防火墙第六章课件.ppt

1、第第6 6章章 防火墙攻击防火墙攻击6.1 6.1 攻击类型和方法攻击类型和方法6.2 6.2 防止攻击的方法防止攻击的方法6.3 6.3 防火墙漏洞防火墙漏洞防火墙目前主要分包过滤、状态检测的包过滤和应用层代理防火墙目前主要分包过滤、状态检测的包过滤和应用层代理3 3大大类防火墙，它们的实现原理都是类似的，一般有两个以上的网卡，类防火墙，它们的实现原理都是类似的，一般有两个以上的网卡，一个连到外部，另一个是连到内部网络。当打开主机网络转发功能一个连到外部，另一个是连到内部网络。当打开主机网络转发功能时，两个网卡间的网络通信能直接通过。当有防火墙时，它好比插时，两个网卡间的网络通信能直接通过。

2、当有防火墙时，它好比插在网卡之间，对所有的网络通信进行控制。防火墙在网络层（包括在网卡之间，对所有的网络通信进行控制。防火墙在网络层（包括以下的数据链路层）接收到网络数据包后，就从规则列表中一条一以下的数据链路层）接收到网络数据包后，就从规则列表中一条一条地匹配，如果符合，就执行预先安排的动作，如没有匹配，就丢条地匹配，如果符合，就执行预先安排的动作，如没有匹配，就丢弃数据包。但是，不同的防火墙，在判断攻击行为时有实现上的差弃数据包。但是，不同的防火墙，在判断攻击行为时有实现上的差别。下面结合实现原理讲述几种可能的攻击。别。下面结合实现原理讲述几种可能的攻击。6.1 6.1 攻击类型和方法攻击

3、类型和方法下一页 返回6.1.1 6.1.1 攻击包过滤防火墙攻击包过滤防火墙包过滤防火墙是最简单的一种防火墙，它在网络层截获网络数包过滤防火墙是最简单的一种防火墙，它在网络层截获网络数据包，根据防火墙的规则表来检测攻击行为。它根据数据包的源据包，根据防火墙的规则表来检测攻击行为。它根据数据包的源IPIP地址、目的地址、目的IPIP地址、地址、TCP/UDPTCP/UDP源端口、源端口、TCP/UDPTCP/UDP目的端口来过滤。防目的端口来过滤。防火墙最容易受到如下攻击：火墙最容易受到如下攻击：1.IP1.IP欺骗攻击欺骗攻击突破防火墙系统最常用的方法是突破防火墙系统最常用的方法是IPIP地

4、址欺骗，它同时也是其他地址欺骗，它同时也是其他一系列攻击方法的基础。之所以使用这个方法，是因为一系列攻击方法的基础。之所以使用这个方法，是因为IPIP自身的缺自身的缺点。点。IPIP协议依据协议依据IPIP头中的目的地址项来发送头中的目的地址项来发送IPIP数据包。数据包。6.1 6.1 攻击类型和方法攻击类型和方法下一页 返回上一页如果目的地址是本地网络内的地址，该如果目的地址是本地网络内的地址，该IPIP包就被直接发送到目包就被直接发送到目的地。如果目的地址不在本地网络内，该的地。如果目的地址不在本地网络内，该IPIP包就会被发送到网关，包就会被发送到网关，再由网关决定将其发送到何处，这是

5、再由网关决定将其发送到何处，这是IPIP路由路由IPIP包的方法。包的方法。黑客或入侵者利用伪造的黑客或入侵者利用伪造的IPIP发送地址产生虚假的数据分组，乔发送地址产生虚假的数据分组，乔装成来自内部站的分组过滤器，这种类型的攻击是非常危险的。关装成来自内部站的分组过滤器，这种类型的攻击是非常危险的。关于涉及的分组真正是内部的还是外部的分组被包装得看起来像内部于涉及的分组真正是内部的还是外部的分组被包装得看起来像内部的种种迹象都已丧失殆尽。只要系统发现发送地址在其自己的范围的种种迹象都已丧失殆尽。只要系统发现发送地址在其自己的范围之内，则它就把该分组按内部通信对待并让其通过。之内，则它就把该分

6、组按内部通信对待并让其通过。6.1 6.1 攻击类型和方法攻击类型和方法下一页 返回上一页这种攻击主要是修改数据包的源、目的地址和端口，模仿一些这种攻击主要是修改数据包的源、目的地址和端口，模仿一些合法的数据包来骗过防火墙的检测。如外部攻击者将他的数据报源合法的数据包来骗过防火墙的检测。如外部攻击者将他的数据报源地址改为内部网络地址，防火墙看到是合法地址就放行了。可是，地址改为内部网络地址，防火墙看到是合法地址就放行了。可是，如果防火墙能结合接口和地址来匹配，这种攻击就不能成功了。如果防火墙能结合接口和地址来匹配，这种攻击就不能成功了。2.DoS2.DoS拒绝服务攻击拒绝服务攻击DoSDoS（

