KFW傲盾防火墙企业网站防护版手册.doc

傲盾科技KFW傲盾防火墙网站防护版(3.0)版功能说明l 功能简介KFW傲盾防火墙网站防护版是一款针对各种网站、信息平台、Internet服务等，集成多种功能模块的安全平台。本软件是具有完全知识版权的防火墙，使用了目前最先进的第三代防火墙技术DataStream Fingerprint Inspection数据流指纹检测技术，与企业级防火墙Check Point和Cisco相同，能够检测网络协议中所有层的状态，有效阻止DoS、DDoS等各种攻击，保护您的服务器免受来自Internet上的黑客和入侵者的攻击、破坏。通过最先进的企业级防火墙的技术，提供各种企业级功能，功能强大、齐全，价格低廉，是目前世界上性能价格比最高的网络防火墙产品。功能列表1. 数据包规则过滤2. 数据流指纹检测过滤3. 数据包内容定制过滤4. 网关路游支持5. NAT功能(支持FTP PASV 和port,支持irc的ddc等动态端口模式，安装防火墙后不用设置PASV 之类的端口)6. 端口映射功能7. 流量控制 8. 强大的包抓分析模块 9. log模块， 10. 采用最先进的数据流指纹技术，提供强大的DOS(拒绝服务)攻击防护，彻底防护各种已知和未知的DOS攻击。11. 流量分析监测 12. 实时访问连接监控 13. 支持dmz区的建立 14. 账号，权限管理 15. 分布式管理l 技术优势和特点KFW傲盾防火墙系统是一套全面、创新、高安全性、高性能的网络安全系统。它根据系统管理者设定的安全规则（Security Rules）把守企业网络，提供强大的访问控制、状态检测、网络地址转换（Network Address Translation）、信息过滤、流量控制等功能。提供完善的安全性设置，通过高性能的网络核心进行访问控制。与国内外的防火墙产品所比较，傲盾防火墙有以下突出的技术优势和特点1.特有的DdoS、Dos攻击防御DoS攻击（Denial of Service拒绝服务攻击）或着是DDoS攻击（Distribute Denial of Service 分布式拒绝服务攻击）是近年来流行的一种危害极大的网络攻击方式。当DoS攻击发动的时候，有时甚至可以完全使网络服务器所提供的服务失效。 DoS攻击的原理，简而言之，就是针对TCP/IP协议的薄弱环节，利用IP欺骗技术，对要攻击的节点疯狂地发出数据包；使得被攻击节点忙于处理这些虚假来源的数据包，从而使合法的使用者无法正常的连接到被攻击的节点。而且由于DoS攻击的发动者采用IP地址欺骗，使得很难对攻击来源进行定位。由于DoS攻击的这些特点，使它成为最有效，也最难防护的攻击手段之一。针对DoS攻击的这些特点，KFW傲盾防火墙专门设计了特有的DoS防御网关，可以有效的抵御各种DoS、DDoS攻击。 这里简要叙述KFW傲盾防火墙DoS防御网关的原理： KFW傲盾防火墙所采用的特有专利技术，使得防火墙本身是不受DoS攻击的，这也是KFW傲盾防火墙能够有效防护需要保护的站点免受DoS攻击的先决条件。在这个条件的基础上，KFW傲盾防火墙采用经过优化的TCP连接监控方式来保护防火墙内的脆弱机器。这种算法的特点是在处理TCP连接请求的时候，在确定连接请求是否合法以前，用户端与服务端是隔断的。这就令到DoS攻击者在发动攻击的时候并不能直接连接到防火墙内部的机器，所以攻击者所发出的所有DoS攻击包只能到达防火墙，从而保护了防火墙内部的机器不受到DoS攻击。 而且，KFW傲盾防火墙通过高效的离散算法提供了超过60万以上的同时连接数的容量，为数据传输的高效和可靠提供了强有力地保障。2.世界领先DataStream Fingerprint Inspection数据流指纹检测技术 传统的包过滤防火墙只是通过检测IP包头的相关信息来决定数据流的通过还是拒绝，KFW傲盾防火墙独创的DataStream Fingerprint Inspection数据流指纹检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别。这里动态连接状态表中的记录可以是以前的通信信息，也可以是其他相关应用程序的信息，因此，与传统包过滤防火墙的静态过滤规则表相比，它具有更好的灵活性和安全性。 