下一代防火墙-防范DOS攻击

最新推荐文章于 2025-07-31 10:16:22 发布
最新推荐文章于 2025-07-31 10:16:22 发布
阅读量934 收藏 9
点赞数 15
CC 4.0 BY-SA版权
文章标签: 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76457262/article/details/149323141

实验设备

1、 山石网科(hillstone)系列下一代防火墙(实训平台v1.0中hillstone设备)

2、 高性能数据中心交换机一台(实训平台v1.0中cisco vios l2设备)

3、 Windows 服务器一台 (实训平台v1.0中windows设备)

4、 增加一个网络net:cloud0

5、 DOS发包工具hyenae-0.36-1_fe_0.1-1-win32.exe

 实验拓扑图

实验目的

1. 掌握网络攻击防护策略配置方法;

2. 通过下一代防火墙来防护服务器免受DOS攻击

实验需求、步骤及配置

数据中心服务器区web windows主机配置,如下步骤:

a) 临时将web服务器直接与网络net cloud0互联,完成从物理主机复制工具文件(ASP

小旋风和网站源码模板)到服务器:

b) 开机后,服务器主机开启远程桌面服务,且查看服务器主机自动获得的ip地址:

从物理主机上,远程桌面接入服务器主机,配置如下:

 如需输入凭证,请输入用户名:administrator 密码:123456

在服务器主机里操作,完成文件复制和安装,如下:

关机,重新将服务器主机按照拓扑要求,互联到交换机上,开机重新配置服务器IP

参数:

Ip 地址: 192.168.10.1

网络掩码:255.255.255.0

网关:192.168.10.254

DNS:114.114.114.114

数据中心接入交换机vIOS_SW配置

Switch(config)#vlan 10

Switch(config-vlan)#exit

Switch(config)#interface g0/0

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 10

Switch(config-if)#exit

Switch(config)#ip routing 启动路由功能

Switch(config)#interface vlan10

Switch(config-if)#ip address 192.168.10.254 255.255.255.0

Switch(config-if)#no shut

Switch(config)#interface g0/1

Switch(config-if)#no switchport 改为三层接口

Switch(config-if)#no shutdown

Switch(config-if)#ip address 10.1.1.1 255.255.255.252

Switch(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2 配置上网的缺省路由,下一跳为防火墙

接口e0/1 IP

下一代防火墙的配置:(启动稍慢一点,耐心等待)

a) 基本配置:修改e0/0口属性为管理口且采用http管理方式,默认启动DHCP。

login: hillstone //用户名和密码都为hillstone

password:

SG-6000# conf

SG-6000(config)# interface e0/0

SG-6000(config-if-eth0/0)# manage http

SG-6000(config-if-eth0/0)# show interface 查看e0/0自动获得的IP地址,为管理IP

接下来,在物理主机上,通过浏览器访问管理IP,使用图形化管理下一代防火墙:

配置e0/1接口:绑定安全区域为trust三层安全区域(路由模式)、IP地址等:

配置e0/0接口:修改绑定安全区域为untrust三层安全区域(路由模式)、IP等:

为路由模式,配置路由,包括回程路由和缺省路由(通过e0/0接口dhcp

已经获得)

为路由模式,配置目的NAT策略(即静态NAT),实现公网可以访问web服

务器需求:

为路由模式,配置安全策略即包过滤策略(默认拒绝区域间访问),配置策略

让公网区域可以访问服务器区,即e0/0 untrust区域访问e0/1 trust区域:

接下来,在物理主机上测试是否可以访问服务器web,如图代表ok:

在物理主机上模拟黑客进行DOS攻击服务器,安装hyenae第三方发包工具,

并设置好发包条件如下TCP SYN洪水攻击,源设置为【%-192.168.255.1@80】,

目的设置为【%-192.168.255.150@80】,然后点击执行;如图:

对发包工具做调试,还可完成UDP和ICMP洪水攻击测试,配置略。

j) 接下来,抓取拓扑中交换机G0/1接口数据包,如下情况表明,在没有启动防

火墙防范策略前,有多少syn洪水就进来多少包(及时停止发包,防止消耗主

机资源)。

配置下一代防火墙网络攻击防范策略,对服务器进行安全防护,如图:

接下来,打开发包工具模拟TCP SYN洪水攻击,查看防火墙对dos攻击防护的

效果,抓取交换机G0/1接口数据包,如图表明防火墙启动作用:

可以发现只有10个tcp报文,防护成功

查看防火墙日志:

华不完
关注
防火墙如何工作
网络研究观
04-23 3909
防火墙网络安全的关键组件,充当可信内部网络和不可信外部网络之间的屏障。
下一代防火墙-防范Dos攻击
2301_78525141的博客
07-14 275
IP 192.168.10.1 255.255.255.0 网关192.168.10.254。进入配置界面查看DHCP自动分配的IP,通过IP进入可视化界面。2、掌握下一代防火墙防护服务器免收DOS攻击。1、掌握网络攻击防护策略配置方法。使用物理主机访问web服务器。使用HyenaeFE进行攻击。Windows pc 配置。三、实验配置和结果检测。防火墙成功检测到攻击
山石网科下一代防火墙-防范Dos攻击
Zstan559的博客
06-24 780
服务器安全防护,有关内容皆可私聊解答
下一代防火墙-防范DOS攻击、IPS防护、web防护实验
byv525的博客
07-14 287
(8)在物理主机上模拟黑客进行DOS攻击,安装hyena第三方发包工具,并设置号发包条件--TCP SYN洪水攻击,源地址设置为同网段的192.168.211.2,目的ip设置为服务器转换地址192.168.221.175。(3)登录web管理页面,配置接口的区域,将e0/0(外网)设置为untrust,e0/1(内网)设置为trust并配置IP:10.1.1.2。(2)配置防火墙web防范策略,对web服务进行防护,动作选择重置,发送攻击时,对访问链接进行重置,防止非法访问,并记录日志。
下一代防火墙-DOS攻击防范(山石防火墙
2403_87902721的博客
07-14 736
DOS拒绝服务攻击即是攻击者想办法让目标机器停止提供服务,是黑客常用的攻击手段之一。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分,只要能够对目标造成麻烦,使某些服务被暂停甚至主机死机,都属于拒绝服务攻击。拒绝服务攻击问题也一直得不到合理的解决,究其原因是因为网络协议本身的安全缺陷,从而拒绝服务攻击也成为了攻击者的终极手法。攻击者进行拒绝服务攻击,实际上让服务器实现两种效果:一是迫使服务器的缓冲区满,不接收新的请求;二是使用IP欺骗,迫使服务器把非法用户的连接复位,影响合法用户的连接。
下一代防火墙-IPS防护
2301_76489355的博客
07-15 517
近期互联网上爆发了一连串针对服务器的中间件或web框架漏洞(如struts2)、底层操作系统漏洞(如勒索病毒MS17一010)、僵尸网络等漏洞利用事件,入侵企业内部,窃取数据或破坏服务器正常运行,为保证服务器业务正常运行,客户要求在NGAF开启IPS防护策略。SG-6000(config-if-eth0/0)# show interface 查看e0/0自动获得的IP地址,为管理IP。a) 基本配置:修改e0/0口属性为管理口且采用http管理方式,默认启动DHCP。
下一代防火墙-web防护
2301_76787200的博客
07-15 772
近期互联网上爆发了一连串针对服务器的中间件或web框架漏洞(如struts2)、底层操作系统漏洞、僵尸网络等漏洞利用事件、入侵企业内部,窃取数据或破坏服务器正常运行,为保证服务器业务正常运行,客户要求在NGAF开启IPS防护策略。a.基本配置:修改e0/0口属性为管理口且采用http管理方式,默认启动DHCP。g.为路由模式,配置路由,包括回程路由和缺省路由。
下一代防火墙-入侵防御防护
Zstan559的博客
07-24 442
持续更新防火墙相关内容
下一代防火墙-服务器ips防护
2301_76457262的博客
07-14 1051
SG-6000(config-if-eth0/0)# show interface 查看e0/0自动获得的IP地址,为管理IP。1、 山石网科(hillstone)系列下一代防火墙(实训平台v1.0中hillstone设备)a) 基本配置:修改e0/0口属性为管理口且采用http管理方式,默认启动DHCP。关机,重新将服务器主机按照拓扑要求,互联到交换机上,开机重新配置服务器IP。为路由模式,配置路由,包括回程路由和缺省路由(通过e0/0接口dhcp。
下一代防火墙-ips防护
2301_78525141的博客
07-15 600
