第9章防火墙应用技术案例.ppt

在以上三次握手中，当客户端发送一个TCP连接请求给服务器端，服务器也发出了相应的响应数据报文之后,可能由于某些原因（如客户端突然死机或断网等原因），客户端不能接收到来自服务器端的确认数据报，这就造成了以上三次连接中的第一次和第二次握手的TCP半连接。由于服务器端发出了带SYN+ACK标记的报文，却并没有得到客户端返回相应的ACK报文，于是服务器就进入等待状态，并定期反复进行SYN+ACK报文重发，直到客户端确认收到为止。这样服务器端就会一直处于等待状态，使得CPU及其他资源严重消耗，不仅服务器可能崩溃，而且网络也可能处于瘫痪。 9.3 防火墙的主要应用 SYN Flood攻击正是利用了TCP连接的这样一个漏洞来实现攻击目的的。当恶意的客户端构造出大量的这种TCP半连接发送到服务器端时，服务器端就会一直陷入等待的过程中，并且耗用大量的CPU资源和内存资源来进行SYN+ACK报文的重发，最终使得服务器端崩溃。 2．用防火墙防御SYN Flood攻击 （1）两种主要类型防火墙（包过滤型和应用代理型防火墙）的防御原理 9.3 防火墙的主要应用 应用代理型防火墙的防御方法是客户端要与服务器建立TCP连接的三次握手过程中，充当代理角色，这样客户端要与服务器端建立一个TCP连接，就必须先与防火墙进行三次TCP握手，当客户端和防火墙三次握手成功之后，再由防火墙与客户端进行三次TCP握手，完成后再进行一个TCP连接的三次握手。防火墙相当于起到一种隔离保护作用，安全性较高。当外界对内部网络中的服务器端进行SYN Flood攻击时，实际上遭受攻击的不是服务器而是防火墙。而防火墙自身则又是具有抗攻击能力的，可以通过规则设置，拒绝外界客户端不断发送的SYN+ACK报文。如图9-16所示。 9.3 防火墙的主要应用 图9-16 两个三次握手过程 从整个过程可以看出，由于所有的报文都是通过防火墙转发，而且未同防火墙建立起TCP连接就无法同服务器端建立连接，所以使用这种防火墙就相当于起到一种隔离保护作用，安全性较高。当外界对内部网络中的服务器端进行SYN Flood攻击时，实际上遭受攻击的不是服务器而是防火墙。而防火墙自身则又是具有抗攻击能力的，可以通过规则设置，拒绝外界客户端不断发送的SYN+ACK报文。 服务器端 防火墙 客户端 ① ① ② ② ③ ③ 第一个三次握手 第二个三次握手 9.3 防火墙的主要应用 包过滤型防火墙是工作于IP层或者IP层之下，对于外来的数据报文，它只是起一个过滤的作用。当数据包合法时，它就直接将其转发给服务器，起到的是转发作用。 在包过滤型防火墙中，客户端同服务器的三次握手直接进行，并不需要通过防火墙来代理进行。包过滤型防火墙效率要较网关型防火墙高，允许数据流量大。但是这种防火墙如果配置不当的话，会让攻击者绕过防火墙而直接攻击到服务器。而且允许数据量大会更有利于SYN Flood攻击。这种防火墙适合于大流量的服务器，但是需要设置妥当才能保证服务器具有较高的安全性和稳定性。 9.3 防火墙的主要应用 （2）防御SYN Flood攻击的防火墙设置 除了可以直接采用以上两种不同类型的防火墙进行SYN Flood防御外，还可进行一些特殊的防火墙设置来达到目的。针对SYN Flood攻击，防火墙通常有三种防护方式：SYN网关、被动式SYN网关和SYN中继. ?讨论思考： （1）为什么将企业网络划分为3个区域？外围网络有什么用处？ （2）冗余容错技术主要有哪些？增加冗余后为什么安全性会有所提高？ （3）SYN Flood攻击是利用了什么漏洞？ （4）DDoS是如何实现的？常用的攻击手段除了SYN Flood以外还有哪些？ 9.3 防火墙的主要应用 * 防火墙体系结构 1.双重宿主主机体系结构 防火墙体系结构主要有三种： ·双重宿主主机体系结构； ·被屏蔽主机体系结构； ·被屏蔽子网体系结构。 图9-5屏蔽路由器 图9-6 双宿主机网关 图9-7被屏蔽主机网关 图9-8被屏蔽子网 * 防火墙体系结构 1. 双重宿主主机体系结构 双重宿主主机体系结构是围绕具有双重宿主的主机计算机而构筑的，该计算机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器；能够从一个网络到另一个网络发送IP数据包。实现双重宿主主机的防火墙体系结构禁止这种发送功能。所以IP数据包从一个网络并不是直接发送到其它网络。防火墙内部的系统能与双重宿主主机通信，同时防火墙外部的系统能与双重宿主主机通信，但是这些系统不能直接互相通信。它们之间的IP通信被完全阻止。 双重宿主主机的防火墙体系结构是相当简单的：双重宿主主机位于两者