KFW傲盾防火墙的核心数据流指纹检测技术，可以确保每个进入的数据包都是合法有效的，一旦确认连接的合法性防火墙就会信任这个连接，不在对后续包进行复杂的处理，从而大大提高了效率3特有的TCP标志位检测功能：在大多数的防火墙里，都缺少对连接是从哪方主动发起进行判断的选项，这将导致一个潜在的安全隐患是攻击者可能可以从一个外部主机的某个常用服务端口连入内部主机的高端口。例如，如果允许内部主机访问外部主机的telnet服务，这个方向连接的所有包应该是必须包含ACK位的，也就是说，不是主动发起的连接。但通常的防火墙的包过滤功能里并没有检查ACK位的设置，因此，攻击者就可以从外部主机的源23端口发起连接到内部主机的高端口(1023)。KFW傲盾防火墙系统通过在安全规则上的设置对数据包的SYN/ACK等标志位进行合法性检测和判断，防止不法攻击者利用常用服务的低端口与内部主机的高端口的连接，从而攻击内部主机。国内包括国外的许多防火墙系统都无此防护功能。4.强大的NAT地址转换功能当Internet技术变成热门技术，获取有效IP地址的热潮即将耗尽有限的网络地址空间，因此有关地址扩展的建议如IPng已被确定为一个新IP编址标准-IPv6。所有的标准需要一定时间被广为接收和实现，在这之前，我们必须有一个代替的方法。另一方面，在网络安全问题上，能够隐蔽的私有地址会提供更为理想的安全性。由此，NAT技术应运而生。 在KFW傲盾防火墙里，我们可以方便地应用NAT的方式使具备私有地址编址方式的机器能够安全的连上外部网络，并且应用INTERNET所提供的多姿多彩的生活；NAT的重定向功能使得即便是私有地址空间的机器也能够在公有网络上提供INTERNET服务，这对那些想在网上安个家，而又只能用私有地址的用户来说再合适不过了，通过NAT功能可以方便的建立起dmz区，把服务器和Interenet隔离开。使服务器免受黑客的攻击。5.独立开发的高效率系统核心KFW傲盾防火墙采用专门设计、自行开发的独立操作系统的网络核心。使得它有着最贴近系统底层的高效率。并且，由于完全是自行开发的系统，使得它可以告别一切不稳定的因素。 l 网络部署极其安装安装本软件，实际上是对网络的安全部署，关系到整个网络的安全和部署成败所以请您仔细阅读研究下面的说明。安装注意事项1. 防火墙不是越多越好，多个防火墙或者网络软件会造成系统紊乱大大降低网络效率尤其是一些个人版防火墙，由于技术和稳定性的原因，往往会造成蓝屏死机，网络缓慢，以及莫名的问题所以请彻底关闭，最好是卸载其它防火墙和网络产品(包括KFW个人版)！2. 如果您在用win2000的 路由和远程访问，或者 Interent共享，以及winroute,sygate等类似软件请再服务里彻底禁止该服务，或者卸载3. 如果您需要使用透明防火墙模式，而且安装了winroute等软件请卸载因为在我们的测试过程中发现关闭winroute不行winroute的核心驱动并不关闭还在继续工作，它在处理数据包的时候重新构造了数据包但是并不复制原始的数据包特性，造成透明模式失败。4. kfw企业版防火墙现在支持 windows2000 windows xp系列，5. 内存最少要128m（如果您的网络比较大推荐512M，越大越好）,硬盘空间应该剩余50M(如果空间用尽，纪录文件将无法保存)安装部署首先我们要确定网络的物理方式，考虑到局域网络上网方式的多样性,我们将针对具体情况分别介绍本安全平台有四种软件网络模式1. 网关路由模式作为上Interent 或者其他网络的网关，局域网内所有的机器需要把网关设置成防火墙安装的机器的IP地址。这种模式可以实现Interent共享，也就是只需要有一个Interent连接可以让局域网用户上网，同时进行安全保护和网络访问监控分析。Dmz区的建立也需要在这种模式下。2. 透明防火墙模式安装在内部网和外部网之间，所有外出的数据包都会经过防火墙过滤，不需要改动以前的网络模式。这种模式下可以实现安全保护和网络访问监控分析。3. 网关路由+透明防火墙模式针对一些复杂的网络，比如一些网络要求不能改动以前的网络模式同时又要对一些服务器进行dmz区域的建设。