精华内容
下载资源
问答
  • ARP防护软件

    2020-08-19 03:51:45
    ARP防护软件系统结构:取本机默认网关IP,锁定IP_MAC地址,取MAC地址,======窗口程序集1||||------_按钮2_被单击||||------_按钮1_被单击||||------_最小化_被选择||||------_锁定网关_被选择||||------_解除
  • Hillstone的StoneOS是一个专业的安全操作系统,它将安全防护与传统的路由和交换等网络功能相结合,并引进一系列安全防护特性,对ARP和二层攻击进行了广泛而有效的防护。这些安全防护机制能够保护ARP学习表和MAC学习...
  • ARP防护软件系统结构:取本机默认网关IP,锁定IP_MAC地址,取MAC地址,======窗口程序集1||||------_按钮2_被单击||||------_按钮1_被单击||||------_最小化_被选择||||------_锁定网关_被选择||||------_解除
  • ARP防护解决方案 思科解决方案 思科解决方案 思科解决方案 思科解决方案
  • ARPGuard android平台,ARP防护软件。 吐嘈: 让你用P2P终结者断我网!!!
  • 华为最新ARP防护

    2018-12-19 14:27:00
    ARP 报文限速功能简介:为了防止“中间人攻击”,设备通过开启ARP 入侵检测功能,将ARP 报文上送到CPU 处理,判断ARP 报文的合法性后进行转发或丢弃。但是,这样引入了新的问题:如果攻击者恶意构造大量ARP 报文发往...

    ARP 报文限速功能简介:
    为了防止“中间人攻击”,设备通过开启ARP 入侵检测功能,将ARP 报文上送到
    CPU 处理,判断ARP 报文的合法性后进行转发或丢弃。但是,这样引入了新的问
    题:如果攻击者恶意构造大量ARP 报文发往交换机的某一端口,会导致CPU 负担过重,从而造成其他功能无法正常运行甚至设备瘫痪。S3900 系列以太网交换机支
    持端口ARP 报文限速功能,使受到攻击的端口暂时关闭,来避免此类攻击对CPU
    的冲击。
    开启某个端口的ARP 报文限速功能后,交换机对每秒内该端口接收的ARP 报文数
    量进行统计,如果每秒收到的ARP 报文数量超过设定值,则认为该端口处于超速状
    态(即受到ARP 报文攻击)。此时,交换机将关闭该端口,使其不再接收任何报文,
    从而避免大量ARP 报文攻击设备。
    同时,设备支持配置端口状态自动恢复功能,对于配置了ARP 限速功能的端口,在
    其因超速而被交换机关闭后,经过一段时间可以自动恢复为开启状态。
    配置实例:
    配置ARP监测速率
    interface Ethernet1/0/8
    port access vlan 148
    arp rate-limit enable(打开ARP监测功能)
    arp rate-limit 50 (设置ARP监测速率为每秒钟50个ARP包)