7、Denial of ServiceDenial of Service）也就是）也就是“拒绝服务拒绝服务”的意思。从网的意思。从网络攻击的各种方法和所产生的破坏情况来看，络攻击的各种方法和所产生的破坏情况来看，DoSDoS算是一种很简单但算是一种很简单但又很有效的进攻方式。它的目的就是拒绝服务访问，破坏组织的正又很有效的进攻方式。它的目的就是拒绝服务访问，破坏组织的正常运行，最终它会使部分常运行，最终它会使部分InternetInternet连接和网络系统失效。连接和网络系统失效。6.1 6.1 攻击类型和方法攻击类型和方法下一页 返回上一页DoSDoS的攻击方式有很多种，最基本的的攻击方式有很

8、多种，最基本的DoSDoS攻击就是利用合理的服攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务。务请求来占用过多的服务资源，从而使合法用户无法得到服务。DoSDoS攻击的基本过程是：首先攻击者向服务器发送众多的带有虚攻击的基本过程是：首先攻击者向服务器发送众多的带有虚假地址的请求，服务器发送回复信息后等待回传信息，由于地址是假地址的请求，服务器发送回复信息后等待回传信息，由于地址是伪造的，所以服务器一直等不到回传的消息，分配给这次请求的资伪造的，所以服务器一直等不到回传的消息，分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后，连接会因超时源就始终没有被释

9、放。当服务器等待一定的时间后，连接会因超时而被切断，攻击者会再度传送新的一批请求，在这种反复发送伪地而被切断，攻击者会再度传送新的一批请求，在这种反复发送伪地址请求的情况下，服务器资源最终会被耗尽。址请求的情况下，服务器资源最终会被耗尽。6.1 6.1 攻击类型和方法攻击类型和方法下一页 返回上一页简单的包过滤防火墙不能跟踪简单的包过滤防火墙不能跟踪TCPTCP的状态，很容易受到拒绝服务的状态，很容易受到拒绝服务攻击，一旦防火墙受到攻击，一旦防火墙受到DoSDoS攻击，它可能会忙于处理，而忘记了自己攻击，它可能会忙于处理，而忘记了自己的过滤功能。此时，黑客就可以绕过防火墙了，不过这样的攻击还的

10、过滤功能。此时，黑客就可以绕过防火墙了，不过这样的攻击还是很少的。是很少的。3.3.分片攻击分片攻击这种攻击的原理是：在这种攻击的原理是：在IPIP的分片包中，所有的分片包用一个分的分片包中，所有的分片包用一个分片偏移字段标志分片包的顺序，但是，只有第一个分片包含有片偏移字段标志分片包的顺序，但是，只有第一个分片包含有TCPTCP端端口号的信息。当口号的信息。当IPIP分片包通过分组过滤防火墙时，防火墙只根据第分片包通过分组过滤防火墙时，防火墙只根据第一个分片包的一个分片包的TCPTCP信息判断是否允许通过，而其他后续的分片不作防信息判断是否允许通过，而其他后续的分片不作防火墙检测，直接让它们

11、通过。火墙检测，直接让它们通过。6.1 6.1 攻击类型和方法攻击类型和方法下一页 返回上一页这样，攻击者就可以通过先发送第一个合法的这样，攻击者就可以通过先发送第一个合法的IPIP分片，骗过防分片，骗过防火墙的检测，接着封装了恶意数据的后续分片包就可以直接穿透防火墙的检测，接着封装了恶意数据的后续分片包就可以直接穿透防火墙，直接到达内部网络主机，从而威胁网络和主机的安全。火墙，直接到达内部网络主机，从而威胁网络和主机的安全。4.4.木马攻击木马攻击对于包过滤防火墙最有效的攻击就是木马了，一旦在内部网络对于包过滤防火墙最有效的攻击就是木马了，一旦在内部网络安装了木马，防火墙基本上是无能为力的。

12、原因是：包过滤防火墙安装了木马，防火墙基本上是无能为力的。原因是：包过滤防火墙一般只过滤低端口（一般只过滤低端口（1 110241024），而高端口它是不可能过滤的，所以，），而高端口它是不可能过滤的，所以，很多的木马都在高端口打开等待，如冰河、很多的木马都在高端口打开等待，如冰河、subsevensubseven等。但是木马等。但是木马攻击的前提是必须先上传，然后运行木马，对于简单的包过滤防火攻击的前提是必须先上传，然后运行木马，对于简单的包过滤防火墙来说是容易做的。墙来说是容易做的。6.1 6.1 攻击类型和方法攻击类型和方法下一页 返回上一页6.1.2 6.1.2 攻击状态检测的包过滤攻

