Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

DoS攻击概述

一次 拒绝服务 (DoS) 攻击的目的是通过大量假流量攻击目标受害者,使受害者无法处理合法流量,无法处理假流量。目标可以是防火墙、防火墙控制其访问的网络资源,或者单个主机的特定硬件平台或操作系统。

如果一DoS攻击源自多个源地址,则它称为分布式拒绝服务 (DDoS) 攻击。通常,攻击的源DoS欺骗。攻击中的源DDoS可能是欺骗行为,或者受损主机的实际地址可能用作"主用代理"以启动攻击。

设备可以保护自身及其保护的资源,抵御DoS和DDoS攻击。

防火墙DoS攻击概述

拒绝服务 (DoS) 攻击的目的是通过大量假流量攻击目标受害者,使受害者无法处理合法流量,无法处理假流量。

如果攻击者发现有防火墙瞻博网络,他们DoS而非后面的网络发起攻击。成功DoS防火墙攻击可针对受保护网络DoS成功执行攻击,以阻止合法流量经过防火墙的尝试。

攻击者可能会使用会话表泛滥和 SYN-ACK-ACK 代理泛滥来填充会话表Junos OS从而生成DoS。

了解 SRX5000 模块端口集中器上的防火墙过滤器

适用于 SRX5400、SRX5600 和 SRX5800 的 SRX5000 系列模块端口集中器 (SRX5K-MPC) 支持防火墙过滤器,在逻辑接口(包括机箱回环接口)上提供基于过滤器的转发和数据包过滤。防火墙过滤器用于保护网络、保护路由引擎和数据包转发引擎,以及确保服务等级 (CoS)。

防火墙过滤器提供:

  • 逻辑接口上基于过滤器的转发

  • 保护安全路由引擎网络DoS攻击

  • 阻止某些类型的数据包到达数据包路由引擎计数器

防火墙过滤器检查数据包,并按配置的过滤器策略执行操作。该策略由匹配条件和操作组成。匹配条件涵盖第 3 层数据包和 4 层标头信息的各种字段。与匹配条件关联时,防火墙过滤器策略中定义了各种操作,这些操作包括 accept 、 、 discard 计数器 log 等。

配置防火墙过滤器后,您可以将逻辑接口应用于入口和出口中的防火墙过滤器,或向两个方向应用。通过逻辑接口的所有数据包都由防火墙过滤器检查。作为防火墙过滤器配置的一部分,将定义策略程序并应用于逻辑接口。策略程序可限制逻辑接口上的信息流带宽。

注意:

SRX5K-MPC 上的防火墙过滤不支持聚合以太网接口。

注意:

在 SRX5400、SRX5600 和 SRX5800 设备(使用 SRX5K-MPC),在环路 (lo0) 接口应用策略器可确保 数据包转发引擎 丢弃某些类型的数据包并防止它们到达 路由引擎。