热搜词
 楼主| 发表于 2008-5-6 21:13:25 | 显示全部楼层
 楼主| 发表于 2008-5-6 21:14:15 | 显示全部楼层
全部评论11
灰儿 发表于 2008-5-6 21:13:25 | 显示全部楼层
防火墙应用指南(四)日志服务器的安装与使用

第一部分:安装
安装数据库服务器:
MSDE为SQL Server数据库服务器的桌面数据库引擎,是微软提供的免费桌面数据库引擎。在电脑上点击“开始”―“运行”,输入下面三部分信息,这三部分信息用双引号(“”)扩起来表示,中间用加号(+)连接:
“解压的MSDE文件的绝对路径”+“setup.exe”+“sapwd=XXX”
例如下载的压缩包在C盘根目录(C:\),解压后的文件夹路径是C:\CHS_MSDE2000A ,那么就可以在“运行”里面输入下面这样的路径:
C:\CHS_MSDE2000A\setup.exe SAPWD=XXX
“XXX”表示数据库的登陆密码,这个在后面要用到,一定要记住。然后按“回车键”,点击“下一步”进行安装,安装完成电脑重启之后,数据库服务器会自动运行并在电脑桌面右下角的任务栏显示,到此数据库服务器就成功安装。安装好的数据库服务器状态如下:
图1SQL server服务管理器
安装防火墙日志服务器:
安装产品配带的光盘中的日志服务器,直接安装即可。
第二部分:连接数据库与登陆日志服务器
做好上面两步安装操作后,点击“开始”—“程序”――“TP-LINK日志服务器”,可以看到如下登陆界面:
图2TP-LINK防火墙日志服务器登陆界面
服务器名:填写图1中的服务器后面的名称;
用户名:SA,不要更改;
密码:输入在安装SQL server时填写的密码,注意这个密码不能保存,每次登陆都必须重新输入;
数据库名:保持默认,不要更改;
注:第一次登陆时需要重新启动SQL server服务器的,点击图1的“停止”,再点击“开始/继续运行”,然后再重新打开上图2的“防火墙日志服务器”就可以了。
顺利登陆后,界面如下:
图3防火墙日志服务器主界面
这样的话我们已经顺利的运行了防火墙日志服务器,但现在还不能监听到日志,我们还需要在防火墙做相应的设置才可以;
登陆防火墙,打开“系统工具”―“Syslog设置”,输入安装防火墙日志服务器电脑的IP地址,选择好您想了解的日志类型,启用并保存即可。
图4Syslog设置
此时与FR5300“策略”相关的日志还是不能被监听,对策略相关的日志还需要在“策略”―“编辑”中的“日志”选项,选中“开启”和“会话时开始记录”,这样对防火墙的一切操作或者攻击等等都在日志服务器的监控之下了。