4. 监控模式只对网络的使用进行监控分析针对不同的实际物理网络部署选择使用的模式下面针对具体物理模式来介绍:（注：下面KFW 指安装KFW傲盾企业版防火墙的这台机器）对于以路由器为网络出口，有局域网1. 网关路由模式KFW安装两个网卡，A网卡连接路由IP设置成固定的Interent 地址，B网卡连接局域网的HUB或者交换机,IP设置成局域网地址，局域网所有需要上Interent的机器的网关设置成KFW B网卡的IP,如果需要DMZ 区可以用端口映射来建立(参见下面的DMZ区建立)2. 透明防火墙模式局域网的机器需有自己的Interent地址，KFW安装两个网卡，A网卡连接路由IP可以随便设置，B网卡连接局域网的HUB或者交换机，IP可以随便设置，局域网里的网关直接设置成路由的IP 也就是说局域网设置不需要考虑防火墙的存在,3. 透明防火墙+网关路由模式KFW安装两个网卡，A网卡连接路由IP设置成固定的Interent 地址，B网卡连接局域网的HUB或者交换机,IP设置成局域网地址，能实现1,2的所有功能，适用于有一部分局域网机器有Interent IP地址需要直接上Internet 不用改动任何设置，另外一部分局域网机器需要用Nat功能共享一个或者多个Ip地址上网，服务器需要建立在dmz区4. 监控模式KFW安装一个网卡，1、调整网线，以确保接路由器的网线和KFW的网线连到同一个HUB上。2、如果路由器通过交换机和内部网机器相连，且交换机带有设置Monitor 端口(或分析端口、镜像端口)的功能，那么，可以将安装监控软件的机器网线插口设置为“Monitor端口”，而路由器的网线接口设置为“被管理端口”，这样，所有通过路由器网线的网络数据包都可以被“Monitor端口”接受，以此而达到监控的效果。 对于拨号或者adsl vdsl 等设备，有局域网1. 网关路由模式KFW本身有一个连接Interent的网路设备比如modem 或者adsl网卡A，再安装B网卡连接局域网的HUB或者交换机,IP设置成局域网地址，（参见上面1）2. 透明防火墙模式这种网络结构无法使用透明防火墙模式3. 透明防火墙+网关路由模式这种网络结构无法使用透明防火墙+网关路由模式4. 监控模式参见（上面4）对于拨号或者adsl vdsl 等设备，或者以路由器为网络出口，服务软件和KFW装在一台机器上1. 网关路由模式KFW本身有一个连接Interent的网路设备比如modem 或者adsl网卡A（参见上面1）2. 透明防火墙模式这种网络结构无法使用透明防火墙模式3. 透明防火墙+网关路由模式这种网络结构无法使用透明防火墙+网关路由模式4. 监控模式参见（上面4）软件的安装以下是安装的具体步骤：1 在安装KFW傲盾防火墙企业版以前，请检查该机器以前是否安装了本产品，如有安装，请卸载。2 打开产品安装目录，执行安装程序。3 请用户认真阅读软件授权许可协议，如无异议，请选中“我接受以上许可协议中的条款”；按“下一步”以继续执行接下来的安装步骤。其间如出现“是否覆盖”的提示时，建议选择“全部覆盖”。4 文件安装完成后，将需要重新启动计算机5 重起完毕后，察看右下角托盘是否有K字样的图标，检查KFW是否在运行状态，如果没有运行请检查是否正确安装，请参见安装注意事项。6 在开始程序菜单中打开“KFW傲盾防火墙企业版”，选择KFW企业版管理器,接着您将会进入本系统的“管理器”画面。7 首先管理器菜单里的连接-连接到防火墙 如果是在KFW机器上运行的，连接地址请输入 如果不是请输入KFW机器的Ip地址，默认管理账号：root,默认密码：123458 在设置-防火墙基本参数里正确选择运行模式！软件的配置和功能使用主要执行文件KFW企业版网络监控网络连接的信息以及监控,(测试版只提供简单的功能)运行托盘 监控KFW服务的运行情况KFW企业版管理器 管理配置防火墙主要功能的设置步奏1. 帐号权限管理运行管理器，连接到防火墙，设置-账号权限管理,打开管理界面账号分为组合系统用户，用户自动继承所在组的权限2. 