【正文】 。在沒有專用 HA 接口的 Juniper 設(shè)備上，必須將一個(gè)或兩個(gè)物理以太網(wǎng)接口綁定到 HA 區(qū)段上。 網(wǎng)絡(luò)安全工程技術(shù)方案建議書 第 13 頁 共 36 頁 Juniper 的 中高端 防火墻設(shè)備通過 一個(gè)或 兩個(gè)高可靠性端口 HA1 和 HA2 來實(shí)現(xiàn)NSRP。 在實(shí)際應(yīng)用中，可以通過網(wǎng)絡(luò)優(yōu)化、路由調(diào)整的方法將不對稱的流量減少，從而使得第二個(gè)端口 HA2 的負(fù)載處在合理水平。而且查 錯(cuò)較為簡單。 Juniper防火墻在透明模式下一般可以支持對不帶 vlan tag 標(biāo)記和帶 vlan tag 標(biāo)記的數(shù)據(jù)包的穿越，同時(shí)對該數(shù)據(jù)包的 IP 層及應(yīng)用層的信息進(jìn)行分析，從而可以更容易地將該防火墻部署到網(wǎng)絡(luò)里面。 網(wǎng)絡(luò)安全工程技術(shù)方案建議書 第 16 頁 共 36 頁 ? 通 過 VPNC 測試，與其他通過 IPSec 認(rèn) 證的廠商設(shè)備兼容。 ? 支持 IPsec NAT 穿越； ? 支持遠(yuǎn)程接入 VPN，即通過 PC 上的 VPN 客戶端（需客戶自己提供）發(fā)起 IPsec VPN，并在防火墻上終結(jié)。 幾乎所有防火墻系統(tǒng)的安全策略由以下元素組成： 源地址 目的地址 服務(wù) 動(dòng)作 所有防火墻策略的執(zhí)行是按照前后順序方式執(zhí)行，當(dāng)策略被執(zhí)行后，其后的策略不被執(zhí)行。 網(wǎng)絡(luò)安全工程技術(shù)方案建議書 第 17 頁 共 36 頁 區(qū)段間策略 區(qū)段間策略提供對安全區(qū)段間信息流的控制。找到回應(yīng)批準(zhǔn) HTTP 請求的封包時(shí)， Juniper 設(shè)備允許來自 Untrust 區(qū)段中服務(wù)器 B 的封包穿越防火墻到達(dá) Trust 區(qū)段中的主機(jī) A。與區(qū)段間策略一樣，區(qū)段內(nèi)部策略也控制信息流單向流動(dòng)。這些地址可以跨越多個(gè)安全區(qū)段。使用源區(qū)段和目的區(qū)段， Juniper 設(shè)備可以執(zhí)行策略查詢，按以下順序查閱策略組列表： 如果源區(qū)段和目的區(qū)段不同，則 Juniper 設(shè)備在區(qū)段間策略組列表中執(zhí)行策略查詢。（或）如果 Juniper 設(shè)備執(zhí)行區(qū)段內(nèi)部和全局策略查詢，但是沒有找到匹配策略， Juniper 設(shè)備會(huì)將該區(qū)段的區(qū)段內(nèi)部阻塞設(shè)置應(yīng)用到封包： unset/set zone zone block。由于所有信息流都必須通過此點(diǎn)，因此可以篩選并引導(dǎo)所有通過執(zhí)行策略組列表（區(qū)段間策略、內(nèi)部區(qū)段策略和全局策略）產(chǎn)生的信息流?？梢詫r(shí)間表配置為 循環(huán)生效，也可配置為單次事件。在 CLI 中，使用 set schedule 命令。范圍最大時(shí)，可以允許所有類型的信息流從一個(gè)區(qū)段中的任何源地點(diǎn)到其它所有區(qū)段中的任何目的地點(diǎn)，而且沒有任何預(yù)定時(shí)間限制。（防火墻也會(huì)根據(jù)變化的元素，如動(dòng)態(tài)端口變化或會(huì)話終止，來修改會(huì)話狀態(tài)。 防火墻選項(xiàng)用于保護(hù)區(qū)段的安全，具體做法是先檢查要求經(jīng)過某一接口離開和到達(dá)該區(qū)域的所有連接嘗試，然后予以準(zhǔn)許或拒絕。 ? ICMP Flood（ ICMP 泛濫）： 當(dāng) ICMP ping 產(chǎn)生的 大量回 應(yīng)請 求超 出了 系統(tǒng) 的最 大限度 ，以 至 于 系統(tǒng)耗費(fèi) 所有 資 源來進(jìn)行 響 應(yīng) 直至再也無法 處理有 效 的網(wǎng) 絡(luò) 信息流時(shí)， 就發(fā)生了 ICMP 泛濫 。 