Junos

Introduction to Junos OS
Chapter 1 Introducing Junos OS for SRX Series Services Gateways . . . . . . . . . . . . . . . . 3

SRX Series Services Gateways Processing Overview . . . . . . . . . . . . . . . . . . . . . . . . 3
Understanding Flow-Based Processing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Zones and Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Flows and Sessions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Understanding Packet-Based Processing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Stateless Firewall Filters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Class-of-Service Features . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Screens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Sessions for SRX Series Services Gateways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Session Characteristics for SRX Series Services Gateways . . . . . . . . . . . . . . . . 7
Understanding Session Characteristics for SRX Series Services
Gateways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Example: Controlling Session Termination for SRX Series Services
Gateways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Example: Disabling TCP Packet Security Checks for SRX Series Services
Gateways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Example: Setting the Maximum Segment Size for All TCP Sessions for
SRX Series Services Gateways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Monitoring Sessions for SRX Series Services Gateways . . . . . . . . . . . . . . . . . . 11
Understanding How to Obtain Session Information for SRX Series
Services Gateways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Displaying Global Session Parameters for All SRX Series Services
Gateways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Displaying a Summary of Sessions for SRX Series Services
Gateways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Displaying Session and Flow Information About Sessions for SRX Series
Services Gateways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Copyright 2010, Juniper Networks, Inc. ix
Displaying Session and Flow Information About a Specific Session for

SRX Series Services Gateways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Using Filters to Display Session and Flow Information for SRX Series
Information Provided in Session Log Entries for SRX Series Services
Gateways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Clearing Sessions for SRX Series Services Gateways . . . . . . . . . . . . . . . . . . . 18
Terminating Sessions for SRX Series Services Gateways . . . . . . . . . . . . . 19
Terminating a Specific Session for SRX Series Services Gateways . . . . . 19
Using Filters to Specify the Sessions to Be Terminated for SRX Series
Debugging for SRX Series Services Gateways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Data Path Debugging for SRX Series Services Gateways . . . . . . . . . . . . . . . . 19
Understanding Data Path Debugging for SRX Series Services
Gateways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Debugging the Data Path (CLI Procedure) . . . . . . . . . . . . . . . . . . . . . . . . 20
Security Debugging for SRX Series Services Gateways . . . . . . . . . . . . . . . . . . 21
Understanding Security Debugging Using Trace Options . . . . . . . . . . . . . 21
Setting Security Trace Options (CLI Procedure) . . . . . . . . . . . . . . . . . . . . 21
Displaying Output for Security Trace Options . . . . . . . . . . . . . . . . . . . . . . 22
Flow Debugging for SRX Series Services Gateways . . . . . . . . . . . . . . . . . . . . 23
Understanding Flow Debugging Using Trace Options . . . . . . . . . . . . . . . 23
Setting Flow Debugging Trace Options (CLI Procedure) . . . . . . . . . . . . . 23
Understanding SRX Series Services Gateways Central Point Architecture . . . . . . 23
Load Distribution in Combo Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Sharing Processing Power and Memory in Combo Mode . . . . . . . . . . . . . . . . 24
Expanding Session Capacity by Device . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Expanding Session Capacity on an SRX3400 or SRX3600 Device . . . . . . . . 26
Expanding Session Capacity on an SRX5800 Device . . . . . . . . . . . . . . . . . . . 26
Reverting to Default Session Capacity on an SRX5800 Device . . . . . . . . . . . 26
Verifying the Current Session Capacity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
SRX5600 and SRX5800 Services Gateways Processing Overview . . . . . . . . . . . 27
Understanding First-Packet Processing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Understanding Fast-Path Processing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Understanding the Data Path for Unicast Sessions . . . . . . . . . . . . . . . . . . . . . 31
Session Lookup and Packet Match Criteria . . . . . . . . . . . . . . . . . . . . . . . . 31
Understanding Session Creation: First-Packet Processing . . . . . . . . . . . . 31
Understanding Fast-Path Processing . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Understanding Packet Processing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Understanding Services Processing Units . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Understanding Scheduler Characteristics . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Understanding Network Processor Bundling . . . . . . . . . . . . . . . . . . . . . . . . . . 38

Network Processor Bundling Limitations . . . . . . . . . . . . . . . . . . . . . . . . . 39
SRX1400, SRX3400, and SRX3600 Services Gateways Processing Overview . . 40
Components Involved in Setting up a Session . . . . . . . . . . . . . . . . . . . . . . . . 40
Understanding the Data Path for Unicast Sessions . . . . . . . . . . . . . . . . . . . . . 41
Session Lookup and Packet Match Criteria . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Understanding Session Creation: First Packet Processing . . . . . . . . . . . . . . . . 41
x Copyright 2010, Juniper Networks, Inc.
Junos OS Security Configuration Guide
SRX210 Services Gateway Processing Overview . . . . . . . . . . . . . . . . . . . . . . . . . . 43

Understanding Flow Processing and Session Management . . . . . . . . . . . . . . 44
Understanding First-Packet Processing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Understanding Session Creation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Limitations of Flow and Processing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Chapter 2 Understanding IPv6 Flow-Based Processing . . . . . . . . . . . . . . . . . . . . . . . . . . 47

Understanding IP Version 6 (IPv6) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
About the IPv6 Address Space, Addressing, and Address Types . . . . . . . . . . . . . . 48
About IPv6 Address Types and How Junos OS for SRX Series Services Gateway
and J-series Devices Use Them . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
About the IPv6 Address Format . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
The IPv6 Packet Header and SRX Series and J-series Devices Overview . . . . . . . . 51
About the IPv6 Basic Packet Header . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Understanding IPv6 Packet Header Extensions . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
About IPv6 Packet Header Verification Performed by the Flow Module for SRX
Series and J-series Devices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
IPv6 advanced flow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
IPv6 dual-stack lite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
Understanding How SRX Series and J-series Devices Handle ICMPv6
Packets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Understanding Path MTU Messages for IPv6 Packets . . . . . . . . . . . . . . . . . . . . . . 61
Understanding How SRX Series and J-series Devices Handle Packet
Fragmentation for IPv6 Flows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Understanding Sessions for IPv6 Flows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Understanding SRX5600 and SRX5800 Architecture and Flow Processing . . . . 63
Limitations of IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
Enabling Flow-Based Processing for IPv6 Traffic . . . . . . . . . . . . . . . . . . . . . . . . . . 66
Using Filters to Display IPv6 Session and Flow Information for SRX Series Services
Gateways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
IPv6 NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
IPv6 NAT Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Source NAT Translations Supported by IPv6 NAT . . . . . . . . . . . . . . . . . . 72
Destination NAT Mappings Supported by IPv6 NAT . . . . . . . . . . . . . . . . . 72
Static NAT Mappings Supported by IPv6 NAT . . . . . . . . . . . . . . . . . . . . . 72
IPv6 NAT PT Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
IPv6 NAT-PT Communication Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
Example: Configuring an IPv4-Initiated Connection to an IPv6 Node Using
Default Destination Address Prefix Static Mapping . . . . . . . . . . . . . . . . . 75
Static Destination Address One-to-One Mapping . . . . . . . . . . . . . . . . . . 78
Default Destination Address Prefix Static Mapping . . . . . . . . . . . . . . . . . 82
Copyright 2010, Juniper Networks, Inc. xi
Table of Contents

Static Destination Address One-to-One Mapping . . . . . . . . . . . . . . . . . . 85
IPv6 ALGs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
IPv6 DNS ALG for Routing, NAT, and NAT-PT . . . . . . . . . . . . . . . . . . . . . . . . . 88
IPv6 DNS ALG Traffic in NAT mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
IPv6 DNS ALG Traffic in NAT-PT mode . . . . . . . . . . . . . . . . . . . . . . . . . . 89
IPv6 FTP ALG for Routing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
EPRT mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
EPSV mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
Understanding IPV6 ALG support for ICMP . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
ICMP Error Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
ICMP ALG Functionality . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Chapter 3 Introducing Junos OS for J Series Services Routers . . . . . . . . . . . . . . . . . . . . 93

Understanding Stateful and Stateless Data Processing for J Series Services
Routers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Understanding Flow-Based Processing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
Zones and Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Flows and Sessions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

Understanding Packet-Based Processing . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
Stateless Firewall Filters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
Class-of-Service Features . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
Session Characteristics for J Series Services Routers . . . . . . . . . . . . . . . . . . . . . . . 97
Understanding Session Characteristics for J Series Services Routers . . . . . . 97
Example: Controlling Session Termination for J Series Services Routers . . . . 98
Example: Disabling TCP Packet Security Checks for J Series Services
Routers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
Example: Accommodating End-to-End TCP Communication for J Series
Services Routers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
Understanding the Data Path for J Series Services Routers . . . . . . . . . . . . . . . . . 103
Understanding the Forwarding Processing . . . . . . . . . . . . . . . . . . . . . . . . . . 104
Understanding the Session-Based Processing . . . . . . . . . . . . . . . . . . . . . . . 104
Session Lookup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
First-Packet Path Processing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
Fast-Path Processing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
Understanding Forwarding Features . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
xii Copyright 2010, Juniper Networks, Inc.
Part 2 Security Zones and Interfaces

Chapter 4 Security Zones and Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
Security Zones and Interfaces Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
Understanding Security Zone Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
Understanding Interface Ports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
Security Zones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
Understanding Functional Zones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
Understanding Security Zones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
Example: Creating Security Zones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
Host Inbound Traffic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
Understanding How to Control Inbound Traffic Based on Traffic Types . . . . 114
Supported System Services for Host Inbound Traffic . . . . . . . . . . . . . . . . . . . 115
Example: Controlling Inbound Traffic Based on Traffic Types . . . . . . . . . . . . 116
Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
Stream Control Transmission Protocol Overview . . . . . . . . . . . . . . . . . . . . . . 119
Configuration Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
Understanding How to Control Inbound Traffic Based on Protocols . . . . . . 120
Example: Controlling Inbound Traffic Based on Protocols . . . . . . . . . . . . . . . 121
TCP-Reset Parameters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
Understanding How to Identify Duplicate Sessions Using the TCP-Reset
Parameter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
Example: Configuring the TCP-Reset Parameter . . . . . . . . . . . . . . . . . . . . . . 123
DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
DNS Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
DNS Components . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
DNS Server Caching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
Forwarders . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
Example: Configuring the TTL Value for DNS Server Caching . . . . . . . . . . . . 125
Example: Configuring a Forwarder for a DNS server . . . . . . . . . . . . . . . . . . . 126
DNSSEC Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
Example: Configuring DNSSEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
Example: Configuring Keys for DNSSEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
Example: Configuring Secure Domains and Trusted Keys for DNSSEC . . . . . 128
Chapter 5 Address Books and Address Sets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131

