第8章防火墙技术..ppt

8.5 智能防火墙 8.5.5 用智能防火墙阻止攻击 2 智能TCP代理有效防范SYN Flood攻击 在以上三次握手中，当客户端发送一个TCP连接请求给服务器端，服务器也发出了相应的响应数据报文之后，可能由于某些原因（如客户端突然死机或断网等原因），客户端不能接收到来自服务器端的确认数据报，这就造成了以上三次连接中的第一次和第二次握手的TCP半连接(并不是完全不连接，连接并未完全中断)。 由于服务器端发出了带SYN+ACK标记的报文，却并没有得到客户端返回相应的ACK报文，于是服务器就进入等待状态，并定期反复进行SYN+ACK报文重发，直到客户端确认收到为止。 这样服务器端就会一直处于等待状态，并且由于不断发送SYN+ACK报文，使得CPU及其他资源严重消耗，还因大量报文使得网络出现堵塞，这样不仅服务器可能崩溃，而且网络也可能处于瘫痪。 8.5 智能防火墙 8.5.5 用智能防火墙阻止攻击 2 智能TCP代理有效防范SYN Flood攻击 SYN Flood攻击正是利用了TCP连接的这样一个漏洞来实现攻击目的的。当恶意的客户端构造出大量的这种TCP半连接发送到服务器端时，服务器端就会一直陷入等待的过程中，并且耗用大量的CPU资源和内存资源来进行SYN+ACK报文的重发，最终使得服务器端崩溃。 8.5 智能防火墙 8.5.5 用智能防火墙阻止攻击 用防火墙防御SYN Flood攻击。 智能TCP代理型防火墙的防御方法是客户端要与服务器建立TCP连接的三次握手过程中，因为它位于客户端与服务器端(通常分别位于外、内部网络)中间，充当代理角色，这样客户端要与服务器端建立一个TCP连接，就必须先与防火墙进行三次TCP握手，当客户端和防火墙三次握手成功之后，再由防火墙与客户端进行三次TCP握手，完成后再进行一个TCP连接的三次握手。 一个成功的TCP连接所经历的两个三次握手过程(先是客户端到防火墙的三次握手，再是防火墙到服务器端的三次握手) 8.5 智能防火墙 8.5.5 用智能防火墙阻止攻击 用防火墙防御SYN Flood攻击。 8.5 智能防火墙 8.5.5 用智能防火墙阻止攻击 用防火墙防御SYN Flood攻击。 从整个过程可以看出，由于所有的报文都是通过防火墙转发，而且未同防火墙建立起TCP连接就无法同服务器端建立连接，所以使用这种防火墙就相当于起到一种隔离保护作用，安全性较高。 当外界对内部网络中的服务器端进行SYN Flood攻击时，实际上遭受攻击的不是服务器而是防火墙。而防火墙自身则又是具有抗攻击能力的，可以通过规则设置，拒绝外界客户端不断发送的SYN+ACK报文。 8.5 智能防火墙 8.5.5 用智能防火墙阻止攻击 用防火墙防御SYN Flood攻击。 防火墙工作时，并不会立即开启TCP代理（以免影响速度），只有当网络中的TCP半连接达到系统设置的TCP代理启动警戒线时，正常TCP Intercept会自动启动，并且当系统的TCP半连接超过系统TCP Intercept高警戒线时，系统进入入侵模式，此时新连接会覆盖旧的TCP连接； 此后，系统全连接数增多，半连接数减小，当半连接数降到入侵模式低警戒线时，系统推出入侵模式。如果此时攻击停止，系统半连接数量逐渐降到TCP代理启动警戒线以下，智能TCP代理模块停止工作。通过智能TCP代理可以有效防止SYN Flood攻击，保证网络资源安全。 8.5 智能防火墙 8.5.5 用智能防火墙阻止攻击 用防火墙防御SYN Flood攻击。 8.5 智能防火墙 8.5.5 用智能防火墙阻止攻击 3 基于流量分析的包过滤对DoS和病毒检测 网络监控在抵御DDOS攻击中有重要的意义。智能防火墙支持流量分析功能，它将网络交换中的数据包识别为流的方式加以记录，并封装为UDP包发送到分析器上，这样就为网络管理、流量分析和监控、入侵检测等提供了丰富的资料来源(学习资料)。可以在不影响转发性能的同时记录、发送流量数据信息，并能够利用防火墙的安全管理平台对接收到的资料进行分析、处理。 8.5 智能防火墙 8.5.5 用智能防火墙阻止攻击 3 基于流量分析的包过滤对DoS和病毒检测 通过监控网络流量，防火墙可以有效的抵御DDOS攻击，但当攻击流数量超过一定程度，已经完全占据了带宽时，虽然防火墙已经通过安全策略把攻击数据包丢弃（过滤掉），但由于攻击数据包已占据所有的网络带宽，这时正常的用户访问依然无法完成。 利用流量分析监视蠕虫病毒。防止蠕虫病毒的攻击，重要的是防止蠕虫病毒的扩散，只有尽早发现，才可以迅速采取措施有效阻止病毒。各种蠕虫病毒在感染了系统后，为了传播自身，会主动向外发送特定的数据包并扫描相关端口。利用这个特性，防火墙可在安全管理平台上建立相关