【正文】 如果認(rèn)證嘗試成功，則 Juniper 設(shè)備允許 auth 用戶啟動信息流，使其流向在強(qiáng)制通過 WebAuth 方法執(zhí)行認(rèn)證的策略中指定的目的位置。 auth 用戶用自己的用戶名和密碼響應(yīng)此提示。 策略前檢查認(rèn)證 (WebAuth) WebAuth 認(rèn)證的過程如下： auth 用戶為 WebAuth 服務(wù)器建立到 IP 地址的 HTTP 連接。然后，在創(chuàng)建策略時，指定服務(wù)為“ Login”。 ? 包括所希望的服務(wù)或多個服務(wù)的服務(wù)組，加上啟動認(rèn)證過程必需的三個服務(wù)中的一個或多個（ Tel、 FTP 或 HTTP）。只有具有這些服務(wù)中的一個或所有服務(wù)的策略才能啟動認(rèn)證過程。如果主機(jī)支持多個 auth 用戶帳戶（如運(yùn)行 Tel 的 Unix 主機(jī)），則在第一個用戶認(rèn)證后，該主機(jī)的所有其它用戶都可以繼承第一個用戶的權(quán)限，讓信息流通過 Juniper 設(shè)備而不必經(jīng)過認(rèn)證。 如果認(rèn)證成功，則在 auth 用戶和目的地址間建立連接。 auth 用戶用自己的用戶名和密碼響應(yīng)此提示。 Juniper 提供兩種認(rèn)證方案： ? 運(yùn)行時認(rèn)證，在收到與啟用認(rèn)證的策略相匹配的 HTTP、 FTP 或 Tel 信息流時， Juniper 設(shè)備提示 auth 用戶登錄 網(wǎng)絡(luò)安全工程技術(shù)方案建議書 第 28 頁 共 36 頁 ? WebAuth，通過 Juniper 設(shè)備發(fā)送信息流前，用戶必須認(rèn)證自己 運(yùn)行時認(rèn)證 運(yùn)行時認(rèn)證的過程如下： 當(dāng) auth 用戶發(fā)送 HTTP、 FTP 或 Tel 連接請求到目的地址時， Juniper 設(shè)備截取封包并對其進(jìn)行緩沖。 防火墻用戶認(rèn)證的實(shí)現(xiàn)方案 在策略定義時， Juniper 提供了用戶認(rèn)證選項(xiàng)， 選擇此選項(xiàng)要求源地址的 auth 用戶，在允許信息流穿越防火墻或進(jìn)入 VPN 通道前，通過提供用戶名和密碼，以認(rèn)證他 / 她的身份。 防火墻的應(yīng)用代理實(shí)現(xiàn)方 案 Juniper的防火墻只是在實(shí)施基于 TCP SynFlood保護(hù)時才 采用了 TCP的代理 proxy，通過對外部 TCP Syn 包做代理的方式，保護(hù)內(nèi)部主機(jī)不至于受到 TCP SynFlood 的攻擊。 Juniper 設(shè)備拒絕任何嘗試在其眾所周知的端口號 (21) 到達(dá) FTP 服務(wù)器的信息流。 網(wǎng)絡(luò)安全工程技術(shù)方案建議書 第 27 頁 共 36 頁 可以對眾所周知（ WellKnown）的服務(wù)使用虛擬端口號以增強(qiáng)安全性。 ? 目的地為 :25 的 FTP 封包可能映射到地址為 的 FTP 服務(wù)器。例如： ? 目的地為 :80（即， IP 地址為 ，端口為 80）的 HTTP 封包可能映射到地址為 的 web 服務(wù)器。 為保證 MIP 實(shí)現(xiàn)的靈活性，可在與任何已編號通道接口（即帶 IP 地址 / 網(wǎng)絡(luò)掩碼的接口）及任何綁定到第 3 層 (L3) 安全區(qū)段的已編號接口相同的子網(wǎng)中創(chuàng)建 MIP。 MIP 允許入站信息流到達(dá)接口模式為 NAT 的區(qū)段中的私有地址。實(shí)際上， MIP 是靜態(tài)目的地地址轉(zhuǎn)換。 靜態(tài)地址翻譯（映射 IP 地址） 映射 IP (MIP) 是一個 IP 地址到另一個 IP 地址的一對一直接映射。 d) 附著 DIP 主機(jī)發(fā)起與已啟用網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 的策略相匹配的幾個會話，并且獲得了來自動態(tài) IP (DIP) 池的分配地址時，防火墻設(shè)備為每個會話分配不同的源 IP 地址。