筛选用于攻击检测和预防的选项
攻击检测和防御可检测并保护网络免受攻击。使用屏幕选项,Junos 安全平台可以抵御不同的内部和外部攻击,有关详细信息,请参阅以下主题:
了解 SRX 系列设备上的屏幕选项
在所有 SRX 系列防火墙上,屏幕分为两类:
基于统计信息的屏幕
表 1 列出了所有基于统计信息的屏幕选项。
屏幕选项名称 |
描述 |
---|---|
|
使用 ICMP 泛滥 IDS 选项防止 ICMP 泛滥攻击。当 ICMP 回显请求使用所有资源进行响应,导致无法再处理有效的网络流量时,通常会发生 ICMP 泛洪攻击。 阈值定义在设备拒绝更多 ICMP 数据包之前允许发送到同一目标地址的每秒 ICMP 数据包数 (pps)。 |
|
使用 UDP 泛滥 IDS 选项可防止 UDP 泛滥攻击。当攻击者发送包含 UDP 数据报的 IP 数据包以减慢资源速度,使有效连接无法再处理时,就会发生 UDP 泛滥攻击。 阈值定义每秒允许发送到同一目标 IP 地址的 UDP 数据包数。当数据包数在任何 1 秒内超过此值时,设备将生成告警,并在该秒的剩余时间内丢弃后续数据包。 |
|
使用 TCP SYN 泛洪源 IDS 选项设置源阈值。阈值定义在设备开始丢弃连接请求之前每秒要接收的 SYN 段数。 适用范围为 4 到 500,000 SYN pps。 |
|
使用 SYN 泛滥目标 IDS 选项设置目标阈值。阈值定义在设备开始丢弃连接请求之前每秒接收的 SYN 分段数。 适用范围为 4 到 500,000 SYN pps。 |
|
使用 TCP SYN 泛滥 IDS 选项可检测和防止 SYN 泛滥攻击。当连接主机持续发送 TCP SYN 请求而不回复相应的 ACK 响应时,会发生此类攻击。 |
|
使用 TCP 端口扫描 IDS 选项可防止端口扫描攻击。此攻击的目的是扫描可用服务,希望至少有一个端口会响应,从而识别要作为目标的服务。 |
|
使用 TCP SYN-ACK-ACK 代理屏幕选项来防止 SYN-ACK-ACK 攻击。来自同一 IP 地址的连接数达到 SYN-ACK-ACK 代理阈值后,运行 Junos OS 的 SRX 系列防火墙将拒绝来自该 IP 地址的进一步连接请求。 |
|
使用 ICMP IP 扫描 IDS 选项检测和防止 IP 扫描攻击。当攻击者向多个目标地址发送 ICMP 回显请求 (ping) 时,会发生 IP 扫描攻击。如果目标主机回复,回复会向攻击者显示目标的 IP 地址。如果设备在此语句中指定的微秒数内收到 10 个 ICMP 回显请求,则会将其标记为 IP 扫描攻击,并在第二个的剩余时间内拒绝来自该主机的第 11 个和所有其他 ICMP 数据包。 阈值定义允许来自同一主机的最多 10 个 ICMP 回显请求进入设备的最大微秒数。 |
|
使用 TCP SYN 泛洪报警 IDS 选项设置报警阈值。阈值定义设备在事件报警日志中输入的每秒半完成代理连接数。范围为每秒 1 到 500,000 个请求。 |
|
使用 TCP SYN 泛滥攻击 IDS 选项设置攻击阈值。阈值定义每秒触发 SYN 代理响应所需的 SYN 数据包数。范围为 1 到 500,000 个代理 pps。 |
|
使用 UDP udp 扫描 IDS 选项可以检测和防止 UDP 扫描攻击。在 UDP 扫描攻击中,攻击者将 UDP 数据包发送到目标设备。如果设备响应这些数据包,攻击者将得到目标设备中某个端口已打开的指示,这使得该端口容易受到攻击。如果远程主机在 0.005 秒(5000 微秒)内将 UDP 数据包发送到 10 个地址,则设备会将其标记为 UDP 扫描攻击。 如果未设置该 阈值定义设备接受来自同一远程源到不同目标地址的 10 个 UDP 数据包的微秒数。 |
从 Junos OS 15.1X49-D20 版和 Junos OS 17.3R1 版开始,无论触发源会话或目标会话限制的数据包数量如何,防火墙每秒仅生成一条日志消息。此行为适用于具有 、 TCP-Synflood-dst-based
和 UDP 泛滥保护的TCP-Synflood-src-based
防洪屏幕。
基于签名的屏幕
表 2 列出了所有基于签名的屏幕选项。
屏幕选项名称 |
描述 |
---|---|
|
启用或禁用TCP WinNuke攻击IDS选项。WinNuke是一种拒绝服务(DoS)攻击,针对互联网上运行Windows的任何计算机。 |
|
使用 TCP SYN 分片攻击 IDS 选项丢弃用于攻击的任何数据包分片。SYN 分片攻击会用 SYN 数据包分片淹没目标主机。主机缓存这些片段,等待剩余片段到达,以便重新组装它们。无法完成的大量连接最终会填满主机的内存缓冲区。无法进一步连接,并且可能会损坏主机的操作系统。 |
|
使用 TCP tcp 无标志 IDS 选项丢弃标志字段缺失或格式不正确的非法 TCP 数据包。阈值定义未设置标志的 TCP 标头的数量。普通 TCP 段标头至少设置了一个控制标志。 |
|
使用 TCP SYN FIN IDS 选项可检测攻击者可用于在目标设备上使用会话的非法标志组合,从而导致拒绝服务 (DoS) 情况。 |
|
启用或禁用 TCP 陆地攻击 IDS 选项。当攻击者发送欺骗性的 SYN 数据包时,就会发生陆地攻击,其中包含受害者的 IP 地址作为目标和源 IP 地址。 |
|
使用不带 ACK 位 IDS 的 FIN 位选项检测非法的标志组合,并拒绝具有此组合的数据包。 |
|
使用 ping of death IDS 选项检测并拒绝过大和不规则的 ICMP 数据包。尽管 TCP/IP 规范要求特定的数据包大小,但许多 ping 实现允许更大的数据包大小。较大的数据包可能会触发一系列不利的系统反应,包括崩溃、冻结和重新启动。 当发送的 IP 数据包超过最大法定长度(65,535 字节)时,就会发生死亡 ping。 |
|
使用 ICMP 片段 IDS 选项检测并丢弃任何设置了更多片段标志或在字段中指示 |
|
使用 ICMP 大 IDS 选项检测并丢弃 IP 长度大于 1024 字节的任何 ICMP 帧。 |
|
使用 IP 未知协议 IDS 选项丢弃所有已接收的协议号大于 IPv4 的协议号大于 137,对于 IPv6,协议号大于 139。此类协议号是未定义或保留的。 |
|
使用 IP 错误 IDS 选项检测并丢弃 IP 数据包标头中 IP 选项格式不正确的任何数据包。设备在入口接口的屏幕计数器列表中记录事件。此屏幕选项适用于 IPv4 和 IPv6。 |
|
使用 IP 严格源路由 IDS 选项检测 IP 选项为 9 的数据包(严格源路由),并将事件记录在入口接口的屏幕计数器列表中。此选项指定数据包在从源到目标的旅程中要执行的完整路由列表。列表中的最后一个地址将替换目标字段中的地址。目前,此屏幕选项仅适用于 IPv4。 |
|
使用 IP 松散源路由 IDS 选项检测 IP 选项为 3 的数据包(松散源路由),并将事件记录在入口接口的屏幕计数器列表中。此选项指定数据包在从源到目标的旅程中要执行的部分路由列表。数据包必须按指定的地址顺序继续前进,但允许在指定的地址之间通过其他设备。松散源路由选项的类型 0 路由标头是 IPv6 中定义的唯一相关标头。 |
|
使用 IP 源路由 IDS 选项检测数据包并将事件记录在入口接口的屏幕计数器列表中。 |
|
使用 IP 流 IDS 选项检测 IP 选项为 8(流 ID)的数据包,并将事件记录在入口接口的屏幕计数器列表中。此选项提供了一种通过不支持流的网络传输 16 位 SATNET 流标识符的方法。目前,此屏幕选项仅适用于 IPv4。 |
|
启用或禁用 IP 数据包分段阻止。启用此功能后,Junos OS 将拒绝安全区域上的 IP 分段,并阻止在绑定到该区域的接口上接收的所有 IP 数据包分段。 |
|
使用 IP 记录路由 IDS 选项检测 IP 选项为 7(记录路由)的数据包,并将事件记录在入口接口的屏幕计数器列表中。此选项记录 IP 数据包传输路径上的网络设备的 IP 地址。目前,此屏幕选项仅适用于 IPv4。 |
