| |
©雷傲极酷超级论坛 -- 雷傲极酷超级论坛,最新软件,BT 下载,游戏娱乐,交友聊天,您网上的自由天堂 n~A K
防火墙系统的安全策略是整个系统的核心,对于一个安全系统,安全策略的制订至关重要。策略本身出现问题,会导致整个安全系统产生致命的安全问题。因此,对于安全系统的策略制订一定要遵守相关的原则。A
几乎所有防火墙系统的安全策略由以下元素组成:\'g`
源地址目的地址服务动作v"
所有防火墙策略的执行是按照前后顺序方式执行,当策略被执行后,其后的策略不被执行。因此,在制订安全策略时要遵循以下原则:*O
•越严格的策略越要放在前面YYbS$
•越宽松的策略越要往后放x
•策略避免有二意性-
三种类型的策略|JnH{
可通过以下三种策略控制信息流的流动:H:u7]t
•通过创建区段间策略,可以管理允许从一个安全区段到另一个安全区段的信息流的种类。>DN_
•通过创建区段内部策略,也可以控制允许通过绑定到同一区段的接口间的信息流的类型。LEhpr
•通过创建全局策略,可以管理地址间的信息流,而不考虑它们的安全区段。#!^V
区段间策略Y0rJ
区段间策略提供对安全区段间信息流的控制。可以设置区段间策略来允许、拒绝或设置从一个区段到另一个区段的信息流通道。使用状态式检查技术,Juniper 设备保持活动TCP 会话表和活动UDP“pseudo”会话表,以便允许它能回应服务请求。例如,如果有一个策略允许从Trust 区段中的主机A 到Untrust 区段中的服务器B 的HTTP 请求,则当Juniper 设备接收到从服务器B 到主机A 的HTTP 回应时,Juniper 设备将接收到的封包与它的表进行对照检查。找到回应批准HTTP 请求的封包时,Juniper 设备允许来自Untrust 区段中服务器B 的封包穿越防火墙到达Trust 区段中的主机A。要控制由服务器B 发起的流向主机A 的信息流(不只是回应由主机A 发起的信息流),必须创建从Untrust 区段中服务器B 到Trust 区段中主机A 的第二个策略。sd
©雷傲极酷超级论坛 -- 雷傲极酷超级论坛,最新软件,BT 下载,游戏娱乐,交友聊天,您网上的自由天堂 R>:z;
区段内部策略/9FCR
区段内部策略提供对绑定到同一安全区段的接口间信息流的控制。源地址和目的地址都在同一安全区段中,但是通过Juniper 设备上的不同接口到达。与区段间策略一样,区段内部策略也控制信息流单向流动。要允许从数据路径任一端发起的信息流,必须创建两个策略,每个方向一个策略。Er:G
全局策略':n
与区段间和区段内部策略不同,全局策略不引用特定的源和目的区段。全局策略引用用户定义的Global 区段地址或预定义的Global 区段地址“any”。这些地址可以跨越多个安全区段。例如,如果要提供对多个区段的访问或从多个区段进行访问,则可以创建具有Global 区段地址“any”的全局策略,它包含所有区段中的所有地址。2R8D
策略组列表iw,*)=
Juniper 设备维护三种不同的策略组列表,每种策略组列表对应于以下三种策略之一:x;I
•区段间策略B^&W
•区段内部策略{f
•全局策略9C`
Juniper 设备接收到发起新会话的封包时,会记录入口接口,从而获知接口所绑定的源区段。然后Juniper 设备执行路由查询以确定出口接口,从而确定该接口所绑定的目的区段。使用源区段和目的区段,Juniper 设备可以执行策略查询,按以下顺序查阅策略组列表:<-
1、如果源区段和目的区段不同,则Juniper 设备在区段间策略组列表中执行策略查询。(或)如果源区段和目的区段相同,则Juniper 设备在区段内部策略组列表中执行策略查询。O_dr
