Juniper防火墻方案模板

總體方案建議防火墻雙機(jī)熱備系統(tǒng)解決方案JuniperNSRP，VRRP〔HSRP〕但在其根底上有很大的改進(jìn)，現(xiàn)具體介紹如下：Juniper為了實(shí)現(xiàn)更安全、更有效的防火墻冗余體系，開發(fā)了專有的防火墻HANSRP①在HA組成員之間鏡像配置，在發(fā)生故障切換時確保正確的行為。②HA組中維護(hù)全部活動會話和VPN統(tǒng)連接起來或監(jiān)控從本系統(tǒng)到遠(yuǎn)端的路徑。④無論活動會話和VPN隧道的數(shù)量有多少，故障檢測和切換到備用系統(tǒng)可以在低于一秒時間內(nèi)完成。⑤整個系統(tǒng)的防火墻處理力量提高一倍。⑥Juniper-ISG1000更支持全網(wǎng)狀的A-AHA，避開低級的網(wǎng)絡(luò)故障導(dǎo)致JuniperJuniper設(shè)備處于“路由”或NAT模式時，可以將冗余集群中的兩臺設(shè)備議(VRRP)”等協(xié)議，共享它們之間安排的流量。通過使用“Juniper冗余協(xié)議(NSRP)”創(chuàng)立兩個虛擬安全設(shè)備(VSD)組，每個組都具有自己的虛擬安全接口(VSIA充當(dāng)VSD組1VSD組2備份設(shè)備。設(shè)備B充當(dāng)VSD組2的主設(shè)備，并充當(dāng)VSD組1的備份設(shè)備。此配置稱為雙主動〔請參閱以下圖。由于設(shè)備冗余，因此不存在單一故障點(diǎn)。負(fù)載分擔(dān)的方式是通過同一VLANip地址，另一局部設(shè)備的網(wǎng)網(wǎng)關(guān)指向另一臺防火墻的端口ip地址。故障切換后，〔IP地址，作為不同設(shè)備的缺省網(wǎng)關(guān)IP地址。設(shè)備A和設(shè)備B各接收50%的網(wǎng)絡(luò)和VPN流量。設(shè)備A消滅故障時，BVSD組1的主設(shè)備，同時連續(xù)作為VSD2的主設(shè)備，并處理100%盡管處于雙主動配置的兩臺設(shè)備分開的會話總數(shù)不能超過單個防火墻設(shè)備的數(shù)量，該數(shù)量對一個大型網(wǎng)絡(luò)也已足夠了，但是數(shù)據(jù)吞吐量則增大一倍。除NSRP集群〔主要負(fù)責(zé)在組成員間傳播配置并通告每個成員的當(dāng)前VSD組狀態(tài)〕外，還可以將設(shè)備A和設(shè)備B配置為RTO鏡像組中的成員，該鏡像(RTO)3全部當(dāng)前會話，備份設(shè)備可馬上用最短的效勞停趕忙間擔(dān)當(dāng)主地位。除冗余設(shè)備外，還可以在防火墻設(shè)備上配置冗余物理接口。假設(shè)一級端口失去網(wǎng)絡(luò)連接，則二級端口擔(dān)當(dāng)連接的任務(wù)。HAHA通HA1HA2處理數(shù)據(jù)消息。HAHA接Juniper設(shè)備上，必需將一個或兩個物理以太網(wǎng)接口綁定到HA區(qū)段上。NSRP通信的機(jī)密特性，可以通過加密和認(rèn)證保障全部NSRP流量的安全。NSRPDES和MD5算法。NSRP種形式：Active-Standby：有冗余，無法同時工作Active-Active：有冗余，雙機(jī)同時工作，僅能容忍1個故障點(diǎn)Active-Active(全網(wǎng)狀，F(xiàn)ullMesh)：切換非相鄰設(shè)備的故障。JuniperNS500/208HA1HA2HA1〔主要是會話建立的初期需要傳遞較多的會話的參數(shù)信息，所以兩臺防火墻的會話信息可以實(shí)時得到同步。