1 防火墙概述
1.1网络安全问题
网络安全漏洞之源
网络:TCP/IP协议本身的漏洞,例如:
通讯机制问题——大量半连接耗尽资源( SYN Flooding )
数据包重组——缓冲溢出
软件:没有百分之百安全的软件,例如:
缓冲区溢出漏洞
脚本程序漏洞,如:CGI、ASP 、Perl数据完整性问题
数据:敏感数据外泄
人:缺乏防范意识
密码设置、保护问题——密码容易获取、破解
不正确的网络结构设计及安全管理混乱
网络上有什么需要保护?
数据
保密性:不相干的人不可随便看
完整性:无权限的人不可随便修改资料
可用性:该用的人可以轻易取得
计算资源
确保网络带宽、磁盘空间、CPU、服务的可用
身份
防止伪造、仿冒使用者
1.2防火墙介绍
概念:
是不同安全域之间实施访问控制的一个系统或者一组系统。
安全域:
是一个或多个网络的组合,同一个安全域所包含的用户或者设备具有相同的安全属性。
表现:
是一组硬件和/或软件。
作用:
是不同安全域之间的唯一出入口,能根据安全策略控制(允许 、拒绝)出入网络的信息流。
1.3作用与特征
防火墙作用
分析进出网络的数据
管理进出网络的访问行为
封堵某些禁止的访问行为
记录进出网络的信息内容
对网络攻击进行告警和阻断
防火墙特征
保护内部网络
防火墙能提高内部网络的安全性,通过封堵不安全的服务或访问而降低风险。
只有允许的访问才能通过防火墙,所以网络更安全。
防火墙保护网络免受攻击,可以阻断攻击内部网络的访问。
集中化的安全管理
防火墙实现多种安全防护能力,通过以防火墙为中心的统一配置,能将多种安全措施(如口令、加密、身份认证、审计等)配置在防火墙上。
与将安全问题分散到各个主机上相比,防火墙的集中安全管理更便捷。
对网络访问进行控制
防火墙的主要功能是对整个网络的访问进行控制。它通过封堵某些主机,使外部网络无法访问,同样可以阻止内部主机访问外部网络。
控制对特殊站点的访问。
控制流量或速度等。
隐藏内部网络的信息
隐私是内部网络非常重要的安全问题。内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击,甚至因此而暴漏了内部网络的安全漏洞。
使用防火墙就可以隐蔽那些透漏内部细节,如IP地址、数据库、文件服务等内容。
对网络访问行为进行监控
由于所有的访问都经过防火墙,防火墙能对这些访问进行监控。
发生可疑访问时,防火墙能进行报警,并提供网络是否受到攻击的详细信息。
1.4局限性
防火墙不能防范不经过防火墙的攻击。如在网络中通过手机热点访问互联网的行为。
防火墙不能防止内部的攻击,以及内部人员与外部人员的联合攻击。
大多数防火墙不能防止被病毒感染的程序或者文件、邮件等进入内部网络。
防火墙不能防止策略配置不当或错误配置引起的安全威胁。
防火墙难以防止利用标准网络协议中的缺陷进行的攻击。
防火墙对网络性能或主机性能有影响。
防火墙不能防止本身的安全漏洞的威胁,目前还没有厂商绝对保证防火墙不会存在安全漏洞。
脆弱性
操作系统漏洞:防火墙的操作系统不保证没有漏洞
硬件失效:防火墙的硬件不能保证不失效
软件漏洞:防火墙的软件不能保证没有漏洞
协议漏洞:防火墙无法解决TCP/IP等协议的漏洞
恶意指令难区分:防火墙无法区分恶意指令还是善意指令
性能影响:防火墙的安全性、多功能性和速度成反比
2 网络与防火墙
2.1 TCP/IP与防火墙
一种网络攻击——Land攻击
Land 攻击,DOS攻击的一种。将 TCP 建立连接时的 SYN 包的源地址和目的地址都设置为目标计算机的 IP 地址,源端口和目的端口设置成一样。
目标计算机向它自己发送 SYN-ACK 报文,目标计算机又向自己发回 ACK 报文并创建一个空连接,每一个这样的连接都将保留直到超时。消耗系统资源直至崩溃
导致许多 UNIX 主机消耗系统资源直至崩溃, Windows 主机会变得极其缓慢
TCP/IP协议概貌
应用层
HTTP/FFP
传输层
TCP/UDP端口
TCP(Transmission Control Protocol):传输控制协议
特点 一种面向连接的、可靠的、基于字节流的通信协议