13、击状态检测的包过滤原先的包过滤，是拿一个一个单独的数据包来匹配规则的。可原先的包过滤，是拿一个一个单独的数据包来匹配规则的。可是大家知道，同一个是大家知道，同一个TCPTCP连接，它的数据包是前后关联的。如果割裂连接，它的数据包是前后关联的。如果割裂这些关系，单独的过滤数据包很容易被精心构造的攻击数据包欺骗，这些关系，单独的过滤数据包很容易被精心构造的攻击数据包欺骗，如如nmapnmap的攻击扫描就利用的攻击扫描就利用SYNSYN包、包、FINFIN包、包、RESETRESET包来探测防火墙后面包来探测防火墙后面的网络。相反，一个完全的状态检测防火墙，它在发起连接就判断，的网络。相反，一个完全

14、的状态检测防火墙，它在发起连接就判断，如果符合规则，就在内存登记了这个连接的状态信息（地址、如果符合规则，就在内存登记了这个连接的状态信息（地址、PortPort、选项选项），后续的属于同一个连接的数据包就不需要检测而直接），后续的属于同一个连接的数据包就不需要检测而直接通过。通过。6.1 6.1 攻击类型和方法攻击类型和方法下一页 返回上一页一般来说，完全实现了状态检测技术的防火墙的智能性都比较一般来说，完全实现了状态检测技术的防火墙的智能性都比较高，一些扫描攻击还能自动地反应，因此，攻击者要很小心才不会高，一些扫描攻击还能自动地反应，因此，攻击者要很小心才不会被发现。但是，也有不少的攻击手

15、段对付这种防火墙的，下面列举被发现。但是，也有不少的攻击手段对付这种防火墙的，下面列举几个例子。几个例子。1.1.协议隧道攻击协议隧道攻击协议隧道的攻击思想类似于协议隧道的攻击思想类似于VPNVPN的实现原理，攻击者将一些恶意的实现原理，攻击者将一些恶意的攻击数据包隐藏在一些协议分组的头部，从而穿透防火墙系统对的攻击数据包隐藏在一些协议分组的头部，从而穿透防火墙系统对内部网络进行攻击。例如，许多简单地允许内部网络进行攻击。例如，许多简单地允许ICMPICMP回应请求、回应请求、ICMPICMP回回应应答和应应答和UDPUDP分组通过的防火墙就容易受到分组通过的防火墙就容易受到ICMPICMP和

16、和UDPUDP协议隧道的攻协议隧道的攻击。击。6.1 6.1 攻击类型和方法攻击类型和方法下一页 返回上一页2.2.利用利用FTP-PASVFTP-PASV绕过防火墙认证的攻击绕过防火墙认证的攻击FTP-PASVFTP-PASV攻击是针对防火墙实施入侵的重要手段之一。目前，攻击是针对防火墙实施入侵的重要手段之一。目前，很多防火墙不能过滤这种攻击手段，如很多防火墙不能过滤这种攻击手段，如Check PointCheck Point的的Firewall-1Firewall-1，在监视在监视FTPFTP服务器发送给客户端的包的过程中，它在每个包中寻找服务器发送给客户端的包的过程中，它在每个包中寻找“

17、227”227”这个字符串。如果发现这种包，将从中提取目标地址和端口，这个字符串。如果发现这种包，将从中提取目标地址和端口，并对目标地址加以验证，通过后，将允许建立到该地址的并对目标地址加以验证，通过后，将允许建立到该地址的TCPTCP连接。连接。攻击者通过这个特性，可以设法连接受防火墙保护的服务器和服务。攻击者通过这个特性，可以设法连接受防火墙保护的服务器和服务。6.1 6.1 攻击类型和方法攻击类型和方法下一页 返回上一页3.3.反弹木马攻击反弹木马攻击反弹木马是对付这种防火墙的最有效的方法。攻击者在内部网反弹木马是对付这种防火墙的最有效的方法。攻击者在内部网络的反弹木马定时地连接外部攻击

18、者控制的主机，由于连接是从内络的反弹木马定时地连接外部攻击者控制的主机，由于连接是从内部发起的，防火墙（任何的防火墙）都认为是一个合法的连接，因部发起的，防火墙（任何的防火墙）都认为是一个合法的连接，因此，基本上防火墙的盲区就是这里了。防火墙不能区分木马的连接此，基本上防火墙的盲区就是这里了。防火墙不能区分木马的连接和合法的连接。和合法的连接。但是这种攻击的局限是：必须首先安装这个木马，所有的木马但是这种攻击的局限是：必须首先安装这个木马，所有的木马的第一步都是关键。的第一步都是关键。6.1 6.1 攻击类型和方法攻击类型和方法下一页 返回上一页6.1.3 6.1.3 攻击代理攻击代理代理是运