Security Policy Address Books and Address Sets Overview . . . . . . . . . . . . . . . . . 131
Understanding Address Books . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
Understanding Address Sets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
Limitations of Addresses and Address Sets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
Example: Configuring Address Books . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
Verifying Address Book Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
Part 3 Security Policies

Chapter 6 Security Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
Security Policies Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
Understanding Security Policy Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
Understanding Security Policy Elements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
Copyright 2010, Juniper Networks, Inc. xiii
Table of Contents
Security Policies Configuration Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148

Configuring Policies Using the Firewall Wizard . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
Example: Configuring a Security Policy to Permit or Deny All Traffic . . . . . . . . . . 149
Example: Configuring a Security Policy to Permit or Deny Selected Traffic . . . . . 153
Understanding Security Policy Ordering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157

Example: Reordering the Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
Troubleshooting Security Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
Checking a Security Policy Commit Failure . . . . . . . . . . . . . . . . . . . . . . . . . . 159
Verifying a Security Policy Commit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
Debugging Policy Lookup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
Monitoring Policy Statistics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
Matching Security Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
Chapter 7 Security Policy Schedulers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165

Security Policy Schedulers Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
Example: Configuring Schedulers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
Verifying Scheduled Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
Chapter 8 Security Policy Applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171

Security Policy Applications Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
Policy Application Sets Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
Example: Configuring Applications and Application Sets . . . . . . . . . . . . . . . . . . . 173
Custom Policy Applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
Understanding Custom Policy Applications . . . . . . . . . . . . . . . . . . . . . . . . . . 174
Custom Application Mappings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
Example: Adding and Modifying Custom Policy Applications . . . . . . . . . . . . 175
Example: Defining a Custom ICMP Application . . . . . . . . . . . . . . . . . . . . . . . 176
Policy Application Timeouts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
Understanding Policy Application Timeout Configuration and Lookup . . . . 178
Understanding Policy Application Timeouts Contingencies . . . . . . . . . . . . . 179
Example: Setting a Policy Application Timeout . . . . . . . . . . . . . . . . . . . . . . . 181
Understanding the ICMP Predefined Policy Application . . . . . . . . . . . . . . . . . . . . 182
Default Behaviour of ICMP Unreachable Errors . . . . . . . . . . . . . . . . . . . . . . . . . . 186
Understanding Internet-Related Predefined Policy Applications . . . . . . . . . . . . . 186
Understanding Microsoft Predefined Policy Applications . . . . . . . . . . . . . . . . . . 188
Understanding Dynamic Routing Protocols Predefined Policy Applications . . . . 189
Understanding Streaming Video Predefined Policy Applications . . . . . . . . . . . . 190
Understanding Sun RPC Predefined Policy Applications . . . . . . . . . . . . . . . . . . . 190
Understanding Security and Tunnel Predefined Policy Applications . . . . . . . . . . 191
Understanding IP-Related Predefined Policy Applications . . . . . . . . . . . . . . . . . . 192
Understanding Instant Messaging Predefined Policy Applications . . . . . . . . . . . 193
Understanding Management Predefined Policy Applications . . . . . . . . . . . . . . . 193
Understanding Mail Predefined Policy Applications . . . . . . . . . . . . . . . . . . . . . . . 195
Understanding UNIX Predefined Policy Applications . . . . . . . . . . . . . . . . . . . . . . 195
Understanding Miscellaneous Predefined Policy Applications . . . . . . . . . . . . . . 196
xiv Copyright 2010, Juniper Networks, Inc.
Part 4 Application Layer Gateways

Chapter 9 ALGs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
ALG Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
Understanding ALG Types . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
Understanding VoIP DSCP Rewrite Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
Example: Configuring VoIP DSCP Rewrite Rules . . . . . . . . . . . . . . . . . . . . . . . . . 205
Chapter 10 H.323 ALGs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207

Understanding H.323 ALGs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
Understanding the Avaya H.323 ALG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
Avaya H.323 ALG-Specific Features . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
Call Flow Details in the Avaya H.323 ALG . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
H.323 ALG Configuration Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
H.323 ALG Endpoint Registration Timeouts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
Understanding H.323 ALG Endpoint Registration Timeouts . . . . . . . . . . . . . . 211
Example: Setting H.323 ALG Endpoint Registration Timeouts . . . . . . . . . . . 212
H.323 ALG Media Source Port Ranges . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
Understanding H.323 ALG Media Source Port Ranges . . . . . . . . . . . . . . . . . . 213
Example: Setting H.323 ALG Media Source Port Ranges . . . . . . . . . . . . . . . . 213
H.323 ALG DoS Attack Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214
Understanding H.323 ALG DoS Attack Protection . . . . . . . . . . . . . . . . . . . . . 214
Example: Configuring H.323 ALG DoS Attack Protection . . . . . . . . . . . . . . . . 215
H.323 ALG Unknown Message Types . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216
Understanding H.323 ALG Unknown Message Types . . . . . . . . . . . . . . . . . . 216
Example: Allowing Unknown H.323 ALG Message Types . . . . . . . . . . . . . . . . 217
Example: Passing H.323 ALG Traffic to a Gatekeeper in the Private Zone . . . . . . 218
Example: Passing H.323 ALG Traffic to a Gatekeeper in the External Zone . . . . . 223
Example: Using NAT with the H.323 ALG to Enable Incoming Calls . . . . . . . . . . 228
Example: Using NAT with the H.323 ALG to Enable Outgoing Calls . . . . . . . . . . 234
Chapter 11 ALG for IKE and ESP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241

Understanding ALG for IKE and ESP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241
Understanding ALG for IKE and ESP Operation . . . . . . . . . . . . . . . . . . . . . . . . . . 242

Example: Configuring the IKE and ESP ALG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243
Example: Enabling IKE and ESP ALG and Setting Timeouts . . . . . . . . . . . . . . . . 248
Chapter 12 SIP ALGs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251

Understanding SIP ALGs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251
SIP ALG Operation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252
SDP Session Descriptions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
Pinhole Creation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254
Understanding SIP ALG Request Methods . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256
SIP ALG Configuration Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
SIP ALG Call Duration and Timeouts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
Understanding SIP ALG Call Duration and Timeouts . . . . . . . . . . . . . . . . . . 257
Example: Setting SIP ALG Call Duration and Timeouts . . . . . . . . . . . . . . . . 258
SIP ALG DoS Attack Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260
Understanding SIP ALG DoS Attack Protection . . . . . . . . . . . . . . . . . . . . . . 260
Example: Configuring SIP ALG DoS Attack Protection . . . . . . . . . . . . . . . . . 260
Copyright 2010, Juniper Networks, Inc. xv
Table of Contents
SIP ALG Unknown Message Types . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261

Understanding SIP ALG Unknown Message Types . . . . . . . . . . . . . . . . . . . . 261
Example: Allowing Unknown SIP ALG Message Types . . . . . . . . . . . . . . . . . 262
SIP ALG Hold Resources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
Understanding SIP ALG Hold Resources . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
Retaining SIP ALG Hold Resources (J-Web Procedure) . . . . . . . . . . . . . . . . 264
Retaining SIP ALG Hold Resources (CLI Procedure) . . . . . . . . . . . . . . . . . . . 264
SIP ALGs and NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
Understanding SIP ALGs and NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265
Outgoing Calls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266
Incoming Calls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266
Forwarded Calls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266
Call Termination . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
Call Re-INVITE Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
Call Session Timers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
Call Cancellation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
Forking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
SIP Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268
SIP Headers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268
SIP Body . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270
SIP NAT Scenario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270
Classes of SIP Responses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272
Understanding Incoming SIP ALG Call Support Using the SIP Registrar and
NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274
Example: Configuring Interface Source NAT for Incoming SIP Calls . . . . . . . 275
Example: Configuring a Source NAT Pool for Incoming SIP Calls . . . . . . . . . 280
Example: Configuring Static NAT for Incoming SIP Calls . . . . . . . . . . . . . . . 286
Example: Configuring the SIP Proxy in the Private Zone and NAT in the Public
Zone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291
Example: Configuring a Three-Zone SIP ALG and NAT Scenario . . . . . . . . . 296
Verifying SIP ALG Configurations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303
Verifying SIP ALGs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303
Verifying SIP ALG Calls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303
Verifying SIP ALG Call Details . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304
Verifying SIP ALG Counters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304
Verifying the Rate of SIP ALG Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305
Chapter 13 SCCP ALGs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307

Understanding SCCP ALGs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307
SCCP Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308
SCCP Components . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
SCCP Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
CallManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
Cluster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
SCCP Transactions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
Client Initialization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310
Client Registration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310
Call Setup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310
Media Setup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310
xvi Copyright 2010, Juniper Networks, Inc.
SCCP Control Messages and RTP Flow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310

SCCP Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311
SCCP ALG Configuration Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312
SCCP ALG Inactive Media Timeout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313
Understanding SCCP ALG Inactive Media Timeouts . . . . . . . . . . . . . . . . . . . 313

Example: Setting SCCP ALG Inactive Media Timeouts . . . . . . . . . . . . . . . . . 313
SCCP ALG Unknown Message Types . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314
Understanding SCCP ALG Unknown Message Types . . . . . . . . . . . . . . . . . . 314
Example: Allowing Unknown SCCP ALG Message Types . . . . . . . . . . . . . . . 315
SCCP ALG DoS Attack Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316
Understanding SCCP ALG DoS Attack Protection . . . . . . . . . . . . . . . . . . . . . 316
Example: Configuring SCCP ALG DoS Attack Protection . . . . . . . . . . . . . . . . 317
Example: Configuring the SCCP ALG Call Manager or TFTP Server in the Private
Zone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318
Verifying SCCP ALG Configurations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324
Verifying SCCP ALGs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324
Verifying SCCP Calls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325
Verifying SCCP Call Details . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325
Verifying SCCP Counters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326
Chapter 14 MGCP ALGs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329

