迪普防火墙技术白皮书

迪普防火墙技术白皮书 Final revision by standardization team on December 10, 2020.

迪普FW1000系列防火墙

技术白皮书

1概述

随着网络技术的普及，网络攻击行为出现得越来越频繁。通过各种攻击软件，只要具有一般计算机常识的初学者也能完成对网络的攻击。各种网络病毒的泛滥，也加剧了网络被攻击的危险。目前，Internet网络上常见的安全威胁分为以下几类：

非法使用：资源被未授权的用户（也可以称为非法用户）或以未授权方式（非法权限）使用。例如，攻击者通过猜测帐号和密码的组合，从而进入计算机系统以非法使用资源。拒绝服务：服务器拒绝合法用户正常访问信息或资源的请求。例如，攻击者短时间内使用大量数据包或畸形报文向服务器不断发起连接或请求回应，致使服务器负荷过重而不能处理合法任务。

信息盗窃：攻击者并不直接入侵目标系统，而是通过窃听网络来获取重要数据或信息。数据篡改：攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作，而使数据的一致性被破坏。

?基于网络协议的防火墙不能阻止各种

攻击工具更加高层的攻击

?网络中大量的低安全性家庭主机成为

攻击者或者蠕虫病毒的被控攻击主机

?被攻克的服务器也成为辅助攻击者

Internet

灾蔓延的隔断墙，Internet防火墙是一个或一组实施访问控制策略的系统，它监控可信任网络（相当于内部网络）和不可信任网络（相当于外部网络）之间的访问通道，以防止外部网络的危险蔓延到内部网络上。防火墙作用于被保护区域的入口处，基于访问控制策略提供安全防护。例如：当防火墙位于内部网络和外部网络的连接处时，可以保护组织内的网络和数据免遭来自外部网络的非法访问（未授权或未验证的访问）或恶意攻击；当防火墙位于组织内部相对开放的网段或比较敏感的网段（如保存敏感或专有数据的网络部分）的连接处时，可以根据需要过滤对敏感数据的访问（即使该访问是来自组织内部）。防火墙技术经历了包过滤防火墙、代理防火墙、状态防火墙的技术演变，但是随着各种基于不安全应用的攻击增多以及网络蠕虫病毒的泛滥，传统防火墙面临更加艰巨的任务，不但需要防护传统的基于网络层的协议攻击，而且需要处理更加高层的应用数据，对应用层的攻击进行防护。对于互联网上的各种蠕虫病毒，必须能够判断出网络蠕虫病毒的特征，

把网络蠕虫病毒造成的攻击阻挡在安全网络之外。从而对内部安全网络形成立体、全面的防护。

造成当前网络“安全危机”另外一个因素是忽视对内网安全的监控管理。防火墙防范了来之外网的攻击，对于潜伏于内部网络的“黑手”却置之不理，很容易造成内网变成攻击的源头，导致内网数据泄密，通过NAT从内部网络的攻击行为无法进行审计。由于对内部网络缺乏防范，当内部网络主机感染蠕虫病毒时，会形成可以感染整个互联网的污染源头，导致整个互联网络环境低劣。

行为。防火墙需要提供对内部网络安全保障的支持，形成全面的安全防护体系。

2功能介绍

DPtech FW1000系列硬件防火墙产品是一种改进型的状态防火墙，采用专门设计的高可靠性硬件系统和具有自主知识产权的专有操作系统，将高效的包过滤功能、透明的代理服务、基于改进的状态检测安全技术、丰富的统计分析功能、多种安全保障措施集于一身，

?来自内部网络的攻击污染互联网

?来自内部网络的蠕虫病毒感染互联

Internet

提供多类型接口和工作模式。不但提供对网络层攻击的防护，而且提供多种智能分析和管理手段，全面立体的防护内部网路。DPtech FW1000防火墙提供多种网络管理监控的方法，协助网络管理员完成网络的安全管理。DPtech FW1000防火墙采用ASPF状态检测技术，可对连接过程和有害命令进行监测，并协同ACL完成包过滤，支持NAT-PAT，支持IPSec VPN加密等特性，提供包括DES、3DES等多种加密算法，并支持证书认证。此外，还提供数十种攻击的防范能力，所有这些都有效地保障了网络的安全。下面重点描述DPtech FW1000防火墙的主要安全功能。

2.1ASPF

ASPF（Application Specific Packet Filter）是针对应用层的包过滤，即基于状态的报文过滤。它和普通的静态防火墙协同工作，以便于实施内部网络的安全策略。ASPF能够检测试图通过防火墙的应用层协议会话信息，阻止不符合规则的数据报文穿过。