作用 应用层向TCP发送用于网络传输的、用字节(8位)表示的数据流,之后TCP把数据流传给网络层的IP,由它来通过网络将数据包传送给接收方。
可靠性TCP为了保证不发生丢包,就给每个字节一个序号,同时序号也保证了传送到接收端的数据包按序重组。
接收端对已成功收到的字节发回一个相应的确认(ACK); 如果发送端在合理的往返时延(RTT)内未收到确认,那么对应的数据(假设丢失了)将会被重传。
TCP用一个校验和函数来检验数据是否有错误;在发送和接收时都要计算校验和。
网络层
IP数据包
数据链路层
负责物理层的数据发送与接收
MAC地址:Media Access Control, 介质访问控制,也叫物理地址;
一般采用6字节,前3个字节为厂商编号;
真正赖以标识发出数据的主机和接收数据的主机的地址。
网络传输是根据MAC地址来确定最终的发送方和接收方
共享总线数据传输
交换机数据传输
48位置目的地址+48位源地址+16位协议标志
物理层
2.2 网络数据的运输
一个网络中的数据传输
ARP
TCP/IP网络上通信使用的是统一的、逻辑IP地址。
网络传输最终是通过底层物理网络的数据帧传输来实现的,而数据帧的传输需要使用物理地址,因此在每个物理网络传输数据帧时,都需要将目的IP地址转换成物理地址(MAC地址)。
通过IP地址获得MAC地址的过程使用ARP协议来实现。
ARP协议使用广播-应答的机制实现IP地址-MAC地址的转换:
当需要地址转换时,ARP协议软件广播一个包含本机IP地址和MAC地址,以及目的IP地址的ARP广播包;
目的主机(目的IP地址一致)在收到ARP广播包后,就回答一个包含目的IP地址和目的MAC地址的ARP应答包,源主机收到ARP应答包从而得到目的主机的MAC地址。
然后源主机就可以用这个MAC地址与目的主机进行数据帧的通信了。
ARP地址解析:从MAC地址到IP地址之间的解析
3 防火墙历程&包过滤防火墙
路由器:
利用路由器对数据包的解析,以访问控制规则控制数据包的通过;
过滤判决的依据可以是:IP地址、端口号、以及其它网络特征;
功能简单,配置简单。
本身不是安全产品,有很多安全漏洞;
过滤规则的设置存在安全隐患;
攻击者可以“假冒”地址进行攻击;
会降低路由器的性能。
软件:
将网络控制功能从路由器中独立出来,并加上审计和告警功能;
提供模块化的软件包;
用户可以自己动手构造防火墙(iptable);
与第一代防火墙相比,安全性提高了,价格降低了。
对用户的技术要求高
全软件实现,安全性和性能均受限制
硬件:
建立在通用操作系统上的防火墙,被广泛使用;
可批量生产的专用防火墙;
具备数据包过滤控制功能;
具备专用的硬件;
安全性和速度大大提高。
通用操作系统厂商不会对操作系统的安全性负责;
该类防火墙既要防止外部网络的攻击,还要防止来自针对操作系统的攻击;
用户必须依赖防火墙厂商和操作系统厂商两方面的安全支持。
安全操作系统:
采用专用安全操作系统
在安全性上得到提高
硬件防火墙
防火墙厂商具有操作系统的源代码,可实现安全内核;
对安全内核实现加固处理,去掉不必要的系统特性,强化安全保护;
在功能上包括了数据包过滤、应用网关、电路级网关,具有加密与鉴别功能;
透明性好,易于使用;
取消危险的系统调用,限制命令的执行权限;
采用多个安全内核;
云
云平台SaaS(Software as a Service)化的防火墙
为用户提供云服务的防护,解决云上访问控制的统一管理
不仅具备传统防火墙功能,同时也支持云上多租户、弹性扩容功能
路由器:根据访问控制列表-ACL决定数据是否通过
包过滤防火墙:根据IP地址、端口四元组决定数据能否通过
状态检测防火墙:根据数据包状态判断能否通过
应用代理防火墙:根据应用层数据判断能否通过
多检测机制防火墙:根据多个网络数据相互关系判断整体状态后决定能否通过
虚拟防火墙(云防火墙):将一台防火墙在逻辑上划分成多台虚拟的防火墙,每个虚拟防火墙都可以被看成是一台完全独立的防火墙
smarf攻击
原理:广播包通过广播地址发送数据到整个网络中的所有设备。当某台设备使用广播地址发送一个ICMP请求包时,收到请求的设备会回应一个ICMP响应包,也就是说,发送一个包会收到许多的响应包。
