數(shù)據(jù)中心安全
數(shù)據(jù)集中是管理集約化、精細(xì)化的必然要求,是企業(yè)優(yōu)化業(yè)務(wù)流程、管理流程的的必要手段。目前,數(shù)據(jù)集中已經(jīng)成為國(guó)內(nèi)電子政務(wù)、企業(yè)信息化建設(shè)的發(fā)展趨勢(shì)。數(shù)據(jù)中心的建設(shè)已成為數(shù)據(jù)大集中趨勢(shì)下的必然要求。做為網(wǎng)絡(luò)中數(shù)據(jù)交換最頻繁、資源最密集的地方,數(shù)據(jù)中心無(wú)疑是個(gè)充滿著巨大的誘惑的數(shù)字城堡,任何防護(hù)上的疏漏必將會(huì)導(dǎo)致不可估量的損失,因此構(gòu)筑一道安全地防御體系將是這座數(shù)字城堡首先面對(duì)的問(wèn)題。
一、數(shù)據(jù)中心面對(duì)的安全挑戰(zhàn)
隨著 Internet 應(yīng)用日益深化,數(shù)據(jù)中心運(yùn)行環(huán)境正從傳統(tǒng)客戶機(jī)/服務(wù)器向網(wǎng)絡(luò)連接的中央服務(wù)器轉(zhuǎn)型,受其影響,基礎(chǔ)設(shè)施框架下多層應(yīng)用程序與硬件、網(wǎng)絡(luò)、操作系統(tǒng)的關(guān)系變得愈加復(fù)雜。這種復(fù)雜性也為數(shù)據(jù)中心的安全體系引入許多不確定因素,一些未實(shí)施正確安全策略的數(shù)據(jù)中心,黑客和蠕蟲將順勢(shì)而入。盡管大多數(shù)系統(tǒng)管理員已經(jīng)認(rèn)識(shí)到來(lái)自網(wǎng)絡(luò)的惡意行為對(duì)數(shù)據(jù)中心造成的嚴(yán)重?fù)p害,而且許多數(shù)據(jù)中心已經(jīng)部署了依靠訪問(wèn)控制防御來(lái)獲得安全性的設(shè)備,但對(duì)于日趨成熟和危險(xiǎn)的各類攻擊手段,這些傳統(tǒng)的防御措施仍然顯現(xiàn)的力不從心。
以下是當(dāng)前數(shù)據(jù)中心面對(duì)的一些主要安全挑戰(zhàn)。
1.面向應(yīng)用層的攻擊
常見(jiàn)的應(yīng)用攻擊包括惡意蠕蟲、病毒、緩沖溢出代碼、后門木馬等,最典型的應(yīng)用攻擊莫過(guò)于“蠕蟲”。蠕蟲是指"通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行自我復(fù)制的惡意程序,泛濫時(shí)可以導(dǎo)致網(wǎng)絡(luò)阻塞和癱瘓"。從本質(zhì)上講,蠕蟲和病毒的最大的區(qū)別在于蠕蟲是通過(guò)網(wǎng)絡(luò)進(jìn)行主動(dòng)傳播的,而病毒需要人的手工干預(yù)(如各種外部存儲(chǔ)介質(zhì)的讀寫)。蠕蟲有多種形式,包括系統(tǒng)漏洞型蠕蟲、群發(fā)郵件型蠕蟲、共享型蠕蟲、寄生型蠕蟲和混和型蠕蟲。其中最常見(jiàn),變種最多的蠕蟲是群發(fā)郵件型蠕蟲,它是通過(guò) EMAIL 進(jìn)行傳播的,著名的例子包括"求職信"、"網(wǎng)絡(luò)天空 NetSky"、"雛鷹 BBeagle"等,2005 年 11 月爆發(fā)的"Sober"蠕蟲,是一個(gè)非常典型的群發(fā)郵件型蠕蟲。而傳播最快,范圍最廣、危害最大是系統(tǒng)漏洞型蠕蟲,例如利用 TCP 445 端口進(jìn)行傳播的 windows PnP 服務(wù)漏洞到 2006 年第一季度還在肆虐它的余威。
2.面向網(wǎng)絡(luò)層的攻擊
