防火墙产品与维护讲义qib.pptx

《防火墙产品与维护讲义qib.pptx》由会员分享，可在线阅读，更多相关《防火墙产品与维护讲义qib.pptx（138页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、ISSUE ISSUE数通技术支持部数通技术支持部防火墙产品与维护防火墙产品与维护3.0 3.0学习目标学习目标l了解Eudemon产品工作原理l了解Eudemon产品规格和特性l掌握Eudemon产品典型组网及配置l掌握Eudemon产品维护方法学习完本课程，您应该能够：课程内容课程内容 第一章 Eudemon防火墙第二章 Eudemon边界会话控制器第一章第一章 Eudemon Eudemon防火墙培训防火墙培训 1.防火墙技术简介2.防火墙体系结构3.防火墙原理与特性4.防火墙升级指导5.防火墙故障处理指导华为产品维护资料 4防火墙概述防火墙概述l网络安全问题成为近年来网络问题的焦点l网

2、络安全包括基础设施安全、边界安全和管理安全等全方位策略l防火墙的主要作用是划分边界安全，实现关键系统与外部环境的安全隔离，保护内部网络免受外部攻击l与路由器相比,防火墙提供了更丰富的安全防御策略，提高了安全策略下数据报转发速率l由于防火墙用于边界安全，因此往往兼备NAT、VPN等功能l我司防火墙：Eudemon系列（英文含义守护神）一夫当关，万夫莫开防火墙的分类（一）防火墙的分类（一）l包过滤防火墙l代理防火墙l状态防火墙包过滤防火墙 代理防火墙 状态防火墙防火墙的分类防火墙的分类(二）二）按照防火墙实现的方式，一般把防火墙分为如下几类：包过滤防火墙(Packet Filtering)包过滤利

3、用定义的特定规则过滤数据包，防火墙直接获得数据包的IP源地址、目的地址、TCP/UDP的源端口、和TCP/UDP的目的端口。包过滤防火墙简单，但是缺乏灵活性，对一些动态协商端口没有办法设置规则。另外包过滤防火墙每包需要都进行策略检查，策略过多会导致性能急剧下降。代理型防火墙（application gateway）代理型防火墙使得防火墙做为一个访问的中间节点，对Client来说防火墙是一个Server，对Server来说防火墙是一个Client。代理型防火墙安全性较高，但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的，因此代理型防火墙不能支持很丰富的业务，只能针对某些应用提供代

4、理支持。状态检测防火墙 状态检测是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。现在防火墙的主流产品都为状态检测防火墙：高性能和高安全的完美结合。防火墙技术发展方向防火墙技术发展方向1、软件防火墙。一般是直接安装在PC上的一套软件，基于PC提供基本的安全防护，此时防火墙基本上就是一个应用软件。代表产品有CheckPoint公司的防火墙产品。2、工控机类型防火墙。采用PC硬件结构，基于linux等开发源代码的操作系统内核，开发了安全防护的一些基本特性构成硬件防火墙产品形态。从外观

5、上面看，该种防火墙是一个硬件防火墙产品，但是其软件、硬件和第一种防火墙产品从硬件上面说没有本质区别。国内大多数防火墙是采用这种技术。3、电信级硬件防火墙。采用独立设计的硬件结构，在CPU、电源、风扇、PCI总线设计、扩展插卡等方面优化结构，保证防火墙产品可以得到最优的处理性能和高可靠性。代表产品有华为公司的Eudemon 200产品、NetScreen 204等防火墙产品。4、基于NP 电信级防火墙。由于纯软件设计的防火墙产品在流量很大的地方逐步成为瓶颈，基于网络处理器（NP）的业务加速模式的防火墙产品开始出现。通过网络处理器的高性能，使得防火墙产品可以达到1G线速的处理能力。代表产品有华为公

6、司的Eudemon 500/1000产品。软件防火墙=工控机类型防火墙=电信级硬件防火墙=基于NP电信级防火墙动态创建和删除过滤规则l改进的状态防火墙：Eudemon系列防火墙即采用的这种技术，这是华为特有的ASPF技术（Application specific packet filter），它结合了代理型防火墙安全性高、状态防火墙速度快的优点，因此安全性高，处理能力强。监视通信过程中的报文基于改进的状态检测安全技术（一）基于改进的状态检测安全技术（一）ASPF（Application Specific Packet Filter）增强VRP平台上的防火墙功能，提供针对应用层的报文过滤功能。A

