為方便IDC機(jī)房托管主機(jī)的用戶管理人員能夠安全、方便地遠(yuǎn)程訪問和控制IDC托管機(jī)房的主機(jī)，建議采用Juniper的SSL VPN設(shè)備。Juniper的SSL安全訪問產(chǎn)品（可簡稱為IVE）從根本上解決了安全遠(yuǎn)程訪問問題，可以為IDC提供對重要服務(wù)器資源的安全遠(yuǎn)程訪問，同時它又消除了因?yàn)檫h(yuǎn)程用戶客戶端的維護(hù)等帶來的諸多不便。建議采用一臺SA700的SSL VPN設(shè)備，并發(fā)VPN用

19、戶數(shù)各為25個，可以對重要的IDC托管主機(jī)用戶提供該項(xiàng)服務(wù)，方便用戶安全管理自己的托管主機(jī)。SA700的配置簡單，可采用單臂連接的方式（即交換機(jī)Cat6509和SA700之間用百兆網(wǎng)線連接）即可，實(shí)施時無需對現(xiàn)有網(wǎng)絡(luò)進(jìn)行任何改動。SA700主要采用網(wǎng)絡(luò)層連接（network connect）的方式，讓遠(yuǎn)程用戶（只需是WindowsMe或以上平臺）首先登陸到IVE系統(tǒng)當(dāng)中，進(jìn)行相關(guān)的安全機(jī)制檢查和身份認(rèn)證，通過認(rèn)證和授權(quán)后，遠(yuǎn)程系統(tǒng)會自動加載一個小插件，這個插件可以從IVE系統(tǒng)中自動的獲得一個內(nèi)部網(wǎng)絡(luò)的IP地址，從而實(shí)現(xiàn)對內(nèi)部網(wǎng)絡(luò)資源的訪問，該種訪問方式與IPSec類似，但是就不受地址翻譯和配置

20、客戶端軟件的影響。該方式可以支持幾乎全部的網(wǎng)絡(luò)應(yīng)用，包括相對復(fù)雜的視頻會議、IP電話等等。采用SA700的設(shè)備，還可以對用戶終端設(shè)備進(jìn)行節(jié)點(diǎn)安全機(jī)制檢查，并且根據(jù)檢查的結(jié)果，實(shí)施相應(yīng)的訪問控制，確保安全性。SA700允許管理員對以下的選項(xiàng)進(jìn)行定制。 和第三方節(jié)點(diǎn)安全解決方案整合 注冊表參數(shù)檢查 開放/不允許的 ports檢查 允許/不允許的進(jìn)程檢查 允許/不允許的文件檢查 檢查定制的dlls 對第三方軟件實(shí)施心跳檢查 應(yīng)用認(rèn)證檢查 (進(jìn)程, 文件 MD5 Hash)在動態(tài)訪問控制方面，SA700也有很強(qiáng)的細(xì)粒度的訪問控制機(jī)制，真正實(shí)現(xiàn)了對用戶身份（Who）,訪問的目的資源（What）,時間（W

21、hen）,位置（Where）和方式（How）的動態(tài)控制。IVE平臺提供整體的網(wǎng)絡(luò)安全設(shè)計(jì)，通過堅(jiān)固的系統(tǒng)完成對外部應(yīng)用請求的轉(zhuǎn)換，同時對各種連接進(jìn)行細(xì)粒度的訪問控制，而這種安全上的保障，是不以投資、復(fù)雜性和穩(wěn)定性的犧牲為前提的。2.1.4 應(yīng)用加速建議通過在IDC節(jié)點(diǎn)配置應(yīng)用加速產(chǎn)品對數(shù)據(jù)中心的Web應(yīng)用進(jìn)行加速和對服務(wù)器實(shí)施負(fù)載均衡。2.2 應(yīng)用和管理2.2.1 虛擬防火墻技術(shù)在IDC的應(yīng)用方案基于IDC用戶的需求，Juniper防火墻最早在業(yè)界實(shí)現(xiàn)虛擬防火墻技術(shù)，并成功地在多個IDC用戶處進(jìn)行了實(shí)際應(yīng)用。在NS500以上級別的防火墻系統(tǒng)里提供虛擬防火墻功能升級選項(xiàng)。由于一個IDC數(shù)據(jù)中心的

22、主機(jī)托管用戶眾多，許多用戶都提出來需要有獨(dú)立的防火墻供其控制對其托管服務(wù)器進(jìn)行管理和保護(hù)。虛擬防火墻技術(shù)對于IDC對其說是一個很好的增值服務(wù)解決方案，方便為各個用戶提供虛擬防火墻供其管理配置。具體的實(shí)現(xiàn)方法有兩種：基于VLAN劃分虛擬防火墻基于VLAN對信息流分類到不同的虛擬防火墻里，一個簡單的拓?fù)溥B接圖如下：三個托管用戶的主機(jī)分別位于三個VLAN里面，分別是vlan1、vlan2、vlan3，該三個vlan的缺省網(wǎng)關(guān)都在防火墻上，是防火墻的三個邏輯子接口。防火墻上劃分三個虛擬防火墻，分別是vsys1、vsys2、vsys3。以上典型配置的邏輯圖為：三個虛擬防火墻vsys1、vsys2、vsy

