1、DPtechFW1000系列防火墻技術(shù)白皮書(shū)DPtech杭州迪普科技有限公司2009年11月DPtechFW1000系列防火墻技術(shù)白皮書(shū)DPtech杭州迪普科技有限公司 II目錄TOC o 1-5 h z HYPERLINK l bookmark8 1概述1 HYPERLINK l bookmark10 2功能介紹3 HYPERLINK l bookmark12 狀態(tài)檢測(cè)技術(shù)3 HYPERLINK l bookmark18 攻擊防范4 HYPERLINK l bookmark38 實(shí)時(shí)流量分析5 HYPERLINK l bookmark40 2.4內(nèi)網(wǎng)地址安全7 HYPERLINK l boo

2、kmark42 HTTP訪(fǎng)問(wèn)控制8 HYPERLINK l bookmark50 SMTP郵件安全9 HYPERLINK l bookmark52 郵件告警10 HYPERLINK l bookmark54 二進(jìn)制日志11 HYPERLINK l bookmark62 管理功能13 HYPERLINK l bookmark78 工作模式14 HYPERLINK l bookmark84 3組網(wǎng)應(yīng)用15出口保護(hù)15內(nèi)部隔離15DPtechFW1000系列防火墻技術(shù)白皮書(shū)DPtech杭州迪普科技有限公司 1概述隨著網(wǎng)絡(luò)技術(shù)的普及，網(wǎng)絡(luò)攻擊行為出現(xiàn)得越來(lái)越頻繁。通過(guò)各種攻擊軟件，只要具有一般計(jì)算機(jī)常

3、識(shí)的初學(xué)者也能完成對(duì)網(wǎng)絡(luò)的攻擊。各種網(wǎng)絡(luò)病毒的泛濫，也加劇了網(wǎng)絡(luò)被攻擊的危險(xiǎn)。目前，Internet網(wǎng)絡(luò)上常見(jiàn)的安全威脅分為以下幾類(lèi)：非法使用：資源被未授權(quán)的用戶(hù)（也可以稱(chēng)為非法用戶(hù)）或以未授權(quán)方式（非法權(quán)限）使用。例如，攻擊者通過(guò)猜測(cè)帳號(hào)和密碼的組合，從而進(jìn)入計(jì)算機(jī)系統(tǒng)以非法使用資源。拒絕服務(wù)：服務(wù)器拒絕合法用戶(hù)正常訪(fǎng)問(wèn)信息或資源的請(qǐng)求。例如，攻擊者短時(shí)間內(nèi)使用大量數(shù)據(jù)包或畸形報(bào)文向服務(wù)器不斷發(fā)起連接或請(qǐng)求回應(yīng)，致使服務(wù)器負(fù)荷過(guò)重而不能處理合法任務(wù)。信息盜竊：攻擊者并不直接入侵目標(biāo)系統(tǒng)，而是通過(guò)竊聽(tīng)網(wǎng)絡(luò)來(lái)獲取重要數(shù)據(jù)或信息。rId1”數(shù)據(jù)篡改：攻擊者對(duì)系統(tǒng)數(shù)據(jù)或消息流進(jìn)行有選擇的修改、刪除、

4、延誤、重排序及插入虛假消息等操作，而使數(shù)據(jù)的一致性被破壞?；诰W(wǎng)絡(luò)協(xié)議的防火墻不能阻止各種攻擊工具更加高層的攻擊網(wǎng)絡(luò)中大量的低安全性家庭主機(jī)成為攻擊者或者蠕蟲(chóng)病毒的被控攻擊主機(jī)被攻克的服務(wù)器也成為輔助攻擊者Internet目前網(wǎng)絡(luò)中主要使用防火墻來(lái)保證內(nèi)部網(wǎng)路的安全。防火墻類(lèi)似于建筑大廈中用于防止火災(zāi)蔓延的隔斷墻，Internet防火墻是一個(gè)或一組實(shí)施訪(fǎng)問(wèn)控制策略的系統(tǒng)，它監(jiān)控可信任網(wǎng)絡(luò)（相當(dāng)于內(nèi)部網(wǎng)絡(luò)）和不可信任網(wǎng)絡(luò)（相當(dāng)于外部網(wǎng)絡(luò)）之間的訪(fǎng)問(wèn)通道，以防止外部網(wǎng)絡(luò)的危險(xiǎn)蔓延到內(nèi)部網(wǎng)絡(luò)上。防火墻作用于被保護(hù)區(qū)域的入口處，基于訪(fǎng)問(wèn)控制策略提供安全防護(hù)。例如：當(dāng)防火墻位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的連接處

5、時(shí)，可以保護(hù)組織內(nèi)的網(wǎng)絡(luò)和數(shù)據(jù)免遭來(lái)自外部網(wǎng)絡(luò)的非法訪(fǎng)問(wèn)（未授權(quán)或未驗(yàn)證的訪(fǎng)問(wèn)）或惡意攻擊；當(dāng)防火墻位于組織內(nèi)部相對(duì)開(kāi)放的網(wǎng)段或比較敏感的網(wǎng)段（如保存敏感或?qū)Ｓ袛?shù)據(jù)的網(wǎng)絡(luò)部分）的連接處時(shí)，可以根據(jù)需要過(guò)濾對(duì)敏感數(shù)據(jù)的訪(fǎng)問(wèn)（即使該訪(fǎng)問(wèn)是來(lái)自組織內(nèi)部）。防火墻技術(shù)經(jīng)歷了包過(guò)濾防火墻、代理防火墻、狀態(tài)防火墻的技術(shù)演變，但是隨著各種基于不安全應(yīng)用的攻擊增多以及網(wǎng)絡(luò)蠕蟲(chóng)病毒的泛濫，傳統(tǒng)防火墻面臨更加艱巨的任務(wù)，不但需要防護(hù)傳統(tǒng)的基于網(wǎng)絡(luò)層的協(xié)議攻擊，而且需要處理更加高層的應(yīng)用數(shù)據(jù)，對(duì)應(yīng)用層的攻擊進(jìn)行防護(hù)。對(duì)于互聯(lián)網(wǎng)上的各種蠕蟲(chóng)病毒，必須能夠判斷出網(wǎng)絡(luò)蠕蟲(chóng)病毒的特征，把網(wǎng)絡(luò)蠕蟲(chóng)病毒造成的攻擊阻擋在安全網(wǎng)絡(luò)

