013 安全策略【技术】

单播报文受安全策略控制，组播报文不受安全策略控制。

基于ACL的包过滤(静态防火墙）

ACL中包含若干条规则，每条规则中定义了条件和动作，必须事先配置，在安全域间引用。防火墙在转发报文时，会按照从上到下的顺序找相应规则，如命中规则，则执行该规则中动作，不再继续向下查找，如果所有规则都没有命中，执行缺省包过滤的动作。

条件：协议/源地址/源端口/目的地址/目的端口。

动作：允许/拒绝。

融合UTM的安全策略

可直接定义条件和动作，无需额外配置ACL，顺序从上到下，策略为允许通过时，还可以引用IPS，UTM等策略进行进一步的检测。

条件：源地址/目的地址/服务集/时间段/用户。

动作：允许/拒绝。

UTM策略：IPS，邮件过滤，FTP过滤，应用控制，web过滤，AV。

一体化安全策略

配置一体化：反病毒，IPS，URL过滤，邮件过滤等安全功能都可以在安全策略中引用安全配置文件来实现，降低配置难度。

业务处理一体化：安全策略对报文进行一次检测，多业务并行处理，大幅提升系统性能。

条件：源地址/目的地址/源安全区域/目的安全区域/服务/时间段/用户/应用。

动作：允许/拒绝。

配置文件：反病毒，IPS，URL过滤，文件过滤，内容过滤，邮件过滤，应用行为控制。

OSPF（Open Shortest Path First）开发最短路径优先

基于链路状态的内部网关协议，通过对一个多路由器运行的网络设置多区域，区域间的路由是通过区域边界路由器（ABR）转发，区域内部的路由器只要知道到达ABR的路由即可，这样有效减少了网络内部区域的路由条目。当整个网络经过链路状态信息的同步收敛，生成路由表后，OSPF区域内部就可以直接转发数据。

防火墙需要开启运行OSPF协议的接口所在的安全区域和Local区域之间的安全策略，允许OSPF报文通过，这样防火墙才能和相连的设备正常建立邻接关系.

ASPF（Application Specific Packet Filter）针对应用层的包过滤

单通道协议：从绘画建立到删除的全过程中，只有一个通道参与数据交互，如smtp，http。

多通道协议：包含一个控制通道和若干其他控制或数据通道，如ftp，rtsp。

基于ACL的静态访问控制列表会将多通道的应用层协议（如ftp，h.323等）用户发起连接后返回的报文过滤掉，导致连接无法正常建立。

ASPF能够检查应用层协议信息，记录应用层信息中携带的关键数据，创建一个状态表和临时访问控制表，使得某些在安全策略中没有明确定义要放行的报文也能够得到正常转发。

常见攻击配置策略

单包攻击

畸形报文攻击：攻击者发送大量有缺陷的报文，造成被攻击者的系统在处理这类报文时崩溃。

扫描类攻击：潜在攻击行为，不造成直接破坏，为真正攻击前的网络探测。

特殊控制类报文攻击：潜在攻击行为，不造成直接破坏，通过发送特殊控制报文探测网络结构，为真正攻击做准备。

策略：

一般常见的单包攻击类型，开启防御功能，防火墙可以很好的进行防范，对性能没有影响，而扫描类攻击在防御过程中比较消耗防火墙的性能，可仅在发生扫描类攻击时再开启。

DDos（Distributed Denial of Service）分布式拒绝服务

SYN Flood：利用TCP三次握手的机制，攻击者向目标服务器发送大量的SYN报文请求，这些SYN报文的源地址一般都是不存在或不可达的。当服务器回复SYN+ACK报文后，不会收到ACK回应报文，导致服务器建立大量的半连接，导致服务器资源耗尽，无法回应正常需求。

策略：

TCP代理：连续一段时间内到同一目的地址的SYN报文超过一定值启动TCP代理，在客户端和服务器中间进行TCP代理建立握手，对防火墙性能要求高。但是对报文来回路径不一致的网络中不适用。

TCP源探测：防火墙在接收到SYN报文后，回应一个带有错误信息的SYN+ACK报文，接下来如果没有收到客户端回应的RST报文，则判定此SYN报文为非正常报文，客户端为虚假源。如果防火墙收到客户端回应的RST报文，则判定此SYN报文正常报文，客户端为真实源。

UDP Flood：UDP无连接协议，传输数据不需要建立连接。攻击者可以快速发送大量UDP报文造成服务器资源耗尽。

策略：

限流：可以基于流量入接口，IP地址，目的安全域，会话进行一种或多种限流。

指纹学习：UDP报文达到报警阈值时，分析客户端向服务器发送的内容是否包含大量一致的内容，如有可进行标记，对其报文进行丢弃。

DNS Flood：攻击者向DNS服务器发送大量不存在的域名解析请求，导致DNS服务器瘫痪。

策略：防火墙对DNS请求报文进行统计，发现连续一段时间去往同一目的地址的DNS请求 报文超过一定阈值后，启动DNS源探测。

收到DNS的UDP报文请求，代替服务器回复并将DNS回应报文中TC标志为1(标志为1要求客户端用TCP协议再发送请求），根据客户端是否再次以TCP发送请求，判定客户端的真实性。（对真实客户端不支持TCP发送DNS的情况不适用）。

HTTP Flood：发送大量一般包含数据库操作的URI，造成服务器瘫痪。

策略：防火墙对HTTP请求报文进行统计，发现连续一段时间去往同一目的地址的HTTP请求报文超过一定阈值后，启动HTTP源探测。

收到HTTP请求报文，防火墙会回应将访问重定向到一个虚构的URI，如果客户端再次访问该URI，则判定为真实客户端，否则为虚假客户端。（需判断客户端是否支持重定向，如机顶盒不支持，则在存在机顶盒的客户端就可能影响正常业务）。