23、s3都共用一個外部接口，接外網(wǎng)段。各托管用戶可以配置到自己的vvys流量的策略，包括地址翻譯、IPsec VPN等。三個vsys之間可以控制是否允許互相訪問。基于IP地址段劃分虛擬防火墻基于IP地址段對信息流分類到不同的虛擬防火墻里，一個簡單的拓?fù)溥B接圖如下（和基于VLAN的一樣）：三個托管用戶的主機(jī)分別放在三個網(wǎng)段：/24、/24、和/24。三個網(wǎng)段的缺省網(wǎng)關(guān)在防火墻后面的路由器上，防火墻的內(nèi)網(wǎng)口地址是/16。防火墻的外網(wǎng)口和內(nèi)網(wǎng)口都是三個虛擬防火墻共享的。防火墻對信息流的IP地址進(jìn)行分類，歸入不同的虛擬防火墻vsys來進(jìn)行處理

24、。2.2.2 防火墻的網(wǎng)絡(luò)地址轉(zhuǎn)換實(shí)現(xiàn)方案在很多環(huán)境下，IDC有可能需要做地址翻譯。防火墻除了接口支持NAT模式以外，防火墻還可以通過設(shè)定策略實(shí)現(xiàn)以下地址轉(zhuǎn)換的功能：基于策略的源和目標(biāo)地址和端口翻譯在策略中可以定義目標(biāo)地址是否需要轉(zhuǎn)換，其IP地址和端口可以轉(zhuǎn)換為需要的地址和端口。動態(tài)IP地址翻譯（DIP，Dynamic IP Pool）DIP 池包含一個范圍內(nèi)的 IP 地址， 防火墻設(shè)備在對 IP 封包包頭中的源 IP 地址執(zhí)行網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 時，可從中動態(tài)地提取地址。在實(shí)施動態(tài)IP地址翻譯具體方式上，可以實(shí)現(xiàn)下列功能a) 端口地址翻譯的DIP使用“端口地址轉(zhuǎn)換”(PAT)，多臺主機(jī)

25、可共享同一 IP 地址，防火墻設(shè)備維護(hù)一個已分配端口號的列表，以識別哪個會話屬于哪個主機(jī)。啟用 PAT 后，最多 64,500 臺主機(jī)即可共享單個 IP 地址。b) 固定端口地址的DIP一些應(yīng)用，如“NetBIOS 擴(kuò)展用戶接口”(NetBEUI) 和“Windows 互聯(lián)網(wǎng)命名服務(wù)”(WINS)，需要具體的端口號，如果將 PAT 應(yīng)用于它們，它們將無法正常運(yùn)行。對于這種應(yīng)用，應(yīng)用 DIP 時，可指定不執(zhí)行 PAT（即，使用固定端口）。對于固定端口 DIP，防火墻設(shè)備散列原始的主機(jī) IP 地址，并將它保存在其主機(jī)散列表中，從而允許防火墻設(shè)備將正確的會話與每個主機(jī)相關(guān)聯(lián)。c) 擴(kuò)展端口和DIP根

26、據(jù)情況，如果需要將出站防火墻信息流中的源 IP 地址，從出口接口的地址轉(zhuǎn)換成不同子網(wǎng)中的地址，可使用擴(kuò)展接口選項(xiàng)。此選項(xiàng)允許將第二個 IP 地址和一個伴隨 DIP 池連接到一個在不同子網(wǎng)中的接口。然后，可基于每個策略啟用 NAT，并且指定 DIP 池，該池在用于轉(zhuǎn)換的擴(kuò)展接口上創(chuàng)建。d) 附著DIP主機(jī)發(fā)起與已啟用網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 的策略相匹配的幾個會話，并且獲得了來自動態(tài) IP (DIP) 池的分配地址時，防火墻設(shè)備為每個會話分配不同的源 IP 地址。對于創(chuàng)建多個會話（每個會話都需要同一源 IP 地址）的服務(wù)，這種隨機(jī)地址分配可能會產(chǎn)生問題。靜態(tài)地址翻譯（映射IP地址）映射 IP (

27、MIP) 是一個 IP 地址到另一個 IP 地址的一對一直接映射。防火墻設(shè)備將目的地為 MIP 的內(nèi)向信息流轉(zhuǎn)發(fā)至地址為 MIP 指向地址的主機(jī)。實(shí)際上，MIP 是靜態(tài)目的地地址轉(zhuǎn)換。“動態(tài) IP”(DIP) 將 IP 封包包頭中的源 IP地址轉(zhuǎn)換為 DIP 池中隨機(jī)選擇的地址，而 MIP 將 IP 封包包頭中的目的地 IP 地址映射為另一個靜態(tài) IP 地址。MIP 允許入站信息流到達(dá)接口模式為 NAT 的區(qū)段中的私有地址。MIP 還部分解決通過 VPN 通道連接的兩個站點(diǎn)之間地址空間重疊的問題。為保證MIP實(shí)現(xiàn)的靈活性，可在與任何已編號通道接口（即帶 IP 地址/ 網(wǎng)絡(luò)掩碼的接口）及任何綁定