|
使用 IP 时间戳 IDS 选项检测 IP 选项列表包含选项 4(互联网时间戳)的数据包,并将事件记录在入口接口的屏幕计数器列表中。此选项记录每个网络设备在从起点到目的地的行程中接收数据包的时间(以世界时为单位)。目前,此屏幕选项仅适用于 IPv4。 |
|
使用 IP 安全 IDS 选项检测 IP 选项为 2(安全)的数据包,并将事件记录在入口接口的屏幕计数器列表中。目前,此屏幕选项仅适用于 IPv4。 |
|
使用 IP 地址欺骗 IDS 选项可防止欺骗攻击。当在数据包标头中插入无效的源地址以使数据包看起来像来自受信任的来源时,就会发生 IP 欺骗。 |
|
使用 IP 撕滴 IDS 选项阻止泪滴攻击。当分段的 IP 数据包重叠并导致试图重组数据包的主机崩溃时,就会发生泪滴攻击。撕毁选项指示设备丢弃任何存在此类差异的数据包。泪滴攻击利用分段 IP 数据包的重组。 |
了解屏幕的中心点架构增强功能
从 Junos OS 15.1X49-D30 版和 Junos OS 17.3R1 版开始,在 SRX5400、SRX5600 和 SRX5800 设备上,中心点架构得到了增强,可实现更高的每秒连接数 (CPS)。由于这些增强功能,中心点会话和中心点数据包处理已从中央点移至服务处理单元 (SPU)。
以前,中央点有会话限制,如果没有可用资源(会话限制条目),则会话限制始终允许数据包。现在,中心点和 SPU 都有会话限制。如果中央点中没有可用资源,但 SPU 中有可用资源,则中心点无法限制会话,但 SPU 可以限制会话。
以下场景描述了中央点和 SPU 确定是允许还是丢弃数据包的情况。
当中央点没有会话限制条目,而 SPU 有会话限制条目时:
如果 SPU 的会话限制计数器大于阈值,则会丢弃数据包。
如果 SPU 的会话限制计数器不大于阈值,则允许数据包。
当 SPU 没有会话限制条目时:
如果 SPU 的会话限制计数器大于阈值,则允许数据包。
如果 SPU 的会话限制计数器不大于阈值,则允许该数据包。
向中心点发送一条额外的消息以保持准确的会话计数可能会影响屏幕的每秒连接数 (CPS)。这会影响源或目标会话限制。
缺少中心点的全球流量统计信息可能会影响某些全局视图屏幕。只有 SYN Cookie 没有全局视图,全局流量统计信息由 SPU 处理,因此计数器可能不像以前那样准确。对于由中央点和 SPU 处理的其他基于统计信息的屏幕,计数器是准确的。
以前,基于统计信息的屏幕仅由中心点处理,日志和 SNMP 陷阱可以严格限制速率。现在,中心点和 SPU 都可以独立生成日志和 SNMP 陷阱。因此,日志和 SNMP 陷阱可能比以前更大。
在 SRX 系列设备上实施屏幕选项
下表列出了在 SRX 系列防火墙上实施并在所有 SRX 系列防火墙上受支持的所有屏幕选项。
屏幕 |
在 NP/CP/SPU 上实施 |
散列模式下的支持 |
在 SOF 模式下的支持 |
---|---|---|---|
|
Np |
是的 |
是的 |
|
Np |
是的 |
是的 |
|
Np |
是的 |
是的 |
|
CP+SPU |
是的 |
是的 |
|
CP+SPU |
是的 |
是的 |
|
CP+SPU |
是的 |
是的 |
|
CP+SPU |
是的 |
是的 |
|
CP+SPU |
是的 |
是的 |
|
Spu |
是的 |
不 |
|
Spu |
是的 |
是的 |
|
Np |
是的 |
是的 |
|
Np |
是的 |
是的 |
|
Spu |
是的 |
是的 |
|
Np |
是的 |
是的 |
|
Np |
是的 |
是的 |
|
Np |
是的 |
是的 |
|
Np |
是的 |
是的 |
|
Np |
是的 |
是的 |
|
Np |
是的 |
是的 |
|
Np |
是的 |
是的 |
|
Np |
是的 |
是的 |
|
Np |
是的 |
是的 |
|
Np |
是的 |
是的 |
|
Np |
是的 |
是的 |
|
Np |
是的 |
是的 |
|
Np |
是的 |
是的 |
|
Np |
是的 |
是的 |
|
Np |
是的 |
是的 |
|
Np |
是的 |
是的 |
|
Np |
是的 |
是的 |
|
CP+SPU |
是的 |
是的 |
|
Spu |
是的 |
是的 |
|
Np |
是的 |
是的 |
|
CP+SPU |
是的 |
是的 |
|
Spu |
是的 |
不 |
|
Spu |
是的 |
不 |
|
Spu |
是的 |
不 |
|
Spu |
是的 |
不 |
|
Spu |
是的 |
不 |
|
Spu |
是的 |
不 |
|
Spu |
是的 |
不 |
IOC1 卡上支持的所有屏幕功能在 IOC2 和 IOC3 卡上均受支持。在SRX5000系列设备和SRX4600设备上,IOC2 卡中的网络处理器单元 (NPU) 由查找单元 (LU) 取代。
示例:配置多个筛选选项
此示例说明如何为多个屏蔽选项创建一个入侵检测服务 (IDS) 配置文件。
要求
配置此功能之前,不需要除设备初始化之外的特殊配置。
概述
在安全区域中,您可以将一个 IDS 配置文件应用于多个筛选选项。在此示例中,我们将配置以下筛选选项:
ICMP 筛查
知识产权筛选
TCP 筛选
UDP 筛选
这些屏蔽选项将分配给不信任区域。
配置
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit]
中,然后从配置模式进入 commit
。
set security screen ids-option screen-config icmp ip-sweep threshold 1000 set security screen ids-option screen-config icmp fragment set security screen ids-option screen-config icmp large set security screen ids-option screen-config icmp flood threshold 200 set security screen ids-option screen-config icmp ping-death set security screen ids-option screen-config ip bad-option set security screen ids-option screen-config ip stream-option set security screen ids-option screen-config ip spoofing set security screen ids-option screen-config ip strict-source-route-option set security screen ids-option screen-config ip unknown-protocol set security screen ids-option screen-config ip tear-drop set security screen ids-option screen-config tcp syn-fin set security screen ids-option screen-config tcp tcp-no-flag set security screen ids-option screen-config tcp syn-frag set security screen ids-option screen-config tcp port-scan threshold 1000 set security screen ids-option screen-config tcp syn-ack-ack-proxy threshold 500 set security screen ids-option screen-config tcp syn-flood alarm-threshold 