《华为防火墙配置培训.ppt》由会员分享,可在线阅读,更多相关《华为防火墙配置培训.ppt(34页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、华为3Com技术有限公司华为华为华为华为3Com3Com公司版权所有,未经授权不得使用与传播公司版权所有,未经授权不得使用与传播公司版权所有,未经授权不得使用与传播公司版权所有,未经授权不得使用与传播SecPathSecPath防火墙技术介绍防火墙技术介绍防火墙技术介绍防火墙技术介绍学习目标学习目标l防火墙的域和模式防火墙的域和模式l攻攻击击防防范范、包包过过滤滤、ASPF、NAT、黑名单的使用方法黑名单的使用方法学习完本课程,您应该能够了解:学习完本课程,您应该能够了解:2防火墙的模式防火墙的模式l路由模式路由模式为防火墙的以太网接口(以GigabitEthernet0/0 为例)配置IP
2、地址。SecPath interface GigabitEthernet0/0SecPath-GigabitEthernet0/0 ip address 192.168.0.1 255.255.255.0l透明模式透明模式 当防火墙工作在透明模式下时,其所有接口都将工作在第二层,即不能为接口配置IP 地址。这样,用户若要对防火墙进行Web 管理,需在透明模式下为防火墙配置一个系统IP 地址(System IP)。用户可以通过此地址对防火墙进行Web 管理。缺省情况下,防火墙工作在路由模式。(1)配置防火墙工作在透明模式。SecPath firewall mode?route Route mod
3、e transparent Transparent modeSecPath firewall mode transparentSet system ip address successfully.The GigabitEthernet0/0 has been in promiscuous operation mode!The GigabitEthernet0/1 has been in promiscuous operation mode!All the Interfacess ips have been deleted.The mode is set successfully.从以上显示的系
4、统提示信息可以看出,防火墙已经工作在透明模式下,且所有接口上的IP 地址已经被删除。(2)为防火墙配置系统IP 地址。SecPath firewall system-ip 192.168.0.1 255.255.255.0Set system ip address successfully.说明:当防火墙切换到透明模式时,系统为防火墙分配了一个缺省系统IP地址169.0.0.1/8,可以使用上述命令更改系统IP 地址。3防火墙的模式防火墙的模式l可以把路由模式理解为象路由器那样工作。防火墙每个接口连接一个网络,防火墙的接口就是所连接子网的网关。报文在防火墙内首先通过入接口信息找到进入域信息,然
5、后通过查找转发表,根据出接口找到出口域,再根据这两个域确定域间关系,然后使用配置在这个域间关系上的安全策略进行各种操作。l透明模式的防火墙则可以被看作一台以太网交换机。防火墙的接口不能配IP地址,整个设备出于现有的子网内部,对于网络中的其他设备,防火墙是透明的。报文转发的出接口,是通过查找桥接的转发表得到的。在确定域间之后,安全模块的内部仍然使用报文的IP地址进行各种安全策略的匹配。l相比较而言,路由模式的功能更强大一些;而在用户的网络无法变更的情况下,可以考虑采用透明模式。4防火墙的属性配置命令防火墙的属性配置命令l打开或者关闭防火墙firewall enable|disable l设置防火
6、墙的缺省过滤模式firewall default permit|deny l显示防火墙的状态信息display firewall5在接口上应用访问控制列表在接口上应用访问控制列表l将访问控制列表应用到接口上l指明在接口上是OUT还是IN方向Ethernet0访问控制列表101作用在Ethernet0接口在out方向有效Serial0访问控制列表3作用在Serial0接口上在in方向上有效6基于时间段的包过滤基于时间段的包过滤l“特殊时间段内应用特殊的规则”Internet上班时间(上午8:00 下午5:00)只能访问特定的站点;其余时间可以访问其他站点7时间段的配置命令时间段的配置命令ltim
