1.1 防火墙的概念
防火墙属于网络安全设备,其主要作用是通过各种配置,拒绝非***的访问,保护网络安全。防火墙作为一个***的硬件设备,可以通过访问控制、身份验证、数据加密、技术等安全功能,
形成一个信息进出的“屏障”。它不仅可以确保内部网络安全地访问互联网,同时还可以保护内部网络的安全。防火墙在企业生产环境中的应用。在企业生产环境中,防火墙可以对来自内部以及外部的安全问题、内外部相互访问等进行有效控制。
1.2 防火墙的发展历史
防火墙从出现到现在,主要经历了滤防火墙、代理防火墙和状态检测防火墙等三代,统一威胁管理和下一代防火墙是近几年提出的概念。
1.2.1 滤防火墙
滤防火墙属于代防火墙。这种防火墙通过配置访问控制列表对数据报文进行过滤,并根据策略转发或丢弃数据报文,其设计简单且易于实现。但是滤不检查会话状态且不分析数据,
攻击者可以使用地址进行欺骗,然后通过防火墙。
1.2.2 代理防火墙
代理防火墙属于第二代防火墙。代理检查来自用户的请求,匹配安全策略后代表外部用户与真正的服务器建立连接,转发外部用户请求。代理防火墙安全性较高,但软件限制处理速度,
同时需要为每一种应用开发对应的代理服务,开发周期长且升级困难。
Sophos的调查报告显示,公司企业总体上平均每个月要花7个工作日来修复16台被的电脑。中小企业(100-1000用户规模)是平均每月花5个工作日修复13台被电脑,大型企业(1001-5000用户)则是每月10个工作日修复20台。
“一次网络往往会多台电脑,所以越快阻止蔓延,就越能控制伤害和缩短修复所需时间。公司企业要的是下一代集成式网络及终端防护,可以阻止威胁,防止孤立事件演变成大范围爆发的那种。
情报共享应成为标准
MimiKatz和永恒之蓝这种漏洞利用程序让大家意识到,网络防护与终端安全是相辅相成的。只有二者之间直接情报共享,才可以揭示网络上正在发生的一切。
IT经理知道防火墙需要一次防护升级。事实上,79%的受访者都希望自家现有防火墙能拥有更好的防护功能。99%想要能自动隔离被计算机的防火墙技术,而97%希望同一供应商出品的终端和防火墙防护产品能直接共享安全状态信息。
缺乏可见性还会导致或不恰当内容在企业网络上传播,让企业面临和合规问题。
过去,攻击者所面临的主要问题是网络带宽,由于较小的网络规模和较慢的网络速度的限制,攻击者无法发出过多的请求。虽然类似“Ping of Death”的攻击类型只需要较少量的包就可以摧毁一个没有打过补丁的操作系统,但大多数的DoS攻击还是需要相当大的带宽,而以个人为单位的黑hei客们很难消耗高带宽的资源。为了克服这个缺点,DoS攻击者开发了分布式的攻击。
木马成为黑hei客控制傀kui儡的工具,越来越多的计算机变成了肉鸡,被黑hei客所利用,并变成了他们的攻击工具。黑hei客们利用简单的工具集合许多的肉鸡来同时对同一个目标发动大量的攻击请求,这就是DiDoS(Distributed Denial of Service)攻击。随着互联网的蓬勃发展,越来越多的计算机不知不觉的被利用变成肉鸡,攻击逐渐变成一种产业。
提起DiDoS攻击,大家首先想到的一定是SYN Flood攻击,
开始的SYN Flood攻击类似于协议栈攻击,在当年的攻击类型中属于技术含量很高的“高大上”。当年由于系统的限制以及硬件资源性能的低下,称霸DiDoS攻击领域很久。它与别人的不同在于,你很难通过单个报文的特征或者简单的统计限流防御住它,因为它“太真实”、“太常用”。
SYN Flood具有强大的变异能力,在攻击发展潮流中一直没有被湮没,这完全是他自身的***所决定的:
1、单个报文看起来很“真实”,没有畸形。
2、攻击成本低,很小的开销就可以发动庞大的攻击。
2014年春节期间,某IDC的OSS系统分别于大年初二、初六、初七连续遭受三轮攻击,******长的一次攻击时间持续将近三个小时,下一代防火墙 报价,攻击流量峰值接近160Gbit/s!事后,通过对目标和攻击类型分析,基本可以判断是有一个黑hei客***发起针对同一目标的攻击时间。经过对捕获的攻击数据包分析,发现黑hei客攻击手段主要采用SYN Flood。
2013年,某安全运营报告显示,DiDoS攻击呈现逐年上升趋势,其中SYN Flood攻击的发生频率在2013全年攻击统计中占31%。
可见,时至今日,网康下一代防火墙价格,SYN Flood还是如此的猖獗。下面我们一起看一下它的攻击原理。
TCP三次握手SYN flood是基于TCP协议栈发起的攻击,在了解SYN flood攻击和防御原理之前,还是要从TCP连接建立的过程开始说起。在TCP/IP协议中,网康 下一代防火墙,TCP协议提供可靠的连接服务,无论是哪一个方向另一方发送数据前,都必须先在双方之间建立一条连接通道,这就是传说中的TCP三次握手。
1、第di一次握手:客户端向服务器端发送一个SYN(Synchronize)报文,指明想要建立连接的服务器端口,以及序列号ISN。
2、第二次握手:服务器在收到客户端的SYN报文后,潮州下一代防火墙,将返回一个SYN ACK的报文,表示客户端的请求被接受,同时在SYN ACK报文中将确认号设置为客户端的ISN号加1。 ACK即表示确认(Acknowledgment)。
3、第三次握手:客户端收到服务器的SYN-ACK包,向服务器发送ACK报文进行确认,ACK报文发送完毕,
三次握手建立成功。如果客户端在发送了SYN报文后出现了故障,那么服务器在发出SYN ACK应答报文后是无法收到客户端的ACK报文的,即第三次握手无法完成,这种情况下服务器端一般会重试,向客户端再次发送SYN ACK,并等待一段时间。如果一定时间内,还是得不到客户端的回应,则放弃这个未完成的连接。这也是TCP的重传机制。
SYN Flood攻击正是利用了TCP三次握手的这种机制。攻击者向服务器发送大量的SYN报文请求,当服务器回应SYN ACK报文时,不再继续回应ACK报文,导致服务器上建立大量的半连接,直至老化。这样,服务器的资源会被这些半连接耗尽,导致正常的请求无法回应。
防火墙针对SYN Flood攻击,一般会采用TCP代理和源探测两种方式进行防御。
版权所有©2025 产品网