Understanding MGCP ALGs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329
MGCP Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330
Entities in MGCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330
Endpoint . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330
Connection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331
Call . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331
Call Agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331
Commands . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332
Response Codes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334
MGCP ALG Configuration Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335
MGCP ALG Call Duration and Timeouts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335
Understanding MGCP ALG Call Duration and Timeouts . . . . . . . . . . . . . . . . 335
Example: Setting MGCP ALG Call Duration . . . . . . . . . . . . . . . . . . . . . . . . . . 336
Example: Setting MGCP ALG Inactive Media Timeout . . . . . . . . . . . . . . . . . 337
Example: Setting MGCP ALG Transaction Timeout . . . . . . . . . . . . . . . . . . . 339
MGCP ALG DoS Attack Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340
Understanding MGCP ALG DoS Attack Protection . . . . . . . . . . . . . . . . . . . . 340
Example: Configuring MGCP ALG DoS Attack Protection . . . . . . . . . . . . . . 340
MGCP ALG Unknown Message Types . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341
Understanding MGCP ALG Unknown Message Types . . . . . . . . . . . . . . . . . . 341
Example: Allowing Unknown MGCP ALG Message Types . . . . . . . . . . . . . . . 342
Example: Configuring Media Gateways in Subscriber Homes Using MGCP
ALGs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343
Example: Configuring Three-Zone ISP-Hosted Service Using MGCP ALG and
NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350
Copyright 2010, Juniper Networks, Inc. xvii
Table of Contents
Chapter 15 RPC ALGs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361

Understanding RPC ALGs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361
Sun RPC ALGs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362
Understanding Sun RPC ALGs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362
Enabling Sun RPC ALGs (J-Web Procedure) . . . . . . . . . . . . . . . . . . . . . . . . . 363
Enabling Sun RPC ALGs (CLI Procedure) . . . . . . . . . . . . . . . . . . . . . . . . . . . 363
Sun RPC Services and Applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363
Understanding Sun RPC Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364
Customizing Sun RPC Applications (CLI Procedure) . . . . . . . . . . . . . . . 364
Microsoft RPC ALGs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365
Understanding Microsoft RPC ALGs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365
Enabling Microsoft RPC ALGs (J-Web Procedure) . . . . . . . . . . . . . . . . . . . . 366
Enabling Microsoft RPC ALGs (CLI Procedure) . . . . . . . . . . . . . . . . . . . . . . . 366
Microsoft RPC Services and Applications . . . . . . . . . . . . . . . . . . . . . . . . . . . 367
Understanding Microsoft RPC Services . . . . . . . . . . . . . . . . . . . . . . . . . 367
Customizing Microsoft RPC Applications (CLI Procedure) . . . . . . . . . . 367
Verifying the Microsoft RPC ALG Tables . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368
Part 5 User Authentication

Chapter 16 Firewall User Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371
Firewall User Authentication Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371
Pass-Through Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372
Understanding Pass-Through Authentication . . . . . . . . . . . . . . . . . . . . . . . . 372
Example: Configuring Pass-Through Authentication . . . . . . . . . . . . . . . . . . . 373
Web Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379
Understanding Web Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379
Example: Configuring Web Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . 380
External Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387
Understanding External Authentication Servers . . . . . . . . . . . . . . . . . . . . . . 387
Understanding SecurID User Authentication . . . . . . . . . . . . . . . . . . . . . 388

Example: Configuring RADIUS and LDAP User Authentication . . . . . . . . . . 389
Example: Configuring SecurID User Authentication . . . . . . . . . . . . . . . . . . . 392
Example: Deleting the SecurID Node Secret File . . . . . . . . . . . . . . . . . . . . . . 395
Client Groups for Firewall Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396
Understanding Client Groups for Firewall Authentication . . . . . . . . . . . . . . 396
Example: Configuring Local Users for Client Groups . . . . . . . . . . . . . . . . . . . 396
Firewall Authentication Banner Customization . . . . . . . . . . . . . . . . . . . . . . . . . . 398
Understanding Firewall Authentication Banner Customization . . . . . . . . . . 398
Example: Customizing a Firewall Authentication Banner . . . . . . . . . . . . . . . 399
xviii Copyright 2010, Juniper Networks, Inc.
Chapter 17 Infranet Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401

UAC and Junos OS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401
Understanding UAC in a Junos OS Environment . . . . . . . . . . . . . . . . . . . . . . 401
Enabling UAC in a Junos OS Environment (CLI Procedure) . . . . . . . . . . . . . 403
Junos OS Enforcer and Infranet Controller Communications . . . . . . . . . . . . . . . 404
Understanding Communications Between the Junos OS Enforcer and the
Infranet Controller . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404
Configuring Communications Between the Junos OS Enforcer and the
Infranet Controller (CLI Procedure) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404
Junos OS Enforcer Policy Enforcement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406
Understanding Junos OS Enforcer Policy Enforcement . . . . . . . . . . . . . . . . 407
Testing Junos OS Enforcer Policy Access Decisions Using Test-Only Mode
(CLI Procedure) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408
Verifying Junos OS Enforcer Policy Enforcement . . . . . . . . . . . . . . . . . . . . . 409
Displaying Infranet Controller Authentication Table Entries from the
Junos OS Enforcer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409
Displaying Infranet Controller Resource Access Policies from the Junos
OS Enforcer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409
Junos OS Enforcer and IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409
Understanding Junos OS Enforcer Implementations Using IPsec . . . . . . . . 409
Example: Configuring the Device as a Junos OS Enforcer Using IPsec
(CLI) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411
Junos OS Enforcer and Infranet Agent Endpoint Security . . . . . . . . . . . . . . . . . . . 417
Understanding Endpoint Security Using the Infranet Agent with the Junos
OS Enforcer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417
Configuring Endpoint Security Using the Infranet Agent with the Junos OS
Enforcer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418
Junos OS Enforcer and Captive Portal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418
Understanding the Captive Portal on the Junos OS Enforcer . . . . . . . . . . . . 419
Understanding Captive Portal Configuration on the Junos OS Enforcer . . . 420
Example: Creating a Captive Portal Policy on the JUNOS Enforcer . . . . . . . . 421
Understanding the Captive Portal Redirect URL Options . . . . . . . . . . . . . . . 424
Example: Configuring a Redirect URL for Captive Portal . . . . . . . . . . . . . . . . 425
Junos OS Enforcer and Infranet Controller Cluster Failover . . . . . . . . . . . . . . . . . 427
Understanding Communications Between Junos OS Enforcer and a Cluster
of Infranet Controllers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427
Configuring Junos OS Enforcer Failover Options (CLI Procedure) . . . . . . . . 427
Part 6 Virtual Private Networks

Chapter 18 Internet Protocol Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431
VPN Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431
IPsec VPN Topologies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432
Policy-based IPsec VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432
Route-based IPsec VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433
Comparing Policy-based VPNs and Route-based VPNs . . . . . . . . . . . . . . . 433
Security Associations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434
Copyright 2010, Juniper Networks, Inc. xix
Table of Contents
IPsec Key Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435

Manual Key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435
AutoKey IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 436
Diffie-Hellman Exchange . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 436
IPsec Security Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437
AH Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437
ESP Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437
IPsec Tunnel Negotiation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438
Distributed VPNs in SRX Series Services Gateways . . . . . . . . . . . . . . . . . . . 438
Understanding IKE and IPsec Packet Processing . . . . . . . . . . . . . . . . . . . . . . . . . 439
Packet Processing in Tunnel Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439
IKE Packet Processing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441
IPsec Packet Processing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444

Understanding Phase 1 of IKE Tunnel Negotiation . . . . . . . . . . . . . . . . . . . . . . . . 447
Main Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447
Aggressive Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 448
Local IP Address Management with XAuth Support . . . . . . . . . . . . . . . . . . 448
Understanding Phase 2 of IKE Tunnel Negotiation . . . . . . . . . . . . . . . . . . . . . . . 449
Proxy IDs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449
Perfect Forward Secrecy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 450
Replay Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 450
Configuring IPsec VPN Using the VPN Wizard . . . . . . . . . . . . . . . . . . . . . . . . . . . 450
Example: Configuring a Policy-Based VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 451
Example: Configuring a Route-Based VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468
Hub-and-Spoke VPNs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485
Understanding Hub-and-Spoke VPNs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485
Example: Configuring a Hub-and-Spoke VPN . . . . . . . . . . . . . . . . . . . . . . . 486
Global SPI and VPN Monitoring Features . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 517
Understanding Global SPI and VPN Monitoring Features . . . . . . . . . . . . . . . 517
Example: Configuring Global SPI and VPN Monitoring Features . . . . . . . . . . 517
Virtual Routers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 518
Virtual Router Support for Route-Based VPNs . . . . . . . . . . . . . . . . . . . . . . . 518
Example: Configuring an st0 Interface in a Virtual Router . . . . . . . . . . . . . . . 519
Understanding Virtual Router Limitations . . . . . . . . . . . . . . . . . . . . . . . . . . . 523
Chapter 19 Public Key Cryptography for Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . 525

Understanding Certificates and PKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 525
Certificate Signatures and Verification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 526
Public Key Infrastructure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 526
PKI Management and Implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 528
xx Copyright 2010, Juniper Networks, Inc.
Internet Key Exchange . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 529

Digital Certificates Configuration Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 530
Enabling Digital Certificates Online: Configuration Overview . . . . . . . . . . . . 530
Manually Generating Digital Certificates: Configuration Overview . . . . . . . . 530
Public-Private Key Pairs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 531
Understanding Public Key Cryptography . . . . . . . . . . . . . . . . . . . . . . . . . . . . 531
Example: Generating a Public-Private Key Pair . . . . . . . . . . . . . . . . . . . . . . . 532
CA Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 533
Understanding Certificate Authority Profiles . . . . . . . . . . . . . . . . . . . . . . . . . 533
Example: Configuring a CA Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 533
Certificate Enrollment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534
Understanding Online CA Certificate Enrollment . . . . . . . . . . . . . . . . . . . . . 535
Enrolling a CA Certificate Online Using SCEP (CLI Procedure) . . . . . . . . . . . 535
Example: Enrolling a Local Certificate Online Using SCEP . . . . . . . . . . . . . . 536
Example: Using SCEP to Automatically Renew a Local certificate . . . . . . . . 537
Certificate Requests . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539
Understanding Local Certificate Requests . . . . . . . . . . . . . . . . . . . . . . . . . . 539
Example: Manually Generating a CSR for the Local Certificate and Sending
it to the CA Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539
Certificate Loading . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541
Understanding Certificate Loading . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541
Example: Loading CA and Local Certificates Manually . . . . . . . . . . . . . . . . . 541
CRLs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 542
Understanding Certificate Revocation Lists . . . . . . . . . . . . . . . . . . . . . . . . . 543
Example: Manually Loading a CRL onto the Device . . . . . . . . . . . . . . . . . . . 543
Example: Verifying Certificate Validity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545
Example: Configuring a Certificate Authority Profile with CRL Locations . . 546
Deleting a Loaded CRL (CLI Procedure) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547
Self-Signed Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 548
Understanding Self-Signed Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . 548
Generating Self-Signed Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . 548
Automatically Generating Self-Signed Certificates . . . . . . . . . . . . . . . . 549
Manually Generating Self-Signed Certificates . . . . . . . . . . . . . . . . . . . . 549
Using Automatically Generated Self-Signed Certificates (CLI
Procedure) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 549
Example: Manually Generating Self-Signed Certificates . . . . . . . . . . . . . . . 550
Deleting Certificates (CLI Procedure) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 551
Chapter 20 Dynamic VPNs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 553

