《迪普防火墙技术白皮书.doc》由会员分享,可在线阅读,更多相关《迪普防火墙技术白皮书.doc(19页珍藏版)》请在金锄头文库上搜索。
1、迪普FW1000系列防火墙技术白皮书1 概述随着网络技术的普及,网络攻击行为出现得越来越频繁。通过各种攻击软件,只要具有一般计算机常识的初学者也能完成对网络的攻击。各种网络病毒的泛滥,也加剧了网络被攻击的危险。目前,Internet网络上常见的安全威胁分为以下几类:非法使用:资源被未授权的用户(也可以称为非法用户)或以未授权方式(非法权限)使用。例如,攻击者通过猜测帐号和密码的组合,从而进入计算机系统以非法使用资源。拒绝服务:服务器拒绝合法用户正常访问信息或资源的请求。例如,攻击者短时间内使用大量数据包或畸形报文向服务器不断发起连接或请求回应,致使服务器负荷过重而不能处理合法任务。信息盗窃:攻
2、击者并不直接入侵目标系统,而是通过窃听网络来获取重要数据或信息。数据篡改:攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作,而使数据的一致性被破坏。Internet 基于网络协议的防火墙不能阻止各种攻击工具更加高层的攻击 网络中大量的低安全性家庭主机成为攻击者或者蠕虫病毒的被控攻击主机 被攻克的服务器也成为辅助攻击者目前网络中主要使用防火墙来保证内部网路的安全。防火墙类似于建筑大厦中用于防止火灾蔓延的隔断墙,Internet防火墙是一个或一组实施访问控制策略的系统,它监控可信任网络(相当于内部网络)和不可信任网络(相当于外部网络)之间的访问通道,以防止外部网络的
3、危险蔓延到内部网络上。防火墙作用于被保护区域的入口处,基于访问控制策略提供安全防护。例如:当防火墙位于内部网络和外部网络的连接处时,可以保护组织内的网络和数据免遭来自外部网络的非法访问(未授权或未验证的访问)或恶意攻击;当防火墙位于组织内部相对开放的网段或比较敏感的网段(如保存敏感或专有数据的网络部分)的连接处时,可以根据需要过滤对敏感数据的访问(即使该访问是来自组织内部)。防火墙技术经历了包过滤防火墙、代理防火墙、状态防火墙的技术演变,但是随着各种基于不安全应用的攻击增多以及网络蠕虫病毒的泛滥,传统防火墙面临更加艰巨的任务,不但需要防护传统的基于网络层的协议攻击,而且需要处理更加高层的应用数
4、据,对应用层的攻击进行防护。对于互联网上的各种蠕虫病毒,必须能够判断出网络蠕虫病毒的特征,把网络蠕虫病毒造成的攻击阻挡在安全网络之外。从而对内部安全网络形成立体、全面的防护。造成当前网络“安全危机”另外一个因素是忽视对内网安全的监控管理。防火墙防范了来之外网的攻击,对于潜伏于内部网络的“黑手”却置之不理,很容易造成内网变成攻击的源头,导致内网数据泄密,通过NAT从内部网络的攻击行为无法进行审计。由于对内部网络缺乏防范,当内部网络主机感染蠕虫病毒时,会形成可以感染整个互联网的污染源头,导致整个互联网络环境低劣。 来自内部网络的攻击污染互联网 来自内部网络的蠕虫病毒感染互联网Internet对于网
5、络管理者,不但需要关注来自外部网络的威胁,而且需要防范来自内部网络的恶意行为。防火墙需要提供对内部网络安全保障的支持,形成全面的安全防护体系。2 功能介绍DPtech FW1000系列硬件防火墙产品是一种改进型的状态防火墙,采用专门设计的高可靠性硬件系统和具有自主知识产权的专有操作系统,将高效的包过滤功能、透明的代理服务、基于改进的状态检测安全技术、丰富的统计分析功能、多种安全保障措施集于一身,提供多类型接口和工作模式。不但提供对网络层攻击的防护,而且提供多种智能分析和管理手段,全面立体的防护内部网路。DPtech FW1000防火墙提供多种网络管理监控的方法,协助网络管理员完成网络的安全管理
