-拓展任务3.6-1H3C防火墙技术专题培训 课件.ppt

1、0专 业 务 实 学 以 致 用学习情境学习情境3 3：拓展任务：拓展任务H3CH3C防火墙技术专题培训防火墙技术专题培训1专 业 务 实 学 以 致 用n 防火墙作为维护网络安全的关键设备，在当今网络防火墙作为维护网络安全的关键设备，在当今网络安全防范体系架构中发挥着极其重要的作用。安全防范体系架构中发挥着极其重要的作用。n 本课程系统地介绍了防火墙技术的应用背景、发展本课程系统地介绍了防火墙技术的应用背景、发展历程、应具备的重要功能以及工作模式等。历程、应具备的重要功能以及工作模式等。引入引入2专 业 务 实 学 以 致 用n 了解为什么需要防火墙了解为什么需要防火墙n 了解什么是防火墙了

2、解什么是防火墙n 掌握防火墙技术的演进掌握防火墙技术的演进n 重点掌握防火墙应具备的重要功能重点掌握防火墙应具备的重要功能n 掌握防火墙的三种工作模式掌握防火墙的三种工作模式课程目标课程目标学习完本课程，您应该能够：学习完本课程，您应该能够：3专 业 务 实 学 以 致 用n 防火墙的发展背景及技术演进防火墙的发展背景及技术演进n 防火墙应具备的重要功能防火墙应具备的重要功能n 防火墙的工作模式防火墙的工作模式目录目录4专 业 务 实 学 以 致 用Internet为什么需要防火墙为什么需要防火墙Internet的开放性导致网络安全威胁无处不在的开放性导致网络安全威胁无处不在拒绝服务攻击拒绝服

3、务攻击ARP攻击泛滥攻击泛滥未授权资源访问未授权资源访问非法资源访问非法资源访问各种协议漏洞攻击各种协议漏洞攻击没有防火墙的没有防火墙的Internet千疮百孔千疮百孔5专 业 务 实 学 以 致 用什么是防火墙什么是防火墙l一种放置于本地网络和外部网络之间的防御系统，一种放置于本地网络和外部网络之间的防御系统，外部网络和本地网络之间交互的所有数据流都需要外部网络和本地网络之间交互的所有数据流都需要经过防火墙的处理之后，才能决定能否将这些数据经过防火墙的处理之后，才能决定能否将这些数据放行，一旦发现异常数据流，防火墙就将其拦截下放行，一旦发现异常数据流，防火墙就将其拦截下来，实现对本地网络的保

4、护功能。来，实现对本地网络的保护功能。l外网访问内网、内网访问外网的所有通信过程都必外网访问内网、内网访问外网的所有通信过程都必须经过防火墙。须经过防火墙。l只有防火墙安全策略允许的通信才允许通过。只有防火墙安全策略允许的通信才允许通过。本地网络本地网络可信任的网络，如受保护的公司或企业内部网络外部网络外部网络不可信任的网络，如开放式的因特网6专 业 务 实 学 以 致 用防火墙技术演进防火墙技术演进根据配置的根据配置的ACL规则规则，允许一些数据包通，允许一些数据包通过，同时阻塞其它数过，同时阻塞其它数据包。据包。ACL规则可以规则可以根据网络层协议（如根据网络层协议（如源源/目的目的IP）

5、中的地址）中的地址信息或者传输层（如信息或者传输层（如源源/目的端口等）信息目的端口等）信息制定。制定。包过滤包过滤防火墙防火墙应用代理应用代理防火墙防火墙状态检测状态检测防火墙防火墙部署在受信网络与非部署在受信网络与非受信网络之间，代替受信网络之间，代替各种网络客户端执行各种网络客户端执行应用层连接，即提供应用层连接，即提供代理服务。与包过滤代理服务。与包过滤防火墙不同的是，其防火墙不同的是，其所有访问都在应用层所有访问都在应用层中进行控制。中进行控制。比包过滤防火墙具有比包过滤防火墙具有更高的智能性和安全更高的智能性和安全性。会话成功建立连性。会话成功建立连接以后，记录状态信接以后，记录状

