本系列文章包含：

【网络安全】防火墙知识点全面图解（一）
【网络安全】防火墙知识点全面图解（二）
【网络安全】防火墙知识点全面图解（三）

防火墙知识点全面图解（三）

39、什么是 DoS 攻击？
40、DoS 攻击有哪些类型？防火墙有什么防范措施？
41、如何防御 DoS ？
42、什么是端口扫描？
43、端口扫描有哪些类型？
44、有哪些非法报文攻击？
45、什么是 IDS/IPS ？
46、什么是 Deep Inspection ？
47、IDS/IPS 和 Deep Inspection 能够检测和拦截哪些类型的攻击？
48、什么是 CVE ？
49、什么是反病毒？
50、什么是反垃圾邮件？
51、什么是 DLP ？
52、什么是 URL 过滤？
53、防火墙有哪些监控功能？
54、什么是报文抓包功能？
55、防火墙性能有哪些要素？

39、什么是 DoS 攻击？

DoS 全称是 Denial of Service，也就是无法继续提供服务的意思。这里的服务是指服务器的应用程序服务，比如客户端发起 HTTP 请求时，服务器能够发出 HTTP 响应就说明完成了 HTTP 服务。DoS 攻击是针对服务器和网络设备发起的攻击，制造远超预先设计的访问量，让服务器和网络设备无法正常的回复响应报文，导致被攻击的系统无法提供服务。DoS 攻击也可以利用操作系统或程序的安全漏洞等，以少量流量使系统发生异常。在 DoS 中，通过僵尸网络的多个跳板，对服务器发起攻击的方式叫做 DDoS（Distributed Denial of Service）攻击。

40、DoS 攻击有哪些类型？防火墙有什么防范措施？

Syn Flood：发送大量 TCP SYN 报文，导致服务器资源消耗过度，一段时间内无法提供服务的状态。在防火墙内，定义每秒允许通过的 SYN 报文数量，当网络中的 SYN 报文超过这个值时，就会执行 SYN Cookie 的策略。SYN Cookie 策略 是当服务器收到客户端的 SYN 报文时，不建立 TCP 连接，而是将 TCP 头部内容的散列值当做序列号放入 SYN-ACK 报文中返回。之后收到包含正确响应编号的 ACK 报文时，才将会话信息存储在内存中，有效防止攻击对服务器内存的消耗。
ICMP Flood：也叫做 Ping Flood，发送大量的 ICMP Echo Request 报文来消耗服务器内存，让服务器暂时无法提供服务。防火墙通过定义一秒内允许的最大 ICMP 报文数量，对超过这个值的 ICMP 报文暂时不处理。
UDP Flood：发送大量的 UDP 报文来消耗服务器的内存，使得服务器暂时无法提供服务。防火墙通过定义一秒内允许的最大 UDP 报文数量，对超过这个值的 UDP 报文暂时不处理。
IP Flood：发送大量的 IP 报文来消耗服务器的内存，使得服务器暂时无法提供服务。防火墙通过定义一秒内允许的最大 IP 报文数量，对超过这个值的 IP 报文暂时不处理。
Land：发送源地址和目的地址相同的报文。受到这种攻击、又有安全漏洞的设备，会不断向自己转发数据而导致宕机。防火墙对于这类报文，一律丢弃。
Tear Drop：发送伪造的、含有 offset 的非法 IP 分片报文。这类攻击对于有安全漏洞的设备而言，会发生无法重新生成报文的现象发生，导致宕机。防火墙对于这类报文，一律丢弃。
Ping of Death：发送超过 IP 报文最大长度 $65535$ 的 ping。这类攻击对于有安全漏洞的设备而言，会导致无法运行的情况发生。防火墙对于这类报文，一律丢弃。
Smurf：把攻击对象的地址设置成源地址，并广播发送 ICMP Echo Request 报文，使得攻击对象收到大量 ICMP Echo Reply 报文而消耗带宽资源。
Fraggle：同 Smurf 类似，UDP 替代 ICMP 发起攻击，同时利用 echo、Chargen、daytime、qotd 等多种端口。防火墙一般关闭这类端口，或使用安全策略进行拦截。
Connection Flood：反复生成大量长时间为 open 状态的连接，占据攻击对象的 socket 资源。如果服务器端没有最大连接数目的限制，就会发生系统崩溃。
Reload：在 Web 浏览器中连续按下 F5 键，让 Web 页面反复执行刷新操作，也叫做 F5 攻击。在 Web 通信量大时，会让服务器负载加重。