基于状态检测的NAT Internet共享a) 首先根据实际情况在菜单防火墙基本参数里选择网关路由模式，或者透明防火墙+网关路由模式b) 在菜单设置-NAT网关设置-NAT网络设备设置 选择连接Interent的网络设备点击属性，选择本设备是NAT网关，如果是modem拨号设备选择本设备是动态IP,否则填写上这个网络设备使用的Interent Ip地址c) 不对网关本机数据做NAT转换 如果选择上，则安装防火墙的这台机器访问Interent将不做NAT转换，这样会降低安全,如果不选择则对这台机器访问Interent做NAT转换，这样，只能这台机器主动访问Internet，Internet上的计算机不能主动访问这台机器，这样安装防火墙的这台机器就和Interent隔离开了建议使用默认不选择d) 如果选择自动分配端口，则防火墙会自动分配最佳端口，否则默认分配50000 55000端口进行NAT转换e) 局域网用户的网关设置成防火墙内部网卡的IP地址，f) 这样就可以让局域网用户共享Interent了3. Interent 共享管理控制你可以方便的对Interent的使用进行控制在菜单设置-NAT网关设置-NAT使用控制 里可以添加一个规则协议类型： IP:指TCP UDP ICMP三种协议的集合局域网IP： 想要控制使用Interent的局域网IP地址目的IP: 想要控制访问的Interent Ip地址不进行NAT转换，上面的条件成立则步进行转换，局域网用户就无法访问进行NAT转换，当条件成立时进行NAT转换，允许用户可以访问注意：规则是按顺序进行比较的，比如局域网用户请求访问Interent时，会按顺序比较这些规则,如果所有规则都不成立，默认是进行NAT转换4. 防火墙过滤规则设置在菜单的设置-防火墙设置-防火墙规则设置添加，防火墙过滤规则分为三个视图本机接收数据 过滤所有发给防火墙本身这台机器的数据包 比如防火墙这台机器访问Interent或者局域网时接收的数据 就执行这个视图的过滤规则转发数据 通过防火墙转发给局域网，或者Interent的数据包 比如防火墙转发的NAT数据包，端口映射数据包，以及通过透明防火墙的数据包，执行这个视图的过滤规则本机发送数据 防火墙本身这台机器发送出去的数据包 比如防火墙这台机器访问Interernt或者局域网时发送出去的数据包，经过这个过滤规则 5. 开放一个对外的服务比如web Server ftp servera) 首先根据实际情况在菜单防火墙基本参数里选择网关路由模式，或者透明防火墙+网关路由模式b) 打开菜单设置-NAT网关设置-端口映射 添加c) 选择适当的协议网关的IP是要访问这个服务的Interent IP,端口是要访问这个服务的对外端口比如80端口d) 映射到服务器IP，如果服务和防火墙装在一台机器上，这个Ip和网关的IP一样，端口是这个服务的实际端口e) 如果服务是单独装在局域网的另一台机器上，那么这个IP就是安装服务这台机器的局域网IPf) 把安装服务的这台机器的网关设置成防火墙的局域网IP地址6. dmz区建立a) 首先根据实际情况在菜单防火墙基本参数里选择网关路由模式，或者透明防火墙+网关路由模式，把服务软件安装在局域网的一台机器上，网关设置成防火墙的局域网IP地址。b) 打开菜单设置-NAT网关设置-端口映射 添加c) 选择适当的协议网关的IP是要访问这个服务的Interent IP,端口是要访问这个服务的对外端口比如80端口d) 映射到服务器IP，如果服务和防火墙装在一台机器上，这个Ip和网关的IP一样，端口是这个服务的实际端口e) 在菜单设置-NAT网关设置-NAT使用控制 里添加一条规则禁安装服务的这台局域网IP地址使用NAT访问Interent 这样dmz区就建立完毕，你可以通过防火墙规则近一步限制dmz区的访问dmz区的服务器只有局域网IP地址，而且不能访问Internet,完全和Interent分离，一旦dmz区的服务器被攻击或者安装上木马也不会涉及到其它服务器，不能把数据传送到Interent上。 7. LOG的分析查看 在防火墙规则里选择上纪录到log,或者选择抓取数据包，这样条件符合的时候就会把数据包纪录到log文件里， 通过菜单查看-查看过滤Log纪录和查看-查看过滤抓取的数据包来查看Log， 在 查看过滤抓取的数据包 里有非常强大的包分析功能，可以分析不同层次协议的数据8. 