Juniper防火墙新手教程16Juniper防火墙的网络防攻击设置

 防火墙的最重要的功能是阻挡网络攻击，网络攻击的种类五花八门，防火墙能做到哪些网络防范是防火墙性能的一个重要指标。Juniper的防火墙可以阻挡大多数的网络攻击行为，配置上也非常简单，下面就做一些简单介绍。在“Security > Screening > Screen”界面如上图所示，screen的功能设置可以根据不同德zone选择不同德配置，这是trust借口的截图，由于内网默认是安全区域，因此各项防攻击功能都没有开启。接下来看看Untrust区域的配置，Untrust接口连接了公共网络，是认为不安全的区域，因此系统会开启一些默认的防攻击功能。通过上面的两个截图可以看到，Juniper防火墙的防攻击功能还是比较全面的。不过全是鸟语的，下面做一些简单介绍 Generate Alarms without Dropping Packet   警报但不丢弃数据包， 这个选项一半建议不要选择，Juniper防火墙默认是将拦截到的数据包直接丢弃的 Apply Screen to Tunnel   防攻击功能同时应用于VPN的tunnelFlood Defense  洪水攻击防御，包括下面3种flood攻击： ICMP Flood Protection    UDP Flood Protection  SYN Flood ProtectionBlock HTTP Components 阻挡HTTP内容 Block Java Component  Block ActiveX Component  Block ZIP Component  Block EXE Component   MS-Windows Defense  WinNuke Attack Protection   Scan/Spoof/Sweep Defense  IP Address Spoof Protection IP Address Sweep Protection  Port Scan Protection  Denial of Service Defense  DoS攻击防护 Ping of Death Attack Protection  Teardrop Attack Protection  ICMP Fragment Protection  ICMP Ping ID Zero Protection  Large Size ICMP Packet (Size > 1024) Protection  Block Fragment Traffic  Land Attack Protection  SYN-ACK-ACK Proxy Protection Source IP Based Session Limit Destination IP Based Session Limit  Protocol Anomaly Reports - IP Option Anomalies  Bad IP Option Protection  IP Timestamp Option Detection  IP Security Option Detection  IP Stream Option Detection  IP Record Route Option Detection  IP Loose Source Route Option Detection  IP Strict Source Route Option Detection  IP Source Route Option Filter   Protocol Anomaly Reports - TCP/IP Anomalies  SYN Fragment Protection  TCP Packet Without Flag Protection  SYN and FIN Bits Set Protection  FIN Bit With No ACK Bit in Flags Protection  Unknown Protocol Protection内容比较多，如果需要了解各项功能的具体情况可以通过搜索引擎搜索一下，都会有比较详细的介绍。通过简单的复选项Juniper防火墙可以实现上面列出的一些防攻击功能，功能方面还是比较全面的，如果用户有更高的需求可以考虑购买深层防御检测（DI）的授权。当然，并不是所有的功能都需要开启的，开启功能的增多自然也会增加防火墙的负载。另外在日志页面可以查看到防火墙拦截的攻击记录。