module-4增強企業(yè)全與高可靠性防火墻技術(shù)基礎(chǔ)

華為防火墻技術(shù)基礎(chǔ)“防火墻”一詞起源于建筑領(lǐng)域，用來隔離火災(zāi)，阻止火勢從一個區(qū)域蔓延到另一個區(qū)域。引入到通信領(lǐng)域，防火墻這一具體設(shè)備通常用于兩個網(wǎng)絡(luò)之間有針對性的、邏輯意義上的隔離。當(dāng)然，這種隔離是高明的，既能阻斷網(wǎng)絡(luò)中的各種攻擊又能保證正常通信報文的通過。如何使用防火墻保護網(wǎng)絡(luò)免受攻擊和入侵？如何對外隱藏企業(yè)的內(nèi)部網(wǎng)絡(luò)？如何從應(yīng)用層對用戶的行為進行控制？這些都是本課程所要講述的內(nèi)容。學(xué)完本課程后，您將能夠：掌握防火墻的基礎(chǔ)知識與安全策略配置掌握防火墻上NAT功能的原理與配置掌握防火墻上攻擊防范的原理與配置掌握防火墻上應(yīng)用行為控制的原理與配置防火墻基礎(chǔ)知識為什么需要防火墻防火墻的發(fā)展歷史華為防火墻產(chǎn)品安全區(qū)域安全策略NAT攻擊防范應(yīng)用行為控制為什么需要防火墻防火墻主要用于保護一個網(wǎng)絡(luò)區(qū)域免受來自另一個網(wǎng)絡(luò)區(qū)域的網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)入侵行為。防火墻與交換機、路由器對比交換機

匯聚組建局域網(wǎng)

二/三層快速轉(zhuǎn)發(fā)報文防火墻

控制報文轉(zhuǎn)發(fā)

防攻擊病毒木馬路由器

尋址和轉(zhuǎn)發(fā)

保證網(wǎng)絡(luò)互聯(lián)互通×路由器與交換機的本質(zhì)是轉(zhuǎn)發(fā)，防火墻的本質(zhì)是控制。防火墻和路由器實現(xiàn)安全控制的區(qū)別防火墻路由器背景產(chǎn)生于人們對于安全性的需求?；趯W(wǎng)絡(luò)數(shù)據(jù)包路由而產(chǎn)生的。目的保證任何非允許的數(shù)據(jù)包“不通”。保持網(wǎng)絡(luò)和數(shù)據(jù)的“通”。核心技術(shù)基于狀態(tài)包過濾的應(yīng)用級信息流過濾。路由器核心的ACL列表是基于簡單的包過濾。安全策略默認(rèn)配置即可以防止一些攻擊。默認(rèn)配置對安全性的考慮不夠周全。對性能的影響采用的是狀態(tài)包過濾，規(guī)則條數(shù)，NAT的規(guī)則數(shù)對性能的影響較小。進行包過濾會對路由器的CPU和內(nèi)存產(chǎn)生很大的影響。防攻擊能力具有應(yīng)用層的防范功能。普通路由器不具有應(yīng)用層的防范功能。防火墻基礎(chǔ)知識為什么需要防火墻防火墻的發(fā)展歷史華為防火墻產(chǎn)品安全區(qū)域安全策略NAT攻擊防范應(yīng)用行為控制防火墻的發(fā)展歷史防火墻基礎(chǔ)知識為什么需要防火墻防火墻的發(fā)展歷史華為防火墻產(chǎn)品安全區(qū)域安全策略NAT攻擊防范應(yīng)用行為控制華為防火墻產(chǎn)品防火墻基礎(chǔ)知識為什么需要防火墻防火墻的發(fā)展歷史華為防火墻產(chǎn)品安全區(qū)域安全策略NAT攻擊防范應(yīng)用行為控制MarketingManufactureResearchUntrustDMZTrust為什么需要安全區(qū)域服務(wù)器區(qū)生產(chǎn)部研發(fā)部市場部老板防火墻防火墻上如何來區(qū)分不同的網(wǎng)絡(luò)呢？安全區(qū)域接口安全區(qū)域網(wǎng)絡(luò)防火墻通過安全區(qū)域來劃分網(wǎng)絡(luò)、標(biāo)識報文流動的“路線”。將接口劃分到安全區(qū)域12防火墻安全區(qū)域A安全區(qū)域B安全區(qū)域C34通過把接口劃分到不同的安全區(qū)域中，就可以在防火墻上劃分出不同的網(wǎng)絡(luò)。默認(rèn)安全區(qū)域：Trust、DMZ和Untrust如何表示防火墻本身？12防火墻TrustDMZUntrust34華為防火墻產(chǎn)品默認(rèn)提供了Trust、DMZ和Untrust三個安全區(qū)域。Local區(qū)域Local12防火墻TrustDMZUntrust34防火墻上提供了Local區(qū)域，代表防火墻本身。安全區(qū)域、受信任程度與安全級別安全區(qū)域安全級別說明Local100設(shè)備本身，包括設(shè)備的各接口本身。Trust85通常用于定義內(nèi)網(wǎng)終端用戶所在區(qū)域。DMZ50通常用于定義內(nèi)網(wǎng)服務(wù)器所在區(qū)域。Untrust5通常用于定義Internet等不安全的網(wǎng)絡(luò)。受信任程度：Local>Trust>DMZ>UntrustLocal100安全域間、安全策略與報文流動的方向防火墻DMZ50Trust85Untrust5InboundInboundInboundInboundInboundOutboundOutboundOutboundOutboundOutboundInboundOutbound“安全域間”是兩個安全區(qū)域之間的唯一“道路”；“安全策略”即在“道路”上設(shè)立的“安全關(guān)卡”。UntrustTrust安全區(qū)域配置案例如圖所示，在一個測試用的網(wǎng)絡(luò)環(huán)境中，NGFW作為安全網(wǎng)關(guān)。為了使/24網(wǎng)段的用戶可以正常訪問Server（0），需要在NGFW上配置安全區(qū)域。網(wǎng)絡(luò)環(huán)境如圖所示。GE1/0/2