6、之外。從而對(duì)內(nèi)部安全網(wǎng)絡(luò)形成立體、全面的防護(hù)。造成當(dāng)前網(wǎng)絡(luò)“安全危機(jī)”另外一個(gè)因素是忽視對(duì)內(nèi)網(wǎng)安全的監(jiān)控管理。防火墻防范了來(lái)之外網(wǎng)的攻擊，對(duì)于潛伏于內(nèi)部網(wǎng)絡(luò)的“黑手”卻置之不理，很容易造成內(nèi)網(wǎng)變成攻擊的源頭，導(dǎo)致內(nèi)網(wǎng)數(shù)據(jù)泄密，通過(guò)NAT從內(nèi)部網(wǎng)絡(luò)的攻擊行為無(wú)法進(jìn)行審計(jì)。由于對(duì)內(nèi)部網(wǎng)絡(luò)缺乏防范，當(dāng)內(nèi)部網(wǎng)絡(luò)主機(jī)感染蠕蟲(chóng)病毒時(shí)，會(huì)形成可以感染整個(gè)互聯(lián)網(wǎng)的污染源頭，導(dǎo)致整個(gè)互聯(lián)網(wǎng)絡(luò)環(huán)境低劣。對(duì)于網(wǎng)絡(luò)管理者，不但需要關(guān)注來(lái)自外部網(wǎng)絡(luò)的威脅，而且需要防范來(lái)自?xún)?nèi)部網(wǎng)絡(luò)的惡意行為。防火墻需要提供對(duì)內(nèi)部網(wǎng)絡(luò)安全保障的支持，形成全面的安全防護(hù)體系。2功能介紹DPtechFW1000系列硬件防火墻產(chǎn)品是一種改進(jìn)型的

7、狀態(tài)防火墻，采用專(zhuān)門(mén)設(shè)計(jì)的高可靠性硬件系統(tǒng)和具有自主知識(shí)產(chǎn)權(quán)的專(zhuān)有操作系統(tǒng)，將高效的包過(guò)濾功能、透明的代理服務(wù)、基于改進(jìn)的狀態(tài)檢測(cè)安全技術(shù)、豐富的統(tǒng)計(jì)分析功能、多種安全保障措施集于一身，提供多類(lèi)型接口和工作模式。不但提供對(duì)網(wǎng)絡(luò)層攻擊的防護(hù)，而且提供多種智能分析和管理手段，全面立體的防護(hù)內(nèi)部網(wǎng)路。DPtechFW1000防火墻提供多種網(wǎng)絡(luò)管理監(jiān)控的方法，協(xié)助網(wǎng)絡(luò)管理員完成網(wǎng)絡(luò)的安全管理。DPtechFW1000防火墻采用狀態(tài)檢測(cè)技術(shù)，可對(duì)連接過(guò)程和有害命令進(jìn)行監(jiān)測(cè)，并協(xié)同ACL完成包過(guò)濾，支持NAT-PAT，支持IPSecVPN加密等特性，提供包括DES、3DES等多種加密算法，并支持證書(shū)認(rèn)證。

8、此外，還提供數(shù)十種攻擊的防范能力，所有這些都有效地保障了網(wǎng)絡(luò)的安全。下面重點(diǎn)描述DPtechFW1000防火墻的主要安全功能。2.1狀態(tài)檢測(cè)技術(shù)狀態(tài)檢測(cè)技術(shù)是針對(duì)應(yīng)用層的包過(guò)濾，即基于狀態(tài)的報(bào)文過(guò)濾。它和普通的靜態(tài)防火墻協(xié)同工作，以便于實(shí)施內(nèi)部網(wǎng)絡(luò)的安全策略。能夠檢測(cè)試圖通過(guò)防火墻的應(yīng)用層協(xié)議會(huì)話(huà)信息，阻止不符合規(guī)則的數(shù)據(jù)報(bào)文穿過(guò)。為保護(hù)網(wǎng)絡(luò)安全，基于訪(fǎng)問(wèn)控制列表的包過(guò)濾可以在網(wǎng)絡(luò)層和傳輸層檢測(cè)數(shù)據(jù)包，防止非法入侵。狀態(tài)檢測(cè)技術(shù)能夠檢測(cè)應(yīng)用層協(xié)議的信息，并對(duì)應(yīng)用的流量進(jìn)行監(jiān)控。狀態(tài)檢測(cè)技術(shù)還提供以下功能：DoS（DenialofService，拒絕服務(wù)）的檢測(cè)和防范。JavaBlocking（