2、如果Juniper 设备执行区段间或区段内部策略查询,但是没有找到匹配策略,则Juniper 设备会检查全局策略组列表以查找匹配策略。'
3、如果Juniper 设备执行区段间和全局策略查询,但是没有找到匹配项,Juniper 设备会将缺省的允许/拒绝策略应用到封包:unset/set policy default-permit-all。(或)如果Juniper 设备执行区段内部和全局策略查询,但是没有找到匹配策略,Juniper 设备会将该区段的区段内部阻塞设置应用到封包:unset/set zone zone block。=`Q RY
Juniper 设备从上至下搜索每个策略组列表。因此,必须在列表中将较为特殊的策略定位在不太特殊的策略上面。X,
策略定义]Fmw
防火墙提供具有单个进入和退出点的网络边界。由于所有信息流都必须通过此点,因此可以筛选并引导所有通过执行策略组列表(区段间策略、内部区段策略和全局策略)产生的信息流。策略能允许、拒绝、加密、认证、排定优先次序、调度以及监控尝试从一个安全区段流到另一个安全区段的信息流。可以决定哪些用户和信息能进入和离开,以及它们进入和离开的时间和地点。+e
策略的结构H2re
策略必须包含下列元素:9
•区段(源区段和目的区段)$C>s
•地址(源地址和目的地址)MA
•服务p
•动作(permit、deny、tunnel))8-95x
策略也可包含下列元素:?K<VK
•VPN 通道确定=lOb{)
•Layer 2(第2 层)传输协议(L2TP) 通道确定fV!j
•策略组列表顶部位置a1,6]f
•网络地址转换(NAT),使用动态IP (DIP) 池8L,o
•用户认证#;
•备份HA 会话% `
•记录'
•计数yY~G
•信息流报警设置x+'9
•时间表1
•信息流整形,
时间表GKg
通过将时间表与策略相关联,可以确定策略生效的时间。可以将时间表配置为循环生效,也可配置为单次事件。时间表为控制网络信息流的流动以及确保网络安全提供了强有力的工具。在稍后的一个范例中,如果您担心职员向公司外传输重要数据,则可设置一个策略,阻塞正常上班时间以外的出站FTP-Put 和MAIL 信息流。!|
在WebUI 中,在Objects > Schedules 部分中定义时间表。在CLI 中,使用set schedule 命令。jZ2
©雷傲极酷超级论坛 -- 雷傲极酷超级论坛,最新软件,BT 下载,游戏娱乐,交友聊天,您网上的自由天堂 8E
基于安全区段的防火墙保护选项8$ y5
防火墙用于保护网络的安全,具体做法是先检查要求从一个安全区段到另一区段的通路的所有连接尝试,然后予以允许或拒绝。缺省情况下,防火墙拒绝所有方向的所有信息流。通过创建策略,定义允许在预定时间通过指定源地点到达指定目的地点的信息流的种类,您可以控制区段间的信息流。范围最大时,可以允许所有类型的信息流从一个区段中的任何源地点到其它所有区段中的任何目的地点,而且没有任何预定时间限制。范围最小时,可以创建一个策略,只允许一种信息流在预定的时间段内、在一个区段中的指定主机与另一区段中的指定主机之间流动。RAY\M
为保护所有连接尝试的安全,防火墙设备使用了一种动态封包过滤方法,即通常所说的状态式检查。使用此方法,防火墙设备在TCP 包头中记入各种不同的信息单元— 源和目的IP 地址、源和目的端口号,以及封包序列号—并保持穿越防火墙的每个TCP 会话的状态。(防火墙也会根据变化的元素,如动态端口变化或会话终止,来修改会话状态。)当响应的TCP 封包到达时,防火墙设备会将其包头中包含的信息与检查表中储存的相关会话的状态进行比较。如果相符,允许响应封包通过防火墙。如果不相符,则丢弃该封包。M!Fq
©雷傲极酷超级论坛 -- 雷傲极酷超级论坛,最新软件,BT 下载,游戏娱乐,交友聊天,您网上的自由天堂 /zE=
