1、防火的墙技术.pptVIP

* 从 botmaster 的角度看 一旦有限的IRC服务器被关闭，botmaster将与botnet彻底失去联系网络的体系结构 从IRC服务器的流量中，防御方很容易获取所有IRC服务器的身份特征（如IP地址） 如果IRC被防守方劫持或捕获，整个botnet将完全暴露 * SYN攻击：设立阈值syn-ack-ack-proxy threshold number syn-flood attack-threshold number攻击防护启动阈值 对同一个源和目的的阈值 超时时间 队列大小 在缺省情况下，初始的三方握手 TCP 会话经过 20 秒钟便会超时 ( 即因无活动而终止)。在建立 TCP 会话后，超时 值变为 30 分钟。HTTP 和 UDP 会话的会话超时值分别是 5 分钟和 1 分钟。会话超时计数器在会话开始时开始计 时，并在会话处于活动状态的情况下每 10 秒钟刷新一次。如果会话空闲时间超过 10 秒钟，则超时计数器的数字开 始减小 在会话表中的会话数超过指定的高位临界值时加速超时过程。当会话数下降到指定的低 位临界值之下时，超时过程恢复正常， 应设置low-watermark 70下限，high-watermark 80early-ageout 4（十秒单位）上限减少量 * 在缺省情况下，初始的三方握手 TCP 会话经过 20 秒钟便会超时 ( 即因无活动而终止)。在建立 TCP 会话后，超时 值变为 30 分钟。HTTP 和 UDP 会话的会话超时值分别是 5 分钟和 1 分钟。会话超时计数器在会话开始时开始计 时，并在会话处于活动状态的情况下每 10 秒钟刷新一次。如果会话空闲时间超过 10 秒钟，则超时计数器的数字开 始减小 在会话表中的会话数超过指定的高位临界值时加速超时过程。当会话数下降到指定的低 位临界值之下时，超时过程恢复正常，基于HTTP，TCP，UDP 应设置low-watermark 70下限，high-watermark 80early-ageout 4（十秒单位）上限减少量 * 与数据挖掘、 可能带来互联网开发程度的下降 应用层加密/解密； 正常化； 协议一致性； 双向负载检测 SSL广泛被应用于各种场合，以确保相关数据的安全性。这就对防火墙提出了新要求：必须能够处理数据加密/解密。如果不对SSL加密的数据进行解密，防火墙就不能对负载的信息进行分析，更不可能判断数据包中是否含有应用层攻击信息。如果没有解密功能，深度检测的所有优点都无法体现出来。 正常化防范应用层攻击，很大程度上依赖于字符串匹配。不正常的匹配会造成安全漏洞。比如，为了探知某种请求的安全策略是否被启用，防火墙通常根据请求的URL与安全策略来进行匹配。一旦与某种策略条件完全匹配，防火墙就采用对应的安全策略。指向同一个资源的URL或许有多种不同形态，如果该URL的编码方式不同的话，二进制方式的比较就不起作用了。攻击者会利用各种技术，对输入的URL进行伪装，企图避开字符串匹配，以达到越过安全设备的目的。 　　这些攻击行为，在欺骗IDS和IPS方面，特别有效，因为攻击代码只要与安全设备的特征库有一点点不同的话，就能够达到目的。如图2所示。 解决字符串匹配问题需要利用正常化技术，深度检测能够识别和阻止大量的攻击。对于防范隐藏在帧数据、Unicode、URL编码，双重URL编码和多形态的Shell等类型的攻击行为，必须要用到正常化技术，如图3所示。 协议一致性 应用层协议，如HTTP、SMTP、POP3、DNS、IMAP和FTP，在应用程序中经常用到。每个协议，都由RFC（Request For Comments）相关规范创建。 　　深度检测防火墙，必须确认应用层数据流是否与这些协议定义相一致，以防止隐藏其中的攻击。 　　深度检测在应用层进行状态检测。协议一致性，通过对协议报文的不同字段进行解密而实现，当协议中的字段被识别出来后，防火墙采用RFC定义的应用规则，来检查其合法性。 * 封装：当某层的PDU被放到另外一个PDU中的有效载荷时，把这种处理方式叫做封装 封装原因： 1.一个域内的地址在另一个域内没有意义时就需要构建隧道，例如：两个使用私有地址的intranet之间通过Internet互联时，私有地址无法路由，就需要隧道技术来隐藏私有地址 2.当两个域使用相同的协议，但两个域的互联使用了另外的协议时，也需要构建隧道，如：两个运行IPv6的域通过IPv4网络互联 无法实现端到端的VPN（SSL），内部安全出现隐患 AH：完整性-SHA1、MD5 ESP：机密性-DES、3DES、AES、MD5、SHA1 * * * * Php inc