網(wǎng)絡(luò)安全管理員培訓(xùn)防火墻安全部分的課件

1、 常德市網(wǎng)絡(luò)安全管理員培訓(xùn)班常德市互聯(lián)網(wǎng)協(xié)會(huì)第1章 防火墻技術(shù)介紹了解網(wǎng)絡(luò)安全基本概念掌握防火墻必備的技術(shù)范圍課程目標(biāo)學(xué)習(xí)完本課程，您應(yīng)該能夠：網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全是Internet必須面對(duì)的一個(gè)實(shí)際問(wèn)題網(wǎng)絡(luò)安全是一個(gè)綜合性的技術(shù)網(wǎng)絡(luò)安全具有兩層含義：保證內(nèi)部局域網(wǎng)的安全（不被非法侵入）保護(hù)和外部進(jìn)行數(shù)據(jù)交換的安全網(wǎng)絡(luò)安全技術(shù)的完善和更新網(wǎng)絡(luò)安全關(guān)注的范圍網(wǎng)絡(luò)安全關(guān)注的范圍保護(hù)網(wǎng)絡(luò)物理線路不會(huì)輕易遭受攻擊有效識(shí)別合法的和非法的用戶實(shí)現(xiàn)有效的訪問(wèn)控制保證內(nèi)部網(wǎng)絡(luò)的隱蔽性有效的防偽手段，重要的數(shù)據(jù)重點(diǎn)保護(hù)對(duì)網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)拓?fù)涞陌踩芾聿《痉婪短岣甙踩婪兑庾R(shí)網(wǎng)絡(luò)安全設(shè)備的分類防火墻的必備技術(shù)針對(duì)網(wǎng)

2、絡(luò)存在的各種安全隱患，防火墻必須具有如下安全特性：網(wǎng)絡(luò)隔離及訪問(wèn)控制攻擊防范地址轉(zhuǎn)換應(yīng)用層狀態(tài)檢測(cè)身份認(rèn)證內(nèi)容過(guò)濾安全管理網(wǎng)絡(luò)隔離及訪問(wèn)控制防火墻交換機(jī)受信區(qū)域不受信區(qū)域DMZ區(qū)受信區(qū)域DMZ區(qū)，可以訪問(wèn)POP3和SMTP服務(wù)DMZ受信區(qū)域，不可訪問(wèn)任何服務(wù)不受信區(qū)域DMZ區(qū)，可以訪問(wèn)POP3和SMTP服務(wù)DMZ不受信區(qū)域，可以訪問(wèn)任何服務(wù)不受信區(qū)域和受信區(qū)域之間不能互訪EMAIL服務(wù)器攻擊防范防火墻受信區(qū)域不受信區(qū)域DoS攻擊黑客正常用戶阻止 要有效防范基于監(jiān)聽(tīng)器的拒絕服務(wù)攻擊，只有在被攻擊服務(wù)器上進(jìn)行“主動(dòng)防御”，即對(duì)監(jiān)聽(tīng)器的運(yùn)行設(shè)置口令保護(hù)，無(wú)論在本地或遠(yuǎn)程，只有輸入正確的口令才能對(duì)監(jiān)聽(tīng)

3、器進(jìn)行查看狀態(tài)、停止監(jiān)聽(tīng)器等敏感操作。地址轉(zhuǎn)換（NAT）防火墻WEB服務(wù)器/24300 300 3 地址轉(zhuǎn)換(NAT)就是：路由器或者防火墻將私有地址轉(zhuǎn)換為公有地址使數(shù)據(jù)包能夠發(fā)到因特網(wǎng)上，同時(shí)從因特網(wǎng)上接收數(shù)據(jù)包時(shí)，將公用地址轉(zhuǎn)換為私有地址。 在計(jì)算機(jī)網(wǎng)絡(luò)中，網(wǎng)絡(luò)地址轉(zhuǎn)換（Network Address Translation或簡(jiǎn)稱NAT，也叫做網(wǎng)絡(luò)掩蔽或者IP掩蔽）是一種在IP數(shù)據(jù)包通過(guò)路由器或防火墻時(shí)重寫(xiě)源IP地址或/和目的IP地址的技術(shù)。應(yīng)用層狀態(tài)檢測(cè)包過(guò)濾（ASPF）動(dòng)態(tài)創(chuàng)建和刪除過(guò)濾規(guī)則監(jiān)視通信過(guò)程中的報(bào)文 ASPF（application specific packet filt

4、er）是針對(duì)應(yīng)用層的包過(guò)濾，即基于狀態(tài)的報(bào)文過(guò)濾。它和普通的靜態(tài)防火墻協(xié)同工作，以便于實(shí)施內(nèi)部網(wǎng)絡(luò)的安全策略。aspf能夠檢測(cè)試圖通過(guò)防火墻的應(yīng)用層協(xié)議會(huì)話信息，阻止不符合規(guī)則的數(shù)據(jù)報(bào)文穿過(guò)。 為保護(hù)網(wǎng)絡(luò)安全，基于acl規(guī)則的包過(guò)濾可以在網(wǎng)絡(luò)層和傳輸層檢測(cè)數(shù)據(jù)包，防止非法入侵。aspf能夠檢測(cè)應(yīng)用層協(xié)議的信息，并對(duì)應(yīng)用的流量進(jìn)行監(jiān)控。 身份認(rèn)證防火墻用戶上網(wǎng)用戶名、密碼 ？輸入用戶名、密碼 認(rèn)證通過(guò) 正常上網(wǎng) 計(jì)算機(jī)網(wǎng)絡(luò)世界中一切信息包括用戶的身份信息都是用一組特定的數(shù)據(jù)來(lái)表示的，計(jì)算機(jī)只能識(shí)別用戶的數(shù)字身份，所有對(duì)用戶的授權(quán)也是針對(duì)用戶數(shù)字身份的授權(quán)；如何保證以數(shù)字身份進(jìn)行操作的操作者就是這

5、個(gè)數(shù)字身份合法擁有者，也就是說(shuō)保證操作者的物理身份與數(shù)字身份相對(duì)應(yīng)，身份認(rèn)證就是為了解決這個(gè)問(wèn)題，作為防護(hù)網(wǎng)絡(luò)資產(chǎn)的第一道關(guān)口，身份認(rèn)證有著舉足輕重的作用。內(nèi)容過(guò)濾 正常網(wǎng)站 有害網(wǎng)站有害內(nèi)容健康內(nèi)容有害網(wǎng)站過(guò)濾網(wǎng)頁(yè)惡意內(nèi)容摘除安全管理Internet日志緩沖監(jiān)控終端控制臺(tái)日志主機(jī)防火墻 安全管理（Safety Management）是管理科學(xué)的一個(gè)重要分支，它是為實(shí)現(xiàn)安全目標(biāo)而進(jìn)行的有關(guān)決策、計(jì)劃、組織和控制等方面的活動(dòng)；主要運(yùn)用現(xiàn)代安全管理原理、方法和手段，分析和研究各種不安全因素，從技術(shù)上、組織上和管理上采取有力的措施，解決和消除各種不安全因素，防止事故的發(fā)生。第2章 防火墻體系結(jié)構(gòu)熟悉