图5接收到的日志新记录
如上图,设置好之后就可以从日志服务器上查看防火墙日志了。
防火墙应用指南(五)攻击防护实验演示


    TL-FR5300为企业网络提供强大的安全保障和防护功能。支持内/外部攻击防范,提供扫描类攻击、DoS类攻击、可疑包和含有IP选项的包等攻击保护,能侦测及阻挡IP 地址欺骗、源路由攻击、IP/端口扫描、DoS等网络攻击,有效防止Nimda、冲击波、木马等病毒攻击。
    TL-FR5300的攻击防护配置界面如下图:
    如上图,“区域”这个参数的概念请参考《用户手册》,在攻击防护里面,先选择“区域”LAN或者WAN,也就是选定将要防护的区域。下面我们将以实验的形式演示TL-FR5300对各类攻击是如何控制的。
1、扫描类攻击
图1扫描类攻击
    扫描类包含三种形式,其中WAN区域没有IP欺骗设置。扫描一般都是发起攻击的第一个步骤,攻击者可以利用IP扫描和端口扫描来获取目标网络的主机信息和目标主机的端口开放情况,然后对某主机或者某主机的某端口发起攻击,可见对扫描作预先的判断并保护可以有效的防止攻击。TL-FR5300防火墙对扫描类攻击的判断依据是:设置一个时间阈值(时间、微妙级),若在规定的时间间隔内某种数据包的数量超过了10个的话,即认定为进行了一次扫描,那么将在接下来的两秒时间里拒绝来自同一源的这种扫描数据包。阈值的设置一般建议尽可能的大,最大值为一秒,也就是1000000微妙,一般推荐0.5秒-1秒之间设置,简单的话也就是阈值越大,防火墙对扫描越“敏感”。
    下面我们先在不开启防火墙攻击防护功能的情况下,看看一个端口扫描的工具扫描的结果:
图2扫描到的端口信息
图3利用抓包软件看到的发送数据包
    图2是192.168.1.2这台主机利用一个端口扫描工具扫描10.1.58.60这台机器的端口开放情况,图3是同时在192.168.1.2主机上利用抓包工具抓取到的数据包,图中我们可以很清晰的看到扫描工具依次扫描目标主机的端口,从1、2、3…直到扫描完毕。当目标主机上有对应端口的服务开放的话,就会回应扫描主机,比如上图的43号数据包,因此我们也顺利的扫描到了目标主机的开放端口21。
    当我们在TL-FR5300“扫描攻击”设置阈值为800000微妙时,在扫描主机192.168.1.2上面抓包:
图4发送的数据包没有回应
图5防火墙日志服务器上的提示
    同样的对21端口的扫描,图4中就没有目的主机的回应,因为已经被防火墙拒绝了。图5是TL-FR5300的日志服务器上显示的内容,关于日志服务器的使用,请参考《防火墙应用指南——日志服务器的安装与使用》,日志中很清晰的记录了内网电脑192.168.1.2有端口扫描的行为。在开启了防火墙的攻击防护后,扫描软件扫描的结果是一片空白,所以这里没有截图说明,理论上还是有可能会扫描到一些端口的,因为FR5300每次的扫描判断还是要允许十个扫描数据包的通过,可能的情况是目的主机开放了过多的端口或者有开放的端口刚好在被允许的十个数据包之中,但这种几率是微乎其微的。
2、DOS类攻击防护
图6DOS类攻击防护
    拒绝服务(DoS--Denial of Service)攻击的目的是用极其大量的虚拟信息流耗尽目标主机的资源,目标主机被迫全力处理虚假信息流,从而影响对正常信息流的处理。如果攻击来自多个源地址,则称为分布式拒绝服务DDoS。
    TL-FR5300对DoS类攻击的判断依据为:设置一个阈值(单位为每秒数据包个数PPS=Packet Per Second),如果在规定的时间间隔内(1秒),某种数据包超过了设置的阈值,即认定为发生了一次洪泛攻击,那么在接下来2秒的时间内,忽略掉下来自相同攻击源的这一类型数据包。
    这里“DoS类攻击防护”阈值设置与上面“扫描攻击”阈值刚好相反,这里值越小越“敏感”,但一般也不能太小,正常的应用不能影响,我们可以根据自己的环境在实际的应用中动态调整。
    下面我们来看看一个ICMP的例子:
图7大量的ICMP包
在192.168.1.2这台主机上利用工具软件制造了300pps的ICMP包,发往10.1.58.60这台主机,从图中我们也可以看到目标主机的艰难回应,如果速度更快些呢?不仅仅是目标主机,网络设备同样可能忙于回应这些攻击包,我们在FR5300“DoS类攻击防护”-“ICMP Flood”中设置阈值300后,在192.168.1.2这台主机上抓包发现大部分只有ICMP Request(如下图9),隔一段时间会有少数的Reply,大部分没有了回应,因为被防火墙拒绝了!防火墙日志服务器上也记录了这个攻击,如下图8:
图8ICMP洪泛
图9ICMP包没有了回应
3、可疑包与含有IP选项的包
图10可疑包与含有IP选项的包
    一般情况下上面两部分的数据包是不会出现的,属于非正常的包,可能是病毒或者攻击者的试探,TL-FR5300在设置了相应的攻击防护的话会将对应的数据包丢弃。
    本文从两个很简单的实验说明攻击的原理和TL-FR5300面对攻击的处理机制,文中涉及的参数仅供参考,在现实的应用环境中还需要不断的测试和调整以达到最好的使用效果。
    当不再为网络带宽发愁的今天,攻击是稳定性和安全性的最大敌人,使用TL-FR5300的攻击防护功能可以让您的网络更加容易管理、更加稳定、更加安全!
回复