    配置自动关闭端口功能:
    在全局模式下:
    arp protective-down recover enable(开启交换机端口自动恢复功能)
    arp protective-down recover interval 15(设置自动恢复时间为15秒)测试结果:
    %Apr   2 00:27:30:089 2000 LINPINGJIEDAO_3952_ L2INF/5/PORT LINK STATUS CHANGE:- 1 -
    Ethernet1/0/8 is UP
    %Apr   2 00:27:52:170 2000 LINPINGJIEDAO_3952_ DHCP-SNP/5/arp_overspeed:- 1 -
    PacketLimit: ARP packet rate(52pps) exceeded on interface Ethernet1/0/8. The port will be down!
    (ARP包超过设定速率,此端口将关闭)
    %Apr   2 00:27:52:348 2000 LINPINGJIEDAO_3952_ L2INF/5/PORT LINK STATUS CHANGE:- 1 -
    Ethernet1/0/8 is DOWN
    %Apr   2 00:42:51:858 2000 LINPINGJIEDAO_3952_ L2INF/5/PORT LINK STATUS CHANGE:- 1 -
    Ethernet1/0/8 is UP(15秒后,端口自动打开)
    查看交换机端口状态:
    <3952>dis brief interface (注意第8口的状态为PTC)
    Interface:        
    Eth   - Ethernet   GE   - GigabitEthernet TENGE - tenGigabitEthernet        
    Loop - LoopBack   Vlan - Vlan-interface   Cas   - Cascade        
    Speed/Duplex:        
    A - auto-negotiation
    Interface   Link     Speed   Duplex Type   PVID Description                 
    --------------------------------------------------------------------------------
    Aux1/0/0     UP       --     --     --     --   
    Eth1/0/1     UP       A100M   Afull   trunk   1     uplink-TANGXIZHEN_3952
    Eth1/0/2     ADM DOWN A       A       trunk   1    
    Eth1/0/3     ADM DOWN A       A       trunk   1    
    Eth1/0/4     ADM DOWN A       A       trunk   1    
    Eth1/0/5     DOWN     A       A       access 902  
    Eth1/0/6     UP       A100M   Afull   access 902   GuangJiSheQu
    Eth1/0/7     DOWN     A       A       access 902  
    Eth1/0/8 PTC DOWN A       A       access 902  (注意第8口的状态为PTC)
    注意事项:
    1、这个功能需要3900系列1602以上版本才能支持,其他型号的交换机暂时没有研究;
    2、arp包的速率限制要根据具体环境而设置,需要测试后才能铺开实施;
    3、如果要手动打开被关闭的端口,可以使用undo shutdown打开;

    转载于:https://www.cnblogs.com/lancekk/p/10143021.html

    展开全文
  • ARP防护ARP防护ARP防护ARP防护ARP防护ARP防护ARP防护ARP防护ARP防护ARP防护ARP防护ARP防护ARP防护ARP防护ARP防护ARP防护ARP防护ARP防护ARP防护ARP防护ARP防护
  • 防止ARP攻击,让你安心放心上网,享受上网快乐!
  • ARP防护

    千次阅读 热门讨论 2015-10-04 20:37:34
    首先对于ARP的认识是在我对自己的电脑进行局域网兼容的时候开始的,虽然经历了一些坎坷,不过最终还是对ARP防护有了自己的理解和认识,除了下面的方法,还有通过APR –S以及NETSH “X X”ADD NEIGHBORS IDX 等方法...

    首先对于ARP的认识是在我对自己的电脑进行局域网兼容的时候开始的,虽然经历了一些坎坷,不过最终还是对ARP的防护有了自己的理解和认识,除了下面的方法,还有通过APR –S以及NETSH “X X”ADD NEIGHBORS IDX 等方法进行添加,虽然治标不治本但是也是提供了一条解决问题的途径,如果大家有其他的方法,欢迎交流。

    @echo off
    :::::::::读取本机Mac地址
    if exist ipconfig.txt del ipconfig.txt
    ipconfig /all >ipconfig.txt
    if exist phyaddr.txt del phyaddr.txt
    find "Physical Address" ipconfig.txt >phyaddr.txt
    for /f "skip=2 tokens=12" %%M in (phyaddr.txt) do set Mac=%%M
    :::::::::读取本机ip地址
    if exist IPAddr.txt del IPaddr.txt
    find "IP Address" ipconfig.txt >IPAddr.txt
    for /f "skip=2 tokens=15" %%I in (IPAddr.txt) do set IP=%%I
    :::::::::绑定本机IP地址和MAC地址
    arp -s %IP% %Mac%
    :::::::::读取网关地址
    if exist GateIP.txt del GateIP.txt
    find "Default Gateway" ipconfig.txt >GateIP.txt
    for /f "skip=2 tokens=13" %%G in (GateIP.txt) do set GateIP=%%G
    :::::::::读取网关Mac地址
    if exist GateMac.txt del GateMac.txt
    arp -a %GateIP% >GateMac.txt
    for /f "skip=3 tokens=2" %%H in (GateMac.txt) do set GateMac=%%H
    :::::::::绑定网关Mac和IP,这里就需要修改成自己的网关的IP和MAC 
    arp -s 192.168.1.1 00-18-74-17-c7-80
    del GateIP.txt
    del gatemac.txt
    del ipaddr.txt
    del ipconfig.txt
    del phyaddr.txt
    exit
    


    展开全文
  • dhcp snooping、ARP防护

    2016-11-21 13:49:00
    使用该方案可以有效地避免因为无线端出现私设IP地址导致地址冲突或者客户端中ARP病毒发起ARP攻击的情况。 优点:增加无线的安全性,防止无线客户端私设IP地址,防止无线网络因为arp攻击而瘫痪。 缺点:对无线设备...

