【正文】 ........................................256 1,Profile 的設(shè)置 ...............................................................................................257 2,防病毒 profile 在安全策略中的引用 ...............................................................259 二 ,防垃圾郵件功能的設(shè)置 ......................................................................................261 1,Action 設(shè)置 .................................................................................................261 2,White List 與 Black List 的設(shè)置 .....................................................................261 3,防垃圾郵件功能的引用 .................................................................................263 三 ,WEB/URL 過濾功能的設(shè)置 ................................................................................263 1 轉(zhuǎn)發(fā) URL 過濾請(qǐng)求到外置 URL 過濾服務(wù)器 .................................................263 2,使用內(nèi)置的 URL 過濾引擎進(jìn)行 URL 過濾 .....................................................265 3,手動(dòng)添加過濾項(xiàng) ...........................................................................................266 四 ,深層檢測(cè)功能的設(shè)置 ..........................................................................................268 1,設(shè)置 DI 攻擊特征庫自動(dòng)更新 ........................................................................269 2,深層檢測(cè)（ DI）的引用 .................................................................................270 第一章 :Juniper 防火墻 基本原理 一 ,安全區(qū)段 : 概念 : 安全區(qū)段是由一個(gè)或多個(gè)網(wǎng)段組成的集合，需要通過策略來對(duì)入站和出站信息流進(jìn)行調(diào)整。安全區(qū)段是綁定了一個(gè)或多個(gè)接口的邏輯實(shí)體。除用戶定義的區(qū)段外，您還可以使用預(yù)定義的區(qū)段 : Trust、 Untrust 和 DMZ (用于第 3 層操作 )，或者 V1Trust、 V1Untrust 和 V1DMZ ( 用于第 2 層操作 )。也可以忽略預(yù)定義區(qū)段而只使用用戶定義的區(qū)段。利用區(qū)段配置的這種靈活性，您可以創(chuàng)建能夠最好地滿足您的具體需要的網(wǎng)絡(luò)設(shè)計(jì)。每個(gè)區(qū)段的存在都有其專門的目的，如以下小節(jié)所述。 MGT 區(qū)段 此區(qū)段是帶外管理接口 MGT 的宿主區(qū)段。 HA 區(qū)段 此區(qū)段是高可用性接口 HA1 和 HA2 的宿主區(qū)段。 Self 區(qū)段 此區(qū)段是遠(yuǎn)程管理連接接口的宿主區(qū)段。 VLAN 區(qū)段 此區(qū)段是 VLAN1 接口的宿主區(qū)段，可用于管理設(shè)備，并在設(shè)備處于“透明”模式時(shí)終止 VPN 信息流，也可在此區(qū)段上設(shè)置防火墻選項(xiàng)以保護(hù) VLAN1 接口，使其免受各種攻擊。 設(shè)置端口模式之前，請(qǐng)注意以下方面 : ?? 