0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

中低端防火墙的UTM功能配置

网络技术干货圈 来源:网络技术干货圈 2023-04-03 14:50 次阅读

Juniper 中低端防火墙(目前主要以 SSG 系列防火墙为参考)支持非常广泛的攻击防护及内容安全功能,主要包括:防病毒(Anti-Virus)、防垃圾邮件(Anti-Spam)、URL 过滤(URLfiltering)以及深层检测/入侵防御(Deep Inspection/IPS)。

“注:上述的安全/防护功能集成在防火墙的 ScreenOS 操作系统中,但是必须通过 license(许可)激活后方可使用(并会在激活一段时间(通常是 1 年)后过期)。当然在使用这些功能的时候,我们还需要设定好防火墙的时钟以及 DNS服务器地址。”

当防火墙激活了相应的安全/防护功能以后,通过 WebUI 可以发现,Screening 条目下会增加相应的功能条目,如下图:

230702fc-d1e8-11ed-bfe3-dac502259ad0.png

一、防病毒功能的设置

Juniper 防火墙的防病毒引擎(从 ScreenOS5.3 开始内嵌 Kaspersky 的防病毒引擎)可以针对 HTTP、FTP、POP3、IMAP 以及 SMTP 等协议进行工作。

1.1 Scan Manager的设置

2331ad68-d1e8-11ed-bfe3-dac502259ad0.png

“Pattern Update Server”项中的 URL 地址为 Juniper 防火墙病毒特征库的官方下载网址(当系统激活了防病毒功能后,该网址会自动出现)。

“Auto Pattern Update”项允许防火墙自动更新病毒特征库;后面的“Interval”项可以指定自动更新的频率。

“Update Now”项可以执行手动的病毒特征库升级。

“Drop/Bypass file if its size exceeds KB”项用来控制可扫表/传输的文件大小。“Drop”项会在超过限额后,扔掉文件而不做扫描;“Bypass”项则会放行文件而不做扫描。

“Drop//Bypass file if the number of concurrent files exceeds files”项用控制同时扫描/传输的文件数量。“Drop”项会在超过限额后,扔掉文件而不做扫描;“Bypass”项则会放行文件而不做扫描。

1.2 Profile 的设置

通过设置不同的 Profile,我们可以对不同的安全策略(Policy)采用不同的防病毒操作(Juniper 防火墙的防病毒引用是基于安全策略的;也就是说我们的防病毒设置是通过在特定的策略中引入特定的 Profile 来实现的。),进而实现高粒度化地防病毒控制,将防病毒对系统资源的消耗降到最低。

23673b4a-d1e8-11ed-bfe3-dac502259ad0.png

ns-profile 是系统自带的profile。用户不需要做任何设置,就可以在安全策略里直接引用它。除此之外,用户可以根据自己的需求来设置适合自身需求的profile。Profile 方面的设置包括对FTP、HTTP、IMAP、POP3 以及 SMTP 等 5 个协议的内容,见下图。

23818310-d1e8-11ed-bfe3-dac502259ad0.png

Enable 选项

每个特定的协议类型,都有一个 Enable 选项。选择之,则防病毒引擎会检查与这个协议相关的流量;反之,则不会检查。

Scan Mode 的设置

Scan Mode 有三个选择项:Scan All、Scan Intelligent 、Scan By Extension。

Scan All:对于流量,检查所有已知的特征码。

Scan Intelligent:对于流量,检查比较常见的特征码。

Scan By Ex tension:仅针对特定的文件扩展名类型进行检查。如果选择该类型,则须要事先设定好 Ext-List(设置文件扩展名的类型)与 Include/Exclude Extension List。

Decompress Lay er 的设置

为了减少传输的时间,很多文件在传输过程中都会被压缩。Decompress Layer 就是用来设置防病毒引擎扫描压缩文件的层数。防病毒引擎最多可以支持对 4 层压缩文件的扫描。

Skipmime Enable 的设置

对于 HTTP 协议,可以进行 Skipmime Enable 的设置。打开该功能,则防病毒引擎不扫描Mime List 中包括的文件类型(系统默认打开该功能,并匹配默认的 Mime List:ns-skip-mime-list)。