當(dāng)啟 用了 UDP 泛濫保護(hù)功 能時(shí)，可以設(shè)置一個(gè) 臨界值 ，一 旦超 過 此臨界值就 會(huì) 調(diào) 用 UDP 泛濫攻 擊 保護(hù)功能。Juniper 設(shè)備在內(nèi)部 記錄 從 某 一 遠(yuǎn) 程源 地點(diǎn) 掃描 的不同 端 口的數(shù)目。 此 選 項(xiàng)定義了每 秒鐘 防火墻 設(shè)備可以為單個(gè) IP 地址建 立 的最 大 會(huì)話數(shù) 量 。 此 時(shí)， 初 始的三方 握手就 已 完成 。從相同 IP 地址的連接數(shù)目到達(dá) synackackproxy 臨界值 后， 防火墻 設(shè)備 就 會(huì) 拒絕 來自該 IP 地址的進(jìn)一步連接要 求 。主機(jī)接到這些 碎片 后，會(huì) 等待 其 余 的封包到達(dá)以便將其 重 新組 合 在 起 來。 ? SYN and FIN Bits Set（ SYN 和 FIN 位的封包）： 通 常 不會(huì)在同一封包中同時(shí)設(shè)置SYN 和 FIN 標(biāo) 志 。 ? TCP Packet Without Flag（無標(biāo)記的 TCP 封包）： 通 常 ，在發(fā)送的 TCP 封包的標(biāo)志字 段中 至少 會(huì)有一位 被 置位。 ? ICMP Fragment（ ICMP 碎片）： 檢測任 何設(shè)置了“ 更 多 片斷 ”標(biāo) 志 ， 或在 偏 移 字 段中指出了 偏 移 值 的 ICMP 幀 。如果 允許 防火墻設(shè)備執(zhí)行 此 操作，它可以 檢測 并 拒絕此類 過 大 且不 規(guī)則 的封包。使用缺省設(shè)置，如果 某遠(yuǎn) 程主機(jī)在 秒 （ 5,000 微秒 ）內(nèi) ping 了10 個(gè)地址， 防火墻 會(huì)將這一情況標(biāo) 記 為地址 掃描攻 擊，并在該 秒余 下的時(shí)間內(nèi) 拒絕 來自于該主機(jī)的 ICMP 回 應(yīng)要 求 。 當(dāng) 一個(gè)封包 碎片 的 偏 移 值 與 大小 之和不同于下一封包 碎片 時(shí)，封包發(fā)生 重疊 ，并且服務(wù)器嘗試 重 新組 合 封包時(shí)會(huì)引 起系統(tǒng)崩潰 。“源 路由選 項(xiàng) ”可 允許攻 擊 者 以 假 的 IP 地址進(jìn)入網(wǎng) 絡(luò) ，并將數(shù)據(jù)送 回 到其 真正 的地址。 ? IP Security Option（ IP 安全性選項(xiàng)）： 此 選 項(xiàng) 為主機(jī) 提供 了一 種手 段，可發(fā)送與 DOD 要 求兼 容的安全 性 、分 隔 、 TCC（ 非公 開用戶組）參數(shù)以 及 “處理 限制代碼 ”。 ? Unknown Protocol（未知協(xié)議）： 防火墻 設(shè)備丟棄 協(xié)議字 段設(shè)置為 101 或 更大值 的封包。如果 IP 地址不在路由表中， 則 不 允許來自該源的信息流通過 防火墻 設(shè)備進(jìn)行通信，并且會(huì)丟棄來自該源的所有封包。 ? Loose Source Route Option： 防火墻 設(shè)備封 鎖 IP 選 項(xiàng) 為 3（ 松散 源路由）的封包。此 選 項(xiàng)提供 了一 種 方 法 ，用于在不 支持 流 概念 的網(wǎng) 絡(luò) 中輸送 16 位 SATNET 流標(biāo)識 符 。有可能 繼 續(xù)正常 運(yùn) 行。） Press any key to continue. （按 任意 鍵 繼 續(xù)。 ? Land Attack：“ 陸 地” 攻 擊將 SYN 攻 擊和 IP 欺騙 結(jié) 合 在了一 起 ， 當(dāng)攻 擊 者 發(fā)送含有 受害 方 IP 地址的 欺騙性 SYN 封包，將其作為目的和源 IP 地址時(shí)， 就 發(fā)生了 陸 地 攻 擊。 ? Malicious URL Protection： 當(dāng)啟 用“ 惡意 URL 檢測 ”時(shí)， Juniper 設(shè)備會(huì) 監(jiān)視 每個(gè) HTTP 封包并 檢測 與 若干 用戶定義模式中的 任意 一個(gè)相匹配的 任 何封包。同樣 ， 特 洛伊木馬病毒 2也 可以 隱藏 在 壓縮文 件（如 .zip）和可執(zhí)行（ .exe） 文 件中。