防火墻產(chǎn)品與維護(hù)培訓(xùn)培訓(xùn)膠片

防火墻產(chǎn)品與維護(hù)培訓(xùn)培訓(xùn)膠片學(xué)習(xí)完本課程，您應(yīng)該能夠：了解Eudemon產(chǎn)品工作原理了解Eudemon產(chǎn)品規(guī)格和特性掌握Eudemon產(chǎn)品典型組網(wǎng)及配置學(xué)習(xí)目標(biāo)內(nèi)容介紹第一章防火墻技術(shù)簡介第二章防火墻體系結(jié)構(gòu)第三章防火墻原理與特性防火墻概述網(wǎng)絡(luò)安全問題成為近年來網(wǎng)絡(luò)問題的焦點網(wǎng)絡(luò)安全包括基礎(chǔ)設(shè)施安全、邊界安全和管理安全等全方位策略防火墻的主要作用是劃分邊界安全，實現(xiàn)關(guān)鍵系統(tǒng)與外部環(huán)境的安全隔離，保護(hù)內(nèi)部網(wǎng)絡(luò)免受外部攻擊與路由器相比,防火墻提供了更豐富的安全防御策略，提高了安全策略下數(shù)據(jù)報轉(zhuǎn)發(fā)速率由于防火墻用于邊界安全，因此往往兼?zhèn)銷AT、VPN等功能我司防火墻：Eudemon系列（英文含義－－－守護(hù)神）一夫當(dāng)關(guān)，萬夫莫開防火墻的分類（一）包過濾防火墻代理防火墻狀態(tài)防火墻包過濾防火墻代理防火墻狀態(tài)防火墻防火墻的分類(二）按照防火墻實現(xiàn)的方式，一般把防火墻分為如下幾類：包過濾防火墻(PacketFiltering)包過濾利用定義的特定規(guī)則過濾數(shù)據(jù)包，防火墻直接獲得數(shù)據(jù)包的IP源地址、目的地址、TCP/UDP的源端口、和TCP/UDP的目的端口。包過濾防火墻簡單，但是缺乏靈活性，對一些動態(tài)協(xié)商端口沒有辦法設(shè)置規(guī)則。另外包過濾防火墻每包需要都進(jìn)行策略檢查，策略過多會導(dǎo)致性能急劇下降。代理型防火墻（applicationgateway）代理型防火墻使得防火墻做為一個訪問的中間節(jié)點，對Client來說防火墻是一個Server，對Server來說防火墻是一個Client。代理型防火墻安全性較高，但是開發(fā)代價很大。對每一種應(yīng)用開發(fā)一個對應(yīng)的代理服務(wù)是很難做到的，因此代理型防火墻不能支持很豐富的業(yè)務(wù)，只能針對某些應(yīng)用提供代理支持。狀態(tài)檢測防火墻狀態(tài)檢測是一種高級通信過濾。它檢查應(yīng)用層協(xié)議信息并且監(jiān)控基于連接的應(yīng)用層協(xié)議狀態(tài)。對于所有連接，每一個連接狀態(tài)信息都將被維護(hù)并用于動態(tài)地決定數(shù)據(jù)包是否被允許通過防火墻或丟棄?，F(xiàn)在防火墻的主流產(chǎn)品都為狀態(tài)檢測防火墻：高性能和高安全的完美結(jié)合。防火墻技術(shù)發(fā)展方向軟件防火墻。一般是直接安裝在PC上的一套軟件，基于PC提供基本的安全防護(hù)，此時防火墻基本上就是一個應(yīng)用軟件。代表產(chǎn)品有CheckPoint公司的防火墻產(chǎn)品。工控機(jī)類型防火墻。采用PC硬件結(jié)構(gòu)，基于linux等開發(fā)源代碼的操作系統(tǒng)內(nèi)核，開發(fā)了安全防護(hù)的一些基本特性構(gòu)成硬件防火墻產(chǎn)品形態(tài)。從外觀上面看，該種防火墻是一個硬件防火墻產(chǎn)品，但是其軟件、硬件和第一種防火墻產(chǎn)品從硬件上面說沒有本質(zhì)區(qū)別。國內(nèi)大多數(shù)防火墻是采用這種技術(shù)。電信級硬件防火墻。采用獨立設(shè)計的硬件結(jié)構(gòu)，在CPU、電源、風(fēng)扇、PCI總線設(shè)計、擴(kuò)展插卡等方面優(yōu)化結(jié)構(gòu)，保證防火墻產(chǎn)品可以得到最優(yōu)的處理性能和高可靠性。代表產(chǎn)品有華為公司的Eudemon200產(chǎn)品、NetScreen204等防火墻產(chǎn)品?；贜P電信級防火墻。