NETSCREEN设备管理配置手册.docx

NETSCREEN设备管理配置手册2（实例：vpn配置、实例分析）9.?移除策略? 除修改和重新排序策略外，还可以删除策略。在WebUI中，在要移除的策略的Configure栏中单击Remove.当系统消息提示是否继续删除时，单击Yes。在CLI中，使用unset policy id_num命令。　11?保护网络入侵受保护网络的动机可能有很多。下表包含一些常见的目的:? 收集有关受保护网络的下列各类信息:?? – 网络的拓扑?? – 活动主机的IP地址?? – 活动主机上的活动端口数?? – 活动主机的操作系统? 用虚假信息流耗尽受保护网络上主机的资源，诱发拒绝服务(DoS)? 用虚假信息流耗尽受保护网络的资源，诱发网络级DoS? 用虚假信息流耗尽防火墙的资源，并因此诱发对其后面的网络的DoS? 导致受保护网络上主机的数据破坏以及窃取该主机的数据? 获得受保护网络上主机的访问权限以获取数据? 获得主机的控制权以发起其它攻击? 获得防火墙的控制权以控制对其保护的网络的访问ScreenOS提供了检测性和防御性的工具，以使当攻击者试图攻击受NetScreen设备保护的网络时，能查明和阻挡其达到上述目的的企图。11.1攻击阶段每个攻击通常分两个主要阶段进行。第一阶段攻击者收集信息，第二阶段攻击者发起攻击。1.?执行侦查。?? 1. 映射网络并确定哪些主机是活动的( IP 地址扫描)。?? 2. 在通过IP地址扫描而发现的主机上，识别哪些端口是活动的( 端口扫描)。3.?确定操作系统，从而暴露出操作系统中的弱点，或者建议一个易影响该特定操作系统的攻击。2.?发动攻击。?? 1. 隐藏攻击的发起点。?? 2. 执行攻击。?? 3. 删除或隐藏证据。?????? 11.2检测和防御机制? 攻击过程可以是收集信息的探查，也可以是破坏、停用或损害网络或网络资源的攻击。在某些情况下，两种攻击目的之间的区别不太清楚。例如，TCP SYN 段的阻塞可能是旨在触发活动主机的响应的IP地址扫描，也可能是以耗尽网络资源使之不能正常工作为目的的SYN泛滥攻击。此外，由于攻击者通常在攻击之前先对目标执行侦查，因而我们可以将收集信息的尝试视为即将来临的攻击的先兆－也就是说，它们构成了攻击的第一阶段。因此，术语“攻击”既包括侦查活动，也包括攻击活动，有时不太好区分这两者之间的差别。NetScreen 提供了各种区段级和策略级的检测方法和防御机制，以便在所有阶段对抗攻击行为。? 在安全区(Zone) 上设置的Screen选项? 基于安全区之间、安全区内和超安全区策略的防火墙策略。(“超区段”表示全局策略，不涉及任何安全区)? 为保护所有连接尝试的安全，NetScreen设备使用了一种动态封包过滤方法，即通常所说的状态式检查。使用此方法，NetScreen设备在IP封包和TCP片段包头中记入各种不同的信息单元 ---源和目的IP地址、源和目的端口号，以及封包序列号----并保持穿越防火墙的每个TCP会话和伪UDP会话的状态。( NetScreen 也会根据变化的元素，如动态端口变化或会话终止，来修改会话状态)。当响应的TCP封包到达时，NetScreen设备会将其包头中包含的信息与检查表中储存的相关会话的状态进行比较。如果相符，允许响应封包通过防火墙。如果不相符，则丢弃该封包。? NetScreen SCREEN 选项用于保护区段的安全，具体做法是先检查要求经过绑定到该区域的某一接口的所有连接尝试，然后予以准许或拒绝。然后NetScreen设备应用防火墙策略，在这些策略中，可能包含针对通过SCREEN过滤器的信息流的内容过滤和入侵检测及防护(IDP) 组件。????? 11.3攻击监视? 虽然您通常希望NetScreen设备封锁攻击，有时也可能希望收集有关这些攻击的信息。您可能希望具体了解一个特定的攻击----发现其意图、技巧和可能的来源( 如果攻击者不小心或不够老练)。如果您希望收集有关攻击的信息，可以让它发生、监视它、分析它、执行辩论练习，然后按照先前准备好的事件响应计划的描述做出响应。您可以指示 NetScreen 设备将攻击的情况通知您，但NetScreen不采取应对措施，而是允许该攻击发生。然后可以研究所发生的现象，并尝试了解攻击者的方法、策略和目的。增加了对网络的威胁的了解之后，就能让您更好地加强防御。虽然精明的攻击者会隐藏其位置和身份，但您或许能通过收集足够的信息来识别攻击的始发点。您也许还能估计攻击者的能力。这种信息使您能评估一些响应。监视来自Untrust区段的攻击:WebUIScreening Screen (Zone: Untrust): 输入以下内容，然后单击Apply:Generate Alarms without Dropping Pac