什么是防火墻?防火墻是一個(gè)或一組在兩個(gè)網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的系統(tǒng)，包括硬件和軟件，目的是保護(hù)網(wǎng)絡(luò)不被可疑的人侵?jǐn)_。本質(zhì)上，它遵從的是一種允許或阻止業(yè)務(wù)來往的網(wǎng)絡(luò)通信安全機(jī)制，也就是提供可控的過濾網(wǎng)絡(luò)通信，只允許授權(quán)的通訊。下面就讓小編帶你去看看防火墻基礎(chǔ)知識(shí)運(yùn)用大全，希望對(duì)你有所幫助吧

網(wǎng)絡(luò)安全中的防火墻技術(shù)?

網(wǎng)絡(luò)安全與防火墻的關(guān)系是目標(biāo)和手段的關(guān)系，保障網(wǎng)絡(luò)及業(yè)務(wù)系統(tǒng)的安全是目標(biāo)，使用防火墻執(zhí)行訪問控制攔截不該訪問的請(qǐng)求是手段。要達(dá)成安全的目標(biāo)，手段多種多樣，需要組合使用，僅有防火墻是遠(yuǎn)遠(yuǎn)不夠的。

狹義的防火墻通常指網(wǎng)絡(luò)層的硬件防火墻設(shè)備，或主機(jī)層的防火墻軟件，一般基于五元組(源IP、源端口、目標(biāo)IP、目標(biāo)端口、傳輸協(xié)議)中的部分要素進(jìn)行訪問控制(放行或阻斷)。

廣義的防火墻，還包括Web應(yīng)用防火墻(Web Application Firewall，簡稱WAF)，主要功能是攔截針對(duì)WEB應(yīng)用的攻擊，如SQL注入、跨站腳本、命令注入、WEBSHELL等，產(chǎn)品形態(tài)多種多樣。

此外，還有NGFW(下一代防火墻)，但這個(gè)下一代的主要特性(比如往應(yīng)用層檢測(cè)方向發(fā)展等)基本沒有大規(guī)模使用，暫不展開。

在筆者看來，在當(dāng)前防火墻基礎(chǔ)上擴(kuò)展的下一代防火墻，未必就是合理的發(fā)展方向，主要原因之一就是HTTPS的普及，讓網(wǎng)絡(luò)層設(shè)備不再具備應(yīng)用層的檢測(cè)與訪問控制能力。也正是基于這個(gè)考慮，Janusec打造的WAF網(wǎng)關(guān)，可用于HTTPS的安全防御、負(fù)載均衡、私鑰加密等。

網(wǎng)絡(luò)安全之最全防火墻技術(shù)詳解

一、安全域

防火墻的安全域包括安全區(qū)域和安全域間。

安全區(qū)域

在防火墻中，安全區(qū)域(Security Zone)，簡稱為區(qū)域(zone)，是一個(gè)或多個(gè)接口的組合，這些接口所包含的用戶具有相同的安全屬性。每個(gè)安全區(qū)域具有全局唯一的安全優(yōu)先級(jí)，即不存在兩個(gè)具有相同優(yōu)先級(jí)的安全區(qū)域。

設(shè)備認(rèn)為在同一安全區(qū)域內(nèi)部發(fā)生的數(shù)據(jù)流動(dòng)是可信的，不需要實(shí)施任何安全策略。只有當(dāng)不同安全區(qū)域之間發(fā)生數(shù)據(jù)流動(dòng)時(shí)，才會(huì)觸發(fā)防火墻的安全檢查，并實(shí)施相應(yīng)的安全策略。

安全域間

任何兩個(gè)安全區(qū)域都構(gòu)成一個(gè)安全域間(Interzone)，并具有單獨(dú)的安全域間視圖，大部分的防火墻配置都在安全域間視圖下配置。

例如：配置了安全區(qū)域 zone1 和 zone2，則在 zone1 和 zone2 的安全域間視圖中，可以配置 ACL 包過濾功能，表示對(duì) zone1 和 zone2 之間發(fā)生的數(shù)據(jù)流動(dòng)實(shí)施 ACL 包過濾。

在安全域間使能防火墻功能后，當(dāng)高優(yōu)先級(jí)的用戶訪問低優(yōu)先級(jí)區(qū)域時(shí)，防火墻會(huì)記錄報(bào)文的 IP、 v__ 等信息，生成一個(gè)流表。當(dāng)報(bào)文返回時(shí)，設(shè)備會(huì)查看報(bào)文的 IP、 v__ 等信息，因?yàn)榱鞅砝镉涗浻邪l(fā)出報(bào)文的信息，所以有對(duì)應(yīng)的表項(xiàng)，返回的報(bào)文能通過。低優(yōu)先級(jí)的用戶訪問高優(yōu)先級(jí)用戶時(shí)，默認(rèn)是不允許訪問的。因此，把內(nèi)網(wǎng)設(shè)置為高優(yōu)先級(jí)區(qū)域，外網(wǎng)設(shè)置為低優(yōu)先級(jí)區(qū)域，內(nèi)網(wǎng)用戶可以主動(dòng)訪問外網(wǎng)，外網(wǎng)用戶則不能主動(dòng)訪問內(nèi)網(wǎng)。

基于安全域的防火墻的優(yōu)點(diǎn)

傳統(tǒng)的交換機(jī)/路由器的策略配置通常都是圍繞報(bào)文入接口、出接口展開的，隨著防火墻的不斷發(fā)展，已經(jīng)逐漸擺脫了只連接外網(wǎng)和內(nèi)網(wǎng)的角色，出現(xiàn)了內(nèi)網(wǎng)/外網(wǎng)/DMZ(Demilitarized Zone)的模式，并且向著提供高端口密度的方向發(fā)展。在這種組網(wǎng)環(huán)境中，傳統(tǒng)基于接口的策略配置方式給網(wǎng)絡(luò)管理員帶來了極大的負(fù)擔(dān)，安全策略的維護(hù)工作量成倍增加，從而也增加了因?yàn)榕渲靡氚踩L(fēng)險(xiǎn)的概率。

除了復(fù)雜的基于接口的安全策略配置，某些防火墻支持全局的策略配置，全局策略配置的缺點(diǎn)是配置粒度過粗，一臺(tái)設(shè)備只能配置同樣的安全策略，滿足不了用戶在不同安全區(qū)域或者不同接口上實(shí)施不同安全策略的要求，使用上具有明顯的局限性。

基于安全域的防火墻支持基于安全區(qū)域的配置方式，所有攻擊檢測(cè)策略均配置在安全區(qū)域上，配置簡潔又不失靈活性，既降低網(wǎng)絡(luò)管理員配置負(fù)擔(dān)，又能滿足復(fù)雜組網(wǎng)情況下針對(duì)安全區(qū)域?qū)嵤┎煌舴婪恫呗缘囊蟆?/p>

二、防火墻工作模式

為了增加防火墻組網(wǎng)的靈活性，設(shè)備不再定義整個(gè)設(shè)備的工作模式，而是定義接口的工作模式，接口的工作模式如下：

路由模式：如果設(shè)備接口具有 IP 地址通過三層與外連接，則認(rèn)為該接口工作在路由模式下。

透明模式：如果設(shè)備接口無 IP 地址通過二層對(duì)外連接，則認(rèn)為該接口工作在透明模式下。

如果設(shè)備既存在工作在路由模式的接口(接口具有 IP 地址)，又存在工作在透明模式的接口(接口無 IP 地址)，則認(rèn)為該設(shè)備工作在混合模式下。

1、路由模式

當(dāng)設(shè)備位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，同時(shí)為設(shè)備與內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)相連的接口分別配置不同網(wǎng)段的 IP 地址，并重新規(guī)劃原有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。

如圖所示，規(guī)劃了 2 個(gè)安全區(qū)域：Trust 區(qū)域和 Untrust 區(qū)域，設(shè)備的 Trust 區(qū)域接口與公司內(nèi)部網(wǎng)絡(luò)相連， Untrust區(qū)域接口與外部網(wǎng)絡(luò)相連。

需要注意的是， Trust 區(qū)域接口和 Untrust 區(qū)域接口分別處于兩個(gè)不同的子網(wǎng)中。

當(dāng)報(bào)文在三層區(qū)域的接口間進(jìn)行轉(zhuǎn)發(fā)時(shí)，根據(jù)報(bào)文的 IP 地址來查找路由表。此時(shí)設(shè)備表現(xiàn)為一個(gè)路由器。但是，與路由器不同的是，設(shè)備轉(zhuǎn)發(fā)的 IP 報(bào)文還需要進(jìn)行過濾等相關(guān)處理，通過檢查會(huì)話表或 ACL 規(guī)則以確定是否允許該報(bào)文通過。除此之外，防火墻還需要完成其它攻擊防范檢查。

采用路由模式時(shí)，可以完成 ACL(Access Control List)包過濾、 ASPF 動(dòng)態(tài)過濾等功能。然而，路由模式需要對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行修改，例如，內(nèi)部網(wǎng)絡(luò)用戶需要更改網(wǎng)關(guān)，路由器需要更改路由配置等。進(jìn)行網(wǎng)絡(luò)改造前，請(qǐng)權(quán)衡利弊。

2、透明模式

如果設(shè)備工作在透明模式，則可以避免改變拓?fù)浣Y(jié)構(gòu)。此時(shí)，設(shè)備對(duì)于子網(wǎng)用戶來說是完全透明的，即用戶感覺不到設(shè)備的存在。