19、行在应用层的防火墙，它实质是启动两个连接，一个代理是运行在应用层的防火墙，它实质是启动两个连接，一个是客户到代理，另一个是代理到目的服务器。实现上比较简单，和是客户到代理，另一个是代理到目的服务器。实现上比较简单，和前面一样也是根据规则过滤。这里就以前面一样也是根据规则过滤。这里就以WingateWingate为例，简单介绍攻击为例，简单介绍攻击代理。代理。WingateWingate是目前应用非常广泛的一种是目前应用非常广泛的一种WindowsWindows平台上的代理防火平台上的代理防火墙软件，内部用户可以通过一台安装有墙软件，内部用户可以通过一台安装有WingateWingate的主机访

20、问外部网络，的主机访问外部网络，但是它也存在几个安全脆弱点。黑客经常利用这些安全漏洞获得但是它也存在几个安全脆弱点。黑客经常利用这些安全漏洞获得WingateWingate的非授权的非授权WebWeb，SocksSocks和和TelnetTelnet的访问，从而伪装成的访问，从而伪装成WingateWingate主机的身份对下一个攻击目标发动攻击。主机的身份对下一个攻击目标发动攻击。6.1 6.1 攻击类型和方法攻击类型和方法下一页 返回上一页因此，这种攻击非常难于被跟踪和记录。导致因此，这种攻击非常难于被跟踪和记录。导致WingateWingate安全漏洞安全漏洞的原因大多数是管理员没有根据

21、网络的实际情况对的原因大多数是管理员没有根据网络的实际情况对WingateWingate代理防火代理防火墙软件进行合理地设置，只是简单地从默认设置安装完毕后就让软墙软件进行合理地设置，只是简单地从默认设置安装完毕后就让软件运行，这就给攻击者可乘之机。件运行，这就给攻击者可乘之机。6.1.4 6.1.4 会话劫持攻击会话劫持攻击会话劫持（会话劫持（Session HijackSession Hijack）是一种结合了嗅探以及欺骗技术）是一种结合了嗅探以及欺骗技术在内的攻击手段。从广义上讲，会话劫持就是在一次正常的通信过在内的攻击手段。从广义上讲，会话劫持就是在一次正常的通信过程中，黑客作为第三方

22、参与到其中，或者是在数据流（例如基于程中，黑客作为第三方参与到其中，或者是在数据流（例如基于TCPTCP的会话）里注射额外的信息，或者是将双方的通信模式暗中改变，的会话）里注射额外的信息，或者是将双方的通信模式暗中改变，即从直接联系变成有黑客联系。即从直接联系变成有黑客联系。6.1 6.1 攻击类型和方法攻击类型和方法下一页 返回上一页1.1.攻击原理攻击原理会话劫持利用了会话劫持利用了TCP/IPTCP/IP工作原理来设计攻击。工作原理来设计攻击。TCPTCP使用端到端的使用端到端的连接，即连接，即TCPTCP用来唯一标识每一条已经建立连接的用来唯一标识每一条已经建立连接的TCPTCP链路。

23、另外，链路。另外，TCPTCP在进行数据传输时，在进行数据传输时，TCPTCP报文首部的两个字段序号（报文首部的两个字段序号（seqseq）和确认）和确认序号（序号（ackseqackseq）非常重要。对于一台主机来说，其收发的两个相临）非常重要。对于一台主机来说，其收发的两个相临TCPTCP报文之间的序号和确认序号的关系为：它所要发出的报文中的序报文之间的序号和确认序号的关系为：它所要发出的报文中的序号值应等于它所刚收到的报文中的确认序号值，而它所要发送报文号值应等于它所刚收到的报文中的确认序号值，而它所要发送报文中确认序号值应为它所收到报文中序号的值加上该报文中所发送的中确认序号值应为它所

24、收到报文中序号的值加上该报文中所发送的TCPTCP净荷的长度。净荷的长度。6.1 6.1 攻击类型和方法攻击类型和方法下一页 返回上一页TCPTCP会话劫持的攻击方式可以对基于会话劫持的攻击方式可以对基于TCPTCP的任何应用发起攻击，的任何应用发起攻击，如如HTTPHTTP，FTPFTP，TelnetTelnet等。对于攻击者来说，必须要做的就是窥探到等。对于攻击者来说，必须要做的就是窥探到正在进行正在进行TCPTCP通信的两台主机之间传送的报文，这样攻击者就可以得通信的两台主机之间传送的报文，这样攻击者就可以得知该报文的源知该报文的源IPIP、源、源TCPTCP端口号、目的端口号、目的IP

25、IP、目的、目的TCPTCP端号，从而可以端号，从而可以得知其中一台主机对将要收到的下一个得知其中一台主机对将要收到的下一个TCPTCP报文段中序号和确认序号报文段中序号和确认序号值的要求。这样，在该合法主机收到另一台合法主机发送的值的要求。这样，在该合法主机收到另一台合法主机发送的TCPTCP报文报文前，攻击者根据所截获的信息向该主机发出一个带有净荷的前，攻击者根据所截获的信息向该主机发出一个带有净荷的TCPTCP报文，报文，如果该主机先收到攻击报文，就可以把合法的如果该主机先收到攻击报文，就可以把合法的TCPTCP会话建立在攻击主会话建立在攻击主机与被攻击主机之间。机与被攻击主机之间。6.