如果內(nèi)容 類 型 僅 列出“ 八 位位組流”，而不是 特 定的 組件 類 型，則 防火墻 設(shè)備會(huì) 檢 查 負(fù) 荷 中的 文 件 類 型。 當(dāng) 目標(biāo) 系統(tǒng)收 到這些封包時(shí)， 造 成 的結(jié)果 小 到 無法正 確處理封包， 大 到使 整 個(gè) 系統(tǒng)崩潰 。對于在實(shí)際網(wǎng)絡(luò)上該閥值的確定，通常要對實(shí)施防火墻的網(wǎng)絡(luò)實(shí)際情況進(jìn)行合理的分析，通過對現(xiàn)有網(wǎng)絡(luò)的分析結(jié)果確定最終的設(shè)定值。防火墻設(shè)備用目的地區(qū)段接口的 IP 地址替換發(fā)送封包的主機(jī)的源 IP 地址。 NAT 添加 Transparent 模式（透明模式）中未提供的一個(gè)安全級別：連接到 NAT 模式接口的主機(jī)的地址對 Untrust 區(qū)段中的主機(jī)從不公開。從 Untrust 區(qū)段外的其它任意區(qū)段網(wǎng)絡(luò)安全工程技術(shù)方案建議書 第 25 頁 共 36 頁 向擁有已啟用 NAT 的接口的區(qū)段發(fā)送信息流時(shí)，不需 要使用 MIP、 VIP 或 VPN。 在實(shí)施動(dòng)態(tài) IP 地址翻譯具體方式上，可以實(shí)現(xiàn)下列功能 a) 端口地址翻譯的 DIP 使用“端口地址轉(zhuǎn)換” (PAT)，多臺主機(jī)可共享同一 IP 地址，防火墻設(shè)備維護(hù)一個(gè)已分配端口號的列表，以識別哪個(gè)會(huì)話屬于哪個(gè)主機(jī)。對于固定端口 DIP，防火墻設(shè)備散列原始的主機(jī) IP 地址，并將它保存在其主機(jī)散列表中，從而允許防火墻設(shè)備將正確的會(huì)話與每個(gè)主機(jī)相關(guān)聯(lián)。 d) 附著 DIP 主機(jī)發(fā)起與已啟用網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 的策略相匹配的幾個(gè)會(huì)話，并且獲得了來自動(dòng)態(tài) IP (DIP) 池的分配地址時(shí)，防火墻設(shè)備為每個(gè)會(huì)話分配不同的源 IP 地址。實(shí)際上， MIP 是靜態(tài)目的地地址轉(zhuǎn)換。 為保證 MIP 實(shí)現(xiàn)的靈活性，可在與任何已編號通道接口（即帶 IP 地址 / 網(wǎng)絡(luò)掩碼的接口）及任何綁定到第 3 層 (L3) 安全區(qū)段的已編號接口相同的子網(wǎng)中創(chuàng)建 MIP。 ? 目的地為 :25 的 FTP 封包可能映射到地址為 的 FTP 服務(wù)器。 Juniper 設(shè)備拒絕任何嘗試在其眾所周知的端口號 (21) 到達(dá) FTP 服務(wù)器的信息流。 防火墻用戶認(rèn)證的實(shí)現(xiàn)方案 在策略定義時(shí)， Juniper 提供了用戶認(rèn)證選項(xiàng)， 選擇此選項(xiàng)要求源地址的 auth 用戶，在允許信息流穿越防火墻或進(jìn)入 VPN 通道前，通過提供用戶名和密碼，以認(rèn)證他 / 她的身份。 auth 用戶用自己的用戶名和密碼響應(yīng)此提示。如果主機(jī)支持多個(gè) auth 用戶帳戶（如運(yùn)行 Tel 的 Unix 主機(jī)），則在第一個(gè)用戶認(rèn)證后，該主機(jī)的所有其它用戶都可以繼承第一個(gè)用戶的權(quán)限，讓信息流通過 Juniper 設(shè)備而不必經(jīng)過認(rèn)證。 ? 包括所希望的服務(wù)或多個(gè)服務(wù)的服務(wù)組，加上啟動(dòng)認(rèn)證過程必需的三個(gè)服務(wù)中的一個(gè)或多個(gè)（ Tel、 FTP 或 HTTP）。 策略前檢查認(rèn)證 (WebAuth) WebAuth 認(rèn)證的過程如下： auth 用戶為 WebAuth 服務(wù)器建立到 IP 地址的 HTTP 連接。 如果認(rèn)證嘗試成功，則 Juniper 設(shè)備允許 auth 用戶啟動(dòng)信息流，使其流向在強(qiáng)制通過 WebAuth 方法執(zhí)行認(rèn)證的策略中指定的目的位置。 