查看:5544|回复：12
助理工程师
下面是一些日志信息
1.Src IP session limit! From X.X.X.X:61832 to 112.90.78.172:80, proto TCP (zone Trust, int ethernet1). Occurred 2 times. （这个我好像记得是防火墙自己的线程控制吧，但是很多，几乎是无限刷这个请问真么改 ）
2.SNMP request from an unknown SNMP community at X.X.X.X:50834 has been received.（这个是什么 网上查了下 没有找到，这个的IP地址都是一个，是我公司另一个外地中心的。）
3.Login attempt to system by admin admin via Telnet from 118.122.42.96:36696 has failed (Incorrect password)（这个应该有外网的IP登录我们的防火墙吧，这个是不是也很危险）
4。ADM: Local admin authentication failed for login name sh: invalid login name（这个是不是也是被攻击了，不过我咋看的是本地登录呢，这个发生在早上6点多，肯定不是我们自己人登录的）、
5.Login attempt by admin root from 84.54.221.27 is refused as this account is locked（这个是啥？登录成功了没？）
6.Admin root has been re-enabled by NetScreen system after being locked due to excessive failed login attempts（这个是说 管理员账户错误登录过多 被锁定了么？）
本人对安全方面的知识比较缺乏 求大神们 解答下 小弟在这里拜谢了。。
目前就发现这几个不正常的。。
前两个的X.X.X.X都是IP地址
本帖最后由 小侠唐在飞 于
15:40 编辑
助理工程师
来人啊~~~`救命啊~~~~
白袍大法师
1.Src IP session limit
这个问题，是你在SCREEN中限制了源会话。。。如果某人在下载东西。。开了多线程。就会告警。。当然如果DOS外网主机多线程或开了扫描器也会这样。。
你可以查哪个地址会话开的太多。或是在SCREEN接口中关闭此功能或数字改大
2.SNMP request from an unknown SNMP community at X.X.X.X:50834 has been received.
有人在尝试连接你的SNMP，但他的团队不对。。
3.Login attempt to system by admin admin via Telnet from 118.122.42.96:36696 has failed (Incorrect password)
你对外网开什么管理功能啊！！可不得有天天试你的弱口令。。
4、ADM: Local admin authentication failed for login name sh: invalid login name
有人登陆，失败了。。
5.Login attempt by admin root from 84.54.221.27 is refused as this account is locked（这个是啥？登录成功了没？）
6.Admin root has been re-enabled by
system after being locked due to excessive failed login attempts
这几 个都说有人在尝试登陆！！
最简单的办法，只对特定地址开放管理权限，关闭TELNET功能，只开放SSH，并改变默认端口。。 安全加固 ！！！！
本帖最后由 小侠唐在飞 于
10:09 编辑
天下风云出我辈， 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯，不如网友的口碑；金奖银奖，不如网友的褒奖；熊掌鸭掌，不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”，群号：。?
助理工程师
引用:原帖由 小侠唐在飞 于
10:02 发表
1.Src IP session limit
这个问题，是你在SCREEN中限制了源会话。。。如果某人在下载东西。。开了多线程。就会告警。。当然如果DOS外网主机多线程或开了扫描器也会这样。。
你可以查哪个地址会话开的太多。或是在SCREE ... 哦 原来这样 我也是刚来这个公司没多长时间 这个都是以前外包的工程师配置的，我前几天给刚给关了外网管理功能，现在就有一个SNMP的那个是最近发现的~看来我得跟我上级说下 这些得关了 谢谢啦~
助理工程师
引用:原帖由 小侠唐在飞 于
10:02 发表
1.Src IP session limit
这个问题，是你在SCREEN中限制了源会话。。。如果某人在下载东西。。开了多线程。就会告警。。当然如果DOS外网主机多线程或开了扫描器也会这样。。
你可以查哪个地址会话开的太多。或是在SCREE ... 还有个问题
SNMP request from an unknown SNMP community at X.X.X.X:50834 has been received.
这个如果这个链接IP是我们一个中心的内网IP是不是 这个机器中毒了？他在无线的登录我的SNMP
助理工程师
上个专业的企业防火墙，企业安全很重要。
白袍大法师
引用:原帖由 yanglei 于
11:05 发表
还有个问题
SNMP request from an unknown SNMP community at X.X.X.X:50834 has been received.
