NETSCREEN防火墙ZONE SCREEN配置说明

NETSCREEN防火墙Zone Screen
配置说明
目录
1.IP SWEEP 【关闭建议由IDP设备防御此类攻击】 (4)
2.PORT SCAN 【关闭建议由IDP设备防御此类攻击】 (4)
3.IP OPTION 【关闭此类攻击较少出现】 (4)
4.SYN-FIN 【关闭此类攻击较少出现】 (5)
5.FIN-NO-ACK 【关闭此类攻击较少出现】 (5)
6.TCP-NO-FLAG 【关闭此类攻击较少出现】 (6)
7.IP-SPOOFING 【关闭此类攻击较少出现】 (6)
8.SOURCE-ROUTE 【关闭此类攻击较少出现】 (6)
9.SESSION-LIMIT 【打开基于源地址限制SESSION数量】 (7)
10.SYN-ACK-ACK-PROXY 【关闭此类攻击较少出现】 (7)
11.SYN-FLOOD 【打开设置attack threshold】 (8)
12.ICMP-FLOOD 【打开】 (10)
13.UDP-FLOOD 【打开】 (10)
ND 【关闭此类攻击较少出现】 (11)
15.PING-DEATH 【关闭此类攻击较少出现】 (11)
16.TEAR-DROP 【关闭此类攻击较少出现】 (12)
17.WINNUKE 【关闭此类攻击较少出现】 (12)
1.IP SWEEP 【关闭建议由IDP设备防御此类攻击】
命令
set zone zone screen ip-sweep threshold number
set zone zone screen ip-sweep
说明
使用缺省设置时，如果某个远程主机在0.005 秒(5000 微秒) 内将ICMP 信息流发送给10个地址，则安全设备将其标记为地址扫描攻击，并在指定临界时间段的剩余时间内拒绝来自该主机的所有更多ICMP请求。

设备会检测并丢弃满足地址扫描攻击标准的第十个及以后的报文。

2.PORT SCAN 【关闭建议由IDP设备防御此类攻击】
命令
set zone zone screen port-scan threshold number
set zone zone screen port-scan
说明
使用缺省设置时，如果某个远程主机在0.005 秒(5,000 微秒) 内扫描了10 个端口，则设备将其标记为端口扫描攻击，并在指定门限的剩余时间内拒绝来自该远程源地点的所有其它报文。

设备会检测并丢弃满足端口扫描攻击标准的第十个及以后的报文。

3.IP OPTION 【关闭此类攻击较少出现】
命令
set zone zone screen ip-record-route
set zone zone screen ip-timestamp-opt
set zone zone screen ip-security-opt
set zone zone screen ip-stream-opt
说明
记录路由: 安全设备检测IP 选项为7 ( 记录路由) 的报文，并在入口接口的SCREEN 计数器列表中记录事件。

时戳: 安全设备检测IP 选项列表包含选项4 ( 互联网时戳) 的报文，并在入口接口的SCREEN 计数器列表中记录事件。

安全: 安全设备检测IP 选项为2 (安全) 的报文，并在入口接口的SCREEN 计数器列表中记录事件。

流ID: 安全设备检测IP 选项为8 ( 流ID) 的报文，并在入口接口的SCREEN 计数器列表中记录事件。

4.SYN-FIN 【关闭此类攻击较少出现】
命令
set zone zone screen syn-fin
说明
当启用了此SCREEN选项时，安全设备将检查TCP包头中是否同时设置了SYN 和FIN标志。

如果设备发现这样的包头，则会丢弃报文。

5.FIN-NO-ACK 【关闭此类攻击较少出现】
命令
set zone zone screen fin-no-ack
说明
当启用了此SCREEN 选项时，安全设备将检查TCP 包头中是否设置了FIN 标志而未设置ACK 标志。

如果设备发现含这种包头的报文，则会丢弃该报文。

6.TCP-NO-FLAG 【关闭此类攻击较少出现】
命令
set zone zone screen tcp-no-flag
说明
当启用了安全设备以检测未设置标志的TCP片段时，设备将丢弃缺失标志位字段或含有残缺标志位字段的所有TCP报文。

