交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
应用场景:
DOS侧重于通过对主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网络服务功能,从而造成拒绝服务,常见的DOS攻击手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等;扫描也是网络攻击的一种,攻击者在发起网络攻击之前,通常会试图确定目标上开放的TCP/UDP端口,而一个开放的端口通常意味着某种应用。
DDOS的表现形式主要有两种,一种为流量攻击,主要是针对网络带宽的攻击,即大量攻击包导致网络带宽被阻塞,合法网络包被虚假的攻击包淹没而无法到达主机;另一种为资源耗尽攻击,主要是针对服务器主机的攻击,即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。
NGFW的防SYN Flood攻击采用了业界最新的syncookie技术,在很少占用系统资源的情况下,可以有效地抵御SYN Flood等DDOS攻击对受保护服务器的攻击。从而阻止外部的恶意攻击,保护设备和内网,当检测到此类扫描探测时,向用户进行报警提示。
功能原理:
随着互联网的飞速发展,网络环境也变得越来越复杂,恶意攻击、木马、蠕虫病毒等混合威胁不断增大,企业需要对网络进行多层、深层的防护来有效保证其网络安全,入侵防御系统(IPS)功能正是为网络提供深层防护。
NGFW设备开启应用层过滤功能(包括:入侵防护、病毒防护、应用控制、应用过滤)后,所有进入设备的数据包均要通过IPS子系统进行分析、检测、防护以及告警。
数据包首先协议分析模块,进行协议识别,包括TCP、UDP、ICMP,常见应用协议可识别:HTTP、FTP、SMTP、POP3、IMAP以及其他,部分协议分析事件此时就可以识别完成,上报告警信息。
如果配置了其他应用功能,则数据包会根据配置进入各个应用防护流程:
入侵防护:数据包根据已分析出来的协议特性与系统已有的入侵防护特征库进行模式匹配,匹配到相应特征后,根据规则设置进行放行、阻断和日志上报;
病毒防护:系统调用第三方的动态库对数据包进行病毒检测;
应用控制:数据包根据已分析出来的协议特性与系统已有的应用控制特征库进行模式匹配,匹配到相应特征后,根据规则设置进行放行、阻断和日志上报;
Web过滤:对于符合条件的HTTP协议数据进行过滤和替换;
邮件过滤:对于符合条件的SMTP、POP3、IMAP协议数据进行过滤。
防DOS(Denial of Service)攻击设计的目标就是要使设备能够阻止外部的恶意攻击,同时还能使内网正常地与外界通信。不仅保护设备,更要保护内网。当遭受到攻击时,向用户进行报警提示。 常见的DOS攻击主要包括PING of death、teardrop attack、jolt2 attack、syn flood、icmp flood、udp flood、arp flood、syn fragment、land-base、winnuke等。 扫描也是网络攻击的一种,攻击者在发起网络攻击之前,通常会试图确定目标上开放的TCP/UDP端口,而一个开放的端口通常意味着某种应用。 常见的扫描主要有:
l 垂直(Vertical)扫描:针对相同主机的多个端口
l 水平(Horizontal)扫描:针对多个主机的相同端口
l ICMP (PING) sweeps:针对某地址范围,通过PING方式发现存活主机
说明:
NGFW的入侵防御、防病毒、应用控制三个功能需要有相应特征库才能使用,NGFW出厂已有当前最新的特征库版本,但要想让此功能效果保持理想,需要实时更新特征库的版本,若没有购买正式授权,则特征库无法更新,功能将会不理想,若有购买授权,并将lisence导入设备,则系统会自动更新到最新版本。Lisence的导入请参见:日常维护>>lisence导入章节。
一、组网需求
1、防DOS(Denial of Service)攻击设计的目标就是要使设备能够阻止外部的恶意攻击,同时还能使内网正常地与外界通信。不仅保护设备,更要保护内网。当遭受到攻击时,向用户进行报警提示。
2、常见的DOS攻击主要包括PING of death、 teardrop attack、 jolt2 attack、 syn flood、 icmp flood、udp flood、arp flood、syn fragment、land-base、winnuke等。
3、扫描也是网络攻击的一种,攻击者在发起网络攻击之前,通常会试图确定目标上开放的TCP/UDP端口,而一个开放的端口通常意味着某种应用。
4、NGFW设备可以有效防范以上几类扫描,从而阻止外部的恶意攻击,保护设备和内网,当检测到此类扫描探测时,向用户进行报警提示。
说明:
NGFW的入侵防御、防病毒、应用控制三个功能需要有相应特征库才能使用,NGFW出厂已有当前最新的特征库版本,但要想让此功能效果保持理想,需要实时更新特征库的版本,若没有购买正式授权,则特征库无法更新,功能将会不理想,若有购买授权,并将lisence导入设备,则系统会自动更新到最新版本。Lisence的导入请参见:日常维护>>lisence导入章节。
二、组网拓扑
三、配置要点
1、配置防攻击、防扫描