26、1 6.1 攻击类型和方法攻击类型和方法下一页 返回上一页带有净荷的攻击报文能够使被攻击主机对下一个要收到的带有净荷的攻击报文能够使被攻击主机对下一个要收到的TCPTCP报报文中的确认序号值的要求发生变化，从而使另一台合法的主机向被文中的确认序号值的要求发生变化，从而使另一台合法的主机向被攻击主机发出的报文被被攻击主机拒绝。攻击主机发出的报文被被攻击主机拒绝。TCPTCP会话劫持攻击方式的好会话劫持攻击方式的好处在于使攻击者避开了被攻击主机对访问者的身份验证和安全认证，处在于使攻击者避开了被攻击主机对访问者的身份验证和安全认证，从而使攻击者直接进入对被攻击主机的访问状态，因此对系统安全从而使攻

27、击者直接进入对被攻击主机的访问状态，因此对系统安全构成的威胁比较严重。构成的威胁比较严重。6.1 6.1 攻击类型和方法攻击类型和方法下一页 返回上一页2.2.攻击工具攻击工具（1 1）JuggernautJuggernautJuggernautJuggernaut是一个可以被用来进行是一个可以被用来进行TCPTCP会话攻击的网络会话攻击的网络sniffersniffer程序。可以运行于程序。可以运行于LinuxLinux操作系统的终端机上，安装和运行都很简单。操作系统的终端机上，安装和运行都很简单。可以设置值、暗号或标志这可以设置值、暗号或标志这3 3种不同的方式来通知种不同的方式来通知Ju

28、ggernautJuggernaut程序是程序是否对所有的网络流量进行观察。例如，一个典型的标记就是登录暗否对所有的网络流量进行观察。例如，一个典型的标记就是登录暗号。无论何时号。无论何时JuggernautJuggernaut发现这个暗号，就会捕获会话，这意味着发现这个暗号，就会捕获会话，这意味着黑客可以利用捕获到的用户密码再次进入系统。黑客可以利用捕获到的用户密码再次进入系统。6.1 6.1 攻击类型和方法攻击类型和方法下一页 返回上一页（2 2）HuntHuntHuntHunt是一个用来听取、截取和劫持网络上的活动会话的程序。是一个用来听取、截取和劫持网络上的活动会话的程序。（3 3）T

29、TY WatcherTTY WatcherTTY WatcherTTY Watcher是一个免费的程序，允许人们监视并且劫持一台单是一个免费的程序，允许人们监视并且劫持一台单一主机上的连接。一主机上的连接。（4 4）IP WatcherIP WatcherIP WatcherIP Watcher是一个商用的会话劫持工具，它允许监视会话并且是一个商用的会话劫持工具，它允许监视会话并且获得积极的反会话劫持方法。它基于获得积极的反会话劫持方法。它基于TTY WatcherTTY Watcher，此外还提供一些，此外还提供一些额外的功能，额外的功能，IP WatcherIP Watcher可以监视整个

30、网络。可以监视整个网络。6.1 6.1 攻击类型和方法攻击类型和方法下一页 返回上一页（5 5）EttercapEttercapEttercapEttercap是一款以太网环境下的网络监视、拦截和记录工具，是一款以太网环境下的网络监视、拦截和记录工具，支持多种主动或被动的协议分析（甚至跟加密相关的支持多种主动或被动的协议分析（甚至跟加密相关的SSHSSH，HTTPSHTTPS等），有数据插入、过滤、保持连接同步等多种功能，也有一个能等），有数据插入、过滤、保持连接同步等多种功能，也有一个能支持多种嗅探模式的、强大而完整的嗅探套件，支持插件，能够检支持多种嗅探模式的、强大而完整的嗅探套件，支持插

31、件，能够检查网络环境是否是交换局域网，并且能使用主动或被动的操作系统查网络环境是否是交换局域网，并且能使用主动或被动的操作系统指纹识别技术了解当前局域网的情况。指纹识别技术了解当前局域网的情况。6.1 6.1 攻击类型和方法攻击类型和方法下一页 返回上一页3.3.会话劫持防范会话劫持防范会话劫持防范是一个比较大的工程。首先应该使用交换式网络会话劫持防范是一个比较大的工程。首先应该使用交换式网络替代共享式网络，虽然像替代共享式网络，虽然像HuntHunt这样的工具可以在交换环境中实现会这样的工具可以在交换环境中实现会话劫持，但还是应该使用交换式网络替代共享式网络，因为这样可话劫持，但还是应该使用