6、防火墻主要業(yè)務(wù)特性掌握防火墻典型應(yīng)用課程目標(biāo)學(xué)習(xí)完本課程，您應(yīng)該能夠：防火墻的主要業(yè)務(wù)特性應(yīng)用層狀態(tài)檢測(cè)多種攻擊防范手段豐富的VPN業(yè)務(wù)智能分析和管理手段內(nèi)容過(guò)濾及郵件過(guò)濾網(wǎng)絡(luò)協(xié)議積累安全認(rèn)證網(wǎng)絡(luò)隔離及訪問(wèn)控制地址轉(zhuǎn)換F100-CF100-AF100-SF1000-AF1000-SF100-EF1000-E防火墻的主要業(yè)務(wù)特性包過(guò)濾應(yīng)用層狀態(tài)檢測(cè)多種攻擊防范手段地址轉(zhuǎn)換防火墻受信區(qū)域不受信區(qū)域DoS攻擊黑客正常用戶阻止 郵件服務(wù)器 正常網(wǎng)站 有害網(wǎng)站Internet有害內(nèi)容健康內(nèi)容內(nèi)容過(guò)濾郵件過(guò)濾郵件檢測(cè)防火墻的主要業(yè)務(wù)特性企業(yè)網(wǎng)絡(luò)業(yè)務(wù)層日志中心企業(yè)網(wǎng)絡(luò)接入層發(fā)現(xiàn)有攻擊報(bào)文ABC上報(bào)日志拒絕攻

7、擊報(bào)文防火墻Email郵件通知防火墻的主要業(yè)務(wù)特性防火墻的主要業(yè)務(wù)特性防火墻的業(yè)務(wù)特性介紹防火墻的典型應(yīng)用目錄防火墻的典型應(yīng)用（1）對(duì)外服務(wù)器Untrust區(qū)域Trust區(qū)域?qū)＞€分支內(nèi)部網(wǎng)絡(luò)DMZ區(qū)域企業(yè)出口防火墻應(yīng)用方案防火墻提供強(qiáng)大的過(guò)濾功能，提供優(yōu)秀的管理功能，部署在內(nèi)部網(wǎng)絡(luò)的出口，防范來(lái)自外部網(wǎng)絡(luò)的各種攻擊。 防火墻的典型應(yīng)用（2） 中小企業(yè)防火墻結(jié)合VPN功能應(yīng)用 防火墻不但提供強(qiáng)大的過(guò)濾功能，并且具有強(qiáng)大的VPN功能，使用防火墻，即可以保護(hù)內(nèi)部網(wǎng)絡(luò)的安全，也可以滿足分支以及移動(dòng)辦公訪問(wèn)公司本部資源的需求。 企業(yè)總部語(yǔ)音設(shè)備應(yīng)用服務(wù)器MCU用戶動(dòng)態(tài)認(rèn)證服務(wù)器Secpath F1000

8、-SIP網(wǎng)絡(luò)動(dòng)態(tài)密碼鑰匙盤(pán)使用VPN客戶端遠(yuǎn)程辦公語(yǔ)音視訊數(shù)據(jù)Secpath F100-A企業(yè)分支認(rèn)證隧道VPN隧道防火墻的典型應(yīng)用（3）防火墻具有強(qiáng)大的VPN功能，可以滿足分支以及移動(dòng)辦公訪問(wèn)公司本部資源的需求，適應(yīng)SOHO型的家庭或者辦公網(wǎng)絡(luò)。 防火墻還提供強(qiáng)大的過(guò)濾功能和優(yōu)秀的管理功能。可以將其部署在內(nèi)部網(wǎng)絡(luò)的出口，防范來(lái)自外部網(wǎng)絡(luò)的各種攻擊。 soho防火墻結(jié)合VPN功能應(yīng)用 Trust區(qū)域Untrust區(qū)域SOHO內(nèi)部網(wǎng)絡(luò)使用VPN客戶端遠(yuǎn)程辦公防火墻的典型應(yīng)用（4）防火墻支持VPN應(yīng)用，同時(shí)能夠提供設(shè)備冗余備份和負(fù)載分擔(dān)。通過(guò)在企業(yè)總部放置兩臺(tái) 防火墻，分支通過(guò)IPSec VPN接

9、入，來(lái)保證數(shù)據(jù)在網(wǎng)絡(luò)上傳輸時(shí)的私有性、完整性、真實(shí)性和防重放。企業(yè)總部使用兩臺(tái)防火墻進(jìn)行負(fù)載分擔(dān)，同時(shí)在一臺(tái)設(shè)備出現(xiàn)問(wèn)題之后實(shí)現(xiàn)備份。 分支機(jī)構(gòu)VPN結(jié)合防火墻備份應(yīng)用 企業(yè)總部語(yǔ)音設(shè)備應(yīng)用服務(wù)器MCU防火墻防火墻語(yǔ)音視訊數(shù)據(jù)F100-A分支機(jī)構(gòu)語(yǔ)音視訊數(shù)據(jù)F100-A分支機(jī)構(gòu)IPSec隧道IPSec隧道備份IPSec隧道分支機(jī)構(gòu)熟悉了防火墻的業(yè)務(wù)特性了解防火墻典型組網(wǎng)本章小結(jié)第3章 安全區(qū)域了解安全區(qū)域基本概念掌握安全區(qū)域配置方法課程目標(biāo)學(xué)習(xí)完本課程，您應(yīng)該能夠：安全區(qū)域介紹 安全區(qū)域基本配置目錄安全區(qū)域概念內(nèi)部網(wǎng)絡(luò)服務(wù)器服務(wù)器DMZtrustuntrust防火墻(local) 安全區(qū)域主義

10、”是指“在特定地理范圍內(nèi)一個(gè)建設(shè)中的區(qū)域,將包含國(guó)家之間和國(guó)家內(nèi)部沖突關(guān)系的安全復(fù)合體轉(zhuǎn)變?yōu)榘瑢?duì)外合作關(guān)系和內(nèi)部和平的安全共同體的努力?！币簿褪钦f(shuō),安全區(qū)域主義的發(fā)展進(jìn)程是從“安全復(fù)合體”(security complex) 開(kāi)始,通過(guò)有效的區(qū)域安全管理或安全秩序建構(gòu),逐步走向“安全共同體”(security community)。安全區(qū)域劃分內(nèi)部網(wǎng)絡(luò)服務(wù)器服務(wù)器DMZtrustuntrust防火墻(local)接口、網(wǎng)絡(luò)、安全區(qū)域內(nèi)部網(wǎng)絡(luò)服務(wù)器服務(wù)器DMZtrustuntrust防火墻(local)Ethernet1/0Ethernet1/1Ethernet2/0入方向與出方向內(nèi)部網(wǎng)絡(luò)服務(wù)