設(shè)備透明模式的典型組網(wǎng)方式如圖所示。設(shè)備的 Trust 區(qū)域接口與公司內(nèi)部網(wǎng)絡(luò)相連， Untrust 區(qū)域接口與外部網(wǎng)絡(luò)相連。需要注意的是， Trust 區(qū)域接口和 Untrust 區(qū)域接口必須處于同一個(gè)子網(wǎng)中。

采用透明模式時(shí)，只需在網(wǎng)絡(luò)中像放置網(wǎng)橋(bridge)一樣插入設(shè)備即可，無需修改任何已有的配置。IP 報(bào)文同樣會(huì)經(jīng)過相關(guān)的過濾檢查，內(nèi)部網(wǎng)絡(luò)用戶依舊受到防火墻的保護(hù)。

如圖所示，安全區(qū)域 A 和 B 在同一網(wǎng)段且有數(shù)據(jù)交互，連接安全區(qū)域 A 和 B 的接口分別加入 VLAN A 和 VLAN B，且必須加入 VLAN A 和 VLAN B 的組成的橋接組，當(dāng)防火墻在這兩個(gè)透明模式的接口間轉(zhuǎn)發(fā)報(bào)文時(shí)，需要先進(jìn)行 VLAN 橋接，將報(bào)文入 VLAN 變換為出 VLAN，再根據(jù)報(bào)文的 MAC 地址查 MAC 表找到出接口。此時(shí)設(shè)備表現(xiàn)為一個(gè)透明網(wǎng)橋。但是，設(shè)備與網(wǎng)橋不同，設(shè)備轉(zhuǎn)發(fā)的 IP 報(bào)文還需要送到上層進(jìn)行過濾等相關(guān)處理，通過檢查會(huì)話表或 ACL 規(guī)則以確定是否允許該報(bào)文通過。此外，防火墻還需要完成其它攻擊防范檢查。

說明：

要求兩個(gè)工作在透明模式且有數(shù)據(jù)交互的接口，必須加入到不同的 VLAN 中;同時(shí)，這兩個(gè)接口必須加入同一個(gè) VLAN 橋接組中，而且只能加入一個(gè)橋接組。

設(shè)備在透明模式的接口上進(jìn)行 MAC 地址學(xué)習(xí)，在透明模式的接口間轉(zhuǎn)發(fā)報(bào)文時(shí)，通過查 MAC 表進(jìn)行二層轉(zhuǎn)發(fā)。

3、設(shè)備的混合模式

如果設(shè)備既存在工作在路由模式的接口(接口具有 IP 地址)，又存在工作在透明模式的接口(接口無 IP 地址)，則認(rèn)為設(shè)備工作在混合模式下。

網(wǎng)絡(luò) A 和 B 是不同的網(wǎng)段，設(shè)備連接網(wǎng)絡(luò) A 和 B 的接口是三層接口，對(duì) A 和 B 之間的報(bào)文要進(jìn)行路由轉(zhuǎn)發(fā);網(wǎng)絡(luò) C 和 D 是相同網(wǎng)段，設(shè)備連接網(wǎng)絡(luò) C 和 D 的接口是二層接口， 對(duì) C 和 D 之間的報(bào)文要進(jìn)行 VLAN 橋接和二層轉(zhuǎn)發(fā)。

三、包過濾防火墻

包過濾防火墻的基本原理是：

通過配置 ACL 實(shí)施數(shù)據(jù)包的過濾。實(shí)施過濾主要是基于數(shù)據(jù)包中的 IP 層所承載的上層協(xié)議的協(xié)議號(hào)、源/目的 IP 地址、源/目的端口號(hào)和報(bào)文傳遞的方向等信息。透明防火墻模式下，還可以根據(jù)報(bào)文的源/目的 MAC 地址、以太類型等進(jìn)行過濾。

包過濾應(yīng)用在防火墻中，對(duì)需要轉(zhuǎn)發(fā)的數(shù)據(jù)包，先獲取數(shù)據(jù)包的包頭信息，然后和設(shè)定的 ACL 規(guī)則進(jìn)行比較，根據(jù)比較的結(jié)果決定對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或者丟棄。

設(shè)備對(duì)包過濾防火墻的支持

? 普通 IP 報(bào)文過濾：防火墻基于訪問控制列表 ACL 對(duì)報(bào)文進(jìn)行檢查和過濾。防火墻檢查報(bào)文的源/目的 IP 地址、源/目的端口號(hào)、協(xié)議類型號(hào)，根據(jù)訪問控制列表允許符合條件的報(bào)文通過，拒絕不符合匹配條件的報(bào)文。防火墻所檢查的信息來源于 IP、 TCP 或 UDP 包頭。

? 二層報(bào)文過濾：透明防火墻可以基于訪問控制列表 ACL 對(duì)二層報(bào)文進(jìn)行檢查和過濾。防火墻檢查報(bào)文的源/目的 MAC、以太類型字段，根據(jù)訪問控制列表允許符合條件的報(bào)文通過，拒絕不符合匹配條件的報(bào)文。防火墻所檢查的信息來源于 MAC 頭。

? 分片報(bào)文過濾：包過濾提供了對(duì)分片報(bào)文進(jìn)行檢測(cè)過濾的支持。包過濾防火墻將識(shí)別報(bào)文類型，如：非分片報(bào)文、首片分片報(bào)文、后續(xù)分片報(bào)文， 對(duì)所有類型的報(bào)文都做過濾。對(duì)于首片分片報(bào)文，設(shè)備根據(jù)報(bào)文的三層信息及四層信息，與 ACL 規(guī)則進(jìn)行匹配，如果允許通過，則記錄首片分片報(bào)文的狀態(tài)信息，建立后續(xù)分片的匹配信息表。當(dāng)后續(xù)分片報(bào)文到達(dá)時(shí)，防火墻不再進(jìn)行 ACL 規(guī)則的匹配，而是根據(jù)首片分片報(bào)文的 ACL 匹配結(jié)果進(jìn)行轉(zhuǎn)發(fā)。另外，對(duì)于不匹配 ACL 規(guī)則的報(bào)文，防火墻還可以配置缺省處理方式。

四、狀態(tài)防火墻

包過濾防火墻屬于靜態(tài)防火墻，目前存在的問題如下：

? 對(duì)于多通道的應(yīng)用層協(xié)議(如 FTP、 SIP 等)，部分安全策略配置無法預(yù)知。

? 無法檢測(cè)某些來自傳輸層和應(yīng)用層的攻擊行為(如 TCP SYN、 Java Applets 等)。

? 無法識(shí)別來自網(wǎng)絡(luò)中偽造的 ICMP 差錯(cuò)報(bào)文，從而無法避免 ICMP 的惡意攻擊。

? 對(duì)于 TCP 連接均要求其首報(bào)文為 SYN 報(bào)文，非 SYN 報(bào)文的 TCP 首包將被丟棄。在這種處理方式下，當(dāng)設(shè)備首次加入網(wǎng)絡(luò)時(shí)，網(wǎng)絡(luò)中原有 TCP 連接的非首包在經(jīng)過新加入的防火墻設(shè)備時(shí)均被丟棄，這會(huì)對(duì)中斷已有的連接。

因此，提出了狀態(tài)防火墻——ASPF(Application Specific Packet Filter)的概念。ASPF 能夠?qū)崿F(xiàn)的檢測(cè)有：

? 應(yīng)用層協(xié)議檢測(cè)，包括 FTP、 HTTP、 SMTP、 RTSP、 H.323(Q.931、 H.245、 RTP/RTCP)檢測(cè);

? 傳輸層協(xié)議檢測(cè)，包括 TCP 和 UDP 檢測(cè)，即通用 TCP/UDP 檢測(cè)。

ASPF 的功能

ASPF 的主要功能如下：

? 能夠檢查應(yīng)用層協(xié)議信息，如報(bào)文的協(xié)議類型和端口號(hào)等信息，并且監(jiān)控基于連接的應(yīng)用層協(xié)議狀態(tài)。對(duì)于所有連接，每一個(gè)連接狀態(tài)信息都將被 ASPF 維護(hù)，并用于動(dòng)態(tài)地決定數(shù)據(jù)包是否被允許通過防火墻進(jìn)入內(nèi)部網(wǎng)絡(luò)，以阻止惡意的入侵。

? 能夠檢測(cè)傳輸層協(xié)議信息(即通用 TCP/UDP 檢測(cè))，能夠根據(jù)源、目的地址及端口號(hào)決定 TCP 或 UDP 報(bào)文是否可以通過防火墻進(jìn)入內(nèi)部網(wǎng)絡(luò)。

ASPF 的其它功能有：

? ASPF 不僅能夠根據(jù)連接的狀態(tài)對(duì)報(bào)文進(jìn)行過濾，還能夠?qū)?yīng)用層報(bào)文的內(nèi)容加以檢測(cè)，提供對(duì)不可信站點(diǎn)的 Java Blocking 功能，用于保護(hù)網(wǎng)絡(luò)不受有害的 Java Applets 的破壞。

? 支持 TCP 連接首包檢測(cè)。對(duì) TCP 連接的首報(bào)文進(jìn)行檢測(cè)，查看是否為 SYN 報(bào)文，如果不是 SYN 報(bào)文則根據(jù)當(dāng)前配置決定是否丟棄該報(bào)文。

? 支持 ICMP 差錯(cuò)報(bào)文檢測(cè)。正常 ICMP 差錯(cuò)報(bào)文中均攜帶有本報(bào)文對(duì)應(yīng)連接的相關(guān)信息，根據(jù)這些信息可以匹配到相應(yīng)的連接。如果匹配失敗，則根據(jù)當(dāng)前配置決定是否丟棄該 ICMP 報(bào)文。