/24GE1/0/1

/24HostServerFWIntranet

/24UntrustTrustGE1/0/2

/24GE1/0/1

/24HostServerFWIntranet

/24安全區(qū)域配置命令配置接口IP地址并將接口加入相應(yīng)安全區(qū)域：interfaceGigabitEthernet1/0/1ipaddress#interfaceGigabitEthernet1/0/2ipaddress#firewallzonetrustsetpriority85addinterfaceGigabitEthernet1/0/1#firewallzoneuntrustsetpriority5addinterfaceGigabitEthernet1/0/2PC>ping0Ping0:32databytes,PressCtrl_CtobreakRequesttimeout!Requesttimeout!Requesttimeout!Requesttimeout!Requesttimeout!---0pingstatistics---5packet(s)transmitted0packet(s)received100.00%packetloss問題：/24網(wǎng)段的用戶為什么無法ping通Server？防火墻基礎(chǔ)知識為什么需要防火墻防火墻的發(fā)展歷史華為防火墻產(chǎn)品安全區(qū)域安全策略NAT攻擊防范應(yīng)用行為控制缺省包過濾如果防火墻域間沒有配置安全策略，或查找安全策略時，所有的安全策略都沒有命中，則默認(rèn)執(zhí)行域間的缺省包過濾動作（拒絕通過）。類型源地址源端口目的地址目的端口動作缺省包過濾任意允許/拒絕UntrustTrustGE1/0/2

/24GE1/0/1

/24HostServerFWIntranet

/24安全策略配置命令1.配置接口IP地址并將接口加入相應(yīng)安全區(qū)域interfaceGigabitEthernet1/0/1ipaddress#interfaceGigabitEthernet1/0/2ipaddress#firewallzonetrustsetpriority85addinterfaceGigabitEthernet1/0/1#firewallzoneuntrustsetpriority5addinterfaceGigabitEthernet1/0/2