7、SPF是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。ASPF不仅能够根据连接的状态对报文进行过滤还能够对应用层报文的内容加以检测，以对一部分攻击加以检测和防范。基于改进的状态检测安全技术（二）基于改进的状态检测安全技术（二）状态防火墙通过检测基于TCP/UDP连接的连接状态，来动态的决定报文是否可以通过防火墙。在状态防火墙中，会维护着一个Session表项，通过Session表项就可以决定哪些连接是合法访问，哪些是非法访问。基于改进的状态检测安全技术（三）基于改进的状

8、态检测安全技术（三）FTP是File Transfer Protocol（文件传输协议）要用到两个TCP连接，一个是控制通道，用来在FTP客户端与服务器之间传递命令；另一个是数据通道，用来上传或下载数据。检查接口上的外发IP报文，确认为基于TCP的FTP报文。检查端口号确认连接为控制连接，建立返回报文的临时ACL和状态表。检查FTP控制连接报文，解析FTP 指令，根据指令更新状态表，如果包含数据通道建立指令，则创建另外的数据连接的临时ACL，对于数据连接，不进行状态检测。对返回报文作根据协议类型做相应匹配检查，检查将根据相应协议的状态表和临时ACL决定报文是否允许通过。DoS攻击的防范对所有处

9、于半开(TCP SYN or UDP)状态的连接进行数目统计和速度采样。基于改进的状态检测安全技术（四）基于改进的状态检测安全技术（四）主要防火墙性能衡量指标主要防火墙性能衡量指标1、吞吐量 其中吞吐量业界一般都是使用1K1.5K的大包衡量防火墙对报文的处理能力的。因网络流量大部分是200字节报文，因此需要考察防火墙小包转发下性能。因防火墙需要配置ACL规则，因此需要考察防火墙支持大量规则下转发性能。2、每秒建立连接速度 指的是每秒钟可以通过防火墙建立起来的完整TCP连接。由于防火墙的连接是动态连接的，是根据当前通信双方状态而动态建立的表项。每个会话在数据交换之前，在防火墙上都必须建立连接。如

10、果防火墙建立连接速率较慢，在客户端反映是每次通信有较大延迟。因此支持的指标越大，转发速率越高。在受到攻击时，这个指标越大，抗攻击能力越强。这个指标越大，状态备份能力越强。3、并发连接数目 由于防火墙是针对连接进行处理报文的，并发连接数目是指的防火墙可以同时容纳的最大的连接数目，一个连接就是一个TCP/UDP的访问。第一章第一章 防防火墙培训火墙培训 1.防火墙技术简介2.防火墙体系结构3.防火墙原理与特性4.防火墙升级指导5.防火墙故障处理指导华为产品维护资料 14Eudemon 200Eudemon 100Eudemon Eudemon 系列防火墙外观 系列防火墙外观华为公司系列电信级硬件防

11、火墙产品，涵盖了从低端数兆到高端千兆级别，卓越的性能和先进的安全体系架构为用户提供了强大的安全保障。Eudemon 500Eudemon 1000EudemonEudemon系列防火墙性能系列防火墙性能项 目 技术参数与性能指标Eudemon 100 Eudemon 200 Eudemon500Eudemon 1000整机吞吐率100Mbps（实际略低）400Mbps 1200M 3Gbps并发连接数20万 50万 50万 80万每秒新建连接数5000条/秒 20000条/秒 100000条/秒 100000条/秒Eudemon系列防火墙业界领先每秒新建连接能力保证了防火墙性能充分发挥。Eud

12、emon 200Eudemon 200：高效可靠的体系结构：高效可靠的体系结构双总线双总线 双通道设计 总线冲突减少，总带宽提升 双通道收发互不影响接口卡1接口卡2PCI-0PCI-1高速内部交换PCI0PCI1CPU精心设计的体系架构保证了防火墙即使是在64字节报文下依旧保持优异转发性能，高速ACL技术保证了配置大量规则下，性能不受影响。Eudemon 500/1000：基于NP 逻辑结构Eudemon 500/1000：基于NP 的集中式多业务路由器CPUNP高速交换转 发Logic高速接口智能接口高速接口高速接口2G PCI 共享数据总线2G D_bus 交换总线全模块化、基于NP硬件集

