NETSCREEN防火墻ZONE SCREEN配置說明

1、 Page * MERGEFORMAT 13NETSCREEN防火墻Zone Screen配置說明目 錄 TOC o 1-3 h z u HYPERLINK l _Toc504681676 1.IP SWEEP 【關(guān)閉 建議由IDP設(shè)備防御此類攻擊】 PAGEREF _Toc504681676 h 4 HYPERLINK l _Toc504681677 2.PORT SCAN 【關(guān)閉 建議由IDP設(shè)備防御此類攻擊】 PAGEREF _Toc504681677 h 4 HYPERLINK l _Toc504681678 3.IP OPTION 【關(guān)閉 此類攻擊較少出現(xiàn)】 PAGEREF _Toc

2、504681678 h 4 HYPERLINK l _Toc504681679 4.SYN-FIN 【關(guān)閉 此類攻擊較少出現(xiàn)】 PAGEREF _Toc504681679 h 5 HYPERLINK l _Toc504681680 5.FIN-NO-ACK 【關(guān)閉 此類攻擊較少出現(xiàn)】 PAGEREF _Toc504681680 h 5 HYPERLINK l _Toc504681681 6.TCP-NO-FLAG 【關(guān)閉 此類攻擊較少出現(xiàn)】 PAGEREF _Toc504681681 h 6 HYPERLINK l _Toc504681682 7.IP-SPOOFING 【關(guān)閉 此類攻擊較少出

3、現(xiàn)】 PAGEREF _Toc504681682 h 6 HYPERLINK l _Toc504681683 8.SOURCE-ROUTE 【關(guān)閉 此類攻擊較少出現(xiàn)】 PAGEREF _Toc504681683 h 6 HYPERLINK l _Toc504681684 9.SESSION-LIMIT 【打開 基于源地址限制SESSION數(shù)量】 PAGEREF _Toc504681684 h 7 HYPERLINK l _Toc504681685 10.SYN-ACK-ACK-PROXY 【關(guān)閉 此類攻擊較少出現(xiàn)】 PAGEREF _Toc504681685 h 7 HYPERLINK l _

4、Toc504681686 11.SYN-FLOOD 【打開 設(shè)置attack threshold】 PAGEREF _Toc504681686 h 8 HYPERLINK l _Toc504681687 12.ICMP-FLOOD 【打開】 PAGEREF _Toc504681687 h 10 HYPERLINK l _Toc504681688 13.UDP-FLOOD 【打開】 PAGEREF _Toc504681688 h 10 HYPERLINK l _Toc504681689 14.LAND 【關(guān)閉 此類攻擊較少出現(xiàn)】 PAGEREF _Toc504681689 h 11 HYPERL

5、INK l _Toc504681690 15.PING-DEATH 【關(guān)閉 此類攻擊較少出現(xiàn)】 PAGEREF _Toc504681690 h 11 HYPERLINK l _Toc504681691 16.TEAR-DROP 【關(guān)閉 此類攻擊較少出現(xiàn)】 PAGEREF _Toc504681691 h 12 HYPERLINK l _Toc504681692 17.WINNUKE 【關(guān)閉 此類攻擊較少出現(xiàn)】 PAGEREF _Toc504681692 h 12IP SWEEP 【關(guān)閉 建議由IDP設(shè)備防御此類攻擊】命令set zone zone screen ip-sweep threshol

6、d numberset zone zone screen ip-sweep說明使用缺省設(shè)置時(shí)，如果某個(gè)遠(yuǎn)程主機(jī)在 0.005 秒 (5000 微秒) 內(nèi)將 ICMP 信息流發(fā)送給 10個(gè)地址，則安全設(shè)備將其標(biāo)記為地址掃描攻擊，并在指定臨界時(shí)間段的剩余時(shí)間內(nèi)拒絕來自該主機(jī)的所有更多 ICMP請(qǐng)求。設(shè)備會(huì)檢測(cè)并丟棄滿足地址掃描攻擊標(biāo)準(zhǔn)的第十個(gè)及以后的報(bào)文。PORT SCAN 【關(guān)閉 建議由IDP設(shè)備防御此類攻擊】命令set zone zone screen port-scan threshold numberset zone zone screen port-scan說明使用缺省設(shè)置時(shí)，如果某個(gè)遠(yuǎn)