在網(wǎng)絡(luò)邊界， ASPF 和包過濾防火墻協(xié)同工作，能夠?yàn)槠髽I(yè)內(nèi)部網(wǎng)絡(luò)提供更全面的、更符合實(shí)際需求的安全策略。

ASPF 基本概念

Java Blocking

Java Blocking 是對(duì)通過 HTTP 協(xié)議傳輸?shù)?Java Applets 程序進(jìn)行阻斷。當(dāng)配置了 Java Blocking 后，用戶為試圖在 Web 頁面中獲取包含 Java Applets 程序而發(fā)送的請(qǐng)求指令將會(huì)被阻斷。

單通道協(xié)議和多通道協(xié)議

單通道協(xié)議：從會(huì)話建立到刪除的全過程中，只有一個(gè)通道參與數(shù)據(jù)交互，如 SMTP、 HTTP。

多通道協(xié)議：包含一個(gè)控制通道和若干其它控制或數(shù)據(jù)通道，即控制信息的交互和數(shù)據(jù)的傳送是在不同的通道上完成的，如 FTP、 RTSP。

應(yīng)用層協(xié)議檢測(cè)基本原理

如圖所示，為了保護(hù)內(nèi)部網(wǎng)絡(luò)，一般情況下需要在路由器上配置訪問控制列表，以允許內(nèi)部網(wǎng)的主機(jī)訪問外部網(wǎng)絡(luò)，同時(shí)拒絕外部網(wǎng)絡(luò)的主機(jī)訪問內(nèi)部網(wǎng)絡(luò)。但訪問控制列表會(huì)將用戶發(fā)起連接后返回的報(bào)文過濾掉，導(dǎo)致連接無法正常建立。

當(dāng)在設(shè)備上配置了應(yīng)用層協(xié)議檢測(cè)后， ASPF 可以檢測(cè)每一個(gè)應(yīng)用層的會(huì)話，并創(chuàng)建一個(gè)狀態(tài)表項(xiàng)和一個(gè)臨時(shí)訪問控制列表(Temporary Access Control List， TACL)：

1. 狀態(tài)表項(xiàng)在 ASPF 檢測(cè)到第一個(gè)向外發(fā)送的報(bào)文時(shí)創(chuàng)建，用于維護(hù)一次會(huì)話中某一時(shí)刻會(huì)話所處的狀態(tài)，并檢測(cè)會(huì)話狀態(tài)的轉(zhuǎn)換是否正確。

2. 臨時(shí)訪問控制列表的表項(xiàng)在創(chuàng)建狀態(tài)表項(xiàng)的同時(shí)創(chuàng)建，會(huì)話結(jié)束后刪除，它相當(dāng)于一個(gè)擴(kuò)展 ACL 的 permit項(xiàng)。TACL 主要用于匹配一個(gè)會(huì)話中的所有返回的報(bào)文，可以為某一應(yīng)用返回的報(bào)文在防火墻的外部接口上建立一個(gè)臨時(shí)的返回通道。

下面以 FTP 檢測(cè)為例說明多通道應(yīng)用層協(xié)議檢測(cè)的過程。

如圖所示， FTP 連接的建立過程如下：假設(shè) FTP client 以 1333 端口向 FTP server 的 21 端口發(fā)起 FTP 控制通道的連接，通過協(xié)商決定由 FTP server 的 20 端口向 FTP Client 的 1600 端口發(fā)起數(shù)據(jù)通道的連接，數(shù)據(jù)傳輸超時(shí)或結(jié)束后連接刪除。

FTP 檢測(cè)在 FTP 連接建立到拆除過程中的處理如下：

1. 檢查從出接口上向外發(fā)送的 IP 報(bào)文，確認(rèn)為基于 TCP 的 FTP 報(bào)文。

2. 檢查端口號(hào)確認(rèn)連接為控制連接，建立返回報(bào)文的 TACL 和狀態(tài)表項(xiàng)。

3. 檢查 FTP 控制連接報(bào)文，解析 FTP 指令，根據(jù)指令更新狀態(tài)表項(xiàng)。如果包含數(shù)據(jù)通道建立指令，則創(chuàng)建數(shù)據(jù)連接的 TACL;對(duì)于數(shù)據(jù)連接，不進(jìn)行狀態(tài)檢測(cè)。

4. 對(duì)于返回報(bào)文，根據(jù)協(xié)議類型做相應(yīng)匹配檢查，檢查將根據(jù)相應(yīng)協(xié)議的狀態(tài)表項(xiàng)和 TACL 決定報(bào)文是否允許通過。

5. FTP 連接刪除時(shí)，狀態(tài)表及 TACL 隨之刪除。

單通道應(yīng)用層協(xié)議(如 SMTP、 HTTP)的檢測(cè)過程比較簡單，當(dāng)發(fā)起連接時(shí)建立 TACL，連接刪除時(shí)隨之刪除TACL 即可。

傳輸層協(xié)議檢測(cè)基本原理

這里的傳輸層協(xié)議檢測(cè)是指通用 TCP/UDP 檢測(cè)。通用 TCP/UDP 檢測(cè)與應(yīng)用層協(xié)議檢測(cè)不同，是對(duì)報(bào)文的傳輸層信息進(jìn)行的檢測(cè)，如源、目的地址及端口號(hào)等。通用 TCP/UDP 檢測(cè)要求返回到 ASPF 外部接口的報(bào)文要與前面從 ASPF 外部接口發(fā)出去的報(bào)文完全匹配，即源、目的地址及端口號(hào)恰好對(duì)應(yīng)，否則返回的報(bào)文將被阻塞。因此對(duì)于 FTP、 H.323 這樣的多通道應(yīng)用層協(xié)議，在不配置應(yīng)用層檢測(cè)而直接配置 TCP 檢測(cè)的情況下會(huì)導(dǎo)致數(shù)據(jù)連接無法建立。

五、黑名單

黑名單，指根據(jù)報(bào)文的源 v__ 和源 IP 地址進(jìn)行過濾的一種方式。同 ACL 相比，由于進(jìn)行匹配的域非常簡單，可以以很高的速度實(shí)現(xiàn)報(bào)文的過濾，從而有效地將特定 IP 地址發(fā)送來的報(bào)文屏蔽，同時(shí)支持用戶靜態(tài)配置黑名單和防火墻動(dòng)態(tài)生成黑名單。

設(shè)備對(duì)黑名單的支持

除了用戶可以靜態(tài)配置黑名單外，當(dāng)設(shè)備發(fā)現(xiàn)特定 IP 地址在進(jìn)行 IP 掃描攻擊或端口掃描攻擊時(shí)，會(huì)將發(fā)起攻擊的 IP 主動(dòng)插入到黑名單中。如果黑名單已使能的話，在此后的一定時(shí)間內(nèi)，來自這個(gè) IP 地址的任何報(bào)文，都可以被黑名單過濾掉。

用戶可以配置靜態(tài)和動(dòng)態(tài)黑名單的老化時(shí)間。

無論命中了黑名單的數(shù)據(jù)包是否為 ACL 規(guī)則允許的訪問，防火墻對(duì)此類數(shù)據(jù)包予以丟棄。

用戶可以將黑名單配置信息導(dǎo)出到文件中，也可以通過文件導(dǎo)入黑名單配置。

六、白名單

在防火墻上加入白名單的主機(jī)不會(huì)再被加入動(dòng)態(tài)和靜態(tài)黑名單，使用源 v__ 和 IP 地址來表示一個(gè)白名單項(xiàng)。白名單主要用在網(wǎng)絡(luò)上的特定設(shè)備發(fā)出的合法業(yè)務(wù)報(bào)文具備 IP 掃描攻擊和端口掃描攻擊特性的場(chǎng)合，防止該特定設(shè)備被防火墻加入黑名單。

白名單只有靜態(tài)的。

白名單的特點(diǎn)

如果用戶將某個(gè)主機(jī)的 v__ 和 IP 地址加入防火墻白名單，防火墻就不會(huì)對(duì)該主機(jī)發(fā)出的報(bào)文進(jìn)行 IP 掃描攻擊和端口掃描攻擊檢查，也不會(huì)將其 IP 地址生成動(dòng)態(tài)黑名單，也不允許用戶將白名單主機(jī)添加到靜態(tài)黑名單中。

設(shè)備對(duì)白名單的支持

當(dāng)設(shè)備收到一個(gè)報(bào)文后，就會(huì)檢查是否是來自于白名單項(xiàng)的報(bào)文。如果是，設(shè)備對(duì)該報(bào)文就不會(huì)進(jìn)行 IP 掃描攻擊和端口掃描攻擊檢查，也不會(huì)將源 IP 生成動(dòng)態(tài)黑名單，但是其他安全過濾功能，比如 ACL 包過濾、 ASPF、流量統(tǒng)計(jì)和監(jiān)控等，還是要進(jìn)行，以達(dá)到防火墻的最大安全過濾效果。

用戶可以配置白名單的老化時(shí)間。

用戶可以將白名單配置信息導(dǎo)出到文件中，也可以通過文件導(dǎo)入白名單配置。

端口映射

應(yīng)用層協(xié)議通常使用知名端口號(hào)進(jìn)行通信。端口映射允許用戶對(duì)不同的應(yīng)用層協(xié)議定義一組新的端口號(hào)，還可以指定使用非知名端口的主機(jī)范圍。