6、态信息并实时更新，所有息并实时更新，所有会话数据都要与状态会话数据都要与状态表信息相匹配，否则表信息相匹配，否则会话将被阻断。会话将被阻断。现代防火墙基本为上述三种类型防火墙的综合体，现代防火墙基本为上述三种类型防火墙的综合体，即采用状态检测型包过滤技术，同时提供透明应用代理功能。即采用状态检测型包过滤技术，同时提供透明应用代理功能。7专 业 务 实 学 以 致 用n 防火墙的发展背景及技术演进防火墙的发展背景及技术演进n 防火墙应具备的重要功能防火墙应具备的重要功能n 防火墙的工作模式防火墙的工作模式目录目录8专 业 务 实 学 以 致 用防火墙应具备的重要功能防火墙应具备的重要功能防火墙防

7、火墙包过滤包过滤安全区域安全区域黑名单黑名单ASPFNATALGARP防攻击防攻击攻击防范攻击防范Web过滤过滤双机热备双机热备会话管理会话管理域间策略域间策略9专 业 务 实 学 以 致 用安全域安全域为什么需要安全域？为什么需要安全域？l传统防火墙通常都基于接口进行策略配置，网络管理员需要传统防火墙通常都基于接口进行策略配置，网络管理员需要为每一个接口配置安全策略。为每一个接口配置安全策略。l防火墙的端口朝高密度方向发展，基于接口的策略配置方式防火墙的端口朝高密度方向发展，基于接口的策略配置方式给网络管理员带来了极大的负担，安全策略的维护工作量成给网络管理员带来了极大的负担，安全策略的维护

8、工作量成倍增加，从而也增加了因为配置引入安全风险的概率。倍增加，从而也增加了因为配置引入安全风险的概率。教学楼#1教学楼#2教学楼#3服务器群办公楼#1办公楼#2实验楼#1实验楼#2宿舍楼 Internet配置维护配置维护太复杂了太复杂了！10专 业 务 实 学 以 致 用安全域安全域什么是安全域？什么是安全域？l将安全需求相同的接口划分到不同的域，实现将安全需求相同的接口划分到不同的域，实现策略的分层管理。策略的分层管理。SecPath系列防火墙系列防火墙TrustUntrustInternet教学楼教学楼办公楼办公楼实验楼实验楼宿舍楼宿舍楼DMZWeb服务器服务器FTP服务器服务器邮件服务

9、器邮件服务器打印服务器打印服务器配置维护配置维护简单多了简单多了！11专 业 务 实 学 以 致 用Trust安全域安全域域间策略域间策略市场部门市场部门129.111.0.0/16SecPath系列防火墙系列防火墙研发部门研发部门129.112.0.0/16域间策略域间策略Source ZoneDestination ZoneSource IP/MaskDestination IP/MaskServiceTime RangeActionTrustUntrust129.111.0.0/16anyany每周一到周五的8:30到18:00permitTrustUntrustanyanyanyany

10、denyUntrustDMZanymail.h3cMAILanydenyTrustDMZ129.112.0.0/16h3cHTTP/HTTPSanypermitUntrustInternetDMZWeb Serverh3cMail Servermail.h3cl Trust区域的市场部门员工在上班时区域的市场部门员工在上班时间可以访问间可以访问Internetl Untrust区域在任何时候都不允许访区域在任何时候都不允许访问问DMZ区域的邮件服务器区域的邮件服务器l Trust区域的研发部门员工在任何时区域的研发部门员工在任何时候都可以访问候都可以访问DMZ区域的区域的Web服务器服务器12

11、专 业 务 实 学 以 致 用安全域安全域流与会话流与会话l流（流（Flow），是一个单方向的概念，根据报文所携），是一个单方向的概念，根据报文所携带的三元组或者五元组唯一标识。带的三元组或者五元组唯一标识。l根据根据IP层协议的不同，流分为四大类：层协议的不同，流分为四大类：TCP流：通过五元组唯一标识流：通过五元组唯一标识UDP流：通过五元组唯一标识流：通过五元组唯一标识ICMP流：通过三元组流：通过三元组+ICMP type+ICMP code唯一标识唯一标识RAW IP流：不属于上述协议的，通过三元组标识流：不属于上述协议的，通过三元组标识l会话（会话（Session），是一个双向的概

12、念，一个会话），是一个双向的概念，一个会话通常关联两个方向的流，一个为会话发起方（通常关联两个方向的流，一个为会话发起方（Initiator），另外一个为会话响应方（），另外一个为会话响应方（Responder）。通过会话所属的任一方向的流特征都可以唯一）。通过会话所属的任一方向的流特征都可以唯一确定该会话以及方向。确定该会话以及方向。13专 业 务 实 学 以 致 用安全域安全域会话的创建会话的创建SecPath系列防火墙系列防火墙TrustUntrustRequestSNY ACKACKTCP SessionSessionl对于对于TCP流，发起方和响应方三次握手后建立稳流，发起方和响应方

