【正文】 由于web服務(wù)器直接面對訪問者，通常來說是網(wǎng)絡(luò)中的薄弱環(huán)節(jié)，使用分層防御可以將重要的服務(wù)器通過防火墻進(jìn)行保護(hù)，即使web服務(wù)器被攻陷，也不會(huì)造成應(yīng)用服務(wù)器與數(shù)據(jù)庫服務(wù)器的進(jìn)一步破壞。上述園區(qū)網(wǎng)絡(luò)模型中存在兩個(gè)這樣的鄰接點(diǎn)，一是邊界網(wǎng)絡(luò)與Internet的接入點(diǎn)上，這個(gè)位置部署放火墻可以隔離來自Internet或外部網(wǎng)絡(luò)的有害數(shù)據(jù)；另一個(gè)在數(shù)據(jù)中心（ServerFarm）匯聚交換機(jī)與核心網(wǎng)交換機(jī)的接的接入點(diǎn)上，在此部署防火墻可避免來自內(nèi)部網(wǎng)絡(luò)的威脅，這種威脅可能是內(nèi)網(wǎng)員工惡意攻擊造成的，也可能是一些不恰當(dāng)?shù)牟僮鲗W(wǎng)絡(luò)造成的。核心網(wǎng)絡(luò)是所有網(wǎng)絡(luò)區(qū)域的中心，內(nèi)部網(wǎng)絡(luò)、數(shù)據(jù)中心、邊界網(wǎng)絡(luò)以星狀連接在核心周圍，邊界網(wǎng)的另一端還與Internet相連，可以為園區(qū)提供Internet出口，并且作為分支網(wǎng)絡(luò)的接入點(diǎn)，如圖所示。這樣可以保證即使采用完成TCP三次握手的方式消耗服務(wù)器資源，也可以被Eudemon防火墻發(fā)現(xiàn)。有些攻擊是建立一個(gè)完整的TCP連接用來消耗服務(wù)器的資源。在一般的Dos防范技術(shù)中，在攻擊發(fā)生的時(shí)候不能準(zhǔn)確的識別哪些是合法用戶，哪些是攻擊報(bào)文。 防火墻TCP代理Tcp代理是SecPath系列防火墻為防止SYN Flood類的Dos攻擊，而專門開發(fā)的一個(gè)安全特性。這樣處理雖然可以保證網(wǎng)絡(luò)流量的正常，可以保證服務(wù)器不會(huì)癱瘓，但是這樣處理還是會(huì)阻擋正常用戶上網(wǎng)、訪問等的報(bào)文，因此雖然網(wǎng)絡(luò)層面是正常的，但是真正的服務(wù)還是被拒絕了，因此還是不能達(dá)到真正的Dos攻擊防御的目的。準(zhǔn)確的識別攻擊能力。在進(jìn)行Dos攻擊防御的過程中，防火墻的每秒新建能力就成為保證網(wǎng)絡(luò)通暢的一個(gè)重要指標(biāo)，Dos攻擊的過程中，攻擊者都是在隨機(jī)變化源地址因此所有的連接都是新建連接。因?yàn)镈os攻擊的一個(gè)重要目的就是使得網(wǎng)絡(luò)癱瘓，網(wǎng)絡(luò)上的關(guān)鍵設(shè)備點(diǎn)發(fā)生了阻塞，則Dos攻擊的目的就達(dá)到了。 優(yōu)秀的處理性能。 防御手段的健全和豐富。在Internet上非常流行，對企業(yè)網(wǎng)、甚至骨干網(wǎng)都造成了非常嚴(yán)重的影響，引發(fā)很大的網(wǎng)絡(luò)事故，因此優(yōu)秀的Dos攻擊防范功能是防火墻的必備功能。 防火墻DOS/DDOS防御Dos（Deny of service）是一類攻擊方式的統(tǒng)稱（DDos也是Dos的一種），其攻擊的基本原理就是通過發(fā)送各種垃圾報(bào)文導(dǎo)致網(wǎng)絡(luò)的阻塞、服務(wù)的癱瘓。這樣的策略控制模型不適合用戶進(jìn)行策略配置。圖10 防火墻安全區(qū)域管理兩個(gè)接口：trust接口和DMZ接口共享untrust接口訪問internet，如果在接口上使用安全策略進(jìn)行控制，則會(huì)導(dǎo)致策略混亂。這樣的規(guī)則體系使得防火墻的策略十分容易管理，方面用戶對各種邏輯安全區(qū)域的獨(dú)立管理。SecPath防火墻還提供自定義安全區(qū)域，可以最大定義16個(gè)安全區(qū)域，每個(gè)安全區(qū)域都可以加入獨(dú)立的接口。SecPath防火墻默認(rèn)提供四個(gè)安全區(qū)域：trust、untrust、DMZ、local，在提供三個(gè)最常用的安全邏輯區(qū)域的基礎(chǔ)上還新增加了本地邏輯安全區(qū)域，本地安全區(qū)域可以定義到防火墻本身的報(bào)文，保證了防火墻本身的安全防護(hù)，使得對防火墻本身的安全保護(hù)得到加強(qiáng)。