摘 要：隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，人們與互聯(lián)網(wǎng)的聯(lián)系也越來越緊密，也不得不面對(duì)信息安全問題的嚴(yán)峻考驗(yàn)，病毒與攻擊無時(shí)無刻不充斥在網(wǎng)絡(luò)中。如何有效的從網(wǎng)絡(luò)級(jí)防病毒已成為信息安全的一個(gè)重要課題。防火墻是一種高級(jí)訪問控制設(shè)備，它是不同網(wǎng)絡(luò)安全域間通信流的唯一通道，juniper網(wǎng)絡(luò)安全防火墻通過內(nèi)置的防病毒引擎可以實(shí)現(xiàn)高細(xì)致化的防病毒控制，極大地降低將防病毒對(duì)系統(tǒng)資源的消耗。

關(guān)鍵詞：病毒；網(wǎng)絡(luò)安全；防火墻；juniper

中圖分類號(hào)：TP393.08

1 引言

網(wǎng)絡(luò)安全的內(nèi)容是保護(hù)數(shù)據(jù)和服務(wù)的安全。防止信息內(nèi)容被嗅探監(jiān)聽；維護(hù)服務(wù)器使得其能不間斷的提供服務(wù)。如果要完全的保證網(wǎng)絡(luò)的安全性，除非將不同的網(wǎng)絡(luò)完全阻斷隔離。但實(shí)際中由于信息通信的需要，很少將網(wǎng)絡(luò)完全隔離。在與外部網(wǎng)絡(luò)有了持續(xù)的數(shù)據(jù)交換后，網(wǎng)絡(luò)安全的目的就是使得數(shù)據(jù)竊聽、破壞服務(wù)的難度提高到他們很難達(dá)到或者難以忍受的程度。這里的難度包括硬件設(shè)別、人力物力、所需時(shí)間等多方面的因素。Juniper防火墻將傳統(tǒng)的硬件防火墻與入侵檢測(cè)系統(tǒng)整合，并可承擔(dān)網(wǎng)絡(luò)管理的服務(wù)，還可配置為vpn等網(wǎng)絡(luò)服務(wù)器。Juniper的安全策略、IPSec等功能的實(shí)現(xiàn)低功耗搞速率，可以適應(yīng)于任何類型的網(wǎng)絡(luò)。Juniper的管理除了傳統(tǒng)的命令行界面，同時(shí)提供了可操作性強(qiáng)的WEB界面管理工具。

2 juniper防火墻主要技術(shù)

Juniper提供了多種網(wǎng)絡(luò)解決方案，適用于小型部門網(wǎng)絡(luò)、中型企業(yè)的邊緣網(wǎng)絡(luò)、大型企業(yè)的內(nèi)部網(wǎng)絡(luò)管理，以及網(wǎng)絡(luò)上的各類服務(wù)器的安全保護(hù)。Juniper全功能防火墻采用實(shí)時(shí)檢測(cè)技術(shù)，可以有效的監(jiān)測(cè)入侵者和防止拒絕服務(wù)的攻擊。Juniper防火墻是一種集成了ScreenOS操作系統(tǒng)的監(jiān)控檢測(cè)防火墻。Juniper防火墻可用于防止SYN攻擊、ICMP泛濫、端口掃描（Port Scan）等各種攻擊行為，在最復(fù)雜的情況下使用硬件加速功能可以提高會(huì)話性能，保證功能的良好實(shí)現(xiàn)。

Juniper在多種方面保護(hù)以實(shí)現(xiàn)通信的內(nèi)容安全，主要的應(yīng)用包括深層檢測(cè)、防病毒、垃圾郵件過濾、和網(wǎng)頁過濾。深層檢測(cè)是指在網(wǎng)絡(luò)流量里的應(yīng)用層里檢測(cè)攻擊，包括常見的蠕蟲病毒、木馬等，其實(shí)就是將傳統(tǒng)的入侵檢測(cè)和防護(hù)的功能集成到Juniper防火墻的操作系統(tǒng)里面。在同一時(shí)間的會(huì)話狀態(tài)的策略相匹配，基于特征的應(yīng)用層攻擊的實(shí)施，并制定了相應(yīng)的保護(hù)作用。Juniper防火墻匹配的應(yīng)用層流量的特性進(jìn)行數(shù)據(jù)分析，通過一系列的優(yōu)化，降低了對(duì)數(shù)據(jù)處理能力的影響。