防火墙选项用于保护区段的安全,具体做法是先检查要求经过某一接口离开和到达该区域的所有连接尝试,然后予以准许或拒绝。为避免来自其它区段的攻击,可以启用防御机制来检测并避开以下常见的网络攻击。下列选项可用于具有物理接口的区段(这些选项不适用于子接口):SYN Attack(SYN 攻击)、ICMP Flood(ICMP 泛滥)、UDP Flood (UDP 泛滥)和Port Scan Attack(端口扫描攻击)。m
©雷傲极酷超级论坛 -- 雷傲极酷超级论坛,最新软件,BT 下载,游戏娱乐,交友聊天,您网上的自由天堂 1YGW}4
SYN Attack(SYN 攻击):当网络中充满了会发出无法完成的连接请求的SYN 封包,以至于网络无法再处理合法的连接请求,从而导致拒绝服务(DoS) 时,就发生了SYN 泛滥攻击。kM
ICMP Flood(ICMP 泛滥):当ICMP ping 产生的大量回应请求超出了系统的最大限度,以至于系统耗费所有资源来进行响应直至再也无法处理有效的网络信息流时,就发生了ICMP 泛滥。当启用了ICMP 泛滥保护功能时,可以设置一个临界值,一旦超过此值就会调用ICMP 泛滥攻击保护功能。如果超过了该临界值,防火墙设备在该秒余下的时间和下一秒内会忽略其它的ICMP 回应要求。!Vq
UDP Flood(UDP 泛滥):与ICMP 泛滥相似,当以减慢系统速度为目的向该点发送UDP 封包,以至于系统再也无法处理有效的连接时,就发生了UDP 泛滥。当启用了UDP 泛滥保护功能时,可以设置一个临界值,一旦超过此临界值就会调用UDP 泛滥攻击保护功能。如果从一个或多个源向单个目表发送的UDP 封包数超过了此临界值,Juniper 设备在该秒余下的时间和下一秒内会忽略其它到该目标的UDP 封包。Wz
Port Scan Attack(端口扫描攻击):当一个源IP 地址在定义的时间间隔内向位于相同目标IP 地址10 个不同的端口发送IP 封包时,就会发生端口扫描攻击。这个方案的目的是扫描可用的服务,希望会有一个端口响应,因此识别出作为目标的服务。Juniper 设备在内部记录从某一远程源地点扫描的不同端口的数目。使用缺省设置,如果远程主机在0.005 秒内扫描了10 个端口(5,000 微秒),防火墙会将这一情况标记为端口扫描攻击,并在该秒余下的时间内拒绝来自该源地点的其它封包(不论目标IP 地址为何)。BgL*
©雷傲极酷超级论坛 -- 雷傲极酷超级论坛,最新软件,BT 下载,游戏娱乐,交友聊天,您网上的自由天堂 Rm^wu
余下的选项可用于具有物理接口和子接口的区段:{8bOsv
Limit session(限制会话):防火墙设备可限制由单个IP 地址建立的会话数量。例如,如果从同一客户端发送过多的请求,就能耗尽Web 服务器上的会话资源。此选项定义了每秒钟防火墙设备可以为单个IP 地址建立的最大会话数量。oZA
SYN-ACK-ACK Proxy 保护:当认证用户初始化Telnet 或FTP 连接时,用户会SYN 封包到Telnet 或FTP服务器。Juniper 设备会截取封包,通过Proxy 将SYN-ACK 封包发送给用户。用户用ACK 封包响应。此时,初始的三方握手就已完成。防火墙设备在其会话表中建立项目,并向用户发送登录提示。如果用户怀有恶意而不登录,但继续启动SYN-ACK-ACK 会话,防火墙会话表就可能填满到某个程度,让设备开始拒绝合法的连接要求。要阻挡这类攻击,您可以启用SYN-ACK-ACK Proxy 保护SCREEN 选项。从相同IP 地址的连接数目到达syn-ack-ack-proxy 临界值后,防火墙设备就会拒绝来自该IP 地址的进一步连接要求。缺省情况下,来自单一IP 地址的临界值是512 次连接。您可以更改这个临界值(为1 到2,500,000 之间的任何数目)以更好地适合网络环境的需求。on&
