Juniper SRX (Junos OS)的網路安全保護工具

Juniper SRX (Junos OS)的網路安全保護工具

除了了解各個工具的功能之外，本篇的重點是了解Juniper SRX的各種網路安全保護工具在資料包流中的處理順序：

1.   Firewall Filters (Stateless)

2.   Screens (Stateless)

3.   Policy (Stateful)

4.   IPS and AppDOS (Stateful)

其中處理順序越優先的工具其設定越早被執行，我們同時也可以發現到，處理順序越優先的工具對系統資源的要求也越少，也就是說，如果一個安全防護設定在Firewall Filters與Firewall Policy皆能配置，那我們就要選擇將它配置在Firewall Filter之上，因為在降低系統資源的消耗的同時就等於是提高了系統的效能。

防火牆類型

因為在後面會有一些術語會使用到，所以要先在這裡介紹下防火牆。

防火牆（英語：Firewall）是一個架設在網際網路與企業內網之間的資安系統，根據企業預定的策略來監控往來的傳輸。防火牆可能是一台專屬的網路裝置或是執行於主機上來檢查各個網路介面上的網路傳輸。它是目前最重要的一種網路防護裝置，從專業角度來說，防火牆是位於兩個(或多個)網路間，實行網路間存取或控制的一組元件集合之硬體或軟體。

針對普通用戶的個人防火牆，通常是在一部電腦上具有封包過濾功能的軟體，如ZoneAlarm及Windows XP SP2後內建的防火牆程式。而專業的防火牆通常為網路裝置，或是擁有2個以上網路介面的電腦。以作用的OSI七層網路區分，主要分為網路層防火牆和應用層防火牆兩種，但也有些防火牆是同時運作於OSI七層網路的網路層和應用層。

網路層(封包過濾型)防火牆

管理者會先根據企業/組織的策略預先設定好封包通過的規則或採用內建規則，只允許符合規則的封包通過。

網路層防火牆可分為：狀態感知(stateful)與無狀態感知(stateless)。

無狀態防火牆就是基於靜態數值來過濾或阻攔網路資料包。例如基於位址，埠，協議等等。無狀態指的就是，防火牆本身不關心當前的網路連接狀態，也就是它無法辨別現在收到的流量是否為剛剛發往外界的流量的回覆，因此，只要是彼此會有業務往來的站台或網路設備，您都要明確的開放其返回流量。

有狀態防火牆能區分出網路連接的狀態。例如TCP連接，有狀態防火牆可以知道當前是連接的哪個階段。也就是說，有狀態防火牆可以在靜態數值之外，再通過連接狀態來過濾或阻攔網路資料包。

而這兩者在設定防火牆規則方面的差別又在哪呢？

在不開放就拒絕的條件之下：

有狀態防火牆只需要設定允許內部流量向外溝通即可，至於回覆的流量防火牆則會根據的連線狀態表來自行判定回覆的訊息是否能夠通過防火牆。

無狀態防火牆在回覆的流量方面，則需要針對每個會有回覆訊息的站台或是網路設備，一一開放允許其ip流量進入，若您有1000個站台需要溝通，那您就要一一開放並允許那1000個站台的ip流量進入。

這兩個哪個更好？嚴格來說沒有更好，具體要看使用場景。無狀態的防火牆一般更快，在高負載網路流量下性能更好，但是只適用於簡單的場景。而有狀態的防火牆一般會安全的多，因為它可以定義更加嚴格的規則。

無狀態感知(stateless)

在開發狀態防火牆之前，防火牆是無狀態的。無狀態防火牆分別處理每個網路幀或資料包。這種資料包篩檢程式在OSI網路層（層3）上運行，並且更高效地工作，因為它們只查看資料包的報頭部分。

無狀態感知防火牆所需較少的記憶體，針對欲通過的封包，作比較簡易與快速的過濾。如此，相較於查詢對話工作期間(sesssion)，無狀態感知防火牆所耗的時間與資源也較少。

這種防火牆可處理無狀態網路通訊協定，這種協定並沒有對話工作期間(sesssion)的概念。

反之，這種防火牆無法根據溝通的兩端所處的狀態階段作出複雜的決策。

我們也能以另一種較寬鬆的角度來制定防火牆規則，只要封包不符合任何一項「否定規則」就予以放行。現在的作業系統及網路裝置大多已內建防火牆功能。

較新的無狀態防火牆(例如SRX防火牆的Firewall Filters功能)能利用封包的多樣屬性來進行過濾，例如：來源 IP 位址、來源埠號、目的 IP 位址或埠號、服務類型(如 HTTP 或是 FTP)。也能經由通訊協定、TTL 值、來源的網域名稱或網段...等屬性來進行過濾。

