硬件防火墙的工作原理和网络安全防御策略
2.1防火墙在网络中的位置
外部防火墙工作在外部网络和内部网络之间,这样的布署将内部网络和外部网络有效地隔离起来,已达到增加内部网络安全的目的。一般情况下,还要设立一个隔离区(DMZ),放人公开的服务器,让外网访问时,就能增加内网的安全。而内部防火墙保护隔离区对内网的访问安全,这样的综合布署将有效提高网络安全。
2.2硬件防火墙的构成
硬件防火墙为了克服软件防火墙在大中型网络中的不足,对软件防火墙进行了改进。通过硬件和软件的结合来设计防火墙,硬件和软件部分都必须单独设计,将软件防火墙嵌入在硬件中同时,采用专门的操作系统平台(加入Linux系统,因为有些指令程序需要安装在Windows系统之中,而Windows稳定性不如Linux,如果在本身就很脆弱的系统平台中布署安全策略.这样的防火墙也会不安全),从而避免通用操作系统的安全性漏洞。对软硬件的特殊要求,使硬件防火墙的实际带宽与理论值基本一致,提高吞吐量、增加安全性,加快运行速度。将这样的硬件防火墙安装进入大中型网络,不仅在可以有效地保障内网与外网链接时的安全.而且可以保障内部网络中不同部门不同区域之间的安全.
2.3大中型网络安全威胁来源
现今的网络使用的都是TcP,IP协议,TCP报文段传输最重要的就是报文段首部(segmenthea&r)~的内容。客户端和服务端的服务响应都是与报文段首部的数据相关联,而三次握手能够实现也和报文段首部的数据相关,其安全性也取决于首部内容,因此黑客经常利用TCPflP协议的漏洞对报文段首部下手从而实现有外网对内网进行攻击。
在大中型网络内部也有部门的划分,对于一些比较重要的部门就连内部网络其他部门也要授权后才能进行访问,这样就会最大限度保障网络的安全,因为有的大型网络的安全关系到国家社会的安全和稳定,所以如果在内部发生网络威胁将会带来更大的损失。
2.4网络中的攻击手段
网络中主要的攻击手段就是对服务器实行拒绝服务攻击,用IP欺骗使服务器复位合法用户的连接,使其不能正常连接.还有就是迫使服务器缓冲区满,无法接受新的请求。
2.4.1伪造IP欺骗攻击
IP欺骗中攻击者构造一个TCP数据,伪装自己的IP和一个合法用户IP相同,并且对服务器发送TCP数据,数据中包含复位链接位(RST),当发送的连接有错误时,服务器就会清空缓冲区中建立好的正确连接。这时,如果那个合法用户要再发送合法数据,服务器就不会为其服务,该用户必须重新建立
连接。
2.4.2SYN FLooD攻击
SYNFLOOD是利用了TCP协议的缺陷,一个正常的TCP连接需要三次握手,首先客户端发送一个包含SYN标志的数据包,然后服务器返回一个SYN/ACK的应答包,表示客户端的请求被接受,最后客户端再返回一个确认包ACK,这样才完成TCP连接。在服务器端发送应答包后,如果客户端不发出确认,服务器会等待到超时,期间这些半连接状态都保存在一个空间有限的缓冲区队列(BacklogQueue)中。SYNFLOOD攻击就是利用服务器的连接缓冲区,使用一些特制的程序(可以设置TCP报文段的首部,使整个T0P拉文与正常报文类似,但无法建立连接),向服务器端不断地成倍发送仅有SYN标志的TCP连接请求,当服务器接收的时候,都认为是没有建立起来的连接请求,于是为这些请求建立会话,排到缓冲区队列中,这样就会使服务器端的TCP资源迅速耗尽,当缓冲区队列满时,服务器就不再接收新的连接请求了。其他合法用户的连接都会被拒绝,导致正常的连接不能进入,甚至会导致服务器的系统崩溃。
2.4.3ACK Hood攻击