除了由于系統(tǒng)漏洞造成的應(yīng)用攻擊外,數(shù)據(jù)中心還要面對(duì)拒絕服務(wù)攻擊(DoS)和分布式拒絕服務(wù)攻擊(DDoS)的挑戰(zhàn)。DOS/DDOS 是一種傳統(tǒng)的網(wǎng)絡(luò)攻擊方式,然而其破壞力卻十分強(qiáng)勁。據(jù) 2004 美國(guó) CSI/FBI 的計(jì)算機(jī)犯罪和安全調(diào)研分析,DOS 和 DDOS 攻擊已成為對(duì)企業(yè)損害最大的犯罪行為,超出其他各種犯罪類型兩倍。
常見(jiàn)的 DDOS 攻擊方法有 SYN Flood、Established Connection Flood 和 Connection Per Second Flood。已發(fā)現(xiàn)的 DOS 攻擊程序有 ICMP Smurf、UDP 反彈,而典型的 DDOS 攻擊程序有 Zombie、TFN2K、Trinoo 和 Stacheldraht 等。DOS/DDoS 攻擊大行其道的原因主要是利用了 TCP/IP 的開(kāi)放性原則,從任意源地址向任意目標(biāo)地址都可以發(fā)送數(shù)據(jù)包。
DOS/DDOS 利用看似合理的海量服務(wù)請(qǐng)求來(lái)耗盡網(wǎng)絡(luò)和系統(tǒng)的資源,從而使合法用戶無(wú)法得到服務(wù)的響應(yīng)。早期的 DOS 攻擊由單機(jī)發(fā)起,在攻擊目標(biāo)的 CPU 速度不高、內(nèi)存有限、網(wǎng)絡(luò)帶寬窄的情況下效果是明顯的。隨著網(wǎng)絡(luò)和系統(tǒng)性能的大幅提高,CPU 的主頻已達(dá)數(shù) G,服務(wù)器的內(nèi)存通常在 2G 以上,此外網(wǎng)絡(luò)的吞吐能力已達(dá)萬(wàn)兆,單機(jī)發(fā)起的 DoS 攻擊好比孤狼斗猛虎,沒(méi)有什么威脅。狼的習(xí)性是群居,一只固然勢(shì)單力薄,但如果群起而攻之,恐怕猛虎也難抵擋,這就是分布式拒絕服務(wù)攻擊的原理。用一臺(tái)攻擊機(jī)來(lái)攻擊不再起作用的話,攻擊者使用 10 臺(tái)攻擊機(jī)、100 臺(tái)呢共同發(fā)起攻擊呢?DDoS 就是利用大量的傀儡機(jī)來(lái)發(fā)起攻擊,積少成多超過(guò)網(wǎng)絡(luò)和系統(tǒng)的能力的極限,最終擊潰高性能的網(wǎng)絡(luò)和系統(tǒng)。
數(shù)據(jù)中心絕不允許DOS/DDOS垃圾報(bào)文肆虐于網(wǎng)絡(luò)之中,因此如何實(shí)施邊界安全策略,如何“拒敵于國(guó)門之外”將是數(shù)據(jù)中心面臨的又一個(gè)挑戰(zhàn)。
DDOS攻擊示意圖
3.對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的攻擊
數(shù)據(jù)中心象一座擁有巨大財(cái)富的城堡,然而堅(jiān)固的堡壘最容易從內(nèi)部被攻破,來(lái)自數(shù)據(jù)中心內(nèi)部的攻擊也更具破壞性。隱藏在企業(yè)內(nèi)部的黑客不僅可以通過(guò)應(yīng)用攻擊技術(shù)繞過(guò)防火墻,對(duì)數(shù)據(jù)中心的網(wǎng)絡(luò)造成損害,還可以憑借其網(wǎng)絡(luò)構(gòu)架的充分了解,通過(guò)違規(guī)訪問(wèn)、嗅探網(wǎng)絡(luò)系統(tǒng)、攻擊路由器/交換機(jī)設(shè)備等手段,訪問(wèn)非授權(quán)資源,這些行將對(duì)企業(yè)造成更大的損失。
