第9章防火墙与隔离网闸10116pq.ppt

1. 外部代理配置 使用中网X-GAP 网闸的客户端软件进行登录便可进行配置。该项配置为用户提供修改、设置该代理服务器的IP地址、子网掩码、网关、域名、DNS和主机名等配置操作。 2. 部代理配置 X-GAP网闸的内网主机即内部服务器位于可信的内网，因此X-GAP网闸内部服务器上内网的网络配置如果不正确，将不能保证网闸起到内部代理服务器的作用，该项配置包括内部代理服务器的IP地址、子网掩码、网关、域名、DNS和主机名等内容。 3. 准出交换服务配置 X-GAP网闸的准出交换服务配置包括HTTP信息交换、SMTP信息交换、POP3信息交换、FTP信息交换、定制TCP信息交换和定制UDP 信息交换等内容的配置。 4. 准入交换服务配置 X-GAP网闸准入交换服务就是在允许不可信的外网访问可信的内网时，网闸所提供的各种信息交换服务，使不可信内网的用户能够通过这些应用代理安全访问内部可信网中的特定资源和应用服务。X-GAP网闸准入交换服务配置包括定制TCP信息交换设置与FTP信息交换设置。 5. X-GAP网闸的高级配置 X-GAP网闸的高级配置包括防病毒、防泄密等内容的配置。防病毒功能是指网闸根据文件的类型、文件长度对经过网闸的文件进行病毒过滤，从而达到预防病毒，避免可信内网感染病毒的目的。 9.8 小 结 本章主要介绍防火墙与隔离网闸的相关知识，包括防火墙的基本概念、防火墙体系结构、防火墙所使用的主要技术、隔离网闸的基本概念、隔离网闸所使用的主要技术等内容。并结合市场主流产品对防火墙与隔离网闸的配置方法做了具体介绍。同时，提供一些具体的使用技巧。 9.9 习 题 1. 什么是防火墙？计算机防火墙的种类有哪些？ 2. 简述防火墙体系结构。 3. 简述防火墙具有的缺点。 4. 简述防火墙与隔离网闸在网络中起到的不同作用。 9.10 思 考 题 1. 如何在局域网中通过使用防火墙和隔离网闸提高网络的安全性？ 9.11 实 验 1. 在防火墙上实现地址池的配置。 2. 在防火墙上实现扩展访问控制列表的配置。 3. 在防火墙上实现AAA认证的配置。 4. 使用隔离网闸实现内外网物理隔离。 1.SYN Attack (SYN攻击)  每一个TCP连接的建立都要经过三次握手的过程：A向B发送SYN封包；B用SYN/ACK封包进行响应；然后A又用ACK封包进行响应。 攻击者用伪造的IP地址（不存在或不可到达的地址）发送大量的SYN封包至防火墙的某一接口，防火墙用SYN/ACK封包对这些地址进行响应，然后等待响应的ACK封包。因为SYN/ACK封包被发送到不存在或不可到达的IP地址，所以他们不会得到响应并最终超时。当网络中充满了无法完成的连接请求SYN封包，以至于网络无法再处理合法的连接请求，从而导致拒绝服务（DOS）时，就发生了SYN泛滥攻击。防火墙可以对每秒种允许通过防火墙的SYN封包数加以限制。当达到该临界值时，防火墙开始代理进入的SYN封包，为主机发送SYN/ACK响应并将未完成的连接存储在连接队列中，直到连接完成或请求超时。 当ICMP PING产生的大量回应请求超出了系统最大限度，以至于系统耗费所有资源来进行响应直至再也无法处理有效的网络信息流时，就发生了ICMP泛滥。 当启用ICMP泛滥保护功能时，可以设置一个临界值，一旦超过了此值就会调用ICMP泛滥攻击保护功能（缺省的临界值为一般设为每秒1000个封包）。如果超过了该临界值。防火墙在该秒余下的时间和下一秒内会忽略其他的ICMP回应要求。 2. ICMP Flood (UDP泛滥) 3. UDP Flood (UDP泛滥) 与ICMP泛滥相似，当以减慢系统速度为目的向该点发送UDP封包，以至于系统再也无法处理有效的连接时，就发生了UDP泛滥。 当启用了UDP泛滥保护功能时，可以设置一个临界值，一旦超过此临界值就启用UDP泛滥攻击保护功能（缺省的临界值为一般设为每秒1000个封包）。如果从一个或多个源向单个目标发送的UDP泛滥攻击超过了此临界值，防火墙在该秒余下的时间和下一秒内会忽略其他到该目标的UDP封包。 4. Port Scan Attack (端口扫描攻击) 当一个源IP地址在定义的时间间隔内（缺省值一般为5000微秒）向位于相同目标IP地址10个不同的端口发送IP封包时，就会发生端口扫描攻击。这个方案的目的是扫描可用的服务，希望会有一个端口响应，因此识别出作为目标的服务。防火墙在内部记录从某一远程源地点扫描不同端口的数目。使用缺省设置，如果远程主机在0.005秒内扫描了10个端口。防火墙会将这一情况标记为端口扫描攻击，并在该秒余下的时间内拒绝来自该源地址