一、阿姆瑞特AS-F600-Pro简单介绍
阿姆瑞特AS-F600-Pro是基于ASIC 芯片的硬件防火墙,为数据流量较大的大型企业、高校和电信运营商提供了极高的吞吐量和极低的延时, 在不降低吞吐能力的情况下为用户网络中的数据提供安全保护。
F600-Pro产品系列接口灵活,该产品具备4个100M电口,2个1000M电口和8个SFP插槽,可以插1000M电口、1000M多模光纤、1000M单模光纤。通过更换接口模块可以适应于用户多种接入,并且接口模块支持热插拔,灵活高效。
F600-Pro产品接入上支持透明、路由、透明和路由结合的混合模式、同一接口下的透明 + NAT 的混合模式等多种接入模式。该产品特有的LCD 显示屏,使用户能够快捷的了解防火墙当前的状态信息。
F600-Pro产品全面支持VLAN、带宽管理、支持IPSec VPN 和L2TP, PPTP VPN 技术、支持双机热备、支持链路备份、具有多种用户认证方式、深入的检查和预防入侵、应用层代理、内容过滤等多种功能。
F600-Pro具备强大的路由功能,除了传统的基于目标地址路由以外,还支持:
a) 策略路由功能。可以根据源地址、目标地址、服务、时间等定义策略路由,同时,可以对数据包向前、返回的方向进行选择策略路由选择。
b) 路由备份功能。防火墙可以支持路由备份功能,这样可以保证不会因为一条链路的中断而造成业务的中断。
c) 动态路由功能。支持RFC 1538和RFC 2328定义的2中OSPF版本;防火墙在透明、路由模式下都可以参与OSPF运算;支持在VPN网络环境下也支持OSPF协议的运行。
d) 支持虚拟路由器功能。物理上的一台设备,逻辑上可以作多台使用。
系统性能 AS-F600-Pro
吞吐量(Mbps) 1,000
VPN吞吐量(Mbps) 800
并发连接数 1,500,000
VPN通道数 5,000
接口 4×FE+2×GE +8×SFP
VLAN 1,024
二、应对各种常见攻击情况,防火墙的配置
对于网络上常见的攻击,大体上可以分为网络层的攻击和应用层的攻击。在此列出黑客常见的攻击以及在阿姆瑞特防火墙的防御方式。
SYN洪水(SYN flood)
概览:SYN Flood是最为有效和流行的一种DoS攻击形式。它利用TCP三次握手协议的缺陷,向目标主机发送大量的伪造源地址的SYN连接请求,消耗目标主机的资源,从而不能够为正常用户提供服务。要掌握SYN Flood攻击的基本原理,必须先介绍TCP的三次握手机制。
TCP三次握手过程如下:
1) 客户端向服务器端发送一个SYN置位的TCP报文,包含客户端使用的端口号和初始序列号x;
2) 服务器端收到客户端发送来的SYN报文后,向客户端发送一个SYN和ACK都置位的TCP报文,包含确认号为x+1和服务器的初始序列号y;
3) 客户端收到服务器返回的SYN+ACK报文后,向服务器返回一个确认号为y+1序号为x+1的ACK报文,一个标准的TCP连接完成。
SYN Flood攻击原理
在SYN Flood攻击中,黑客机器向受害主机发送大量伪造源地址的TCP SYN报文,受害主机分配必要的资源,然后向源地址返回SYN+ACK包,并等待源端返回ACK包。由于源地址是伪造的,所以源端永远都不会返回ACK报文,受害主机继续发送SYN+ACK包,并将半连接放入端口的积压队列中,虽然一般的主机都有超时机制和默认的重传次数,但是由于端口的半连接队列的长度是有限的,如果不断的向受害主机发送大量的TCP SYN报文,半连接队列就会很快填满,服务器拒绝新的连接,将导致该端口无法响应其他机器进行的连接请求,最终使受害主机的资源耗尽。
防御:传统防火墙通过设定阈值进行攻击防范,例如每个IP每秒2000个SYN报文以下才认为是正常的,超出视为攻击。但这样的办法对于一般的SYN-flood具有防范作用,如果黑客控制多台傀儡主机,然后没台主机每秒发送1500个SYN报文,同样会穿越防火墙对服务器造成攻击。
阿姆瑞特防火墙为了更有效抵御SYN-flood攻击,在防范该攻击时候,不采用设置阈值的方法;而采用类似代理技术进行攻击防范,攻击者必须首先与防火墙建立起标准的TCP连接,防火墙才会再与服务器进行连接,确保服务器的安全。
概览: UDP flood攻击的原理是使两个或两个以上的系统之间产生巨大的UDP数据包。这样会形成很大的数据流量。当多个系统之间互相产生UDP数据包时,最终将导致整个网络瘫痪。如果涉及的主机数目少,那么只有这几台主机会瘫痪。
防御:通过在阿姆瑞特防火墙设置阻断来自Internet的请求这些服务的UDP请求。
死亡之ping (ping of death)