13、三次握手后建立稳定会话。定会话。l对于对于UDP/ICMP/Raw IP流，发起方和响应方完整流，发起方和响应方完整交互一次报文后建立稳定会话。交互一次报文后建立稳定会话。ReplyUDP/ICMP/Raw IP SessionSessionSYN14专 业 务 实 学 以 致 用包过滤技术基础包过滤技术基础l什么是包过滤？什么是包过滤？包过滤是访问控制技术的一种，对于需要转发的数据包过滤是访问控制技术的一种，对于需要转发的数据包，首先获取包头信息（包括源地址、目的地址、源包，首先获取包头信息（包括源地址、目的地址、源端口和目的端口等），然后与设定的策略进行比较，端口和目的端口等），然后与设定

14、的策略进行比较，根据比较的结果对数据包进行相应的处理（允许通过根据比较的结果对数据包进行相应的处理（允许通过或直接丢弃）。或直接丢弃）。l包过滤技术基础包过滤技术基础ACL（Access List Control：访问控制列表）是实现：访问控制列表）是实现包过滤的基础技术，其作用是定义报文匹配规则。包过滤的基础技术，其作用是定义报文匹配规则。当防火墙端口接收到报文后，即根据当前端口上应用当防火墙端口接收到报文后，即根据当前端口上应用的的ACL规则对报文字段进行分析，在识别出特定的报规则对报文字段进行分析，在识别出特定的报文之后，根据预先设定的策略允许或禁止该报文通过文之后，根据预先设定的策略允

15、许或禁止该报文通过。15专 业 务 实 学 以 致 用包过滤包过滤基本基本ACLACLl基本基本ACL：只根据源：只根据源IP地址信息制定匹配规则。地址信息制定匹配规则。办公楼办公楼10.1.0.0/16访问控制列表访问控制列表Source IP/MaskAction10.1.0.0/16permit10.2.0.0/16permit10.3.0.0/16denySecPath系列防火墙系列防火墙Internet实验楼实验楼10.3.0.0/16宿舍楼宿舍楼10.2.0.0/16l 办公楼用户可以访问办公楼用户可以访问Internetl 宿舍楼用户可以访问宿舍楼用户可以访问Internetl

16、实验楼用户不允许访问实验楼用户不允许访问I16专 业 务 实 学 以 致 用包过滤包过滤高级高级ACLACLl高级高级ACL根据报文的源/目的IP地址、协议类型、协议的特性（如TCP或UDP的源端口、目的端口、TCP标记、ICMP协议的消息类型、消息码等）等来制定匹配规则。财务部门财务部门129.111.1.2/24SecPath系列防火墙系列防火墙市场部门市场部门研发部门研发部门工资查询服务器工资查询服务器129.110.1.2/24访问控制列表访问控制列表Source IP/MaskDestination IP/MaskAction129.111.1.2/24129.110.1.2/24p

17、ermitany129.110.1.2/24denyl 财务部门可以访问工资服务器财务部门可以访问工资服务器l 其它所有部门都不允许访问其它所有部门都不允许访问17专 业 务 实 学 以 致 用包过滤包过滤二层二层ACLACLl二层二层ACL根据报文的源根据报文的源MAC地址、目的地址、目的MAC地址、地址、802.1p优先级、二层协议类型等制定匹配规则。优先级、二层协议类型等制定匹配规则。网络实验室主管网络实验室主管192.168.1.20002-6779-0F4C网络实验室职员网络实验室职员192.168.1.300A0-2470-FEBD访问控制列表访问控制列表Source MACDes

18、tination MACAction0002-6779-0F4C00F0-1236-5383permitany00F0-1236-5383denyl 网络实验室主管可以访问防火墙网络实验室主管可以访问防火墙l 其它职员都不允许访问其它职员都不允许访问InternetSecPath系列防火墙系列防火墙192.168.1.100F0-1236-18专 业 务 实 学 以 致 用包过滤包过滤基于时间段的包过滤基于时间段的包过滤l时间段用于描述一个特殊的时间范围。通过在时间段用于描述一个特殊的时间范围。通过在ACL规则下规则下引用时间段，使引用时间段，使ACL规则在指定的时间段内生效，从而实规则在指定