28、到第 3 層 (L3) 安全區(qū)段的已編號接口相同的子網(wǎng)中創(chuàng)建 MIP。VIP地址翻譯根據(jù) TCP 或 UDP 片段包頭的目的地端口號，虛擬 IP (VIP) 地址將在一個 IP 地址處接收到的信息流映射到另一個地址。例如：l 目的地為 :80（即，IP 地址為 ，端口為 80）的 HTTP 封包可能映射到地址為 0 的web 服務(wù)器。l 目的地為 :21 的 FTP 封包可能映射到地址為 0 的 FTP 服務(wù)器。l 目的地為 :25 的 FTP 封包可能映射到地址為 0 的

29、FTP 服務(wù)器。由于目的地 IP 地址相同，防火墻設(shè)備根據(jù)目的地端口號確定將信息流轉(zhuǎn)發(fā)到的主機(jī)?？梢詫Ρ娝苤╓ell-Known）的服務(wù)使用虛擬端口號以增強(qiáng)安全性。例如，如果您只想允許分支機(jī)構(gòu)的雇員在公司網(wǎng)站訪問 FTP 服務(wù)器，可以指定從 1024 到 65,535 的注冊端口號充當(dāng)內(nèi)向 FTP 信息流的端口號。Juniper 設(shè)備拒絕任何嘗試在其眾所周知的端口號 (21) 到達(dá) FTP 服務(wù)器的信息流。只有預(yù)先知道虛擬端口號并將其附加到封包包頭的人員才能訪問該服務(wù)器。2.2.3 安全策略的實(shí)施和應(yīng)用防火墻系統(tǒng)的安全策略是整個系統(tǒng)的核心，對于一個安全系統(tǒng)，安全策略的制訂至關(guān)重要。策略本身

30、出現(xiàn)問題，會導(dǎo)致整個安全系統(tǒng)產(chǎn)生致命的安全問題。因此，對于安全系統(tǒng)的策略制訂一定要遵守相關(guān)的原則。幾乎所有防火墻系統(tǒng)的安全策略由以下元素組成：源地址目的地址服務(wù)動作所有防火墻策略的執(zhí)行是按照前后順序方式執(zhí)行，當(dāng)策略被執(zhí)行后，其后的策略不被執(zhí)行。因此，在制訂安全策略時要遵循以下原則： 越嚴(yán)格的策略越要放在前面 越寬松的策略越要往后放 策略避免有二意性三種類型的策略可通過以下三種策略控制信息流的流動： 通過創(chuàng)建區(qū)段間策略，可以管理允許從一個安全區(qū)段到另一個安全區(qū)段的信息流的種類。 通過創(chuàng)建區(qū)段內(nèi)部策略，也可以控制允許通過綁定到同一區(qū)段的接口間的信息流的類型。 通過創(chuàng)建全局策略，可以管理地址間的信息

31、流，而不考慮它們的安全區(qū)段。策略定義防火墻提供具有單個進(jìn)入和退出點(diǎn)的網(wǎng)絡(luò)邊界。由于所有信息流都必須通過此點(diǎn)，因此可以篩選并引導(dǎo)所有通過執(zhí)行策略組列表（區(qū)段間策略、內(nèi)部區(qū)段策略和全局策略）產(chǎn)生的信息流。策略能允許、拒絕、加密、認(rèn)證、排定優(yōu)先次序、調(diào)度以及監(jiān)控嘗試從一個安全區(qū)段流到另一個安全區(qū)段的信息流?？梢詻Q定哪些用戶和信息能進(jìn)入和離開，以及它們進(jìn)入和離開的時間和地點(diǎn)。策略的結(jié)構(gòu)策略必須包含下列元素： 區(qū)段（源區(qū)段和目的區(qū)段） 地址（源地址和目的地址） 服務(wù) 動作（permit、deny、tunnel）策略也可包含下列元素： VPN 通道確定 Layer 2（第2 層）傳輸協(xié)議(L2TP) 通道

32、確定 策略組列表頂部位置 網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)，使用動態(tài)IP (DIP) 池 用戶認(rèn)證 備份HA 會話 記錄 計(jì)數(shù) 信息流報(bào)警設(shè)置 時間表 信息流整形時間表通過將時間表與策略相關(guān)聯(lián)，可以確定策略生效的時間?？梢詫r間表配置為循環(huán)生效，也可配置為單次事件。時間表為控制網(wǎng)絡(luò)信息流的流動以及確保網(wǎng)絡(luò)安全提供了強(qiáng)有力的工具。在稍后的一個范例中，如果您擔(dān)心職員向公司外傳輸重要數(shù)據(jù)，則可設(shè)置一個策略，阻塞正常上班時間以外的出站FTP-Put 和MAIL 信息流。2.2.4 防火墻防網(wǎng)絡(luò)層攻擊保護(hù)基于安全區(qū)段的防火墻保護(hù)選項(xiàng)防火墻用于保護(hù)網(wǎng)絡(luò)的安全，具體做法是先檢查要求從一個安全區(qū)段到另一區(qū)段的通路的所有