Smurf攻击就是使用这个原理来进行的。它通过假冒的源地址来进行攻击。在网络中发送源地址为被攻击主机的地址,目的地址为广播地址的包,会使许多的系统响应发送大量的信息给被攻击主机。
传输层&网络层:
简单包过滤防火墙
状态检测包过滤防火墙
应用层&传输层&网络层:
应用代理防火墙
电路中继防火墙
包过滤防火墙
防火墙的基本设计目标
首先能够区分“内部”与“外部”网络。所有通过“内部”和“外部”的网络流量都要经过防火墙
通过设置安全策略,保证只有经过授权的数据才可以通过防火墙
防火墙本身具备较高的性能与安全
防火墙的控制能力
设备控制,确定哪些设备可以被访问
服务/应用控制,确定哪些服务/应用可以被访问
方向控制,对于特定的服务,可以确定允许哪个方向能够通过防火墙
用户控制,根据用户来控制对服务的访问
如何过滤
对于每个收到的数据包,根据一组规则进行检查,然后决定转发或者丢弃该数据包
过滤的规则以网络层和传输层为基础,包括源和目标IP地址、协议类型、源和目标端口号
防火墙建立一组规则,根据数据包是否匹配规则中指定的条件来作出决定
如果匹配到一条规则,则根据此规则决定转发或者丢弃
如果所有规则都不匹配,则根据缺省策略转发或者丢弃
不检查应用数据区
不建立连接状态表
前后数据包无关联
应用层控制很弱
过滤的实现依赖于过滤规则,也称之为访问控制列表(ACL,Access Control List)
优点
不影响网络中的主机以及应用程序
对网络有较强的透明性
网络性能影响小
逻辑简单
缺点
难防IP地址欺骗
无法对应用数据进行检查
规则配置繁琐(难以配置一个真正安全的过滤规则)
只有满足访问控制列表的数据才被转发,其余数据从数据流中删除。
过滤规则组成:
规则执行顺序(或称之为优先级)
协议类型(IP、ICMP、TCP、UDP等)
源IP地址
源端口号
目的IP地址
目的端口号
数据流向
如果防火墙有多块网卡,还应该包含网卡名称
状态检测包过滤防火墙
解决简单包过滤防火墙所面临的问题
(难防IP地址欺骗、规则配置繁琐)
端口:传输层提供应用程序与网络之间的各接口点称为端口。
套接字:IP地址与端口号连接而成的一个地址。如:202.120.224.5:23 或(202.120.224.5, 23)。
连接/会话:
应用程序间的TCP连接通过它两端的端点(套接字)来表示。如: (192.154.168.1:2500,202.120.224.5:23);
同一时刻,连接是唯一的。
对于新建立的TCP连接,防火墙先检查预先设置的安全规则,允许符合规则的连接通过,并记录下该连接的相关信息(2个IP地址、2个端口号),生成状态表。对该连接的后续数据包,只要符合状态表,就可以通过。
防火墙保留状态表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每一个会话状态。状态监测对每一个数据包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态,因此提供了完整的对传输层的控制能力。
检测内容
通信信息
数据包:验证数据的源IP地址、目的IP地址和端口号、协议类型等
通信状态
连接状态:包括以前的通信信息(通信双方的IP地址、端口)
优点
采用动态设置包过滤规则的方法,避免了简单包过滤所具有的安全问题。
规则设置简单,为网络提供更高的安全性。
是目前市场上的主流防火墙。
缺点
不能提供应用层数据检测
不能防止应用层数据的攻击
不能提供身份认证功能
对网络传输有性能损耗
规则表
规则表表示了防火墙的过滤规则
规则表由 六元组构成
状态表
状态表表示了数据包连接的属性
状态表由 九元组构成
超时判断:记录的生成时间,当生成时间超时(30钟无数据传输),自动删除该记录
应用代理防火墙
也称为应用层网关
特点
所有的内网、外网之间的通信都通过防火墙,防火墙作为网关转发网络数据
在应用层上实现,可以监视应用层内容
可以实现基于用户账号的认证,防止IP欺骗
不同的应用需要不同的软件实现
可以提供完善的日志功能
安全性高,但是性能开销比较大
优点
可以检查应用层、传输层、网络层的协议特征,对数据包的检测能力较强。
可以集成身份认证机制
