HC120119003 USG防火墙攻击防范业务特性与配置.pptxVIP

USG防火墙攻击防范业务特性与配置前 言基于防火墙的组网位置和功能上看，对一些非法攻击的防御是防火墙设备的一个非常重要的功能，通过防火墙的攻击防范的防御功能可以保证内部网络的安全，在这一点上是其他数据通信设备无法替代的，因此在全网解决方案中，防火墙是必不可少的一个部件。本章主要描述了基于IP的各种网络攻击方式的原理及其在USG防火墙上的防范配置。培训目标学完本课程后，您应该能：描述 IP网络中各种攻击的原理掌握 USG防火墙的各种攻击防范的配置网络中典型的攻击类型畸形报文Tear DropPing of Death拒绝服务SYN FloodUDP Flood ICMP Flood攻击类型 扫描窥探 IP SweepPort Scan目 录1. 攻击防范特性与配置1.1 拒绝服务攻击1.2 畸形报文攻击1.3 扫描窥探攻击Smurf 攻击Ping广播地址攻击者受害者Fraggle 攻击UDP 请求 (Port 7 or 19)攻击者受害者IP Spoofing 攻击数据包的源 IP地址 为 A的IP地址攻击者BAB 信任A的IP地址，因此攻击者假冒A的IP地址SYNTCP 自环连接Land 攻击攻击者包源IP和目的IP都是 B的IP地址BWinnuke 攻击攻击者服务器分片 IGMP 包或者目的端口为139,URG被置位且URG指针不为空SYNSYN/ACKSYN Flood 攻击就是让你等怎么没有 ACK?？？？攻击者服务器SYN Flood 攻击（续）配置firewall defend syn-flood interface { interface-type interface-number | all } [ alert-rate alert-rate-number1 ] [ max-rate max-rate-number1 ] [ tcp-proxy { auto | off | on } ] firewall defend syn-flood zone [ vpn-instance vpn-instance-name ] zone-name [ alert-rate alert-rate-number2 ] [ max-rate max-rate-number2 ] [ tcp-proxy { auto | on | off } ]firewall defend syn-flood enableClient send TCP Syn Server response Syn AckClient send Ack Client send TCP Syn Firewall response Syn AckFirewall send TCP Syn for ClientServer response Syn AckFirewall send Ack for ClientTCP Proxy 技术没有 TCP Proxy使能 TCP ProxyFake Client Without AckReal Client send Ack 如果是Tcp攻击的话源地址为假冒，则不会存在这个回应报文，因此攻击报文会被防火墙丢弃FTP server0Eudemon FirewallClient 正常用户InternetTCP反向源探测技术用于来回路径不一致的情况下SYN-Flood攻击防范。要访问google，发送SYN报文看看你是不是真想访问google, 发送探测报文我真的想访问，passEudemon使用虚假源地址进行攻击攻击者UDP 或 ICMP 包UDP 或 ICMP 包UDP/ICMP Flood 攻击攻击者…服务器攻击者UDP/ICMP Flood攻击（续）配置firewall defend udp-flood interface { interface-type interface-number | all } [ max-rate max-rate-number1 ]firewall defend udp-flood zone [ vpn-instance vpn-instance-name ] zone-name [ alert-rate alert-rate-number ] [ max-rate max-rate-number2 ]firewall defend icmp-flood interface { interface-type interface-number | all } [ max-rate max-rate-number1 ]firewall defend icmp-flood zone [ vpn-instance vpn-instance-name ] zone-name [ max-r