Juniper 中低端防火墻（目前主要以 SSG 系列防火墻為參考）支持非常廣泛的攻擊防護(hù)及內(nèi)容安全功能，主要包括：防病毒（Anti-Virus）、防垃圾郵件（Anti-Spam）、URL 過濾（URLfiltering）以及深層檢測(cè)/入侵防御（Deep Inspection/IPS）。

“注：上述的安全/防護(hù)功能集成在防火墻的 ScreenOS 操作系統(tǒng)中，但是必須通過 license（許可）激活后方可使用（并會(huì)在激活一段時(shí)間（通常是 1 年）后過期）。當(dāng)然在使用這些功能的時(shí)候，我們還需要設(shè)定好防火墻的時(shí)鐘以及 DNS服務(wù)器地址。”

當(dāng)防火墻激活了相應(yīng)的安全/防護(hù)功能以后，通過 WebUI 可以發(fā)現(xiàn)，Screening 條目下會(huì)增加相應(yīng)的功能條目，如下圖：

一、防病毒功能的設(shè)置

Juniper 防火墻的防病毒引擎（從 ScreenOS5.3 開始內(nèi)嵌 Kaspersky 的防病毒引擎）可以針對(duì) HTTP、FTP、POP3、IMAP 以及 SMTP 等協(xié)議進(jìn)行工作。

1.1 Scan Manager的設(shè)置

“Pattern Update Server”項(xiàng)中的 URL 地址為 Juniper 防火墻病毒特征庫的官方下載網(wǎng)址（當(dāng)系統(tǒng)激活了防病毒功能后，該網(wǎng)址會(huì)自動(dòng)出現(xiàn)）。

“Auto Pattern Update”項(xiàng)允許防火墻自動(dòng)更新病毒特征庫；后面的“Interval”項(xiàng)可以指定自動(dòng)更新的頻率。

“Update Now”項(xiàng)可以執(zhí)行手動(dòng)的病毒特征庫升級(jí)。

“Drop/Bypass file if its size exceeds KB”項(xiàng)用來控制可掃表/傳輸?shù)奈募笮?。“Drop”項(xiàng)會(huì)在超過限額后，扔掉文件而不做掃描；“Bypass”項(xiàng)則會(huì)放行文件而不做掃描。

“Drop//Bypass file if the number of concurrent files exceeds files”項(xiàng)用控制同時(shí)掃描/傳輸?shù)奈募?shù)量。“Drop”項(xiàng)會(huì)在超過限額后，扔掉文件而不做掃描；“Bypass”項(xiàng)則會(huì)放行文件而不做掃描。

1.2 Profile 的設(shè)置

通過設(shè)置不同的 Profile，我們可以對(duì)不同的安全策略（Policy）采用不同的防病毒操作（Juniper 防火墻的防病毒引用是基于安全策略的；也就是說我們的防病毒設(shè)置是通過在特定的策略中引入特定的 Profile 來實(shí)現(xiàn)的。），進(jìn)而實(shí)現(xiàn)高粒度化地防病毒控制，將防病毒對(duì)系統(tǒng)資源的消耗降到最低。

ns-profile 是系統(tǒng)自帶的profile。用戶不需要做任何設(shè)置，就可以在安全策略里直接引用它。除此之外，用戶可以根據(jù)自己的需求來設(shè)置適合自身需求的profile。Profile 方面的設(shè)置包括對(duì)FTP、HTTP、IMAP、POP3 以及 SMTP 等 5 個(gè)協(xié)議的內(nèi)容，見下圖。

Enable 選項(xiàng)

每個(gè)特定的協(xié)議類型，都有一個(gè) Enable 選項(xiàng)。選擇之，則防病毒引擎會(huì)檢查與這個(gè)協(xié)議相關(guān)的流量；反之，則不會(huì)檢查。

Scan Mode 的設(shè)置

Scan Mode 有三個(gè)選擇項(xiàng)：Scan All、Scan Intelligent 、Scan By Extension。

Scan All：對(duì)于流量，檢查所有已知的特征碼。

Scan Intelligent：對(duì)于流量，檢查比較常見的特征碼。

Scan By Ex tension：僅針對(duì)特定的文件擴(kuò)展名類型進(jìn)行檢查。如果選擇該類型，則須要事先設(shè)定好 Ext-List（設(shè)置文件擴(kuò)展名的類型）與 Include/Exclude Extension List。

Decompress Lay er 的設(shè)置

為了減少傳輸?shù)臅r(shí)間，很多文件在傳輸過程中都會(huì)被壓縮。Decompress Layer 就是用來設(shè)置防病毒引擎掃描壓縮文件的層數(shù)。防病毒引擎最多可以支持對(duì) 4 層壓縮文件的掃描。

