防火墙应用指南(五)——攻击防护实验演示.docVIP

防火墙应用指南（五）——攻击防护实验演示TL-FR5300为企业网络提供强大的安全保障和防护功能。支持内/外部攻击防范，提供扫描类攻击、DoS类攻击、可疑包和含有IP选项的包等攻击保护，能侦测及阻挡IP 地址欺骗、源路由攻击、IP/端口扫描、DoS等网络攻击，有效防止Nimda、冲击波、木马等病毒攻击TL-FR5300的攻击防护配置界面如下图： 如上图，“区域”这个参数的概念请参考《用户手册》，在攻击防护里面，先选择“区域”LAN或者WAN，也就是选定将要防护的区域。下面我们将以实验的形式演示TL-FR5300对各类攻击是如何控制的1、扫描类攻击 图1扫描类攻击扫描类包含三种形式，其中WAN区域没有IP欺骗设置。扫描一般都是发起攻击的第一个步骤，攻击者可以利用IP扫描和端口扫描来获取目标网络的主机信息和目标主机的端口开放情况，然后对某主机或者某主机的某端口发起攻击，可见对扫描作预先的判断并保护可以有效的防止攻击。TL-FR5300防火墙对扫描类攻击的判断依据是：设置一个时间阈值（时间、微妙级），若在规定的时间间隔内某种数据包的数量超过了10个的话，即认定为进行了一次扫描，那么将在接下来的两秒时间里拒绝来自同一源的这种扫描数据包。阈值的设置一般建议尽可能的大，最大值为一秒，也就是1000000微妙，一般推荐0.5秒－1秒之间设置，简单的话也就是阈值越大，防火墙对扫描越“敏感”。下面我们先在不开启防火墙攻击防护功能的情况下，看看一个端口扫描的工具扫描的结果： 图2扫描到的端口信息 图3利用抓包软件看到的发送数据包 ????图2是192.168.1.2这台主机利用一个端口扫描工具扫描10.1.58.60这台机器的端口开放情况，图3是同时在192.168.1.2主机上利用抓包工具抓取到的数据包，图中我们可以很清晰的看到扫描工具依次扫描目标主机的端口，从1、2、3…直到扫描完毕。当目标主机上有对应端口的服务开放的话，就会回应扫描主机，比如上图的43号数据包，因此我们也顺利的扫描到了目标主机的开放端口21。 ????当我们在TL-FR5300“扫描攻击”设置阈值为800000微妙时，在扫描主机192.168.1.2上面抓包： 图4发送的数据包没有回应 图5防火墙日志服务器上的提示 ?同样的对21端口的扫描，图4中就没有目的主机的回应，因为已经被防火墙拒绝了。图5是TL-FR5300的日志服务器上显示的内容，关于日志服务器的使用，请参考《防火墙应用指南——日志服务器的安装与使用》，日志中很清晰的记录了内网电脑192.168.1.2有端口扫描的行为。在开启了防火墙的攻击防护后，扫描软件扫描的结果是一片空白，所以这里没有截图说明，理论上还是有可能会扫描到一些端口的，因为FR5300每次的扫描判断还是要允许十个扫描数据包的通过，可能的情况是目的主机开放了过多的端口或者有开放的端口刚好在被允许的十个数据包之中，但这种几率是微乎其微的。2、DOS类攻击防护 图6DOS类攻击防护 拒绝服务（DoS--Denial of Service）攻击的目的是用极其大量的虚拟信息流耗尽目标主机的资源，目标主机被迫全力处理虚假信息流，从而影响对正常信息流的处理。如果攻击来自多个源地址，则称为分布式拒绝服务DDoS。TL-FR5300对DoS类攻击的判断依据为：设置一个阈值（单位为每秒数据包个数PPS＝Packet Per Second），如果在规定的时间间隔内（1秒），某种数据包超过了设置的阈值，即认定为发生了一次洪泛攻击，那么在接下来2秒的时间内，忽略掉下来自相同攻击源的这一类型数据包。 ????这里“DoS类攻击防护”阈值设置与上面“扫描攻击”阈值刚好相反，这里值越小越“敏感”，但一般也不能太小，正常的应用不能影响，我们可以根据自己的环境在实际的应用中动态调整。 下面我们来看看一个ICMP的例子： 图7大量的ICMP包在192.168.1.2这台主机上利用工具软件制造了300pps的ICMP包，发往10.1.58.60这台主机，从图中我们也可以看到目标主机的艰难回应，如果速度更快些呢？不仅仅是目标主机，网络设备同样可能忙于回应这些攻击包，我们在FR5300“DoS类攻击防护”-“ICMP Flood”中设置阈值300后，在192.168.1.2这台主机上抓包发现大部分只有ICMP Request（如下图9），隔一段时间会有少数的Reply，大部分没有了回应，因为被防火墙拒绝了！防火墙日志服务器上也记录了这个攻击，如下图8： 图8ICMP洪泛 图9ICMP包没有了回应3、可疑包与含有IP选项的包 图10可疑包与含有IP选项的包 ????一般情况下上面两部分的数据包是不会出现的，属于非正常的包，可能是病毒或者攻击者的试探，TL-FR5300在设置了相应的攻击防护的话