7、e range 命令timerange enable|disable lundo settr 命令settr begin-time end-time begin-time end-time.undo settrl显示 isintr 命令display isintrl显示 timerange 命令display timerange8访问控制列表的组合访问控制列表的组合l一条访问列表可以由多条规则组成,对于这些规则,有两种匹配顺序:auto和config。l规则冲突时,若匹配顺序为auto(深度优先),描述的地址范围越小的规则,将会优先考虑。深度的判断要依靠通配比较位和IP地址结合比较access
8、-list 4 deny 202.38.0.0 0.0.255.255 access-list 4 permit 202.38.160.1 0.0.0.255 两条规则结合则表示禁止一个大网段(202.38.0.0)上的主机但允许其中的一小部分主 机(202.38.160.0)的访问。l规则冲突时,若匹配顺序为config,先配置的规则会被优先考虑。9防火墙防火墙在测试环境中,划分了最常用的三个安全区域:lUntrust区域用于连接外部网络;lDMZ区域放置对外服务器;lTrust区域用于连接内部安全网络。DMZ区域Untrust区域SecPathserver BPC 2192.168.1.3
9、/24192.168.1.2/24192.168.1.1/24GigabitEthernet0/1GigabitEthernet0/0Ethernet1/0192.168.3.1/24192.168.2.1/24192.168.3.2/24Lan switchTrust区域PC 1192.168.2.2/24server AInternet10防火墙基本配置防火墙基本配置SecPath:Interface GigabitEthernet 0/0ip address 192.168.3.1 255.255.255.0Interface GigabitEthernet 0/1ip address
10、192.168.1.1 255.255.255.0Interface Ethernet 1/0ip address 192.168.2.1 255.255.255.0PC1:配置配置IP 地址为地址为192.168.1.3/24PC2:配置配置IP 地址为地址为192.168.1.2/24 11防火墙的功能演示防火墙的功能演示演示演示项目目ASPF功能功能测试演示子演示子项目目FTP协议检测测试说明明 ASPF(Application Specific Packet Filter)是针对应用层的包过滤,即基于状态的报文过滤。它和普通的静态防火墙协同工作,以便于实施内部网络的安全策略。ASPF能
11、够检测试图通过防火墙的应用层协议会话信息,阻止不符合规则的数据报文穿过。通常在内部网络和外部网络之间应用ASPF功能,保证内部主机可以访问外部网络,只有由内部发起连接对应的返回报文才可以进入内部网络,而外部网络不能够直接发起对内部网络的访问。除了完成传统状态防火墙的功能之外,对应用层协议进行检测,安全性更高。本例演示ASPF功能对FTP协议的状态检测。预置条件置条件见演示环境及基本配置Quidway firewall packet-filter enableQuidway acl number 2000Quidway-acl-basic-2000 rule denyQuidway aspf-p
12、olicy 1Quidway-aspf-policy-1 detect ftp aging-time 120Quidway interface GigabitEthernet0/1Quidway-GigabitEthernet0/1 firewall packet 2000 outboundQuidway-GigabitEthernet0/1 firewall aspf 1 inbound在PC2上运行ftp服务器配置步配置步骤1.打开SecPath的debug aspf ftp开关2.pc1上运行ftp client程序,登录Server B上的ftp server3.查看SecPath上的
13、debug信息,可以看到结果14.执行dis aspf session查看SecPath上的ASPF 会话信息,可以看到结果25.等待ftp超时后,可以看到结果36.在Server B上ftp到 PC1上的ftp server,可以看到结果4预期期结果果1.debug信息显示有aspf调试信息*0.103900850 1000 ASPF/8/FTP:Session 0 x264168C4-state=83,token=32,string USER,value 1331 Password required for a.2.查看aspf session存在ftp 会话信息3.aspf sessio
