一、阿姆瑞特AS-F600-Pro简单介绍
阿姆瑞特AS-F600-Pro是基于ASIC 芯片的硬件防火墙,为数据流量较大的大型企业、高校和电信运营商提供了极高的吞吐量和极低的延时, 在不降低吞吐能力的情况下为用户网络中的数据提供安全保护。
F600-Pro产品系列接口灵活,该产品具备4个100M电口,2个1000M电口和8个SFP插槽,可以插1000M电口、1000M多模光纤、1000M单模光纤。通过更换接口模块可以适应于用户多种接入,并且接口模块支持热插拔,灵活高效。
F600-Pro产品接入上支持透明、路由、透明和路由结合的混合模式、同一接口下的透明 + NAT 的混合模式等多种接入模式。该产品特有的LCD 显示屏,使用户能够快捷的了解防火墙当前的状态信息。
F600-Pro产品全面支持VLAN、带宽管理、支持IPSec VPN 和L2TP, PPTP VPN 技术、支持双机热备、支持链路备份、具有多种用户认证方式、深入的检查和预防入侵、应用层代理、内容过滤等多种功能。
F600-Pro具备强大的路由功能,除了传统的基于目标地址路由以外,还支持:
a) 策略路由功能。可以根据源地址、目标地址、服务、时间等定义策略路由,同时,可以对数据包向前、返回的方向进行选择策略路由选择。
b) 路由备份功能。防火墙可以支持路由备份功能,这样可以保证不会因为一条链路的中断而造成业务的中断。
c) 动态路由功能。支持RFC 1538和RFC 2328定义的2中OSPF版本;防火墙在透明、路由模式下都可以参与OSPF运算;支持在VPN网络环境下也支持OSPF协议的运行。
d) 支持虚拟路由器功能。物理上的一台设备,逻辑上可以作多台使用。
系统性能 AS-F600-Pro
吞吐量(Mbps) 1,000
VPN吞吐量(Mbps) 800
并发连接数 1,500,000
VPN通道数 5,000
接口 4×FE+2×GE +8×SFP
VLAN 1,024
二、应对各种常见攻击情况,防火墙的配置
对于网络上常见的攻击,大体上可以分为网络层的攻击和应用层的攻击。在此列出黑客常见的攻击以及在阿姆瑞特防火墙的防御方式。
SYN洪水(SYN flood)
概览:SYN Flood是最为有效和流行的一种DoS攻击形式。它利用TCP三次握手协议的缺陷,向目标主机发送大量的伪造源地址的SYN连接请求,消耗目标主机的资源,从而不能够为正常用户提供服务。要掌握SYN Flood攻击的基本原理,必须先介绍TCP的三次握手机制。
TCP三次握手过程如下:
1) 客户端向服务器端发送一个SYN置位的TCP报文,包含客户端使用的端口号和初始序列号x;
2) 服务器端收到客户端发送来的SYN报文后,向客户端发送一个SYN和ACK都置位的TCP报文,包含确认号为x+1和服务器的初始序列号y;
3) 客户端收到服务器返回的SYN+ACK报文后,向服务器返回一个确认号为y+1序号为x+1的ACK报文,一个标准的TCP连接完成。
SYN Flood攻击原理
在SYN Flood攻击中,黑客机器向受害主机发送大量伪造源地址的TCP SYN报文,受害主机分配必要的资源,然后向源地址返回SYN+ACK包,并等待源端返回ACK包。由于源地址是伪造的,所以源端永远都不会返回ACK报文,受害主机继续发送SYN+ACK包,并将半连接放入端口的积压队列中,虽然一般的主机都有超时机制和默认的重传次数,但是由于端口的半连接队列的长度是有限的,如果不断的向受害主机发送大量的TCP SYN报文,半连接队列就会很快填满,服务器拒绝新的连接,将导致该端口无法响应其他机器进行的连接请求,最终使受害主机的资源耗尽。
防御:传统防火墙通过设定阈值进行攻击防范,例如每个IP每秒2000个SYN报文以下才认为是正常的,超出视为攻击。但这样的办法对于一般的SYN-flood具有防范作用,如果黑客控制多台傀儡主机,然后没台主机每秒发送1500个SYN报文,同样会穿越防火墙对服务器造成攻击。
阿姆瑞特防火墙为了更有效抵御SYN-flood攻击,在防范该攻击时候,不采用设置阈值的方法;而采用类似代理技术进行攻击防范,攻击者必须首先与防火墙建立起标准的TCP连接,防火墙才会再与服务器进行连接,确保服务器的安全。