ScreenOS_参考指南_完全手册第13_卷_通用分组无线业务

概念与范例 ScreenOS 参考指南 第 13 卷 : 通用分组无线业务 版本 6.0.0，修订本 02 Juniper Networks, Inc. 1194 North Mathilda Avenue Sunnyvale, CA 94089 USA 408-745-2000 www.juniper.net 编号 : 530-017779-01-SC，修订本 02 ii „ Copyright Notice Copyright © 2007 Juniper Networks, Inc. All rights reserved. Juniper Networks and the Juniper Networks logo are registered trademarks of Juniper Networks, Inc. in the United States and other countries. All other trademarks, service marks, registered trademarks, or registered service marks in this document are the property of Juniper Networks or their respective owners. All specifications are subject to change without notice. Juniper Networks assumes no responsibility for any inaccuracies in this document or for any obligation to update information in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication without notice. FCC Statement The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense. The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency energy. If it is not installed in accordance with Juniper Networks’ installation instructions, it may cause interference with radio and television reception. This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no guarantee that interference will not occur in a particular installation. If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user is encouraged to try to correct the interference by one or more of the following measures: „ Reorient or relocate the receiving antenna. „ Increase the separation between the equipment and receiver. „ Consult the dealer or an experienced radio/TV technician for help. „ Connect the equipment to an outlet on a circuit different from that to which the receiver is connected. Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device. Disclaimer THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY. IP 分片 ....................................................................................................12 GTP-in-GTP 封包过滤...............................................................................12 范例 : 启用 GTP-in-GTP 封包过滤 ......................................................12 深入检查 .................................................................................................12 目录 关于本卷 v 文档约定 .......................................................................................................... v Web 用户界面约定 .................................................................................... v 命令行界面约定........................................................................................ vi 命名约定和字符类型 ................................................................................ vi 插图约定 ................................................................................................. vii 技术文档和支持 ............................................................................................ viii 第 1 章 GPRS 1 作为 GPRS 通道防火墙的安全设备 ...........................................................2 Gp 接口和 Gn 接口 ....................................................................................2 Gi 接口 ......................................................................................................2 操作模式 ...................................................................................................3 虚拟系统支持 ............................................................................................3 基于策略的 GPRS 通道协议 .............................................................................4 范例 : 配置策略时启用 GTP 检查 ...............................................................4 GPRS 通道协议检查对象 ..................................................................................6 范例 : 创建 GTP 检查对象..........................................................................6 GTP 消息过滤...................................................................................................7 数据包运行状况检查 .................................................................................7 消息长度过滤 ............................................................................................8 范例 : 设置 GTP 消息长度 ...................................................................8 消息类型过滤 ............................................................................................8 范例 : 允许和拒绝消息类型 .................................................................8 支持的消息类型 ..................................................................................9 消息传输速率限制 ...................................................................................10 范例 : 设置传输速率限制 ..................................................................11 序列号验证 ..............................................................................................11 范例 : 启用序列号验证 ......................................................................11 目录 „ iii 范例 : 在 TEID 上启用深入检查.........................................................12 iv „ 概念与范例 ScreenOS 参考指南 GTP 信息元素.................................................................................................13 接入点名称过滤.......................................................................................13 范例 : 设置 APN 和选择模式 .............................................................14 IMSI 前缀过滤 .........................................................................................14 范例 : 设置组合了 IMSI 前缀和 APN 的过滤 ......................................15 无线接入技术 ..........................................................................................15 范例 : 设置 RAT 和 APN 过滤 ............................................................15 路由区域标识和用户位置信息 .................................................................16 范例 : 设置 RAI 和 APN 过滤 .............................................................16 范例 : 设置 ULI 和 APN 过滤 .............................................................16 APN 限制.................................................................................................16 IMEI-SV....................................................................................................17 范例 : 设置 IMEI-SV 和 APN 过滤 ......................................................17 