华为产品维护资料Eudemon系列防火墙安全防范特性专题2005/08/11iEudemon系列防火墙安全防范特性专题声明Copyright©2005华为技术有限公司版权所有,保留一切权利。非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。®、HUAWEI®、华为®、C&C08®、EAST8000®、HONET®、®、视点®、ViewPoint®、INtess®、ETS®、DMC®、TELLIN®、InfoLink®、Netkey®、Quidway®、SYNLOCK®、Radium®、雷霆®、M900/M1800®、TELESIGHT®、Quidview®、Musa®、视点通®、Airbridge®、Tellwin®、Inmedia®、VRP®、DOPRA®、iTELLIN®、HUAWEIOptiX®、C&C08iNET®、NETENGINE™、OptiX™、iSite™、U-SYS™、iMUSE™、OpenEye™、Lansway™、SmartAX™、边际网™、infoX™、TopEng™均为华为技术有限公司的商标。对于本手册中出现的其它商标,由各自的所有人拥有。由于产品版本升级或其它原因,本手册内容会不定期进行更新。除非另有约定,本手册仅作为使用指导,本手册中的所有陈述、信息和建议不构成任何明示或暗示的担保。技术支持技术支援网址:客户服务邮箱:support@huawei.com客户服务电话:80083021180755-28560000传真:0755-28560111地址:深圳市龙岗区坂田华为总部办公楼邮编:518129华为产品维护资料Eudemon系列防火墙安全防范特性专题2005/08/11ii目录声明................................................................................................................................................i技术支持........................................................................................................................................iEudemon系列防火墙安全防范特性专题......................................................................................11攻击防范的实现基本原理.........................................................................................................11.1概述...............................................................................................................................11.2Eudemon防火墙的防御体系..........................................................................................11.3网络常用攻击手段..........................................................................................................21.4DoS攻击........................................................................................................................21.5扫描窥探........................................................................................................................71.6畸形报文攻击.................................................................................................................91.7在Eudemon防火墙上使用攻击防御特性...................................................................112Eudemon攻击防范的特性优势..............................................................................................112.1完善的TCP代理机制.................................................................................................112.2支持的攻击访问类型丰富............................................................................................122.3支持增强性的TCP代理防御......................................................................................12华为产品维护资料Eudemon系列防火墙安全防范特性专题2005/08/111Eudemon系列防火墙安全防范特性专题1攻击防范的实现基本原理1.1概述防火墙是网络安全的屏障,一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。防火墙需要对网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。防火墙要能够防止内部信息的外泄。通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络的安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。1.2Eudemon防火墙的防御体系Eudemon防火墙采取专门设计的防火墙平台,具有自主的安全操作系统;报文处理和操作系统完全分开,这种无依赖性大大提高了系统安全性。保证了各种非法攻击漏洞等不会侵害到防火墙本身。华为产品维护资料Eudemon系列防火墙安全防范特性专题2005/08/112Eudemon防火墙提供了数十种攻击的防范能力,可以主动的发现来自不安全网络的网络攻击,阻挡攻击报文保证网络的安全。Eudemon系列防火墙具有高速处理的通信能力,采用了高速算法和优化的软件结构,ACL提供业界领先的高速算法,查找数千条策略的速度和查找数条速度一样;高端防火墙(Eudemon500/1000)采用了网络处理器,转发轻松达到1G以上线速。在高性能的保证下,Eudemon防火墙可以保证更快捷的防御能力。Eudemon系列防火墙具有高可靠性。专门设计的防火墙软件平台,在软件设计的环节均考虑到攻击的各种可能性,使得系统即使在恶劣的攻击下也不会崩溃;高端防火墙提供了电源1+1备份;支持双机状态热备,即使发生倒换,也不会造成业务中断;支持多机分担处理,故障时自动倒换等冗余设计。1.3网络常用攻击手段通常的网络攻击,一般是侵入或破坏网上的服务器(主机),盗取服务器的敏感数据或干扰破坏服务器对外提供的服务;也有直接破坏网络设备的网络攻击,这种破坏影响较大,会导致网络服务异常,甚至中断。网络攻击可分为拒绝服务型(DoS)攻击、扫描窥探攻击和畸形报文攻击三大类,一些攻击手段和攻击者会将他们整合到一起来达到攻击的目的。拒绝服务型(DoS,DenialofService)攻击是使用大量的数据包攻击系统,使系统无法接受正常用户的请求,或者主机挂起不能提供正常的工作。主要DoS攻击有SYNFlood、Fraggle等。拒绝服务攻击和其他类型的攻击不大一样,攻击者并不是去寻找进入内部网络的入口,而是去阻止合法的用户访问资源或路由器。扫描窥探攻击是利用ping扫射(包括ICMP和TCP)来标识网络上存活着的系统,从而准确的指出潜在的目标;利用TCP和UCP端口扫描,就能检测出操作系统和监听着的潜在服务。攻击者通过扫描窥探就能大致了解目标系统提供的服务种类和潜在的安全漏洞,为进一步侵入系统做好准备。冲击波病毒(蠕虫类病毒)也用到了该方式:它首先就采用ping探测主机,其后通过TCP135端口攻击目标系统获得权限提升,再使用TFTP进行病毒复制,最后完成病毒的传播和发起下一次攻击。畸形报文攻击是通过向目标系统发送有缺陷的IP报文,使得目标系统在处理这样的IP包时会出现崩溃,给目标系统带来损失。主要的畸形报文攻击有PingofDeath、Teardrop等,冲击波病毒也会发送RPC畸形报文。1.4DoS攻击1.IPSpoofing攻击攻击介绍:华为产品维护资料Eudemon系列防火墙安全防范特性专题2005/08/113为了获得访问权,入侵者生成一个带有伪造源地址的报文。对于使用基于IP地址验证的应用来说,此攻击方法可以导致未被授权的用户可以访问目的系统,甚至是以root权限来访问。即使响应报文不能达到攻击者,同样也会造成对被攻击对象的破坏。这就造成IPSpoofing攻击。处理方法:检测每个接口流入的IP报文的源地址与目的地址,并对报文的源地址反查路由表,入接口与以该IP地址为目的地址的最佳出接口不相同的IP报文被视为IPSpoofing攻击,将被拒绝,并进行日志记录。2.Land攻击攻击介绍:所谓Land攻击,就是把TCPSYN包的源地址和目标地址都设置成某一个受害者的IP地址。这将导致受害者向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时掉。各种受害者对L