防火墙

防火墙

一台机器或者软件，造成一个关口的存在，把要保护的在城墙内，任何要进入城墙内的只能经过关口，关口会检查拦截检测进出，防护预防外面的内容，拦截可能危险或者受限制的包/请求；

 

功能：URL/IP过滤、邮件过滤、流量控制、入侵检测、防病毒/恶意请求

 

按不同的IP/IP段不同的安全级别，不同的检测标准

 

原理：

 1. 安全策略

 2. 不同网络协议（TCP/UDP/ICMP）的包，按照协议格式与包的格式匹配，请求响应包顺序&和格式匹配，异常的过滤拦截（超长|畸形|等）

 

 

1. 安全策略

生成很多的规则

e.g.1 IP192.168.0.1 访问 IP172.16.0.1 允许访问 级别为3

e.g.2 IP段192.168.0.2～192.168.0.60 访问 172.16.0.2 允许访问 级别为2

e.g.3 IP192.168.0.61的访问全部拒绝 级别为4

e.g.4 安全级别为6的访问安全级别低的不拦截检查 级别为6

e.g.5 根据不同的攻击手段，新增对应规则予拦截

e.g.6 缺省规则 不满足任何规则的条件的包/请求 怎么处理

>注意匹配顺序，多条规则同时满足时怎么处理，

 

IP地址扫描：通常是入侵/攻击的前奏准备，通过判断是否有应答，确认目标地址/端口是否开放/连接到网络上

对应：某个IP连续发送报文时，与其发送的上一个报文目标不同，则记为一次异常，当异常次数超过设定的阀值时，拦截加入黑名单；我的想法：多次请求广度&次数超过阀值时，拦截加入黑名单

 

 

Dos攻击：拒绝服务

>比如一个餐厅只能接待50人，一群地痞霸占着座位，或者堵在门口造成客人进不来

1. 上面的原理2

2. 上面的IP地址扫描预防

 

 

DDos攻击：一堆肉鸡+正常的请求

对应：

    TCP三次握手：

    1. 代替服务器响应，如果客服端没有回应ACK报文，则为异常，放弃链接，如果回应再递给服务器予正常的请求响应（防火墙代替服务器承受攻击，防火墙处理速度，消耗的内存比服务器快少）

    2. 源探测：相同重复的报文，或判断客户端是否是虚假源，或对以往正常的出入的IP加入2级白名单，对这些虚假的加入2级黑名单，一定时间内限制访问

    UDP：对比TCP更快，但是更不安全，包含的信息更少

    1. 对所有请求此接口的限流

    2. 对特定的IP限流，等等更细化

    3. 多次报文是否大致相同

 

 

DNS攻击：发送大量不存在的域名解析请求：算法过滤

 

限制重定向

 

 

VPN：在公共网络上建立一个私有、专用的虚拟通信网络

 

 

Web代理：通过防火墙做代理访问内网的Web服务器资源（也就是URL资源），防火墙起“跳板”作用，可以隐藏真实的内网URL，保护了内网Web服务器的安全

 

FTP：文件传输协议

 

 

华为服务器报文处理流程：