杜松之家 » 网络安全及相关技术专区 » --技术文档区 » Juniper NetScreen防火墙的检测和防御机制

查看完整版本: Juniper NetScreen防火墙的检测和防御机制

打不死 2007-12-20 00:01

Juniper NetScreen防火墙的检测和防御机制

[align=left][align=left][size=2][color=black][font=宋体][size=10.5pt]攻击过程可以是收集信息的探查，也可以是破坏、停用或损害网络或网络资源的攻击。在某些情况下，两种攻击目的之间的区别可能不太清楚。例如，[/size][/font][/color][color=black][font=宋体][size=10.5pt]TCP SYN [/size][/font][/color][color=black][font=宋体][size=10.5pt]段的阻塞可能是旨在触发活动主机响应的 [/size][/font][/color][color=black][font=宋体][size=10.5pt]IP [/size][/font][/color][color=black][font=宋体][size=10.5pt]地址扫描，也可能是以耗尽网络资源使之不能正常工作为目的的 [/size][/font][/color][color=black][font=宋体][size=10.5pt]SYN [/size][/font][/color][color=black][font=宋体][size=10.5pt]泛滥攻击。此外，由于攻击者通常在攻击之前先对目标执行侦查，因而我们可以将收集信息的尝试视为即将来临的攻击的先兆 [/size][/font][/color][color=black][font=宋体][size=10.5pt]- [/size][/font][/color][color=black][font=宋体][size=10.5pt]也就是说，它们构成了攻击的第一阶段。因此，术语“攻击”既包括侦查活动，也包括攻击活动，有时不太好区分这两者之间的差别。[/size][/font][/color][/size][/align][/align][align=left][align=left][size=2][color=black][font=宋体][size=10.5pt]Juniper Networks [/size][/font][/color][color=black][font=宋体][size=10.5pt]提供了各种区段级和策略级的检测方法和防御机制，以便在所有阶段对抗攻击行为[/size][/font][/color][color=black][font=宋体][size=10.5pt]:[/size][/font][/color][/size][/align][/align][align=left][align=left][size=2][color=black][font=Wingdings][size=10.5pt]l
[/size][/font][/color][color=black][font=宋体][size=10.5pt]区段级的 [/size][/font][/color][color=black][font=宋体][size=10.5pt]SCREEN [/size][/font][/color][color=black][font=宋体][size=10.5pt]选项[/size][/font][/color][/size][/align][/align][align=left][align=left][size=2][color=black][font=Wingdings][size=10.5pt]l
[/size][/font][/color][color=black][font=宋体][size=10.5pt]区段间、区段内和超区段的策略级的防火墙策略 [/size][/font][/color][color=black][font=宋体][size=10.5pt]( [/size][/font][/color][color=black][font=宋体][size=10.5pt]此处，超区段表示全局策略，不涉及任何安全区段[/size][/font][/color][color=black][font=宋体][size=10.5pt])[/size][/font][/color][color=black][font=宋体][size=10.5pt]。[/size][/font][/color]
[color=black][font=宋体][size=10.5pt][/size][/font][/color][/size][/align][/align][align=left][align=left][size=2][color=black][font=宋体][size=10.5pt]为保护所有连接尝试的安全，[/size][/font][/color][color=black][font=宋体][size=10.5pt]Juniper Networks [/size][/font][/color][color=black][font=宋体][size=10.5pt]防火墙使用了一种动态封包过滤方法，即通常所说的状态式检查。使用此方法，防火墙在 [/size][/font][/color][color=black][font=宋体][size=10.5pt]IP [/size][/font][/color][color=black][font=宋体][size=10.5pt]封包和 [/size][/font][/color][color=black][font=宋体][size=10.5pt]TCP [/size][/font][/color][color=black][font=宋体][size=10.5pt]片段包头中记入各种不同的信息单元 [/size][/font][/color][color=black][font=宋体][size=10.5pt]- [/size][/font][/color][color=black][font=宋体][size=10.5pt]源和目的 [/size][/font][/color][color=black][font=宋体][size=10.5pt]IP [/size][/font][/color][color=black][font=宋体][size=10.5pt]地址、源和目的端口号，以及封包序列号 [/size][/font][/color][color=black][font=宋体][size=10.5pt]- [/size][/font][/color][color=black][font=宋体][size=10.5pt]并保持穿越防火墙的每个 [/size][/font][/color][color=black][font=宋体][size=10.5pt]TCP [/size][/font][/color][color=black][font=宋体][size=10.5pt]会话和伪 [/size][/font][/color][color=black][font=宋体][size=10.5pt]UDP [/size][/font][/color][color=black][font=宋体][size=10.5pt]会话的状态。