33、連接嘗試，然后予以允許或拒絕。缺省情況下，防火墻拒絕所有方向的所有信息流。通過創(chuàng)建策略，定義允許在預(yù)定時間通過指定源地點(diǎn)到達(dá)指定目的地點(diǎn)的信息流的種類，您可以控制區(qū)段間的信息流。范圍最大時，可以允許所有類型的信息流從一個區(qū)段中的任何源地點(diǎn)到其它所有區(qū)段中的任何目的地點(diǎn)，而且沒有任何預(yù)定時間限制。范圍最小時，可以創(chuàng)建一個策略，只允許一種信息流在預(yù)定的時間段內(nèi)、在一個區(qū)段中的指定主機(jī)與另一區(qū)段中的指定主機(jī)之間流動。為保護(hù)所有連接嘗試的安全，防火墻設(shè)備使用了一種動態(tài)封包過濾方法，即通常所說的狀態(tài)式檢查。使用此方法，防火墻設(shè)備在TCP 包頭中記入各種不同的信息單元 源和目的IP 地址、源和目的端口號，

34、以及封包序列號并保持穿越防火墻的每個TCP 會話的狀態(tài)。（防火墻也會根據(jù)變化的元素，如動態(tài)端口變化或會話終止，來修改會話狀態(tài)。）當(dāng)響應(yīng)的TCP 封包到達(dá)時，防火墻設(shè)備會將其包頭中包含的信息與檢查表中儲存的相關(guān)會話的狀態(tài)進(jìn)行比較。如果相符，允許響應(yīng)封包通過防火墻。如果不相符，則丟棄該封包。防火墻選項(xiàng)用于保護(hù)區(qū)段的安全，具體做法是先檢查要求經(jīng)過某一接口離開和到達(dá)該區(qū)域的所有連接嘗試，然后予以準(zhǔn)許或拒絕。為避免來自其它區(qū)段的攻擊，可以啟用防御機(jī)制來檢測并避開以下常見的網(wǎng)絡(luò)攻擊。下列選項(xiàng)可用于具有物理接口的區(qū)段（這些選項(xiàng)不適用于子接口）：SYN Attack（SYN 攻擊）、ICMP Flood（IC

35、MP 泛濫）、UDP Flood （UDP 泛濫）和Port Scan Attack（端口掃描攻擊）。l SYN Attack（SYN 攻擊）：當(dāng)網(wǎng)絡(luò)中充滿了會發(fā)出無法完成的連接請求的SYN 封包，以至于網(wǎng)絡(luò)無法再處理合法的連接請求，從而導(dǎo)致拒絕服務(wù)(DoS) 時，就發(fā)生了SYN 泛濫攻擊。l ICMP Flood（ICMP 泛濫）：當(dāng)ICMP ping 產(chǎn)生的大量回應(yīng)請求超出了系統(tǒng)的最大限度，以至于系統(tǒng)耗費(fèi)所有資源來進(jìn)行響應(yīng)直至再也無法處理有效的網(wǎng)絡(luò)信息流時，就發(fā)生了ICMP 泛濫。當(dāng)啟用了ICMP 泛濫保護(hù)功能時，可以設(shè)置一個臨界值，一旦超過此值就會調(diào)用ICMP 泛濫攻擊保護(hù)功能。如果超過

36、了該臨界值，防火墻設(shè)備在該秒余下的時間和下一秒內(nèi)會忽略其它的ICMP 回應(yīng)要求。l UDP Flood（UDP 泛濫）：與ICMP 泛濫相似，當(dāng)以減慢系統(tǒng)速度為目的向該點(diǎn)發(fā)送UDP 封包，以至于系統(tǒng)再也無法處理有效的連接時，就發(fā)生了UDP 泛濫。當(dāng)啟用了UDP 泛濫保護(hù)功能時，可以設(shè)置一個臨界值，一旦超過此臨界值就會調(diào)用UDP 泛濫攻擊保護(hù)功能。如果從一個或多個源向單個目表發(fā)送的UDP 封包數(shù)超過了此臨界值，Juniper 設(shè)備在該秒余下的時間和下一秒內(nèi)會忽略其它到該目標(biāo)的UDP 封包。l Port Scan Attack（端口掃描攻擊）：當(dāng)一個源IP 地址在定義的時間間隔內(nèi)向位于相同目標(biāo)IP

37、 地址10 個不同的端口發(fā)送IP 封包時，就會發(fā)生端口掃描攻擊。這個方案的目的是掃描可用的服務(wù)，希望會有一個端口響應(yīng)，因此識別出作為目標(biāo)的服務(wù)。Juniper 設(shè)備在內(nèi)部記錄從某一遠(yuǎn)程源地點(diǎn)掃描的不同端口的數(shù)目。使用缺省設(shè)置，如果遠(yuǎn)程主機(jī)在0.005 秒內(nèi)掃描了10 個端口（5,000 微秒），防火墻會將這一情況標(biāo)記為端口掃描攻擊，并在該秒余下的時間內(nèi)拒絕來自該源地點(diǎn)的其它封包（不論目標(biāo)IP 地址為何）。余下的選項(xiàng)可用于具有物理接口和子接口的區(qū)段：l Limit session（限制會話）：防火墻設(shè)備可限制由單個IP 地址建立的會話數(shù)量。例如，如果從同一客戶端發(fā)送過多的請求，就能耗盡Web 服

