国际认证-华为认证-USG防火墙攻击防范业务特性与配置
华为USG防火墙IPsec怎么配置
华为USG防火墙IPsec怎么配置华为的产品主要涉及通信网络中的交换网络、传输网络、无线及有线固定接入网络和数据通信网络及无线终端产品,那么你知道华为USG防火墙IPsec 怎么配置吗?下面是店铺整理的一些关于华为USG 防火墙 IPsec 怎么配置的相关资料,供你参考。
华为USG防火墙 IPsec 配置的案例实验拓扑使用华为ensp 1.2.00.370模拟器来完成。
连接方式是client1 - USG-1 - AR1 - USG-2 - clent2 链式组网结构。
实验需求USG-1和USG-2模拟企业边缘设备,分别在2台设备上配置NAT 和IPsec 实现2边私网可以通过互相通信。
实验配置R1的IP地址配置省略USG-1配置[USG-1]firewall zone trust //配置trust区域[USG-1-zone-trust]add interface g0/0/0 //将接口加入trust区域[USG-1-zone-trust]quit[USG-1]firewall zone untrust //配置untrust区域[USG-1-zone-untrust]add int g0/0/1 //将接口加入untrust区域[USG-1-zone-untrust]quit[USG-1]int g0/0/0[USG-1-GigabitEthernet0/0/0]ip add 192.168.10.1 24[USG-1-GigabitEthernet0/0/0]int g0/0/1[USG-1-GigabitEthernet0/0/1]ip add 11.0.0.2 24[USG-1-GigabitEthernet0/0/1]quit[USG-1]ip route-static 0.0.0.0 0.0.0.0 11.0.0.1 //配置默认路由上公网[USG-1]nat-policy interzone trust untrust outbound//进入trust到untrust区域out方向的策略视图[USG-1-nat-policy-interzone-trust-untrust-outbound]policy 1 //创建一个策略[USG-1-nat-policy-interzone-trust-untrust-outbound-1]policy source 192.168.10.0 0.0.0.255[USG-1-nat-policy-interzone-trust-untrust-outbound-1]policy destination 192.168.20.0 0.0.0.255[USG-1-nat-policy-interzone-trust-untrust-outbound-1]action no-nat//以上三条命令意思是不允许将源为192.168.10.0/24网段目标为192.168.20.0/24网段的数据包进行NAT[USG-1-nat-policy-interzone-trust-untrust-outbound-1]quit [USG-1-nat-policy-interzone-trust-untrust-outbound]policy 2 //创建策略2[USG-1-nat-policy-interzone-trust-untrust-outbound-2]action source-nat//允许对源IP进行NAT[USG-1-nat-policy-interzone-trust-untrust-outbound-2]easy-ip g0/0/1//对接口G0/0/1地址复用[USG-1-nat-policy-interzone-trust-untrust-outbound-2]quit [USG-1-nat-policy-interzone-trust-untrust-outbound]quit-------阶段一---------[USG-1]ike proposal 1 //配置一个安全提议[USG-1-ike-proposal-1]authentication-method pre-share //配置IKE认证方式为预共享密钥[USG-1-ike-proposal-1]authentication-algorithm sha1 //配置IKE认证算法为sha1[USG-1-ike-proposal-1]integrity-algorithm aes-xcbc-96 //配置IKE完整性算法[USG-1-ike-proposal-1]dh group2 //配置IKE密钥协商DH组[USG-1-ike-proposal-1]quit[USG-1]ike peer USG-2 //创建一个IKE对等体名字为USG-2[USG-1-ike-peer-usg-2]pre-shared-key abc123 //配置预共享密钥[USG-1-ike-peer-usg-2]remote-address 12.0.0.2 //配置对等体IP地址[USG-1-ike-peer-usg-2]ike-proposal 1 //调用ike安全提议[USG-1-ike-peer-usg-2]quit----------阶段二----------[USG-1]ipsec proposal test //配置一个ipsec安全提议[USG-1-ipsec-proposal-test]encapsulation-mode tunnel //封装方式采用隧道[USG-1-ipsec-proposal-test]transform esp //配置IPSEC安全协议为ESP[USG-1-ipsec-proposal-test]esp encryption-algorithm aes //配置ESP协议加密算法为aes[USG-1-ipsec-proposal-test]esp authentication-algorithm sha1 //配置ESP协议认证算法[USG-1-ipsec-proposal-test]quit[USG-1]acl 