[/size][/font][/color][color=black][font=宋体][size=10.5pt]( [/size][/font][/color][color=black][font=宋体][size=10.5pt]设备也会根据变化的元素，如动态端口变化或会话终止，来修改会话状态[/size][/font][/color][color=black][font=宋体][size=10.5pt])[/size][/font][/color][color=black][font=宋体][size=10.5pt]。当响应的 [/size][/font][/color][color=black][font=宋体][size=10.5pt]TCP [/size][/font][/color][color=black][font=宋体][size=10.5pt]封包到达时，设备会将其包头中包含的信息与检查表中储存的相关会话的状态进行比较。[/size][/font][/color][/size][/align][/align][align=left][align=left][color=black][font=宋体][size=10.5pt][size=2]如果相符，允许响应封包通过防火墙。如果不相符，则丢弃该封包。[/size][/size][/font][/color][/align][/align][align=left][align=left][size=2][color=black][font=宋体][size=10.5pt]ScreenOS SCREEN [/size][/font][/color][color=black][font=宋体][size=10.5pt]选项用于保护区段的安全，具体做法是先检查要求经过绑定到该区域的某一接口的所有连接尝试，然后予以准许或拒绝。然后防火墙应用防火墙策略，在这些策略中，可能包含针对通过 [/size][/font][/color][color=black][font=宋体][size=10.5pt]SCREEN [/size][/font][/color][color=black][font=宋体][size=10.5pt]过滤器的信息流的内容过滤和入侵检测及防护 [/size][/font][/color][color=black][font=宋体][size=10.5pt](IDP) [/size][/font][/color][color=black][font=宋体][size=10.5pt]组件。[/size][/font][/color][/size][/align][/align][align=left][align=left][size=2][color=black][font=宋体][size=10.5pt]Juniper Networks [/size][/font][/color][color=black][font=宋体][size=10.5pt]防火墙提供以下各组防御机制[/size][/font][/color][color=black][font=宋体][size=10.5pt]:[/size][/font][/color][/size][/align][/align][align=left][align=left][size=2][color=black][font=Wingdings][size=10.5pt]l
[/size][/font][/color][color=black][font=宋体][size=10.5pt]􀂄 [/size][/font][/color][color=black][font=宋体][size=10.5pt]侦查威慑[/size][/font][/color][/size][/align][/align][align=left][align=left][size=2][color=black][font=Wingdings][size=10.5pt]n
[/size][/font][/color][color=gray][font=宋体][size=10.5pt]􀂄 [/size][/font][/color][color=black][font=宋体][size=10.5pt]IP [/size][/font][/color][color=black][font=宋体][size=10.5pt]地址扫描[/size][/font][/color][/size][/align][/align][align=left][align=left][size=2][color=black][font=Wingdings][size=10.5pt]n
[/size][/font][/color][color=gray][font=宋体][size=10.5pt]􀂄 [/size][/font][/color][color=black][font=宋体][size=10.5pt]端口扫描[/size][/font][/color][/size][/align][/align][align=left][align=left][size=2][color=black][font=Wingdings][size=10.5pt]n
[/size][/font][/color][color=gray][font=宋体][size=10.5pt]􀂄 [/size][/font][/color][color=black][font=宋体][size=10.5pt]操作系统探查[/size][/font][/color][/size][/align][/align][align=left][align=left][size=2][color=black][font=Wingdings][size=10.5pt]n
[/size][/font][/color][color=gray][font=宋体][size=10.5pt]􀂄 [/size][/font][/color][color=black][font=宋体][size=10.5pt]逃避技术[/size][/font][/color][/size][/align][/align][align=left][align=left][size=2][color=black][font=Wingdings][size=10.5pt]l
[/size][/font][/color][color=black][font=宋体][size=10.5pt]􀂄 [/size][/font][/color][color=black][font=宋体][size=10.5pt]内容监视和过滤[/size][/font][/color][/size][/align][/align][align=left][align=left][size=2][color=black][font=Wingdings][size=10.5pt]n
