科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道Juniper防火墙防攻击举例

Juniper防火墙防攻击举例

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

Juniper的防火墙上均配置了防30多种网络层攻击的功能,尤其是ISG系列(ISG1000和ISG2000)防火墙,具备硬件防攻击的能力,在抗攻击的同时不影响防火墙的性能。

作者:yaodaifu 来源:赛迪网 2008年10月31日

关键字: 防火墙 Juniper

  • 评论
  • 分享微博
  • 分享邮件

  Juniper的防火墙上均配置了防30多种网络层攻击的功能,尤其是ISG系列(ISG1000和ISG2000)防火墙,具备硬件防攻击的能力,在抗攻击的同时不影响防火墙的性能。以下是两种防御机制的介绍:

  ·SYN Attack(SYN 攻击):当网络中充满了会发出无法完成的连接请求的SYN 封包,以至于网络无法再处理合法的连接请求,从而导致拒绝服务(DoS) 时,就发生了SYN 泛滥攻击。防火墙可以采用Syn Proxy和Syn Cookie两种机制进行防御,其中Syn Proxy机制里是先对数据包进行策略匹配,匹配通过的syn包如果每秒超过了阀值(阀值可以基于目的地址和端口、或目的地址、或源地址进行设置),则开启防御机制,新的syn包就由防火墙做应答syn/ack,并放入队列,等待应答ack是否超时,超时则丢弃;Syn Cookie机制则是完全无连接状态的,每秒的syn包超过阀值就开启防御机制,防火墙做syn的应答syn/ack,并在syn/ack应答里嵌入加密的cookie,如果接收到的ack里有该cookie,则是正常连接。

  ·Limit session(限制会话):NetScreen 设备可限制由单个IP 地址(源或目的)建立的会话数量。例如,如果从同一客户端发送过多的请求,就能耗尽Web 服务器上的会话资源。此选项定义了每秒钟NetScreen 设备可以为单个IP 地址建立的最大会话数量。(缺省阀值为每个IP 地址每秒128个会话。)对源地址进行回话数的限制可以避免感染Nimda等病毒的服务器发出太多的回话请求避免防火墙的回话表被填满。对目的地址进行回话数的限制则可以防止DDoS的攻击,使得目标服务器得到太多的虚假的连接请求。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章