13、中式转发、电信级可靠性；TCP、UDP首包都是NP进行处理，保证了每秒新建连接100,000条/秒，充分保证网络安全性。NP转发方式保证了Eudemon 500和1000在64字节报文下分别超过1G和2G；基于硬件ACL保证了配置大量规则情况，性能不受影响。先进的体系架构先进的体系架构Eudemon防火墙完全自主开发。软件采用专有操作系统，安全/高性能并重。Eudemon 500/1000防火墙采用网络处理器技术，高性能、可扩展性兼顾。CPU功能灵活，可不断升级，弱点是性能低。ASIC性 能 高，弱 点 是 过于固化，无法升级NPCPU ASIC基 于 软 件 的 CPU的 灵 活 性 和 基

14、 于 ASIC的 高 速 转发的结合NP（网络处理器）防火墙的基本工作流程防火墙的基本工作流程l 传统包过滤防火墙（路由器）E200E200状态防火墙状态防火墙与工控机类型防火墙技术对比与工控机类型防火墙技术对比大项 子项 工控机类型防火墙 Eudemon 系列防火墙可靠性 CPU 计 算 机 通 用CPU，功 耗 大，CPU 需 要 借 用 风 扇 散 热。通 常 为Intel Pentium 系列CPU通信用Powerpc 系列，功耗低电源 计算机电源，有些工程机无电源故障告警指示。通 信 专 用 电 源，适 用 范 围 广，电 源 支 持1+1 备 份，可 热 插 拔，出 现 故 障 面

15、 板 有 指 示 灯 告 警，并 上 送 告警日志。器件 计算机通用器件，可靠性低 高优质器件散热系统 计 算 机 风 扇，一 般 内 置。有 些 工 控 机 无 故 障 告 警 指 示，可 能 由于风扇问题导致元器件损坏。智 能 散 热 系 统。分4组8个 小 风 扇，温 度 智 能 检 测，温 度 自 动 调 控，风 扇 支 持 热 插 拔，出 现 故 障 面 板 有指示灯告警，并上送告警日志。结构 CPU+主板+网卡 无 源 背 板 设 计，主 控 板、散 热 系 统、网 络 处 理 器 模块、接 口 模 块、电 源 模 块 全 模 块 化 设 计，可 独 立 更换。接口卡支持热插拔。性

16、能 小 包（64字节）处 理 能力只有大包（1K 字节）处理能力1/101/6 Eudemon 200 小 包 超 过120M，Eudemon 500/1000 分别超过1G/2G每 秒 新 增 连接百兆防火墙只有几千，千兆防火墙 2 万Eudemon 500/1000 10 万安规认证 如果只在国内销售，一般为省成本不做认证 CE、UL、FCC-PART15、TUV-GS、VCCI 等硬件成本 低 高应用场所 可靠性、性能要求没太高要求企业 可 靠 性、性 能 要 求 高 的 大、中 型 企 业 及 电 信 运 营 网络千兆防火墙技术对比千兆防火墙技术对比大项 子项 基于ASIC 方式千兆防

17、火墙 Eudemon 500/1000 防火墙结构 CPU+ASIC CPU+NP性能 小包处理能力 千兆 1G/2G每秒新增连接 2 万 10万业务支持能力 TCP连接处理 CPU 参与 全部NP 处理带宽管理 不 能 对 每 个IP进 行 连 接 数 和 流 量 限 制，支 持QoS能力弱支 持 对 每 个IP进 行 连 接 数 和 流 量 限 制，支 持QoS防DOS 攻击 弱（支 持 TCP Proxy 困 难，难 以 防 范 SYN FLOOD）强（支 持 TCP Proxy 容 易，难 以 防 范 SYN FLOOD）业务支持能力 支 持 通 常TCP/UDP/ICMP，复 杂 协

