NetScreenOS针对攻击的防御.pdfVIP

NetScreenOS针对攻击的防御 演讲人：张治强 日期：2011‐8‐2 ? 2011?CVANGUARD???????????????2011‐8‐8 P2 主题 ? ScreenOS安全概述 ? ScreenOS基本安全功能 – Flood?Defense – Block?HTTP?Components? – MS‐Windows?Defense – Scan/Spoof/Sweep?Defense – DoS Defense – IP?Option?Anomalies – TCP/IP?Anomalies ? ScreenOS高级安全功能（需付费） ? 2011?CVANGUARD???????????????2011‐8‐8 P3 ScreenOS安全概述 ? 基于Zone的安全设置 ? 泛洪攻击的防御只能在物理接口上启用，其它类型的防御可 以在任何接口 ? 计数器由接口来维护 ? 2011?CVANGUARD???????????????2011‐8‐8 P4 主题 ? ScreenOS安全概述 ? ScreenOS基本安全功能 – Flood?Defense – Block?HTTP?Components? – MS‐Windows?Defense – Scan/Spoof/Sweep?Defense – DoS Defense – IP?Option?Anomalies – TCP/IP?Anomalies ? ScreenOS高级安全功能（需付费） ? 2011?CVANGUARD???????????????2011‐8‐8 P5 ScreenOS基本安全功能 ? Flood?Defense（泛洪防御） – ICMP?Flood?Protection（ICMP?泛洪） – UDP?Flood?Protection（UDP?泛洪） – SYN?Flood?Protection（TCP?SYN?泛洪） ? 2011?CVANGUARD???????????????2011‐8‐8 P6 ScreenOS基本安全功能 ? ScreenOS对SYN?Flood的防范机制——SYN代理 – ScreenOS对每秒钟允许通过防火墙的 SYN?片段数加以限制。当 每秒的 SYN?片段数超过临界值时，安全设备开始代理发送流入 的 SYN?片段、用 SYN/ACK?片段回复、并将不完全的连接请求存 储到连接队列中，直到连接完成或请求超时。——类似于Cisco? TCP截取中的Watch模式。 ? ScreenOS对SYN?Flood的防范机制——SYN‐cookie ? 2011?CVANGUARD???????????????2011‐8‐8 P7 ScreenOS对SYN?Flood的防范机制——SYN代理 ? 2011?CVANGUARD???????????????2011‐8‐8 P8 ScreenOS对SYN?Flood的防范机制——SYN代理 ? 2011?CVANGUARD???????????????2011‐8‐8 P9 ScreenOS对SYN?Flood的防范机制——SYN‐cookie SYN?Cookie?是一种无状态的 SYN?代理机制，与“SYN?Flood?Protection”配合使用。 SYN?Cookie? 是防范 TCP?SYN 泛洪的 标准关 键技术 之一。 ? 2011?CVANGUARD???????????????2011‐8‐8 P10 ScreenOS基本安全功能 ? Block?HTTP?Components?（HTTP恶意插件阻止） – Block?Java?Component? – Block?ActiveX?Component? – Block?ZIP?Component? – Block?EXE?Component? ? Juniper?Networks?安全设备可以选择性地封锁通过 HTTP?发送 的 ActiveX?控件、Java?applet、.zip?文件和 .exe?文件。 ? 2011?CVANGUARD???????????????2011‐8‐8 P11 ScreenOS基本安全功能 ? MS‐Windows?Defense – WinNuke Attack?Protection ? WinNuke 是针对互联网上运行Windows?的任何计算机的 DoS 攻击 。攻击者将 TCP片段 [?通常发送给设置了紧急 (URG)?标志的 NetBIOS?端口 139]?发送给具有已建连接的主机。这样就产生 NetBIOS?碎片重叠，从而导致运行Windows?的机器崩溃。 ? 2011?CVANGUA