当前位置:文档之家 › 高端防火墙入侵检测典型配置举例

高端防火墙入侵检测典型配置举例

  • 格式:pdf
  • 大小:1.51 MB
  • 文档页数:28

下载文档原格式

  / 28
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

SecPath高端防火墙入侵检测典型配置举

关键词:入侵检测、DDOS、扫描、黑名单

摘要:本文简单描述了高端多核防火墙入侵检测模块的特点,包括SYN FLOOD检测、UDP FLOOD检测、ICMP FLOOD检测、扫描攻击检测、单包攻击检测、静态黑名单功

能、动态黑名单功能。给出入侵检测典型的配置案例及攻击报文构造的详细步骤。

缩略语:

缩略语英文全名中文解释

DDOS Distributed Denial of Service 分布式拒绝服务

HTTP Hypertext Transfer Protocol WWW服务程序所用的协议

ICMP Internet Control Message Protocol Internet控制报文协议

Protocol 网际协议

IP Internet

TCP Transfer Control Protocol 传输控制协议

UDP User Datagram Protocol 用户数据报协议

目录

1 特性简介 (3)

2 特性使用指南 (3)

2.1 使用场合 (3)

2.2 配置指南 (3)

2.3 攻击软件介绍 (3)

2.4 注意事项 (4)

3 支持的设备和版本 (4)

3.1 设备版本 (4)

3.2 支持的设备 (5)

3.3 配置保存 (5)

4 配置举例 (6)

4.1 典型组网 (6)

4.2 设备基本配置 (6)

4.2.1 其他共同配置: (6)

4.3 入侵检测业务典型配置举例 (7)

4.3.1 静态黑名单功能 (7)

4.3.2 动态黑名单功能 (7)

4.3.3 ICMP FLOOD检测 (8)

4.3.4 UDP FLOOD检测 (11)

4.3.5 SYN FLOOD检测 (13)

4.3.6 扫描攻击检测 (16)

4.3.7 单包攻击检测 (17)

5 相关资料 (28)

1 特性简介

(1) 入侵检测是防火墙的重要特性之一,它分析经过防火墙报文的内容和行为,

判断报文是否具有攻击特性,如果有则执行一定的防范措施:如加入黑名

单、输出告警日志、丢弃报文等。

(2) 防火墙的入侵检测能够检测拒绝服务型(DoS)、扫描窥探型、畸形报文型

等多种类型的攻击,并对攻击采取合理的防范措施。入侵检测具体功能包括

黑名单过滤、报文攻击特征识别、流量异常检测、入侵检测统计。

(3) 入侵检测管理是对防火墙的黑名单过滤、攻击特征识别、流量异常检测、入

侵检测统计几项重要的功能进行配置管理。本节将分别介绍上述功能及其配

置。

2 特性使用指南

2.1 使用场合

在内外网之间通过分析防火墙报文的内容和行为,判断报文是否具有攻击特性,从

而执行防范措施,保护网络安全运行。

2.2 配置指南

入侵检测功能业务全部可以采用Web方式配置,入侵检测业务功能可以通过Web配

置以下内容:

z静态黑名单功能

z动态黑名单功能

z ICMP FLOOD检测

z UDP FLOOD检测

z SYN FLOOD检测

z扫描攻击检测

z单包攻击检测

2.3 攻击软件介绍

攻击软件有很多选择,本文中选择使用NetWizard。

NetWizard是具有报文构造、发送和解码功能,强大的功能使其得到了广泛使用。

它主要有如下特点:

(1) 对报文完全的、智能的访问能力。

完全的访问能力指它能构造任意的报文,对报文的访问力度到“bit”;智能的访问

能力指在报文构造时,能够对报文字段进行自动变化,并能对报文进行一定的自动

计算,如报文校验和、报文中的长度字段等。

(2) 强大的对新协议的扩展支持能力。

用户可以自己定义新的协议报文,程序能够在报文构造和报文解码时使用该定义,

从而具备对新协议、私有协议的支持能力。

(3) 提供了灵活的报文发送定制能力。

用户可以定义报文发送规则,如并发发送、按序列发送等,它还可以设置报文发送

的触发条件,从而使其能够维持一个简单的状态机。

(4) 对现有协议广泛的支持力度。

2.4 注意事项

此处入侵检测的Web配置在典型配置实例中作说明。

3 支持的设备和版本

3.1 设备版本

H3C Comware Platform Software

Comware Software, Version 5.20, Beta 3105

Copyright (c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved.

H3C SecPath F1000-E uptime is 0 week, 0 day, 0 hour, 3 minutes

CPU type: RMI XLR732 1000MHz CPU

1024M bytes DDR2 SDRAM Memory

4M bytes Flash Memory

PCB Version:Ver.B

Logic Version: 1.0

Basic BootWare Version: 1.10

Extend BootWare Version: 1.16

[FIXED PORT] CON (Hardware)Ver.B, (Driver)1.0, (Cpld)2.0

[FIXED PORT] AUX (Hardware)Ver.B, (Driver)1.0, (Cpld)2.0

[FIXED PORT] GE0/0 (Hardware)Ver.B, (Driver)1.0, (Cpld)2.0

[FIXED PORT] GE0/1 (Hardware)Ver.B, (Driver)1.0, (Cpld)2.0

相关主题