18、 议 状 态 检 测 困难，支持NAT ALG 少。除 了 支 持 通 常TCP/UDP/ICMP 状 态 检 测 以 外，可 以 支 持H.323、RTSP、MGCP、SIP 等 复 杂协议状态检测和ALG，可支持多网合一。IPV6 不能软件升级支持 能软件升级支持第一章第一章 防火墙培训防火墙培训 1.防火墙技术简介2.防火墙体系结构3.防火墙原理与特性4.防火墙升级指导5.防火墙故障处理指导华为产品维护资料 24防火墙原理与特性防火墙原理与特性 1.安全区域2.工作模式3.安全防范4.VRRP&HRP华为产品维护资料 25防火墙的安全区域（一）l防火墙的内部划分为多个区域，所有的转发接口

19、都唯一的属于某个区域Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4防火墙的安全区域（二）防火墙的安全区域（二）l路由器的安全规则定义在接口上，而防火墙的安全规则定义在安全区域之间不允许来自10.0.0.1的数据报从这个接口出去Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4禁止所有从DMZ区域的数据报转发到UnTrust区域防火墙的安全区域（三）防火墙的安全区域（三）l Eudemon防火墙上保留四个安全区域：非受信区（Untrust）：低级的安全区域，其安全优先级为5。非军事化区（DMZ）：中度级别的安全区域，其安全优先级为5

20、0。受信区（Trust）：较高级别的安全区域，其安全优先级为85。本地区域（Local）：最高级别的安全区域，其安全优先级为100。l此外，如认为有必要，用户还可以自行设置新的安全区域并定义其安全优先级别。最多16个安全区域。防火墙的安全区域（四）防火墙的安全区域（四）l 域间的数据流分两个方向：入方向（inbound）：数据由低级别的安全区域向高级别的安全区域传输的方向；出方向（outbound）：数据由高级别的安全区域向低级别的安全区域传输的方向。Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4InOutInOutoutinIn Out防火墙的安全区域（五）

21、防火墙的安全区域（五）本域内不同接口间不过滤直接转发 进、出接口相同的报文被丢弃（EU200-VRP3.20-0314.01版本后支持）接口没有加入域之前不能转发包文Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4InOutInOutInOutInOutLocal区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4防火墙的安全区域（六）防火墙的安全区域（六）防火墙原理与特性防火墙原理与特性 1.安全区域2.工作模式3.安全防范4.VRRP&HRP华为产品维护资料 32防火墙的三种工作模式（一）防火墙的三种工作模式（一）l路由模式l透明模式l混合

22、模式防火墙的三种工作模式（二）防火墙的三种工作模式（二）l可以把路由模式理解为象路由器那样工作。防火墙每个接口连接一个网络，防火墙的接口就是所连接子网的网关。报文在防火墙内首先通过入接口信息找到进入域信息，然后通过查找转发表，根据出接口找到出口域，再根据这两个域确定域间关系，然后使用配置在这个域间关系上的安全策略进行各种操作。防火墙的三种工作模式（三）防火墙的三种工作模式（三）l透明模式的防火墙简单理解可以被看作一台以太网交换机。防火墙的接口不能配IP地址，整个设备出于现有的子网内部，对于网络中的其他设备，防火墙是透明的。报文转发的出接口，是通过查找桥接的转发表得到的。在确定域间之后，安全模块

23、的内部仍然使用报文的IP地址进行各种安全策略的匹配。l Eudemon防火墙与网桥存在不同，Eudemon防火墙中IP报文还需要送到上层进行相关过滤等处理，通过检查会话表或ACL规则以确定是否允许该报文通过。此外，还要完成其它防攻击检查。透明模式的防火墙支持ACL规则检查、ASPF状态过滤、防攻击检查、流量监控等功能。l透明模式可以配置系统IP。防火墙的三种工作模式（四）防火墙的三种工作模式（四）l混合模式是指防火墙一部份接口工作在透明模式，另一部分接口工作在路由模式。提出混合模式的概念，主要是为了解决防火墙在纯粹的透明模式下无法使用双机热备份功能的问题。双机热备份所依赖的VRRP需要在接口上

