20070.jpg >
防扫描拓扑图
我们发现,这些防火墙在应对扫描行为时的态度有所不同。如表一所示。
表一:网络攻击或威胁的防御
注:√为支持,×为不支持,其他详见上文和防DoS攻击部分的文字说明
网络攻击或威胁的防御
FortiGate 3600在这方面的控制最为精细。在它的IPS功能模块的“异常”行为中,管理员可以在扫描选项中设置扫描数据包的阈值,然后选择你想要采取的行动,可以选择通过或是丢弃相关数据包,同时还可以打开日志对该行为进行记录。经测试,它确实可以做到精确控制。可贵的是,Nmap作为一种常用的黑客工具,FortiGate 3600将其添加到了IPS功能模块的“特征”库中,即便不在“异常”中进行扫描控制,选中Nmap阻断就可以解决各式各样的Nmap扫描。
首信CF 2000-EP500也可以做到扫描防御,在其上设置禁止扫描,当扫描行动开始后,CF 2000-EP500会自动创建一条安全规则,将扫描器的网络访问停掉,除了扫描数据外,扫描器的其他通信也被禁止。不过,通信被禁止的时间可以由管理员来指定。这种惩罚性措施得到了一些用户的青睐。当然,有些员工的主机也有可能成为黑客的“跳板”而被“无辜”地停止到Internet的访问。
联想网御Super V的“禁扫”设置也是很直接,不过Super V的主机扫描阈值不能低于10,否则不能识别,但端口扫描可以页码:[1] [2] [3] [4] [5] [6] [7] 第2页、共7页 |