使用無狀態防火牆的網路操作的典型例子是檔傳輸協議（FTP）。按照設計，這些協定需要能夠打開到任意高埠的連接才能正常工作。由於無狀態防火牆無法知道發往受保護網路的資料包（例如，某些主機的目標埠4970）是合法FTP會話的一部分，因此它將丟棄該資料包。具有應用程式檢查功能的狀態防火牆通過維護一個打開的連接表，檢查某些資料包的有效負載並智慧地將新的連接請求與現有的合法連接相關聯來解決此問題。

狀態感知(stateful)

狀態防火牆（英語：Stateful firewall），一種能夠提供狀態資料包檢查（stateful packet inspection，縮寫為SPI）或狀態查看（stateful inspection）功能的防火牆，能夠持續追蹤穿過這個防火牆的各種網路連接（例如TCP與UDP連接）的狀態。這種防火牆被設計來區分不同連接種類下的合法資料包。只有匹配主動連接的資料包才能夠被允許穿過防火牆，其他的資料包都會被拒絕。

這種防火牆也可以提供動態資料包過濾（Dynamic Packet Filtering）的功能。

狀態防火牆會跟蹤網路連接的狀態（例如TCP流或UDP通信），並且可以保存記憶體中每個連接的重要屬性。這些屬性統稱為連接狀態，可能包括連接涉及的IP位址和埠以及穿過連接的資料包的序列號等詳細資訊。狀態檢查隨著時間的推移監視傳入和傳出的資料包以及連接的狀態，並將資料存儲在動態狀態表中。

狀態感知防火牆會針對活動中的連線維護前後傳輸的脈絡，並使用這些狀態資訊來加速封包過濾處理。

根據需求，現行的網路連線由各種性質描述，包括：來源端IP位置，目的端IP位置、UDP或TCP埠口號碼，以及連線所處的狀態階段(連線初始化、交握中，資料傳輸中、或完成連線)。

如果有封包與現存連線不符，防火牆會根據規則來評估此封包是否該屬於另外一個新連線。如果封包符合現存連線，防火牆會根據自己所建立的狀態表完成比對，該封包就不必額外處理，即可通過兩端網路。

應用層防火牆

應用層防火牆是在OSI七層網路的「應用層」上運作，使用瀏覽器時所產生的資料流或是使用 FTP 時的資料流都是屬於這一層。應用層防火牆可以攔截進出某應用程式的所有封包，並且封鎖其他的封包(通常是直接將封包丟棄)。理論上，這一類的防火牆可以完全阻絕外部的資料流進受保護的機器裡。

Juniper SRX的IPS與APP系列的功能(AppDoS、AppQoS、AppFW、AppTrack)就是在「應用層」上運作的。

(PS：SRX的IPS是屬於付費服務的功能，也就是您需要購買授權才能使用的功能，但是您每年可享有四周的付費軟體服務免費試用的機會。)

防火牆藉由監測所有的封包並找出不符規則的內容，可以防範電腦蠕蟲或是木馬程式的快速蔓延。實際上，這個方法繁復（因軟體種類極多），所以大部份防火牆都不會考慮以這種方法設計。

截至2012年，所謂的下一代防火牆（NGFW）都只是「拓寬」並「深化」了在套用棧檢查的能力。例如，現有支援深度分組檢測（Deep packet inspection，縮寫為 DPI）的現代防火牆均可延伸成入侵預防系統（IPS），使用者身分整合（使用者ID與IP或MAC位址繫結），和Web套用防火牆（WAF）。

Juniper SRX的網路安全保護工具

Juniper SRX網路設備有一些方法可以用來保護和阻止來自網路的不良內容。雖然對於所有類型的攻擊並沒有單一的解決方案，但是卻有許多不同的工具可用於不同的保護層。您可以整合及使用這些方法來形成完整的分層網路安全解決方案。而學習如何在SRX網路設備上正確的使用可用的網路安全保護工具將能更好地保護您的網路，以及讓SRX變得更有效率。