3000 //创建一个ACL定义感兴趣流[USG-1-acl-adv-3000]rule permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255[USG-1]ipsec policy map 1 isakmp //创建一个安全策略,名称为map[USG-1-ipsec-policy-isakmp-map-1]ike-peer USG-2 //调用ike对等体[USG-1-ipsec-policy-isakmp-map-1]proposal test //调用IPsec安全提议[USG-1-ipsec-policy-isakmp-map-1]security acl 3000 //配置感兴趣流[USG-1-ipsec-policy-isakmp-map-1]quit[USG-1]int g0/0/1[USG-1-GigabitEthernet0/0/1]ipsec policy map //在外网口上调用安全策略区域间策略配置[USG-1]policy interzone trust untrust outbound .//进入trust到untrust区域out方向策略视图[USG-1-policy-interzone-trust-untrust-outbound]policy 1 //创建策略[USG-1-policy-interzone-trust-untrust-outbound-1]action permit//允许trust区域所有主机访问untrust区域[USG-1-policy-interzone-trust-untrust-outbound-1]quit[USG-1-policy-interzone-trust-untrust-outbound]quit[USG-1]policy interzone trust untrust inbound//进入trust区域到untrust区域的in方向策略视图[USG-1-policy-interzone-trust-untrust-inbound]policy 1[USG-1-policy-interzone-trust-untrust-inbound-1]policy source 192.168.20.0 0.0.0.255[USG-1-policy-interzone-trust-untrust-inbound-1]policy destination 192.168.10.0 0.0.0.255[USG-1-policy-interzone-trust-untrust-inbound-1]action permit//以上命令为允许数据包源地址为192.168.20.0/24网段和目标地址为192.168.10.0/24网段的流量过[USG-1-policy-interzone-trust-untrust-inbound-1]quit[USG-1-policy-interzone-trust-untrust-inbound]quit[USG-1]policy interzone local untrust inbound//进入local区域到untrust区域的in方向策略视图[USG-1-policy-interzone-local-untrust-inbound]policy 1[USG-1-policy-interzone-local-untrust-inbound-1]policy service service-set esp[USG-1-policy-interzone-local-untrust-inbound-1]policy source 12.0.0.2 0[USG-1-policy-interzone-local-untrust-inbound-1]policy destination 11.0.0.2 0[USG-1-policy-interzone-local-untrust-inbound-1]action permit//允许源地址是12.0.0.2目标地址是11.0.0.2的数据包访问esp 协议USG-2配置[USG-2]firewall zone trust[USG-2-zone-trust]add int g0/0/0[USG-2-zone-trust]quit[USG-2]firewall zone untrust[USG-2-zone-untrust]add int g0/0/1[USG-2-zone-untrust]quit[USG-2]int g0/0/0[USG-2-GigabitEthernet0/0/0]ip add 192.168.20.1 24[USG-2-GigabitEthernet0/0/0]int g0/0/1[USG-2-GigabitEthernet0/0/1]ip add 12.0.0.2 24[USG-2-GigabitEthernet0/0/1]quit[USG-2]ip route-static 0.0.0.0 0.0.0.0 12.0.0.1[USG-2]nat-policy interzone trust untrust outbound[USG-2-nat-policy-interzone-trust-untrust-outbound]policy 1[USG-2-nat-policy-interzone-trust-untrust-outbound-1]policy source 192.168.20.0 0.0.0.255[USG-2-nat-policy-interzone-trust-untrust-outbound-1]policy destination 192.168.10.0 0.0.0.255[USG-2-nat-policy-interzone-trust-untrust-outbound-1]action no-nat[USG-2-nat-policy-interzone-trust-untrust-outbound-1]quit [USG-2-nat-policy-interzone-trust-untrust-outbound]policy 