16 Juniper 防火墙的网络防攻击设置.
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
防火墙的最重要的功能是阻挡网络攻击,网络攻击的种类五花八门,防火墙能做到哪些网络防范是防火墙性能的一个重要指标。
Juniper的防火墙可以阻挡大多数的网络攻击行为,配置上也非常简单,下面就做一些简单介绍。
在“Security > Screening > Screen”界面
如上图所示,screen的功能设置可以根据不同德zone选择不同德配置,这是trust借口的截图,由于内网默认是安全区域,因此各项防攻击功能都没有开启。
接下来看看Untrust区域的配置,Untrust接口连接了公共网络,是认为不安全的区域,因此系统会开启一些默认的防攻击功能。
通过上面的两个截图可以看到,Juniper防火墙的防攻击功能还是比较全面的。
不过全是鸟语的,下面做一些简单介绍
Generate Alarms without Dropping Packet 警报但不丢弃数据包,这个选项一半建议不要选择,Juniper防火墙默认是将拦截到的数据包直接丢弃的
Apply Screen to Tunnel 防攻击功能同时应用于VPN的tunnel
Flood Defense 洪水攻击防御,包括下面3种flood攻击:ICMP Flood Protection
UDP Flood Protection SYN Flood Protection
Block HTTP Components 阻挡HTTP内容Block Java Component Block ActiveX Component Block ZIP Component Block EXE Component
MS-Windows Defense WinNuke Attack Protection
Scan/Spoof/Sweep Defense IP Address Spoof Protection
IP Address Sweep Protection Port Scan Protection
Denial of Service Defense DoS攻击防护Ping of Death Attack Protection Teardrop Attack Protection ICMP Fragment Protection ICMP Ping ID Zero Protection Large Size ICMP Packet (Size > 1024 Protection Block Fragment Traffic Land Attack Protection SYN-ACK-ACK Proxy Protection Source IP Based Session Limit Destination IP Based Session Limit
Protocol Anomaly Reports -- IP Option Anomalies Bad IP Option Protection IP Timestamp Option Detection IP Security Option Detection IP Stream Option Detection IP Record Route Option Detection IP Loose Source Route Option Detection IP Strict Source Route Option Detection IP Source Route Option Filter
Protocol Anomaly Reports -- TCP/IP Anomalies SYN Fragment Protection TCP Packet Without Flag Protection
SYN and FIN Bits Set Protection FIN Bit With No ACK Bit in Flags Protection
Unknown Protocol Protection
内容比较多,如果需要了解各项功能的具体情况可以通过搜索引擎搜索一下,都会有比较详细的介绍。
通过简单的复选项Juniper防火墙可以实现上面列出的一些防攻击功能,功能方面还是比较全面的,如果用户有更高的需求可以考虑购买深层防御检测(DI)的授权。
当然,并不是所有的功能都需要开启的,开启功能的增多自然也会增加防火墙的负载。
另外在日志页面可以查看到防火墙拦截的攻击记录。