使用道具 举报

灰儿 发表于 2008-5-6 21:14:15 | 显示全部楼层
防火墙应用指南(六)“策略”方向性问题的探讨


在配置TL-FR5300策略的时候,对于策略的方向性需要仔细分辨,本文档对于一些异常的、少见的情况下策略的方向确定,给出了一些参考建议。
假设TL-FR5300 WAN口的IP地址是222.77.77.40 ,内网服务器的IP地址是192.168.1.10,提供的服务端口是30 。
1,一般情况
如果在FR5300的LAN区域建立了服务器,提供给WAN区域主机访问,我们必须建立从WAN—>LAN的策略。(将“自定义服务”里面的服务端口就设置为LAN区域服务器提供的服务端口)设置如下:
如上图,当然可以定义别的任何端口,只需要访问的时候使用定义端口就可以了。
策略设置如上图,这个大家都已经会设置了。设置后以后,WAN区域主机主动访问WAN口IP地址的30端口,FR5300会将访问的数据包转发至内网的192.168.1.10这台主机,然后192.168.1.10回应数据包,连接建立。
2,特殊情况
上面都是WAN区域主动发起连接,连接LAN区域的服务器,这样将符合WAN—>LAN策略,可以成功连接。如果用户的使用环境中,先是WAN区域主动发起连接,正常连接服务器,然后从服务器上获取信息的时候,这个信息需要服务器主动发起新的连接,连接使用的源端口仍然是30这个服务端口,目的端口是客户端的随机端口,这样的连接能否建立呢?答案是不能建立的,虽然我们设置了从WAN—>LAN的策略,已经包含了自定义的30端口,但是这里是服务器主动发起的连接,这个新连接并不能符合从WAN—>LAN的策略,而是必须要重新定义从LAN到WAN的策略,配置如下:
注意和第一幅图片定义的端口位置不同!
如上图再增加这样一条从LAN—>WAN的策略,将源端口30的数据包也就是服务器的数据包权限开放,那么才能达到用户的需求!也就是如果WAN区域主机访问服务器后,服务器主动发起新连接但是源端口不改动,这时候从WAN—>LAN的策略是不能满足的,必须再增加一条从LAN—>WAN的策略来开放服务器主动访问WAN区域的权限才可以!
3,内网建立E-mail服务器的问题
如下示意图:
如上图:在FR5300的内网建立了一台TP-LINK E-mail服务器,本地的电脑都是在TP-LINK E-mail服务器上收发邮件。外网某主机使用Yahoo的信箱。如果“外网主机发送一封邮件给本地的电脑”,那么数据包的流程是上图中蓝色线标注的——先是外网主机将自己的邮件发送给自己的E-mail服务器也就是Yahoo的邮件服务器(使用SMTP/WEB协议),然后Yahoo的邮件服务器再将邮件发送给TP-LINK E-mail服务器(使用SMTP协议),然后本地电脑再从TP-LINK E-mail服务器上收取邮件(使用POP3/WEB协议)。
如果本地电脑要发送邮件给外网的Yahoo信箱,流程如下图:
如上图:本地电脑先将数据包发送给内网的TP-LINK E-mail服务器(使用SMTP/WEB协议),TP-LINK E-mail服务器再将数据发送给外网的Yahoo E-mail服务器(使用SMTP协议),之后外网的主机再从Yahoo邮件服务器上收取邮件(使用POP3/WEB协议)。
上面的两次流程,我们可以看到内网主机和外网主机在互通邮件的时候,实际上是:县发送给自己的E-mail服务器,然后才是分处内外网的两台E-mail服务器之间通过SMTP协议互相发送邮件的。
根据上面的描述,如果上面这种情况下在FR5300上面设置策略,需要两条策略:
1,WAN——>LAN(源地址)ANY –(目的地址)WAN IP –(预定义服务)SMTP –NAT
上面这条策略用于外网的邮件服务器给内网的邮件服务器发送邮件。
2,LAN——>WAN(源地址).10– (目的地址)ANY– (预定义服务)SMTP/DNS
这条策略用户内网邮件服务器给外网邮件服务器发送邮件。
假设没有设置第2条策略,内网用户就发现:自己可以成功发送邮件给外网用户,但是外网用户收不到。因为是成功发送给了内网的邮件服务器,而内网邮件服务器因为没有LAN到WAN的权限,所有外网主机收不到邮件。

全文打包下载: 防火墙应用指南(TL-FR5300).rar (1.77 MB, 下载次数: 1196)

[ 本帖最后由 灰儿 于 2008-5-6 21:48 编辑 ]
回复

使用道具 举报

回复
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|管理员之家 ( 苏ICP备2023053177号-2 )

GMT+8, 2024-12-23 08:27 , Processed in 0.173096 second(s), 22 queries .

Powered by Discuz! X3.5

Cpoyright © 2001-2024 Discuz! Team