Skipmime Enable 的設(shè)置

對(duì)于 HTTP 協(xié)議，可以進(jìn)行 Skipmime Enable 的設(shè)置。打開該功能，則防病毒引擎不掃描Mime List 中包括的文件類型（系統(tǒng)默認(rèn)打開該功能，并匹配默認(rèn)的 Mime List：ns-skip-mime-list）。

Email Notify 的設(shè)置

對(duì)于 IMAP、POP3、SMTP 等 email 協(xié)議，可以記性 Email Nortify 的設(shè)置。打開該功能，可以在發(fā)現(xiàn)病毒/異常后，發(fā)送email 來通知用戶（病毒發(fā)送者/郵件發(fā)送方/郵件接收方）。

1.3 防病毒 profile 在安全策略中的引用

我們前面已經(jīng)提到過，防病毒的實(shí)現(xiàn)是通過在特定安全策略中應(yīng)用profile 來實(shí)現(xiàn)的。比如，我們?cè)诿麨?ftp-scan 的策略中引用 av1 的防病毒 profile。

① 首先建立了名為av1的profile，并enable FTP協(xié)議的掃描；由于我僅希望檢測(cè)的是FTP應(yīng)用，故關(guān)閉對(duì)其他協(xié)議的掃描。見下圖：

② 設(shè)置 ftp-scan 安全策略，并引用profile av1。

③ 引用了 profile 進(jìn)行病毒掃描的策略，在 action 欄會(huì)有相應(yīng)的圖標(biāo)出現(xiàn)。

2、防垃圾郵件功能的設(shè)置

Juniper 防火墻內(nèi)嵌的防垃圾郵件引擎，可以幫助企業(yè)用戶來減輕收到垃圾郵件的困擾。

Juniper 的防垃圾郵件功能主要是通過公共防垃圾郵件服務(wù)器來實(shí)現(xiàn)的。公共的防垃圾郵件服務(wù)器會(huì)實(shí)時(shí)地更新防垃圾郵件的庫，做到最大范圍、最小誤判的防垃圾功能。到ScreenOS5.4 為止，juniper 的防垃圾郵件引擎只支持 SMTP 協(xié)議。

Juniper 防垃圾郵件通過兩種方式來檢測(cè)垃圾郵件：1.通過公共防垃圾郵件服務(wù)器的 whitelist（可信任名單）與 black list（不可信任名單）。

2.1 Action 設(shè)置

SBL Defau lt Enable 項(xiàng)選中后，防火墻使用公共防垃圾服務(wù)器來判別垃圾郵件。默認(rèn)為打開。

Actions 項(xiàng)用來指定對(duì)垃圾郵件的處理方法：

Tag on Su bject（在郵件標(biāo)題欄標(biāo)注信息，指明該郵件為垃圾郵件；不丟棄郵件）；

Tag on Header（在郵件內(nèi)容的頭部標(biāo)注信息，指明該郵件為垃圾郵件；不丟棄郵件）；

Drop（直接丟棄查找到的垃圾郵件）

2.2 White List 與 Black List 的設(shè)置

通過防火墻自定義 white list 和 black list。比如在 White List > White List Content 欄輸入www.sina.com.cn，則防火墻在檢查到與這個(gè)網(wǎng)址相關(guān)的郵件，都會(huì)認(rèn)為是可信任郵件，直接放行。

比如在Black List >Black List Content欄輸入www.baidu.com，則防火墻在檢測(cè)到這個(gè)網(wǎng)址有關(guān)的郵件時(shí)，都會(huì)判定為垃圾郵件。

2.3 防垃圾郵件功能的引用

最后，我們只要在安全策略里面引用防垃圾郵件功能，就可以對(duì)郵件進(jìn)行檢測(cè)了。Antispamenable 項(xiàng)只要勾選，就開啟了防垃圾郵件功能，如下圖所示。

3、WEB/URL 過濾功能的設(shè)置

Juniper 可通過兩種方式來提供URL 過濾功能。一種是通過轉(zhuǎn)發(fā)流量給外部的URL 過濾服務(wù)器來實(shí)現(xiàn) （支持Su rfControl 和Websense 兩個(gè)產(chǎn)品） ； 一種是通過內(nèi)置的Su rfControl URL過濾引擎來提供URL 過濾。

3.1 轉(zhuǎn)發(fā)URL 過濾請(qǐng)求到外置URL 過濾服務(wù)器

如果采用第一種方式的話，首先防火墻必須能夠訪問到本地的提供URL 過濾的服務(wù)器（Su rfControl 或者Websense） 。然后通過以下項(xiàng)的設(shè)置來完成該功能的啟用。