6、。DPtech FW1000防火墙采用ASPF状态检测技术,可对连接过程和有害命令进行监测,并协同ACL完成包过滤,支持NAT-PAT,支持IPSec VPN加密等特性,提供包括DES、3DES等多种加密算法,并支持证书认证。此外,还提供数十种攻击的防范能力,所有这些都有效地保障了网络的安全。下面重点描述DPtech FW1000防火墙的主要安全功能。2.1 ASPFASPF(Application Specific Packet Filter)是针对应用层的包过滤,即基于状态的报文过滤。它和普通的静态防火墙协同工作,以便于实施内部网络的安全策略。ASPF能够检测试图通过防火墙的应用层协议会话
7、信息,阻止不符合规则的数据报文穿过。为保护网络安全,基于访问控制列表的包过滤可以在网络层和传输层检测数据包,防止非法入侵。ASPF能够检测应用层协议的信息,并对应用的流量进行监控。ASPF还提供以下功能: DoS(Denial of Service,拒绝服务)的检测和防范。 Java Blocking(Java阻断),用于保护网络不受有害的Java Applets的破坏。 支持端口到应用的映射,用于应用层协议提供的服务使用非通用端口时的情况。 增强的会话日志功能。可以对所有的连接进行记录,包括:记录连接的时间、源地址、目的地址、使用的端口和传输的字节数。ASPF对应用层的协议信息进行检测,并维
8、护会话的状态,检查会话的报文的协议和端口号等信息,阻止恶意的入侵。2.2 攻击防范通常的网络攻击,一般是侵入或破坏网上的服务器(主机),盗取服务器的敏感数据或干扰破坏服务器对外提供的服务;也有直接破坏网络设备的网络攻击,这种破坏影响较大,会导致网络服务异常,甚至中断。防火墙的攻击防范功能能够检测出多种类型的网络攻击,并能采取相应的措施保护内部网络免受恶意攻击,保证内部网络及系统的正常运行。DPtech FW1000防火墙的攻击防范技术可以有效的阻止下面的网络攻击行为: IP地址欺骗攻击为了获得访问权,入侵者生成一个带有伪造源地址的报文。对于使用基于IP地址验证的应用来说,此攻击方法可以导致未被
9、授权的用户可以访问目的系统,甚至是以root权限来访问。即使响应报文不能达到攻击者,同样也会造成对被攻击对象的破坏。这就造成IP Spoofing攻击。 Land攻击所谓Land攻击,就是把TCP SYN包的源地址和目标地址都配置成受害者的IP地址。这将导致受害者向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时掉。各种受害者对Land攻击反应不同,许多UNIX主机将崩溃,Windows NT主机会变的极其缓慢。 Smurf攻击简单的Smurf攻击,用来攻击一个网络。方法是发ICMP应答请求,该请求包的目标地址配置为受害网络的广
10、播地址,这样该网络的所有主机都对此ICMP应答请求作出答复,导致网络阻塞,这比ping大包的流量高出一或两个数量级。高级的Smurf攻击,主要用来攻击目标主机。方法是将上述ICMP应答请求包的源地址改为受害主机的地址,最终导致受害主机雪崩。攻击报文的发送需要一定的流量和持续时间,才能真正构成攻击。理论上讲,网络的主机越多,攻击的效果越明显。Smurf攻击的另一个变体为Fraggle攻击。 Fraggle攻击使用UDP echo和Chargen服务的smurf方式的攻击。 Teardrop攻击构造非法的分片报文,填写不正确的分片偏移量和报文长度,使得各分片的内容有所重叠,目标机器如果处理不当会造
11、成异常。 WinNuke攻击WinNuke攻击通常向装有Windows系统的特定目标的NetBIOS端口(139)发送OOB(out-of-band)数据包,引起一个NetBIOS片断重叠,致使目标主机崩溃。还有一种是IGMP分片报文,一般情况下,IGMP报文是不会分片的,所以,不少系统对IGMP分片报文的处理有问题。如果收到IGMP分片报文,则基本可判定受到了攻击。 SYN Flood攻击由于资源的限制,TCP/IP栈的实现只能允许有限个TCP连接。而SYN Flood攻击正是利用这一点,它伪造一个SYN报文,其源地址是伪造的、或者一个不存在的地址,向服务器发起连接,服务器在收到报文后用SY
