DNS 系统安全保护 Sep,2009

DNS服务安全防御特性 服务负载分担 DOS攻击防御 DNS 弱点攻击防御 Bypass支持 FortiGate 平台选择 2 2

服务器负载均衡——新建虚拟服务器 虚拟服务器支持的 Note FG支持虚拟服务器的数量应与型号相关

多种分配方式 First Alive 根据健康检查状况，永远把流量转向第一个保持存活的服务器 Last RTT 根据健康检查的ping获得的RTT来判断将流量传到哪台服务器 Last Session 按照权重来分配会话，比如分别设置两个服务器的权重为2和10，则会话按照2：10的方式来分配

健康检查 TCP 通过不传数据的空连接来检测 Ping Ping包 HTTP Get一个内容然后进行匹配

基于接口的DoS策略 特点： 基于接口部署 可以指定服务

基于接口的DoS策略 DoS sensor可以应用到特定的接口 用于区分流量方向等 不仅仅通过IP地址判断

对DNS系统的入侵检测 Blahz.DNS.ModifyUser qtype_unexpect invalid_opcode premature_msg unknown_type Port53.To.LessThan1024 DNSTools.Administror.Authentication pointer_loop unknown_class DNS.Dynamic.Update DNSTools.Authentication.Bypass invalid_pointer Spoof.PTR.TTL undersize_msg name_too_long DNS.Incremental.Zone.Transfer qclass_unexpect MS.Windows.DNS.Client.Buffer.Overflow Dnsmasq.DHCP.Lease.File.DoS Symantec.Client.Firewall.Remote.DNS.Response.DoS DNS.Zone.Transfer AIX.Source.Code.Browser.Pdnsd.Buffer.Overflow MS.Windows.DNS.Server.WPAD.Registration.Spoofing iTunes.mDNS DNS DNS.Spoofing.Attempt Sun.JRE1.isInstalled.dnsResolve.Function.Overflow Symantec.Gateway.Products.DNS.Cache.Poisoning Symantec.Enterprise.Firewall.DNSD.Proxy.Cache.Pois ISC.BIND.DNSSEC.Validation.DoS Apple.MacOS.X.mDNSResponder.Location.Overflow Dproxy.Nexgen.Dns.Decode.Reverse.Name.Buffer.Overf MS.Windows.RPC.DNS.Service.Buffer.Overflow DNS.BIND.Version.Query DNS.Smuggling DNS4Me.XSS Sun.Java.JRE.DNS.DoS Squid.DNS.Lookup.FQDN.DOS DNS.Reverse.Address.Lookup.Spoofing Multiple.Vendor.DNS.Message.Decompression.DoS Symantec.Client.Firewall.DNS.Response.Buffer.Overf RedHat.Enterprise.Linux.DNS.Resolver.Buffer.Overfl invalid_label_length invalid_param oversized_msg

基于域名的DNS请求控制 为正常的DNS Query的访问量设定一个阈值，当某个域名解析的每秒请求量超过该阈值时，FortiGate将阻断其后续的Query request。 针对某个特定的域名如www.sian.com.cn，可为其设定一特定的阈值，当该域名解析的每秒请求量超过该阈值时，FortiGate 将阻断其后续的Query request。 通过对以上功能的定制与设定，可以有效地防止某一域名遭受攻击而引起整个DNS服务的失效。 9 9

DNS 海量域名访问控制技术 防火墙DNS安全监控表 www.sky.com www.youtube.com www.sina.com 当前请求速度 防火墙防御反应 www.sky.com 2000/秒 拦截 www.sina.com.cn 1300/秒 通过 www.youtube.com 2500/秒 Internet www.sky.com www.youtube.com www.sina.com DNS请求客户 DNS请求客户 DNS请求客户 10 10

DNS攻击案例分析 某dns托管商DNSer遭遇超过10G流量攻击，中国电信为保护DNSer所在IDC，在骨干网上对DNSer服务器IP进行封禁 这一天DNSer站长，疲于应对攻击和忙于更换被封禁的IP …… 11 11

FortiGate的对策 XX影音--- DNSer的用户，唇亡齿寒。 随着时间推移，XX影音在各地dns（LDNS）上的解析缓存（TTL）到期。 普通使用XX影音的网民不知不觉间成为了DNS风暴的参与者， XX影音隐藏在后台的程序解析域名，解析请求被送给了各地的LDNS，各地LDNS将请求送给dnspod DNSser的服务器已经无法访问，于是ldns自动地多次尝试，一个用户的一次解析变成了3次以上的重试 XX影音不停的尝试，2.5亿的XX影音的用户，2500万的在线用户…,将对电信的DNS服务器造成巨大的压力 12 12

X X FortiGate的DNS 域名访问控制 FortiGate的DNS海量域名访问控制将检测到对XX影音的域名的解释请求出现了异常，从而阻断对该域名的超出所配置的阈值的请求 DNS服务器上的其他域名解析服务正常运行，避免了全局性服务异常。 正常请求 黑客 X 用户 DNS攻击 Internet X 超出阈值部分的DNS请求 用户 用户 正常请求 13 13