协议和信令要求.......................................................................................17 IE 过滤的组合支持 ..................................................................................18 支持的 R6 信息元素 ................................................................................19 3GPP R6 IE 移除 ......................................................................................21 范例 : R6 移除...................................................................................21 GTP 通道........................................................................................................21 GTP 通道限制 ..........................................................................................21 范例 : 设置 GTP 通道限制 .................................................................21 状态式检查 ..............................................................................................22 GTP 通道建立及终止.........................................................................22 SGSN 间路由区域更新.......................................................................22 通道高可用性故障切换 ............................................................................23 清除挂起的 GTP 通道 ..............................................................................23 范例 : 设置 GTP 通道的超时..............................................................23 SGSN 及 GGSN 重定向....................................................................................24 超额计费攻击防护 .........................................................................................24 超额计费攻击说明 ...................................................................................24 超额计费攻击解决 ............................................................................26 范例 : 配置超额计费攻击防护功能 ....................................................27 GTP 信息流监控 .............................................................................................29 信息流 ..............................................................................................29 范例 : 启用 GTP 数据包记录..............................................................30 信息流计数 ..............................................................................................31 范例 : 启用 GTP 信息流计数..............................................................31 合法拦截 .................................................................................................32 范例 : 启用合法拦截..........................................................................32 索引 ............................................................................................................................ IX-I 目录 关于本卷 第 13 卷: 通用分组无线业务是为掌握 GPRS 技术的高深知识的 GPRS 网络运营商而 准备的。 本卷介绍 ScreenOS 中的 GTP 功能，并演示如何在 Juniper Networks 安全设备上配 置 GTP 功能。其中包括以下几章 : „ 第 1 章，“GPRS”介绍 ScreenOS 中的“GPRS 通道协议”(GTP) 功能，并演 示如何在 Juniper Networks 安全设备上配置 GTP 功能。 文档约定 本文档使用下列部分中描述的约定 : „ 第 v 页上的“Web 用户界面约定” „ 第 vi 页上的“命令行界面约定” „ 第 vi 页上的“命名约定和字符类型” „ 第 vii 页上的“插图约定” Web 用户界面约定 在 Web 用户界面 (WebUI) 中，每个任务的指令集都分为导航路径和配置设置。要打 开可用来输入配置设置的 WebUI 页面，可单击屏幕左侧导航树中的某个菜单项，然 后单击随后出现的项目。