关于企业宽带路由器防火墙的应用
防火墙应用指南——攻击防护实验演示
TL-FR5300为企业网络提供强大的安全保障和防护功能。支持内/外部攻击防范,提供扫描类攻击、DoS类攻击、可疑包和含有IP选项的包等攻击保护,能侦测及阻挡IP 地址欺骗、源路由攻击、IP/端口扫描、DoS等网络攻击,有效防止Nimda、冲击波、木马等病毒攻击。
“区域”这个参数的概念请参考《用户手册》,在攻击防护里面,先选择“区域”LAN或者WAN,也就是选定将要防护的区域。下面我们将以实验的形式演示TL-FR5300对各类攻击是如何控制的。
1、扫描类攻击
扫描类包含三种形式,其中WAN区域没有IP欺骗设置。扫描一般都是发起攻击的第一个步骤,攻击者可以利用IP扫描和端口扫描来获取目标网络的主机信息和目标主机的端口开放情况,然后对某主机或者某主机的某端口发起攻击,可见对扫描作预先的判断并保护可以有效的防止攻击。TL-FR5300防火墙对扫描类攻击的判断依据是:设置一个时间阈值(时间、微妙级),若在规定的时间间隔内某种数据包的数量超过了10个的话,即认定为进行了一次扫描,那么将在接下来的两秒时间里拒绝来自同一源的这种扫描数据包。阈值的设置一般建议尽可能的大,最大值为一秒,也就是1000000微妙,一般推荐0.5秒-1秒之间设置,简单的话也就是阈值越大,防火墙对扫描越“敏感”。
当我们在TL-FR5300“扫描攻击”设置阈值为800000微妙时,在扫描主机192.168.1.2可以用抓包工具看看发现发送的数据包没有回应这时看防火墙日志服务器上的提示
同样的对21端口的扫描,就发现没有目的主机的回应,因为已经被防火墙拒绝了。,日志中很清晰的记录了内网电脑192.168.1.2有端口扫描的行为。在开启了防火墙的攻击防护后,扫描软件扫描的结果是一片空白,所以这里没有截图说明,理论上还是有可能会扫描到一些端口的,因为FR5300每次的扫描判断还是要允许十个扫描数据包的通过,可能的情况是目的主机开放了过多的端口或者有开放的端口刚好在被允许的十个数据包之中,但这种几率是微乎其微的。
2、DOS类攻击防护
拒绝服务(DoS--Denial of Service)攻击的目的是用极其大量的虚拟信息流耗尽目标主机的资源,目标主机被迫全力处理虚假信息流,从而影响对正常信息流的处理。如果攻击来自多个源地址,则称为分布式拒绝服务DDoS。
TL-FR5300对DoS类攻击的判断依据为:设置一个阈值(单位为每秒数据包个数PPS=Packet Per Second),如果在规定的时间间隔内(1秒),某种数据包超过了设置的阈值,即认定为发生了一次洪泛攻击,那么在接下来2秒的时间内,忽略掉下来自相同攻击源的这一类型数据包。
这里“DoS类攻击防护”阈值设置与上面“扫描攻击”阈值刚好相反,这里值越小越“敏感”,但一般也不能太小,正常的应用不能影响,我们可以根据自己的环境在实际的应用中动态调整。
可以自己做实验
在192.168.1.2这台主机上利用工具软件制造了300pps的ICMP包,发往10.1.58.60这台主机,从图中我们也可以看到目标主机的艰难回应,如果速度更快些呢?不仅仅是目标主机,网络设备同样可能忙于回应这些攻击包,我们在FR5300“DoS类攻击防护”-“ICMP Flood”中设置阈值300后,在192.168.1.2这台主机上抓包发现大部分只有ICMP Request,隔一段时间会有少数的Reply,大部分没有了回应,因为被防火墙拒绝了!防火墙日志服务器上也记录了这个攻击,可以查看日志
3、可疑包与含有IP选项的
一般情况下上面两部分的数据包是不会出现的,属于非正常的包,可能是病毒或者攻击者的试探,TL-FR5300在设置了相应的攻击防护的话会将对应的数据包丢弃。
后记:
笔者公司用的路由器是TL-R480T,其实路由器就是一个挺不错的防火墙,至少在一般的公司已经足够了,只要网管们注意每天查看路由器日志,时间长了,配置经验自然有了.
[ 本帖最后由 litelforever 于 2007-10-8 13:04 编辑 ]
|
