【導讀】數據安全是防止信息被非法探聽；服務安全是使網絡系統(tǒng)提供不間斷的通暢的對外服務。從嚴格的意義上講，只有物理上。但為了實際生產以及信息交換的需要，采用完全隔離。在有了對外的聯(lián)系之后，網絡安全的目的就是使不良用。心的人竊聽數據、破壞服務的成本提高到他們不能承受的程度。本、人力成本、時間成本等多方面的因素。Juniper的整合式安全設備是專為互聯(lián)網網絡。理等多種安全功能集于一體。Juniper整合式安全設備具有ASIC芯片硬件加速的安全策。略、IPSec加密演算性能、低延時，可以無縫地部署到任何網絡。設備安裝和操控也是。非常容易，可以通過內置的WebUI、命令行界面或中央管理方案進行統(tǒng)一管理。Juniper全功能防火墻采用實時檢測技術，可以防止入侵者和拒絕服務?；饓Γ?，比拼湊而成的軟件類方案提供更高級的安全水平。

　　

【正文】 件 警 報 ” 日 志 中創(chuàng)建一個 WinNuke 攻 擊 日 志 條目。 ? Land Attack：“ 陸 地” 攻 擊將 SYN 攻 擊和 IP 欺騙 結 合 在了一 起 ， 當攻 擊 者 發(fā)送含有 受害 方 IP 地址的 欺騙性 SYN 封包，將其作為目的和源 IP 地址時， 就 發(fā)生了 陸 地 攻 擊。接 收系統(tǒng) 通過向自 己 發(fā)送 SYNACK 封包來進行 響 應，同時 創(chuàng)建一個 空 的連接，該連接將會一 直保持 到達到 空 閑 超 時 值 為 止 。向 系統(tǒng)堆積 過多的這 種空 連接會 耗盡系統(tǒng)資 源， 導致 DoS。通過將 SYN 泛濫 防 御 機 制 和 IP 欺騙保護措施 結 合 在一 起 ， 防火墻 設備將會封 鎖任 何 此類性 質 的企 圖 。 ? Malicious URL Protection： 當啟 用“ 惡意 URL 檢測 ”時， Juniper 設備會 監(jiān)視 每個 HTTP 封包并 檢測 與 若干 用戶定義模式中的 任意 一個相匹配的 任 何封包。設備會自動丟棄所有 此類 封包。 ? Block Java/ActiveX/ZIP/EXE Component： Web 網頁中可能 藏 有 惡意 的 Java 或ActiveX 組件。下載 完 以后，這些 applet 會在您的 計 算 機上安裝 特 洛伊木馬病毒 。同樣 ， 特 洛伊木馬病毒 2也 可以 隱藏 在 壓縮文 件（如 .zip）和可執(zhí)行（ .exe） 文 件中。在安全區(qū)中 啟 用這些組件的 阻塞 時， 防火墻 設備會 檢 查每個到達綁定到該區(qū)域的接口的HTTP 包 頭 。會 檢 查包 頭 中列出的內容 類 型是 否 指示封包 負 荷 中有 任 何目的組件。如果內容 類 型為 ActiveX、 Java、 .exe 或 .zip，而且您將 防火墻 設備配置為 阻塞 這些組件，防火墻 設備會 阻塞 封包。如果內容 類 型 僅 列出“ 八 位位組流”，而不是 特 定的 組件 類 型，則 防火墻 設備會 檢 查 負 荷 中的 文 件 類 型。如果 文 件 類 型為 ActiveX、 Java、 .exe 或 .zip，而且您將 防火墻 設備配置為 阻塞 這些組件， 防火墻 設備會 阻塞 封包。 ? Deny Fragment： 封包通過不同的網 絡 時，有時必須根據網 絡 的最 大 傳輸單位 (MTU) 將封包分 成更小 的部分（ 片斷 ）。 攻 擊 者 可能會利用 IP 棧 具 體 實現(xiàn)的封包 重 新組 合代碼 中的 漏洞 ，通過 IP 碎片 進行 攻 擊。 