[/size][/font][/color][color=gray][font=宋体][size=10.5pt]􀂄 [/size][/font][/color][color=black][font=宋体][size=10.5pt]碎片重组[/size][/font][/color][/size][/align][/align][align=left][align=left][size=2][color=black][font=Wingdings][size=10.5pt]n
[/size][/font][/color][color=gray][font=宋体][size=10.5pt]􀂄 [/size][/font][/color][color=black][font=宋体][size=10.5pt]防病毒扫描[/size][/font][/color][/size][/align][/align][align=left][align=left][size=2][color=black][font=Wingdings][size=10.5pt]n
[/size][/font][/color][color=gray][font=宋体][size=10.5pt]􀂄 [/size][/font][/color][color=black][font=宋体][size=10.5pt]反垃圾邮件过滤[/size][/font][/color][/size][/align][/align][align=left][align=left][size=2][color=black][font=Wingdings][size=10.5pt]n
[/size][/font][/color][color=gray][font=宋体][size=10.5pt]􀂄 [/size][/font][/color][color=black][font=宋体][size=10.5pt]Web [/size][/font][/color][color=black][font=宋体][size=10.5pt]过滤[/size][/font][/color][/size][/align][/align][align=left][align=left][size=2][color=black][font=Wingdings][size=10.5pt]l
[/size][/font][/color][color=black][font=宋体][size=10.5pt]􀂄 [/size][/font][/color][color=black][font=宋体][size=10.5pt]深入检查[/size][/font][/color][/size][/align][/align][align=left][align=left][size=2][color=black][font=Wingdings][size=10.5pt]n
[/size][/font][/color][color=gray][font=宋体][size=10.5pt]􀂄 [/size][/font][/color][color=black][font=宋体][size=10.5pt]状态式签名[/size][/font][/color][/size][/align][/align][align=left][align=left][size=2][color=black][font=Wingdings][size=10.5pt]n
[/size][/font][/color][color=gray][font=宋体][size=10.5pt]􀂄 [/size][/font][/color][color=black][font=宋体][size=10.5pt]协议异常[/size][/font][/color][/size][/align][/align][align=left][align=left][size=2][color=black][font=Wingdings][size=10.5pt]n
[/size][/font][/color][color=gray][font=宋体][size=10.5pt]􀂄 [/size][/font][/color][color=black][font=宋体][size=10.5pt]HTTP [/size][/font][/color][color=black][font=宋体][size=10.5pt]组件的点状封锁[/size][/font][/color][/size][/align][/align][align=left][align=left][size=2][color=black][font=Wingdings][size=10.5pt]l
[/size][/font][/color][color=black][font=宋体][size=10.5pt]􀂄 [/size][/font][/color][color=black][font=宋体][size=10.5pt]拒绝服务 [/size][/font][/color][color=black][font=宋体][size=10.5pt](DoS) [/size][/font][/color][color=black][font=宋体][size=10.5pt]攻击防御[/size][/font][/color][/size][/align][/align][align=left][align=left][size=2][color=black][font=Wingdings][size=10.5pt]n
[/size][/font][/color][color=gray][font=宋体][size=10.5pt]􀂄 [/size][/font][/color][color=black][font=宋体][size=10.5pt]防火墙 [/size][/font][/color][color=black][font=宋体][size=10.5pt]DoS [/size][/font][/color][color=black][font=宋体][size=10.5pt]攻击[/size][/font][/color][/size][/align][/align][align=left][align=left][size=2][color=black][font=Wingdings][size=10.5pt]u
[/size][/font][/color][color=black][font=宋体][size=10.5pt]􀂉 [/size][/font][/color][color=black][font=宋体][size=10.5pt]会话表泛滥[/size][/font][/color][/size][/align][/align][align=left][align=left][size=2][color=black][font=Wingdings][size=10.5pt]u