防火牆過濾器 - Firewall Filters

Juniper SRX網路設備的防火牆過濾器(Firewall Filters)是屬於無狀態(stateless)的過濾器，可以根據OSI網路層第2層或第3層報頭資訊阻擋或丟棄流量。 對於那些熟悉Cisco IOS防火牆的人，防火牆過濾器(Juniper SRX)與訪問控制列表（ACL - Cisco IOS）相當。 防火牆過濾器應用於入口或出口介面，您可以使用它們盡可能快速和有效地丟棄流量。

強烈建議您在入站埠應用防火牆過濾器以在SRX處理流量之前控制流量。

您可以使用防火牆過濾器完全阻止不需要的流量。例如，在許多網路的外圍，防火牆過濾器阻止攻擊傾向於源自的大型網段，例如APNIC; 在SQL Slammer攻擊期間，許多網路阻止了埠1434，以防止來自受感染主機的大量傳播企圖。

儘管可以使用安全策略阻止這種類型的流量，但使用無狀態防火牆過濾器阻止它更簡單。

防火牆過濾器是在流量進入介面(Interface)之前應用的(apply)，如圖1所示，它是發生在進行任何類型的會話(session)，篩選(screen)，路由(route)或策略(policy)查找之前。這意味著SRX將花費更少的系統資源來處理這種流量。

如果您遇到會影響SRX效能的大規模攻擊，我們通常可以使用防火牆過濾器來更有效地緩解和阻止流量。

圖1：防火牆過濾器在SRX資料包流中發生的位置

關於SRX的資料包作業流程我們也可以參考以下的網路連結：

Juniper Networks Devices Processing Overview

防火牆過濾器由以下部分組成：

匹配條件 - Match condition

很像安全策略，您必須告訴SRX您希望應用此防火牆過濾器的流量種類。防火牆過濾器可以匹配OSI網路層第3層，第2層，TCP和ICMP報頭欄位。

行動 - Action

防火牆過濾器的這一部分告訴SRX如果滿足匹配條件應採取的行動。您可以計數(count)，傳遞通過(pass)，丟棄(drop)，分析(analyze)甚至監控(police)資料包。

介面 - Interface

就像ACL一樣，在物理介面上應用防火牆過濾器。您可以將防火牆過濾器入站或出站應用到介面上。

提示：防火牆過濾器不能用於聚合乙太網aggregate Ethernet介面

篩選 - Screens

在這裡我們先解釋下為何要將Screens翻譯成篩選，過去工作時曾經接觸過粉末篩選機，它的工作原理是讓顆粒大小不均的粉末通篩網（Screen）來將大顆粒的粉末剔除，只留下我們所需要的合格的粉末，這個過程就叫做過篩或是篩選。篩選的過程就好像是防火牆運作的過程一樣，將不安全的流量阻擋，只讓安全的流量通過，所以我們決定將它翻譯成篩選。

篩選是Juniper SRX網路設備內建(built-in)的可調保護機制，可執行各種安全功能以保證網路安全。篩選的效率極高，可以調整為在小型企業或最大的運營商網路中運營。篩選廣泛用於在網路邊緣和內部網段來添加額外的保護，以保護網路免受可能影響網路可用性的攻擊和內部的錯誤配置。篩選擅長檢測和防止許多類型的惡意流量。

在資料包處理過程中儘早進行篩選檢查，以盡可能高效和快速地進行緩解。儘管它們比防火牆過濾器需要更多處理能力，但它們能夠深入瞭解資料包和整個會話流程，從本質上使SRX能夠阻止非常大而復雜的攻擊。在更高端的SRX(High-end SRX)型號上，這些篩選中的很多過程都是直接用硬體(NCPU)來處理的，而不是透過軟體經由複雜的計算來完成的(Branch SRX系列的做法)，所以處理速度非常快能讓流量非常接近入口介面的流量。

當您比較圖1中的資料包處理與圖2中的資料包處理時，您可能會注意到篩選檢查發生在慢速路徑和快速路徑上。一旦會話被策略允許並建立，SRX就會繼續監視該連接，以查找是否存在超出其預先配置的閾值的惡意流量或洪氾的跡象。 如果它看到任何惡意流量，它會阻止和丟棄資料包。

篩選在入站區域進行評估。因此，創建會話時，只有來源區域的篩選才會應用在流量上。當流量進入Untrust區域後轉發到Trust區域時，設備只會評估Untrust區域的篩選。

