第9章防火墙应用技术案例.ppt

  1. 1、本文档共50页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
在以上三次握手中,当客户端发送一个TCP连接请求给服务器端,服务器也发出了相应的响应数据报文之后,可能由于某些原因(如客户端突然死机或断网等原因),客户端不能接收到来自服务器端的确认数据报,这就造成了以上三次连接中的第一次和第二次握手的TCP半连接。由于服务器端发出了带SYN+ACK标记的报文,却并没有得到客户端返回相应的ACK报文,于是服务器就进入等待状态,并定期反复进行SYN+ACK报文重发,直到客户端确认收到为止。这样服务器端就会一直处于等待状态,使得CPU及其他资源严重消耗,不仅服务器可能崩溃,而且网络也可能处于瘫痪。 9.3 防火墙的主要应用 SYN Flood攻击正是利用了TCP连接的这样一个漏洞来实现攻击目的的。当恶意的客户端构造出大量的这种TCP半连接发送到服务器端时,服务器端就会一直陷入等待的过程中,并且耗用大量的CPU资源和内存资源来进行SYN+ACK报文的重发,最终使得服务器端崩溃。 2.用防火墙防御SYN Flood攻击 (1)两种主要类型防火墙(包过滤型和应用代理型防火墙)的防御原理 9.3 防火墙的主要应用 应用代理型防火墙的防御方法是客户端要与服务器建立TCP连接的三次握手过程中,充当代理角色,这样客户端要与服务器端建立一个TCP连接,就必须先与防火墙进行三次TCP握手,当客户端和防火墙三次握手成功之后,再由防火墙与客户端进行三次TCP握手,完成后再进行一个TCP连接的三次握手。防火墙相当于起到一种隔离保护作用,安全性较高。当外界对内部网络中的服务器端进行SYN Flood攻击时,实际上遭受攻击的不是服务器而是防火墙。而防火墙自身则又是具有抗攻击能力的,可以通过规则设置,拒绝外界客户端不断发送的SYN+ACK报文。如图9-16所示。 9.3 防火墙的主要应用 图9-16 两个三次握手过程 从整个过程可以看出,由于所有的报文都是通过防火墙转发,而且未同防火墙建立起TCP连接就无法同服务器端建立连接,所以使用这种防火墙就相当于起到一种隔离保护作用,安全性较高。当外界对内部网络中的服务器端进行SYN Flood攻击时,实际上遭受攻击的不是服务器而是防火墙。而防火墙自身则又是具有抗攻击能力的,可以通过规则设置,拒绝外界客户端不断发送的SYN+ACK报文。 服务器端 防火墙 客户端 ① ① ② ② ③ ③ 第一个三次握手 第二个三次握手 9.3 防火墙的主要应用 包过滤型防火墙是工作于IP层或者IP层之下,对于外来的数据报文,它只是起一个过滤的作用。当数据包合法时,它就直接将其转发给服务器,起到的是转发作用。 在包过滤型防火墙中,客户端同服务器的三次握手直接进行,并不需要通过防火墙来代理进行。包过滤型防火墙效率要较网关型防火墙高,允许数据流量大。但是这种防火墙如果配置不当的话,会让攻击者绕过防火墙而直接攻击到服务器。而且允许数据量大会更有利于SYN Flood攻击。这种防火墙适合于大流量的服务器,但是需要设置妥当才能保证服务器具有较高的安全性和稳定性。 9.3 防火墙的主要应用 (2)防御SYN Flood攻击的防火墙设置 除了可以直接采用以上两种不同类型的防火墙进行SYN Flood防御外,还可进行一些特殊的防火墙设置来达到目的。针对SYN Flood攻击,防火墙通常有三种防护方式:SYN网关、被动式SYN网关和SYN中继. ?讨论思考: (1)为什么将企业网络划分为3个区域?外围网络有什么用处? (2)冗余容错技术主要有哪些?增加冗余后为什么安全性会有所提高? (3)SYN Flood攻击是利用了什么漏洞? (4)DDoS是如何实现的?常用的攻击手段除了SYN Flood以外还有哪些? 9.3 防火墙的主要应用 * 防火墙体系结构 1.双重宿主主机体系结构 防火墙体系结构主要有三种: ·双重宿主主机体系结构; ·被屏蔽主机体系结构; ·被屏蔽子网体系结构。 图9-5屏蔽路由器 图9-6 双宿主机网关 图9-7被屏蔽主机网关 图9-8被屏蔽子网 * 防火墙体系结构 1. 双重宿主主机体系结构 双重宿主主机体系结构是围绕具有双重宿主的主机计算机而构筑的,该计算机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器;能够从一个网络到另一个网络发送IP数据包。实现双重宿主主机的防火墙体系结构禁止这种发送功能。所以IP数据包从一个网络并不是直接发送到其它网络。防火墙内部的系统能与双重宿主主机通信,同时防火墙外部的系统能与双重宿主主机通信,但是这些系统不能直接互相通信。它们之间的IP通信被完全阻止。 双重宿主主机的防火墙体系结构是相当简单的:双重宿主主机位于两者

文档评论(0)

1112111 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档