19、的时间段内生效，从而实现基于时间段的现基于时间段的ACL过滤。过滤。l包括周期时间段和绝对时间段两种。包括周期时间段和绝对时间段两种。财务部门财务部门129.111.1.2/24SecPath系列防火墙系列防火墙市场部门市场部门研发部门研发部门工资查询服务器工资查询服务器129.110.1.2/24访问控制列表访问控制列表Source IP/MaskDestination IP/MaskTime RangeAction129.111.1.2/24129.110.1.2/24-permitany129.110.1.2/24每周一到周五的8:30到18:00denyl 财务部门任何时候都可以访问工

20、资财务部门任何时候都可以访问工资查询服务器查询服务器l 其它所有部门在上班时间不允许访其它所有部门在上班时间不允许访问问19专 业 务 实 学 以 致 用黑名单黑名单基本概念基本概念l什么是黑名单？什么是黑名单？根据报文的源根据报文的源IP地址进行过滤的一种方式，同包过滤功能地址进行过滤的一种方式，同包过滤功能相比，黑名单进行匹配的参数非常简单，可以实现高效率相比，黑名单进行匹配的参数非常简单，可以实现高效率的报文过滤，从而有效地屏蔽特定的报文过滤，从而有效地屏蔽特定IP地址发送来的报文。地址发送来的报文。10.1.1.10010.1.1.200黑名单黑名单Source IP10.1.1.20

21、0SecPath系列防火墙系列防火墙I20专 业 务 实 学 以 致 用黑名单黑名单两种方式两种方式l静态添加静态添加：由网络管理员手工添加到黑名单。：由网络管理员手工添加到黑名单。l动态添加动态添加：当防火墙中根据报文的行为特征察觉到特定：当防火墙中根据报文的行为特征察觉到特定IP地址的攻击企图之后，通过主动修改黑名单列表将该地址的攻击企图之后，通过主动修改黑名单列表将该IP地地址发送的报文过滤掉。址发送的报文过滤掉。10.1.1.10010.1.1.200SecPath系列防火墙系列防火墙Internet!l 用户用户10.1.1.200正在进行正在进行端口扫描端口扫描，自动将其加入，自动

22、将其加入黑名单。黑名单。l 用户用户10.1.1.210正在进行正在进行地址扫描地址扫描，自动将其加入，自动将其加入黑名单。黑名单。l 用户用户10.1.1.220试图以暴力猜测方式登录防火墙试图以暴力猜测方式登录防火墙，自动将其加入黑名单。自动将其加入黑名单。l 21专 业 务 实 学 以 致 用黑名单黑名单表项的老化表项的老化l永久老化永久老化：永久黑名单表项建立后一直存在，除非用：永久黑名单表项建立后一直存在，除非用户手工删除该表项。户手工删除该表项。l非永久老化非永久老化：用户可以指定一个生存时间，超出生存：用户可以指定一个生存时间，超出生存时间后，防火墙自动将该黑名单表项删除，黑名单

23、表时间后，防火墙自动将该黑名单表项删除，黑名单表项对应的项对应的IP地址发送的报文可正常通过。地址发送的报文可正常通过。10分钟之后分钟之后10.1.1.200黑名单黑名单Source IPLifetime10.1.1.20010min.10.1.1.21060min.Internet10.1.1.200黑名单黑名单Source IPLifetime10.1.1.21060min.InternetSecPath系列防火墙系列防火墙SecPath系列防火墙系列防火墙22专 业 务 实 学 以 致 用ASPFASPF为什么需要为什么需要ASPFASPF？l传统的包过滤技术只能根据传统的包过滤技术只

24、能根据IP报文中的源报文中的源/目目的的IP、源、源/目的端口来制定防火墙规则，对于目的端口来制定防火墙规则，对于多通道协议，其数据通道是动态协商的，无法多通道协议，其数据通道是动态协商的，无法预先知道数据通道的地址和端口，所以也无法预先知道数据通道的地址和端口，所以也无法制定完善的安全策略。制定完善的安全策略。lASPF（Application Specific Packet Filter：基于应用层的包过滤）与：基于应用层的包过滤）与ALG配合，可以实配合，可以实现现动态通道检测动态通道检测和和应用状态检测应用状态检测两大功能，是两大功能，是比传统包过滤技术更高级的一种防火墙技术。比传统包

