NETSCREEN设备管理配置手册.docx
《NETSCREEN设备管理配置手册.docx》由会员分享,可在线阅读,更多相关《NETSCREEN设备管理配置手册.docx(37页珍藏版)》请在冰豆网上搜索。
NETSCREEN设备管理配置手册
NETSCREEN设备管理配置手册2(实例:
vpn配置、实例分析)
除修改和重新排序策略外,还可以删除策略。
在WebUI中,在要移除的策略的Configure栏中单击Remove.当系统消息提示是否继续删除时,单击Yes。
在CLI中,使用
unsetpolicyid_num命令。
11保护网络
入侵受保护网络的动机可能有很多。
下表包含一些常见的目的:
•收集有关受保护网络的下列各类信息:
–网络的拓扑
–活动主机的IP地址
–活动主机上的活动端口数
–活动主机的操作系统
•用虚假信息流耗尽受保护网络上主机的资源,诱发拒绝服务(DoS
•用虚假信息流耗尽受保护网络的资源,诱发网络级DoS
•用虚假信息流耗尽防火墙的资源,并因此诱发对其后面的网络的DoS
•导致受保护网络上主机的数据破坏以及窃取该主机的数据
•获得受保护网络上主机的访问权限以获取数据
•获得主机的控制权以发起其它攻击
•获得防火墙的控制权以控制对其保护的网络的访问
ScreenOS提供了检测性和防御性的工具,以使当攻击者试图攻击受NetScreen设备保护的网络时,能查明和阻挡其达到上述目的的企图。
11.1攻击阶段
每个攻击通常分两个主要阶段进行。
第一阶段攻击者收集信息,第二阶段攻击者发起攻击。
1.执行侦查。
1.映射网络并确定哪些主机是活动的(IP地址扫描。
2.在通过IP地址扫描而发现的主机上,识别哪些端口是活动的(端口扫描。
3.确定操作系统,从而暴露出操作系统中的弱点,或者建议一个易影响该特定操作系统的攻击。
2.发动攻击。
1.隐藏攻击的发起点。
2.执行攻击。
3.删除或隐藏证据。
11.2检测和防御机制
攻击过程可以是收集信息的探查,也可以是破坏、停用或损害网络或网络资源的攻击。
在某些情况下,两种攻击目的之间的区别不太清楚。
例如,TCPSYN段的阻塞可能是旨在触发活动主机的响应的IP地址扫描,也可能是以耗尽网络资源使之不能正常工作为目的的SYN泛滥攻击。
此外,由于攻击者通常在攻击之前先对目标执行侦查,因而我们可以将收集信息的尝试视为即将来临的攻击的先兆-也就是说,它们构成了攻击的第一阶段。
因此,术语―攻击‖既包括侦查活动,也包括攻击活动,有时不太好区分这两者之间的差别。
NetScreen提供了各种区段级和策略级的检测方法和防御机制,以便在所有阶段对抗攻击行为。
•在安全区(Zone上设置的Screen选项
•基于安全区之间、安全区内和超安全区策略的防火墙策略。
(―超区段‖表示全局策略,不涉及任何安全区
为保护所有连接尝试的安全,NetScreen设备使用了一种动态封包过滤方法,即通常所说的状态式检查。
使用此方法,NetScreen设备在IP封包和TCP片段包头中记入各种不同的信息单元---源和目的IP地址、源和目的端口号,以及封包序列号----并保持穿越防火墙的每个TCP会话和伪UDP会话的状态。
(NetScreen也会根据变化的元素,如动态端口变化或会话终止,来修改会话状态。
当响应的TCP封包到达时,NetScreen设备会将其包头中包含的信息与检查表中储存的相关会话的状态进行比较。
如果相符,允许响应封包通过防火墙。
如果不相符,则丢弃该封包。
NetScreenSCREEN选项用于保护区段的安全,具体做法是先检查要求经过绑定到该区域的某一接口的所有连接尝试,然后予以准许或拒绝。
然后NetScreen设备应用防火墙策略,在这些策略中,可能包含针对通过SCREEN过滤器的信息流的内容过滤和入侵检测及防护(IDP组件。
11.3攻击监视
虽然您通常希望NetScreen设备封锁攻击,有时也可能希望收集有关这些攻击的信息。
您可能希望具体了解一个特定的攻击----发现其意图、技巧和可能的来源(如果攻击者不小心或不够老练。
如果您希望收集有关攻击的信息,可以让它发生、监视它、分析它、执行辩论练习,然后按照先前准备好的事件响应计划的描述做出响应。
您可以指示NetScreen设备将攻击的情况通知您,但NetScreen不采取应对措施,而是允许该攻击发生。
然后可以研究所发生的现象,并尝试了解攻击者的方法、策略和目的。
增加了对网络的威胁的了解之后,就能让您更好地加强防
御。
虽然精明的攻击者会隐藏其位置和身份,但您或许能通过收集足够的信息来识别攻击
的始发点。
您也许还能估计攻击者的能力。
这种信息使您能评估一些响应。
监视来自Untrust区段的攻击:
WebUI
Screening>Screen(Zone:
Untrust:
输入以下内容,然后单击Apply:
GenerateAlarmswithoutDroppingPacket:
(选择
IPAddressSpoofProtection:
(选择
CLI
setzoneuntrustscreenalarm-without-drop
setzoneuntrustscreenip-spoofing
save
11.4侦察威慑
当攻击者先知道了目标网络的布局(哪些IP地址有活动主机、可能的入口点(在活动主机上哪些端口号是活动的和其受害者的结构(活动主机在运行哪些操作系统后,他们就能更好地计划其攻击。
为了获得这些信息,攻击者必须执行侦查。
NetScreen提供了几个SCREEN选项以防止攻击者的侦查尝试,从而可阻碍其获得有关受保护网络和网络资源的重要信息。
1.Ip地址扫描
