hcie-security-ch02-防火墙安全防护技术.pdf

第2 章 防火墙安全防护技术 第2 章 防火墙安全防护技术 第2 章 防火墙安全防护技术 ······················· 1 2.1 攻击防范 2 2.1.1 DDoS 攻击 2 2.1.2 DDoS 防范阈值 10 2.1.2 单包攻击11 2.2 黑名单 16 2.2.1 黑名单类型 16 2.2.2 创建与删除 16 2.3 IP-MAC 绑定 17 2.3.1 目的 17 2.3.2 原理描述 18 2.4 应用层包过滤 22 2.4.1 目的 22 2.4.2 原理描述 22 2.5 URPF 25 2.5.1 目的 26 2.5.2 原理描述 26 HCIE-Security 备考资料大全 章前能力测试： 1．描述下一代防火墙在攻击防范过程中的防范技术及实现原理。 2 ．描述IP-MAC 绑定的工作原理。 3 ．描述为什么需要应用层包过滤？ 4 ．描述URPF 的工作原理。 2.1 攻击防范 NGFW 的攻击防范功能能够帮助大中型企业、数据中心等客户有效防范网络中各种常见 的DDoS 攻击。 通常情况下，在大中型企业、数据中心等网络中往往部署着服务器，而服务器（如邮件服 务器、Web 服务器等）已成为网络攻击的重点。目前有针对性的攻击往往采用大流量的DDoS 类型的攻击，如常见的SYN Flood 、UDP Flood 、ICMP Flood、HTTP Flood、HTTPS Flood、 DNS Flood 和SIP Flood 攻击，这些DDoS 类型的攻击不仅造成网络带宽拥塞，同时还严重威 胁着服务器正常提供业务，甚者造成服务器宕机。 通过在以上网络的内网出口处部署NGFW 设备，可以很好的防范各种常见的DDoS 攻击， 而且还可以对传统单包攻击进行有效的防范。 2.1.1 DDoS 攻击 DDoS （Distributed Denial of Service ）即分布式拒绝服务。DDoS 攻击是指攻击者通过控制 大量的僵尸主机，向被攻击目标发送大量精心构造的攻击报文，造成被攻击者所在网络的链路 拥塞、系统资源耗尽，从而使被攻击者产生拒绝向正常用户的请求提供服务的效果。 如图2- 1- 1 所示，首先，攻击者通过各种手段，取得了网络上大量在线主机的控制权限。 这些被控制的主机称为僵尸主机，攻击者和僵尸主机构成的网络称为僵尸网络。当被攻击目标 确定后，攻击者控制僵尸主机向目标发送大量的攻击报文，导致被攻击目标的网络链路拥塞、 系统资源耗尽。 ·2 · 第2 章 防火墙安全防护技术 图2-1-1 DDoS 攻击示意图 目前，互联网中存在着大量的僵尸主机和僵尸网络，在商业利益的驱使下，DDoS 攻击已 经成为互联网面临的重要安全威胁。 根据采用的攻击报文类型的不同，网络中目前存在多种 DDoS 攻击类型。NGFW 可以防 范以下几种常见的DDoS 攻击：SYN Flood、UDP Flood 、ICMP Flood、HTTP Flood、HTTPS Flood、DNS Flood 和SIP Flood 攻击。 DDoS 攻击防范流程 NGFW 上DDoS 攻击防范的流程如下。 1. 系统启动流量统计 由于不同的攻击类型采用的攻击报文不同，因此NGFW 需要开启流量统计功能，对经过 自身的各种流量进行统计，以区分攻击流量和正常流量。另外，开启了流量统计功能便于系统 根据统计结果来判断攻击流量是否超过预先设定的阈值。 NGFW 通过绑定接口的方式来开启流量统计功能，并对来自