32、交换式网络替代共享式网络，因为这样可以防范最基本的嗅探攻击。然而，最根本的解决办法是采用加密通以防范最基本的嗅探攻击。然而，最根本的解决办法是采用加密通信，使用信，使用SSHSSH代替代替TelnetTelnet、使用、使用SSLSSL代替代替HTTPHTTP，或者干脆使用，或者干脆使用IPSecIPSec/VPN/VPN，这样，会话劫持就无用武之地了。其次，监视网络流量，这样，会话劫持就无用武之地了。其次，监视网络流量，如发现网络中出现大量的如发现网络中出现大量的ACKACK包，则有可能已被进行了会话劫持攻击。包，则有可能已被进行了会话劫持攻击。6.1 6.1 攻击类型和方法攻击类型和方法返

33、回上一页6.2.1 6.2.1 防控防控DDoSDDoS攻击攻击从现在和未来看，防火墙都是抵御从现在和未来看，防火墙都是抵御DoS/DDoSDoS/DDoS攻击的重要组成部攻击的重要组成部分，这是由防火墙在网络拓扑的位置和扮演的角色决定的，下面列分，这是由防火墙在网络拓扑的位置和扮演的角色决定的，下面列举防火墙对付举防火墙对付DoS/DDoSDoS/DDoS攻击的几种有效防范。攻击的几种有效防范。1.1.基于状态的资源控制，保护防火墙资源基于状态的资源控制，保护防火墙资源基于状态的资源控制会自动监视网络内所有的连接状态，当有基于状态的资源控制会自动监视网络内所有的连接状态，当有连接长时间未得到

34、应答就会处于半连接的状态，浪费系统资源，当连接长时间未得到应答就会处于半连接的状态，浪费系统资源，当系统内的半连接超过正常的范围时，就有可能是判断遭受到了攻击。系统内的半连接超过正常的范围时，就有可能是判断遭受到了攻击。防火墙基于状态的资源控制能有效控制此类情况，具体体现在以下防火墙基于状态的资源控制能有效控制此类情况，具体体现在以下5 5点：点：6.2 6.2 防止攻击的方法防止攻击的方法下一页 返回 控制连接、与半连的超时时间；必要时，可以缩短半连接的控制连接、与半连的超时时间；必要时，可以缩短半连接的超时时间，加速半连接的老化。超时时间，加速半连接的老化。限制系统各个协议的最大连接值，保

35、证协议的连接总数不超限制系统各个协议的最大连接值，保证协议的连接总数不超过系统限制，在达到连接上限后删除新建的连接。过系统限制，在达到连接上限后删除新建的连接。限制系统符合条件源限制系统符合条件源/目的主机连接数量。目的主机连接数量。针对源或目的针对源或目的IPIP地址做流限制，地址做流限制，InspectInspect可以限制每个可以限制每个IPIP地地址的资源，用户在资源控制的范围内时，使用并不会受到任何影响，址的资源，用户在资源控制的范围内时，使用并不会受到任何影响，但当用户感染蠕虫病毒或发送攻击报文等情况时，针对流的资源控但当用户感染蠕虫病毒或发送攻击报文等情况时，针对流的资源控制可以

36、限制每个制可以限制每个IPIP地址发送的连接数目，超过限制的连接将被丢弃，地址发送的连接数目，超过限制的连接将被丢弃，这种做法可以有效抑制病毒产生攻击的效果。这种做法可以有效抑制病毒产生攻击的效果。6.2 6.2 防止攻击的方法防止攻击的方法下一页 返回上一页 单位时间内如果穿过防火墙的单位时间内如果穿过防火墙的“同类同类”数据流超过门限值后，数据流超过门限值后，可以设定对该种类的数据流进行阻断，对于防止可以设定对该种类的数据流进行阻断，对于防止IPIP，ICMPICMP，UDPUDP等非等非连接的连接的FloodFlood攻击具有很好的防御效果。攻击具有很好的防御效果。2.2.智能智能TCP

37、TCP代理有效防范代理有效防范SYN FloodSYN Flood这种攻击利用这种攻击利用TCPTCP协议缺陷，发送大量伪造的协议缺陷，发送大量伪造的TCPTCP连接请求，从连接请求，从而使得被攻击方资源耗尽（而使得被攻击方资源耗尽（CPUCPU满负荷或内存不足）。防火墙工作时，满负荷或内存不足）。防火墙工作时，并不会立即开启并不会立即开启TCPTCP代理（以免影响速度），只有当网络中的代理（以免影响速度），只有当网络中的TCPTCP半半连接达到系统设置的连接达到系统设置的TCPTCP代理启动警戒线时，正常代理启动警戒线时，正常TCP InterceptTCP Intercept会会自动启动，

