Juniper防火墙方案模板

总体方案建议防火墙双机热备系统解决方案JuniperNSRP，VRRP〔HSRP〕但在其根底上有很大的改进，现具体介绍如下：Juniper为了实现更安全、更有效的防火墙冗余体系，开发了专有的防火墙HANSRP①在HA组成员之间镜像配置，在发生故障切换时确保正确的行为。②HA组中维护全部活动会话和VPN统连接起来或监控从本系统到远端的路径。④无论活动会话和VPN隧道的数量有多少，故障检测和切换到备用系统可以在低于一秒时间内完成。⑤整个系统的防火墙处理力量提高一倍。⑥Juniper-ISG1000更支持全网状的A-AHA，避开低级的网络故障导致JuniperJuniper设备处于“路由”或NAT模式时，可以将冗余集群中的两台设备议(VRRP)”等协议，共享它们之间安排的流量。通过使用“Juniper冗余协议(NSRP)”创立两个虚拟安全设备(VSD)组，每个组都具有自己的虚拟安全接口(VSIA充当VSD组1VSD组2备份设备。设备B充当VSD组2的主设备，并充当VSD组1的备份设备。此配置称为双主动〔请参阅以下图。由于设备冗余，因此不存在单一故障点。负载分担的方式是通过同一VLANip地址，另一局部设备的网网关指向另一台防火墙的端口ip地址。故障切换后，〔IP地址，作为不同设备的缺省网关IP地址。设备A和设备B各接收50%的网络和VPN流量。设备A消灭故障时，BVSD组1的主设备，同时连续作为VSD2的主设备，并处理100%尽管处于双主动配置的两台设备分开的会话总数不能超过单个防火墙设备的数量，该数量对一个大型网络也已足够了，但是数据吞吐量则增大一倍。除NSRP集群〔主要负责在组成员间传播配置并通告每个成员的当前VSD组状态〕外，还可以将设备A和设备B配置为RTO镜像组中的成员，该镜像(RTO)3全部当前会话，备份设备可马上用最短的效劳停赶忙间担当主地位。除冗余设备外，还可以在防火墙设备上配置冗余物理接口。假设一级端口失去网络连接，则二级端口担当连接的任务。HAHA通HA1HA2处理数据消息。HAHA接Juniper设备上，必需将一个或两个物理以太网接口绑定到HA区段上。NSRP通信的机密特性，可以通过加密和认证保障全部NSRP流量的安全。NSRPDES和MD5算法。NSRP种形式：Active-Standby：有冗余，无法同时工作Active-Active：有冗余，双机同时工作，仅能容忍1个故障点Active-Active(全网状，FullMesh)：切换非相邻设备的故障。JuniperNS500/208HA1HA2HA1〔主要是会话建立的初期需要传递较多的会话的参数信息，所以两台防火墙的会话信息可以实时得到同步。其次个端口HA2配置为传递实际数据流量数据线路，主要是在不对称会话状态检测后觉察是基于现有会话的，而且属于第一台防火墙处理的流量，HAHAHA2故障描述NSRP/故障描述NSRP/Juniper保护JuniperScreenOS系统故障导致流量不通过但端口是心跳信号up(layer3故障)相邻设备故障完全掉电和不供给效劳IP路径检测路由器故障端口故障链路监测设备故障IP路径检测&链路监测应用故障IP路径检测交换机故障数据端口故障(物理层和链路层)冗余数据端口HAHA电源故障冗余电源设备完全掉电心跳信号端口故障端口故障链路监测设备故障链路监测应用故障IP路径检测治理员掌握的设备维护和down机IP路径检测多设备故障Juniper和四周设备在不同路径故障冗余端口环境故障物理接线故障链路监测电路故障心跳信号,多电源,链路监测,IPJuniperVPN用的实时信息都得到同步，即对VPN连接、地址翻译连接的切换也是在小于1路由的条数，让大局部的流量对称地传送，小局部不对称路由的流量通过HA2口做“h”型的转发即可。防火墙的安全掌握实现方案因此，对于安全系统的策略制订肯定要遵守相关的原则。火墙系统的安全策略由以下元素组成：源地址目的地址 效劳 动作策略不被执行。因此，在制订安全策略时要遵循以下原则：越严格的策略越要放在前面越宽松的策略越要往后放策略避开有二意性三种类型的策略可通过以下三种策略掌握信息流的流淌：信息流的种类。信息流的类型。区段间策略拒绝或设置从一个区段到另一个区段的信息流通道。使用状态式检查技术，TrustAUntrustB的恳求，则当Juniper设备接收到从效劳器B到主机的封包穿越防火墙到达Trust区段中的主机A。