    应用场景

    无线客户端流动性很大和不确定,比如在外来人员比较多的地方:广场、大厅、会议室和接待室等等。使用该方案可以有效地避免因为无线端出现私设IP地址导致地址冲突或者客户端中ARP病毒发起ARP攻击的情况。

    优点:增加无线的安全性,防止无线客户端私设IP地址,防止无线网络因为arp攻击而瘫痪。

    缺点:对无线设备的性能要求高,需要消耗无线设备的运行资源,需要增加额外的配置

    功能简介:

    在无线网络中,由于接入无线网络用户的多样性及不确定性,使得在无线端极有可能出现私设IP地址或者客户端中ARP病毒发起ARP攻击的情况,在无线设备上部署防ARP攻击功能,可以有效解决这些问题。

    一、组网需求

    防止无线用户私自配置IP地址导致IP地址冲突或者使用ARP攻击软件导致网络瘫痪

    二、组网拓扑

     

     

    三、配置要点

    1、AC-1开启dhcp snooping并且配置信任端口

    2、配置ARP防护功能

    3、清除arp及 proxy_arp表

    四、配置步骤 

    1、AC-1开启dhcp snooping并且配置信任端口

    AC-1(config)#ip dhcp snooping ----->全局启用dhcp snooping

    AC-1(config)#interface gigabitEthernet 0/1

    AC-1(config-if-GigabitEthernet 0/1)#ip dhcp snooping trust ----->上联接口配置为信任端口

     

    2、配置ARP防护功能

    1)未开启Web认证功能时

    AC-1(config)#wlansec 1

    AC-1(config-wlansec)#ip verify source port-security ----->开启IP防护功能

    AC-1(config-wlansec)#arp-check ----->开启ARP检测功能

    2)开启Web认证功能时

    AC-1(config)#web-auth dhcp-check ----->开启web认证下的dhcp检测功能(IP防护功能类似)

    AC-1(config)#wlansec 1

    AC-1(config-wlansec)#arp-check ----->ARP检测功能

     

    3、清除arp及 proxy_arp表

    AC-1#clear arp-cache

    AC-1#clear proxy_arp

    五、注意事项

    1.   打开ARP Check检测功能可能会使相关安全应用的策略数/用户数减少。

    2.   无法在镜像的目的口上配置arp-check功能。

    3.   无法在DHCP Snooping信任端口上配置ARP Check功能。

    4.   无法在全局IP+MAC的例外口配置ARP Check功能。

    六、功能验证

    1、无线用户连接到无线网络通过dhcp获取到IP地址被添加到dhcp snooping数据库内。

    Ruijie#show ip dhcp snooping binding

    Total number of bindings: 1

    NO.     MACADDRESS      IPADDRESS   LEASE(SEC)  TYPE                    VLAN  INTERFACE

    -----    -----------------   ------------   ------------  ----------------   ------  --------------

    1          0811.9692.244C  172.16.1.4     86394          DHCP-Snooping  10       WLAN 1

     

    2、手动配置无线网卡IP地址,无法ping通网关。

     

     

    3、将无线网卡IP静态配置为其他正常用户的IP地址,其他正常用户不会提示地址冲突。

     

    转载于:https://www.cnblogs.com/tcheng/p/6085204.html

    展开全文
  • ARP防护ARP防护ARP防护ARP防护ARP防护ARP防护ARP防护ARP防护ARP防护ARP防护
  • 华为S9300ARP防护策略

    2014-03-17 15:17:01
    S9300_网络安全介绍及攻击特性介绍,详细介绍了华为S9300系列交换机的ARP防护配置介绍和命令,帮助华为用户解决由于ARP导致的种种故障。
  • ARP防护最新

    2013-09-09 23:23:34
    ARP防护最新
  • 1、主机ARP防护 2、攻击防护 3、病毒过滤 4、入侵防御 5、异常行为检测(T) 6、高级威胁检测(T) 7、边界流量过滤 8、云沙箱 9、垃圾邮件过滤(T) 1.1.1 网络攻击的步骤 传统防火墙:重点在攻击前期...