7.IP-SPOOFING 【关闭此类攻击较少出现】
命令
set zone zone screen ip-spoofing drop-no-rpf-route
说明
如果报文中的源IP地址不在路由表中，则在缺省情况下安全设备允许该报文通过( 假定有一个策略允许它)。

使用本SCREEN配置( 其中指定的安全区段是报文始发的区段)，可以指示安全设备丢弃源IP 地址不在路由表中的任何报文
命令
set zone zone screen ip-spoofing
说明
指示安全设备丢弃源IP 地址不在路由表中,或报文到达的接口与去往此报文源地址的出接口不符合的任何报文
8.SOURCE-ROUTE 【关闭此类攻击较少出现】
命令
set zone zone screen ip-filter-src
说明
封锁设置了松散或严格源路由选项的报文，指定的安全区段是报文始发的区段
命令
set zone zone screen ip-loose-src-route
set zone zone screen ip-strict-src-route
说明
检测并记录( 但不封锁) 设置了松散或严格源路由选项的报文，指定的安全区段是报文始发的区段
9.SESSION-LIMIT 【打开基于源地址限制SESSION数量】
命令
set zone zone screen limit-session source-ip-based number
set zone zone screen limit-session source-ip-based
说明
限制来自相同源IP 地址的并发会话数目，默认128
命令
set zone zone screen limit-session destination-ip-based number
set zone zone screen limit-session destination-ip-based
说明
限制去往相同目的IP 地址的并发会话数目，默认128
10.SYN-ACK-ACK-PROXY 【关闭此类攻击较少出现】
命令
set zone zone screen syn-ack-ack-proxy threshold number
set zone zone screen syn-ack-ack-proxy
说明
当认证用户发起Telnet 或FTP 连接时，该用户将SYN 片段发送到Telnet 或FTP服务器。

防火墙截取该SYN 片段，在其会话表中创建一个条目，并代发一个SYN-ACK 片段给该用户。

然后该用户用ACK 片段回复。

至此就完成了初始三方握手。

设备向用户发出登录提示。

如果怀有恶意的用户没有登录，而是继续发起SYN-ACK-ACK 会话，则ScreenOS 会话表将填满到设备开始拒绝合法连接请求的状态。

在来自相同IP 地址的连接数目达到SYN-ACK-ACK 代理临界值后，安全设备将拒绝来自该IP 地址的更多连接请求。

在缺省情况下，来自任何单个IP 地址的连接数目临界值是512。

11.SYN-FLOOD 【打开设置attack threshold】
对每秒钟允许通过防火墙的SYN 片段数加以限制。

可以将目标地址和端口、仅目标地址或仅源地址上的攻击临界值作为基础。

当每秒的SYN 片段数超过这些临界值之一时，安全设备开始代理发送流入的SYN 片段、用SYN/ACK 片段回复、并将不完全的连接请求存储到连接队列中。

未完成的连接请求保留在队列中，直到连接完成或请求超时。

命令
set zone zone screen syn-flood attack-threshold number
说明
激活SYN 代理机制所需的每秒钟发向相同目标地址的SYN 片段数，超过门限值后触发代理机制。

命令
set zone zone screen syn-flood alarm-threshold number
说明
每秒钟代理的半连接TCP请求数，在达到该数目后安全设备将在事件日志中加入一条警告。

例如，如果SYN 攻击临界值设为每秒2000 个SYN 片段且警告临界值为1000，则每秒钟发往相同目标地址和端口号的SYN 片段总数必须达到3001时，才会触发警告将其写入日志。

命令
set zone zone screen syn-flood source-threshold number
说明
安全设备开始丢弃来自该来源的连接请求之前，每秒从单个源IP 地址接收的SYN 片段数
命令
set zone zone screen syn-flood destination-threshold number
说明
安全设备丢弃到该目标的连接请求之前，每秒从单个目的IP地址接收的SYN 片段数。

命令
set zone zone screen syn-flood timeout number
说明
丢弃队列中半连接报文之前等待的最长时间。

缺省值为20 秒，可以将该超时值设置为0-50 秒。

命令
set zone zone screen syn-flood queue-size number
说明
安全设备开始拒绝新的连接请求前，代理连接队列中的代理连接请求的数量。