11、器服務(wù)器DMZtrustuntrust防火墻(local)outboundinboundinboundoutboundinboundoutbound 安全區(qū)域介紹 安全區(qū)域基本配置目錄安全區(qū)域本配置安全區(qū)域配置包括創(chuàng)建安全區(qū)域進(jìn)入安全區(qū)域視圖進(jìn)入?yún)^(qū)域間視圖為安全區(qū)域添加接口設(shè)置安全區(qū)域的優(yōu)先級(jí) 安全區(qū)域基本配置創(chuàng)建安全區(qū)域操作命令創(chuàng)建安全區(qū)域firewall zone name zonename 刪除安全區(qū)域 undo firewall zone name zonename 安全區(qū)域基本配置進(jìn)入安全區(qū)域視圖操作命令進(jìn)入安全區(qū)域視圖 firewall zone zonename安全區(qū)域基本配置進(jìn)

12、入?yún)^(qū)域間視圖操作命令進(jìn)入?yún)^(qū)域間視圖 firewall interzone zone1 zone2 安全區(qū)域基本配置為安全區(qū)域添加接口操作命令將接口添加到安全區(qū)域 add interface interface-type interface-number 將接口從安全區(qū)域中刪除 undo add interface interface-type interface-number 安全區(qū)域基本配置設(shè)置安全區(qū)域的優(yōu)先級(jí)操作命令設(shè)置安全的優(yōu)先級(jí) set priority number 介紹了安全區(qū)域基本概念如何完成安全區(qū)域的基本配置本章小結(jié)第4章 訪問(wèn)控制列表了解訪問(wèn)控制列表基本概念掌握ACL的配置方

13、法課程目標(biāo)學(xué)習(xí)完本課程，您應(yīng)該能夠：ACL原理介紹ACL基本配置目錄ACL是什么？IP報(bào)頭TCP/UDP報(bào)頭數(shù)據(jù)協(xié)議號(hào)源地址目的地址源端口目的端口對(duì)于TCP/UDP來(lái)說(shuō)，這5個(gè)元素組成了一個(gè)TCP/UDP相關(guān)，訪問(wèn)控制列表就是利用這些元素定義的規(guī)則 信息點(diǎn)間通信和內(nèi)外網(wǎng)絡(luò)的通信都是企業(yè)網(wǎng)絡(luò)中必不可少的業(yè)務(wù)需求，但是為了保證內(nèi)網(wǎng)的安全性，需要通過(guò)安全策略來(lái)保障非授權(quán)用戶只能訪問(wèn)特定的網(wǎng)絡(luò)資源，從而達(dá)到對(duì)訪問(wèn)進(jìn)行控制的目的。簡(jiǎn)而言之，ACL可以過(guò)濾網(wǎng)絡(luò)中的流量，是控制訪問(wèn)的一種網(wǎng)絡(luò)技術(shù)手段；ACL的定義也是基于每一種協(xié)議的。如果路由器/防火墻接口配置成為支持三種協(xié)議（IP、AppleTalk以及I

14、PX）的情況，那么，用戶必須定義三種ACL來(lái)分別控制這三種協(xié)議的數(shù)據(jù)包。 ACL種類列表種類數(shù)字標(biāo)識(shí)范圍基本的訪問(wèn)控制列表 20002999 高級(jí)的訪問(wèn)控制列表 30003999 基于接口的訪問(wèn)控制列表 10001999 基于MAC的訪問(wèn)控制列表 40004999 基本訪問(wèn)控制列表從/24來(lái)的數(shù)據(jù)包可以通過(guò)！從/24來(lái)的數(shù)據(jù)包不能通過(guò)！防火墻高級(jí)訪問(wèn)控制列表防火墻從/24來(lái)的,到0的，使用TCP協(xié)議，利用HTTP訪問(wèn)的數(shù)據(jù)包可以通過(guò)！基于接口的訪問(wèn)控制列表防火墻在8:30 AM6:00 PM時(shí)間段內(nèi)經(jīng)過(guò)g0/0接口的數(shù)據(jù)包可以通過(guò)！基于MAC的訪問(wèn)控制列表防火墻源MAC為1-1-1,目的MAC

15、為2-2-2的數(shù)據(jù)包可以通過(guò)！ACL原理介紹 ACL基本配置目錄訪問(wèn)控制列表的創(chuàng)建SecPath acl number 2000 match-order configSecPath-acl-basic-2000? Acl-basic view commands: display Display current system information ping Ping function quit Exit from current command view return Exit to User View rule Specify an acl rule tracert Trace route

16、function undo Cancel current setting 如何使用反掩碼怎樣利用 IP 地址 和 反掩碼wildcard-mask 來(lái)表示一個(gè)網(wǎng)段？000255只比較前24位003255只比較前22位0255255255只比較前8位反掩碼和IP地址結(jié)合使用，可以描述一個(gè)地址范圍。ACL基本配置ACL基本配置包括基本訪問(wèn)控制列表配置高級(jí)訪問(wèn)控制列表配置基于接口的訪問(wèn)控制列表配置基于MAC地址的訪問(wèn)控制列表配置刪除訪問(wèn)控制列表 時(shí)間段配置訪問(wèn)控制列表的調(diào)試與顯示ACL基本配置基本訪問(wèn)控制列表配置操作命令在系統(tǒng)視圖下，創(chuàng)建一個(gè)基本訪問(wèn)控制列表 acl number acl-numbe

17、r match-order config | auto 在基本訪問(wèn)控制列表視圖下，配置ACL規(guī)則 rule rule-id permit | deny source sour-addr sour-wildcard | any time-range time-name logging fragment vpn-instance vpn-instance-name undo rule rule-id source time-range logging vpn-instance vpn-instance-name fragment ACL基本配置高級(jí)訪問(wèn)控制列表配置操作命令在系統(tǒng)視圖下，創(chuàng)建一個(gè)高級(jí)

18、訪問(wèn)控制列表 acl number acl-number match-order config | auto ACL基本配置高級(jí)訪問(wèn)控制列表配置(續(xù))操作命令在高級(jí)訪問(wèn)控制列表視圖下，配置ACL規(guī)則 rule rule-id permit | deny protocol source sour-addr sour-wildcard | any destination dest-addr dest-mask | any source-port operator port1 port2 destination-port operator port1 port2 icmp-type icmp-typ

19、e icmp-code| icmp-message precedence precedence dscp dscp established tos tos time-range time-name logging fragment vpn-instance vpn-instance-name undo rule rule-id source destination source-port destination-port icmp-type precedence dscp tos time-range logging fragment vpn-instance vpn-instance-nam

20、e ACL基本配置基于接口的訪問(wèn)控制列表配置操作命令在系統(tǒng)視圖下，創(chuàng)建一個(gè)基于接口的訪問(wèn)控制列表 acl number acl-number match-order config | auto 在基于接口的訪問(wèn)控制列表視圖下，配置ACL規(guī)則 rule permit | deny interface type number time-range time-name logging undo rule rule-id time-range | logging ACL基本配置基于MAC的訪問(wèn)控制列表配置操作命令在系統(tǒng)視圖下，創(chuàng)建一個(gè)基于MAC地址的訪問(wèn)控制列表 acl number acl-numb