Dynamic VPN Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 553
Understanding Remote Client Access to the VPN . . . . . . . . . . . . . . . . . . . . . . . . 555
Dynamic VPN Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 555
Understanding Dynamic VPN Tunnels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 556
Dynamic VPN Configuration Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 557

Example: Configuring Dynamic VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 558
Copyright 2010, Juniper Networks, Inc. xxi
Table of Contents
Dynamic VPN Proposal Sets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 568

Access Manager Client-Side Reference . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 569
Access Manager Client-Side System Requirements . . . . . . . . . . . . . . . . . . . 569
Access Manager Client-Side Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 570
Access Manager Client-Side Registry Changes . . . . . . . . . . . . . . . . . . . . . . . 573
Access Manager Client-Side Error Messages . . . . . . . . . . . . . . . . . . . . . . . . . 573
Troubleshooting Access Manager Client-Side Problems . . . . . . . . . . . . . . . 577
Chapter 21 Group VPNs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 579

Group VPN Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 579
Group VPNs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 581
Understanding the GDOI Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 581
Understanding Group Servers and Members . . . . . . . . . . . . . . . . . . . . . . . . 582
Understanding IKE Phase 1 Configuration for Group VPN . . . . . . . . . . . . . . . 583
Understanding IPsec SA Configuration for Group VPN . . . . . . . . . . . . . . . . . 584
Understanding Dynamic Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 584
Understanding Antireplay . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 586
Understanding VPN Group Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . 586
Group VPN Configuration Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 587
Example: Configuring Group VPN (CLI) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 588
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 588
Configuring the Group Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 589
Configuring Member1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 591
Configuring Member2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 594
Viewing Dynamic Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 598
Colocation Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 599
Understanding Colocation Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 600
Example: Configuring Group VPN with Server-Member Colocation (CLI) . . 600
Server-Group Communications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 606
Understanding Server-Member Communication . . . . . . . . . . . . . . . . . . . . . 606
Understanding Group Key Operations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 607
Understanding Group Keys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 608
Understanding Rekey Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 608
Understanding Member Reregistration . . . . . . . . . . . . . . . . . . . . . . . . . . 610
Understanding Key Activation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 610
Understanding Heartbeat Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 611
Example: Configuring Server-Member Communication for Unicast Rekey
Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 612
Example: Configuring Server-Member Communication for Multicast Rekey
Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 613
Understanding Group VPN Limitations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 614
Understanding Interoperability with Cisco GET VPN . . . . . . . . . . . . . . . . . . . . . . 615
xxii Copyright 2010, Juniper Networks, Inc.
Part 7 Intrusion Detection and Prevention

Chapter 22 IDP Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 619
IDP Policies Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 619
IDP Policy Terms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 620
Working with IDP Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 620
Example: Enabling IDP in a Security Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 621
IDP Inline Tap Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 624
Understanding IDP Inline Tap Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 624
Example: Configuring IDP Inline Tap Mode . . . . . . . . . . . . . . . . . . . . . . . . . . 625
IDP Rules and Rulebases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 626
Understanding IDP Policy Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 626
Understanding IDP Rule Match Conditions . . . . . . . . . . . . . . . . . . . . . . 626
Understanding IDP Rule Objects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 627
Understanding IDP Rule Actions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 629
Understanding IDP Rule IP Actions . . . . . . . . . . . . . . . . . . . . . . . . . . . . 630
Understanding IDP Rule Notifications . . . . . . . . . . . . . . . . . . . . . . . . . . . 631
IDP Rulebases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 632
Understanding IDP Policy Rulebases . . . . . . . . . . . . . . . . . . . . . . . . . . . 632
Example: Inserting a Rule in the IDP Rulebase . . . . . . . . . . . . . . . . . . . . 632
Example: Deactivating and Activating Rules in an IDP Rulebase . . . . . 633
Understanding IDP Application-Level DDoS Rulebases . . . . . . . . . . . . . . . . 634
IDP IPS Rulebase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 635
Understanding IDP IPS Rulebases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 635
Example: Defining Rules for an IDP IPS Rulebase . . . . . . . . . . . . . . . . . 636
IDP Exempt Rulebase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 639

Understanding IDP Exempt Rulebases . . . . . . . . . . . . . . . . . . . . . . . . . 639
Example: Defining Rules for an IDP Exempt Rulebase . . . . . . . . . . . . . 640
IDP Terminal Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 643
Understanding IDP Terminal Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 643
Example: Setting Terminal Rules in Rulebases . . . . . . . . . . . . . . . . . . . 643
IDP DSCP Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 645
Understanding DSCP Rules in IDP Policies . . . . . . . . . . . . . . . . . . . . . . 645
Example: Configuring DSCP Rules in an IDP Policy . . . . . . . . . . . . . . . . 646
IDP Applications and Application Sets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 649
Understanding IDP Application Sets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 649
Example: Configuring IDP Applications and Services . . . . . . . . . . . . . . . . . . 649
Example: Configuring IDP Applications Sets . . . . . . . . . . . . . . . . . . . . . . . . . 651
IDP Attacks and Attack Objects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 654
Understanding Custom Attack Objects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 654
Attack Name . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 655
Severity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 655
Service and Application Bindings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 655
Protocol and Port Bindings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 659
Time Bindings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 660
Attack Properties (Signature Attacks) . . . . . . . . . . . . . . . . . . . . . . . . . . 661
Attack Properties (Protocol Anomaly Attacks) . . . . . . . . . . . . . . . . . . . 667
Copyright 2010, Juniper Networks, Inc. xxiii
Table of Contents
Attack Properties (Compound or Chain Attacks) . . . . . . . . . . . . . . . . . 668

IDP Protocol Decoders . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 670
Understanding IDP Protocol Decoders . . . . . . . . . . . . . . . . . . . . . . . . . . 670
Example: Configuring IDP Protocol Decoders . . . . . . . . . . . . . . . . . . . . . 671
Understanding Multiple IDP Detector Support . . . . . . . . . . . . . . . . . . . . 672
IDP Signature-Based Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 673
Understanding IDP Signature-Based Attacks . . . . . . . . . . . . . . . . . . . . 673
Example: Configuring IDP Signature-Based Attacks . . . . . . . . . . . . . . . 674
IDP Protocol Anomaly-Based Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 677
Understanding IDP Protocol Anomaly-Based Attacks . . . . . . . . . . . . . . 677
Example: Configuring IDP Protocol Anomaly-Based Attacks . . . . . . . . 677
Listing IDP Test Conditions for a Specific Protocol . . . . . . . . . . . . . . . . . . . . 680
Limitations of IDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 680
Chapter 23 Application-Level Distributed Denial of Service . . . . . . . . . . . . . . . . . . . . . . 683

IDP Application-Level DDoS Attack Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . 683
IDP Application-Level DDoS Protection Overview . . . . . . . . . . . . . . . . . . . . . . . . 683
Understanding the Application-Level DDoS Module . . . . . . . . . . . . . . . . . . 684
Understanding the Application-Level DDoS Definition . . . . . . . . . . . . . . . . 685
Understanding the Application-Level DDoS Rule . . . . . . . . . . . . . . . . . . . . . 686
Understanding Application-Level DDoS IP-Action . . . . . . . . . . . . . . . . . . . . 687
Understanding Application-Level DDoS Session Action . . . . . . . . . . . . . . . 688
Example: Enabling IDP Protection Against Application-Level DDoS Attacks . . . 688
Understanding Application-level DDoS Statistic Reporting . . . . . . . . . . . . . . . . 692
Example: Configuring Application-Level DDoS Statistics Reporting . . . . . . . . . . 695
Chapter 24 IDP Signature Database . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 697

Understanding the IDP Signature Database . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 697
Predefined IDP Policy Templates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 698
Understanding Predefined IDP Policy Templates . . . . . . . . . . . . . . . . . . . . . 698
Downloading and Using Predefined IDP Policy Templates (CLI
Procedure) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 700
IDP Signature Databases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 701
Understanding Predefined IDP Attack Objects and Object Groups . . . . . . . 701
Predefined Attack Objects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 701
Predefined Attack Object Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 702
Understanding the IDP Signature Database Version . . . . . . . . . . . . . . . . . . . 703
Updating the IDP Signature Database Overview . . . . . . . . . . . . . . . . . . . . . . 703
Updating the IDP Signature Database Manually Overview . . . . . . . . . . . . . . 704
Example: Updating the IDP Signature Database Manually . . . . . . . . . . . . . . 705
Example: Updating the Signature Database Automatically . . . . . . . . . . . . . 708
Example: Adding a Detector Sensor Configuration (J-Web) . . . . . . . . . . . . . . . . 709
Verifying the Signature Database . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 710
Verifying the IDP Policy Compilation and Load Status . . . . . . . . . . . . . . . . . . 710
Verifying the IDP Signature Database Version . . . . . . . . . . . . . . . . . . . . . . . . 712
xxiv Copyright 2010, Juniper Networks, Inc.
Chapter 25 IDP Application Identification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 715

IDP Application Identification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 715
Understanding IDP Application Identification . . . . . . . . . . . . . . . . . . . . . . . . 715
Understanding IDP Service and Application Bindings by Attack Objects . . . 716

Example: Configuring IDP Policies for Application Identification . . . . . . . . . . 718
Disabling Application Identification for an IDP Policy (CLI Procedure) . . . . . 719
IDP Application Identification for Nested Applications . . . . . . . . . . . . . . . . . . . . . 719
Understanding IDP Application Identification for Nested Applications . . . . 720
Activating IDP Application Identification for Nested Applications (CLI
Procedure) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 720
Example: Adding IDP Application Information to Attack Logging for Nested
Applications (CLI) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 720
IDP Application System Cache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 721
Understanding the IDP Application System Cache . . . . . . . . . . . . . . . . . . . . 721
Understanding IDP Application System Cache Information for Nested
Application Identification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 722
Deactivating IDP Application System Cache Information for Nested
Application Identification (CLI Procedure) . . . . . . . . . . . . . . . . . . . . . . . 722
Verifying IDP Application System Cache Statistics . . . . . . . . . . . . . . . . . . . . 723
IDP Memory and Session Limits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 724
Understanding Memory and Session Limit Settings for IDP Application
Identification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 724
Example: Setting Memory and Session Limits for IDP Application
Identification Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 725
Verifying IDP Counters for Application Identification Processes . . . . . . . . . . . . . 726
Chapter 26 IDP SSL Inspection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 729