9、Java阻斷），用于保護(hù)網(wǎng)絡(luò)不受有害的JavaApplets的破壞。支持端口到應(yīng)用的映射，用于應(yīng)用層協(xié)議提供的服務(wù)使用非通用端口時(shí)的情況。增強(qiáng)的會(huì)話(huà)日志功能?？梢詫?duì)所有的連接進(jìn)行記錄，包括：記錄連接的時(shí)間、源地址、目的地址、使用的端口和傳輸?shù)淖止?jié)數(shù)。狀態(tài)檢測(cè)技術(shù)對(duì)應(yīng)用層的協(xié)議信息進(jìn)行檢測(cè)，并維護(hù)會(huì)話(huà)的狀態(tài)，檢查會(huì)話(huà)的報(bào)文的協(xié)議和端口號(hào)等信息，阻止惡意的入侵。攻擊防范通常的網(wǎng)絡(luò)攻擊，一般是侵入或破壞網(wǎng)上的服務(wù)器（主機(jī)），盜取服務(wù)器的敏感數(shù)據(jù)或干擾破壞服務(wù)器對(duì)外提供的服務(wù)；也有直接破壞網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)攻擊，這種破壞影響較大，會(huì)導(dǎo)致網(wǎng)絡(luò)服務(wù)異常，甚至中斷。防火墻的攻擊防范功能能夠檢測(cè)出多種類(lèi)型的網(wǎng)絡(luò)攻

10、擊，并能采取相應(yīng)的措施保護(hù)內(nèi)部網(wǎng)絡(luò)免受惡意攻擊，保證內(nèi)部網(wǎng)絡(luò)及系統(tǒng)的正常運(yùn)行。DPtechFW1000防火墻的攻擊防范技術(shù)可以有效的阻止下面的網(wǎng)絡(luò)攻擊行為：IP地址欺騙攻擊為了獲得訪(fǎng)問(wèn)權(quán)，入侵者生成一個(gè)帶有偽造源地址的報(bào)文。對(duì)于使用基于IP地址驗(yàn)證的應(yīng)用來(lái)說(shuō)，此攻擊方法可以導(dǎo)致未被授權(quán)的用戶(hù)可以訪(fǎng)問(wèn)目的系統(tǒng)，甚至是以root權(quán)限來(lái)訪(fǎng)問(wèn)。即使響應(yīng)報(bào)文不能達(dá)到攻擊者，同樣也會(huì)造成對(duì)被攻擊對(duì)象的破壞。這就造成IPSpoofing攻擊。Land攻擊所謂Land攻擊，就是把TCPSYN包的源地址和目標(biāo)地址都配置成受害者的IP地址。這將導(dǎo)致受害者向它自己的地址發(fā)送SYN-ACK消息，結(jié)果這個(gè)地址又發(fā)回AC

11、K消息并創(chuàng)建一個(gè)空連接，每一個(gè)這樣的連接都將保留直到超時(shí)掉。各種受害者對(duì)Land攻擊反應(yīng)不同，許多UNIX主機(jī)將崩潰，WindowsNT主機(jī)會(huì)變的極其緩慢。Smurf攻擊簡(jiǎn)單的Smurf攻擊，用來(lái)攻擊一個(gè)網(wǎng)絡(luò)。方法是發(fā)ICMP應(yīng)答請(qǐng)求，該請(qǐng)求包的目標(biāo)地址配置為受害網(wǎng)絡(luò)的廣播地址，這樣該網(wǎng)絡(luò)的所有主機(jī)都對(duì)此ICMP應(yīng)答請(qǐng)求作出答復(fù)，導(dǎo)致網(wǎng)絡(luò)阻塞，這比ping大包的流量高出一或兩個(gè)數(shù)量級(jí)。高級(jí)的Smurf攻擊，主要用來(lái)攻擊目標(biāo)主機(jī)。方法是將上述ICMP應(yīng)答請(qǐng)求包的源地址改為受害主機(jī)的地址，最終導(dǎo)致受害主機(jī)雪崩。攻擊報(bào)文的發(fā)送需要一定的流量和持續(xù)時(shí)間，才能真正構(gòu)成攻擊。理論上講，網(wǎng)絡(luò)的主機(jī)越多，攻擊

12、的效果越明顯。Smurf攻擊的另一個(gè)變體為Fraggle攻擊。Fraggle攻擊使用UDPecho和Chargen服務(wù)的smurf方式的攻擊。Teardrop攻擊構(gòu)造非法的分片報(bào)文，填寫(xiě)不正確的分片偏移量和報(bào)文長(zhǎng)度，使得各分片的內(nèi)容有所重疊，目標(biāo)機(jī)器如果處理不當(dāng)會(huì)造成異常。WinNuke攻擊WinNuke攻擊通常向裝有Windows系統(tǒng)的特定目標(biāo)的NetBIOS端口（139）發(fā)送OOB（out-of-band）數(shù)據(jù)包，弓I起一個(gè)NetBIOS片斷重疊，致使目標(biāo)主機(jī)崩潰。還有一種是IGMP分片報(bào)文，一般情況下，IGMP報(bào)文是不會(huì)分片的，所以，不少系統(tǒng)對(duì)IGMP分片報(bào)文的處理有問(wèn)題。如果收到IGM