Email Notify 的设置

对于 IMAP、POP3、SMTP 等 email 协议,可以记性 Email Nortify 的设置。打开该功能,可以在发现病毒/异常后,发送email 来通知用户(病毒发送者/邮件发送方/邮件接收方)。

1.3 防病毒 profile 在安全策略中的引用

我们前面已经提到过,防病毒的实现是通过在特定安全策略中应用profile 来实现的。比如,我们在名为 ftp-scan 的策略中引用 av1 的防病毒 profile。

① 首先建立了名为av1的profile,并enable FTP协议的扫描;由于我仅希望检测的是FTP应用,故关闭对其他协议的扫描。见下图:

239a2b90-d1e8-11ed-bfe3-dac502259ad0.png

② 设置 ftp-scan 安全策略,并引用profile av1。

23ca6404-d1e8-11ed-bfe3-dac502259ad0.png

③ 引用了 profile 进行病毒扫描的策略,在 action 栏会有相应的图标出现。

23ee11e2-d1e8-11ed-bfe3-dac502259ad0.png

2、防垃圾邮件功能的设置

Juniper 防火墙内嵌的防垃圾邮件引擎,可以帮助企业用户来减轻收到垃圾邮件的困扰。

Juniper 的防垃圾邮件功能主要是通过公共防垃圾邮件服务器来实现的。公共的防垃圾邮件服务器会实时地更新防垃圾邮件的库,做到最大范围、最小误判的防垃圾功能。到ScreenOS5.4 为止,juniper 的防垃圾邮件引擎只支持 SMTP 协议。

Juniper 防垃圾邮件通过两种方式来检测垃圾邮件:1.通过公共防垃圾邮件服务器的 whitelist(可信任名单)与 black list(不可信任名单)。

241e7f9e-d1e8-11ed-bfe3-dac502259ad0.png

2.1 Action 设置

SBL Defau lt Enable 项选中后,防火墙使用公共防垃圾服务器来判别垃圾邮件。默认为打开。

Actions 项用来指定对垃圾邮件的处理方法:

Tag on Su bject(在邮件标题栏标注信息,指明该邮件为垃圾邮件;不丢弃邮件);

Tag on Header(在邮件内容的头部标注信息,指明该邮件为垃圾邮件;不丢弃邮件);

Drop(直接丢弃查找到的垃圾邮件)

2.2 White List 与 Black List 的设置

通过防火墙自定义 white list 和 black list。比如在 White List > White List Content 栏输入www.sina.com.cn,则防火墙在检查到与这个网址相关的邮件,都会认为是可信任邮件,直接放行。

24414948-d1e8-11ed-bfe3-dac502259ad0.png

比如在Black List >Black List Content栏输入www.baidu.com,则防火墙在检测到这个网址有关的邮件时,都会判定为垃圾邮件。

24738980-d1e8-11ed-bfe3-dac502259ad0.png

2.3 防垃圾邮件功能的引用

最后,我们只要在安全策略里面引用防垃圾邮件功能,就可以对邮件进行检测了。Antispamenable 项只要勾选,就开启了防垃圾邮件功能,如下图所示。

24a4def4-d1e8-11ed-bfe3-dac502259ad0.png

3、WEB/URL 过滤功能的设置

Juniper 可通过两种方式来提供URL 过滤功能。一种是通过转发流量给外部的URL 过滤服务器来实现 (支持Su rfControl 和Websense 两个产品) ; 一种是通过内置的Su rfControl URL过滤引擎来提供URL 过滤。

3.1 转发URL 过滤请求到外置URL 过滤服务器

如果采用第一种方式的话,首先防火墙必须能够访问到本地的提供URL 过滤的服务器(Su rfControl 或者Websense) 。然后通过以下项的设置来完成该功能的启用。

① 在Web Filtering > Protocol Selection 条目下,选择需要Redirect 按钮(Su rfControl或者Websense) 。