端口映射只有和 ASPF、 NAT 等針對(duì)業(yè)務(wù)敏感的特性聯(lián)合使用的時(shí)候才具有實(shí)際意義。例如在一個(gè)企業(yè)私網(wǎng)中，內(nèi)部 FTP 服務(wù)器 10.10.10.10 通過 2121 端口提供 FTP 服務(wù)。用戶通過 NAT 服務(wù)器訪問 FTP 服務(wù)器時(shí)，只能使用2121 做為端口號(hào)。

由于默認(rèn)情況下 FTP 報(bào)文的端口號(hào)是 21，這時(shí) FTP 服務(wù)器無法將 21 端口的報(bào)文識(shí)別為 FTP應(yīng)用。在這樣的場(chǎng)合則需要使用端口映射功能把 2121 端口映射成 FTP 協(xié)議，則 NAT 服務(wù)器就把 2121 端口的報(bào)文識(shí)別為 FTP 協(xié)議報(bào)文轉(zhuǎn)發(fā)給 FTP 服務(wù)器，實(shí)現(xiàn)用戶對(duì) FTP 服務(wù)器的訪問。

設(shè)備對(duì)端口映射的支持

設(shè)備對(duì)端口映射的支持都是通過 ACL 來實(shí)現(xiàn)的，只有匹配某條 ACL 的報(bào)文，才會(huì)實(shí)施端口映射。端口映射使用基本 ACL(編號(hào) 2000～2999)。端口映射在使用 ACL 過濾報(bào)文時(shí)，使用報(bào)文的目的 IP 地址去匹配基本 ACL 規(guī)則中配置的 IP 地址。

如圖所示，外部 PC 通過 Router 訪問內(nèi)部 WWW 服務(wù)器(端口號(hào)為 8080)，在外部 PC 的報(bào)文通過 Router 時(shí)，命中 ACL 的報(bào)文會(huì)進(jìn)行端口映射，只有目的地址是 129.38.2.4 的報(bào)文才可以通過 Router 進(jìn)行端口映射訪問 WWW服務(wù)器。

八、攻擊防范

網(wǎng)絡(luò)攻擊的種類

網(wǎng)絡(luò)攻擊一般分為拒絕服務(wù)型攻擊、掃描窺探攻擊和畸形報(bào)文攻擊三大類：

1、拒絕服務(wù)型攻擊

拒絕服務(wù)型 DoS(Denial of Service)攻擊是使用大量的數(shù)據(jù)包攻擊系統(tǒng)，使系統(tǒng)無法接受正常用戶的求，或者主機(jī)掛起不能正常的工作。主要 DoS 攻擊有 SYN Flood、 Fraggle 等。

拒絕服務(wù)攻擊和其他類型的攻擊不同之處在于：攻擊者并不是去尋找進(jìn)入內(nèi)部網(wǎng)絡(luò)的入口，而是阻止合法用戶訪問資源或防火墻。

2、掃描窺探攻擊

掃描窺探攻擊是利用 ping 掃描(包括 ICMP 和 TCP)來標(biāo)識(shí)網(wǎng)絡(luò)上存活著的系統(tǒng)，從而準(zhǔn)確地指出潛在的目標(biāo)。利用 TCP 和 UDP 等進(jìn)行端口掃描，就能檢測(cè)出操作系統(tǒng)的種類和潛在的服務(wù)種類。

攻擊者通過掃描窺探就能大致了解目標(biāo)系統(tǒng)提供的服務(wù)種類，為進(jìn)一步侵入系統(tǒng)做好準(zhǔn)備。

3、畸形報(bào)文攻擊

畸形報(bào)文攻擊是通過向目標(biāo)系統(tǒng)發(fā)送有缺陷的 IP 報(bào)文，使得目標(biāo)系統(tǒng)在處理這樣的 IP 包時(shí)會(huì)出現(xiàn)崩潰，給目標(biāo)系統(tǒng)帶來損失。主要的畸形報(bào)文攻擊有 Ping of Death、 Teardrop 等。

設(shè)備對(duì)攻擊防范的支持：

Land 攻擊

Land 攻擊，就是把 TCP 的 SYN 包的源地址和目的地址都設(shè)置為目標(biāo)計(jì)算機(jī)的 IP 地址。這將導(dǎo)致目標(biāo)計(jì)算機(jī)向它自己發(fā)送 SYN-ACK 報(bào)文，目標(biāo)計(jì)算機(jī)又向自己發(fā)回 ACK 報(bào)文并創(chuàng)建一個(gè)空連接，每一個(gè)這樣的連接都將保留直到超時(shí)。

各種類型的主機(jī)對(duì) Land 攻擊反應(yīng)不同，許多 UNI__ 主機(jī)將崩潰， Windows NT 主機(jī)會(huì)變得極其緩慢。

Smurf 攻擊

簡單的 Smurf 攻擊，用來攻擊一個(gè)網(wǎng)絡(luò)。攻擊者向目標(biāo)網(wǎng)絡(luò)發(fā)送 ICMP 應(yīng)答請(qǐng)求報(bào)文，該報(bào)文的目標(biāo)地址設(shè)置為目標(biāo)網(wǎng)絡(luò)的廣播地址，這樣，目標(biāo)網(wǎng)絡(luò)的所有主機(jī)都對(duì)此 ICMP 應(yīng)答請(qǐng)求作出答復(fù)，導(dǎo)致網(wǎng)絡(luò)阻塞。如圖所示。

高級(jí)的 Smurf 攻擊，主要用來攻擊目標(biāo)主機(jī)。攻擊者向目標(biāo)主機(jī)所在的網(wǎng)絡(luò)發(fā)送 ICMP 應(yīng)答請(qǐng)求報(bào)文，該報(bào)文的源地址設(shè)置為目標(biāo)主機(jī)的地址，這樣，所有的應(yīng)答報(bào)文都將發(fā)送給目標(biāo)主機(jī)。最終導(dǎo)致目標(biāo)主機(jī)處理速度緩慢，甚至崩潰。

Smurf 攻擊報(bào)文的發(fā)送需要一定的流量和持續(xù)時(shí)間，才能真正構(gòu)成攻擊。理論上講，目標(biāo)網(wǎng)絡(luò)的主機(jī)越多，攻擊的效果越明顯。

WinNuke 攻擊

NetBIOS 作為一種基本的網(wǎng)絡(luò)資源訪問接口，廣泛的應(yīng)用于文件共享，打印共享，進(jìn)程間通信(IPC)，以及不同操作系統(tǒng)之間的數(shù)據(jù)交換。一般情況下， NetBIOS 是運(yùn)行在 LLC2 鏈路協(xié)議之上的，是一種基于組播的網(wǎng)絡(luò)訪問接口。

為了在 TCP/IP 協(xié)議棧上實(shí)現(xiàn) NetBIOS， RFC 規(guī)定了一系列交互標(biāo)準(zhǔn)，以及幾個(gè)常用的 TCP/UDP 端口，如下。

? 139：NetBIOS 會(huì)話服務(wù)的 TCP 端口。

? 137：NetBIOS 名字服務(wù)的 UDP 端口。

? 136：NetBIOS 數(shù)據(jù)報(bào)服務(wù)的 UDP 端口。

Windows 操作系統(tǒng)實(shí)現(xiàn)了 NetBIOS over TCP/IP 功能，并開放了 139 端口。

WinNuke 攻擊就是利用了 Windows 操作系統(tǒng)的一個(gè)漏洞，向這個(gè) 139 端口發(fā)送一些攜帶 TCP 帶外(OOB)數(shù)據(jù)報(bào)文，但這些攻擊報(bào)文與正常攜帶 OOB 數(shù)據(jù)報(bào)文不同的是，其指針字段與數(shù)據(jù)的實(shí)際位置不符，即存在重疊，Windows 操作系統(tǒng)在處理這些數(shù)據(jù)的時(shí)候，就會(huì)崩潰。

SYN Flood 攻擊

SYN Flood 攻擊利用 TCP 三次握手的一個(gè)漏洞向目標(biāo)計(jì)算機(jī)發(fā)動(dòng)攻擊。攻擊者向目標(biāo)計(jì)算機(jī)發(fā)送 TCP 連接請(qǐng)求(SYN 報(bào)文)，然后對(duì)于目標(biāo)返回的 SYN-ACK 報(bào)文不作回應(yīng)。目標(biāo)計(jì)算機(jī)如果沒有收到攻擊者的 ACK 回應(yīng)，就會(huì)一直等待，形成半連接，直到連接超時(shí)才釋放。

攻擊者利用這種方式發(fā)送大量 TCP SYN 報(bào)文，讓目標(biāo)計(jì)算機(jī)上生成大量的半連接，迫使其大量資源浪費(fèi)在這些半連接上。目標(biāo)計(jì)算機(jī)一旦資源耗盡，就會(huì)出現(xiàn)速度極慢、正常的用戶不能接入等情況。

攻擊者還可以偽造 SYN 報(bào)文，其源地址是偽造的或者不存在的地址，向目標(biāo)計(jì)算機(jī)發(fā)起攻擊。

ICMP Flood 攻擊

通常情況下，網(wǎng)絡(luò)管理員會(huì)用 PING 程序?qū)W(wǎng)絡(luò)進(jìn)行監(jiān)控和故障排除，大概過程如下：

1. 源計(jì)算機(jī)向接收計(jì)算機(jī)發(fā)出 ICMP 響應(yīng)請(qǐng)求報(bào)文(ICMP ECHO)。

2. 接收計(jì)算機(jī)接收到 ICMP 響應(yīng)請(qǐng)求報(bào)文后，會(huì)向源計(jì)算機(jī)回應(yīng)一個(gè) ICMP 應(yīng)答報(bào)文(ECHO Reply)。

