网络安全管理及实用技术 作者 贾铁军9-12章 第9章 防火墙安全管理.pptVIP

9.3 防火墙的主要应用 1外围防火墙规则 1）拒绝所有通信，除非显式允许的通信。 2）阻止声明具有内部或者外围网络源地址的外来数据包。 3）阻止声明具有外部源IP地址的外出数据包（通信应该只源自堡垒主机）。 4）允许从DNS解析程序到Internet上的DNS服务器的基于UDP的DNS查询和应答。 5）允许从Internet DNS服务器到DNS解析程序的基于UDP的DNS查询和应答。 6）允许基于UDP的外部客户端查询DNS解析程序并提供应答。 7）允许从Internet DNS服务器到DNS解析程序的基于TCP的DNS查询和应答。 8）允许从出站SMTP堡垒主机到Internet的外出邮件。 9）允许外来邮件从Internet到达入站SMTP堡垒主机。 10）允许从代理发起的通信从代理服务器到达Internet。 11）允许代理应答从Internet定向到外围上的代理服务器。 9.3 防火墙的主要应用 2外围防火墙可用性 （1）单个无冗余组件的防火墙 （2）单个带冗余组件的防火墙 9.3 防火墙的主要应用 （3）外围容错防火墙 防火墙的作用是组织和Internet之间的通道，但是在该防火墙外面放置了边界路由器。此路由器尤其容易被入侵，因此还必须配置一些防火墙功能。可以实现有限的一些防火墙功能，而不用设置完整的防火墙功能集，从而依赖于防火墙设备来阻止全面的入侵。另外，防火墙可以在路由器中进行合并，而不用附加的独立防火墙设备。 9.3 防火墙的主要应用 9.3.4 用智能防火墙阻止攻击 案例9-2 黑客攻击 身份不明的黑客势力从2009年7月7日起全面袭击韩国主要网站，起初针对国内外26个网站的攻击目标逐渐扩大到其他网站。韩国国家情报院杀毒软件商也遭殃。 据韩国《朝鲜日报》等媒体报道，7月8日晚6时起，网上出现了第二次黑客攻击。其对象包括：友利银行、韩亚银行、企业银行网站；门户网站DAUM、PARAN；负责管理国家信息骨干网的国家情报院、国家网络安全中心；韩国头号杀毒软件企业“安哲秀研究所”、Eastsoft公司等。这些机构受网上攻击后，其网站陷入瘫痪或者无法登录网站。 韩国广播通信委员会9日发表声明说，大约2.9万台个人电脑感染恶意代码，成为任由黑客远程控制的“肉鸡”和发起DDoS攻击的马前卒。韩国政府决定在公共机构网络引进“通信量”分散装置，并要求全国14家主要网络服务商限制已感染病毒被黑客利用的约2.9万台电脑接入网络。 9.3 防火墙的主要应用 案例分析 在此案例中，攻击方使用的就是DDoS，其中，以SYN Flood（洪水攻击）攻击最为有名。SYN Flood利用TCP协议的设计上的缺陷，通过特定方式发送大量的TCP请求从而导致受攻击方CPU超负荷或内存不足，导致计算机系统变慢，网站瘫痪等严重后果。 9.3 防火墙的主要应用 1．SYN Flood攻击原理 SYN Flood攻击所利用的是TCP协议存在的漏洞。TCP协议是面向连接的，在每次发送数据前，都会在服务器与客户端之间先虚拟出一条线路，称TCP连接，以后的各数据通信都经由该线路进行，直到本TCP连接结束。在整个TCP连接中需要经过三次协商，俗称“三次握手”来完成。如果由于某些原因（如客户端突然死机或断网等原因），客户端不能接收到来自服务器端的确认数据报，这就造成了以上三次连接中的第一次和第二次握手的TCP半连接。服务器就进入等待状态，并定期反复进行SYN+ACK报文重发，直到客户端确认收到为止。这样服务器端就会一直处于等待状态，并且由于不断发送SYN+ACK报文，使得CPU及其他资源严重消耗，大量报文也使得网络出现堵塞，这样不仅服务器可能崩溃，而且网络也可能处于瘫痪。 SYN Flood攻击正是利用了TCP连接的一个漏洞来实现攻击目的的。当恶意的客户端构造出大量的这种TCP半连接发送到服务器端时，服务器端就会一直陷入等待的过程中，并且耗用大量的CPU资源和内存资源来进行SYN+ACK报文的重发，最终使得服务器端崩溃。 9.3 防火墙的主要应用 2．用防火墙防御SYN Flood攻击 （1）两种主要类型防火墙的防御原理 应用代理型防火墙的防御方法是客户端要与防火墙建立TCP连接的三次握手过程中，因为它位于客户端与服务器端(通常分别位于外、内部网络)中间，充当代理角色，这样客户端要与服务器端建立一个TCP连接，就必须先与防火墙进行三次TCP握手，当客户端和防火墙三次握手成功之后，再由防火墙与客户端进行三次TCP握手，完成后再进行一个TCP连接的三次握手。一个成功的TCP连接所经历的两个三次握手过程(先是客户端到防火墙的三次握手，再是防火墙到服务器端的三次握手) 包过滤型