防火墙之服务器安全检测和防御技术

一、服务器安全风险

1、不必要的访问（如只提供HTTP服务）

2、外网发起IP或者端口扫描、DDOS攻击等

3、漏洞攻击（针对服务器操作系统等）

4、根据软件版本的已知漏洞进行攻击，口令暴力破解，获取用户权限；SQL注入、XSS跨站脚本攻击、跨站请求伪装等

5、扫描网站开放的端口以及弱密码

6、网站被攻击者篡改。

二、DOS攻击检测和防御技术

1、DOS攻击介绍

DoS攻击——Denial of Service, 是一种拒绝服务攻击，常用来使服务器或网络瘫痪。

DDoS攻击——Distributed Denial of Service, 分布式拒绝服务攻击。

2、DOS目的

消耗带宽、消耗服务器性能、引发服务器宕机

3、DOS类型

ICMP洪水攻击、UDP洪水攻击、DNS洪水攻击：通过发送大量所属协议的数据包占据服务器带宽，拥堵线路从而造成服务器端无法正常提供服务；

TCP（SYN）洪水攻击：利用TCP三次握手的特性，大量发送半链接请求包，造成服务器资源耗尽或者TCP请求分配的资源耗尽，从而无法正常提供服务；

畸形数据包攻击：错误分配大量系统资源，使主机处于挂起甚至宕机状态；

CC攻击：不停的发送大量数据包，造成服务器资源耗尽，一直到宕机崩溃；

慢度攻击：慢速攻击是CC攻击的一个变种，对任何一个开放了HTTP访问的服务器HTTP服务器，先建立 了一个连接，指定一个比较大的contentlength，然后以非常低的速度发包，比如1-10s 发一个字节，然后维持住这个连接不断开。如果客户端持续建立这样的连接，那么服务器上 可用的连接将一点一点被占满，从而导致拒绝服务。

4、SYN 代理

通过Syn 代理防御Syn洪水攻击

5、配置思路

（1）【系统】-【系统配置】-【通用配置】-【网络参数】开启【开启外网防Dos功能】

（2）【策略】-【安全策略】-【DOS/DDOS防护】-新增【外网对内网攻击防护策略】。

（3）【源区域】选择外网区域。

（4）【扫描防护】勾选【IP地址扫描防护】、【端口扫描防护】。

（5）【内网IP组】选择需要保护的服务器IP组。

（6）【DoS/DDoS攻击类型】-勾选所有类型，一般按照默认即可，为体现测试效果可适当调低封锁阈值。

（7）【高级防御选项】-可勾选除【IP数据块分片传输防护】之外的其他选项，

一般不建议勾选【IP数据块 分片传输防护】，勾选了分片数据包都将被丢弃。

（8）【内置数据中心】-【日志查询】- 【漏洞攻击防护】查看具体日志。

6、思考总结

SYN洪水攻击防护的【每目的IP激活阈值】、【每目的IP丢包阈值】指的是什么？

1、每目的IP激活阈值，指当针对策略设置的目的IP组内某IP发起的syn请求速率数据包超过设定值，则触发AF的syn代理功能。

2、每目的IP丢包阈值，指当针对策略设置的目的IP组内某IP发起的syn请求速率数据包超过设定值，则AF不再启用syn代理，直接丢弃syn包。

三、漏洞攻击防护入侵检测和防御技术

1、IDS/漏洞攻击防护（IPS）介绍

IDS——Intrusion Detection Systems，即入侵检测系统，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果。

漏洞攻击防护（IPS）——Intrusion Prevention Systems，即入侵防御系统，可对网络、系统的运行状况进行监视，并可发现阻止各种攻击企图、攻击行为。

IDS(Intrusion Detection System)：入侵检测系统，用于检测攻击威胁并进行预警。

IPS(Intrusion Prevention System)：在检测的基础上，增加了主动防御的功能。

2、漏洞攻击防护常见入侵手段

（1）worm蠕虫（扫描、攻击、寄生、传播、发作）