    一、威胁防护

    1.1 威胁防护介绍

    设备可检测并阻断网络的发生,减少对内网安全造成的损失;

    威胁防护包括:

    1、主机ARP防护

    2、攻击防护

    3、病毒过滤

    4、入侵防御

    5、异常行为检测(T)

    6、高级威胁检测(T)

    7、边界流量过滤 

    8、云沙箱

    9、垃圾邮件过滤(T)

    1.1.1 网络攻击的步骤

    传统防火墙:重点在攻击前期阶段,即准备阶段;攻击过程采取防护措施:基于特征、AV(反病毒软件)、IPS、AD;

    下一代防火墙:在IPS、AV功能上深入改进、通过特征库采集病毒样本,根据样本开发识别码;(攻击前的准备)

    恶意软件检测:沙箱机制(也是攻击前的检测)。

    智能下一代防火墙:针对网络被攻陷后的措施,ATD\ABD(未知威胁检测\异常行为检测 )

    1.2 StoneShield安全框架

    StoneShield安全架构是智能下一代防火墙独有的安全防御系统,为已知威胁和未知威胁的防护提供了完善的解决方案,将威胁防护分为三大类:

    1、基于IP/Protocol提供了IP黑名单过滤及AD解决方案;

    2、基于内容和URL提供IP与AV解决方案;

    3、基于流量和行为分析提供高级威胁防御和异常行为分析解决方案。

    威胁防护包括以下这几类:

    1、病毒过滤:可检测最易携带病毒的文件类型和常用的协议类型(POP3、HTTP、SMTP、IMAP4以及FTP)并对其进行病毒防护,可扫描文件类型包括存档文件(包含压缩存档文件,支持压缩类型有GZIP、BZIP2、TAR、ZIP和RAR)、PE、HTML、MAIL、RIFF和JPEG;

    2、入侵防御:可检测并防护针对主流应用层协议(DNS、FTP、HTTP、POP3、SMTP、Telnet、MySql、MSSQL、ORACLE、NETBIOS等)的入侵攻击、基于Web的攻击行为以及常见的木马功能机

    3、攻击防护:可检测各种类型的网络攻击,从而采取相应的措施保护内部网络免受恶意攻击,以保证内部网络及系统正常运行;

    4、异常行为检测:根据特征库中的异常行为检测规则检测会话流量,当检测对象的多个参量发生异常时,系统将分析其参量异常的关联关系,判断检测对象是否发生异常行为;

    5、边界流量过滤:通过对基于已知的IP地址黑白名单对流量进行过滤,并对命中黑名单的恶意流量采取阻断措施进行处理;

    6、高级威胁检测:通过对基于主机的可疑流量进行智能分析,判断是否为恶意软件。

    1.3 Intrusion Kill Chain模型

    Intrusion Kill Chain(或称为Cyber Kill Chain)模型精髓在于明确提出网络攻防过程中双方互有优势,防守方若能阻断/瓦解攻击方的进攻组织环节,即使成功地挫败了对手的攻击企图,毕竟没有一个防御战局完全由防御因素组成,Intrusion Kill Chain模型是将攻击过程分解为如下七个步骤:Reconnaissance(踩点)、Weaponization(组装)、Delivery(投送)、Exploitation(攻击)、Installation(植入)、C2(控制)、Action on Objectives(收割)

    1.4 威胁防护特征库

    威胁防护特征库包括病毒过滤特征库、入侵防御特征库、边界流量过滤特征库、异常行为模型库和恶意软件模型库等,默认情况下,设备会每日自动更新威胁防护库,目前支持在线更新和本地更新两种方式;

    设备支持基于安全域和基于策略的威胁防护方式;(策略优先级高于安全域)

    特征根据严重程度分为三个级别(安全级别),用户可根据特征严重程度,设置系统对该特征攻击所采取的的行为:

    --严重(Critical):严重的攻击事件,例如缓冲区溢出;

    --警告(Warning):具有一定攻击性的事件,例如超长的URL;