为保护网络安全，基于访问控制列表的包过滤可以在网络层和传输层检测数据包，防止非法入侵。ASPF能够检测应用层协议的信息，并对应用的流量进行监控。

ASPF还提供以下功能：

DoS（Denial of Service，拒绝服务）的检测和防范。

Java Blocking（Java阻断），用于保护网络不受有害的Java Applets的破坏。

支持端口到应用的映射，用于应用层协议提供的服务使用非通用端口时的情况。

增强的会话日志功能。可以对所有的连接进行记录，包括：记录连接的时间、源

地址、目的地址、使用的端口和传输的字节数。

ASPF对应用层的协议信息进行检测，并维护会话的状态，检查会话的报文的协议和端口号等信息，阻止恶意的入侵。

2.2攻击防范

通常的网络攻击，一般是侵入或破坏网上的服务器（主机），盗取服务器的敏感数据或干扰破坏服务器对外提供的服务；也有直接破坏网络设备的网络攻击，这种破坏影响较大，会导致网络服务异常，甚至中断。防火墙的攻击防范功能能够检测出多种类型的网络攻击，并能采取相应的措施保护内部网络免受恶意攻击，保证内部网络及系统的正常运行。DPtech FW1000防火墙的攻击防范技术可以有效的阻止下面的网络攻击行为：IP地址欺骗攻击

为了获得访问权，入侵者生成一个带有伪造源地址的报文。对于使用基于IP地址验证的应用来说，此攻击方法可以导致未被授权的用户可以访问目的系统，甚至是以root权限来访问。即使响应报文不能达到攻击者，同样也会造成对被攻击对象的破坏。这就造成IP Spoofing攻击。

Land攻击

所谓Land攻击，就是把TCP SYN包的源地址和目标地址都配置成受害者的IP地址。这将导致受害者向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时掉。各种受害者对Land攻击反应不同，许多UNIX主机将崩溃，Windows NT主机会变的极其缓慢。

Smurf攻击

简单的Smurf攻击，用来攻击一个网络。方法是发ICMP应答请求，该请求包的目标地址配置为受害网络的广播地址，这样该网络的所有主机都对此ICMP应答请求作出答复，导致网络阻塞，这比ping大包的流量高出一或两个数量级。高级的Smurf攻击，主要用来攻击目标主机。方法是将上述ICMP应答请求包的源地址改为受害主机的地址，最终导致受害主机雪崩。攻击报文的发送需要一定的流量和持续时间，才能真正构成攻击。理论上讲，网络的主机越多，攻击的效果越明显。Smurf攻击的另一个变体为Fraggle攻击。

Fraggle攻击

使用UDP echo和Chargen服务的smurf方式的攻击。

Teardrop攻击

构造非法的分片报文，填写不正确的分片偏移量和报文长度，使得各分片的内容有所重叠，目标机器如果处理不当会造成异常。

WinNuke攻击

WinNuke攻击通常向装有Windows系统的特定目标的NetBIOS端口（139）发送OOB（out-of-band）数据包，引起一个NetBIOS片断重叠，致使目标主机崩溃。还有一种是IGMP分片报文，一般情况下，IGMP报文是不会分片的，所以，不少系统对IGMP分片报文的处理有问题。如果收到IGMP分片报文，则基本可判定受到了攻击。

SYN Flood攻击

由于资源的限制，TCP/IP栈的实现只能允许有限个TCP连接。而SYN Flood攻击正是利用这一点，它伪造一个SYN报文，其源地址是伪造的、或者一个不存在的地址，向服务器发起连接，服务器在收到报文后用SYN-ACK应答，而此应答发出去后，不会收到ACK报

文，造成一个半连接。如果攻击者发送大量这样的报文，会在被攻击主机上出现大量的半连接，消耗尽其资源，使正常的用户无法访问。直到半连接超时。在一些创建连接不受限制的实现里，SYN Flood具有类似的影响，它会消耗掉系统的内存等资源。

ICMP和UDP Flood攻击

短时间内用大量的ICMP消息（如ping）和UDP报文向特定目标不断请求回应，致使目标系统负担过重而不能处理合法的传输任务。

地址扫描与端口扫描攻击

运用扫描工具探测目标地址和端口，对此作出响应的表示其存在，用来确定哪些目标系统确实存活着并且连接在目标网络上，这些主机使用哪些端口提供服务。

Ping of Death攻击

IP报文的长度字段为16位，这表明一个IP报文的最大长度为65535。对于ICMP 回应请求报文，如果数据长度大于65507，就会使ICMP数据＋IP头长度(20)＋ICMP头长度（8）> 65535。对于有些路由器或系统，在接收到一个这样的报文后，由于处理不当，会造成系统崩溃、死机或重启。这种攻击就是利用一些尺寸超大的ICMP报文对系统进行的一种攻击。

