1、Juniper互联网数据中心(IDC)网络安全处理方案提议书美国Juniper网络企业目录第一章 综述31.1序言31.2 Juniper安全理念31.2.1 IPSec/SSL VPN41.2.2网络攻击检测41.2.3访问控制51.2.4入侵预防51.2.5管理方法61.2.6合作方案61.2.7流量控制61.3 Juniper数据中心应用加速理念6第二章 总体方案提议72.1 设备选型72.1.1 防火墙72.1.2 入侵检测和防护82.1.3 SSL VPN网关82.1.4 应用加速102.2 应用和管理102.2.1 虚拟防火墙技术在IDC应用方案102.2.2 防火墙网络地址转换实
2、现方案112.2.3 安全策略实施和应用142.2.4 防火墙防网络层攻击保护152.2.5 防火墙管理202.2.6 IDP刀片模块或IDP设备对应用层保护212.2.7 应用加速设备DX使用24第一章 综述1.1序言伴随计算机技术和通信技术飞速发展,信息化浪潮席卷全球,一个全新优异生产力出现已经把人类带入了一个新时代。信息技术发展极大地改变了大家生活、工作模式,网上新闻、网上购物、远程教育、电子商务等等多种应用层出不穷,世界各地信息资源得到了高度共享。这充足显示出信息化对社会生产力巨大变革作用。1.2 Juniper安全理念网络安全能够分为数据安全和服务安全两个层次。数据安全是预防信息被非
3、法探听;服务安全是使网络系统提供不间断通畅对外服务。从严格意义上讲,只有物理上完全隔离网络系统才是安全。但为了实际生产和信息交换需要,采取完全隔离手段保障网络安全极少被采取。在有了对外联络以后,网络安全目标就是使不良用心人窃听数据、破坏服务成本提升到她们不能承受程度。这里成本包含设备成本、人力成本、时间成本等多方面原因。为提升恶意攻击者攻击成本,Juniper安全理念提供了多层次、多深度防护体系,图所表示。关键关键资源IntrusionPreventionDoSFirewallIPSec VPN集中管理合作方案Juniper提供了防火墙/VPN系列设备和IDP(入侵检测和防护)系列设备用以实现
4、不一样层次保护功效。针对不一样应用环境有不一样产品型号对应,而且提供集中式管理工具。Global-PRO & IDP ManagerGlobal-PRO ExpressCentral SiteMedium SiteSmall Office/TelecommuterNetwork CoreVPN, Firewall, DoSIntrusion preventionMobileManagement Tools1.2.1 IPSec/SSL VPNIPsec/SSL VPN应用是为网络通信提供有效信息安全手段。IPSec/SSL VPN是被广泛认可公开、安全VPN标准,它从技术角度确保数据安全性。V
5、PN应用中,多采取3DES、AES等加密技术和MD5、SHA1认证技术,这是现在广被认可最优异、最实用常见网络通信加密/认证技术手段。加密目标是预防非法用户提取信息;认证目标是预防非法用户篡改信息。网络VPN应用有两种:防火墙到防火墙、移动用户到IPsec VPN/防火墙或SSL VPN网关设备。前者是针对企业各分支机构,应用在各分支机构有固定IP地址防火墙系统之间,供分支结构之间互通信息;后者针对移动办公IP地址不固定企业职员从Internet上对企业内部资源访问,其中SSL VPN能够愈加好地为移动用户提供服务而且含有更强安全性和可控性,是移动用户安全访问应用技术趋势。Juniper能够实
6、现IPsec VPN和防火墙功效紧密结合,SSL VPN处理方案在业界市场占用率最高。1.2.2网络攻击检测对有服务攻击倾向访问请求,防火墙采取两种方法来处理:严禁或代理。对于明确百害而无一利数据包如地址欺骗、Ping of Death等,防火墙会明确地严禁。对部分借用正常访问形式发生攻击,因为不能一概否定,防火墙会启用代理功效,只将正常数据请求放行。防火墙处于最前线位置,承受攻击分析带来资源损耗,从而使内部数据服务器免受攻击,用心做好服务。因为防火墙主动承接攻击,或主动分析数据避免攻击,其性能方面有一定要求。完善处理方案应该是安全产品从技术设计层面、实际应用层面能够承受大工作量下性能、安全需