21、er 在基于MAC地址的訪問(wèn)控制列表視圖下，配置ACL規(guī)則 rule rule-id deny | permit type type-code type-wildcard | lsap lsap-code lsap-wildcard source-mac sour-addr sour-wildcard dest-mac dest-addr dest-mask undo rule rule-id ACL基本配置刪除訪問(wèn)控制列表操作命令刪除訪問(wèn)控制列表 undo acl number acl-number | all ACL基本配置時(shí)間段配置操作命令創(chuàng)建一個(gè)時(shí)間段 time-range time-

22、name start-time to end-time days from time1 date1 to time2 date2 刪除一個(gè)時(shí)間段 undo time-range time-name start-time to end-time days from time1 date1 to time2 date2 ACL基本配置訪問(wèn)控制列表的顯示與調(diào)試操作命令顯示配置的訪問(wèn)控制列表規(guī)則 display acl all | acl-number 顯示時(shí)間段 display time-range all | time-name 清除訪問(wèn)規(guī)則計(jì)數(shù)器 reset acl counter all |

23、acl-number 介紹了訪問(wèn)控制列表的基本原理命令行方式下實(shí)現(xiàn)訪問(wèn)控制列表的配置本章小結(jié)第5章 包過(guò)濾技術(shù)掌握包過(guò)濾技術(shù)的原理與配置掌握ASPF的原理與配置掌握黑名單原理與配置課程目標(biāo)學(xué)習(xí)完本課程，您應(yīng)該能夠：包過(guò)濾介紹包過(guò)濾基本配置ASPF原理介紹ASPF基本配置黑名單原理介紹黑名單基本配置目錄包過(guò)濾技術(shù)介紹公司總部?jī)?nèi)部網(wǎng)絡(luò)未授權(quán)用戶辦事處防火墻 包過(guò)濾防火墻是最簡(jiǎn)單的一種防火墻，它在網(wǎng)絡(luò)層截獲網(wǎng)絡(luò)數(shù)據(jù)包，根據(jù)防火墻的規(guī)則表，來(lái)檢測(cè)攻擊行為。包過(guò)濾防火墻一般作用在網(wǎng)絡(luò)層（IP層），故也稱網(wǎng)絡(luò)層防火墻（Network Lev Firewall）或IP過(guò)濾器（IP filters）。數(shù)據(jù)包過(guò)

24、濾（Packet Filtering）是指在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行分析、選擇。通過(guò)檢查數(shù)據(jù)流中每一個(gè)數(shù)據(jù)包的源IP地址、目的IP地址、源端口號(hào)、目的端口號(hào)、協(xié)議類型等因素或它們的組合來(lái)確定是否允許該數(shù)據(jù)包通過(guò)。在網(wǎng)絡(luò)層提供較低級(jí)別的安全防護(hù)和控制。包過(guò)濾介紹包過(guò)濾基本配置ASPF原理介紹ASPF基本配置黑名單原理介紹黑名單基本配置目錄包過(guò)濾防火墻基本配置包過(guò)濾防火墻配置包括允許或禁止防火墻設(shè)置防火墻缺省過(guò)濾方式設(shè)置包過(guò)濾防火墻分片報(bào)文檢測(cè)開(kāi)關(guān)配置分片報(bào)文檢測(cè)的上、下門(mén)限值在接口上應(yīng)用訪問(wèn)控制列表 包過(guò)濾基本配置允許或者禁止防火墻操作命令允許防火墻firewall packet-filter ena

25、ble 禁止防火墻 undo firewall packet-filter enable 包過(guò)濾基本配置設(shè)置包過(guò)濾防火墻缺省過(guò)濾方式操作命令設(shè)置缺省過(guò)濾方式為允許通過(guò) firewall packet-filter default permit 設(shè)置缺省過(guò)濾方式為禁止通過(guò) firewall packet-filter default deny 包過(guò)濾基本配置設(shè)置包過(guò)濾防火墻分片檢測(cè)操作命令打開(kāi)分片報(bào)文檢測(cè)firewall packet-filter fragments-inspect 關(guān)閉分片報(bào)文檢測(cè) undo firewall packet-filter fragments-inspect 包

26、過(guò)濾基本配置配置分片報(bào)文檢測(cè)的上下限域值操作命令指定上、下限分片狀態(tài)記錄數(shù)目 firewall packet-filter fragments-inspect high | low default | number 恢復(fù)上限分片狀態(tài)記錄數(shù)目為缺省值 undo firewall packet-filter fragments-inspect high | low 包過(guò)濾基本配置在接口上應(yīng)用訪問(wèn)控制列表操作命令指定接口上過(guò)濾接收?qǐng)?bào)文的規(guī)則 firewall packet-filter acl-number inbound | outbound match-fragments normally |

27、exactly 取消接口上過(guò)濾接收?qǐng)?bào)文的規(guī)則 undo firewall packet-filter acl-number inbound | outbound 包過(guò)濾基本配置包過(guò)濾防火墻顯示與調(diào)試操作命令顯示接口的有關(guān)防火墻的統(tǒng)計(jì)信息 display firewall packet-filter statistics all | interface type number | fragments-inspect 顯示分片表 display firewall fragment 打開(kāi)防火墻包過(guò)濾調(diào)試信息開(kāi)關(guān) debugging firewall packet-filter all | denie

28、d | permitted | icmp | tcp | udp | fragments-inspect | others interface type number 包過(guò)濾基本配置包過(guò)濾防火墻顯示與調(diào)試(續(xù))操作命令關(guān)閉防火墻包過(guò)濾調(diào)試信息開(kāi)關(guān) undo debugging packet-filter firewall all | denied | permitted | icmp | tcp | udp | fragments-inspect | others interface type number 清除包過(guò)濾防火墻的統(tǒng)計(jì)信息 reset firewall packet-filter

29、statistics all | interface type number 包過(guò)濾介紹 包過(guò)濾基本配置 ASPF原理介紹 ASPF基本配置 黑名單原理介紹黑名單基本配置目錄包過(guò)濾技術(shù)存在的問(wèn)題ACL能夠解決所有問(wèn)題嗎？ASPF介紹能夠檢查應(yīng)用層協(xié)議信息能夠檢測(cè)傳輸層協(xié)議信息Java Blocking（Java阻斷）DoS（Denial of Service，拒絕服務(wù)）的檢測(cè)和防范 ActiveX Blocking（ActiveX阻斷） 支持端口到應(yīng)用的映射，為基于應(yīng)用層協(xié)議的服務(wù)指定非通用端口 增強(qiáng)的會(huì)話日志功能 ASPF基本概念Java Blocking端口映射單通道協(xié)議/多通道協(xié)議內(nèi)部接

