【WALL1600下一代防火墙】下一代防火墙防DOS攻击、防扫描

一、组网需求

     1、防DOS(Denial of Service)攻击设计的目标就是要使设备能够阻止外部的恶意攻击，同时还能使内网正常地与外界通信。不仅保护设备，更要保护内网。当遭受到攻击时，向用户进行报警提示。 

     2、常见的DOS攻击主要包括PING of death、 teardrop attack、 jolt2 attack、 syn flood、 icmp flood、udp flood、arp flood、syn fragment、land-base、winnuke等。

     3、扫描也是网络攻击的一种，攻击者在发起网络攻击之前，通常会试图确定目标上开放的TCP/UDP端口，而一个开放的端口通常意味着某种应用。 

     4、NGFW设备可以有效防范以上几类扫描，从而阻止外部的恶意攻击，保护设备和内网,当检测到此类扫描探测时，向用户进行报警提示。

二、组网拓扑

三、配置要点

    NGFW以透明模式串接到出口路由器和内网交换机之间，当前已经可以上网了（透明模式上网配置参见“透明模式功能配置”--透明模式上网配置”--“单桥”）。

     1、配置防攻击、防扫描

     2、配置智能TCP flood防御

     在防攻击功能里的TCP flood防御功能，必须慎重使用，它有自己特定的使用场景：防火墙放在内网，专用用来保护内网的服务器。如果不是此场景，请不要使用。（TCP Flood原理：TCP Flood即SYN Flood攻击，是众多DOS攻击形式的一种方式。SYN Flood利用TCP协议的缺陷，向服务器端发送大量伪造的TCP连接请求之后，自身不再做出应答，使得服务器端的资源迅速耗尽，从而无法及时处理其它正常的服务请求，严重的时候甚至会导致服务器系统的崩溃。） 

     NGFW的防SYN Flood攻击采用了业界最新的syncookie技术，在很少占用系统资源的情况下，可以有效地抵御SYN Flood对受保护服务器的攻击。 

     识别阈值：配置TCP半连接的阈值，超过阈值则丢弃，缺省配置为300。

四、配置步骤

       1、配置防攻击、防扫描

点击  入侵防御>防攻击>配置

勾选相关的防DOS攻击功能和防扫描功能

扫描识别阈值：防扫描功能的扫描识别门限，超过阈值时，该源IP被标记为扫描攻击，来自于该台源主机的所有其它攻击包都被阻断，缺省配置为100。

       2、配置智能TCP flood防御

注意在保护服务器时再开启此功能，若作为出口设备开启此功能，因为内网流量大，正常的上网流量就很容易超过此阀值，造成正常流量也被丢弃。

五、常见DOS攻击和防扫描简介

     防DOS攻击 

     Jolt2：Jolt2攻击通过向目的主机发送报文偏移加上报文长度超过65535的报文，使目的主机处理异常而崩溃。 配置了防Jolt2攻击功能后，NGFW可以检测出Jolt2攻击，丢弃攻击报文并输出告警日志信息。 

     Land-Base：Land-Base攻击通过向目的主机发送目的地址和源地址相同的报文，使目的主机消耗大量的系统资源，从而造成系统崩溃或死机。 配置了防Land-Base攻击功能后，NGFW可以检测出Land-Base攻击，丢弃攻击报文并输出告警日志信息。

     PING of death：PING of death攻击是通过向目的主机发送长度超过65535的ICMP报文，使目的主机发生处理异常而崩溃。 配置了防PING of death攻击功能后，NGFW可以检测出PING of death攻击，丢弃攻击报文并输出告警日志信息。 

     Syn flag：Syn-flag攻击通过向目的主机发送错误的TCP标识组合报文，浪费目的主机资源。 配置了防Syn-flag攻击功能后，NGFW可以检测出Syn-flag攻击，丢弃攻击报文并输出告警日志信息。 

     Tear drop：Tear-drop攻击通过向目的主机发送报文偏移重叠的分片报文，使目的主机发生处理异常而崩溃。 配置了防Tear-drop攻击功能后， NGFW可以检测出Tear-drop攻击，并输出告警日志信息。因为正常报文传送也有可能出现报文重叠，因此NGFW不会丢弃该报文，而是采取裁减、重新组装报文的方式，发送出正常的报文。 

     Winnuke：Winnuke攻击通过向目的主机的139、138、137、113、53端口发送TCP紧急标识位URG为1的带外数据报文，使系统处理异常而崩溃。 配置了防Winnuke攻击功能后，NGFW可以检测出Winnuke攻击报文，将报文中的TCP紧急标志位为0后转发报文，并可以输出告警日志信息。 

     Smurf：这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务。Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(PING)数据包，来淹没受害主机，最终导致该网络的所有主机都对此ICMP应答请求做出答复，导致网络阻塞。

防扫描 

      TCP协议扫描：根据实际网络情况，当受到TCP扫描攻击时，可以配置防TCP扫描。 当一个源IP  地址在1秒内将含有TCP SYN片段的IP  封包发送给位于相同目标IP地址的不同端口数量大于配置的门限值时，即认为其进行了端口扫描，系统将其标记为TCP SCAN，并在配置的阻断时间内拒绝来自于该台源主机的所有其它TCP SYN包。 启用防TCP扫描，可能会占用比较多的内存。 

      UDP协议扫描：根据实际网络情况，当受到UDP扫描攻击时，可以配置防UDP SCAN扫描。 当一个源IP  地址在1秒内将含有UDP的IP  封包发送给位于相同目标IP地址的不同端口数量大于配置的门限值时，即进行了一次端口扫描，系统将其标记为UDP SCAN，并在配置的阻断时间内拒绝来自于该台源主机的所有其它UDP包。 启用防UDP扫描，可能会占用比较多的内存。 

      PING扫描：根据实际网络情况，当受到PING扫描攻击时，可以配置防PING扫描。 当一个源IP地址在1秒内发送给不同主机的ICMP  封包超过门限值时，即进行了一次地址扫描。此方案的目的是将ICMP  封包(  通常是应答请求)  发送给各个主机，以期获得至少一个回复，从而查明目标地址。NGFW设备在内部记录从某一远程源地点发往不同地址的ICMP  封包数目。当某个源IP被标记为地址扫描攻击，则系统在配置的阻断时间内拒绝来自该主机的其它更多ICMP  封包。 启用防PING扫描，可能会占用比较多的内存。 

      主机抑制时长：设置防扫描功能的阻断时间，当系统检测到扫描攻击时，在配置的时长内拒绝来自于该台源主机的所有其它攻击包，缺省配置为20秒。