這個(gè)過程是需要 CPU 處理的，在有些情況下還可能消耗掉大量的資源。

如果攻擊者向目標(biāo)計(jì)算機(jī)發(fā)送大量的 ICMP ECHO 報(bào)文(產(chǎn)生 ICMP 洪水)，則目標(biāo)計(jì)算機(jī)會(huì)忙于處理這些 ECHO報(bào)文，而無法繼續(xù)處理其它的數(shù)據(jù)報(bào)文。

UDP Flood 攻擊

UDP Flood 攻擊的原理與 ICMP Flood 攻擊類似，攻擊者通過發(fā)送大量的 UDP 報(bào)文給目標(biāo)計(jì)算機(jī)，導(dǎo)致目標(biāo)計(jì)算機(jī)忙于處理這些 UDP 報(bào)文而無法繼續(xù)處理正常的報(bào)文。

地址掃描與端口掃描攻擊攻擊者運(yùn)用掃描工具探測(cè)目標(biāo)地址和端口，目標(biāo)地址會(huì)對(duì)這些探測(cè)作出響應(yīng)，攻擊者根據(jù)這些響應(yīng)用來確定哪些目標(biāo)系統(tǒng)是存活著并且連接在網(wǎng)絡(luò)上、目標(biāo)主機(jī)開放或者關(guān)閉了哪些端口。

Ping of Death 攻擊

所謂 Ping of Death，就是利用一些尺寸超大的 ICMP 報(bào)文對(duì)系統(tǒng)進(jìn)行的一種攻擊。

IP 報(bào)文的長度字段為 16 位，這表明一個(gè) IP 報(bào)文的最大長度為 65535。對(duì)于 ICMP 回應(yīng)請(qǐng)求報(bào)文，如果數(shù)據(jù)長度大于 65507，就會(huì)使 ICMP 數(shù)據(jù)+IP 頭長度(20)+ICMP 頭長度(8) > 65535。對(duì)于有些防火墻或系統(tǒng)，在接收到一個(gè)這樣的報(bào)文后，由于處理不當(dāng)，會(huì)造成系統(tǒng)崩潰、死機(jī)或重啟。

Large-ICMP 攻擊

同 ping of death 類似， Large-ICMP 也是利用一些大尺寸的 ICMP 報(bào)文對(duì)系統(tǒng)進(jìn)行的一種攻擊，與 ping of death 不同的是， Large-ICMP 報(bào)文的長度不會(huì)超過 IP 報(bào)文的最大長度 65535，但是對(duì)一些操作系統(tǒng)也會(huì)造成破環(huán)。

需要在防火墻上配置允許通過的 ICMP 報(bào)文的最大長度。

ICMP-Unreachable 攻擊

某些系統(tǒng)在收到網(wǎng)絡(luò)(報(bào)文類型字段為 3，代碼字段為 0)或主機(jī)(報(bào)文類型字段為 3，代碼字段為 1)不可達(dá)的ICMP 報(bào)文后，對(duì)于后續(xù)發(fā)往此目的地的報(bào)文直接認(rèn)為不可達(dá)。

攻擊者利用這種機(jī)制，向目標(biāo)主機(jī)發(fā)送虛假的 ICMP-Unreachable 報(bào)文，干擾了目標(biāo)主機(jī)的路由信息，影響了報(bào)文發(fā)送。

ICMP-Redirect 攻擊

ICMP-Redirect 攻擊和 ICMP-Unreachable 攻擊類似。

網(wǎng)絡(luò)設(shè)備可以向同一個(gè)子網(wǎng)的主機(jī)發(fā)送 ICMP 重定向報(bào)文，請(qǐng)求主機(jī)修改路由。

攻擊者利用這個(gè)原理，跨越網(wǎng)段向另外一個(gè)網(wǎng)絡(luò)的目標(biāo)主機(jī)發(fā)送虛假的重定向報(bào)文，以改變目標(biāo)主機(jī)的路由表。

這種攻擊干擾了目標(biāo)主機(jī)的路由信息，影響了報(bào)文發(fā)送。

IP-fragment 攻擊

IP 報(bào)文中有幾個(gè)字段與分片有關(guān)：DF(Don’ t Fragmentate)位、 MF 位、 Fragment Offset、 Length。

如果上述字段的值出現(xiàn)矛盾，而設(shè)備處理不當(dāng)，會(huì)對(duì)設(shè)備造成一定的影響，甚至癱瘓。矛盾的情況有：

? DF 位被置位，而 MF 位同時(shí)被置位或 Fragment Offset 不為 0。

? DF 位為 0，而 Fragment Offset + Length > 65535。

另外，由于分片報(bào)文可以增加目的設(shè)備緩沖和重組的負(fù)擔(dān)，應(yīng)直接丟棄目的地址為設(shè)備本身的分片報(bào)文。

Teardrop 攻擊

在網(wǎng)絡(luò)傳輸?shù)倪^程中，如果 IP 報(bào)文的長度超過鏈路層的 MTU(最大傳輸單元)，就會(huì)進(jìn)行分片。在 IP 報(bào)頭中有一個(gè)偏移字段(OFFSET)和一個(gè)分片標(biāo)志(MF)，如果 MF 標(biāo)志設(shè)置為 1，則表明這個(gè) IP 報(bào)文是一個(gè)大 IP包的分片，其中偏移字段指出了這個(gè)片斷在整個(gè) IP 包中的位置。接收端可以根據(jù)報(bào)文頭中的這些信息還原該 IP包。

比如，一個(gè)較大的報(bào)文在 MTU 較小的鏈路上傳輸?shù)臅r(shí)候，被分成了兩個(gè) IP 報(bào)文，這兩個(gè) IP 報(bào)文將在目的端進(jìn)行組裝，還原為原始的 IP 報(bào)文。

如果一個(gè)攻擊者打破這種正常情況，把偏移字段設(shè)置成不正確的值，即可能出現(xiàn)重合或斷開的情況。某些 TCP/IP協(xié)議棧在收到類似這種含有重疊偏移的偽造分段時(shí)會(huì)崩潰，這就是所謂的 Teardrop 攻擊。

Fraggle 攻擊

Fraggle 攻擊的原理與 Smurf 攻擊的原理類似，不過， Fraggle 攻擊發(fā)送的是 UDP 報(bào)文而非 ICMP 報(bào)文。因?yàn)榘l(fā)送的是 UDP 報(bào)文， Fraggle 攻擊可以穿過一些阻止 ICMP 報(bào)文進(jìn)入的防火墻。

Fraggle 攻擊利用的原理是：UDP 端口 7(ECHO)和端口 19(Chargen)在收到 UDP 報(bào)文后，都會(huì)產(chǎn)生回應(yīng)。如下：

? UDP 的 7 號(hào)端口收到報(bào)文后，會(huì)象 ICMP Echo Reply 一樣回應(yīng)收到的內(nèi)容。

? UDP 的 19 號(hào)端口在收到報(bào)文后，會(huì)產(chǎn)生一串字符流。

這兩個(gè) UDP 端口都會(huì)產(chǎn)生大量應(yīng)答報(bào)文，擠占網(wǎng)絡(luò)帶寬。

攻擊者可以向目標(biāo)主機(jī)所在的網(wǎng)絡(luò)發(fā)送源地址為被攻擊主機(jī)、而目的地址為其所在子網(wǎng)的廣播地址或子網(wǎng)網(wǎng)絡(luò)地址的 UDP 報(bào)文，目的端口號(hào)為 7(ECHO)或 19(Chargen)。子網(wǎng)中啟用了此功能的每個(gè)系統(tǒng)都會(huì)向受害主機(jī)發(fā)送回應(yīng)報(bào)文，從而產(chǎn)生大量的流量，導(dǎo)致受害網(wǎng)絡(luò)的阻塞或受害主機(jī)崩潰。

如果目標(biāo)主機(jī)所在網(wǎng)絡(luò)上的主機(jī)沒有啟動(dòng)這些功能，這些主機(jī)將產(chǎn)生一個(gè) ICMP 不可達(dá)消息，仍然消耗帶寬。也可將源端口改為端口 19(Chargen) ，目的端口為 7(ECHO)，這樣會(huì)自動(dòng)不停地產(chǎn)生回應(yīng)報(bào)文，其危害性更大。

Tracert 攻擊

Tracert 是利用 TTL(Time To Live)為 0 時(shí)返回的 ICMP 超時(shí)報(bào)文，和達(dá)到目的地時(shí)返回的 ICMP 端口不可達(dá)報(bào)文來發(fā)現(xiàn)報(bào)文到達(dá)目的地所經(jīng)過的路徑。

攻擊者可以利用 Tracert 窺探網(wǎng)絡(luò)的結(jié)構(gòu)。對(duì)網(wǎng)絡(luò)造成潛在的危險(xiǎn)。

畸形 TCP 報(bào)文攻擊

畸形 TCP 報(bào)文是通過故意錯(cuò)誤設(shè)置 TCP 頭中的 6 個(gè)標(biāo)記位，造成接收方 TCP 協(xié)議棧的處理錯(cuò)誤，達(dá)到攻擊的目的。

九、流量統(tǒng)計(jì)及監(jiān)控

防火墻不僅要對(duì)數(shù)據(jù)流量進(jìn)行監(jiān)控，還要對(duì)內(nèi)外部網(wǎng)絡(luò)之間的連接發(fā)起情況進(jìn)行檢測(cè)，進(jìn)行大量的統(tǒng)計(jì)計(jì)算與分析。防火墻的統(tǒng)計(jì)分析一方面可以通過專門的分析軟件對(duì)日志信息進(jìn)行事后分析，另一方面，防火墻系統(tǒng)本身可以完成一部分分析功能，具有一定的實(shí)時(shí)性。