[/size][/font][/color][color=black][font=宋体][size=10.5pt]􀂉 [/size][/font][/color][color=black][font=宋体][size=10.5pt]SYN-ACK-ACK [/size][/font][/color][color=black][font=宋体][size=10.5pt]代理泛滥[/size][/font][/color][/size][/align][/align][align=left][align=left][size=2][color=black][font=Wingdings][size=10.5pt]n
[/size][/font][/color][color=gray][font=宋体][size=10.5pt]􀂄 [/size][/font][/color][color=black][font=宋体][size=10.5pt]网络 [/size][/font][/color][color=black][font=宋体][size=10.5pt]DoS [/size][/font][/color][color=black][font=宋体][size=10.5pt]攻击[/size][/font][/color][/size][/align][/align][align=left][align=left][size=2][color=black][font=Wingdings][size=10.5pt]u
[/size][/font][/color][color=black][font=宋体][size=10.5pt]􀂉 [/size][/font][/color][color=black][font=宋体][size=10.5pt]SYN [/size][/font][/color][color=black][font=宋体][size=10.5pt]泛滥[/size][/font][/color][/size][/align][/align][align=left][align=left][size=2][color=black][font=Wingdings][size=10.5pt]u
[/size][/font][/color][color=black][font=宋体][size=10.5pt]􀂉 [/size][/font][/color][color=black][font=宋体][size=10.5pt]ICMP [/size][/font][/color][color=black][font=宋体][size=10.5pt]泛滥[/size][/font][/color][/size][/align][/align][align=left][align=left][size=2][color=black][font=Wingdings][size=10.5pt]u
[/size][/font][/color][color=black][font=宋体][size=10.5pt]􀂉 [/size][/font][/color][color=black][font=宋体][size=10.5pt]UDP [/size][/font][/color][color=black][font=宋体][size=10.5pt]泛滥[/size][/font][/color][/size][/align][/align][align=left][align=left][size=2][color=black][font=Wingdings][size=10.5pt]n
[/size][/font][/color][color=gray][font=宋体][size=10.5pt]􀂄 [/size][/font][/color][color=black][font=宋体][size=10.5pt]与操作系统相关的 [/size][/font][/color][color=black][font=宋体][size=10.5pt]DoS [/size][/font][/color][color=black][font=宋体][size=10.5pt]攻击[/size][/font][/color][/size][/align][/align][align=left][align=left][size=2][color=black][font=Wingdings][size=10.5pt]u
[/size][/font][/color][color=black][font=宋体][size=10.5pt]􀂉 [/size][/font][/color][color=black][font=宋体][size=10.5pt]Ping[/size][/font][/color][color=black][font=宋体][size=10.5pt] of death[/size][/font][/color][/size][/align][/align][align=left][align=left][size=2][color=black][font=Wingdings][size=10.5pt]u
[/size][/font][/color][color=black][font=宋体][size=10.5pt]􀂉 [/size][/font][/color][color=black][font=宋体][size=10.5pt]Teardrop [/size][/font][/color][color=black][font=宋体][size=10.5pt]攻击[/size][/font][/color][/size][/align][/align][align=left][align=left][size=2][color=black][font=Wingdings][size=10.5pt]u
[/size][/font][/color][color=black][font=宋体][size=10.5pt]􀂉 [/size][/font][/color][color=black][font=宋体][size=10.5pt]WinNuke[/size][/font][/color][/size][/align][/align][align=left][align=left][size=2][color=black][font=Wingdings][size=10.5pt]l
[/size][/font][/color][color=black][font=宋体][size=10.5pt]􀂄 [/size][/font][/color][color=black][font=宋体][size=10.5pt]可疑封包属性[/size][/font][/color][/size][/align][/align][align=left][align=left][size=2][color=black][font=Wingdings][size=10.5pt]n