7、求。1.2.3访问控制从外网(互联网或广域网)进入企业网用户,能够被防火墙有效地进行类别划分,即区分为企业移动用户和外部公共访问者。防火墙能够许可正当用户访问和限制其正常访问,严禁非法用户试图访问。限制用户访问方法,简单讲就是策略控制。经过源IP、目标IP、源应用端口、目标端口等对用户访问进行区分。另外,配合策略控制,还有多个辅助手段增强这种策略控制灵活性和强度,如日志统计、流量计数、身份验证、时间定义、流量控制等。Juniper规则设置采取自上而下传统。每条策略能够经过图形化方法添加、修改、移动、删除,也能够经过ID号进行命令行操作。部分细小特征使使用者感到方便,如能够在添加策略同时定义Ad
8、dress等。Juniper支持Zone到Zone之间、相同Zone内、Zone到其它全部Zone策略定义,而且其不一样策略种类含有不一样优先级,充足表现出灵活性和实用性。1.2.4入侵预防Juniper提议采取单独NetScreen-IDP(入侵检测和防护)系列设备,或在ISG系列防火墙内增加刀片式IDP(入侵检测和防护)安全模块。IDP(入侵检测和防护)不一样于常规意义IDS产品,关键有三方面技术优势:1、主动防御。传统IDS采取Sniffer方法,在攻击产生后才响应,而且对UDP等方法攻击无能为力。IDP(入侵检测和防护)能够采取Active方法,在攻击发生同时进行保护,对全部数据类型全
9、部有效。2、检测手段丰富。传统IDS产品检测手段只有2-3种,多数采取“正向”误报产生告警;IDP(入侵检测和防护)为了实现正确汇报,检测手段多达7种。3、管理方便。IDP(入侵检测和防护)采取分级式集中管理,能够高校利用管理资源,相较于基于单台设备进行管理传统IDS,能够节省管理时间,提升实施效率。1.2.5管理方法任何网络设备全部需要合理管理方法。安全产品要求合理、丰富管理方法以提供给管理人员正确配置、快速分析手段。在整体安全系统中,假如包含数量较大产品,集中产品管理、监控将降低无须要反复性工作,提升效率并降低失误。1.2.6合作方案安全是一个融合了多个技术整体系统,现在趋势是越来越专业化
10、。专业化产品之间需要配合,经过合理、灵活配合实现整体系统安全最大化。1.2.7流量控制IP技术“尽力发送”服务方法对服务质量控制能力欠缺是IP技术发展桎梏。防火墙作为网络系统关键位置上其关键作用关键设备,对多种数据控制能力是确保服务正常运行关键。不一样服务应用其数据流量有不一样特征,突发性强FTP、实时性语音、大流量视频、关键性Telnet控制等。假如防火墙系统不能针对不一样应用做出合理带宽分配和流量控制,某一个用户应用会在一定时间内独占全部或大部分带宽资源,从而造成关键业务流量丢失、实时性业务流量中止等。现在很多IP网络设备包含防火墙设备在QoS上采取了不一样实现方法。含有QoS机制防火墙设
11、备能够给用户最大两或控制带宽效率手段,从而确保服务连续性、合理性。1.3 Juniper数据中心应用加速理念因为数据中心发展趋势是Web应用越来越多,很多用户在访问应用时发觉Web服务器对应用响应时间越来越慢,同时为确保Web应用交付安全,我们愈加需要更高等级多功效设备应用前端(AFE)。经过结合关键功效以卸载(Offload) Web服务器处理、加速Web浏览器会话并保护“Web层”安全,Juniper网络企业DX系列应用加速平台可在易于管理且很灵活平台内提供前所未有应用性能、安全性和可用性。第二章 总体方案提议XXXXIDC网络安全建设方案是参考国际通行PDRR(Protection防护、
12、Detection检测、Respone响应和Recovery恢复)安全模型进行设计。2.1 设备选型2.1.1 防火墙提议经过在IDC节点配置2台NetScreen ISG1000 或2台NetScreen ISG防火墙来进行网络安全保护。ISG1000是Juniper 企业初推出防火墙产品,采取是最新一代ASIC芯片(第4代安全ASIC,即GigaScreen3),集成了一流深层检测防火墙、VPN和DoS防护处理方案,所以能够实现安全、可靠连接和网络及应用级防护功效来保护关键大流量网络分段,为大型企业、运行商和数据中心网络提供可扩展网络和应用安全性。具体性能指标是:对大包和小包最大吞吐能力全
