Juniper 中低端防火墻（目前主要以 SSG 系列防火墻為參考）支持非常廣泛的攻擊防護及內(nèi)容安全功能，主要包括：防病毒（Anti-Virus）、防垃圾郵件（Anti-Spam）、URL 過濾（URLfiltering）以及深層檢測/入侵防御（Deep Inspection/IPS）。

“注：上述的安全/防護功能集成在防火墻的 ScreenOS 操作系統(tǒng)中，但是必須通過 license（許可）激活后方可使用（并會在激活一段時間（通常是 1 年）后過期）。當然在使用這些功能的時候，我們還需要設(shè)定好防火墻的時鐘以及 DNS服務(wù)器地址?！?/p>

當防火墻激活了相應(yīng)的安全/防護功能以后，通過 WebUI 可以發(fā)現(xiàn)，Screening 條目下會增加相應(yīng)的功能條目，如下圖：

一、防病毒功能的設(shè)置

Juniper 防火墻的防病毒引擎（從 ScreenOS5.3 開始內(nèi)嵌 Kaspersky 的防病毒引擎）可以針對 HTTP、FTP、POP3、IMAP 以及 SMTP 等協(xié)議進行工作。

1.1 Scan Manager的設(shè)置

“Pattern Update Server”項中的 URL 地址為 Juniper 防火墻病毒特征庫的官方下載網(wǎng)址（當系統(tǒng)激活了防病毒功能后，該網(wǎng)址會自動出現(xiàn)）。

“Auto Pattern Update”項允許防火墻自動更新病毒特征庫；后面的“Interval”項可以指定自動更新的頻率。

“Update Now”項可以執(zhí)行手動的病毒特征庫升級。

“Drop/Bypass file if its size exceeds KB”項用來控制可掃表/傳輸?shù)奈募笮??！癉rop”項會在超過限額后，扔掉文件而不做掃描；“Bypass”項則會放行文件而不做掃描。

“Drop//Bypass file if the number of concurrent files exceeds files”項用控制同時掃描/傳輸?shù)奈募?shù)量。“Drop”項會在超過限額后，扔掉文件而不做掃描；“Bypass”項則會放行文件而不做掃描。

1.2 Profile 的設(shè)置

通過設(shè)置不同的 Profile，我們可以對不同的安全策略（Policy）采用不同的防病毒操作（Juniper 防火墻的防病毒引用是基于安全策略的；也就是說我們的防病毒設(shè)置是通過在特定的策略中引入特定的 Profile 來實現(xiàn)的。），進而實現(xiàn)高粒度化地防病毒控制，將防病毒對系統(tǒng)資源的消耗降到最低。

ns-profile 是系統(tǒng)自帶的profile。用戶不需要做任何設(shè)置，就可以在安全策略里直接引用它。除此之外，用戶可以根據(jù)自己的需求來設(shè)置適合自身需求的profile。Profile 方面的設(shè)置包括對FTP、HTTP、IMAP、POP3 以及 SMTP 等 5 個協(xié)議的內(nèi)容，見下圖。

Enable 選項

每個特定的協(xié)議類型，都有一個 Enable 選項。選擇之，則防病毒引擎會檢查與這個協(xié)議相關(guān)的流量；反之，則不會檢查。

Scan Mode 的設(shè)置

Scan Mode 有三個選擇項：Scan All、Scan Intelligent 、Scan By Extension。

Scan All：對于流量，檢查所有已知的特征碼。

Scan Intelligent：對于流量，檢查比較常見的特征碼。

Scan By Ex tension：僅針對特定的文件擴展名類型進行檢查。如果選擇該類型，則須要事先設(shè)定好 Ext-List（設(shè)置文件擴展名的類型）與 Include/Exclude Extension List。

Decompress Lay er 的設(shè)置

為了減少傳輸?shù)臅r間，很多文件在傳輸過程中都會被壓縮。Decompress Layer 就是用來設(shè)置防病毒引擎掃描壓縮文件的層數(shù)。防病毒引擎最多可以支持對 4 層壓縮文件的掃描。