IDP SSL Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 729
Supported IDP SSL Ciphers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 730
Understanding IDP Internet Key Exchange . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 731
Understanding IDP SSL Server Key Management and Policy Configuration . . . . 732
Displaying IDP SSL Keys and Associated Servers . . . . . . . . . . . . . . . . . . . . . . . . . 732
Adding IDP SSL Keys and Associated Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . 733
Deleting IDP SSL Keys and Associated Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . 733
Configuring an IDP SSL Inspection (CLI Procedure) . . . . . . . . . . . . . . . . . . . . . . . 734
Chapter 27 IDP Performance and Capacity Tuning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 735

Performance and Capacity Tuning for IDP Overview . . . . . . . . . . . . . . . . . . . . . . 735
Configuring Session Capacity for IDP (CLI Procedure) . . . . . . . . . . . . . . . . . . . . . 736
Chapter 28 IDP Logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 737

Understanding IDP Logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 737
IDP Application-Level DDoS Logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 738
Understanding Application-Level DDoS Logging . . . . . . . . . . . . . . . . . . . . . 738
Enabling Attack and IP-Action Logging (CLI Procedure) . . . . . . . . . . . . . . . 740
IDP Log Suppression Attributes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 740
Understanding IDP Log Suppression Attributes . . . . . . . . . . . . . . . . . . . . . . 740
Example: Configuring IDP Log Suppression Attributes . . . . . . . . . . . . . . . . . 741
Copyright 2010, Juniper Networks, Inc. xxv
Table of Contents
Security Packet Capture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 742

Understanding Security Packet Capture . . . . . . . . . . . . . . . . . . . . . . . . . . . . 742
Example: Configuring Security Packet Capture . . . . . . . . . . . . . . . . . . . . . . . 743
Example: Configuring Packet Capture for Datapath Debugging . . . . . . . . . . 745
Verifying Security Packet Capture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 748
Understanding IDP Log Information Usage on the Infranet Controller . . . . . . . . 748
Message Filtering to the Infranet Controller . . . . . . . . . . . . . . . . . . . . . . . . . . 748
Configuring Infranet Controller Logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 749
Part 8 Unified Threat Management

Chapter 29 Unified Threat Management Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 753
Unified Threat Management Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 753
Understanding UTM Custom Objects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 754
UTM Licensing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 754
Understanding UTM Licensing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 755
Updating UTM Licenses (CLI Procedure) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 755
WELF Logging for UTM Features . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 755
Understanding WELF Logging for UTM Features . . . . . . . . . . . . . . . . . . . . . 756
Example: Configuring WELF Logging for UTM Features . . . . . . . . . . . . . . . . 756
Chapter 30 Antispam Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 759

Antispam Filtering Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 759
Server-Based Spam Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 759
Understanding Server-Based Antispam Filtering . . . . . . . . . . . . . . . . . . . . . 759
Server-Based Antispam Filtering Configuration Overview . . . . . . . . . . . . . . 760
Example: Configuring Server-Based Antispam Filtering . . . . . . . . . . . . . . . . 761
Local List Spam Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 766
Understanding Local List Antispam Filtering . . . . . . . . . . . . . . . . . . . . . . . . . 767
Local List Antispam Filtering Configuration Overview . . . . . . . . . . . . . . . . . . 767
Example: Configuring Local List Antispam Filtering . . . . . . . . . . . . . . . . . . . 768

Understanding Spam Message Handling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 774
Blocking Detected Spam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 774
Tagging Detected Spam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 774
xxvi Copyright 2010, Juniper Networks, Inc.
Chapter 31 Full Antivirus Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 777

Full Antivirus Protection Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 777
Full Antivirus Scanner Pattern Database . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 778
Understanding Full Antivirus Pattern Updates . . . . . . . . . . . . . . . . . . . . . . . 778
Full Antivirus Pattern Update Configuration Overview . . . . . . . . . . . . . . . . . 779
Example: Configuring the Full Antivirus Pattern Update Server . . . . . . . . . . 779
Example: Automatically Updating Full Antivirus Patterns (J-Web) . . . . . . . . 781
Example: Automatically Updating Full Antivirus Patterns . . . . . . . . . . . . . . . 781
Manually Updating, Reloading, and Deleting Full Antivirus Patterns (CLI
Procedure) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 782
Full Antivirus File Scanning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 782
Understanding the Full Antivirus Internal Scan Engine . . . . . . . . . . . . . . . . . 782
Global, Profile-Based, and Policy-Based Full Antivirus Scan Settings . . . . . 783
Understanding Full Antivirus Scan Level Settings . . . . . . . . . . . . . . . . . 783
Example: Configuring Full Antivirus Scan Settings at Different
Levels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 784
Full Antivirus Scan Modes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 785
Understanding Full Antivirus Scan Mode Support . . . . . . . . . . . . . . . . . 785
Example: Configuring Full Antivirus File Extension Scanning . . . . . . . . 786
Configuring Full Antivirus File Extension Scanning (CLI Procedure) . . . 787
Full Antivirus Intelligent Prescreening . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 787
Understanding Full Antivirus Intelligent Prescreening . . . . . . . . . . . . . . 787
Example: Configuring Full Antivirus Intelligent Prescreening . . . . . . . . . 788
Full Antivirus Content Size Limits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 789
Understanding Full Antivirus Content Size Limits . . . . . . . . . . . . . . . . . 789
Configuring Full Antivirus Content Size Limits (CLI Procedure) . . . . . . 789
Full Antivirus Decompression Layer Limit . . . . . . . . . . . . . . . . . . . . . . . . . . . 789
Understanding Full Antivirus Decompression Layer Limits . . . . . . . . . . 790
Configuring Full Antivirus Decompression Layer Limits (CLI
Procedure) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 790
Full Antivirus Scanning Timeout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 791
Understanding Full Antivirus Scanning Timeouts . . . . . . . . . . . . . . . . . . 791
Configuring Full Antivirus Scanning Timeouts (CLI Procedure) . . . . . . . 791
Full Antivirus Scan Session Throttling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 791
Understanding Full Antivirus Scan Session Throttling . . . . . . . . . . . . . . 791
Configuring Full Antivirus Scan Session Throttling (CLI Procedure) . . . 792
Full Antivirus Application Protocol Scanning . . . . . . . . . . . . . . . . . . . . . . . . . . . . 792
Understanding Full Antivirus Application Protocol Scanning . . . . . . . . . . . . 792
HTTP Full Antivirus Scanning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 793
Understanding HTTP Scanning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 793
Enabling HTTP Scanning (CLI Procedure) . . . . . . . . . . . . . . . . . . . . . . . 794
Understanding HTTP Trickling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 794
Configuring HTTP Trickling to Prevent Timeouts During Antivirus
Scanning (CLI Procedure) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 795
Understanding MIME Whitelists . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 795
Example: Configuring MIME Whitelists to Bypass Antivirus Scanning . . 796
Understanding URL Whitelists . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 796
Copyright 2010, Juniper Networks, Inc. xxvii
Table of Contents
Configuring URL Whitelists to Bypass Antivirus Scanning (CLI

Procedure) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 797
FTP Full Antivirus Scanning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 797
Understanding FTP Antivirus Scanning . . . . . . . . . . . . . . . . . . . . . . . . . 797
Enabling FTP Antivirus Scanning (CLI Procedure) . . . . . . . . . . . . . . . . . 797
SMTP Full Antivirus Scanning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 798
Understanding SMTP Antivirus Scanning . . . . . . . . . . . . . . . . . . . . . . . 798
Enabling SMTP Antivirus Scanning (CLI Procedure) . . . . . . . . . . . . . . . 799
POP3 Full Antivirus Scanning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 800
Understanding POP3 Antivirus Scanning . . . . . . . . . . . . . . . . . . . . . . . 800
Enabling POP3 Antivirus Scanning (CLI Procedure) . . . . . . . . . . . . . . . 801
IMAP Full Antivirus Scanning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 801
Understanding IMAP Antivirus Scanning . . . . . . . . . . . . . . . . . . . . . . . . 801
Enabling IMAP Antivirus Scanning (CLI Procedure) . . . . . . . . . . . . . . . 803
Full Antivirus Scan Results and Notification Options . . . . . . . . . . . . . . . . . . . . . 803
Understanding Full Antivirus Scan Result Handling . . . . . . . . . . . . . . . . . . . 803
Protocol-Only Virus-Detected Notifications . . . . . . . . . . . . . . . . . . . . . . . . . 804
Understanding Protocol-Only Virus-Detected Notifications . . . . . . . . 804

Configuring Protocol-Only Virus-Detected Notifications (CLI
Procedure) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 804
E-Mail Virus-Detected Notifications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 805
Understanding E-Mail Virus-Detected Notifications . . . . . . . . . . . . . . . 805
Configuring E-Mail Virus-Detected Notifications (CLI Procedure) . . . . 805
Custom Message Virus-Detected Notifications . . . . . . . . . . . . . . . . . . . . . . 805
Understanding Custom Message Virus-Detected Notifications . . . . . . 806
Configuring Custom Message Virus-Detected Notifications (CLI
Procedure) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 806
Full Antivirus Scanning Fallback Options . . . . . . . . . . . . . . . . . . . . . . . . . . . 806
Understanding Antivirus Scanning Fallback Options . . . . . . . . . . . . . . 807
Example: Configuring Antivirus Scanning Fallback Options . . . . . . . . . 808
Full Antivirus Configuration Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 810
Configuring Full Antivirus (J-Web Procedure) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 811
Configuring Full Antivirus Custom Objects (J-Web Procedure) . . . . . . . . . . . 811
Configuring Full Antivirus Feature Profiles (J-Web Procedure) . . . . . . . . . . . 813
Configuring Full Antivirus UTM Policies (J-Web Procedure) . . . . . . . . . . . . . 816
Attaching Full Antivirus UTM Policies to Security Policies (J-Web
Procedure) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 817
Example: Configuring Full Antivirus (CLI) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 818
Example: Configuring Full Antivirus Custom Objects . . . . . . . . . . . . . . . . . . 818
Example: Configuring Full Antivirus Feature Profiles . . . . . . . . . . . . . . . . . . . 821
Example: Configuring Full Antivirus UTM Policies . . . . . . . . . . . . . . . . . . . . . 826
Example: Attaching Full Antivirus UTM Policies to Security Policies . . . . . . 827
Monitoring Antivirus Sessions and Scan Results . . . . . . . . . . . . . . . . . . . . . . . . . 828
Monitoring Antivirus Scan Engine Status . . . . . . . . . . . . . . . . . . . . . . . . . . . . 828
Monitoring Antivirus Session Status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 829
Monitoring Antivirus Scan Results . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 829
xxviii Copyright 2010, Juniper Networks, Inc.
Chapter 32 Express Antivirus Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 833