38、并且当系统的自动启动，并且当系统的TCPTCP半连接超过系统半连接超过系统TCP InterceptTCP Intercept高警戒高警戒线时，系统进入入侵模式，线时，系统进入入侵模式，6.2 6.2 防止攻击的方法防止攻击的方法下一页 返回上一页此时新连接会覆盖旧的此时新连接会覆盖旧的TCPTCP连接；此后，系统全连接数增多，半连接；此后，系统全连接数增多，半连接数减小，当半连接数降到入侵模式低警戒线时，系统退出入侵连接数减小，当半连接数降到入侵模式低警戒线时，系统退出入侵模式。如果此时攻击停止，系统半连接数量逐渐降到模式。如果此时攻击停止，系统半连接数量逐渐降到TCPTCP代理启动警代理启

39、动警戒线以下，智能戒线以下，智能TCPTCP代理模块停止工作。通过智能代理模块停止工作。通过智能TCPTCP代理可以有效代理可以有效防止防止SYN FloodSYN Flood攻击，保证网络资源安全。攻击，保证网络资源安全。3.3.利用利用NetFlowNetFlow对对DoSDoS攻击和病毒监测攻击和病毒监测支持支持NetFlowNetFlow功能的防火墙，将网络交换中的资料包识别为流的功能的防火墙，将网络交换中的资料包识别为流的方式加以记录，并封装为方式加以记录，并封装为UDPUDP资料包发送到分析器上，这样就为网络资料包发送到分析器上，这样就为网络管理、流量分析和监控、入侵检测等提供了丰

40、富的资料来源，即可管理、流量分析和监控、入侵检测等提供了丰富的资料来源，即可以在不影响转发性能的同时记录、发送以在不影响转发性能的同时记录、发送NetFlowNetFlow信息，信息，6.2 6.2 防止攻击的方法防止攻击的方法下一页 返回上一页并能够利用一些流量分析工具对接收到的资料进行分析、处理，并能够利用一些流量分析工具对接收到的资料进行分析、处理，从而可以统计出每天流量的从而可以统计出每天流量的TOP TENTOP TEN或者业务的或者业务的TOP TENTOP TEN等，以此作等，以此作为标准，当发现网络流量异常的时候，就可以利用为标准，当发现网络流量异常的时候，就可以利用NetFl

41、owNetFlow有效地查有效地查找、定位找、定位DDoSDDoS攻击的来源。攻击的来源。6.2.2 6.2.2 防范溢出策略防范溢出策略“溢出溢出”一直以来都是很多黑帽子黑客最常用的手段之一，随一直以来都是很多黑帽子黑客最常用的手段之一，随着安全文化的逐步普及，大量的公开着安全文化的逐步普及，大量的公开shellcodeshellcode（“溢出溢出”代码）与代码）与溢出攻击原理都可以随意在各大的网络安全网站中找到，由此衍生溢出攻击原理都可以随意在各大的网络安全网站中找到，由此衍生了一系列的安全隐患。了一系列的安全隐患。6.2 6.2 防止攻击的方法防止攻击的方法下一页 返回上一页目前，大多

42、的防火墙系统都是针对包过滤规则进行安全防御的，目前，大多的防火墙系统都是针对包过滤规则进行安全防御的，这种类型的防火墙再高也只能工作在传输层，而溢出程序的这种类型的防火墙再高也只能工作在传输层，而溢出程序的shellcodeshellcode是放在应用层的，因此对这类攻击就无能为力了。对这种是放在应用层的，因此对这类攻击就无能为力了。对这种漏洞的解决方案如下：漏洞的解决方案如下：1.1.对希望保护的主机实行对希望保护的主机实行“单独开放端口单独开放端口”访问控制策略访问控制策略所谓所谓“单独开放端口单独开放端口”就是指只开放需要提供的端口，对于不就是指只开放需要提供的端口，对于不需要提供服务的

43、端口实行过滤策略。远程溢出的攻击实施流程：一，需要提供服务的端口实行过滤策略。远程溢出的攻击实施流程：一，使用缺陷扫描器找到存在远程溢出漏洞的主机；二，确认其版本号使用缺陷扫描器找到存在远程溢出漏洞的主机；二，确认其版本号（如果有需要的话）；三，使用（如果有需要的话）；三，使用ExploitExploit（攻击程序）发送（攻击程序）发送shellcodeshellcode；6.2 6.2 防止攻击的方法防止攻击的方法下一页 返回上一页四，确认远程溢出成功后使用四，确认远程溢出成功后使用NCNC或或TelnetTelnet等程序连接被溢出主等程序连接被溢出主机的端口；五，得到机的端口；五，得到S

