最近防火墙收到大量的Port Scan***,大量的报警邮件让人不胜其烦,所以启用了Juniper的防护功能,如下:

1.Screen中启用安全防护模块

 Juniper ssg140本身已经附带了安全防护功能,只需要启用防护功能即可,如图:

 SSG140批量导入***IP_第1张图片

2.依据日志批量导入***IP到地址组

  a.首先从防火墙日志过滤出***log复制到Excel中,然后使用Excel的“分列”功能将日志进行拆分过滤出***IP,如下:

  SSG140批量导入***IP_第2张图片

  b.使用Set address命令批量将IP导入防火墙,具体操作可参考上一篇文档,如图:

    SSG140批量导入***IP_第3张图片

 c.建立地址组,将***IP地址添加到组中,如图:

   SSG140批量导入***IP_第4张图片

3.建立屏蔽***IP策略,通常***都来自于外部设置为Utrust to globle,注意策略的顺序

  p_w_picpath

4.完成设置

实际中发现,虽然启用了防火墙的防护和阻断策略,但防火墙还是会收到被***的日志,一方面是作为被***方防火墙只能响应或者不响应,另外一方面是防火墙也可能误报。