PC>ping0Ping0:32databytes,PressCtrl_CtobreakFrom0:bytes=32seq=1ttl=127time<1msFrom0:bytes=32seq=2ttl=127time=15msFrom0:bytes=32seq=3ttl=127time=15msFrom0:bytes=32seq=4ttl=127time<1msFrom0:bytes=32seq=5ttl=127time<1ms---0pingstatistics---5packet(s)transmitted5packet(s)received0.00%packetlossround-tripmin/avg/max=0/6/15ms/24網(wǎng)段的用戶可以ping通Server。2.配置安全策略security-policyrulenamepolicy_sec_1source-zonetrustdestination-zoneuntrustsource-address24actionpermit問題：為什么只配置了PC到Server單方向的安全策略，就可以實現(xiàn)互通？包過濾技術(shù)實現(xiàn)包過濾的核心技術(shù)是訪問控制列表。包過濾防火墻只根據(jù)設(shè)定好的靜態(tài)規(guī)則來判斷是否允許報文通過。PC

Web服務(wù)器

防火墻編號源地址源端口目的地址目的端口動作1*80允許通過280*允許通過編號源地址源端口目的地址目的端口動作1*80允許通過狀態(tài)檢測和會話機制PC

Web服務(wù)器

防火墻1.PC訪問Web服務(wù)器2.3.Web服務(wù)器回應(yīng)PC4.允許通過建立會話匹配會話允許通過如果規(guī)則允許通過，狀態(tài)檢測防火墻會將屬于同一連接的所有報文作為一個整體的數(shù)據(jù)流（會話）來對待。會話表項中的五元組信息httpVPN:public-->public:2049-->:80協(xié)議源地址源端口目的端口目的地址五元組通過會話中的五元組信息可以唯一確定通信雙方的一條連接。防火墻將要刪除會話的時間稱為會話的老化時間。一條會話表示通信雙方的一個連接。多條會話的集合叫做會話表。會話表項：UntrustTrustDMZ安全策略安全策略是按一定規(guī)則控制設(shè)備對安全域間的流量進行轉(zhuǎn)發(fā)和內(nèi)容安全一體化檢測的策略。規(guī)則的本質(zhì)是包過濾。/24/24InboundInboundOutboundOutbound××√√內(nèi)容安全一體化檢測一體化檢測是指對一條流量的內(nèi)容只進行一次檢測和處理，就能實現(xiàn)包括反病毒、入侵防御在內(nèi)的內(nèi)容安全功能。入侵防御檢測處理反病毒檢測處理URL過濾檢測處理傳統(tǒng)UTM產(chǎn)品……下一代防火墻一體化檢測入侵防御處理反病毒處理URL過濾處理……入侵行為病毒URL……NGFW安全策略構(gòu)成源安全區(qū)域目的安全區(qū)域源地址/地區(qū)目的地址/地區(qū)條件用戶服務(wù)應(yīng)用時間段允許拒絕動作反病毒入侵防御URL過濾文件過濾配置文件內(nèi)容過濾應(yīng)用行為控制郵件過濾安全策略流量源安全區(qū)域|目的安全區(qū)域|源地址（地區(qū)）|目的地址（地區(qū)）|用戶|服務(wù)|應(yīng)用|時間段允許/拒絕配置文件動作條件policy1源安全區(qū)域|目的安全區(qū)域|源地址（地區(qū)）|目的地址（地區(qū)）|用戶|服務(wù)|應(yīng)用|時間段允許/拒絕配置文件動作條件policy2……源安全區(qū)域|目的安全區(qū)域|源地址（地區(qū)）|目的地址（地區(qū)）|用戶|服務(wù)|應(yīng)用|時間段允許/拒絕配置文件動作條件policyN任意允許/拒絕動作條件安全策略的缺省動作一體化安全策略匹配順序NGFW安全策略配置邏輯多通道協(xié)議遇到使用隨機協(xié)商端口的協(xié)議，單純的包過濾方法無法進行數(shù)據(jù)流定義。IPPortxxxxIPPortyyyyIPPort20IPPort21FTPClientFTPServerSYNSYN+ACKACK…………交互用戶名/密碼PORTCommand(IPPortyyyy)PORTCommandOKSYNSYN+ACKACKLISTCommand傳輸數(shù)據(jù)……控制連接的TCP三次握手?jǐn)?shù)據(jù)連接的TCP三次握手交互PORT命令xxxx/yyyy控制連接數(shù)據(jù)連接隨機端口ASPF與Server-map表設(shè)備通過檢測報文的應(yīng)用層數(shù)據(jù)，自動獲取相關(guān)信息并創(chuàng)建相應(yīng)的會話表項，以保證這些應(yīng)用的正常通信。這個功能稱為ASPF，所創(chuàng)建的會話表項叫做Server-map表。IPPortxxxxIPPortyyyyIPPort20IPPort21FTPClientFTPServerSYNSYN+ACKSYN+ACKACKACK……………………交互用戶名/密碼交互用戶名/密碼PORTCommand(IPPortyyyy)PORTCommand(IPPortyyyy)PORTCommandOKPORTCommandOKSYNSYNSYN+ACKACKSYN+ACKACKLISTCommand傳輸數(shù)據(jù)LISTCommand傳輸數(shù)據(jù)…………控制連接的TCP三次握手?jǐn)?shù)據(jù)連接的TCP三次握手交互PORT命令創(chuàng)建

