NetScreenOS针对攻击防御.pdfVIP

NetScreenOS针对攻击的防御 演讲人：张治强 日期：2011‐8‐2 主题 • ScreenOS安全概述 • ScreenOS基本安全功能 – Flood Defense – Block HTTP Components  – MS‐Windows Defense – Scan/Spoof/Sweep Defense – DoS Defense – IP Option Anomalies – TCP/IP Anomalies • ScreenOS高级安全功能（需付费） © 2011 CVANGUARD               2011‐8‐8 P2 ScreenOS安全概述 • 基于Zone 的安全设置 • 泛洪攻击的防御只能在物理接口上启用，其它类型的防御可 以在任何接口 • 计数器由接口来维护 © 2011 CVANGUARD               2011‐8‐8 P3 主题 • ScreenOS安全概述 • ScreenOS基本安全功能 – Flood Defense – Block HTTP Components  – MS‐Windows Defense – Scan/Spoof/Sweep Defense – DoS Defense – IP Option Anomalies – TCP/IP Anomalies • ScreenOS高级安全功能（需付费） © 2011 CVANGUARD               2011‐8‐8 P4 ScreenOS基本安全功能 • Flood Defense （泛洪防御） – ICMP Flood Protection （ICMP 泛洪） – UDP Flood Protection （UDP 泛洪） – SYN Flood Protection （TCP SYN 泛洪） © 2011 CVANGUARD               2011‐8‐8 P5 ScreenOS基本安全功能 • ScreenOS对SYN Flood的防范机制——SYN代理 – ScreenOS对每秒钟允许通过防火墙的SYN 片段数加以限制。当 每秒的SYN 片段数超过临界值时，安全设备开始代理发送流入 的SYN 片段、用SYN/ACK 片段回复、并将不完全的连接请求存 储到连接队列中，直到连接完成或请求超时。——类似于Cisco  TCP截取中的Watch模式。 • ScreenOS对SYN Flood的防范机制——SYN‐cookie © 2011 CVANGUARD               2011‐8‐8 P6 ScreenOS对SYN Flood的防范机制——SYN代理 © 2011 CVANGUARD               2011‐8‐8 P7 ScreenOS对SYN Flood的防范机制——SYN代理 © 2011 CVANGUARD               2011‐8‐8 P8 ScreenOS对SYN Flood的防范机制——SYN‐cookie S