“木桶的裝水量取決于最短的木板”,涉及內(nèi)網(wǎng)安全防護(hù)的部件產(chǎn)品非常多,從接入層設(shè)備到匯聚層設(shè)備再到核心層設(shè)備,從服務(wù)器到交換機(jī)到路由器、防火墻,幾乎每臺(tái)網(wǎng)絡(luò)設(shè)備都將參與到系統(tǒng)安全的建設(shè)中,任何部署點(diǎn)安全策略的疏漏都將成為整個(gè)安全體系的短木板。
“木桶的裝水量還取決于木板間的緊密程度”,一個(gè)網(wǎng)絡(luò)的安全不僅依賴于單個(gè)部件產(chǎn)品的安全特性,也依賴于各安全部件之間的緊密協(xié)作。一個(gè)融合不同工作模式的安全部件產(chǎn)品的無(wú)縫安全體系必須可以進(jìn)行全面、集中的安全監(jiān)管與維護(hù)。
因此,數(shù)據(jù)中心的安全防護(hù)體系不能僅依靠單獨(dú)的某個(gè)安全產(chǎn)品,還要依托整個(gè)網(wǎng)絡(luò)中各部件的安全特性。
二、安防措施
1.三重保護(hù),多層防御
以數(shù)據(jù)中心服務(wù)器資源為核心向外延伸有三重保護(hù)功能。依拖具有豐富安全特性的交換機(jī)構(gòu)成數(shù)據(jù)中心網(wǎng)絡(luò)的第一重保護(hù);以
ASIC、FPGA 和 NP 技術(shù)組成的具有高性能精確檢測(cè)引擎的 IPS
提供對(duì)網(wǎng)絡(luò)報(bào)文深度檢測(cè),構(gòu)成對(duì)數(shù)據(jù)中心網(wǎng)絡(luò)的第二重保護(hù);第三重保護(hù)是憑借高性能硬件防火墻構(gòu)成的數(shù)據(jù)中心網(wǎng)絡(luò)邊界。
用一個(gè)形象的比喻來(lái)說(shuō)明數(shù)據(jù)的三重保護(hù)。數(shù)據(jù)中心就像一個(gè)欣欣向榮的國(guó)家,來(lái)往的商客就像訪問(wèn)數(shù)據(jù)中心的報(bào)文;防火墻是駐守在國(guó)境線上的軍隊(duì),一方面擔(dān)負(fù)著守衛(wèi)國(guó)土防御外族攻擊(DDOS)的重任,另一方面負(fù)責(zé)檢查來(lái)往商客的身份(訪問(wèn)控制);IPS
是國(guó)家的警察,隨時(shí)準(zhǔn)備捉拿雖然擁有合法身份,但仍在從事違法亂紀(jì)活動(dòng)的商客(蠕蟲病毒),以保衛(wèi)社會(huì)秩序;具有各種安全特性的交換機(jī)就像商鋪雇傭的保安,提供最基本的安全監(jiān)管,時(shí)刻提防由內(nèi)部人員造成的破壞(STP
攻擊)。
在網(wǎng)絡(luò)中存在不同價(jià)值和易受攻擊程度不同的設(shè)備,按照這些設(shè)備的情況制定不同的安全策略和信任模型,將網(wǎng)絡(luò)劃分為不同區(qū)域,這就是所謂的分區(qū)思想。數(shù)據(jù)中心網(wǎng)絡(luò)根據(jù)不同的信任級(jí)別可以劃分為:遠(yuǎn)程接入?yún)^(qū)、園區(qū)網(wǎng)、Internet
服務(wù)器區(qū)、Extranet 服務(wù)器區(qū)、
Intranet 服務(wù)器區(qū)、管理區(qū)、核心區(qū),如圖。
三、技術(shù)說(shuō)明
1.VLAN端口隔離
交換機(jī)可以由硬件實(shí)現(xiàn)相同 VLAN 中的兩個(gè)端口互相隔離。隔離后這兩個(gè)端口在本設(shè)備內(nèi)不能實(shí)現(xiàn)二、三層互通。當(dāng)相同 VLAN 中的服務(wù)器之間完全沒(méi)有互訪要求時(shí),可以設(shè)置各自連接的端口為隔離端口,如圖。這樣可以更好的保證相同安全區(qū)域內(nèi)的服務(wù)器之間的安全:
即使非法用戶利用后門控制了其中一臺(tái)服務(wù)器,但也無(wú)法利用該服務(wù)器作為跳板攻擊該安全區(qū)域內(nèi)的其他服務(wù)器。可以有效的隔離蠕蟲病毒的傳播,減小受感染服務(wù)器可能造成的危害。比如:如果 Web 服務(wù)器遭到了 Code-Red 紅色代碼的破壞,即使其它 Web 服務(wù)器也在這個(gè)網(wǎng)段中,也不會(huì)被感染。
2.STP Root/BPDU Guard
基于 Root/BPDU Guard 方式的二層連接保護(hù)保證 STP/RSTP 穩(wěn)定,防止攻擊,保障可靠的二層連接
(1)BPDU Guard
對(duì)于接入層設(shè)備,接入端口一般直接與用戶終端(如 PC 機(jī))或文件服務(wù)器相連,此時(shí)接入端口被設(shè)置為邊緣端口以實(shí)現(xiàn)這些端口的快速遷移;當(dāng)這些端口接受到配置消息(BPDU 報(bào)文)時(shí)系統(tǒng)會(huì)自動(dòng)將這些端口設(shè)置為非邊緣端口,重新計(jì)算生成樹(shù),引起網(wǎng)絡(luò)拓?fù)涞恼鹗帯_@些端口正常情況下應(yīng)該不會(huì)收到生成樹(shù)協(xié)議的配置消息的。如果有人偽造配置消息惡意攻擊交換機(jī),就會(huì)引起網(wǎng)絡(luò)震蕩。BPDU 保護(hù)功能可以防止這種網(wǎng)絡(luò)攻擊。交換機(jī)上啟動(dòng)了 BPDU 保護(hù)功能以后,如果邊緣端口收到了配置消息,系統(tǒng)就將這些端口 shutdown,同時(shí)通知網(wǎng)管。被 shutdown 的端口只能由網(wǎng)絡(luò)管理人員恢復(fù)。推薦用戶在配置了邊緣端口的交換機(jī)上配置 BPDU 保護(hù)功能。
(2)ROOT Guard
由于維護(hù)人員的錯(cuò)誤配置或網(wǎng)絡(luò)中的惡意攻擊,網(wǎng)絡(luò)中的合法根交換機(jī)有可能會(huì)收到優(yōu)先級(jí)更高的配置消息,這樣當(dāng)前根交換機(jī)會(huì)失去根交換機(jī)的地位,引起網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的錯(cuò)誤變動(dòng)。這種不合法的變動(dòng),會(huì)導(dǎo)致原來(lái)應(yīng)該通過(guò)高速鏈路的流量被牽引到低速鏈路上,導(dǎo)致網(wǎng)絡(luò)擁塞。Root 保護(hù)功能可以防止這種情況的發(fā)生。
對(duì)于設(shè)置了 Root 保護(hù)功能的端口,端口角色只能保持為指定端口。一旦這種端口上收到了優(yōu)先級(jí)高的配置消息,即其將被選擇為非指定端口時(shí),這些端口的狀態(tài)將被設(shè)置為偵聽(tīng)狀態(tài),不再轉(zhuǎn)發(fā)報(bào)文(相當(dāng)于將此端口相連的鏈路斷開(kāi))。當(dāng)在足夠長(zhǎng)的時(shí)間內(nèi)沒(méi)有收到更優(yōu)的配置消息時(shí),端口會(huì)恢復(fù)原來(lái)的正常狀態(tài)。
(3)LOOP PROTECTION
交換機(jī)的根端口和其他阻塞端口的狀態(tài)依靠不斷接收上游交換機(jī)發(fā)送的 BPDU 來(lái)維持的。但是由于鏈路擁塞或者單向鏈路故障,這些端口會(huì)收不到上游交換機(jī)的 BPDU。此時(shí)交換機(jī)會(huì)重新選擇根端口,根端口會(huì)轉(zhuǎn)變?yōu)橹付ǘ丝冢枞丝跁?huì)遷移到轉(zhuǎn)發(fā)狀態(tài),從而交換網(wǎng)絡(luò)中會(huì)產(chǎn)生環(huán)路。環(huán)路保護(hù)功能會(huì)抑制這種環(huán)路的產(chǎn)生。在啟動(dòng)了環(huán)路保護(hù)功能后,根端口的角色如果發(fā)生變化就會(huì)設(shè)置它為 Discarding 狀態(tài),阻塞端口會(huì)一直保持在 Discarding 狀態(tài),不轉(zhuǎn)發(fā)報(bào)文,從而不會(huì)在網(wǎng)絡(luò)中形成環(huán)路。
