SecPath高端防火墙攻防配置举例(共30页)

1、精选优质文档-倾情为你奉上SecPath高端防火墙攻击防范配置举例关键词：攻击防范、DDOS、 扫描、黑名单摘 要： 本文简单描述了高端多核防火墙攻击防范模块的特点，包括SYN FLOOD攻击防范、UDP FLOOD攻击防范、ICMP FLOOD攻击防范、扫描攻击防范、单包攻击防范、静态黑名单功能、动态黑名单功能。给出攻击防范典型的配置案例及攻击报文构造的详细步骤。缩略语： 缩略语英文全名中文解释DDOSDistributed Denial of Service分布式拒绝服务HTTPHypertext Transfer ProtocolWWW服务程序所用的协议ICMPInternet Cont

2、rol Message ProtocolInternet控制报文协议IPInternet Protocol网际协议TCPTransfer Control Protocol传输控制协议UDPUser Datagram Protocol用户数据报协议专心-专注-专业目 录1 介绍(1) 攻击防范是防火墙的重要特性之一，它分析经过防火墙报文的内容和行为，判断报文是否具有攻击特性，如果有则执行一定的防范措施：如加入黑名单、输出告警日志、丢弃报文等。(2) 防火墙的攻击防范能够检测拒绝服务型（DoS）、扫描窥探型、畸形报文型等多种类型的攻击，并对攻击采取合理的防范措施。攻击防范具体功能包括黑名单过滤、报

3、文攻击特征识别、流量异常检测、入侵检测统计。(3) 攻击防范管理是对防火墙的黑名单过滤、攻击特征识别、流量异常检测、入侵检测统计几项重要的功能进行配置管理。本节将分别介绍上述功能及其配置。2 特性使用指南2.1 使用场合(1) 在内外网之间通过分析防火墙报文的内容和行为，判断报文是否具有攻击特性，从而执行防范措施，保护网络安全运行。2.2 配置指南关于攻击防范功能业务的配置全部可以采用Web方式配置。攻击防范业务功能需要在Web配置以下内容：A. 静态黑名单功能B. 动态黑名单功能C. ICMP FLOOD攻击防范 D. UDP FLOOD攻击防范E. SYN FLOOD攻击防范F. 扫描攻击

4、防范G. 单包攻击防范2.3 攻击软件介绍攻击防范软件有很多选择，本文中选择使用NetWizard 2.2。NetWizard是我司自主开发的报文构造、发送和解码工具，强大的功能使其得到了广泛使用。NetWizard除了其他类似工具的报文解码功能外，还提供报文构造和报文发送能力。它主要有如下特点：（1） 对报文完全的、智能的访问能力；完全的访问能力指它能构造任意的报文，对报文的访问力度到“bit”；智能的访问能力指在报文构造时，能够对报文字段进行自动变化，并能对报文进行一定的自动计算，如报文校验和、报文中的长度字段等。（2） 强大的对新协议的扩展支持能力；用户可以自己定义新的协议报文，程序能够

5、在报文构造和报文解码时使用该定义，从而具备对新协议、私有协议的支持能力。（3） 提供了灵活的报文发送定制能力；用户可以定义报文发送规则，如并发发送、按序列发送等，它还可以设置报文发送的触发条件，从而使其能够维持一个简单的状态机。（4） 对现有协议广泛的支持力度；它支持超过400种的协议。2.4 注意事项此处攻击防范的Web配置在典型配置实例中作说明。3 支持的设备和版本3.1 设备版本H3C Comware Platform SoftwareComware Software, Version 5.20, Beta 3104Comware Platform Software Version CO

6、MWAREV500R002B47D001H3C SecPath F1000-E Software Version V300R001B01D014Copyright (c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved.Compiled Nov 23 2007 16:23:19, RELEASE SOFTWAREH3C SecPath F1000-E uptime is 0 week, 0 day, 0 hour, 16 minutes CPU type: RMI XLR732 1000MHz CPU 1024M bytes

7、 DDR2 SDRAM Memory 4M bytes Flash Memory PCB Version:Ver.B Logic Version: 1.0 Basic BootWare Version: 1.10 Extend BootWare Version: 1.16 3.2 支持的设备 Secpath F1000-E3.3 配置保存每次配置完成后，注意进行配置的保存。系统管理->配置维护->进入配置保存页面，点击“确定”。4 配置举例4.1 典型组网图1 攻击防范典型组网4.2 设备基本配置4.2.1 其他共同配置：A. 接口模式：G0/0、G0/1、G0/2和G0/3均为三