25、过滤技术更高级的一种防火墙技术。23专 业 务 实 学 以 致 用ASPFASPF动态通道检测动态通道检测l多通道协议的报文交互过程中需要协商动态通道的地址多通道协议的报文交互过程中需要协商动态通道的地址和端口，和端口，ALG通过记录报文交互过程中的动态通道地通过记录报文交互过程中的动态通道地址和端口，与址和端口，与ASPF一起配合决定哪些报文允许通过。一起配合决定哪些报文允许通过。内网主机内网主机FTP服务器服务器SecPath系列防火墙系列防火墙内网主机与内网主机与FTP服务器之间建立控制通道服务器之间建立控制通道发送Port报文PORT(IP,Port)ALG处理处理记录记录IP和和Po

26、rtPORT(IP,Port)仅允许目的地址和目的端口是IP、Port的报文通过其它目的地址和端口的报文拒绝通过24专 业 务 实 学 以 致 用ASPFASPF应用状态检测应用状态检测l通过解析、记录应用层报文的状态信息，记录会话的通过解析、记录应用层报文的状态信息，记录会话的上下文信息，对即将到来的报文做预测，对于不符合上下文信息，对即将到来的报文做预测，对于不符合要求的报文进行丢弃，实现应用层状态的跟踪检测。要求的报文进行丢弃，实现应用层状态的跟踪检测。公网主机公网主机FTP服务器服务器SecPath系列防火墙系列防火墙公网主机向私网FTP服务器发起连接请求USER命令正常通过发送PAS

27、V命令，被丢弃私网FTP服务器要求公网主机输入密码发送PORT命令，被丢弃PASS命令正常通过发送其它命令，被丢弃25专 业 务 实 学 以 致 用NATNAT为什么需要为什么需要NATNAT？lNAT（Network Addressing Translation：网络地址转换）网络地址转换）问题问题如何应对如何应对IPv4IPv4地址日益短缺的问题？地址日益短缺的问题？如何有效隐藏私网内部结构？如何有效隐藏私网内部结构？解决之道解决之道NAT26专 业 务 实 学 以 致 用NATNAT基本原理和实现方式基本原理和实现方式l基本原理基本原理仅在私网主机需要访问仅在私网主机需要访问Intern

28、et时才会分配到合法的公网地址，而时才会分配到合法的公网地址，而在内部互联时则使用私网地址。当访问在内部互联时则使用私网地址。当访问Internet的报文经过防火墙的报文经过防火墙时，会用一个合法的公网地址替换原报文中的源时，会用一个合法的公网地址替换原报文中的源IP地址，并对这种地址，并对这种转换进行记录；之后，当报文从转换进行记录；之后，当报文从Internet侧返回时，防火墙查询原侧返回时，防火墙查询原有的记录，将报文的目的地址再替换回原来的私网地址，并送回发有的记录，将报文的目的地址再替换回原来的私网地址，并送回发出请求的主机。出请求的主机。l实现方式实现方式基本基本NAT方式方式NA

29、PT方式方式NAT Server方式方式Easy IP方式方式27专 业 务 实 学 以 致 用NATNAT基本基本NATNAT方式方式10.1.1.200211.100.7.38NAT地址池地址池162.15.18.65162.15.18.66162.15.18.67NAT转换表项转换表项方向NAT转换前NAT转换后Outbound10.1.1.200162.15.18.65Inbound162.15.18.6510.1.1.200SecPath系列防火墙系列防火墙1、只转换、只转换IP地址，对地址，对TCP/UDP协议端口号不做处理。协议端口号不做处理。2、一个公网、一个公网IP地址不能同

30、时被多个用户使用。地址不能同时被多个用户使用。!源10.1.1.200目的10.1.1.200源162.15.18.65目的162.15.18.65内网主机内网主机外网服务器外网服务器28专 业 务 实 学 以 致 用NATNAPTNATNAPT方式方式10.1.1.100211.100.7.38NAT地址池地址池162.15.18.65162.15.18.66162.15.18.67NAPT转换表项转换表项方向NAT转换前NAT转换后Outbound10.1.1.100:1025162.15.18.65:16384Inbound162.15.18.65:1638410.1.1.100:102

31、5Outbound10.1.1.200:1028162.15.18.65:16400Inbound162.15.18.65:1640010.1.1.200:1028SecPath系列防火墙系列防火墙源10.1.1.100:1025目的10.1.1.100:1025源162.15.18.65:16384目的162.15.18.65:16384内网主机内网主机A外网服务器外网服务器10.1.1.200源10.1.1.200:1028目的10.1.1.200:1028内网主机内网主机B源162.15.18.65:16400目的162.15.18.65:29专 业 务 实 学 以 致 用NATNAT