另外，DPtech FW1000防火墙提供了对ICMP重定向报文、ICMP不可达报文、带路由记录选项IP报文、Tracert报文的控制功能，以及增强的TCP报文标志合法性检测功能，在攻击前期阶段阻止攻击分析行为。

2.3实时流量分析

对于防火墙来说，不仅要对数据流量进行监控，还要对内外部网络之间的连接发起情况进行检测，因此要进行大量的统计计算与分析。防火墙的统计分析一方面可以通过专门的分析软件对日志信息进行事后分析；另一方面，防火墙系统本身可以完成一部分分析功能，它表现在具有一定的实时性。

DPtech FW1000防火墙提供了实时的网络流量分析功能，及时发现攻击和网络蠕虫病毒产生的异常流量。用户可以使用防火墙预先定义的流量分析模型，也可以自己定义各种协议流量的比例，连接速率阀值等参数，形成适合当前网络的分析模型。比如，用户可以指定系统的TCP连接和UDP连接总数的上限阈值和下限阈值。当防火墙系统的TCP或UDP连接个数超过设定的阈值上限后，防火墙将输出日志进行告警，而当TCP、UDP连接个数降到设定的阈值下限时，防火墙输出日志，表示连接数恢复到正常。另外，也可以指定配置不同类型的报文在正常情况下一定时间内所占的百分比以及允许的变动范围，系统定时检测收到的各类报文百分比，并和配置进行比较，如果某类型（TCP、UDP、ICMP或其他）报文百分比超过配置的上限阈值（加波动范围），则系统输出日志告警；如果某类型报文百分比低于配置的下限阈值（加波动范围），则系统输出日志告警。

Internet

?流量实时分析

实时流量分析技术可以有效的发现未知的网络蠕虫病毒造成的异常流量，可以及时通知网络管理员进行处理。并且通过DPtech FW1000防火墙的地址动态隔离技术（地址黑名单）对异常流量进行及时阻断，从而避免垃圾流量对网络带宽的拥塞。

2.4内网地址安全

在受保护的内部网络，如何防范发自内部网络的攻击将是网络安全领域面临的一个十分重要的问题。网络内部的恶意攻击者，感染网络蠕虫病毒的主机，都是内网安全的重大威胁。在IP协议栈中，ARP是以太网上非常重要的一个协议。以太网网络中的主机，在互相进行IP访问之前，都必须先通过ARP协议来获取到目的IP地址对应的MAC地址。在通过路由器、三层交换机作为网关时，PC为了把数据发送到网关，同样需要通过ARP协议来获取网关的MAC地址。由于ARP协议本身不具备任何的安全性，所以留下了很多的安全漏洞。

主机欺骗：恶意的网络客户可以伪造出别的客户的ARP 报文，使希望被攻击的客户不能正常进行网络通讯。

网关伪造：恶意的网络客户可以伪造网关的ARP 应答，在ARP 应答报文中把网关的IP 对应的MAC 地址设置称自己的MAC 地址，那么，网络中所有的客户都会把数据发送到恶意网络客户的主机上。

ARP “轰炸”：恶意客户主机发出大量的不同IP 对应不同MAC 的ARP 报文，让网络中的设备ARP 表都加入最大数量的ARP 表项，导致正常的ARP 不能加入，从而中断网络流量。 DPtech FW1000防火墙通过多种方式来保护内部网络的地址安全性：

MAC 和IP 地址绑定：

防火墙可以根据用户的配置，在特定的IP 地址和MAC 地址之间形成关联关系。对于声称从这个IP 发送的的报文，如果其MAC 地址不是指定关系对中的地址，防火墙将予以丢弃，发送给这个IP 地址的报文，在通过防火墙时将被强制发送给这个MAC 地址。从而形成有效的保护，是避免IP 地址假冒攻击的一种方式。这种方式通常可以在服务器区域使用，对使用固定IP 地址的内部网络服务器实行强制的MAC 和IP 地址绑定。

通过ARP 欺骗，可以仿冒服务

器的地址进行通讯 IP IP 我是

MAC 0010 IP

ARP欺骗检查：

接收到ARP报文进行深层次的内容检查，根据ARP报文的不同类型，判断ARP协议有效载荷中的数据和承载ARP报文的以太网报文头中的对应地址信息是否相一致，如果一致，才认为是合法的ARP报文，否则认为是非法的ARP报文，不进行更新并向管理员进行报警。