由于純軟件設(shè)計的防火墻產(chǎn)品在流量很大的地方逐步成為瓶頸，基于網(wǎng)絡(luò)處理器（NP）的業(yè)務(wù)加速模式的防火墻產(chǎn)品開始出現(xiàn)。通過網(wǎng)絡(luò)處理器的高性能，使得防火墻產(chǎn)品可以達(dá)到1G線速的處理能力。代表產(chǎn)品有華為公司的Eudemon500/1000產(chǎn)品。軟件防火墻=>工控機(jī)類型防火墻=>電信級硬件防火墻=>基于NP電信級防火墻ASPF安全技術(shù)（一）ASPF(ApplicationSpecificPacketFilter)是一種高級通信過濾，它檢查應(yīng)用層協(xié)議信息并且監(jiān)控連接的應(yīng)用層協(xié)議狀態(tài)。對于特定應(yīng)用協(xié)議的所有連接，每一個連接狀態(tài)信息都將被ASPF維護(hù)并用于動態(tài)的決定數(shù)據(jù)包是否被允許通過防火墻或丟棄.動態(tài)創(chuàng)建和刪除過濾規(guī)則監(jiān)視通信過程中的報文ASPF與ACL的比較比較內(nèi)容ACLASPF原理對每個IP數(shù)據(jù)包按照用戶所定義的策略規(guī)則（訪問控制列表，ACL）進(jìn)行過濾。包過濾不管會話的狀態(tài)，也不分析數(shù)據(jù)對于每一個應(yīng)用層協(xié)議建立會話信息以及狀態(tài)信息，實時檢測數(shù)據(jù)流的狀態(tài)信息，并動態(tài)的根據(jù)狀態(tài)信息決定數(shù)據(jù)包的動作配置較繁瑣簡單設(shè)計實現(xiàn)簡單復(fù)雜，必須支持盡可能多的應(yīng)用層協(xié)議，以保證用戶的正常使用。并且需要實時增加協(xié)議的支持對系統(tǒng)性能影響速度快，但策略過多會導(dǎo)致性能急劇下降需要進(jìn)行狀態(tài)檢測等復(fù)雜處理，效率相對于ACL低，并且消耗部分系統(tǒng)資源對多通道協(xié)議的支持不支持非常適用于需要動態(tài)建立連接的應(yīng)用協(xié)議安全性低，無法檢測某些來自于應(yīng)用層的攻擊行為高，能夠根據(jù)連接的狀態(tài)及應(yīng)用層報文內(nèi)容進(jìn)行過濾，有效防范攻擊ASPF基本概念A(yù)SPF三個基本概念會話表（Session）：5元組完成連接；多通道協(xié)議：多通道（控制通道+數(shù)據(jù)通道）多通道協(xié)議主要包括：數(shù)據(jù)傳輸協(xié)議（FTP、TFTP等）、音視頻相關(guān)（H.323協(xié)議族、SIP、MGCP等）、聊天通訊軟件（MSN，QQ，ICQ等）Servermap表項：臨時通道（三元組）ASPF對單通道協(xié)議的支持在狀態(tài)防火墻中會動態(tài)維護(hù)著一個Session表項，通過Session表項來檢測基于連接的狀態(tài)，動態(tài)地判斷報文是否可以通過，從而決定哪些連接是合法訪問，哪些是非法訪問保護(hù)網(wǎng)絡(luò)用戶A初始化一個Telnet會話外部網(wǎng)絡(luò)用戶A目標(biāo)服務(wù)器防火墻創(chuàng)建Session表項其他用戶用戶A的Telnet會話返回報文可以通過其他的Telnet報文被阻塞不能通過防火墻匹配Session表項報文ASPF對多通道協(xié)議的支持—FTP用戶USG5000FTPserver0（21/20）三次握手防火墻創(chuàng)建Servermap表項三次握手Port:893Port:893200PortCommandOKRETRSle.txtRETRSle.txt200PortCommandOK150OpeningASCIIconnection150OpeningASCIIconnectionSYN檢測Servermap表項，創(chuàng)建臨時規(guī)則，打開數(shù)據(jù)通道:22787:22787SYN內(nèi)容介紹第一章防火墻技術(shù)簡介第二章防火墻體系結(jié)構(gòu)第三章防火墻原理與特性Eudemon200Eudemon100EEudemon500Eudemon1000小型企業(yè)、遠(yuǎn)程辦公中小型企業(yè)華賽電信級硬件防火墻，從桌面式終端設(shè)備到高端千兆級別，以卓越的性能和先進(jìn)的安全體系架構(gòu)為網(wǎng)絡(luò)提供強(qiáng)大的安全保障。