13、P分片報(bào)文，則基本可判定受到了攻擊。SYNFlood攻擊由于資源的限制，TCP/IP棧的實(shí)現(xiàn)只能允許有限個(gè)TCP連接。而SYNFlood攻擊正是利用這一點(diǎn)，它偽造一個(gè)SYN報(bào)文，其源地址是偽造的、或者一個(gè)不存在的地址，向服務(wù)器發(fā)起連接，服務(wù)器在收到報(bào)文后用SYN-ACK應(yīng)答，而此應(yīng)答發(fā)出去后，不會(huì)收至lACK報(bào)文，造成一個(gè)半連接。如果攻擊者發(fā)送大量這樣的報(bào)文，會(huì)在被攻擊主機(jī)上出現(xiàn)大量的半連接，消耗盡其資源，使正常的用戶(hù)無(wú)法訪(fǎng)問(wèn)。直到半連接超時(shí)。在一些創(chuàng)建連接不受限制的實(shí)現(xiàn)里，SYNFlood具有類(lèi)似的影響，它會(huì)消耗掉系統(tǒng)的內(nèi)存等資源。ICMP和UDPFlood攻擊短時(shí)間內(nèi)用大量的ICMP消息（

14、如ping）和口。卩報(bào)文向特定目標(biāo)不斷請(qǐng)求回應(yīng)，致使目標(biāo)系統(tǒng)負(fù)擔(dān)過(guò)重而不能處理合法的傳輸任務(wù)。地址掃描與端口掃描攻擊運(yùn)用掃描工具探測(cè)目標(biāo)地址和端口，對(duì)此作出響應(yīng)的表示其存在，用來(lái)確定哪些目標(biāo)系統(tǒng)確實(shí)存活著并且連接在目標(biāo)網(wǎng)絡(luò)上，這些主機(jī)使用哪些端口提供服務(wù)。PingofDeath攻擊IP報(bào)文的長(zhǎng)度字段為16位，這表明一個(gè)IP報(bào)文的最大長(zhǎng)度為65535。對(duì)于ICMP回應(yīng)請(qǐng)求報(bào)文，如果數(shù)據(jù)長(zhǎng)度大于65507，就會(huì)使ICMP數(shù)據(jù)+IP頭長(zhǎng)度（20）+ICMP頭長(zhǎng)度（8）65535。對(duì)于有些路由器或系統(tǒng)，在接收到一個(gè)這樣的報(bào)文后，由于處理不當(dāng)，會(huì)造成系統(tǒng)崩潰、死機(jī)或重啟。這種攻擊就是利用一些尺寸超大的I

15、CMP報(bào)文對(duì)系統(tǒng)進(jìn)行的一種攻擊。另夕卜，DPtechFW1000防火墻提供了對(duì)ICMP重定向報(bào)文、ICMP不可達(dá)報(bào)文、帶路由記錄選項(xiàng)IP報(bào)文、Tracert報(bào)文的控制功能，以及增強(qiáng)的TCP報(bào)文標(biāo)志合法性檢測(cè)功能，在攻擊前期階段阻止攻擊分析行為。實(shí)時(shí)流量分析對(duì)于防火墻來(lái)說(shuō)，不僅要對(duì)數(shù)據(jù)流量進(jìn)行監(jiān)控，還要對(duì)內(nèi)夕部網(wǎng)絡(luò)之間的連接發(fā)起情況進(jìn)行檢測(cè)，因此要進(jìn)行大量的統(tǒng)計(jì)計(jì)算與分析。防火墻的統(tǒng)計(jì)分析一方面可以通過(guò)專(zhuān)門(mén)的分析軟件對(duì)日志信息進(jìn)行事后分析；另一方面，防火墻系統(tǒng)本身可以完成一部分分析功能，它表現(xiàn)在具有一定的實(shí)時(shí)性。DPtechFW1000防火墻提供了實(shí)時(shí)的網(wǎng)絡(luò)流量分析功能，及時(shí)發(fā)現(xiàn)攻擊和網(wǎng)絡(luò)蠕蟲(chóng)病

16、毒產(chǎn)生的異常流量。用戶(hù)可以使用防火墻預(yù)先定義的流量分析模型，也可以自己定義各種協(xié)議流量的比例，連接速率閥值等參數(shù)，形成適合當(dāng)前網(wǎng)絡(luò)的分析模型。比如，用戶(hù)可以指定系統(tǒng)的TCP連接和UDP連接總數(shù)的上限閾值和下限閾值。當(dāng)防火墻系統(tǒng)的TCP或UDP連接個(gè)數(shù)超過(guò)設(shè)定的閾值上限后，防火墻將輸出日志進(jìn)行告警，而當(dāng)TCP、UDP連接個(gè)數(shù)降到設(shè)定的閾值下限時(shí)，防火墻輸出日志，表示連接數(shù)恢復(fù)到正常。另外，也可以指定配置不同類(lèi)型的報(bào)文在正常情況下一定時(shí)間內(nèi)所占的百分比以及允許的變動(dòng)范圍，系統(tǒng)定時(shí)檢測(cè)收到的各類(lèi)報(bào)文百分比，并和配置進(jìn)行比較，如果某類(lèi)型（TCP、UDP、ICMP或其他）報(bào)文百分比超過(guò)配置的上限閾值（加