24、配置IP地址，而透明模式无法实现这一点。防火墙原理与特性防火墙原理与特性 1.安全区域2.工作模式3.安全防范4.VRRP&HRP华为产品维护资料 37防火墙的安全防范防火墙的安全防范l ACLl安全策略l NATl攻击防范l IDS联动访问控制列表是什么？访问控制列表是什么？l一个IP数据包如下图所示（图中IP所承载的上层协议为TCP）：IP报头 TCP报头数据协议号源地址目的地址源端口目的端口对于TCP来说，这5个元素组成了一个TCP相关，访问控制列表就是利用这些元素定义的规则如何标识访问控制列表？如何标识访问控制列表？l利用数字标识访问控制列表l利用数字范围标识访问控制列表的种类列表的种

25、类 数字标识的范围IP standard list 1 99,2000-2999IP extended list 100 199,3000-3999 700799范围的ACL是基于MAC地址的访问控制列表备注：VRP3.20-0315.02（包括）后版本支持根据用户定义ACL规则进行信息检测，添加检测启动命令detect user-define acl-number aging-time，添加打开用户定义ACL规则的检测调试命令debugging firewall aspf user-defineACLACL加速加速l 应为每次区域间转发数据报时都要线性检查ACL中的所有规则,当ACL中的规则

26、较多时,将极大的影响转发速度。ACL加速查找功能是一种能大大提高访问控制列表查找性能的技术。ACL加速查找不会因为访问控制列表中规则条目的增加而降低规则的匹配速度，因此使能ACL加速查找功能可以在规则数目很多的时候显著提高防火墙的性能。l 增加规则要重新下发：系统视图下acl accelerate enable l 基于MAC地址的访问控制列表不支持ACL加速查找功能 Rule 1Rule 2Rule 3ACL 规则库 防火墙的安全防范防火墙的安全防范l ACLl安全策略l NATl攻击防范l IDS联动ASPFASPFl ASPF（Application Specific Packet Fi

27、lter）是针对应用层的包过滤，即基于状态的报文过滤。它和普通的静态防火墙协同工作，以便于实施内部网络的安全策略。ASPF能够检测试图通过防火墙的应用层协议会话信息，阻止不符合规则的数据报文穿过。l为保护网络安全，基于ACL规则的包过滤可以在网络层和传输层检测数据包，防止非法入侵。l ASPF对应用层的协议信息进行检测，通过维护会话的状态和检查会话报文的协议和端口号等信息，阻止恶意的入侵。黑名单（一）黑名单（一）l黑名单，指根据报文的源IP地址进行过滤的一种方式。同基于ACL的包过滤功能相比，由于黑名单进行匹配的域非常简单，可以以很高的速度实现报文的过滤，从而有效地将特定IP地址发送来的报文屏

28、蔽。黑名单最主要的一个特色是可以由Eudemon防火墙动态地进行添加或删除，当防火墙中根据报文的行为特征察觉到特定IP地址的攻击企图之后，通过主动修改黑名单列表从而将该IP地址发送的报文过滤掉。因此，黑名单是防火墙一个重要的安全特性。黑名单（二）黑名单（二）l黑名单的创建 undo firewall blacklist item sour-addr timeout minutes l黑名单的使能 undo firewall blacklist enablel黑名单的报文过滤类型和范围的设置 firewall blacklist filter-type icmp|tcp|udp|others r

29、ange blacklist|global 黑名单配置举例（一）黑名单配置举例（一）l 服务器和客户机分别位于防火墙Trust区域和Untrust区域中，现要在100分钟内过滤掉客户机发送的所有ICMP报文。黑名单配置举例（二）黑名单配置举例（二）l Eudemon firewall blacklist item 202.169.168.10 timeout 100l Eudemon firewall blacklist packet-filter icmp range globall Eudemon firewall blacklist enable其它其它l MAC和IP地址绑定，指防火墙

30、可以根据用户的配置，在特定的IP地址和MAC地址之间形成关联关系。对于声称从这个IP发送的的报文，如果其MAC地址不是指定关系对中的地址，防火墙将予以丢弃，发送给这个IP地址的报文，在通过防火墙时将被强制发送给这个MAC地址。从而形成有效的保护，是避免IP地址假冒攻击的一种方式。注意其要点l端口识别简介应用层协议一般使用通用的端口号（知名端口号）进行通信。端口识别允许用户针对不同的应用在系统定义的端口号之外定义一组新的端口号。端口识别提供了一些机制来维护和使用用户定义的端口配置信息。端口识别能够对不同的应用协议创建和维护一张系统定义（system-defined）和用户定义（user-defi

