专家视点：防火墙防控DDOS攻击三步曲

　　限制系统符合条件源/目的主机连接数量；

　　针对源或目的IP地址做流限制，Inspect可以限制每个IP地址的的资源，用户在资源控制的范围内时，使用并不会受到任何影响，但当用户感染蠕虫病毒或发送攻击报文等情况时，针对流的资源控制可以限制每个IP地址发送的连接数目，超过限制的连接将被丢弃，这种做法可以有效抑制病毒产生攻击的效果，避免其它正常使用的用户受到影响。

　　单位时间内如果穿过防火墙的“同类”数据流超过门限值后，可以设定对该种类的数据流进行阻断，对于防止IP、ICMP、UDP等非连接的flood攻击具有很好的防御效果。

　　2、智能TCP代理有效防范SYN Flood

　　SYN Flood是DDOS攻击中危害性最强，也是最难防范的一种。这种攻击利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）。SmartHammer系列防火墙能够利用智能TCP代理技术，判断连接合法性，保护网络资源，如下图所示。

　　防火墙工作时，并不会立即开启TCP代理（以免影响速度），只有当网络中的TCP半连接达到系统设置的TCP代理启动警戒线时，正常TCP Intercept会自动启动，并且当系统的TCP半连接超过系统TCP Intercept高警戒线时，系统进入入侵模式，此时新连接会覆盖旧的TCP连接；此后，系统全连接数增多，半连接数减小，当半连接数降到入侵模式低警戒线时，系统推出入侵模式。如果此时攻击停止，系统半连接数量逐渐降到TCP代理启动警戒线以下，智能TCP代理模块停止工作。通过智能TCP代理可以有效防止SYN Flood攻击，保证网络资源安全。

　　3、利用NETFLOW对DOS攻击和病毒监测

　　网络监控在抵御DDOS攻击中有重要的意义。SmartHammer防火墙支持NetFlow功能，它将网络交换中的资料包识别为流的方式加以记录，并封装为UDP资料包发送到分析器上，这样就为网络管理、流量分析和监控、入侵检测等提供了丰富的资料来源。可以在不影响转发性能的同时记录、发送NetFlow信息，并能够利用港湾网络安全管理平台对接收到的资料进行分析、处理。

　　利用NetFlow监视网络流量。防火墙可以有效的抵御DDOS攻击，但当攻击流数量超过一定程度，已经完全占据了带宽时，虽然防火墙已经通过安全策略把攻击数据包丢弃，但由于攻击数据包已经占据了所有的网络带宽，正常的用户访问依然无法完成。此时网络的流量是很大的，SmartHammer防火墙可以利用内置的NetFlow统计分析功能，查找攻击流的数据源，并上报上级ISP，对数据流分流或导入黑洞路由。通过在防火墙相关接口下开启NetFlow采集功能，并设置NETFLOW输出服务器地址，这样就可以利用港湾安全管理平台对接收的资料进行分析处理。我们可以用此方法统计出每天流量的TOP TEN或者业务的TOP TEN等，以此做为标准，当发现网络流量异常的时候，就可以利用NetFlow有效的查找、定位DDOS攻击的来源。

　　利用NetFlow监视蠕虫病毒。防止蠕虫病毒的攻击，重要的是防止蠕虫病毒的扩散，只有尽早发现，才可以迅速采取措施有效阻止病毒。各种蠕虫病毒在感染了系统后，为了传播自身，会主动向外发送特定的数据包并扫描相关端口。利用这个特性，港湾网络在安全管理平台上建立相关的蠕虫病毒查询模板，定期查询，当发现了匹配的资料时，可以分析该地址是否已经感染病毒，然后采取相应的措施。

　　值得指出的是，防火墙在网络拓扑中的位置对抵御攻击也有很大影响，通常盒式防火墙被设计放置在网络的出口，这种情况下，虽然防火墙能够抵御从外部产生的攻击，但一旦网络内部的PC通过浏览网页、收发Email、下载等方式感染蠕虫病毒或有人从内部发起的恶意攻击时，防火墙是没有防护能力的。

　　港湾网络的SmartHammer ESP-FW防火墙模块可以解决此类问题，ESP-FW是港湾网络BigHammer6800系列交换机的一个安全模块，它继承了SmartHammer盒式防火墙的相关安全特性内置于交换机中，有效抵御来自内部网络的攻击。在插入了防火墙模块后，交换机可以选择将相关VLAN加入防火墙中，受防火墙保护。以VLAN做为保护对象的另一大优点是利于网络扩展，当有一个新增部门出现时，我们不需要再增加投资就可以使新增部门得到保护，网络部署异常灵活。这样当内部网络中出现异常数据流时，防火墙可以有效限制该数据的转发，保护其他VLAN不受影响。