迪普防火墙技术白皮书

迪普防火墙技术白皮书 Final revision by standardization team on December 10, 2020.

迪普FW1000系列防火墙

技术白皮书

1概述

随着网络技术的普及，网络攻击行为出现得越来越频繁。通过各种攻击软件，只要具有一般计算机常识的初学者也能完成对网络的攻击。各种网络病毒的泛滥，也加剧了网络被攻击的危险。目前，Internet网络上常见的安全威胁分为以下几类：

非法使用：资源被未授权的用户（也可以称为非法用户）或以未授权方式（非法权限）使用。例如，攻击者通过猜测帐号和密码的组合，从而进入计算机系统以非法使用资源。拒绝服务：服务器拒绝合法用户正常访问信息或资源的请求。例如，攻击者短时间内使用大量数据包或畸形报文向服务器不断发起连接或请求回应，致使服务器负荷过重而不能处理合法任务。

信息盗窃：攻击者并不直接入侵目标系统，而是通过窃听网络来获取重要数据或信息。数据篡改：攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作，而使数据的一致性被破坏。

•基于网络协议的防火墙不能阻止各种

攻击工具更加高层的攻击

•网络中大量的低安全性家庭主机成为

攻击者或者蠕虫病毒的被控攻击主机

•被攻克的服务器也成为辅助攻击者

Internet

灾蔓延的隔断墙，Internet防火墙是一个或一组实施访问控制策略的系统，它监控可信任网络（相当于内部网络）和不可信任网络（相当于外部网络）之间的访问通道，以防止外部网络的危险蔓延到内部网络上。防火墙作用于被保护区域的入口处，基于访问控制策略提供安全防护。例如：当防火墙位于内部网络和外部网络的连接处时，可以保护组织内的网络和数据免遭来自外部网络的非法访问（未授权或未验证的访问）或恶意攻击；当防火墙位于组织内部相对开放的网段或比较敏感的网段（如保存敏感或专有数据的网络部分）的连接处时，可以根据需要过滤对敏感数据的访问（即使该访问是来自组织内部）。防火墙技术经历了包过滤防火墙、代理防火墙、状态防火墙的技术演变，但是随着各种基于不安全应用的攻击增多以及网络蠕虫病毒的泛滥，传统防火墙面临更加艰巨的任务，不但需要防护传统的基于网络层的协议攻击，而且需要处理更加高层的应用数据，对应用层的攻击进行防护。对于互联网上的各种蠕虫病毒，必须能够判断出网络蠕虫病毒的特征，

把网络蠕虫病毒造成的攻击阻挡在安全网络之外。从而对内部安全网络形成立体、全面的防护。

造成当前网络“安全危机”另外一个因素是忽视对内网安全的监控管理。防火墙防范了来之外网的攻击，对于潜伏于内部网络的“黑手”却置之不理，很容易造成内网变成攻击的源头，导致内网数据泄密，通过NAT从内部网络的攻击行为无法进行审计。由于对内部网络缺乏防范，当内部网络主机感染蠕虫病毒时，会形成可以感染整个互联网的污染源头，导致整个互联网络环境低劣。

行为。防火墙需要提供对内部网络安全保障的支持，形成全面的安全防护体系。

2功能介绍

DPtech FW1000系列硬件防火墙产品是一种改进型的状态防火墙，采用专门设计的高可靠性硬件系统和具有自主知识产权的专有操作系统，将高效的包过滤功能、透明的代理服务、基于改进的状态检测安全技术、丰富的统计分析功能、多种安全保障措施集于一身，

•来自内部网络的攻击污染互联网

•来自内部网络的蠕虫病毒感染互联

Internet

提供多类型接口和工作模式。不但提供对网络层攻击的防护，而且提供多种智能分析和管理手段，全面立体的防护内部网路。DPtech FW1000防火墙提供多种网络管理监控的方法，协助网络管理员完成网络的安全管理。DPtech FW1000防火墙采用ASPF状态检测技术，可对连接过程和有害命令进行监测，并协同ACL完成包过滤，支持NAT-PAT，支持IPSec VPN加密等特性，提供包括DES、3DES等多种加密算法，并支持证书认证。此外，还提供数十种攻击的防范能力，所有这些都有效地保障了网络的安全。下面重点描述DPtech FW1000防火墙的主要安全功能。

2.1ASPF

ASPF（Application Specific Packet Filter）是针对应用层的包过滤，即基于状态的报文过滤。它和普通的静态防火墙协同工作，以便于实施内部网络的安全策略。ASPF能够检测试图通过防火墙的应用层协议会话信息，阻止不符合规则的数据报文穿过。

为保护网络安全，基于访问控制列表的包过滤可以在网络层和传输层检测数据包，防止非法入侵。ASPF能够检测应用层协议的信息，并对应用的流量进行监控。

ASPF还提供以下功能：

DoS（Denial of Service，拒绝服务）的检测和防范。

Java Blocking（Java阻断），用于保护网络不受有害的Java Applets的破坏。

支持端口到应用的映射，用于应用层协议提供的服务使用非通用端口时的情况。

增强的会话日志功能。可以对所有的连接进行记录，包括：记录连接的时间、源

地址、目的地址、使用的端口和传输的字节数。

ASPF对应用层的协议信息进行检测，并维护会话的状态，检查会话的报文的协议和端口号等信息，阻止恶意的入侵。

2.2攻击防范

通常的网络攻击，一般是侵入或破坏网上的服务器（主机），盗取服务器的敏感数据或干扰破坏服务器对外提供的服务；也有直接破坏网络设备的网络攻击，这种破坏影响较大，会导致网络服务异常，甚至中断。防火墙的攻击防范功能能够检测出多种类型的网络攻击，并能采取相应的措施保护内部网络免受恶意攻击，保证内部网络及系统的正常运行。DPtech FW1000防火墙的攻击防范技术可以有效的阻止下面的网络攻击行为：IP地址欺骗攻击

为了获得访问权，入侵者生成一个带有伪造源地址的报文。对于使用基于IP地址验证的应用来说，此攻击方法可以导致未被授权的用户可以访问目的系统，甚至是以root权限来访问。即使响应报文不能达到攻击者，同样也会造成对被攻击对象的破坏。这就造成IP Spoofing攻击。

Land攻击

所谓Land攻击，就是把TCP SYN包的源地址和目标地址都配置成受害者的IP地址。这将导致受害者向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时掉。各种受害者对Land攻击反应不同，许多UNIX主机将崩溃，Windows NT主机会变的极其缓慢。

Smurf攻击