[发明专利]一种防火墙攻击防御方法

说明书

本发明提供一种防火墙攻击防御方法，其通过将一攻击防范模块应用于已具备基于安全区域的配置管理、报文管理和会话管理等功能的防火墙，实现网络攻击检测功能，精确检测单包攻击、扫描攻击和泛洪攻击。单包攻击具体包括：ICMP重定向攻击、ICMP不可达攻击、IP源站选路选项攻击、路由记录选项攻击、Land攻击、Smurf攻击、Fraggle攻击、WinNuke攻击。扫描攻击具体包括：地址扫描攻击、端口扫描攻击。泛洪攻击包括：TCP SYN Flood攻击、ICMP Flood攻击、UDP Flood攻击。检测到网络攻击后，根据配置采取相应的防范措施，例如丢弃报文、加入黑名单、输出告警日志等。实现TCP代理联动机制下的Safe Reset技术，有效防御TCP SYN Flood攻击。

技术领域

本发明属于网络安全领域，具体涉及一种防火墙攻击防御方法。

背景技术

网络攻击是指利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击。随着计算机网络的广泛应用，网络攻击技术也在不断发展。网络攻击的方式和方法已经从早期的粗糙、单一的攻击方法发展到今天的精致、综合的攻击方法。目前，Internet 上常见的网络攻击分为以下三类：单包攻击、扫描攻击和泛洪攻击：

（1）单包攻击

单包攻击又称畸形报文攻击。攻击者向目标机器发送有缺陷的 IP 报文（如分片 重叠的 IP 报文、具有非法标志位的 TCP 报文等），由于目标机器无法正确处理此类 IP 报文，因此导致系统崩溃。另一种方式是，攻击者通过发送大量无用报文，恶意占用 网络带宽，导致网络阻塞。

（2）扫描攻击 攻击者运用扫描工具对网络进行主机地址或端口进行扫描，通过准确定位潜在目标的位置，探测目标系统的网络拓扑结构和启用的服务类型，并利用搜集到的信息实 施进一步的攻击。

（3）泛洪攻击

泛洪攻击是 DoS 攻击的一种方式，包括 TCP SYN Flood 攻击和 UDP Flood 攻击等。攻击者在短时间内向目标系统发送大量的虚假请求，导致目标系统疲于应付无用信息，大量消耗关键资源，无法为合法用户提供正常服务，即发生拒绝服务。

在各种网络攻击中，DoS 攻击由于其实施简单、破坏力强，成为最常见的一种攻击方法。数据显示，超过 90%的 DoS 攻击是利用 TCP 协议的漏洞实现的，而 TCP SYN Flood攻击是使用最普遍的攻击手段。Internet 上任何提供基于 TCP 的网络服务的系统， 例如Web 服务器、FTP 服务器和邮件服务器，都容易受到 TCP SYN Flood 攻击。因此，针对 SYNFlood 攻击的良好的防范能力在防火墙攻击防范的整体功能中占有举足轻重的作用。

防火墙作为保护网络安全的重要手段，应能有效防范各种网络攻击。近年来，大规模网络攻击行为的不断出现，对防火墙提出了更高的要求。随着防火墙的广泛应用和组网环境的变化，防火墙的策略配置方式也向着更易用、更高效的趋势发展。

传统的防火墙基于内网/外网模式，防火墙处于内部网络和外部网络之间，只要根据网络报文的入接口和出接口进行安全策略的配置。但随着防火墙的不断发展，出现 了基于区域划分的防火墙部署方案，即内网/外网/DMZ（非军事区）模式。其中，DMZ 是一个不同于内网或外网的特殊网络区域，DMZ 内通常放置一些不含机密信息的公 用服务器，比如Web、Mail、FTP 服务器等。这样，来自外网的访问者可以访问 DMZ 中的服务，但不能接触到存放在内网中的公司机密或私人信息等，即使 DMZ 中服务 器受到破坏，也不会对内网中的机密信息造成影响。在这种模式下，防火墙处于三个区域的中心，以三角方式将它们连接起来。