比如，通過分析外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)發(fā)起的 TCP/UDP 連接數(shù)是否超過設(shè)定閾值，可以確定是否需要限制該方向發(fā)起新連接，或者限制向內(nèi)部網(wǎng)絡(luò)某一 IP 地址發(fā)起新連接。

圖是防火墻的一個(gè)典型應(yīng)用示例，當(dāng)啟動(dòng)了外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的基于 IP 地址的統(tǒng)計(jì)分析功能時(shí)，如果外部網(wǎng)絡(luò)對(duì) Web 服務(wù)器 129.1.9.1 發(fā)起的 TCP 連接數(shù)超過了設(shè)定的閾值，將限制外部網(wǎng)絡(luò)向該服務(wù)器發(fā)起新連接，直到連接數(shù)降到正常范圍。

設(shè)備支持的流量統(tǒng)計(jì)及監(jiān)控方法如下：

系統(tǒng)級(jí)的流量統(tǒng)計(jì)和監(jiān)控

系統(tǒng)級(jí)的流量統(tǒng)計(jì)和監(jiān)控，對(duì)系統(tǒng)中所有啟用了防火墻功能的安全域間的數(shù)據(jù)流生效，即設(shè)備統(tǒng)計(jì)所有安全域間的 ICMP、 TCP、 UDP 等連接數(shù)。當(dāng)連接數(shù)超過配置閾值時(shí)，設(shè)備采取限制連接措施，直至連接數(shù)降至閾值以下。

基于安全區(qū)域的流量統(tǒng)計(jì)和監(jiān)控

基于安全區(qū)域的流量統(tǒng)計(jì)和監(jiān)控，對(duì)本安全區(qū)域和其他安全區(qū)域之間的數(shù)據(jù)流生效，即設(shè)備會(huì)統(tǒng)計(jì)本安全區(qū)域和其他所有安全域間建立的 TCP、 UDP 等連接總數(shù)。當(dāng)本安全區(qū)域和其他所有安全域間建立的連接總數(shù)或者某個(gè)方向的連接總數(shù)超過配置的閾值時(shí)，設(shè)備采取限制連接數(shù)措施，直至連接數(shù)降至閾值以下。

基于 IP 地址的流量統(tǒng)計(jì)和監(jiān)控

基于 IP 地址的流量統(tǒng)計(jì)和監(jiān)控，用于統(tǒng)計(jì)和監(jiān)控安全區(qū)域中單個(gè) IP 地址所建立的 TCP/UDP 連接。設(shè)備通過分析源 IP 地址發(fā)起或目的地址接收的 TCP 或 UDP 連接總數(shù)是否超過設(shè)定的閾值，可以確定是否需要限制該方向的新的連接的發(fā)起，以防止系統(tǒng)受到惡意的攻擊或因系統(tǒng)太忙而發(fā)生拒絕服務(wù)的情況。

當(dāng) TCP/UDP 連接數(shù)降至閾值以下后，源 IP 地址或目的地址可以重新發(fā)起或者接受 TCP 或 UDP 連接。

十、防火墻日志

防火墻可以實(shí)時(shí)記錄防火墻的動(dòng)作和狀態(tài)(例如實(shí)施了某種防火墻措施、檢測(cè)到某種網(wǎng)絡(luò)攻擊等)，并將信息記錄到日志中。

對(duì)日志內(nèi)容的分析和歸檔，能夠使管理員檢查防火墻的安全漏洞、何時(shí)何人試圖違背安全策略、網(wǎng)絡(luò)攻擊的類型，實(shí)時(shí)的日志記錄還可以用來檢測(cè)正在進(jìn)行的入侵。

當(dāng)需要對(duì)防火墻的動(dòng)作和狀態(tài)進(jìn)行記錄，以便檢查防火墻的安全漏洞、檢測(cè)網(wǎng)絡(luò)攻擊和入侵等，可以配置防火墻日志功能。

設(shè)備對(duì)防火墻日志的支持

黑名單日志

設(shè)備在發(fā)現(xiàn)有地址掃瞄、端口掃瞄等攻擊的時(shí)候，在黑名單使能的情況下會(huì)動(dòng)態(tài)生成黑名單日志。

手動(dòng)加入的黑名單同樣也會(huì)生成黑名單日志。

動(dòng)態(tài)生成的黑名單、手動(dòng)加入的靜態(tài)黑名單到老化時(shí)間之后，會(huì)生成解除黑名單日志。

攻擊日志

設(shè)備發(fā)現(xiàn)各種攻擊類型后，會(huì)生成攻擊日志，記錄攻擊類型和參數(shù)。

流量監(jiān)控日志

當(dāng)系統(tǒng)全局、區(qū)域出入的會(huì)話數(shù)超過所配置的連接數(shù)閾值上限時(shí)，設(shè)備會(huì)生成流量監(jiān)控日志，當(dāng)會(huì)話數(shù)低于所配置的連接數(shù)閾值下限時(shí)，設(shè)備會(huì)生成流量恢復(fù)日志。

流日志

設(shè)備的流日志是在會(huì)話表老化的情況下，封裝流日志信息，發(fā)送到日志服務(wù)器。

十一、虛擬防火墻

近年來小型私有網(wǎng)絡(luò)不斷增加，這些網(wǎng)絡(luò)一般對(duì)應(yīng)小型企業(yè)。此類用戶有如下特點(diǎn)：

? 有較強(qiáng)的安全防范需求。

? 經(jīng)濟(jì)上無法負(fù)擔(dān)一臺(tái)專有安全設(shè)備。

設(shè)備支持從邏輯上劃分為多臺(tái)虛擬防火墻，分別為多個(gè)小型私有網(wǎng)絡(luò)提供獨(dú)立的安全保障。

每臺(tái)虛擬防火墻都是 v__(Virtual Private Network)實(shí)例(v__-Instance)、安全實(shí)例的綜合體。它能夠?yàn)樘摂M防火墻用戶提供私有的路由轉(zhuǎn)發(fā)平面、安全服務(wù)

v__ 實(shí)例

v__ 實(shí)例為虛擬防火墻用戶提供相互隔離的 v__ 路由，與虛擬防火墻一一對(duì)應(yīng)。這些 v__ 路由將為各虛擬防火墻接收的報(bào)文提供路由支持。

安全實(shí)例

安全實(shí)例為虛擬防火墻用戶提供相互隔離的安全服務(wù)，與虛擬防火墻一一對(duì)應(yīng)。這些安全實(shí)例具備私有的接口、安全區(qū)域、安全域間、 ACL 和 NAT 規(guī)則，并能為虛擬防火墻用戶提供黑名單、包過濾、流量統(tǒng)計(jì)和監(jiān)控、攻擊防范、 ASPF 和 NAT 等私有的安全服務(wù)。

十二、防火墻主備

防火墻設(shè)備是所有信息流都必須通過的單一點(diǎn)，一旦出現(xiàn)故障所有信息流都會(huì)中斷。保障信息流不中斷至關(guān)重要，這就需要解決防火墻設(shè)備單點(diǎn)故障問題。

為了解決這一問題，可以由兩臺(tái)防火墻實(shí)現(xiàn)冗余路由備份，其中一臺(tái)為主用(Master)防火墻，另一臺(tái)為備用(Backup)防火墻。主用和備用防火墻各接口分別連接相應(yīng)的安全區(qū)域。防火墻主備狀態(tài)由 VRRP 協(xié)議協(xié)商確定，通過 HSB 協(xié)議實(shí)現(xiàn)防火墻會(huì)話表項(xiàng)的同步。

防火墻主備

防火墻是狀態(tài)防火墻，只檢查會(huì)話流的首包，并動(dòng)態(tài)生成會(huì)話表項(xiàng)。對(duì)于每一個(gè)動(dòng)態(tài)生成的會(huì)話連接，防火墻上都有一個(gè)會(huì)話表項(xiàng)與之對(duì)應(yīng)，會(huì)話表項(xiàng)中記錄了用戶會(huì)話的狀態(tài)信息，后續(xù)報(bào)文(包括返回報(bào)文)只有匹配會(huì)話表項(xiàng)才能通過防火墻。

如圖所示， Firewall A 作為 Master 設(shè)備并承擔(dān)所有數(shù)據(jù)傳輸任務(wù)，其上創(chuàng)建了很多動(dòng)態(tài)會(huì)話表項(xiàng);而 Firewall B則處于備份狀態(tài)，沒有任何流量經(jīng)過。

如果 Firewall A 出現(xiàn)故障或相關(guān)鏈路出現(xiàn)問題， Firewall B 將會(huì)切換狀態(tài)變成新的 Master，并開始承擔(dān)傳輸任務(wù)。

如果狀態(tài)切換前，會(huì)話表項(xiàng)沒有備份到 Firewall B，則先前經(jīng)過 Firewall A 的所有會(huì)話都會(huì)因?yàn)闊o法匹配 Firewall B 的會(huì)話表而無法通信，導(dǎo)致業(yè)務(wù)中斷。

為了實(shí)現(xiàn) Master 防火墻出現(xiàn)故障時(shí)能由 Backup 防火墻平滑地接替工作，在 Master 和 Backup 的防火墻之間實(shí)時(shí)備份會(huì)話表和狀態(tài)信息;當(dāng)前防火墻主備通過 HSB 機(jī)制實(shí)現(xiàn)在 Master 和 Backup 防火墻之間進(jìn)行會(huì)話表和狀態(tài)信息的備份和同步。

