中低端防火墙的UTM功能配置

Juniper 中低端防火墙（目前主要以 SSG 系列防火墙为参考）支持非常广泛的攻击防护及内容安全功能，主要包括：防病毒（Anti-Virus）、防垃圾邮件（Anti-Spam）、URL 过滤（URLfiltering）以及深层检测/入侵防御（Deep Inspection/IPS）。

“注：上述的安全/防护功能集成在防火墙的 ScreenOS 操作系统中，但是必须通过 license（许可）激活后方可使用（并会在激活一段时间（通常是 1 年）后过期）。当然在使用这些功能的时候，我们还需要设定好防火墙的时钟以及 DNS服务器地址。”

当防火墙激活了相应的安全/防护功能以后，通过 WebUI 可以发现，Screening 条目下会增加相应的功能条目，如下图：

一、防病毒功能的设置

Juniper 防火墙的防病毒引擎（从 ScreenOS5.3 开始内嵌 Kaspersky 的防病毒引擎）可以针对 HTTP、FTP、POP3、IMAP 以及 SMTP 等协议进行工作。

1.1 Scan Manager的设置

“Pattern Update Server”项中的 URL 地址为 Juniper 防火墙病毒特征库的官方下载网址（当系统激活了防病毒功能后，该网址会自动出现）。

“Auto Pattern Update”项允许防火墙自动更新病毒特征库；后面的“Interval”项可以指定自动更新的频率。

“Update Now”项可以执行手动的病毒特征库升级。

“Drop/Bypass file if its size exceeds KB”项用来控制可扫表/传输的文件大小。“Drop”项会在超过限额后，扔掉文件而不做扫描；“Bypass”项则会放行文件而不做扫描。

“Drop//Bypass file if the number of concurrent files exceeds files”项用控制同时扫描/传输的文件数量。“Drop”项会在超过限额后，扔掉文件而不做扫描；“Bypass”项则会放行文件而不做扫描。

1.2 Profile 的设置

通过设置不同的 Profile，我们可以对不同的安全策略（Policy）采用不同的防病毒操作（Juniper 防火墙的防病毒引用是基于安全策略的；也就是说我们的防病毒设置是通过在特定的策略中引入特定的 Profile 来实现的。），进而实现高粒度化地防病毒控制，将防病毒对系统资源的消耗降到最低。

ns-profile 是系统自带的profile。用户不需要做任何设置，就可以在安全策略里直接引用它。除此之外，用户可以根据自己的需求来设置适合自身需求的profile。Profile 方面的设置包括对FTP、HTTP、IMAP、POP3 以及 SMTP 等 5 个协议的内容，见下图。

Enable 选项

每个特定的协议类型，都有一个 Enable 选项。选择之，则防病毒引擎会检查与这个协议相关的流量；反之，则不会检查。

Scan Mode 的设置

Scan Mode 有三个选择项：Scan All、Scan Intelligent 、Scan By Extension。

Scan All：对于流量，检查所有已知的特征码。

Scan Intelligent：对于流量，检查比较常见的特征码。

Scan By Ex tension：仅针对特定的文件扩展名类型进行检查。如果选择该类型，则须要事先设定好 Ext-List（设置文件扩展名的类型）与 Include/Exclude Extension List。

Decompress Lay er 的设置

为了减少传输的时间，很多文件在传输过程中都会被压缩。Decompress Layer 就是用来设置防病毒引擎扫描压缩文件的层数。防病毒引擎最多可以支持对 4 层压缩文件的扫描。

Skipmime Enable 的设置

对于 HTTP 协议，可以进行 Skipmime Enable 的设置。打开该功能，则防病毒引擎不扫描Mime List 中包括的文件类型（系统默认打开该功能，并匹配默认的 Mime List：ns-skip-mime-list）。

Email Notify 的设置

对于 IMAP、POP3、SMTP 等 email 协议，可以记性 Email Nortify 的设置。打开该功能，可以在发现病毒/异常后，发送email 来通知用户（病毒发送者/邮件发送方/邮件接收方）。

1.3 防病毒 profile 在安全策略中的引用

我们前面已经提到过，防病毒的实现是通过在特定安全策略中应用profile 来实现的。比如，我们在名为 ftp-scan 的策略中引用 av1 的防病毒 profile。

