NETSCREEN防火墙ZONE SCREEN配置说明.docx

NETSCREEN防火墙ZONE SCREEN配置说明.docx

《NETSCREEN防火墙ZONE SCREEN配置说明.docx》由会员分享，可在线阅读，更多相关《NETSCREEN防火墙ZONE SCREEN配置说明.docx（7页珍藏版）》请在冰豆网上搜索。

NETSCREEN防火墙ZONESCREEN配置说明

NETSCREEN防火墙ZoneScreen

配置说明

目录

1.IPSWEEP【关闭建议由IDP设备防御此类攻击】4

2.PORTSCAN【关闭建议由IDP设备防御此类攻击】4

3.IPOPTION【关闭此类攻击较少出现】4

4.SYN-FIN【关闭此类攻击较少出现】5

5.FIN-NO-ACK【关闭此类攻击较少出现】5

6.TCP-NO-FLAG【关闭此类攻击较少出现】6

7.IP-SPOOFING【关闭此类攻击较少出现】6

8.SOURCE-ROUTE【关闭此类攻击较少出现】6

9.SESSION-LIMIT【打开基于源地址限制SESSION数量】7

10.SYN-ACK-ACK-PROXY【关闭此类攻击较少出现】7

11.SYN-FLOOD【打开设置attackthreshold】8

12.ICMP-FLOOD【打开】10

13.UDP-FLOOD【打开】10

14.LAND【关闭此类攻击较少出现】11

15.PING-DEATH【关闭此类攻击较少出现】11

16.TEAR-DROP【关闭此类攻击较少出现】12

17.WINNUKE【关闭此类攻击较少出现】12

1.IPSWEEP【关闭建议由IDP设备防御此类攻击】

命令

setzonezonescreenip-sweepthresholdnumber

setzonezonescreenip-sweep

说明

使用缺省设置时，如果某个远程主机在0.005秒（5000微秒）内将ICMP信息流发送给10个地址，则安全设备将其标记为地址扫描攻击，并在指定临界时间段的剩余时间内拒绝来自该主机的所有更多ICMP请求。

设备会检测并丢弃满足地址扫描攻击标准的第十个及以后的报文。

2.PORTSCAN【关闭建议由IDP设备防御此类攻击】

命令

setzonezonescreenport-scanthresholdnumber

setzonezonescreenport-scan

说明

使用缺省设置时，如果某个远程主机在0.005秒（5,000微秒）内扫描了10个端口，则设备将其标记为端口扫描攻击，并在指定门限的剩余时间内拒绝来自该远程源地点的所有其它报文。

设备会检测并丢弃满足端口扫描攻击标准的第十个及以后的报文。

3.IPOPTION【关闭此类攻击较少出现】

命令

setzonezonescreenip-record-route

setzonezonescreenip-timestamp-opt

setzonezonescreenip-security-opt

setzonezonescreenip-stream-opt

说明

记录路由:

安全设备检测IP选项为7（记录路由）的报文，并在入口接口的SCREEN计数器列表中记录事件。

时戳:

安全设备检测IP选项列表包含选项4（互联网时戳）的报文，并在入口接口的SCREEN计数器列表中记录事件。

安全:

安全设备检测IP选项为2（安全）的报文，并在入口接口的SCREEN计数器列表中记录事件。

流ID:

安全设备检测IP选项为8（流ID）的报文，并在入口接口的SCREEN计数器列表中记录事件。

4.SYN-FIN【关闭此类攻击较少出现】

命令

setzonezonescreensyn-fin

说明

当启用了此SCREEN选项时，安全设备将检查TCP包头中是否同时设置了SYN和FIN标志。

如果设备发现这样的包头，则会丢弃报文。

5.FIN-NO-ACK【关闭此类攻击较少出现】

命令

setzonezonescreenfin-no-ack

说明

当启用了此SCREEN选项时，安全设备将检查TCP包头中是否设置了FIN标志而未设置ACK标志。

如果设备发现含这种包头的报文，则会丢弃该报文。

6.TCP-NO-FLAG【关闭此类攻击较少出现】

命令

setzonezonescreentcp-no-flag

说明

当启用了安全设备以检测未设置标志的TCP片段时，设备将丢弃缺失标志位字段或含有残缺标志位字段的所有TCP报文。

7.IP-SPOOFING【关闭此类攻击较少出现】

命令

setzonezonescreenip-spoofingdrop-no-rpf-route

说明

如果报文中的源IP地址不在路由表中，则在缺省情况下安全设备允许该报文通过（假定有一个策略允许它）。

使用本SCREEN配置（其中指定的安全区段是报文始发的区段），可以指示安全设备丢弃源IP地址不在路由表中的任何报文

命令

setzonezonescreenip-spoofing

说明

指示安全设备丢弃源IP地址不在路由表中,或报文到达的接口与去往此报文源地址的出接口不符合的任何报文

8.SOURCE-ROUTE【关闭此类攻击较少出现】

命令

setzonezonescreenip-filter-src

说明

封锁设置了松散或严格源路由选项的报文，指定的安全区段是报文始发的区段

命令

setzonezonescreenip-loose-src-route

setzonezonescreenip-strict-src-route

说明

检测并记录（但不封锁）设置了松散或严格源路由选项的报文，指定的安全区段是报文始发的区段

9.SESSION-LIMIT【打开基于源地址限制SESSION数量】

命令

setzonezonescreenlimit-sessionsource-ip-basednumber

setzonezonescreenlimit-sessionsource-ip-based

说明

限制来自相同源IP地址的并发会话数目，默认128

命令

setzonezonescreenlimit-sessiondestination-ip-basednumber

setzonezonescreenlimit-sessiondestination-ip-based

说明

限制去往相同目的IP地址的并发会话数目，默认128

10.SYN-ACK-ACK-PROXY【关闭此类攻击较少出现】

命令

setzonezonescreensyn-ack-ack-proxythresholdnumber

setzonezonescreensyn-ack-ack-proxy

说明

当认证用户发起Telnet或FTP连接时，该用户将SYN片段发送到Telnet或FTP服务器。

防火墙截取该SYN片段，在其会话表中创建一个条目，并代发一个SYN-ACK片段给该用户。

然后该用户用ACK片段回复。

至此就完成了初始三方握手。

设备向用户发出登录提示。

如果怀有恶意的用户没有登录，而是继续发起SYN-ACK-ACK会话，则ScreenOS会话表将填满到设备开始拒绝合法连接请求的状态。

在来自相同IP地址的连接数目达到SYN-ACK-ACK代理临界值后，安全设备将拒绝来自该IP地址的更多连接请求。

在缺省情况下，来自任何单个IP地址的连接数目临界值是512。

11.SYN-FLOOD【打开设置attackthreshold】

对每秒钟允许通过防火墙的SYN片段数加以限制。

可以将目标地址和端口、仅目标地址或仅源地址上的攻击临界值作为基础。

当每秒的SYN片段数超过这些临界值之一时，安全设备开始代理发送流入的SYN片段、用SYN/ACK片段回复、并将不完全的连接请求存储到连接队列中。

未完成的连接请求保留在队列中，直到连接完成或请求超时。

命令

setzonezonescreensyn-floodattack-thresholdnumber

说明

激活SYN代理机制所需的每秒钟发向相同目标地址的SYN片段数，超过门限值后触发代理机制。

命令

setzonezonescreensyn-floodalarm-thresholdnumber

说明

每秒钟代理的半连接TCP请求数，在达到该数目后安全设备将在事件日志中加入一条警告。

例如，如果SYN攻击临界值设为每秒2000个SYN片段且警告临界值为1000，则每秒钟发往相同目标地址和端口号的SYN片段总数必须达到3001时，才会触发警告将其写入日志。

