Eudemon200防火墙操作指导书20040323(19)

经典防火墙的操作指导书

（vip）传递控制信息。同时我们防火墙还实现了一个MD5加密的控制通道，但目前还没有外部设备遵循我们这个标准进行接口实现，相信随着我们产品的大量发售，会有别的厂商主动来遵循我们的标准的。

2.8.2 攻击检测模块同黑名单联动

攻击检测模块可以驱动黑名单的功能主要是在地址扫描和端口扫描这两部分，因为我们认为在这种情况下其源地址最有可能是真实的，因此采用了将这个IP地址加入黑名单的动作。至于其他的攻击形式，因为其源IP地址基本都是伪冒的，因此没有必要将其加入黑名单。当然，我们不能排除有人故意伪冒受害者的IP地址进行扫描，就是为了让这个地址被防火墙拦截的可能性。但能够采取这种攻击方法的人必定要对我们防火墙的处理及只有比较清楚的了解。而且要清楚防火墙上的配置（要配置相应功能才可以），因此，如果发生问题，排查的范围不会很大。

2.8.3 登录模块同黑名单联动

防火墙上telnet登录模块也可以和黑名单模块进行联动，如果登录过程中连续三次输错密码，防火墙除了会关闭当前连接之外，还会将这个IP地址加入黑名单10分钟。如果此时黑名单功能启动，那么在表项老化的时间之内，无法从这个IP发起连接登录防火墙。进一步减小了攻击者对密码猜测的可能性。

3 典型的网络攻击方式和对策

无论防火墙报过滤规则配置的多么严密，总需要划定一个范围，在这个范围内，连接是被允许的。如果攻击用户网络的连接混杂在这个许可的范围之内，就要靠攻击防范的相关功能将其识别出来并处理。

3.1 常见攻击方式和对策

3.1.1 syn-flood

syn-flood攻击是一种常见的DoS攻击方式，主要被用来攻击开放了TCP端口的网络设备。要了解syn-flood攻击的原理，需要先解释一下TCP的连接的建立过程。TCP连接的建立过程称为三次握手，首先，客户端向服务器发起连接请求（SYN报文），服务器端在收到这个连接请求之后，会回应一个应答报文（SYN ACK），客户端收到这个SYN ACK报文之后，再发送第三个ACK报文，这个交互过程完成之后，服务器和客户机两端就认为这个TCP会话已经正常建立，可以开始使用这个会话上传送数据了。服务器端在回应SYN ACK报文的时候实际上已经为这个连接的建立分配了足够的资源，如果没有接收到客户端返回的ACK报文，这部分资源会在一定时间之后释放，以便提供给其他连接请求使用。