摘 要：隨著網(wǎng)絡技術(shù)的發(fā)展，人們與互聯(lián)網(wǎng)的聯(lián)系也越來越緊密，也不得不面對信息安全問題的嚴峻考驗，病毒與攻擊無時無刻不充斥在網(wǎng)絡中。如何有效的從網(wǎng)絡級防病毒已成為信息安全的一個重要課題。防火墻是一種高級訪問控制設(shè)備，它是不同網(wǎng)絡安全域間通信流的唯一通道，juniper網(wǎng)絡安全防火墻通過內(nèi)置的防病毒引擎可以實現(xiàn)高細致化的防病毒控制，極大地降低將防病毒對系統(tǒng)資源的消耗。

關(guān)鍵詞：病毒；網(wǎng)絡安全；防火墻；juniper

中圖分類號：TP393.08

1 引言

網(wǎng)絡安全的內(nèi)容是保護數(shù)據(jù)和服務的安全。防止信息內(nèi)容被嗅探監(jiān)聽；維護服務器使得其能不間斷的提供服務。如果要完全的保證網(wǎng)絡的安全性，除非將不同的網(wǎng)絡完全阻斷隔離。但實際中由于信息通信的需要，很少將網(wǎng)絡完全隔離。在與外部網(wǎng)絡有了持續(xù)的數(shù)據(jù)交換后，網(wǎng)絡安全的目的就是使得數(shù)據(jù)竊聽、破壞服務的難度提高到他們很難達到或者難以忍受的程度。這里的難度包括硬件設(shè)別、人力物力、所需時間等多方面的因素。Juniper防火墻將傳統(tǒng)的硬件防火墻與入侵檢測系統(tǒng)整合，并可承擔網(wǎng)絡管理的服務，還可配置為vpn等網(wǎng)絡服務器。Juniper的安全策略、IPSec等功能的實現(xiàn)低功耗搞速率，可以適應于任何類型的網(wǎng)絡。Juniper的管理除了傳統(tǒng)的命令行界面，同時提供了可操作性強的WEB界面管理工具。

2 juniper防火墻主要技術(shù)

Juniper提供了多種網(wǎng)絡解決方案，適用于小型部門網(wǎng)絡、中型企業(yè)的邊緣網(wǎng)絡、大型企業(yè)的內(nèi)部網(wǎng)絡管理，以及網(wǎng)絡上的各類服務器的安全保護。Juniper全功能防火墻采用實時檢測技術(shù)，可以有效的監(jiān)測入侵者和防止拒絕服務的攻擊。Juniper防火墻是一種集成了ScreenOS操作系統(tǒng)的監(jiān)控檢測防火墻。Juniper防火墻可用于防止SYN攻擊、ICMP泛濫、端口掃描（Port Scan）等各種攻擊行為，在最復雜的情況下使用硬件加速功能可以提高會話性能，保證功能的良好實現(xiàn)。

Juniper在多種方面保護以實現(xiàn)通信的內(nèi)容安全，主要的應用包括深層檢測、防病毒、垃圾郵件過濾、和網(wǎng)頁過濾。深層檢測是指在網(wǎng)絡流量里的應用層里檢測攻擊，包括常見的蠕蟲病毒、木馬等，其實就是將傳統(tǒng)的入侵檢測和防護的功能集成到Juniper防火墻的操作系統(tǒng)里面。在同一時間的會話狀態(tài)的策略相匹配，基于特征的應用層攻擊的實施，并制定了相應的保護作用。Juniper防火墻匹配的應用層流量的特性進行數(shù)據(jù)分析，通過一系列的優(yōu)化，降低了對數(shù)據(jù)處理能力的影響。

3 juniper防火墻防病毒設(shè)置

Juniper 防火墻的防病毒可以針對HTTP、FTP、POP3、IMAP以及SMTP等協(xié)議進行配置。

3.1 Scan Manager 的設(shè)置

3.2 配置文件的設(shè)置

Juniper防火墻的防病毒引用是基于安全策略的，我們通過引入特定的Profile來實現(xiàn)防病毒設(shè)置，通過內(nèi)置的防病毒引擎可以實現(xiàn)高細致化的防病毒控制，極大地降低將防病毒對系統(tǒng)資源的消耗。

操作系統(tǒng)自帶有模板化的配置文件，用戶可以直接在安全策略里引用它，也可以根據(jù)網(wǎng)絡的實際需求來設(shè)置適合自身需求的配置文件。配置文件設(shè)置主要在FTP、HTTP、IMAP、POP3、SMTP等5個方面。每個特定的協(xié)議類型，都可以用Enable選項啟用或禁用防病毒引擎對與這個協(xié)議相關(guān)的流量的掃描。掃描方式的三個種選擇：全掃描、特定掃描、擴展掃描。

很多文件在傳輸時都會被壓縮以減少傳輸時間。減壓層就是用來設(shè)置防病毒引擎掃描壓縮文件的層數(shù)。防病毒引擎最多可以支持對4層壓縮文件的掃描。

在HTTP協(xié)議的配置里，可以通過Skipmime Enable啟用和禁用打開或關(guān)閉防病毒掃描。在IMAP、POP3、SMTP 等郵件協(xié)議配置里，可在發(fā)現(xiàn)病毒或異常后，通過Email Nortify選項開啟對用戶的郵件通知。

3.3 防病毒配置文件在安全策略中的引用

如前所述，防病毒的實現(xiàn)是通過在特定安全策略中引用配置文件來實現(xiàn)的。比如，

我們將名為av1的防病毒的配置文件應用于名ftp-scan的策略中。

（1）首先建立了名為av1的配置文件，并啟用FTP協(xié)議的掃描；由于我僅希望檢測的是FTP

應用，故關(guān)閉對其他協(xié)議的掃描。

（2）設(shè)置ftp-scan安全策略，并引用配置文件av1。

（3）引用了配置文件進行病毒掃描的策略，在action欄會有相應的圖標出現(xiàn)。如下圖

4 結(jié)語

計算機網(wǎng)絡安全是一個復雜的系統(tǒng)工程，針對不段變換的網(wǎng)絡環(huán)境和病毒攻擊手段，防火墻的配置只是其中一個主干部分而非全部，所有的防御不能完全依賴于防火墻，必須將防火墻的配置與各種安全措施結(jié)合起來，才能達到保障計算機安全的目的。同時對于juniper防火墻的病毒庫，必須實時的進行更新才能保證與實時的攻擊防御同步。

參考文獻：

[1]海陽.租個軟件防病毒[J].中國計算機用戶，2004（47）.

[2]Earl Greer，劉毅.防病毒新舉措[J].中文信息，1998（Z1）.

作者簡介：楊曉雪，武漢人，從事軟件研究。

作者單位：武漢軟件工程職業(yè)學院，武漢 430205