防火墻主備的狀態(tài)要求

防火墻的 VRRP 狀態(tài)需要保持一致，這樣表示防火墻上和各安全區(qū)域相連的若干接口狀態(tài)相同，即同時(shí)處于主用狀態(tài)或同時(shí)處于備用狀態(tài)。

?假設(shè) Firewall A 和 Firewall B 的 VRRP 狀態(tài)一致，即 Firewall A 的所有接口均為主用狀態(tài)， Firewall B 的所有接口均為備用狀態(tài)。此時(shí)， Trust 區(qū)域的 PC1 訪問 Untrust 區(qū)域的 PC2，報(bào)文的轉(zhuǎn)發(fā)路線為(1)-(2)-(3)-(4)。Firewall A 轉(zhuǎn)發(fā)訪問報(bào)文時(shí)，動(dòng)態(tài)生成會(huì)話表項(xiàng)。當(dāng) PC2 的返回報(bào)文經(jīng)過(5)-(6)-(7)-(8)到達(dá) Firewall A 時(shí)，則由于能夠匹配會(huì)話表項(xiàng)，從而順利返回，通信順暢。

? 假設(shè) Firewall A 和 Firewall B 的 VRRP 狀態(tài)不一致，例如， Firewall B 與 Trust 區(qū)域相連的接口為備用狀態(tài)，但與 Untrust 區(qū)域的接口為主用狀態(tài)，則 PC1 的報(bào)文通過 Firewall A 設(shè)備到達(dá) PC2 后，在 Firewall A 上動(dòng)態(tài)生成會(huì)話表項(xiàng)。PC2 的返回報(bào)文通過路線(5)-(9)返回。此時(shí)由于 Firewall B 上沒有相應(yīng)數(shù)據(jù)流的會(huì)話表項(xiàng)，在沒有其他報(bào)文過濾規(guī)則允許通過的情況下， Firewall B 將丟棄該報(bào)文，導(dǎo)致會(huì)話中斷。

另外，下行與交換機(jī)相連的鏈路可以通過交換機(jī)的 SmartLink 確保鏈路的可靠性，同時(shí)在兩臺(tái)防火墻設(shè)備間通過直連鏈路確保下行鏈路故障時(shí)能夠通過此鏈路將相應(yīng)流量轉(zhuǎn)發(fā)到對(duì)端防火墻。

了解防火墻

當(dāng)今市場(chǎng)上有兩類主導(dǎo)性的防火墻：應(yīng)有代理(application pro__y)和包過濾網(wǎng)關(guān)(packet filtering gateway)。盡管應(yīng)有代理被廣泛地認(rèn)定比包過濾網(wǎng)關(guān)安全，他們的限制特性和對(duì)性能的影響卻使得它們的應(yīng)有場(chǎng)合局限于從因特網(wǎng)上其它公司外的分組流動(dòng)，而不是從本公司的Web服務(wù)器外出的分組流動(dòng)。相反，包過濾網(wǎng)關(guān)或者更尖端的有狀態(tài)分組過濾網(wǎng)關(guān)則能在許多具有高性能要求的較大機(jī)構(gòu)中找到。

防火墻自誕生以來以保護(hù)無數(shù)的網(wǎng)絡(luò)或計(jì)算機(jī)多過了窺視的眼睛和邪惡的破壞者，然而他們還遠(yuǎn)遠(yuǎn)不是治理安全的萬靈丹。市場(chǎng)上每個(gè)防火墻產(chǎn)品幾乎每年都有安全脆弱點(diǎn)被發(fā)現(xiàn)。更糟糕的是，大多數(shù)防火墻往往配置不當(dāng)且無人維護(hù)和監(jiān)視，從而把它們轉(zhuǎn)化成了電子制門器(保持大門敞開著)。而黑客的責(zé)任就是攻克這些脆弱的或無人看管的防火墻，然后告訴它的主人，你的門爛了，還是再換個(gè)更好的吧!這次是個(gè)警告，如果下次進(jìn)來的人沒有良心，你就慘了。

那防火墻的工作原理又是什么呢?

防火墻常常就是一個(gè)具備包過濾功能的簡單路由器，支持Internet安全。這是使Internet連接更加安全的一種簡單方法，因?yàn)榘^濾是路由器的固有屬性。

包是網(wǎng)絡(luò)上信息流動(dòng)的單位。網(wǎng)絡(luò)上傳輸?shù)奈募话阍诎l(fā)出端被劃分成一個(gè)一個(gè)的IP包，經(jīng)過網(wǎng)上的中間站，最終傳到目的地，然后這些IP包中的數(shù)據(jù)又重新組成原來的文件。

每個(gè)IP包有兩個(gè)部分：數(shù)據(jù)部分和包頭。包頭中含有源地址和目標(biāo)地址等信息。(這一部分的內(nèi)容要有TCP/IP的基礎(chǔ))

IP包的過濾一直是一種簡單而有效的方法，它通過件包頭信息和管理員設(shè)定的規(guī)則表比較，讀出并拒絕那些不符合標(biāo)準(zhǔn)的包，過濾掉不應(yīng)入站的信息。

IP包過濾規(guī)則一般基于部分的或全部的IP包信息，例如對(duì)于TCP包頭信息為：

1. IP協(xié)議類型

2. IP源地址

3. IP目標(biāo)地址

4. IP選擇域的內(nèi)容

5. TCP源端口號(hào)

6. TCP目標(biāo)端口號(hào)

7. TCP ACK標(biāo)識(shí)，指出這個(gè)包是否是聯(lián)接中的第一個(gè)包，是否是對(duì)另一個(gè)包的響應(yīng)

IP包過濾的一個(gè)重要的局限是它不能分辨好的和壞的用戶，只能區(qū)分好的飽和壞的包。包過濾只能工作在由黑白分明安全策略的網(wǎng)中，即內(nèi)部是好的，外部是可疑的。對(duì)于FTP協(xié)議，IP包過濾就不十分有效。FTP允許聯(lián)接外部服務(wù)器并使聯(lián)接返回到端口20，這幾乎毫不費(fèi)力的通過那些過濾器。

防火墻/應(yīng)用網(wǎng)關(guān)(Application Gateways)還有一種常見的防火墻是應(yīng)用代理防火墻(有時(shí)也稱為應(yīng)用網(wǎng)關(guān))。這些防火墻的工作方式和過濾數(shù)據(jù)報(bào)的防火墻、以路由器為基礎(chǔ)的防火墻的工作方式稍有不同。它是基于軟件的;當(dāng)某遠(yuǎn)程用戶想和一個(gè)運(yùn)行應(yīng)用網(wǎng)關(guān)的網(wǎng)絡(luò)建立聯(lián)系時(shí)，此應(yīng)用網(wǎng)關(guān)會(huì)阻塞這個(gè)遠(yuǎn)程聯(lián)接，然后對(duì)聯(lián)接請(qǐng)求的各個(gè)域進(jìn)行檢查。如果此聯(lián)接請(qǐng)求符合預(yù)定的規(guī)則，網(wǎng)關(guān)便會(huì)在遠(yuǎn)程主機(jī)和內(nèi)部主機(jī)之間建立一個(gè)”橋”，”橋”是指兩種協(xié)議之間的轉(zhuǎn)換器。例如，一個(gè)典型的網(wǎng)關(guān)一般不將IP數(shù)據(jù)報(bào)轉(zhuǎn)發(fā)給內(nèi)部網(wǎng)絡(luò)，而是自己作為轉(zhuǎn)換器和解釋器進(jìn)行轉(zhuǎn)換過程。這種方式的時(shí)被稱之為man-in-the-middle configuration。這種應(yīng)用網(wǎng)關(guān)代理模型的長處是不進(jìn)行IP報(bào)文轉(zhuǎn)發(fā)，更為重要的是可以在”橋”上設(shè)置更多的控制，而且這種工具還能提供非常成熟的日志功能。然而所有的這些優(yōu)點(diǎn)都是通過犧牲速度換取的，因?yàn)槊看温?lián)接請(qǐng)求和所有發(fā)往內(nèi)部網(wǎng)的報(bào)文在網(wǎng)關(guān)上經(jīng)歷接受、分析、轉(zhuǎn)換和再轉(zhuǎn)發(fā)等幾個(gè)過程，完成這些過程所需時(shí)間顯然比完成以路由器為基礎(chǔ)的數(shù)據(jù)報(bào)過濾的時(shí)間長得多。

IP轉(zhuǎn)發(fā)(IP forwarding)是指收到一個(gè)外部請(qǐng)求的服務(wù)器將此請(qǐng)求信息以IP報(bào)文的格式轉(zhuǎn)發(fā)給內(nèi)部網(wǎng)。讓IP轉(zhuǎn)交功能有效是一個(gè)嚴(yán)重的錯(cuò)誤：如果你允許IP轉(zhuǎn)發(fā)，那么入侵者便能從外部進(jìn)入你的內(nèi)部網(wǎng)絡(luò)并訪問其上的工作站。

透明性是代理服務(wù)器的主要優(yōu)點(diǎn)。用戶端，代理服務(wù)給用戶的假象是：用戶是直接與真正的服務(wù)器連接;而在服務(wù)器端代理服務(wù)給用戶的假象是：服務(wù)器是直接面對(duì)連在代理服務(wù)器上的用戶。要注意的是，代理服務(wù)器只有在需要嚴(yán)格控制內(nèi)部與外部主機(jī)直接聯(lián)接的場(chǎng)合才是一個(gè)比較有效的機(jī)制。而雙宿主主機(jī)與包過濾也是具有這種特性的另外兩種機(jī)制。如果內(nèi)、外部主機(jī)能夠直接相互通信，那么用戶就沒有必要使用代理服務(wù)，在這種情況下，代理服務(wù)也不可能起作用。而這種由旁路的拓?fù)渑c網(wǎng)絡(luò)的信息安全是相矛盾的。

