Juniper NetScreen防火墙的检测和防御机制
攻击过程可以是收集信息的探查,也可以是破坏、停用或损害网络或网络资源的攻击。在某些情况下,两种攻击目的之间的区别可能不太清楚。例如,TCP SYN 段的阻塞可能是旨在触发活动主机响应的 IP 地址扫描,也可能是以耗尽网络资源使之不能正常工作为目的的 SYN 泛滥攻击。此外,由于攻击者通常在攻击之前先对目标执行侦查,因而我们可以将收集信息的尝试视为即将来临的攻击的先兆 - 也就是说,它们构成了攻击的第一阶段。因此,术语“攻击”既包括侦查活动,也包括攻击活动,有时不太好区分这两者之间的差别。Juniper Networks 提供了各种区段级和策略级的检测方法和防御机制,以便在所有阶段对抗攻击行为:
区段级的 SCREEN 选项
区段间、区段内和超区段的策略级的防火墙策略 ( 此处,超区段表示全局策略,不涉及任何安全区段)。
为保护所有连接尝试的安全,Juniper Networks 防火墙使用了一种动态封包过滤方法,即通常所说的状态式检查。使用此方法,防火墙在 IP 封包和 TCP 片段包头中记入各种不同的信息单元 - 源和目的 IP 地址、源和目的端口号,以及封包序列号 - 并保持穿越防火墙的每个 TCP 会话和伪 UDP 会话的状态。( 设备也会根据变化的元素,如动态端口变化或会话终止,来修改会话状态)。当响应的 TCP 封包到达时,设备会将其包头中包含的信息与检查表中储存的相关会话的状态进行比较。
如果相符,允许响应封包通过防火墙。如果不相符,则丢弃该封包。
ScreenOS SCREEN 选项用于保护区段的安全,具体做法是先检查要求经过绑定到该区域的某一接口的所有连接尝试,然后予以准许或拒绝。然后防火墙应用防火墙策略,在这些策略中,可能包含针对通过 SCREEN 过滤器的信息流的内容过滤和入侵检测及防护 (IDP) 组件。
Juniper Networks 防火墙提供以下各组防御机制:
侦查威慑
IP 地址扫描
端口扫描
操作系统探查
逃避技术
内容监视和过滤
碎片重组
防病毒扫描
反垃圾邮件过滤
Web 过滤
深入检查
状态式签名
协议异常
HTTP 组件的点状封锁
拒绝服务 (DoS) 攻击防御
防火墙 DoS 攻击
会话表泛滥
SYN-ACK-ACK 代理泛滥
网络 DoS 攻击
SYN 泛滥
ICMP 泛滥
UDP 泛滥
与操作系统相关的 DoS 攻击
Ping of death
Teardrop 攻击
WinNuke
可疑封包属性
ICMP 碎片
大的 ICMP 封包
坏的 IP 选项
未知协议
IP 封包碎片
SYN 碎片
ScreenOS 网络保护设置在两个级别工作: 安全区域和策略。Juniper Networks 防火墙在安全区域级执行侦查威慑和 DoS 攻击防御。在内容监视和过滤区域中,防火墙在区域级应用碎片重组,在策略级执行防病毒 (AV) 扫描和“统一资源定位器”(URL) 过滤。设备在策略级应用 IDP,但对 HTTP 组件的检测和封锁除外,这些活动在区域级发生。区域级防火墙设置是 SCREEN 选项。在策略中设置的网络保护选项是该策略的一个组成部分。
当一个源 IP 地址(最有可能是欺骗地址或 zombie 代理)在规定的时间间隔 ( 缺省值为 5000 微秒) 内将 10 个 ICMP 封包发送给不同的主机时,即进行了一次地址扫描。此方案的目的是将 ICMP 封包 ( 通常是应答请求) 发送给各个主机,以期获得至少一个回复,从而查明目标的地址。安全设备在内部记录从某一远程源地点发往不同地址的 ICMP 封包数目。使用缺省设置时,如果某个远程主机在 0.005 秒 (5000 微秒) 内将 ICMP 信息流发送给 10 个地址,则安全设备将其标记为地址扫描攻击,并在指定临界时间段的剩余时间内拒绝来自该主机的所有更多的 ICMP 回应请求。设备检测并丢弃满足地址扫描攻击标准的第十个封包。
如果有一个策略允许来自某个安全区段的信息流,请考虑为该区段启用此 SCREEN选项。否则不需要启用它。如果不存在这样的策略,则会拒绝来自该区段的所有ICMP 信息流,以阻止攻击者成功地执行 IP 地址扫描。
转自杜松之家:[url]http://看你还发广告/thread-15792-1-8.html[/url]
页:
[1]