2[USG-2-nat-policy-interzone-trust-untrust-outbound-2]action source-nat[USG-2-nat-policy-interzone-trust-untrust-outbound-2]easy-ip GigabitEthernet0/0/1[USG-2-nat-policy-interzone-trust-untrust-outbound-2]quit [USG-2-nat-policy-interzone-trust-untrust-outbound]quit[USG-2]ike proposal 1[USG-2-ike-proposal-1]authentication-method pre-share[USG-2-ike-proposal-1]authentication-algorithm sha1[USG-2-ike-proposal-1]integrity-algorithm aes-xcbc-96[USG-2-ike-proposal-1]dh group2[USG-2-ike-proposal-1]quit[USG-2]ike peer USG-A[USG-2-ike-peer-usg-a]pre-shared-key abc123[USG-2-ike-peer-usg-a]ike-proposal 1[USG-2-ike-peer-usg-a]remote-address 11.0.0.2[USG-2-ike-peer-usg-a]quit[USG-2]ipsec proposal test[USG-2-ipsec-proposal-test]encapsulation-mode tunnel[USG-2-ipsec-proposal-test]transform esp[USG-2-ipsec-proposal-test]esp encryption-algorithm aes[USG-2-ipsec-proposal-test]esp authentication-algorithmsha1[USG-2-ipsec-proposal-test]quit[USG-2]acl 3000[USG-2-acl-adv-3000]rule permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255[USG-2-acl-adv-3000]quit[USG-2]ipsec policy map 1 isakmp[USG-2-ipsec-policy-isakmp-map-1]ike-peer USG-A[USG-2-ipsec-policy-isakmp-map-1]proposal test[USG-2-ipsec-policy-isakmp-map-1]security acl 3000[USG-2-ipsec-policy-isakmp-map-1]quit[USG-2]int g0/0/1[USG-2-GigabitEthernet0/0/1]ipsec policy map[USG-2-GigabitEthernet0/0/1]quit[USG-2]policy interzone trust untrust outbound[USG-2-policy-interzone-trust-untrust-outbound]policy 1[USG-2-policy-interzone-trust-untrust-outbound-1]action permit[USG-2-policy-interzone-trust-untrust-outbound-1]quit[USG-2-policy-interzone-trust-untrust-outbound]quit[USG-2]policy interzone trust untrust inbound[USG-2-policy-interzone-trust-untrust-inbound]policy 1[USG-2-policy-interzone-trust-untrust-inbound-1]policy source 192.168.10.0 0.0.0.255[USG-2-policy-interzone-trust-untrust-inbound-1]policy destination 192.168.20.0 0.0.0.255[USG-2-policy-interzone-trust-untrust-inbound-1]action permit[USG-2-policy-interzone-trust-untrust-inbound-1]quit[USG-2-policy-interzone-trust-untrust-inbound]quit[USG-2]policy interzone local untrust inbound[USG-2-policy-interzone-local-untrust-inbound]policy 1 [USG-2-policy-interzone-local-untrust-inbound-1]policy source 11.0.0.2 0[USG-2-policy-interzone-local-untrust-inbound-1]policy destination 12.0.0.2 0[USG-2-policy-interzone-local-untrust-inbound-1]policy service service-set esp[USG-2-policy-interzone-local-untrust-inbound-1]action permit使用C1(192.168.10.10)去ping C2(192.168.20.10)使用dispaly ike sa和display ipsec sa来查看邻居建立情况。
华为HiSecEngine USG6300E系列新一代防火墙V600R007C00规格清单(含详细参数)
路由特性
全面支持IPV4/IPV6下的多种路由协议,如RIP、OSPF、BGP、IS-IS、ACL6等;