SYN Fragment(SYN 碎片):SYN 碎片攻击使目标主机充塞过量的SYN 封包碎片。主机接到这些碎片后,会等待其余的封包到达以便将其重新组合在起来。通过向服务器或主机堆积无法完成的连接,主机的内存缓冲区最终将会塞满。进一步的连接无法进行,并且可能会破坏主机操作系统。当协议字段指示是ICMP封包,并且片断标志被设置为1 或指出了偏移值时,防火墙设备会丢弃ICMP 封包。#E
SYN and FIN Bits Set(SYN 和FIN 位的封包):通常不会在同一封包中同时设置SYN 和FIN 标志。但是,攻击者可以通过发送同时置位两个标志的封包来查看将返回何种系统应答,从而确定出接收端上的系统的种类。接着,攻击者可以利用已知的系统漏洞来实施进一步的攻击。启用此选项可使防火墙设备丢弃在标志字段中同时设置SYN 和FIN 位的封包。:7a
TCP Packet Without Flag(无标记的TCP 封包):通常,在发送的TCP 封包的标志字段中至少会有一位被置位。此选项将使防火墙设备丢弃字段标志缺少或不全的TCP 封包。eb
FIN Bit With No ACK Bit(有FIN 位无ACK 位):设置了FIN 标志的TCP 封包通常也会设置ACK 位。此选项将使防火墙设备丢弃在标志字段中设置了FIN 标志,但没有设置ACK 位的封包。0zFMT}
ICMP Fragment(ICMP 碎片):检测任何设置了“更多片断”标志,或在偏移字段中指出了偏移值的ICMP 帧。)zn`o
Ping of Death:TCP/IP 规范要求用于数据包报传输的封包必须具有特定的大小。许多ping 实现允许用户根据需要指定更大的封包大小。过大的ICMP 封包会引发一系列负面的系统反应,如拒绝服务(DoS)、系统崩溃、死机以及重新启动。如果允许防火墙设备执行此操作,它可以检测并拒绝此类过大且不规则的封包。gWvVDD
Address Sweep Attack(地址扫描攻击):与端口扫描攻击类似,当一个源IP 地址在定义的时间间隔(缺省值为5,000 微秒)内向不同的主机发送ICMP 响应要求(或ping)时,就会发生地址扫描攻击。这个配置的目的是Ping 数个主机,希望有一个会回复响应,以便找到可以作为目标的地址。防火墙设备在内部记录从一个远程源ping 的不同地址的数目。使用缺省设置,如果某远程主机在0.005 秒(5,000 微秒)内ping 了10 个地址,防火墙会将这一情况标记为地址扫描攻击,并在该秒余下的时间内拒绝来自于该主机的ICMP 回应要求。 d@&S
Large ICMP Packet(大的ICMP 封包):防火墙设备丢弃长度大于1024 的ICMP 封包。)mX5z
Tear Drop Attack(撕毁攻击):撕毁攻击利用了IP 封包碎片的重新组合。在IP 包头中,选项之一为偏移值。当一个封包碎片的偏移值与大小之和不同于下一封包碎片时,封包发生重叠,并且服务器尝试重新组合封包时会引起系统崩溃。如果防火墙在某封包碎片中发现了这种不一致现象,将会丢弃该碎片。!$`(
Filter IP Source Route Option(过滤IP 源路由选项):IP 包头信息有一个选项,其中所含的路由信息可指定与包头源路由不同的源路由。启用此选项可封锁所有使用“源路由选项”的IP 信息流。“源路由选项”可允许攻击者以假的IP 地址进入网络,并将数据送回到其真正的地址。N}|PG
Record Route Option(记录路由选项):防火墙设备封锁IP 选项为7(记录路由)的封包。此选项用于记录封包的路由。记录的路由由一系列互联网地址组成,外来者经过分析可以了解到您的网络的编址方案及拓扑结构方面的详细信息。Joc9c(
