注意：防火墙的攻击防御

注意：防火墙的攻击防御
Netscreen防火墙利用Screening功能抵御互联网上流行的DoS/DDoS的攻击，一些流行的攻击手法有Synflood，Udpflood，Smurf，Ping of Death，Land Attack等，防火墙在抵御这些攻击时，通过专用ASIC芯片来进行处理，适当开启这些抗攻击选项对防火墙的性能不会产生太大影响。如果希望开启Screening内的其它选项，在开启这些防护功能前有几个因素需要考虑：
·抵御攻击的功能会占用防火墙部分CPU资源；
·自行开发的一些应用程序中，可能存在部分不规范的数据包格式；

网络环境中可能存在非常规性设计。
如果因选择过多的防攻击选项而大幅降低了防火墙处理能力，则会影响正常网络处理的性能；如果自行开发的程序不规范，可能会被IP数据包协议异常的攻击选项屏蔽；非常规的网络设计也会出现合法流量被屏蔽问题。
要想有效发挥Netscreen Screening攻击防御功能，需要对网络中流量和协议类型有比较充分的认识，同时要理解每一个防御选项的具体含义，避免引发无谓的网络故障。防攻击选项的启用需要采用逐步逼近的方式，一次仅启用一个防攻击选项，然后观察设备资源占用情况和防御结果，在确认运行正常后再考虑按需启用另一个选项。建议采用以下顺序渐进实施防攻击选项：
l设置防范DDoS Flood攻击选项
l根据掌握的正常运行时的网络流量、会话数量以及数据包传输量的值，在防范DDoS的选项上添加20％的余量作为阀值。
l如果要设置防范IP协议层的选项，需在深入了解网络环境后，再将IP协议和网络层的攻击选项逐步选中。
l设置防范应用层的选项，在了解应用层的需求以及客户化程序的编程标准后，如不采用ActiveX控件，可以选择这些基于应用层的防攻击选项。
l为检查网络中是否存在攻击流量，可以临时打开该区段screening顶部Generate Alarms without Dropping Packet选项，确认攻击类型后再将该选项去除。
l在设置screening选项的过程中，应密切注意防火墙CPU的利用率，以及相关应用的使用情况；如果出现异常（CPU利用率偏高了或应用不能通过），则立刻需要取消相关的选项。
l建议正常时期在untrust区启用防flood攻击选项，在办公用户区启用flood和应用层防护选项，在核心业务区不启用screening选项，仅在网络出现异常流量时再打开对应的防御功能。
转自：违规广告

nice job