实验通过配置Windows PC、交换机和防火墙搭建了完整网络环境,其中交换机划分VLAN并配置路由实现网段通信,防火墙则通过接口、路由、NAT及安全策略配置保障基础网络连通性。实验先利用永恒之蓝测试工具对Web服务器进行攻击,成功触发漏洞,验证了未防护时的安全风险。随后配置防火墙IPS策略,再次攻击时工具无响应,结合防火墙日志确认攻击被有效拦截。此次实验不仅让我们掌握了网络设备的基础配置方法,更深刻理解了下一代防火墙通过IPS等功能实时检测并阻断恶意攻击的机制,为构建安全网络环境提供了实践依据。
360网神新一代智慧防火墙主打胶片_6Bv1.0.pptx
02-12
在增强的下一代防火墙特性方面,360网神防火墙采用了多维精细化控制,包括基于应用、用户、威胁和内容的五元组(接口、安全域、应用、内容、时间、用户、威胁、位置、动作)控制,以及深度包检测(DPI)、深度流检测...
华为USG6000防火墙:丰富攻击防御手段与技术优势
华为Secospace USG6000系列防火墙作为一款先进的下一代防火墙产品,充分体现了这些特性。它采用了高可靠性的设计,允许灵活的安全区域管理,通过状态检测技术进行精确的会话处理,同时具备ACTUAL感知能力,能够实时...
网络安全与拥塞控制:DoS_DDoS攻击防范的关键角色
![网络安全与拥塞控制:DoS_DDoS攻击防范的关键角色](https://www.endace.com/assets/images/learn/packet-capture/Packet-Capture-diagram%203.png) # 摘要 网络安全是互联网技术...针对防范DoS/DDoS攻击,本文提供
点击劫持:潜藏在指尖的安全陷阱
fys15925190510的博客
07-27 979
随后,通过代码将这些恶意元素设置为全透明状态,并精准覆盖在用户可能点击的正常按钮上,如 “关闭广告”“查看详情” 等。在网页端,攻击者可能搭建一个看似正常的视频网站,当用户点击 “播放” 按钮时,透明的恶意元素会引导用户点击 “确认下载某软件”,而该软件实则为病毒或挖矿程序。例如,当用户在某款工具类 APP 中点击 “领取优惠券” 时,实际触发的是 “允许该应用发送付费短信” 的授权弹窗,导致手机被强制扣除话费。例如,点击后弹出带有随机验证码的确认框,或要求用户拖动滑块完成验证,确保操作是用户的真实意图。
金融专题|某跨境支付机构:以榫卯企业云平台 VPC 功能保障业务主体安全
最新发布
SmartX 超融合
07-31 473
业务隔离,灵活互访,安全管理,精简运维。
企业微信「数据与智能专区」解析:如何实现敏感数据安全分析与价值挖掘?
WSYUNYAO的博客
07-30 325
目前,部分官方服务商的工具(如「微盛·会话管家」)已完成适配,其架构采用“专区内分析节点+外部展示节点”的分离设计,分析节点部署于沙箱,展示节点通过API获取脱敏结果,确保前端无敏感数据流转。「数据与智能专区」这类“安全+智能”的方案,通过技术闭环解决了“分析与安全”的矛盾,未来将成为企业微信生态中的刚需。不管是企业微信自带的工具,还是外面服务商做的工具,都得在里面工作。对企业而言,尽早布局这类方案,不仅能规避风险,更能抢占数据价值的先机——毕竟,在合规的前提下用好数据,才是企业长久发展的关键。
自动驾驶车辆的敏捷安全档案
NewCarRen的博客
07-30 743
这通常是一个简短的章节,因为在大多数情况下,安全档案中会包含对单独的 DoS 文档的引用,该文档涉及车辆,包括相关传感器。敏捷方法包括最小可行产品(MVP,也适用于系统和系统的相关部分,在本案例中为公交车)、车辆某些系统的增量开发,例如 ADS(自动驾驶系统)和相关传感器,包括传感器融合开发。开发强大的运行安全档案的目的是证明在自动驾驶车辆的测试和试验期间,所有相关方的潜在风险都保持在合理可行的最低水平(ALARP 原则)。在某些项目中,它们包含在单独的文档中,或者仅包含在安全档案中。
爱车生活汽车GPS定位器:智能监控与安全驾驶的守护者
2403_89272944的博客
07-30 927
在当今科技飞速发展的时代,汽车已成为人们生活中不可或缺的交通工具。然而,随着汽车保有量的不断增加,车辆管理、安全驾驶等问题也日益凸显。汽车GPS定位器作为一种先进的技术设备,正以其强大的功能和独特的优势,在智能监控和安全驾驶领域发挥着至关重要的作用,为人们的出行和车辆管理带来了全新的变革。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值