當 目標 系統(tǒng)收 到這些封包時， 造 成 的結果 小 到 無法正 確處理封包， 大 到使 整 個 系統(tǒng)崩潰 。如果 允許 防火墻 設備 拒絕 安全區(qū)段上的 IP 碎網絡安全工程技術方案建議書 第 24 頁 共 36 頁 片 ，設備將封 鎖 在 綁定到該區(qū)段的接口處接 收 到的所有 IP 封包 碎片 。 對于網絡層的攻擊，大多數從技術角度無法判斷該數據包的合法性，如 SYN flood, UDP flood，通常防火墻采用閥值來控制該訪問的流量。通常防火墻對這些選項提供了缺省值。對于在實際網絡上該閥值的確定，通常要對實施防火墻的網絡實際情況進行合理的分析，通過對現(xiàn)有網絡的分析結果確定最終的設定值。比如，網絡在正常工作的情況下的最大 Syn 數據包值為 3000，考慮到網絡突發(fā)流量，對現(xiàn)有值增加 20%，則該值作為系統(tǒng)的設定值。 在實際應用中，這些參數要隨時根據網絡流 量情況進行動態(tài)監(jiān)控的更新。 防火墻的網絡地址轉換實現(xiàn)方案 當防火墻的接口處于“網絡地址轉換 (NAT)”模式下時， 該設備的作用與 Layer 3（第 3 層）交換機（或路由器）相似，將綁定到 Untrust 區(qū)段的 IP 封包包頭中的兩個組件進行轉換：其源 IP 地址和源端口號。防火墻設備用目的地區(qū)段接口的 IP 地址替換發(fā)送封包的主機的源 IP 地址。另外，它用另一個由設備生成的任意端口號替換源端口號。 當回復封包到達防火墻設備時，該設備轉換內向封包的 IP 包頭中的兩個組件：目的地地址和端口號， 它們被轉換回初始號碼。封包于是被轉發(fā)到其目的地地址。 NAT 添加 Transparent 模式（透明模式）中未提供的一個安全級別：連接到 NAT 模式接口的主機的地址對 Untrust 區(qū)段中的主機從不公開。 另外， NAT 還保留對互聯(lián)網可路由的 IP 地址的使用。只用一個公共、互聯(lián)網可路由的 IP 地址（ Untrust 區(qū)段中的接口的 IP 地址）時， Trust 區(qū)段或任意使用 NAT 服務的其它區(qū)段中的 LAN 可擁有具有私有 IP 地址的大量主機。以下 IP 地址范圍保留給私有 IP 網絡，并且不必在互聯(lián) 網上設定路由： 通過 NAT 模式下的接口發(fā)送信息流的區(qū)段內的主機，能夠發(fā)出流向 Untrust 區(qū)段的信息流（如果策略允許），但是不能夠接收來自 Untrust 區(qū)段的信息流，除非為其設置了映射 IP (MIP)、虛擬 IP (VIP) 或 VPN 通道。從 Untrust 區(qū)段外的其它任意區(qū)段網絡安全工程技術方案建議書 第 25 頁 共 36 頁 向擁有已啟用 NAT 的接口的區(qū)段發(fā)送信息流時，不需 要使用 MIP、 VIP 或 VPN。如果要保護某區(qū)段內地址的私密性，可定義 MIP 并為該區(qū)段創(chuàng)建一個策略，將該 MIP 引用為目的地地址。 防火墻除了接口支持 NAT 模式以外，還可以通過設定策略實現(xiàn)以下地址轉換的功能： 基于策略的源和目標地址和端口 翻譯 在策略中可以定義目標地址是否需要轉換，其 IP 地址和端口可以轉換為需要的地址和端口。 動態(tài) IP地址翻譯（ DIP， Dynamic IP Pool） DIP 池包含一個范圍內的 IP 地址， 防火墻設備在對 IP 封包包頭中的源 IP 地址執(zhí)行網絡地址轉換 (NAT) 時，可從中動態(tài)地提取地址。 