3 juniper防火墻防病毒設(shè)置

Juniper 防火墻的防病毒可以針對(duì)HTTP、FTP、POP3、IMAP以及SMTP等協(xié)議進(jìn)行配置。

3.1 Scan Manager 的設(shè)置

3.2 配置文件的設(shè)置

Juniper防火墻的防病毒引用是基于安全策略的，我們通過引入特定的Profile來實(shí)現(xiàn)防病毒設(shè)置，通過內(nèi)置的防病毒引擎可以實(shí)現(xiàn)高細(xì)致化的防病毒控制，極大地降低將防病毒對(duì)系統(tǒng)資源的消耗。

操作系統(tǒng)自帶有模板化的配置文件，用戶可以直接在安全策略里引用它，也可以根據(jù)網(wǎng)絡(luò)的實(shí)際需求來設(shè)置適合自身需求的配置文件。配置文件設(shè)置主要在FTP、HTTP、IMAP、POP3、SMTP等5個(gè)方面。每個(gè)特定的協(xié)議類型，都可以用Enable選項(xiàng)啟用或禁用防病毒引擎對(duì)與這個(gè)協(xié)議相關(guān)的流量的掃描。掃描方式的三個(gè)種選擇：全掃描、特定掃描、擴(kuò)展掃描。

很多文件在傳輸時(shí)都會(huì)被壓縮以減少傳輸時(shí)間。減壓層就是用來設(shè)置防病毒引擎掃描壓縮文件的層數(shù)。防病毒引擎最多可以支持對(duì)4層壓縮文件的掃描。

在HTTP協(xié)議的配置里，可以通過Skipmime Enable啟用和禁用打開或關(guān)閉防病毒掃描。在IMAP、POP3、SMTP 等郵件協(xié)議配置里，可在發(fā)現(xiàn)病毒或異常后，通過Email Nortify選項(xiàng)開啟對(duì)用戶的郵件通知。

3.3 防病毒配置文件在安全策略中的引用

如前所述，防病毒的實(shí)現(xiàn)是通過在特定安全策略中引用配置文件來實(shí)現(xiàn)的。比如，

我們將名為av1的防病毒的配置文件應(yīng)用于名ftp-scan的策略中。

（1）首先建立了名為av1的配置文件，并啟用FTP協(xié)議的掃描；由于我僅希望檢測(cè)的是FTP

應(yīng)用，故關(guān)閉對(duì)其他協(xié)議的掃描。

（2）設(shè)置ftp-scan安全策略，并引用配置文件av1。

（3）引用了配置文件進(jìn)行病毒掃描的策略，在action欄會(huì)有相應(yīng)的圖標(biāo)出現(xiàn)。如下圖

4 結(jié)語

計(jì)算機(jī)網(wǎng)絡(luò)安全是一個(gè)復(fù)雜的系統(tǒng)工程，針對(duì)不段變換的網(wǎng)絡(luò)環(huán)境和病毒攻擊手段，防火墻的配置只是其中一個(gè)主干部分而非全部，所有的防御不能完全依賴于防火墻，必須將防火墻的配置與各種安全措施結(jié)合起來，才能達(dá)到保障計(jì)算機(jī)安全的目的。同時(shí)對(duì)于juniper防火墻的病毒庫(kù)，必須實(shí)時(shí)的進(jìn)行更新才能保證與實(shí)時(shí)的攻擊防御同步。

參考文獻(xiàn)：

[1]海陽.租個(gè)軟件防病毒[J].中國(guó)計(jì)算機(jī)用戶，2004（47）.

[2]Earl Greer，劉毅.防病毒新舉措[J].中文信息，1998（Z1）.

作者簡(jiǎn)介：楊曉雪，武漢人，從事軟件研究。

作者單位：武漢軟件工程職業(yè)學(xué)院，武漢 430205