NP架構(gòu)Eudemon300NP架構(gòu)中型企業(yè)NP架構(gòu)Eudemon200S/USG2000大中型企業(yè)大型企業(yè),運營商大型數(shù)據(jù)中心USG3040USG3030USG50Eudemon8080Eudemon8040城域網(wǎng)流量清洗NP架構(gòu)防火墻產(chǎn)品系列主要防火墻性能衡量指標(biāo)吞吐量其中吞吐量業(yè)界一般都是使用1K～1.5K的大包衡量防火墻對報文的處理能力的。因網(wǎng)絡(luò)流量大部分是200字節(jié)報文，因此需要考察防火墻小包轉(zhuǎn)發(fā)下性能。因防火墻需要配置ACL規(guī)則，因此需要考察防火墻支持大量規(guī)則下轉(zhuǎn)發(fā)性能。每秒建立連接速度指的是每秒鐘可以通過防火墻建立起來的完整TCP連接。由于防火墻的連接是動態(tài)連接的，是根據(jù)當(dāng)前通信雙方狀態(tài)而動態(tài)建立的表項。每個會話在數(shù)據(jù)交換之前，在防火墻上都必須建立連接。如果防火墻建立連接速率較慢，在客戶端反映是每次通信有較大延遲。并發(fā)連接數(shù)目由于防火墻是針對連接進(jìn)行處理報文的，并發(fā)連接數(shù)目是指的防火墻可以同時容納的最大的連接數(shù)目，一個連接就是一個TCP/UDP的訪問防火墻產(chǎn)品參數(shù)一覽型號參數(shù)USG50Eudemon100EEudemon200Eudemon200SUSG3030USG3040應(yīng)用小型企業(yè)小型企業(yè)中小型企業(yè)中小型企業(yè)中型企業(yè)中型企業(yè)整機(jī)吞吐量(bps)100M260M400M500M1G1.5G每秒新建連接數(shù)2000條/秒13000條/秒2萬條/秒2萬條/秒2萬3萬并發(fā)連接數(shù)10萬50萬50萬50萬50/100萬50/100萬IPSECVPN連接數(shù)642K2K2K2K2K3DES加密(bps)50M200M200M200M400M600M可靠性不支持雙電源支持雙機(jī)熱備單電源支持雙機(jī)熱備雙電源（熱插拔），雙風(fēng)扇（熱插拔），雙機(jī)熱備單電源支持雙機(jī)熱備支持雙電源支持雙機(jī)熱備多風(fēng)扇冗余支持雙電源支持雙機(jī)熱備多風(fēng)扇冗余NAT、ASPF支持支持支持支持支持支持虛擬防火墻不支持不支持不支持不支持不支持不支持安全網(wǎng)關(guān)產(chǎn)品參數(shù)一覽(續(xù))型號參數(shù)Eudemon300Eudemon500Eudemon1000Eudemon8040Eudemon8080應(yīng)用中型企業(yè)大型，中型企業(yè)大型企業(yè)大型企業(yè)大型企業(yè)整機(jī)吞吐量(bps)1G2G4G≥6Gbps≥12Gbps每秒新建連接數(shù)10萬條/秒10萬條/秒10萬條/秒10萬條/秒20萬條/秒IPSECVPN連接數(shù)12K12K12K無無3DES加密(bps)200M/1G200M/1G200M/1G無無可靠性雙電源（熱插拔），雙風(fēng)扇（熱插拔），雙機(jī)熱備，接口卡可熱插拔，支持BYPASS卡雙電源（熱插拔），雙風(fēng)扇（熱插拔），雙機(jī)熱備，接口卡可熱插拔，支持BYPASS卡雙電源（熱插拔），雙風(fēng)扇（熱插拔），雙機(jī)熱備，接口卡可熱插拔，支持BYPASS卡雙電源（熱插拔），雙風(fēng)扇（熱插拔），雙機(jī)熱備，接口卡可熱插拔，支持BYPASS卡雙電源（熱插拔），雙風(fēng)扇（熱插拔），雙機(jī)熱備，接口卡可熱插拔，支持BYPASS卡P2P監(jiān)控支持跟SIG聯(lián)動支持SIG聯(lián)動支持SIG聯(lián)動支持SIG聯(lián)動支持SIG聯(lián)動NAT/ASPF支持支持支持暫不