32、ServerNATNAT Server方式方式211.100.7.310.1.1.2NAT Server162.105.178.6:80 10.1.1.2:80NAT转换表项转换表项方向NAT转换前NAT转换后Outbound10.1.1.2:80162.105.178.6:80Inbound162.105.178.6:8010.1.1.2:80SecPath系列防火墙系列防火墙目的162.105.178.6:80源162.105.178.6:80目的10.1.1.2:80源10.1.1.2:80外网主机外网主机内网服务器内网服务器NAT S30专 业 务 实 学 以 致 用NATEasy I

33、PNATEasy IP方式方式10.1.1.100211.100.7.38Easy IP转换表项转换表项方向NAT转换前NAT转换后Outbound10.1.1.100:1540162.10.2.8:5480Inbound162.10.2.8:548010.1.1.100:1540Outbound10.1.1.200:1586162.10.2.8:5481Inbound162.10.2.8:548110.1.1.200:1586SecPath系列防火墙系列防火墙源10.1.1.100:1540目的10.1.1.100:1540源162.10.2.8:5480目的162.10.2.8:5480内

34、网主机内网主机A外网服务器外网服务器10.1.1.200源10.1.1.200:1586目的10.1.1.200:1586内网主机内网主机B源162.10.2.8:5481目的162.10.2.8:31专 业 务 实 学 以 致 用ALGALG为什么需要为什么需要ALGALG？lALG（Application Layer Gateway：应用层：应用层网关）网关）虽然虽然NAT的应用解决了内网访问外网的问题，但很多的应用解决了内网访问外网的问题，但很多应用层协议都包含多通道的信息，比如多媒体协议、应用层协议都包含多通道的信息，比如多媒体协议、FTP、DNS等，这种多通道协议的应用首先需要在控等

35、，这种多通道协议的应用首先需要在控制通道中对后续数据通道的地址和端口进行协商，然制通道中对后续数据通道的地址和端口进行协商，然后根据协商结果创建数据通道连接。后根据协商结果创建数据通道连接。NAT仅对报文头仅对报文头中的中的IP地址和端口进行转换，对数据载荷中携带的地地址和端口进行转换，对数据载荷中携带的地址信息无法进行识别和转换，导致应用失效。址信息无法进行识别和转换，导致应用失效。穿越防火墙时需要做穿越防火墙时需要做ALG处理的应用层协议包括：处理的应用层协议包括：FTP、DNS、H.323（包括（包括RAS、H.225、H.245）、）、HTTP、ICMP、ILS、MSN/QQ、NBT、

36、RTSP、SIP、SQLNET、TFTP等。等。32专 业 务 实 学 以 致 用ALGFTPALGFTP的的ALGALG应用应用192.168.0.102.2.2.2SecPath系列防火墙系列防火墙内网主机内网主机FTP服务器服务器NAT(192.168.0.10 50.10.10.10)内网主机与内网主机与FTP服务器之间建立控制通道服务器之间建立控制通道发送Port报文（Port 192.168.0.10,1024）ALG处理处理Port报文载荷已被转换（Port 50.10.10.10,5000）FTP服务器向内网主机发起数据连接（2.2.2.2:20 50.10.10.10,500

37、0）FTP服务器向内网主机发起数据连接（2.2.2.2:20 192.168.0.10:1024）ALG处理处理在已经建立的数据连接上进行数据传输在已经建立的数据连接上进行数据传输33专 业 务 实 学 以 致 用ALGDNSALGDNS的的ALGALG应用应用abc 50.10.10.10SecPath系列防火墙系列防火墙DNS服务器服务器NAT(192.168.0.10 50.10.10.10)DNS Queryabc的IP地址是多少？DNS Answerabc的IP地址是50.10.10.10DNS Answerabc的IP地址是192.168.0.10ALG处理处理内网主机内网主机We

38、b服务器服务器34专 业 务 实 学 以 致 用ALGICMPALGICMP差错报文的差错报文的ALGALG应用应用2.2.2.2SecPath系列防火墙系列防火墙内网内网FTP服务器服务器NAT(192.168.0.10 50.10.10.10)外网主机向50.10.10.10发起FTP连接ALG处理处理外网主机外网主机192.168.0.10请求报文的目的地址被转换成192.168.0.10FTP服务器的21端口未打开，发送ICMP端口不可达报文，该报文数据载荷中的目的IP地址未192.168.0.10ICMP报文数据载荷中的目的IP地址为35专 业 务 实 学 以 致 用ARPARP防攻