7、程主機(jī)在 0.005 秒 (5,000 微秒) 內(nèi)掃描了 10 個(gè)端口，則設(shè)備將其標(biāo)記為端口掃描攻擊，并在指定門限的剩余時(shí)間內(nèi)拒絕來自該遠(yuǎn)程源地點(diǎn)的所有其它報(bào)文。設(shè)備會(huì)檢測(cè)并丟棄滿足端口掃描攻擊標(biāo)準(zhǔn)的第十個(gè)及以后的報(bào)文。IP OPTION 【關(guān)閉 此類攻擊較少出現(xiàn)】命令set zone zone screen ip-record-routeset zone zone screen ip-timestamp-optset zone zone screen ip-security-optset zone zone screen ip-stream-opt說明記錄路由: 安全設(shè)備檢測(cè) IP 選項(xiàng)為

8、7 ( 記錄路由) 的報(bào)文，并在入口接口的SCREEN 計(jì)數(shù)器列表中記錄事件。時(shí)戳: 安全設(shè)備檢測(cè) IP 選項(xiàng)列表包含選項(xiàng) 4 ( 互聯(lián)網(wǎng)時(shí)戳) 的報(bào)文，并在入口接口的 SCREEN 計(jì)數(shù)器列表中記錄事件。安全: 安全設(shè)備檢測(cè) IP 選項(xiàng)為 2 (安全) 的報(bào)文，并在入口接口的 SCREEN 計(jì)數(shù)器列表中記錄事件。流 ID: 安全設(shè)備檢測(cè) IP 選項(xiàng)為 8 ( 流 ID) 的報(bào)文，并在入口接口的 SCREEN 計(jì)數(shù)器列表中記錄事件。SYN-FIN 【關(guān)閉 此類攻擊較少出現(xiàn)】命令set zone zone screen syn-fin說明當(dāng)啟用了此SCREEN選項(xiàng)時(shí)，安全設(shè)備將檢查TCP包頭中是

9、否同時(shí)設(shè)置了 SYN和FIN標(biāo)志。如果設(shè)備發(fā)現(xiàn)這樣的包頭，則會(huì)丟棄報(bào)文。FIN-NO-ACK 【關(guān)閉 此類攻擊較少出現(xiàn)】命令set zone zone screen fin-no-ack說明當(dāng)啟用了此 SCREEN 選項(xiàng)時(shí)，安全設(shè)備將檢查 TCP 包頭中是否設(shè)置了 FIN 標(biāo)志而未設(shè)置 ACK 標(biāo)志。如果設(shè)備發(fā)現(xiàn)含這種包頭的報(bào)文，則會(huì)丟棄該報(bào)文。TCP-NO-FLAG 【關(guān)閉 此類攻擊較少出現(xiàn)】命令set zone zone screen tcp-no-flag說明當(dāng)啟用了安全設(shè)備以檢測(cè)未設(shè)置標(biāo)志的TCP片段時(shí)，設(shè)備將丟棄缺失標(biāo)志位字段或含有殘缺標(biāo)志位字段的所有TCP報(bào)文。IP-SPOOFIN

10、G 【關(guān)閉 此類攻擊較少出現(xiàn)】命令set zone zone screen ip-spoofing drop-no-rpf-route說明如果報(bào)文中的源IP地址不在路由表中，則在缺省情況下安全設(shè)備允許該報(bào)文通過 ( 假定有一個(gè)策略允許它)。使用本SCREEN配置 ( 其中指定的安全區(qū)段是報(bào)文始發(fā)的區(qū)段)，可以指示安全設(shè)備丟棄源 IP 地址不在路由表中的任何報(bào)文命令set zone zone screen ip-spoofing說明指示安全設(shè)備丟棄源 IP 地址不在路由表中,或報(bào)文到達(dá)的接口與去往此報(bào)文源地址的出接口不符合的任何報(bào)文SOURCE-ROUTE 【關(guān)閉 此類攻擊較少出現(xiàn)】命令set