31、ned）的端口识别表。防火墙的安全防范防火墙的安全防范l ACLl安全策略l NATl攻击防范l IDS联动防火墙数据报安全匹配的顺序防火墙数据报安全匹配的顺序数据报防火墙的安全防范防火墙的安全防范l ACLl安全策略l NATl攻击防范l IDS联动攻击类型简介（一）攻击类型简介（一）l单报文攻击 Fraggle Fraggle Ip spoof Ip spoof Land Land Smurf Smurf Tcp flag Tcp flag Winnuke Winnuke ip-fragment ip-fragment攻击类型简介（二）攻击类型简介（二）l分片报文攻击 Tear Drop

32、Tear Drop Ping of death Ping of deathl拒绝服务类攻击 SYN Flood SYN Flood UDP Flood&ICMP Flood UDP Flood&ICMP Floodl扫描 IP sweep IP sweep Port scan Port scan单包攻击原理及防范（一）单包攻击原理及防范（一）l l Fraggle Fraggle 特 特 征 征：UDP UDP报 报 文 文，目 目 的 的 端 端 口 口 7 7（echo echo）或 或 19 19（Character Character Generator Generator）目的：目的

33、：echo echo服务会将发送给这个端口的报文再次发送回去 服务会将发送给这个端口的报文再次发送回去 Character Generator Character Generator服务会回复无效的字符串 服务会回复无效的字符串 攻 攻击 击者 者伪 伪冒 冒受 受害 害者 者地 地址 址，向 向目 目的 的地 地址 址为 为广 广播 播地 地址 址的 的上 上述 述端 端口 口，发 发送请求，会导致受害者被回应报文泛滥攻击 送请求，会导致受害者被回应报文泛滥攻击 如 如果 果将 将二 二者 者互 互指 指，源 源、目 目的 的都 都是 是广 广播 播地 地址 址，会 会造 造成 成网 网络

34、络带 带宽 宽被 被占 占满 满 配置：配置：firewall defend fraggle enable firewall defend fraggle enable 原理：过滤 原理：过滤UDP UDP类型的目的端口号为 类型的目的端口号为7 7或 或19 19的报文 的报文单包攻击原理及防范（二）单包攻击原理及防范（二）l l IP Spoof IP Spoof 特征：地址伪冒 特征：地址伪冒 目的：伪造 目的：伪造IP IP地址发送报文 地址发送报文 配置：配置：firewall defend ip-spoofing enable firewall defend ip-spoofing

35、 enable 原 原理 理：对 对源 源地 地址 址进 进行 行路 路由 由表 表查 查找 找，如 如果 果发 发现 现报 报文 文进 进入 入接 接口 口不 不是 是本 本机所认为的这个 机所认为的这个IP IP地址的出接口，丢弃报文 地址的出接口，丢弃报文单包攻击原理及防范（三）单包攻击原理及防范（三）l l Land Land 特 特征 征：源 源目 目的 的地 地址 址都 都是 是受 受害 害者 者的 的IP IP地 地址 址，或 或者 者源 源地 地址 址为 为127 127这 这个 个网 网段的地址 段的地址 目 目的 的：导 导致 致被 被攻 攻击 击设 设备 备向 向自 自己

36、 己发 发送 送响 响应 应报 报文 文，通 通常 常用 用在 在syn syn flood flood攻击中 攻击中 配置：配置：firewall defend land enable firewall defend land enable 防范原理：对符合上述特征的报文丢弃 防范原理：对符合上述特征的报文丢弃单包攻击原理及防范（四）单包攻击原理及防范（四）l l Smurf Smurf 特征：伪冒受害者 特征：伪冒受害者IP IP地址向广播地址发送 地址向广播地址发送ping echo ping echo 目的：使受害者被网络上主机回复的响应淹没 目的：使受害者被网络上主机回复的响应淹没

