扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:yaodaifu 来源:赛迪网 2008年9月18日
关键字: Juniper防火墙 防火墙 软件防火墙
Juniper的防火墙上均配置了防30多种网络层攻击的功能,尤其是ISG系列(ISG1000和ISG2000)防火墙,具备硬件防攻击的能力,在抗攻击的同时不影响防火墙的性能。以下是两种防御机制的介绍:
·SYN Attack(SYN 攻击):当网络中充满了会发出无法完成的连接请求的SYN 封包,以至于网络无法再处理合法的连接请求,从而导致拒绝服务(DoS) 时,就发生了SYN 泛滥攻击。防火墙可以采用Syn Proxy和Syn Cookie两种机制进行防御,其中Syn Proxy机制里是先对数据包进行策略匹配,匹配通过的syn包如果每秒超过了阀值(阀值可以基于目的地址和端口、或目的地址、或源地址进行设置),则开启防御机制,新的syn包就由防火墙做应答syn/ack,并放入队列,等待应答ack是否超时,超时则丢弃;Syn Cookie机制则是完全无连接状态的,每秒的syn包超过阀值就开启防御机制,防火墙做syn的应答syn/ack,并在syn/ack应答里嵌入加密的cookie,如果接收到的ack里有该cookie,则是正常连接。
·Limit session(限制会话):NetScreen 设备可限制由单个IP 地址(源或目的)建立的会话数量。例如,如果从同一客户端发送过多的请求,就能耗尽Web 服务器上的会话资源。此选项定义了每秒钟NetScreen 设备可以为单个IP 地址建立的最大会话数量。(缺省阀值为每个IP 地址每秒128个会话。)对源地址进行回话数的限制可以避免感染Nimda等病毒的服务器发出太多的回话请求避免防火墙的回话表被填满。对目的地址进行回话数的限制则可以防止DDoS的攻击,使得目标服务器得到太多的虚假的连接请求。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。