全面支持I
部署方式
1:仅供参考,根据实际网络环境 的2:不最同大可吞能吐会量有是差以异1。518字节包长 流量在理想环境下测试得出,实际 情况会因现网情况不同而出现变化 。 3:性能数据是在理想环境下测试得出,实际情况会因现网情况不同而出现变化。
现,支持用户、应用、内容、时间、流量、威胁、URL等多维度呈现报表。 “网络安全分析报告”,对当前网络的安全状态进行评估,并给出相关优化建议。
全面支持IPV4/IPV6下的多种路由协议,如RIP、OSPF、BGP、IS-IS、IPv6RD、ACL6等;
透明、路由、混合部署模式。
5.8KG
1U盒式 442*420*43.6
5.8KG
1U盒式 442*420*43.6
5.8KG
1U盒式
442*420*43.6
7.6KG 选配2.5英寸形 态硬盘,支持 SSD 240GB/ HDD 1TB
标配单电源,选配双电源
100~240V -
35W
100~240V -
35W
100~240V -
丰富的报表
支持防火墙向云管理平台自动注册,云管理平台对防
支持多种安全业务的虚拟化,包括防火墙、入侵防御、反病毒、VPN等。不
预置常用防护场景模板,快速部署安全策 自动评估安全策略存在的风险,智能
支持策略冲突和冗余检测,发现冗余的和长期未使 可视化多维度报表呈现,支持用户、应用、内容、时间、流 通过华为安全中心平台生成“网络安全分析报告”,对当前网络的
透明、路由、混合部署模
W(USG6300/USG6500) USG6315E-AC 400~600 1 Gbps 180万 8万 1Gbps 4,000 500 15,000 50
华为USG 系列防火墙性能参数表
华为USG6000系列下一代防火墙详细性能参数表能,与Agile Controller配合可以实现微信认证。
应用安全●6000+应用协议识别、识别粒度细化到具体动作,自定义协议类型,可与阻断、限流、审计、统计等多种手段自由结合在线协议库升级。
注:USG6320可识别1600+应用。
●应用识别与病毒扫描结合,发现隐藏于应用中的病毒,木马和恶意软件,可检出超过500多万种病毒。
●应用识别与内容检测结合,发现应用中的文件类型和敏感信息,防范敏感信息泄露。
入侵防御●基于特征检测,支持超过3500漏洞特征的攻击检测和防御。
●基于协议检测,支持协议自识别,基于协议异常检测。
●支持自定义IPS签名。
APT防御与沙箱联动,对恶意文件进行检测和阻断。
Web安全●基于云的URL分类过滤,支持8500万URL库,80+分类。
●提供专业的安全URL分类,包括钓鱼网站库分类和恶意URL库分类。
●基于Web的防攻击支持,如跨站脚本攻击、SQL注入攻击。
●提供URL关键字过滤,和URL黑白名单。
邮件安全●实时反垃圾邮件功能,在线检测,防范钓鱼邮件。
●本地黑、白名单,远程实时黑名单、内容过滤、关键字过滤、附件类型、大小、数量。
●支持对邮件附件进行病毒检查和安全性提醒。
数据安全●基于内容感知数据防泄露,对邮件,HTTP,FTP,IM、SNS等传输的文件和文本内容进行识别过滤。
●20+文件还原和内容过滤,如Word、Excel、PPT、PDF等),60+文件类型过滤。
安全虚拟化安全全特性虚拟化,转发虚拟化、用户虚拟化、管理虚拟化、视图虚拟化、资源虚拟化(带宽、会话等)。
网络安全●DDoS攻击防护,防范多种类型DDoS攻击,如SYN flood、UDP flood、ICMP flood、HTTP flood、DNS flood、ARP flood和ARP欺骗等。
●丰富的VPN特性,IPSec VPN、SSL VPN、L2TP VPN、MPLS VPN、GRE等。
网络安全之华为USG防火墙配置实例
网络安全之华为USG防火墙配置实例USG5500系列产品是华为技术有限公司面向大中型企业和下一代数据中心推出的新一代电信级统一安全网关设备。
USG5500系列产品部署于网络出口处,有效阻止Internet 上的黑客入侵、DDoS攻击,阻止内网用户访问非法网站,限制带宽,为内部网络提供一个安全可靠的网络环境。
这里华迪教育以此为例,给同学们讲解防火墙配置实例。
华为USG防火墙配置内容:(1)内部网络通过防火墙访问外部网络(NAT)(2)外部网络能够访问内部服务器的映射网站主要配置命令如下:Step 1: 设置内、外网接口IPinterface GigabitEthernet0/0/1ip address 192.168.10.1 255.255.255.0interface GigabitEthernet0/0/8ip address 211.95.1.200 255.255.255.0Step 2: 指定内网信任区和外网非信任区firewall zone trustdetect ftp (启用FTP应用层转换)add interface GigabitEthernet0/0/1firewall zone untrustadd interface GigabitEthernet0/0/8step 3 : 开启内网FTP服务映射到外网,开通区域间的通信许可firewall interzone trust untrustdetect ftp (开启内网到外网的FTP服务映射)firewall packet-filter default permit allstep 4:定义NAT地址池、配置NAT Server发布内网站点服务nat address-group 1 211.95.1.200 211.95.1.200nat server zone untrust protocol tcp global 211.95.1.200 www inside 192.168.10.254 wwwnat server zone untrust protocol tcp global 211.95.1.200 ftp inside 192.168.10.254 ftpnat server zone trust protocol tcp global 211.95.1.200 www inside 192.168.10.254 wwwnat server zone trust protocol tcp global 211.95.1.200 ftp inside 192.168.10.254 ftpStep 5 :配置nat转换,使得内网可以访问外网nat-policy interzone trust untrust outboundpolicy 1action source-natpolicy source 192.168.10.0 0.0.0.255address-group 1Step 6: 配置源地址转换,强制要求内网用户须通过映射地址访问内部服务器nat-policy zone trustpolicy 1action source-natpolicy source 192.168.10.0 0.0.0.255policy destination 211.95.1.254 0 address-group 1。