Express Antivirus Protection Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 833
Express Antivirus Packet-Based Scanning Versus File-Based Scanning . . . 833
Express Antivirus Expanded MIME Decoding Support . . . . . . . . . . . . . . . . . 834
Express Antivirus Scan Result Handling . . . . . . . . . . . . . . . . . . . . . . . . . . . . 834
Express Antivirus Intelligent Prescreening . . . . . . . . . . . . . . . . . . . . . . . . . . . 834
Express Antivirus Limitations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 834
Express Antivirus Scanner Pattern Database . . . . . . . . . . . . . . . . . . . . . . . . . . . . 835
Understanding Express Antivirus Scanner Pattern Updates . . . . . . . . . . . . . 835
Example: Automatically Updating Express Antivirus Patterns (J-Web) . . . . 836
Example: Automatically Updating Express Antivirus Patterns . . . . . . . . . . . 836
Manually Updating, Reloading, and Deleting Express Antivirus Patterns (CLI
Procedure) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 837
Express Antivirus Configuration Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 837
Configuring Express Antivirus (J-Web Procedure) . . . . . . . . . . . . . . . . . . . . . . . . 838
Configuring Express Antivirus Custom Objects (J-Web Procedure) . . . . . . . 838
Configuring Express Antivirus Feature Profiles (J-Web Procedure) . . . . . . . 840
Configuring Express Antivirus UTM Policies (J-Web Procedure) . . . . . . . . . 842
Attaching Express Antivirus UTM Policies to Security Policies (J-Web
Procedure) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 843
Example: Configuring Express Antivirus (CLI) . . . . . . . . . . . . . . . . . . . . . . . . . . . 844
Example: Configuring Express Antivirus Custom Objects . . . . . . . . . . . . . . . 844
Example: Configuring Express Antivirus Feature Profiles . . . . . . . . . . . . . . . 846
Example: Configuring Express Antivirus UTM Policies . . . . . . . . . . . . . . . . . . 851
Example: Attaching Express Antivirus UTM Policies to Security Policies . . . 852
Chapter 33 Content Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 855

Content Filtering Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 855
Content Filtering Protocol Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 856
Understanding Content Filtering Protocol Support . . . . . . . . . . . . . . . . . . . 856
HTTP Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 856
FTP Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 857
E-Mail Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 857
Specifying Content Filtering Protocols (CLI Procedure) . . . . . . . . . . . . . . . . 857
Example: Configuring Content Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 858
Content Filtering Configuration Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . 858
Example: Configuring Content Filtering Custom Objects . . . . . . . . . . . . . . . 859
Example: Configuring Content Filtering Feature Profiles . . . . . . . . . . . . . . . . 861
Example: Configuring Content Filtering UTM Policies . . . . . . . . . . . . . . . . . 864
Example: Attaching Content Filtering UTM Policies to Security Policies . . . 865
Monitoring Content Filtering Configurations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 867
Chapter 34 Web Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 869

Web Filtering Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 869
Integrated Web Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 870
Understanding Integrated Web Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . 870
Integrated Web Filtering Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 871
Integrated Web Filtering Cache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 871
Integrated Web Filtering Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 871
Copyright 2010, Juniper Networks, Inc. xxix
Table of Contents
Profile Matching Precedence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 872

Example: Configuring Integrated Web Filtering . . . . . . . . . . . . . . . . . . . . . . . 872
Displaying Global SurfControl URL categories . . . . . . . . . . . . . . . . . . . . . . . 880
Redirect Web Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 880
Understanding Redirect Web Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 880
Example: Configuring Redirect Web Filtering . . . . . . . . . . . . . . . . . . . . . . . . . 881
Local Web Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 888
Understanding Local Web Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 888
User-Defined URL Categories . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 888
Local Web Filtering Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 889
Local Web Filtering Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 889
Profile Matching Precedence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 890
Example: Configuring Local Web Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . 890
Monitoring Web Filtering Configurations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 896
Part 9 Attack Detection and Prevention

Chapter 35 Attack Detection and Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 899
Attack Detection and Prevention Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 899
Chapter 36 Reconnaissance Deterrence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 901

Reconnaissance Deterrence Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 901
IP Address Sweeps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 901
Understanding IP Address Sweeps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 901
Example: Blocking IP Address Sweeps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 902
Port Scanning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 904
Understanding Port Scanning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 904
Example: Blocking Port Scans . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 905
Network Reconnaissance Using IP Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 907
Understanding Network Reconnaissance Using IP Options . . . . . . . . . . . . . 907
Uses for IP Packet Header Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 907
Screen Options for Detecting IP Options Used for Reconnaissance . . 909
Example: Detecting Packets That Use IP Screen Options for
Reconnaissance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 910
Operating System Probes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 912
Understanding Operating System Probes . . . . . . . . . . . . . . . . . . . . . . . . . . . 912
TCP Headers with SYN and FIN Flags Set . . . . . . . . . . . . . . . . . . . . . . . . . . . 912
Understanding TCP Headers with SYN and FIN Flags Set . . . . . . . . . . . 912
Example: Blocking Packets with SYN and FIN Flags Set . . . . . . . . . . . . 913
TCP Headers With FIN Flag Set and Without ACK Flag Set . . . . . . . . . . . . . . 915
Understanding TCP Headers With FIN Flag Set and Without ACK Flag
Set . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 915
Example: Blocking Packets With FIN Flag Set and Without ACK Flag
Set . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 916
TCP Header with No Flags Set . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 917
Understanding TCP Header with No Flags Set . . . . . . . . . . . . . . . . . . . . 917
Example: Blocking Packets with No Flags Set . . . . . . . . . . . . . . . . . . . . 918
xxx Copyright 2010, Juniper Networks, Inc.
Attacker Evasion Techniques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 920

Understanding Attacker Evasion Techniques . . . . . . . . . . . . . . . . . . . . . . . . 920
Fin Scanning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 920
Understanding FIN Scans . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 920
Thwarting a FIN Scan (CLI Procedure) . . . . . . . . . . . . . . . . . . . . . . . . . . 920
TCP SYN Checking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 921
Understanding TCP SYN Checking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 921
Setting TCP SYN Checking (CLI Procedure) . . . . . . . . . . . . . . . . . . . . . . 923
Setting Strict SYN Checking (CLI Procedure) . . . . . . . . . . . . . . . . . . . . . 923
IP Spoofing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 923
Understanding IP Spoofing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 924
Example: Blocking IP Spoofing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 924
IP Source Route Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 925
Understanding IP Source Route Options . . . . . . . . . . . . . . . . . . . . . . . . 925
Example: Blocking Packets with Either a Loose or a Strict Source Route
Option Set . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 928
Example: Detecting Packets with Either a Loose or a Strict Source Route

Option Set . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 929
Chapter 37 Suspicious Packet Attributes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 933

Suspicious Packet Attributes Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 933
ICMP Fragment Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 933
Understanding ICMP Fragment Protection . . . . . . . . . . . . . . . . . . . . . . . . . . 934
Example: Blocking Fragmented ICMP Packets . . . . . . . . . . . . . . . . . . . . . . . 934
Large ICMP Packet Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 935
Understanding Large ICMP Packet Protection . . . . . . . . . . . . . . . . . . . . . . . 935
Example: Blocking Large ICMP Packets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 936
Bad IP Option Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 937
Understanding Bad IP Option Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . 937
Example: Blocking IP Packets with Incorrectly Formatted Options . . . . . . . 938
Unknown Protocol Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 939
Understanding Unknown Protocol Protection . . . . . . . . . . . . . . . . . . . . . . . 939
Example: Dropping Packets Using an Unknown Protocol . . . . . . . . . . . . . . 940
IP Packet Fragment Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 941
Understanding IP Packet Fragment Protection . . . . . . . . . . . . . . . . . . . . . . . 941
Example: Dropping Fragmented IP Packets . . . . . . . . . . . . . . . . . . . . . . . . . 942
SYN Fragment Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 943
Understanding SYN Fragment Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . 943
Example: Dropping IP Packets Containing SYN Fragments . . . . . . . . . . . . . 944
Chapter 38 Denial-of-Service Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 947

DoS Attack Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 947
Firewall DoS Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 947
Firewall DoS Attacks Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 947
Session Table Flood Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 948
Understanding Session Table Flood Attacks . . . . . . . . . . . . . . . . . . . . . 948
Understanding Source-Based Session Limits . . . . . . . . . . . . . . . . . . . . 948
Example: Setting Source-Based Session Limits . . . . . . . . . . . . . . . . . . 949
Copyright 2010, Juniper Networks, Inc. xxxi
Table of Contents
Understanding Destination-Based Session Limits . . . . . . . . . . . . . . . . . 951

Example: Setting Destination-Based Session Limits . . . . . . . . . . . . . . . 952
SYN-ACK-ACK Proxy Flood Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 953
Understanding SYN-ACK-ACK Proxy Flood Attacks . . . . . . . . . . . . . . . 953
Example: Protecting Against a SYN-ACK-ACK Proxy Flood Attack . . . 954
Network DoS Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 955
Network DoS Attacks Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 955
SYN Flood Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 955
Understanding SYN Flood Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 955
Example: Enabling SYN Flood Protection . . . . . . . . . . . . . . . . . . . . . . . 960
Configuring SYN Flood Protection Options (CLI Procedure) . . . . . . . . . 961
Example: Enabling SYN Flood Protection for Webservers in the
DMZ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 961
SYN Cookie Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 967
Understanding SYN Cookie Protection . . . . . . . . . . . . . . . . . . . . . . . . . . 967
Example: Enabling SYN Cookie Protection . . . . . . . . . . . . . . . . . . . . . . 968
ICMP Flood Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 969
Understanding ICMP Flood Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . 970
Example: Enabling ICMP Flood Protection . . . . . . . . . . . . . . . . . . . . . . . 971
UDP Flood Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 971
Understanding UDP Flood Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 972
Example: Enabling UDP Flood Protection . . . . . . . . . . . . . . . . . . . . . . . 973
Land Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 973
Understanding Land Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 974
Example: Protecting Against a Land Attack . . . . . . . . . . . . . . . . . . . . . . 974
OS-Specific DoS Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 975
OS-Specific DoS Attacks Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 975
Ping of Death Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 976
Understanding Ping of Death Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . 976
Example: Protecting Against a Ping of Death Attack . . . . . . . . . . . . . . . 976
Teardrop Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 977
Understanding Teardrop Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 977
Example: Protecting Against a Teardrop Attack . . . . . . . . . . . . . . . . . . . 978
WinNuke Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 979
Understanding WinNuke Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 979
Example: Protecting Against a WinNuke Attack . . . . . . . . . . . . . . . . . . 980
Part 10 Application Identification