[/size][/font][/color][color=gray][font=宋体][size=10.5pt]􀂄 [/size][/font][/color][color=black][font=宋体][size=10.5pt]ICMP [/size][/font][/color][color=black][font=宋体][size=10.5pt]碎片[/size][/font][/color][/size][/align][/align][align=left][align=left][size=2][color=black][font=Wingdings][size=10.5pt]n
[/size][/font][/color][color=gray][font=宋体][size=10.5pt]􀂄 [/size][/font][/color][color=black][font=宋体][size=10.5pt]大的 [/size][/font][/color][color=black][font=宋体][size=10.5pt]ICMP [/size][/font][/color][color=black][font=宋体][size=10.5pt]封包[/size][/font][/color][/size][/align][/align][align=left][align=left][size=2][color=black][font=Wingdings][size=10.5pt]n
[/size][/font][/color][color=gray][font=宋体][size=10.5pt]􀂄 [/size][/font][/color][color=black][font=宋体][size=10.5pt]坏的 [/size][/font][/color][color=black][font=宋体][size=10.5pt]IP [/size][/font][/color][color=black][font=宋体][size=10.5pt]选项[/size][/font][/color][/size][/align][/align][align=left][align=left][size=2][color=black][font=Wingdings][size=10.5pt]n
[/size][/font][/color][color=gray][font=宋体][size=10.5pt]􀂄 [/size][/font][/color][color=black][font=宋体][size=10.5pt]未知协议[/size][/font][/color][/size][/align][/align][align=left][align=left][size=2][color=black][font=Wingdings][size=10.5pt]n
[/size][/font][/color][color=gray][font=宋体][size=10.5pt]􀂄 [/size][/font][/color][color=black][font=宋体][size=10.5pt]IP [/size][/font][/color][color=black][font=宋体][size=10.5pt]封包碎片[/size][/font][/color][/size][/align][/align][align=left][align=left][size=2][color=black][font=Wingdings][size=10.5pt]n
[/size][/font][/color][color=gray][font=宋体][size=10.5pt]􀂄 [/size][/font][/color][color=black][font=宋体][size=10.5pt]SYN [/size][/font][/color][color=black][font=宋体][size=10.5pt]碎片[/size][/font][/color][/size][/align][/align][align=left][align=left][size=2][color=black][font=宋体][size=10.5pt]ScreenOS [/size][/font][/color][color=black][font=宋体][size=10.5pt]网络保护设置在两个级别工作[/size][/font][/color][color=black][font=宋体][size=10.5pt]: [/size][/font][/color][color=black][font=宋体][size=10.5pt]安全区域和策略。[/size][/font][/color][color=black][font=宋体][size=10.5pt]Juniper Networks [/size][/font][/color][color=black][font=宋体][size=10.5pt]防火墙在安全区域级执行侦查威慑和 [/size][/font][/color][color=black][font=宋体][size=10.5pt]DoS [/size][/font][/color][color=black][font=宋体][size=10.5pt]攻击防御。在内容监视和过滤区域中，防火墙在区域级应用碎片重组，在策略级执行防病毒 [/size][/font][/color][color=black][font=宋体][size=10.5pt](AV) [/size][/font][/color][color=black][font=宋体][size=10.5pt]扫描和“统一资源定位器”[/size][/font][/color][color=black][font=宋体][size=10.5pt](URL) [/size][/font][/color][color=black][font=宋体][size=10.5pt]过滤。设备在策略级应用 [/size][/font][/color][color=black][font=宋体][size=10.5pt]IDP[/size][/font][/color][color=black][font=宋体][size=10.5pt]，但对 [/size][/font][/color][color=black][font=宋体][size=10.5pt]HTTP [/size][/font][/color][color=black][font=宋体][size=10.5pt]组件的检测和封锁除外，这些活动在区域级发生。区域级防火墙设置是 [/size][/font][/color][color=black][font=宋体][size=10.5pt]SCREEN [/size][/font][/color][color=black][font=宋体][size=10.5pt]选项。在策略中设置的网络保护选项是该策略的一个组成部分。