1-3 USG防火墙攻击防范业务特性与配置
[ max-rate max-rate-number2 ]
firewall defend udp/icmp-flood enable
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
其它Flood攻击手段
DNS Flood
[ max-rate max-rate-number1 ]
firewall defend udp-flood zone [ vpn-instance vpn-instance-name ] zone-name
[ alert-rate alert-rate-number ] [ max-rate max-rate-number2 ]
UDP/ICMP Flood 攻击
攻击者 … UDP 或 ICMP 包
服务器 攻击者 UDP 或 ICMP 包
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
UDP/ICMP Flood攻击(续)
配置
firewall defend udp-flood interface { interface-type interface-number | all }
培训目标
学完本课程后,您应该能:
描述 IP网络中各种攻击的原理
掌握 USG防火墙的各种攻击防范的配置
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
网络中典型的攻击类型
畸形报文
华为USG防火墙配置手册
华为USG防火墙配置手册1. 简介本手册旨在指导用户进行华为USG防火墙的配置和使用。
华为USG防火墙是一款功能强大的网络安全设备,可用于保护企业网络免受网络攻击和安全威胁。
2. 配置步骤2.1 硬件连接在配置USG防火墙之前,请确保正确连接好相关硬件设备,包括USG防火墙、路由器和服务器等。
2.2 登录USG防火墙使用SSH客户端等工具,输入USG防火墙的IP地址和管理员账号密码进行登录。
2.3 配置基本参数登录USG防火墙后,根据实际需求配置以下基本参数:- 设置管理员密码- 配置IP地址和子网掩码- 设置DNS服务器地址2.4 配置网络地址转换(NAT)根据实际网络环境,配置网络地址转换(NAT)功能。
NAT 功能可以将内部IP地址转换为合法的公网IP地址,实现内网和外网的通信。
2.5 配置访问控制策略配置访问控制策略可以限制网络流量的访问权限,确保只有授权的用户或设备可以访问特定网络资源。
2.6 配置安全服务华为USG防火墙提供多种安全服务功能,例如防病毒、入侵检测和内容过滤等。
根据实际需求,配置相应的安全服务功能。
2.7 配置远程管理和监控配置远程管理和监控功能,可以通过远程管理工具对USG防火墙进行实时监控和管理。
3. 常见问题解答3.1 如何查看防火墙日志?登录USG防火墙的Web界面,找到"日志"选项,可以查看防火墙的各种日志信息,包括安全事件、连接记录等。
3.2 如何升级USG防火墙固件版本?4. 其他注意事项- 在配置USG防火墙之前,请先备份原有的配置文件,以防配置错误或损坏设备。
- 请勿将USG防火墙暴露在不安全的网络环境中,以免受到未授权的访问和攻击。
以上是华为USG防火墙的配置手册,希望能帮助到您。
如有其他问题,请随时联系我们的技术支持。
USG防火墙双机热备业务特性与配置
前言
在当前的组网应用中,用户对网络可靠性的要求越来越高, 特别是在一些重要的业务入口或接入点上需要保证网络不间 断运行。对于这些重要的业务点如何保证网络的不间断传输, 成为必须解决的一个问题。 本胶片主要介绍防火墙的双机热备份技术原理和具体配置, 以及在USG防火墙上实施双机热备份技术所使用的三种协议: VRRP、VGMP和HRP。
VGMP数据通道
TrustUSG A来自A1Master
A3
A2
A4
A4-B4
DMZ
B1
B4
B2
B3
Backup
USG B
Untrust
防火墙状态信息的备份
VGMP可以保证报文来回路径通过同一台防火墙。当主防火墙 出现故障时,所有流量都将切换到备防火墙。但USG防火墙 是状态防火墙,如果备防火墙上没有原来主防火墙上的连接 状态数据,则切换到备防火墙的很多流量将无法通过,造成 现有的连接中断,此时用户必须重新发起连接。 为了实现主用设备出现故障时能由备用设备平滑地接替工作, 需要在主、备用设备之间备份关键配置命令和会话表状态等 关键信息。
Trust
备份组1
Virtual IP Address 10.100.10.1
USG A Master
10.100.10.0/24 DMZ
10.100.20.0/24
备份组2 Virtual IP Address
10.100.20.1
USG B Backup
Untrust
备份组3 Virtual IP Address
混合模式是指USG的业务端口工作在透明模式下,而HRP备份通 道接口工作在路由模式下。
路由模式和混合模式都包含两种组网方式:
华为USG2100 防火墙配置文档-配置IP-Link
