防火墙产品与维护教程.ppt

此页标题禁止有多级标题，更不要出现所在章节的名称。 此页标题要简练，能直接表达出本页的内容。 内容页可以除标题外的任何版式，如图、表等。 该页在授课和胶片＋注释中都要使用。 此页标题禁止有多级标题，更不要出现所在章节的名称。 此页标题要简练，能直接表达出本页的内容。 内容页可以除标题外的任何版式，如图、表等。 该页在授课和胶片＋注释中都要使用。 此页标题禁止有多级标题，更不要出现所在章节的名称。 此页标题要简练，能直接表达出本页的内容。 内容页可以除标题外的任何版式，如图、表等。 该页在授课和胶片＋注释中都要使用。 DoS是Denial of Service的简称，即拒绝服务，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。此外，还有一部分是直接利用设备、系统及应用程序本身的漏洞，直接使设备及程序因本身故障而停止服务。常用攻击手段有：同步洪流、WinNuke、死亡之PING、Echo攻击、ICMP/SMURF、Finger炸弹、Land攻击、Ping洪流、Rwhod、tearDrop、TARGA3、UDP攻击、OOB等。 分布式拒绝服务攻击（distributing deny of service），简称DDoS。攻击者通过控制大量的肉鸡向被攻击者发送大量的数据流，造成被攻击者链路拥塞、系统资源耗尽，从而无法向用户提供正常业务。 DDoS 与传统的单包攻击有区别，DDoS 攻击流量都是合法的报文，而且多数情况是模拟正常业务请求。控制者命令肉鸡发起攻击，造成被攻击者拒绝服务，这是 DDoS 最大的特点。攻击者不直接参与攻击，而是通过直接或间接的方式与肉鸡取得联系，然后命令肉鸡发起攻击。在这个过程中，攻击者充当的是管理肉鸡、发号命令的角色，真正发起攻击的是肉鸡。通常肉鸡主动与控制者联系，目前发现互联网中潜在着数量巨大的肉鸡群，这些肉鸡群和控制者被统称为僵尸网络。 攻击者可以通过反弹技术使我们对DDOS攻击更难以防御——利用反弹服务器反弹DDOS的洪水包，也就是说，通过发送大量的欺骗请求数据包（来源地址为victim，受害服务器，或目标服务器）给Internet上大量的服务器群，而这些服务器群收到请求后将发送大量的应答包给victim。结果是原来用于攻击的洪水数据流被大量的服务器所稀释，并最终在受害者处汇集为洪水，使受害者更难以隔离攻击洪水流，并且更难以用Traceback 跟踪技术去找到洪水流的来源。反弹服务器是指，当收到一个请求数据报后就会产生一个回应数据报的主机。例如，所有的WEB服务器，DNS服务器，及路由器都是反弹服务器，因为他们会对SYN报文或其他TCP报文回应SYN ACKs或RST报文，以及对一些IP报文回应ICMP数据报超时或目的地不可达消息的数据报。而攻击者可以利用这些回应的数据报对目标服务器发动DDOS攻击。 此页标题禁止有多级标题，更不要出现所在章节的名称。 此页标题要简练，能直接表达出本页的内容。 内容页可以除标题外的任何版式，如图、表等。 该页在授课和胶片＋注释中都要使用。 此页标题禁止有多级标题，更不要出现所在章节的名称。 此页标题要简练，能直接表达出本页的内容。 内容页可以除标题外的任何版式，如图、表等。 该页在授课和胶片＋注释中都要使用。 此页标题禁止有多级标题，更不要出现所在章节的名称。 此页标题要简练，能直接表达出本页的内容。 内容页可以除标题外的任何版式，如图、表等。 该页在授课和胶片＋注释中都要使用。 VGMP的引入与基本原理 由于每个传统的VRRP备份组是相互独立的，无法保证这种一致性，因此华为公司在VRRP的基础上进行了扩展，推出了VGMP（VRRP Group Management Protocol）来弥补VRRP在状态防火墙上使用时存在的局限。 VGMP提出VRRP管理组的概念，将同一台防火墙上的多个VRRP备份组都加入到一个VRRP管理组，由管理组统一管理所有VRRP备份组。通过统一控制各VRRP备份组状态的切换，来保证管理组内的所有VRRP备份组状态都是一致的。 DMZ T rust Untrust EudemonA /24 Master EudemonB Backup /24 备份组 2 备份组 3 备份组 1 管理组 管理组 VGMP基本原理介绍 VGMP状态(Master/Slave) 当防火墙上的VGMP为Master状态时，它保证组内所