SecPath防火墻提供了基于安全區(qū)域的隔離模型，每個(gè)安全區(qū)域可以按照網(wǎng)絡(luò)的實(shí)際組網(wǎng)加入任意的接口，因此SecPath的安全管理模型是不會(huì)受到網(wǎng)絡(luò)拓?fù)涞挠绊?。狀態(tài)防火墻還采用基于流的狀態(tài)檢測技術(shù)可以提供更高的轉(zhuǎn)發(fā)性能，因?yàn)榛贏CL的包過濾技術(shù)是逐包檢測的，這樣當(dāng)規(guī)則非常多的時(shí)候包過濾防火墻的性能會(huì)變得比較低下，而基于流的狀態(tài)防火墻可以根據(jù)流的信息決定數(shù)據(jù)包是否可以通過防火墻，這樣就可以利用流的狀態(tài)信息決定對數(shù)據(jù)包的處理結(jié)果加快了轉(zhuǎn)發(fā)性能。FTP包含一個(gè)預(yù)知端口的TCP控制通道和一個(gè)動(dòng)態(tài)協(xié)商的TCP數(shù)據(jù)通道，對于一般的ACL來說，配置安全策略時(shí)無法預(yù)知數(shù)據(jù)通道的端口號，因此無法確定數(shù)據(jù)通道的入口。 狀態(tài)防火墻實(shí)現(xiàn)網(wǎng)絡(luò)隔離的基本技術(shù)是IP包過濾，ACL是一種簡單可靠的技術(shù)，應(yīng)用在路由器或交換機(jī)上可實(shí)現(xiàn)最基本的IP包過濾，但單純的ACL包過濾缺乏一定的靈活性。 數(shù)據(jù)中心網(wǎng)絡(luò)邊界安全技術(shù)邊界安全的一項(xiàng)主要功能是實(shí)現(xiàn)網(wǎng)絡(luò)隔離，通過防火墻可以把安全信任網(wǎng)絡(luò)和非安全網(wǎng)絡(luò)進(jìn)行隔離。 RIPv2協(xié)議，支持鄰居路由器之間的明文/MD5認(rèn)證另外，在不應(yīng)該出現(xiàn)路由信息的端口過濾掉所有路由報(bào)文也是解決方法之一。 OSPF協(xié)議，支持鄰居路由器之間的明文/MD5認(rèn)證和OSPF區(qū)域內(nèi)的明文/MD5認(rèn)證；216。216。 路由協(xié)議認(rèn)證攻擊者也可以向網(wǎng)絡(luò)中的設(shè)備發(fā)送錯(cuò)誤的路由更新報(bào)文，使路由表中出現(xiàn)錯(cuò)誤的路由，從而引導(dǎo)用戶的流量流向攻擊者的設(shè)備。其實(shí)現(xiàn)機(jī)制如下：設(shè)備接收到報(bào)文后，UPRF會(huì)比較該報(bào)文的源地址在路由表中對應(yīng)的出接口是否和接收該報(bào)文的接口一致。設(shè)備可以根據(jù)IP、MAC、端口的對應(yīng)關(guān)系，下發(fā)ACL規(guī)則限制從該端口通過的報(bào)文源IP必須為其從DHCP 服務(wù)器獲取的IP地址。這樣偽裝IP的設(shè)備沒有辦法進(jìn)行正常的跨網(wǎng)段通信。當(dāng)網(wǎng)關(guān)收到一個(gè)ARP報(bào)文時(shí)，會(huì)先在映射表中查找是否匹配現(xiàn)有的映射關(guān)系。局域網(wǎng)在其internet出入口處過濾掉不可能出現(xiàn)的IP地址，可以緩解非法用戶簡單的隨機(jī)偽裝IP所帶來的危害。同時(shí)一些攻擊工具雖然做到了使用方便，但其攻擊方法設(shè)計(jì)也相對簡單，沒有辦法根據(jù)網(wǎng)絡(luò)實(shí)際狀況進(jìn)行調(diào)整。 在internet出口處過濾RFC3330和RFC1918所描述的不可能在內(nèi)外網(wǎng)之間互訪的IP地址。分別在內(nèi)網(wǎng)和內(nèi)外網(wǎng)的邊界使用。 隱藏攻擊源設(shè)備防止IP偽裝的關(guān)鍵在于如何判定設(shè)備接收到的報(bào)文的源IP是經(jīng)過偽裝的。216。 麻痹網(wǎng)絡(luò)中的安全設(shè)施。216。 本身就是攻擊的直接功能體。偽裝IP有三個(gè)用處：216。表2 端口的安全模式：安全模式類型描述特性說明secure禁止端口學(xué)習(xí)MAC地址，只有源MAC為端口上已經(jīng)配置的靜態(tài)MAC的報(bào)文，才能通過該端口在左側(cè)列