ARP反向查询

在接收到一个免费的ARP报文时，针对这个IP发起ARP请求，得到的ARP应答中MAC和免费ARP中的MAC进行比较，通过则正常处理，否则进行异常处理。如果有人进行ARP伪造，在ARP请求获得的应答中，设备可以重新获得真正设备MAC地址。如果攻击者使用更智能的手段，能够处理后续的ARP请求交互过程，那么设备也能够通过接收到两个ARP应答探测到这种冲突情况的存在，及时通知管理员处理。

2.5HTTP访问控制

互联网的发展促进了信息的共享和交流，为了提高员工的工作效率和信息查询，企业等机构会向员工提供外部HTTP访问的权限。但是互联网上各种信息泛滥，如何有效的保证员工上网，又可以防止不良信息进入内部网络是网络管理者必须解决的问题。

DPtech FW1000防火墙提供针对应用协议的访问控制能力，通过独有的ASPF特性，对应用层协议进行分析，实现对应用协议的内容过滤。通过DPtech FW1000防火墙提供的HTTP协议过滤提供对HTTP网址过滤和网页内容过滤，可以有效的管理员工上网的行为，提高工作的效率，节约出口带宽，保障正常的数据流量，屏蔽各种“垃圾”信息，从而保证内部网络的“绿色环境”。

用户可以设置网址过滤需要过滤的网址列表，网址过滤列表可以保存在flash 中的网址过滤文件中。网址过滤文件中的过滤列表的格式为：

可以指定每条网址是禁止访问还是允许访问，并可以指定在网址过滤列表中没有找到的网址采取何种缺省动作（允许还是禁止），从而为用户提供最大的控制灵活性。

为了防止网页中可执行代码对内部网络造成的潜在威胁，可以指定HTTP 检测策略能够过滤掉来自外部网络服务器HTTP 报文中的Java Applets 。另外，利用web 内容过滤功能，通过指定过滤网页中的文本关键字，可以保证用户指定内容的信息不会进入内部网络。web 内容过滤文件存放在flash 中，用户可以对过滤词汇文件进行管理，包括添加、删除、清除过滤关键字。关键字过滤支持模糊查找，即允许向过滤关键字文件中添加带 “*”的关键字。

web 内容过滤文件的格式为：

暴力

*赌博*

利用HTTP 协议过滤功能，可以营造企业、政府机构内部网络的安全、绿色的上网环境。

正常网 有害网

Internet ? 有害网站过滤 ? 网页恶意内容摘除

有害

健康

2.6 SMTP 邮件安全

在互联网不断发展的今天，电子邮件和电话、信件、传真一样，成为人们生活工作中不可或缺的一种相互交流联系的方式。但是，电子邮件带来便利的同时，也给企业和机构的内部网络带来各种安全问题。如何让电子邮件成为工作的联系手段，但又可以防止内部信息的泄密和防止发送大量其他非工作相关的邮件，是内部网络管理者必须解决的一个问题。

DPtech FW1000防火墙提供内部的邮件安全特性包括： 电子邮件地址过滤功能——在企业内部向外发送邮件时，进行地址过滤，防止向外部非法地址发送公司资料或者与工作无关的信息。该功能可以对SMTP 协议邮件地址进行过滤。发送电子邮件通过SMTP 协议进行传输，RFC821详细描述了SMTP 协议细节，RFC1869规定了扩展的SMTP 细节。SMTP 使用TCP 端口25在发送者和接收者之间进行通讯，使用规定的命令完成邮件发送功能。电子邮件地址过滤功能依据RFC 协议规定完成对邮件的过滤，不受邮件发送者所使用工具的影响。

电子邮件主题过滤——在企业内部向外发送邮件时，可以根据邮件主题对邮件进行邮件主题关键字过滤。关键字过滤支持模糊查找，即允许向过滤关键字添加带 “*”的关键字，对邮件标题内容进行模糊匹配。

Internet

SMTP 邮件

电子邮件内容过滤——在过滤邮件时，可以对邮件正文的文本内容进行内容过滤，保证对邮件内容的监控。需要进行匹配的内容以关键字的形式指定，文本内容关键字过滤同样支持模糊查找，即允许向过滤库中的关键字添加带“*”的关键字。

通过对SMTP邮件的过滤控制，保证企业、机构中不会出现邮件泄密的问题。而且，通过对邮件内容的控制，可以防止携带非法内容、病毒程序的电子邮件扩散。

2.7邮件告警

随着网络技术的普及，出现在网络中的攻击手段越来越多，以及网络蠕虫病毒的出现，对于内部网络保护的迫切性日益突出。虽然防火墙技术、反病毒技术也不断取得突破，但是当防范设备发现一些未知，不能确定的网络攻击时，如果不能非常及时的通知网络管理员进行处理，那么很可能对网络造成巨大的损失。特别是对于网络蠕虫病毒来说，随着时间的推移，感染的主机以及造成的损失会呈指数增长。