41、如何防御 DoS ？

防御 DoS 就是限制异常高速通信流量，一般通过设置区域、网络接口、网络等单位来实现。

DoS 防御也可以拦截含有非法内容或安全性低的报文，这类报文让防火墙或路由器处理的话，会导致资源的浪费，因此需要使用专门的 DoS 防御功能来阻挡这类攻击。

42、什么是端口扫描？

攻击者在发起攻击前，会对攻击对象的设备情况进行调查，最基础也是最常用的手段就是 端口扫描（port scan）。端口扫描可分为 TCP 端口扫描 和 UDP 端口扫描 两大类，对 TCP 端口和 UDP 端口按照顺序发送报文，探测目的设备是否开启了对应的服务。比如，某台设备的扫描结果是开启了 $22$ 号端口，攻击者就会知道设备开启了 SSH 服务，从而利用 SSH 服务访问这个设备，并发起后续攻击。

防火墙能够探测出端口扫描行为，可以阻断这个行为。

43、端口扫描有哪些类型？

TCP 端口扫描：对 TCP 的 $0$ ~ $65535$ 号端口全部进行扫描，或在一定范围内扫描端口，从而探测服务器有哪些端口可以使用。扫描过程是向服务器发送 TCP（SYN）分组，如果收到了响应 TCP（SYN + ACK）报文，那么说明端口是打开状态。如果端口关闭，就会从服务器收到 TCP（RST + ACK）报文。

在这里插入图片描述

SYN 端口扫描：属于 TCP 端口扫描的一种，无需完成 $3$ 次握手，直接针对 SYN 报文进行端口扫描，也叫做半扫描。在 $3$ 次握手过程中，根据服务器回复的是 ACK 报文还是 RST 报文来判断端口是否打开。
ACK 端口扫描：为规避防火墙对 SYN 端口扫描的检测，向服务器发送 ACK 报文，根据回复的 RST 报文窗口大小来判断端口是否打开。只对端口打开或关闭时发送不同窗口大小报文的服务器有效。

在这里插入图片描述

Null 端口扫描：向服务器发送 TCP 头部所有字段为 $0$ 的报文，通过服务器是否返回 RST + ACK 报文来判断服务器端口是否打开。
FIN 端口扫描：向服务器发送 FIN 报文，根据是否收到 RST + ACK 报文来判断端口是否打开。
Xmas 端口扫描：向服务器发送 TCP 头部所有字段为 $1$ 的报文，根据是否收到 RST + ACK 报文来判断端口是否打开。
UDP 端口扫描：对 UDP 的 $0$ ~ $65535$ 号端口全部进行扫描，或是在一定范围内扫描端口，从而探测服务器有哪些端口可以使用。
Host Sweep：向大量主机发送 ICMP 报文或 TCP 报文，如果返回应答，就根据返回的应答报文判断主机是否存在，并得知主机上运行了哪些应用程序等信息。TCP SYN Host Sweep 会同时向多台主机的相同端口发送 TCP SYN 报文。

44、有哪些非法报文攻击？

IP 地址欺骗（IP Spoofing）：为了通过防火墙，避免被监控日志记录，伪造 IP 头部中源 IP 地址的攻击方式。
分片报文：分片的 IP 报文，由于安全性弱，常用于攻击，因此防火墙会有拦截分片报文的功能。如果报文和通信链路的 MTU 大小一致，就不会发送分片，这个功能也不会影响正常的通信。
ICMP 分片：：跟 IP 分片报文类似，防火墙也有拦截 ICMP 分片报文的功能。
巨型 ICMP 报文：防火墙通过拦截一定大小以上的 ICMP 报文，就能避免 Ping of Death 攻击。
非法 ICMP 报文：如果接收的 ICMP 报文中，头部出现未定义的值时，需要进行额外的异常处理。防火墙会对这类非法的 ICMP 报文进行拦截。
SYN 以外的 TCP 报文控制：：TCP 会话开始前，会发送 SYN 报文。如果在未确认的 TCP 会话中，收到了除 SYN 以外的字段位是 $1$ 的 TCP 报文，很有可能就是端口扫描等攻击，就需要通过防火墙拦截这类报文。

