迪普防火墙技术白皮书

迪普防火墙技术白皮书■标准化文件发布号：（9456?EUATWK?MWUB?WUNN?INNUL-DDQTY-KII

迪普FWIOOO系列防火墙

技术白皮书

1概述

随着网络技术的普及，网络攻击行为出现得越来越频繁。通过各种攻击软件，

只要具有一般讣算机常识的初学者也能完成对网络的攻击。各种网络病毒的泛滥，也加剧了网络被攻击的危险。目前，Internet网络上常见的安全威胁分为以下儿类：

非法使用：资源被未授权的用户（也可以称为非法用户）或以未授权方式（非法权限）使用。例如，攻击者通过猜测帐号和密码的组合，从而进入计算机系统以非法使用资源。

拒绝服务：服务器拒绝合法用户正常访问信息或资源的请求。例如，攻击者短时间内使用大量数据包或畸形报文向服务器不断发起连接或请求回应，致使服务器负荷过重而不能处理合法任务。

信息盗窃：攻击者并不直接入侵Ll标系统，而是通过窃听网络来获取重要数据或信息。数据篡改：攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作，而使数据的一致性被破坏。

? 基于网络协议的防火墙不能阻止各种攻

击工具更加高层的攻击

用于防止火灾蔓延的隔断墙，Internet 防火墙是一个或一组实施访问控制策略

的 系统，它监控可信任网络（相当于内部网络）和不可信任网络（相当于外部网 络）之间的访问通道，以防止外部网络的危险蔓延到内部网络上。防火墙作用 于被保护区域的入口处，基于访问控制策略提供安全防护。例如：当防火墙位 于内部网络和外部网络的连接处时，可以保护组织内的网络和数据免遭来自外 部网络的非法访问（未授权或未验证的访问）或恶意攻击；当防火墙位于组织 内部相对开放的网段或比较敬感的网段（如保存敬感或专有数据的网络部分） 的连接处时，可以根据需要过滤对敬感数据的访问（即使该访问是来自组织内 部）。

防火墙技术经历了包过滤防火墙、代理防火墙、状态防火墙的技术演变，但是 随着各种基于不安全应用的攻击增多以及网络蠕虫病毒的泛滥，传统防火墙面 临更加艰巨的任务，不但需要防护传统的基于网络层的协议攻击，而且需要处

/F ? 网络屮大量的低安全性家庭主机成为攻 击者

或者蠕虫病毒的被控攻击主机

U 前网络中主要使用防火墙来保证内部网路的安全。防火墙类似于建筑大厦中

理更加高层的应用数据，对应用层的攻击进行防护。对于互联网上的各种蠕虫 病毒，必须能够判断出网络蠕虫病毒的特征，把网络蠕虫病毒造成的攻击阻挡 在安全网络之外。从而对内部安全网络形成立体、全面的防护。

造成当前网络“安全危机”另外一个因素是忽视对内网安全的监控管理。防火 墙防范了来之外网的攻击，对于潜伏于内部网络的“黑手”却置之不理，很容 易造成内网变成攻击的源头，导致内网数据泄密，通过NAT 从内部网络的攻击 行为无法进行审Uo IlI 于对内部网络缺乏防范，当内部网络主机感染蠕虫病毒

时，会形成可以感染整个互联网的污染源头，导致整个互联网络环境低劣。

对于网络管理者，不但需要关注来自外部网络的威胁，而且需要防范来自内部 网络的恶意行为。防火墙需要提供对内部网络安全保障的支持，形成全面的安 全防护体系。 2功能介绍

DPteCh FWIOOO 系列硬件防火墙产品是一种改进型的状态防火墙，采用专门设 计的高可靠性硬件系统和具有自主知识产权的专有操作系统，将高效的包过滤 功能、透明的代理服务、基于改进的状态检测安全技术、丰富的统计分析功 能、多种安全保障措施集于一身，提供多类型接口和工作模式。不但提供对网 络层攻击的防护，而且提供多种智能分析和管理手段，全面立体的防护内部网 路。DPteCh FWIOOO