12、N-ACK应答,而此应答发出去后,不会收到ACK报文,造成一个半连接。如果攻击者发送大量这样的报文,会在被攻击主机上出现大量的半连接,消耗尽其资源,使正常的用户无法访问。直到半连接超时。在一些创建连接不受限制的实现里,SYN Flood具有类似的影响,它会消耗掉系统的内存等资源。 ICMP和UDP Flood攻击短时间内用大量的ICMP消息(如ping)和UDP报文向特定目标不断请求回应,致使目标系统负担过重而不能处理合法的传输任务。 地址扫描与端口扫描攻击运用扫描工具探测目标地址和端口,对此作出响应的表示其存在,用来确定哪些目标系统确实存活着并且连接在目标网络上,这些主机使用哪些端口提供服务
13、。 Ping of Death攻击IP报文的长度字段为16位,这表明一个IP报文的最大长度为65535。对于ICMP 回应请求报文,如果数据长度大于65507,就会使ICMP数据IP头长度(20)ICMP头长度(8) 65535。对于有些路由器或系统,在接收到一个这样的报文后,由于处理不当,会造成系统崩溃、死机或重启。这种攻击就是利用一些尺寸超大的ICMP报文对系统进行的一种攻击。另外,DPtech FW1000防火墙提供了对ICMP重定向报文、ICMP不可达报文、带路由记录选项IP报文、Tracert报文的控制功能,以及增强的TCP报文标志合法性检测功能,在攻击前期阶段阻止攻击分析行为。2.
14、3 实时流量分析对于防火墙来说,不仅要对数据流量进行监控,还要对内外部网络之间的连接发起情况进行检测,因此要进行大量的统计计算与分析。防火墙的统计分析一方面可以通过专门的分析软件对日志信息进行事后分析;另一方面,防火墙系统本身可以完成一部分分析功能,它表现在具有一定的实时性。DPtech FW1000防火墙提供了实时的网络流量分析功能,及时发现攻击和网络蠕虫病毒产生的异常流量。用户可以使用防火墙预先定义的流量分析模型,也可以自己定义各种协议流量的比例,连接速率阀值等参数,形成适合当前网络的分析模型。比如,用户可以指定系统的TCP连接和UDP连接总数的上限阈值和下限阈值。当防火墙系统的TCP或U
15、DP连接个数超过设定的阈值上限后,防火墙将输出日志进行告警,而当TCP、UDP连接个数降到设定的阈值下限时,防火墙输出日志,表示连接数恢复到正常。另外,也可以指定配置不同类型的报文在正常情况下一定时间内所占的百分比以及允许的变动范围,系统定时检测收到的各类报文百分比,并和配置进行比较,如果某类型(TCP、UDP、ICMP或其他)报文百分比超过配置的上限阈值(加波动范围),则系统输出日志告警;如果某类型报文百分比低于配置的下限阈值(加波动范围),则系统输出日志告警。Internet 流量实时分析 蠕虫病毒异常流量阻断实时流量分析技术可以有效的发现未知的网络蠕虫病毒造成的异常流量,可以及时通知网络
16、管理员进行处理。并且通过DPtech FW1000防火墙的地址动态隔离技术(地址黑名单)对异常流量进行及时阻断,从而避免垃圾流量对网络带宽的拥塞。2.4 内网地址安全在受保护的内部网络,如何防范发自内部网络的攻击将是网络安全领域面临的一个十分重要的问题。网络内部的恶意攻击者,感染网络蠕虫病毒的主机,都是内网安全的重大威胁。在IP协议栈中,ARP是以太网上非常重要的一个协议。以太网网络中的主机,在互相进行IP访问之前,都必须先通过ARP协议来获取到目的IP地址对应的MAC地址。在通过路由器、三层交换机作为网关时,PC为了把数据发送到网关,同样需要通过ARP协议来获取网关的MAC地址。由于ARP协议本身不具备任何的安全性,所以留下了很多的安全漏洞。