Skipmime Enable 的設(shè)置

對于 HTTP 協(xié)議，可以進行 Skipmime Enable 的設(shè)置。打開該功能，則防病毒引擎不掃描Mime List 中包括的文件類型（系統(tǒng)默認打開該功能，并匹配默認的 Mime List：ns-skip-mime-list）。

Email Notify 的設(shè)置

對于 IMAP、POP3、SMTP 等 email 協(xié)議，可以記性 Email Nortify 的設(shè)置。打開該功能，可以在發(fā)現(xiàn)病毒/異常后，發(fā)送email 來通知用戶（病毒發(fā)送者/郵件發(fā)送方/郵件接收方）。

1.3 防病毒 profile 在安全策略中的引用

我們前面已經(jīng)提到過，防病毒的實現(xiàn)是通過在特定安全策略中應(yīng)用profile 來實現(xiàn)的。比如，我們在名為 ftp-scan 的策略中引用 av1 的防病毒 profile。

① 首先建立了名為av1的profile，并enable FTP協(xié)議的掃描；由于我僅希望檢測的是FTP應(yīng)用，故關(guān)閉對其他協(xié)議的掃描。見下圖：

② 設(shè)置 ftp-scan 安全策略，并引用profile av1。

③ 引用了 profile 進行病毒掃描的策略，在 action 欄會有相應(yīng)的圖標出現(xiàn)。

2、防垃圾郵件功能的設(shè)置

Juniper 防火墻內(nèi)嵌的防垃圾郵件引擎，可以幫助企業(yè)用戶來減輕收到垃圾郵件的困擾。

Juniper 的防垃圾郵件功能主要是通過公共防垃圾郵件服務(wù)器來實現(xiàn)的。公共的防垃圾郵件服務(wù)器會實時地更新防垃圾郵件的庫，做到最大范圍、最小誤判的防垃圾功能。到ScreenOS5.4 為止，juniper 的防垃圾郵件引擎只支持 SMTP 協(xié)議。

Juniper 防垃圾郵件通過兩種方式來檢測垃圾郵件：1.通過公共防垃圾郵件服務(wù)器的 whitelist（可信任名單）與 black list（不可信任名單）。

2.1 Action 設(shè)置

SBL Defau lt Enable 項選中后，防火墻使用公共防垃圾服務(wù)器來判別垃圾郵件。默認為打開。

Actions 項用來指定對垃圾郵件的處理方法：

Tag on Su bject（在郵件標題欄標注信息，指明該郵件為垃圾郵件；不丟棄郵件）；

Tag on Header（在郵件內(nèi)容的頭部標注信息，指明該郵件為垃圾郵件；不丟棄郵件）；

Drop（直接丟棄查找到的垃圾郵件）

2.2 White List 與 Black List 的設(shè)置

通過防火墻自定義 white list 和 black list。比如在 White List > White List Content 欄輸入www.sina.com.cn，則防火墻在檢查到與這個網(wǎng)址相關(guān)的郵件，都會認為是可信任郵件，直接放行。

比如在Black List >Black List Content欄輸入www.baidu.com，則防火墻在檢測到這個網(wǎng)址有關(guān)的郵件時，都會判定為垃圾郵件。

2.3 防垃圾郵件功能的引用

最后，我們只要在安全策略里面引用防垃圾郵件功能，就可以對郵件進行檢測了。Antispamenable 項只要勾選，就開啟了防垃圾郵件功能，如下圖所示。

3、WEB/URL 過濾功能的設(shè)置

Juniper 可通過兩種方式來提供URL 過濾功能。一種是通過轉(zhuǎn)發(fā)流量給外部的URL 過濾服務(wù)器來實現(xiàn) （支持Su rfControl 和Websense 兩個產(chǎn)品） ； 一種是通過內(nèi)置的Su rfControl URL過濾引擎來提供URL 過濾。