17、波動(dòng)范圍），則系統(tǒng)輸出日志告警；如果某類(lèi)型報(bào)文百分比低于配置的下限閾值（加波動(dòng)范圍），則系統(tǒng)輸出日志告警。Tn十a(chǎn)xria十流量實(shí)時(shí)分析蠕蟲(chóng)病毒異常流量阻斷實(shí)時(shí)流量分析技術(shù)可以有效的發(fā)現(xiàn)未知的網(wǎng)絡(luò)蠕蟲(chóng)病毒造成的異常流量，可以及時(shí)通知網(wǎng)絡(luò)管理員進(jìn)行處理。并且通過(guò)DPtechFW1000防火墻的地址動(dòng)態(tài)隔離技術(shù)（地址黑名單）對(duì)異常流量進(jìn)行及時(shí)阻斷，從而避免垃圾流量對(duì)網(wǎng)絡(luò)帶寬的擁塞。內(nèi)網(wǎng)地址安全在受保護(hù)的內(nèi)部網(wǎng)絡(luò)，如何防范發(fā)自?xún)?nèi)部網(wǎng)絡(luò)的攻擊將是網(wǎng)絡(luò)安全領(lǐng)域面臨的一個(gè)十分重要的問(wèn)題。網(wǎng)絡(luò)內(nèi)部的惡意攻擊者，感染網(wǎng)絡(luò)蠕蟲(chóng)病毒的主機(jī)，都是內(nèi)網(wǎng)安全的重大威脅。在IP協(xié)議棧中，ARP是以太網(wǎng)上非常重要的一個(gè)協(xié)議

18、。以太網(wǎng)網(wǎng)絡(luò)中的主機(jī)，在互相進(jìn)行IP訪(fǎng)問(wèn)之前，都必須先通過(guò)ARP協(xié)議來(lái)獲取到目的IP地址對(duì)應(yīng)的MAC地址。在通過(guò)路由器、三層交換機(jī)作為網(wǎng)關(guān)時(shí)，PC為了把數(shù)據(jù)發(fā)送到網(wǎng)關(guān)，同樣需要通過(guò)ARP協(xié)議來(lái)獲取網(wǎng)關(guān)的MAC地址。由于ARP協(xié)議本身不具備任何的安全性，所以留下了很多的安全漏洞。主機(jī)欺騙：惡意的網(wǎng)絡(luò)客戶(hù)可以偽造出別的客戶(hù)的ARP報(bào)文，使希望被攻擊的客戶(hù)不能正常進(jìn)行網(wǎng)絡(luò)通訊。網(wǎng)關(guān)偽造：惡意的網(wǎng)絡(luò)客戶(hù)可以偽造網(wǎng)關(guān)的ARP應(yīng)答，在ARP應(yīng)答報(bào)文中把網(wǎng)關(guān)的IP對(duì)應(yīng)的MAC地址設(shè)置稱(chēng)自己的MAC地址，那么，網(wǎng)絡(luò)中所有的客戶(hù)都會(huì)把數(shù)據(jù)發(fā)送到惡意網(wǎng)絡(luò)客戶(hù)的主機(jī)上。ARP“轟炸”：惡意客戶(hù)主機(jī)發(fā)出大量的不同IP

19、對(duì)應(yīng)不同MAC的ARP報(bào)文，讓網(wǎng)絡(luò)中的設(shè)備ARP表都加入最大數(shù)量的ARP表項(xiàng)，導(dǎo)致正常的ARP不能加入，從而中斷網(wǎng)絡(luò)流量。通過(guò)ARP欺騙，可以仿冒服務(wù)器的地址IPMAC001010101010IP進(jìn)行通訊DPtechFW1000防火墻通過(guò)多種方式來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)的地址安全性：MAC和IP地址綁定：防火墻可以根據(jù)用戶(hù)的配置，在特定的IP地址和MAC地址之間形成關(guān)聯(lián)關(guān)系。對(duì)于聲稱(chēng)從這個(gè)IP發(fā)送的的報(bào)文，如果其MAC地址不是指定關(guān)系對(duì)中的地址，防火墻將予以丟棄,發(fā)送給這個(gè)IP地址的報(bào)文，在通過(guò)防火墻時(shí)將被強(qiáng)制發(fā)送給這個(gè)MAC地址。從而形成有效的保護(hù)，是避免IP地址假冒攻擊的一種方式。這種方式通?？梢栽?/p>

20、服務(wù)器區(qū)域使用，對(duì)使用固定IP地址的內(nèi)部網(wǎng)絡(luò)服務(wù)器實(shí)行強(qiáng)制的MAC和IP地址綁定。ARP欺騙檢查：接收到ARP報(bào)文進(jìn)行深層次的內(nèi)容檢查，根據(jù)ARP報(bào)文的不同類(lèi)型，判斷ARP協(xié)議有效載荷中的數(shù)據(jù)和承載ARP報(bào)文的以太網(wǎng)報(bào)文頭中的對(duì)應(yīng)地址信息是否相一致，如果一致，才認(rèn)為是合法的ARP報(bào)文，否則認(rèn)為是非法的ARP報(bào)文，不進(jìn)行更新并向管理員進(jìn)行報(bào)警。ARP反向查詢(xún)?cè)诮邮盏揭粋€(gè)免費(fèi)的ARP報(bào)文時(shí)，針對(duì)這個(gè)IP發(fā)起ARP請(qǐng)求，得到的ARP應(yīng)答中MAC和免費(fèi)ARP中的MAC進(jìn)行比較，通過(guò)則正常處理，否則進(jìn)行異常處理。如果有人進(jìn)行ARP偽造，在ARP請(qǐng)求獲得的應(yīng)答中，設(shè)備可以重新獲得真正設(shè)備MAC地址。如果攻