37、配置：配置：firewall defend smurf enable firewall defend smurf enable 原理：丢弃目的地址为广播地址的报文 原理：丢弃目的地址为广播地址的报文单包攻击原理及防范（五）单包攻击原理及防范（五）l l TCP flag TCP flag 特 特征 征：报 报文 文的 的所 所有 有可 可设 设置 置的 的标 标志 志都 都被 被标 标记 记，明 明显 显有 有冲 冲突 突。比 比如 如同 同时设置 时设置SYN SYN、FIN FIN、RST RST等位 等位 目的：使被攻击主机因处理错误死机 目的：使被攻击主机因处理错误死机 配置：配置：f

38、irewall defend tcp-flag enable firewall defend tcp-flag enable 原理：丢弃符合特征的报文 原理：丢弃符合特征的报文单包攻击原理及防范（六）单包攻击原理及防范（六）l l Winnuke Winnuke 特 特征 征：设 设置 置了 了分 分片 片标 标志 志的 的IGMP IGMP报 报文 文，或 或针 针对 对139 139端 端口 口的 的设 设置 置了 了URG URG标志的报文 标志的报文 目的：使被攻击设备因处理不当而死机 目的：使被攻击设备因处理不当而死机 配置：配置：firewall defend winnuke en

39、able firewall defend winnuke enable 原理：丢弃符合上述特征报文 原理：丢弃符合上述特征报文单包攻击原理及防范（七）单包攻击原理及防范（七）l l Ip-frag Ip-frag 特征：同时设置了 特征：同时设置了DF DF和 和MF MF标志，或偏移量加报文长度超过 标志，或偏移量加报文长度超过65535 65535 目的：使被攻击设备因处理不当而死机 目的：使被攻击设备因处理不当而死机 配置：配置：firewall defend ip-fragment enable firewall defend ip-fragment enable 原理：丢弃符合上述特

40、征报文 原理：丢弃符合上述特征报文分片报文攻击原理及防范（一）分片报文攻击原理及防范（一）l l Tear drop Tear drop 特征：分片报文后片和前片发生重叠 特征：分片报文后片和前片发生重叠 目 目的 的：使 使被 被攻 攻击 击设 设备 备因 因处 处理 理不 不当 当而 而死 死机 机或 或使 使报 报文 文通 通过 过重 重组 组绕 绕过 过防 防火墙访问内部端口 火墙访问内部端口 配置：配置：firewall defend teardrop enable firewall defend teardrop enable 原 原理 理：防 防火 火墙 墙为 为分 分片 片报

41、报文 文建 建立 立数 数据 据结 结构 构，记 记录 录通 通过 过防 防火 火墙 墙的 的分 分片 片报文的偏移量，一点发生重叠，丢弃报文 报文的偏移量，一点发生重叠，丢弃报文分片报文攻击原理及防范（二）分片报文攻击原理及防范（二）l l Ping of death Ping of death 特征：特征：ping ping报文全长超过 报文全长超过65535 65535 目的：使被攻击设备因处理不当而死机 目的：使被攻击设备因处理不当而死机 配置：配置：firewall defend ping-of-death enable firewall defend ping-of-death e

42、nable 原 原理 理：检 检查 查报 报文 文长 长度 度如 如果 果最 最后 后分 分片 片的 的偏 偏移 移量 量和 和本 本身 身长 长度 度相 相加 加超 超过 过65535 65535，丢弃该分片，丢弃该分片拒绝服务攻击原理及防范（一）拒绝服务攻击原理及防范（一）l l SYN Flood SYN Flood 特征：向受害主机发送大量 特征：向受害主机发送大量TCP TCP连接请求报文 连接请求报文 目 目的 的：使 使被 被攻 攻击 击设 设备 备消 消耗 耗掉 掉所 所有 有处 处理 理能 能力 力，无 无法 法响 响应 应正 正常 常用 用户 户的 的请求 请求 配置：配置

43、：statistic enable ip inzone statistic enable ip inzone firewall firewall defend defend syn-flood syn-flood ip ip X.X.X.X X.X.X.X|zone zone zonename zonename max-number max-number num num max-rate max-rate num num tcp-proxy tcp-proxy auto|on|off auto|on|off firewall defend syn-flood enable firewall d