500 set security screen ids-option screen-config tcp syn-flood attack-threshold 500 set security screen ids-option screen-config tcp syn-flood source-threshold 50 set security screen ids-option screen-config tcp syn-flood destination-threshold 1000 set security screen ids-option screen-config tcp syn-flood timeout 10 set security screen ids-option screen-config tcp land set security screen ids-option screen-config tcp winnuke set security screen ids-option screen-config tcp tcp-sweep threshold 1000 set security screen ids-option screen-config udp flood threshold 500 set security screen ids-option screen-config udp udp-sweep threshold 1000 set security zones security-zone untrust screen screen-config
从配置模式输入 commit
。
程序
分步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参见 Using the CLI Editor in Configuration Mode 中的 Junos OS CLI User Guide。
要为多个筛选选项配置 IDS 配置文件:
配置 ICMP 屏蔽选项。
[edit security screen ids-option screen-config] user@host# set icmp ip-sweep threshold 1000 user@host# set icmp fragment user@host# set icmp large user@host# set icmp flood threshold 200 user@host# set icmp ping-death
配置 IP 屏蔽选项。
[edit security screen ids-option screen-config] user@host# set ip bad-option user@host# set ip stream-option user@host# set ip spoofing user@host# set ip strict-source-route-option user@host# set ip unknown-protocol user@host# set ip tear-drop
配置 TCP 屏蔽选项。
[edit security screen ids-option screen-config] user@host# set tcp syn-fin user@host# set tcp tcp-no-flag user@host# set tcp syn-frag user@host# set tcp port-scan threshold 1000 user@host# set tcp syn-ack-ack-proxy threshold 500 user@host# set tcp syn-flood alarm-threshold 500 user@host# set tcp syn-flood attack-threshold 500 user@host# set tcp syn-flood source-threshold 50 user@host# set tcp syn-flood destination-threshold 1000 user@host# set tcp syn-flood timeout 10 user@host# set tcp land user@host# set tcp winnuke user@host# set tcp tcp-sweep threshold 1000
配置 UDP 屏蔽选项。
[edit security screen ids-option screen-config] user@host# set udp flood threshold 500 user@host# set udp udp-sweep threshold 1000
将 IDS 配置文件附加到区域。
[edit] user@host# set security zones security-zone untrust screen screen-config
结果
在配置模式下,输入 show security screen ids-option screen-config
和 show security zones
命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
[edit] user@host# show security screen ids-option screen-config icmp { ip-sweep threshold 1000; fragment; large; flood threshold 200; ping-death; } ip { bad-option; stream-option; spoofing; strict-source-route-option; unknown-protocol; tear-drop; } tcp { syn-fin; tcp-no-flag; syn-frag; port-scan threshold 1000; syn-ack-ack-proxy threshold 500; syn-flood { alarm-threshold 500; attack-threshold 500; source-threshold 50; destination-threshold 1000; timeout 10; } land; winnuke; tcp-sweep threshold 1000; } udp { flood threshold 500; udp-sweep threshold 1000; }
[edit] user@host# show security zones security-zone untrust { screen screen-config; }
如果完成设备配置,请从配置模式输入 commit 。
验证
验证多个筛选选项的 IDS 配置文件
目的
验证是否正确配置了多个筛选选项的 IDS 配置文件。
行动
show security screen ids-option screen-config Screen object status
在操作模式下输入和show security zones
命令。
