DoS 攻击概述
拒绝服务 (DoS) 攻击的目的是用大量虚假流量淹没目标受害者,使受害者全神贯注地处理虚假流量,以至于无法处理合法流量。目标可以是防火墙、防火墙控制访问的网络资源或单个主机的特定硬件平台或操作系统。
如果 DoS 攻击源自多个源地址,则称为分布式拒绝服务 (DDoS) 攻击。通常,DoS 攻击的源地址是欺骗性的。DDoS 攻击中的源地址可能是欺骗性的,或者受感染主机的实际地址可能被用作“僵尸代理”来发起攻击。
该设备可以保护自身及其保护的资源免受 DoS 和 DDoS 攻击。
防火墙 DoS 攻击概述
拒绝服务 (DoS) 攻击的目的是用大量虚假流量淹没目标受害者,使受害者全神贯注地处理虚假流量,以至于无法处理合法流量。
如果攻击者发现瞻博网络防火墙的存在,他们可能会对其而不是其背后的网络发起 DoS 攻击。对防火墙的成功 DoS 攻击相当于对受保护网络的成功 DoS 攻击,因为它会阻止合法流量通过防火墙的尝试。
攻击者可能使用会话表泛洪和 SYN-ACK-ACK 代理泛洪来填满 Junos OS 的会话表,从而生成 DoS。
了解SRX5000模块端口集中器上的防火墙过滤器
用于SRX5400、SRX5600和SRX5800的 SRX5000 系列模块端口集中器 (SRX5K-MPC) 支持防火墙过滤器,可在逻辑接口(包括机箱环路接口)上提供基于过滤器的转发和数据包过滤。防火墙过滤器用于保护网络、保护路由引擎和数据包转发引擎,以及确保服务等级 (CoS)。
防火墙过滤器提供:
逻辑接口上基于过滤器的转发
保护路由引擎免受 DoS 攻击
阻止某些类型的数据包到达路由引擎和数据包计数器
防火墙过滤器根据配置的过滤器策略检查数据包并执行操作。策略由匹配条件和操作组成。匹配条件涵盖第 3 层数据包和第 4 层标头信息的各个字段。与匹配条件相关联,防火墙过滤器策略中定义了各种操作,这些操作包括 accept
、 、 discard
log
计数器等。
配置防火墙过滤器后,您可以在入口或出口或两个方向上将逻辑接口应用于防火墙过滤器。通过逻辑接口的所有数据包都由防火墙过滤器检查。作为防火墙过滤器配置的一部分,将定义监管器并将其应用于逻辑接口。监管器限制逻辑接口上的流量带宽。
SRX5K-MPC 上的防火墙过滤不支持聚合以太网接口。
在具有 SRX5K-MPC 的 SRX5400、SRX5600和SRX5800设备上,在环路 (lo0) 接口应用监管器可确保数据包转发引擎丢弃某些类型的数据包并防止它们到达路由引擎。