(4)TC PROTECTION
根據(jù) IEEE 802.1w 和 IEEE 802.1s 協(xié)議,交換機(jī)監(jiān)測(cè)到拓?fù)渥兓蛘呓邮盏?TC 報(bào)文后會(huì)清空 MAC 表。如果受到 TC 攻擊(連續(xù)不斷收到 TC 報(bào)文)交換機(jī)就會(huì)一直進(jìn)行 MAC 刪除操作,影響正常的轉(zhuǎn)發(fā)業(yè)務(wù)。使能 TC PROTECTION 功能后,將減少刪除 MAC 的次數(shù),保證業(yè)務(wù)的正常運(yùn)行。
3.端口安全
端口安全(Port Security)的主要功能就是通過(guò)定義各種安全模式,讓設(shè)備學(xué)習(xí)到合法的源 MAC 地址,以達(dá)到相應(yīng)的網(wǎng)絡(luò)管理效果。對(duì)于不能通過(guò)安全模式學(xué)習(xí)到源 MAC 地址的報(bào)文或 802.1x 認(rèn)證失敗的 0
當(dāng)發(fā)現(xiàn)非法報(bào)文后,系統(tǒng)將觸發(fā)相應(yīng)特性,并按照預(yù)先指定的方式自動(dòng)進(jìn)行處理,減少了用戶的維護(hù)工作量,極大地提高了系統(tǒng)的安全性和可管理性。
4.防 IP 偽裝
(1)在 internet 出口處過(guò)濾 RFC3330 和 RFC1918 所描述的不可能在內(nèi)外網(wǎng)之間互訪的 IP 地址。病毒和非法用戶很多情況會(huì)偽裝 IP 來(lái)實(shí)現(xiàn)攻擊。偽裝 IP 有三個(gè)用處:
①就是攻擊的直接功能體。比如 smurf 攻擊。
②麻痹網(wǎng)絡(luò)中的安全設(shè)施。比如繞過(guò)利用源 IP 做的接入控制。
③隱藏攻擊源
設(shè)備防止 IP 偽裝的關(guān)鍵在于如何判定設(shè)備接收到的報(bào)文的源 IP 是經(jīng)過(guò)偽裝的。這種判定的方式有三種。分別在內(nèi)網(wǎng)和內(nèi)外網(wǎng)的邊界使用。
由于現(xiàn)今 internet 上的大多數(shù)攻擊者都不具備很高的網(wǎng)絡(luò)技術(shù)水平,其攻擊手段僅僅是比較機(jī)械利用現(xiàn)有的攻擊工具。同時(shí)一些攻擊工具雖然做到了使用方便,但其攻擊方法設(shè)計(jì)也相對(duì)簡(jiǎn)單,沒(méi)有辦法根據(jù)網(wǎng)絡(luò)實(shí)際狀況進(jìn)行調(diào)整。因此,網(wǎng)絡(luò)中大多數(shù)的攻擊方式是帶有盲目性的。局域網(wǎng)在其 internet 出入口處過(guò)濾掉不可能出現(xiàn)的 IP 地址,可以緩解非法用戶簡(jiǎn)單的隨機(jī)偽裝 IP 所帶來(lái)的危害。
(2)網(wǎng)關(guān)防御
利用 DHCP relay 特性,網(wǎng)關(guān)可以形成本網(wǎng)段下主機(jī)的 IP、MAC 映射表。當(dāng)網(wǎng)關(guān)收到一個(gè) ARP 報(bào)文時(shí),會(huì)先在映射表中查找是否匹配現(xiàn)有的映射關(guān)系。如果找到則正常學(xué)習(xí),否則不學(xué)習(xí)該 ARP。這樣偽裝 IP 的設(shè)備沒(méi)有辦法進(jìn)行正常的跨網(wǎng)段通信。