24db2ebe-d1e8-11ed-bfe3-dac502259ad0.png

② 打开 Web Filtering 选项的 Websense/Su rfControl 的条目:

2505f144-d1e8-11ed-bfe3-dac502259ad0.png

Enable Web Filtering 项设置为勾选,则 Web Filtering 功能打开。

Source Interface 项用来选择与URL 过滤服务器相连的接口(如果不选,则采用Defau lt) 。

Server Name 项填入URL 过滤服务器的地址。

Server Port 项填入与服务器端口通讯的端口(默认为15868) 。

If connectivity to the server is lost,Block/Permit all HTTP requests项用来决定

如果与服务器连接丢失以后,防火墙采取什么措施。选择Block 项,则与服务器失去联系后,阻断所有HTTP 请求;选择Permit 项,则放行所有HTTP 请求。

3.2 使用内置的URL 过滤引擎进行URL 过滤

如果使用Juniper 防火墙自带的Su rfControl 引擎来过滤URL,可以通过以下操作来完成。

① 在 Web Filtering > Protocol Selection 条目下,选择需要 Integrated 按钮(Su rfControl 或者 Websense) 。

252ec1e6-d1e8-11ed-bfe3-dac502259ad0.png

② 打开 Web Filtering 选项的SC-CPA 的条目:

254eb60e-d1e8-11ed-bfe3-dac502259ad0.png

Enable Web Filtering via CPA Server 项勾选。

Server Name 项选择地区(比如我们处于亚洲,则选择Asia Pacific) 。

Host 项会根据Server Name 自动填充域名(比如前面选择了Asia Pacific,则会出现Asiai.SurfCPA.com) 。

Port 项与服务器端口通讯的端口(默认为9020) 。

If connectivity to the server is lost,Block/Permit all HTTP requests项用来决定

如果与服务器连接丢失以后,防火墙采取什么措施。选择Block 项,则与服务器失去联系后,阻断所有HTTP 请求;选择Permit 项,则放行所有HTTP 请求。

3.3 手动添加过滤项

下面以实例的方式来讲解手动添加过滤项的操作过程。我们假设要禁止访问www.sina.com的访问。

① 首先,我们建立一个自己的过滤组(category) ,名字为news。在 Screening > WEBFiltering > Categories > Custom > Edit 下:

25691c74-d1e8-11ed-bfe3-dac502259ad0.png

② 其次,我们建议一个新的 Profile,取名叫 ju stfortest:Screening > WEB Filtering >Profiles > Cu stom > Edit

25850ede-d1e8-11ed-bfe3-dac502259ad0.png

Black List 项中可以选择预定义或者自定义的过滤组(category) 。进入Black List 的组的网址将无条件禁止访问。

White List 项中可以选择预定义或者自定义的过滤组(category) 。进入White List 的组的网址将无条件允许访问。

Default Action 项可以选择Permit 或者Deny。选择Permit,则没有匹配Black List/White List/手动设定过滤项的网址,将被允许访问;Deny则反之。

Subscribers identified by项

Category Name 可选择我们想要过滤的组别(在例子中,我们选取之前建立的news)

Action 可选择permit 或者block(在本例中,我们选取block)

③ 最后,我们在安全策略中引用URL 过滤。

25ae424a-d1e8-11ed-bfe3-dac502259ad0.png

注: 我们建立一条策略, 然后在WEB Filtering项选择我们刚才建立的profile “justfortest”。策略建立完以后,会在Options 栏出现 WWW 的图标。

25de2d02-d1e8-11ed-bfe3-dac502259ad0.png

安全策略生效后,我们就无法访问新浪网站了,我们将看到Your page is blocked due to a security policy that prohibits access to category。如下图:

25f9dfde-d1e8-11ed-bfe3-dac502259ad0.png

4、深层检测功能的设置

Juniper 防火墙可以通过license 激活的方式来实现软件级别的入侵检测防御功能,即深层检测功能(DI) 。深层检测可以从L3、L4 以及L7 等多个层面进行恶意流量的检测及防护。