这个如果这个链接IP是我们一个中心的内网IP是不是 这个机器中毒了？他在无线的登录我的SNMP ... 查！！！是否可能有尝试的事发生，还是中招了。。
天下风云出我辈， 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯，不如网友的口碑；金奖银奖，不如网友的褒奖；熊掌鸭掌，不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”，群号：。?
白袍大法师
引用:原帖由 yanglei 于
11:02 发表
哦 原来这样 我也是刚来这个公司没多长时间 这个都是以前外包的工程师配置的，我前几天给刚给关了外网管理功能，现在就有一个SNMP的那个是最近发现的~看来我得跟我上级说下 这些得关了 谢谢啦~ ... 进行防火墙配置安全基线检查。netscreen防火墙基线。
天下风云出我辈， 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯，不如网友的口碑；金奖银奖，不如网友的褒奖；熊掌鸭掌，不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”，群号：。?
助理工程师
引用:原帖由 小侠唐在飞 于
09:58 发表
进行防火墙配置安全基线检查。netscreen防火墙基线。 把防火墙配置更改了下 最近没有发现那些东西 谢谢啦
初级工程师
好奇问下，如果修改ssh端口有用吗
初级工程师
小侠唐在飞& &很给力啊！
问题都给解决了！
中级工程师
唐总就是牛B啊，牛人
剑本凡铁，因执拿而通灵，因心而动，因血而活，因非念而死
唐大侠就是牛，不得不服　　1.英语科幻片，里面有怪物。　　　　2.有领导指挥大兵打怪物，大兵们三三两两分布开来对怪物发起攻击，扔的好像手榴弹一样的东西。　　　　　　3.怪物会隐身，一直走在高压线附近，好像是在向一个撤退点前进。偶尔会冒出电花，这是可以看到一点怪物的轮廓，比人类要大。　　　　　　4.怪物被攻击后发出光波一样的东西，大兵被光波击中后，就看见骨头架子了，然后就灰飞烟灭了。
楼主发言：13次 发图：0张 | 更多
　　大神出现吧！
　　大神你在哪里？
　　我不是大神，同等大神
　　估计是
　　异形前传吧，异形大战铁血战士。能隐身的怪物
只能脑补出异形
　　@端到端
17:06:25　　估计是 铁血战士　　-----------------------　　我看了异形大战铁血战士，还有单独的铁血战士，对不上。
　　异形也能隐身吗？异形大战铁血战士两部我都看了，不是。
　　什么时候的片子？？前几点很像洛杉矶之战，最后一点又不是了…　　
　　@Sherry房
00:10:43　　什么时候的片子？？前几点很像洛杉矶之战，最后一点又不是了…　　-----------------------　　我也不太清楚，只是路过看了几分钟。
　　大神出现吧，让我在有生之年能知道这是什么电影！
　　我家有这个碟子，现在扔了，我老公觉得不好看　　
　　@szalvin-15 16:01:06　　我家有这个碟子，现在扔了，我老公觉得不好看　　-----------------------　　还能想起来是什么名字吗？
　　谁来帮帮楼主！
　　大神吃饱饭就出来吧！
请遵守言论规则，不得违反国家法律法规回复(Ctrl+Enter)什么是源端口和目的端口
源端口就是指本地端口
目的端口就是远程端口一个数据包（pocket）被解封装成数据段（segment）后就会涉及到
连接上层协议的端口问题。
很多人都在源端口和目的端口这两个概念上犯迷糊，
其实他们只是数据的发送方向的问题。
比如很多防火墙的规则设置都要求设置源端口和目的端口，
其实就是数据包通过防火墙的方向是向内还是向外。
源端口就是本机程序用来发送数据的端口，目的端口就是对方主机用哪个端口接收
在这里举个例子聊一下这个端口问题：
其实端口就是特定的程序或者软件也可以理解为特定软件或程序的接口，
数据发送时计算机会在数据段上添上本机端口号（源端口号）和目的主机接收数据的端口号（目的端口号）
数据包通过网络设备走的时候，第一个检查的就是你这个数据包的目的地址在什么地方。
因此如果我们把防火墙的目的端口关闭的话，也就是自己的数据段无法到达目的地，因为数据段在发送出去的过程中，防火墙检测到这个目的端口不允许出去。
也就是说，把目的端口封了，自己就无法上网了。
如果封80目的端口，也就不能访问别人的网站了
至于源端口，应该这么理解。你的数据段发到别人哪儿时，别人要是回应数据包的话
你的源端口就是别人发送数据的目的端口。
