quidway secpath 下的防火墙配置

***防范类型选择
在“防火墙”目录下点击“***防范”进入***类型防范选择和Flood***类型选择页面。在“***防范类型选择”区域，可以通过选中***防范类型左边的复选框以启用对此***类型的防范机能

最常见的***类型：

(1) IP欺骗***
“IP欺骗”改变数据报头内的信息，使用伪装的源地址进行通信。对于使用基于IP地址验证的应用来说，此***方法可以导致未被授权的用户可以访问目的系统，甚至是以root权限来访问。即使响应报文不能达到***者，同样也会造成对被***对象的破坏。这就造成IP Spoofing***。
“IP欺骗”通常和其他***方式组合使用，使用伪造的地址来隐藏***者的真正IP地址，以便发起各种形式的***。例如SYN轰炸***中采用的伪造地址可以创建一个“半开放”连接。这将导致在连接过程中，客户机永远不会响应SYN/ACK消息，因为它根本来自一个不存在的地址。
(2) WinNuke***
WinNuke***通常向装有Windows系统的特定目标的NetBIOS端口（139）发送OOB（out-of-band）数据包，引起一个NetBIOS片断重叠，致使目标主机崩溃。还有一种是IGMP分片报文，一般情况下，IGMP报文是不会分片的，所以，不少系统对IGMP分片报文的处理有问题。如果收到IGMP分片报文，则基本可判定受到了***。
(3) Ping of Death***
IP报文的长度字段为16位，这表明一个IP报文的最大长度为65535。对于ICMP回应请求报文，如果数据长度大于65507，就会使ICMP数据＋IP头长度(20)＋ICMP头长度（8）> 65535。对于有些路由器或系统，在接收到一个这样的报文后，由于处理不当，会造成系统崩溃、死机或重启。所谓Ping of Death，就是利用一些尺寸超大的ICMP报文对系统进行的一种***。
(4) Tear Drop***
流泪***和死亡之Ping稍有区别，但结果是类似的。流泪程序会创建大量IP片断，它们是将一个原始包分解后得到的IP包片断。这样做是合法的，目的是通过网络传送到目标主机后，再在那里组装还原成原始的IP包。但是，问题在于这些片断的偏移字段上，经过有意的设计，原始包的各个部分（以字节为单位）会发生重叠。
(5) Land***
Land***是SYN***的一个变种。它把TCP SYN包的源地址和目标地址都配置成受害者的IP地址。这将导致受害者向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时。各种受害者对Land***反应不同，许多UNIX主机将崩溃，Windows NT主机会变的极其缓慢。要想防范Land***，可以过滤掉那些来自内部网络主机的源IP地址。
(6) SYN Flood***

由于资源的限制，TCP/IP栈的实现只能允许有限个TCP连接。而SYN Flood***正是利用这一点，它伪造一个SYN报文，其源地址是伪造的、或者一个不存在的地址，向服务器发起连接，服务器在收到报文后用SYN-ACK应答，而此应答发出去后，不会收到ACK报文，造成一个半连接。如果***者发送大量这样的报文，会在被***主机上出现大量的半连接，消耗尽其资源，使正常的用户无法访问。直到半连接超时。在一些创建连接不受限制的实现里，SYN Flood具有类似的影响，它会消耗掉系统的内存等资源。

(7) UDP Flood***
***者可以利用用户数据报协议（UDP）以及某种能回应数据包的服务使网络陷于混乱而拒绝服务，具体方法是在两个目标系统之间生成大量UDP数据包。
(8) ICMP Flood和Ping***
这两种***是耗尽目标主机资源的一个简单方法。***者会发送大量ICMP数据包，这将会阻止软件向服务器的Ping活动请求作出响应，导致服务器最终连接超时。
(9) Smurf***
简单的Smurf***，用来***一个网络。方法是发送ICMP应答请求，该请求包的目标地址配置为被***网络的广播地址，这样该网络的所有主机都对此ICMP应答请求作出答复，导致网络阻塞。高级的Smurf***，主要用来***目标主机。方法是将上述ICMP应答请求包的源地址改为受害主机的地址，最终导致受害主机崩溃。***报文的发送需要一定的流量和持续时间，才能真正构成***。理论上讲，网络的主机越多，***的效果越明显。Smurf***的另一个变体为Fraggle***。要阻止Smurf***使网络作为广播目标，一种可采取的方法是禁用路由器传送广播数据包的能力。要防止网络成为IP地址欺骗***的对象，需要配置防火墙过滤掉进入的Ping数据包。
(10) Fraggle***
Fraggle***使用一个伪造的IP地址（受***主机的地址），***者向网络发送Ping包，导致网络上所有主机都向伪造的地址作出响应。
(11) 地址扫描和端口扫描***
***者运用扫描工具探测目标地址和端口，用来确定哪些目标系统确实存活着并且连接在目标网络上，以及这些主机使用哪些端口提供服务。
在“***防范类型选择”区域下面单击<高级>按钮，可以对***防范进行高级设置，

超大ICMP***报文长度阈：范围为28～65535，单位为“字节”。
ARP Flood***速率检查阈：范围为1～10000，单位为“包/秒”。
IP扫描***速率检测阈：范围为1～10000，单位为“包/秒”。
IP扫描***源黑名单限制时间：范围为0～1000，单位为“分钟”。
端口扫描***速率检测阈：范围为1～10000，单位为“包/秒”。
 端口扫描***源黑名单限制时间：范围为0～1000，单位为“分钟”。
最大相同分片报文速率：范围为1～10000，单位为“包/秒”。
最大分片报文速率：范围为1～10000，单位为“包/秒”。
ARP欺骗***防范级别：default或loose。ARP欺骗***防范有两种模式，一种为宽松检测模式，一种为非宽松检测模式。当使用非宽松检测（即选择default选项）时，防火墙会将目的MAC地址为单播地址的ARP请求视为***报文，并将其丢弃。若使用宽松检测（即选择loose选项），目的MAC地址为单播地址的ARP请求不被视为***报文，且不进行丢弃。

 

Flood***类型选择
1. SYN Flood***
在Flood***类型选择区域单击SYN Flood***按钮，进入SYN Flood***防范配置概览页面，单击创建按钮进行配置。

选择按照IP地址创建，单击下一步按钮。

IP地址：设定受保护的主机IP地址。
最大速率：设定连接特定目的IP的SYN包速率的阈值，即一秒钟出现SYN包的总数，超过该阈值将视为***，范围为1～1,000,000，单位为包/秒。
TCP代理：设定是否启用TCP代理。启用TCP代理时，当检测到受保护主机受到SYN Flood***时，TCP代理自动启动；当不再受到***时，TCP代理自动关闭。

若选择按照安全域名创建，单击下一步按钮，请在安全域名下拉框中选择适当的区域，其他参数设置同上。

 

2. UDP Flood***

在Flood***类型选择区域单击UDP Flood***按钮，进入UDP Flood***防范配置概览页面，单击创建按钮进行配置，同样在创建方式页面选择一种创建方式。

以按照IP地址创建为例

受保护的IP地址和最大速率，范围为1～1,000,000，单位为包/秒。

 

3. ICMP Flood***

在Flood***类型选择区域单击ICMP Flood攻按钮，进入ICMP Flood***防范配置概览页面，单击创建按钮进行配置，同样在创建方式页面选择一种创建方式，以按照安全区域名创建为例 。

指定受保护的安全区域和最大速率，范围为1～1,000,000，单位为包/秒。