最常見的防火墻是按照基本概念工作的邏輯設(shè)備，用于在公共網(wǎng)上保護(hù)私人網(wǎng)絡(luò)。配置一堵防火墻是很簡單的，步驟如下：

1. 選擇一臺(tái)具有路由能力的PC

2. 加上兩塊接口卡，例如以太網(wǎng)卡或串行卡等

3. 禁止IP轉(zhuǎn)發(fā)

4. 打開一個(gè)網(wǎng)卡通向Internet

5. 打開另一個(gè)網(wǎng)卡通向內(nèi)部網(wǎng)

現(xiàn)在，兩個(gè)不同的網(wǎng)絡(luò)被這個(gè)防火墻分割開來。由于內(nèi)部網(wǎng)不能再訪問Internet，所以訪問網(wǎng)際空間就必須經(jīng)過防火墻。欲進(jìn)入內(nèi)部網(wǎng)絡(luò)，必須先通過防火墻。

而且，若站點(diǎn)正處于防火墻保護(hù)之下，對(duì)它的訪問也是被禁止的，用戶不得不先登陸防火墻后在進(jìn)入Internet，這時(shí)便需要代理服務(wù)器了。因此，為了使防火墻有效，必須超越其概念設(shè)計(jì)。

防火墻的設(shè)計(jì)列有好幾種，但都可分為兩類：網(wǎng)絡(luò)級(jí)防火墻及應(yīng)用級(jí)防火墻。它們采用不同的方式提供相同的功能，任何一種都能適合站點(diǎn)防火墻的保護(hù)需要。而且現(xiàn)在有些防火墻產(chǎn)品具有雙重性能。

1. 網(wǎng)絡(luò)級(jí)防火墻

這一類型的防火墻，通常使用簡單的路由器，采用包過濾技術(shù)，檢查個(gè)人的IP包并決定允許或不允許基于資源的服務(wù)、目的地址及時(shí)用端口。

最新式的防火墻較之以前更為復(fù)雜，它能監(jiān)控通過防火墻的聯(lián)接狀態(tài)等等。這是一類快速且透明的防火墻，易于實(shí)現(xiàn)。

2. 應(yīng)用級(jí)防火墻

應(yīng)用級(jí)防火墻通常是運(yùn)行在防火墻上的軟件部分。這一類的設(shè)備也稱為應(yīng)用網(wǎng)關(guān)。它是運(yùn)行代理服務(wù)器軟件的計(jì)算機(jī)。由于代理服務(wù)器在同一級(jí)上運(yùn)行，所以它對(duì)采集訪問信息并加以控制是非常有用的。因此，此類防火墻能提供關(guān)于出入站訪問的詳細(xì)信息，從而較之網(wǎng)絡(luò)級(jí)防火墻，安全性更強(qiáng)。

若打算將服務(wù)器安在內(nèi)部網(wǎng)內(nèi)，由于代理服務(wù)器將阻塞大多數(shù)連結(jié)，因此與服務(wù)器的連結(jié)受到很大限制。但這是一個(gè)高度安全的設(shè)計(jì)，適用于內(nèi)部網(wǎng)上高水平的保護(hù)。

若站點(diǎn)上已實(shí)現(xiàn)了類似的防火墻，也許想將Web服務(wù)器至于防火墻之外(Web A)，并且可能通過一個(gè)代理服務(wù)器在內(nèi)部網(wǎng)與Web服務(wù)器之間建立聯(lián)接。但這很可能使站點(diǎn)出現(xiàn)安全漏洞。

還有許多種類的防火墻，它們都有自己的特色：

1. 隔離式過濾器

2. 堡壘主機(jī)

3. 雙宿主機(jī)網(wǎng)關(guān)

4. 安全I(xiàn)P通道

5. IP過濾

6. Circuit網(wǎng)關(guān)

防火墻可以極大的增強(qiáng)Web站點(diǎn)的安全。根據(jù)不同的需要，防火墻在網(wǎng)絡(luò)中配置有很多方式。根據(jù)防火墻和Web服務(wù)器所處的位置，總可以分為3種配置：Web服務(wù)器置于防火墻之內(nèi)、Web服務(wù)器置于防火墻之外和Web服務(wù)器置于防火墻之上。

將Web服務(wù)器裝在防火墻內(nèi)的好處是它得到了安全保護(hù)，不容易被黑客闖入，但不易被外界所用。當(dāng)Web站點(diǎn)主要用于宣傳企業(yè)形象時(shí)，顯然這不是好的配置，這時(shí)應(yīng)當(dāng)將Web服務(wù)器放在防火墻之外。

事實(shí)上，為了保證組織內(nèi)部網(wǎng)絡(luò)的安全，將Web服務(wù)器完全置于防火墻之外使比較合適的。在這種模式中，Web服務(wù)器不受保護(hù)，但內(nèi)部網(wǎng)則處于保護(hù)之下，即使黑客進(jìn)入了你的Web站點(diǎn)，內(nèi)部網(wǎng)仍是安全的。代理支持在此十分重要，特別是在這種配置中，防火墻對(duì)Web站點(diǎn)的保護(hù)幾乎不起作用。

一些管理員試圖在防火墻機(jī)器上運(yùn)行Web服務(wù)器，以此增強(qiáng)Web站點(diǎn)的安全性。這種配置的缺點(diǎn)是，一旦服務(wù)器有一點(diǎn)毛病，整個(gè)系統(tǒng)全處于危險(xiǎn)之中。

這種基本配置有多種變化，包括利用代理服務(wù)器、雙重防火墻、利用成對(duì)的”入”、”出”服務(wù)器提供對(duì)公眾信息的訪問及內(nèi)部網(wǎng)絡(luò)的私人文檔的訪問。

有一些防火墻的結(jié)構(gòu)不允許將Web服務(wù)器設(shè)置其外。在這種情況下將不得不打通防火墻?？梢赃@樣作：

1. 允許防火墻傳遞對(duì)端口80的請(qǐng)求，訪問請(qǐng)求或被限制到Web站點(diǎn)或從Web站點(diǎn)返回(假定你正使用”screened host”型防火墻;

2. 可以在防火墻機(jī)器上安裝代理服務(wù)器，但需一個(gè)”雙宿主網(wǎng)關(guān)”類型的防火墻。來自Web服務(wù)器的所有訪問請(qǐng)求在被代理服務(wù)器截獲之后才傳給服務(wù)器。對(duì)訪問請(qǐng)求的回答直接返回給請(qǐng)求者。

現(xiàn)實(shí)世界要想繞過配置得當(dāng)?shù)姆阑饓赡茈y以置信的困難。然而使用諸如traceroute、hping 和nmap之類信息匯集工具，共記者可以發(fā)現(xiàn)(或者至少能夠推斷)經(jīng)由目標(biāo)網(wǎng)點(diǎn)的路由器和防火墻的訪問通路，并確定所用防火墻的類型。當(dāng)前發(fā)現(xiàn)的許多脆弱點(diǎn)的根源在于防火墻的誤配置和缺乏管理性監(jiān)視，然而這兩種條件一旦被發(fā)掘，所導(dǎo)致的后果可能是毀滅性的。

代理和包過濾這兩種防火墻中都存在一些特定的脆弱點(diǎn)，包括未加認(rèn)證的Web和telnet訪問以及本地主機(jī)登錄。對(duì)于其中大多數(shù)脆弱點(diǎn)，可采取相應(yīng)的對(duì)策防止對(duì)它們的發(fā)掘，然而有些脆弱點(diǎn)卻只能監(jiān)測(cè)是否有人在發(fā)掘它們而已。

許多人深信防火墻不可逆轉(zhuǎn)的將來是應(yīng)用代理和有狀態(tài)分組包過濾技術(shù)的有機(jī)結(jié)合，這種結(jié)合提供了限制誤配置的一些技巧。反應(yīng)性特性也將成為下一代防火墻的部分內(nèi)容。NAI已在他們的Active Security體系結(jié)構(gòu)上實(shí)現(xiàn)了某種形式的反應(yīng)性特性。它允許一個(gè)被檢測(cè)到的入侵活動(dòng)引發(fā)受影響防火墻的預(yù)想設(shè)計(jì)好的變動(dòng)。舉例來說，如果某個(gè)IDS系統(tǒng)檢測(cè)到了ICMP隧道攻擊，它就會(huì)接著指導(dǎo)防火墻關(guān)閉對(duì)進(jìn)入ICMP回射請(qǐng)求分組的響應(yīng)。這樣的情形總是存在拒絕服務(wù)性攻擊的機(jī)會(huì)，這也是需要知識(shí)豐富的所謂安全人員的原因。

防火墻技術(shù)基礎(chǔ)知識(shí)大全相關(guān)文章：

★ 防火墻的基礎(chǔ)知識(shí)大全有哪些

★ 網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)大全有哪些

★ 防火墻的基礎(chǔ)知識(shí)科普有哪些

★ 電腦防火墻基礎(chǔ)知識(shí)有哪些

★ 【電腦知識(shí)】:防火墻的工作技術(shù)分類與基礎(chǔ)原理是什么?

★ 計(jì)算機(jī)畢業(yè)生個(gè)人工作總結(jié)