要掌握由效劳器B发起的流向A的信息流〔A发起的信息流Untrust区BTrustA的其次个策略。区段内部策略目的地址都在同一安全区段中，但是通过Juniper设备上的不同接口到达。与端发起的信息流，必需创立两个策略，每个方向一个策略。全局策略GlobalGlobal区段地址“any段进展访问，则可以创立具有Global区段地址“any”的全局策略，它包含全部区段中的全部地址。策略组列表Juniper策略之一：区段间策略区段内部策略全局策略Juniper所绑定的源区段。然后Juniper设备执行路由查询以确定出口接口，从而确定查询，按以下挨次查阅策略组列表：、假设源区段和目的区段不同，则设备在区段间策略组列表Juniper设备在区段内部策略组列表中执行策略查询。2、 区段内部策略查询但是没有找到匹配策略，则Juniper设备会检查全局策略组列表以查找匹配策略。3JuniperJuniper设备会将缺省的允许/unset/setpolicydefault-permit-all〔或〕假设Juniper设备执行区段内部和全局策略查询，但是没有找到匹配策略，Juniper设备会将该Juniper的策略定位在不太特别的策略上面。策略定义〔区段间策略、内部区段策用户和信息能进入和离开，以及它们进入和离开的时间和地点。策略的构造策略必需包含以下元素：区段〔源区段和目的区段〕地址〔源地址和目的地址〕效劳 、deny、tunnel〕策略也可包含以下元素：VPN通道确定Layer2〔2层〕传输协议(L2TP)通道确定策略组列表顶部位置网络地址转换(NAT)，IP(DIP)池用户认证HA会话记录计数信息流报警设置时间表信息流整形时间表FTP-PutMAIL信息流。>CLI中，使setschedule命令。基于安全区段的防火墙保护选项允许全部类型的信息流从一个区段中的任何源地点到其它全部区段中的任何目机之间流淌。通常所说的状态式检查。使用此方法，防火墙设备在TCP包头中记入各种不同的信息单元—源和目的IP地址、源和目的端口号，以及封包序列号—并保持〔防火墙也会依据变化的元素，如动态端口变化或会话终止，来修改会话状态〕TCP封包到达时，防火墙设备会允许响应封包通过防火墙。假设不相符，则丢弃该封包。〔这些选项不适用于子接口SYNAttac〔SYN攻击ICMP泛滥、UDPFlood〔UDP泛滥〕PortScanAttack〔端口扫描攻击。SYNAttack〔SYN攻击SYN发生了SYNICMPFlood〔ICMP泛滥〕：当ICMPpingICMPICMPICMP防火墙设备在该秒余下的时间和下一秒内会无视其它的ICMP回应要求。UDPFlood〔UDP泛滥〕：与ICMP泛滥相像，当以减慢系统速度为目的向该点发送UDPUDP当启用了UDP用UDPUDP封包数超的UDPPortScanAttack〔端口扫描攻击〕：当一个源IP地址在定义的时间间隔内向位于一样目标IP地址10个不同的端口发送IP封包时，就会发生端口扫描Juniper数目。使用缺省设置，假设远程主机在0.005秒内扫描了10个端口〔5,000微秒自该源地点的其它封包〔不管目标IP地址为何〕。余下的选项可用于具有物理接口和子接口的区段：Limitsession〔限制会话〕：IP地址〔可以为源、目的IP分别设定〕建立的会话数量。例如，假设从同一客户端发送过多的恳求，就能耗尽WebIPSYN-ACK-ACKProxy保护：当认证用户初始化TelnetFTP连接时，用户会SYN封包到Telnet或FTP效劳器。JuniperProxy将SYN-ACK-ACK程度，让设备开头拒绝合法的连接要求。要阻挡这类攻击，您可以启用SYN-ACK-ACKProxy保护SCREEN选项。从一样IP地址的连接数目到达syn-ack-ack-proxy临界值后，防火墙设备就会拒绝来自该IP地址的进一步连接要求。缺省状况下，来自单一IP地址的临界值是512次连接。您可以更改这个临界值〔为12,500,000〕以更好地适合网络环境的需求。SYNFragment〔SYN碎片〕：SYN碎片攻击使目标主机充塞过量的SYN封包一步的连接无法进展，并且可能会破坏主机操作系统。当协议字段指示是ICMP封包，并且片断标志被设置为1或指出了偏移值时，防火墙设备会丢弃ICMP封包。SYNandFINBitsSet〔SYN和FIN位的封包〕：通常不会在同一封包中同时设置SYNFIN标志字段中同时设置SYN和FIN位的封包。