[/size][/font][/color][/size][/align][/align][align=left][align=left][color=black][font=宋体][size=10.5pt][size=2][/size][/size][/font][/color] [/align][/align][color=black][font=宋体][size=10.5pt][size=2][font=宋体][size=10.5pt]当一个源 [/size][/font][font=Usherwood-Book][size=10.5pt][font=Garamond]IP [/font][/size][/font][font=宋体][size=10.5pt]地址（[/size][/font][font=宋体][size=10.5pt]最有可能是欺骗地址或 [/size][/font][font=宋体][size=10.5pt]zombie [/size][/font][font=宋体][size=10.5pt]代理[/size][/font][font=宋体][size=10.5pt]）在规定的时间间隔 [/size][/font][font=Usherwood-Book][size=10.5pt][font=Garamond]( [/font][/size][/font][font=宋体][size=10.5pt]缺省值为 [/size][/font][font=Usherwood-Book][size=10.5pt][font=Garamond]5000 [/font][/size][/font][font=宋体][size=10.5pt]微秒[/size][/font][font=Usherwood-Book][size=10.5pt][font=Garamond]) [/font][/size][/font][font=宋体][size=10.5pt]内将 [/size][/font][font=Usherwood-Book][size=10.5pt][font=Garamond]10 [/font][/size][/font][font=宋体][size=10.5pt]个 [/size][/font][font=Usherwood-Book][size=10.5pt][font=Garamond]ICMP [/font][/size][/font][font=宋体][size=10.5pt]封包发送给不同的主机时，即进行了一次地址扫描。此方案的目的是将 [/size][/font][font=Usherwood-Book][size=10.5pt][font=Garamond]ICMP [/font][/size][/font][font=宋体][size=10.5pt]封包 [/size][/font][font=Usherwood-Book][size=10.5pt][font=Garamond]( [/font][/size][/font][font=宋体][size=10.5pt]通常是应答请求[/size][/font][font=Usherwood-Book][size=10.5pt][font=Garamond]) [/font][/size][/font][font=宋体][size=10.5pt]发送给各个主机，以期获得至少一个回复，从而查明目标的地址。安全设备在内部记录从某一远程源地点发往不同地址的 [/size][/font][font=Usherwood-Book][size=10.5pt][font=Garamond]ICMP [/font][/size][/font][font=宋体][size=10.5pt]封包数目。使用缺省设置时，如果某个远程主机在 [/size][/font][font=Usherwood-Book][size=10.5pt][font=Garamond]0.005 [/font][/size][/font][font=宋体][size=10.5pt]秒 [/size][/font][font=Usherwood-Book][size=10.5pt][font=Garamond](5000 [/font][/size][/font][font=宋体][size=10.5pt]微秒[/size][/font][font=Usherwood-Book][size=10.5pt][font=Garamond]) [/font][/size][/font][font=宋体][size=10.5pt]内将 [/size][/font][font=Usherwood-Book][size=10.5pt][font=Garamond]ICMP [/font][/size][/font][font=宋体][size=10.5pt]信息流发送给 [/size][/font][font=Usherwood-Book][size=10.5pt][font=Garamond]10 [/font][/size][/font][font=宋体][size=10.5pt]个地址，则安全设备将其标记为地址扫描攻击，并在指定临界时间段的剩余时间内拒绝来自该主机的所有更多的 [/size][/font][font=Usherwood-Book][size=10.5pt][font=Garamond]ICMP [/font][/size][/font][font=宋体][size=10.5pt]回应请求。设备检测并丢弃满足地址扫描攻击标准的第十个封包。[/size][/font][/size]
[size=2][/size][font=宋体][size=9pt][size=2][/size][/size][/font]
[align=left][align=left][size=2][font=宋体][size=10.5pt]如果有一个策略允许来自某个安全区段的信息流，请考虑为该区段启用此 [/size][/font][font=Usherwood-Book][size=10.5pt][font=宋体, MS Song]SCREEN[/font][/size][/font][font=宋体][size=10.5pt]选项。否则不需要启用它。如果不存在这样的策略，则会拒绝来自该区段的所有[/size][/font][font=Usherwood-Book][size=10.5pt][font=宋体, MS Song]ICMP [/font][/size][/font][font=宋体][size=10.5pt]信息流，以阻止攻击者成功地执行 [/size][/font][font=Usherwood-Book][size=10.5pt][font=宋体, MS Song]IP [/font][/size][/font][font=宋体][size=10.5pt]地址扫描。[/size][/font][/size][/size][/font][/color][color=black][font=宋体][size=10.5pt][/size][/font][/color][/align][/align]

玲珑剔透 2008-1-5 19:39

很不错，这个方法挺好的，真是不错类，学习下谢谢了哦

页: [1]

查看完整版本: Juniper NetScreen防火墙的检测和防御机制