当 IP-Link 侦测出链路不可达时,USG2100 会对自身的静态路由进行相应的调整。 如原来高优先级的静态路由所经链路被检测到发生故障,USG2100 会选择新的链路 进行业务转发。如果高优先级的静态路由链路故障恢复正常时,USG2100 又会进行 静态路由的调整,用高优先级的路由替换低优先级的路由,保证每次用到的链路是 最高优先级的并且是可达的,以保持业务的持续进行。
如果在设定的时限内未收到回应报文,则认为链路发生故障,并进行后续相应的操作。 当原来认为发生故障的链路,在之后设定的时限内,有连续 3 个回应报文返回,则认为 发生故障的链路已经恢复正常,此后进行链路恢复的相关操作。
IP-Link 自动侦测的结果(目的主机可达或者不可达)可以被其他特性所引用,主要应 用包括:
2.2.4 配置 IP-Link 应用于静态路由
配置 IP-Link 应用于静态路由,需要进行如下操作。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 ip route-static ip-address { mask | mask-length } { interface-type interface-number
2.2.1 建立配置任务.....................................................................................................................................2-2 2.2.2 使能 IP-Link .......................................................................................................................................2-3 2.2.3 创建 IP-Link .......................................................................................................................................2-3 2.2.4 配置 IP-Link 应用于静态路由 ..........................................................................................................2-3 2.2.5 配置 IP-Link 应用于双机热备份 ......................................................................................................2-4 2.2.6 检查配置结果.....................................................................................................................................2-4 2.3 调试..............................................................................................................................................................2-4 2.4 配置举例......................................................................................................................................................2-5 2.4.1 配置 IP-Link 应用于静态路由示例 ..................................................................................................2-5 2.4.2 配置 IP-Link 应用于双机热备份示例 ..............................................................................................2-7 2.5 故障处理....................................................................................................................................................2-12 2.5.1 路由模式下故障处理.......................................................................................................................2-12 2.5.2 透明模式下故障处理.......................................................................................................................2-12
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Client 192.168.0.1
Eudemon Firewall
FTP server 19.49.10.10
13
TCP反向源探测技术
▪ 用于来回路径不一致的情况下SYN-Flood攻击防范。
正常用户
要访问google,发送SYN报文 看看你是不是真想访问google, 发送探测报文
我真的想访问,pass
就是 让你等
攻击者
SYN SYN/ACK
???
怎么没 有 ACK?