38、務(wù)器上的會話資源。此選項(xiàng)定義了每秒鐘防火墻設(shè)備可以為單個IP 地址建立的最大會話數(shù)量。l SYN-ACK-ACK Proxy 保護(hù)：當(dāng)認(rèn)證用戶初始化Telnet 或FTP 連接時，用戶會SYN 封包到Telnet 或FTP服務(wù)器。Juniper 設(shè)備會截取封包，通過Proxy 將SYN-ACK 封包發(fā)送給用戶。用戶用ACK 封包響應(yīng)。此時，初始的三方握手就已完成。防火墻設(shè)備在其會話表中建立項(xiàng)目，并向用戶發(fā)送登錄提示。如果用戶懷有惡意而不登錄，但繼續(xù)啟動SYN-ACK-ACK 會話，防火墻會話表就可能填滿到某個程度，讓設(shè)備開始拒絕合法的連接要求。要阻擋這類攻擊，您可以啟用SYN-ACK-ACK

39、Proxy 保護(hù)SCREEN 選項(xiàng)。從相同IP 地址的連接數(shù)目到達(dá)syn-ack-ack-proxy 臨界值后，防火墻設(shè)備就會拒絕來自該IP 地址的進(jìn)一步連接要求。缺省情況下，來自單一IP 地址的臨界值是512 次連接。您可以更改這個臨界值（為1 到2,500,000 之間的任何數(shù)目）以更好地適合網(wǎng)絡(luò)環(huán)境的需求。l SYN Fragment（SYN 碎片）：SYN 碎片攻擊使目標(biāo)主機(jī)充塞過量的SYN 封包碎片。主機(jī)接到這些碎片后，會等待其余的封包到達(dá)以便將其重新組合在起來。通過向服務(wù)器或主機(jī)堆積無法完成的連接，主機(jī)的內(nèi)存緩沖區(qū)最終將會塞滿。進(jìn)一步的連接無法進(jìn)行，并且可能會破壞主機(jī)操作系統(tǒng)。當(dāng)協(xié)

40、議字段指示是ICMP封包，并且片斷標(biāo)志被設(shè)置為1 或指出了偏移值時，防火墻設(shè)備會丟棄ICMP 封包。l SYN and FIN Bits Set（SYN 和FIN 位的封包）：通常不會在同一封包中同時設(shè)置SYN 和FIN 標(biāo)志。但是，攻擊者可以通過發(fā)送同時置位兩個標(biāo)志的封包來查看將返回何種系統(tǒng)應(yīng)答，從而確定出接收端上的系統(tǒng)的種類。接著，攻擊者可以利用已知的系統(tǒng)漏洞來實(shí)施進(jìn)一步的攻擊。啟用此選項(xiàng)可使防火墻設(shè)備丟棄在標(biāo)志字段中同時設(shè)置SYN 和FIN 位的封包。l TCP Packet Without Flag（無標(biāo)記的TCP 封包）：通常，在發(fā)送的TCP 封包的標(biāo)志字段中至少會有一位被置位。此選

41、項(xiàng)將使防火墻設(shè)備丟棄字段標(biāo)志缺少或不全的TCP 封包。l FIN Bit With No ACK Bit（有FIN 位無ACK 位）：設(shè)置了FIN 標(biāo)志的TCP 封包通常也會設(shè)置ACK 位。此選項(xiàng)將使防火墻設(shè)備丟棄在標(biāo)志字段中設(shè)置了FIN 標(biāo)志，但沒有設(shè)置ACK 位的封包。l ICMP Fragment（ICMP 碎片）：檢測任何設(shè)置了“更多片斷”標(biāo)志，或在偏移字段中指出了偏移值的ICMP 幀。l Ping of Death：TCP/IP 規(guī)范要求用于數(shù)據(jù)包報(bào)傳輸?shù)姆獍仨毦哂刑囟ǖ拇笮　ＴS多ping 實(shí)現(xiàn)允許用戶根據(jù)需要指定更大的封包大小。過大的ICMP 封包會引發(fā)一系列負(fù)面的系統(tǒng)反應(yīng)，如拒

42、絕服務(wù)(DoS)、系統(tǒng)崩潰、死機(jī)以及重新啟動。如果允許防火墻設(shè)備執(zhí)行此操作，它可以檢測并拒絕此類過大且不規(guī)則的封包。l Address Sweep Attack（地址掃描攻擊）：與端口掃描攻擊類似，當(dāng)一個源IP 地址在定義的時間間隔（缺省值為5,000 微秒）內(nèi)向不同的主機(jī)發(fā)送ICMP 響應(yīng)要求（或ping）時，就會發(fā)生地址掃描攻擊。這個配置的目的是Ping 數(shù)個主機(jī)，希望有一個會回復(fù)響應(yīng)，以便找到可以作為目標(biāo)的地址。防火墻設(shè)備在內(nèi)部記錄從一個遠(yuǎn)程源ping 的不同地址的數(shù)目。使用缺省設(shè)置，如果某遠(yuǎn)程主機(jī)在0.005 秒（5,000 微秒）內(nèi)ping 了10 個地址，防火墻會將這一情況標(biāo)記為地

