HC120119003USG防火墻攻擊防范業(yè)務(wù)特性與配置_第1頁
HC120119003USG防火墻攻擊防范業(yè)務(wù)特性與配置_第2頁
HC120119003USG防火墻攻擊防范業(yè)務(wù)特性與配置_第3頁
HC120119003USG防火墻攻擊防范業(yè)務(wù)特性與配置_第4頁
HC120119003USG防火墻攻擊防范業(yè)務(wù)特性與配置_第5頁
已閱讀5頁,還剩25頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

USG防火墻攻擊防范業(yè)務(wù)特性與配置前言基于防火墻的組網(wǎng)位置和功能上看,對一些非法攻擊的防御是防火墻設(shè)備的一個非常重要的功能,通過防火墻的攻擊防范的防御功能可以保證內(nèi)部網(wǎng)絡(luò)的安全,在這一點上是其他數(shù)據(jù)通信設(shè)備無法替代的,因此在全網(wǎng)解決方案中,防火墻是必不可少的一個部件。本章主要描述了基于IP的各種網(wǎng)絡(luò)攻擊方式的原理及其在USG防火墻上的防范配置。培訓(xùn)目標(biāo)學(xué)完本課程后,您應(yīng)該能:描述IP網(wǎng)絡(luò)中各種攻擊的原理掌握USG防火墻的各種攻擊防范的配置網(wǎng)絡(luò)中典型的攻擊類型攻擊類型

畸形報文TearDropPingofDeath掃描窺探

IPSweepPortScan拒絕服務(wù)SYNFloodUDPFloodICMPFlood目錄1.攻擊防范特性與配置1.1拒絕服務(wù)攻擊1.2畸形報文攻擊1.3掃描窺探攻擊Smurf攻擊Ping廣播地址受害者攻擊者Fraggle攻擊受害者攻擊者UDP請求(Port7or19)IPSpoofing攻擊A攻擊者數(shù)據(jù)包的源IP地址

為A的IP地址BB信任A的IP地址,因此攻擊者假冒A的IP地址Land攻擊攻擊者包源IP和目的IP都是B的IP地址SYNTCP自環(huán)連接BWinnuke攻擊攻擊者分片IGMP包或者目的端口為139,URG被置位且URG指針不為空服務(wù)器SYNFlood攻擊怎么沒有ACK?就是讓你等???SYNSYN/ACK攻擊者服務(wù)器SYNFlood攻擊(續(xù))配置firewalldefendsyn-floodinterface{interface-type

interface-number|all}[alert-ratealert-rate-number1][max-ratemax-rate-number1][tcp-proxy{auto|off|on}]firewalldefendsyn-floodzone[vpn-instancevpn-instance-name]zone-name[alert-ratealert-rate-number2][max-ratemax-rate-number2][tcp-proxy{auto|on|off}]firewalldefendsyn-floodenableTCPProxy技術(shù)ClientEudemonFirewallFTPserver0沒有TCPProxyClientsendTCPSynFakeClientWithoutAckRealClientsendAckFirewallresponseSynAckServerresponseSynAck如果是Tcp攻擊的話源地址為假冒,則不會存在這個回應(yīng)報文,因此攻擊報文會被防火墻丟棄FirewallsendTCPSynforClientServerresponseSynAckClientsendAck使能TCPProxyClientsendTCPSynFirewallsendAckforClientTCP反向源探測技術(shù)用于來回路徑不一致的情況下SYN-Flood攻擊防范。使用虛假源地址進(jìn)行攻擊正常用戶攻擊者Eudemon要訪問google,發(fā)送SYN報文看看你是不是真想訪問google,發(fā)送探測報文Internet我真的想訪問,passUDP/ICMPFlood攻擊攻擊者攻擊者…UDP或ICMP包UDP或ICMP包服務(wù)器UDP/ICMPFlood攻擊(續(xù))配置firewalldefendudp-floodinterface{interface-type

interface-number|all}[max-ratemax-rate-number1]firewalldefendudp-floodzone[vpn-instancevpn-instance-name]zone-name[alert-rate

alert-rate-number][max-ratemax-rate-number2]firewall

defend

icmp-flood

interface{interface-type

interface-number|all}[max-rate

max-rate-number1]firewall

defend

icmp-flood

zone[vpn-instance

vpn-instance-name]zone-name[max-rate

max-rate-number2]firewalldefendudp/icmp-floodenable其它Flood攻擊手段DNSFloodGetFloodTcp-illeage-session目錄1.USG攻擊防范特性與配置1.1拒絕服務(wù)攻擊1.2畸形報文攻擊1.3掃描窺探攻擊TCPFlag攻擊SYN/ACK/FIN/RST攻擊者服務(wù)器IP分片攻擊321n…分片包包總長超過65535攻擊者服務(wù)器TearDrop攻擊321n…分片包服務(wù)器攻擊者PingofDeath攻擊321n…ICMPPing分片包包總長超過65535攻擊者服務(wù)器目錄1.USG攻擊防范特性與配置1.1拒絕服務(wù)攻擊1.2畸形報文攻擊1.3掃描窺探攻擊IPSweep攻擊321n…目的IPA目的IPB目的IPC目的IPN…攻擊者IPSweep攻擊(續(xù))配置:firewalldefendip-sweep{max-raterate-number|blacklist-timeoutinterval}FirewallblacklistenablePortScan攻擊321n…目的PortA目的PortB目的PortC目的PortN…攻擊者服務(wù)器PortScan攻擊(續(xù))配置firewalldefendport-scan[max-raterate-number][blacklist-tim

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論