支持暫不支持虛擬防火墻支持（<=100個）支持（<=100個）支持（<=100個）暫不支持暫不支持NP架構(gòu)NP架構(gòu)NP架構(gòu)NP架構(gòu)NP架構(gòu)防火墻的基本工作流程傳統(tǒng)包過濾防火墻（路由器）E200狀態(tài)防火墻內(nèi)容介紹第一章防火墻技術(shù)簡介第二章防火墻體系結(jié)構(gòu)第三章防火墻原理與特性第三章防火墻原理與特性第1節(jié)安全區(qū)域第2節(jié)工作模式第3節(jié)安全防范第4節(jié)VRRP&HRP內(nèi)容介紹防火墻的安全區(qū)域（一）防火墻的內(nèi)部劃分為多個區(qū)域，所有的轉(zhuǎn)發(fā)接口都唯一的屬于某個區(qū)域Vzone區(qū)域Local區(qū)域Trust區(qū)域DMZ區(qū)域UnTrust區(qū)域接口1接口2接口3接口4防火墻的安全區(qū)域（二）路由器的安全規(guī)則定義在接口上，而防火墻的安全規(guī)則定義在安全區(qū)域之間的數(shù)據(jù)報從這個接口出去禁止所有從DMZ區(qū)域的數(shù)據(jù)報轉(zhuǎn)發(fā)到UnTrust區(qū)域Vzone區(qū)域Local區(qū)域Trust區(qū)域DMZ區(qū)域UnTrust區(qū)域接口1接口2接口3接口4防火墻的安全區(qū)域（三）Eudemon防火墻上保留四個安全區(qū)域：虛擬區(qū)域（Vzone）：最低級別的安全區(qū)域，其安全優(yōu)先級為0。非受信區(qū)（Untrust）：低級的安全區(qū)域，其安全優(yōu)先級為5。非軍事化區(qū)（DMZ）：中度級別的安全區(qū)域，其安全優(yōu)先級為50。受信區(qū)（Trust）：較高級別的安全區(qū)域，其安全優(yōu)先級為85。本地區(qū)域（Local）：最高級別的安全區(qū)域，其安全優(yōu)先級為100。此外，如認(rèn)為有必要，用戶還可以自行設(shè)置新的安全區(qū)域并定義其安全優(yōu)先級別。最多16個安全區(qū)域。防火墻的安全區(qū)域（四）域間的數(shù)據(jù)流分兩個方向：入方向（inbound）：數(shù)據(jù)由低級別的安全區(qū)域向高級別的安全區(qū)域傳輸?shù)姆较?；出方向（outbound）：數(shù)據(jù)由高級別的安全區(qū)域向低級別的安全區(qū)域傳輸?shù)姆较?。Vzone區(qū)域Local區(qū)域Trust區(qū)域DMZ區(qū)域UnTrust區(qū)域接口1接口2接口3接口4防火墻的安全區(qū)域（五）本域內(nèi)不同接口間不過濾直接轉(zhuǎn)發(fā)進(jìn)、出接口相同的報文被丟棄（EU200-VRP3.20-0314.01版本后支持）接口沒有加入域之前不能轉(zhuǎn)發(fā)包文Vzone區(qū)域Local區(qū)域Trust區(qū)域DMZ區(qū)域UnTrust區(qū)域接口1接口2接口3接口4防火墻的安全區(qū)域（六）第三章防火墻原理與特性第1節(jié)安全區(qū)域第2節(jié)工作模式第3節(jié)安全防范第4節(jié)VRRP&HRP內(nèi)容介紹防火墻的三種工作模式（一）路由模式透明模式混合模式防火墻的三種工作模式（二）可以把路由模式理解為象路由器那樣工作。防火墻每個接口連接一個網(wǎng)絡(luò)，防火墻的接口就是所連接子網(wǎng)的網(wǎng)關(guān)。報文在防火墻內(nèi)首先通過入接口信息找到進(jìn)入域信息，然后通過查找轉(zhuǎn)發(fā)表，根據(jù)出接口找到出口域，再根據(jù)這兩個域確定域間關(guān)系，然后使用配置在這個域間關(guān)系上的安全策略進(jìn)行各種操作。防火墻的三種工作模式（三）透明模式的防火墻簡單理解可以被看作一臺以太網(wǎng)交換機(jī)。防火墻的接口不能配IP地址，整個設(shè)備出于現(xiàn)有的子網(wǎng)內(nèi)部，對于網(wǎng)絡(luò)中的其他設(shè)備，防火墻是透明的。