① 首先建立了名为av1的profile，并enable FTP协议的扫描；由于我仅希望检测的是FTP应用，故关闭对其他协议的扫描。见下图：

② 设置 ftp-scan 安全策略，并引用profile av1。

③ 引用了 profile 进行病毒扫描的策略，在 action 栏会有相应的图标出现。

2、防垃圾邮件功能的设置

Juniper 防火墙内嵌的防垃圾邮件引擎，可以帮助企业用户来减轻收到垃圾邮件的困扰。

Juniper 的防垃圾邮件功能主要是通过公共防垃圾邮件服务器来实现的。公共的防垃圾邮件服务器会实时地更新防垃圾邮件的库，做到最大范围、最小误判的防垃圾功能。到ScreenOS5.4 为止，juniper 的防垃圾邮件引擎只支持 SMTP 协议。

Juniper 防垃圾邮件通过两种方式来检测垃圾邮件：1.通过公共防垃圾邮件服务器的 whitelist（可信任名单）与 black list（不可信任名单）。

2.1 Action 设置

SBL Defau lt Enable 项选中后，防火墙使用公共防垃圾服务器来判别垃圾邮件。默认为打开。

Actions 项用来指定对垃圾邮件的处理方法：

Tag on Su bject（在邮件标题栏标注信息，指明该邮件为垃圾邮件；不丢弃邮件）；

Tag on Header（在邮件内容的头部标注信息，指明该邮件为垃圾邮件；不丢弃邮件）；

Drop（直接丢弃查找到的垃圾邮件）

2.2 White List 与 Black List 的设置

通过防火墙自定义 white list 和 black list。比如在 White List > White List Content 栏输入www.sina.com.cn，则防火墙在检查到与这个网址相关的邮件，都会认为是可信任邮件，直接放行。

比如在Black List >Black List Content栏输入www.baidu.com，则防火墙在检测到这个网址有关的邮件时，都会判定为垃圾邮件。

2.3 防垃圾邮件功能的引用

最后，我们只要在安全策略里面引用防垃圾邮件功能，就可以对邮件进行检测了。Antispamenable 项只要勾选，就开启了防垃圾邮件功能，如下图所示。

3、WEB/URL 过滤功能的设置

Juniper 可通过两种方式来提供URL 过滤功能。一种是通过转发流量给外部的URL 过滤服务器来实现 （支持Su rfControl 和Websense 两个产品） ； 一种是通过内置的Su rfControl URL过滤引擎来提供URL 过滤。

3.1 转发URL 过滤请求到外置URL 过滤服务器

如果采用第一种方式的话，首先防火墙必须能够访问到本地的提供URL 过滤的服务器（Su rfControl 或者Websense） 。然后通过以下项的设置来完成该功能的启用。

① 在Web Filtering > Protocol Selection 条目下，选择需要Redirect 按钮（Su rfControl或者Websense） 。

② 打开 Web Filtering 选项的 Websense/Su rfControl 的条目：

Enable Web Filtering 项设置为勾选，则 Web Filtering 功能打开。

Source Interface 项用来选择与URL 过滤服务器相连的接口（如果不选，则采用Defau lt） 。

Server Name 项填入URL 过滤服务器的地址。

Server Port 项填入与服务器端口通讯的端口（默认为15868） 。

If connectivity to the server is lost，Block/Permit all HTTP requests项用来决定

如果与服务器连接丢失以后，防火墙采取什么措施。选择Block 项，则与服务器失去联系后，阻断所有HTTP 请求；选择Permit 项，则放行所有HTTP 请求。

3.2 使用内置的URL 过滤引擎进行URL 过滤

如果使用Juniper 防火墙自带的Su rfControl 引擎来过滤URL，可以通过以下操作来完成。

① 在 Web Filtering > Protocol Selection 条目下，选择需要 Integrated 按钮（Su rfControl 或者 Websense） 。

② 打开 Web Filtering 选项的SC-CPA 的条目：

Enable Web Filtering via CPA Server 项勾选。

Server Name 项选择地区（比如我们处于亚洲，则选择Asia Pacific） 。

Host 项会根据Server Name 自动填充域名（比如前面选择了Asia Pacific，则会出现Asiai.SurfCPA.com） 。

Port 项与服务器端口通讯的端口（默认为9020） 。

If connectivity to the server is lost，Block/Permit all HTTP requests项用来决定

如果与服务器连接丢失以后，防火墙采取什么措施。选择Block 项，则与服务器失去联系后，阻断所有HTTP 请求；选择Permit 项，则放行所有HTTP 请求。

3.3 手动添加过滤项

下面以实例的方式来讲解手动添加过滤项的操作过程。我们假设要禁止访问www.sina.com的访问。

① 首先，我们建立一个自己的过滤组（category） ，名字为news。在 Screening > WEBFiltering > Categories > Custom > Edit 下：

② 其次，我们建议一个新的 Profile，取名叫 ju stfortest：Screening > WEB Filtering >Profiles > Cu stom > Edit