队列长度值越大，设备就需要越长的时间来扫描该队列，以找到与代理连接请求匹配的有效ACK 响应。

命令
set zone zone screen syn-flood drop-unknown-mac
说明
当防火墙检测到SYN 攻击时，它会代理所有的TCP连接请求。

但是，如果目的MAC 地址不在其MAC地址表中，则处于“透明”模式的设备不能代理TCP 连接请求。

在缺省情况下，检测到SYN 攻击且处于“透明”模式的设备将允许含有未知MAC 地址的SYN 报文直接通过。

可以使用此选项指示设备丢弃含有未知目的MAC 地址的SYN 报文，而不是让其通过。

12.ICMP-FLOOD 【打开】
命令
set zone zone screen icmp-flood threshold number
set zone zone screen icmp-flood
说明
当启用了ICMP 泛洪保护功能时，可以设置一个临界值，一旦超过此值就会调用ICMP 泛洪攻击保护功能。

( 缺省的临界值为每秒1000 个报文。

) 如果超过了该临界值，安全设备在该秒余下的时间和下一秒内会忽略其它的ICMP 回应要求。

13.UDP-FLOOD 【打开】
命令
set zone zone screen udp-flood threshold number
set zone zone screen udp-flood
说明
当启用了UDP 泛滥保护功能时，可以设置一个临界值，一旦超过此临界值就会调用UDP 泛滥攻击保护功能。

( 缺省的临界值为每秒1000 个报文。

) 如果从一个或多个源向单个目标发送的UDP 数据报数超过了此临界值，防火墙在该秒余下的时间和下一秒内会忽略其它到该目标的UDP 数据报。

ND 【关闭此类攻击较少出现】
命令
set zone zone screen land
说明
当攻击者发送含有受害者IP地址的欺骗性SYN 报文，将其受害者地址同时作为报文的目的和源IP 地址时，即LAND攻击。

接收系统通过向自己发送SYN-ACK 报文来进行响应，同时创建一个空的连接，该连接将会一直保持到达到空闲超时值为止。

当启用SCREEN 选项以封锁LAND攻击时，安全设备将SYN FLOOD防御和IP 欺骗保护的元素有机结合在一起，以检测和封锁这种性质的企图。

15.PING-DEATH 【关闭此类攻击较少出现】
命令
set zone zone screen ping-death
说明
过大的ICMP 报文会引发一系列不利的系统反应，如拒绝服务(DoS)、系统崩溃、
死机以及重新启动。

启用Ping of Death SCREEN 选项时，安全设备检测并拒绝这些过大的且不规则的报文大小，即便是攻击者通过故意分段来隐藏总报文大小。

16.TEAR-DROP 【关闭此类攻击较少出现】
命令
set zone zone screen tear-drop
说明
当一个报文碎片的偏移值与大小之和不同于下一报文碎片时，报文发生重叠，并且服务器尝试重新组合报文时会引起系统崩溃，特别是如果服务器正在运行含有这种漏洞的旧版操作系统时更是如此。

在启用Teardrop Attack SCREEN 选项后，只要设备检测到报文碎片中的这种差异，就会丢弃该碎片。

17.WINNUKE 【关闭此类攻击较少出现】
命令
set zone zone screen winnuke
说明
WinNuke 是针对互联网上运行Windows 的计算机的DoS 攻击。

攻击者将TCP片段[ 通常发送给设置了紧急(URG) 标志的NetBIOS 端口139] 发送给具有已建连接的主机。

这样就产生NetBIOS 碎片重叠，从而导致运行Windows 的机器崩溃。

如果启用了WinNuke attack defense SCREEN 选项，则安全设备会扫描所有流入的“Microsoft NetBIOS 会话服务”( 端口139) 报文。

如果观察到其中一个报文中设置了URG 标志，则设备将取消设置该URG 标志，清除URG 指针，转发修改后的指针，然后在事件日志中写入一个条目，说明其已封锁了一个尝试的WinNuke 攻击。