Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Présentation de la détection et de la prévention des attaques

Juniper Networks fournit divers mécanismes de détection et de défense au niveau des zones et des stratégies pour lutter contre les exploits à tous les stades de leur exécution :

La détection et prévention des attaques, également connue sous le nom de pare-feu dynamique, détecte et empêche les attaques dans le trafic réseau. Il peut s’agir soit d’une sonde de collecte d’informations, soit d’une attaque visant à compromettre, désactiver ou endommager un réseau ou une ressource réseau. Dans certains cas, la distinction entre les deux objectifs d’un exploit peut ne pas être claire. Par exemple, un barrage de segments TCP SYN peut prendre la forme d’un balayage d’adresses IP dans le but de déclencher des réponses de la part d’hôtes actifs, ou d’une attaque SYN flood dans le but de submerger un réseau de sorte qu’il ne puisse plus fonctionner correctement. De plus, étant donné qu’un attaquant précède généralement une attaque en effectuant une reconnaissance de la cible, nous pouvons considérer les efforts de collecte d’informations comme un précurseur d’une attaque imminente, c’est-à-dire qu’ils constituent la première étape d’une attaque. Ainsi, le terme exploit englobe à la fois les activités de reconnaissance et d’attaque, et la distinction entre les deux n’est pas toujours claire.

  • Options d’écran au niveau de la zone.

  • Stratégies de pare-feu au niveau des stratégies inter-, intra et super-zone (super-zone signifie ici dans les stratégies globales, où aucune zone de sécurité n’est référencée).

Pour sécuriser toutes les tentatives de connexion, Junos OS utilise une méthode de filtrage dynamique des paquets appelée inspection dynamique. Cette méthode permet à Junos OS d’identifier divers composants dans les en-têtes de paquets IP et de segments TCP (adresses IP source et de destination, numéros de port source et de destination, et numéros de séquence de paquets) et de conserver l’état de chaque session TCP et pseudo-session UDP traversant le pare-feu. (Junos OS modifie également les états de session en fonction d’éléments changeants tels que les changements de ports dynamiques ou l’arrêt de session.) Lorsqu’un paquet TCP répond arrive, Junos OS compare les informations signalées dans son en-tête avec l’état de la session associée stockée dans la table d’inspection. S’ils correspondent, le paquet répondant est autorisé à passer le pare-feu. Si les deux ne correspondent pas, le paquet est abandonné.

Les options d’écran de Junos OS sécurisent une zone en inspectant, puis en autorisant ou en refusant toutes les tentatives de connexion nécessitant de traverser une interface liée à cette zone.