30、口和外部接口 ASPF檢測(cè)應(yīng)用層協(xié)議基本原理Client AServer被保護(hù)的網(wǎng)絡(luò)用戶A初始化一個(gè)會(huì)話用戶A的會(huì)話返回報(bào)文被允許通過(guò)其他會(huì)話的報(bào)文被阻斷ASPF檢測(cè)多通道應(yīng)用層協(xié)議基本原理FTP Serverport:1333port:1600port:21port:20控制通道連接數(shù)據(jù)通道連接FTP指令和應(yīng)答port指令包過(guò)濾介紹 包過(guò)濾基本配置 ASPF原理介紹 ASPF基本配置 黑名單原理介紹黑名單基本配置目錄ASPF基本配置ASPF配置包括允許防火墻配置訪問(wèn)控制列表定義一個(gè)ASPF策略在選定的接口上應(yīng)用ASPF策略過(guò)濾范圍ASPF基本配置允許防火墻操作命令允許防火墻 firewall

31、 packet-filter enable ASPF基本配置配置訪問(wèn)控制列表操作命令配置訪問(wèn)控制列表（在ACL視圖下）rule deny將ACL應(yīng)用到出接口上（在接口視圖下） firewall packet-filter acl-num inbound ASPF基本配置定義ASPF策略之創(chuàng)建ASPF策略操作命令創(chuàng)建一個(gè)ASPF策略 aspf-policy aspf-policy-number 刪除創(chuàng)建一個(gè)ASPF策略 undo aspf-policy aspf-policy-numberASPF基本配置定義ASPF策略之配置空閑超時(shí)值操作命令配置空閑超時(shí)值 aging-time syn | f

32、in | tcp | udp seconds 恢復(fù)默認(rèn)的空閑超時(shí)值 undo aging-time syn | fin | tcp | udp ASPF基本配置定義ASPF策略之配置應(yīng)用層檢測(cè)操作命令配置空閑超時(shí)值 detect protocol aging-time seconds 刪除配置的應(yīng)用協(xié)議檢測(cè) undo detect protocol ASPF基本配置定義ASPF策略之配置通用TCP和UDP檢測(cè)操作命令配置通用TCP協(xié)議檢測(cè) detect tcp aging-time seconds 配置通用UDP協(xié)議檢測(cè) detect udp aging-time seconds 刪除通用TC

33、P協(xié)議檢測(cè) undo detect tcp 刪除通用UDP協(xié)議檢測(cè) undo detect udp ASPF基本配置在接口上應(yīng)用ASPF策略操作命令在接口上應(yīng)用ASPF策略 firewall aspf aspf-policy-number inbound | outbound 刪除該接口上應(yīng)用的ASPF策略 undo firewall aspf aspf-policy-number inbound | outbound 包過(guò)濾介紹 包過(guò)濾基本配置 ASPF原理介紹 ASPF基本配置 黑名單原理介紹黑名單基本配置目錄黑名單原理介紹從來(lái)的大量SYN報(bào)文主機(jī)在實(shí)行SynFlood攻擊，后面來(lái)的數(shù)據(jù)包

34、不能通過(guò)！防火墻 黑名單一詞來(lái)源于世界著名的英國(guó)的牛津和劍橋等大學(xué)。在中世紀(jì)初這些學(xué)校規(guī)定對(duì)于犯有不端行為的學(xué)生，將其姓名、行為列案記錄在黑皮書(shū)上，誰(shuí)的名字上了黑皮書(shū)，即使不是終生臭名昭著，也會(huì)使人在相當(dāng)時(shí)間內(nèi)名譽(yù)掃地。學(xué)生們對(duì)學(xué)校的這一規(guī)定十分害怕，常常小心謹(jǐn)慎，嚴(yán)防越軌行為的發(fā)生；對(duì)于網(wǎng)絡(luò)環(huán)境也是如此。黑名單列表表項(xiàng)的來(lái)源1.手動(dòng)添加2.動(dòng)態(tài)創(chuàng)建防火墻包過(guò)濾介紹 包過(guò)濾基本配置 ASPF原理介紹 ASPF基本配置 黑名單原理介紹黑名單基本配置目錄黑名單基本配置黑名單基本配置包括啟動(dòng)或禁止黑名單配置黑名單表項(xiàng)黑名單的顯示與調(diào)試黑名單基本配置啟動(dòng)或禁止黑名單操作命令啟動(dòng)黑名單功能 firewa

35、ll blacklist enable 禁止黑名單功能 undo firewall blacklist enable 黑名單基本配置配置黑名單表項(xiàng)操作命令配置黑名單表項(xiàng) firewall blacklist sour-addr timeout minutes 刪除黑名單表項(xiàng) undo firewall blacklist item sour-addr 黑名單基本配置黑名單的顯示與調(diào)試操作命令顯示當(dāng)前黑名單表項(xiàng)信息或運(yùn)行狀態(tài) display firewall blacklist enable | item sour-addr 打開(kāi)黑名單的調(diào)試開(kāi)關(guān) debugging firewall black

36、list all | item | packet 包過(guò)濾技術(shù)的原理與配置ASPF的原理與配置黑名單原理與配置本章小結(jié)第6章 地址轉(zhuǎn)換掌握NAT提出背景掌握NAT基本原理和地址轉(zhuǎn)換方式掌握NAT基本配置課程目標(biāo)學(xué)習(xí)完本課程，您應(yīng)該能夠：NAT提出背景 NAT原理介紹NAT基本配置目錄NAT提出背景地址轉(zhuǎn)換是在IP地址日益短缺的情況下提出的。一個(gè)局域網(wǎng)內(nèi)部有很多臺(tái)主機(jī)，可是不能保證每臺(tái)主機(jī)都擁有合法的IP地址，為了到達(dá)所有的內(nèi)部主機(jī)都可以連接Internet網(wǎng)絡(luò)的目的，可以使用地址轉(zhuǎn)換。地址轉(zhuǎn)換技術(shù)可以有效的隱藏內(nèi)部局域網(wǎng)中的主機(jī)，因此同時(shí)是一種有效的網(wǎng)絡(luò)安全保護(hù)技術(shù)。地址轉(zhuǎn)換可以按照用戶的需要，

37、在內(nèi)部局域網(wǎng)內(nèi)部提供給外部FTP、WWW、Telnet服務(wù)。私有地址與公有地址LAN1LAN2LAN3私有地址范圍： - 55 - 55 - 55NAT提出背景 NAT原理介紹NAT基本配置目錄NAT原理介紹數(shù)據(jù)報(bào)2源：目的：數(shù)據(jù)報(bào)2源：目的：數(shù)據(jù)報(bào)1源：目的：數(shù)據(jù)報(bào)1源：目的：ServerPCServerPC NAT是位于內(nèi)、外網(wǎng)之間，用來(lái)進(jìn)行內(nèi)、外網(wǎng)地址轉(zhuǎn)換的，在當(dāng)前NAT技術(shù)的應(yīng)用非常廣，因?yàn)樗梢怨?jié)約緊缺的公網(wǎng)IP地址。但是千萬(wàn)別以為NAT技術(shù)很簡(jiǎn)單，認(rèn)為只是把內(nèi)部（或者外部）地址轉(zhuǎn)換成外部（或者內(nèi)部）地址。地址轉(zhuǎn)換方式多對(duì)多地址轉(zhuǎn)換NAPT網(wǎng)絡(luò)地址端口轉(zhuǎn)換內(nèi)部服務(wù)器Easy IPAL