user@host> show security screen ids-option screen-config Screen object status: Name Value ICMP flood threshold 200 UDP flood threshold 500 TCP winnuke enabled TCP port scan threshold 1000 ICMP address sweep threshold 1000 TCP sweep threshold 1000 UDP sweep threshold 1000 IP tear drop enabled TCP SYN flood attack threshold 500 TCP SYN flood alarm threshold 500 TCP SYN flood source threshold 50 TCP SYN flood destination threshold 1000 TCP SYN flood timeout 10 IP spoofing enabled ICMP ping of death enabled TCP land attack enabled TCP SYN fragment enabled TCP no flag enabled IP unknown protocol enabled IP bad options enabled IP strict source route option enabled IP stream option enabled ICMP fragmentation enabled ICMP large packet enabled TCP SYN FIN enabled TCP SYN-ACK-ACK proxy threshold 500 user@host> show security zones Security zone: untrust Send reset for non-SYN session TCP packets: Off Policy configurable: Yes Screen: screen-config Interfaces bound: 0 Interfaces:
在所有 SRX 系列防火墙上,TCP 同步泛洪警报阈值并不表示丢弃的数据包数,但该值会显示达到警报阈值后的数据包信息。
同步 cookie 或代理从不丢弃数据包;因此, alarm-without-drop
(不是 drop
)操作显示在系统日志中。
了解SRX5000模块端口集中器上的屏幕选项
SRX5000 系列模块端口集中器 (SRX5K-MPC) 支持 Junos OS 屏幕选项。屏幕选项通过检查(然后允许或拒绝)需要穿越绑定到该区域的接口的所有连接尝试来保护区域。
使用屏幕选项,您的安全设备可以抵御不同的内部和外部攻击,包括 SYN 泛滥攻击、UDP 泛滥攻击和端口扫描攻击。Junos OS 在处理安全策略之前对流量应用屏幕检查,从而降低资源利用率。
屏幕选项分为以下两类:
基于统计信息的屏幕
基于签名的屏幕
基于统计信息的屏幕
在 SRX5K-MPC 上实施的所有屏幕功能都独立于第 2 层或第 3 层模式。泛洪保护用于防御 SYN 泛滥攻击、会话表泛滥攻击、防火墙拒绝服务 (DoS) 攻击和网络 DoS 攻击。
对于 IPv4 和 IPv6,将在每个处理器上执行以下四种类型的基于阈值的泛洪保护:
基于 UDP 的防洪保护
基于 ICMP 的防洪保护
基于 TCP 源的 SYN 泛滥保护
基于 TCP 目标的 SYN 泛洪保护
如果在区域中配置了两种类型的 TCP SYN 泛滥保护中的一种,则会在同一区域上自动启用第二种类型的 TCP SYN 泛滥保护。这两种类型的保护始终协同工作。
每种类型的泛洪保护都是基于阈值的,阈值是在每个微处理器上按区域计算的。如果在微处理器芯片上检测到泛洪,则该特定微处理器将根据配置对违规数据包采取措施:
默认操作(报告和丢弃)— 屏幕记录和报告在 SPU 上完成,因此为此需要将有问题的数据包转发到中央点或 SPU。为了防止 SPU 泛洪,每秒只会将区域中每个屏幕的第一个违规数据包发送到 SPU,以进行记录和报告。其余的违规数据包被计数并丢弃在微处理器中。
例如,假设在逻辑接口上配置 UDP 泛洪,阈值设置为每秒 5000 个数据包。如果 UDP 数据包以每秒 20,000 个的速率传入,则每秒大约有 5000 个 UDP 数据包被转发到中央点或 SPU,其余数据包被检测为泛洪。但是,每秒只会向 SPU 发送一个 UDP 泛洪数据包以进行日志记录和报告。剩余的数据包在微处理器中丢弃。
仅报警(不丢弃报警)— 不会丢弃屏幕保护检测到的违规数据包。它会跳过屏幕检查的其余部分,并转发到中心点或 SPU,并将屏幕结果复制到其元标头。它不计为丢弃的数据包。
IOC1 和 IOC2 之间的差异
无论设备具有 IOC1 还是 IOC2 卡,屏幕的行为都是相同的。但是,基于统计信息的屏幕的阈值存在差异。 表 4 列出了基于统计信息的屏幕选项和屏幕行为,具体取决于设备是具有 IOC1 还是 IOC2 卡。
屏幕选项名称 |
描述 |
IOC1 |
IOC2 |
---|---|---|---|
|
设置 ICMP 泛滥阈值。ICMP 泛滥屏幕选项用于防范 ICMP 泛滥攻击。当 ICMP 回显请求使用所有资源进行响应,导致无法再处理有效的网络流量时,通常会发生 ICMP 泛洪攻击。 阈值定义在设备拒绝更多 ICMP 数据包之前,每秒允许对同一目标地址执行 ping 操作的 ICMP 数据包数。 |
如果传入流量超过阈值 pps,则会丢弃数据包或发出警报。 |
在SRX5000带有 IOC2 卡的系列设备上,查找 (LU) 芯片的屏幕配置发生了变化。每个 IOC2 卡中有四个 LU 芯片。如果传入流量超过阈值 pps,则会丢弃数据包。例如,如果用户指定阈值为 1000 pps,我们在内部在每个 LU 芯片上配置 250 pps,以便 1000 pps 的阈值在 4 个 LU 芯片之间平均分配。作为预期结果,用户获得 1000 pps 的总体阈值。 在SRX5000线路设备上,当 IOC2 卡处于服务卸载模式时,只有一个 LU 芯片可以正常工作。如果传入流量速率超过阈值,则会由于预期行为而丢弃数据包。 |
|
设置 UDP 泛滥阈值。UDP 泛滥屏幕选项用于防止 UDP 泛滥攻击。当攻击者发送包含 UDP 数据报的 IP 数据包以减慢资源速度,使有效连接无法再处理时,就会发生 UDP 泛滥攻击。 阈值定义允许对同一目标 IP 地址/端口对执行 ping 操作的 UDP pp 数。当数据包数在任何 1 秒内超过此值时,设备将生成告警,并在该秒的剩余时间内丢弃后续数据包。 |
如果传入流量超过阈值 pps,则会丢弃数据包或发出警报。 |
在SRX5000带有 IOC2 卡的系列设备上,查找 (LU) 芯片的屏幕配置发生了变化。每个 IOC2 卡中有四个 LU 芯片。如果传入流量超过阈值 pps,则会丢弃数据包。例如,如果用户指定阈值为 1000 pps,我们在内部在每个 LU 芯片上配置 250 pps,以便 1000 pps 的阈值在 4 个 LU 芯片之间平均分配。作为预期结果,用户获得 1000 pps 的总体阈值。 在SRX5000线路设备上,当 IOC2 卡处于服务卸载模式时,只有一个 LU 芯片可以正常工作。如果传入流量速率超过阈值,则会由于预期行为而丢弃数据包。 |
|
设置 TCP SYN 泛洪源阈值。阈值定义在设备开始丢弃连接请求之前每秒要接收的 SYN 段数。 适用范围为 4 到 500,000 SYN pps。 |
如果传入流量超过阈值 pps,则会丢弃数据包或发出警报。 |
在SRX5000带有 IOC2 卡的系列设备上,查找 (LU) 芯片的屏幕配置发生了变化。每个 IOC2 卡中有四个 LU 芯片。如果传入流量超过阈值 pps,则会丢弃数据包。例如,如果用户指定阈值为 1000 pps,我们在内部在每个 LU 芯片上配置 250 pps,以便 1000 pps 的阈值在 4 个 LU 芯片之间平均分配。作为预期结果,用户获得 1000 pps 的总体阈值。 在SRX5000线路设备上,当 IOC2 卡处于服务卸载模式时,只有一个 LU 芯片可以正常工作。如果传入流量速率超过阈值,则会由于预期行为而丢弃数据包。 |
|
设置 TCP SYN 泛滥目标阈值。阈值定义在设备开始丢弃连接请求之前每秒接收的 SYN 分段数。 适用范围为 4 到 500,000 SYN pps。 |
如果传入流量超过阈值 pps,则会丢弃数据包或发出警报。 |