DPtech FW1000防火墙不但提供系统日志，日志主机等告警方式，而且提供实时邮件告警技术。为了提醒管理员网络中发生的各种攻击情况，DPtech FW1000防火墙支持以电子邮件的形式把攻击日志通知管理员。通过流量分析功能，邮件中还有详细的网络流量分析结果，可以供管理员进行网络优化。邮件发送可以使用两种方式，一种是实时发送，一旦检测到攻击行为，立即发送邮件到指定的邮件地址；另外一种是在指定的每日固定时间定期发送告警邮件。

通过邮件告警功能可以实现对于可以检测出来的已知攻击方式，在实时阻断的同时，会向预先指定的一个或者多个邮箱发送告警邮件，在第一时间通知网络管理者。对于未知蠕虫病毒造成异常流量等，通过DPtech FW1000防火墙的实时流量分析发现以后，立即通过电子电子邮件向预先指定的一个或者多个邮箱发送告警邮件通知网络管理者及时处理。

2.8二进制日志

日志特性能够将系统消息或包过滤的动作等存入缓冲区或定向发送到日志主机上。对日志内容的分析和归档，能够使管理员检查防火墙的安全漏洞、什么时候有什么人试图违背安全策略、网络攻击的类型，实时的日志记录还可以用来检测正在进行的入侵。DPtech FW1000防火墙统一考虑各种攻击、事件，将它们的各种日志输出格式、统计信息等内容进行规范，从而保证了日志风格的统一和日志功能的严肃性。

DPtech FW1000防火墙包括以下几种日志信息：

NAT/ASPF日志

攻击防范日志

流量监控日志

黑名单日志

地址绑定日志

邮件过滤日志

网址/内容过滤日志

对于上述这些日志，根据日志输出方式的不同可以分为二进制流日志、Syslog日志两种，日志信息可以通过多种方式进行输出和保存。

攻击防范、流量监控、黑名单和地址绑定产生的日志信息量小，因此采用SysLog 方式以文本格式进行输出。这些日志信息必须通过DPtech FW1000防火墙的信息中心进行日志管理和输出重定向，或者显示在终端屏幕上，或将SysLog 日志发送给日志主机进行存储和分析。

相反，NAT/ASPF 产生的日志信息量很大，因此对于这种类型的流提供了一种“二进制”输出方式，直接输出到日志服务器上以便对日志进行存储和分析。和SysLog 方式相比，二进制流日志的传输效率高，而且节约存储空间。

2.9 管理功能

网络安全技术收到越来越多的重视，防火墙设备的应用也越来越多。向设备管理者提供简单快捷，易于部署的多种管理方式是防火墙必须具备的功能。DPtech FW1000防火墙提供了多种管理方式，向用户提供最大的设备管理便利性。用户可以通过命令行视图、SNMP 管理、WEB 管理来对防火墙进行统一管理和监控。

系统向用户提供一系列配置命令以及命令行接口，用户通过该接口可以配置和管理防火墙。命令行接口有如下特性： Internet 监

日志主机 日志缓冲 控

控制台

监控终端

通过Console口进行本地配置

通过AUX口进行本地或远程配置

通过Telnet、SSH进行本地或远程配置

提供User-interface视图，管理各种终端用户的特定配置

命令分级保护，不同级别的用户只能执行相应级别的命令

通过本地、AAA验证方式，确保系统的安全

提供联机帮助，用户可以随时键入“”获得相关信息

提供网络测试命令，如tracert、ping等，迅速诊断网络是否正常

提供种类丰富、内容详尽的调试信息，帮助诊断网络故障

提供FTP服务，方便用户上载、下载文件

提供类似Doskey的功能，可以执行某条历史命令

命令行解释器提供不完全匹配和上下文关联等多种智能命令解析方法

另外，DPtech FW1000防火墙支持SSH，保证管理过程的安全性。SSH是Secure Shell （安全外壳）的简称，用户通过一个不能保证安全的网络环境远程登录到安全网关时，SSH特性可以提供安全保障和强大的认证功能，以保护安全网关不受诸如IP地址欺诈、明文密码截取等等的攻击。安全网关可以接受多个SSH客户的连接。SSH客户端的功能是允许用户与支持SSH Server的安全网关、UNIX主机等建立SSH连接。