当我们将订购的DI 许可导入防火墙以后,DI 功能就开启了。然后我们通过一些简单的设置,就可以用DI 来检测和防御网络恶意行为了。Juniper 深层检测模块目前支持的检测类型包括: (截止OS5.4)

AIM (AOL Instant Messenger)

DHCP (Dynamic Host Configuration Protocol)

DNS (Domain Name System)

FTP (File Transfer Protocol)

GNUTELLA (File Sharing Network Protocol)

GOPHER (Gopher Protocol)

HTTP (Hypertext Transfer Protocol)

ICMP (Internet Control Message Protocol)

IDENT (Identification Protocol)

IKE (Internet Key Exchange)

IMAP (Internet Message Access Protocol)

IRC (Internet Relay Chat Protocol)

LDAP (Lightweight Directory Access Protocol)

LPR (Line Printer)

MSN (Microsoft Messenger)

MSRPC (Microsoft Remote Procedure Call)

NBNAME (NetBIOS Name Service)

NFS (Network File Service)

NTP (Network Time Protocol)

POP3 (Post Office Protocol)

RADIUS (Remote Authentication Dial In User Service)

SMB (Server Message Block)

SMTP (Simple Mail Transfer Protocol)

SYSLOG (System Log)

TELNET (Terminal Emulation Protocol)

TFTP (Trivial File Transfer Protocol)

VNC (Virtual Network Computing, or Remote Frame Buffer Protocol)

WHOIS (Remote Directory Access Protocol)

YMSG (Yahoo Messenger)

除此之外,我们还可以通过手动的方式来自定义攻击类型(使用Juniper IDP 设备来编写的话,会相对简便) 。

4.1 设置DI攻击特征库自动更新

随着已知攻击的数目的日益增加,攻击特征库也在不断地扩大着。我们可以通过设置自动更新的办法来让防火墙自动下载最新的攻击特征库。

2617ad48-d1e8-11ed-bfe3-dac502259ad0.png

我们可以通过Update 的Attack Signature 下设置攻击特征库的自动更新。

Signature Pack 项可以选择Base(一般情况下的攻击特征码集合) 、Client(主要针对降低客户端上网风险的攻击特征码集合) 、Server (主要针对保护服务器端的攻击特征码集合) 、Worm Mitigation(主要针对蠕虫的攻击特征码集合)四种类型。

Database Server URL 项填写着提供攻击特征库更新的服务器域名(系统会自动填充,一般不用自己填写) 。

Update Mode 项可以选择None(不自动更新) 、Automatic Notification(有新的更新则发出通知) 、Automatic Update(自动更新) 。

Schedule at 项可以选择At (更新的时间) 、Daily(每日更新) 、Weekly On (星期几更新) 、Monthly On (几月份更新) 。

Update Now 项可以手动更新攻击特征库。

4.2 深层检测(DI)的引用

跟前面所讲的其他功能一样,我们同样是在安全策略中引用DI 功能。

262fcec8-d1e8-11ed-bfe3-dac502259ad0.png

建立一条策略,然后点击在Action 项旁边的Deep Inspection 项,弹出配置框,如下图。

264d48c2-d1e8-11ed-bfe3-dac502259ad0.png

Severity项可以选择要防范的攻击的强度(从Critical 到Info) ;

Group 项用来选择攻击的具体组别(按照攻击的具体对象、协议、严重程度来分) ;

Action 项用来选择检测到攻击后的处理方法:None、Ignore、Drop Packet、Drop、Close

Client、Close Server、Close。

选择完以上项后则可以按ADD 按钮添加到下面的攻击防护表中去。

266b12d0-d1e8-11ed-bfe3-dac502259ad0.png

完成了DI 功能设置的安全策略的Action 栏会变成一个放大镜的图标,如上图。

审核编辑:汤梓红

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 操作系统
    +关注

    关注

    37

    文章

    6808

    浏览量

    123291
  • 防火墙
    +关注

    关注

    0

    文章

    417

    浏览量

    35608
  • HTTP
    +关注

    关注

    0

    文章

    504

    浏览量

    31199
  • Juniper
    +关注

    关注

    1

    文章

    17

    浏览量

    11567
  • UTM
    UTM
    +关注

    关注

    0

    文章

    29

    浏览量

    13068

原文标题:Juniper防火墙系列-05-中低端防火墙的 UTM 功能配置

文章出处:【微信号:网络技术干货圈,微信公众号:网络技术干货圈】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    公司防火墙应做的10件事

