了解 2007-12-9 03:59
Juniper防火墙防攻击举例
Juniper的防火墙上均配置了防30多种网络层攻击的功能,尤其是ISG系列(ISG1000和ISG2000)防火墙,具备硬件防攻击的能力,在抗攻击的同时不影响防火墙的性能。以下是两种防御机制的介绍:
·SYN Attack(SYN 攻击):当网络中充满了会发出无法完成的连接请求的SYN 封包,以至于网络无法再处理合法的连接请求,从而导致拒绝服务(DoS) 时,就发生了SYN 泛滥攻击。防火墙可以采用Syn Proxy和Syn Cookie两种机制进行防御,其中Syn Proxy机制里是先对数据包进行策略匹配,匹配通过的syn包如果每秒超过了阀值(阀值可以基于目的地址和端口、或目的地址、或源地址进行设置),则开启防御机制,新的syn包就由防火墙做应答syn/ack,并放入队列,等待应答ack是否超时,超时则丢弃;Syn Cookie机制则是完全无连接状态的,每秒的syn包超过阀值就开启防御机制,防火墙做syn的应答syn/ack,并在syn/ack应答里嵌入加密的cookie,如果接收到的ack里有该cookie,则是正常连接。
·Limit session(限制会话):NetScreen 设备可限制由单个IP 地址(源或目的)建立的会话数量。例如,如果从同一客户端发送过多的请求,就能耗尽Web 服务器上的会话资源。此选项定义了每秒钟NetScreen 设备可以为单个IP 地址建立的最大会话数量。(缺省阀值为每个IP 地址每秒128个会话。)对源地址进行回话数的限制可以避免感染Nimda等病毒的服务器发出太多的回话请求避免防火墙的回话表被填满。对目的地址进行回话数的限制则可以防止DDoS的攻击,使得目标服务器得到太多的虚假的连接请求。
买卖 2008-1-11 16:59
sh}:oq% *liu(xig *liu(xig
机器鸡 2008-1-11 17:53
对目的地址进行回话数的限制则可以防止DDoS的攻击么,这种限制应该怎么做
xinqinghao 2008-1-11 22:22
Juniper的防火墙的功能还真是蛮强的嘛,用着放心啊