用户和服务器之间建立了TCP连接后,所有TCP报文都会带有ACK标志位,服务器接受到报文时,会检查数据包中表示连接的数据是否存在,如果存在,在检查连接状态是否合法,合法就将数据传送给应用层,非法则服务器操作系统协议栈会回应RST包给用户。对于JSP服务器来说,小的ACK包冲击就会导致服务器艰难处理正常得连接请求,而大批量高密度的ACKFlood会让A.pache或IIS服务器出现高频率的网卡中断和过重负载,最终会导致网卡停止响应。ACKFlood会对路由器等网络设备以及服务器造成影响。
2.4.4UDPFlood攻击
UDPFlood攻击是利用UDP协议无连接的特点,伪造大量客户端IP地址向服务器发起UDP连接,一旦服务器有一个端口响应并提供服务,就会遭到攻击,UDPFlood会对视频服务器和DNS服务器等造成攻击。
2.4.5ICM PFlood攻击
ICMPFlood通过Ping产生的大量数据包,发送给服务器,服务器收到大量ICMP数据包,使CPU占用率满载继而引起该TCP/IP栈瘫痪,并停止响应TCP/IP请求,从而遭受攻击,因此运行逐渐变慢,进而死机。
除了以上几种攻击手段,在网络中还存在一些其他攻击手段,如宽带DOS攻击,自身消耗DOS攻击,将服务器硬盘装满,利用安全策略漏洞等等,这些需要硬件防火墙对其做出合理有效防御。
2.5硬件防火墙防御攻击的策略
2.5.1伪造IP欺骗攻击的防御策略
当IP数据包出内网时检验其IP源地址,每一个连接内网的硬件防火墙在决定是否允许本网内部的IP数据包发出之前,先对来自
该IP数据包的IP源地址进行检验。如果该IP包的IP源地址不是其所在局域网内部的IP地址,该IP包就被拒绝,不允许该包离开内网。这样一来,攻击者至需要使用自己的IP地址才能通过连接网关或路由器。这样过滤和检验内网发出数据包的IP源地址的方法基本可以做到预防伪造IP欺骗攻击。
2.5.2SYN FLo0D攻击防御策略
硬件防火墙对于SYNFLOOD攻击防御基本上有三种,一是阻断新建的连接,二是释放无效连接,三是SYNCookie和SafeRe.set技术。
阻断新建连接就是在防火墙发现连半开连接数阈值和新建连接数阈值被超时时,SYNFLOOD攻击检测发现攻击,暂时阻止客户向服务器发出的任何请求。防火墙能在服务器处理新建连接报文之前将其阻断,削弱了网络攻击对服务器的影响,但无法在服务器被攻击时有效提升服务器的服务能力。因此,一般配合防火墙SYNFlood攻击检测,避免瞬间高强度攻击使服务器系统崩溃。释放无效链接是当服务器上半开连接过多时,要警惕冒充客户端的虚假IP发起无效连接,防火墙要在这些连接中识别那些是无效的.向服务器发送复位报文,让服务器进行释放,协助服务器恢复服务能力。
SYNCo0kie和SafeReset是验证发起连接客户的合法性。防火墙要保护服务器入口的关键位置,对服务器发出的报文进行严格检查。
2.5.3 ACK Flood攻击防御策略
防火墙对网络进行分析,当收包异常大于发包时,攻击者一般采用大量ACK包,小包发送,提高速度,这种判断方法是对称性判断.可以作为ACKFlood攻击的依据。防火墙建立hash表存放TCP连接状态,从而大致上知道网络状况。
2.5.4UDPHood攻击防御策略
UDPF1ood攻击防御比较困难,因为UDP是无连接的,防火墙应该判断UDP包的大小,大包攻击则采用粉碎UDP包的方法,或者对碎片进行重组。还有比较专业的防火墙在攻击端口不是业务端口是丢弃UDP包,抑或将UDP也设一些和TCP类似的规则。
2.5.5ICM PFlood攻击防御策略
对于ICMPFlood的防御策略,硬件防火墙采用过滤ICMP报文的方法。
硬件防火墙还对网络中其他的一些攻击手段进行着安全有效的防御,保护着网络的安全。