3.1 轉(zhuǎn)發(fā)URL 過濾請求到外置URL 過濾服務(wù)器

如果采用第一種方式的話，首先防火墻必須能夠訪問到本地的提供URL 過濾的服務(wù)器（Su rfControl 或者Websense） 。然后通過以下項的設(shè)置來完成該功能的啟用。

① 在Web Filtering > Protocol Selection 條目下，選擇需要Redirect 按鈕（Su rfControl或者Websense） 。

② 打開 Web Filtering 選項的 Websense/Su rfControl 的條目：

Enable Web Filtering 項設(shè)置為勾選，則 Web Filtering 功能打開。

Source Interface 項用來選擇與URL 過濾服務(wù)器相連的接口（如果不選，則采用Defau lt） 。

Server Name 項填入URL 過濾服務(wù)器的地址。

Server Port 項填入與服務(wù)器端口通訊的端口（默認為15868） 。

If connectivity to the server is lost，Block/Permit all HTTP requests項用來決定

如果與服務(wù)器連接丟失以后，防火墻采取什么措施。選擇Block 項，則與服務(wù)器失去聯(lián)系后，阻斷所有HTTP 請求；選擇Permit 項，則放行所有HTTP 請求。

3.2 使用內(nèi)置的URL 過濾引擎進行URL 過濾

如果使用Juniper 防火墻自帶的Su rfControl 引擎來過濾URL，可以通過以下操作來完成。

① 在 Web Filtering > Protocol Selection 條目下，選擇需要 Integrated 按鈕（Su rfControl 或者 Websense） 。

② 打開 Web Filtering 選項的SC-CPA 的條目：

Enable Web Filtering via CPA Server 項勾選。

Server Name 項選擇地區(qū)（比如我們處于亞洲，則選擇Asia Pacific） 。

Host 項會根據(jù)Server Name 自動填充域名（比如前面選擇了Asia Pacific，則會出現(xiàn)Asiai.SurfCPA.com） 。

Port 項與服務(wù)器端口通訊的端口（默認為9020） 。

If connectivity to the server is lost，Block/Permit all HTTP requests項用來決定

如果與服務(wù)器連接丟失以后，防火墻采取什么措施。選擇Block 項，則與服務(wù)器失去聯(lián)系后，阻斷所有HTTP 請求；選擇Permit 項，則放行所有HTTP 請求。

3.3 手動添加過濾項

下面以實例的方式來講解手動添加過濾項的操作過程。我們假設(shè)要禁止訪問www.sina.com的訪問。

① 首先，我們建立一個自己的過濾組（category） ，名字為news。在 Screening > WEBFiltering > Categories > Custom > Edit 下：

② 其次，我們建議一個新的 Profile，取名叫 ju stfortest：Screening > WEB Filtering >Profiles > Cu stom > Edit

Black List 項中可以選擇預(yù)定義或者自定義的過濾組（category） 。進入Black List 的組的網(wǎng)址將無條件禁止訪問。

White List 項中可以選擇預(yù)定義或者自定義的過濾組（category） 。進入White List 的組的網(wǎng)址將無條件允許訪問。

Default Action 項可以選擇Permit 或者Deny。選擇Permit，則沒有匹配Black List/White List/手動設(shè)定過濾項的網(wǎng)址，將被允許訪問；Deny則反之。

Subscribers identified by項

Category Name 可選擇我們想要過濾的組別（在例子中，我們選取之前建立的news）

Action 可選擇permit 或者block（在本例中，我們選取block）

③ 最后，我們在安全策略中引用URL 過濾。

“

注： 我們建立一條策略， 然后在WEB Filtering項選擇我們剛才建立的profile “justfortest”。策略建立完以后，會在Options 欄出現(xiàn) WWW 的圖標。

”

安全策略生效后，我們就無法訪問新浪網(wǎng)站了，我們將看到Y(jié)our page is blocked due to a security policy that prohibits access to category。如下圖：

4、深層檢測功能的設(shè)置

Juniper 防火墻可以通過license 激活的方式來實現(xiàn)軟件級別的入侵檢測防御功能，即深層檢測功能（DI） 。深層檢測可以從L3、L4 以及L7 等多個層面進行惡意流量的檢測及防護。