    --信息(Informational):一般事件。例如登录失败。

    Hillstone提供两个默认特征库更新服务器,分别是update1.hillstonenet.com和update2.hillstonenet.com,用户可以根据需求更改特征库更新配置;

    基于策略的威胁防护方式,系统目前仅支持配置病毒过滤功能和入侵防御功能;

    若安全域和策略中均配置了威胁防护,策略中的配置项将有更高的优先权,在安全域配置中,目的安全域的优先权高于源安全域

    二、 ARP防护

    2.1 ARP防护

    ARP防护是利用ARP技术原理解决内网中ARP的攻击,主要支持以下类型:

    1、IP-MAC绑定

    2、ARP认证

    3、ARP检查

    4、DHCP监控

    5、主机防御

    6、主机黑名单

    以下配置需要透明模式下配置:

    1、ARP检查,在透明模式下对穿越防火墙的ARP进行检查,匹配IP-MAC静态表项,若不匹配进行丢弃,以防穿越二层防火墙欺骗其他主机;

    2、DHCP监控是为了保护DHCP服务器正常发放地址,以免有恶意主机提供虚假DHCP服务和恶意获取大量地址造成客户端被欺骗;

    3、主机防御:Hillstone设备的主机防御功能即Hillstone设备代替不同主机发送免费ARP包,保护被代理主机免受ARP攻击;

    2.1.1 IP-MAC绑定

    IP-MAC绑定即ARP绑定,分为动态信息和静态信息,绑定后需要在接口模式下进行配置:

    --no arp-learning:关闭ARP自动学习(插入新电脑无法收到ARP包)

    --arp-disable-dynamic-entry:禁用动态信息表,仅查静态绑定表(插入新电脑可以收到ARP包,但不能上网,需要静态绑定才能上网)

    (默认开启ARP认证)

    WebUI示意图如下:

    2.1.2、ARP认证

    ARP认证功能通过下发客户端“Secure Defender”到PC,实现在PC与安全网关间PKI加密的ARP交互,防止ARP攻击;

    仅支持Windows客户端,且需要接口为网关;

    可针对单独主机启用ARP认证。

    WebUI示意图如下:

    2.1.3 主机黑名单

    通过配置Hillstone设备的主机黑名单功能,设备可以控制用户在指定时间内不能访问网络,阻断主机IP或服务;WebUI示意图如下:

    sehedule night

    periodic daily 22:00 to 06:00

    exit

    host-blacklist MAC\IP xxxxxxxxxxxx schedule night

    (永久黑名单)

    三、网络攻击防护

    3.1 网络攻击防护

    网络中存在多种防不胜防的攻击,如侵入或破坏网络上的服务器、盗取服务器的敏感数据、破坏服务器对外提供的服务,或者直接破坏网络设备导致网络服务异常甚至中断,作为网络安全设备的安全网关,必须具备攻击防护功能来检测各种类型的网络攻击,从而采取相应的措施保护内部网络免受恶意攻击,以保证内部网络及系统正常运行;

    Hillstone安全网关提供基于域的攻击防护功能,可根据需要开启不同的防护选项,并配置对该种攻击的处理行为,防护功能有默认的检测阈值,可以根据网络环境不同自行修改

    安全网关的攻击防护功能在默认情况下,只有部分功能在untrust安全域是开启的,包括IP地址欺骗攻击防护、端口扫描攻击防护、ICMP Flood攻击防护、SYN Flood攻击防护、UDP Flood攻击防护、WinNuke攻击防护、Ping of Death 攻击防护、Teardrop攻击防护和Land攻击防护

    SYN代理,最小代理速率1000,最大代理速率3000,more不开启cookie,代理超时30s

    3.2 常见的网络攻击

    1、IP地址欺骗(IP Spoofing)攻击:IP地址欺骗攻击是一种获取对计算机未经许可的访问的技术,即攻击者通过伪IP地址向计算机发送报文,并显示该报文来自于真实主机,对于基于IP地址进行验证的应用,此攻击方式能够使未被授权的用农户访问被攻击系统,即使响应报文不能到达攻击者,被攻击系统也会遭到破坏;

