Juniper 中低端防火墻（目前主要以 SSG 系列防火墻為參考）支持非常廣泛的攻擊防護(hù)及內(nèi)容安全功能，主要包括：防病毒（Anti-Virus）、防垃圾郵件（Anti-Spam）、URL 過(guò)濾（URLfiltering）以及深層檢測(cè)/入侵防御（Deep Inspection/IPS）。

“注：上述的安全/防護(hù)功能集成在防火墻的 ScreenOS 操作系統(tǒng)中，但是必須通過(guò) license（許可）激活后方可使用（并會(huì)在激活一段時(shí)間（通常是 1 年）后過(guò)期）。當(dāng)然在使用這些功能的時(shí)候，我們還需要設(shè)定好防火墻的時(shí)鐘以及 DNS服務(wù)器地址。”

當(dāng)防火墻激活了相應(yīng)的安全/防護(hù)功能以后，通過(guò) WebUI 可以發(fā)現(xiàn)，Screening 條目下會(huì)增加相應(yīng)的功能條目，如下圖：

一、防病毒功能的設(shè)置

Juniper 防火墻的防病毒引擎（從 ScreenOS5.3 開(kāi)始內(nèi)嵌 Kaspersky 的防病毒引擎）可以針對(duì) HTTP、FTP、POP3、IMAP 以及 SMTP 等協(xié)議進(jìn)行工作。

1.1 Scan Manager的設(shè)置

“Pattern Update Server”項(xiàng)中的 URL 地址為 Juniper 防火墻病毒特征庫(kù)的官方下載網(wǎng)址（當(dāng)系統(tǒng)激活了防病毒功能后，該網(wǎng)址會(huì)自動(dòng)出現(xiàn)）。

“Auto Pattern Update”項(xiàng)允許防火墻自動(dòng)更新病毒特征庫(kù)；后面的“Interval”項(xiàng)可以指定自動(dòng)更新的頻率。

“Update Now”項(xiàng)可以執(zhí)行手動(dòng)的病毒特征庫(kù)升級(jí)。

“Drop/Bypass file if its size exceeds KB”項(xiàng)用來(lái)控制可掃表/傳輸?shù)奈募笮　！癉rop”項(xiàng)會(huì)在超過(guò)限額后，扔掉文件而不做掃描；“Bypass”項(xiàng)則會(huì)放行文件而不做掃描。

“Drop//Bypass file if the number of concurrent files exceeds files”項(xiàng)用控制同時(shí)掃描/傳輸?shù)奈募?shù)量。“Drop”項(xiàng)會(huì)在超過(guò)限額后，扔掉文件而不做掃描；“Bypass”項(xiàng)則會(huì)放行文件而不做掃描。

1.2 Profile 的設(shè)置

通過(guò)設(shè)置不同的 Profile，我們可以對(duì)不同的安全策略（Policy）采用不同的防病毒操作（Juniper 防火墻的防病毒引用是基于安全策略的；也就是說(shuō)我們的防病毒設(shè)置是通過(guò)在特定的策略中引入特定的 Profile 來(lái)實(shí)現(xiàn)的。），進(jìn)而實(shí)現(xiàn)高粒度化地防病毒控制，將防病毒對(duì)系統(tǒng)資源的消耗降到最低。

ns-profile 是系統(tǒng)自帶的profile。用戶不需要做任何設(shè)置，就可以在安全策略里直接引用它。除此之外，用戶可以根據(jù)自己的需求來(lái)設(shè)置適合自身需求的profile。Profile 方面的設(shè)置包括對(duì)FTP、HTTP、IMAP、POP3 以及 SMTP 等 5 個(gè)協(xié)議的內(nèi)容，見(jiàn)下圖。

Enable 選項(xiàng)

每個(gè)特定的協(xié)議類型，都有一個(gè) Enable 選項(xiàng)。選擇之，則防病毒引擎會(huì)檢查與這個(gè)協(xié)議相關(guān)的流量；反之，則不會(huì)檢查。