因此，我们要是把源端口封了，别人就无法与你取得联系。
如果封80源端口别人就无法访问你的网站了。
封目的端口自己就出不去，封源端口别人就进不来。
--------------------------
源IP目标IP，意思相似，相信都可以举一反三了。
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。新手园地& & & 硬件问题Linux系统管理Linux网络问题Linux环境编程Linux桌面系统国产LinuxBSD& & & BSD文档中心AIX& & & 新手入门& & & AIX文档中心& & & 资源下载& & & Power高级应用& & & IBM存储AS400Solaris& & & Solaris文档中心HP-UX& & & HP文档中心SCO UNIX& & & SCO文档中心互操作专区IRIXTru64 UNIXMac OS X门户网站运维集群和高可用服务器应用监控和防护虚拟化技术架构设计行业应用和管理服务器及硬件技术& & & 服务器资源下载云计算& & & 云计算文档中心& & & 云计算业界& & & 云计算资源下载存储备份& & & 存储文档中心& & & 存储业界& & & 存储资源下载& & & Symantec技术交流区安全技术网络技术& & & 网络技术文档中心C/C++& & & GUI编程& & & Functional编程内核源码& & & 内核问题移动开发& & & 移动开发技术资料ShellPerlJava& & & Java文档中心PHP& & & php文档中心Python& & & Python文档中心RubyCPU与编译器嵌入式开发驱动开发Web开发VoIP开发技术MySQL& & & MySQL文档中心SybaseOraclePostgreSQLDB2Informix数据仓库与数据挖掘NoSQL技术IT业界新闻与评论IT职业生涯& & & 猎头招聘IT图书与评论& & & CU技术图书大系& & & Linux书友会二手交易下载共享Linux文档专区IT培训与认证& & & 培训交流& & & 认证培训清茶斋投资理财运动地带快乐数码摄影& & & 摄影器材& & & 摄影比赛专区IT爱车族旅游天下站务交流版主会议室博客SNS站务交流区CU活动专区& & & Power活动专区& & & 拍卖交流区频道交流区
白手起家, 积分 10, 距离下一级还需 190 积分
论坛徽章:0
防火墙是不是只能靠限制IP和端口阻止病毒攻击么？
&&nbsp|&&nbsp&&nbsp|&&nbsp&&nbsp|&&nbsp&&nbsp|&&nbsp
论坛徽章:26
是的，如iptables肯定不能杀毒。
但是现在的安全产品，ips，ids也可以检测到病毒的行为。
小富即安, 积分 3429, 距离下一级还需 1571 积分
论坛徽章:5
开源的Ossim系统就能检测到这些网络威胁。
论坛徽章:26
cgweb 发表于
开源的Ossim系统就能检测到这些网络威胁。
Ossim也只是一个框架，它也是要其它的安全产品联合使用。
白手起家, 积分 6, 距离下一级还需 194 积分
论坛徽章:0
应该是的，传统的防火墙都是这样的。
小富即安, 积分 3429, 距离下一级还需 1571 积分
论坛徽章:5
目前ossim已有成形的系统，下面我制作了一些ossim应用视频和大家分享:
1.服务器安装ossim4（单机部署）
2.菜单汉化
3.应用日志分析
4.安装ossim agent
5.扫描资产
6.分布式部署ossim
7.siem应用
8.ossim下ntop和ocs功能的使用
9.运用远程wireshark分析封包
10.Ossim系统下的可视化日志分析
11.远程访问ossim数据库
12.Ossim4.5使用概况
白手起家, 积分 12, 距离下一级还需 188 积分
论坛徽章:0
我前几天刷微博的时候看到现在有一种全线多核网关，能够能过安全域、协议、端品、应用、用户以及时间段等条件控制访问控制策略，据说DCN的一款新产品1800E-N9032具有ALG功能，还支持对FTP、HTTP、MS-RPC、H.323、RTSP、SIP、RSA等应用层协议进行状态监控。
白手起家, 积分 13, 距离下一级还需 187 积分
论坛徽章:0
嗯 同意楼上，现在网关功能更强大了，DCN的1800E-N9032还具有丰富的2-7层应用识别能力和管控手段，可对网络中的各种P2P、IM、网游、炒股及在线视频等众多应用进行管控，而且随着系统应用特征库的升级可识别的应用种类和数量还将不断增加。