45、什么是 IDS/IPS ？

IDS，全称 Intrusion Detection System，即 入侵检测系统。IPS，全称 Intrusion Prevention System，即 入侵防御系统，合称为 IDS / IPS。

IDS 负责检测非法入侵，并告知系统管理员，而 IPS 是通过设置对非法入侵使用的协议和应用程序进行拦截。

IDS / IPS 能够检测的威胁有：

DoS 攻击
P2P 造成的信息泄露
运行蠕虫、特洛伊木马、键盘记录器等恶意软件
入侵局域网和入侵侦查行为

当 IDS / IPS 检测到入侵行为后，会进行相应处理：

通知管理员，通过电子邮件或 SNMP 等方式
记录日志
拦截通信，向攻击方发送 TCP RST 报文

46、什么是 Deep Inspection ？

防火墙的 Deep Inspection 功能，能够针对特定的应用层协议，重组应用程序数据流的 TCP 数据段，检测其中是否包含了非法应用程序参数。

在这里插入图片描述

47、IDS/IPS 和 Deep Inspection 能够检测和拦截哪些类型的攻击？

信息泄露：攻击者利用带有恶意脚本的邮件，或附带恶意软件的 URL 地址发起的攻击。攻击成功的话，能够获取对方的机密信息。
执行代码：向服务器发送非法数据，让服务器接受并执行远端的代码。
DoS 攻击：发送大量报文，让服务器的 CPU、内存使用率上升，妨碍服务器正常提供服务的攻击。
缓存溢出（Buffer Overflow）：通过恶意程序诱导服务器运行内存超过上限，导致缓存溢出的攻击。
SQL 注入：针对 Web 应用程序，使用数据库 SQL 语言，对数据库进行非法操作的攻击。
暴力破解（Brute Force Attack）：也叫循环攻击，使用密码字典等工具，反复尝试管理员密码的攻击。为了防止这类攻击，需要执行输错 $3$ 次密码就切断会话的类似策略。
跨站脚本攻击（Cross-site Scripting）：简称 CSS 或 XSS 。利用 Web 应用程序的漏洞，在提交页面表单时，通过服务器执行携带 HTML 标签的脚本，到达劫持会话或钓鱼的目的。
exploit 攻击：利用软件安全漏洞发起的攻击中使用的程序或脚本。
浏览器劫持：通过操作携带恶意软件的浏览器，在用户浏览 Web 页面时，篡改显示的页面形式和内容。一般会导致持续弹出广告栏、自动添加 URL 连接、跳转其它网页失败的情况。
钓鱼：使用伪造官方网站站点 URL 连接的邮件或网站，骗取用户的个人信用卡和银行账号信息。
僵尸网络：通过僵尸程序感染多台 PC ，并根据攻击方命令，同时发送垃圾和实施 DoS 等攻击。主要通过使用 IRC 对僵尸下达攻击命令。

48、什么是 CVE ？

CVE（Common Vulnerabilities Exposures，通用漏洞披露）是美国非盈利机构 MIRTE 公司识别已知漏洞的项目。机构会为发现的安全漏洞问题分配一个 CVE 识别编号（CVE-ID），当安全厂家提供多个漏洞防范对策时，通过使用这个编号告知用户是哪个安全漏洞问题。以 “CVE-(公元纪年)-( $4$ 字符编号)” 的格式记录，表明使用这个编号的安全漏洞问题已经广为人知。

在这里插入图片描述

49、什么是反病毒？

反病毒 也叫做 防病毒策略，通过在个人电脑和服务器上安装防病毒软件，来保护设备免遭病毒侵袭。

在终端上安装防病毒软件的方式叫做 主机型防病毒。而通过互联网网关的防火墙以及专用设备，对网络上所有的通信数据进行扫描的方式叫做 网关型防病毒。使用网关型防病毒，能够防止局域网中病毒的蔓延以及跳板机攻击网络的发生。

网关型防病毒的优点	主机型防病毒的缺点
能够对所有客户端实施相同的策略，针对客户机 PC 以及虚拟 PC 的策略	客户机 PC 以及虚拟 PC 无法采用相同的安全策略
不依赖客户端的操作系统，即使操作系统停止支持，也不影响扫描的进行	很难应用于停止支持或不支持的操作系统
节省了为客户端安装软件以及升级软件的麻烦	所有的客户端都需要安装软件，耗费精力
用户无法主观停止扫描过程	用户可以主观停止扫描或升级
能够防止来自内部客户端的病毒	虽然能够扫描外部流入数据，但对于已经感染的文件通信则无法检测
能够通过网关设备对日志、报告等实施统一化管理	日志等保存在各台 PC 上，统一化管理需要其它系统支持