14、n超时删除,PC1不能浏览或上传下载数据到ftp server4.Server B上不能ftp到内部网络的主机上。12防火墙的功能演示防火墙的功能演示演示演示项目目ASPF功能测试演示子演示子项目目TCP协议测试演示演示说明明本例演示ASPF功能对TCP协议的状态检测。预置条件置条件见演示环境及基本配置Quidway firewall packet-filter enableQuidway acl number 2000Quidway-acl-basic-2000 rule denyQuidway aspf-policy 1Quidway-aspf-policy-1 detect tcp ag
15、ing-time 120Quidway interface GigabitEthernet 0/1Quidway-GigabitEthernet0/1 firewall packet 2000 outboundQuidway-GigabitEthernet0/1 firewall aspf 1 inbound在PC2上运行telnet服务器测试步步骤1.打开SecPath的debug aspf tcp开关2.pc1 telnet登录到Server B3.查看SecPath上的debug信息,可以看到结果14.执行dis aspf session查看SecPath上的ASPF 会话信息,可以看到
16、结果25.等待tcp超时后,可以看到结果36.在PC1上启动telnet服务,从Server B上telnetPC1,可以看到结果4预期期结果果1.debug信息显示有aspf调试信息2.查看aspf session存在tcp 会话信息3.aspf session超时删除,telnet连接断开4.telnet不成功13防火墙的功能演示防火墙的功能演示演示演示项目目攻击防范测试演示子演示子项目目UDP FLOOD攻击防范测试ICMP FLOOD攻击防范测试演示演示说明明 攻击者短时间内用大量的ICMP消息(如ping)和UDP报文向特定目标不断请求回应,致使目标系统负担过重而不能处理合法的传输任
17、务。本测试验证防火墙对UDP FLOOD攻击的阻断,配置中保护DMZ中的主机不会受到UDP FLOOD攻击的影响。预置条件置条件见演示环境及基本配置Quidwayfirewall defend udp-flood enable Quidwayfirewall defend udp-flood zone DMZ max-rate 1000Quidwayfirewall zone DMZQuidway-zone-DMZstatistic enable ip inzone或Quidwayfirewall defend icmp-flood enable Quidwayfirewall defend
18、icmp-flood zone DMZ max-rate 100Quidwayfirewall zone DMZQuidway-zone-DMZstatistic enable ip inzone演示步演示步骤1在Server B 上(Linux环境下可以使用hping2程序)发送大量的UDP报文到Server A上。2在Server A上使用抓包工具抓包,可以看到结果13在SecPath上取消UDP FLOOD攻击防范功能:Quidwayundo firewall defend udp-flood enable在ServerB上发送大量的UDP报文,同时在ServerA上抓包,可以看到结果2
19、预期期结果果1.ServerA上接收到少量的UDP报文.同时在SecPath上会看到UDP FLOOD攻击ICMP FLOOD攻击报警 2.ServerA上接收到大量的UDP攻击报文14防火墙的功能演示防火墙的功能演示演示演示项目目地址绑定测试演示子演示子项目目地址绑定功能测试演示演示说明明MAC和IP地址绑定,指防火墙可以根据用户的配置,在特定的IP地址和MAC地址之间形成关联关系。对于声称从这个IP发送的的报文,如果其MAC地址不是指定关系对中的地址,防火墙将予以丢弃,发送给这个IP地址的报文,在通过防火墙时将被强制发送给这个MAC地址。从而形成有效的保护,是避免IP地址假冒攻击的一种方式
20、。本演示验证防火墙地址绑定的功能。预置条件置条件见测试环境及基本配置(假设PC2的MAC地址为0000-1000-10000)Quidwayfirewall mac-binding 192.168.1.2 0000-1000-1000 Quidwayfirewall mac-binding enable演示步演示步骤1在PC 2 上ping Server A 或者 ServerB,可以看到结果12关闭PC2的网口,把PC1的地址修改为PC2的IP地址:192.168.1.2,然后从PC1上ping ServerA或者ServerB,可以看到结果2预期期结果果1.PC2能够和ServerA或者S