TCPPacketWithoutFlag〔无标记的TCP封包〕：通常，在发送的TCP封或不全的TCPFINBitWithNoACKBit〔有FIN位无ACK位〕：设置了FIN标志的TCP封包通常也会设置ACKFIN志，但没有设置ACK位的封包。ICMPFragment〔ICMP碎片〕：检测任何设置了“更多片断”标志，或在偏移字段中指出了偏移值的ICMP帧。PingofDeath：TCP/IPpingICMP会引发一系列负面的系统反响，如拒绝效劳(DoS)、系统崩溃、死机以及重启包。AddressSweepAttack〔地址扫描攻击〕：与端口扫描攻击类似，当一个源IP〔缺省值为5,000内向不同的主机发送ICMP应要求〔或ping〕时，就会发生地址扫描攻击。这个配置的目的是Ping数个主记录从一个远程源ping的不同地址的数目。使用缺省设置，假设某远程主机在0.005〔5,000〕内ping10扫描攻击，并在该秒余下的时间内拒绝来自于该主机的ICMP回应要求。LargeICMPPacket〔大的ICMP封包〕：防火墙设备丢弃长度大于1024ICMPTearDropAttack〔撕毁攻击〕：撕毁攻击利用了IP在IP溃。假设防火墙在某封包碎片中觉察了这种不全都现象，将会丢弃该碎片。FilterIPSourceRouteOption〔过滤IP源路由选项〕：IP包头信息有可封锁全部使用“源路由选项”的IP信息流。“源路由选项”可允许攻击者以假的IPRecordRouteOption〔记录路由选项〕：防火墙设备封锁IP选项为7〔记录路由息。IPSecurityOption〔IP安全性选项〕：此选项为主机供给了一种手段，可发送与DODTCC〔非公开用户组〕参数以及“处理限制代码”。IPStrictSourceRouteOption〔IP严格源路由选项〕：防火墙设备封锁严格源路由选择〕的封包。此选项为封包源供给了一种手段，可在关或主机IP必需将数据包报直接发送到源路由中的下一地址，并且只能通过下一地址中指示的直接连接的网络才能到达路由中指定的下一网关或主机。UnknownProtocol〔未知协议〕：防火墙设备丢弃协议字段设置为101或更大值的封包。目前，这些协议类型被保存，尚未定义。IPSpoofing〔IP哄骗〕：当攻击者试图通过假冒有效的客户端IP地址来绕过防火墙保护时，就发生了哄骗攻击。假设启用了IP哄骗防范机制，防火墙设备会用自己的路由表对IPIPCLIJuniper包含已保存源IP〔不行路由的，例如〕的封包：setzonezonescreenip-spoofingdrop-no-rpf-route。BadIPOption〔坏的IP选项〕：当IPIP或残缺时，会触发此选项。IPTimestampOption〔IP时戳选项〕：防火墙设备封锁IP4〔互联网时戳〕的封包。LooseSourceRouteOption：防火墙设备封锁IP选项为3〔松散源路由〕使用的路由信息。此选项是松散源路由，由于允许网关或主机IP使用任何数量的其它中间网关的任何路由来到达路由中的下一地址。IPStreamOption〔IP流选项〕：防火墙设备封锁IP选项为8〔流ID〕的封包。此选项供给了一种方法，用于在不支持流概念的网络中输送16SATNET流标识符。WinNukeAttack〔WinNuke攻击〕：WinNuke是一种常见的应用程序，其唯一目的就是使互联网上任何运行WindowsWinNuke通过已建立的连接向主机发送带外(OOB)数据—通常发送到NetBIOS139—并引起NetBIOS示攻击已经发生：AnexceptionOEhasoccurredat0028:[address]inVxDMSTCP(01)+000041AE.Thiswascalledfrom0028:[address]inVxDNDIS(01)+00008660.Itmaybepossibletocontinuenormally.〔00008660。有可能连续正常运行。〕Pressanykeytoattempttocontinue.〔请按任意键尝试连续运行。〕PressCTRL+ALT+DELtorestartyourcomputer.Youwillloseanyunsavedinformationinallapplications.〔按CTRL+ALT+DEL将丧失全部应用程序中的未保存信息。〕Pressanykeytocontinue.