IP Security Option(IP 安全性选项):此选项为主机提供了一种手段,可发送与DOD 要求兼容的安全性、分隔、TCC(非公开用户组)参数以及“处理限制代码”。.{lN8
IP Strict Source Route Option(IP 严格源路由选项):防火墙设备封锁IP 选项为9(严格源路由选择)的封包。此选项为封包源提供了一种手段,可在向目标转发封包时提供网关所要使用的路由信息。此选项为严格源路由,因为网关或主机IP 必须将数据包报直接发送到源路由中的下一地址,并且只能通过下一地址中指示的直接连接的网络才能到达路由中指定的下一网关或主机。ft^7
Unknown Protocol(未知协议):防火墙设备丢弃协议字段设置为101 或更大值的封包。目前,这些协议类型被保留,尚未定义。}dg
IP Spoofing(IP 欺骗):当攻击者试图通过假冒有效的客户端IP 地址来绕过防火墙保护时,就发生了欺骗攻击。如果启用了IP 欺骗防御机制,防火墙设备会用自己的路由表对IP 地址进行分析,来抵御这种攻击。如果IP 地址不在路由表中,则不允许来自该源的信息流通过防火墙设备进行通信,并且会丢弃来自该源的所有封包。在CLI 中,您可以指示Juniper 设备丢弃没有包含源路由或包含已保留源IP 地址(不可路由的,例如127.0.0.1)的封包:set zone zone screen ip-spoofing drop-no-rpf-route。9SEE%G
Bad IP Option(坏的IP 选项):当IP 数据包包头中的IP 选项列表不完整或残缺时,会触发此选项。)R
IP Timestamp Option(IP 时戳选项):防火墙设备封锁IP 选项列表中包括选项4(互联网时戳)的封包。]
Loose Source Route Option:防火墙设备封锁IP 选项为3(松散源路由)的封包。此选项为封包源提供了一种手段,可在向目标转发封包时提供网关所要使用的路由信息。此选项是松散源路由,因为允许网关或主机IP 使用任何数量的其它中间网关的任何路由来到达路由中的下一地址。sE(
IP Stream Option(IP 流选项):防火墙设备封锁IP 选项为8(流ID)的封包。此选项提供了一种方法,用于在不支持流概念的网络中输送16 位SATNET 流标识符。Po
WinNuke Attack(WinNuke 攻击):WinNuke 是一种常见的应用程序,其唯一目的就是使互联网上任何运行Windows 的计算机崩溃。WinNuke 通过已建立的连接向主机发送带外(OOB) 数据— 通常发送到NetBIOS 端口139— 并引起NetBIOS 碎片重叠,以此来使多台机器崩溃。重新启动后,会显示下列信息,指示攻击已经发生:q.wYk
An exception OE has occurred at 0028:[address] in VxD MSTCP(01) +p>+
000041AE. This was called from 0028:[address] in VxD NDIS(01) +Bp Yd
00008660. It may be possible to continue normally.(00008660。有可能继续正常运行。)$c)
Press any key to attempt to continue.(请按任意键尝试继续运行。)p<{
Press CTRL+ALT+DEL to restart your computer. You will lose any unsaved information in all applications.(按CTRL+ALT+DEL 可尝试继续运行。将丢失所有应用程序中的未保存信息。)O)