38、G應(yīng)用級(jí)網(wǎng)關(guān) NAT提出背景NAT原理介紹NAT基本配置目錄NAT基本配置NAT基本配置包括配置地址池配置地址轉(zhuǎn)換配置Easy IP配置多對(duì)多地址轉(zhuǎn)換配置NAPT配置內(nèi)部服務(wù)器地址轉(zhuǎn)換的顯示與調(diào)試NAT基本配置配置地址池操作命令定義一個(gè)地址池 nat address-group group-number start-addr end-addr 刪除一個(gè)地址池 undo nat address-group group-number NAT基本配置配置Easy IP操作命令配置訪問(wèn)控制列表和接口地址關(guān)聯(lián) nat outbound acl-number 刪除訪問(wèn)控制列表和接口地址的關(guān)聯(lián) undo n

39、at outbound acl-number NAT基本配置操作命令配置從內(nèi)部地址到外部地址的一對(duì)一轉(zhuǎn)換 nat static ip-addr1 ip-addr2 刪除已經(jīng)配置得NAT一對(duì)一轉(zhuǎn)換undo nat static ip-addr1 ip-addr2 配置一對(duì)一地址轉(zhuǎn)換Step 1Step 2操作命令使已經(jīng)配置的NAT一對(duì)一轉(zhuǎn)換在接口上生效 nat outbound static NAT基本配置配置多對(duì)多地址轉(zhuǎn)換操作命令配置訪問(wèn)控制列表和地址池關(guān)聯(lián) nat outbound acl-number address-group group-number no-pat 刪除訪問(wèn)控制列表和地

40、址池的關(guān)聯(lián)undo nat outbound acl-number address-group group-number no-pat NAT基本配置配置NAPT操作命令配置訪問(wèn)控制列表和地址池關(guān)聯(lián) nat outbound acl-number address-group group-number 刪除訪問(wèn)控制列表和地址池的關(guān)聯(lián)undo nat outbound acl-number address-group group-number NAT基本配置配置內(nèi)部服務(wù)器操作命令配置一個(gè)內(nèi)部服務(wù)器 nat server acl-number vpn-instance vpn-instance-na

41、me protocol pro-type global global-addr global-port inside host-addr host-port nat server acl-number vpn-instance vpn-instance-name protocol pro-type global global-addr global-port1 global-port2 inside host-addr1 host-addr2 host-port NAT基本配置配置內(nèi)部服務(wù)器(續(xù))操作命令刪除一個(gè)內(nèi)部服務(wù)器 undo nat server acl-number vpn-inst

42、ance vpn-instance-name protocol pro-type global global-addr global-port inside host-addr host-port undo nat server acl-number vpn-instance vpn-instance-name protocol pro-type global global-addr global-port1 global-port2 inside host-addr1 host-addr2 host-port NAT基本配置地址轉(zhuǎn)換的顯示與調(diào)試操作命令打開(kāi)NAT的調(diào)試開(kāi)關(guān)debugging

43、nat alg | event | packet interface interface-type interface-number host-port關(guān)閉NAT的調(diào)試開(kāi)關(guān) undo debugging nat alg | event | packet interface interface-type interface-number NAT基本配置地址轉(zhuǎn)換的顯示與調(diào)試(續(xù))操作命令查看地址轉(zhuǎn)換的狀況 display nat address-group | aging-time | all | outbound | server | statistics | session vpn-insta

44、nce vpn-instance-name slot slot-number source global global-addr | source inside inside-addr destination ip-addr 清除地址轉(zhuǎn)換映射表 reset nat log-entry | session slot slot-number 介紹NAT技術(shù)背景和基本原理NAT常用的地址轉(zhuǎn)換方式如何完成NAT的基本配置本章小結(jié)第7章 報(bào)文統(tǒng)計(jì)與攻擊防范了解報(bào)文統(tǒng)計(jì)概念和基本配置了解常見(jiàn)攻擊特征掌握常見(jiàn)攻擊防范的配置課程目標(biāo)學(xué)習(xí)完本課程，您應(yīng)該能夠：報(bào)文統(tǒng)計(jì)概述報(bào)文統(tǒng)計(jì)基本配置攻擊防范概述攻擊防范基本

45、配置目錄報(bào)文統(tǒng)計(jì)介紹TCP連接內(nèi)網(wǎng)WEB服務(wù)器 它根據(jù)IPv4報(bào)文的目的IP地址、源IP地址、目的端口號(hào)、源端口號(hào)、協(xié)議號(hào)、ToS（Type of Service，服務(wù)類型）、輸入接口和輸出接口來(lái)區(qū)分流，并針對(duì)不同的流進(jìn)行獨(dú)立的數(shù)據(jù)統(tǒng)計(jì)。報(bào)文統(tǒng)計(jì)概述報(bào)文統(tǒng)計(jì)基本配置攻擊防范概述攻擊防范基本配置目錄報(bào)文統(tǒng)計(jì)基本配置報(bào)文統(tǒng)計(jì)基本配置包括啟動(dòng)系統(tǒng)統(tǒng)計(jì)功能啟動(dòng)系統(tǒng)連接數(shù)量監(jiān)控啟動(dòng)系統(tǒng)報(bào)文比率異常告警檢測(cè) 報(bào)文統(tǒng)計(jì)功能基本配置啟動(dòng)或關(guān)閉系統(tǒng)統(tǒng)計(jì)功能操作命令啟動(dòng)系統(tǒng)統(tǒng)計(jì)功能 firewall statistics system enable 關(guān)閉系統(tǒng)統(tǒng)計(jì)功能 undo firewall statistic

46、s system enable 系統(tǒng)統(tǒng)計(jì)功能基本配置啟動(dòng)或關(guān)閉系統(tǒng)連接數(shù)量監(jiān)控功能操作命令啟動(dòng)系統(tǒng)連接數(shù)限制 firewall statistics system connect-number tcp | udp high high-value low low-value 關(guān)閉系統(tǒng)連接數(shù)限制 undo statistics system connect-number tcp | udp 系統(tǒng)統(tǒng)計(jì)功能基本配置啟動(dòng)或關(guān)閉系統(tǒng)報(bào)文比率異常告警檢測(cè)操作命令啟動(dòng)系統(tǒng)報(bào)文比率異常告警檢測(cè) firewall statistics system flow-percent tcp tcp-percent udp

