您的位置:360文档中心› USG防火墙攻击防范业务特性与配置

USG防火墙攻击防范业务特性与配置

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

TCP Proxy 技术
没有 TCP Proxy
Client send TCP Syn Client send Ack
使能 TCP Proxy
Client send TCP Syn
Firewall response Syn Ack Fake Client Without Ack
Real Client send Ack
1472
Flag MF
IP DATA
Offset 0
20
remainder
Flag Last Fragment
Offset 1480
USG防火墙攻击防范业 务特性与配置
前言
基于防火墙的组网位置和功能上看,对一些非法攻击的防御 是防火墙设备的一个非常重要的功能,通过防火墙的攻击防 范的防御功能可以保证内部网络的安全,在这一点上是其他 数据通信设备无法替代的,因此在全网解决方案中,防火墙 是必不可少的一个部件。 本章主要描述了基于IP的各种网络攻击方式的原理及其在USG 防火墙上的防范配置。
B 信任A的IP地址,因此攻击者假冒A的IP地址
Land 攻击
攻击者
包源IP和目的IP
SYN
都是 B的IP地址
B TCP 自环 连接
Winnuke 攻击
攻击者 服务器
分片 IGMP 包或者目的端口为139,URG被置位且URG指针不为空
SYN Flood 攻击
就是 让你等
攻击者
SYN SYN/ACK
包总长超过 65535
服务器
Tear Drop 攻击
分片包 n… 3 2 1
攻击者
TEAR
IP PING DATA
20 8
1472
Flag MF IP DATA
Offset 0
20
remainder
Flag Last Fragment
Offset 500
服务器
IP PING DATA
NORMAL 20 8
目录
1. 攻击防范特性与配置
1.1 拒绝服务攻击 1.2 畸形报文攻击 1.3 扫描窥探攻击
Smurf 攻击
攻击者
Ping广播地址
受害者
Fraggle 攻击
UDP 请求 (Port 7 or 19) 攻击者
受害者
IP Spoofing 攻击
数据包的源 IP地址 为 A的IP地址 攻击者
B A
其它Flood攻击手段
DNS Flood Get Flood Tcp-illeage-session
目录
1. USG攻击防范特性与配置
1.1 拒绝服务攻击 1.2 畸形报文攻击 1.3 扫描窥探攻击
TCP Flag 攻击
攻击者
SYN/ACK/FIN/RST
服务器
IP 分片攻击
攻击者
分片包 n… 3 2 1
Client 192.168.0.1
Eudemon Firewall
FTP server 19.49.10.10
TCP反向源探测技术
用于来回路径不一致的情况下SYN-Flood攻击防范。
要访问google,发送SYN报文 看看你是不是真想访问google, 发送探测报文
我真的想访问,pass
正常用户
???
怎么 没有 ACK?
服务器
SYN Flood 攻Biblioteka Baidu(续)
配置
firewall defend syn-flood interface { interface-type interface-number | all } [ alert-rate alert-rate-number1 ] [ max-rate max-rate-number1 ] [ tcp-proxy { auto | off | on } ] firewall defend syn-flood zone [ vpn-instance vpn-instance-name ] zonename [ alert-rate alert-rate-number2 ] [ max-rate max-rate-number2 ] [ tcpproxy { auto | on | off } ] firewall defend syn-flood enable
培训目标
学完本课程后,您应该能:
描述 IP网络中各种攻击的原理 掌握 USG防火墙的各种攻击防范的配置
网络中典型的攻击类型
畸形报文
Tear Drop Ping of Death
拒绝服务
SYN Flood UDP Flood ICMP Flood
攻击类型
扫描窥探
IP Sweep Port Scan
如果是Tcp攻击的话源地址 为假冒,则不会存在这个回 应报文,因此攻击报文会被
防火墙丢弃
Server response Syn Ack
Firewall send TCP Syn for Client Server response Syn Ack
Firewall send Ack for Client
Eudemon
Internet
攻击者 使用虚假源地址进行攻击
UDP/ICMP Flood 攻击
攻击者 UDP 或 ICMP 包
… 攻击者 UDP 或 ICMP 包
服务器
UDP/ICMP Flood攻击(续)
配置
firewall defend udp-flood interface { interface-type interface-number | all } [ max-rate maxrate-number1 ] firewall defend udp-flood zone [ vpn-instance vpn-instance-name ] zone-name [ alert-rate alert-rate-number ] [ max-rate max-rate-number2 ] firewall defend icmp-flood interface { interface-type interface-number | all } [ max-rate maxrate-number1 ] firewall defend icmp-flood zone [ vpn-instance vpn-instance-name ] zone-name [ max-rate max-rate-number2 ] firewall defend udp/icmp-flood enable
相关文档
最新文档