其次個端口HA2配置為傳遞實(shí)際數(shù)據(jù)流量數(shù)據(jù)線路，主要是在不對稱會話狀態(tài)檢測后覺察是基于現(xiàn)有會話的，而且屬于第一臺防火墻處理的流量，HAHAHA2故障描述NSRP/故障描述NSRP/Juniper保護(hù)JuniperScreenOS系統(tǒng)故障導(dǎo)致流量不通過但端口是心跳信號up(layer3故障)相鄰設(shè)備故障完全掉電和不供給效勞IP路徑檢測路由器故障端口故障鏈路監(jiān)測設(shè)備故障IP路徑檢測&鏈路監(jiān)測應(yīng)用故障IP路徑檢測交換機(jī)故障數(shù)據(jù)端口故障(物理層和鏈路層)冗余數(shù)據(jù)端口HAHA電源故障冗余電源設(shè)備完全掉電心跳信號端口故障端口故障鏈路監(jiān)測設(shè)備故障鏈路監(jiān)測應(yīng)用故障IP路徑檢測治理員掌握的設(shè)備維護(hù)和down機(jī)IP路徑檢測多設(shè)備故障Juniper和四周設(shè)備在不同路徑故障冗余端口環(huán)境故障物理接線故障鏈路監(jiān)測電路故障心跳信號,多電源,鏈路監(jiān)測,IPJuniperVPN用的實(shí)時信息都得到同步，即對VPN連接、地址翻譯連接的切換也是在小于1路由的條數(shù)，讓大局部的流量對稱地傳送，小局部不對稱路由的流量通過HA2口做“h”型的轉(zhuǎn)發(fā)即可。防火墻的安全掌握實(shí)現(xiàn)方案因此，對于安全系統(tǒng)的策略制訂肯定要遵守相關(guān)的原則?；饓ο到y(tǒng)的安全策略由以下元素組成：源地址目的地址 效勞 動作策略不被執(zhí)行。因此，在制訂安全策略時要遵循以下原則：越嚴(yán)格的策略越要放在前面越寬松的策略越要往后放策略避開有二意性三種類型的策略可通過以下三種策略掌握信息流的流淌：信息流的種類。信息流的類型。區(qū)段間策略拒絕或設(shè)置從一個區(qū)段到另一個區(qū)段的信息流通道。使用狀態(tài)式檢查技術(shù)，TrustAUntrustB的懇求，則當(dāng)Juniper設(shè)備接收到從效勞器B到主機(jī)的封包穿越防火墻到達(dá)Trust區(qū)段中的主機(jī)A。要掌握由效勞器B發(fā)起的流向A的信息流〔A發(fā)起的信息流Untrust區(qū)BTrustA的其次個策略。區(qū)段內(nèi)部策略目的地址都在同一安全區(qū)段中，但是通過Juniper設(shè)備上的不同接口到達(dá)。與端發(fā)起的信息流，必需創(chuàng)立兩個策略，每個方向一個策略。全局策略GlobalGlobal區(qū)段地址“any段進(jìn)展訪問，則可以創(chuàng)立具有Global區(qū)段地址“any”的全局策略，它包含全部區(qū)段中的全部地址。策略組列表Juniper策略之一：區(qū)段間策略區(qū)段內(nèi)部策略全局策略Juniper所綁定的源區(qū)段。然后Juniper設(shè)備執(zhí)行路由查詢以確定出口接口，從而確定查詢，按以下挨次查閱策略組列表：、假設(shè)源區(qū)段和目的區(qū)段不同，則設(shè)備在區(qū)段間策略組列表Juniper設(shè)備在區(qū)段內(nèi)部策略組列表中執(zhí)行策略查詢。2、 區(qū)段內(nèi)部策略查詢但是沒有找到匹配策略，則Juniper設(shè)備會檢查全局策略組列表以查找匹配策略。3JuniperJuniper設(shè)備會將缺省的允許/unset/setpolicydefault-permit-all〔或〕假設(shè)Juniper設(shè)備執(zhí)行區(qū)段內(nèi)部和全局策略查詢，但是沒有找到匹配策略，Juniper設(shè)備會將該Juniper的策略定位在不太特別的策略上面。策略定義〔區(qū)段間策略、內(nèi)部區(qū)段策用戶和信息能進(jìn)入和離開，以及它們進(jìn)入和離開的時間和地點(diǎn)。