43、址掃描攻擊，并在該秒余下的時間內(nèi)拒絕來自于該主機(jī)的ICMP 回應(yīng)要求。l Large ICMP Packet（大的ICMP 封包）：防火墻設(shè)備丟棄長度大于1024 的ICMP 封包。l Tear Drop Attack（撕毀攻擊）：撕毀攻擊利用了IP 封包碎片的重新組合。在IP 包頭中，選項(xiàng)之一為偏移值。當(dāng)一個封包碎片的偏移值與大小之和不同于下一封包碎片時，封包發(fā)生重疊，并且服務(wù)器嘗試重新組合封包時會引起系統(tǒng)崩潰。如果防火墻在某封包碎片中發(fā)現(xiàn)了這種不一致現(xiàn)象，將會丟棄該碎片。l Filter IP Source Route Option（過濾IP 源路由選項(xiàng)）：IP 包頭信息有一個選項(xiàng)，其中所

44、含的路由信息可指定與包頭源路由不同的源路由。啟用此選項(xiàng)可封鎖所有使用“源路由選項(xiàng)”的IP 信息流?！霸绰酚蛇x項(xiàng)”可允許攻擊者以假的IP 地址進(jìn)入網(wǎng)絡(luò)，并將數(shù)據(jù)送回到其真正的地址。l Record Route Option（記錄路由選項(xiàng)）：防火墻設(shè)備封鎖IP 選項(xiàng)為7（記錄路由）的封包。此選項(xiàng)用于記錄封包的路由。記錄的路由由一系列互聯(lián)網(wǎng)地址組成，外來者經(jīng)過分析可以了解到您的網(wǎng)絡(luò)的編址方案及拓?fù)浣Y(jié)構(gòu)方面的詳細(xì)信息。l IP Security Option（IP 安全性選項(xiàng)）：此選項(xiàng)為主機(jī)提供了一種手段，可發(fā)送與DOD 要求兼容的安全性、分隔、TCC（非公開用戶組）參數(shù)以及“處理限制代碼”。l IP

45、 Strict Source Route Option（IP 嚴(yán)格源路由選項(xiàng)）：防火墻設(shè)備封鎖IP 選項(xiàng)為9（嚴(yán)格源路由選擇）的封包。此選項(xiàng)為封包源提供了一種手段，可在向目標(biāo)轉(zhuǎn)發(fā)封包時提供網(wǎng)關(guān)所要使用的路由信息。此選項(xiàng)為嚴(yán)格源路由，因?yàn)榫W(wǎng)關(guān)或主機(jī)IP 必須將數(shù)據(jù)包報(bào)直接發(fā)送到源路由中的下一地址，并且只能通過下一地址中指示的直接連接的網(wǎng)絡(luò)才能到達(dá)路由中指定的下一網(wǎng)關(guān)或主機(jī)。l Unknown Protocol（未知協(xié)議）：防火墻設(shè)備丟棄協(xié)議字段設(shè)置為101 或更大值的封包。目前，這些協(xié)議類型被保留，尚未定義。l IP Spoofing（IP 欺騙）：當(dāng)攻擊者試圖通過假冒有效的客戶端IP 地址來繞

46、過防火墻保護(hù)時，就發(fā)生了欺騙攻擊。如果啟用了IP 欺騙防御機(jī)制，防火墻設(shè)備會用自己的路由表對IP 地址進(jìn)行分析，來抵御這種攻擊。如果IP 地址不在路由表中，則不允許來自該源的信息流通過防火墻設(shè)備進(jìn)行通信，并且會丟棄來自該源的所有封包。在CLI 中，您可以指示Juniper 設(shè)備丟棄沒有包含源路由或包含已保留源IP 地址（不可路由的，例如）的封包：set zone zone screen ip-spoofing drop-no-rpf-route。l Bad IP Option（壞的IP 選項(xiàng)）：當(dāng)IP 數(shù)據(jù)包包頭中的IP 選項(xiàng)列表不完整或殘缺時，會觸發(fā)此選項(xiàng)。l IP Tim

47、estamp Option（IP 時戳選項(xiàng)）：防火墻設(shè)備封鎖IP 選項(xiàng)列表中包括選項(xiàng)4（互聯(lián)網(wǎng)時戳）的封包。l Loose Source Route Option：防火墻設(shè)備封鎖IP 選項(xiàng)為3（松散源路由）的封包。此選項(xiàng)為封包源提供了一種手段，可在向目標(biāo)轉(zhuǎn)發(fā)封包時提供網(wǎng)關(guān)所要使用的路由信息。此選項(xiàng)是松散源路由，因?yàn)樵试S網(wǎng)關(guān)或主機(jī)IP 使用任何數(shù)量的其它中間網(wǎng)關(guān)的任何路由來到達(dá)路由中的下一地址。l IP Stream Option（IP 流選項(xiàng)）：防火墻設(shè)備封鎖IP 選項(xiàng)為8（流ID）的封包。此選項(xiàng)提供了一種方法，用于在不支持流概念的網(wǎng)絡(luò)中輸送16 位SATNET 流標(biāo)識符。l WinNuke