在實施動態(tài) IP 地址翻譯具體方式上，可以實現(xiàn)下列功能 a) 端口地址翻譯的 DIP 使用“端口地址轉換” (PAT)，多臺主機可共享同一 IP 地址，防火墻設備維護一個已分配端口號的列表，以識別哪個會話屬于哪個主機。啟用 PAT 后，最多 64,500 臺主機即可共享單個 IP 地址。 b) 固定端口地址的 DIP 一些應用，如“ NetBIOS 擴展用戶接口” (NetBEUI) 和“ Windows 互聯(lián)網命名服務”(WINS)，需要具體的端口號，如果將 PAT 應用于它們，它們將無法正常運行。對 于這種應用，應用 DIP 時，可指定不執(zhí)行 PAT（即，使用固定端口）。對于固定端口 DIP，防火墻設備散列原始的主機 IP 地址，并將它保存在其主機散列表中，從而允許防火墻設備將正確的會話與每個主機相關聯(lián)。 c) 擴展端口和 DIP 根據情況，如果需要將出站防火墻信息流中的源 IP 地址，從出口接口的地址轉換成不同子網中的地址，可使用擴展接口選項。此選項允許將第二個 IP 地址和一個伴隨 DIP 池連接到一個在不同子網中的接口。然后，可基于每個策略啟用 NAT，并且指定 DIP 池，該池在用于轉換的擴展接口上創(chuàng)建 。 d) 附著 DIP 主機發(fā)起與已啟用網絡地址轉換 (NAT) 的策略相匹配的幾個會話，并且獲得了來自動態(tài) IP (DIP) 池的分配地址時，防火墻設備為每個會話分配不同的源 IP 地址。對于創(chuàng)建多個會話（每個會話都需要同一源 IP 地址）的服務，這種隨機地址分配可能會產網絡安全工程技術方案建議書 第 26 頁 共 36 頁 生問題。 靜態(tài)地址翻譯（映射 IP 地址） 映射 IP (MIP) 是一個 IP 地址到另一個 IP 地址的一對一直接映射。防火墻設備將目的地為 MIP 的內向信息流轉發(fā)至地址為 MIP 指向地址的主機。實際上， MIP 是靜態(tài)目的地地址轉換?！皠討B(tài) IP” (DIP) 將 IP 封包包頭中的源 IP 地址轉換為 DIP 池中隨機選擇的地址，而 MIP 將 IP 封包包頭中的目的地 IP 地址映射為另一個靜態(tài) IP 地址。 MIP 允許入站信息流到達接口模式為 NAT 的區(qū)段中的私有地址。 MIP 還部分解決通過 VPN 通道連接的兩個站點之間地址空間重疊的問題。 為保證 MIP 實現(xiàn)的靈活性，可在與任何已編號通道接口（即帶 IP 地址 / 網絡掩碼的接口）及任何綁定到第 3 層 (L3) 安全區(qū)段的已編號接口相同的子網中創(chuàng)建 MIP。 VIP 地址翻譯 根據 TCP 或 UDP 片段包頭的目的地端口號，虛擬 IP (VIP) 地址將在一個 IP 地址處接收到的信息流映射到另一個地址。例如： ? 目的地為 :80（即， IP 地址為 ，端口為 80）的 HTTP 封包可能映射到地址為 的 web 服務器。 ? 目的地為 :21 的 FTP 封包可能映射到地址為 的 FTP 服務器。 ? 目的地為 :25 的 FTP 封包可能映射到地址為 的 FTP 服務器。 由于目的地 IP 地址相同，防火墻設備根據目的地端口號確定將信息流轉發(fā)到的主機。 網絡安全工程技術方案建議書 第 27 頁 共 36 頁 可以對眾所周知（ WellKnown）的服務使用虛擬端口號以增強安全性。例如，如果您只想允許分支機構的雇員在公司網站訪問 FTP 服務器，可以指定從 1024 到 65,535 的注冊端口號充當內向 FTP 信息流的端口號。 