〔按任意键连续。〕假设启用了WinNuke攻击防御机制，Juniper设备会扫描全部进入的“MicrosoftNetBIOS会话效劳”〔端口139〕封包。假设防火墙设备觉察需要订正偏移值以防止发生OOB警报”日志中创立一个WinNuke攻击日志条目。LandAttack：“陆地”攻击将SYN攻击和IP哄骗结合在了一起，当攻击者发送含有受害方IPSYNIPSYN-ACKDoSSYNIP施结合在一起，防火墙设备将会封锁任何此类性质的企图。MaliciousURLProtection：当启用“恶意URL，Juniper监视每个封包并检测与假设干用户定义模式中的任意一个相匹配的任何封包。设备会自动丢弃全部此类封包。BlockJava/ActiveX/ZIP/EXEComponent：Web网页中可能藏有恶意的Java或ActiveX组件。下载完以后，这些applet会在您的计算机上安装特洛伊木马该区域的接口的包头。会检查包头中列出的内容类型是否指示封包负荷中、.exe.zip，而且您将防火位位组流”，而不是特定的组件类型，则防火墙设备会检查负荷中的文件类型。这些组件，防火墙设备会堵塞封包。DenyFragment：封包通过不同的网络时，有时必需依据网络的最大传输单位(MTU)将封包分成更小的局部〔片断〕。攻击者可能会利用IP栈具体实现的封包重组合代码中的漏洞，通过IP碎片进展攻击。当目标系统收到这些封包设备拒绝安全区段上的IP碎片，设备将封锁在绑定到该区段的接口处接收到的全部IP对于网络层的攻击，大多数从技术角度无法推断该数据包的合法性，如SYNUDPflood，通常防火墙承受阀值来掌握该访问的流量。通常防火墙对这Syn3000，考虑到网络突发20%，则该值作为系统的设定值。在实际应用中，这些参数要随时依据网络流量状况进展动态监控的更。防火墙的应用代理实现方案TCPSyn-FloodTCPTCPJuniper应用代理，避开了网络速度的大幅下降。防火墙用户认证的实现方案Juniper供给了用户认证选项，选择此选项要求源地址的auth用户，在允许信息流穿越防火墙或进入VPN码，以认证他/Juniper设备可使用本地数据库或外部RADIUS、SecurIDLDAPauth效劳器，执行认证检查。Juniper供给两种认证方案：FTPTelnet信息流时，JuniperauthWebAuth，Juniper设备发送信息流前，用户必需认证自己运行时认证运行时认证的过程如下：1、 或Telnet连接恳求到目的地址时，Juniper设备截取封包并对其进展缓冲。2、 Juniper设备向auth用户发出登录提示。3、 auth用户用自己的用户名和密码响应此提示。4、 Juniper设备认证auth用户的登录信息。假设认证成功，则在auth用户和目的地址间建立连接。留意：假设将需要认证的策略应用到IP地址的子网，则每个IP地址都需要认证。假设主机支持多个auth用户帐户〔如运行TelnetUnix主机信息流通过Juniper设备而不必经过认证。对于初始的连接恳求，策略必需包括以下三个效劳中的一项或全部效劳：Telnet、或FTP。只有具有这些效劳使用以下任一效劳：Any〔由于“any”包括全部三项必需的效劳〕Telnet、FTP。〔TelnetFTP的定制效劳组，支持FTP、网络会议系统和H.323效劳。然后，在创立策Login全部效劳都有效。策略前检查认证(WebAuth)WebAuth1、 立到IP地址的连接。2、 Juniper设备向auth用户发出登录提示。3、 auth用户用自己的用户名和密码响应此提示。4、 Juniper设备或外部auth效劳器认证auth用户的登录信息。authWebAuth方法执行认证的策略中指定的目的位置。留意：启用了认证的策略不支持将DNS〔端口为53〕作为效劳。防火墙对带宽治理实现方案信息流整形可以为每个策略设置掌握和整形信息流的参数。信息流整形参数包括：GuaranteedBandwidth〔保障带宽(kbps)表示的保障或整形机制的限制。MaximumBandwidt〔最大带宽(kbps)可用的安全带宽。超过此临界值的信息流被抑制并丢弃。WebUI定义的时间表内。已排定进度的策略活动时，背景为白色。留意：建议不要使用低于10kbps致封包被丢弃以及过多的重试，从而使信息流的治理目的失败。TrafficPriority〔信息流优先级：当信息流带宽在保