概览:由于在早期的阶段,路由器对包的最大尺寸都有限制,许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区,当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方当机。
防御:通过在阿姆瑞特防火墙设置,阻断ICMP以及任何未知协议,都讲防止此类攻击。
泪滴(teardrop)
概览:泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息,服务器在收到含有重叠偏移的伪造分段时将崩溃。
防御:通过在阿姆瑞特防火墙设置,对分段进行重组,而不是转发它们。
Land攻击
概览:在Land攻击中,一个特别打造的SYN包它的源地址和目标地址都被设置成某一个服务器地址,此举将导致接受服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时掉,对Land攻击反应不同,许多UNIX实现将崩溃,Windows变的极其缓慢。
防御:通过在阿姆瑞特防火墙设置,将源地址和目标地址相同的数据包丢掉。
Smurf攻击
概览:一个简单的smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包来淹没受害主机的方式进行,最终导致该网络的所有主机都对此ICMP应答请求作出答复,导致网络阻塞,比ping of death洪水的流量高出一或两个数量级。更加复杂的Smurf将源地址改为第三方的受害者,最终导致第三方雪崩。
防御:通过在阿姆瑞特防火墙设置规则,丢弃掉ICMP包。
地址扫描
概览:运用ping这样的程序探测目标地址,对此作出响应的表示其存在。
防御:通过在阿姆瑞特防火墙设置过滤掉ICMP应答消息。
端口扫描
概览:通常使用一些软件,向大范围的主机连接一系列的TCP端口,扫描软件报告它成功的建立了连接的主机所开的端口。
防御:通过在阿姆瑞特防火墙设置防止扫描的规则,并自动阻断扫描企图。
缓冲区溢出
概览:由于在很多的服务程序中大意的程序员使用象strcpy(),strcat()类似的不进行有效位检查的函数,黑客向系统发出超出缓冲区大小的数据处理请求时,便会引发溢出,并弹出错误对话框,我们常看到的“非法操作”其实也是可能是由于溢出。而当溢出时,eip发生错误,有汇编知识的朋友应该记得,eip是控制执行代码的位置,这时加入一段恶性代码,算好发生溢出时的eip值,这样溢出时就会执行恶性代码。一般是得到一个具有管理员权限的cmd shell.
防御:通过在阿姆瑞特防火墙设置IPS规则,禁止导致缓冲区溢出的数据包到达服务器,从而保护服务器的安全。
三、阿姆瑞特防火墙在校园网应用经验和技巧
对于许多高校,拥有多个出口。阿姆瑞特防火墙具有强大的策略路由功能,可以将防火墙放置与核心交换机与CNC/Cernet之间。放置在CNC接入和Cernet接入于核心交换机之间的防火墙产品除了具有吞吐量、并发、NAT能力强大的性能要求以外,该产品还需要支持基于策略的路由功能,否则无法完成接入。
通过防火墙卓越的性能保证网络正常使用;通过防火墙基于策略的路由功能,不同的数据包选择高校不同的出口;通过防火墙完善的功能保护校园网和服务器不受黑客的攻击和蠕虫的侵扰。产品部署示意图如下:
对于学校的服务器,建议放置在防火墙的DMZ区域,这样保证Internet用户和内网用户访问它的安全性。对于有多个出口的学校,在部署服务器的时候,建议在CNC和Cernet上配置对于的IP地址,通过防火墙的地址映射功能映射到服务器上。通过这样的部署,CNC用户可以通过CNC地址访问服务器,Cernet用户通过Cernet地址访问服务器,保证用户最快速度访问到服务器。防火墙部署示意图如下:
防火墙部署策略如下:
NAT转换,保证老师、学生上网;
访问控制,保证网络访问的安全性;
抵御黑客攻击规则,保证网络的安全性;
策略路由功能,保证不同地址不同出口;
地址映射功能,保证服务器正常对外提供服务;
正常情况下,CNC用户访问CNC地址;
正常情况下,Cernet用户访问Cernet地址;
访问Internet链路备份功能,当一台链路有问题时候,由内到外访问可以动态切换到另一台链路;
访问服务器链路备份功能,当一台链路有问题时候,由外到内访问服务器可以动态切换到另一台链路;
文章转载地址:http://www.365master.com/kt_article_show.php?article_id=9299&categ_code=10041007