策略的構(gòu)造策略必需包含以下元素：區(qū)段〔源區(qū)段和目的區(qū)段〕地址〔源地址和目的地址〕效勞 、deny、tunnel〕策略也可包含以下元素：VPN通道確定Layer2〔2層〕傳輸協(xié)議(L2TP)通道確定策略組列表頂部位置網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)，IP(DIP)池用戶認(rèn)證HA會話記錄計數(shù)信息流報警設(shè)置時間表信息流整形時間表FTP-PutMAIL信息流。>CLI中，使setschedule命令?；诎踩珔^(qū)段的防火墻保護(hù)選項(xiàng)允許全部類型的信息流從一個區(qū)段中的任何源地點(diǎn)到其它全部區(qū)段中的任何目機(jī)之間流淌。通常所說的狀態(tài)式檢查。使用此方法，防火墻設(shè)備在TCP包頭中記入各種不同的信息單元—源和目的IP地址、源和目的端口號，以及封包序列號—并保持〔防火墻也會依據(jù)變化的元素，如動態(tài)端口變化或會話終止，來修改會話狀態(tài)〕TCP封包到達(dá)時，防火墻設(shè)備會允許響應(yīng)封包通過防火墻。假設(shè)不相符，則丟棄該封包?！策@些選項(xiàng)不適用于子接口SYNAttac〔SYN攻擊ICMP泛濫、UDPFlood〔UDP泛濫〕PortScanAttack〔端口掃描攻擊。SYNAttack〔SYN攻擊SYN發(fā)生了SYNICMPFlood〔ICMP泛濫〕：當(dāng)ICMPpingICMPICMPICMP防火墻設(shè)備在該秒余下的時間和下一秒內(nèi)會無視其它的ICMP回應(yīng)要求。UDPFlood〔UDP泛濫〕：與ICMP泛濫相像，當(dāng)以減慢系統(tǒng)速度為目的向該點(diǎn)發(fā)送UDPUDP當(dāng)啟用了UDP用UDPUDP封包數(shù)超的UDPPortScanAttack〔端口掃描攻擊〕：當(dāng)一個源IP地址在定義的時間間隔內(nèi)向位于一樣目標(biāo)IP地址10個不同的端口發(fā)送IP封包時，就會發(fā)生端口掃描Juniper數(shù)目。使用缺省設(shè)置，假設(shè)遠(yuǎn)程主機(jī)在0.005秒內(nèi)掃描了10個端口〔5,000微秒自該源地點(diǎn)的其它封包〔不管目標(biāo)IP地址為何〕。余下的選項(xiàng)可用于具有物理接口和子接口的區(qū)段：Limitsession〔限制會話〕：IP地址〔可以為源、目的IP分別設(shè)定〕建立的會話數(shù)量。例如，假設(shè)從同一客戶端發(fā)送過多的懇求，就能耗盡WebIPSYN-ACK-ACKProxy保護(hù)：當(dāng)認(rèn)證用戶初始化TelnetFTP連接時，用戶會SYN封包到Telnet或FTP效勞器。JuniperProxy將SYN-ACK-ACK程度，讓設(shè)備開頭拒絕合法的連接要求。要阻擋這類攻擊，您可以啟用SYN-ACK-ACKProxy保護(hù)SCREEN選項(xiàng)。從一樣IP地址的連接數(shù)目到達(dá)syn-ack-ack-proxy臨界值后，防火墻設(shè)備就會拒絕來自該IP地址的進(jìn)一步連接要求。缺省狀況下，來自單一IP地址的臨界值是512次連接。您可以更改這個臨界值〔為12,500,000〕以更好地適合網(wǎng)絡(luò)環(huán)境的需求。SYNFragment〔SYN碎片〕：SYN碎片攻擊使目標(biāo)主機(jī)充塞過量的SYN封包一步的連接無法進(jìn)展，并且可能會破壞主機(jī)操作系統(tǒng)。當(dāng)協(xié)議字段指示是ICMP封包，并且片斷標(biāo)志被設(shè)置為1或指出了偏移值時，防火墻設(shè)備會丟棄ICMP封包。