39、击防攻击什么是什么是ARPARP？lARP（Address Resolution Protocol：地址解：地址解析协议）是将析协议）是将IP地址解析为以太网地址解析为以太网MAC地址（地址（或称为物理地址）的协议。或称为物理地址）的协议。主机主机A192.168.1.10002-6779-0F4C主机主机B192.168.1.200A0-2470-FEBDSenderMAC AddressSenderIP AddressTargetMAC AddressTargetIP Address0002-6779-0F4C192.168.1.10000-0000-0000192.168.1.2Send

40、erMAC AddressSenderIP AddressTargetMAC AddressTargetIP Address00A0-2470-FEBD192.168.1.20002-6779-0F4C36专 业 务 实 学 以 致 用ARPARP防攻击防攻击为什么为什么ARPARP攻击容易发生？攻击容易发生？lARP协议是基于网络中的所有主机或者网关都为可信任的协议是基于网络中的所有主机或者网关都为可信任的前提而制定的，导致在前提而制定的，导致在ARP协议中没有任何认证的机制。协议中没有任何认证的机制。l攻击者可以很容易地通过伪造攻击者可以很容易地通过伪造ARP报文，填写错误的源报文，填写错

41、误的源MAC-IP对应关系来实现对应关系来实现ARP攻击。攻击。硬件类型协议类型OP发送端MAC地址发送端IP地址目标MAC地址目标IP地址28字节的ARP请求/应答报文结构221 126464硬件地址长度协议地址长度操作类型：1表示ARP请求，2表示ARP应答ARP攻击正是利用攻击正是利用ARP协议本身的缺陷来实现的！协议本身的缺陷来实现的！37专 业 务 实 学 以 致 用ARPARP防攻击防攻击网关仿冒攻击检测网关仿冒攻击检测SecPath系列防火墙系列防火墙IP NetworkIP/MAC绑定关系表绑定关系表Source IPSource MACIP GMAC GGatewayIP A

42、MAC A伪造的伪造的ARP应答：应答：源IP：IP G源MAC：伪造的MACHost AIP BMAC BHost BIP GMAC GIP G对应的MAC地址应该为MAC G，而不是其它的MAC，报文被丢弃。38专 业 务 实 学 以 致 用ARPARP防攻击防攻击中间人攻击检测中间人攻击检测IP AMAC ASecPath系列防火墙系列防火墙伪造的伪造的ARP应答：应答：Host C的MAC为MAC BHost AIP BMAC BHost BIP/MAC绑定关系表绑定关系表IP CMAC CHost CSource IPSource MACIP AMAC AIP BMAC BIP CM

43、AC CHost C对应的MAC地址应该为MAC C，而不是MAC B，报文被丢弃。39专 业 务 实 学 以 致 用攻击防范攻击防范为什么需要攻击防范？为什么需要攻击防范？DoS/DDoS攻击攻击扫描窥探攻击扫描窥探攻击畸形报文攻击畸形报文攻击当前网络面临的安全威胁当前网络面临的安全威胁l 使用大量的数据包攻击目标系统，使目标主机无法接受正常用户的请求，或者使目标主机瘫痪，不能正常工作。l 主要的DoS/DDoS攻击包括：Smurf、Land、WinNuke、SYN Flood、UDP Flood和ICMP Flood攻击。l 利用ping扫描（包括ICMP和TCP）标识网络上存在的活动主机

44、，从而可以准确地定位潜在目标的位置；l 利用TCP和UDP端口扫描检测出目标操作系统和启用的服务类型。l 攻击者通过扫描窥探就能大致了解目标系统提供的服务种类和潜在的安全漏洞，为进一步侵入目标系统做好准备。l 通过向目标系统发送有缺陷的IP报文，如分片重叠的IP报文、TCP标志位非法的报文，使得目标系统在处理这样的IP报文时崩溃，给目标系统带来损失。l 主要的畸形报文攻击有Ping of Death、Teardrop等。40专 业 务 实 学 以 致 用攻击防范攻击防范SmurfSmurf攻击攻击l 向目标网络主机发送向目标网络主机发送ICMP echo请求报文，该请求报文的源地址为被攻击请求