21、擊者使用更智能的手段，能夠處理后續(xù)的ARP請(qǐng)求交互過(guò)程，那么設(shè)備也能夠通過(guò)接收到兩個(gè)ARP應(yīng)答探測(cè)到這種沖突情況的存在，及時(shí)通知管理員處理。HTTP訪(fǎng)問(wèn)控制互聯(lián)網(wǎng)的發(fā)展促進(jìn)了信息的共享和交流，為了提高員工的工作效率和信息查詢(xún)，企業(yè)等機(jī)構(gòu)會(huì)向員工提供外部HTTP訪(fǎng)問(wèn)的權(quán)限。但是互聯(lián)網(wǎng)上各種信息泛濫，如何有效的保證員工上網(wǎng)，又可以防止不良信息進(jìn)入內(nèi)部網(wǎng)絡(luò)是網(wǎng)絡(luò)管理者必須解決的問(wèn)題。DPtechFW1000防火墻提供針對(duì)應(yīng)用協(xié)議的訪(fǎng)問(wèn)控制能力，通過(guò)獨(dú)有的狀態(tài)檢測(cè)技術(shù)特性，對(duì)應(yīng)用層協(xié)議進(jìn)行分析，實(shí)現(xiàn)對(duì)應(yīng)用協(xié)議的內(nèi)容過(guò)濾。通過(guò)DPtechFW1000防火墻提供的HTTP協(xié)議過(guò)濾提供對(duì)HTTP網(wǎng)址過(guò)濾和網(wǎng)

22、頁(yè)內(nèi)容過(guò)濾，可以有效的管理員工上網(wǎng)的行為，提高工作的效率，節(jié)約出口帶寬，保障正常的數(shù)據(jù)流量，屏蔽各種“垃圾”信息，從而保證內(nèi)部網(wǎng)絡(luò)的“綠色環(huán)境”。-丿正常網(wǎng)站健康內(nèi)容Internet有害網(wǎng)站過(guò)濾有害網(wǎng)頁(yè)惡意內(nèi)容摘除內(nèi)容有害網(wǎng)站用戶(hù)可以設(shè)置網(wǎng)址過(guò)濾需要過(guò)濾的網(wǎng)址列表，網(wǎng)址過(guò)濾列表可以保存在flash中的網(wǎng)址過(guò)濾文件中。網(wǎng)址過(guò)濾文件中的過(guò)濾列表的格式為： HYPERLINK HYPERLINK HYPERLINK 可以指定每條網(wǎng)址是禁止訪(fǎng)問(wèn)還是允許訪(fǎng)問(wèn)，并可以指定在網(wǎng)址過(guò)濾列表中沒(méi)有找到的網(wǎng)址采取何種缺省動(dòng)作（允許還是禁止），從而為用戶(hù)提供最大的控制靈活性。為了防止網(wǎng)頁(yè)中可執(zhí)行代碼對(duì)內(nèi)部網(wǎng)絡(luò)造成的

23、潛在威脅，可以指定HTTP檢測(cè)策略能夠過(guò)濾掉來(lái)自外部網(wǎng)絡(luò)服務(wù)器HTTP報(bào)文中的JavaApplets。另夕卜，利用web內(nèi)容過(guò)濾功能，通過(guò)指定過(guò)濾網(wǎng)頁(yè)中的文本關(guān)鍵字，可以保證用戶(hù)指定內(nèi)容的信息不會(huì)進(jìn)入內(nèi)部網(wǎng)絡(luò)。web內(nèi)容過(guò)濾文件存放在flash中，用戶(hù)可以對(duì)過(guò)濾詞匯文件進(jìn)行管理，包括添加、刪除、清除過(guò)濾關(guān)鍵字。關(guān)鍵字過(guò)濾支持模糊查找，即允許向過(guò)濾關(guān)鍵字文件中添加帶“*”的關(guān)鍵字。web內(nèi)容過(guò)濾文件的格式為：暴力*賭博*利用HTTP協(xié)議過(guò)濾功能，可以營(yíng)造企業(yè)、政府機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全、綠色的上網(wǎng)環(huán)境。SMTP郵件安全在互聯(lián)網(wǎng)不斷發(fā)展的今天，電子郵件和電話(huà)、信件、傳真一樣，成為人們生活工作中不可或缺

24、的一種相互交流聯(lián)系的方式。但是，電子郵件帶來(lái)便利的同時(shí)，也給企業(yè)和機(jī)構(gòu)的內(nèi)部網(wǎng)絡(luò)帶來(lái)各種安全問(wèn)題。如何讓電子郵件成為工作的聯(lián)系手段，但又可以防止內(nèi)部信息的泄密和防止發(fā)送大量其他非工作相關(guān)的郵件，是內(nèi)部網(wǎng)絡(luò)管理者必須解決的一個(gè)問(wèn)題。DPtechFW1000防火墻提供內(nèi)部的郵件安全特性包括:Internet電子郵件地址過(guò)濾功能在企業(yè)內(nèi)部向外發(fā)送郵件時(shí)，進(jìn)行地址過(guò)濾，防止向外部非法地址發(fā)送公司資料或者與工作無(wú)關(guān)的信息。該功能可以對(duì)SMTP協(xié)議郵件地址進(jìn)行過(guò)濾。發(fā)送電子郵件通過(guò)SMTP協(xié)議進(jìn)行傳輸，RFC821詳細(xì)描述了SMTP協(xié)議細(xì)節(jié)，RFC1869規(guī)定了擴(kuò)展的SMTP細(xì)節(jié)。SMTP使用TCP端口2

