1、USG防火墙攻击防范业务特性与配置前 言基于防火墙的组网位置和功能上看,对一些非法攻击的防御是防火墙设备的一个非常重要的功能,通过防火墙的攻击防范的防御功能可以保证内部网络的安全,在这一点上是其他数据通信设备无法替代的,因此在全网解决方案中,防火墙是必不可少的一个部件。本章主要描述了基于IP的各种网络攻击方式的原理及其在USG防火墙上的防范配置。培训目标学完本课程后,您应该能:l描述 IP网络中各种攻击的原理l掌握 USG防火墙的各种攻击防范的配置网络中典型的攻击类型攻击类型攻击类型 畸形报文lTear DroplPing of Death扫描窥探l IP SweeplPort Scan拒绝服
2、务lSYN FloodlUDP Flood lICMP Flood目 录1.攻击防范特性与配置攻击防范特性与配置1.1 拒绝服务攻击拒绝服务攻击1.2 畸形报文攻击1.3 扫描窥探攻击Smurf 攻击Ping广播地址受害者攻击者Fraggle 攻击受害者攻击者UDP 请求(Port 7 or 19)IP Spoofing 攻击A攻击者数据包的源 IP地址 为 A的IP地址BlB 信任A的IP地址,因此攻击者假冒A的IP地址Land 攻击攻击者包源IP和目的IP都是 B的IP地址SYNTCP 自环连接BWinnuke 攻击攻击者分片 IGMP 包或者目的端口为139,URG被置位且URG指针不为
3、空服务器SYN Flood 攻击怎么没有 ACK?就是让你等?SYNSYN/ACK攻击者服务器SYN Flood 攻击(续)配置lfirewall defend syn-flood interface interface-type interface-number|all alert-rate alert-rate-number1 max-rate max-rate-number1 tcp-proxy auto|off|on l firewall defend syn-flood zone vpn-instance vpn-instance-name zone-name alert-rate
4、alert-rate-number2 max-rate max-rate-number2 tcp-proxy auto|on|off lfirewall defend syn-flood enableTCP Proxy 技术Client 192.168.0.1Eudemon FirewallFTP server19.49.10.10没有 TCP ProxyClient send TCP Syn Fake Client Without AckReal Client send Ack Firewall response Syn AckServer response Syn Ack如果是Tcp攻击的
5、话源地址为假冒,则不会存在这个回应报文,因此攻击报文会被防火墙丢弃Firewall send TCP Syn for ClientServer response Syn AckClient send Ack 使能 TCP ProxyClient send TCP Syn Firewall send Ack for ClientTCP反向源探测技术用于来回路径不一致的情况下SYN-Flood攻击防范。使用虚假源地址进行攻击正常用户攻击者Eudemon要访问google,发送SYN报文看看你是不是真想访问google,发送探测报文Internet我真的想访问,passUDP/ICMP Flood
6、攻击攻击者攻击者UDP 或 ICMP 包UDP 或 ICMP 包服务器UDP/ICMP Flood攻击(续)配置lfirewall defend udp-flood interface interface-type interface-number|all max-rate max-rate-number1 lfirewall defend udp-flood zone vpn-instance vpn-instance-name zone-name alert-rate alert-rate-number max-rate max-rate-number2 lfirewall defend
7、icmp-flood interface interface-type interface-number|all max-rate max-rate-number1 lfirewall defend icmp-flood zone vpn-instance vpn-instance-name zone-name max-rate max-rate-number2 lfirewall defend udp/icmp-flood enable其它Flood攻击手段DNS FloodGet FloodTcp-illeage-session目 录1.USG攻击防范特性与配置攻击防范特性与配置1.1 拒
8、绝服务攻击1.2 畸形报文攻击畸形报文攻击1.3 扫描窥探攻击TCP Flag 攻击SYN/ACK/FIN/RST攻击者服务器IP 分片攻击321n分片包包总长超过 65535攻击者服务器Tear Drop 攻击321n分片包IPPING DATATEAR8Flag MFIPDATAOffset 0Flag Last FragmentOffset 500IPPING DATANORMAL8Flag MFIPDATAOffset 0Flag Last FragmentOffset 148020147220remainder20147220remainder服务器攻击者Ping of Death
9、攻击321nICMP Ping 分片包包总长超过 65535攻击者服务器目 录1.USG攻击防范特性与配置攻击防范特性与配置1.1 拒绝服务攻击1.2 畸形报文攻击1.3 扫描窥探攻击扫描窥探攻击IP Sweep 攻击321n目的 IP A目的 IP B目的 IP C目的 IP N攻击者IP Sweep 攻击(续)配置:lfirewall defend ip-sweep max-rate rate-number|blacklist-timeout interval lFirewall blacklist enablePort Scan 攻击321n目的 Port A目的 Port B目的Port C目的Port N攻击者服务器Port Scan 攻击(续)配置lfirewall defend port-scan max-rate rate-number blacklist-timeout interval lFirewall blacklist enable防火墙防范的其他报文ICMP RedirectICMP UnreachableLarge ICMPRoute RecordTracert问 题如何手工绑定PC的网关MAC地址,防止ARP欺骗劫持流量?