(3)接入設(shè)備防御
利用 DHCP SNOOPING 特性,接入設(shè)備通過(guò)監(jiān)控其端口接收到的 DHCP request、ACK、 release 報(bào)文,也可以形成一張端口下 IP、MAC 的映射表。設(shè)備可以根據(jù) IP、MAC、端口的對(duì)應(yīng)關(guān)系,下發(fā) ACL 規(guī)則限制從該端口通過(guò)的報(bào)文源 IP 必須為其從 DHCP 服務(wù)器獲取的 IP 地址。
5.數(shù)據(jù)中心網(wǎng)絡(luò)邊界安全技術(shù)
邊界安全的一項(xiàng)主要功能是實(shí)現(xiàn)網(wǎng)絡(luò)隔離,通過(guò)防火墻可以把安全信任網(wǎng)絡(luò)和非安全網(wǎng)絡(luò)進(jìn)行隔離。防火墻以其高效可靠的防攻擊手段,和靈活多變的安全區(qū)域配置策略擔(dān)負(fù)起是守護(hù)數(shù)據(jù)中心邊界安全的的重任。
(1)狀態(tài)防火墻
實(shí)現(xiàn)網(wǎng)絡(luò)隔離的基本技術(shù)是 IP 包過(guò)濾,ACL 是一種簡(jiǎn)單可靠的技術(shù),應(yīng)用在路由器或交換機(jī)上可實(shí)現(xiàn)最基本的 IP 包過(guò)濾,但單純的 ACL 包過(guò)濾缺乏一定的靈活性。對(duì)于類似于應(yīng)用 FTP 協(xié)議進(jìn)行通信的多通道協(xié)議來(lái)說(shuō),配置 ACL 則是困難的。FTP 包含一個(gè)預(yù)知端口的 TCP 控制通道和一個(gè)動(dòng)態(tài)協(xié)商的 TCP 數(shù)據(jù)通道,對(duì)于一般的 ACL 來(lái)說(shuō),配置安全策略時(shí)無(wú)法預(yù)知數(shù)據(jù)通道的端口號(hào),因此無(wú)法確定數(shù)據(jù)通道的入口。
狀態(tài)防火墻設(shè)備將狀態(tài)檢測(cè)技術(shù)應(yīng)用在 ACL 技術(shù)上,通過(guò)對(duì)連接狀態(tài)的狀態(tài)的檢測(cè),動(dòng)態(tài)的發(fā)現(xiàn)應(yīng)該打開(kāi)的端口,保證在通信的過(guò)程中動(dòng)態(tài)的決定哪些數(shù)據(jù)包可以通過(guò)防火墻。狀態(tài)防火墻還采用基于流的狀態(tài)檢測(cè)技術(shù)可以提供更高的轉(zhuǎn)發(fā)性能,因?yàn)榛?ACL 的包過(guò)濾技術(shù)是逐包檢測(cè)的,這樣當(dāng)規(guī)則非常多的時(shí)候包過(guò)濾防火墻的性能會(huì)變得比較低下,而基于流的狀態(tài)防火墻可以根據(jù)流的信息決定數(shù)據(jù)包是否可以通過(guò)防火墻,這樣就可以利用流的狀態(tài)信息決定對(duì)數(shù)據(jù)包的處理結(jié)果加快了轉(zhuǎn)發(fā)性能。
(2)防火墻 DOS/DDOS 防御
Dos(Deny of service)是一類攻擊方式的統(tǒng)稱(DDos 也是 Dos 的一種),其攻擊的基本原理就是通過(guò)發(fā)送各種垃圾報(bào)文導(dǎo)致網(wǎng)絡(luò)的阻塞、服務(wù)的癱瘓。Dos 攻擊方式其利用
IP 無(wú)連接的特點(diǎn),可以制造各種不同的攻擊手段,而且攻擊方式非常簡(jiǎn)單。