网络状态监控分析运行KFW企业版网络监控, 附录:1 DMZ区简介DMZ术语来自于军事领域，原意为禁止任何军事行为的区域即非军事区。在技术领域，DMZ最初被定义为防火墙的外部接口和外部路由器的内部接口之间的网络段。后来DMZ的定义进一步演化，是指为不信任系统提供服务的孤立网络段。现在IT人员用这个术语来指两个防火墙之间的网段，或是连接防火墙的“死端”的网络(如图1和图2所示)。不管DMZ的种种定义，它的目的就是把敏感的内部网络和其它提供访问服务的网络分离开，为网络层提供深度的防御。防火墙上的策略和访问控制系统定义限制了通过DMZ的全部通信数据。相反，在Internet和企业内部网之间的通信数据通常是不受限制的。DMZ的主要作用DMZ的主要作用是减少为不信任客户提供服务而引发的危险。DMZ可以为你的主机环境提供网络级的保护，它还把公众主机设备和私有网络设施分离开来。例如，如果你公司有一个WEB站点，任何人可以通过浏览器和它连接。没有DMZ配置时，你的主机系统位于防火墙的外部(暴露在Internet上)或位于公司内部网中的网络段上。前一种情况你的WEB主机对所有攻击都是开放的，没有任何防御。后一种情况会导致其它的内部资源受到攻击。通过DMZ可以在保护内部网络时，同时保护到Internet服务器。DMZ在保护企业内部其它资源的安全方面也发挥重要作用，当有些资源仅供少数人访问时，可以把相应系统隔离，从而提供安全性。大多数人认为防火墙提供的是坚固无比的防护，实际上，内部网络和主机的安全通常并不是那样的坚固。在一个非DMZ系统中，提供给Interent的服务产生了许多漏洞，使其它主机极易受到攻击。解决问题的方法之一是把没有包含敏感数据，担当代理数据访问职责的主机放置于DMZ中。通过应用程序的接口(例如：WEB站点)，或通过网络协议(例如：HTTP或SQLnet)可以实现上述方法。在网络中数据从应用层分离提供了附加的安全，因为实施DMZ的系统不会把包含商业数据的内部系统直接暴露给网络攻击。攻击者取得初步入侵成功后要面临DMZ设置的新的障碍。一个DMZ配置提供了实施附加安全措施的自然层，诸如主机加固和网络或基于主机的入侵检测。主机加固是配置主机系统的过程，因此他们比默认的配置要安全的多。主机安全的实施提高了攻击者入侵的难度。作为一个IT管理者，你可以要求企业中的所有系统符合严格的加固的安全需求。然而，你也可以坚持基于DMZ系统这样的需求，因为它们是现存系统的一个小子集，因而在管理和维护这样高安全配置的系统，不需要付出太多努力。附录:2 NAT技术的工作原理NAT技术的基本功能就是用1个或几个IP地址来实现1个局域网络上的所有主机都可以访问Internet。NAT技术可以为TCP、UDP以及lcmp的部分信息进行透明中继。下面以TCP为主要对象讨论其工作原理。TCP是建立在所谓的连接抽象（connection abstraction）之上的，它所对应的对象不是TCP的一个单独的端口而是1条虚电路连接，也就是说，TCP是使用连接而不是使用协议端口号作为基本的抽象概念。在TCP中连接是用1对端点来标识的。TCP把端点（endpoint）定义为一对整数（host，port），因此可以将1条TCP连接用1个4元组（Source address：source port；destination address：destination port）来定义，这样的一个连接抽象允许多个连接共享1个端点，例如2条连接（：1184；：80）、（：1184；：80）共享同1个端点（：80），但又并不会引起歧义，从而可以看出这种基于连接的抽象为利用1个IP地址进行外部世界的访问提供了基础。实际上，虽然UDP是无连接的，但可以将它作为虚连接来看待。NAT网关上运行的TCPIP网关软件与常规的网关软件并不相同。通常常规路由器只是机械地根据IP包中的目的IP地址以及路由表将IP数据报从一个网络转发给另一个网络，而NAT网关在Internet内部网络和Internet之间中继IP数据报并非凭借目的IP地址，它的中继是面向连接的，如图1图2所示。 