防火牆的最重要的功能是阻擋網絡***,網絡***的種類五花八門,防火牆能做到哪些網絡防範是防火牆性能的一個重要指標。
Juniper的防火牆可以阻擋大多數的網絡***行爲,配置上也非常簡單,下面就做一些簡單介紹。
在“Security > Screening > Screen”界面
如上圖所示,screen的功能設置可以根據不同德zone選擇不同德配置,這是trust藉口的截圖,由於內網默認是安全區域,因此各項防***功能都沒有開啓。
接下來看看Untrust區域的配置,Untrust接口連接了公共網絡,是認爲不安全的區域,因此係統會開啓一些默認的防***功能。
通過上面的兩個截圖可以看到,Juniper防火牆的防***功能還是比較全面的。不過全是鳥語的,下面做一些簡單介紹
Generate Alarms without Dropping Packet 警報但不丟棄數據包, 這個選項一半建議不要選擇,Juniper防火牆默認是將攔截到的數據包直接丟棄的
Apply Screen to Tunnel 防***功能同時應用於×××的tunnel
Flood Defense 洪水***防禦,包括下面3種flood***:
ICMP Flood Protection
UDP Flood Protection
SYN Flood Protection
Block HTTP Components 阻擋HTTP內容
Block Java Component
Block ActiveX Component
Block ZIP Component
Block EXE Component
MS-Windows Defense
WinNuke Attack Protection
Scan/Spoof/Sweep Defense
IP Address Spoof Protection
IP Address Sweep Protection
Port Scan Protection
Denial of Service Defense DoS***防護
Ping of Death Attack Protection
Teardrop Attack Protection
ICMP Fragment Protection
ICMP Ping ID Zero Protection
Large Size ICMP Packet (Size > 1024) Protection
Block Fragment Traffic
Land Attack Protection
SYN-ACK-ACK Proxy Protection
Source IP Based Session Limit
Destination IP Based Session Limit
Protocol Anomaly Reports -- IP Option Anomalies
Bad IP Option Protection
IP Timestamp Option Detection
IP Security Option Detection
IP Stream Option Detection
IP Record Route Option Detection
IP Loose Source Route Option Detection
IP Strict Source Route Option Detection
IP Source Route Option Filter
Protocol Anomaly Reports -- TCP/IP Anomalies
SYN Fragment Protection
TCP Packet Without Flag Protection
SYN and FIN Bits Set Protection
FIN Bit With No ACK Bit in Flags Protection
Unknown Protocol Protection
內容比較多,如果需要了解各項功能的具體情況可以通過搜索引擎搜索一下,都會有比較詳細的介紹。
通過簡單的複選項Juniper防火牆可以實現上面列出的一些防***功能,功能方面還是比較全面的,如果用戶有更高的需求可以考慮購買深層防禦檢測(DI)的授權。當然,並不是所有的功能都需要開啓的,開啓功能的增多自然也會增加防火牆的負載。
另外在日誌頁面可以查看到防火牆攔截的***記錄。