25、5在發(fā)送者和接收者之間進(jìn)行通訊，使用規(guī)定的命令完成郵件發(fā)送功能。電子郵件地址過(guò)濾功能依據(jù)RFC協(xié)議規(guī)定完成對(duì)郵件的過(guò)濾，不受郵件發(fā)送者所使用工具的影響。電子郵件主題過(guò)濾在企業(yè)內(nèi)部向外發(fā)送郵件時(shí)，可以根據(jù)郵件主題對(duì)郵件進(jìn)行郵件主題關(guān)鍵字過(guò)濾。關(guān)鍵字過(guò)濾支持模糊查找，即允許向過(guò)濾關(guān)鍵字添加帶“*”的關(guān)鍵字，對(duì)郵件標(biāo)題內(nèi)容進(jìn)行模糊匹配。電子郵件內(nèi)容過(guò)濾在過(guò)濾郵件時(shí)，可以對(duì)郵件正文的文本內(nèi)容進(jìn)行內(nèi)容過(guò)濾，保證對(duì)郵件內(nèi)容的監(jiān)控。需要進(jìn)行匹配的內(nèi)容以關(guān)鍵字的形式指定，文本內(nèi)容關(guān)鍵字過(guò)濾同樣支持模糊查找，即允許向過(guò)濾庫(kù)中的關(guān)鍵字添加帶“*”的關(guān)鍵字。通過(guò)對(duì)SMTP郵件的過(guò)濾控制，保證企業(yè)、機(jī)構(gòu)中不會(huì)出現(xiàn)郵件

26、泄密的問(wèn)題。而且，通過(guò)對(duì)郵件內(nèi)容的控制，可以防止攜帶非法內(nèi)容、病毒程序的電子郵件擴(kuò)散。郵件告警隨著網(wǎng)絡(luò)技術(shù)的普及，出現(xiàn)在網(wǎng)絡(luò)中的攻擊手段越來(lái)越多，以及網(wǎng)絡(luò)蠕蟲(chóng)病毒的出現(xiàn)對(duì)于內(nèi)部網(wǎng)絡(luò)保護(hù)的迫切性日益突出。雖然防火墻技術(shù)、反病毒技術(shù)也不斷取得突破，但是當(dāng)防范設(shè)備發(fā)現(xiàn)一些未知，不能確定的網(wǎng)絡(luò)攻擊時(shí)，如果不能非常及時(shí)的通知網(wǎng)絡(luò)管理員進(jìn)行處理，那么很可能對(duì)網(wǎng)絡(luò)造成巨大的損失。特別是對(duì)于網(wǎng)絡(luò)蠕蟲(chóng)病毒來(lái)說(shuō)，隨著時(shí)間的推移，感染的主機(jī)以及造成的損失會(huì)呈指數(shù)增長(zhǎng)。DPtechFW1000防火墻不但提供系統(tǒng)日志，日志主機(jī)等告警方式，而且提供實(shí)時(shí)郵件告警技術(shù)。為了提醒管理員網(wǎng)絡(luò)中發(fā)生的各種攻擊情況，DPtechFW

27、1000防火墻支持以電子郵件的形式把攻擊日志通知管理員。通過(guò)流量分析功能，郵件中還有詳細(xì)的網(wǎng)絡(luò)流量分析結(jié)果，可以供管理員進(jìn)行網(wǎng)絡(luò)優(yōu)化。郵件發(fā)送可以使用兩種方式，一種是實(shí)時(shí)發(fā)送，一旦檢測(cè)到攻擊行為，立即發(fā)送郵件到指定的郵件地址；另外一種是在指定的每日固定時(shí)間定期發(fā)送告警郵件。通過(guò)郵件告警功能可以實(shí)現(xiàn)對(duì)于可以檢測(cè)出來(lái)的已知攻擊方式，在實(shí)時(shí)阻斷的同時(shí)，會(huì)向預(yù)先指定的一個(gè)或者多個(gè)郵箱發(fā)送告警郵件，在第一時(shí)間通知網(wǎng)絡(luò)管理者。對(duì)于未知蠕蟲(chóng)病毒造成異常流量等，通過(guò)DPtechFW1000防火墻的實(shí)時(shí)流量分析發(fā)現(xiàn)以后，立即通過(guò)電子電子郵件向預(yù)先指定的一個(gè)或者多個(gè)郵箱發(fā)送告警郵件通知網(wǎng)絡(luò)管理者及時(shí)處理。手機(jī)短信

28、在使用郵件告警時(shí)，還可以利用郵箱的短信通知功能通過(guò)手機(jī)短信在最短的時(shí)間內(nèi)通知網(wǎng)絡(luò)管理員發(fā)生網(wǎng)絡(luò)異常行為。除了實(shí)時(shí)的網(wǎng)絡(luò)攻擊以及流量異常的郵件告警，DPtechFW1000防火墻還提供定時(shí)郵件告警，在指定的一個(gè)或者多個(gè)時(shí)刻發(fā)送電子郵件到指定郵箱,報(bào)告當(dāng)前的網(wǎng)絡(luò)運(yùn)行狀態(tài)，包括收到的網(wǎng)絡(luò)攻擊情況、流量分析數(shù)據(jù)、過(guò)濾時(shí)間等信息，向網(wǎng)絡(luò)管理者提供管理參考。二進(jìn)制日志日志特性能夠?qū)⑾到y(tǒng)消息或包過(guò)濾的動(dòng)作等存入緩沖區(qū)或定向發(fā)送到日志主機(jī)上。對(duì)日志內(nèi)容的分析和歸檔，能夠使管理員檢查防火墻的安全漏洞、什么時(shí)候有什么人試圖違背安全策略、網(wǎng)絡(luò)攻擊的類(lèi)型，實(shí)時(shí)的日志記錄還可以用來(lái)檢測(cè)正在進(jìn)行的入侵oDPtechFW1

