【正文】 和你連接嗎？） ACK | SYN（可以，請確認(rèn)?。? ？？？ SYN－ Flood攻擊 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential 拒絕服務(wù)攻擊原理及防范（二） ? UDP/ICMP Flood ?特征：向受害主機(jī)發(fā)送大量 UDP/ICMP報文 ?目的：使被攻擊設(shè)備消耗掉所有處理能力 ?配置： ?statistic enable ip inzone ?firewall defend udp/icmpflood [ ip | zone zonename] [maxrate num] ?firewall defend udp/icmpflood enable ?原理：防火墻基于目的地址統(tǒng)計對每個 IP地址收到的報文速率，超過設(shè)定的閾值上限，進(jìn)行 car HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential 掃描攻擊原理和防范（一） ? IP sweep ?特征：地址掃描，向一個網(wǎng)段內(nèi)的 IP地址發(fā)送報文 nmap ?目的：用以判斷是否存在活動的主機(jī)以及主機(jī)類型等信息，為后續(xù)攻擊作準(zhǔn)備 ?配置： ?Statistic enable ip outzone ?Firewall defend ipsweep [ maxrate num ] [blacklisttimeout num] ?原理：防火墻根據(jù)報文源地址進(jìn)行統(tǒng)計，檢查某個 IP地址向外連接速率，如果這個速率超過了閾值上限，則可以將這個 IP地址添加到黑名單中進(jìn)行隔離 ?注意：如果要啟用黑名單隔離功能，需要先啟動黑名單 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential 掃描攻擊原理和防范（二） ? Port scan ?特征：相同一個 IP地址的不同端口發(fā)起連接 ?目的：確定被掃描主機(jī)開放的服務(wù)，為后續(xù)攻擊做準(zhǔn)備 ?配置： ?Statistic enable ip outzone ?Firewall defend portscan [maxrate num] [blacklisttimeout num] ?原理：防火墻根據(jù)報文源地址進(jìn)行統(tǒng)計，檢查某個 IP地址向同一個 IP地址發(fā)起連接的速率，如果這個速率超過了閾值上限，則可以將這個 IP地址添加到黑名單中進(jìn)行隔離 ?注意：如果要啟用黑名單隔離功能，需要先啟動黑名單 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential 防火墻的安全防范 ? ACL ? 安全策略 ? NAT ? 攻擊防范 ? IDS聯(lián)動 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential IDS聯(lián)動 ? 由于防火墻自身具有一定的局限性，如檢查的顆粒度較粗，難以對眾多的 協(xié)議細(xì)節(jié)進(jìn)行深入的分析與檢查 ，并且 防火墻具有防外不防內(nèi) 的特點，難以對內(nèi)部用戶的非法行為和已經(jīng)滲透的攻擊進(jìn)行有效的檢查和防范。具體采取的措施由用戶使用的特定 IDS系統(tǒng)和配置情況決定。 D M ZT r u s tU n t r u s tEu d e m o n A1 0 . 1 0 0 . 2 0 . 0 / 2 4M a s t e rEu d e m o n BBa cku p1 0 . 1 0 0 . 1 0 . 0 / 2 4備份組 1V i rt u a l I P A d d re s s1 0 . 1 0 0 . 1 0 . 1備份組 2V i rt u a l I P A d d re s s1 0 . 1 0 0 . 2 0 . 1備份組 3V i rt u a l I P A d d re s s2 0 2 . 3 8 . 1 0 . 1HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential VGMP的引入與基本原理 ? 由于每個傳統(tǒng)的 VRRP備份組是相互獨立的，無法保證這種一致性，因此華為公司在 VRRP的基礎(chǔ)上進(jìn)行了擴(kuò)展，推出了 VGMP（ VRRP Group Management Protocol）來彌補 VRRP在狀態(tài)防火墻上使用時存在的局限。此時另外一臺防火墻上對應(yīng)的 VGMP為備狀態(tài)，該防火墻成為備用防火墻。 VGMP HELLO報文發(fā)送周期缺省為 1秒。此時 VGMP會調(diào)整自己的優(yōu)先級，并立即發(fā)送一個狀態(tài)切換請求報文到對端。 4. 如果對端的優(yōu)先級比報文中的優(yōu)先級低，則會回應(yīng)一個拒絕狀態(tài)切換的應(yīng)答報文（ NACK）。 ? 搶占管理 VGMP管理組的搶占功能和 VRRP備份組類似，當(dāng)管理組中出現(xiàn)故障的備份組故障恢復(fù)時，管理組的優(yōu)先級也將恢復(fù)。VGMP、 HRP模塊將自動選用可用的傳輸通道來發(fā)送 VGMP、 HRP報文。防火墻會優(yōu)先選擇 transferonly類型的數(shù)據(jù)通道來承載 VGMP和HRP報文。為了在主設(shè)備的一個組成員出現(xiàn)故障時就能觸發(fā)主備切換，這就要求主備防火墻上管理組優(yōu)先級之差在 1～ 5（假設(shè)組成員優(yōu)先級都采用默認(rèn)值 100）之間。在配置管理組優(yōu)先級時，使用 usingvrrppriority 關(guān)鍵字即采用這種優(yōu)先級計算方法。 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential 負(fù)載分擔(dān)組網(wǎng)示意圖 Master / BackupEudemonAEudemonBTrust 區(qū)域DMZ 區(qū)域Untrust 區(qū) 域備份組 1備份組 2備份組 3A1A2A3B2B1B3備份組4備份組5備份組6Backup / MasterHUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential 雙機(jī)熱備份－ HRP ? 產(chǎn)生背景： VGMP可以保證報文來回路徑通過同一臺防火墻。 謝謝 謝謝 演講完畢，謝謝觀看！ 。但 Eudemon防火墻是狀態(tài)防火墻，如果備防火墻上沒有原來主防火墻上的連接狀態(tài)數(shù)據(jù)，則切換到備防火墻的很多流量將無法通過防火墻，造成現(xiàn)有的連接中斷，此時用戶必須重新發(fā)起連接。在每臺防火墻上創(chuàng)建兩個 VGMP管理組 (假設(shè)為 VGMPVGMP2)，將接口下的兩個 VRRP備份組分別加入到不同的管理組中。 ? 根據(jù)組成員狀態(tài)計算優(yōu)先級 具體的計算方法是：管理組運行時優(yōu)先級＝所有狀態(tài)正常的組成員的優(yōu)先級之和 /管理組中組成員總數(shù)。 EudemonAMasterEudemonBBackupTrust 區(qū)域DMZ 區(qū)域Untrust 區(qū) 域A1A2A4A3B2B1 B4B3A1SB1A2SB2A4B4A3SB3HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential VGMP管理組優(yōu)先級計算 VGMP管理組的優(yōu)先級兩種方式： ? 直接配置優(yōu)先級 直接配置優(yōu)先級數(shù)值時，管理組運行時優(yōu)先級＝優(yōu)先級配置值－所有故障組成員優(yōu)先級數(shù)值之和 /16。如下圖中共有四個數(shù)據(jù)通道。當(dāng)VRRP備份組加入到 VGMP管理組后，備份組上原來的搶占功能將失效，搶占行為發(fā)生與否必須由 VGMP管理組統(tǒng)一決定。 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential VGMP管理組的功能 ? 狀態(tài)一致性管理 VGMP管理組中任何 VRRP備份組進(jìn)行主 /備切換，都有 VGMP管理組統(tǒng)一裁決。如果本身優(yōu)先級比報文中攜帶的優(yōu)先級高，則會回應(yīng)一個 ACK報文，同時立即將自己切換到 Master狀態(tài)； 3. 發(fā)生故障的設(shè)備收到該應(yīng)答報文后，會立即將自己切換到 Slave狀態(tài)。 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential VGMP基本原理介紹 除了前面介紹的 VGMP HELLO報文之外， VGMP還包括狀態(tài)切換請求報文、允許狀態(tài)切換的應(yīng)答報文、拒絕狀態(tài)切換的應(yīng)答報文。與 VRRP不同的是， Slave端收到 HELLO報文后，會回應(yīng)一個 ACK消息，該消息中也會攜帶本身的優(yōu)先級、 VRRP成員狀態(tài)等。通過統(tǒng)一控制各 VRRP備份組狀態(tài)的切換，來保證管理組內(nèi)的所有 VRRP備份組狀態(tài)都是一致的。由于 Eudemon防火墻是狀態(tài)防火墻，它 要求報文的來回路徑通過同一臺防火墻 。網(wǎng)絡(luò)中的 IDS（ Intrusion Detective System，攻擊檢測系統(tǒng)）系統(tǒng)就像在網(wǎng)絡(luò)上裝備了網(wǎng)絡(luò)分析器，對網(wǎng)絡(luò)傳輸進(jìn)行監(jiān)視。這將導(dǎo)致目標(biāo)計算機(jī)向它自己發(fā)送 SYNACK報文，目標(biāo)計算機(jī)又向自己發(fā)回 ACK報文并創(chuàng)建一個空連接 ?配置： firewall defend l