在SRX5000带有 IOC2 卡的系列设备上,查找 (LU) 芯片的屏幕配置发生了变化。每个 IOC2 卡中有四个 LU 芯片。如果传入流量超过阈值 pps,则会丢弃数据包。例如,如果用户指定阈值为 1000 pps,我们在内部在每个 LU 芯片上配置 250 pps,以便 1000 pps 的阈值在 4 个 LU 芯片之间平均分配。作为预期结果,用户获得 1000 pps 的总体阈值。 在SRX5000线路设备上,当 IOC2 卡处于服务卸载模式时,只有一个 LU 芯片可以正常工作。如果传入流量速率超过阈值,则会由于预期行为而丢弃数据包。 |
在 SRX5400、SRX5600 和 SRX5800 系列设备上,将为 DUT 中的每个 IOC 为 LAG/LACP 和 RLAG/RETH 子链路设置屏幕阈值。如果将跨 IOC 子接口作为 LAG/LACP 或 RETH/RLAG 接口的一部分,并且入口流量也在跨 IOC 遍历多个子链路,请将阈值设置为将屏幕从多个 IOC 传递的数据包总数与出口接口上的预期每秒数据包总数 (pps) 相匹配。
基于签名的屏幕
SRX5K-MPC 提供基于签名的筛选选项,并对收到的数据包进行健全性检查。
有时设备收到的数据包格式错误或无效,可能会对设备和网络造成损坏。在处理的初始阶段必须丢弃这些数据包。
对于基于签名的筛选选项和健全性检查,将检查数据包内容,包括数据包标头、状态和控制位以及扩展标头(对于 IPv6)。您可以根据需要配置屏幕,而默认情况下会执行数据包完整性检查。
数据包健全性检查和筛选选项对入口接口上接收的数据包执行。
处理器执行健全性检查并运行一些屏幕功能来检测从物理接口接收的格式错误和恶意入口数据包。未通过健全性检查的数据包将被计数并丢弃。
支持以下数据包健全性检查:
IPv4 健全性检查
IPv6 健全性检查
支持以下屏幕功能:
基于 IP 的屏幕
基于 UDP 的屏幕
基于 TCP 的屏幕
基于 ICMP 的屏幕
屏幕功能适用于 IPv4 和 IPv6 数据包,但 IP 选项屏幕除外,它仅适用于 IPv4 数据包。如果一个屏幕选项检测到数据包,它将跳过屏幕检查的其余部分,并转发到中央点或服务处理单元 (SPU) 进行日志记录和统计信息收集。
在 SRX5400、SRX5600 和 SRX5800 设备上,首先执行第一个路径签名屏幕,然后执行快速路径 bad-inner-header
屏幕。
了解屏幕的 IPv6 支持
瞻博网络在区域和策略级别提供各种检测和防御机制,以在漏洞执行的各个阶段进行攻击。屏幕选项位于区域级别。Junos OS 屏幕选项通过检查区域,然后允许或拒绝需要跨越绑定到该区域的接口的所有连接尝试来保护区域。
您可以配置屏幕选项,以基于 IPv6 扩展标头、数据包标头和 ICMPv6 流量检查和过滤数据包。根据您的配置,屏幕可以丢弃数据包、创建日志,并为 IPv6 流量提供更多的统计信息。
IPv6 扩展标头检查和过滤
您可以使用该 ipv6-extension-header
语句有选择地筛选一个或多个扩展标头。 表 5 列出了常见的 IPv6 扩展标头及其类型值。
标头名称 |
标头类型值 |
互联网标准 |
---|---|---|
认证 |
51 |
RFC 2460 |
封装安全有效负载 |
50 |
RFC 2460 |
主机识别协议 |
139 |
RFC 5201 |
目的地选项
|
60 |
RFC 2460 |
片段 |
44 |
RFC 2460 |
逐跳选项
|
0 |
RFC 2460 |
流动性 |
135 |
RFC 6275 |
没有下一个 |
59 |
RFC 2460 |
路由 |
43 |
RFC 2460 |
希姆6 |
140 |
RFC 5533 |
最大扩展标头数
您可以使用语句指定数据包 ipv6-extension-header-limit
中允许的最大扩展标头数。尽管未明确指定数据包中扩展标头的最大数量,但建议在 RFC 2460 中按扩展标头的顺序排列:
逐跳选项标头
“目标选项”标头
路由标头
片段扩展标头
身份验证标头
封装安全有效负载标头
“目标选项”标头
每个扩展标头最多应出现一次,但目标选项标头除外,目标选项标头最多应出现两次(一次在路由标头之前,一次在上层协议标头之前)。
基于 RFC 2460 的最大扩展标头编号为 7。其他扩展标头已由后续 RFC 定义。建议最大扩展标头编号在 0 到 32 的范围内。
错误选项扩展标头
您可以配置屏幕以检测并丢弃 IP 数据包标头(IPv4 或 IPv6)中 IP 选项格式不正确的任何数据包。设备在入口接口的屏幕计数器列表中记录事件。 表 6 列出了设备用于筛选数据包以查找错误选项的关键标准。
筛选标准 |
互联网标准 |
描述 |
---|---|---|
路由扩展标头位于片段标头之后 |
RFC 2460 |
定义数据包中扩展标头的顺序;因此,片段扩展标头必须位于路由标头之后。 |
路由器警报参数错误 |
RFC 2711 |
此选项位于逐跳标头和 Junos OS 实现中:
|
多个背靠背焊盘选项 |
草稿-克里希南-IPv6-跳跃-00 |
此类流量被筛选为错误数据包。 |
PadN 选项中的非零有效负载 |
RFC 4942 |
系统检查 PadN 的有效负载中是否只有零个八位位组。 |
填充超出下一个八位字节边界 |
RFC 4942 |
系统将检查填充是否超出下一个八个八位字节边界。没有正当理由在下一个八个八位字节边界之外填充。 |
具有非零 IPv6 报头有效负载的巨大有效负载 |
RFC 2675 |
在携带巨型有效负载选项的每个数据包中,IPv6 标头中的有效负载长度字段必须设置为零。 |
ICMPv6 检查和过滤
您可以启用 ICMPv6 检查和过滤。然后,系统会检查收到的 ICMPv6 数据包是否与定义的条件匹配,并对匹配的数据包执行指定的操作。一些关键定义的标准如下:
未知类型的信息消息 — 定义了多种类型的 ICMPv6 信息消息,例如回显请求(值 128)、回显回复(值 129)和路由器请求(值 133)。最大类型定义为 149。任何大于 149 的值都将被视为未知类型并相应地进行筛选。
不符合 ICMPv6 ND 数据包格式规则 (RFC 4861) — 存在一些标准规则,例如 IP 跃点限制字段的值为 255,ICMP 校验和必须有效,ICMP 代码必须为 0,等等。
格式错误的 ICMPv6 数据包过滤 — 例如,ICMPv6 数据包太大(消息类型 2),下一个标头设置为路由 (43),路由标头设置为逐跳。
IPv6 数据包标头检查和过滤
您可以使用语句 ipv6-malformed-header
启用 IPv6 数据包标头的检查和过滤。启用后,系统会验证任何传入的 IPv6 数据包,以检查它是否符合任何定义的条件。然后,系统对匹配的数据包执行指定的操作(丢弃或不丢弃报警)。 表 7 列出了设备用于筛选数据包的关键标准。
筛选标准 |
互联网标准 |
描述 |
---|---|---|
已弃用的站点本地源地址和目标地址 |
RFC 3879 |
不支持 IPv6 站点本地单播前缀(1111111011二进制或 FEC0::/10)。 |
非法的组播地址范围值 |
RFC 4291 |
未分配的组播地址范围值被视为非法。 |
仅文档前缀 (2001:DB8::/32) |
RFC 3849 |
IANA 将在 IPv6 地址注册表中记录 IPv6 全局单播地址前缀 (2001:DB8::/32) 作为仅文档前缀的分配情况。不会为任何终端方分配此地址。 |
已弃用的与 IPv4 兼容的 IPv6 源地址和目标地址 (::/96) |
RFC 4291 |
与 IPv4 兼容的 IPv6 地址已弃用,不受支持。 |
ORCHID 源地址和目标地址 (2001:10::/28) |
RFC 5156 |
叠加可路由加密散列标识符 (2001:10::/28) 的地址用作标识符,不能用于 IP 层路由。此块内的地址不得出现在公共互联网上。 |
嵌入在 IPv6 地址 (64:ff9b::/96) 中的 IPv4 地址是非法的、不可接受的 IPv4 地址 |