11、zone zone screen ip-filter-src說明封鎖設(shè)置了松散或嚴(yán)格源路由選項(xiàng)的報(bào)文，指定的安全區(qū)段是報(bào)文始發(fā)的區(qū)段命令set zone zone screen ip-loose-src-routeset zone zone screen ip-strict-src-route說明檢測(cè)并記錄 ( 但不封鎖) 設(shè)置了松散或嚴(yán)格源路由選項(xiàng)的報(bào)文，指定的安全區(qū)段是報(bào)文始發(fā)的區(qū)段SESSION-LIMIT 【打開 基于源地址限制SESSION數(shù)量】命令set zone zone screen limit-session source-ip-based numberset zone zo

12、ne screen limit-session source-ip-based說明限制來自相同源 IP 地址的并發(fā)會(huì)話數(shù)目，默認(rèn)128命令set zone zone screen limit-session destination-ip-based numberset zone zone screen limit-session destination-ip-based說明限制去往相同目的 IP 地址的并發(fā)會(huì)話數(shù)目，默認(rèn)128SYN-ACK-ACK-PROXY 【關(guān)閉 此類攻擊較少出現(xiàn)】命令set zone zone screen syn-ack-ack-proxy threshold num

13、berset zone zone screen syn-ack-ack-proxy說明當(dāng)認(rèn)證用戶發(fā)起 Telnet 或 FTP 連接時(shí)，該用戶將 SYN 片段發(fā)送到 Telnet 或 FTP服務(wù)器。防火墻截取該 SYN 片段，在其會(huì)話表中創(chuàng)建一個(gè)條目，并代發(fā)一個(gè)SYN-ACK 片段給該用戶。然后該用戶用 ACK 片段回復(fù)。至此就完成了初始三方握手。設(shè)備向用戶發(fā)出登錄提示。如果懷有惡意的用戶沒有登錄，而是繼續(xù)發(fā)起SYN-ACK-ACK 會(huì)話，則 ScreenOS 會(huì)話表將填滿到設(shè)備開始拒絕合法連接請(qǐng)求的狀態(tài)。在來自相同IP 地址的連接數(shù)目達(dá)到 SYN-ACK-ACK 代理臨界值后，安全設(shè)備將拒絕

14、來自該 IP 地址的更多連接請(qǐng)求。在缺省情況下，來自任何單個(gè) IP 地址的連接數(shù)目臨界值是512。SYN-FLOOD 【打開 設(shè)置attack threshold】對(duì)每秒鐘允許通過防火墻的 SYN 片段數(shù)加以限制。可以將目標(biāo)地址和端口、僅目標(biāo)地址或僅源地址上的攻擊臨界值作為基礎(chǔ)。當(dāng)每秒的 SYN 片段數(shù)超過這些臨界值之一時(shí)，安全設(shè)備開始代理發(fā)送流入的 SYN 片段、用 SYN/ACK 片段回復(fù)、并將不完全的連接請(qǐng)求存儲(chǔ)到連接隊(duì)列中。未完成的連接請(qǐng)求保留在隊(duì)列中，直到連接完成或請(qǐng)求超時(shí)。命令set zone zone screen syn-flood attack-threshold numbe

15、r說明激活 SYN 代理機(jī)制所需的每秒鐘發(fā)向相同目標(biāo)地址的 SYN 片段數(shù)，超過門限值后觸發(fā)代理機(jī)制。命令set zone zone screen syn-flood alarm-threshold number說明每秒鐘代理的半連接TCP請(qǐng)求數(shù)，在達(dá)到該數(shù)目后安全設(shè)備將在事件日志中加入一條警告。例如，如果 SYN 攻擊臨界值設(shè)為每秒 2000 個(gè) SYN 片段且警告臨界值為1000，則每秒鐘發(fā)往相同目標(biāo)地址和端口號(hào)的 SYN 片段總數(shù)必須達(dá)到 3001時(shí)，才會(huì)觸發(fā)警告將其寫入日志。命令set zone zone screen syn-flood source-threshold number

