EDUMON防火墙典型配置.docVIP

EDUMON防火墙典型配置 目前还没有，不过可以参考配置手册，里面讲的很详细。以下列出部分Eudemon 200的常用攻击防范知识以及常见的配置给你简单参考！需要了解更详细的内容（包括其他Eudemon 100等产品）就去看手册吧！ Eudemon 200 3 典型的网络攻击方式和对策 无论防火墙报过滤规则配置的多么严密，总需要划定一个范围，在这个范围内，连接是被允许的。如果攻击用户网络的连接混杂在这个许可的范围之内，就要靠攻击防范的相关功能将其识别出来并处理。 3.1 常见攻击方式和对策 3.1.1 syn-flood syn-flood攻击是一种常见的DoS攻击方式，主要被用来攻击开放了TCP端口的网络设备。要了解syn-flood攻击的原理，需要先解释一下TCP的连接的建立过程。TCP连接的建立过程称为三次握手，首先，客户端向服务器发起连接请求（SYN报文），服务器端在收到这个连接请求之后，会回应一个应答报文（SYN ACK），客户端收到这个SYN ACK报文之后，再发送第三个ACK报文，这个交互过程完成之后，服务器和客户机两端就认为这个TCP会话已经正常建立，可以开始使用这个会话上传送数据了。服务器端在回应SYN ACK报文的时候实际上已经为这个连接的建立分配了足够的资源，如果没有接收到客户端返回的ACK报文，这部分资源会在一定时间之后释放，以便提供给其他连接请求使用。 syn-flood攻击就是利用了这个原理，攻击者伪造TCP的连接请求，向被攻击的设备正在监听的端口发送大量的连接请求（SYN）报文，被攻击的设备按照正常的处理过程，回应这个请求报文，同时为它分配了相应的资源。但是攻击者本意并不需要连接建立成功，因此服务器根本不会接收到第三个ACK报文，现有分配的资源只能等待超时释放。如果攻击者能够在超时时间到达之前发出足够的攻击报文，使被攻击的系统所预留所有资源（TCP缓存）都被耗尽。那么被攻击的设备将无法再向正常的用户提供服务，攻击者也就达到了攻击的目的（拒绝服务）。 从被攻击设备的角度讲，没有很好的方法能够阻止这种攻击的发生。在我们防火墙上可以通过配置Syn-flood防御功能来对服务器进行保护。防火墙上进行syn-flood防御所采用的是TCP Proxy技术，启动这个功能之后，对于每个针对受保护设备的TCP连接请求，防火墙会屏蔽这个报文并代替服务器返回一个SYN ACK，如果发起连接请求的是真正的客户端，那么在接收到第三个ACK报文之后，防火墙会向受保护的服务器发起真正的连接请求，并在连接成功建立之后，作为中转，在两个会话间转换数据，使客户端可以正常访问服务器。而如果连接的发起者是一个假冒的IP地址，防火墙会很快的将没有收到ACK报文的表项进行回收，此时，由于被攻击的服务器并没有真正收到这个攻击请求，因此，服务器还是可以正常的响应连接的。这个功能利用了防火墙强大的处理能力，代替受保护的设备承受攻击。syn-flood防御功能可以保护单个的IP地址或者整个域下面所有设备，在两个参数都配置的情况下，IP地址关联的参数的优先级更高。假设要保护位于受信域的IP地址为10.110.10.10的设备免受syn-flood的攻击，需在命令行进行如下配置： [Eudemon] firewall defend syn-flood ip 10.110.10.10 max-rate 100 max-number 1000 [Eudemon] firewall defend syn-flood enable [Eudemon] firewall zone trust [Eudemon-zone-trust] statistic enable ip inzone 要注意的是，一定要配置相应的统计功能，因为攻击防范很多功能的实现都要依赖统计数据，如果不使能对应的统计功能，攻击防范模块将无法获得必要的数据，也就无法真正的发挥作用。 3.1.2 UDP/ICMP Flood攻击 UDP/ICMP Flood是比较单纯的流量攻击，攻击者通过向一些基于UDP/ICMP的基本服务发送大量的报文，使被攻击的设备忙于处理这些无用的请求，最终耗尽处理能力，达到拒绝服务的目的。防火墙上针对这两个攻击有相应的命令行设定firewall defend udp-flood/icmp-flood，可以设定的参数同SYN Flood攻击的参数基本相同。要注意的是，使能这个功能同样要同时使能受保护域的基于IP的入方向统计功能。 防火墙会对相应的流量进行CAR操作，如果攻击流量超过了阈值许可的范围，超过部分将被丢弃，在设定阈值之下的部分流量仍然可以通过防火墙。 3.1.3 Ping of death/Tear drop Ping of death/tear drop