Server-map匹配

Server-mapxxxx/yyyy控制連接數(shù)據(jù)連接隨機端口Server-map表UntrustDMZGE1/0/2

/24GE1/0/1

/24FTPClientFTPServerFWIntranetNATServer54/2454/24配置ASPF自動生成Server-map表項firewallinterzonetrustdmzdetectftpdisplayfirewallserver-mapType:ASPF,54->54:2097,Zone:---Protocol:tcp(Appro:ftp-data),Left-Time:00:00:10Vpn:public->publicdisplayfirewallsessiontableftpVPN:public-->public54:2095+->54:21

ftp-dataVPN:public-->public54:20-->54:2097后續(xù)報文匹配會話表轉(zhuǎn)發(fā)防火墻基礎(chǔ)知識NAT私網(wǎng)用戶訪問Internet場景公網(wǎng)用戶訪問私網(wǎng)內(nèi)部服務(wù)器場景攻擊防范應(yīng)用行為控制UntrustTrustHostServerFWIntranet

/24源NAT策略私網(wǎng)用戶訪問Internet場景多個用戶共享少量公網(wǎng)地址訪問Internet的時候，可以使用源NAT技術(shù)來實現(xiàn)。源NAT技術(shù)只對報文的源地址進行轉(zhuǎn)換。源NAT的兩種轉(zhuǎn)換方式源NAT轉(zhuǎn)換方式含義場景NATNo-PAT只轉(zhuǎn)換報文的IP地址，不轉(zhuǎn)換端口。需要上網(wǎng)的私網(wǎng)用戶數(shù)量少，公網(wǎng)IP地址數(shù)量與同時上網(wǎng)的最大私網(wǎng)用戶數(shù)量基本相同。NAPT同時轉(zhuǎn)換報文的IP地址和端口。公網(wǎng)IP地址數(shù)量少，需要上網(wǎng)的私網(wǎng)用戶數(shù)量大。UntrustTrustFWIntranet

/24Host

WebServer

SourceNATsrcIPsrcPort1025dstIPdstPort80srcIPsrcPort1025dstIPdstPort80SessionTableProtocolS-IP:S-Port[New-S-IP:New-S-Port]D-IP:D-PortHTTP:1025[:1025]:80地址池起始地址結(jié)束地址0Server-MapTableDirectionProtocolS-IP[New-S-IP]D-IPZoneObverseAny[]Any-DirectionProtocolS-IPD-IP[New-D-IP]ZoneReverseAnyAny[]-NATNo-PATNATNo-PAT也可以稱為“一對一地址轉(zhuǎn)換”，只對報文的地址進行轉(zhuǎn)換，不轉(zhuǎn)換端口。UntrustTrustNAPTNAPT屬于“多對一的地址轉(zhuǎn)換”，在轉(zhuǎn)換過程中同時轉(zhuǎn)換報文的地址和端口。FWIntranet

