随风飘扬
新新人类
帖子
25
精华
0
无忧币 92
积分 82
阅读权限 20
|
发表于:2007-9-28 17:26
标题:Juniper防火墙防攻击举例
<上一帖 |
下一帖>
网络层攻击的功能,尤其是ISG系列(ISG1000和ISG2000)防火墙,具备硬件防攻击的能力,在抗攻击的同时不影响防火墙的性能。以下是两种防御机制的介绍:
·SYN Attack(SYN 攻击):当网络中充满了会发出无法完成的连接请求的SYN 封包,以至于网络无法再处理合法的连接请求,从而导致拒绝服务(DoS) 时,就发生了SYN 泛滥攻击。防火墙可以采用Syn Proxy和Syn Cookie两种机制进行防御,其中Syn Proxy机制里是先对数据包进行策略匹配,匹配通过的syn包如果每秒超过了阀值(阀值可以基于目的地址和端口、或目的地址、或源地址进行设置),则开启防御机制,新的syn包就由防火墙做应答syn/ack,并放入队列,等待应答ack是否超时,超时则丢弃;Syn Cookie机制则是完全无连接状态的,每秒的syn包超过阀值就开启防御机制,防火墙做syn的应答syn/ack,并在syn/ack应答里嵌入加密的cookie,如果接收到的ack里有该cookie,则是正常连接。
·Limit session(限制会话):NetScreen 设备可限制由单个IP 地址(源或目的)建立的会话数量。例如,如果从同一客户端发送过多的请求,就能耗尽Web 服务器上的会话资源。此选项定义了每秒钟NetScreen 设备可以为单个IP 地址建立的最大会话数量。(缺省阀值为每个IP 地址每秒128个会话。)对源地址进行回话数的限制可以避免感染Nimda等病毒的服务器发出太多的回话请求避免防火墙的回话表被填满。对目的地址进行回话数的限制则可以防止DDoS的攻击,使得目标服务器得到太多的虚假的连接请求。
|
网络虽虚拟,技术无边界,来看看大家“真面目”! |
|
| 诚征版主 | 版主堂 | 意见建议 | 大史记 | 论坛地图