16Juniper防火墙的网络防攻击设置..docxVIP

防火墙的最重要的功能是阻挡网络攻击，网络攻击的种类五花八门，防火墙能做到哪些网络防范是防火墙性能的一个重要指标。 Juniper 的防火墙可以阻挡大多数的网络攻击行为，配置上也非常简单，下面就做一些简单介绍。 在“Security Screening Screen ”界面 如上图所示， screen 的功能设置可以根据不同德  zone  选择不同德配置，这是  trust  借口的截图，由于内网默 认是安全区域，因此各项防攻击功能都没有开启。 接下来看看 Untrust 区域的配置， Untrust 接口连接了公共网络，是认为不安全的区域，因此系统会开启一些默认的防攻击功能。 通过上面的两个截图可以看到， Juniper 防火墙的防攻击功能还是比较全面的。不过全是鸟语的，下面做一些简单介绍 Generate Alarms without Dropping Packet 警报但不丢弃数据包， 这个选项一半建议不要选择， Juniper 防火墙默认是将拦截到的数据包直接丢弃的 Apply Screen to Tunnel 防攻击功能同时应用于 VPN的 tunnel Flood Defense 洪 水攻击防 御 ， 包 括 下 面 3 种 flood 攻 击 ： ICMP Flood Protection UDP Flood Protection SYN Flood Protection Block HTTP Components 阻 挡 HTTP 内 容 Block Java Component Block ActiveX Component Block ZIP Component Block EXE Component MS-Windows WinNuke  Attack  Defense Protection Scan/Spoof/Sweep IP  Address  Spoof  Defense Protection IP  Address  Sweep  Protection Port  Scan  Protection Denial of Service Defense DoS 攻 击 防 护 Ping of Death Attack Protection Teardrop Attack Protection ICMP Fragment Protection ICMP Ping ID Zero Protection Large Size ICMP Packet (Size 1024 Protection Block Fragment Traffic Land Attack Protection SYN-ACK-ACK Proxy Protection Source IP Based Session Limit Destination IP Based Session Limit Protocol Anomaly Reports -- IP Option Anomalies Bad IP Option Protection IP Timestamp Option Detection IP Security Option Detection IP Stream Option Detection IP Record Route Option Detection IP Loose Source Route Option Detection IP Strict Source Route Option Detection IP Source Route Option Filter Protocol SYN TCP  Anomaly Packet  Reports Fragment Without  --  Flag  TCP/IP  Anomalies Protection Protection SYN  and  FIN  Bits  Set  Protection FIN  Bit  With  No  ACK  Bit  in  Flags  Protection Unknown Protocol Protection 内容比较多，如果需要了解各项功能的具体情况可以通过搜索引擎搜索一下，都会有比较详细的介绍。 通过简单的复选项 Juniper 防火墙可以实现上面列出的一些防攻击功能，功能方面还是比较全面的，如果用户 有更高的需求可以考虑购买深层防御检测（ DI ）的授权。当然，并不是所有的功能都需要开启的，开启功能的增多自然也会增加防火墙的负载。 另外在日志页面可以查看到防火墙拦截的攻击记录。