SYNandFINBitsSet〔SYN和FIN位的封包〕：通常不會在同一封包中同時設(shè)置SYNFIN標(biāo)志字段中同時設(shè)置SYN和FIN位的封包。TCPPacketWithoutFlag〔無標(biāo)記的TCP封包〕：通常，在發(fā)送的TCP封或不全的TCPFINBitWithNoACKBit〔有FIN位無ACK位〕：設(shè)置了FIN標(biāo)志的TCP封包通常也會設(shè)置ACKFIN志，但沒有設(shè)置ACK位的封包。ICMPFragment〔ICMP碎片〕：檢測任何設(shè)置了“更多片斷”標(biāo)志，或在偏移字段中指出了偏移值的ICMP幀。PingofDeath：TCP/IPpingICMP會引發(fā)一系列負(fù)面的系統(tǒng)反響，如拒絕效勞(DoS)、系統(tǒng)崩潰、死機(jī)以及重啟包。AddressSweepAttack〔地址掃描攻擊〕：與端口掃描攻擊類似，當(dāng)一個源IP〔缺省值為5,000內(nèi)向不同的主機(jī)發(fā)送ICMP應(yīng)要求〔或ping〕時，就會發(fā)生地址掃描攻擊。這個配置的目的是Ping數(shù)個主記錄從一個遠(yuǎn)程源ping的不同地址的數(shù)目。使用缺省設(shè)置，假設(shè)某遠(yuǎn)程主機(jī)在0.005〔5,000〕內(nèi)ping10掃描攻擊，并在該秒余下的時間內(nèi)拒絕來自于該主機(jī)的ICMP回應(yīng)要求。LargeICMPPacket〔大的ICMP封包〕：防火墻設(shè)備丟棄長度大于1024ICMPTearDropAttack〔撕毀攻擊〕：撕毀攻擊利用了IP在IP潰。假設(shè)防火墻在某封包碎片中覺察了這種不全都現(xiàn)象，將會丟棄該碎片。FilterIPSourceRouteOption〔過濾IP源路由選項(xiàng)〕：IP包頭信息有可封鎖全部使用“源路由選項(xiàng)”的IP信息流?！霸绰酚蛇x項(xiàng)”可允許攻擊者以假的IPRecordRouteOption〔記錄路由選項(xiàng)〕：防火墻設(shè)備封鎖IP選項(xiàng)為7〔記錄路由息。IPSecurityOption〔IP安全性選項(xiàng)〕：此選項(xiàng)為主機(jī)供給了一種手段，可發(fā)送與DODTCC〔非公開用戶組〕參數(shù)以及“處理限制代碼”。IPStrictSourceRouteOption〔IP嚴(yán)格源路由選項(xiàng)〕：防火墻設(shè)備封鎖嚴(yán)格源路由選擇〕的封包。此選項(xiàng)為封包源供給了一種手段，可在關(guān)或主機(jī)IP必需將數(shù)據(jù)包報直接發(fā)送到源路由中的下一地址，并且只能通過下一地址中指示的直接連接的網(wǎng)絡(luò)才能到達(dá)路由中指定的下一網(wǎng)關(guān)或主機(jī)。UnknownProtocol〔未知協(xié)議〕：防火墻設(shè)備丟棄協(xié)議字段設(shè)置為101或更大值的封包。目前，這些協(xié)議類型被保存，尚未定義。IPSpoofing〔IP哄騙〕：當(dāng)攻擊者試圖通過假冒有效的客戶端IP地址來繞過防火墻保護(hù)時，就發(fā)生了哄騙攻擊。假設(shè)啟用了IP哄騙防范機(jī)制，防火墻設(shè)備會用自己的路由表對IPIPCLIJuniper包含已保存源IP〔不行路由的，例如〕的封包：setzonezonescreenip-spoofingdrop-no-rpf-route。BadIPOption〔壞的IP選項(xiàng)〕：當(dāng)IPIP或殘缺時，會觸發(fā)此選項(xiàng)。IPTimestampOption〔IP時戳選項(xiàng)〕：防火墻設(shè)備封鎖IP4〔互聯(lián)網(wǎng)時戳〕的封包。