Press any key to continue. (按任意键继续。)z
如果启用了WinNuke 攻击防御机制,Juniper 设备会扫描所有进入的“Microsoft NetBIOS 会话服务”(端口139)封包。如果防火墙设备发现某个封包上设置了TCP URG 代码位,就会检查偏移值、删除碎片重叠并根据需要纠正偏移值以防止发生OOB 错误。然后让经过修正的封包通过,并在“事件警报”日@
志中创建一个WinNuke 攻击日志条目。>nH4U
Land Attack:“陆地”攻击将SYN 攻击和IP 欺骗结合在了一起,当攻击者发送含有受害方IP 地址的欺骗性SYN 封包,将其作为目的和源IP 地址时,就发生了陆地攻击。接收系统通过向自己发送SYN-ACK 封包来进行响应,同时创建一个空的连接,该连接将会一直保持到达到空闲超时值为止。向系统堆积过多的这种空连接会耗尽系统资源,导致DoS。通过将SYN 泛滥防御机制和IP 欺骗保护措施结合在一起,防火墙设备将会封锁任何此类性质的企图。=O@<
Malicious URL Protection:当启用“恶意URL 检测”时,Juniper 设备会监视每个HTTP 封包并检测与若干用户定义模式中的任意一个相匹配的任何封包。设备会自动丢弃所有此类封包。YIydlU
Block Java/ActiveX/ZIP/EXE Component:Web 网页中可能藏有恶意的Java 或ActiveX 组件。下载完以后,这些applet 会在您的计算机上安装特洛伊木马病毒。同样,特洛伊木马病毒2也可以隐藏在压缩文件(如.zip)和可执行(.exe)文件中。在安全区中启用这些组件的阻塞时,防火墙设备会检查每个到达绑定到该区域的接口的HTTP 包头。会检查包头中列出的内容类型是否指示封包负荷中有任何目的组件。如果内容类型为ActiveX、Java、.exe 或.zip,而且您将防火墙设备配置为阻塞这些组件,防火墙设备会阻塞封包。如果内容类型仅列出“八位位组流”,而不是特定的组件类型,则防火墙设备会检查负荷中的文件类型。如果文件类型为ActiveX、Java、.exe 或.zip,而且您将防火墙设备配置为阻塞这些组件,防火墙设备会阻塞封包。l+Ictb
Deny Fragment:封包通过不同的网络时,有时必须根据网络的最大传输单位(MTU) 将封包分成更小的部分(片断)。攻击者可能会利用IP 栈具体实现的封包重新组合代码中的漏洞,通过IP 碎片进行攻击。当目标系统收到这些封包时,造成的结果小到无法正确处理封包,大到使整个系统崩溃。如果允许防火墙设备拒绝安全区段上的IP 碎片,设备将封锁在绑定到该区段的接口处接收到的所有IP 封包碎片。2;lD
©雷傲极酷超级论坛 -- 雷傲极酷超级论坛,最新软件,BT 下载,游戏娱乐,交友聊天,您网上的自由天堂 u-G
对于网络层的攻击,大多数从技术角度无法判断该数据包的合法性,如SYN flood, UDP flood,通常防火墙采用阀值来控制该访问的流量。通常防火墙对这些选项提供了缺省值。对于在实际网络上该阀值的确定,通常要对实施防火墙的网络实际情况进行合理的分析,通过对现有网络的分析结果确定最终的设定值。比如,网络在正常工作的情况下的最大Syn数据包值为3000,考虑到网络突发流量,对现有值增加20%,则该值作为系统的设定值。\E6jO
在实际应用中,这些参数要随时根据网络流量情况进行动态监控的更新。 Vw
转自:杜松之家RcD(5
| | |
|
|
|
顶端 
加到"个人收藏夹"
主题管理:
总固顶 
取消总固顶 
消息
查看
搜索
好友
引用
回复
只看我
2008/06/19 10:25am 
IP: 已设置保密