RFC 6052 |
IPv6 地址 64:ff9b::/96 保留为“已知前缀”,用于算法映射。 |
了解屏幕 IPv6 隧道控制
提供了几种 IPv6 转换方法,用于在不支持 IPv6 的 IPv4 网络上利用 IPv6 数据包的隧道。因此,这些方法使用公共网关并绕过运营商的策略。
隧道数据包的安全性是服务提供商关注的主要问题,因为攻击者很容易访问隧道数据包。许多 IPv6 转换方法已经发展起来,用于通过网络发送隧道数据包;但是,由于其中一些在公共网关上运行,因此它们绕过了运营商的策略。这意味着数据包传输会暴露给攻击者。为了克服和保护数据包的传输,IPv6 终端节点需要对封装的数据包进行解封装。Screen 是根据用户偏好阻止或允许隧道流量的最新可用技术之一。
您可以配置以下屏幕选项,以根据 IPv6 扩展标头、数据包标头和错误内部标头 IPv6 或 IPv4 地址验证检查和过滤数据包。根据您的配置,屏幕可以丢弃数据包、创建日志,并为 IP 隧道提供更多的统计信息。
GRE 4in4 隧道:GRE 4in4 隧道屏幕与以下签名匹配:
| IPv4 outer header | GRE header | IPv4 inner header
外部 IPv4 报头必须是 协议 47 GRE 封装。GRE 报头必须具有 协议 E 类型0x0800 IPv4。如果满足这些条件,则此数据包被归类为 GRE 4in4 隧道签名。
GRE 4in6 隧道:GRE 4in6 隧道屏幕与以下签名匹配:
IPv6 outer main header | IPv6 extension header(s) | GRE header | IPv4 inner header
对于 GRE,外部 IPv6 主报头或 IPv6 扩展报头的 下一个报头必须值为 47。GRE 报头必须具有 协议 E 类型0x0800 IPv4。如果满足这些条件,则此数据包被归类为 GRE 4in6 隧道签名。
GRE 6in4 隧道:GRE 6in4 隧道屏幕与以下签名匹配:
IPv4 outer header | GRE header | IPv6 inner header
外部 IPv4 报头必须是 协议 47 GRE 封装。GRE 报头必须具有协议 E 类型 0x086DD IPv6 。如果满足这些条件,则此数据包被归类为 GRE 6in4 隧道签名。
GRE 6in6 隧道:GRE 6in6 隧道屏幕与以下签名匹配:
IPv6 outer main header | IPv6 extension header(s) | GRE header | IPv6 inner header
对于 GRE,外部 IPv6 主报头或 IPv6 扩展报头的下一个报头必须值为 47。GRE 报头必须具有 协议 E 类型 0x086DD' IPv6。如果满足这些条件,则此数据包被归类为 GRE 6in6 隧道签名。
IPinIP 6to4 中继隧道 :IPinIP 6to4 中继隧道屏幕与以下签名匹配:
| IPv4 outer header | IPv6 inner header
外部 IPv4 报头必须是 协议 41 IPv6 封装。外部标头源地址或目标地址必须位于网络 192.88.99.0/24 中。内部 IPv6 标头源地址或目标地址必须位于网络 2002:/16 中。如果满足这些条件,则此数据包被归类为 IPinIP 6to4 中继隧道签名。
IPinIP 6in4 隧道 :IPinIP 6in4 隧道屏幕与以下签名匹配:
| IPv4 outer header | IPv6 inner header
外部 IPv4 报头必须是 协议 41 IPv6 封装。如果满足此条件,则此数据包被归类为 IPinIP 6in4 隧道签名。
注意:通常,当 IPv6 数据包需要在完整的 IPv4 网络中传输时,IPv6 数据包会使用点对点 6in4 隧道。
IPinIP 6over4 隧道 : IPinIP 6over4 隧道屏幕与以下签名匹配:
| IPv4 outer header | IPv6 inner header
外部 IPv4 报头必须是 协议 41 IPv6 封装:W。内部报头源地址或目标地址必须位于 fe80::/64 网络中。如果满足这些条件,则此数据包被归类为 IPinIP 6over4 隧道签名。
IPinIP 4in6 隧道 :IPinIP 4in6 隧道屏幕与以下签名匹配:
| IPv6 outer main header | IPv6 extension header(s) | IPv4 inner header
对于 IPv4,外部 IPv6 报头或 IPv6 扩展报头的下一个报头必须具有 值 04 的下一个报头。如果满足这些条件,则此数据包被归类为 IPinIP 4in6 隧道签名。
IPinIP ISATAP 隧道:IPinIP ISATAP 隧道屏幕与以下签名匹配:
| IPv6 outer main header | IPv6 inner header
外部 IPv4 报头必须是 协议 41 IPv6 封装。内部 IPv6 报头源地址或目标地址必须位于 fe80:: 200:5efe/96 或 fe80::5efe/96 网络中。如果满足这些条件,则此数据包被归类为 IPinIP ISATAP 隧道签名。
IPinIP DS-Lite 隧道:IPinIP DS-Lite 隧道屏幕与以下签名匹配:
| IPv6 outer main header | IPv6 extension header(s) | IPv4 inner header
对于 IPv4,外部 IPv6 报头或 IPv6 扩展报头的下一个报头必须具有 值 04 的下一个报头。内部 IPv4 源地址或目标地址必须位于 192.0.0.0/29 网络中。如果满足这些条件,则此数据包归类为 IPinIP DS-Lite 隧道签名。
IPinIP 6in6 隧道:IPinIP 6in6 隧道屏幕与以下签名匹配:
| IPv6 outer main header | IPv6 extension header(s) | IPv6 inner main header
对于 IPv6,外部 IPv6 主报头或 IPv6 扩展报头的下一个报头必须具有 值为 41 的下一个报头。内部 IPv6 主报头必须是 版本 6。如果满足这两个条件,则此数据包被归类为 IPinIP 6in6 隧道签名。
IPinIP 4in4 隧道:IPinIP 4in4 隧道屏幕与以下签名匹配:
| IPv6 outer header | IPv4 inner header
。对于 IPv4,外部 IPv4 报头必须具有值为 04 的协议。内部 IPv4 报头必须是 版本 4。IPinUDP Teredo 隧道:IPinUDP Teredo 隧道匹配以下签名:
IPv4 outer header | UDP header | IPv6 inner header
对于 UDP 有效负载,外部 IPv4 报头的协议必须为 17。UDP 标头源或目标端口必须为 3544。内部 IPv6 标头源地址或目标地址必须位于网络 2001:0000:/32 中。
IP 隧道内部标头错误检查:“内部标头错误隧道”屏幕检查隧道流量内部标头信息的一致性。当检测到以下任何情况时,数据包将被丢弃:
内部标头与外部标头不匹配。
内部标头 TTL 或跃点限制不得为 0 或 255。
内部标头 IPv6 地址检查。
内部标头 IPv4 地址检查。
外部和内部标头长度检查:
内部报头 IPv4 和 IPv6 TCP/UDP/ICMP 报头长度检查:
当内部 IP(v4/v6) 不是第一个、下一个或最后一个片段时,TCP/UDP/ICMP 报头长度必须适合内部 IPv4/IPv6/EH6 报头长度。
TCP:最小 TCP 标头大小必须适合之前的封装长度。
ICMP:最小 ICMP 标头大小必须适合之前的封装长度。
