计算机网络安全防火墙应用技术.ppt

（1）没有冗余组件的单一防火墙 （2）具有冗余组件的单一防火墙 图9-10没有冗余组件的单一防火墙 图9-11 具有冗余组件的单一防火墙 （3）容错防火墙 图9-12 容错防火墙 9.3.3 外围防火墙系统设计 设置外围防火墙是为了满足组织边界之外用户的需要。这些用户类型包括： 完全信任用户：例如组织的员工，如各个分支办事处工作人员、远程用户或者在家工作的用户。 部分信任用户：例如组织的业务合作伙伴，这类用户的信任级别比不受信任的用户高。但是，这类用户通常又比组织的员工低一个信任级别。 不信任用户：例如组织公共网站的用户。 1.外围防火墙规则 2.外围防火墙可用性 （1）单个无冗余组件的防火墙 图9-13 单个无冗余组件的防火墙 （2）单个带冗余组件的防火墙 图9-14 单个带冗余组件的防火墙 （3）容错防火墙 图9-15 容错防火墙 9.3.4 用防火墙阻止SYN Flood攻击 1．SYN Flood攻击原理 SYN Flood攻击所利用的是TCP协议存在的漏洞。TCP协议是面向连接的，在每次发送数据以前，都会在服务器与客户端之间先虚拟出一条路线，称TCP连接，以后的各数据通信都经由该路线进行，直到本次TCP连接结束。而UDP协议则是无连接的协议，基于UDP协议的通信，各数据报并不经由相同的路线。在整个TCP连接中需要经过三次协商，俗称“三次握手”来完成 第一次：客户端发送一个带有SYN标记的TCP报文到服务端，正式开始TCP连接请求。在发送的报文中指定了自己所用的端口号以及TCP连接初始序号等信息。 第二次：服务器端在接收到来自客户端的请求之后，返回一个带有SYN+ACK标记的报文，表示接受连接，并将TCP序号加l。 第三次：客户端接收到来自服务器端的确认信息后，也返回一个带有ACK标记的报文，表示已经接收到来自服务器端的确认信息。服务器端在得到该数据报文后，一个TCP连接才算真正建立起来。 在以上三次握手中，当客户端发送一个TCP连接请求给服务器端，服务器也发出了相应的响应数据报文之后，可能由于某些原因（如客户端突然死机或断网等原因），客户端不能接收到来自服务器端的确认数据报，这就造成了以上三次连接中的第一次和第二次握手的TCP半连接。由于服务器端发出了带SYN+ACK标记的报文，却并没有得到客户端返回相应的ACK报文，于是服务器就进入等待状态，并定期反复进行SYN+ACK报文重发，直到客户端确认收到为止。这样服务器端就会一直处于等待状态，使得CPU及其他资源严重消耗，不仅服务器可能崩溃，而且网络也可能处于瘫痪。 SYN Flood攻击正是利用了TCP连接的这样一个漏洞来实现攻击目的的。当恶意的客户端构造出大量的这种TCP半连接发送到服务器端时，服务器端就会一直陷入等待的过程中，并且耗用大量的CPU资源和内存资源来进行SYN+ACK报文的重发，最终使得服务器端崩溃。 2．用防火墙防御SYN Flood攻击 （1）两种主要类型防火墙（包过滤型和应用代理型防火墙）的防御原理 应用代理型防火墙的防御方法是客户端要与服务器建立TCP连接的三次握手过程中，充当代理角色，这样客户端要与服务器端建立一个TCP连接，就必须先与防火墙进行三次TCP握手，当客户端和防火墙三次握手成功之后，再由防火墙与客户端进行三次TCP握手，完成后再进行一个TCP连接的三次握手。防火墙相当于起到一种隔离保护作用，安全性较高。当外界对内部网络中的服务器端进行SYN Flood攻击时，实际上遭受攻击的不是服务器而是防火墙。而防火墙自身则又是具有抗攻击能力的，可以通过规则设置，拒绝外界客户端不断发送的SYN+ACK报文。如图9-16所示。 图9-16 两个三次握手过程 从整个过程可以看出，由于所有的报文都是通过防火墙转发，而且未同防火墙建立起TCP连接就无法同服务器端建立连接，所以使用这种防火墙就相当于起到一种隔离保护作用，安全性较高。当外界对内部网络中的服务器端进行SYN Flood攻击时，实际上遭受攻击的不是服务器而是防火墙。而防火墙自身则又是具有抗攻击能力的，可以通过规则设置，拒绝外界客户端不断发送的SYN+ACK报文。 包过滤型防火墙是工作于IP层或者IP层之下，对于外来的数据报文，它只是起一个过滤的作用。当数据包合法时，它就直接将其转发给服务器，起到的是转发作用。 在包过滤型防火墙中，客户端同服务器的三次握手直接进行，并不需要通过防火墙来代理进行。包过滤型防火墙效率要较网关型防火墙高，允许数据流量