服务器
11
SYN Flood 攻击(续)
▪ 配置
firewall defend syn-flood interface { interface-type interface-number | all } [ alert-rate alertrate-number1 ] [ max-rate max-rate-number1 ] [ tcp-proxy { auto | off | on } ]
国际认证-华为认证 USG防火墙攻击防范
业务特性与配置
前言
▪ 基于防火墙的组网位置和功能上看,对一些非法攻击的防御是防火墙设备的 一个非常重要的功能,通过防火墙的攻击防范的防御功能可以保证内部网络 的安全,在这一点上是其他数据通信设备无法替代的,因此在全网解决方案 中,防火墙是必不可少的一个部件。
Eudemon
攻击者
使用虚假源地址进行攻击
Internet 14
UDP/ICMP Flood 攻击
攻击者 UDP 或 ICMP 包
…
攻击者
UDP 或 ICMP 包
服务器
15
UDP/ICMP Flood攻击(续)
▪ 配置
firewall defend udp-flood interface { interface-type interface-number | all } [ max-rate max-rate-number1 ] firewall defend udp-flood zone [ vpn-instance vpn-instance-name ] zone-name [ alert-rate alert-rate-number ] [
Flag Last Fragment
Offset 500
服务器
NORMAL
IP
PING DATA
20 8
1472
Flag MF
IP
DATA
firewall defend syn-flood enable
12
TCP Proxy 技术
没有 TCP Proxy 使能 TCP Proxy
Client send TCP Syn
Client send Ack
Client send TCP Syn Firewall response Syn Ack Fake Client Without Ack
firewall defend udp/icmp-flood enable
16
其它Flood攻击手段
▪ DNS Flood ▪ Get Flood ▪ Tcp-illeage-session
17
目录
▪ 1. USG攻击防范特性与配置
1.1 拒绝服务攻击 1.2 畸形报文攻击 1.3 扫描窥探攻击
max-rate max-rate-number2 ] firewall defend icmp-flood interface { interface-type interface-number | all } [ max-rate max-rate-number1 ] firewall defend icmp-flood zone [ vpn-instance vpn-instance-name ] zone-name [ max-rate max-rate-number2 ]
攻击者
数据包的源 IP地址 为 A的IP地址
A
B 信任A的IP地址,因此攻击者假冒A的IP地址
B
8
Land 攻击
攻击者
包源IP和目的IP
SYN
都是 B的IP地址
B TCP 自环 连接
9
Winnuke 攻击
攻击者 分片 IGMP 包或者目的端口为139,URG被置位且URG指针不为空
服务器
10
SYN Flood 攻击
Real Client send Ack
如果是Tcp攻击的话源地址为假冒,则 不会存在这个回应报文,因此攻击报
文会被防火墙丢弃
Server response Syn Ack
Firewall send TCP Syn for Client Server response Syn Ack
Firewall send Ack for Client
firewall defend syn-flood zone [ vpn-instance vpn-instance-name ] zone-name [ alert-rate alert-rate-number2 ] [ max-rate max-rate-number2 ] [ tcp-proxy { auto | on | off } ]
▪ 本章主要描述了基于IP的各种网络攻击方式的原理及其在USG防火墙上的防 范配置。
2
培训目标
▪ 学完本课程后,您应该能:
描述 IP网络中各种攻击的原理 掌握 USG防火墙的各种攻击防范的配置
3
网络中典型的攻击类型
畸形报文
Tear Drop Ping of Death
拒绝服务
SYN Flood UDP Flood ICMP Flood
18
TCP Flag 攻击
攻击者
SYN/ACK/FIN/RST
服务器
19
IP 分片攻击
攻击者
n…
分片包 32 1
包总长超过 65535
服务器
20
Tear Drop 攻击
n…
分片包 32 1
攻击者
TEAR
IP
PING DATA
20 8
1472
Flag MF
IP
DATA
Offset 0
20
remainder
攻击类型
扫描窥探
IP Sweep Port Scan
4
目录
▪ 1. 攻击防范特性与配置
1.1 拒绝服务攻击 1.2 畸形报文攻击 1.3 扫描窥探攻击
5
Smurf 攻击
攻击者
Ping广播地址
受害者
6
Fraggle 攻击
攻击者
UDP 请求 (Port 7 or 19)Fra bibliotek受害者7
IP Spoofing 攻击