Eudemon防火墻與網(wǎng)橋存在不同，Eudemon防火墻中IP報文還需要送到上層進(jìn)行相關(guān)過濾等處理，通過檢查會話表或ACL規(guī)則以確定是否允許該報文通過。此外，還要完成其它防攻擊檢查。透明模式的防火墻支持ACL規(guī)則檢查、ASPF狀態(tài)過濾、防攻擊檢查、流量監(jiān)控等功能。透明模式可以配置系統(tǒng)IP。防火墻的三種工作模式（四）混合模式是指防火墻一部份接口工作在透明模式，另一部分接口工作在路由模式。提出混合模式的概念，主要是為了解決防火墻在純粹的透明模式下無法使用雙機(jī)熱備份功能的問題。雙機(jī)熱備份所依賴的VRRP需要在接口上配置IP地址，而透明模式無法實現(xiàn)這一點。第三章防火墻原理與特性第1節(jié)安全區(qū)域第2節(jié)工作模式第3節(jié)安全防范第4節(jié)VRRP&HRP內(nèi)容介紹防火墻的安全防范ACL（參考ACL原理）安全策略NAT攻擊防范IDS聯(lián)動防火墻的安全防范ACL安全策略NAT攻擊防范IDS聯(lián)動ASPFASPF（ApplicationSpecificPacketFilter）是針對應(yīng)用層的包過濾，即基于狀態(tài)的報文過濾。它和普通的靜態(tài)防火墻協(xié)同工作，以便于實施內(nèi)部網(wǎng)絡(luò)的安全策略。ASPF能夠檢測試圖通過防火墻的應(yīng)用層協(xié)議會話信息，阻止不符合規(guī)則的數(shù)據(jù)報文穿過。為保護(hù)網(wǎng)絡(luò)安全，基于ACL規(guī)則的包過濾可以在網(wǎng)絡(luò)層和傳輸層檢測數(shù)據(jù)包，防止非法入侵。ASPF對應(yīng)用層的協(xié)議信息進(jìn)行檢測，通過維護(hù)會話的狀態(tài)和檢查會話報文的協(xié)議和端口號等信息，阻止惡意的入侵。黑名單（一）黑名單，指根據(jù)報文的源IP地址進(jìn)行過濾的一種方式。同基于ACL的包過濾功能相比，由于黑名單進(jìn)行匹配的域非常簡單，可以以很高的速度實現(xiàn)報文的過濾，從而有效地將特定IP地址發(fā)送來的報文屏蔽。黑名單最主要的一個特色是可以由Eudemon防火墻動態(tài)地進(jìn)行添加或刪除，當(dāng)防火墻中根據(jù)報文的行為特征察覺到特定IP地址的攻擊企圖之后，通過主動修改黑名單列表從而將該IP地址發(fā)送的報文過濾掉。因此，黑名單是防火墻一個重要的安全特性。黑名單（二）黑名單的創(chuàng)建[firewall]firewallblacklistitemsour-addr[timeoutminutes]黑名單的使能[firewall]firewallblacklistenable黑名單的報文過濾類型和范圍的設(shè)置firewallblacklistfilter-type{icmp|tcp|udp|others}[range{blacklist|global}]其它MAC和IP地址綁定：指防火墻可以根據(jù)用戶的配置，在特定的IP地址和MAC地址之間形成關(guān)聯(lián)關(guān)系。對于聲稱從這個IP發(fā)送的的報文，如果其MAC地址不是指定關(guān)系對中的地址，防火墻將予以丟棄，發(fā)送給這個IP地址的報文，在通過防火墻時將被強(qiáng)制發(fā)送給這個MAC地址。從而形成有效的保護(hù)，是避免IP地址假冒攻擊的一種方式。端口識別簡介應(yīng)用層協(xié)議一般使用通用的端口號（知名端口號）進(jìn)行通信。端口識別允許用戶針對不同的應(yīng)用在系統(tǒng)定義的端口號之外定義一組新的端口號。端口識別提供了一些機(jī)制來維護(hù)和使用用戶定義的端口配置信息。端口識別能夠?qū)Σ煌膽?yīng)用協(xié)議創(chuàng)建和維護(hù)一張系統(tǒng)定義（system-defined）和用戶定義（user-defined）的端口識別表。