21、erverB通讯 2.PC1不可以和ServerA或者ServerB通讯15ASPFlASPF(Application Specific Packet Filter)是针对应用层的包过滤,即基于状态的报文过滤。它和普通的静态防火墙协同工作,以便于实施内部网络的安全策略。ASPF能够检测试图通过防火墙的应用层协议会话信息,阻止不符合规则的数据报文穿过。l为保护网络安全,基于ACL规则的包过滤可以在网络层和传输层检测数据包,防止非法入侵。ASPF能够检测应用层协议的信息,并对应用的流量进行监控。16ASPFlASPF能够监测FTP、HTTP、SMTP、RSTP、H.323、TCP、UDP的流量Do
22、S(Denial of Service,拒绝服务)的检测和防范。Java Blocking(Java阻断)保护网络不受有害Java Applets的破坏。Activex Blocking(Activex阻断)保护网络不受有害Activex的破坏。支持端口到应用的映射,为基于应用层协议的服务指定非通用端口。增强的会话日志功能。可以对所有的连接进行记录,包括连接时间、源地址、目的地址、使用端口和传输字节数等信息。17攻击类型简介攻击类型简介l单报文攻击单报文攻击FraggleFraggleIp spoofIp spoofLandLandSmurfSmurfTcp flagTcp flagWinnu
23、keWinnukeip-fragmentip-fragment18攻击类型简介攻击类型简介l分片报文攻击Tear DropTear DropPing of deathPing of deathl拒绝服务类攻击SYN FloodSYN FloodUDP Flood&ICMP FloodUDP Flood&ICMP Floodl扫描IP sweepIP sweepPort scanPort scan19单包攻击原理及防范单包攻击原理及防范-1l lFraggleFraggle特特特特 征征征征:UDPUDP报报报报 文文文文,目目目目 的的的的 端端端端 口口口口 7 7(echoecho)或或或
24、或 1919(Character Character GeneratorGenerator)目的:目的:目的:目的:echoecho服务会将发送给这个端口的报文再次发送回去服务会将发送给这个端口的报文再次发送回去服务会将发送给这个端口的报文再次发送回去服务会将发送给这个端口的报文再次发送回去Character GeneratorCharacter Generator服务会回复无效的字符串服务会回复无效的字符串服务会回复无效的字符串服务会回复无效的字符串攻攻攻攻击击击击者者者者伪伪伪伪冒冒冒冒受受受受害害害害者者者者地地地地址址址址,向向向向目目目目的的的的地地地地址址址址为为为为广广广广播播播
25、播地地地地址址址址的的的的上上上上述述述述端端端端口口口口,发发发发送请求,会导致受害者被回应报文泛滥攻击送请求,会导致受害者被回应报文泛滥攻击送请求,会导致受害者被回应报文泛滥攻击送请求,会导致受害者被回应报文泛滥攻击如如如如果果果果将将将将二二二二者者者者互互互互指指指指,源源源源、目目目目的的的的都都都都是是是是广广广广播播播播地地地地址址址址,会会会会造造造造成成成成网网网网络络络络带带带带宽宽宽宽被被被被占占占占满满满满配置:配置:配置:配置:firewall defend fraggle enablefirewall defend fraggle enable原理:过滤原理:过滤原
26、理:过滤原理:过滤UDPUDP类型的目的端口号为类型的目的端口号为类型的目的端口号为类型的目的端口号为7 7或或或或1919的报文的报文的报文的报文20单包攻击原理及防范单包攻击原理及防范-2l lIP SpoofIP Spoof特征:地址伪冒特征:地址伪冒特征:地址伪冒特征:地址伪冒目的:伪造目的:伪造目的:伪造目的:伪造IPIP地址发送报文地址发送报文地址发送报文地址发送报文配置:配置:配置:配置:firewall defend ip-spoofing enablefirewall defend ip-spoofing enable原原原原理理理理:对对对对源源源源地地地地址址址址进进进进
27、行行行行路路路路由由由由表表表表查查查查找找找找,如如如如果果果果发发发发现现现现报报报报文文文文进进进进入入入入接接接接口口口口不不不不是是是是本本本本机所认为的这个机所认为的这个机所认为的这个机所认为的这个IPIP地址的出接口,丢弃报文地址的出接口,丢弃报文地址的出接口,丢弃报文地址的出接口,丢弃报文21单包攻击原理及防范单包攻击原理及防范-3l lLandLand特特特特征征征征:源源源源目目目目的的的的地地地地址址址址都都都都是是是是受受受受害害害害者者者者的的的的IPIP地地地地址址址址,或或或或者者者者源源源源地地地地址址址址为为为为127127这这这这个个个个网网网网段的地址段的