此選項(xiàng)允許將第二個 IP 地址和一個伴隨 DIP 池連接到一個在不同子網(wǎng)中的接口。對于固定端口 DIP，防火墻設(shè)備散列原始的主機(jī) IP 地址，并將它保存在其主機(jī)散列表中，從而允許防火墻設(shè)備將正確的會話與每個主機(jī)相關(guān)聯(lián)。 b) 固定端口地址的 DIP 一些應(yīng)用，如“ NetBIOS 擴(kuò)展用戶接口” (NetBEUI) 和“ Windows 互聯(lián)網(wǎng)命名服務(wù)”(WINS)，需要具體的端口號，如果將 PAT 應(yīng)用于它們，它們將無法正常運(yùn)行。 在實(shí)施動態(tài) IP 地址翻譯具體方式上，可以實(shí)現(xiàn)下列功能 a) 端口地址翻譯的 DIP 使用“端口地址轉(zhuǎn)換” (PAT)，多臺主機(jī)可共享同一 IP 地址，防火墻設(shè)備維護(hù)一個已分配端口號的列表，以識別哪個會話屬于哪個主機(jī)。 防火墻除了接口支持 NAT 模式以外，還可以通過設(shè)定策略實(shí)現(xiàn)以下地址轉(zhuǎn)換的功能： 基于策略的源和目標(biāo)地址和端口 翻譯 在策略中可以定義目標(biāo)地址是否需要轉(zhuǎn)換，其 IP 地址和端口可以轉(zhuǎn)換為需要的地址和端口。從 Untrust 區(qū)段外的其它任意區(qū)段網(wǎng)絡(luò)安全工程技術(shù)方案建議書 第 25 頁 共 36 頁 向擁有已啟用 NAT 的接口的區(qū)段發(fā)送信息流時，不需 要使用 MIP、 VIP 或 VPN。只用一個公共、互聯(lián)網(wǎng)可路由的 IP 地址（ Untrust 區(qū)段中的接口的 IP 地址）時， Trust 區(qū)段或任意使用 NAT 服務(wù)的其它區(qū)段中的 LAN 可擁有具有私有 IP 地址的大量主機(jī)。 NAT 添加 Transparent 模式（透明模式）中未提供的一個安全級別：連接到 NAT 模式接口的主機(jī)的地址對 Untrust 區(qū)段中的主機(jī)從不公開。 當(dāng)回復(fù)封包到達(dá)防火墻設(shè)備時，該設(shè)備轉(zhuǎn)換內(nèi)向封包的 IP 包頭中的兩個組件：目的地地址和端口號， 它們被轉(zhuǎn)換回初始號碼。防火墻設(shè)備用目的地區(qū)段接口的 IP 地址替換發(fā)送封包的主機(jī)的源 IP 地址。 在實(shí)際應(yīng)用中，這些參數(shù)要隨時根據(jù)網(wǎng)絡(luò)流 量情況進(jìn)行動態(tài)監(jiān)控的更新。對于在實(shí)際網(wǎng)絡(luò)上該閥值的確定，通常要對實(shí)施防火墻的網(wǎng)絡(luò)實(shí)際情況進(jìn)行合理的分析，通過對現(xiàn)有網(wǎng)絡(luò)的分析結(jié)果確定最終的設(shè)定值。 對于網(wǎng)絡(luò)層的攻擊，大多數(shù)從技術(shù)角度無法判斷該數(shù)據(jù)包的合法性，如 SYN flood, UDP flood，通常防火墻采用閥值來控制該訪問的流量。 當(dāng) 目標(biāo) 系統(tǒng)收 到這些封包時， 造 成 的結(jié)果 小 到 無法正 確處理封包， 大 到使 整 個 系統(tǒng)崩潰 。 ? Deny Fragment： 封包通過不同的網(wǎng) 絡(luò) 時，有時必須根據(jù)網(wǎng) 絡(luò) 的最 大 傳輸單位 (MTU) 將封包分 成更小 的部分（ 片斷 ）。如果內(nèi)容 類 型 僅 列出“ 八 位位組流”，而不是 特 定的 組件 類 型，則 防火墻 設(shè)備會 檢 查 負(fù) 荷 中的 文 件 類 型。會 檢 查包 頭 中列出的內(nèi)容 類 型是 否 指示封包 負(fù) 荷 中有 任 何目的組件。