Scan Mode 的設(shè)置

Scan Mode 有三個(gè)選擇項(xiàng)：Scan All、Scan Intelligent 、Scan By Extension。

Scan All：對(duì)于流量，檢查所有已知的特征碼。

Scan Intelligent：對(duì)于流量，檢查比較常見(jiàn)的特征碼。

Scan By Ex tension：僅針對(duì)特定的文件擴(kuò)展名類型進(jìn)行檢查。如果選擇該類型，則須要事先設(shè)定好 Ext-List（設(shè)置文件擴(kuò)展名的類型）與 Include/Exclude Extension List。

Decompress Lay er 的設(shè)置

為了減少傳輸?shù)臅r(shí)間，很多文件在傳輸過(guò)程中都會(huì)被壓縮。Decompress Layer 就是用來(lái)設(shè)置防病毒引擎掃描壓縮文件的層數(shù)。防病毒引擎最多可以支持對(duì) 4 層壓縮文件的掃描。

Skipmime Enable 的設(shè)置

對(duì)于 HTTP 協(xié)議，可以進(jìn)行 Skipmime Enable 的設(shè)置。打開(kāi)該功能，則防病毒引擎不掃描Mime List 中包括的文件類型（系統(tǒng)默認(rèn)打開(kāi)該功能，并匹配默認(rèn)的 Mime List：ns-skip-mime-list）。

Email Notify 的設(shè)置

對(duì)于 IMAP、POP3、SMTP 等 email 協(xié)議，可以記性 Email Nortify 的設(shè)置。打開(kāi)該功能，可以在發(fā)現(xiàn)病毒/異常后，發(fā)送email 來(lái)通知用戶（病毒發(fā)送者/郵件發(fā)送方/郵件接收方）。

1.3 防病毒 profile 在安全策略中的引用

我們前面已經(jīng)提到過(guò)，防病毒的實(shí)現(xiàn)是通過(guò)在特定安全策略中應(yīng)用profile 來(lái)實(shí)現(xiàn)的。比如，我們?cè)诿麨?ftp-scan 的策略中引用 av1 的防病毒 profile。

① 首先建立了名為av1的profile，并enable FTP協(xié)議的掃描；由于我僅希望檢測(cè)的是FTP應(yīng)用，故關(guān)閉對(duì)其他協(xié)議的掃描。見(jiàn)下圖：

② 設(shè)置 ftp-scan 安全策略，并引用profile av1。

③ 引用了 profile 進(jìn)行病毒掃描的策略，在 action 欄會(huì)有相應(yīng)的圖標(biāo)出現(xiàn)。

2、防垃圾郵件功能的設(shè)置

Juniper 防火墻內(nèi)嵌的防垃圾郵件引擎，可以幫助企業(yè)用戶來(lái)減輕收到垃圾郵件的困擾。

Juniper 的防垃圾郵件功能主要是通過(guò)公共防垃圾郵件服務(wù)器來(lái)實(shí)現(xiàn)的。公共的防垃圾郵件服務(wù)器會(huì)實(shí)時(shí)地更新防垃圾郵件的庫(kù)，做到最大范圍、最小誤判的防垃圾功能。到ScreenOS5.4 為止，juniper 的防垃圾郵件引擎只支持 SMTP 協(xié)議。

Juniper 防垃圾郵件通過(guò)兩種方式來(lái)檢測(cè)垃圾郵件：1.通過(guò)公共防垃圾郵件服務(wù)器的 whitelist（可信任名單）與 black list（不可信任名單）。