28、地址段的地址段的地址目目目目的的的的:导导导导致致致致被被被被攻攻攻攻击击击击设设设设备备备备向向向向自自自自己己己己发发发发送送送送响响响响应应应应报报报报文文文文,通通通通常常常常用用用用在在在在syn syn floodflood攻击中攻击中攻击中攻击中配置:配置:配置:配置:firewall defend land enablefirewall defend land enable防范原理:对符合上述特征的报文丢弃防范原理:对符合上述特征的报文丢弃防范原理:对符合上述特征的报文丢弃防范原理:对符合上述特征的报文丢弃22单包攻击原理及防范单包攻击原理及防范-4l lSmurfSmurf特
29、征:伪冒受害者特征:伪冒受害者特征:伪冒受害者特征:伪冒受害者IPIP地址向广播地址发送地址向广播地址发送地址向广播地址发送地址向广播地址发送ping echoping echo目的:使受害者被网络上主机回复的响应淹没目的:使受害者被网络上主机回复的响应淹没目的:使受害者被网络上主机回复的响应淹没目的:使受害者被网络上主机回复的响应淹没配置:配置:配置:配置:firewall defend smurf enablefirewall defend smurf enable原理:丢弃目的地址为广播地址的报文原理:丢弃目的地址为广播地址的报文原理:丢弃目的地址为广播地址的报文原理:丢弃目的地址为广播
30、地址的报文23单包攻击原理及防范单包攻击原理及防范-5l lTCP flagTCP flag特特特特征征征征:报报报报文文文文的的的的所所所所有有有有可可可可设设设设置置置置的的的的标标标标志志志志都都都都被被被被标标标标记记记记,明明明明显显显显有有有有冲冲冲冲突突突突。比比比比如如如如同同同同时设置时设置时设置时设置SYNSYN、FINFIN、RSTRST等位等位等位等位目的:使被攻击主机因处理错误死机目的:使被攻击主机因处理错误死机目的:使被攻击主机因处理错误死机目的:使被攻击主机因处理错误死机配置:配置:配置:配置:firewall defend tcp-flag enablefire
31、wall defend tcp-flag enable原理:丢弃符合特征的报文原理:丢弃符合特征的报文原理:丢弃符合特征的报文原理:丢弃符合特征的报文24单包攻击原理及防范单包攻击原理及防范-6l lWinnukeWinnuke特特特特征征征征:设设设设置置置置了了了了分分分分片片片片标标标标志志志志的的的的IGMPIGMP报报报报文文文文,或或或或针针针针对对对对139139端端端端口口口口的的的的设设设设置置置置了了了了URGURG标志的报文标志的报文标志的报文标志的报文目的:使被攻击设备因处理不当而死机目的:使被攻击设备因处理不当而死机目的:使被攻击设备因处理不当而死机目的:使被攻击设备
32、因处理不当而死机配置:配置:配置:配置:firewall defend winnuke enablefirewall defend winnuke enable原理:丢弃符合上述特征报文原理:丢弃符合上述特征报文原理:丢弃符合上述特征报文原理:丢弃符合上述特征报文25单包攻击原理及防范单包攻击原理及防范-7l lIp-fragIp-frag特征:同时设置了特征:同时设置了特征:同时设置了特征:同时设置了DFDF和和和和MFMF标志,或偏移量加报文长度超过标志,或偏移量加报文长度超过标志,或偏移量加报文长度超过标志,或偏移量加报文长度超过6553565535目的:使被攻击设备因处理不当而死机目的
33、:使被攻击设备因处理不当而死机目的:使被攻击设备因处理不当而死机目的:使被攻击设备因处理不当而死机配置:配置:配置:配置:firewall defend ip-fragment enablefirewall defend ip-fragment enable原理:丢弃符合上述特征报文原理:丢弃符合上述特征报文原理:丢弃符合上述特征报文原理:丢弃符合上述特征报文26分片报文攻击原理及防范分片报文攻击原理及防范-1l lTear dropTear drop特征:分片报文后片和前片发生重叠特征:分片报文后片和前片发生重叠特征:分片报文后片和前片发生重叠特征:分片报文后片和前片发生重叠目目目目的的的的