同樣 ， 特 洛伊木馬病毒 2也 可以 隱藏 在 壓縮文 件（如 .zip）和可執(zhí)行（ .exe） 文 件中。 ? Block Java/ActiveX/ZIP/EXE Component： Web 網(wǎng)頁中可能 藏 有 惡意 的 Java 或ActiveX 組件。 ? Malicious URL Protection： 當(dāng)啟 用“ 惡意 URL 檢測 ”時， Juniper 設(shè)備會 監(jiān)視 每個 HTTP 封包并 檢測 與 若干 用戶定義模式中的 任意 一個相匹配的 任 何封包。向 系統(tǒng)堆積 過多的這 種空 連接會 耗盡系統(tǒng)資 源， 導(dǎo)致 DoS。 ? Land Attack：“ 陸 地” 攻 擊將 SYN 攻 擊和 IP 欺騙 結(jié) 合 在了一 起 ， 當(dāng)攻 擊 者 發(fā)送含有 受害 方 IP 地址的 欺騙性 SYN 封包，將其作為目的和源 IP 地址時， 就 發(fā)生了 陸 地 攻 擊。如果 防火墻 設(shè)備發(fā)現(xiàn) 某 個封包上設(shè)置了 TCP URG 代碼 位， 就 會 檢 查 偏 移 值 、 刪 除 碎片重疊 并根據(jù)需要 糾 正偏 移 值 以防 止 發(fā)生 OOB 錯誤 。） Press any key to continue. （按 任意 鍵 繼 續(xù)。） Press CTRL+ALT+DEL to restart your puter. You will lose any unsaved information in all applications.（按 CTRL+ALT+DEL 可嘗試 繼 續(xù) 運(yùn) 行。有可能 繼 續(xù)正常 運(yùn) 行。 WinNuke 通過已建 立 的連接向主機(jī)發(fā)送 帶 外 (OOB) 數(shù)據(jù) — 通 常 發(fā)送到 NetBIOS 端 口 139— 并引 起 NetBIOS 碎片重疊 ，以 此來 使多 臺 機(jī)器 崩潰 。此 選 項(xiàng)提供 了一 種 方 法 ，用于在不 支持 流 概念 的網(wǎng) 絡(luò) 中輸送 16 位 SATNET 流標(biāo)識 符 。 此 選 項(xiàng) 是 松散 源路由，因?yàn)?允許 網(wǎng)關(guān)或主機(jī) IP 使用 任 何數(shù) 量 的其它中間網(wǎng)關(guān)的 任網(wǎng)絡(luò)安全工程技術(shù)方案建議書 第 23 頁 共 36 頁 何路由來到達(dá)路由中的下一地址。 ? Loose Source Route Option： 防火墻 設(shè)備封 鎖 IP 選 項(xiàng) 為 3（ 松散 源路由）的封包。 ? Bad IP Option（壞的 IP 選項(xiàng)）： 當(dāng) IP 數(shù)據(jù)包包 頭 中的 IP 選 項(xiàng) 列表不 完整 或 殘 缺時，會 觸 發(fā) 此 選 項(xiàng) 。如果 IP 地址不在路由表中， 則 不 允許來自該源的信息流通過 防火墻 設(shè)備進(jìn)行通信，并且會丟棄來自該源的所有封包。 ? IP Spoofing（ IP 欺騙）： 當(dāng)攻 擊 者 試 圖 通過 假冒 有 效 的 客 戶 端 IP 地址來 繞 過防火墻 保護(hù) 時， 就 發(fā)生了 欺騙攻 擊。 ? Unknown Protocol（未知協(xié)議）： 防火墻 設(shè)備丟棄 協(xié)議字 段設(shè)置為 101 或 更大值 的封包。 此 選 項(xiàng) 為封包源 提供 了一 種手 段，可在向目標(biāo)轉(zhuǎn)發(fā)封包時 提供 網(wǎng)關(guān)所要使用的路由信息。 ? IP Security Option（ IP 安全性選項(xiàng)）： 此 選 項(xiàng) 為主機(jī) 提供 了一 種手 段，可發(fā)送與 DOD 要 求兼 容的安全 性 、分 隔 、 TCC（ 非公 開用戶組）參數(shù)以 及 “處理 限制代碼 ”。 此 選 項(xiàng) 用于 記錄 封包的路由?！霸?