所有通过防火墙的信息流可以被记录下来,可以提供很详细的日志和安全审计功能
传输内容的全面检查
支持内部网络的信息隐藏,可以隐藏内部网络的IP地址
缺点
由于每个应用都要求单独的应用代理程序,由于应用繁多,很难覆盖所有应用。
处理速度慢,网络性能低
配置繁琐,容易出现配置失误,最终影响内网的安全防范能力。
防火墙对用户不透明
不检查TCP/IP报头,检查数据
电路中继防火墙
结构与应用代理防火墙相同,是应用代理防火墙的一种
接收客户端连接请求,代理客户端完成网络连接
在客户端和服务端之间中转数据
主要解决身份认证的问题
通用性强
除了检查过滤规则之外,还要求发起会话的客户端向防火墙发送用户名和口令,只有通过验证的用户才被允许建立会话。
会话一旦建立,则数据可不加检验直接转发。
多通道协议问题
多通道协议:包含一个控制通道和若干其它控制或数据通道,即控制信息的交互和数据的传送是在不同的通道上完成的,如 FTP
防火墙检查从出接口上向外发送的 IP 报文,确认为基于 TCP 的 FTP 报文;(TCP端口:21)
检查端口号确认连接为控制连接,建立状态表;
检查 FTP 控制连接报文,解析 FTP 指令(应用层协议),如果包含数据通道建立指令,则创建数据连接的 临时状态表,或者建立状态表;
FTP 连接删除时,状态表及临时状态表随之删除
应用防火墙
WAF:Web Application Firewall
通过执行一系列针对HTTP、HTTPS的安全策略,专门对Web应用提供保护的一款防火墙;
它对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,为Web应用提供防护。
WAF可以对HTTP/HTTPS协议进行深入分析处理,弥补防火墙、入侵检测等传统安全产品对于WEB应用威胁防护上的缺陷。
首先检查网络层、传输层数据
然后根据传输层中源和目的端口判断是否检查应用层数据
防火墙核心技术
非军事区/隔离区/中立区( DMZ:Demilitarized Zone)
DMZ是为了解决安装防火墙后,外部网络不能访问内部网络,或者能够访问内部网络但会带来安全隐患的问题,而设立的一个非安全网络与安全网络之间的缓冲区;
DMZ位于内部网络和外部网络之间的网络区域内;
在DMZ区域,放置一些必须公开的主机,如企业Web服务器、FTP服务器和论坛服务器等;
通过DMZ区域,能更加有效地保护内部网络。
在对外提供服务的同时最大限度地保护内部网络。
1. 内网可以访问外网
2. 内网可以访问DMZ
3. 外网不能访问内网
4. 外网可以访问DMZ
5. DMZ不能访问外网(特殊除外)
6. DMZ不能访问内网
DMZ区服务器采用独立的网络地址段,与内部网络地址段不一样,以达到隐藏网络结构的目的。
DMZ区与内网、外网的通信经过网络地址转换(NAT)实现,DMZ区服务器对内服务时映射成内网地址,对外服务时映射成外网地址。
特点
解决非DMZ网络容易受到渗透攻击的问题
在内部网络和外部网络之间增加的一个或几个子网
为网络安全提供了更高级别的保护
需要更复杂的规则配置
在防火墙部署时需要重点考虑的因素
虚拟专用网技术(VPN: Virtual Private Network)
定义:通过公共网络建立的一个临时网络连接,该网络连接一条安全的网络通道,它是对企业内部网的扩展。
组成一个属于用户自己专用的、安全的网络。
虚拟专用网可以帮助远程用户建立可信的安全连接,并保证数据的安全传输。
虚拟专用网可用于不断增长的移动用户的互联网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路。
数据加密,防止数据在公网传输中被窃听
数据完整性,防止数据在公网传输中被篡改
用户身份认证,验证数据的真实来源
成本低廉
应用灵活、可扩展性好
风险
VPN服务器数据泄密的风险
数据在VPN服务器中是明文的,因而管理员可以查看机密数据
VPN服务器本身可能会受到攻击,一旦被攻破,流经VPN服务器的数据将面临风险
内部网络数据泄密的风险
内部网络中可能存在不信任的主机、路由器等
内部员工可以监听、篡改内部网络的数据报文
