Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

修改安全设备的屏幕配置

您可以使用“修改配置”页面上的“屏幕”部分来修改设备的安全屏幕配置。您可以修改与屏幕名称、拒绝服务、异常和侦测相关的设置。

注意:

请参阅特定版本和设备的 Junos OS 文档(可在 http://www.juniper.net/documentation/en_US/release-independent/junos/information-products/pathway-pages/junos/product/ 获取)。在这里,您可以找到有关该设备的配置参数的详细信息。

要修改屏幕参数:

  1. 选择 “设备 ”> “安全设备”。

    1. 此时将显示“安全密码器”页面。

  2. 选择要修改其配置的设备。
  3. 从“更多”或右键单击菜单中,选择 “配置 ”> “修改配置”。

    1. 此时将显示“修改配置”页。

  4. 单击 屏幕

    1. 此时将显示“屏幕”页面。

  5. 对于 SRX 系列设备,请根据 表 1 中提供的准则修改配置。

    从 Junos Space Security Director 16.2 版开始,您可以为 MX 系列路由器配置屏幕。对于 MX 系列路由器,请根据 表 2 中提供的准则修改配置。

  6. 修改配置后,您可以取消更改、保存更改、预览更改或保存更改并在设备上部署配置。请参阅 修改安全设备的配置
表 1:SRX 系列设备的筛选

设置

指引

名字

修改屏幕的名称。

描述

修改屏幕的说明。

在不丢弃数据包的情况下生成告警

选中此复选框可在检测到攻击时生成告警,但不能阻止攻击。

拒绝服务

陆地攻击防护

选择此选项可防止陆地攻击,即攻击者发送欺骗性 IP 数据包,其标头包含源和目标 IP 地址的目标 IP 地址。

将 SYN 防洪防御与 IP 欺骗保护相结合,可防止陆地攻击

泪滴攻击保护

选择此选项可防止泪滴攻击,该攻击会利用分段 IP 数据包的重组。设备会丢弃存在此类差异的任何数据包。

ICMP 片段保护

选择此选项可阻止设置了“更多分段”标志或具有偏移值的任何 ICMP 数据包。

由于 ICMP 数据包包含非常短的消息,因此没有正当理由对 ICMP 数据包进行分段。如果 ICMP 数据包太大以至于必须对其进行分段,则说明有问题。

死亡攻击保护的 ping

选择此选项可防止在发送超过允许的最大大小(65,535 字节)的 IP 数据包时发生的 ping 死亡攻击。

尽管 TCP/IP 规范要求特定的数据包大小,但许多 ping 实现允许更大的数据包大小。较大的数据包可能会触发一系列不利的系统反应,包括崩溃、冻结和重新启动。

大尺寸 ICMP 数据包保护

选择此选项可丢弃长度大于 1024 字节的 ICMP 数据包。

阻止分段流量

选择此选项可拒绝安全区域上的 IP 分段,并阻止在绑定到该区域的接口上接收的所有 IP 数据包分段。

SYN-ACK-ACK 代理保护

选择此选项可防止 SYN-ACK-ACK 攻击,当攻击者建立多个 telnet 会话而不允许每个会话终止时,就会发生这种攻击。

来自同一 IP 地址的连接数达到 SYN-ACK-ACK 代理阈值后,设备将拒绝来自该 IP 地址的进一步连接请求。

WinNuke攻击保护

选择此选项可检测 Windows NetBIOS 通信中的攻击。

每次WinNuke攻击都会触发事件警报日志中的攻击日志条目。WinNuke是一种DoS攻击,针对互联网上运行Windows的任何计算机。

异常

糟糕的选择

选择此选项可检测并丢弃 IP 数据包标头(IPv4 或 IPv6)中 IP 格式不正确的任何数据包。设备在入口接口的屏幕计数器列表中记录事件。

安全

选择此选项可检测可选标头字段为 IP 选项 2(安全)且事件记录在入口接口的屏幕计数器列表中的数据包。

未知协议

选择此选项可丢弃所有已接收的 IP 帧,对于 IPv4,协议号大于 139(对于 IPv6)。这些协议号是未定义或保留的。

严格的源路由

选择此选项可检测可选标头字段为 IP 选项 9(严格源路由)且事件记录在入口接口的屏幕计数器列表中的数据包。

此选项指定数据包在从源到目标的旅程中要执行的完整路由列表。列表中的最后一个地址将替换目标字段中的地址。

源路由

选择此选项可阻止使用松散或严格源路由选项设置的任何数据包,或者检测此类数据包,然后将事件记录在入口接口的计数器列表中。

源路由允许位于 IP 数据包传输源的用户指定他们希望 IP 数据包在到达目的地的途中携带的设备的 IP 地址。

时间 戳

选择此选项可检测可选标头字段为 IP 选项 4(互联网时间戳)且事件记录在入口接口的屏幕计数器列表中的数据包。此选项记录每个网络设备在从起点到目的地的行程中接收数据包的时间(以世界时为单位)。