8、层接口:Interface Physical Protocol IP AddressGigabitEthernet0/1 up up GigabitEthernet0/2 up up GigabitEthernet0/3 up up B. 安全域（Web页面“系统管理”->“安全域管理”）：G0/0置于Management域（默认）；G0/1置于root设备Trust域；G0/2置于root设备DMZ域；G0/3置于root设备Untrust域4.3 攻击防范业务典型配置举例4.3.1 静态黑名单功能(1) 功能简述防火墙静态黑名单的功能，有效地

9、将特定IP地址发送来的报文屏蔽。(2) 典型配置步骤A. 按照组网连接正确，Host C与Host A之间路由可达。B. 进入Web管理界面，入侵检测->黑名单，配置：C. 在黑名单老化时间内，从Host C上向 Host A执行ping 操作： ping ，有预期结果Error! Reference source not found.D. 配置的黑名单老化后，再从Host C上向 Host A执行ping 操作： ping ，有预期结果Error! Reference source not found.(3) 验证结果(1) 无法ping通 防

10、火墙黑名单有丢包统计：(2) 可以ping通 (4) 注意事项本配置完成，清除防火墙中所做的配置，以防对其他配置产生影响。(5) 故障排除4.3.2 动态黑名单功能(1) 功能简述验证防火墙动态黑名单的功能，根据报文的行为特征察觉到特定IP地址的攻击企图之后，通过主动修改黑名单列表从而将该IP地址发送的报文过滤掉。(2) 典型配置步骤A. 按照组网连接正确，Host C与Host A之间路由可达。B. 进入Web管理界面，入侵检测->流量异常检测->扫描攻击，选择Untrust域，配置：C. 进入Web管理界面，入侵检测->黑名单，使能黑名单过滤功能：D. 在

11、Host C上使用构造的扫描攻击报文或配置好的扫描程序(如Netwizard或superscan)对目标网络/主机（如Server/Host A）进行扫描，有预期结果。(3) 验证结果 Host C 的IP地址自动被添加到黑名单表项中，后续扫描报文被丢弃：(4) 注意事项本配置完成，清除防火墙中所做的配置，以防对其他配置产生影响。(5) 故障排除4.3.3 ICMP FLOOD攻击防范(1) 功能简述验证防火墙对ICMP FLOOD攻击的阻断，配置中保护DMZ中的主机不会受到ICMP FLOOD攻击的影响。(2) 典型配置步骤A. 按照组网连接正确，Host C与Server之间路由可达；B.

12、 在Host C上用攻击软件Netwizard构造ICMP报文，如下：C. 配置防火墙：进入Web管理界面，入侵检测->流量异常检测->ICMP flood ，安全区域选择DMZ，配置：D. 在Host C上发送大量（连接数率阈值超过设定值）ICMP报文到Server，在防火墙上查看入侵检测统计，有预期结果Error! Reference source not found.。E. 在防火墙上取消ICMP FLOOD攻击防范功能，在Host C上发送大量（连接数率阈值超过设定值）的ICMP报文到Server，同时在Server上抓包，有预期结果（2）。(3) 验证结果(1) 防火墙上

13、会看到ICMP FLOOD攻击报警(2) Server上接收到大量的ICMP攻击报文(4) 注意事项本配置完成，清除防火墙中所做的配置，以防对其他配置产生影响。(5) 故障排除4.3.4 UDP FLOOD攻击防范(1) 功能简述验证防火墙对UDP FLOOD攻击的阻断，配置中保护DMZ中的服务器不会受到UDP FLOOD攻击的影响。(2) 典型配置步骤A. 按照组网连接正确，Host C与Server之间路由可达；B. 在Host C上用攻击软件Netwizard构造UDP报文，如下：C. 进入Web管理界面，入侵检测->流量异常检测->UDP flood，安全区域选择DMZ，配

14、置：D. 在Host C上发送大量（连接数率阈值超过设定值）UDP报文到Server，在防火墙上查看入侵检测统计，有预期结果Error! Reference source not found.；E. 在防火墙上删除UDP FLOOD攻击防范功能，在Host C上发送大量（连接数率阈值超过设定值）的UDP报文到Server，同时在Server上抓包，有预期结果Error! Reference source not found.。(3) 验证结果(1) 在防火墙上会看到UDP FLOOD攻击报警(2) Server上接收到大量的UDP攻击报文(4) 注意事项本配置完成，清除防火墙中所做的配置，以防