48、Attack（WinNuke 攻擊）：WinNuke 是一種常見的應(yīng)用程序，其唯一目的就是使互聯(lián)網(wǎng)上任何運(yùn)行Windows 的計(jì)算機(jī)崩潰。WinNuke 通過已建立的連接向主機(jī)發(fā)送帶外(OOB) 數(shù)據(jù) 通常發(fā)送到NetBIOS 端口139 并引起NetBIOS 碎片重疊，以此來使多臺機(jī)器崩潰。重新啟動后，會顯示下列信息，指示攻擊已經(jīng)發(fā)生：An exception OE has occurred at 0028:address in VxD MSTCP(01) +AE. This was called from 0028:address in VxD NDIS(01) +. It may be

49、possible to continue normally.（。有可能繼續(xù)正常運(yùn)行。）Press any key to attempt to continue.（請按任意鍵嘗試?yán)^續(xù)運(yùn)行。）Press CTRL+ALT+DEL to restart your computer. You will lose any unsaved information in allapplications.（按CTRL+ALT+DEL 可嘗試?yán)^續(xù)運(yùn)行。將丟失所有應(yīng)用程序中的未保存信息。）Press any key to continue. （按任意鍵繼續(xù)。）如果啟用了WinNuke 攻擊防御機(jī)制，Juniper

50、 設(shè)備會掃描所有進(jìn)入的“Microsoft NetBIOS 會話服務(wù)”（端口139）封包。如果防火墻設(shè)備發(fā)現(xiàn)某個封包上設(shè)置了TCP URG 代碼位，就會檢查偏移值、刪除碎片重疊并根據(jù)需要糾正偏移值以防止發(fā)生OOB 錯誤。然后讓經(jīng)過修正的封包通過，并在“事件警報(bào)”日志中創(chuàng)建一個WinNuke 攻擊日志條目。l Land Attack：“陸地”攻擊將SYN 攻擊和IP 欺騙結(jié)合在了一起，當(dāng)攻擊者發(fā)送含有受害方IP 地址的欺騙性SYN 封包，將其作為目的和源IP 地址時，就發(fā)生了陸地攻擊。接收系統(tǒng)通過向自己發(fā)送SYN-ACK 封包來進(jìn)行響應(yīng)，同時創(chuàng)建一個空的連接，該連接將會一直保持到達(dá)到空閑超時值為

51、止。向系統(tǒng)堆積過多的這種空連接會耗盡系統(tǒng)資源，導(dǎo)致DoS。通過將SYN 泛濫防御機(jī)制和IP 欺騙保護(hù)措施結(jié)合在一起，防火墻設(shè)備將會封鎖任何此類性質(zhì)的企圖。l Malicious URL Protection：當(dāng)啟用“惡意URL 檢測”時，Juniper 設(shè)備會監(jiān)視每個HTTP 封包并檢測與若干用戶定義模式中的任意一個相匹配的任何封包。設(shè)備會自動丟棄所有此類封包。l Block Java/ActiveX/ZIP/EXE Component：Web 網(wǎng)頁中可能藏有惡意的Java 或ActiveX 組件。下載完以后，這些applet 會在您的計(jì)算機(jī)上安裝特洛伊木馬病毒。同樣，特洛伊木馬病毒2也可以隱

52、藏在壓縮文件（如.zip）和可執(zhí)行（.exe）文件中。在安全區(qū)中啟用這些組件的阻塞時，防火墻設(shè)備會檢查每個到達(dá)綁定到該區(qū)域的接口的HTTP 包頭。會檢查包頭中列出的內(nèi)容類型是否指示封包負(fù)荷中有任何目的組件。如果內(nèi)容類型為ActiveX、Java、.exe 或.zip，而且您將防火墻設(shè)備配置為阻塞這些組件，防火墻設(shè)備會阻塞封包。如果內(nèi)容類型僅列出“八位位組流”，而不是特定的組件類型，則防火墻設(shè)備會檢查負(fù)荷中的文件類型。如果文件類型為ActiveX、Java、.exe 或.zip，而且您將防火墻設(shè)備配置為阻塞這些組件，防火墻設(shè)備會阻塞封包。l Deny Fragment：封包通過不同的網(wǎng)絡(luò)時，有時

53、必須根據(jù)網(wǎng)絡(luò)的最大傳輸單位(MTU) 將封包分成更小的部分（片斷）。攻擊者可能會利用IP 棧具體實(shí)現(xiàn)的封包重新組合代碼中的漏洞，通過IP 碎片進(jìn)行攻擊。當(dāng)目標(biāo)系統(tǒng)收到這些封包時，造成的結(jié)果小到無法正確處理封包，大到使整個系統(tǒng)崩潰。如果允許防火墻設(shè)備拒絕安全區(qū)段上的IP 碎片，設(shè)備將封鎖在綁定到該區(qū)段的接口處接收到的所有IP 封包碎片。對于網(wǎng)絡(luò)層的攻擊，大多數(shù)從技術(shù)角度無法判斷該數(shù)據(jù)包的合法性，如SYN flood, UDP flood，通常防火墻采用閥值來控制該訪問的流量。通常防火墻對這些選項(xiàng)提供了缺省值。對于在實(shí)際網(wǎng)絡(luò)上該閥值的確定，通常要對實(shí)施防火墻的網(wǎng)絡(luò)實(shí)際情況進(jìn)行合理的分析，通過對現(xiàn)有