命令

setzonezonescreensyn-floodsource-thresholdnumber

说明

安全设备开始丢弃来自该来源的连接请求之前，每秒从单个源IP地址接收的SYN片段数

命令

setzonezonescreensyn-flooddestination-thresholdnumber

说明

安全设备丢弃到该目标的连接请求之前，每秒从单个目的IP地址接收的SYN片段数。

命令

setzonezonescreensyn-floodtimeoutnumber

说明

丢弃队列中半连接报文之前等待的最长时间。

缺省值为20秒，可以将该超时值设置为0-50秒。

命令

setzonezonescreensyn-floodqueue-sizenumber

说明

安全设备开始拒绝新的连接请求前，代理连接队列中的代理连接请求的数量。

队列长度值越大，设备就需要越长的时间来扫描该队列，以找到与代理连接请求匹配的有效ACK响应。

命令

setzonezonescreensyn-flooddrop-unknown-mac

说明

当防火墙检测到SYN攻击时，它会代理所有的TCP连接请求。

但是，如果目的MAC地址不在其MAC地址表中，则处于“透明”模式的设备不能代理TCP连接请求。

在缺省情况下，检测到SYN攻击且处于“透明”模式的设备将允许含有未知MAC地址的SYN报文直接通过。

可以使用此选项指示设备丢弃含有未知目的MAC地址的SYN报文，而不是让其通过。

12.ICMP-FLOOD【打开】

命令

setzonezonescreenicmp-floodthresholdnumber

setzonezonescreenicmp-flood

说明

当启用了ICMP泛洪保护功能时，可以设置一个临界值，一旦超过此值就会调用ICMP泛洪攻击保护功能。

（缺省的临界值为每秒1000个报文。

）如果超过了该临界值，安全设备在该秒余下的时间和下一秒内会忽略其它的ICMP回应要求。

13.UDP-FLOOD【打开】

命令

setzonezonescreenudp-floodthresholdnumber

setzonezonescreenudp-flood

说明

当启用了UDP泛滥保护功能时，可以设置一个临界值，一旦超过此临界值就会调用UDP泛滥攻击保护功能。

（缺省的临界值为每秒1000个报文。

）如果从一个或多个源向单个目标发送的UDP数据报数超过了此临界值，防火墙在该秒余下的时间和下一秒内会忽略其它到该目标的UDP数据报。

14.LAND【关闭此类攻击较少出现】

命令

setzonezonescreenland

说明

当攻击者发送含有受害者IP地址的欺骗性SYN报文，将其受害者地址同时作为报文的目的和源IP地址时，即LAND攻击。

接收系统通过向自己发送SYN-ACK报文来进行响应，同时创建一个空的连接，该连接将会一直保持到达到空闲超时值为止。

当启用SCREEN选项以封锁LAND攻击时，安全设备将SYNFLOOD防御和IP欺骗保护的元素有机结合在一起，以检测和封锁这种性质的企图。

15.PING-DEATH【关闭此类攻击较少出现】

命令

setzonezonescreenping-death

说明

过大的ICMP报文会引发一系列不利的系统反应，如拒绝服务（DoS）、系统崩溃、死机以及重新启动。

启用PingofDeathSCREEN选项时，安全设备检测并拒绝这些过大的且不规则的报文大小，即便是攻击者通过故意分段来隐藏总报文大小。

16.TEAR-DROP【关闭此类攻击较少出现】

命令

setzonezonescreentear-drop

说明

当一个报文碎片的偏移值与大小之和不同于下一报文碎片时，报文发生重叠，并且服务器尝试重新组合报文时会引起系统崩溃，特别是如果服务器正在运行含有这种漏洞的旧版操作系统时更是如此。

在启用TeardropAttackSCREEN选项后，只要设备检测到报文碎片中的这种差异，就会丢弃该碎片。

17.WINNUKE【关闭此类攻击较少出现】

命令

setzonezonescreenwinnuke

说明

WinNuke是针对互联网上运行Windows的计算机的DoS攻击。

攻击者将TCP片段[通常发送给设置了紧急（URG）标志的NetBIOS端口139]发送给具有已建连接的主机。

这样就产生NetBIOS碎片重叠，从而导致运行Windows的机器崩溃。

如果启用了WinNukeattackdefenseSCREEN选项，则安全设备会扫描所有流入的“MicrosoftNetBIOS会话服务”（端口139）报文。

如果观察到其中一个报文中设置了URG标志，则设备将取消设置该URG标志，清除URG指针，转发修改后的指针，然后在事件日志中写入一个条目，说明其已封锁了一个尝试的WinNuke攻击。