HCIE-Security-CH02-防火墙安全防护技术

第2章防火墙安全防护技术

第2章防火墙安全防护技术 (1)

2.1 攻击防范 (2)

2.1.1 DDoS攻击 (2)

2.1.2 DDoS防范阈值 (10)

2.1.2 单包攻击 (11)

2.2 黑名单 (16)

2.2.1 黑名单类型 (16)

2.2.2 创建与删除 (16)

2.3 IP-MAC绑定 (17)

2.3.1 目的 (17)

2.3.2 原理描述 (18)

2.4 应用层包过滤 (22)

2.4.1 目的 (22)

2.4.2 原理描述 (22)

2.5 URPF (25)

2.5.1 目的 (26)

2.5.2 原理描述 (26)

HCIE-Security 备考资料大全

·2·

章前能力测试：

1．描述下一代防火墙在攻击防范过程中的防范技术及实现原理。

2．描述IP-MAC 绑定的工作原理。

3．描述为什么需要应用层包过滤？

4．描述URPF 的工作原理。

2.1 攻击防范

NGFW 的攻击防范功能能够帮助大中型企业、数据中心等客户有效防范网络中各种常见的DDoS 攻击。

通常情况下，在大中型企业、数据中心等网络中往往部署着服务器，而服务器（如邮件服务器、Web 服务器等）已成为网络攻击的重点。目前有针对性的攻击往往采用大流量的DDoS 类型的攻击，如常见的SYN Flood 、UDP Flood 、ICMP Flood 、HTTP Flood 、HTTPS Flood 、DNS Flood 和SIP Flood 攻击，这些DDoS 类型的攻击不仅造成网络带宽拥塞，同时还严重威胁着服务器正常提供业务，甚者造成服务器宕机。

通过在以上网络的内网出口处部署NGFW 设备，可以很好的防范各种常见的DDoS 攻击，而且还可以对传统单包攻击进行有效的防范。

2.1.1

DDoS 攻击

DDoS （Distributed Denial of Service ）即分布式拒绝服务。DDoS 攻击是指攻击者通过控制大量的僵尸主机，向被攻击目标发送大量精心构造的攻击报文，造成被攻击者所在网络的链路拥塞、系统资源耗尽，从而使被攻击者产生拒绝向正常用户的请求提供服务的效果。

如图2-1-1所示，首先，攻击者通过各种手段，取得了网络上大量在线主机的控制权限。这些被控制的主机称为僵尸主机，攻击者和僵尸主机构成的网络称为僵尸网络。当被攻击目标确定后，攻击者控制僵尸主机向目标发送大量的攻击报文，导致被攻击目标的网络链路拥塞、系统资源耗尽。

第2章防火墙安全防护技术

图2-1-1 DDoS攻击示意图

目前，互联网中存在着大量的僵尸主机和僵尸网络，在商业利益的驱使下，DDoS攻击已经成为互联网面临的重要安全威胁。

根据采用的攻击报文类型的不同，网络中目前存在多种DDoS攻击类型。NGFW可以防范以下几种常见的DDoS攻击：SYN Flood、UDP Flood、ICMP Flood、HTTP Flood、HTTPS Flood、DNS Flood和SIP Flood攻击。

DDoS攻击防范流程

NGFW上DDoS攻击防范的流程如下。

1.系统启动流量统计

由于不同的攻击类型采用的攻击报文不同，因此NGFW需要开启流量统计功能，对经过自身的各种流量进行统计，以区分攻击流量和正常流量。另外，开启了流量统计功能便于系统根据统计结果来判断攻击流量是否超过预先设定的阈值。

NGFW通过绑定接口的方式来开启流量统计功能，并对来自绑定接口的流量按目的地址进行统计。NGFW主要用来保护内网服务器或主机不受外网主机的攻击，因此被绑定的接口应为NGFW连接外网的接口。

2.流量超过设定阈值

NGFW需要为不同的攻击类型设置不同的防范阈值，当某一类型的流量超过预先设定的阈值时，NGFW就认为存在攻击行为，从而根据不同的攻击类型采用不同的防范技术。也就是说，触发NGFW执行防范动作的条件是某一类型的攻击流量超过事前设定的阈值。因此，DDoS攻击防范的实际防范效果和阈值的设定有很大的关系。

阈值可以通过手工方式进行设置，也可以通过NGFW提供的阈值学习功能获取。

3.系统启动攻击防范

当流量统计功能检测到去往某一目的地址的某种类型的流量超过预先设定的阈值时，系统开始启动攻击防范。NGFW有多种防范技术，不同的防范技术用来防范不同的攻击，主要的几种防范技术如表2-1-1所示。

表2-1-1 防范技术

·3·

HCIE-Security 备考资料大全

·4·

4. 系统执行防范动作。

对正常流量进放行；对攻击流量进行丢弃，并记录威胁日志。

SYN Flood 攻击（源探测技术进行防范）

NGFW 采用源探测技术来防范SYN Flood 、HTTPS Flood 、DNS Request Flood 、DNS Reply Flood 和SIP Flood 攻击，下面以NGFW 防范SYN Flood 攻击为例来详细介绍源探测技术。

● 三次握手

了解SYN Flood 攻击前，首先了解一下TCP 连接的建立过程，这个过程也称作“三次握手”，具体过程如图2-1-2所示。

图2-1-2 三次握手

1. 第一次握手：客户端发送序列号为a 的SYN 数据包给服务器，请求建立TCP 连接。

2. 第二次握手：服务器接收到SYN 数据包后，会回复一个序列号为a+1的ACK 数据

包对客户端的SYN 数据包进行确认，表示收到建立TCP 连接的请求，并发送一个序列号为b 的SYN 数据包给客户端表示希望建立TCP 连接。

3. 第三次握手：客户端接收到服务器发送的SYN/ACK 数据包后，检测到ACK 数据包

中的序列号正确，会向服务器回复序列号为b+1的ACK 数据包。至此，客户端和服务器完成三次握手，成功建立TCP 连接。

如果客户端接收到服务器发送的SYN/ACK 数据包后，检测到ACK 数据包中的序列号错误，将发送重置报文RST 到服务器，表示确认报文错误，要求对端重新建立连接。

三次握手有助于客户端和服务器以一种简单的方式建立TCP 连接，但它也常常被SYN Flood 等攻击利用做为一种攻击手段。

● SYN Flood 攻击

SYN Flood 攻击是指攻击者通过伪造一个源地址不存在或者是不可达的SYN 报文，发送给目标服务器，目标服务器回复SYN/ACK 报文给这些地址时，不会收到ACK 报文，因此目