    传统的防火墙重在抵御简单的威胁和入侵攻击。企业级防火墙增加了统一威胁管理(UTM)服务,如防病毒、防间谍软件、入侵防御、内容过滤,甚至一些防垃圾邮件服务,以增强威胁防御功能。穿越
    发表于 03-13 22:50

    发现 STM32 防火墙的安全配置

    、共享执行、设置,只能在防火墙打开时才能修改,因此在推荐配置下,典型的调用门代码执行序列应如下:结论本文根据STM32参考手册, 提出了一个STM32防火墙的安全配置,可在实际STM3
    发表于 07-27 11:04

    防火墙技术

    防火墙技术.ppt 防火墙及相关概念包过滤型防火墙代理服务型防火墙 防火墙配置分布
    发表于 06-16 23:41 0次下载

    防火墙配置

    实验十三、防火墙配置 一. 实验原理1.1 防火墙原理网络的主要功能是向其他通信实体提供信息传输服务。网络安全技术的主
    发表于 09-24 13:55 2154次阅读
    <b class='flag-5'>防火墙</b>的<b class='flag-5'>配置</b>

    防火墙配置--过滤规则示例

    防火墙配置--过滤规则示例
    发表于 12-07 14:16 9267次阅读
    <b class='flag-5'>防火墙</b>的<b class='flag-5'>配置</b>--过滤规则示例

    防火墙防火墙的渗透技术

    防火墙防火墙的渗透技术 传统的防火墙工作原理及优缺点: 1.(传统的)包过滤防火墙的工作原理   包过滤是在IP层实现的,因
    发表于 08-01 10:26 1056次阅读

    防火墙的控制端口

    防火墙的控制端口 防火墙的控制端口通常为Console端口,防火墙的初始配置也是通过控制端口(Console)与PC机(通常是便于移动的笔记本电脑)的串口(RS-232
    发表于 01-08 10:37 1093次阅读

    防火墙管理

     防火墙管理  防火墙管理是指对防火墙具有管理权限的管理员行为和防火墙运行状态的管理,管理员的行为主要包括:通过防火墙
    发表于 01-08 10:39 1340次阅读

    什么是防火墙

    什么是防火墙  防火墙的英文名为“FireWall”,它是目前一种最重要的网络防护设备。从专业角度讲,防火墙是位于两个(或
    发表于 01-08 10:53 1174次阅读

    防火墙的分类

    防火墙的分类 如果从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙以及芯片级
    发表于 01-08 11:01 6868次阅读

    如何配置Cisco PIX防火墙

    如何配置Cisco PIX防火墙配置PIX防火墙之前,先来介绍一下防火墙的物理特性。防火墙
    发表于 01-13 13:26 584次阅读

    究竟什么是防火墙

    究竟什么是防火墙?     Q:防火墙初级入门:究竟什么是防火墙?     A:防火墙定义
    发表于 02-24 11:51 781次阅读

    防火墙,防火墙的作用有哪些?

    防火墙,防火墙的作用有哪些? 防火墙技术简介 ——Internet的发展给政府结构、企事业单位带来了革命性的改
    发表于 04-03 16:17 8330次阅读

    什么是防火墙防火墙如何工作?

    防火墙是网络与万维网之间的关守,它位于网络的入口和出口。 它评估网络流量,仅允许某些流量进出。防火墙分析网络数据包头,其中包含有关要进入或退出网络的流量的信息。然后,基于防火墙配置
    的头像 发表于 09-30 14:35 5331次阅读

    硬件防火墙和软件防火墙区别

    电子发烧友网站提供《硬件防火墙和软件防火墙区别.doc》资料免费下载
    发表于 10-21 11:03 1次下载