完美中文字幕國(guó)外技術(shù)飛塔防火墻視頻31集案例中英文地址04-ips

1、攻城獅#_#.歸原作者所有 本資料試讀IPS4.0 update攻城獅(技術(shù)+生活)群 2258097IPS增強(qiáng)DOSIPS策略加入到DOS策略單臂IDSIPV6 IPSIPS包攻城獅#_#.歸原作者所有 本資料試讀Life of a PacketINDoS 策略檢測(cè)IPS / 應(yīng)用控制PASSFirewall檢測(cè)PASSPASSAV / WF(Proxy)OUTBlock (attack)Block (deny)Block (attack / disallowed application)Block (/Web Content BlockDOS策略在策略之前處理數(shù)據(jù)流攻城獅(技術(shù)+生活)群

2、2258097攻城獅#_#.歸原作者所有 本資料試讀優(yōu)勢(shì)更有效的防御DDOS，因?yàn)樵诓呗詥⒂弥皺z測(cè)和阻斷，降低了對(duì)系統(tǒng)資源的消耗。FortiOS不會(huì)處理某些流量：會(huì)丟棄包頭為丟棄的包（的包）Flooded, 廣播, 組播流量丟掉這些包前，DOS策略可以檢測(cè)這些流量在IPS可以所有丟棄的包（認(rèn)證的要求）IPS可以檢測(cè)Flooded, 廣播, 組播流量攻城獅(技術(shù)+生活)群 2258097攻城獅#_#.歸原作者所有 本資料試讀DoS 配置-GUI1，配置DOS傳感器攻城獅(技術(shù)+生活)群 2258097DoS 配置-GUI2，配置DOS策略DoS 配置-CLIFG100A2105401754 (

3、erface-policy) # showconfig firewall edit 1erface-policyseterface dmz1set srcaddr all set dstaddr all set service ANYset ips-DoS-sus enableset ips-DoS all_default nextendIPS策略加入到DOS策略-CLIFG100A2105401754 #config firewallerface-policyFG100A2105401754 (erface-policy) # edit 1FG100A2105401754 (1)#set i

4、ps-sensor-sus enableFG100A2105401754 (1)#set ips-sensor all_default FG100A2105401754 (1) # showconfig firewall edit 1erface-policyseterface dmz1set srcaddr all set dstaddr all set service ANYset ips-sensor-sus enableset ips-sensor all_defaultset ips-DoS-sus enableset ips-DoS all_default nextend單臂IDS

5、最常見(jiàn)的網(wǎng)絡(luò)拓?fù)?(長(zhǎng)時(shí)間 Top3 case)需要在接口上啟用鏡像模式所有進(jìn)出的流量在經(jīng)過(guò)IPS檢查后丟掉.SPANLAN攻城獅#_#.歸原作者所有 本資料試讀單臂IDS配置-CLIconfig system edit port1erfaceset vdom rootset ip 1 set allowacshttps sshset ipiffer-mode enableset type physical nextendconfig firewall edit 1erface-policyseterface port1set srcaddr all set dstaddr all set s

6、ervice ANYset ips-sensor-sus enableset ips-sensor all_defaultset ips-DoS-sus enableset ips-DoS all_default nextend攻城獅(技術(shù)+生活)群 2258097攻城獅#_#.歸原作者所有 本資料試讀IPv6 IPS4.0以前不支持IPv6的IPS4.0, 開(kāi)始IPv6 IPS 特征掃描，但不支持DDOS，需要在命令行下配置。例如:config firewalledit 1erface-policy6set set set set set setnexterface port1”srcadd

7、r6 dstaddr6service6allallANYips-sensor-sus enableips-sensor all_defaultend攻城獅(技術(shù)+生活)群 2258097攻城獅#_#.歸原作者所有 本資料試讀包定義IPS Sensor的Override可以啟用包。包的格式為pcap方式，可以后用抓包打開(kāi)。定義IPS Sensor的過(guò)濾器時(shí)不能啟用包產(chǎn)生巨量的數(shù)據(jù)。，因?yàn)榘鼤?huì)可以存放在內(nèi)存、硬盤(pán)、Fortiyzer、FortiGuard包A&M服務(wù)?？梢杂胮acket-log-memory命令設(shè)置存放在內(nèi)存中數(shù)量。條目packet-log-history用于增加的包數(shù)。例如，設(shè)為

8、6時(shí)，觸發(fā)特征的包，和前5個(gè)包。該功能對(duì)性能影響較大。將FG100A2105401754 # config ips settings FG100A2105401754 (settings) # setpacket-log-historyNumber of packets to be recorded per log, 1, 255packet-log-memoryum memory can be used by packet log, 64, 8192 KB攻城獅(技術(shù)+生活)群 2258097攻城獅#_#.歸原作者所有 本資料試讀（GUI）配置包攻城獅(技術(shù)+生活)群 2258097攻城獅#

