NETSCREEN设备管理配置手册.docx

1、NETSCREEN设备管理配置手册NETSCREEN 设备管理配置手册2（实例：vpn 配置、实例分析）除修改和重新排序策略外，还可以删除策略。在WebUI 中，在要移除的策略的Configure 栏中单击Remove. 当系统消息提示是否继续删除时，单击Yes 。在CLI 中，使用unset policy id_num命令。11 保护网络入侵受保护网络的动机可能有很多。下表包含一些常见的目的: 收集有关受保护网络的下列各类信息: 网络的拓扑 活动主机的IP 地址 活动主机上的活动端口数 活动主机的操作系统 用虚假信息流耗尽受保护网络上主机的资源，诱发拒绝服务(DoS 用虚假信息流耗尽受保护网

2、络的资源，诱发网络级DoS 用虚假信息流耗尽防火墙的资源，并因此诱发对其后面的网络的DoS 导致受保护网络上主机的数据破坏以及窃取该主机的数据 获得受保护网络上主机的访问权限以获取数据 获得主机的控制权以发起其它攻击 获得防火墙的控制权以控制对其保护的网络的访问ScreenOS 提供了检测性和防御性的工具，以使当攻击者试图攻击受NetScreen 设备保护的网络时，能查明和阻挡其达到上述目的的企图。11.1攻击阶段每个攻击通常分两个主要阶段进行。第一阶段攻击者收集信息，第二阶段攻击者发起攻击。1. 执行侦查。1. 映射网络并确定哪些主机是活动的( IP 地址扫描 。2. 在通过IP 地址扫描而

3、发现的主机上，识别哪些端口是活动的( 端口扫描 。3. 确定操作系统，从而暴露出操作系统中的弱点，或者建议一个易影响该特定操作系统的攻击。2. 发动攻击。1. 隐藏攻击的发起点。2. 执行攻击。3. 删除或隐藏证据。11.2检测和防御机制攻击过程可以是收集信息的探查，也可以是破坏、停用或损害网络或网络资源的攻击。在某些情况下，两种攻击目的之间的区别不太清楚。例如，TCP SYN 段的阻塞可能是旨在触发活动主机的响应的IP 地址扫描，也可能是以耗尽网络资源使之不能正常工作为目的的SYN 泛滥攻击。此外，由于攻击者通常在攻击之前先对目标执行侦查，因而我们可以将收集信息的尝试视为即将来临的攻击的先兆

4、也就是说，它们构成了攻击的第一阶段。因此，术语攻击既包括侦查活动，也包括攻击活动，有时不太好区分这两者之间的差别。NetScreen 提供了各种区段级和策略级的检测方法和防御机制，以便在所有阶段对抗攻击行为。 在安全区(Zone 上设置的Screen 选项 基于安全区之间、安全区内和超安全区策略的防火墙策略。(超区段表示全局策略，不 涉及任何安全区为保护所有连接尝试的安全，NetScreen 设备使用了一种动态封包过滤方法，即通常所说的状态式检查。使用此方法，NetScreen 设备在IP 封包和TCP 片段包头中记入各种不同的信息单元 -源和目的IP 地址、源和目的端口号，以及封包序列号-并

5、保持穿越防火墙的每个TCP 会话和伪UDP 会话的状态。( NetScreen 也会根据变化的元素，如动态端口变化或会话终止，来修改会话状态 。当响应的TCP 封包到达时，NetScreen 设备会将其包头中包含的信息与检查表中储存的相关会话的状态进行比较。如果相符，允许响应封包通过防火墙。如果不相符，则丢弃该封包。NetScreen SCREEN 选项用于保护区段的安全，具体做法是先检查要求经过绑定到该区域的某一接口的所有连接尝试，然后予以准许或拒绝。然后NetScreen 设备应用防火墙策略，在这些策略中，可能包含针对通过SCREEN 过滤器的信息流的内容过滤和入侵检测及防护(IDP 组件

6、。11.3攻击监视虽然您通常希望NetScreen 设备封锁攻击，有时也可能希望收集有关这些攻击的信息。您可能希望具体了解一个特定的攻击-发现其意图、技巧和可能的来源( 如果攻击者不小心或不够老练 。如果您希望收集有关攻击的信息，可以让它发生、监视它、分析它、执行辩论练习，然后按照先前准备好的事件响应计划的描述做出响应。您可以指示 NetScreen 设备将攻击的情况通知您，但NetScreen 不采取应对措施，而是允许该攻击发生。然后可以研究所发生的现象，并尝试了解攻击者的方法、策略和目的。增加了对网络的威胁的了解之后，就能让您更好地加强防御。虽然精明的攻击者会隐藏其位置和身份，但您或许能通

7、过收集足够的信息来识别攻击的始发点。您也许还能估计攻击者的能力。这种信息使您能评估一些响应。监视来自Untrust 区段的攻击:WebUIScreening Screen (Zone: Untrust: 输入以下内容，然后单击Apply:Generate Alarms without Dropping Packet: ( 选择IP Address Spoof Protection: ( 选择CLIset zone untrust screen alarm-without-dropset zone untrust screen ip-spoofingsave11.4侦察威慑当攻击者先知道了目标网