2.1 Action 設(shè)置

SBL Defau lt Enable 項(xiàng)選中后，防火墻使用公共防垃圾服務(wù)器來(lái)判別垃圾郵件。默認(rèn)為打開(kāi)。

Actions 項(xiàng)用來(lái)指定對(duì)垃圾郵件的處理方法：

Tag on Su bject（在郵件標(biāo)題欄標(biāo)注信息，指明該郵件為垃圾郵件；不丟棄郵件）；

Tag on Header（在郵件內(nèi)容的頭部標(biāo)注信息，指明該郵件為垃圾郵件；不丟棄郵件）；

Drop（直接丟棄查找到的垃圾郵件）

2.2 White List 與 Black List 的設(shè)置

通過(guò)防火墻自定義 white list 和 black list。比如在 White List > White List Content 欄輸入www.sina.com.cn，則防火墻在檢查到與這個(gè)網(wǎng)址相關(guān)的郵件，都會(huì)認(rèn)為是可信任郵件，直接放行。

比如在Black List >Black List Content欄輸入www.baidu.com，則防火墻在檢測(cè)到這個(gè)網(wǎng)址有關(guān)的郵件時(shí)，都會(huì)判定為垃圾郵件。

2.3 防垃圾郵件功能的引用

最后，我們只要在安全策略里面引用防垃圾郵件功能，就可以對(duì)郵件進(jìn)行檢測(cè)了。Antispamenable 項(xiàng)只要勾選，就開(kāi)啟了防垃圾郵件功能，如下圖所示。

3、WEB/URL 過(guò)濾功能的設(shè)置

Juniper 可通過(guò)兩種方式來(lái)提供URL 過(guò)濾功能。一種是通過(guò)轉(zhuǎn)發(fā)流量給外部的URL 過(guò)濾服務(wù)器來(lái)實(shí)現(xiàn) （支持Su rfControl 和Websense 兩個(gè)產(chǎn)品） ； 一種是通過(guò)內(nèi)置的Su rfControl URL過(guò)濾引擎來(lái)提供URL 過(guò)濾。

3.1 轉(zhuǎn)發(fā)URL 過(guò)濾請(qǐng)求到外置URL 過(guò)濾服務(wù)器

如果采用第一種方式的話，首先防火墻必須能夠訪問(wèn)到本地的提供URL 過(guò)濾的服務(wù)器（Su rfControl 或者Websense） 。然后通過(guò)以下項(xiàng)的設(shè)置來(lái)完成該功能的啟用。

① 在Web Filtering > Protocol Selection 條目下，選擇需要Redirect 按鈕（Su rfControl或者Websense） 。

② 打開(kāi) Web Filtering 選項(xiàng)的 Websense/Su rfControl 的條目：

Enable Web Filtering 項(xiàng)設(shè)置為勾選，則 Web Filtering 功能打開(kāi)。

Source Interface 項(xiàng)用來(lái)選擇與URL 過(guò)濾服務(wù)器相連的接口（如果不選，則采用Defau lt） 。

Server Name 項(xiàng)填入U(xiǎn)RL 過(guò)濾服務(wù)器的地址。

Server Port 項(xiàng)填入與服務(wù)器端口通訊的端口（默認(rèn)為15868） 。

If connectivity to the server is lost，Block/Permit all HTTP requests項(xiàng)用來(lái)決定

如果與服務(wù)器連接丟失以后，防火墻采取什么措施。選擇Block 項(xiàng)，則與服務(wù)器失去聯(lián)系后，阻斷所有HTTP 請(qǐng)求；選擇Permit 項(xiàng)，則放行所有HTTP 請(qǐng)求。

3.2 使用內(nèi)置的URL 過(guò)濾引擎進(jìn)行URL 過(guò)濾

如果使用Juniper 防火墻自帶的Su rfControl 引擎來(lái)過(guò)濾URL，可以通過(guò)以下操作來(lái)完成。

① 在 Web Filtering > Protocol Selection 條目下，選擇需要 Integrated 按鈕（Su rfControl 或者 Websense） 。

② 打開(kāi) Web Filtering 選項(xiàng)的SC-CPA 的條目：

Enable Web Filtering via CPA Server 項(xiàng)勾選。

Server Name 項(xiàng)選擇地區(qū)（比如我們處于亞洲，則選擇Asia Pacific） 。

Host 項(xiàng)會(huì)根據(jù)Server Name 自動(dòng)填充域名（比如前面選擇了Asia Pacific，則會(huì)出現(xiàn)Asiai.SurfCPA.com） 。