① 在Web Filtering > Protocol Selection 條目下，選擇需要Redirect 按鈕（Su rfControl或者Websense） 。

② 打開 Web Filtering 選項(xiàng)的 Websense/Su rfControl 的條目：

Enable Web Filtering 項(xiàng)設(shè)置為勾選，則 Web Filtering 功能打開。

Source Interface 項(xiàng)用來選擇與URL 過濾服務(wù)器相連的接口（如果不選，則采用Defau lt） 。

Server Name 項(xiàng)填入U(xiǎn)RL 過濾服務(wù)器的地址。

Server Port 項(xiàng)填入與服務(wù)器端口通訊的端口（默認(rèn)為15868） 。

If connectivity to the server is lost，Block/Permit all HTTP requests項(xiàng)用來決定

如果與服務(wù)器連接丟失以后，防火墻采取什么措施。選擇Block 項(xiàng)，則與服務(wù)器失去聯(lián)系后，阻斷所有HTTP 請(qǐng)求；選擇Permit 項(xiàng)，則放行所有HTTP 請(qǐng)求。

3.2 使用內(nèi)置的URL 過濾引擎進(jìn)行URL 過濾

如果使用Juniper 防火墻自帶的Su rfControl 引擎來過濾URL，可以通過以下操作來完成。

① 在 Web Filtering > Protocol Selection 條目下，選擇需要 Integrated 按鈕（Su rfControl 或者 Websense） 。

② 打開 Web Filtering 選項(xiàng)的SC-CPA 的條目：

Enable Web Filtering via CPA Server 項(xiàng)勾選。

Server Name 項(xiàng)選擇地區(qū)（比如我們處于亞洲，則選擇Asia Pacific） 。

Host 項(xiàng)會(huì)根據(jù)Server Name 自動(dòng)填充域名（比如前面選擇了Asia Pacific，則會(huì)出現(xiàn)Asiai.SurfCPA.com） 。

Port 項(xiàng)與服務(wù)器端口通訊的端口（默認(rèn)為9020） 。

If connectivity to the server is lost，Block/Permit all HTTP requests項(xiàng)用來決定

如果與服務(wù)器連接丟失以后，防火墻采取什么措施。選擇Block 項(xiàng)，則與服務(wù)器失去聯(lián)系后，阻斷所有HTTP 請(qǐng)求；選擇Permit 項(xiàng)，則放行所有HTTP 請(qǐng)求。

3.3 手動(dòng)添加過濾項(xiàng)

下面以實(shí)例的方式來講解手動(dòng)添加過濾項(xiàng)的操作過程。我們假設(shè)要禁止訪問www.sina.com的訪問。

① 首先，我們建立一個(gè)自己的過濾組（category） ，名字為news。在 Screening > WEBFiltering > Categories > Custom > Edit 下：

② 其次，我們建議一個(gè)新的 Profile，取名叫 ju stfortest：Screening > WEB Filtering >Profiles > Cu stom > Edit

Black List 項(xiàng)中可以選擇預(yù)定義或者自定義的過濾組（category） 。進(jìn)入Black List 的組的網(wǎng)址將無條件禁止訪問。

White List 項(xiàng)中可以選擇預(yù)定義或者自定義的過濾組（category） 。進(jìn)入White List 的組的網(wǎng)址將無條件允許訪問。

Default Action 項(xiàng)可以選擇Permit 或者Deny。選擇Permit，則沒有匹配Black List/White List/手動(dòng)設(shè)定過濾項(xiàng)的網(wǎng)址，將被允許訪問；Deny則反之。

Subscribers identified by項(xiàng)

Category Name 可選擇我們想要過濾的組別（在例子中，我們選取之前建立的news）

Action 可選擇permit 或者block（在本例中，我們選取block）

③ 最后，我們?cè)诎踩呗灾幸肬RL 過濾。

“

注： 我們建立一條策略， 然后在WEB Filtering項(xiàng)選擇我們剛才建立的profile “justfortest”。策略建立完以后，會(huì)在Options 欄出現(xiàn) WWW 的圖標(biāo)。

”

安全策略生效后，我們就無法訪問新浪網(wǎng)站了，我們將看到Y(jié)our page is blocked due to a security policy that prohibits access to category。如下圖：

4、深層檢測(cè)功能的設(shè)置

Juniper 防火墻可以通過license 激活的方式來實(shí)現(xiàn)軟件級(jí)別的入侵檢測(cè)防御功能，即深層檢測(cè)功能（DI） 。深層檢測(cè)可以從L3、L4 以及L7 等多個(gè)層面進(jìn)行惡意流量的檢測(cè)及防護(hù)。