13、部在1Gbps以上(对IDC而言,尤其需要防火墙能够对实现对小包高吞吐能力,在保护托管主机用户安全同时,不会因为流量大或小包多而成为网络瓶颈),总会话数250,000条,每秒钟新建会话数达20,000条,3DES VPN吞吐1Gbps。因为ISG1000采取是下一代安全网络系统架构,含有良好扩展能力,除了2个外部数据插槽外(机箱上已经有4个10/100/1000电口),设备内部预留了2个扩展插槽,能够将应用层安全硬件模块(IDP刀片)插入,从而实施基于硬件全方面应用层入侵检测和防护,实施应用层防护性能能够达成1Gbps,在提升性能同时,扩大对应用层保护范围。ISG是Juniper 企业初推出防
14、火墙产品,采取是最新一代ASIC芯片(第4代安全ASIC,即GigaScreen3),集成了一流深层检测防火墙、VPN和DoS防护处理方案,所以能够实现安全、可靠连接和网络及应用级防护功效来保护关键大流量网络分段,为大型企业、运行商和数据中心网络提供可扩展网络和应用安全性。具体性能指标是:对大包和小包最大吞吐能力全部在2Gbps以上(对IDC而言,尤其需要防火墙能够对实现对小包高吞吐能力,在保护托管主机用户安全同时,不会因为流量大或小包多而成为网络瓶颈),总会话数512,000条,每秒钟新建会话数达30,000条,3DES VPN吞吐1Gbps。因为ISG采取是下一代安全网络系统架构,含有良好
15、扩展能力,除了4个外部数据插槽外,设备内部预留了3个扩展插槽,能够将应用层安全硬件模块(IDP刀片)插入,从而实施基于硬件全方面应用层入侵检测和防护,实施应用层防护性能能够达成2Gbps,在提升性能同时,扩大对应用层保护范围。ISG1000/ISG防火墙全部能够支持虚拟系统,方便IDC开展业务。虚拟防火墙技术是由Juniper最早推出并得到IDC广泛使用,它许可在一台物理防火墙中创建多个虚拟防火墙系统,每个虚拟系统拥有独立地址簿、策略和管理等功效。虚拟系统和802.1Q VLAN标识/物理接口/相结合,把安全域延伸到整个交换网络中。NetScreen设备和对应VLAN/物理接口/交换网络,能够
16、表现为多个含有完全安全特征防火墙系统。虚系统功效对IDC提供增值服务尤其有利。Juniper是最早成熟提供虚系统技术防火墙厂家,并在实际环境中有大量稳定运行案例。基于VLAN逻辑子接口,除了配合不一样Vsys经过一个物理接口连接到多个网络外,还能够单独使用,其表现就像一个独立物理接口一样含有众多可配置特征。防火墙系统会识别带由tag帧,并转换成正常以太帧进行防火检测、路由、策略等基础操作。VSYS划分标准除802.1Q标准外,还能够经过不一样端口(包含物理端口、逻辑端口)和不一样IP地址划分,为满足不一样用户需求提供了灵活实施方法。2.1.2 入侵检测和防护提议经过在IDC节点配置ISG防火墙
17、 IDP(入侵检测和防护)刀片模块(假如选择ISG防火墙,最多3块;ISG1000最多2块)或单独IDP1100。假如采取3块IDP刀片模块插在ISG防火墙内部,则实施应用层防护吞吐能够达成2Gbps;假如采取2块IDP刀片模块插在ISG1000防火墙内部,则实施应用层防护吞吐能够达成1Gbps;假如采取单独IDP1100,应用层防护吞吐能够达成1Gbps。2.1.3 SSL VPN网关为方便IDC机房托管主机用户管理人员能够安全、方便地远程访问和控制IDC托管机房主机,提议采取JuniperSSL VPN设备。JuniperSSL安全访问产品(可简称为IVE)从根本上处理了安全远程访问问题,
18、能够为IDC提供对关键服务器资源安全远程访问,同时它又消除了因为远程用户用户端维护等带来很多不便。提议采取一台SA700SSL VPN设备,并发VPN用户数各为25个,能够对关键IDC托管主机用户提供该项服务,方便用户安全管理自己托管主机。SA700配置简单,可采取单臂连接方法(即交换机Cat6509和SA700之间用百兆网线连接)即可,实施时无需对现有网络进行任何改动。SA700关键采取网络层连接(network connect)方法,让远程用户(只需是WindowsMe或以上平台)首先登陆到IVE系统当中,进行相关安全机制检验和身份认证,经过认证和授权后,远程系统会自动加载一个小插件,这个