Chapter 39 Junos OS Application Identification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 985
Understanding Junos OS Application Identification Services . . . . . . . . . . . . . . . 985
Application Identification Application Package . . . . . . . . . . . . . . . . . . . . . . . . . . 986

Understanding Junos OS Application Identification Application Package . . 986
Updating Junos OS Application Identification Extracted Application Package
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 987
xxxii Copyright 2010, Juniper Networks, Inc.
Updating Junos OS Application Identification Extracted Application Package

Manually Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 988
Example: Updating Junos OS Application Identification Extracted Application
Package Manually (CLI) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 988
Example: Updating the Junos OS Application Identification Extracted
Application Package Automatically . . . . . . . . . . . . . . . . . . . . . . . . . . . . 989
Example: Verifying Junos OS Application Identification Extracted Application
Package . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 990
Disabling Junos OS Application Identification (CLI Procedure) . . . . . . . . . . . . . . 992
Junos OS Application Identification for Nested Applications . . . . . . . . . . . . . . . 992
Understanding Junos OS Application Identification for Nested
Applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 992
Activating Junos OS Application Identification for Nested Applications (CLI
Procedure) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 993
Junos OS Application Identification Custom Application Signature
Definitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 993
Understanding Junos OS Application Identification Custom Application
Definitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 993
Example: Configuring Junos OS Application Identification Custom Application
Definitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 994
Example: Configuring Junos OS Application Identification Custom Nested
Application Definitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 998
Application System Cache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1001
Understanding the Application System Cache . . . . . . . . . . . . . . . . . . . . . . 1002
Deactivating Application System Cache Information for Application
Identification (CLI Procedure) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1002
Understanding Application System Cache Information for Nested Application
Identification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1003
Deactivating Application System Cache Information for Nested Application
Identification (CLI Procedure) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1003
Verifying Application System Cache Statistics . . . . . . . . . . . . . . . . . . . . . . 1004
Memory and Session Limits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1005
Understanding Memory and Session Limit Settings for Junos OS Application
Identification Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1005
Example: Setting Memory and Session Limits for Junos OS Application
Identification Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1006
Chapter 40 AppTrack Application Tracking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1009

Understanding AppTrack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1009
AppTrack Usage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1010
Example: Configuring AppTrack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1010
Example: Verifying AppTrack Operation (CLI) . . . . . . . . . . . . . . . . . . . . . . . 1013
Copyright 2010, Juniper Networks, Inc. xxxiii
Table of Contents
Part 11 Chassis Cluster

Chapter 41 Chassis Cluster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1017
Chassis Cluster Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1017
Understanding Chassis Cluster Formation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1018
Chassis Cluster Redundancy Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1019
Understanding Chassis Cluster Redundancy Groups . . . . . . . . . . . . . . . . . . 1019
Chassis Cluster Redundancy Groups 0 Through 128 . . . . . . . . . . . . . . . . . . 1020
Understanding Chassis Cluster Redundancy Group 0: Routing
Engines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1021
Understanding Chassis Cluster Redundancy Groups 1 Through 128 . . 1022
Example: Configuring Chassis Cluster Redundancy Groups . . . . . . . . 1024
Verifying Chassis Cluster Redundancy Group Status . . . . . . . . . . . . . . 1026
Chassis Cluster Redundancy Group Interface Monitoring . . . . . . . . . . . . . . 1027
Understanding Chassis Cluster Redundancy Group Interface
Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1027
Example: Configuring Chassis Cluster Interface Monitoring . . . . . . . . . 1028
Chassis Cluster Redundancy Group IP Address Monitoring . . . . . . . . . . . . 1029
Understanding Chassis Cluster Redundancy Group IP Address
Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1029
Example: Configuring Chassis Cluster Redundancy Group IP Address
Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1031
Understanding Chassis Cluster Monitoring of Global-Level Objects . . . . . 1034
Understanding SPU Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1035

Understanding Flowd Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1035
Understanding Cold-Sync Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . 1035
Chassis Cluster Redundancy Group Failover . . . . . . . . . . . . . . . . . . . . . . . . 1036
Understanding Chassis Cluster Redundancy Group Failover . . . . . . . . 1037
Understanding Chassis Cluster Redundancy Group Manual Failover . . 1037
Initiating a Chassis Cluster Manual Redundancy Group Failover . . . . . 1039
Example: Configuring a Chassis Cluster with a Dampening Time Between
Back-to-Back Redundancy Group Failovers . . . . . . . . . . . . . . . . . . 1041
Understanding SNMP Failover Traps for Chassis Cluster Redundancy
Group Failover . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1042
Chassis Cluster Redundant Ethernet Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . 1043
Understanding Chassis Cluster Redundant Ethernet Interfaces . . . . . . . . . 1043
Example: Configuring Chassis Cluster Redundant Ethernet Interfaces . . . 1045
Verifying Chassis Cluster Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1049
Chassis Cluster Redundant Ethernet Interface Link Aggregation Groups . . 1050
Understanding Chassis Cluster Redundant Ethernet Interface Link
Aggregation Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1050
Example: Configuring Chassis Cluster Redundant Ethernet Interface
Link Aggregation Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1052
Example: Configuring Chassis Cluster Minimum Links . . . . . . . . . . . . . 1055
Conditional Route Advertising in a Chassis Cluster . . . . . . . . . . . . . . . . . . . . . . 1056
Understanding Conditional Route Advertising in a Chassis Cluster . . . . . . 1057
Example: Configuring Conditional Route Advertising in a Chassis Cluster . . 1059
xxxiv Copyright 2010, Juniper Networks, Inc.
Chassis Cluster Control Plane . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1062

Understanding the Chassis Cluster Control Plane . . . . . . . . . . . . . . . . . . . . 1062
Understanding Chassis Cluster Control Links . . . . . . . . . . . . . . . . . . . . . . . 1063
Example: Configuring Chassis Cluster Control Ports . . . . . . . . . . . . . . . . . . 1064
Understanding Chassis Cluster Dual Control Links . . . . . . . . . . . . . . . . . . . 1067
Connecting Dual Control Links for SRX Series Devices in a Chassis
Cluster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1068
Upgrading the Second Routing Engine When Using Chassis Cluster Dual
Control Links on SRX5600 and SRX5800 Devices . . . . . . . . . . . . . . . 1070
Understanding Chassis Cluster Control Link Heartbeats . . . . . . . . . . . . . . . 1071
Understanding Chassis Cluster Control Link Failure and Recovery . . . . . . . 1072
Example: Configuring Chassis Cluster Control Link Recovery . . . . . . . . . . . 1074
Verifying Chassis Cluster Control Plane Statistics . . . . . . . . . . . . . . . . . . . . 1075
Clearing Chassis Cluster Control Plane Statistics . . . . . . . . . . . . . . . . . . . . 1076
Chassis Cluster Data Plane . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1076
Understanding the Chassis Cluster Data Plane . . . . . . . . . . . . . . . . . . . . . . 1076
Understanding Session RTOs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1077
Understanding Data Forwarding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1077
Understanding Fabric Data Link Failure and Recovery . . . . . . . . . . . . . 1077
Understanding Chassis Cluster Fabric Links . . . . . . . . . . . . . . . . . . . . . . . . 1078
Understanding Chassis Cluster Dual Fabric Links . . . . . . . . . . . . . . . . . . . . 1079
Example: Configuring the Chassis Cluster Fabric . . . . . . . . . . . . . . . . . . . . 1080
Verifying Chassis Cluster Data Plane Interfaces . . . . . . . . . . . . . . . . . . . . . 1083
Verifying Chassis Cluster Data Plane Statistics . . . . . . . . . . . . . . . . . . . . . . 1084
Clearing Chassis Cluster Data Plane Statistics . . . . . . . . . . . . . . . . . . . . . . 1084
Consequences of Enabling Chassis Cluster . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1085
Understanding What Happens When Chassis Cluster Is Enabled . . . . . . . 1085
Node Interfaces on Active SRX Series Chassis Clusters . . . . . . . . . . . . . . . 1086
Node Interfaces on Active J Series Chassis Clusters . . . . . . . . . . . . . . . . . . 1093
Management Interface on an Active Chassis Cluster . . . . . . . . . . . . . . . . . 1095
Fabric Interface on an Active Chassis Cluster . . . . . . . . . . . . . . . . . . . . . . . 1096
Control Interface on an Active Chassis Cluster . . . . . . . . . . . . . . . . . . . . . . 1096
Building a Chassis Cluster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1096
Connecting SRX Series Hardware to Create a Chassis Cluster . . . . . . . . . . 1097
Disabling Switching on SRX100, SRX210, SRX220, and SRX240 Devices
Before Enabling Chassis Clustering . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1100
SRX Series Chassis Cluster Configuration Overview . . . . . . . . . . . . . . . . . . . 1101
Connecting J Series Hardware to Create a Chassis Cluster . . . . . . . . . . . . . 1104
J Series Chassis Cluster Configuration Overview . . . . . . . . . . . . . . . . . . . . . 1105
Example: Setting the Chassis Cluster Node ID and Cluster ID . . . . . . . . . . . 1106
Example: Configuring Chassis Cluster Management Interface . . . . . . . . . . 1108
Example: Configuring the Number of Redundant Ethernet Interfaces in a
Chassis Cluster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1111
Verifying a Chassis Cluster Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1112
Verifying Chassis Cluster Statistics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1113
Clearing Chassis Cluster Statistics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1114

Verifying Chassis Cluster Failover Status . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1115
Clearing Chassis Cluster Failover Status . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1116
Copyright 2010, Juniper Networks, Inc. xxxv
Table of Contents
Chassis Cluster Upgrades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1116