DNS 海量域名 —日志记录与告警 14 14

IPS Bypass Module (Fiber) Advanced Mezzanine Cards: Fail-to-Wire Bridge Modules Product Description Supported Platforms Comments ASM-FX2 2 port Fiber Ethernet ”fail-safe” expansion module Provides 2 SFP ports. Fiber Gigabit 1000Base-SX(850nm) In the event of system failure the module maintains the circuit between paired ports until service resumes. The unit is equipped with a mechanical bypass button and a watchdog LED. Single width required FG-5001A-SW FG-3810A FG-3600A FG-3016B FG-620B FG-310B Alternative configuration possible with special fiber switch and SFP supports 1000Base-LX(1300nm) 15 15

IPS Bypass Module (Copper) Advanced Mezzanine Cards: Fail-to-Wire Bridge Modules Product Description Supported Platforms Comments ASM-CX4 4port Ethernet ”fail-safe” expansion module Provides 4 RJ45 ports (10/100/1000) In the event of system failure the module mechanically switches the paired ports together until service resumes. The unit is equipped with a mechanical bypass button and a watchdog LED. Single width required FG-5001A-SW FG-3810A FG-3600A FG-3016B FG-620B FG-310B 2 pairs of bypass ports available 16 16

FortiGate型号

FortiGate-310B 详细产品信息 硬件 FortiASIC CP(内容处理器) 用于内容层扫描加速 8个 FortiASIC Network Processor (NP网络处理器)用于网络层转发加速 2 个非加速铜口 1 个单宽的 AMC 插槽 1 GB 系统内存 2 个USB 端口,支持3G modem,支持USB系统文件备份 备份的DC 连接器接口 (为将来使用) 高度1U，机架式。 吞吐量 FG-310B 基本配置 8 Gbps 防火墙吞吐量 6 Gbps IPSec VPN 吞吐量 增加 AMC模块 (见上图) 12 Gbps防火墙吞吐量 9 Gbps IPSec VPN防火墙吞吐量 14 个 GigE 端口 系统软件 FortiOS Multi-Threat Engine 支持 FortiManager 支持 FortiAnalyzer 支持 FortiGuard A&M 服务. AMC扩展模块

FortiGate-620B详细产品信息 硬件 配置FortiASIC内容处理器的UTM加速 吞吐量 FG-620B基本模块 16 Gbps防火墙吞吐量 12 Gbps IPSec VPN吞吐量 配置可选AMC模块 20 Gbps防火墙吞吐量 15 Gbps IPSec VPN吞吐量 24 个千兆接口 软件 FortiOS多威胁引擎 支持 FortiManager 支持 FortiAnalyzer 支持 FortiGuard分析管理服务 硬件 配置FortiASIC内容处理器的UTM加速 16个FortiASIC网络处理器(NP) 加速接口 4个非NP加速铜口 1个单宽前面板AMC插槽 2个USB接口 1U高度机架式设备

FortiGate-3016B 高性能的新一代防火墙 With country selection 接口全部提供NP2 ASIC加速 接口 全线速防火墙吞吐量(小包) 线速的VPN(小包) 提高了IPS DoS防御能力 性能参数 16/20 Gbps防火墙吞吐量 (基本配置/配置AMC模块) 12/15 Gbps 3DES VPN (基本配置/配置 AMC模块) 2 Gbps IPS (UDP) 300 Mbps HTTP AV 冗余/热插拔电源模块配置 可以支持到250虚拟域 接口 16个千兆SFP接口 （可支持光口和铜口） 2-铜口千兆管理接口 1-AMC扩展模块 可选的AMC模块 4个SFP端口的单宽AMC卡 （4G性能 64bytes-1518bytes) 1个80G硬盘的单宽AMC卡 With country selection AMC扩展模块

FortiGate 3810A 可扩展的10-Gig AMC平台 强大的新双核CPU和CP6 ASIC芯片 提高了 AV和SSL VPN吞吐量 2个加速SFP接口实现线速的小包吞吐 支持 4 AMC可扩展插槽 2 个双宽的插槽 2 个单宽的插槽 支持四格10-Gig ASIC的接口 性能参数 7-37Gbps防火墙吞吐量 (标准配置/满配 AMC) 4 Gbps IPS (UDP) 1-19Gbps 3DES VPN (标准配置/满配 AMC) IPSec隧道数：64000 500 Mbps HTTP AV 冗余和热插拔的电源 双 CLI串口和双USB接口 标准配置的接口数量 8-10/100/1000接口 2-Gigabit SFP 加速接口 4-AMC可扩展插槽 可选的AMC 10-Gig 双宽的2 个SFP接口板卡 单宽的4 个SFP接口板卡 硬盘(单宽) 最多500个 VDOMs With country selection

Questions?