Port 項(xiàng)與服務(wù)器端口通訊的端口（默認(rèn)為9020） 。

If connectivity to the server is lost，Block/Permit all HTTP requests項(xiàng)用來(lái)決定

如果與服務(wù)器連接丟失以后，防火墻采取什么措施。選擇Block 項(xiàng)，則與服務(wù)器失去聯(lián)系后，阻斷所有HTTP 請(qǐng)求；選擇Permit 項(xiàng)，則放行所有HTTP 請(qǐng)求。

3.3 手動(dòng)添加過(guò)濾項(xiàng)

下面以實(shí)例的方式來(lái)講解手動(dòng)添加過(guò)濾項(xiàng)的操作過(guò)程。我們假設(shè)要禁止訪問(wèn)www.sina.com的訪問(wèn)。

① 首先，我們建立一個(gè)自己的過(guò)濾組（category） ，名字為news。在 Screening > WEBFiltering > Categories > Custom > Edit 下：

② 其次，我們建議一個(gè)新的 Profile，取名叫 ju stfortest：Screening > WEB Filtering >Profiles > Cu stom > Edit

Black List 項(xiàng)中可以選擇預(yù)定義或者自定義的過(guò)濾組（category） 。進(jìn)入Black List 的組的網(wǎng)址將無(wú)條件禁止訪問(wèn)。

White List 項(xiàng)中可以選擇預(yù)定義或者自定義的過(guò)濾組（category） 。進(jìn)入White List 的組的網(wǎng)址將無(wú)條件允許訪問(wèn)。

Default Action 項(xiàng)可以選擇Permit 或者Deny。選擇Permit，則沒(méi)有匹配Black List/White List/手動(dòng)設(shè)定過(guò)濾項(xiàng)的網(wǎng)址，將被允許訪問(wèn)；Deny則反之。

Subscribers identified by項(xiàng)

Category Name 可選擇我們想要過(guò)濾的組別（在例子中，我們選取之前建立的news）

Action 可選擇permit 或者block（在本例中，我們選取block）

③ 最后，我們?cè)诎踩呗灾幸肬RL 過(guò)濾。

“

注： 我們建立一條策略， 然后在WEB Filtering項(xiàng)選擇我們剛才建立的profile “justfortest”。策略建立完以后，會(huì)在Options 欄出現(xiàn) WWW 的圖標(biāo)。

”

安全策略生效后，我們就無(wú)法訪問(wèn)新浪網(wǎng)站了，我們將看到Y(jié)our page is blocked due to a security policy that prohibits access to category。如下圖：

4、深層檢測(cè)功能的設(shè)置

Juniper 防火墻可以通過(guò)license 激活的方式來(lái)實(shí)現(xiàn)軟件級(jí)別的入侵檢測(cè)防御功能，即深層檢測(cè)功能（DI） 。深層檢測(cè)可以從L3、L4 以及L7 等多個(gè)層面進(jìn)行惡意流量的檢測(cè)及防護(hù)。

當(dāng)我們將訂購(gòu)的DI 許可導(dǎo)入防火墻以后，DI 功能就開(kāi)啟了。然后我們通過(guò)一些簡(jiǎn)單的設(shè)置，就可以用DI 來(lái)檢測(cè)和防御網(wǎng)絡(luò)惡意行為了。Juniper 深層檢測(cè)模塊目前支持的檢測(cè)類型包括： （截止OS5.4）

AIM (AOL Instant Messenger)

DHCP (Dynamic Host Configuration Protocol)

DNS (Domain Name System)

FTP (File Transfer Protocol)

GNUTELLA (File Sharing Network Protocol)

GOPHER (Gopher Protocol)

HTTP (Hypertext Transfer Protocol)