在您进行操作时，导航路径会出现在屏幕顶部，每个页面 都由尖括号分隔。 以下是用于定义地址的 WebUI 路径和参数 : Policy > Policy Elements > Addresses > List > New: 输入以下内容，然后单击 OK: 文档约定 „ v Address Name: addr_1 IP Address/Domain Name: IP/Netmask: (选择 ), 10.2.2.5/32 Zone: Untrust 要打开配置设置的“在线帮助”，请单击屏幕左上方的问号 (?)。 导航树还提供了 Help > Config Guide 配置页，帮助您配置安全策略和“互联网协 议安全性”(IPSec)。从下拉菜单选择一个选项，然后按照该页面上的说明进行操 作。单击 Config Guide 左上方的 ? 字符可获得“在线帮助”。 概念与范例 ScreenOS 参考指南 vi „ 命令行界面约定 在范例和文本中出现命令行界面 (CLI) 命令的语法时，使用下列约定。 在范例中 : „ 在中括号 [ ] 中的任何内容都是可选的。 „ 在大括号 { } 中的任何内容都是必需的。 „ 如果选项不止一个，则使用竖线 ( | ) 分隔每个选项。例如 : set interface { ethernet1 | ethernet2 | ethernet3 } manage „ 变量为斜体形式 : set admin user name1 password xyz 在文本中，命令为粗体形式，变量为斜体形式。 命名约定和字符类型 关于 ScreenOS 配置中定义的对象 (如地址、admin 用户、auth 服务器、IKE 网关、 虚拟系统、VPN 通道和区段 ) 的名称，ScreenOS 采用下列约定 : „ 如果名称字符串包含一个或多个空格，则整个字符串必须括在双引号内；例如: set address trust "local LAN" 10.1.1.0/24 „ 一对双引号内的文本的任何前导或结尾空格都将被删除；例如，" local LAN " 将变为 "local LAN"。 „ 多个连续空格按一个空格处理。 „ 尽管许多 CLI 关键字不区分大小写，但名称字符串是区分大小写的。例如， "local LAN"不同于 "local lan"。 ScreenOS 支持以下字符类型 : „ 单字节字符集 (SBCS) 和多字节字符集 (MBCS)。SBCS 的范例是 ASCII、欧洲语和 希伯莱语。MBCS (也称为双字节字符集，DBCS) 的例子是中文、韩文和日文。 „ ASCII 字符从 32 (十六进制 0x20) 到 255 (0xff)，双引号 ( " ) 除外，该字符有特 殊的意义，它用作包含空格的名称字符串的开始或结尾指示符。 注意 : 输入关键字时，只需键入足够的字母便可唯一地标识单词。键入 set adm u whee j12fmt54 将输入命令 set admin user wheezer j12fmt54。但必须以完整形式提 供此处说明的所有命令。 注意 : 控制台连接只支持 SBCS。WebUI 同时支持 SBCS 和 MBCS，这取决于浏览器所支 文档约定 持的字符集。 关于本卷 插图约定 下图显示了本卷所有插图中使用的基本图像集。 图 1: 插图中的图像 自治系统 还是 虚拟路由域 安全区段接口 : 白色 = 受保护区段接口 (范例 = Trust 区段 ) 黑色 = 区段外接口 (范例 = Untrust 区段 ) Juniper Networks 安全设备 集线器 交换机 路由器 服务器 VPN 通道 通用网络设备 动态 IP (DIP) 池互联网 包含单个子网的 局域网 (LAN) 还是 安全区段 通道接口 策略引擎 文档约定 „ vii 概念与范例 ScreenOS 参考指南 viii „ 技术文档和支持 要获取任何 Juniper Networks 产品的技术文档，请访问 www.juniper.net/techpubs/。 要获取技术支持，请使用 http://www.juniper.net/customers/support/ 中的 Case Manager 链接打开支持案例，还可拨打电话 1-888-314-JTAC (美国国内 ) 或 1-408-745-9500 (美国以外 )。 如果在本文档中发现任何错误或遗漏，请通过 techpubs-comments@juniper.net 与 Juniper Networks 联系。 技术文档和支持 第 1 章 GPRS “通用分组无线业务” (GPRS) 网络连接多个外部网络，包括漫游伙伴网络、企业客 户网络、“GPRS 漫游交换” (GRX) 提供商网络以及公共互联网。GPRS 网络运营商 在提供和控制对此类外部网络的访问和从这些网络进行的访问时，面临着保护自己 的网络的挑战。 Juniper Networks 对困扰 GPRS 网络运营商的许多安全问提供了 解决方案。 在 GPRS 体系结构中，对运营商网络构成安全威胁的基本原因是“GPRS 通道协 议” (GTP) 中缺少固有的安全性。 GTP 是在“GPRS 支持节点” (GSN) 之间使用的 协议。不同 GPRS 网络之间的通信并不安全，因为 GTP 不提供任何认证、数据完 整性或机密性保护。如果为漫游伙伴之间的连接实施“互联网协议安全” (IPSec)、 设置信息流传输速率限制以及使用状态式检查，便可消除 GTP 的多数安全风险。 Juniper Networks 安全设备缓解了对 Gp、 Gn 和 Gi 接口的大范围攻击。 ScreenOS 中的 GTP 防火墙功能解决了移动运营商网络中的关键安全性问题。 本章介绍 ScreenOS 支持的 GTP 功能，并说明如何在 Juniper Networks 安全设备上 配置这些功能。本章包括以下部分 : „ 第 2 页上的“作为 GPRS 通道协议防火墙的安全设备” „ 第 4 页上的“基于策略的 GPRS 通道协议” „ 第 6 页上的“GPRS 通道协议检查对象” „ 第 7 页上的“GTP 消息过滤” „ 第 13 页上的“GTP 信息元素” „ 第 24 页上的“SGSN 及 GGSN 重定向” 注意 : 只有 ISG 2000 设备支持 GTP 功能。 „ 1 „ 第 24 页上的“超额计费攻击防护” „ 第 29 页上的“GTP 信息流监控” 概念与范例 ScreenOS 参考指南 2 „ 作为 GPRS 通道协议防火墙的安全设备 GPRS 通道协议 (GTP) 用于在“服务 GPRS 支持节点” (SGSN) 和“网关 GPRS 支持 节点”(GGSN) 间为各个移动站 (MS) 建立 GTP 通道。GTP 通道是 GSN 之间的通道， 两个主机可通过该通道交换数据。 SGSN 从 MS 接收数据包，并在 GTP 包头中对其 进行封装，然后才通过 GTP 通道将其转发到 GGSN。 GGSN 接收这些数据包时，先 将它们解封，然后转发到外部主机。 