选择此选项可检测可选标头字段为 IP 选项 8(流 ID)且事件记录在入口接口的屏幕计数器列表中的数据包。

此选项提供了一种通过不支持流的网络传输 16 位 SATNET 流标识符的方法。

松散源路由

选择此选项可检测可选标头字段为 IP 选项 3(松散源路由)且事件记录在入口接口的屏幕计数器列表中的数据包。

此选项指定数据包在从源到目标的旅程中要执行的部分路由列表。

记录路由

选择此选项可检测可选标头字段为 IP 选项 7(记录路由)的数据包,并且事件记录在入口接口的屏幕计数器列表中。

此选项记录 IP 数据包传输路径沿网络设备的 IP 地址

SYN 片段保护

选择此选项可检测可选 IP 报头字段指示数据包已分段且在 TCP 报头中设置了 SYN 标志的数据包。

分段的 SYN 数据包是异常的,因此是可疑的。为谨慎起见,请阻止此类未知元素进入受保护的网络。

SYN 和 FIN 标志集保护

选择此选项可检测攻击者可用于在目标设备上使用会话的非法标志组合。

SYN 和 FIN 控制标志通常不会设置在同一 TCP 分段标头中。SYN 标志同步序列号以启动 TCP 连接。FIN 标志指示数据传输结束以完成 TCP 连接。它们的目的是相互排斥的。设置了 SYN 和 FIN 标志的 TCP 标头是异常 TCP 行为,会导致接收方做出各种响应,具体取决于操作系统。

无 ACK 标志集保护的鳍状标志

选择此选项可检测非法的标志组合并拒绝具有此组合的数据包。

由于设置了 FIN 标志但未设置 ACK 标志的 TCP 标头是异常 TCP 行为,因此对此没有统一的响应。OS 可能会通过发送设置了 RST 标志的 TCP 分段来响应。

防洪

限制来自同一源的会话

设置可以从源 IP 地址启动的并发会话数。

设置基于源的会话限制时,它可以:

  • 阻止诸如 Nimda 病毒(实际上既是病毒又是蠕虫)之类的攻击,该攻击感染服务器,然后开始从该服务器生成大量流量。由于所有病毒生成的流量都来自同一个 IP 地址,因此基于源的会话限制可确保防火墙可以控制此类过多的流量。

  • 如果所有连接尝试都来自同一源 IP 地址,则减少填满防火墙会话表的尝试。

限制来自同一目标的会话

设置可定向到单个目标 IP 地址的并发会话数。这可确保设备仅允许可接受数量的并发连接请求(无论来源如何)到达任何一个主机。

ICMP 泛洪保护

选择此选项可防止 ICMP 泛滥攻击,其中 ICMP 回显请求使用所有资源进行响应,从而无法再处理有效的网络流量。

阈值定义在设备拒绝更多 ICMP 数据包之前,每秒允许对同一目标地址执行 ping 操作的 ICMP 数据包数。

UDP 泛洪保护

选择此选项可防止 UDP 泛滥攻击,在这种攻击中,攻击者发送包含 UDP 数据报的 IP 数据包以减慢资源速度,从而无法再处理有效连接。

阈值定义每秒允许对同一目标 IP 地址或端口对执行 ping 操作的 UDP 数据包数。当数据包数在任何 1 秒内超过此值时,设备将生成告警,并在该秒的剩余时间内丢弃后续数据包。

SYN 泛洪保护

选择此选项可防止 SYN 泛滥攻击,在这种攻击中,连接主机持续发送 TCP SYN 请求而不回复相应的 ACK 响应。

当每秒 SYN 分段数超过设置的阈值时,设备将通过回复 SYN/ACK 分段并将不完整的连接请求存储在连接队列中来开始代理传入的 SYN 分段,或者丢弃数据包。

攻击阈值

设置触发 SYN 代理响应所需的每秒 SYN 数据包数 (pps)。默认值为 200 pps,您可以将攻击阈值设置为 1 到 500,000 pps。

尽管您可以将阈值设置为任意数字,但您需要知道站点的正常流量模式才能为其设置适当的阈值。例如,如果对于通常每秒获取 20,000 个 SYN 段的电子商务站点,您可能希望将阈值设置为 30,000 pps。如果较小的站点通常每秒获得 20 个 SYN 段,则可以考虑将阈值设置为 40 pps。