更改端口模式會(huì) 刪除 設(shè)備上任何現(xiàn)有的配置，并要求系統(tǒng)重置。 例如，如果要將端口模式設(shè)置從 Combined 模式 更改回缺省 TrustUntrust 模式，發(fā)布 unset all 命令會(huì)刪除現(xiàn)有配置，但 不會(huì) 將設(shè)備設(shè)置為 TrustUntrust 模式。 物理接口 安全設(shè)備上的每個(gè)端口表示一個(gè)物理接口，且該接口的名稱是預(yù)先定義的?？蓪⑽锢斫涌诮壎ǖ匠洚?dāng)入口的任何安全區(qū)段，信息流通過該入口進(jìn)出區(qū)段。 在支持對(duì)“接口至區(qū)段綁定”進(jìn)行修改的安全設(shè)備上，三個(gè)物理以太網(wǎng)接口被預(yù)先綁定到各特定第 2 層安全區(qū)段 V1Trust、 V1Untrust 和 V1DMZ。 子接口 子接口，與物理接口相似，充當(dāng)信息流進(jìn)出安全區(qū)段的開口。每個(gè)虛擬子接口都從自己來源的物理接口借用所需的帶寬，因此其名稱是物理接口名稱的擴(kuò)展，例如， ether3/ 或 。還可將子接口綁定到其物理接口的相同區(qū)段，或?qū)⑵浣壎ǖ讲煌瑓^(qū)段。信息流通過通道接口進(jìn)出 VPN 通道。利用這種方法，可以精確控制通過該通道的信息流的流量。如果沒有通道接口綁定到 VPN 通道，則必須在策略中指定通道并選擇 tunnel 作為操作。 可使用在通道接口的相同子網(wǎng)中的動(dòng)態(tài) IP (DIP) 地址池對(duì)外向或內(nèi)向信息流上執(zhí)行基于策略的 NAT。 必須將基于路由的 VPN 通道綁定到通道接口，以便安全設(shè)備可以路由信息流出和流入設(shè)備。如果通道接口沒有編號(hào)，則必須指定它借用 IP 地址的接口。通道接口可以從相同或不同安全區(qū)段的接口借用 IP 地址，只要這兩個(gè)區(qū)段位于同一個(gè)路由選擇域中。例如，可以將所有沒有編號(hào)的通道接口綁定到一個(gè)名為“ VPN”的用戶定義的區(qū)段，并且對(duì)這些接口進(jìn)行配置，以便從 接口借用 IP 地址，也可綁定到 VPN 區(qū)段。將通道通向的所有目標(biāo)地址放置在 VPN 區(qū)段中。 將所有通道接口放置在這樣的區(qū)段中非常安全，因?yàn)? VPN 不會(huì)由于出現(xiàn)故障 ( 這樣會(huì)使通往相關(guān)通道接口的路由變成非活動(dòng)狀態(tài) ) 而重新定向原本讓通道使用非通道路由 ( 如缺省路由 ) 的信息流。這時(shí)，必須有一個(gè) IP 地址。 通道接口到區(qū)段的綁定 從概念上講，可將 VPN 通道當(dāng)作鋪設(shè)的管道。管道始終存在，只要路由引擎將流量引導(dǎo)到接口之一就可隨時(shí)使用?？梢栽诎踩珔^(qū)段或通道區(qū)段創(chuàng)建具有 IP 地址和網(wǎng)絡(luò)掩碼的通道接口。必須將一個(gè)沒有編號(hào)的通道接口綁定到安全區(qū)段；同時(shí)不能將其綁定到 Tunnel 區(qū)段。無編號(hào)的通道接口借用該接口的 IP 地址。 Juniper Networks 安全設(shè)備支持可在 IPv4 單播數(shù)據(jù)包中封裝 IP 數(shù)據(jù)包的 GREv1。刪除擁有這些特征的通道接口前，必須首先刪除引用它們的所有策略。如果基于路由的 VPN 配置引用一個(gè)通道接口，則必須首先刪除 VPN 配置，然后刪除通道接口。通過名為 vpn1 的 VPN 通道，從 Trust 區(qū)段到 Untrust 區(qū)段的 VPN 信息流的策略 (ID 10) 引用 DIP 池 8。然后，必須解除 到 vpn 1 的綁定。 WebUI 1. 刪除引用 DIP 池 8 的 策略 10 Policies (From: Trust, To: Untrust): 單擊策略 ID 10 的 Remove。 3. 解除來自 vpn1 的 綁定 VPNs AutoKey IKE Edit ( 對(duì)于 vpn1) Advanced: 在 Bind to: Tunnel Interface 下拉列表中選擇 None，單擊 Return，然后 單擊 OK。 CLI 1. 刪除引用 DIP 池 8 的 策略 10 unset policy 10 2. 刪除鏈接到 的 DIP 池 8 unset interface dip 8 3. 解除來自 vpn1 的 綁定 unset vpn vpn1 bind interface 4. 刪除 unset interface save 查看接口 可查看列出安全設(shè)備上所有接口的表。而對(duì)于子接口和通道接口來說，只有在創(chuàng)建和配置后才列出。