Black List 项中可以选择预定义或者自定义的过滤组（category） 。进入Black List 的组的网址将无条件禁止访问。

White List 项中可以选择预定义或者自定义的过滤组（category） 。进入White List 的组的网址将无条件允许访问。

Default Action 项可以选择Permit 或者Deny。选择Permit，则没有匹配Black List/White List/手动设定过滤项的网址，将被允许访问；Deny则反之。

Subscribers identified by项

Category Name 可选择我们想要过滤的组别（在例子中，我们选取之前建立的news）

Action 可选择permit 或者block（在本例中，我们选取block）

③ 最后，我们在安全策略中引用URL 过滤。

“

注： 我们建立一条策略， 然后在WEB Filtering项选择我们刚才建立的profile “justfortest”。策略建立完以后，会在Options 栏出现 WWW 的图标。

”

安全策略生效后，我们就无法访问新浪网站了，我们将看到Your page is blocked due to a security policy that prohibits access to category。如下图：

4、深层检测功能的设置

Juniper 防火墙可以通过license 激活的方式来实现软件级别的入侵检测防御功能，即深层检测功能（DI） 。深层检测可以从L3、L4 以及L7 等多个层面进行恶意流量的检测及防护。

当我们将订购的DI 许可导入防火墙以后，DI 功能就开启了。然后我们通过一些简单的设置，就可以用DI 来检测和防御网络恶意行为了。Juniper 深层检测模块目前支持的检测类型包括： （截止OS5.4）

AIM (AOL Instant Messenger)

DHCP (Dynamic Host Configuration Protocol)

DNS (Domain Name System)

FTP (File Transfer Protocol)

GNUTELLA (File Sharing Network Protocol)

GOPHER (Gopher Protocol)

HTTP (Hypertext Transfer Protocol)

ICMP (Internet Control Message Protocol)

IDENT (Identification Protocol)

IKE (Internet Key Exchange)

IMAP (Internet Message Access Protocol)

IRC (Internet Relay Chat Protocol)

LDAP (Lightweight Directory Access Protocol)

LPR (Line Printer)

MSN (Microsoft Messenger)

MSRPC (Microsoft Remote Procedure Call)

NBNAME (NetBIOS Name Service)

NFS (Network File Service)

NTP (Network Time Protocol)

POP3 (Post Office Protocol)

RADIUS (Remote Authentication Dial In User Service)

SMB (Server Message Block)

SMTP (Simple Mail Transfer Protocol)

SYSLOG (System Log)

TELNET (Terminal Emulation Protocol)

TFTP (Trivial File Transfer Protocol)

VNC (Virtual Network Computing, or Remote Frame Buffer Protocol)

WHOIS (Remote Directory Access Protocol)

YMSG (Yahoo Messenger)

除此之外，我们还可以通过手动的方式来自定义攻击类型（使用Juniper IDP 设备来编写的话，会相对简便） 。

4.1 设置DI攻击特征库自动更新

随着已知攻击的数目的日益增加，攻击特征库也在不断地扩大着。我们可以通过设置自动更新的办法来让防火墙自动下载最新的攻击特征库。

我们可以通过Update 的Attack Signature 下设置攻击特征库的自动更新。

Signature Pack 项可以选择Base（一般情况下的攻击特征码集合） 、Client（主要针对降低客户端上网风险的攻击特征码集合） 、Server （主要针对保护服务器端的攻击特征码集合） 、Worm Mitigation（主要针对蠕虫的攻击特征码集合）四种类型。

Database Server URL 项填写着提供攻击特征库更新的服务器域名（系统会自动填充，一般不用自己填写） 。

Update Mode 项可以选择None（不自动更新） 、Automatic Notification（有新的更新则发出通知） 、Automatic Update（自动更新） 。

Schedule at 项可以选择At （更新的时间） 、Daily（每日更新） 、Weekly On （星期几更新） 、Monthly On （几月份更新） 。

Update Now 项可以手动更新攻击特征库。

4.2 深层检测（DI）的引用

跟前面所讲的其他功能一样，我们同样是在安全策略中引用DI 功能。

建立一条策略，然后点击在Action 项旁边的Deep Inspection 项，弹出配置框，如下图。

Severity项可以选择要防范的攻击的强度（从Critical 到Info） ；

Group 项用来选择攻击的具体组别（按照攻击的具体对象、协议、严重程度来分） ；

Action 项用来选择检测到攻击后的处理方法：None、Ignore、Drop Packet、Drop、Close

Client、Close Server、Close。

选择完以上项后则可以按ADD 按钮添加到下面的攻击防护表中去。

完成了DI 功能设置的安全策略的Action 栏会变成一个放大镜的图标，如上图。

审核编辑：汤梓红