Juniper Networks GTP 授权的安全设备为以下类型的 GPRS 接口提供防火墙保护 : „ Gn - Gn 接口是“公共陆地移动网络” (PLMN) 中 SGSN 与 GGSN 之间的连接。 „ Gp - Gp 接口是两个“公共陆地移动网络” PLMN 之间的连接。 „ Gi - Gi 接口是 GGSN 和互联网或连接到 PLMN 的目标网络之间的连接。 Gp 接口和 Gn 接口 在 Gn 接口上实施安全设备以保护核心网络资产，如 SGSN 和 GGSN。要在 Gn 接口 上保护 GTP 通道，可在公用的 PLMN 中，在 SGSN 和 GGSN 之间放置安全设备。 对 Gp 接口实施安全设备后，可保护 PLMN 不受其它 PLMN 的攻击。要在 Gp 接口 上保护 GTP 通道，可将 PLMN 的 SGSN 和 GGSN 放在安全设备后面，使所有的内 向和外向信息流通过该防火墙。 图 2 说明了布置 Juniper Networks 安全设备以保护 Gp 和 Gn 接口上的 PLMN。 图 2: Gp 接口和 Gn 接口 Gi 接口 在 Gi 接口上实施安全设备后，可同时控制多个网络的信息流、保护 PLMN 不受互 联网和外部网络的攻击并保护移动用户不受互联网和其它网络的攻击。 ScreenOS 提供大量的虚拟路由器，这使每个客户网络都可以使用一个虚拟路由器，从而允许 注意 : 术语接口在 ScreenOS 和 GPRS 技术中有不同的含义。在 ScreenOS 中，接口类似 于安全区段的开口，允许信息流进出该区段。在 GPRS 中，接口是 GPRS 基础结 构的两个组件 (例如，SGSN 和 GGSN) 之间的连接或参考点。 无线电塔 Gn 接口 Gn 接口 无线电塔 安全设备 安全设备 GGSN GGSN PLMN 1 PLMN 2 MS MS SGSN SGSN Gp 接口 作为 GPRS 通道协议防火墙的安全设备 分离每个客户网络的信息流。 第 1 章 : GPRS 安全设备使用 IPSec 虚拟专用网 (VPN) 通道的“第 2 层通道协议” (L2TP) 可将数 据包安全地转发到互联网或目标网络。 (但请注意， Juniper Networks 安全设备不 支持完整的 L2TP。 ) 有关虚拟路由器的特性和功能的详细信息，请参阅第 7 卷 : 路由。 图 3 说明了实施安全设备以保护 Gi 接口上的 PLMN。 图 3: Gi 接口 操作模式 ScreenOS 通过 GTP 支持两种接口操作模式 : “透明”模式和“路由”模式。如果 要在网络的路由基础结构中加入安全设备，可在路由模式下运行该设备。这需要一 定量的重新设计网络的工作。或者，可以在“透明”模式下将安全设备实施到现 有网络中，而无需重新配置整个网络。在透明模式下，安全设备充当第 2 层交换 机或桥接器，而且接口的 IP 地址被设置为 0.0.0.0，使得安全设备对于用户而言是 不可见或透明的。 对于未启用 GTP 检查的接口和策略， ScreenOS 支持“网络地址转换” (NAT)。 当前在 ScreenOS 中，“透明”模式仅支持主动 -被动高可用性 (HA)，这一点与 “路由”模式不同，“路由”模式既支持主动 -被动 HA，也支持主动 -主动 HA。 有关操作模式和高可用性的详细信息，请分别参阅第 2 卷 : 基本原理和第 11 卷 : 高 可用性。 MS 无线 电塔 企业 网络 A 企业 网络 B 安全 设备 Gi 接口 PLMN 1 互联网 作为 GPRS 通道协议防火墙的安全设备 „ 3 虚拟系统支持 Juniper Networks 安全设备完全支持虚拟系统 (vsys) 中的 GTP 功能。但为避免浪费 资源，建议所使用的 vsys 不超过 10 个。 概念与范例 ScreenOS 参考指南 4 „ 基于策略的 GPRS 通道协议 在缺省情况下，安全设备保护的 PLMN 处于 Trust 区段。安全设备保护 Trust 区段 中的 PLMN，使其不受其它区段中的其它 PLMN 攻击。可以将所有 PLMN 放置在 Untrust 区段中，使正在保护的 PLMN 不受其攻击，或者可以为每个 PLMN 创建用 户定义的区段。一个 PLMN 可占用一个安全区段或多个安全区段。 必须创建策略以使信息流能在区段和 PLMN 之间流动。策略含有允许、拒绝或设 置信息流的规则。安全设备执行 GTP 策略过滤，方法为按管理 GTP 信息流的策略 检查每个 GTP 数据包，然后根据这些策略对数据包进行转发、丢弃或设置通道。 通过在策略中选择 GTP 服务，可以使安全设备允许、拒绝或设置 GTP 信息流。但 这不会使该设备检查 GTP 信息流。为使安全设备检查 GTP 信息流，必须对策略应 用 GTP 配置，也称作 GTP 检查对象。 在对策略应用 GTP 配置之前，必须首先创建“GTP 检查对象” (请参阅第 6 页上 的“GPRS 通道协议检查对象” )。对每个策略仅能应用一个“GTP 检查对象”， 但可对多个策略应用“GTP 检查对象”。使用策略，可以允许或拒绝从特定对等方 (如 SGSN) 建立 GTP 通道。 配置策略时，可指定 "Any" 作为源区段或目标区段 (从而包括区段中的全部主机 )， 并可指定多个源地址和目标地址。 可以在策略中启用诸如信息流记录和信息流计数等功能。有关策略的详细信息，请 参阅第 2 卷 : 基本原理。 范例 : 配置策略时启用 GTP 检查 在本例中，配置接口并创建地址和两个策略，以允许同一 PLMN 内两个网络之间 的双向信息流。也可以对策略应用“GTP 检查对象”。 WebUI 1. GTP 检查对象 Objects > GTP > New: 输入以下内容，然后单击 Apply。 GTP Name: GPRS1 2. 接口 Network > Interfaces > Edit (对于 ethernet1/1): 输入以下内容，然后单击 Apply: Zone Name: Trust IP Address/Netmask: 10.1.1.1/24 Network > Interfaces > Edit (对于 ethernet1/2): 输入以下内容，然后单击 OK: Zone Name: Untrust IP Address/Netmask: 1.1.1.1/24 基于策略的 GPRS 通道协议 第 1 章 : GPRS 3. 地址 Policy > Policy Elements > Addresses > List > New: 输入以下内容，然后 单击 OK: Address Name: local-GGSN IP Address/Domain Name: IP/Netmask: (选择 ), 10.1.1.0/24 Zone: Trust Policy > Policy Elements > Addresses > List > New: 输入以下内容，然后 单击 OK: Address Name: remote-SGSN IP Address/Domain Name: IP/Netmask: (选择 ), 1.2.2.5/32 Zone: Untrust 4. 