34、:使使使使被被被被攻攻攻攻击击击击设设设设备备备备因因因因处处处处理理理理不不不不当当当当而而而而死死死死机机机机或或或或使使使使报报报报文文文文通通通通过过过过重重重重组组组组绕绕绕绕过过过过防防防防火墙访问内部端口火墙访问内部端口火墙访问内部端口火墙访问内部端口配置:配置:配置:配置:firewall defend teardrop enablefirewall defend teardrop enable原原原原理理理理:防防防防火火火火墙墙墙墙为为为为分分分分片片片片报报报报文文文文建建建建立立立立数数数数据据据据结结结结构构构构,记记记记录录录录通通通通过过过过防防防防火火火火墙墙墙
35、墙的的的的分分分分片片片片报文的偏移量,一点发生重叠,丢弃报文报文的偏移量,一点发生重叠,丢弃报文报文的偏移量,一点发生重叠,丢弃报文报文的偏移量,一点发生重叠,丢弃报文27分片报文攻击原理及防范分片报文攻击原理及防范-2l lPing of deathPing of death特征:特征:特征:特征:pingping报文全长超过报文全长超过报文全长超过报文全长超过6553565535目的:使被攻击设备因处理不当而死机目的:使被攻击设备因处理不当而死机目的:使被攻击设备因处理不当而死机目的:使被攻击设备因处理不当而死机配置:配置:配置:配置:firewall defend ping-of-de
36、ath enablefirewall defend ping-of-death enable原原原原理理理理:检检检检查查查查报报报报文文文文长长长长度度度度如如如如果果果果最最最最后后后后分分分分片片片片的的的的偏偏偏偏移移移移量量量量和和和和本本本本身身身身长长长长度度度度相相相相加加加加超超超超过过过过6553565535,丢弃该分片,丢弃该分片,丢弃该分片,丢弃该分片28拒绝服务攻击原理及防范拒绝服务攻击原理及防范-1l lSYN FloodSYN Flood特征:向受害主机发送大量特征:向受害主机发送大量特征:向受害主机发送大量特征:向受害主机发送大量TCPTCP连接请求报文连接请求
37、报文连接请求报文连接请求报文目目目目的的的的:使使使使被被被被攻攻攻攻击击击击设设设设备备备备消消消消耗耗耗耗掉掉掉掉所所所所有有有有处处处处理理理理能能能能力力力力,无无无无法法法法响响响响应应应应正正正正常常常常用用用用户户户户的的的的请求请求请求请求配置:配置:配置:配置:statistic enable ip inzonestatistic enable ip inzonefirewall firewall defend defend syn-flood syn-flood ip ip X.X.X.XX.X.X.X|zone zone zonenamezonename max-numb
38、er max-number numnum max-rate max-rate numnum tcp-proxy tcp-proxy auto|on|offauto|on|off firewall defend syn-flood enablefirewall defend syn-flood enable原原原原理理理理:防防防防火火火火墙墙墙墙基基基基于于于于目目目目的的的的地地地地址址址址统统统统计计计计对对对对每每每每个个个个IPIP地地地地址址址址收收收收到到到到的的的的连连连连接接接接请请请请求求求求进进进进行行行行代代代代理理理理,代代代代替替替替受受受受保保保保护护护护的的的的主
39、主主主机机机机回回回回复复复复请请请请求求求求,如如如如果果果果收收收收到到到到请请请请求求求求者者者者的的的的ACKACK报报报报文,认为这是有效连接,在二者之间进行中转,否则删掉该会话文,认为这是有效连接,在二者之间进行中转,否则删掉该会话文,认为这是有效连接,在二者之间进行中转,否则删掉该会话文,认为这是有效连接,在二者之间进行中转,否则删掉该会话29拒绝服务攻击原理及防范拒绝服务攻击原理及防范-2小小l lUDP/ICMP FloodUDP/ICMP Flood特征:向受害主机发送大量特征:向受害主机发送大量特征:向受害主机发送大量特征:向受害主机发送大量UDP/ICMPUDP/ICM
40、P报文报文报文报文目的:使被攻击设备消耗掉所有处理能力目的:使被攻击设备消耗掉所有处理能力目的:使被攻击设备消耗掉所有处理能力目的:使被攻击设备消耗掉所有处理能力配置:配置:配置:配置:statistic enable ip inzonestatistic enable ip inzonefirewall firewall defend defend udp/icmp-flood udp/icmp-flood ip ip X.X.X.XX.X.X.X|zone zone zonenamezonename max-rate max-rate numnum firewall defend udp/
