【网络安全】【使用防火墙防止DoS攻击】.pdfVIP

网络安全实验教程 使用防火墙防止DoS 攻击 【实验名称】 使用防火墙防止DoS 抗攻击 【实验目的】 利用防火墙的抗攻击功能防止SYN Flood 攻击 【背景描述】 某公司使用防火墙作为网络出口设备连接到Internet，并且公司内部有一台对外提供服 务的FTP 服务器。最近网络管理员发现Internet 中有人向FTP 服务器发起SYN Flood 攻击， 造成FTP 上存在大量的半开放连接，消耗了服务器的系统资源。 【需求分析】 要防止来自外部网络的DoS 攻击，可以使用防火墙的抗攻击功能。 【实验拓扑】 【实验设备】 防火墙 1 台 PC 2 台（一台作为FTP 服务器，一台模拟外部网络的攻击者） FTP 服务器软件程序 SYN Flood 攻击软件程序 110 第二章 防火安全墙技术实验 【预备知识】 网络基础知识 防火墙工作原理 DoS 攻击原理 【实验原理】 SYN Flood 是一种常见的DoS 攻击，这种攻击通过使用伪造的源IP 地址，向目标主机 （被攻击端）发送大量的TCP SYN 报文。目标主机接收到SYN 报文后，会向伪造的源地 址回应TCP SYN_ACK 报文以等待发送端的ACK 报文来建立连接。但是由于发送端的地址 是伪造的，所以被攻击端永远不会收到合法的ACK 报文，这将造成被攻击端建立大量的半 开放连接，消耗大量的系统资源，导致不能提供正常的服务。 防火墙的抗攻击功能可以对SYN Flood 攻击进行检测，阻止大量的TCP SYN 报文到 达被攻击端，保护内部主机的资源。 【实验步骤】 第一步：配置防火墙接口的IP 地址 进入防火墙的配置页面：网络配置—接口IP，单击添加按钮为接口添加IP 地址。 为防火墙的LAN 接口配置IP 地址及子网掩码。 为防火墙的WAN 接口配置IP 地址及子网掩码。 111 网络安全实验教程 第二步：配置端口映射规则 为了使 Internet 中的用户可以访问到内部的FTP 服务器，需要在防火墙上使用端口映 射规则将FTP 服务器发布到Internet 中。 进入防火墙配置页面：安全策略—安全规则，单击页面上方的端口映射规则按钮添 加端口映射规则。规则中的“公开地址”为防火墙外部接口（WAN ）的地址；“内部地址” 为内部FTP 服务器的地址；“内部服务”为FTP 服务器提供FTP 服务使用的端口号，这里 使用默认的21 端口（FTP）；“对外服务”为Internet 用户访问FTP 服务器时使用的在外部 看到的端口号，这里也使用默认的21 端口（FTP）。 第三步：验证测试 112 第二章 防火安全墙技术实验 在内部PC 上安装好FTP Server 程序，并进行相应的配置。在外部PC 上测试到达FTP 服务器的连通性，注意这里使用的FTP 目标地址为。防火墙将把发送到，端 口为21 的请求重定向到内部的FTP 服务器。 外部PC 可以通过预先设置的用户名和密码登录FTP 服务器。 第四步：实施SYN Flood 攻击 在外部PC 上使用SYN Flood 工具向FTP 服务器发起攻击。此时在FTP 服务器上通过 Windows 命令netstat –an 可以看到外部主机与FTP 服务器的21 端口建立了大量的半开 放连接，状态为SYN_RECEIVED 。 第五步：配置抗攻击 进入防火墙配置页面：安全策略—抗攻击，单击WAN 接口后面的操作图标。