47、 udp-percent icmp icmp-percent alteration alteration-percent time time-value 關(guān)閉系統(tǒng)報(bào)文比率異常告警檢測(cè) undo firewall statistics system flow-percent 報(bào)文統(tǒng)計(jì)基本配置域統(tǒng)計(jì)基本配置包括啟動(dòng)域統(tǒng)計(jì)功能啟動(dòng)域連接數(shù)量監(jiān)控啟動(dòng)域連接速率監(jiān)控 域統(tǒng)計(jì)功能基本配置啟動(dòng)或關(guān)閉域統(tǒng)計(jì)功能操作命令啟動(dòng)域統(tǒng)計(jì)功能 statistics enable zone inzone | outzone 關(guān)閉域統(tǒng)計(jì)功能 undo statistics enable zone inzone | outz

48、one 域統(tǒng)計(jì)功能基本配置啟動(dòng)或關(guān)閉域連接速率監(jiān)控操作命令啟動(dòng)域連接速率監(jiān)控 statistics connect-speed zone | ip inzone | outzone tcp | udp high high-limit low low-limit 關(guān)閉域連接速率監(jiān)控 undo statistics connect-speed zone | ip inzone | outzone tcp | udp 報(bào)文統(tǒng)計(jì)基本配置IP統(tǒng)計(jì)基本配置包括啟動(dòng)IP統(tǒng)計(jì)功能啟動(dòng)IP連接數(shù)量監(jiān)控啟動(dòng)IP連接速率監(jiān)控 IP統(tǒng)計(jì)功能基本配置啟動(dòng)或關(guān)閉IP統(tǒng)計(jì)功能操作命令啟動(dòng)IP統(tǒng)計(jì)功能 statistics

49、enable ip inzone | outzone 禁止IP統(tǒng)計(jì)功能 undo statistics enable ip inzone | outzone IP統(tǒng)計(jì)功能基本配置啟動(dòng)或關(guān)閉IP連接數(shù)量監(jiān)控操作命令啟動(dòng)IP連接數(shù)量監(jiān)控 statistics connect-number ip inzone | outzone tcp | udp high high-limit low low-limit acl acl-number 關(guān)閉IP連接數(shù)量監(jiān)控 undo statistics connect-number ip inzone | outzone tcp | udp acl acl-nu

50、mber IP統(tǒng)計(jì)功能基本配置啟動(dòng)或關(guān)閉IP連接速率監(jiān)控操作命令啟動(dòng)IP的連接速率監(jiān)控 statistics connect-speed ip inzone | outzone tcp | udp high high-limit low low-limit acl acl-number 關(guān)閉IP連接速率監(jiān)控 undo statistics connect-speed ip inzone | outzone tcp | udp acl acl-number 報(bào)文統(tǒng)計(jì)基本配置報(bào)文統(tǒng)計(jì)顯示與調(diào)試操作命令顯示防火墻統(tǒng)計(jì)信息 firewall defend large-icmp length 顯示防火墻

51、系統(tǒng)的統(tǒng)計(jì)信息 debugging firewall defend all 清除防火墻統(tǒng)計(jì)信息 reset firewall statistic system defend | current 清除防火墻域統(tǒng)計(jì)信息 reset firewall statistic zone zone-name inzone | outzone 清除防火墻IP統(tǒng)計(jì)信息 reset firewall statistic ip ip-address source-ip | destination-ip 報(bào)文統(tǒng)計(jì)概述報(bào)文統(tǒng)計(jì)基本配置攻擊防范概述攻擊防范基本配置目錄典型的網(wǎng)絡(luò)攻擊內(nèi)部網(wǎng)絡(luò)黑客防火墻 利用網(wǎng)絡(luò)存在的漏洞和

52、安全缺陷對(duì)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)進(jìn)行的攻擊。IP Spoofing攻擊內(nèi)部網(wǎng)絡(luò)黑客防火墻我有辦法不讓別人知道我真實(shí)的IP地址，嘿嘿! 找到要攻擊的主機(jī)A ，發(fā)現(xiàn)和它有關(guān)的信任主機(jī)B，將B利用某種方法攻擊癱瘓 ，對(duì)A的seq號(hào)進(jìn)行取樣 ，猜測(cè)新的可能的seq號(hào) ，用這個(gè)seq號(hào)進(jìn)行嘗試連接 ，如果連接成功,則執(zhí)行一個(gè)命令,留下一個(gè)后門(mén)。Land攻擊內(nèi)部網(wǎng)絡(luò)黑客防火墻源地址與目的地址都設(shè)成你的地址，看你如何招架! land 攻擊是一種使用相同的源和目的主機(jī)和端口發(fā)送數(shù)據(jù)包到某臺(tái)機(jī)器的攻擊。結(jié)果通常使存在漏洞的機(jī)器崩潰。Smurf攻擊內(nèi)部網(wǎng)絡(luò)黑客防火墻我要讓網(wǎng)絡(luò)的所有主機(jī)都對(duì)此ICMP

53、應(yīng)答請(qǐng)求作出答復(fù) Smurf攻擊是以最初發(fā)動(dòng)這種攻擊的程序名“Smurf”來(lái)命名的。這種攻擊方法結(jié)合使用了IP欺騙和ICMP回復(fù)方法使大量網(wǎng)絡(luò)傳輸充斥目標(biāo)系統(tǒng)，引起目標(biāo)系統(tǒng)拒絕為正常系統(tǒng)進(jìn)行服務(wù)。Smurf攻擊通過(guò)使用將回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址的ICMP應(yīng)答請(qǐng)求(ping)數(shù)據(jù)包，來(lái)淹沒(méi)受害主機(jī)，最終導(dǎo)致該網(wǎng)絡(luò)的所有主機(jī)都對(duì)此ICMP應(yīng)答請(qǐng)求做出答復(fù)，導(dǎo)致網(wǎng)絡(luò)阻塞。更加復(fù)雜的Smurf將源地址改為第三方的受害者，最終導(dǎo)致第三方崩潰。WinNuke攻擊內(nèi)部網(wǎng)絡(luò)黑客防火墻向139端口發(fā)送OOB報(bào)文 WinNuke攻擊是一種拒絕服務(wù)攻擊。 攻擊特征：WinNuke攻擊又稱帶外傳輸攻擊，它的特

54、征是攻擊目標(biāo)端口，被攻擊的目標(biāo)端口通常是139、138、137、113、53，而且URG位設(shè)為“1”，即緊急模式。 檢測(cè)方法：判斷數(shù)據(jù)包目標(biāo)端口是否為139、138、137等，并判斷URG位是否為“1”。 反攻擊方法：適當(dāng)配置防火墻設(shè)備或過(guò)濾路由器就可以防止這種攻擊手段（丟棄該數(shù)據(jù)包），并對(duì)這種攻擊進(jìn)行審計(jì)（記錄事件發(fā)生的時(shí)間，源主機(jī)和目標(biāo)主機(jī)的MAC地址和IP地址MAC）。SYN Flood攻擊內(nèi)部網(wǎng)絡(luò)黑客防火墻偽造大量的SYN報(bào)文，我是收不到給我的ACK報(bào)文的，哈哈 SYN Flood是當(dāng)前最流行的DoS（拒絕服務(wù)攻擊）與DdoS（分布式拒絕服務(wù)攻擊）的方式之一，這是一種利用TCP協(xié)議缺陷