Upgrading Each Device in a Chassis Cluster Separately . . . . . . . . . . . . . . . . 1116
Upgrading Both Devices in a Chassis Cluster Using a Low-Impact ISSU . . . 1117
Upgrading Both Devices in a Chassis Cluster Using an ISSU . . . . . . . . . 1117
Rolling Back Devices in a Chassis Cluster After an ISSU . . . . . . . . . . . . 1118
Guarding Against Service Failure in a Chassis Cluster ISSU . . . . . . . . . . 1118
Enabling an Automatic Chassis Cluster Node Failback After an
ISSU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1119
Troubleshooting Chassis Cluster ISSU Failures . . . . . . . . . . . . . . . . . . . 1119
Deciphering Mismatched Control Link Statistics During a Chassis Cluster
ISSU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1119
Disabling Chassis Cluster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1120
Understanding Multicast Routing on a Chassis Cluster . . . . . . . . . . . . . . . . . . . . 1120
Asymmetric Chassis Cluster Deployment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1121
Understanding Asymmetric Routing Chassis Cluster Deployment . . . . . . . . 1121
Understanding Failures in the Trust Zone Redundant Ethernet
Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1122
Understanding Failures in the Untrust Zone Interfaces . . . . . . . . . . . . . 1123
Example: Configuring an Asymmetric Chassis Cluster Pair (CLI) . . . . . . . . . 1123
Example: Configuring an Asymmetric Chassis Cluster Pair (J-Web) . . . . . . 1135
Active/Passive Chassis Cluster Deployment (J Series Devices) . . . . . . . . . . . . . 1136
Understanding Active/Passive Chassis Cluster Deployment . . . . . . . . . . . . 1136
Example: Configuring an Active/Passive Chassis Cluster Pair (CLI) . . . . . . . 1137
Example: Configuring an Active/Passive Chassis Cluster Pair (J-Web) . . . . 1148
Active/Passive Chassis Cluster Deployment (SRX Series Devices) . . . . . . . . . . 1150
Example: Configuring an SRX Series Services Gateway for the Branch as a
Chassis Cluster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1151
Example: Configuring an SRX Series Services Gateway for the High-End as
a Chassis Cluster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1163
Active/Passive Chassis Cluster Deployment with an IPsec Tunnel . . . . . . . . . . . 1176
Understanding Active/Passive Chassis Cluster Deployment with an IPsec
Tunnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1176
Example: Configuring an Active/Passive Chassis Cluster Pair with an IPsec
Tunnel (CLI) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1178
Example: Configuring an Active/Passive Chassis Cluster Pair with an IPsec
Tunnel (J-Web) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1192
Limitations of Chassis Clustering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1195
Part 12 Network Address Translation

Chapter 42 Network Address Translation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1199
NAT Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1199
Configuring NAT Using the NAT Wizard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1200
Understanding NAT Rule Sets and Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1200
NAT Rule Sets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1200
NAT Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1201
xxxvi Copyright 2010, Juniper Networks, Inc.
Rule Processing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1202

Static NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1203
Understanding Static NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1203
Understanding Static NAT Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1203
Static NAT Configuration Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1204
Static NAT Configuration Examples . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1204
Example: Configuring Static NAT for Single Address Translation . . . . 1205
Example: Configuring Static NAT for Subnet Translation . . . . . . . . . . . 1209
Destination NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1214
Understanding Destination NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1214
Understanding Destination NAT Address Pools . . . . . . . . . . . . . . . . . . . . . . 1215
Understanding Destination NAT Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1216
Destination NAT Configuration Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . 1217
Destination NAT Configuration Examples . . . . . . . . . . . . . . . . . . . . . . . . . . . 1217
Example: Configuring Destination NAT for Single Address
Translation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1217
Example: Configuring Destination NAT for IP Address and Port
Translation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1222
Example: Configuring Destination NAT for Subnet Translation . . . . . . 1228
Source NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1232
Understanding Source NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1233

Source NAT Pools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1234
Understanding Source NAT Pools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1234
Understanding Source NAT Pools with PAT . . . . . . . . . . . . . . . . . . . . . 1235
Understanding Source NAT Pools Without PAT . . . . . . . . . . . . . . . . . . 1236
Understanding Source NAT Pools with Address Shifting . . . . . . . . . . . 1236
Understanding Persistent Addresses . . . . . . . . . . . . . . . . . . . . . . . . . . . 1237
Understanding Source NAT Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1237
Source NAT Configuration Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1238
Source NAT Configuration Examples . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1238
Example: Configuring Source NAT for Egress Interface Translation . . . 1239
Example: Configuring Source NAT for Single Address Translation . . . . 1242
Example: Configuring Source NAT for Multiple Addresses with PAT . . 1247
Example: Configuring Source NAT for Multiple Addresses without
PAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1252
Example: Configuring Source NAT with Address Shifting . . . . . . . . . . . 1257
Example: Configuring Source NAT with Multiple Rules . . . . . . . . . . . . . 1262
Example: Configuring Source and Destination NAT Translations . . . . 1269
Disabling Port Randomization for Source NAT (CLI Procedure) . . . . . . . . . 1275
Persistent NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1276
Understanding Persistent NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1276
Understanding Session Traversal Utilities for NAT (STUN) Protocol . . 1277
Persistent NAT Configuration Overview . . . . . . . . . . . . . . . . . . . . . . . . . 1278
Example: Configuring Persistent NAT with Source NAT Address Pool
(CLI) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1279
Example: Configuring Persistent NAT with Interface NAT (CLI) . . . . . . 1280
Configuring Proxy ARP (CLI Procedure) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1281
Verifying NAT Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1282
Copyright 2010, Juniper Networks, Inc. xxxvii
Table of Contents
Part 13 GPRS
Chapter 43 General Packet Radio Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1287
GPRS Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1287
Gp and Gn Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1288
Gi Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1289
Operational Modes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1290
Policy-Based GTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1290
Understanding Policy-Based GTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1290
Example: Enabling GTP Inspection in Policies . . . . . . . . . . . . . . . . . . . . . . . 1291
GTP Inspection Objects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1295
Understanding GTP Inspection Objects . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1295
Example: Creating a GTP Inspection Object . . . . . . . . . . . . . . . . . . . . . . . . 1295
GTP Message Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1296
Understanding GTP Message Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1296
GTP Message-Length Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1296
Understanding GTP Message-Length Filtering . . . . . . . . . . . . . . . . . . . 1297
Example: Setting the GTP Message Lengths . . . . . . . . . . . . . . . . . . . . . 1297
GTP Message-Type Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1298
Understanding GTP Message-Type Filtering . . . . . . . . . . . . . . . . . . . . 1298
Example: Permitting and Denying GTP Message Types . . . . . . . . . . . . 1298
Supported GTP Message Types . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1299
GTP Message-Rate Limiting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1301
Understanding GTP Message-Rate Limiting . . . . . . . . . . . . . . . . . . . . . 1301
Example: Limiting the GTP Message Rate . . . . . . . . . . . . . . . . . . . . . . 1302
GTP Sequence Number Validation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1302
Understanding GTP Sequence Number Validation . . . . . . . . . . . . . . . 1302
Example: Enabling GTP Sequence Number Validation . . . . . . . . . . . . 1303
Understanding GTP IP Fragmentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1304
GTP Information Elements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1304
Understanding GTP Information Elements . . . . . . . . . . . . . . . . . . . . . . . . . 1304
GTP APN Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1304
Understanding GTP APN Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1305
Example: Setting a GTP APN and a Selection Mode . . . . . . . . . . . . . . 1306
GTP IMSI Prefix Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1306
Understanding IMSI Prefix Filtering of GTP Packets . . . . . . . . . . . . . . . 1306
Example: Setting a Combined IMSI Prefix and APN Filter . . . . . . . . . . 1307
GTP R6 Information Elements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1308
Understanding R6 Information Elements Removal . . . . . . . . . . . . . . . 1308
Example: Removing R6 Information Elements from GTP Messages . . 1308
Supported R6 Information Elements . . . . . . . . . . . . . . . . . . . . . . . . . . 1309
Understanding GGSN Redirection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1312
Part 14 Index
Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1315

Junos

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Junos

Загружено:

Авторское право:

Доступные форматы

Introduction to Junos OS

Chapter 1 Introducing Junos OS for SRX Series Services Gateways . . . . . . . . . . . . . . . . 3

Displaying Session and Flow Information About a Specific Session for

Understanding Network Processor Bundling . . . . . . . . . . . . . . . . . . . . . . . . . . 38

SRX210 Services Gateway Processing Overview . . . . . . . . . . . . . . . . . . . . . . . . . . 43

Chapter 2 Understanding IPv6 Flow-Based Processing . . . . . . . . . . . . . . . . . . . . . . . . . . 47

Example: Configuring an IPv6-Initiated Connection to an IPv4 Node Using

Chapter 3 Introducing Junos OS for J Series Services Routers . . . . . . . . . . . . . . . . . . . . 93

Flows and Sessions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

Part 2 Security Zones and Interfaces

Chapter 5 Address Books and Address Sets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131

Part 3 Security Policies

Security Policies Configuration Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148

Understanding Security Policy Ordering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157

Chapter 7 Security Policy Schedulers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165

Chapter 8 Security Policy Applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171

Part 4 Application Layer Gateways

Chapter 10 H.323 ALGs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207

Chapter 11 ALG for IKE and ESP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241

Understanding ALG for IKE and ESP Operation . . . . . . . . . . . . . . . . . . . . . . . . . . 242

Chapter 12 SIP ALGs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251

SIP ALG Unknown Message Types . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261

Chapter 13 SCCP ALGs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307

SCCP Control Messages and RTP Flow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310

Understanding SCCP ALG Inactive Media Timeouts . . . . . . . . . . . . . . . . . . . 313

Chapter 14 MGCP ALGs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329

Chapter 15 RPC ALGs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361

Part 5 User Authentication

Understanding SecurID User Authentication . . . . . . . . . . . . . . . . . . . . . 388

Chapter 17 Infranet Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401

Part 6 Virtual Private Networks

IPsec Key Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435

IPsec Packet Processing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444

Chapter 19 Public Key Cryptography for Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . 525

Internet Key Exchange . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 529

Chapter 20 Dynamic VPNs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 553

Dynamic VPN Configuration Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 557

Dynamic VPN Proposal Sets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 568

Chapter 21 Group VPNs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 579

Part 7 Intrusion Detection and Prevention

IDP Exempt Rulebase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 639

Attack Properties (Compound or Chain Attacks) . . . . . . . . . . . . . . . . . 668

Chapter 23 Application-Level Distributed Denial of Service . . . . . . . . . . . . . . . . . . . . . . 683

Chapter 24 IDP Signature Database . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 697

Chapter 25 IDP Application Identification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 715

Understanding IDP Service and Application Bindings by Attack Objects . . . 716

Chapter 26 IDP SSL Inspection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 729

Chapter 27 IDP Performance and Capacity Tuning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 735

Chapter 28 IDP Logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 737

Security Packet Capture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 742

Part 8 Unified Threat Management

Chapter 30 Antispam Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 759

Example: Configuring Local List Antispam Filtering . . . . . . . . . . . . . . . . . . . 768

Chapter 31 Full Antivirus Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 777

Configuring URL Whitelists to Bypass Antivirus Scanning (CLI

Understanding Protocol-Only Virus-Detected Notifications . . . . . . . . 804

Chapter 32 Express Antivirus Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 833

Chapter 33 Content Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 855

Chapter 34 Web Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 869

Profile Matching Precedence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 872

Part 9 Attack Detection and Prevention

Chapter 36 Reconnaissance Deterrence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 901

Attacker Evasion Techniques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 920

Example: Detecting Packets with Either a Loose or a Strict Source Route