HC120119003USG防火墙攻击防范业务特性与配置

USG防火墙攻击防范业务特性与配置前言基于防火墙的组网位置和功能上看，对一些非法攻击的防御是防火墙设备的一个非常重要的功能，通过防火墙的攻击防范的防御功能可以保证内部网络的安全，在这一点上是其他数据通信设备无法替代的，因此在全网解决方案中，防火墙是必不可少的一个部件。本章主要描述了基于IP的各种网络攻击方式的原理及其在USG防火墙上的防范配置。培训目标学完本课程后，您应该能：描述IP网络中各种攻击的原理掌握USG防火墙的各种攻击防范的配置网络中典型的攻击类型攻击类型

畸形报文TearDropPingofDeath扫描窥探

IPSweepPortScan拒绝服务SYNFloodUDPFloodICMPFlood目录1.攻击防范特性与配置1.1拒绝服务攻击1.2畸形报文攻击1.3扫描窥探攻击Smurf攻击Ping广播地址受害者攻击者Fraggle攻击受害者攻击者UDP请求(Port7or19)IPSpoofing攻击A攻击者数据包的源IP地址

为A的IP地址BB信任A的IP地址，因此攻击者假冒A的IP地址Land攻击攻击者包源IP和目的IP都是B的IP地址SYNTCP自环连接BWinnuke攻击攻击者分片IGMP包或者目的端口为139,URG被置位且URG指针不为空服务器SYNFlood攻击怎么没有ACK?就是让你等？？？SYNSYN/ACK攻击者服务器SYNFlood攻击（续）配置firewalldefendsyn-floodinterface{interface-type

interface-number|all}[alert-ratealert-rate-number1][max-ratemax-rate-number1][tcp-proxy{auto|off|on}]firewalldefendsyn-floodzone[vpn-instancevpn-instance-name]zone-name[alert-ratealert-rate-number2][max-ratemax-rate-number2][tcp-proxy{auto|on|off}]firewalldefendsyn-floodenableTCPProxy技术ClientEudemonFirewallFTPserver0没有TCPProxyClientsendTCPSynFakeClientWithoutAckRealClientsendAckFirewallresponseSynAckServerresponseSynAck如果是Tcp攻击的话源地址为假冒，则不会存在这个回应报文，因此攻击报文会被防火墙丢弃FirewallsendTCPSynforClientServerresponseSynAckClientsendAck使能TCPProxyClientsendTCPSynFirewallsendAckforClientTCP反向源探测技术用于来回路径不一致的情况下SYN-Flood攻击防范。使用虚假源地址进行攻击正常用户攻击者Eudemon要访问google，发送SYN报文看看你是不是真想访问google,发送探测报文Internet我真的想访问，passUDP/ICMPFlood攻击攻击者攻击者…UDP或ICMP包UDP或ICMP包服务器UDP/ICMPFlood攻击（续）配置firewalldefendudp-floodinterface{interface-type

interface-number|all}[max-ratemax-rate-number1]firewalldefendudp-floodzone[vpn-instancevpn-instance-name]zone-name[alert-rate

alert-rate-number][max-ratemax-rate-number2]firewall

defend

icmp-flood

interface{interface-type

interface-number|all}[max-rate

max-rate-number1]firewall

defend

icmp-flood

zone[vpn-instance

vpn-instance-name]zone-name[max-rate

max-rate-number2]firewalldefendudp/icmp-floodenable其它Flood攻击手段DNSFloodGetFloodTcp-illeage-session目录1.USG攻击防范特性与配置1.1拒绝服务攻击1.2畸形报文攻击1.3扫描窥探攻击TCPFlag攻击SYN/ACK/FIN/RST攻击者服务器IP分片攻击321n…分片包包总长超过65535攻击者服务器TearDrop攻击321n…分片包服务器攻击者PingofDeath攻击321n…ICMPPing分片包包总长超过65535攻击者服务器目录1.USG攻击防范特性与配置1.1拒绝服务攻击1.2畸形报文攻击1.3扫描窥探攻击IPSweep攻击321n…目的IPA目的IPB目的IPC目的IPN…攻击者IPSweep攻击（续）配置:firewalldefendip-sweep{max-raterate-number|blacklist-timeoutinterval}FirewallblacklistenablePortScan攻击321n…目的PortA目的PortB目的PortC目的PortN…攻击者服务器PortScan攻击（续）配置firewalldefendport-scan[max-raterate-number][blacklist-tim