网络地址转换技术(NAT)
TCP/IP网络为了实现源端和目的端之间的数据通信,需要有一个统一的、逻辑的通信端点标识方案,TCP/IP使用IP地址编址方案。
在互联网上进行数据通信,每个节点必须拥有全球认可的、统一管理的、唯一的IP地址(ICANN-负责IP地址的分配)。
但是,内部网络不受此限制,只要它的设备不直接与互联网通信;通过地址转换设备可以间接与互联网通信。
每个终端、服务器、网络设备的各通信端口(如网卡)均需分配IP地址。
一个物理通信端口可以分配多个IP地址,每个IP地址成为一个通信节点。
IP地址与掩码进行“与”运算,得到网络ID;
IP地址与掩码的反码进行“与”运算,得到主机ID。
NAT:Network Address Translation
解决互联网上公共IP地址不足的矛盾
内部网络可以使用私有IP地址
隐藏内部地址及内部网络结构
实现网络负载均衡
静态网络地址转换
在防火墙中建立静态NAT映射表。
网络内部主机访问外部主机。
防火墙从内部网络接收到一个数据包时检查NAT映射表,如果已为该内部地址配置了静态地址转换,防火墙将该内部地址替换成公用地址,并转发该数据包;否则不进行转换,直接丢弃。
外部主机收到数据包后进行应答。
防火墙收到外部数据包时,检查NAT映射表,如果存在匹配项,使用内部地址替换数据包的目的地址,并将数据包转发到内部网络主机;否则拒绝该数据包。
动态网络地址转化
NAT映射表由防火墙动态建立,对用户透明
预先建立公共IP地址池
允许将多个私有IP地址映射成为一个公共IP地址
过程:
防火墙内部主机访问外部主机。
防火墙从内部网络接收到一个数据包时检查NAT映射表,如果还有未分配的公共IP地址,并且没有为该内部地址建立地址转换映射项,防火墙对该地址进行转换。如果已经有地址转换映射项,防火墙使用该记录进行地址转换。
防火墙进行地址转换后转发数据包。
外部主机收到数据包后进行应答。
防火墙收到外部数据包时,检查NAT映射表,如果存在匹配项,使用内部地址替换数据包的目的地址,并将数据包转发到内部网络主机;否则拒绝该数据包。
NAT技术实现负载均衡
即内部多个ip地址对外显示成一个
适应于访问量大的网络系统。
通过循环方式将多个网络连接会话映射到不同主机上,使得这些主机的负载达到均衡。
面对私网内部数量庞大的主机,如果NAT只进行IP地址的简单替换,就会产生一个问题:当有多个内部主机去访问同一个服务器时,从返回的信息不足以区分响应应该转发到哪个内部主机。此时,需要NAT设备根据传输层信息或其他上层协议去区分不同的会话,并且可能要对上层协议的标识进行转换,比如TCP或UDP端口号。这样NAT网关就可以将不同的内部连接访问映射到同一公网IP的不同传输层端口,通过这种方式实现公网IP的复用和解复用。这种方式也被称为端口转换PAT、NAPT或IP伪装,但更多时候直接被称为NAT,因为它是最典型的一种应用模式。
优点
在不改变内部网络结构的情况下增加了有效IP地址的数量
有助于隐藏网络的内部设备
实现负载均衡
缺点
由于地址转换是在NAT系统内部发生,所以许多基于IP跟踪的网络监控工具无法定位准确的IP地址。
由于要为每个数据包转换IP地址,所以增加了网络等待时间。
无法阻止内部主机主动连接黑客主机。
对TCP长连接的应用带来挑战。
如何应对TCP长连接的挑战:
设置一个连接保活的机制
VLAN
VLAN(Virtual Local Area Network):虚拟局域网
为了解决的问题:
广播问题:在一个网络内部无法限制广播的传输。如果把一个网络划分成多个小的网络,广播包被限制在一个小的网络中。
安全问题:限制不同网络之间的设备互访,不同的网络之间的通信需要路由转发来完成。
VLAN是一组逻辑上的设备,这些设备不受物理位置的限制,可以根据功能、部门及应用将它们组织起来,形成一个网络。VLAN内部设备相互之间的通信就好像它们在同一个网段一样,不同VLAN之间的通信则需要路由转发来完成。
VLAN标签
根据协议规定,在以太网数据帧的目的MAC地址和源MAC地址字段之后、协议类型字段之前加入4个字节的VLAN标签(又称VLAN Tag,简称Tag),用以标识VLAN信息
