ensp USG6000V 防火墙安全防护功能初探

本文最后更新于 494 天前，其中的信息可能已经有所发展或是发生改变。

前言

对ensp 防火墙上的一些防护功能进行一次探究。

正文

topo搭建

该次攻击实验只需要用上topo中的AR1、ZGS、DMZ、Server2、Cloud5。 攻击目标为内网部分中的DMZ区域中搭建的web服务器，kali作为攻击机通过云接入外网路由器。

web服务器通过防火墙服务器映射到外网。

web server ip:10.0.50.10 kail:10.0.100.200

攻击流程

端口扫描防护

这个其实也是最容易做的一个部分了。发起攻击也很简单，直接在kali中使用nmap扫描web server的端口即可。

nmap 10.0.50.10

注意看开启端口防护前和端口防护后耗时的区别。

在开启端口防护前nmap扫描耗时9秒，在开了端口防护之后耗时111秒，这里我为了看的直观把最大扫描速率调的很慢，正常情况下不会这么低。

超大ICMP报文控制防护

这个也很简单，可以说是跟端口扫描防护是一模一样。

这个防护测试通过使用ping发送大量的超大ICMP报文来进行测试。

ping -s 1500 10.0.50.10

这边为了能更直观的看出区别我截了动图。

这一张是在没有开防护的时候的截图，可以看到报文可以正常发送。

这张是开启了防护后的截图，我将超过1400b的报文统统拦截，可以看到在发送大报文的时候没有一条回显，而同时发送普通的ping报文的时候并不会有问题，在修改了拦截大小之后也能正常发送。

结语

暂时还没写完，先这样把。

浏览量: 144