19、插件能够从IVE系统中自动取得一个内部网络IP地址,从而实现对内部网络资源访问,该种访问方法和IPSec类似,不过就不受地址翻译和配置用户端软件影响。该方法能够支持几乎全部网络应用,包含相对复杂视频会议、IP电话等等。采取SA700设备,还能够对用户终端设备进行节点安全机制检验,而且依据检验结果,实施对应访问控制,确保安全性。SA700许可管理员对以下选项进行定制。 和第三方节点安全处理方案整合 注册表参数检验 开放/不许可 ports检验 许可/不许可进程检验 许可/不许可文件检验 检验定制dlls 对第三方软件实施心跳检验 应用认证检验 (进程, 文件 MD5 Hash)在动态访问控制方面
20、,SA700也有很强细粒度访问控制机制,真正实现了对用户身份(Who),访问目标资源(What),时间(When),位置(Where)和方法(How)动态控制。IVE平台提供整体网络安全设计,经过坚固系统完成对外部应用请求转换,同时对多种连接进行细粒度访问控制,而这种安全上保障,是不以投资、复杂性和稳定性牺牲为前提。2.1.4 应用加速提议经过在IDC节点配置应用加速产品对数据中心Web应用进行加速和对服务器实施负载均衡。2.2 应用和管理2.2.1 虚拟防火墙技术在IDC应用方案基于IDC用户需求,Juniper防火墙最早在业界实现虚拟防火墙技术,并成功地在多个IDC用户处进行了实际应用。在
21、NS500以上等级防火墙系统里提供虚拟防火墙功效升级选项。因为一个IDC数据中心主机托管用户众多,很多用户全部提出来需要有独立防火墙供其控制对其托管服务器进行管理和保护。虚拟防火墙技术对于IDC对其说是一个很好增值服务处理方案,方便为各个用户提供虚拟防火墙供其管理配置。具体实现方法有两种:基于VLAN划分虚拟防火墙基于VLAN对信息流分类到不一样虚拟防火墙里,一个简单拓扑连接图以下:三个托管用户主机分别在三个VLAN里面,分别是vlan1、vlan2、vlan3,该三个vlan缺省网关全部在防火墙上,是防火墙三个逻辑子接口。防火墙上划分三个虚拟防火墙,分别是vsys1、vsys2、vsys3。
22、以上经典配置逻辑图为:三个虚拟防火墙vsys1、vsys2、vsys3全部共用一个外部接口,接外网段。各托管用户能够配置到自己vvys流量策略,包含地址翻译、IPsec VPN等。三个vsys之间能够控制是否许可相互访问。基于IP地址段划分虚拟防火墙基于IP地址段对信息流分类到不一样虚拟防火墙里,一个简单拓扑连接图以下(和基于VLAN一样):三个托管用户主机分别放在三个网段:10.1.1.0/24、10.1.2.0/24、和10.1.3.0/24。三个网段缺省网关在防火墙后面路由器上,防火墙内网口地址是10.1.0.1/16。防火墙外网口和内网口全部是三个虚拟防火墙共享。防火墙对信息流IP地址
23、进行分类,归入不一样虚拟防火墙vsys来进行处理。2.2.2 防火墙网络地址转换实现方案在很多环境下,IDC有可能需要做地址翻译。防火墙除了接口支持NAT模式以外,防火墙还能够经过设定策略实现以下地址转换功效:基于策略源和目标地址和端口翻译在策略中能够定义目标地址是否需要转换,其IP地址和端口能够转换为需要地址和端口。动态IP地址翻译(DIP,Dynamic IP Pool)DIP 池包含一个范围内 IP 地址, 防火墙设备在对 IP 封包包头中源 IP 地址实施网络地址转换 (NAT) 时,可从中动态地提取地址。在实施动态IP地址翻译具体方法上,能够实现下列功效a) 端口地址翻译DIP使用“
24、端口地址转换”(PAT),多台主机可共享同一 IP 地址,防火墙设备维护一个已分配端口号列表,以识别哪个会话属于哪个主机。启用 PAT 后,最多 64,500 台主机即可共享单个 IP 地址。b) 固定端口地址DIP部分应用,如“NetBIOS 扩展用户接口”(NetBEUI) 和“Windows 互联网命名服务”(WINS),需要具体端口号,假如将 PAT 应用于它们,它们将无法正常运行。对于这种应用,应用 DIP 时,可指定不实施 PAT(即,使用固定端口)。对于固定端口 DIP,防火墙设备散列原始主机 IP 地址,并将它保留在其主机散列表中,从而许可防火墙设备将正确会话和每个主机相关联。