    2、Land攻击:攻击者将一个特别打造的数据包的源地址和目的地址都设置成被攻击服务器地址,这样被攻击服务器向它自己的地址发送消息,结果这个地址又发回消息并创建一个空连接,每一个这样的连接都将保留直到超时,在这种Land攻击下,许多服务器将奔溃;

    3、Smurf攻击:Smurf攻击分为简单和高级两种,简单Smurf攻击用来攻击一个网络,方法是将ICMP应答请求包的目标地址设置成被攻击网络的广播地址,这样改网络的所有主机都会对此ICMP应答请求做出答复,从而导致网络阻塞;高级的Smurf攻击主要用于攻击目标主机,方法是将ICMP应答请求的源地址更改为被攻击主机的地址,最终导致被攻击主机崩溃,理论上讲,网络的主机越多,攻击效果越明显;

    4、Fraggle攻击:Fraggle攻击与Smurf攻击为同类型攻击,不同之处在于Fraggle攻击使用UDP包形成攻击;

    5、WinNuke攻击:通常向装有Windows系统的特定目标的NetBIOS端口(139)发送OOB(out-of-band)数据包,引起一个NetBIOS片段重叠,导致被攻击主机崩溃,还有一种是IGMP分片报文,一般情况下,IGMP报文是不会分片的,所以,不少系统对IGMP分片报文处理有问题,如果收到IGMP分片报文,则基本可判定受到了攻击;

    6、SYN Flood攻击:SYN Flood攻击伪造一个SYN报文,将其源地址设置成伪造的或者不存在的地址,然后向服务器发起连接,服务器在收到报文后用SYN-ACK应答,而此应答发出去后,不会收到ACK报文,从而造成半连接,如果攻击者发送大量这样的报文,会在被攻击主机上出现大量的半连接,直到半连接超时,从而消耗其资源,使正常的用户无法访问,在连接不收限制的环境中,SYN Flood会消耗掉系统的内存等资源;

    7、ICMP Flood和UDP Flood攻击:这种攻击在短时间内向被攻击目标发送大量的ICMP消息(如ping)和UDP报文,请求回应,致使被攻击目标负担过重而不能完成正常的传输任务,地址扫描与端口扫描攻击这种攻击运用扫描工具探测目标地址和端口,对此作出响应的表示其存在,从而确定哪些目标系统确实存活并且连接在目标网络上,这些主机使用哪些端口提供服务;

    8、Ping of Death攻击:Ping of Death就是利用一些尺寸超大的ICMP报文对系统进行的一种攻击,IP报文的字段长度为16位,这表明一个IP报文的最大长度为65535字节,对于ICMP回应请求报文,如果数据长度大于65507字节,就会使ICMP数据、IP头长度(20字节)和ICMP头长度(8字节)的总和大于65535字节,一些路由器或系统在接收到这样一个报文后会由于处理不当,造成系统崩溃,死机或重启。

    3.3 TCP三次握手、四次断开示意图

    TCP三次握手

    TCP四次断开

     3.4 TCP半连接保护(SYN代理

    SYN-Proxy:作为SYN-Flood的辅助防护手段,创建session,整个过程对Client和Server是透明的,Client发起SYN连接,StoneOS代替Server回复SYN-ACK,Client回复ACK,StoneOS将ACK报文修改为SYN包发往Server,收到Server回复的SYN+ACK后回复ACK;

    SYN-Cookie:当开启此服务以后,与Client的三次握手过程不会创建session,而是在握手成功后再创建Session,在发生SYN-Flood攻击时可以节省系统资源。

    3.5 攻击分类

    Hijack and Spoofing(劫持和欺骗)

    ip-spoofing

    arp/nd-spoofing

    DoS(拒绝服务)

    dns-query-flood

    icmp-flood

    syn-flood

    syn-proxy

    udp-flood

    ip-directed-broadcast

    land-attack

    Protocol Exception(协议异常)

    huge-icmp-pak

    ip-fragment

    ping-of-death

    tcp-anomaly

    ip-option

    winnuke

    tear-drop

    Scan(扫描)

    ip-sweep

    port-scan

    四、病毒过滤

    4.1 病毒过滤原理

    防火墙提取文件特征与病毒特征库中的特征进行匹配,如果特征一致,则认为该文件为病毒文件,如果特征不一致,则认为该文件为正常文件。

    4.2 病毒过滤配置

    病毒过滤全局配置默认启用状态,且只对一层压缩包进行检测,压缩层检测范围为1-5层,可根据需要修改,对于超过检测范围或者加密压缩文件可以配置动作为“只记录日志”或“重置连接”。