防火墙提供多种网络管理监控的方

? 来自内部网络的攻击污染互联网

法，协助网络管理员完成网络的安全管理。DPteCh FWIOO0防火墙采用ASPF状态检测技术，可对连接过程和有害命令进行监测，并协同ACL完成包过滤，支持NAT-PAT l支持IPSeC VPN加密等特性提供包括DES、3DES等多种加密算法，并支持证书认证。此外，还提供数十种攻击的防范能力，所有这些都有效地保障了网络的安全。下面重点描述DPteCh FWlOOO防火墙的主要安全功能。

2.1 ASPF

ASPF (APPliCatiOn SPeCifiC PaCket Filter)是针对应用层的包过滤，即基于状态的报文过滤。它和普通的静态防火墙协同工作，以便于实施内部网络的安全策略。ASPF能够检测试图通过防火墙的应用层协议会话信息，阻止不符合规则的数据报文穿过。

为保护网络安全，基于访问控制列表的包过滤可以在网络层和传输层检测数据包，防止非法入侵。ASPF能够检测应用层协议的信息，并对应用的流量进行监控。

ASPF还提供以下功能：

?DOS （Denial Of SerViCe I拒绝服务）的检测和防范。

?JaVa BlOCking （JaVa阻断），用于保护网络不受有害的JaVa APPletS的破坏。

?支持端口到应用的映射，用于应用层协议提供的服务使用非通用端口时的情况。

?増强的会话曰志功能。可以对所有的连接进行记录，包括：记录连接的时间、源地址、目的地址、使用的端口和传输的字节数。

ASPF对应用层的协议信息进行检测，并维护会话的状态，检查会话的报文的协议和端口号等信息，阻止恶意的入侵。

2.2攻击防范

通常的网络攻击，一般是侵入或破坏网上的服务器（主机）I盗取服务器的敏感数据或干扰破坏服务器对外提供的服务；也有直接破坏网络设备的网络攻击，这种破坏影响较大，会导致网络服务异常，甚至中断。防火墙的攻击防范功能能够检测出多种类型的网络攻击，并能采取相应的措施保护内部网络免受恶意攻击，保证内部网络及系统的正常运行。

DPteCh FWIOOO防火墙的攻击防范技术可以有效的阻止下面的网络攻击行为：?IP地址欺骗攻击

为了获得访问权，入侵者生成一个带有伪造源地址的报文。对于使用基于IP地址验证的应用来说，此攻击方法可以导致未被授权的用户可以访问目的系统，甚至是以root权限来访问。即使响应报文不能达到攻击者，同样也会造成对被攻击对象的破坏。这就造成IP SPOOfing攻击。

?Land攻击

所谓Land攻击，就是把TCP SYN包的源地址和目标地址都配置成受害者的IP 地址。这将导致受害者向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时掉。各种受害者对Land攻击反应不同，许多UNlX主机将崩溃，WindOWS NT主机会变的极其缓慢。

?SmUrf攻击

简单的SmUrf攻击，用来攻击一个网络。方法是发ICMP应答请求，该请求包的目标地址配置为受害网络的广播地址，这样该网络的所有主机都对此ICMP 应答请求作出答复，导致网络阻塞，这比Ping大包的流量高出一或两个数量级。高级的SmUrf攻击，主要用来攻击目标主机。方法是将上述ICMP应答请求包的源地址改为受害主机的地址，最终导致受害主机雪崩。攻击报文的发送需要一定的流量和持续时间，才能真正构成攻击。理论上讲，网络的主机越多，攻击的效果越明显。SmUrf攻击的另一个变体为FraggIe攻击。

?Fraggle 攻击

使用UDP echo和Chargen服务的SmUrf方式的攻击。

?TeardrOP 攻击

构造非法的分片报文，填写不正确的分片偏移量和报文长度，使得各分片的内容有所重叠，目标机器如果处理不当会造成异常。

? WinNUke 攻击

WinNUke攻击通常向装有WindOWS系统的特定目标的NetBIOS端口（139）发

送OOB （OUt-Of-band）数据包，引起一个NetBloS片断重叠.致使目标主机崩溃。还有一种是IGMP分片报文，一般情况下I IGMP报文是不会分片的，所以，不少系统对IGMP分片报文的处理有问题。如果收到IGMP分片报文，则基本可判定受到了攻击。

?SYN FlooCl攻击

由于资源的限制，TCP/IP栈的实现只能允许有限个TCP连接。而SYN FIOOd攻击正