防火墻的安全防范ACL安全策略NAT攻擊防范IDS聯(lián)動防火墻的安全防范ACL安全策略NAT攻擊防范IDS聯(lián)動攻擊類型簡介單報文攻擊FraggleIpspoofLandSmurf分片報文攻擊TearDropPingofdeath拒絕服務(wù)類攻擊SYNFloodUDPFlood&ICMPFlood掃描IPsweepPortscan單包攻擊原理及防范（一）Fraggle原理：UDP端口7（echo）和19（CharacterGenerator）在收到UDP報文后都會產(chǎn)生回應(yīng)UDP端口7收到報文后會象ICMPEchoReply一樣回應(yīng)收到的內(nèi)容；UDP的19號端口在收到報文后，會產(chǎn)生一串字符流；攻擊者偽冒受害者地址，向目的地址為廣播地址的上述端口，發(fā)送請求，會導(dǎo)致受害者被回應(yīng)報文泛濫攻擊如果將二者互指，源、目的都是廣播地址，會造成網(wǎng)絡(luò)帶寬被占滿配置：firewalldefendfraggleenable原理：過濾UDP類型的目的端口號為7或19的報文單包攻擊原理及防范（二）IPSpoof特征：地址偽冒目的：偽造IP地址發(fā)送報文配置：firewalldefendip-spoofingenable原理：對源地址進(jìn)行路由表查找，如果發(fā)現(xiàn)報文進(jìn)入接口不是本機(jī)所認(rèn)為的這個IP地址的出接口，丟棄報文單包攻擊原理及防范（三）Land原理把TCP的SYN包的源地址和目的地址都設(shè)置為目標(biāo)計算機(jī)的IP地址。這將導(dǎo)致目標(biāo)計算機(jī)向它自己發(fā)送SYN-ACK報文，目標(biāo)計算機(jī)又向自己發(fā)回ACK報文并創(chuàng)建一個空連接配置：firewalldefendlandenable防范原理：對符合上述特征的報文丟棄攻擊者被攻擊者Ping廣播地址源地址被設(shè)置為被攻擊者的IP被利用網(wǎng)絡(luò)Smurf攻擊單包攻擊原理及防范（四）Smurf特征：偽冒受害者IP地址向廣播地址發(fā)送pingecho目的：使受害者被網(wǎng)絡(luò)上主機(jī)回復(fù)的響應(yīng)淹沒配置：firewalldefendsmurfenable原理：丟棄目的地址為廣播地址的報文分片報文攻擊原理及防范（一）Teardrop特征：分片報文后片和前片發(fā)生重疊目的：使被攻擊設(shè)備因處理不當(dāng)而死機(jī)或使報文通過重組繞過防火墻訪問內(nèi)部端口配置：firewalldefendteardropenable原理：防火墻為分片報文建立數(shù)據(jù)結(jié)構(gòu)，記錄通過防火墻的分片報文的偏移量，發(fā)生重疊，丟棄報文分片報文攻擊原理及防范（二）Pingofdeath特征：ping報文全長超過65535目的：使被攻擊設(shè)備因處理不當(dāng)而死機(jī)配置：firewalldefendping-of-deathenable原理：檢查報文長度如果最后分片的偏移量和本身長度相加超過65535，丟棄該分片拒絕服務(wù)攻擊利用網(wǎng)絡(luò)資源瓶頸或者協(xié)議、系統(tǒng)本身的弱點，通過占據(jù)大量的共享資源，最后導(dǎo)致合法的用戶請求就無法通過的一種攻擊方式。這是一類危害極大的攻擊方式，嚴(yán)重的時候可以使一個網(wǎng)絡(luò)癱瘓，而且容易實施，被稱作黑客的終極武器。什么是拒絕服務(wù)攻擊拒絕服務(wù)攻擊(DOS)分布式拒絕服務(wù)攻擊(DDOS)分布式反彈拒絕服務(wù)(DRDOS)攻擊拒絕服務(wù)攻擊原理及防范（一）SYNFlood特征：向受害主機(jī)發(fā)送大量TCP連接請求報文目的：使被攻擊設(shè)備消耗掉所有處理能力，無法響應(yīng)正常用戶的請求配置：statisticenableipinzonefirewalldefendsyn-flood[ipX.X.X.X|zonezonename][max-numbernum][max-ratenum][tcp-proxyauto|on|off]firewalldefendsyn-floodenable原理：防火墻基于目的地址統(tǒng)計對每個IP地址收到的連接請求進(jìn)行代理，代替受保護(hù)的主機(jī)回復(fù)請求，如果收到請求者的ACK報文，認(rèn)為這是有效連接，在二者之間進(jìn)行中轉(zhuǎn)，否則刪掉該會話攻擊者受害者攻擊者偽造源地址進(jìn)行SYN請求為何還沒回應(yīng)就是讓你白等不能建立正常的連接其它正常用戶得不到響應(yīng)SYN（我可以和你連接嗎？）