/24Host

WebServer

SourceNATsrcIPsrcPort1025dstIPdstPort80srcIPsrcPort2048dstIPdstPort80SessionTableProtocolS-IP:S-Port[New-S-IP:New-S-Port]D-IP:D-PortHTTP:1025[:2048]:80地址池起始地址結(jié)束地址0UntrustTrustNAPT配置案例某公司在網(wǎng)絡(luò)邊界處部署了NGFW作為安全網(wǎng)關(guān)。為了使私網(wǎng)中/24網(wǎng)段的用戶可以正常訪問Internet，需要在NGFW上配置源NAT策略。除了公網(wǎng)接口的IP地址外，公司還向ISP申請了2個IP地址（0～1）作為私網(wǎng)地址轉(zhuǎn)換后的公網(wǎng)地址。網(wǎng)絡(luò)環(huán)境如圖所示，其中Router是ISP提供的接入網(wǎng)關(guān)。PC_AIntranet

/24源NAT策略PC_BRouterNGFW靜態(tài)路由GE1/0/2

/24GE1/0/1

/2454/24數(shù)據(jù)規(guī)劃項目數(shù)據(jù)說明GigabitEthernet1/0/1IP地址：/24安全區(qū)域：Trust私網(wǎng)主機需要將配置為默認(rèn)網(wǎng)關(guān)。GigabitEthernet1/0/2IP地址：/24安全區(qū)域：Untrust實際配置時需要按照ISP的要求進行配置。允許訪問Internet的私網(wǎng)網(wǎng)段/24-轉(zhuǎn)換后的公網(wǎng)地址0～1由于私網(wǎng)地址比公網(wǎng)地址多，無法做到地址一一映射，所以需要開啟允許端口轉(zhuǎn)換，通過端口轉(zhuǎn)換實現(xiàn)公網(wǎng)地址復(fù)用。路由NGFW缺省路由目的地址：下一跳：54為了使私網(wǎng)流量可以正常轉(zhuǎn)發(fā)至ISP的路由器，可以在NGFW上配置去往Internet的缺省路由。NGFW黑洞路由目的地址：0～1下一跳：NULL0為了避免Internet用戶主動訪問轉(zhuǎn)換后的公網(wǎng)地址時，NGFW和Router之間形成路由環(huán)路。Router靜態(tài)路由目的地址：0～1下一跳：由于轉(zhuǎn)換后的公網(wǎng)地址不存在實際接口，通過路由協(xié)議無法直接發(fā)現(xiàn)，所以需要在Router上手工配置靜態(tài)路由。通常需要聯(lián)系ISP的網(wǎng)絡(luò)管理員配置。UntrustTrustPC_AIntranet

/24源NAT策略PC_BRouterNGFW靜態(tài)路由GE1/0/2

/24GE1/0/1

/2454/24NAPT配置命令1.配置接口IP地址并將接口加入相應(yīng)安全區(qū)域2.配置安全策略3.配置NAT地址池4.配置源NAT策略5.配置缺省路由6.配置黑洞路由interfaceGigabitEthernet1/0/1ipaddress#interfaceGigabitEthernet1/0/2ipaddress#firewallzonetrustsetpriority85addinterfaceGigabitEthernet1/0/1#firewallzoneuntrustsetpriority5addinterfaceGigabitEthernet1/0/2security-policyrulenamepolicy_sec_1source-zonetrustdestination-zoneuntrustsource-address24actionpermitnataddress-groupaddressgroup1section001nat-policyrulenamepolicy_nat_1source-zonetrustdestination-zoneuntrustsource-address24actionnataddress-groupaddressgroup1iproute-static54iproute-static055NULL0iproute-static155NULL0IP地址10.1.1.X/24子網(wǎng)掩碼默認(rèn)網(wǎng)關(guān)防火墻基礎(chǔ)知識NAT私網(wǎng)用戶訪問Internet場景公網(wǎng)用戶訪問私網(wǎng)內(nèi)部服務(wù)器場景攻擊防范應(yīng)用行為控制UntrustDMZGE1/0/1