16、說明安全設(shè)備開始丟棄來自該來源的連接請(qǐng)求之前，每秒從單個(gè)源 IP 地址接收的SYN片段數(shù)命令set zone zone screen syn-flood destination-threshold number說明安全設(shè)備丟棄到該目標(biāo)的連接請(qǐng)求之前，每秒從單個(gè)目的IP地址接收的 SYN 片段數(shù)。命令set zone zone screen syn-flood timeout number說明丟棄隊(duì)列中半連接報(bào)文之前等待的最長(zhǎng)時(shí)間。缺省值為 20 秒，可以將該超時(shí)值設(shè)置為 0-50 秒。命令set zone zone screen syn-flood queue-size number說明安全設(shè)

17、備開始拒絕新的連接請(qǐng)求前，代理連接隊(duì)列中的代理連接請(qǐng)求的數(shù)量。隊(duì)列長(zhǎng)度值越大，設(shè)備就需要越長(zhǎng)的時(shí)間來掃描該隊(duì)列，以找到與代理連接請(qǐng)求匹配的有效 ACK 響應(yīng)。命令set zone zone screen syn-flood drop-unknown-mac說明當(dāng)防火墻檢測(cè)到 SYN 攻擊時(shí)，它會(huì)代理所有的 TCP連接請(qǐng)求。但是，如果目的 MAC 地址不在其 MAC地址表中，則處于“透明”模式的設(shè)備不能代理 TCP 連接請(qǐng)求。在缺省情況下，檢測(cè)到 SYN 攻擊且處于“透明”模式的設(shè)備將允許含有未知 MAC 地址的 SYN 報(bào)文直接通過?？梢允褂么诉x項(xiàng)指示設(shè)備丟棄含有未知目的 MAC 地址的 SY

18、N 報(bào)文，而不是讓其通過。ICMP-FLOOD 【打開】命令set zone zone screen icmp-flood threshold numberset zone zone screen icmp-flood說明當(dāng)啟用了 ICMP 泛洪保護(hù)功能時(shí)，可以設(shè)置一個(gè)臨界值，一旦超過此值就會(huì)調(diào)用 ICMP 泛洪攻擊保護(hù)功能。( 缺省的臨界值為每秒 1000 個(gè)報(bào)文。) 如果超過了該臨界值，安全設(shè)備在該秒余下的時(shí)間和下一秒內(nèi)會(huì)忽略其它的 ICMP 回應(yīng)要求。UDP-FLOOD 【打開】命令set zone zone screen udp-flood threshold numberset zo

19、ne zone screen udp-flood說明當(dāng)啟用了 UDP 泛濫保護(hù)功能時(shí)，可以設(shè)置一個(gè)臨界值，一旦超過此臨界值就會(huì)調(diào)用UDP 泛濫攻擊保護(hù)功能。( 缺省的臨界值為每秒 1000 個(gè)報(bào)文。) 如果從一個(gè)或多個(gè)源向單個(gè)目標(biāo)發(fā)送的 UDP 數(shù)據(jù)報(bào)數(shù)超過了此臨界值，防火墻在該秒余下的時(shí)間和下一秒內(nèi)會(huì)忽略其它到該目標(biāo)的 UDP 數(shù)據(jù)報(bào)。LAND 【關(guān)閉 此類攻擊較少出現(xiàn)】命令set zone zone screen land說明當(dāng)攻擊者發(fā)送含有受害者 IP地址的欺騙性 SYN 報(bào)文，將其受害者地址同時(shí)作為報(bào)文的目的和源 IP 地址時(shí)，即LAND攻擊。接收系統(tǒng)通過向自己發(fā)送 SYN-ACK 報(bào)文來進(jìn)行響應(yīng)，同時(shí)創(chuàng)建一個(gè)空的連接，該連接將會(huì)一直保持到達(dá)到空閑超時(shí)值為止。當(dāng)啟用 SCREEN 選項(xiàng)以封鎖LAND攻擊時(shí)，安全設(shè)備將SYN FLOOD防御和IP欺騙保護(hù)的元素有機(jī)結(jié)合在一起，以檢測(cè)和封鎖這種性質(zhì)的企圖。PING-DEATH 【關(guān)閉 此類攻擊較少出現(xiàn)】命令set zone zone screen ping-death說明過大的 ICMP 報(bào)文會(huì)引發(fā)一系列不利的系統(tǒng)反應(yīng)，如拒絕服務(wù) (DoS)、系統(tǒng)崩潰、死機(jī)以及重