當我們將訂購的DI 許可導(dǎo)入防火墻以后，DI 功能就開啟了。然后我們通過一些簡單的設(shè)置，就可以用DI 來檢測和防御網(wǎng)絡(luò)惡意行為了。Juniper 深層檢測模塊目前支持的檢測類型包括： （截止OS5.4）

AIM (AOL Instant Messenger)

DHCP (Dynamic Host Configuration Protocol)

DNS (Domain Name System)

FTP (File Transfer Protocol)

GNUTELLA (File Sharing Network Protocol)

GOPHER (Gopher Protocol)

HTTP (Hypertext Transfer Protocol)

ICMP (Internet Control Message Protocol)

IDENT (Identification Protocol)

IKE (Internet Key Exchange)

IMAP (Internet Message Access Protocol)

IRC (Internet Relay Chat Protocol)

LDAP (Lightweight Directory Access Protocol)

LPR (Line Printer)

MSN (Microsoft Messenger)

MSRPC (Microsoft Remote Procedure Call)

NBNAME (NetBIOS Name Service)

NFS (Network File Service)

NTP (Network Time Protocol)

POP3 (Post Office Protocol)

RADIUS (Remote Authentication Dial In User Service)

SMB (Server Message Block)

SMTP (Simple Mail Transfer Protocol)

SYSLOG (System Log)

TELNET (Terminal Emulation Protocol)

TFTP (Trivial File Transfer Protocol)

VNC (Virtual Network Computing, or Remote Frame Buffer Protocol)

WHOIS (Remote Directory Access Protocol)

YMSG (Yahoo Messenger)

除此之外，我們還可以通過手動的方式來自定義攻擊類型（使用Juniper IDP 設(shè)備來編寫的話，會相對簡便） 。

4.1 設(shè)置DI攻擊特征庫自動更新

隨著已知攻擊的數(shù)目的日益增加，攻擊特征庫也在不斷地擴大著。我們可以通過設(shè)置自動更新的辦法來讓防火墻自動下載最新的攻擊特征庫。

我們可以通過Update 的Attack Signature 下設(shè)置攻擊特征庫的自動更新。

Signature Pack 項可以選擇Base（一般情況下的攻擊特征碼集合） 、Client（主要針對降低客戶端上網(wǎng)風(fēng)險的攻擊特征碼集合） 、Server （主要針對保護服務(wù)器端的攻擊特征碼集合） 、Worm Mitigation（主要針對蠕蟲的攻擊特征碼集合）四種類型。

Database Server URL 項填寫著提供攻擊特征庫更新的服務(wù)器域名（系統(tǒng)會自動填充，一般不用自己填寫） 。

Update Mode 項可以選擇None（不自動更新） 、Automatic Notification（有新的更新則發(fā)出通知） 、Automatic Update（自動更新） 。

Schedule at 項可以選擇At （更新的時間） 、Daily（每日更新） 、Weekly On （星期幾更新） 、Monthly On （幾月份更新） 。

Update Now 項可以手動更新攻擊特征庫。

4.2 深層檢測（DI）的引用

跟前面所講的其他功能一樣，我們同樣是在安全策略中引用DI 功能。

建立一條策略，然后點擊在Action 項旁邊的Deep Inspection 項，彈出配置框，如下圖。

Severity項可以選擇要防范的攻擊的強度（從Critical 到Info） ；

Group 項用來選擇攻擊的具體組別（按照攻擊的具體對象、協(xié)議、嚴重程度來分） ；

Action 項用來選擇檢測到攻擊后的處理方法：None、Ignore、Drop Packet、Drop、Close

Client、Close Server、Close。

選擇完以上項后則可以按ADD 按鈕添加到下面的攻擊防護表中去。

完成了DI 功能設(shè)置的安全策略的Action 欄會變成一個放大鏡的圖標，如上圖。

審核編輯：湯梓紅