25、c) 扩展端口和DIP依据情况,假如需要将出站防火墙信息流中源 IP 地址,从出口接口地址转换成不一样子网中地址,可使用扩展接口选项。此选项许可将第二个 IP 地址和一个伴随 DIP 池连接到一个在不一样子网中接口。然后,可基于每个策略启用 NAT,而且指定 DIP 池,该池在用于转换扩展接口上创建。d) 附着DIP主机提议和已启用网络地址转换 (NAT) 策略相匹配多个会话,而且取得了来自动态 IP (DIP) 池分配地址时,防火墙设备为每个会话分配不一样源 IP 地址。对于创建多个会话(每个会话全部需要同一源 IP 地址)服务,这种随机地址分配可能会产生问题。静态地址翻译(映射IP地址)映
26、射 IP (MIP) 是一个 IP 地址到另一个 IP 地址一对一直接映射。防火墙设备将目标地为 MIP 内向信息流转发至地址为 MIP 指向地址主机。实际上,MIP 是静态目标地地址转换。“动态 IP”(DIP) 将 IP 封包包头中源 IP地址转换为 DIP 池中随机选择地址,而 MIP 将 IP 封包包头中目标地 IP 地址映射为另一个静态 IP 地址。MIP 许可入站信息流抵达接口模式为 NAT 区段中私有地址。MIP 还部分处理经过 VPN 通道连接两个站点之间地址空间重合问题。为确保MIP实现灵活性,可在和任何已编号通道接口(即带 IP 地址/ 网络掩码接口)及任何绑定到第 3 层
27、 (L3) 安全区段已编号接口相同子网中创建 MIP。VIP地址翻译依据 TCP 或 UDP 片段包头目标地端口号,虚拟 IP (VIP) 地址将在一个 IP 地址处接收到信息流映射到另一个地址。比如:l 目标地为 210.1.1.3:80(即,IP 地址为 210.1.1.3,端口为 80) HTTP 封包可能映射到地址为 10.1.2.10 web 服务器。l 目标地为 210.1.1.3:21 FTP 封包可能映射到地址为 10.1.2.20 FTP 服务器。l 目标地为 210.1.1.3:25 FTP 封包可能映射到地址为 10.1.2.30 FTP 服务器。因为目标地 IP 地址相
28、同,防火墙设备依据目标地端口号确定将信息流转发到主机。能够对众所周知(Well-Known)服务使用虚拟端口号以增强安全性。比如,假如您只想许可分支机构雇员在企业网站访问 FTP 服务器,能够指定从 1024 到 65,535 注册端口号充当内向 FTP 信息流端口号。Juniper 设备拒绝任何尝试在其众所周知端口号 (21) 抵达 FTP 服务器信息流。只有预先知道虚拟端口号并将其附加到封包包头人员才能访问该服务器。2.2.3 安全策略实施和应用防火墙系统安全策略是整个系统关键,对于一个安全系统,安全策略制订至关关键。策略本身出现问题,会造成整个安全系统产生致命安全问题。所以,对于安全系统
29、策略制订一定要遵守相关标准。几乎全部防火墙系统安全策略由以下元素组成:源地址目标地址服务动作全部防火墙策略实施是根据前后次序方法实施,当策略被实施后,其后策略不被实施。所以,在制订安全策略时要遵照以下标准: 越严格策略越要放在前面 越宽松策略越要往后放 策略避免有二意性三种类型策略可经过以下三种策略控制信息流流动: 经过创建区段间策略,能够管理许可从一个安全区段到另一个安全区段信息流种类。 经过创建区段内部策略,也能够控制许可经过绑定到同一区段接口间信息流类型。 经过创建全局策略,能够管理地址间信息流,而不考虑它们安全区段。策略定义防火墙提供含有单个进入和退出点网络边界。因为全部信息流全部必需
30、经过此点,所以能够筛选并引导全部经过实施策略组列表(区段间策略、内部区段策略和全局策略)产生信息流。策略能许可、拒绝、加密、认证、排定优先次序、调度和监控尝试从一个安全区段流到另一个安全区段信息流。能够决定哪些用户和信息能进入和离开,和它们进入和离开时间和地点。策略结构策略必需包含下列元素: 区段(源区段和目标区段) 地址(源地址和目标地址) 服务 动作(permit、deny、tunnel)策略也可包含下列元素: VPN 通道确定 Layer 2(第2 层)传输协议(L2TP) 通道确定 策略组列表顶部位置 网络地址转换(NAT),使用动态IP (DIP) 池 用户认证 备份HA 会话 统计