LooseSourceRouteOption：防火墻設(shè)備封鎖IP選項(xiàng)為3〔松散源路由〕使用的路由信息。此選項(xiàng)是松散源路由，由于允許網(wǎng)關(guān)或主機(jī)IP使用任何數(shù)量的其它中間網(wǎng)關(guān)的任何路由來到達(dá)路由中的下一地址。IPStreamOption〔IP流選項(xiàng)〕：防火墻設(shè)備封鎖IP選項(xiàng)為8〔流ID〕的封包。此選項(xiàng)供給了一種方法，用于在不支持流概念的網(wǎng)絡(luò)中輸送16SATNET流標(biāo)識符。WinNukeAttack〔WinNuke攻擊〕：WinNuke是一種常見的應(yīng)用程序，其唯一目的就是使互聯(lián)網(wǎng)上任何運(yùn)行WindowsWinNuke通過已建立的連接向主機(jī)發(fā)送帶外(OOB)數(shù)據(jù)—通常發(fā)送到NetBIOS139—并引起NetBIOS示攻擊已經(jīng)發(fā)生：AnexceptionOEhasoccurredat0028:[address]inVxDMSTCP(01)+000041AE.Thiswascalledfrom0028:[address]inVxDNDIS(01)+00008660.Itmaybepossibletocontinuenormally.〔00008660。有可能連續(xù)正常運(yùn)行?！砅ressanykeytoattempttocontinue.〔請按任意鍵嘗試連續(xù)運(yùn)行。〕PressCTRL+ALT+DELtorestartyourcomputer.Youwillloseanyunsavedinformationinallapplications.〔按CTRL+ALT+DEL將喪失全部應(yīng)用程序中的未保存信息。〕Pressanykeytocontinue.〔按任意鍵連續(xù)?！臣僭O(shè)啟用了WinNuke攻擊防御機(jī)制，Juniper設(shè)備會掃描全部進(jìn)入的“MicrosoftNetBIOS會話效勞”〔端口139〕封包。假設(shè)防火墻設(shè)備覺察需要訂正偏移值以防止發(fā)生OOB警報”日志中創(chuàng)立一個WinNuke攻擊日志條目。LandAttack：“陸地”攻擊將SYN攻擊和IP哄騙結(jié)合在了一起，當(dāng)攻擊者發(fā)送含有受害方IPSYNIPSYN-ACKDoSSYNIP施結(jié)合在一起，防火墻設(shè)備將會封鎖任何此類性質(zhì)的企圖。MaliciousURLProtection：當(dāng)啟用“惡意URL，Juniper監(jiān)視每個封包并檢測與假設(shè)干用戶定義模式中的任意一個相匹配的任何封包。設(shè)備會自動丟棄全部此類封包。BlockJava/ActiveX/ZIP/EXEComponent：Web網(wǎng)頁中可能藏有惡意的Java或ActiveX組件。下載完以后，這些applet會在您的計算機(jī)上安裝特洛伊木馬該區(qū)域的接口的包頭。會檢查包頭中列出的內(nèi)容類型是否指示封包負(fù)荷中、.exe.zip，而且您將防火位位組流”，而不是特定的組件類型，則防火墻設(shè)備會檢查負(fù)荷中的文件類型。這些組件，防火墻設(shè)備會堵塞封包。DenyFragment：封包通過不同的網(wǎng)絡(luò)時，有時必需依據(jù)網(wǎng)絡(luò)的最大傳輸單位(MTU)將封包分成更小的局部〔片斷〕。攻擊者可能會利用IP棧具體實(shí)現(xiàn)的封包重組合代碼中的漏洞，通過IP碎片進(jìn)展攻擊。