防火墙的最重要的功能是阻挡网络***,网络***的种类五花八门,防火墙能做到哪些网络防范是防火墙性能的一个重要指标。

Juniper的防火墙可以阻挡大多数的网络***行为,配置上也非常简单,下面就做一些简单介绍。

在“Security > Screening > Screen”界面

如上图所示,screen的功能设置可以根据不同德zone选择不同德配置,这是trust借口的截图,由于内网默认是安全区域,因此各项防***功能都没有开启。

接下来看看Untrust区域的配置,Untrust接口连接了公共网络,是认为不安全的区域,因此系统会开启一些默认的防***功能。

通过上面的两个截图可以看到,Juniper防火墙的防***功能还是比较全面的。不过全是鸟语的,下面做一些简单介绍

 Generate Alarms without Dropping Packet   警报但不丢弃数据包, 这个选项一半建议不要选择,Juniper防火墙默认是将拦截到的数据包直接丢弃的

 Apply Screen to Tunnel   防***功能同时应用于×××的tunnel

Flood Defense  洪水***防御,包括下面3种flood***:
 ICMP Flood Protection   
 UDP Flood Protection 
 SYN Flood Protection

Block HTTP Components 阻挡HTTP内容
 Block Java Component 
 Block ActiveX Component 
 Block ZIP Component 
 Block EXE Component 
  
MS-Windows Defense 
 WinNuke Attack Protection 
  
Scan/Spoof/Sweep Defense 
 IP Address Spoof Protection
 IP Address Sweep Protection 
 Port Scan Protection
  
Denial of Service Defense  DoS***防护
 Ping of Death Attack Protection 
 Teardrop Attack Protection 
 ICMP Fragment Protection 
 ICMP Ping ID Zero Protection 
 Large Size ICMP Packet (Size > 1024) Protection 
 Block Fragment Traffic 
 Land Attack Protection 
 SYN-ACK-ACK Proxy Protection
 Source IP Based Session Limit
 Destination IP Based Session Limit
  
Protocol Anomaly Reports -- IP Option Anomalies 
 Bad IP Option Protection 
 IP Timestamp Option Detection 
 IP Security Option Detection 
 IP Stream Option Detection 
 IP Record Route Option Detection 
 IP Loose Source Route Option Detection 
 IP Strict Source Route Option Detection 
 IP Source Route Option Filter 
  
Protocol Anomaly Reports -- TCP/IP Anomalies 
 SYN Fragment Protection 
 TCP Packet Without Flag Protection 
 SYN and FIN Bits Set Protection 
 FIN Bit With No ACK Bit in Flags Protection 
 Unknown Protocol Protection

内容比较多,如果需要了解各项功能的具体情况可以通过搜索引擎搜索一下,都会有比较详细的介绍。

通过简单的复选项Juniper防火墙可以实现上面列出的一些防***功能,功能方面还是比较全面的,如果用户有更高的需求可以考虑购买深层防御检测(DI)的授权。当然,并不是所有的功能都需要开启的,开启功能的增多自然也会增加防火墙的负载。

另外在日志页面可以查看到防火墙拦截的***记录。