29、000防火墻統(tǒng)一考慮各種攻擊、事件，將它們的各種日志輸出格式、統(tǒng)計(jì)信息等內(nèi)容進(jìn)行規(guī)范從而保證了日志風(fēng)格的統(tǒng)一和日志功能的嚴(yán)肅性。DPtechFW1000防火墻包括以下幾種日志信息:口NAT/狀態(tài)檢測(cè)技術(shù)日志口攻擊防范日志口流量監(jiān)控日志口黑名單日志口地址綁定日志郵件過(guò)濾日志網(wǎng)址/內(nèi)容過(guò)濾日志對(duì)于上述這些日志，根據(jù)日志輸出方式的不同可以分為二進(jìn)制流日志、Syslog日志兩種,日志信息可以通過(guò)多種方式進(jìn)行輸出和保存。監(jiān)監(jiān)控終端J二:希人志主機(jī)驀日志緩沖控制臺(tái)控攻擊防范、流量監(jiān)控、黑名單和地址綁定產(chǎn)生的日志信息量小，因此采用SysLog方式以文本格式進(jìn)行輸出。這些日志信息必須通過(guò)DPtechFW100

30、0防火墻的信息中心進(jìn)行日志管理和輸出重定向，或者顯示在終端屏幕上，或?qū)ysLog日志發(fā)送給日志主機(jī)進(jìn)行存儲(chǔ)和分析。相反，NAT/狀態(tài)檢測(cè)技術(shù)產(chǎn)生的日志信息量很大，因此對(duì)于這種類(lèi)型的流提供了一種“二進(jìn)制”輸出方式，直接輸出到日志服務(wù)器上以便對(duì)日志進(jìn)行存儲(chǔ)和分析。和SysLog方式相比，二進(jìn)制流日志的傳輸效率高，而且節(jié)約存儲(chǔ)空間。DPtechFW1000系列防火墻技術(shù)白皮書(shū)杭州迪普科技有限公司 DPtech管理功能網(wǎng)絡(luò)安全技術(shù)收到越來(lái)越多的重視，防火墻設(shè)備的應(yīng)用也越來(lái)越多。向設(shè)備管理者提供簡(jiǎn)單快捷，易于部署的多種管理方式是防火墻必須具備的功能。DPtechFW1000防火墻提供了多種管理方式，向

31、用戶(hù)提供最大的設(shè)備管理便利性。用戶(hù)可以通過(guò)命令行視圖、SNMP管理、WEB管理來(lái)對(duì)防火墻進(jìn)行統(tǒng)一管理和監(jiān)控。系統(tǒng)向用戶(hù)提供一系列配置命令以及命令行接口，用戶(hù)通過(guò)該接口可以配置和管理防火墻。命令行接口有如下特性：通過(guò)Console口進(jìn)行本地配置通過(guò)AUX口進(jìn)行本地或遠(yuǎn)程配置通過(guò)Telnet、SSH進(jìn)行本地或遠(yuǎn)程配置提供User-interface視圖，管理各種終端用戶(hù)的特定配置命令分級(jí)保護(hù)，不同級(jí)別的用戶(hù)只能執(zhí)行相應(yīng)級(jí)別的命令通過(guò)本地、AAA驗(yàn)證方式，確保系統(tǒng)的安全提供聯(lián)機(jī)幫助，用戶(hù)可以隨時(shí)鍵入“?”獲得相關(guān)信息提供網(wǎng)絡(luò)測(cè)試命令，如tracert、ping等，迅速診斷網(wǎng)絡(luò)是否正常提供種類(lèi)豐富、內(nèi)

32、容詳盡的調(diào)試信息，幫助診斷網(wǎng)絡(luò)故障提供FTP服務(wù)，方便用戶(hù)上載、下載文件提供類(lèi)似Doskey的功能，可以執(zhí)行某條歷史命令命令行解釋器提供不完全匹配和上下文關(guān)聯(lián)等多種智能命令解析方法另夕卜，DPtechFW1000防火墻支持SSH，保證管理過(guò)程的安全性。SSH是SecureShell(安全外殼)的簡(jiǎn)稱(chēng)，用戶(hù)通過(guò)一個(gè)不能保證安全的網(wǎng)絡(luò)環(huán)境遠(yuǎn)程登錄到安全網(wǎng)關(guān)時(shí),SSH特性可以提供安全保障和強(qiáng)大的認(rèn)證功能，以保護(hù)安全網(wǎng)關(guān)不受諸如IP地址欺詐、明文密碼截取等等的攻擊。安全網(wǎng)關(guān)可以接受多個(gè)SSH客戶(hù)的連接。SSH客戶(hù)端的功能是允許用戶(hù)與支持SSHServer的安全網(wǎng)關(guān)、UNIX主機(jī)等建立SSH連接。簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SimpleNetworkManagementProtocol，簡(jiǎn)稱(chēng)SNMP)，是被廣泛接受并投入使用的工業(yè)標(biāo)準(zhǔn)，它的目標(biāo)是保證管理信息在任意兩點(diǎn)間傳送，便于網(wǎng)絡(luò)管理員在網(wǎng)絡(luò)上的任何節(jié)點(diǎn)檢索信息，進(jìn)行修改，尋找故障，完成故障診斷，容量規(guī)劃和報(bào)告生成。它采用輪詢(xún)機(jī)制，提供最基本的功能集。適合小型、快速和低價(jià)格的環(huán)境使用。它只要求無(wú)證實(shí)的傳輸層協(xié)議UDP,受到業(yè)界產(chǎn)品的廣泛支持。DPtechFW1000防火墻支持標(biāo)準(zhǔn)網(wǎng)管DPtechFW1000系列防火墻技術(shù)白皮書(shū)DPtech杭州迪普科技有限公司