ICMP (Internet Control Message Protocol)

IDENT (Identification Protocol)

IKE (Internet Key Exchange)

IMAP (Internet Message Access Protocol)

IRC (Internet Relay Chat Protocol)

LDAP (Lightweight Directory Access Protocol)

LPR (Line Printer)

MSN (Microsoft Messenger)

MSRPC (Microsoft Remote Procedure Call)

NBNAME (NetBIOS Name Service)

NFS (Network File Service)

NTP (Network Time Protocol)

POP3 (Post Office Protocol)

RADIUS (Remote Authentication Dial In User Service)

SMB (Server Message Block)

SMTP (Simple Mail Transfer Protocol)

SYSLOG (System Log)

TELNET (Terminal Emulation Protocol)

TFTP (Trivial File Transfer Protocol)

VNC (Virtual Network Computing, or Remote Frame Buffer Protocol)

WHOIS (Remote Directory Access Protocol)

YMSG (Yahoo Messenger)

除此之外，我們還可以通過(guò)手動(dòng)的方式來(lái)自定義攻擊類型（使用Juniper IDP 設(shè)備來(lái)編寫的話，會(huì)相對(duì)簡(jiǎn)便） 。

4.1 設(shè)置DI攻擊特征庫(kù)自動(dòng)更新

隨著已知攻擊的數(shù)目的日益增加，攻擊特征庫(kù)也在不斷地?cái)U(kuò)大著。我們可以通過(guò)設(shè)置自動(dòng)更新的辦法來(lái)讓防火墻自動(dòng)下載最新的攻擊特征庫(kù)。

我們可以通過(guò)Update 的Attack Signature 下設(shè)置攻擊特征庫(kù)的自動(dòng)更新。

Signature Pack 項(xiàng)可以選擇Base（一般情況下的攻擊特征碼集合） 、Client（主要針對(duì)降低客戶端上網(wǎng)風(fēng)險(xiǎn)的攻擊特征碼集合） 、Server （主要針對(duì)保護(hù)服務(wù)器端的攻擊特征碼集合） 、Worm Mitigation（主要針對(duì)蠕蟲(chóng)的攻擊特征碼集合）四種類型。

Database Server URL 項(xiàng)填寫著提供攻擊特征庫(kù)更新的服務(wù)器域名（系統(tǒng)會(huì)自動(dòng)填充，一般不用自己填寫） 。

Update Mode 項(xiàng)可以選擇None（不自動(dòng)更新） 、Automatic Notification（有新的更新則發(fā)出通知） 、Automatic Update（自動(dòng)更新） 。

Schedule at 項(xiàng)可以選擇At （更新的時(shí)間） 、Daily（每日更新） 、Weekly On （星期幾更新） 、Monthly On （幾月份更新） 。

Update Now 項(xiàng)可以手動(dòng)更新攻擊特征庫(kù)。

4.2 深層檢測(cè)（DI）的引用

跟前面所講的其他功能一樣，我們同樣是在安全策略中引用DI 功能。

建立一條策略，然后點(diǎn)擊在Action 項(xiàng)旁邊的Deep Inspection 項(xiàng)，彈出配置框，如下圖。

Severity項(xiàng)可以選擇要防范的攻擊的強(qiáng)度（從Critical 到Info） ；

Group 項(xiàng)用來(lái)選擇攻擊的具體組別（按照攻擊的具體對(duì)象、協(xié)議、嚴(yán)重程度來(lái)分） ；

Action 項(xiàng)用來(lái)選擇檢測(cè)到攻擊后的處理方法：None、Ignore、Drop Packet、Drop、Close

Client、Close Server、Close。

選擇完以上項(xiàng)后則可以按ADD 按鈕添加到下面的攻擊防護(hù)表中去。

完成了DI 功能設(shè)置的安全策略的Action 欄會(huì)變成一個(gè)放大鏡的圖標(biāo)，如上圖。

審核編輯：湯梓紅