8、络的布局(哪些IP 地址有活动主机 、可能的入口点(在活动主机上哪些端口号是活动的 和其受害者的结构(活动主机在运行哪些操作系统 后，他们就能更好地计划其攻击。为了获得这些信息，攻击者必须执行侦查。NetScreen 提供了几个SCREEN 选项以防止攻击者的侦查尝试，从而可阻碍其获得有关受保护网络和网络资源的重要信息。1. Ip地址扫描当一个源IP 地址在规定的时间间隔(缺省值为5000微秒 内将10个ICMP 封包发送给不同的主机时，即进行了一次地址扫描。此方案的目的是将ICMP 封包(通常是应答请求 发送给各个主机，以期获得至少一个回复，从而查明目标的地址。NetScreen 设备在内部

9、记录从某一远程源地点发往不同地址的ICMP 封包数目。使用缺省设置时，如果某个远程主机在0.005秒( 5000 微秒 内将ICMP 信息流发送给10个地址，则NetScreen 将其标记为地址扫描攻击，并且在这一秒的剩余时间内拒绝来自该主机的第11个及其它更多ICMP 封包。如果有一个策略允许来自某个安全区的信息流，请考虑为该区段启用此SCREEN 选项。否则不需要启用它。如果不存在这样的策略，则会拒绝来自该区段的所有ICMP 信息流，以阻止攻击者成功地执行IP 地址扫描。要封锁在特定的安全区内始发的IP 地址扫描，请执行以下操作之一:WebUIScreening Screen ( Zone

10、: 选择区段名称: 输入以下内容，然后单击Apply:IP Address Sweep Protection: ( 选择Threshold: ( 输入触发IP 地址扫描保护的值1 CLIset zone zone screen ip-sweep threshold numberset zone zone screen ip-sweep2. 端口扫描当一个源IP 地址在规定的时间间隔内( 缺省值为 5,000 微秒 将含有TCP SYN片段的IP 封包发送给位于相同目标IP 地址的10个不同端口时，即进行了一次端口扫描。此方案的目的是扫 描可用的服务，希望至少会有一个端口响应，从而识别目标的服务

11、。NetScreen 设备在内部记录 从某一远程源地点扫描的不同端口的数目。使用缺省设置时，如果某个远程主机在0.005 秒( 5,000 微秒 内扫描了10个端口，则NetScreen 将其标记为端口扫描攻击，并在这一秒的剩余时间内拒绝来自该远程源地点的其它封包(不论目标IP 地址为何 。要封锁在特定的安全区内始发的端口扫描，请执行以下操作之一:WebUIScreening Screen (Zone:选择区段名: 输入以下内容，然后单击Apply:Port Scan Protection: (选择Threshold: ( 输入触发端口扫描保护的值2 CLIset zone zone scre

12、en port-scan threshold numberset zone zone screen port-scan3. 使用IP 选项的网络侦察互联网协议标准RFC 791, Internet Protocol指定了一组选项以提供特殊路由控制、诊断工具和安全性。这些选项出现在IP 封包包头中的目的地址后。RFC 791承认这些选项对于最常用的通信而言是不必要的，而且，实际上它们很少出在 IP 封包包头中。当这些选项确实出现时，则经常被用于某些罪恶用途。下列SCREEN 选项检测攻击者用于侦查或某些未知而可疑目的的IP 选项: Record Route: NetScreen 设备检测IP 选

13、项为7(Record Route的封包，并在入口接口的SCREEN 计数器列表中记录事件。 Timestamp: NetScreen 设备检测IP 选项列表包含选项4(Internet Timestamp的封包，并在入口接口的SCREEN 计数器列表中记录事件。 Security: NetScreen 设备检测IP 选项为2 (security的封包，并在入口接口的SCREEN 计数器列表中记录事件。 Stream ID: NetScreen 设备检测IP 选项为8 (Stream ID 的封包，并在入口接口的SCREEN 计数器列表中记录事件。要检测设置了上述IP 选项的封包，请执行以下任一

14、操作，其中指定的安全区是封包始发的区段: WebUIScreening Screen ( Zone:选择区段名称: 输入以下内容，然后单击Apply:IP Record Route Option Detection: (选择IP Timestamp Option Detection: (选择IP Security Option Detection: (选择IP Stream Option Detection: (选择CLIset zone zone screen ip-record-routeset zone zone screen ip-timestamp-optset zone zone

15、screen ip-security-optset zone zone screen ip-stream-opt4. 操作系统探察在发起攻击之前，攻击者可能会尝试探查目标主机，以了解其操作系统(OS。有此信息，攻击者能更好地决定发起哪种攻击和利用哪些漏洞。NetScreen 设备可以封锁常用于收集关于操作系统类型信息的侦察性探查。4.1 设置SYN 和FIN 标志通常不会在同一TCP 片段包头中同时设置SYN 和FIN 控制标志。SYN 标志同步化发起TCP 连接的序列号。FIN 标志表示完成TCP 连接的数据传输的结束。两种标志的用途是互相排斥的。同时设置了SYN 和FIN 标志的TCP 包头是异常的TCP 行为，会导致来自接收者的不同响应(依赖于操作系统 。4.2 没有ACK 标志的FIN 标志设置了FIN 控制标志(以发送会话结束信号并终止连接 的TCP 片段通常也设置了ACK 标志(以确认接收到的前一个封包 。由于设置了FIN 标志但未设置ACK 标志的TCP 包头是异常的TCP 行为，因而对此没有统一的响应。操作系统可能会通过发送设置了RST 标志的TCP 片段来做出响应。其它方面可能会完全忽略它。受害者的响应会给攻击者提供有关其操作系统的线索。(发送设置了FIN 标志的TCP 片段的其它目的是: 在