設計篩選時要小心，因為流量是由Untrust源區創建的初始會話的一部分，因此即使返回流量也不會由信任的篩選進行評估。此外，您可以在部署任何新篩選時使用只警報不丟棄方式(alarm-without-drop)來研究篩選配置檔可能會丟棄哪些流量。

圖2：篩選在SRX資料包流中發生的位置

安全策略 - Security Policy

安全策略是SRX可以應用於網路的多個安全層的一部分。安全策略是有狀態的(stateful)，並且可以根據第3層報頭的資訊來丟棄不安全的流量。它們比防火牆過濾器和篩選的效率低(占用的資源較多)，但在評估整個第3層交通流量方面他們就更加的強大，讓您可以使用安全策略來允許來自特定源或網路的某些類型的連接。

假設您想阻止埠1434入站，但您需要允許網路的SQL服務器啟動通信或允許特定主機入站。在這種情況下，防火牆過濾器可能不是最好的選擇; 最簡單的解決方案是編寫一個安全策略，允許來自內部可信任的SQL服務器的流量出站。

這將允許從內部SQL服務器發起的任何SQL連接的返回流量，但仍會拒絕來自外部的任何入站請求。

圖3：安全策略在SRX資料包流中發生的位置

IPS and AppDoS

我們先來看原廠的介紹：

入侵檢測(Intrusion detection)是監控網絡中發生的事件並分析它們以查找可能的事件，違規或對安全策略的迫在威脅的跡象的過程。入侵防護是執行入侵檢測，然後停止檢測到的事件的過程。這些安全措施可用作入侵檢測系統（IDS）和入侵防禦系統（IPS），它們將成為您網絡的一部分，以檢測和阻止潛在的事件。

入侵檢測和防禦（IDP）策略允許您選擇性地對通過SRX系列的網絡流量執行各種攻擊檢測和防禦技術。 SRX系列提供了與瞻博網絡IDP系列入侵檢測和防禦設備上提供的IDP簽名相同的一組IDP簽名，以確保網絡免受攻擊。

一個典型的商業網絡有幾個到其他網絡的接入點，包括公共和私有網絡。面臨的挑戰是保持這些網絡的安全性，同時保持對客戶的開放。目前，攻擊非常複雜，以至於它們可能會阻礙最好的安全系統，特別是那些仍然在假設網絡可以通過加密或防火牆進行保護的情況下運行的系統。不幸的是，僅靠這些技術不足以應對今天的攻擊。
你可以用IDS / IPS做什麼？
入侵檢測系統（IDS）和入侵防禦系統（IPS）會不斷監視您的網絡，識別可能的事件並記錄有關它們的資訊，停止事件並向安全管理員報告。另外，一些網絡使用IDS / IPS來識別安全策略問題，並阻止個人違反安全策略。 IDS / IPS已經成為大多數組織安全基礎設施的必要補充，正是因為它們可以阻止攻擊者收集有關您的網絡的資訊。
IDS如何工作？
三種IDS檢測方法通常用於檢測事件。
    基於簽名的檢測將簽名與觀察到的事件進行比較，以識別可能發生的事件。這是最簡單的檢測方法，因為它只使用字串比較操作僅比較當前的活動單位（例如資料包或日誌條目，以及簽名列表）。
    基於異常的檢測將被視為正常活動的定義與觀察事件進行比較，以確定顯著偏差。這種檢測方法可以非常有效地發現以前未知的威脅。
    狀態協議分析比較每個協議狀態的良性協議活動的普遍接受的定義的預定概況與觀察到的事件，以便識別偏差。
瞻博網絡實施
瞻博網絡將其SRX系列業務網關用於入侵檢測和預防（IDP）服務。您可以對通過您選擇的SRX系列設備的網絡流量選擇性地實施各種攻擊檢測和預防技術。您可以定義策略規則以匹配基於區域，網絡或應用程式的一部分流量，然後對該流量採取主動或被動預防性操作。 SRX系列設備包含一整套IPS簽名，可確保網絡免受攻擊。瞻博網絡定期更新預定義的攻擊數據庫。 SRX系列設備可以使用PCAP Syslog組合協議將來自其流量的資料包捕獲（PCAP）數據轉發至瞻博網絡安全分析（JSA）設備。

瞭解應用安全(Application Security)

基於Web的應用程式正在改變安全性的動態。以前，特定的應用程式與特定的協議和埠相關聯，使主機級別的策略執行相對簡單。可從任何地方訪問的Web應用程式都會對網絡管理員提供挑戰，以便在交付安全和網絡服務時有效管理流量和訪問數據。

