NETSCREEN设备管理配置手册2（实例：vpn配置、实…

9. 移除策略
  除修改和重新排序策略外，还可以删除策略。在WebUI中，在要移除的策略的Configure栏中单击Remove.当系统消息提示是否继续删除时，单击Yes。在CLI中，使用
unset policy id_num命令。
　11 保护网络
入侵受保护网络的动机可能有很多。下表包含一些常见的目的:
• 收集有关受保护网络的下列各类信息:
   – 网络的拓扑
   – 活动主机的IP地址
   – 活动主机上的活动端口数
   – 活动主机的操作系统
• 用虚假信息流耗尽受保护网络上主机的资源，诱发拒绝服务(DoS)
• 用虚假信息流耗尽受保护网络的资源，诱发网络级DoS
• 用虚假信息流耗尽防火墙的资源，并因此诱发对其后面的网络的DoS
• 导致受保护网络上主机的数据破坏以及窃取该主机的数据
• 获得受保护网络上主机的访问权限以获取数据
• 获得主机的控制权以发起其它攻击
• 获得防火墙的控制权以控制对其保护的网络的访问
ScreenOS提供了检测性和防御性的工具，以使当攻击者试图攻击受NetScreen设备保护的网络时，能查明和阻挡其达到上述目的的企图。
11.1攻击阶段
每个攻击通常分两个主要阶段进行。第一阶段攻击者收集信息，第二阶段攻击者发起攻击。
1. 执行侦查。
   1. 映射网络并确定哪些主机是活动的( IP 地址扫描)。
   2. 在通过IP地址扫描而发现的主机上，识别哪些端口是活动的( 端口扫描)。
3. 确定操作系统，从而暴露出操作系统中的弱点，或者建议一个易影响该特定操作系统的攻击。
2. 发动攻击。
   1. 隐藏攻击的发起点。
   2. 执行攻击。
   3. 删除或隐藏证据。
       11.2检测和防御机制
  攻击过程可以是收集信息的探查，也可以是破坏、停用或损害网络或网络资源的攻击。在某些情况下，两种攻击目的之间的区别不太清楚。例如，TCP SYN 段的阻塞可能是旨在触发活动主机的响应的IP地址扫描，也可能是以耗尽网络资源使之不能正常工作为目的的SYN泛滥攻击。此外，由于攻击者通常在攻击之前先对目标执行侦查，因而我们可以将收集信息的尝试视为即将来临的攻击的先兆 － 也就是说，它们构成了攻击的第一阶段。因此，术语“攻击”既包括侦查活动，也包括攻击活动，有时不太好区分这两者之间的差别。
NetScreen 提供了各种区段级和策略级的检测方法和防御机制，以便在所有阶段对抗攻击行为。
• 在安全区(Zone) 上设置的Screen选项
• 基于安全区之间、安全区内和超安全区策略的防火墙策略。(“超区段”表示全局策略，不
涉及任何安全区)
  为保护所有连接尝试的安全，NetScreen设备使用了一种动态封包过滤方法，即通常所说的状态式检查。使用此方法，NetScreen设备在IP封包和TCP片段包头中记入各种不同的信息单元 ---源和目的IP地址、源和目的端口号，以及封包序列号----并保持穿越防火墙的每个TCP会话和伪UDP会话的状态。( NetScreen 也会根据变化的元素，如动态端口变化或会话终止，来修改会话状态)。当响应的TCP封包到达时，NetScreen设备会将其包头中包含的信息与检查表中储存的相关会话的状态进行比较。如果相符，允许响应封包通过防火墙。如果不相符，则丢弃该封包。
  NetScreen SCREEN 选项用于保护区段的安全，具体做法是先检查要求经过绑定到该区域的某一接口的所有连接尝试，然后予以准许或拒绝。然后NetScreen设备应用防火墙策略，在这些策略中，可能包含针对通过SCREEN过滤器的信息流的内容过滤和入侵检测及防护(IDP) 组件。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有