可指定接口類型從 List Interfaces 下拉菜單顯示。 接口表顯示每個(gè)接口的下列信息 : ?? Name: 此字段確定接口的名稱。 ?? Zone: 此字段確定將接口綁定到的區(qū)段。 ?? Link: 此字段確定接口是否為活動(dòng) (up) 或非活動(dòng) (down)。 將接口綁定到安全區(qū)段 可將任何物理接口綁定到 L2 ( 第 2 層 ) 或 L3 ( 第 3 層 ) 安全區(qū)段。將接口綁定到 L3 安全區(qū)段后，才能將 IP 地址指定給接口。 WebUI Network Interfaces Edit ( 對(duì)于 ether5): 從 Zone Name 下拉列表中選擇 Trust，然后單擊 OK。如果接口已編號(hào)，則必須首先將其 IP 地址和網(wǎng)絡(luò)掩碼設(shè)置為 。 在本例中， ether3 的 IP 地址為 。 WebUI Network Interfaces Edit ( 對(duì)于 ether3): 輸入以下內(nèi)容，然后單擊 OK: Zone Name: Null IP Address/Netmask: CLI set interface ether3 ip set interface ether3 zone null save 編址接口 在本例中，將給 ether5 分配 IP 地址 ,“管理 IP”地址 。最后，將接口模式設(shè)置為 NAT，將所有內(nèi)部 IP 地址轉(zhuǎn)換至綁定到其它安全區(qū)段的缺省接口。 ?? 管理 IP 地址。 ?? ( 子接口 ) 子接口 ID 號(hào)和 VLAN 標(biāo)記號(hào)。 ?? ( 物理接口 ) 信息流帶寬設(shè)置 ( 請(qǐng)參閱第 181 頁上的“信息流整形” )。 ?? ( 第 3 層接口 ) 阻止進(jìn)出相同接口的信息流，包括主子網(wǎng)和輔助子網(wǎng)之間或兩個(gè) 輔助子網(wǎng)之間的信息流 ( 通過含有 routedeny 選項(xiàng)的 CLI set interface 命令來完成 )。如果強(qiáng)迫物理鏈接狀態(tài)處于不在工作中狀態(tài)，則可模擬電纜與接口端口的斷開。 ) 在本例中，對(duì) ether1 進(jìn)行一些修改，它是一個(gè)綁定到 Trust 區(qū)段的接口。為了確保管理信息流的絕對(duì)安全，還更改了管理服務(wù)選項(xiàng)，啟用 SCS 和 SSL 并禁用 Tel 和 WebUI。 ( 清除 ) Tel, WebUI CLI set interface ether1 manageip set interface ether1 manage ssh set interface ether1 manage ssl unset interface ether1 manage tel unset interface ether1 manage web save 在根系統(tǒng)中創(chuàng)建子接口 可在根系統(tǒng)或虛擬系統(tǒng)中的任何物理接口上創(chuàng)建子接口。請(qǐng)注意雖然子接口源自物理接口，并借用其需要的帶寬，但是可將子接口綁定到任何區(qū)段，不必綁定到其“父級(jí)”接口綁定到的區(qū)段。 在本例中，將在根系統(tǒng)中為 Trust 區(qū)段創(chuàng)建子接口。為其分配子接口 ID IP 地址 。 WebUI Network Interfaces New SubIF: 輸入以下內(nèi)容，然后單擊 OK: Interface Name: Zone Name: accounting IP Address/Netmask: VLAN Tag: 3 CLI set interface zone accounting set interface ip save 刪除子接口 不能立即刪除映射 IP 地址 (MIP)、虛擬 IP 地址 (VIP) 或“動(dòng)態(tài) IP” (DIP) 地址池的 宿主子接口。然后必須刪除子接口上的 MIP、 VIP 和 DIP 池。 WebUI Network Interfaces: 單擊 Remove ( 對(duì)于 ether1:1)。 單擊 Yes 刪除子接口。例如，機(jī)構(gòu)可能分配額外的 IP 地址，但不希望添加路由器來適應(yīng)其需要。要解決這樣的問題，可將 二級(jí) IP 地址添加到 Trust、 DMZ或用戶定義區(qū)段中的接口。這些屬性如下 : ?? 任何兩個(gè)二級(jí) IP 地址之間不能有子網(wǎng)地址重迭。 ?? 通過二級(jí) IP 地址管理安全設(shè)備時(shí)，該地址總是具有與主 IP 地址相同的管理屬性。 ?? 不能為二級(jí) IP 地址配置網(wǎng)關(guān)。刪除二級(jí)