主机型防病毒的优点	网关型防病毒的缺点
不依赖于具体的通信协议	不支持所有的通信协议，仅支持 FTP、HTTP 以及电子邮件协议
能够对所有接收的文件进行扫描	无法对所有文件进行扫描，例如附带密码的压缩文件等
能够对具体安装的操作系统进行定制扫描	-

确认是否存在病毒的操作叫做扫描。主机型防病毒的扫描是在主机内进行，而网关型病毒的扫描在通信流量中完成。

50、什么是反垃圾邮件？

垃圾邮件是指骚扰邮件、广告邮件和诈骗邮件等，很多产品都有过滤这类垃圾邮件的反垃圾邮件功能，但是反垃圾邮件很容易引发误检。有可能出现正常邮件归档到骚扰软件中，误以为没收到邮件，这个需要注意。

51、什么是 DLP ？

DLP，全称 Data Loss Prevention，也就是 防范信息泄露功能。

这个功能是检测网络中交换的应用程序数据，当发现特定文件或数据时，及时执行告警、断开会话、记录日志等操作。主要由 文件过滤 和 数据过滤 两个部分组成。

功能	说明
文件过滤	通过检测会话内交互的文件信息，阻拦不必要文件的流入和涉密文件的流出。一般对文件的名称、扩展名、文件内部数据进行解析后分类，从而判断文件是否有必要阻拦。
数据过滤	通过检测会话内交互的数据信息，发现匹配特定关键字的数据便丢弃或告警。

52、什么是 URL 过滤？

URL 过滤 功能是在 HTTP 通信中，当客户端向服务器发起请求时，能够对 URL 信息进行检查，判断 URL 能否访问，并对有害的 Web 站点进行拦截的功能，通常作为服务器上的软件、防火墙和代理服务器的功能之一，提供给用户。

53、防火墙有哪些监控功能？

防火墙有监控、告警通知、日志记录和报告等监控功能。

监控（monitoring）：对网络和网络设备的实时状态进行监控，及时观察流量状态和故障信息，当发生故障、异常情况时，能够及时告警通知管理员。
告警通知（alerting）：发生故障和出现定义事件时，向管理员发生告警通知。告警方式可以是发送 SNMP Trap 、向 Syslog 服务器发送 Syslog 通信和向服务器发送电子邮件等。
日志记录（logging）：记录流量日志、事件日志等各类日志的功能。日志能够导出为纯文本格式、CSV 格式、PDF 格式等。
报告（reporting）：通过 Web 对日志进行加工处理，提供一目了然的图表等信息。有些防火墙是发送 Syslog 日志或专用日志到管理服务器，在管理服务器上展示报告。

54、什么是报文抓包功能？

有些安全设备有报文抓包功能。抓到的报文可以在设备上浏览，也可以导出为 WinPcap 格式的文件，在 Wireshark 这个应用程序中进行浏览。当发生通信故障时，可以根据抓包的信息进行分析。

在这里插入图片描述

55、防火墙性能有哪些要素？

同时在线会话数：防火墙通过管理会话表，以会话为单位来控制通信流量。会话表能够记录的表项数目说明了防火墙能够处理的同时在线会话数量。小型防火墙设备一般管理几万个会话，而电信服务供应商使用的防火墙能够同时管理数百万个会话。
NAT 表数目：有些防火墙或路由器会分别维护会话表和 NAT 表。NAT 表的数量表示同时在线 NAT 的会话数，这个数值表示设备能够建立 NAT 会话数的最大值。没有 NAT 表数上限的防火墙，一般使用会话数的上限。
每秒新建的会话数目：路由器的性能一般使用每秒能够传输的 bit 数 bit/s 和每秒转发报文数 pps 这两个参数来描述。而防火墙还增加了一条每秒新建会话数这个参数，表示在 $1$ 秒内能够完成多少次完整的会话建立过程。 $1$ 个完整的会话建立过程包括：监控 TCP 连接的 $3$ 次握手，握手正常则生成会话信息，将信息记录到会话表等操作。也引入另一个指标，表示在 $1$ 秒内能够完成会话从建立到结束的次数，这个指标叫做每秒连接数。