策略 Policies > (From: Trust, To: Untrust) > New: 输入以下内容，然后单击 OK: Source Address: Address Book Entry: (选择 ), local-GGSN Destination Address: Address Book Entry: (选择 ), remote-SGSN Service: GTP GTP Inspection Object: GPRS1 (选择 ) Action: Permit Policies > (From: Untrust, To: Trust) New: 输入以下内容，然后单击 OK: Source Address: Address Book Entry: (选择 ), remote-SGSN Destination Address: Address Book Entry: (选择 ), local-GGSN Service: GTP GTP Inspection Object: GPRS1 (选择 ) Action: Permit CLI 1. GTP 检查对象 set gtp configuration gprs1 (gtp:gprs1)-> exit save 2. 接口 set interface ethernet1/1 zone trust set interface ethernet1/1 ip 10.1.1.1/24 set interface ethernet1/2 zone untrust set interface ethernet1/2 ip 1.1.1.1/24 3. 地址 set address trust local-ggsn 10.1.1.0/32 set address untrust remote-sgsn 2.2.2.5/32 基于策略的 GPRS 通道协议 „ 5 概念与范例 ScreenOS 参考指南 6 „ 4. 策略 set policy from trust to untrust local-ggsn remote-sgsn gtp permit 系统返回策略 ID，例如 : policy id = 4。 set policy id 4 gtp gprs1 set policy from untrust to trust remote-sgsn local-ggsn gtp permit 系统返回策略 ID，例如 : policy id = 5。 set policy id 5 gtp gprs1 save GPRS 通道协议检查对象 要使安全设备执行 GPRS 通道协议 (GTP) 信息流检查，必须创建 GTP 检查对象然后 将其应用到策略。“GTP 检查对象”具有更大的灵活性，因为借助它们可配置多个 策略以执行不同的 GTP 配置。可将安全设备配置为根据源区段和目标区段及地址、 活动等按不同方式控制 GTP 信息流。 要配置 GTP 功能，必须进入 GTP 配置环境。要在 CLI 中保存设置，必须先退出 GTP 配置，然后输入 save 命令。 范例 : 创建 GTP 检查对象 在本例中，将创建名为 LA-NY 的 GTP 检查对象。保留多数缺省值，但启用“序列 号验证”和“GTP-in-GTP 拒绝”功能。 WebUI Objects > GTP > New: 输入以下内容，然后单击 Apply。 GTP Name: LA-NY Sequence Number Validation: (选择 ) GTP-in-GTP Denied: (选择 ) CLI set gtp configuration la-ny (gtp:la-ny)-> set seq-number-validated (gtp:la-ny)-> set gtp-in-gtp-denied (gtp:la-ny)-> exit save GPRS 通道协议检查对象 第 1 章 : GPRS GTP 消息过滤 安全设备接收 GTP 数据包时，它根据在该设备上配置的策略检查数据包。如果数 据包与策略匹配，设备将根据应用到策略的 GTP 配置检查该数据包。如果该数据 包不符合任何 GTP 配置参数，则设备将丢弃该数据包。 本节介绍组成 GTP 配置的功能，安全设备通过这些功能执行 GTP 信息流检查。本 章包括以下几个部分 : „ “数据包运行状况检查” „ 第 8 页上的“消息长度过滤” „ 第 8 页上的“消息类型过滤” „ 第 10 页上的“消息传输速率限制” „ 第 11 页上的“序列号验证” „ 第 12 页上的“IP 分片” „ 第 12 页上的“GTP-in-GTP 封包过滤” „ 第 12 页上的“深入检查” 数据包运行状况检查 安全设备在每个数据包上执行 GTP 运行状况检查，以确定其是否为有效的 UDP 和 GTP 数据包。运行状况检查通过阻止“GPRS 支持节点” (GSN) 资源尝试处理残缺 的 GTP 数据包，从而对其加以保护。 执行 GTP 数据包运行状况检查时，安全设备检查每个 GTP 数据包的包头以获取以 下信息 : „ GTP 版本号 - ScreenOS 支持版本 0 和 1 (包括 GTP 的版本 )。 „ 预定义位的相应设置 - 根据 GTP 版本号来对具体预定义位进行检查。 „ 协议类型 - 对于版本 1 (包括 GTP 的版本 )。 „ UDP/TCP 数据包长度。 如果该数据包不符合 UDP 标准和 GTP 标准，则安全设备将丢弃该数据包，从而防 止安全设备转发残缺的或伪造的信息流。安全设备自动执行 GTP 数据包运行状况 检查；无需配置此功能。 注意 : Juniper Networks 遵循第三代合作伙伴计划 (3GPP) 建立的 GTP 标准。有关这些标 准的详细信息，请参阅以下技术文档 : „ 3GPP TS 09.60 v6.9.0 (2000-09) GTP 消息过滤 „ 7 „ 3GPP TS 29.060 v3.8.0 (2001-03) „ 3GPP TS 32.015 v3.9.0 (2002-03) 概念与范例 ScreenOS 参考指南 8 „ 消息长度过滤 可以将安全设备配置为丢弃不满足指定的最小或最大消息长度的数据包。在 GTP 包头中，消息长度字段用八位位组指示 GTP 负荷的长度。该长度不包括 GTP 包头 本身、 UDP 包头或 IP 包头的长度。缺省的最小和最大 GTP 消息长度分别为 0 和 1452。 范例 : 设置 GTP 消息长度 在本例中，针对 GPRS GTP 检查对象，将最小 GTP 消息长度配置为 8 个八位位组， 并将最大 GTP 消息长度配置为 1200 个八位位组。 WebUI Objects > GTP > Edit (GPRS1): 输入以下内容，然后单击 Apply: Minimum Message Length: 8 Maximum Message Length: 1200 CLI set gtp configuration gprs1 (gtp:gprs1)-> set min-message-length 8 (gtp:gprs1)-> set max-mess