Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

攻撃の検出と防止の概要

ジュニパーネットワークスは、ゾーンレベルおよびポリシーレベルでさまざまな検知および防御メカニズムを提供し、悪用の実行のあらゆる段階で対抗します。

攻撃検出および防止は、ステートフル ファイアウォールとも呼ばれ、ネットワーク トラフィック内の攻撃を検知して防止します。悪用とは、情報収集のプローブ、またはネットワークやネットワークリソースを侵害、無効化、または損害を与えるための攻撃のいずれかです。場合によっては、エクスプロイトの 2 つの目的の区別が不明確になることがあります。たとえば、TCP SYN セグメントの集中砲火は、アクティブなホストからの応答をトリガーすることを目的とした IP アドレス スイープである場合もあれば、ネットワークを圧倒して正常に機能しなくなることを目的とした SYN フラッド攻撃である場合もあります。また、攻撃者は通常、攻撃に先行して標的を偵察するため、情報収集は差し迫った攻撃の前兆、つまり攻撃の第1段階であると考えることができます。したがって、 エクスプロイト という用語には、偵察活動と攻撃活動の両方が含まれ、2つの区別は必ずしも明確ではありません。

  • ゾーンレベルの画面オプション。

  • ゾーン間、ゾーン内、スーパーゾーンポリシーレベルのファイアウォールポリシー(ここでいうスーパー ゾーンとは、セキュリティゾーンが参照されないグローバルポリシーを意味します)。

すべての接続試行を保護するために、Junos OSはステートフルインスペクションと呼ばれる動的パケットフィルタリング方法を使用します。この方法を使用して、Junos OS は、IP パケットと TCP セグメント ヘッダーのさまざまなコンポーネント(送信元と宛先の IP アドレス、送信元と宛先のポート番号、パケット シーケンス番号)を識別し、ファイアウォールを通過する各 TCP セッションと疑似 UDP セッションの状態を維持します。(Junos OSは、動的なポート変更やセッション終了などの変化する要素に基づいてセッション状態も変更します)。応答する TCP パケットが到着すると、Junos OS はヘッダーに報告された情報と、検査テーブルに保存された関連セッションの状態を比較します。一致する場合、応答パケットはファイアウォールを通過できます。この 2 つが一致しない場合、パケットは破棄されます。

Junos OSの画面オプションは、ゾーンにバインドされたインターフェイスを通過する必要があるすべての接続試行を検査し、許可または拒否することで、ゾーンを保護します。