安全策略高级特性.ppt

绝对时间是一个时间范围，指定的周期会在绝对时间的时间范围内生效。同时，用户也可以不启用绝对时间功能，此时周期会在被应用到策略规则或者PPPoE接口时，立即生效。 周期的时间是该周期中周期条目的总和。一个周期中最多可以添加16个条周期条目。用户可以配置两种类型的周期条目： 天：一周中指定天的指定时间。例如每周一、周二和周五的9：00到13：30。 预期：一周中的一个连续时间段。例如从周一早上9：30到周三下午15：00。 时间范围外的策略处于不活跃状态 DCFW-1800系列防火墙的攻击防护功能在默认情况下，只有部分功能在Untrust安全域是开启的，包括IP地址欺骗攻击防护、IP扫描攻击防护、端口扫描攻击防护、ICMP Flood攻击防护、SYN Flood攻击防护、UDP Flood攻击防护、WinNuke攻击防护、Ping of Death攻击防护、Teardrop攻击防护和Land攻击防护。 用户可以单独开启或者关闭安全域的IP地址扫描攻击防护功能， 常见网络攻击概述 IP地址欺骗（IP Spoofing）攻击 IP地址欺骗攻击是一种获取对计算机未经许可的访问的技术，即攻击者通过伪 IP地址向计算机发送报文，并显示该报文来自于真实主机。对于基于IP地址进行验证的应用，此攻击方法能够使未被授权的用户访问被攻击系统。即使响应报文不能到达攻击者，被攻击系统也会遭到破坏。 Land攻击 在Land攻击中，攻击者将一个特别打造的数据包的源地址和目标地址都设置成被攻击服务器地址。这样被攻击服务器向它自己的地址发送消息，结果这个地址又发回消息并创建一个空连接，每一个这样的连接都将保留直到超时。在这种Land攻击下，许多服务器将崩溃。 Smurf攻击 Smurf攻击分简单和高级两种。简单Smurf攻击用来攻击一个网络。方法是将ICMP应答请求包的目标地址设置为被攻击网络的广播地址，这样该网络的所有主机都会对此ICMP应答请求作出答复，从而导致网络阻塞。高级Smurf攻击主要用来攻击目标主机。方法是将ICMP应答请求包的源地址更改为被攻击主机的地址，最终导致被攻击主机崩溃。理论上讲，网络的主机越多，攻击的效果越明显。 Fraggle攻击 Fraggle攻击与Smurf攻击为同种类型攻击。不同之处在于Fraggle攻击使用UDP包形成攻击。 WinNuke攻击 WinNuke攻击通常向装有Windows系统的特定目标的NetBIOS端口（139）发送OOB（out-of-band）数据包，引起一个NetBIOS片断重叠，致使被攻击主机崩溃。还有一种是IGMP分片报文。一般情况下，IGMP报文是不会分片的，所以，不少系统对IGMP分片报文的处理有问题。如果收到IGMP分片报文，则基本可判定受到了攻击。 SYN Flood攻击 由于资源的限制，服务器只能允许有限个TCP连接。而SYN Flood攻击正是利用这一点，它伪造一个SYN报文，将其源地址设置成伪造的或者不存在的地址，然后向服务器发起连接。服务器在收到报文后用SYN-ACK应答，而此应答发出去后，不会收到ACK报文，从而造成半连接。如果攻击者发送大量这样的报文，会在被攻击主机上出现大量的半连接，直到半连接超时，从而消耗尽其资源，使正常的用户无法访问。在连接不受限制的环境里，SYN Flood会消耗掉系统的内存等资源。 ICMP Flood和UDP Flood攻击 这种攻击在短时间内向被攻击目标发送大量的ICMP消息（如ping）和UDP报文，请求回应，致使被攻击目标负担过重而不能完成正常的传输任务。 地址扫描与端口扫描攻击 这种攻击运用扫描工具探测目标地址和端口，对此作出响应的表示其存在，从而确定哪些目标系统确实存活着并且连接在目标网络上，这些主机使用哪些端口提供服务。 Ping of Death攻击 Ping of Death就是利用一些尺寸超大的ICMP报文对系统进行的一种攻击。IP报文的字段长度为16位，这表明一个IP报文的最大长度为65535字节。对于ICMP 回应请求报文，如果数据长度大于65507字节，就会使ICMP数据、IP头长度（20字节）和ICMP头长度（8字节）的总合大于65535字节。一些路由器或系统在接收到这样一个报文后会由于处理不当，造成系统崩溃、死机或重启。 主机防御功能在二层模式使用，安全网关最多可代理16台主机发送免费arp包。 防火墙通过MAC学习过程获得内网中的MAC-端口绑定信息，并将其添加到系统MAC表中。 用户可以将系统通过MAC学习得到的动态MAC-端口绑定信息进行强制绑定。配置强制绑定功能，在执行模式下，使用以下命令： exec mac-address dynamic-to-static 默认情况下，系统允许ARP 动态学习到的主机上网