15、对其他配置产生影响。(5) 故障排除4.3.5 SYN FLOOD攻击防范(1) 功能简述验证防火墙对SYN攻击的阻断，配置中保护DMZ中的服务器不会受到SYN FLOOD攻击的影响。(2) 典型配置步骤A. 按照组网图连接正确，Host C与Server之间路由可达；B. 在Host C上用攻击软件Netwizard构造TCP SYN报文，如下：C. 进入Web管理界面，入侵检测->流量异常检测->SYN flood，安全区域选择DMZ，配置 ：D. 从Host C上发送大量（连接/半连接数率阈值超过设定值）的TCP SYN报文到Server，在防火墙上查看入侵检测统计，预期结果

16、Error! Reference source not found.。E. 在Host C上发送大量（连接/半连接数率阈值超过设定值）TCP SYN攻击报文的背景流量下，通过http 访问Server，有预期结果（2）。F. 在防火墙上删除SYN攻击防范配置，在Host C上发送大量（连接/半连接数率阈值超过设定值）的TCP SYN报文到Server，同时在Server上抓包，有预期结果Error! Reference source not found.。(3) 验证结果(1) 防火墙上有SYN flood报警(2) 可以正常浏览Server上的网页(3) Server上接收到大量的SYN攻击

17、报文(4) 注意事项本配置完成，清除防火墙中所做的配置，以防对其他配置产生影响。(5) 故障排除4.3.6 扫描攻击防范(1) 功能简述验证防火墙对扫描攻击的发现，并阻断攻击，保护网络不受到扫描攻击的影响。(2) 典型配置步骤A. 按照组网连接正确，Host C与Server之间路由可达；B. 在Host C上用攻击软件Netwizard构造扫描攻击报文，如下：C. 进入Web管理界面，入侵检测->流量异常检测->扫描攻击 ，安全区域选择Untrust，配置：D. 在Host C上对目标主机（Server）进行扫描，查看防火墙入侵检测统计，有预期结果。(3) 验证结果防火墙上会产生

18、扫描攻击报警，超过阈值报文被丢弃(4) 注意事项本配置完成，清除防火墙中所做的配置，以防对其他配置产生影响。(5) 故障排除4.3.7 单包攻击防范(1) 功能简述验证防火墙对单包攻击的发现，阻断攻击，保护主机不受到单包攻击的影响。(2) 典型配置步骤A. 按照组网连接正确，Host C与Host A之间路由可达；B. 在Host C上用攻击软件Netwizard构造好各种单包攻击报文，各报文如下：Fraggle报文：Land报文：Winnuke 报文：Tcp flag 报文：Icmp Unreachable 报文：Icmp Redirect 报文：Tracert 报文：Smurf 报文：So

19、urce Route报文：Route Record 报文：Large icmp报文（设定icmp报文长度阈值为2000字节）：C. 进入Web管理界面，入侵检测->特征识别，安全区域选择Untrust，配置：D. 在Host C上对Host A 进行Fraggle 攻击，在防火墙的入侵检测统计中查看报警输出，有预期结果Error! Reference source not found.。E. 在Host C上对Host A 进行Land 攻击，在防火墙的入侵检测统计中查看报警输出，有预期结果Error! Reference source not found.。F. 在Host C上对Ho

20、st A 进行Winnuke攻击，在防火墙的入侵检测统计中查看报警输出，有预期结果Error! Reference source not found.。G. 在Host C上对Host A 进行TCP Flag攻击，在防火墙的入侵检测统计中查看报警输出，有预期结果Error! Reference source not found.。H. 在Host C上对Host A 进行ICMP Unreachable攻击，在防火墙的入侵检测统计中查看报警输出，有预期结果Error! Reference source not found.。I. 在Host C上对Host A 进行ICMP Redirect

21、 攻击，在防火墙的入侵检测统计中查看报警输出，有预期结果Error! Reference source not found.。J. 在Host C上对Host A 进行Tracert 攻击，在防火墙的入侵检测统计中查看报警输出，有预期结果Error! Reference source not found.。K. 在Host C上对Host A 进行Smurf 攻击，在防火墙的入侵检测统计中查看报警输出，有预期结果Error! Reference source not found.。L. 在Host C上对Host A 进行Source Route 攻击，在防火墙的入侵检测统计中查看报警输出，有预期结果Error! Reference so