报警阈值

设置每秒代理的、半完成的 TCP 连接请求数,之后设备将在事件日志中输入警报。

您为警报阈值设置的值会在每秒对同一目标地址的代理、半完成连接请求数超过该值时触发警报。

源阈值

设置在设备开始丢弃来自该源的连接请求之前,设备每秒可以从该源 IP 地址接收的 SYN 分段数。默认值为每秒 4000 个,您可以将源阈值设置为 4 到 500,000 个/秒。

按源地址跟踪 SYN 泛洪使用的检测参数与按目标地址追踪 SYN 泛洪的检测参数不同。设置 SYN 攻击阈值和源阈值时,可将基本 SYN 泛滥保护机制和基于源的 SYN 泛滥跟踪机制都生效。

目标阈值

设置在设备开始丢弃对该目标的连接请求之前,单个目标 IP 地址每秒接收的 SYN 分段数。默认值为每秒 4000,您可以将目标阈值设置为 4 到 1,000,000 每秒。

如果受保护主机运行多个服务,则可能需要仅基于目标 IP 地址设置阈值,而不考虑目标端口号。

超时

设置从队列中删除半完成连接之前的最长时间长度。默认值为 20 秒,您可以将超时设置为 1 到 50 秒。如果未配置源或目标阈值,系统将使用默认阈值。

您可以减小超时值,直到看到在正常流量条件下丢弃的任何连接。

侦察

IP 欺骗

选择此选项可防止 IP 欺骗攻击,即在数据包标头中插入无效的源地址,使数据包看起来像是来自受信任的源。

检测 IP 欺骗的机制依赖于路由表条目。当设备检测到具有欺骗性源 IP 地址的数据包时,它会丢弃该数据包。

IP 扫描

选择此选项可防止 IP 扫描攻击,即攻击者将 ICMP 回显请求 (ping) 发送到多个目标地址。如果目标主机回复,回复会向攻击者显示目标的 IP 地址。如果设备在此语句中指定的微秒数内收到 10 个 ICMP 回显请求,则会将其标记为 IP 扫描攻击,并在第二秒的剩余时间内拒绝来自该主机的第 11 个和所有其他 ICMP 数据包。

阈值定义允许来自同一主机的最多 10 个 ICMP 回显请求进入设备的最大微秒数。

TCP 扫描

选择此选项可防止 TCP 扫描攻击,即攻击者在 TCP 握手过程中将 TCP SYN 数据包发送到目标设备。如果设备响应这些数据包,则攻击者会得到目标设备中某个端口已打开的指示,这使得该端口容易受到攻击。如果远程主机在 0.005 秒(5000 微秒)内将 TCP 数据包发送到 10 个地址,则设备会将其标记为 TCP 扫描攻击。

UDP 扫描

选择此选项可防止 UDP 扫描攻击,即攻击者将 UDP 数据包发送到目标设备。如果设备响应这些数据包,则攻击者会得到目标设备中某个端口已打开的指示,这使得该端口容易受到攻击。如果远程主机在 0.005 秒(5000 微秒)内将 UDP 数据包发送到 10 个地址,则设备会将其标记为 UDP 扫描攻击。

端口扫描

选择此选项可防止端口扫描攻击,在这种攻击中,扫描可用服务希望至少有一个端口会响应,从而识别要作为目标的服务。

当一个源 IP 地址在定义的时间间隔内将包含 TCP SYN 分段的 IP 数据包发送到 10 个不同的目标端口时,将进行端口扫描。默认间隔为 5000 微秒。
表 2: MX 系列路由器的筛选

设置

指引

名字

修改屏幕的名称。

匹配方向

指定应用规则匹配的方向。

以下选项可用:

  • 输入 — 在接口的输入端应用规则匹配。

  • 输出 — 在接口的输出端应用规则匹配项。

  • 输入-输出 - 双向应用规则匹配。

服务集

从已创建的列表中选择一个服务集,以定义要由自适应服务接口 (AS) 或多服务线卡(MS-DPC、MS-MIC 和 MS-MPC)执行的服务集合。

Rule Settings

Tcp

  • 按源 - 启用此选项可根据从配置的源(IP 或子网)或应用程序生成的编号限制会话。

    • 允许的最大会话数 - 输入每个应用程序或 IP 地址的最大打开会话数。

    • 允许的最大数据包数 — 输入每个应用程序或 IP 地址每秒的最大峰值数据包数。

    • 每秒速率 - 输入每个应用程序或 IP 地址每秒的最大会话数。

  • 按目的地 - 启用此选项可根据从配置的目标(IP 或子网)或应用程序生成的号码限制会话。

    • 允许的最大会话数 - 输入每个应用程序或 IP 地址的最大打开会话数。

    • 允许的最大数据包数 — 输入每个应用程序或 IP 地址每秒的最大峰值数据包数。

    • 每秒速率 - 输入每个应用程序或 IP 地址每秒的最大会话数。

  • 按配对 - 启用此选项可将限制应用于配对的状态防火墙和 NAT 流(正向和反向)。

    • 允许的最大会话数 - 输入每个应用程序或 IP 地址的最大打开会话数。

    • 允许的最大数据包数 — 输入每个应用程序或 IP 地址每秒的最大峰值数据包数。

    • 每秒速率 - 输入每个应用程序或 IP 地址每秒的最大会话数。

  • TCP SYN 防御 — 启用此选项可防止 SYN 泛滥攻击,在这种攻击中,连接主机持续发送 TCP SYN 请求而不回复相应的 ACK 响应。

  • TCP SYN 分段 — 启用此选项可检测选项 IP 标头字段指示数据包已分段且 TCP 标头中设置了 SYN 字段的数据包。

  • TCP Winnuke — 启用此选项可检测 Windows NetBIOS 通信中的攻击。每次WinNuke攻击都会触发事件警报日志中的攻击日志条目。

Udp

为 UDP 配置以下参数:

  • 按源 - 启用此选项可根据从配置的源(IP 或子网)或应用程序生成的编号限制会话。

    • 允许的最大会话数 - 输入每个应用程序或 IP 地址的最大打开会话数。

    • 允许的最大数据包数 — 输入每个应用程序或 IP 地址每秒的最大峰值数据包数。

    • 每秒速率 - 输入每个应用程序或 IP 地址每秒的最大会话数。

  • 按目的地 - 启用此选项可根据从配置的目标(IP 或子网)或应用程序生成的号码限制会话。

    • 允许的最大会话数 - 输入每个应用程序或 IP 地址的最大打开会话数。

    • 允许的最大数据包数 — 输入每个应用程序或 IP 地址每秒的最大峰值数据包数。

    • 每秒速率 - 输入每个应用程序或 IP 地址每秒的最大会话数。

  • 按配对 - 启用此选项可将限制应用于配对的状态防火墙和 NAT 流(正向和反向)。

    • 允许的最大会话数 - 输入每个应用程序或 IP 地址的最大打开会话数。

    • 允许的最大数据包数 — 输入每个应用程序或 IP 地址每秒的最大峰值数据包数。

    • 每秒速率 - 输入每个应用程序或 IP 地址每秒的最大会话数。

Icmp

为 ICMP 配置以下参数:

  • 按源 - 启用此选项可根据从配置的源(IP 或子网)或应用程序生成的编号限制会话。

    • 允许的最大会话数 - 输入每个应用程序或 IP 地址的最大打开会话数。

    • 允许的最大数据包数 — 输入每个应用程序或 IP 地址每秒的最大峰值数据包数。

    • 每秒速率 - 输入每个应用程序或 IP 地址每秒的最大会话数。

  • 按目的地 - 启用此选项可根据从配置的目标(IP 或子网)或应用程序生成的号码限制会话。

    • 允许的最大会话数 - 输入每个应用程序或 IP 地址的最大打开会话数。

    • 允许的最大数据包数 — 输入每个应用程序或 IP 地址每秒的最大峰值数据包数。

    • 每秒速率 - 输入每个应用程序或 IP 地址每秒的最大会话数。

  • 按配对 - 启用此选项可将限制应用于配对的状态防火墙和 NAT 流(正向和反向)。

    • 允许的最大会话数 - 输入每个应用程序或 IP 地址的最大打开会话数。

    • 允许的最大数据包数 — 输入每个应用程序或 IP 地址每秒的最大峰值数据包数。

    • 每秒速率 - 输入每个应用程序或 IP 地址每秒的最大会话数。

限制时段(累计)

  • 按源 - 启用此选项可根据从配置的源(IP 或子网)或应用程序生成的编号限制会话。

    • 允许的最大会话数 - 输入每个应用程序或 IP 地址的最大打开会话数。

  • 按目的地 - 启用此选项可根据从配置的目标(IP 或子网)或应用程序生成的号码限制会话。

    • 允许的最大会话数 - 输入每个应用程序或 IP 地址的最大打开会话数。

限制会话(每秒)

  • 按源 - 启用此选项可根据从配置的源(IP 或子网)或应用程序生成的编号限制会话。

    • 每秒速率 - 输入每个应用程序或 IP 地址每秒的最大会话数。

  • 按目的地 - 启用此选项可根据从配置的目标(IP 或子网)或应用程序生成的号码限制会话。

    • 每秒速率 - 输入每个应用程序或 IP 地址每秒的最大会话数。

相关文档

版本历史记录表
释放
描述
16.2
从 Junos Space Security Director 16.2 版开始,您可以为 MX 系列路由器配置屏幕。