在传统的基于PSTN/ISDN的L2TP 中,运营商在PSTN/ISDN和IP网络之间部署LAC(在VPDN里称为NAS,机房防火墙软件,Network Access Server),集中为多个企业用户提供L2TP 专线服务,配套提供认证和计费功能。当分支机构和出差员工拨打L2TP 专用接入号时,接入modem通过PPP协议与LAC建立PPP会话,同时启动认证和计费。认证通过后LAC向LNS发起L2TP隧道和会话协商,企业总部的LNS出于安全考虑,再次认证接入用户身份,华为防火墙软件,认证通过后分支机构和出差员工就可以访问总部网络了。
说明:LAC和LNS是L2TP协议里的概念,NAS是VPDN里的概念,在L2TP 中LAC实际上就是NAS。
研究人员警告:特定类型的低带宽分布式拒绝服务攻击,惠州防火墙软件,可以导致某些广为使用的企业级防火墙陷入暂时的拒绝服务状态。
在分析客户遭到的攻击时,丹麦电信运营商TDC的安全运营中心发现:基于网际报文控制协议(ICMP)的某些攻击,甚至能以低带宽造成严重***。
ICMP攻击也称为ping洪泛攻击,是很常见的攻击形式,但通常依赖“回显请求”包(Type 8 Code 0)。引起TCD注意的攻击,则是基于ICMP“端口不可达”包(Type 3 Code 3)。
该攻击被TDC命名为“黑护士(BlackNurse)”,甚至能在低至15-18Mbps的带宽下依然十分有效,即便受害者拥有高达 1 Gbps 的互联网连接,其防火墙仍会遭到***。
在对“黑护士”攻击的描述报告中,TDC写道:“我们在不同防火墙上观测到的影响,通常都是高CPU占用。攻击进行时,企业级防火墙软件,局域网用户将无法从互联网收发数据。攻击一旦停止,我们观测的所有防火墙即***正常工作。”
“少量仅有大约15-18Mbps上行速率的互联网连接,就能让大公司处于拒绝服务状态直到攻击得以缓解。
***指出,此类攻击已有20多年历史,但公司企业仍未充分认识到这些风险。对丹麦IP段的扫描揭示,有超过170万台设备响应 ICMP ping——意味着此类攻击可能造成巨大影响。
防火墙的核心目标
满足人类的安全需求,如同/警卫一样,站在***园林的门口,阻挡着哪些不坏好意的闯入者。对于受邀的客人,自然可以通过警卫的检查,可以自由出入。
有了防火墙的帮助,人类的安全需求得到了满足。防火墙实现的这个功能,称之为“安全”功能。
路由器衍生安全功能
路由器厂商比一般的用户更能嗅到用户的安全需求,所以很早就在路由器产品里开发出了“安全过滤”***功能、安全加密功能、甚至检测/防止系统IDS/IPS。
随着越来越多的功能模块的引入,路由器内部的流水线处理的任务越来越繁杂,这样势必会影响路由器的路由转发性能。
这些安全功能有“License”控制,用户要想使用必须购买License。
用户的购买习惯是,面对一个体积庞大的、看得见摸得着的黑箱子,很愿意掏钱包。而购买看不见摸不着的软件、License,用户往往很抠门。
针对这个消费习惯,厂商很快调整了开发产品的思路,将路由器里嵌入的安全功能,搬运到一个大黑箱子,并起一个很牛叉的名字“防火墙”。
防火墙
这个名字确实很强大,不仅可以镇得住IT甲方的采购,还可以唬得住粗懂IT技术的老板。
防火墙提供***的安全服务,设计之初硬件做了优化。安全加密、安全过滤、深度报文检测提供了专门的加速芯片,而传统的路由器更多依赖于CPU的软件处理,所以报文的安全处理效率更高。
版权所有©2025 产品网