/24GE1/0/2

/24ServerHostFWIntranet

/24公網(wǎng)用戶訪問私網(wǎng)內(nèi)部服務(wù)器場景通過NATServer（服務(wù)器映射）功能，可以實現(xiàn)外部網(wǎng)絡(luò)用戶通過公網(wǎng)地址訪問私網(wǎng)內(nèi)部服務(wù)器的需求。NATServer功能即將某個公網(wǎng)IP地址映射為服務(wù)器的私網(wǎng)IP地址。NATServerUntrustDMZNATServerNATServer提供了公網(wǎng)地址和私網(wǎng)地址的靜態(tài)映射關(guān)系。在進行地址映射的過程中可以選擇是否允許端口轉(zhuǎn)換。FWServer

/24IntranetHost

/24NATServersrcIPsrcPort3535dstIPdstPort80SessionTableProtocolS-IP:S-PortD-IP:D-Port[New-D-IP:New-D-PortHTTP:35350:80[:80]Server-MapTableDirectionProtocolS-IPD-IP:D-Port[New-D-IP:New-D-Port]ObverseTCPAny0:80[:80]srcIPsrcPort3535dstIP0dstPort80UntrustDMZDMZ

/24靜態(tài)映射（NATServer）RouterNGFW靜態(tài)路由GE1/0/1

/24GE1/0/2

/2454/24Web服務(wù)器

/24FTP服務(wù)器

/24NATServer配置案例某公司在網(wǎng)絡(luò)邊界處部署了NGFW作為安全網(wǎng)關(guān)。為了使私網(wǎng)Web服務(wù)器能夠?qū)ν馓峁┓?wù)，需要在NGFW上配置服務(wù)器靜態(tài)映射功能。除了公網(wǎng)接口的IP地址外，公司還向ISP申請了一個IP地址（0）作為內(nèi)網(wǎng)服務(wù)器對外提供服務(wù)的地址。網(wǎng)絡(luò)環(huán)境如圖所示，其中Router是ISP提供的接入網(wǎng)關(guān)。數(shù)據(jù)規(guī)劃項目數(shù)據(jù)說明GigabitEthernet1/0/1IP地址：/24安全區(qū)域：Untrust實際配置時需要按照ISP的要求進行配置。GigabitEthernet1/0/2IP地址：/24安全區(qū)域：DMZ內(nèi)網(wǎng)服務(wù)器需要將配置為默認(rèn)網(wǎng)關(guān)。服務(wù)器映射名稱：policy_nat_web公網(wǎng)地址：0私網(wǎng)地址：公網(wǎng)端口：8080私網(wǎng)端口：80通過該映射，使用外網(wǎng)用戶能夠訪問0，且端口號為8080的流量能夠送給內(nèi)網(wǎng)的Web服務(wù)器。Web服務(wù)器的私網(wǎng)地址為，私網(wǎng)端口號為80。路由缺省路由目的地址：下一跳：54為了內(nèi)網(wǎng)服務(wù)器對外提供的服務(wù)流量可以正常轉(zhuǎn)發(fā)至ISP的路由器，可以在NGFW上配置去往Internet的缺省路由。黑洞路由目的地址：0下一跳：NULL0為了避免外網(wǎng)用戶訪問Global地址但沒有匹配到Server-Map的報文，在NGFW和Router之間形成路由環(huán)路。UntrustDMZDMZ