在 Internet 上非常流行,對(duì)企業(yè)網(wǎng)、甚至骨干網(wǎng)都造成了非常嚴(yán)重的影響,引發(fā)很大的網(wǎng)絡(luò)事故,因此優(yōu)秀的 Dos 攻擊防范功能是防火墻的必備功能。現(xiàn)在幾乎所有的防火墻設(shè)備都宣傳具有 Dos 攻擊防御功能,但是那么為什么 Dos 攻擊導(dǎo)致網(wǎng)絡(luò)癱瘓的攻擊事件為什么還是層出不窮呢?一個(gè)優(yōu)秀的 Dos 攻擊防御體系,應(yīng)該具有如下最基本的特征:
防御手段的健全和豐富。因?yàn)?Dos 攻擊手段種類比較多,因此必須具有豐富的防御手段,才可以保證真正的抵御 Dos 攻擊。
優(yōu)秀的處理性能。因?yàn)?Dos 攻擊伴隨這一個(gè)重要特征就是網(wǎng)絡(luò)流量突然增大,如果防火墻本身不具有優(yōu)秀的處理能力,則防火墻在處理 Dos 攻擊的同時(shí)本身就成為了網(wǎng)絡(luò)的瓶頸,根本就不可能抵御 Dos 攻擊。因?yàn)?Dos 攻擊的一個(gè)重要目的就是使得網(wǎng)絡(luò)癱瘓,網(wǎng)絡(luò)上的關(guān)鍵設(shè)備點(diǎn)發(fā)生了阻塞,則 Dos 攻擊的目的就達(dá)到了。防火墻設(shè)備不但要注重轉(zhuǎn)發(fā)性能,同時(shí)一定要保證對(duì)業(yè)務(wù)的處理能力。在進(jìn)行 Dos 攻擊防御的過(guò)程中,防火墻的每秒新建能力就成為保證網(wǎng)絡(luò)通暢的一個(gè)重要指標(biāo),Dos 攻擊的過(guò)程中,攻擊者都是在隨機(jī)變化源地址因此所有的連接都是新建連接。
準(zhǔn)確的識(shí)別攻擊能力。很多防火墻在處理 Dos 攻擊的時(shí)候,僅僅能保證防火墻后端的流量趨于網(wǎng)絡(luò)可以接受的范圍,但是不能保證準(zhǔn)確的識(shí)別攻擊報(bào)文。這樣處理雖然可以保證網(wǎng)絡(luò)流量的正常,可以保證服務(wù)器不會(huì)癱瘓,但是這樣處理還是會(huì)阻擋正常用戶上網(wǎng)、訪問(wèn)等的報(bào)文,因此雖然網(wǎng)絡(luò)層面是正常的,但是真正的服務(wù)還是被拒絕了,因此還是不能達(dá)到真正的 Dos 攻擊防御的目的。SecPath 系列防火墻產(chǎn)品,在對(duì)上述各個(gè)方面都做了詳盡的考慮,因此 Dos 防御的綜合性能、功能等方面在同類防火墻產(chǎn)品中都具有很強(qiáng)的優(yōu)勢(shì)。
(3)防火墻TCP代理
Tcp 代理是為防止 SYN Flood 類的 Dos 攻擊,而專門開(kāi)發(fā)的一個(gè)安全特性。
SYN Flood 攻擊可以很快的消耗服務(wù)器資源,導(dǎo)致服務(wù)器崩潰。在一般的 Dos 防范技術(shù)中,在攻擊發(fā)生的時(shí)候不能準(zhǔn)確的識(shí)別哪些是合法用戶,哪些是攻擊報(bào)文。采用 TCP 透明代理的方式實(shí)現(xiàn)了對(duì)這種攻擊的防范, 防火墻通過(guò)精確的驗(yàn)證可以準(zhǔn)確的發(fā)現(xiàn)攻擊報(bào)文,對(duì)正常報(bào)文依然可以通過(guò)允許這些報(bào)文訪問(wèn)防火墻資源,而攻擊報(bào)文則被防火墻丟棄。有些攻擊是建立一個(gè)完整的 TCP 連接用來(lái)消耗服務(wù)器的資源。防火墻可以實(shí)現(xiàn)增強(qiáng)代理的功能,在客戶端與防火墻建立連接以后察看客戶是否有數(shù)據(jù)報(bào)文發(fā)送,如果有數(shù)據(jù)報(bào)文發(fā)送防火墻再與服務(wù)器端建立連接否則丟棄客戶端的報(bào)文。這樣可以保證即使采用完成 TCP 三次握手的方式消耗服務(wù)器資源,也可以被防火墻發(fā)現(xiàn)。