Juniper 設備拒絕任何嘗試在其眾所周知的端口號 (21) 到達 FTP 服務器的信息流。只有預先知道虛擬端口號并將其附加到封包包頭的人員才能訪問該服務器。 防火墻的應用代理實現(xiàn)方 案 Juniper的防火墻只是在實施基于 TCP SynFlood保護時才 采用了 TCP的代理 proxy，通過對外部 TCP Syn 包做代理的方式，保護內部主機不至于受到 TCP SynFlood 的攻擊。由于設計原理和應用的區(qū)別， Juniper 不建議在大網里采用應用代理，避免了網絡速度的大幅下降。 防火墻用戶認證的實現(xiàn)方案 在策略定義時， Juniper 提供了用戶認證選項， 選擇此選項要求源地址的 auth 用戶，在允許信息流穿越防火墻或進入 VPN 通道前，通過提供用戶名和密碼，以認證他 / 她的身份。 Juniper 設備可使用本地數據庫或外部 RADIUS、 SecurID 或 LDAP auth 服務器，執(zhí)行認證檢查。 Juniper 提供兩種認證方案： ? 運行時認證，在收到與啟用認證的策略相匹配的 HTTP、 FTP 或 Tel 信息流時， Juniper 設備提示 auth 用戶登錄 網絡安全工程技術方案建議書 第 28 頁 共 36 頁 ? WebAuth，通過 Juniper 設備發(fā)送信息流前，用戶必須認證自己 運行時認證 運行時認證的過程如下： 當 auth 用戶發(fā)送 HTTP、 FTP 或 Tel 連接請求到目的地址時， Juniper 設備截取封包并對其進行緩沖。 Juniper 設備向 auth 用戶發(fā)出登錄提示。 auth 用戶用自己的用戶名和密碼響應此提示。 Juniper 設備認證 auth 用戶的登錄信息。 如果認證成功，則在 auth 用戶和目的地址間建立連接。 注意：如果將需要認證的策略應用到 IP 地址的子網，則每個 IP 地址都需要認證。如果主機支持多個 auth 用戶帳戶（如運行 Tel 的 Unix 主機），則在第一個用戶認證后，該主機的所有其它用戶都可以繼承第一個用戶的權限，讓信息流通過 Juniper 設備而不必經過認證。對于初始的連接請求，策略必須包括下列 三個服務中的一項或所有服務： Tel、 HTTP 或 FTP。只有具有這些服務中的一個或所有服務的策略才能啟動認證過程?？梢栽谏婕坝脩粽J證的策略中使用以下任一服務： ? Any （因為“ any”包括所有三項必需的服務） ? Tel、 HTTP 或 FTP。 ? 包括所希望的服務或多個服務的服務組，加上啟動認證過程必需的三個服務中的一個或多個（ Tel、 FTP 或 HTTP）。例如，可以創(chuàng)建名為“ Login”的定制服務組，支持 FTP、網絡會議系統(tǒng)和 服務。然后，在創(chuàng)建策略時，指定服務為“ Login”。對于成功 認證后的任何連接，策略中指定的所有服務都有效。 策略前檢查認證 (WebAuth) WebAuth 認證的過程如下： auth 用戶為 WebAuth 服務器建立到 IP 地址的 HTTP 連接。 Juniper 設備向 auth 用戶發(fā)出登錄提示。 auth 用戶用自己的用戶名和密碼響應此提示。 網絡安全工程技術方案建議書 第 29 頁 共 36 頁 Juniper 設備或外部 auth 服務器認證 auth 用戶的登錄信息。 如果認證嘗試成功，則 Juniper 設備允許 auth 用戶啟動信息流，使其流向在強制通過 WebAuth 方法執(zhí)行認證的策略中指定的目的位置。 注意 ：啟用了認證