ACK|SYN（可以，請確認(rèn)！）？？？SYN－Flood攻擊拒絕服務(wù)攻擊原理及防范（二）UDP/ICMPFlood特征：向受害主機(jī)發(fā)送大量UDP/ICMP報文目的：使被攻擊設(shè)備消耗掉所有處理能力配置：statisticenableipinzonefirewalldefendudp/icmp-flood[ipX.X.X.X|zonezonename][max-ratenum]firewalldefendudp/icmp-floodenable原理：防火墻基于目的地址統(tǒng)計對每個IP地址收到的報文速率，超過設(shè)定的閾值上限，進(jìn)行car掃描攻擊原理和防范（一）IPsweep特征：地址掃描，向一個網(wǎng)段內(nèi)的IP地址發(fā)送報文nmap目的：用以判斷是否存在活動的主機(jī)以及主機(jī)類型等信息，為后續(xù)攻擊作準(zhǔn)備配置：StatisticenableipoutzoneFirewalldefendip-sweep[max-ratenum][blacklist-timeoutnum]原理：防火墻根據(jù)報文源地址進(jìn)行統(tǒng)計，檢查某個IP地址向外連接速率，如果這個速率超過了閾值上限，則可以將這個IP地址添加到黑名單中進(jìn)行隔離注意：如果要啟用黑名單隔離功能，需要先啟動黑名單掃描攻擊原理和防范（二）Portscan特征：相同一個IP地址的不同端口發(fā)起連接目的：確定被掃描主機(jī)開放的服務(wù)，為后續(xù)攻擊做準(zhǔn)備配置：StatisticenableipoutzoneFirewalldefendport-scan[max-ratenum][blacklist-timeoutnum]原理：防火墻根據(jù)報文源地址進(jìn)行統(tǒng)計，檢查某個IP地址向同一個IP地址發(fā)起連接的速率，如果這個速率超過了閾值上限，則可以將這個IP地址添加到黑名單中進(jìn)行隔離注意：如果要啟用黑名單隔離功能，需要先啟動黑名單防火墻的安全防范ACL安全策略NAT攻擊防范IDS聯(lián)動IDS聯(lián)動由于防火墻自身具有一定的局限性，如檢查的顆粒度較粗，難以對眾多的協(xié)議細(xì)節(jié)進(jìn)行深入的分析與檢查，并且防火墻具有防外不防內(nèi)的特點，難以對內(nèi)部用戶的非法行為和已經(jīng)滲透的攻擊進(jìn)行有效的檢查和防范。因此，Eudemon防火墻開放了相關(guān)接口，通過與其它安全軟件進(jìn)行聯(lián)動，從而構(gòu)建統(tǒng)一的安全網(wǎng)絡(luò)。網(wǎng)絡(luò)中的IDS（IntrusionDetectiveSystem，攻擊檢測系統(tǒng)）系統(tǒng)就像在網(wǎng)絡(luò)上裝備了網(wǎng)絡(luò)分析器，對網(wǎng)絡(luò)傳輸進(jìn)行監(jiān)視。該系統(tǒng)熟悉最新的攻擊手段，而且盡力在檢查通過的每個報文，從而盡早處理可疑的網(wǎng)絡(luò)傳輸。具體采取的措施由用戶使用的特定IDS系統(tǒng)和配置情況決定。IDS聯(lián)動1234IDS服務(wù)器提供基于應(yīng)用層的過濾第三章防火墻原理與特性第1節(jié)安全區(qū)域第2節(jié)工作模式第3節(jié)安全防范第4節(jié)VRRP&HRP內(nèi)容介紹Eudemon雙機(jī)狀態(tài)協(xié)議體系結(jié)構(gòu)EthernetVRRPVGMPEthernetVRRPEthernetVRRPHRP上層模塊上層模塊上層模塊EthernetVRRPVGMPHRP需要備份的模塊………VRRP用于防火墻多區(qū)域的備份 當(dāng)防火墻上多個區(qū)域需要提供雙機(jī)備份功能時，需要在一臺防火墻上配置多個VRRP備份組。由于Eudemon防火墻是狀態(tài)防火墻，它要求報文的來回路徑通過同一臺防火墻。