路由選 項(xiàng) ”可 允許攻 擊 者 以 假 的 IP 地址進(jìn)入網(wǎng) 絡(luò) ，并將數(shù)據(jù)送 回 到其 真正 的地址。 ? Filter IP Source Route Option（過濾 IP 源路由選項(xiàng)）： IP 包 頭 信息有一個選項(xiàng) ，其中所含的路由信息可指定與包 頭 源路由不同的源路由。 當(dāng) 一個封包 碎片 的 偏 移 值 與 大小 之和不同于下一封包 碎片 時，封包發(fā)生 重疊 ，并且服務(wù)器嘗試 重 新組 合 封包時會引 起系統(tǒng)崩潰 。 ? Tear Drop Attack（撕毀攻擊）： 撕毀攻 擊利用了 IP 封包 碎片 的 重 新組 合 。使用缺省設(shè)置，如果 某遠(yuǎn) 程主機(jī)在 秒 （ 5,000 微秒 ）內(nèi) ping 了10 個地址， 防火墻 會將這一情況標(biāo) 記 為地址 掃描攻 擊，并在該 秒余 下的時間內(nèi) 拒絕 來自于該主機(jī)的 ICMP 回 應(yīng)要 求 。這個配置的目的是 Ping 數(shù)個主機(jī)， 希望 有一個會回復(fù)響 應(yīng)，以便找到可以作為目標(biāo)的地址。如果 允許 防火墻設(shè)備執(zhí)行 此 操作，它可以 檢測 并 拒絕此類 過 大 且不 規(guī)則 的封包。網(wǎng)絡(luò)安全工程技術(shù)方案建議書 第 22 頁 共 36 頁 許 多 ping 實(shí)現(xiàn) 允許 用戶根據(jù)需要指定 更大 的封包 大小 。 ? ICMP Fragment（ ICMP 碎片）： 檢測任 何設(shè)置了“ 更 多 片斷 ”標(biāo) 志 ， 或在 偏 移 字 段中指出了 偏 移 值 的 ICMP 幀 。 ? FIN Bit With No ACK Bit（有 FIN 位無 ACK 位）： 設(shè)置了 FIN 標(biāo) 志 的 TCP 封包通常也 會設(shè)置 ACK 位。 ? TCP Packet Without Flag（無標(biāo)記的 TCP 封包）： 通 常 ，在發(fā)送的 TCP 封包的標(biāo)志字 段中 至少 會有一位 被 置位。接 著 ， 攻 擊 者 可以利用已 知 的 系統(tǒng)漏洞 來實(shí) 施 進(jìn)一步的 攻 擊。 ? SYN and FIN Bits Set（ SYN 和 FIN 位的封包）： 通 常 不會在同一封包中同時設(shè)置SYN 和 FIN 標(biāo) 志 。進(jìn)一步的連接 無法 進(jìn)行，并且可能會 破壞 主機(jī)操作 系統(tǒng) 。主機(jī)接到這些 碎片 后，會 等待 其 余 的封包到達(dá)以便將其 重 新組 合 在 起 來。您可以 更改 這個 臨界值 （為 1 到 2,500,000 之間的 任 何數(shù)目）以 更好 地 適合 網(wǎng) 絡(luò)環(huán)境 的需 求 。從相同 IP 地址的連接數(shù)目到達(dá) synackackproxy 臨界值 后， 防火墻 設(shè)備 就 會 拒絕 來自該 IP 地址的進(jìn)一步連接要 求 。如果用戶 懷 有 惡意 而不 登錄 ，但 繼 續(xù) 啟 動SYNACKACK 會話， 防火墻 會話表 就 可能 填滿 到 某 個程 度 ， 讓 設(shè)備開始 拒絕合法 的連接要 求 。 此 時， 初 始的三方 握手就 已 完成 。 Juniper 設(shè)備會 截取 封包，通過 Proxy 將 SYNACK 封包發(fā)送給用戶。 此 選 項(xiàng)定義了每 秒鐘 防火墻 設(shè)備可以為單個 IP 地址建 立 的最 大 會話數(shù) 量 。 余下的選項(xiàng)可用于具有物理接口和子接口的區(qū)段： ? Limit session（限制會話）： 防火墻 設(shè)備可 限制 由單個 IP 地址建 立 的會話數(shù) 量 。Juniper 設(shè)備在內(nèi)部 記錄 從 某 一 遠(yuǎn) 程源 地點(diǎn) 掃描 的不同 端 口的數(shù)目。 ? Port Scan Attack（端口掃