44、hellShell。使用。使用“单独开放端口单独开放端口”策略的解决方案策略的解决方案对整个远程溢出过程所发生的前三步都是无能为力的，但第四步这对整个远程溢出过程所发生的前三步都是无能为力的，但第四步这个策略能有效地阻止黑客连上有缺陷主机的被溢出端口，从而切断个策略能有效地阻止黑客连上有缺陷主机的被溢出端口，从而切断了黑客的恶意攻击手段。了黑客的恶意攻击手段。2.2.使用应用层防火墙系统使用应用层防火墙系统这里所谓的应用层并不是想特别指明该防火墙工作在应用层，这里所谓的应用层并不是想特别指明该防火墙工作在应用层，而是想指明它能在应用层对数据进行处理。由于应用层的协议而是想指明它能在应用层对数据

45、进行处理。由于应用层的协议/服务服务种类比较多，因此针对应用层形式的防火墙就有一定的市场局限性种类比较多，因此针对应用层形式的防火墙就有一定的市场局限性了。了。6.2 6.2 防止攻击的方法防止攻击的方法下一页 返回上一页应用层中的应用层中的HTTPHTTP协议防火墙系统不多，它的基本防御原理与特协议防火墙系统不多，它的基本防御原理与特点是当服务端接收到一个发送至点是当服务端接收到一个发送至TCP 80TCP 80端口的数据包时，首先就会端口的数据包时，首先就会将该包转移至将该包转移至SecureIISSecureIIS，SecureIISSecureIIS就会对该包进行分析并解码该就会对该包

46、进行分析并解码该包的应用层数据，将得到的数据与本身定制的规则进行数据配对，包的应用层数据，将得到的数据与本身定制的规则进行数据配对，一旦发现条件相符的数值就会执行规则所指定的相应操作。一旦发现条件相符的数值就会执行规则所指定的相应操作。3.3.使用使用IDSIDS功能的防火墙系统功能的防火墙系统现在国内自主开发的防火墙系统可谓是进入现在国内自主开发的防火墙系统可谓是进入“白热化白热化”了，什了，什么百兆、千兆、么百兆、千兆、2U2U、4U4U性能参数的比较已经日趋激烈，开始有性能参数的比较已经日趋激烈，开始有不少厂商将技术重点转移在不少厂商将技术重点转移在“多功能多功能”的方面，使用这类产品可

47、以的方面，使用这类产品可以达到监控应用层数据的效果。达到监控应用层数据的效果。6.2 6.2 防止攻击的方法防止攻击的方法返回上一页6.3.1 Cisco PIX6.3.1 Cisco PIX防火墙的漏洞防火墙的漏洞1.Cisco PIX1.Cisco PIX管理程序存在漏洞管理程序存在漏洞用过用过Cisco PIXCisco PIX的用户都知道，的用户都知道，PIX Firewall ManagerPIX Firewall Manager（PFMPFM）是允许是允许Cisco PIXCisco PIX防火墙设备可以通过基于防火墙设备可以通过基于Web GUIWeb GUI来进行配置的工来进行

48、配置的工具，具，PFMPFM安装并运行在安装并运行在Windows NTWindows NT上，在上，在PFMPFM成功连接成功连接Cisco PIXCisco PIX设备设备后，后，enableenable密码以明文方式存储在机器上。密码存储在安装时候建密码以明文方式存储在机器上。密码存储在安装时候建立的目录下的未加密日志文件中，而且没有访问限制，如果此管理立的目录下的未加密日志文件中，而且没有访问限制，如果此管理系统被破坏，攻击者就可以获得密码而全部控制系统被破坏，攻击者就可以获得密码而全部控制Cisco PIXCisco PIX防火墙系防火墙系统。统。6.3 6.3 防火墙漏洞防火墙漏洞

49、下一页 返回2.Cisco PIX TACACS+2.Cisco PIX TACACS+的的DoSDoS的漏洞的漏洞当当Cisco PIXCisco PIX防火墙同时收到多个未授权用户的防火墙同时收到多个未授权用户的TACACS+TACACS+验证请验证请求时，系统特别容易受到资源短缺及资源耗尽的攻击。一旦受到这求时，系统特别容易受到资源短缺及资源耗尽的攻击。一旦受到这种攻击，防火墙系统便不能正常运行，只有重新启动机器，系统才种攻击，防火墙系统便不能正常运行，只有重新启动机器，系统才能恢复正常。能恢复正常。解决方案：将防火墙的固件更新至解决方案：将防火墙的固件更新至5.3.15.3.1以上版本

50、。以上版本。6.3 6.3 防火墙漏洞防火墙漏洞下一页 返回上一页6.3.2 Check Point6.3.2 Check Point防火墙的漏洞防火墙的漏洞1.Firewall-11.Firewall-1策略名建立临时文件存在漏洞策略名建立临时文件存在漏洞Check Point Firewall-1Check Point Firewall-1防火墙中存在一个问题可以导致本地防火墙中存在一个问题可以导致本地用户改变用户改变RootRoot属主的文件权限为全局可读写，导致权限提升，问题属主的文件权限为全局可读写，导致权限提升，问题存在于会建立可预测的存在于会建立可预测的/tmp/tmp临时文件，