假设在局域网LAN A接入Internet处有1个NAT网关，网关处理所有网络内外之间的TCPIP连接。NAT网关具有内网端口和外网端口，2个端口各被分配1个IP地址，其中外网端口的IP地址是合法的全球唯一的IP地址00，内网端口的IP地址一般为保留地址，如设为。当内部网络中的1台主机(例如A)要访问Internet上的Web服务器X（主机地址为02），那么首先A要与X建立TCP连接，设定主机A为此次连接分配的TCP端口为1030，此时主机A将IP数据包（D02：80，S：1030）发向NAT网关，当NAT接受到数据包后，会动态地分配1个未用TCP端口，例如1330，然后修改数据包中的地址为（D202.202.202：80，S00：1330），计算数据包的校验和后发向Internet。由此可以看到此数据包中已经不含任何私有地址的信息。NAT已经录下这对映射：（D02：80，S：1030）（D202.202.202：80，S00：1330）。以后当NAT接受到这1对主机间的任何1个IP分组时，NAT网关会查询内部的映射记录表格，根据这条映射关系使其顺利通过NAT，反之亦然。总之，NAT的地址转换过程存在3个不同的阶段：(1)连接关系的映射关系的建立阶段。发生在会话的开始，当内部的1台机器要与外部的1台机器发生通信时发生，NAT动态地为其分配未使用的TCP端口号，并且会记下这个映射关系，为以后转发IP数据包使用。(2)映射关系的查找与转换阶段。当有外部进入的数据报或从内部出去的数据报通过NAT时，NAT都在内部进行了查找，以便找到对应的映射进行地址转换。(3)映射关系解除阶段。当TCP的1次连接关闭时，NAT会释放分配给这条连接的端口，以便以后的连接可以继续使用。NAT技术在防火墙中的应用防火墙的主要功能就是防止外部主机对内网中主机的非授权访问，而限制从外部网络到内部网络的连接是主要技术之一，NAT具有这种功能。当外网的主机要主动访问内网的主机时，一般情况下要首先与内网中的某台主机建立连接（多数内网不允许从外部发起连接），但是，它不知道内网主机的IP地址（由前面的分析可知，在Internet传输的IP数据报并没有含有内部网络地址的私有信息，这样，内网中的主机对于外部主机是不可见的，它们被NAT保护起来了），其次内网主机地址一般是内部保留地址，不允许在Internet上传输，再次NAT内部的记录表中也没有与这个外部来的连接的表项，因此不允许连接的请求通过NAT，这样就起到了防火墙安全防护的作用。另外，通过使用代理技术也可以使用1个IP地址供多个用户同时上网，但这种技术的一个缺点就是需要对客户端的软件进行修改和配置，给用户带来很多不便。更为重要的是需要为每一种应用都编写特定的代理服务器，使得系统的扩展性不是很好。而NAT技术则工作在网络中较低的层次，逻辑上是工作在IP层，给用户连接Internet提供了更大的透明性，其工作则更像一个路由器而并非一个代理网关，同时也便于网络应用的扩展，并不需要给每种新的应用都开发一种代理服务。由于NAT技术并没有工作在应用层（代理网关工作在应用层，它理解提供服务的每一种协议细节），从而，NAT并不需要理解和操纵应用层的数据，具有更高的效率，使得NAT技术在防火墙中得到应用。NAT技术的安全性分析下面，对NAT技术的安全性做一些分析。(1)NAT可以作为一个单向的过滤器，限制从外部主机到内部主机的连接。另外当端口地址在NAT内动态分配时，使得外部攻击者对NAT域中的一个特定主机的攻击更加困难。(2)当NAT设备不在安全域中时，应用级的负载可以进行端到端的加密，比如利用SSL。只要负载中不包含IP地址和运输层的端口信息，就可以提高安全性。(3)如果将NAT设备和应用网关相结合，可以为应用层中含有IP地址信息的连接进行地址翻译，确保数据报不含有私有的地址信息，这样NAT可以做到对协议透明，起到透明路由器的作用。(4)由于NAT设备是作为1台Internet主机出现，因此也被作为攻击的对象。例如易受SYN Flood和Ping flood attacks攻击，因此应采用相应的技术对NAT设备进行保护。(5)NAT在做到地址隐藏的同时，也减少了提供安全的额外选择，例如IPsec的选用。