31、 计数 信息流报警设置 时间表 信息流整形时间表经过将时间表和策略相关联,能够确定策略生效时间。能够将时间表配置为循环生效,也可配置为单次事件。时间表为控制网络信息流流动和确保网络安全提供了强有力工具。在稍后一个范例中,假如您担心职员向企业外传输关键数据,则可设置一个策略,阻塞正常上班时间以外出站FTP-Put 和MAIL 信息流。2.2.4 防火墙防网络层攻击保护基于安全区段防火墙保护选项防火墙用于保护网络安全,具体做法是先检验要求从一个安全区段到另一区段通路全部连接尝试,然后给予许可或拒绝。缺省情况下,防火墙拒绝全部方向全部信息流。经过创建策略,定义许可在预定时间经过指定源地点抵达指定目标
32、地点信息流种类,您能够控制区段间信息流。范围最大时,能够许可全部类型信息流从一个区段中任何源地点到其它全部区段中任何目标地点,而且没有任何预定时间限制。范围最小时,能够创建一个策略,只许可一个信息流在预定时间段内、在一个区段中指定主机和另一区段中指定主机之间流动。为保护全部连接尝试安全,防火墙设备使用了一个动态封包过滤方法,即通常所说状态式检验。使用此方法,防火墙设备在TCP 包头中记入多种不一样信息单元 源和目标IP 地址、源和目标端口号,和封包序列号并保持穿越防火墙每个TCP 会话状态。(防火墙也会依据改变元素,如动态端口改变或会话终止,来修改会话状态。)当响应TCP 封包抵达时,防火墙设
33、备会将其包头中包含信息和检验表中储存相关会话状态进行比较。假如相符,许可响应封包经过防火墙。假如不相符,则丢弃该封包。防火墙选项用于保护区段安全,具体做法是先检验要求经过某一接口离开和抵达该区域全部连接尝试,然后给予准许或拒绝。为避免来自其它区段攻击,能够启用防御机制来检测并避开以下常见网络攻击。下列选项可用于含有物理接口区段(这些选项不适适用于子接口):SYN Attack(SYN 攻击)、ICMP Flood(ICMP 泛滥)、UDP Flood (UDP 泛滥)和Port Scan Attack(端口扫描攻击)。l SYN Attack(SYN 攻击):当网络中充满了会发出无法完成连接请
34、求SYN 封包,以至于网络无法再处理正当连接请求,从而造成拒绝服务(DoS) 时,就发生了SYN 泛滥攻击。l ICMP Flood(ICMP 泛滥):当ICMP ping 产生大量回应请求超出了系统最大程度,以至于系统花费全部资源来进行响应直至再也无法处理有效网络信息流时,就发生了ICMP 泛滥。当启用了ICMP 泛滥保护功效时,能够设置一个临界值,一旦超出此值就会调用ICMP 泛滥攻击保护功效。假如超出了该临界值,防火墙设备在该秒余下时间和下一秒内会忽略其它ICMP 回应要求。l UDP Flood(UDP 泛滥):和ICMP 泛滥相同,当以减慢系统速度为目标向该点发送UDP 封包,以至于
35、系统再也无法处理有效连接时,就发生了UDP 泛滥。当启用了UDP 泛滥保护功效时,能够设置一个临界值,一旦超出此临界值就会调用UDP 泛滥攻击保护功效。假如从一个或多个源向单个目表发送UDP 封包数超出了此临界值,Juniper 设备在该秒余下时间和下一秒内会忽略其它到该目标UDP 封包。l Port Scan Attack(端口扫描攻击):当一个源IP 地址在定义时间间隔内向在相同目标IP 地址10 个不一样端口发送IP 封包时,就会发生端口扫描攻击。这个方案目标是扫描可用服务,期望会有一个端口响应,所以识别出作为目标服务。Juniper 设备在内部统计从某一远程源地点扫描不一样端口数目。使
36、用缺省设置,假如远程主机在0.005 秒内扫描了10 个端口(5,000 微秒),防火墙会将这一情况标识为端口扫描攻击,并在该秒余下时间内拒绝来自该源地点其它封包(不管目标IP 地址为何)。余下选项可用于含有物理接口和子接口区段:l Limit session(限制会话):防火墙设备可限制由单个IP 地址建立会话数量。比如,假如从同一用户端发送过多请求,就能耗尽Web 服务器上会话资源。此选项定义了每秒钟防火墙设备能够为单个IP 地址建立最大会话数量。l SYN-ACK-ACK Proxy 保护:当认证用户初始化Telnet 或FTP 连接时,用户会SYN 封包到Telnet 或FTP服务器。