2、配置智能TCP flood防御
在防攻击功能里的TCP flood防御功能,必须慎重使用,它有自己特定的使用场景:防火墙放在内网,专用用来保护内网的服务器。如果不是此场景,请不要使用。(TCP Flood原理:TCP Flood即SYN Flood攻击,是众多DOS攻击形式的一种方式。SYN Flood利用TCP协议的缺陷,向服务器端发送大量伪造的TCP连接请求之后,自身不再做出应答,使得服务器端的资源迅速耗尽,从而无法及时处理其它正常的服务请求,严重的时候甚至会导致服务器系统的崩溃。)
NGFW的防SYN Flood攻击采用了业界最新的syncookie技术,在很少占用系统资源的情况下,可以有效地抵御SYN Flood对受保护服务器的攻击。
识别阈值:配置TCP半连接的阈值,超过阈值则丢弃,缺省配置为300。
四、配置步骤
1、配置防攻击、防扫描
点击 入侵防御>防攻击>配置
勾选相关的防DOS攻击功能和防扫描功能
扫描识别阈值:防扫描功能的扫描识别门限,超过阈值时,该源IP被标记为扫描攻击,来自于该台源主机的所有其它攻击包都被阻断,缺省配置为100。
2、配置智能TCP flood防御
注意在保护服务器时再开启此功能,若作为出口设备开启此功能,因为内网流量大,正常的上网流量就很容易超过此阀值,造成正常流量也被丢弃。
五、常见DOS攻击和防扫描简介
防DOS攻击
Jolt2:Jolt2攻击通过向目的主机发送报文偏移加上报文长度超过65535的报文,使目的主机处理异常而崩溃。 配置了防Jolt2攻击功能后,NGFW可以检测出Jolt2攻击,丢弃攻击报文并输出告警日志信息。
Land-Base:Land-Base攻击通过向目的主机发送目的地址和源地址相同的报文,使目的主机消耗大量的系统资源,从而造成系统崩溃或死机。 配置了防Land-Base攻击功能后,NGFW可以检测出Land-Base攻击,丢弃攻击报文并输出告警日志信息。
PING of death:PING of death攻击是通过向目的主机发送长度超过65535的ICMP报文,使目的主机发生处理异常而崩溃。 配置了防PING of death攻击功能后,NGFW可以检测出 PING of death攻击,丢弃攻击报文并输出告警日志信息。
Syn flag:Syn-flag攻击通过向目的主机发送错误的TCP标识组合报文,浪费目的主机资源。 配置了防Syn-flag攻击功能后,NGFW可以检测出Syn-flag攻击,丢弃攻击报文并输出告警日志信息。
Tear drop:Tear-drop攻击通过向目的主机发送报文偏移重叠的分片报文,使目的主机发生处理异常而崩溃。 配置了防Tear-drop攻击功能后, NGFW可以检测出Tear-drop攻击,并输出告警日志信息。因为正常报文传送也有可能出现报文重叠,因此NGFW不会丢弃该报文,而是采取裁减、重新组装报文的方式,发送出正常的报文。
Winnuke:Winnuke攻击通过向目的主机的139、138、137、113、53端口发送TCP紧急标识位URG为1的带外数据报文,使系统处理异常而崩溃。 配置了防Winnuke攻击功能后,NGFW可以检测出Winnuke攻击报文,将报文中的TCP紧急标志位为0后转发报文,并可以输出告警日志信息。
Smurf:这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统,引起目标系统拒绝为正常系统进行服务。Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(PING)数据包,来淹没受害主机,最终导致该网络的所有主机都对此ICMP应答请求做出答复,导致网络阻塞。
防扫描
TCP协议扫描:根据实际网络情况,当受到TCP扫描攻击时,可以配置防TCP扫描。 当一个源IP 地址在1秒内将含有TCP SYN片段的IP 封包发送给位于相同目标IP地址的不同端口数量大于配置的门限值时,即认为其进行了端口扫描,系统将其标记为TCP SCAN,并在配置的阻断时间内拒绝来自于该台源主机的所有其它TCP SYN包。 启用防TCP扫描,可能会占用比较多的内存。
UDP协议扫描:根据实际网络情况,当受到UDP扫描攻击时,可以配置防UDP SCAN扫描。 当一个源IP 地址在1秒内将含有UDP的IP 封包发送给位于相同目标IP地址的不同端口数量大于配置的门限值时,即进行了一次端口扫描,系统将其标记为UDP SCAN,并在配置的阻断时间内拒绝来自于该台源主机的所有其它UDP包。 启用防UDP扫描,可能会占用比较多的内存。
PING扫描:根据实际网络情况,当受到PING扫描攻击时,可以配置防PING扫描。 当一个源IP地址在1秒内发送给不同主机的ICMP 封包超过门限值时,即进行了一次地址扫描。此方案的目的是将ICMP 封包( 通常是应答请求) 发送给各个主机,以期获得至少一个回复,从而查明目标地址。NGFW设备在内部记录从某一远程源地点发往不同地址的ICMP 封包数目。当某个源IP被标记为地址扫描攻击,则系统在配置的阻断时间内拒绝来自该主机的其它更多ICMP 封包。 启用防PING扫描,可能会占用比较多的内存。
主机抑制时长:设置防扫描功能的阻断时间,当系统检测到扫描攻击时,在配置的时长内拒绝来自于该台源主机的所有其它攻击包,缺省配置为20秒。