為了滿足這個限制條件，就要求在同一臺防火墻上的所有VRRP備份組狀態(tài)保持一致，即要保證在某一臺防火墻上所有VRRP備份組都是主狀態(tài)，這樣所有報文都將從此防火墻上通過，而另外一臺防火墻則充當(dāng)備份設(shè)備。VGMP的引入與基本原理由于每個傳統(tǒng)的VRRP備份組是相互獨立的，無法保證這種一致性，因此華為公司在VRRP的基礎(chǔ)上進(jìn)行了擴(kuò)展，推出了VGMP（VRRPGroupManagementProtocol）來彌補(bǔ)VRRP在狀態(tài)防火墻上使用時存在的局限。VGMP提出VRRP管理組的概念，將同一臺防火墻上的多個VRRP備份組都加入到一個VRRP管理組，由管理組統(tǒng)一管理所有VRRP備份組。通過統(tǒng)一控制各VRRP備份組狀態(tài)的切換，來保證管理組內(nèi)的所有VRRP備份組狀態(tài)都是一致的。DMZTrustUntrustEudemonA/24MasterEudemonBBackup/24備份組2備份組3備份組1管理組管理組VGMP基本原理介紹VGMP狀態(tài)(Master/Slave) 當(dāng)防火墻上的VGMP為Master狀態(tài)時，它保證組內(nèi)所有VRRP備份組的狀態(tài)統(tǒng)一為Master狀態(tài)，這樣所有報文都將從該防火墻上通過，該防火墻成為主用防火墻。此時另外一臺防火墻上對應(yīng)的VGMP為備狀態(tài)，該防火墻成為備用防火墻。VGMP的報文VGMPHELLO 與VRRP類似，狀態(tài)為Master的VGMP也會定期向?qū)Χ税l(fā)送HELLO報文，通知Slave端本身的運行狀態(tài)（包括優(yōu)先級、VRRP成員狀態(tài)等）。與VRRP不同的是，Slave端收到HELLO報文后，會回應(yīng)一個ACK消息，該消息中也會攜帶本身的優(yōu)先級、VRRP成員狀態(tài)等。兩臺防火墻通過HELLO報文交互各自的狀態(tài)信息。 VGMPHELLO報文發(fā)送周期缺省為1秒。當(dāng)Slave端三個HELLO報文周期沒有收到對端發(fā)送的HELLO報文時，會認(rèn)為對端出現(xiàn)故障，從而將自己切換到Master狀態(tài)。VGMP基本原理介紹除了前面介紹的VGMPHELLO報文之外，VGMP還包括狀態(tài)切換請求報文、允許狀態(tài)切換的應(yīng)答報文、拒絕狀態(tài)切換的應(yīng)答報文。狀態(tài)切換請求報文 當(dāng)主防火墻上一個備份組成員出現(xiàn)故障時（端口down），VGMP能立即感知到這個故障。此時VGMP會調(diào)整自己的優(yōu)先級，并立即發(fā)送一個狀態(tài)切換請求報文到對端。對端收到該報文后，會比較優(yōu)先級。如果本身優(yōu)先級比報文中攜帶的優(yōu)先級高，則會回應(yīng)一個ACK報文，同時立即將自己切換到Master狀態(tài)；發(fā)生故障的設(shè)備收到該應(yīng)答報文后，會立即將自己切換到Slave狀態(tài)。在管理組狀態(tài)切換的同時，也會強(qiáng)制將管理組中的所有VRRP備份組成員的狀態(tài)一起切換。如果對端的優(yōu)先級比報文中的優(yōu)先級低，則會回應(yīng)一個拒絕狀態(tài)切換的應(yīng)答報文（NACK）。這樣兩端都不會進(jìn)行狀態(tài)切換。VGMP管理組的功能狀態(tài)一致性管理 VGMP管理組中任何VRRP備份組進(jìn)行主/備切換，都有VGMP管理組統(tǒng)一裁決。VRRP備份組加入到管理組后，狀態(tài)不能自行單獨切換。搶占管理 VGMP管理組的搶占功能和VRRP備份組類似，當(dāng)管理組中出現(xiàn)故障的備份組故障恢復(fù)時，管理組的優(yōu)先級也將恢復(fù)。此時VGMP可以決定是否需要重新?lián)屨挤Q為主設(shè)備。當(dāng)VRRP備份組加入到VGMP管理組后，備份組上原來的搶占功能將失效，搶占行為發(fā)生與否必須由VGMP管理組統(tǒng)一決定。通道管理 通道是雙機(jī)熱備的防火墻之間用來傳輸VGMP、