分段数据包:对于分段数据包,如果需要检查某个屏幕的隧道信息,并且这些信息不在第一个分段中,则除了第一个分段中包含的隧道封装部分外,不会执行检查。使用实际数据包缓冲区长度对第一个分片数据包执行长度检查,但由于内部标头大于外部标头,因此忽略长度检查。
当外部报头是第一个分片时,请勿检查分片过去的物理数据包长度。
当内部标头是第一个片段时,不要检查片段的过去长度。
对于非第一个分片数据包,不会在“坏的内部标头隧道”屏幕中执行检查。
当外部标头是非第一个分段时,请检查数据包中是否有仅使用 IP 标头签名的屏幕,因为无法检查有效负载。
当内部标头为非第一个分片时,请勿检查下一个数据包。
IPv4 内部报头检查 IPv4 报头是否为 20 到 50 字节。
在所有 SRX 系列防火墙上,当建立数据包允许或丢弃会话时,将在每个数据包上执行内部标头错误屏幕,因为此屏幕是快速路径屏幕。
在 SRX300、SRX320、SRX340、SRX345、SRX380、SRX1500、SRX4100、SRX4200设备和 vSRX 虚拟防火墙实例上,始终首先执行快速路径错误内部标头屏幕,然后执行第一个路径签名屏幕。
从 Junos OS 版本 12.3X48-D10 和 Junos OS 版本 17.3R1 开始,系统日志消息 RT_SCREEN_IP
和 RT_SCREEN_IP_LS
IP 隧道屏幕已更新。更新的消息包括隧道屏幕攻击和日志不丢弃条件。以下列表说明了每种隧道类型的这些新系统日志消息的一些示例:
RT_SCREEN_IP: Tunnel GRE 6in4! source: 12.12.12.1, destination: 11.11.11.1, zone name: untrust, interface name: ge-0/0/1.0, action: alarm-without-drop
RT_SCREEN_IP: Tunnel GRE 6in6! source: 1212::12, destination: 1111::11, zone name: untrust, interface name: ge-0/0/1.0, action: drop
RT_SCREEN_IP: Tunnel GRE 4in4! source: 12.12.12.1, destination: 11.11.11.1, zone name: untrust, interface name: ge-0/0/1.0, action: drop
RT_SCREEN_IP_LS: [lsys: LSYS1] Tunnel GRE 6in4! source: 12.12.12.1, destination: 11.11.11.1, zone name: untrust, interface name: ge-0/0/1.0, action: alarm-without-drop
RT_SCREEN_IP_LS: [lsys: LSYS1] Tunnel GRE 6in6! source: 1212::12, destination: 1111::11, zone name: untrust, interface name: ge-0/0/1.0, action: drop
RT_SCREEN_IP_LS: [lsys: LSYS1] Tunnel GRE 4in4! source: 12.12.12.1, destination: 11.11.11.1, zone name: untrust, interface name: ge-0/0/1.0, action: drop
示例:使用 IP 隧道屏幕选项提高隧道流量安全性
此示例说明如何配置隧道屏幕,以使屏幕能够控制、允许或阻止隧道流量的传输。
要求
概述
您可以配置以下 IP 隧道屏幕选项,以根据 IPv6 扩展标头、数据包标头和不良内部标头 IPv6 或 IPv4 地址验证检查和过滤数据包。根据您的配置,屏幕可以丢弃数据包、创建日志,并为 IP 隧道提供更多的统计信息。以下隧道屏幕选项将分配给不信任区域。
GRE 4 合 4 隧道
GRE 4in6 隧道
GRE 6 合 4 隧道
GRE 6in6 隧道
IPinUDP Teredo 隧道
IPinIP 4in4 隧道
IPinIP 4in6 隧道
IPinIP 6 英寸 4 隧道
IPinIP 6in6 隧道
IPinIP 6over4 隧道
IPinIP 6to4 中继隧道
IPinIP ISATAP 隧道
IPinIP DS-Lite 隧道
内部标头通道错误
配置
要配置 IP 隧道屏幕选项,请执行以下操作:
配置 GRE 隧道屏蔽
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit]
中,然后从配置模式进入 commit
。
set security screen ids-option screen1 ip tunnel gre gre-4in4 set security screen ids-option screen1 ip tunnel gre gre-4in6 set security screen ids-option screen1 ip tunnel gre gre-6in4 set security screen ids-option screen1 ip tunnel gre gre-6in6 set security zones security-zone untrust screen screen1
分步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参见 Using the CLI Editor in Configuration Mode 中的 CLI User Guide。
要配置 GRE 隧道屏幕:
配置 GRE 隧道屏幕以检查隧道流量内部标头信息的一致性并验证签名类型屏幕。
[edit security screen ids-option screen1 ip tunnel gre] user@host# set gre-4in4 user@host# set gre-4in6 user@host# set gre-6in4 user@host# set gre gre-6in6
配置安全区域中的屏幕。
user@host#set security zones security-zone untrust screen screen1
配置 IPinUDP Teredo 隧道屏幕
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit]
中,然后从配置模式进入 commit
。
set security screen ids-option screen1 ip tunnel ip-in-udp teredo set security zones security-zone untrust screen screen1
分步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参见 Using the CLI Editor in Configuration Mode 中的 CLI User Guide。
要配置 IPinUDP Teredo 隧道屏幕,请执行以下操作:
配置 IPinUDP Teredo 隧道屏幕以检查隧道流量内部标头信息的一致性并验证签名类型屏幕。
[edit security screen ids-option screen1 ip tunnel] user@host# set ip-in-udp teredo
配置安全区域中的屏幕。
user@host# set security zones security-zone untrust screen screen1
配置 IPinIP 隧道屏幕
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit]
中,然后从配置模式进入 commit
。