一個人可以同時使用多個設備連接到網絡，這使得通過一組靜態分配的IP位址和埠號識別用戶，應用程式或設備變得不切實際。

諸如即時消息傳送，點對點檔共用，Webmail，社交網絡和IP語音/視頻協作等應用程式通過更改通信埠和協議或通過在其他常用服務（例如HTTP或HTTPS ）。組織需要控制其網絡上的應用程式和流量，以保護其資產免受攻擊和管理帶寬。

瞻博網絡的AppSecure是一套面向瞻博網絡SRX系列業務網關的應用感知安全服務，可提供安全服務，提供對網絡中遍歷應用類型的可見性和控制。 AppSecure使用複雜的分類引擎來準確識別應用程式，而不管埠或協議如何，包括駐留在可信網絡服務中的嵌套(nested)應用程式。

    應用程式標識（AppID - Application identification） - 使用埠號以外的特性識別不同網絡層的流量。一旦確定了應用程式，AppSecure服務模塊就可以配置為根據流量的應用程式ID監視和控制流量以進行跟蹤，優先級排序，訪問控制，檢測和預防。

    應用程式跟蹤（AppTrack - Application Tracking） - 跟蹤和報告通過設備的應用程式。

    應用程式防火牆（AppFW - Application Firewall） - 使用基於應用程式的規則來實現應用程式防火牆。

    應用程式服務質量（AppQoS - Application Quality of Service） - 根據應用程式意識(application awareness)提供服務質量優先級。

    高級策略路由（APBR - Advanced policy-based routing） - 基於應用對會話進行分類，並應用配置的規則重新路由流量。

    SSL代理 (SSL Proxy)- 提供加密流量的可見性，以實現深度資料包檢測（DPI - deep packet inspection）。

AppSecure通過集成的統一威脅管理（UTM），入侵防禦系統（IPS）和SRX系列上的瞻博網絡Sky Advanced Threat Prevention（Sky ATP），提供額外的內容安全性，以加強對惡意軟件，垃圾郵件，網絡釣魚和應用漏洞的保護。

應用程式安全的好處

    無論埠，協議和加密如何，都可幫助您識別遍歷網絡的應用程式流量，從而提供更高的可視性來控製網絡流量。

    通過基於準確的應用程式資訊設置和執行安全策略，您可以控製網絡流量。

    提供環境和清晰度以加強網絡保護。

    提供防止普通迴避技巧的保護。

應用層防火牆是在OSI七層網路的「應用層」上運作，IPS和AppDoS就是屬於應用層防火牆的功能。

由於IPS(Intrusion Prevention Systems -入侵防禦系統)和AppDoS(Application DDoS -應用程式DDoS)傾向於佔用大部分處理週期，因此IPS和AppDoS是功能最強大的，因此，在SRX上處理流量的效率最低。

(PS：SRX的IPS是屬於付費服務的功能，也就是您需要購買授權才能使用的功能，但是您每年可享有四周的付費軟體服務免費試用的機會。)

這是因為它們是在策略查找之後發生的，它們深入分析資料包或整個資料包流，以確定流量是否是惡意的。

IPS和AppDoS可以深入挖掘資料包流，並將其與已知的攻擊或已知的攻擊模式進行比較。這使SRX能夠阻止直至OSI網路層第7層流量資訊的攻擊。例如，您可以使用IPS來丟棄那些惡意企圖執行SQL注入攻擊並危及您的後端數據庫的流量，而不是一律將所有要進入您的網路的埠80或HTTP流量全部丟棄。

另一方面，AppDoS可以根據已知行為來查看流量和阻塞模式。例如，在帶有合法受感染主機或殭屍網路(Bot Network)的DDoS攻擊中，由於受感染的主機將響應SYN-ACK，所以僅使用SYN cookie或SYN代理等保護機制是不夠的。相反，AppDoS可以評估流量模式，並確定這10,000個主機每兩分鐘都會執行一次簡單的HTTP請求。由於在重複請求數據之前等待120秒並不是正常的人類行為，所以AppDoS進程開始阻止這些嘗試進入內部服務器的流量，從而減輕DDoS嘗試。

圖4：IPS和AppDoS在SRX資料包流中發生的位置

圖5：SRX應用層防護的資料包處理流程圖