附录:3 DOS拒绝服务攻击原理以及防范本文的主要目的在于描述TCP SYN Flood的攻击原理， 1什么是 TCP SYN Flood 攻击?TCP SYN Flood是一种常见，而且有效的远程拒绝服务(Denial of Service)攻击方式，它通过一定的操作破坏TCP三次握手建立正常连接，占用并耗费系统资源，使得提供TCP服务的主机系统无法正常工作。 由于TCP SYN Flood是通过网络底层对服务器进行攻击的，它可以在任意改变自己的网络地址的同时，不被网络上的其他设备所识别，这样就给公安部门追查犯罪来源造成很大的困难。 在国内与国际的网站中，这种攻击屡见不鲜。在今年年中的一个拍卖网站上，曾经有犯罪分子利用这种手段，在低价位时阻止其他用户继续对商品拍卖，干扰拍卖过程的正常运作。 在描述该攻击的工作原理以前，我们先简单对TCP协议的通讯方式做一个简单的说明。 2TCP协议的通讯方式2.1 TCP三次握手传输控制协议(Transport Control Protocol)是一种面向连接的，可靠的传输层协议。面向连接是指一次正常的TCP传输需要通过在TCP客户端和TCP服务端建立特定的虚电路连接来完成，该过程通常被称为三次握手。可靠性可以通过很多种方法来提供保证，在这里我们关心的是数据序列和确认。TCP正常的次序进行重组，而且通过确认保证数据传输的完整性。要通过TCP传输数据，必须在两端主机之间建立连接。举例说明，TCP客户端需要和TCP服务端建立连接，过程如下所示:Figure-1在第一步中，客户端向服务端提出连接请求。这时TCP SYN标志置位。客户端告诉服务端序列号区域合法，需要检查。客户端在TCP报头的序列号区中插入自己的ISN。服务端收到该TCP分段后，在第二步以自己的ISN回应(SYN标志置位)，同时确认收到客户端的第一个TCP分段(ACK标志置位)。在第三步中，客户端确认收到服务端的ISN(ACK标志置位)。到此为止建立完整的TCP连接，开始全双工模式的数据传输过程。2.2 TCP标志 这里有必要介绍一下TCP分段中的标志(Flag)置位情况。如下图所示。 *SYN: 同步标志同步序列编号(Synchronize Sequence Numbers)栏有效。该标志仅在三次握手建立TCP连接时有效。它提示TCP连接的服务端检查序列编号，该序列编号为TCP连接初始端(一般是客户端)的初始序列编号。在这里，可以把TCP序列编号看作是一个范围从0到4，294，967，295的32位计数器。通过TCP连接交换的数据中每一个字节都经过序列编号。在TCP报头中的序列编号栏包括了TCP分段中第一个字节的序列编号。*ACK: 确认标志确认编号(Acknowledgement Number)栏有效。大多数情况下该标志位是置位的。TCP报头内的确认编号栏内包含的确认编号(w+1，Figure-1)为下一个预期的序列编号，同时提示远端系统已经成功接收所有数据。*RST: 复位标志 复位标志有效。用于复位相应的TCP连接。 *URG: 紧急标志 紧急(The urgent pointer) 标志有效。紧急标志置位，*PSH: 推标志 该标志置位时，接收端不将该数据进行队列处理，而是尽可能快将数据转由应用处理。在处理 telnet 或 rlogin 等交互模式的连接时，该标志总是置位的。 *FIN: 结束标志 带有该标志置位的数据包用来结束一个TCP回话，但对应端口仍处于开放状态，准备接收后续数据。 2.3 TCP端口为了能够支持同时发生的并行访问请求，TCP提供一种叫做端口的用户接口。端口是操作系统核心用来识别不同的网络回话过程。这是一个严格的传输层定义。通过TCP端口和IP地址的配合使用，可以提供到达终端的通讯手段。实际上，在任一时刻的互联网络连接可以由4个数字进行描述: 来源IP地址和来源端口，目的IP地址和目的端口。位于不同系统平台，用来提供服务的一端通过标准的端口提供相应服务。举例来说，标准的TELNET守护进程(telnet daemon)通过监听TCP 23端口，准备接收用户端的连接请求。2.4 TCP缓存(TCP Backlog)通常情况下，操作系统会使用一块限定的内存来处理TCP连接请求。