9、_#.歸原作者所有 本資料試讀包攻城獅(技術(shù)+生活)群 2258097攻城獅#_#.歸原作者所有 本資料試讀IPS 的其他增強(qiáng)新增協(xié)議增加的多個(gè)協(xié)議。器 NNTP, DHCP, RSTP, DNP3器，不完全依賴端口，而是協(xié)議的內(nèi)容來(lái)識(shí)別支持 GTP 通道掃描TCOM IPS 修改以前是 FortiOS Carrier branch支持的, 現(xiàn)在 FortiOS支持.攻城獅(技術(shù)+生活)群 2258097基于接口的DoS策略基于接口的DoS策略特點(diǎn)：基于接口部署可以指定服務(wù)基于接口的DoS策略DoS sensor可以應(yīng)用到特定的接口用于區(qū)分流量方向等不僅僅通過(guò)IP地址判斷CLI設(shè)置config

10、 firewall edit 1erface-policyseterface ernal allallANYus enableset set setsrcaddr dstaddr serviceset setips-DoS-sips-DoS pass_and_log_allnextedit 2seterface externalset setsrcaddr dstaddr serviceallallICMP_ANY TCPus enablesetUDPset setips-DoS-sips-DoS block_floodnextend攻城獅#_#.歸原作者所有 本資料試讀網(wǎng)絡(luò)控制（NAC）攻城

11、獅(技術(shù)+生活)群 2258097防用戶(user -Monitor-查看被Banned User)Debugget user ban list保護(hù)內(nèi)容表set nac-quar-infectednonequar-無(wú)操作被被erface接口IPquar-src-ipset nac-quar-expiry或時(shí)間(minimum 0d0h5m)Indefinite不自動(dòng)Debug Flowdiagnose debug flow tratart 10id=20085 trace_id=1 msg=vd-root received a packet(proto=6, :53507-:80) from

12、dmz.id=20085 trace_id=1 msg=allocate a new ses-000001c0id=20085 trace_id=1 msg=find a route: gw-1 viaernalid=20085 trace_id=1 msg=find SNAT: IP-44, port-41349id=20085 trace_id=1 msg=Rerouted by end po sockport 0ip filter check new port 1013 sockflag 8id=20085 trace_id=1 msg=DNAT :80-:1013id=20085 tr

13、ace_id=1 msg=send to avid=20085 trace_id=2 msg=vd-root received a packet(proto=6, :53507-:80) from dmz.“攻城獅#_#.歸原作者所有 本資料試讀問(wèn)題0083790源IP。如果一臺(tái)PC。這并非最佳結(jié)果帶毒網(wǎng)頁(yè)，這臺(tái)PC的IP地址只支持將被a.已被FG阻擋，該P(yáng)C并未b. 其它PC仍然可以那個(gè)帶毒的網(wǎng)頁(yè)攻城獅(技術(shù)+生活)群 2258097IPS Sensor中的IPS Override中的IPSCLIget user ban listid 531839182cause testsrc-ip-ad

14、dr 1dst-ip-addrexpirescreateddlp-protoindefiniteWed Dec 24 12:21:33 2008IP也存在方向問(wèn)題對(duì)象，但與AV的情況雖然可以使用以下命令設(shè)置仍然會(huì)出現(xiàn)受害者被類似，set attacker both noneblock attackers IPblock attacker and victims IP none攻城獅#_#.歸原作者所有 本資料試讀問(wèn)題者IP”，會(huì)出現(xiàn)如果選擇“無(wú)效的情況。攻城獅(技術(shù)+生活)群 2258097IPS DoSCLIFGT60B3907517270 # config ips DoS FGT60B39

15、07517270 (DoS) # edit 1FGT60B3907517270 (1) # config anomaly FGT60B3907517270 (anomaly) # edit tcp_dst_sesFGT60B3907517270 (tcp_dst_ses) # getname: tcp_dst_ses: disable: enable: pass: none: 5000s logusactionthresholdthreshold(default) : 5000 setattacker both noneblock attackers IPblock attacker and

16、victims IP noneDoS sensor系統(tǒng)可以發(fā)現(xiàn)離用戶，且其它因?yàn)槿匀淮嬖谟诓⒄撸?。但列表中可以看到被隔行為仍然能夠繼續(xù)。（將被的會(huì)話表中） - Mantis 88214get user ban listidcausesrc-ip-addrdst-ip-addrexpirescreateddlp-proto1udp_flood25Tue Jan 6 01:09:31 2009 Tue Jan 6 01:04:31 2009DoS sensor是由內(nèi)核處理的，因此可能導(dǎo)致CPU占用率（ system部分）升高DOS sensor列表DLPDLPCLIconfig dlp sensorFGT60