Juniper防火墙防攻击举例

　　Juniper的防火墙上均配置了防30多种网络层攻击的功能，尤其是ISG系列（ISG1000和ISG2000）防火墙，具备硬件防攻击的能力，在抗攻击的同时不影响防火墙的性能。以下是两种防御机制的介绍：

　　·SYN Attack（SYN 攻击）：当网络中充满了会发出无法完成的连接请求的SYN 封包，以至于网络无法再处理合法的连接请求，从而导致拒绝服务(DoS) 时，就发生了SYN 泛滥攻击。防火墙可以采用Syn Proxy和Syn Cookie两种机制进行防御，其中Syn Proxy机制里是先对数据包进行策略匹配，匹配通过的syn包如果每秒超过了阀值（阀值可以基于目的地址和端口、或目的地址、或源地址进行设置），则开启防御机制，新的syn包就由防火墙做应答syn/ack，并放入队列，等待应答ack是否超时，超时则丢弃；Syn Cookie机制则是完全无连接状态的，每秒的syn包超过阀值就开启防御机制，防火墙做syn的应答syn/ack，并在syn/ack应答里嵌入加密的cookie，如果接收到的ack里有该cookie，则是正常连接。

　　·Limit session（限制会话）：NetScreen 设备可限制由单个IP 地址(源或目的)建立的会话数量。例如，如果从同一客户端发送过多的请求，就能耗尽Web 服务器上的会话资源。此选项定义了每秒钟NetScreen 设备可以为单个IP 地址建立的最大会话数量。（缺省阀值为每个IP 地址每秒128个会话。）对源地址进行回话数的限制可以避免感染Nimda等病毒的服务器发出太多的回话请求避免防火墙的回话表被填满。对目的地址进行回话数的限制则可以防止DDoS的攻击，使得目标服务器得到太多的虚假的连接请求。