54、網(wǎng)絡(luò)的分析結(jié)果確定最終的設(shè)定值。比如，網(wǎng)絡(luò)在正常工作的情況下的最大Syn數(shù)據(jù)包值為3000，考慮到網(wǎng)絡(luò)突發(fā)流量，對現(xiàn)有值增加20%，則該值作為系統(tǒng)的設(shè)定值。在實(shí)際應(yīng)用中，這些參數(shù)要隨時根據(jù)網(wǎng)絡(luò)流量情況進(jìn)行動態(tài)監(jiān)控的更新。2.2.5 防火墻管理在防火墻系統(tǒng)的管理上，有分散和集中兩種方式。NetScreen設(shè)備在管理方面的實(shí)現(xiàn)很受用戶歡迎。分散方式讓用戶分別管理每臺防火墻。優(yōu)點(diǎn)是符合大多數(shù)人的思維習(xí)慣，管理靈活。命令行方式，可以通過Console接口、Telnet（23）或安全的SCS（22）方式對設(shè)備進(jìn)行管理、排查故障等。命令行方式可以完成所有的配置、檢查、排錯等工作。瀏覽器方式，可以使用戶使用

55、通用的Web界面對設(shè)備進(jìn)行配置、查詢。瀏覽器方式支持HTTP（80）和HTTPS（443）。NetScreen的瀏覽器管理方式實(shí)用性很好，具有良好的用戶反饋。所有管理接口使用的端口號可以根據(jù)需要改變。NetScreen支持多級用戶權(quán)限管理（Root/All/Read-Only），支持在線升級，支持恢復(fù)出廠設(shè)置，支持配置的備份和恢復(fù)，可以實(shí)現(xiàn)所有的防火墻功能管理。單機(jī)管理的分散方式在大型網(wǎng)絡(luò)應(yīng)用中存在較大的缺點(diǎn)，許多資源的定義重復(fù)（如地址本、協(xié)議等），相應(yīng)提高了整體的管理成本；其次，當(dāng)下屬企業(yè)較多時，由于各自制定安全策略，存在安全隱患較大，同時，當(dāng)出現(xiàn)安全問題時，由于沒有實(shí)現(xiàn)統(tǒng)一監(jiān)控，很難判斷問

56、題出現(xiàn)在何處，從而不能及時解決問題。對于一些重要的服務(wù)器或網(wǎng)絡(luò)設(shè)備，如果需要通過外網(wǎng)或內(nèi)網(wǎng)其他VLAN的設(shè)備對其進(jìn)行配置修改、調(diào)試，可以考慮利用防火墻的IPSec VPN功能，通過分公司PC發(fā)起IPsec VPN終結(jié)在防火墻的端口，允許相應(yīng)的協(xié)議（如telnet）通過IPsec VPN加密的方式通過防火墻，從而進(jìn)一步提高安全性。如果需要對防火墻進(jìn)行基于snmp的統(tǒng)一網(wǎng)絡(luò)管理，也可以應(yīng)用IPsec VPN,將信息加密傳輸?shù)较鄳?yīng)的網(wǎng)管平臺上。如果需要通過telnet或http方式明文管理防火墻（防火墻支持基于加密的https和SSH的加密管理），可以考慮使用IPsec VPN將所有的防護(hù)會話內(nèi)容加

57、密。集中方式從全局的角度對所有防火墻實(shí)現(xiàn)集中的管理，集中制定安全策略，這將很好的克服以上缺點(diǎn)。NetScreen防火墻可實(shí)現(xiàn)通過NSM專用網(wǎng)管工具（需要單獨(dú)購買）集中管理。NSM需要安裝在RedHat Linux或Solaris服務(wù)器上。如果采用ISG系列防火墻的內(nèi)部IDP安全刀片模塊，則必須采用NSM集中管理系統(tǒng)實(shí)現(xiàn)對防火墻的管理。NetScreen的安全管理系統(tǒng)NSM具有集中的設(shè)備配置/維護(hù)、故障/事件管理、基于角色的監(jiān)控、使用跟蹤以及報(bào)表等功能。NetScreen-NSM提供了中央配置管理功能，可以高效地把數(shù)百條、甚至數(shù)千條策略分發(fā)到各NetScreen設(shè)備或設(shè)備群組。 NetScreen-NSM系列的關(guān)鍵性能在于它能夠通過簡便操作、直觀的策略管理用戶界面，迅速為設(shè)備完成部署。用戶只需一次性地定義一條策略，然后將其映射采用到多個設(shè)備中。 簡言之，NSM為設(shè)備部署提供高度易操作性與靈活性，減少管理工作。NSM的報(bào)表分析功能使它更加有價值。通過集中的日志收集、存儲、分析、報(bào)表，可以提供專業(yè)的日志處理功能，并根據(jù)用戶的喜好生成靈活的報(bào)告方式以及趨勢分析。NSM提供對設(shè)備的集中、實(shí)時的監(jiān)控，以及集中的設(shè)備維護(hù)如升級等。NSM的專業(yè)特點(diǎn)還在于它可以將管理者的權(quán)限進(jìn)行詳細(xì)的限定，實(shí)現(xiàn)基于角色的多級別管理和授權(quán)。2.2.6