auth 用戶用自己的用戶名和密碼響應(yīng)此提示。然后，在創(chuàng)建策略時(shí)，指定服務(wù)為“ Login”。只有具有這些服務(wù)中的一個(gè)或所有服務(wù)的策略才能啟動(dòng)認(rèn)證過程。 如果認(rèn)證成功，則在 auth 用戶和目的地址間建立連接。 Juniper 提供兩種認(rèn)證方案： ? 運(yùn)行時(shí)認(rèn)證，在收到與啟用認(rèn)證的策略相匹配的 HTTP、 FTP 或 Tel 信息流時(shí)， Juniper 設(shè)備提示 auth 用戶登錄 網(wǎng)絡(luò)安全工程技術(shù)方案建議書 第 28 頁 共 36 頁 ? WebAuth，通過 Juniper 設(shè)備發(fā)送信息流前，用戶必須認(rèn)證自己 運(yùn)行時(shí)認(rèn)證 運(yùn)行時(shí)認(rèn)證的過程如下： 當(dāng) auth 用戶發(fā)送 HTTP、 FTP 或 Tel 連接請求到目的地址時(shí)， Juniper 設(shè)備截取封包并對其進(jìn)行緩沖。 防火墻的應(yīng)用代理實(shí)現(xiàn)方 案 Juniper的防火墻只是在實(shí)施基于 TCP SynFlood保護(hù)時(shí)才 采用了 TCP的代理 proxy，通過對外部 TCP Syn 包做代理的方式，保護(hù)內(nèi)部主機(jī)不至于受到 TCP SynFlood 的攻擊。 網(wǎng)絡(luò)安全工程技術(shù)方案建議書 第 27 頁 共 36 頁 可以對眾所周知（ WellKnown）的服務(wù)使用虛擬端口號以增強(qiáng)安全性。例如： ? 目的地為 :80（即， IP 地址為 ，端口為 80）的 HTTP 封包可能映射到地址為 的 web 服務(wù)器。 MIP 允許入站信息流到達(dá)接口模式為 NAT 的區(qū)段中的私有地址。 靜態(tài)地址翻譯（映射 IP 地址） 映射 IP (MIP) 是一個(gè) IP 地址到另一個(gè) IP 地址的一對一直接映射。此選項(xiàng)允許將第二個(gè) IP 地址和一個(gè)伴隨 DIP 池連接到一個(gè)在不同子網(wǎng)中的接口。 b) 固定端口地址的 DIP 一些應(yīng)用，如“ NetBIOS 擴(kuò)展用戶接口” (NetBEUI) 和“ Windows 互聯(lián)網(wǎng)命名服務(wù)”(WINS)，需要具體的端口號，如果將 PAT 應(yīng)用于它們，它們將無法正常運(yùn)行。 防火墻除了接口支持 NAT 模式以外，還可以通過設(shè)定策略實(shí)現(xiàn)以下地址轉(zhuǎn)換的功能： 基于策略的源和目標(biāo)地址和端口 翻譯 在策略中可以定義目標(biāo)地址是否需要轉(zhuǎn)換，其 IP 地址和端口可以轉(zhuǎn)換為需要的地址和端口。只用一個(gè)公共、互聯(lián)網(wǎng)可路由的 IP 地址（ Untrust 區(qū)段中的接口的 IP 地址）時(shí)， Trust 區(qū)段或任意使用 NAT 服務(wù)的其它區(qū)段中的 LAN 可擁有具有私有 IP 地址的大量主機(jī)。 當(dāng)回復(fù)封包到達(dá)防火墻設(shè)備時(shí)，該設(shè)備轉(zhuǎn)換內(nèi)向封包的 IP 包頭中的兩個(gè)組件：目的地地址和端口號， 它們被轉(zhuǎn)換回初始號碼。 在實(shí)際應(yīng)用中，這些參數(shù)要隨時(shí)根據(jù)網(wǎng)絡(luò)流 量情況進(jìn)行動(dòng)態(tài)監(jiān)控的更新。 對于網(wǎng)絡(luò)層的攻擊，大多數(shù)從技術(shù)角度無法判斷該數(shù)據(jù)包的合法性，如 SYN flood, UDP flood，通常防火墻采用閥值來控制該訪問的流量。 ? Deny Fragment： 封包通過不同的網(wǎng) 絡(luò) 時(shí)，有時(shí)必須根據(jù)網(wǎng) 絡(luò) 的最 大 傳輸單位 (MTU) 將封包分 成更小 的部分（ 片斷 ）。會(huì) 檢 查包 頭 中列出的內(nèi)容 類 型是 否 指示封包 負(fù) 荷 中有 任 何目的組件。 ? Block Java/ActiveX/ZIP/EXE Component： Web 網(wǎng)頁中可能 藏 有 惡意 的 Java 或