Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

DoS 공격 개요

DoS(Denial-of-Service) 공격의 목적은 엄청난 양의 가짜 트래픽으로 대상 피해자를 압도하여 피해자가 가짜 트래픽 처리에 너무 몰두하여 합법적인 트래픽을 처리할 수 없도록 하는 것입니다. 대상은 방화벽, 방화벽이 액세스를 제어하는 네트워크 리소스 또는 개별 호스트의 특정 하드웨어 플랫폼이나 운영 체제일 수 있습니다.

DoS 공격이 여러 소스 주소에서 시작된 경우 이를 DDoS(Distributed Denial-of-Service) 공격이라고 합니다. 일반적으로 DoS 공격의 소스 주소는 스푸핑됩니다. DDoS 공격의 소스 주소가 스푸핑되거나 손상된 호스트의 실제 주소가 공격을 시작하는 "좀비 에이전트"로 사용될 수 있습니다.

장치는 DoS 및 DDoS 공격으로부터 자신과 보호하는 리소스를 방어할 수 있습니다.

방화벽 DoS 공격 개요

DoS(Denial-of-Service) 공격의 목적은 엄청난 양의 가짜 트래픽으로 대상 피해자를 압도하여 피해자가 가짜 트래픽 처리에 너무 몰두하여 합법적인 트래픽을 처리할 수 없도록 하는 것입니다.

공격자가 주니퍼 네트웍스 방화벽의 존재를 발견하면 그 뒤에 있는 네트워크 대신 DoS 공격을 시작할 수 있습니다. 방화벽에 대한 DoS 공격이 성공하면 합법적인 트래픽이 방화벽을 통과하려는 시도를 저지한다는 점에서 보호된 네트워크에 대한 DoS 공격의 성공과 같습니다.

공격자는 세션 테이블 플러드 및 SYN-ACK-ACK 프록시 플러드를 사용하여 Junos OS의 세션 테이블을 채우고 DoS를 생성할 수 있습니다.

SRX5000 Module Port Concentrator의 방화벽 필터 이해

SRX5400, SRX5600 및 SRX5800를 위한 SRX5000 라인 Module Port Concentrator(SRX5K-MPC)는 방화벽 필터를 지원하여 섀시 루프백 인터페이스를 포함한 논리적 인터페이스에서 필터 기반 포워딩 및 패킷 필터링을 제공합니다. 방화벽 필터는 네트워크를 보호하고, 라우팅 엔진과 패킷 전달 엔진을 보호하며, CoS(Class of Service)를 보장하는 데 사용됩니다.

방화벽 필터는 다음을 제공합니다.

  • 논리적 인터페이스에서의 필터 기반 전달

  • DoS 공격으로부터 라우팅 엔진 보호

  • 라우팅 엔진 및 패킷 카운터에 도달하기 위한 특정 유형의 패킷 차단

방화벽 필터는 패킷을 검사하고 구성된 필터 정책에 따라 작업을 수행합니다. 정책은 일치 조건 및 작업으로 구성됩니다. 일치 조건은 레이어 3 패킷 및 레이어 4 헤더 정보의 다양한 필드를 포함합니다. 일치 조건과 관련하여 방화벽 필터 정책에는 다양한 작업이 정의되며, 이러한 작업에는 , discard, log 카운터 등이 포함됩니다accept.

방화벽 필터를 구성한 후 수신 또는 송신 또는 양방향으로 방화벽 필터에 논리적 인터페이스를 적용할 수 있습니다. 논리적 인터페이스를 통과하는 모든 패킷은 방화벽 필터에 의해 확인됩니다. 방화벽 필터 구성의 일부로, 폴리서가 정의되고 논리적 인터페이스에 적용됩니다. 폴리서는 논리적 인터페이스에서 트래픽 대역폭을 제한합니다.

참고:

SRX5K-MPC의 방화벽 필터링은 통합 이더넷 인터페이스를 지원하지 않습니다.

참고:

SRX5K-MPC가 있는 SRX5400, SRX5600 및 SRX5800 디바이스에서 루프백(lo0) 인터페이스에 폴리서를 적용하면 패킷 전달 엔진이 특정 유형의 패킷을 폐기하고 라우팅 엔진에 도달하지 못하도록 합니다.