44、efend syn-flood enable 原 原理 理：防 防火 火墙 墙基 基于 于目 目的 的地 地址 址统 统计 计对 对每 每个 个IP IP地 地址 址收 收到 到的 的连 连接 接请 请求 求进 进行 行代 代理 理，代 代替 替受 受保 保护 护的 的主 主机 机回 回复 复请 请求 求，如 如果 果收 收到 到请 请求 求者 者的 的ACK ACK报 报文，认为这是有效连接，在二者之间进行中转，否则删掉该会话 文，认为这是有效连接，在二者之间进行中转，否则删掉该会话拒绝服务攻击原理及防范（二）拒绝服务攻击原理及防范（二）l l UDP/ICMP Flood UDP/ICMP

45、 Flood 特征：向受害主机发送大量 特征：向受害主机发送大量UDP/ICMP UDP/ICMP报文 报文 目的：使被攻击设备消耗掉所有处理能力 目的：使被攻击设备消耗掉所有处理能力 配置：配置：statistic enable ip inzone statistic enable ip inzone firewall firewall defend defend udp/icmp-flood udp/icmp-flood ip ip X.X.X.X X.X.X.X|zone zone zonename zonename max-rate max-rate num num firewall

46、defend udp/icmp-flood enable firewall defend udp/icmp-flood enable 原 原理 理：防 防火 火墙 墙基 基于 于目 目的 的地 地址 址统 统计 计对 对每 每个 个IP IP地 地址 址收 收到 到的 的报 报文 文速 速率 率，超过设定的阈值上限，进行 超过设定的阈值上限，进行car car扫描攻击原理和防范（一）扫描攻击原理和防范（一）l l IP sweep IP sweep 特征：地址扫描，向一个网段内的 特征：地址扫描，向一个网段内的IP IP地址发送报文 地址发送报文 nmap nmap 目 目的 的：用 用以 以

47、判 判断 断是 是否 否存 存在 在活 活动 动的 的主 主机 机以 以及 及主 主机 机类 类型 型等 等信 信息 息，为 为后 后续攻击作准备 续攻击作准备 配置：配置：Statistic enable ip outzone Statistic enable ip outzone Firewall Firewall defend defend ip-sweep ip-sweep max-rate max-rate num num blacklist-blacklist-timeout timeout num num 原 原理 理：防 防火 火墙 墙根 根据 据报 报文 文源 源地 地址 址

48、进 进行 行统 统计 计，检 检查 查某 某个 个IP IP地 地址 址向 向外 外连 连接 接速 速率 率，如 如果 果这 这个 个速 速率 率超 超过 过了 了阈 阈值 值上 上限 限，则 则可 可以 以将 将这 这个 个IP IP地 地址 址添 添加到黑名单中进行隔离 加到黑名单中进行隔离 注意：如果要启用黑名单隔离功能，需要先启动黑名单 注意：如果要启用黑名单隔离功能，需要先启动黑名单扫描攻击原理和防范（二）扫描攻击原理和防范（二）l l Port scan Port scan 特征：相同一个 特征：相同一个IP IP地址的不同端口发起连接 地址的不同端口发起连接 目的：确定被扫描主机

49、开放的服务，为后续攻击做准备 目的：确定被扫描主机开放的服务，为后续攻击做准备 配置：配置：Statistic enable ip outzone Statistic enable ip outzone Firewall Firewall defend defend port-scan port-scan max-rate max-rate num num blacklist-blacklist-timeout timeout num num 原 原理 理：防 防火 火墙 墙根 根据 据报 报文 文源 源地 地址 址进 进行 行统 统计 计，检 检查 查某 某个 个IP IP地 地址 址向 向

50、同 同一 一个 个IP IP地 地址 址发 发起 起连 连接 接的 的速 速率 率，如 如果 果这 这个 个速 速率 率超 超过 过了 了阈 阈值 值上 上限 限，则 则可 可以将这个 以将这个IP IP地址添加到黑名单中进行隔离 地址添加到黑名单中进行隔离 注意：如果要启用黑名单隔离功能，需要先启动黑名单 注意：如果要启用黑名单隔离功能，需要先启动黑名单防火墙防范的其他报文防火墙防范的其他报文l l Icmp redirect Icmp redirectl l Icmp unreachable Icmp unreachablel l Large icmp Large icmpl l Rout