    4.3 病毒防护功能

    防病毒功能提供策略调用和绑定安全域两种实现方式,用户可以根据需要选择一种实现方式,绑定安全域方式需要选择绑定到目的安全域,如果使用策略调用方式,需要不绑定任何安全域,创建“病毒过滤规则”后,在需要检测病毒的策略“高级控制”里启用“病毒过滤”功能。

    4.3 防护类型

    防护类型可以选择“预定义”或“自定义”方式,并根据需要配置扫描文件类型、协议尅性,以及系统发现病毒后的动作,为实现精确扫描控制,用户可以分别制定需要扫描协议类型以及动作和文本类型,其中,协议类型为必配,而文件类型可以根据需要进行选择性配置,如果只配置协议类型,而未配置文件类型,系统仅对通过制定协议传输的文本文件进行扫描,如果需要扫描的对象为通过制定类型传输的指定类型文件,例如通过HTTP协议传输的HTML文件,用户需要同时配置对HTTP协议和HTML文件进行扫描。

    4.4 启用标签邮件

    如果对通过SMTP协议传输的邮件进行病毒扫描,则用户可以对发出的电子邮件开启标签邮件功能,即系统对邮件及其附件进行扫描,扫描病毒的结果会包含在邮件的主体,随邮件一起发送,如果没有发现病毒,则提示“No virus found”,如果发现病毒,则显示邮件中病毒相关信息,包括系统扫描文件的名称、文件的路径、扫描结果以及对该病毒的执行动作。

    4.5 AV-Profile应用

    安全域和策略中均可调用防病毒profile,如果两个位置同时调用AV-profile,策略优先匹配,只匹配检测一次

    4.6 配置防病毒功能

    WebUI示意图:

    其中,HTTP、SMTP、POP3、IMAP4和FTP共同有的功能是填充魔术数、只记录日志和重置连接,而HTTP独有一个告警功能,提示用户是否继续访问

    五、入侵防御(IPS)

    5.1 IPS和IDS区别

    入侵防御系统(Intrusion Prevention System)简称IPS,能够实时监控多种网络攻击并根据配置对网络攻击进行阻断等操作,StoneOS支持许可证控制的IPS功能,即为支持IPS功能的StoneOS安装入侵防御(IPS)许可证后,IPS功能才可使用;

    入侵检测系统(Intrusion Detection System)的主要作用是监控网络状况,发现入侵行为并记录事件,但是不会对入侵行为采取动作,是一种侧重于风险管理的安全机制,通常情况下,IDS设备会以旁路的方式接入网络中,与防火墙联动,发现入侵行为后通知防火墙进行阻断。

    5.2 StoneOS的IPS功能

    IPS功能对协议的检测流程包括两部分:

    --协议解析:协议解析过程对协议进行分析,发现协议异常后,系统会根据配置处理数据包(记录日志、阻断、屏蔽),并产生日志信息报告给管理员,系统生成的威胁日志信息详情包含“威胁ID”,即为协议异常的特征ID,用户可以通过查看威胁日志查看详细信息;

    --引擎匹配是分析过程中提取感兴趣的协议元素交给引擎进行准确和快速的特征库匹配检测,发现与特征库中特征相匹配的数据包后,系统根据配置处理数据包(记录日志、阻断、屏蔽),并产生日志信息报告给管理员,系统生成的威胁日志信息详情包含“威胁ID”,即为协议异常的特征ID,用户可以通过查看威胁日志查看详细信息;

    5.3 IPS工作模式

    --只记录日志模式:提供协议异常和网络攻击行为的告警、日志功能,不对检测出的攻击做重置和阻断操作;

    --IPS模式:提供协议异常和网络攻击行为的告警、对检测出的攻击做重置和阻断操作,系统默认情况下工作在IPS模式

    IPS两种配置方式:策略、安全域(入方向、出方向和双向)