每当用户端发送的SYN标志置位连接请求到服务端的一个合法端口(提供TCP服务的一端监听该端口)时，处理所有连接请求的内存使用量必须进行限定。如果不进行限定，系统会因处理大量的TCP连接请求而耗尽内存，这在某种程度上可以说是一种简单的DoS攻击。这块经过限定的，用于处理TCP连接的内存称为TCP缓存(TCP Backlog)，它实际上是用于处理进站(inbound)连接请求的一个队列。该队列保存那些处于半开放(half-open)状态的TCP连接项目，和已建立完整连接但仍未由应用程序通过accept()调用提取的项目。如果这个缓存队列被填满，除非可以及时处理队列中的项目，否则任何其它新的TCP连接请求会被丢弃。 一般情况下，该缓存队列的容量很小。原因很简单，在正常的情况下TCP可以很好的处理连接请求。如果当缓存队列填满的时候新的客户端连接请求被丢弃，客户端只需要简单的重新发送连接请求，服务端有时间清空缓存队列以相应新的连接请求。 在现实环境中，不同操作系统支持TCP缓冲队列有所不同。在BSD结构的系统中，如下所示: OSBacklogBL+ GraceNotesSunOS 4.x.x58IRIX 5.258Linux 1.2.x1010Linux does not have this grace marginFreeBSD 2.1.032FreeBSD 2.1.5128Win NTs 3.5.166NT does not appear to have this marginWin NTw 4.066NT has a pathetic backlog2.5 TCP进站(Inbound)处理过程为了更好的讲述TCP SYN Flood的攻击过程，我们先来介绍一下正常情况下，TCP进站处理的过程。 服务端处于监听状态，客户端用于建立连接请求的数据包(IP packet)按照TCP/IP协议堆栈组合成为TCP处理的分段(segment)。 分析报头信息: TCP层接收到相应的TCP和IP报头，将这些信息存储到内存中。 检查TCP校验和(checksum): 标准的校验和位于分段之中(Figure-2)。如果检验失败，不返回确认，该分段丢弃，并等待客户端进行重传。 查找协议控制块(PCB): TCP查找与该连接相关联的协议控制块。如果没有找到，TCP将该分段丢弃并返回RST。(这就是TCP处理没有端口监听情况下的机制) 如果该协议控制块存在，但状态为关闭，服务端不调用connect()或listen()。该分段丢弃，但不返回RST。客户端会尝试重新建立连接请求。 建立新的socket: 当处于监听状态的socket收到该分段时，会建立一个子socket，同时还有socket，tcpcb和pcb建立。这时如果有错误发生，会通过标志位来拆除相应的socket和释放内存，TCP连接失败。如果缓存队列处于填满状态，TCP认为有错误发生，所有的后续连接请求会被拒绝。这里可以看出SYN Flood攻击是如何起作用的。 丢弃: 如果该分段中的标志为RST或ACK，或者没有SYN标志，则该分段丢弃。并释放相应的内存。 3. TCP SYN Flood攻击的机制 客户端通过发送在TCP报头中SYN标志置位的数据分段到服务端来请求建立连接。通常情况下，服务端会按照IP报头中的来源地址来返回SYN/ACK置位的数据包给客户端，客户端再返回ACK到服务端来完成一个完整的连接(Figure-1)。 在攻击发生时，客户端的来源IP地址是经过伪造的(spoofed)，现行的IP路由机制仅检查目的IP地址并进行转发，该IP包到达目的主机后返回路径无法通过路由达到的，于是目的主机无法通过TCP三次握手建立连接。在此期间因为TCP缓存队列已经填满，而拒绝新的连接请求。目的主机一直尝试直至超时(大约75秒)。这就是该攻击类型的基本机制。 发动攻击的主机只要发送较少的，来源地址经过伪装而且无法通过路由达到的SYN连接请求至目标主机提供TCP服务的端口，将目的主机的TCP缓存队列填满，就可以实施一次成功的攻击。实际情况下，发动攻击时往往是持续且高速的。 如下所示，为SYN Flood攻击过程示意图。 这里需要