當(dāng)目標(biāo)系統(tǒng)收到這些封包設(shè)備拒絕安全區(qū)段上的IP碎片，設(shè)備將封鎖在綁定到該區(qū)段的接口處接收到的全部IP對于網(wǎng)絡(luò)層的攻擊，大多數(shù)從技術(shù)角度無法推斷該數(shù)據(jù)包的合法性，如SYNUDPflood，通常防火墻承受閥值來掌握該訪問的流量。通常防火墻對這Syn3000，考慮到網(wǎng)絡(luò)突發(fā)20%，則該值作為系統(tǒng)的設(shè)定值。在實(shí)際應(yīng)用中，這些參數(shù)要隨時依據(jù)網(wǎng)絡(luò)流量狀況進(jìn)展動態(tài)監(jiān)控的更。防火墻的應(yīng)用代理實(shí)現(xiàn)方案TCPSyn-FloodTCPTCPJuniper應(yīng)用代理，避開了網(wǎng)絡(luò)速度的大幅下降。防火墻用戶認(rèn)證的實(shí)現(xiàn)方案Juniper供給了用戶認(rèn)證選項(xiàng)，選擇此選項(xiàng)要求源地址的auth用戶，在允許信息流穿越防火墻或進(jìn)入VPN碼，以認(rèn)證他/Juniper設(shè)備可使用本地數(shù)據(jù)庫或外部RADIUS、SecurIDLDAPauth效勞器，執(zhí)行認(rèn)證檢查。Juniper供給兩種認(rèn)證方案：FTPTelnet信息流時，JuniperauthWebAuth，Juniper設(shè)備發(fā)送信息流前，用戶必需認(rèn)證自己運(yùn)行時認(rèn)證運(yùn)行時認(rèn)證的過程如下：1、 或Telnet連接懇求到目的地址時，Juniper設(shè)備截取封包并對其進(jìn)展緩沖。2、 Juniper設(shè)備向auth用戶發(fā)出登錄提示。3、 auth用戶用自己的用戶名和密碼響應(yīng)此提示。4、 Juniper設(shè)備認(rèn)證auth用戶的登錄信息。假設(shè)認(rèn)證成功，則在auth用戶和目的地址間建立連接。留意：假設(shè)將需要認(rèn)證的策略應(yīng)用到IP地址的子網(wǎng)，則每個IP地址都需要認(rèn)證。假設(shè)主機(jī)支持多個auth用戶帳戶〔如運(yùn)行TelnetUnix主機(jī)信息流通過Juniper設(shè)備而不必經(jīng)過認(rèn)證。對于初始的連接懇求，策略必需包括以下三個效勞中的一項(xiàng)或全部效勞：Telnet、或FTP。只有具有這些效勞使用以下任一效勞：Any〔由于“any”包括全部三項(xiàng)必需的效勞〕Telnet、FTP?！睺elnetFTP的定制效勞組，支持FTP、網(wǎng)絡(luò)會議系統(tǒng)和H.323效勞。然后，在創(chuàng)立策Login全部效勞都有效。策略前檢查認(rèn)證(WebAuth)WebAuth1、 立到IP地址的連接。2、 Juniper設(shè)備向auth用戶發(fā)出登錄提示。3、 auth用戶用自己的用戶名和密碼響應(yīng)此提示。4、 Juniper設(shè)備或外部auth效勞器認(rèn)證auth用戶的登錄信息。authWebAuth方法執(zhí)行認(rèn)證的策略中指定的目的位置。留意：啟用了認(rèn)證的策略不支持將DNS〔端口為53〕作為效勞。防火墻對帶寬治理實(shí)現(xiàn)方案信息流整形可以為每個策略設(shè)置掌握和整形信息流的參數(shù)。信息流整形參數(shù)包括：GuaranteedBandwidth〔保障帶寬(kbps)表示的保障或整形機(jī)制的限制。MaximumBandwidt〔最大帶寬(kbps)可用的安全帶寬。超過此臨界值的信息流被抑制并丟棄。WebUI定義的時間表內(nèi)。已排定進(jìn)度的策略活動時，背景為白色。留意：建議不要使用低于10kbps致封包被丟棄以及過多的重試，從而使信息流的治理目的失敗。TrafficPriority〔信息流優(yōu)先級：當(dāng)信息流帶寬在保