55、，發(fā)送大量偽造的TCP連接請(qǐng)求，從而使得被攻擊方資源耗盡（CPU滿負(fù)荷或內(nèi)存不足）的攻擊方式。ICMP Flood攻擊內(nèi)部網(wǎng)絡(luò)黑客防火墻短時(shí)間內(nèi)向你發(fā)送大量的ICMP報(bào)文，你就努力地給我回應(yīng)吧，直到累死你，哈哈 這是一種DDOS攻擊，通過(guò)對(duì)其目標(biāo)發(fā)送超過(guò)65535字節(jié)的數(shù)據(jù)包，就可以令目標(biāo)主機(jī)癱瘓，如果大量發(fā)送就成了洪水攻擊UDP Flood攻擊內(nèi)部網(wǎng)絡(luò)黑客防火墻短時(shí)間內(nèi)向你發(fā)送大量的UDP報(bào)文請(qǐng)應(yīng)答，你就努力地給我回應(yīng)吧，直到累死你，哈哈 UDPFlood是日漸猖厥的流量型DoS攻擊，原理也很簡(jiǎn)單。常見(jiàn)的情況是利用大量UDP小包沖擊DNS服務(wù)器或Radius認(rèn)證服務(wù)器、流媒體視頻服務(wù)器。10

56、0k pps的UDPFlood經(jīng)常將線路上的骨干設(shè)備例如防火墻打癱，造成整個(gè)網(wǎng)段的癱瘓。由于UDP協(xié)議是一種無(wú)連接的服務(wù)，在UDPFLOOD攻擊中，攻擊者可發(fā)送大量偽造源IP地址的小UDP包。但是，由于UDP協(xié)議是無(wú)連接性的，所以只要開(kāi)了一個(gè)UDP的端口提供相關(guān)服務(wù)的話，那么就可針對(duì)相關(guān)的服務(wù)進(jìn)行攻擊。 地址掃描攻擊內(nèi)部網(wǎng)絡(luò)黑客防火墻網(wǎng)絡(luò)中有哪些主機(jī)存在呢？Ping 利用一些工具，如IP地址掃描器、MAC地址掃描系統(tǒng)等等。通過(guò)這些工具，可以知道局域網(wǎng)內(nèi)有哪些IP地址或者M(jìn)AC地址是有效的；并且這些地址所對(duì)應(yīng)的主機(jī)采用了什么樣的操作系統(tǒng)，打了什么補(bǔ)丁等等。都可以一目了然的知道。地址掃描一般是進(jìn)行

57、其它攻擊之前的一個(gè)必要步驟。有些還可以知道這些操作系統(tǒng)中，管理員帳戶是否采用了空密碼或者弱密碼。端口掃描攻擊內(nèi)部網(wǎng)絡(luò)黑客防火墻網(wǎng)絡(luò)中有哪些主機(jī)使用哪些端口提供服務(wù)呢？Port scan 端口掃描攻擊是一種常用的探測(cè)技術(shù)，攻擊者可將它用于尋找他們能夠成功攻擊的服務(wù)。連接在網(wǎng)絡(luò)中的所有計(jì)算機(jī)都會(huì)運(yùn)行許多使用 TCP 或 UDP 端口的服務(wù)，而所提供的已定義端口達(dá)6000個(gè)以上。通常，端口掃描僅利用對(duì)端口所進(jìn)行的掃描不會(huì)造成直接的損失。然而，端口掃描可讓攻擊者找到可用于發(fā)動(dòng)各種攻擊的端口。Ping of death 攻擊內(nèi)部網(wǎng)絡(luò)黑客防火墻發(fā)送長(zhǎng)度大于65508的ICMP Echo請(qǐng)求報(bào)文,讓你的系統(tǒng)

58、崩潰! 在因特網(wǎng)上，ping of death是一種拒絕服務(wù)攻擊，方法是由攻擊者故意發(fā)送大于65535字節(jié)的ip數(shù)據(jù)包給對(duì)方。 TCP/IP的特征之一是碎裂；它允許單一IP包被分為幾個(gè)更小的數(shù)據(jù)包。在1996年，攻擊者開(kāi)始利用那一個(gè)功能，當(dāng)他們發(fā)現(xiàn)一個(gè)進(jìn)入使用碎片包可以將整個(gè)IP包的大小增加到ip協(xié)議允許的65536比特以上的時(shí)候。當(dāng)許多操作系統(tǒng)收到一個(gè)特大號(hào)的ip包時(shí)候，它們不知道該做什么，因此，服務(wù)器會(huì)被凍結(jié)、當(dāng)機(jī)或重新啟動(dòng)。報(bào)文統(tǒng)計(jì)概述報(bào)文統(tǒng)計(jì)基本配置攻擊防范概述攻擊防范基本配置目錄攻擊防范基本配置攻擊防范基本配置包括啟動(dòng)ARP Flood攻擊防范功能啟動(dòng)ARP反向查詢攻擊防范功能啟動(dòng)A

59、RP欺騙攻擊防范功能啟動(dòng)IP欺騙攻擊防范功能啟動(dòng)Land攻擊防范功能啟動(dòng)Smurf攻擊防范功能啟動(dòng)Fraggle攻擊防范功能啟動(dòng)Frag Flood攻擊防范功能啟動(dòng)WinNuke攻擊防范功能有關(guān)SYN Flood攻擊防范配置有關(guān)ICMP Flood攻擊防范配置有關(guān)UDP Flood攻擊防范配置啟動(dòng)ICMP重定向報(bào)文控制功能啟動(dòng)ICMP不可達(dá)報(bào)文控制功能啟動(dòng)地址掃描攻擊防范功能啟動(dòng)端口掃描攻擊防范功能啟動(dòng)帶路由記錄選項(xiàng)IP報(bào)文控制功能啟動(dòng)Tracert報(bào)文控制功能啟動(dòng)Ping of Death攻擊防范功能啟動(dòng)Teardrop攻擊防范功能啟動(dòng)TCP報(bào)文合法性檢測(cè)功能啟動(dòng)IP分片報(bào)文檢測(cè)功能啟動(dòng)超大

60、ICMP報(bào)文控制功能 攻擊防范基本配置啟動(dòng)或關(guān)閉ARP Flood攻擊防范功能操作命令啟動(dòng)ARP Flood攻擊防范功能 firewall defend arp-flood max-rate rate-number 關(guān)閉ARP Flood攻擊防范功能 undo firewall defend arp-flood 攻擊防范基本配置啟動(dòng)或關(guān)閉ARP反向查詢攻擊防范功能操作命令啟動(dòng)ARP反向查詢攻擊防范功能 firewall defend arp-reverse-query 關(guān)閉ARP反向查詢攻擊防范功能 undo firewall defend arp-reverse-query 攻擊防范基本配置