/24靜態(tài)映射（NATServer）RouterNGFW靜態(tài)路由GE1/0/1

/24GE1/0/2

/2454/24Web服務(wù)器

/24FTP服務(wù)器

/24NATServer配置命令1.配置接口IP地址并將接口加入相應(yīng)安全區(qū)域2.配置安全策略3.配置服務(wù)器映射4.配置缺省路由5.配置黑洞路由interfaceGigabitEthernet1/0/1ipaddress#interfaceGigabitEthernet1/0/2ipaddress#firewallzoneuntrustsetpriority5addinterfaceGigabitEthernet1/0/1#firewallzonedmzsetpriority50addinterfaceGigabitEthernet1/0/2security-policyrulenamepolicy_sec_1source-zoneuntrustdestination-zonedmzdestination-address24actionpermit#natserverpolicy_nat_webprotocoltcpglobal08080insidewwwno-reverse#iproute-static54iproute-static055NULL0防火墻基礎(chǔ)知識NAT攻擊防范攻擊防范應(yīng)用場景DDoS攻擊與防御單包攻擊與防御應(yīng)用行為控制攻擊防范應(yīng)用場景防火墻可以防范各種常見的DDoS攻擊和傳統(tǒng)的單包攻擊。郵件服務(wù)器×Web服務(wù)器PCFW攻擊者正常用戶企業(yè)內(nèi)網(wǎng)DDOS攻擊掃描窺探攻擊畸形報文攻擊特殊報文攻擊正常流量，放行攻擊流量，阻斷防火墻基礎(chǔ)知識NAT攻擊防范攻擊防范應(yīng)用場景DDoS攻擊與防御單包攻擊與防御應(yīng)用行為控制DDoS攻擊DDoS攻擊是指攻擊者控制僵尸主機向目標(biāo)發(fā)送大量的攻擊報文。根據(jù)攻擊方式的不同，DDOS可以分為流量型攻擊（如SYNFlood、UDPFlood）和應(yīng)用層攻擊（如HTTPFlood、HTTPSFlood、DNSFlood）等攻擊類型。NGFW可以防范SYNFlood、UDPFlood等常見的DDoS攻擊?？刂屏髁抗袅髁抗裟繕?biāo)僵尸網(wǎng)絡(luò)僵尸主機攻擊者跳板主機SYNFlood和UDPFlood攻擊防御配置命令功能命令行配置DDoS防范參數(shù)開啟流量統(tǒng)計功能。anti-ddosflow-statisticenable配置DDoS流量統(tǒng)計抽樣比。anti-ddosstatisticsampling-fractionsampling-fraction設(shè)置啟動攻擊防范和停止攻擊防范的時間延遲。anti-ddosdefend-timestart-delaystart-delayend-delayend-delay配置源IP監(jiān)控表的老化時間。anti-ddossource-ipdetectaging-timetime配置SYNFlood配置全局SYNFlood攻擊防御功能。anti-ddossyn-floodsource-detect[alert-ratealert-rate]配置接口SYNFlood攻擊防御功能。anti-ddossyn-floodsource-detect[alert-ratealert-rate]配置UDPFlood配置全局UDPFlood攻擊防范功能。配置基于全局的UDPFlood攻擊防范功能。anti-ddosudp-flooddynamic-fingerprint-learn[alert-speedalert-speed]配置動態(tài)指紋的學(xué)習(xí)方式。anti-ddosudp-fingerprint-learnoffsetoffsetfingerprint-lengthfingerprint-length啟用報文長度學(xué)習(xí)功能。anti-ddosudp-fingerprint-learnpacket-lengthenable配置接口UDPFlood攻擊防范功能。配置基于接口的UDPFlood攻擊防范功能。anti-ddosudp-floodrelation-defendsource-detect[alert-speedalert-speed]配置全局UDP分片攻擊防范功能。配置基于全局的UDP分片報文攻擊防范功能。anti-ddosudp-frag-flooddynamic-fingerprint-learn[alert-speedalert-speed]配置接口UDP分片攻擊防范功能。配置基于接口的UDP分片報文攻擊防范功能。anti-ddosudp-frag-flood[alert-speedalert-speed]防火墻基礎(chǔ)知識NAT攻擊防范攻擊防范應(yīng)用場景DDoS攻擊與防御單包攻擊與防御應(yīng)用行為控制單包攻擊單包攻擊是最常見的DoS攻擊，一般都是以個人為單位的黑客發(fā)動的。單包攻擊畸形報文攻擊掃描類攻擊特殊控制類報文Smurf攻擊Land攻擊Fraggle攻擊IP分片報文攻擊IP欺騙攻擊PingofDeath攻擊TCP報文標(biāo)志位攻擊Teardrop攻擊WinNuke攻擊IP地址掃描攻擊端口掃描攻擊超大ICMP報文攻擊ICMP重定向報文攻擊ICMP不可達(dá)報文攻擊帶路由記錄項的IP報文攻擊帶源路由選項的IP報文攻擊Tracert報文攻擊帶時間戳選項的IP報文攻擊單包攻擊防御的配置建議不建議開啟比較消耗防火墻的性能的防御功能。建議開啟的單包防御Smurf攻擊防御Land攻