当一个源IP地址在规定的时间间隔(缺省值为5000微秒内将10个ICMP封包发送给不同的主机时,即进行了一次地址扫描。
此方案的目的是将ICMP封包(通常是应答请求发送给各个主机,以期获得至少一个回复,从而查明目标的地址。
NetScreen设备在内部记录从某一远程源地点发往不同地址的ICMP封包数目。
使用缺省设置时,如果某个远程主机在0.005秒(5000微秒内将ICMP信息流发送给10个地址,则NetScreen将其标记为地址扫描攻击,并且在这一秒的剩余时间内拒绝来自该主机的第11个及其它更多ICMP封包。
如果有一个策略允许来自某个安全区的信息流,请考虑为该区段启用此SCREEN选项。
否则不需要启用它。
如果不存在这样的策略,则会拒绝来自该区段的所有ICMP信息流,以阻止攻击者成功地执行IP地址扫描。
要封锁在特定的安全区内始发的IP地址扫描,请执行以下操作之一:
WebUI
Screening>Screen(Zone:
选择区段名称:
输入以下内容,然后单击Apply:
IPAddressSweepProtection:
(选择
Threshold:
(输入触发IP地址扫描保护的值1
CLI
setzonezonescreenip-sweepthresholdnumber
setzonezonescreenip-sweep
2.端口扫描
当一个源IP地址在规定的时间间隔内(缺省值为5,000微秒将含有TCPSYN片段的IP封包发送给位于相同目标IP地址的10个不同端口时,即进行了一次端口扫描。
此方案的目的是扫描可用的服务,希望至少会有一个端口响应,从而识别目标的服务。
NetScreen设备在内部记录从某一远程源地点扫描的不同端口的数目。
使用缺省设置时,如果某个远程主机在0.005秒
(5,000微秒内扫描了10个端口,则NetScreen将其标记为端口扫描攻击,并在这一秒的剩余时间内拒绝来自该远程源地点的其它封包(不论目标IP地址为何。
要封锁在特定的安全区内始发的端口扫描,请执行以下操作之一:
WebUI
Screening>Screen(Zone:
选择区段名:
输入以下内容,然后单击Apply:
PortScanProtection:
(选择
Threshold:
(输入触发端口扫描保护的值2
CLI
setzonezonescreenport-scanthresholdnumber
setzonezonescreenport-scan
3.使用IP选项的网络侦察
互联网协议标准―RFC791,InternetProtocol‖指定了一组选项以提供特殊路由控制、诊断工具和安全性。
这些选项出现在IP封包包头中的目的地址后。
RFC791承认这些选项―对于最常用的通信而言是不必要的‖,而且,实际上它们很少出在IP封包包头中。
当这些选项确实出现时,则经常被用于某些罪恶用途。
下列SCREEN选项检测攻击者用于侦查或某些未知而可疑目的的IP选项:
•RecordRoute:
NetScreen设备检测IP选项为7(RecordRoute的封包,并在入口接口的SCREEN计数器列表中记录事件。
•Timestamp:
NetScreen设备检测IP选项列表包含选项4(InternetTimestamp的封包,并在入口接口的SCREEN计数器列表中记录事件。
•Security:
NetScreen设备检测IP选项为2(security的封包,并在入口接口的SCREEN计数器列表中记录事件。
•StreamID:
NetScreen设备检测IP选项为8(StreamID的封包,并在入口接口的SCREEN计数器列表中记录事件。
要检测设置了上述IP选项的封包,请执行以下任一操作,其中指定的安全区是封包始发的区段:
WebUI
Screening>Screen(Zone:
选择区段名称:
输入以下内容,然后单击Apply:
IPRecordRouteOptionDetection:
(选择
IPTimestampOptionDetection:
(选择
IPSecurityOptionDetection:
(选择
IPStreamOptionDetection:
(选择
CLI
setzonezonescreenip-record-route
setzonezonescreenip-timestamp-opt
setzonezonescreenip-security-opt
setzonezonescreenip-stream-opt
4.操作系统探察
在发起攻击之前,攻击者可能会尝试探查目标主机,以了解其操作系统(OS。
有此信息,攻击者能更好地决定发起哪种攻击和利用哪些漏洞。
NetScreen设备可以封锁常用于收集关于操作系统类型信息的侦察性探查。
4.1设置SYN和FIN标志
通常不会在同一TCP片段包头中同时设置SYN和FIN控制标志。
SYN标志同步化发起TCP连接的序列号。
FIN标志表示完成TCP连接的数据传输的结束。
两种标志的用途是互相排斥的。
同时设置了SYN和FIN标志的TCP包头是异常的TCP行为,会导致来自接收者的不同响应(依赖于操作系统。
4.2没有ACK标志的FIN标志
设置了FIN控制标志(以发送会话结束信号并终止连接的TCP片段通常也设置了ACK标志(以确认接收到的前一个封包。
由于设置了FIN标志但未设置ACK标志的TCP包头是异常的TCP行为,因而对此没有统一的响应。
操作系统可能会通过发送设置了RST标志的TCP片段来做出响应。
其它方面可能会完全忽略它。
受害者的响应会给攻击者提供有关其操作系统的线索。
(发送设置了FIN标志的TCP片段的其它目的是:
在
升级会员 