45、报文，该请求报文的源地址为被攻击主机的地址，目的地址为广播地址，这样目标网络的所有主机都对此主机的地址，目的地址为广播地址，这样目标网络的所有主机都对此ICMP应答请求做出答复，导致被攻击主机瘫痪。应答请求做出答复，导致被攻击主机瘫痪。公网黑客主机公网黑客主机被攻击者被攻击者ICMP echo请求报文：请求报文：源源IP为被攻击者地址，目的为被攻击者地址，目的IP为广播地址为广播地址这么多这么多ICMP应应答报文，我处理答报文，我处理不过来了！不过来了！防御方法防御方法：通过检查：通过检查ICMP应答请求报文的目的地址是否为子网广播地址或子应答请求报文的目的地址是否为子网广播地址或子网的网络地

46、址，如果是，则根据用户配置选择对报文进行转发或丢弃。网的网络地址，如果是，则根据用户配置选择对报文进行转发或丢弃。目标网络目标网络大量主机都向被攻击者主机回应报文大量主机都向被攻击者主机回应报文41专 业 务 实 学 以 致 用攻击防范攻击防范LandLand攻击攻击公网黑客主机公网黑客主机被攻击者被攻击者1.2.2.5l 利用利用TCP连接建立的三次握手机制，发送大量的连接建立的三次握手机制，发送大量的TCP SYN报文到被攻击报文到被攻击对象（对象（TCP SYN报文的源和目的地址都设置为受攻击者的报文的源和目的地址都设置为受攻击者的IP地址），导致地址），导致受攻击者创建大量的空受攻击者

47、创建大量的空TCP连接，最终系统资源耗尽。连接，最终系统资源耗尽。源IP：1.2.2.5目的IP：1.2.2.5数据被攻击者的可用资源被攻击者的可用资源空连接正在消耗被空连接正在消耗被攻击者的资源攻击者的资源所有资源都被耗尽所有资源都被耗尽，无法响应正常请，无法响应正常请求求源IP：1.2.2.5目的IP：1.2.2.5数据源IP：1.2.2.5目的IP：1.2.2.5数据防御方法防御方法：通过检测每一个：通过检测每一个IP报文的源地址和目标地址，若两者相同，或者源报文的源地址和目标地址，若两者相同，或者源地址为环回地址地址为环回地址127.0.0.1，则根据用户配置选择对报文进行转发或丢弃。

48、，则根据用户配置选择对报文进行转发或丢弃。42专 业 务 实 学 以 致 用攻击防范攻击防范WinNukeWinNuke攻击攻击l WinNuke攻击是针对任何运行攻击是针对任何运行Windows的主机的的主机的DoS攻击。通过向目标攻击。通过向目标主机的主机的NetBIOS端口（端口（139）发送）发送OOB（Out-of-Band）数据包，这些攻）数据包，这些攻击报文的指针字段与实际的位置不符，引起一个击报文的指针字段与实际的位置不符，引起一个NetBIOS片断重叠，致使片断重叠，致使已经与其它主机建立已经与其它主机建立TCP连接的目标主机在处理这些数据的时候崩溃。连接的目标主机在处理这些

49、数据的时候崩溃。源端口目的端口：139序列号确认号首部长度保留URGACKPSHRSTSYNFIN窗口大小UDP校验和紧急指针选项数据防御方法防御方法：检查进入防火墙的：检查进入防火墙的TCP报文，如果报文目的端口号为报文，如果报文目的端口号为139、URG位位被置位、携带了紧急数据区，则根据用户配置选择对报文进行转发或丢弃。被置位、携带了紧急数据区，则根据用户配置选择对报文进行转发或丢弃。43专 业 务 实 学 以 致 用攻击防范攻击防范SYN FloodSYN Flood攻击攻击l SYN Flood攻击是在采用攻击是在采用IP源地址欺骗行为的基础上，利用源地址欺骗行为的基础上，利用TCP

50、连连接建立时的三次握手过程形成的，是一种通过向目标服务器发送大接建立时的三次握手过程形成的，是一种通过向目标服务器发送大量量TCP SYN报文，消耗其系统资源，削弱目标服务器的服务提供报文，消耗其系统资源，削弱目标服务器的服务提供能力的行为。能力的行为。黑客主机黑客主机被攻击者被攻击者TCB资源资源被耗尽被耗尽SYNSYN/ACKSYNSYN/ACKSYNSYN/ACKSYNSYNSYN客户端客户端服务器服务器SYNsequence=xACK=y+1SYNsequence=y,ACK=x+1建立建立TCP连接连接分配TCB资源分配TCB资源44专 业 务 实 学 以 致 用攻击防范攻击防范SY