    入侵防御在屏蔽攻击者时,可以选择屏蔽IP或者屏蔽服务应用(端口、协议号)。

    山石对服务器的防护有专用的WAF和IPS

    六、边界流量过滤

    6.1 边界流量过滤功能

    基于已知的IP地址黑白名单对流量进行过滤,并对命中黑名单的恶意流量采取阻断措施进行处理,从而阻断已知恶意IP地址的流量

    6.2 黑白名单类型

    1、预定义黑明单:通过更新系统的边界流量过滤特征库,从云端同步的IP地址黑名单;

    2、自定义黑白名单:用户根据实际需求,把指定的IP地址添加到自定义黑白名单;

    3、第三方黑名单:与趋势TDA进行联动,定期从趋势TDA设备上获取黑名单

    七、威胁日志

    威胁防护产生的日志可在日志列表中查询,可根据过滤器进行查询

    回顾:

    1、威胁防护包含哪几种攻击检测类型?

    病毒过滤、入侵防御、攻击防护边界流量过滤、URL过滤、沙箱防护、异常行为检测引擎、未知威胁检测引擎

    2、ARP防护的方法有哪些?

    IP-MAC绑定、ARP认证、ARP检查、DHCP监控、主机防御、主机黑名单

    3、特征库的升级方式有哪几种?

    在线更新和本地更新

    4、IPS和AV有哪两种调用方式?有什么区别?

    IPS有策略调用和安全域调用;AV也提供策略调用和绑定安全域调用方式,AV中绑定安全域方式需要选择绑定到目的安全域,如果使用策略调用方式,需要不绑定任何安全域,创建“病毒过滤规则”后,在需要检测病毒的策略“高级控制”里启用“病毒过滤”功能。

    5、服务许可证过期后是否可以升级IPS和AV等特征库?

    不可以

    6、Hillstone安全网关支持抵御哪些flood攻击?如何防御SYN-Flood攻击?

    SYN-flood 、TCP-flood  使用SYN-proxy(SYN代理)

    7、解释SYN-Flood和SYN-Proxy的关系。

    SYN-Flood是一种半连接攻击方式。SYN-Proxy是用来防护半连接攻击方式

    展开全文
  • ARP防护关键

    2012-11-05 19:50:04
    防护意见ARP防护课程等东西,可以增加对ARP的认识
  • 网吧或局域网内的计算机被ARP欺骗攻击时,可以检测出被攻击的电脑。
  • ARP全网防护盾V3.0.rar

    2019-11-09 11:52:52
    ARP全网防护盾V3.0
  • ARP攻击防护工具ARP攻击防护工具ARP攻击防护工具ARP攻击防护工具
  • Cisco:防止VLAN间的ARP攻击解决方案
  • arp防护工具合集

    2007-08-19 21:02:23
    arp防护工具合集,arp防护工具合集
  • ARP定义以及防护

    2016-08-23 14:51:20
    ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址
  • 局域网ARP攻击和防护

    2017-11-12 02:32:00
    1ARP攻击原理介绍 1)ARP协议的缺陷 ARP协议是建立在信任局域网内所有节点的基础上的,他的效率很高。但是不安全。它是无状态的协议。他不会检查自己是否发过请求包,也不知道自己是否发过请求包。他也不管是否合法...
  • 讲述校园网arp 防护技术 ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机和另一个主机进行直接...
  • 转:华为最新ARP防护

    2009-10-10 18:30:00
    华为最新ARP防护 2008年06月16日 星期一 08:40 ARP 报文限速功能简介:为了防止“中间人攻击”,设备通过开启ARP 入侵检测功能,将ARP 报文上送到CPU 处理,判断ARP 报文的合法性后进行转发或丢弃。但是,...
  • arp病毒防护工具合集

    2011-04-13 09:00:11
    arp防护工具合集: 1.欣全向ARP工具 2.ARP保护神1.6 3.ARP检测工具 4.MAC地址速查 5.客户端用的自动获取网关和MAC地址的客户端绑定工具 6.欧树明的ARP工具

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 5,184
精华内容 2,073
关键字:

arp防护