防火墙与VLAN
防火墙可以将一个网络分割成多个网络
防火墙连接多个不同的网络,不同网络之间的网络访问都要经过防火墙,防火墙能起到路由的作用
防火墙将连接的多个网络看成是不同的VLAN
VLAN的作用
限制广播域:
广播域被限制在一个VLAN内,节省了带宽,提高了网络处理能力。
增强局域网的安全性:
不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能和其它VLAN内的用户直接通信。
提高了网络的健壮性:
故障被限制在一个VLAN内,本VLAN内的故障不会影响其他VLAN的正常工作。
网络结构更灵活:
用VLAN可以划分不同的用户到不同的工作组,同一工作组的用户也不必局限于某一固定的物理范围,网络构建和维护更方便灵活。
防火墙的攻击防范技术
DoS是Denial of Service的简称,即拒绝服务。造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法正常提供服务。
DoS攻击有多种,常见的有:
1、SYN Flooding 攻击(基于传输层TCP协议)
2、UDP Flooding攻击(基于传输层UDP协议)
3、DNS Flooding攻击(基于应用层)
4、HTTP Flooding攻击(基于应用层)
SYN Flooding原理
利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽
SYN Flooding利用TCP三次握手机制进行DOS攻击。攻击点是在第二次握手服务器发送完SYN-ACK后,但还未收到ACK应答包这一点。这是常说的半开(Half-open)连接。
通过IP源地址伪造能很容易地产生半开连接。攻击方使用假的或不存在的源IP地址,发送SYN包给被攻击服务器,该源IP地址不会对SYN-ACK包产生回应。这意味着第三次握手永远不会发生。
当服务器中的半开连接数达到了数据结构的连接限值后,服务器将不能产生新的连接,直到有空的存储空间。(类似于防火墙有最大连接数限制)
攻击主机的位置是很难确定的,因为SYN数据包的源地址一般是不真实的。
应对措施
TCP代理技术
启动TCP代理后,防火墙收到SYN报文,将会代替服务器回应SYN+ACK报文,接下来如果防火墙没有收到客户端回应的ACK报文,则判定此SYN报文为非正常报文,防火墙代替服务器保持半连接一定时间后,放弃此连接。如果防火墙收到了客户端回应的ACK报文,则判定此SYN报文为正常业务报文,此时防火墙会代替客户端与服务器建立TCP三次握手,该客户端的后续报文都将直接送到服务器。整个TCP代理的过程对于客户端和服务器都是透明的。
利用防火墙的高性能,代替服务器承受半连接带来的资源消耗
TCP源探测
TCP代理只能应用在报文来回路径一致的场景中,如果来回路径不一致,代理就会失败,那么就需要通过TCP源探测来防御SYN Flooding攻击。
(这是因为服务器回应给客户端的报文不会经过防火墙)
防火墙收到SYN报文,将会回应一个带有错误确认号的SYN+
ACK报文,接下来如果防火墙没有收到客户端回应的RST报文,则判定此SYN报文为非正常报文,客户端为虚假源。如果防火墙收到了客户端回应的RST报文,则判定此SYN报文为正常报文,客户端为真实源。
UDP Flooding
UDP Flooding攻击属于带宽类攻击,攻击者通过僵尸主机向目标服务器发送大量UDP报文,这种UDP报文的字节数很大且速率非常快,通常会造成以下危害
消耗网络带宽资源,严重时造成链路拥塞。
大量变源端口的UDP Floodging攻击会导致依靠会话进行转发的网络设备性能降低甚至会话耗尽,从而导致网络瘫痪。
防御方法之限流
基于流量入接口的限流:
以某个入接口流量作为统计对象,对通过这个接口的流量进行统计并限流,超出的流量将被丢弃。
基于目的IP地址的限流:
以某个IP地址作为统计对象,对到达这个IP地址的UDP流量进行统计并限流,超出的流量将被丢弃。
基于目的安全区域的限流:
以某个安全区域作为统计对象,对到达这个安全区域的UDP流量进行统计并限流,超出的流量将被丢弃。
基于会话的限流:
对每条UDP会话上的报文速率进行统计,如果会话上的UDP报文速率达到了告警阈值,这条会话就会被锁定,后续命中这条会话的UDP报文都被丢弃。
防御方法之指纹学习
通过分析客户端向服务器发送的UDP报文是否有大量的一致内容,来判定这个UDP报文是否异常。防火墙对去往目标服务器的UDP报文进行统计,当UDP报文达到告警阈值时,开始对UDP报文的指纹进行学习。如果相同的特征频繁出现,就会被学习成指纹。后续匹配指纹的UDP报文将被防火墙判定为攻击报文而丢弃,没有匹配指纹的UDP报文将被防火墙转发。
防火墙攻击防御的不利因素
对用户访问应用服务的性能有影响
对防火墙自身性能提出挑战,需要很高的性能应对代理、白名单、指纹分析等功能
攻击是无限的,防火墙的应对是有限的,尤其是针对未知攻击,防火墙很难识别
DNS Flooding
攻击者向DNS服务器发送大量的不存在的域名解析请求,导致DNS服务器瘫痪,无法处理正常的域名解析请求。
启动DNS源探测后,防火墙收到DNS请求,会代替DNS服务器回应DNS请求,并将DNS回应报文中的TC标志位置1,要求客户端使用TCP协议发送DNS请求。接下来如果防火墙没有收到客户端使用TCP协议发送的DNS请求,则判定此客户端为虚假源;如果防火墙收到了客户端使用TCP协议发送的DNS请求,则判定此客户端为真实源。防火墙将该客户端的IP地址加入白名单,在白名单老化前,这个客户端发出的DNS请求报文都被认为是合法的报文。
HTTP Flooding
指的是攻击者控制僵尸主机向目标服务器发送大量的HTTP请求文,这些请求报文中一般都包含涉及数据库操作的URI(Uniform Resource Identifier,统一资源标识符)或其他消耗系统资源的URI,目的是为了造成目标服务器资源耗尽,无法响应正常请求。
防御HTTP Flooding攻击时用到了HTTP协议中的一个技术点:HTTP重定向。HTTP重定向指的是客户端向Web服务器请求www.xxx.com/1.html页面,Web 服务器返回一个命令,让客户端改为访问www.xxx.com/2.html页面,这样就把客户端的访问重定向到一个新的URI。
防火墙利用这一机制对HTTP Flooding攻击进行防御,探测发送HTTP请求报文的主机是否为真实存在的客户端
防火墙体系结构
堡垒主机
堡垒主机是一种安全强化的、可以防御攻击的主机。
它位于互联网/外网,作为进入内部网络的一个隔离点,将整个网络的安全问题集中在该主机上解决。
堡垒主机是网络中最容易受到侵害的主机,所以它必须具有最完善的安全保护。
代理网关
代理网关至少有两个网络接口,内外网络均可与代理网关实施通信,但内外网络之间不可直接通信,内外部网络之间的数据流被代理网关完全切断。
代理网关通过代理程序来实施网络控制。
数据包过滤
数据包过滤技术实现对数据包进行选择,选择的依据是过滤规则,或访问控制表(ACL)。
检查每个数据包的源地址、目的地址、源端口号、目的端口号、协议状态等因素,或它们的组合来确定是否同意该数据包通过。
筛选路由器
在路由器上安装基于网络层的数据包过滤软件,实现数据包过滤功能。
许多路由器本身带有数据包过滤配置选项,但一般比较简单。
屏蔽主机
当对外提供服务的主机部署在内部网络上,通常在防火墙上设立过滤规则,使这个主机成为从外部网络唯一可访问的主机,即屏蔽主机。确保内部网络不受外部用户的攻击。
屏蔽子网
在内部网络和外部网络之间建立一个被隔离的子网,用防火墙将这一子网分别与内部网络和外部网络分开。
在很多实现中,两个防火墙放在子网的两端,在子网内构成一个DMZ。
防火墙部署
透明模式: 在同一个网段
路由模式 :不在
混合模式 :都有
防火墙性能指标
吞吐量:吞吐量是防火墙转发的数据包数量与由测试设备发送的数据包数量相等时防火墙的最大传输速率。
延时:入口处输入帧最后一个bit到达到出口处输入帧第一个比特输出的时间间隔
丢包率:被丢弃的数据包占所有应转发的数据包的百分
并发连接数
最大并发连接建立速率:单位时间内增加的并发连接数
71
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