set security screen ids-option screen1 ip tunnel ipip dslite set security screen ids-option screen1 ip tunnel ipip ipip-4in4 set security screen ids-option screen1 ip tunnel ipip ipip-4in6 set security screen ids-option screen1 ip tunnel ipip ipip-6in4 set security screen ids-option screen1 ip tunnel ipip ipip-6in6 set security screen ids-option screen1 ip tunnel ipip ipip-6over4 set security screen ids-option screen1 ip tunnel ipip ipip-6to4relay set security screen ids-option screen1 ip tunnel ipip isatap set security zones security-zone untrust screen screen1
分步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要配置 IPinIP 隧道屏幕,请执行以下操作:
配置 IPinIP 隧道屏幕以检查隧道流量内部标头信息的一致性并验证签名类型屏幕。
[edit security screen ids-option screen1 ip tunnel ipip] user@host# set dslite user@host# set ipip-4in4 user@host# set ipip-4in6 user@host# set ipip-6in4 user@host# set ipip-6in6 user@host# set ipip-6over4 user@host# set ipip-6to4relay user@host# set ipip-isatap
配置安全区域中的屏幕。
user@host# set security zones security-zone untrust screen screen1
配置错误的内部标头隧道屏幕
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit]
中,然后从配置模式进入 commit
。
set security screen ids-option screen1 ip tunnel bad-inner-header set security zones security-zone untrust screen screen1
分步过程
以下示例要求您在配置层次结构中导航各个级别。
要配置错误的内部标头隧道屏幕,请执行以下操作:
配置错误的内部标头隧道屏幕,以检查隧道流量内部标头信息的一致性。
[edit security screen ids-option screen1 ip tunnel] user@host# set bad-inner-header
配置安全区域中的屏幕。
user@host# set security zones security-zone untrust screen screen1
结果
在配置模式下,输入 show security screen
和 show security screen statistics zone untrust ip tunnel
命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
为简洁起见,此 show
输出仅包含与此示例相关的配置。系统上的任何其他配置都已替换为省略号 (...)。
[edit] user@host# show security screen ... ids-option screen1 { ip{ tunnel { gre { gre-4in4; gre-4in6; gre-6in4; gre-6in6; } ip-in-udp { teredo; } ipip { ipip-4in4; ipip-4in6; ipip-6in4; ipip-6in6; ipip-6over4; ipip-6to4relay; isatap; dslite; } bad-inner-header; } } }
如果完成设备配置,请从配置模式输入 commit
。
验证
确认配置工作正常。
验证安全屏幕配置
目的
显示有关安全屏幕的配置信息。
行动
在操作模式下,输入 show security screen ids-option screen1
命令。
user@host> show security screen ids-option screen1 show security screen ids-option screen1: Name Value IP Tunnel Bad Inner Header enabled IP Tunnel GRE 6in4 enabled IP Tunnel GRE 4in6 enabled IP Tunnel GRE 6in6 enabled IP Tunnel GRE 4in4 enabled IP Tunnel IPinUDP Teredo enabled IP Tunnel IPIP 6to4 Relay enabled IP Tunnel IPIP 6in4 enabled IP Tunnel IPIP 6over4 enabled IP Tunnel IPIP 4in6 enabled IP Tunnel IPIP 4in4 enabled IP Tunnel IPIP 6in6 enabled IP Tunnel IPIP ISATAP enabled IP Tunnel IPIP DS-Lite enabled
意义
该命令将 show security screen ids-option screen1
屏幕对象状态显示为已启用。
验证安全区域中的 IP 隧道屏幕
目的
验证是否已在安全区域中正确配置 IP 隧道屏幕选项。
行动
在操作模式下,输入 show security screen statistics zone untrust ip tunnel
命令。
user@host> show security screen statistics zone untrust ip tunnel IP Tunnel Screen statistics: IDS attack type Statistics IP tunnel GRE 6in4 0 IP tunnel GRE 4in6 0 IP tunnel GRE 6in6 0 IP tunnel GRE 4in4 0 IP tunnel IPIP 6to4 relay 0 IP tunnel IPIP 6in4 0 IP tunnel IPIP 6over4 0 IP tunnel IPIP 4in6 0 IP tunnel IPIP 4in4 0 IP tunnel IPIP 6in6 0 IP tunnel IPIP ISATAP 0 IP tunnel IPIP DS-Lite 0 IP tunnel IPinUDP Teredo 0 IP tunnel bad inner header 0
意义
该 show security screen statistics zone untrust ip tunnel
命令将显示 IP 隧道屏幕统计信息摘要。
更改历史记录表
功能支持由您使用的平台和版本决定。使用功能资源管理器确定您的平台是否支持某个 功能 。
TCP-Synflood-dst-based
和 UDP 泛滥保护的
TCP-Synflood-src-based
防洪屏幕。
RT_SCREEN_IP
和
RT_SCREEN_IP_LS
IP 隧道屏幕已更新。