37、Juniper 设备会截取封包,经过Proxy 将SYN-ACK 封包发送给用户。用户用ACK 封包响应。此时,初始三方握手就已完成。防火墙设备在其会话表中建立项目,并向用户发送登录提醒。假如用户怀有恶意而不登录,但继续开启SYN-ACK-ACK 会话,防火墙会话表就可能填满到某个程度,让设备开始拒绝正当连接要求。要阻挡这类攻击,您能够启用SYN-ACK-ACK Proxy 保护SCREEN 选项。从相同IP 地址连接数目抵达syn-ack-ack-proxy 临界值后,防火墙设备就会拒绝来自该IP 地址深入连接要求。缺省情况下,来自单一IP 地址临界值是512 次连接。您能够更改这个临界值(
38、为1 到2,500,000 之间任何数目)以愈加好地适合网络环境需求。l SYN Fragment(SYN 碎片):SYN 碎片攻击使目标主机充塞过量SYN 封包碎片。主机接到这些碎片后,会等候其它封包抵达方便将其重新组合在起来。经过向服务器或主机堆积无法完成连接,主机内存缓冲区最终将会塞满。深入连接无法进行,而且可能会破坏主机操作系统。当协议字段指示是ICMP封包,而且片断标志被设置为1 或指出了偏移值时,防火墙设备会丢弃ICMP 封包。l SYN and FIN Bits Set(SYN 和FIN 位封包):通常不会在同一封包中同时设置SYN 和FIN 标志。不过,攻击者能够经过发送同时置
39、位两个标志封包来查看将返回何种系统应答,从而确定出接收端上系统种类。接着,攻击者能够利用已知系统漏洞来实施深入攻击。启用此选项可使防火墙设备丢弃在标志字段中同时设置SYN 和FIN 位封包。l TCP Packet Without Flag(无标识TCP 封包):通常,在发送TCP 封包标志字段中最少会有一位被置位。此选项将使防火墙设备丢弃字段标志缺乏或不全TCP 封包。l FIN Bit With No ACK Bit(有FIN 位无ACK 位):设置了FIN 标志TCP 封包通常也会设置ACK 位。此选项将使防火墙设备丢弃在标志字段中设置了FIN 标志,但没有设置ACK 位封包。l ICM
40、P Fragment(ICMP 碎片):检测任何设置了“更多片断”标志,或在偏移字段中指出了偏移值ICMP 帧。l Ping of Death:TCP/IP 规范要求用于数据包报传输封包必需含有特定大小。很多ping 实现许可用户依据需要指定更大封包大小。过大ICMP 封包会引发一系列负面系统反应,如拒绝服务(DoS)、系统瓦解、死机和重新开启。假如许可防火墙设备实施此操作,它能够检测并拒绝这类过大且不规则封包。l Address Sweep Attack(地址扫描攻击):和端口扫描攻击类似,当一个源IP 地址在定义时间间隔(缺省值为5,000 微秒)内向不一样主机发送ICMP 响应要求(或p
41、ing)时,就会发生地址扫描攻击。这个配置目标是Ping 数个主机,期望有一个会回复响应,方便找到能够作为目标地址。防火墙设备在内部统计从一个远程源ping 不一样地址数目。使用缺省设置,假如某远程主机在0.005 秒(5,000 微秒)内ping 了10 个地址,防火墙会将这一情况标识为地址扫描攻击,并在该秒余下时间内拒绝来自于该主机ICMP 回应要求。l Large ICMP Packet(大ICMP 封包):防火墙设备丢弃长度大于1024 ICMP 封包。l Tear Drop Attack(撕毁攻击):撕毁攻击利用了IP 封包碎片重新组合。在IP 包头中,选项之一为偏移值。当一个封包碎
42、片偏移值和大小之和不一样于下一封包碎片时,封包发生重合,而且服务器尝试重新组合封包时会引发系统瓦解。假如防火墙在某封包碎片中发觉了这种不一致现象,将会丢弃该碎片。l Filter IP Source Route Option(过滤IP 源路由选项):IP 包头信息有一个选项,其中所含路由信息可指定和包头源路由不一样源路由。启用此选项可封锁全部使用“源路由选项”IP 信息流。“源路由选项”可许可攻击者以假IP 地址进入网络,并将数据送回到其真正地址。l Record Route Option(统计路由选项):防火墙设备封锁IP 选项为7(统计路由)封包。此选项用于统计封包路由。统计路由由一系列互