41、icmp-flood enablefirewall defend udp/icmp-flood enable原原原原理理理理:防防防防火火火火墙墙墙墙基基基基于于于于目目目目的的的的地地地地址址址址统统统统计计计计对对对对每每每每个个个个IPIP地地地地址址址址收收收收到到到到的的的的报报报报文文文文速速速速率率率率,超过设定的阈值上限,进行超过设定的阈值上限,进行超过设定的阈值上限,进行超过设定的阈值上限,进行carcar30扫描攻击原理和防范扫描攻击原理和防范-1l lIP sweepIP sweep特征:地址扫描,向一个网段内的特征:地址扫描,向一个网段内的特征:地址扫描,向一个网段内的
42、特征:地址扫描,向一个网段内的IPIP地址发送报文地址发送报文地址发送报文地址发送报文 nmap nmap目目目目的的的的:用用用用以以以以判判判判断断断断是是是是否否否否存存存存在在在在活活活活动动动动的的的的主主主主机机机机以以以以及及及及主主主主机机机机类类类类型型型型等等等等信信信信息息息息,为为为为后后后后续攻击作准备续攻击作准备续攻击作准备续攻击作准备配置:配置:配置:配置:Statistic enable ip outzoneStatistic enable ip outzoneFirewall Firewall defend defend ip-sweep ip-sweep m
43、ax-rate max-rate numnum blacklist-blacklist-timeout timeout numnum 原原原原理理理理:防防防防火火火火墙墙墙墙根根根根据据据据报报报报文文文文源源源源地地地地址址址址进进进进行行行行统统统统计计计计,检检检检查查查查某某某某个个个个IPIP地地地地址址址址向向向向外外外外连连连连接接接接速速速速率率率率,如如如如果果果果这这这这个个个个速速速速率率率率超超超超过过过过了了了了阈阈阈阈值值值值上上上上限限限限,则则则则可可可可以以以以将将将将这这这这个个个个IPIP地地地地址址址址添添添添加到黑名单中进行隔离加到黑名单中进行隔离加
44、到黑名单中进行隔离加到黑名单中进行隔离注意:如果要启用黑名单隔离功能,需要先启动黑名单注意:如果要启用黑名单隔离功能,需要先启动黑名单注意:如果要启用黑名单隔离功能,需要先启动黑名单注意:如果要启用黑名单隔离功能,需要先启动黑名单31扫描攻击原理和防范扫描攻击原理和防范-2l lPort scanPort scan特征:相同一个特征:相同一个特征:相同一个特征:相同一个IPIP地址的不同端口发起连接地址的不同端口发起连接地址的不同端口发起连接地址的不同端口发起连接目的:确定被扫描主机开放的服务,为后续攻击做准备目的:确定被扫描主机开放的服务,为后续攻击做准备目的:确定被扫描主机开放的服务,为后
45、续攻击做准备目的:确定被扫描主机开放的服务,为后续攻击做准备配置:配置:配置:配置:Statistic enable ip outzoneStatistic enable ip outzoneFirewall Firewall defend defend port-scan port-scan max-rate max-rate numnum blacklist-blacklist-timeout timeout numnum 原原原原理理理理:防防防防火火火火墙墙墙墙根根根根据据据据报报报报文文文文源源源源地地地地址址址址进进进进行行行行统统统统计计计计,检检检检查查查查某某某某个个个个IP
46、IP地地地地址址址址向向向向同同同同一一一一个个个个IPIP地地地地址址址址发发发发起起起起连连连连接接接接的的的的速速速速率率率率,如如如如果果果果这这这这个个个个速速速速率率率率超超超超过过过过了了了了阈阈阈阈值值值值上上上上限限限限,则则则则可可可可以将这个以将这个以将这个以将这个IPIP地址添加到黑名单中进行隔离地址添加到黑名单中进行隔离地址添加到黑名单中进行隔离地址添加到黑名单中进行隔离注意:如果要启用黑名单隔离功能,需要先启动黑名单注意:如果要启用黑名单隔离功能,需要先启动黑名单注意:如果要启用黑名单隔离功能,需要先启动黑名单注意:如果要启用黑名单隔离功能,需要先启动黑名单32防火墙防范的其他报文防火墙防范的其他报文l lIcmp redirectIcmp redirectl lIcmp unreachableIcmp unreachablel lLarge icmpLarge icmpl lRoute recordRoute recordl lTime stampTime stampl ltracerttracert33华为3Com技术有限公司华为3Com公司网址:www.huawei-华为3Com技术论坛网址:forum.huawei-34
黑公网安备:91230400333293403D