當(dāng)我們將訂購的DI 許可導(dǎo)入防火墻以后，DI 功能就開啟了。然后我們通過一些簡(jiǎn)單的設(shè)置，就可以用DI 來檢測(cè)和防御網(wǎng)絡(luò)惡意行為了。Juniper 深層檢測(cè)模塊目前支持的檢測(cè)類型包括： （截止OS5.4）

AIM (AOL Instant Messenger)

DHCP (Dynamic Host Configuration Protocol)

DNS (Domain Name System)

FTP (File Transfer Protocol)

GNUTELLA (File Sharing Network Protocol)

GOPHER (Gopher Protocol)

HTTP (Hypertext Transfer Protocol)

ICMP (Internet Control Message Protocol)

IDENT (Identification Protocol)

IKE (Internet Key Exchange)

IMAP (Internet Message Access Protocol)

IRC (Internet Relay Chat Protocol)

LDAP (Lightweight Directory Access Protocol)

LPR (Line Printer)

MSN (Microsoft Messenger)

MSRPC (Microsoft Remote Procedure Call)

NBNAME (NetBIOS Name Service)

NFS (Network File Service)

NTP (Network Time Protocol)

POP3 (Post Office Protocol)

RADIUS (Remote Authentication Dial In User Service)

SMB (Server Message Block)

SMTP (Simple Mail Transfer Protocol)

SYSLOG (System Log)

TELNET (Terminal Emulation Protocol)

TFTP (Trivial File Transfer Protocol)

VNC (Virtual Network Computing, or Remote Frame Buffer Protocol)

WHOIS (Remote Directory Access Protocol)

YMSG (Yahoo Messenger)

除此之外，我們還可以通過手動(dòng)的方式來自定義攻擊類型（使用Juniper IDP 設(shè)備來編寫的話，會(huì)相對(duì)簡(jiǎn)便） 。

4.1 設(shè)置DI攻擊特征庫自動(dòng)更新

隨著已知攻擊的數(shù)目的日益增加，攻擊特征庫也在不斷地?cái)U(kuò)大著。我們可以通過設(shè)置自動(dòng)更新的辦法來讓防火墻自動(dòng)下載最新的攻擊特征庫。

我們可以通過Update 的Attack Signature 下設(shè)置攻擊特征庫的自動(dòng)更新。

Signature Pack 項(xiàng)可以選擇Base（一般情況下的攻擊特征碼集合） 、Client（主要針對(duì)降低客戶端上網(wǎng)風(fēng)險(xiǎn)的攻擊特征碼集合） 、Server （主要針對(duì)保護(hù)服務(wù)器端的攻擊特征碼集合） 、Worm Mitigation（主要針對(duì)蠕蟲的攻擊特征碼集合）四種類型。

Database Server URL 項(xiàng)填寫著提供攻擊特征庫更新的服務(wù)器域名（系統(tǒng)會(huì)自動(dòng)填充，一般不用自己填寫） 。

Update Mode 項(xiàng)可以選擇None（不自動(dòng)更新） 、Automatic Notification（有新的更新則發(fā)出通知） 、Automatic Update（自動(dòng)更新） 。

Schedule at 項(xiàng)可以選擇At （更新的時(shí)間） 、Daily（每日更新） 、Weekly On （星期幾更新） 、Monthly On （幾月份更新） 。

Update Now 項(xiàng)可以手動(dòng)更新攻擊特征庫。

4.2 深層檢測(cè)（DI）的引用

跟前面所講的其他功能一樣，我們同樣是在安全策略中引用DI 功能。

建立一條策略，然后點(diǎn)擊在Action 項(xiàng)旁邊的Deep Inspection 項(xiàng)，彈出配置框，如下圖。

Severity項(xiàng)可以選擇要防范的攻擊的強(qiáng)度（從Critical 到Info） ；

Group 項(xiàng)用來選擇攻擊的具體組別（按照攻擊的具體對(duì)象、協(xié)議、嚴(yán)重程度來分） ；

Action 項(xiàng)用來選擇檢測(cè)到攻擊后的處理方法：None、Ignore、Drop Packet、Drop、Close

Client、Close Server、Close。

選擇完以上項(xiàng)后則可以按ADD 按鈕添加到下面的攻擊防護(hù)表中去。

完成了DI 功能設(shè)置的安全策略的Action 欄會(huì)變成一個(gè)放大鏡的圖標(biāo)，如上圖。

審核編輯：湯梓紅