43、联网地址组成,外来者经过分析能够了解到您网络编址方案及拓扑结构方面具体信息。l IP Security Option(IP 安全性选项):此选项为主机提供了一个手段,可发送和DOD 要求兼容安全性、分隔、TCC(非公开用户组)参数和“处理限制代码”。l IP Strict Source Route Option(IP 严格源路由选项):防火墙设备封锁IP 选项为9(严格源路由选择)封包。此选项为封包源提供了一个手段,可在向目标转发封包时提供网关所要使用路由信息。此选项为严格源路由,因为网关或主机IP 必需将数据包报直接发送到源路由中下一地址,而且只能经过下一地址中指示直接连接网络才能抵达路由中
44、指定下一网关或主机。l Unknown Protocol(未知协议):防火墙设备丢弃协议字段设置为101 或更大值封包。现在,这些协议类型被保留,还未定义。l IP Spoofing(IP 欺骗):当攻击者试图经过假冒有效用户端IP 地址来绕过防火墙保护时,就发生了欺骗攻击。假如启用了IP 欺骗防御机制,防火墙设备会用自己路由表对IP 地址进行分析,来抵御这种攻击。假如IP 地址不在路由表中,则不许可来自该源信息流经过防火墙设备进行通信,而且会丢弃来自该源全部封包。在CLI 中,您能够指示Juniper 设备丢弃没有包含源路由或包含已保留源IP 地址(不可路由,比如127.0.0.1)封包:s
45、et zone zone screen ip-spoofing drop-no-rpf-route。l Bad IP Option(坏IP 选项):当IP 数据包包头中IP 选项列表不完整或残缺时,会触发此选项。l IP Timestamp Option(IP 时戳选项):防火墙设备封锁IP 选项列表中包含选项4(互联网时戳)封包。l Loose Source Route Option:防火墙设备封锁IP 选项为3(松散源路由)封包。此选项为封包源提供了一个手段,可在向目标转发封包时提供网关所要使用路由信息。此选项是松散源路由,因为许可网关或主机IP 使用任何数量其它中间网关任何路由来抵达路由
46、中下一地址。l IP Stream Option(IP 流选项):防火墙设备封锁IP 选项为8(流ID)封包。此选项提供了一个方法,用于在不支持流概念网络中输送16 位SATNET 流标识符。l WinNuke Attack(WinNuke 攻击):WinNuke 是一个常见应用程序,其唯一目标就是使互联网上任何运行Windows 计算机瓦解。WinNuke 经过已建立连接向主机发送带外(OOB) 数据 通常发送到NetBIOS 端口139 并引发NetBIOS 碎片重合,以此来使多台机器瓦解。重新开启后,会显示下列信息,指示攻击已经发生:An exception OE has occurre
47、d at 0028:address in VxD MSTCP(01) +000041AE. This was called from 0028:address in VxD NDIS(01) +00008660. It may be possible to continue normally.(00008660。有可能继续正常运行。)Press any key to attempt to continue.(请按任意键尝试继续运行。)Press CTRL+ALT+DEL to restart your computer. You will lose any unsaved information in allapplications.(按CTRL+ALT+DEL 可尝试继续运行。将丢失全部应用程序中未保留信息。)Press any key to continue. (按任意键继续。)假如启用了WinNuke 攻击防御机制,Juniper 设备会扫描全部进入“Microsoft NetBIOS 会话服务”(端口139)封包。假如防火墙设备发觉某个封包上设置了TCP URG 代码位,就会检验偏移值、删除碎片重合并依据需要纠正偏移值以预防发生OOB 错误。然后让经过修正封包经过,并在“事件警报”日志中创建一个WinNuke 攻击日志条目。l Land Attack:“
浙ICP备2021020529号-1 | 浙B2-20240490 
