本發明提供一種防火墻攻擊防御方法，其通過將一攻擊防范模塊應用于已具備基于安全區域的配置管理、報文管理和會話管理等功能的防火墻，實現網絡攻擊檢測功能，精確檢測單包攻擊、掃描攻擊和泛洪攻擊。單包攻擊具體包括：ICMP重定向攻擊、ICMP不可達攻擊、IP源站選路選項攻擊、路由記錄選項攻擊、Land攻擊、Smurf攻擊、Fraggle攻擊、WinNuke攻擊。掃描攻擊具體包括：地址掃描攻擊、端口掃描攻擊。泛洪攻擊包括：TCP SYN Flood攻擊、ICMP Flood攻擊、UDP Flood攻擊。檢測到網絡攻擊后，根據配置采取相應的防范措施，例如丟棄報文、加入黑名單、輸出告警日志等。實現TCP代理聯動機制下的Safe Reset技術，有效防御TCP SYN Flood攻擊。

技術領域

本發明屬于網絡安全領域，具體涉及一種防火墻攻擊防御方法。

背景技術

網絡攻擊是指利用網絡存在的漏洞和安全缺陷對網絡系統的硬件、軟件及其系統中的數據進行的攻擊。隨著計算機網絡的廣泛應用，網絡攻擊技術也在不斷發展。網絡攻擊的方式和方法已經從早期的粗糙、單一的攻擊方法發展到今天的精致、綜合的攻擊方法。目前，Internet 上常見的網絡攻擊分為以下三類：單包攻擊、掃描攻擊和泛洪攻擊：

（1）單包攻擊

單包攻擊又稱畸形報文攻擊。攻擊者向目標機器發送有缺陷的 IP 報文（如分片 重疊的 IP 報文、具有非法標志位的 TCP 報文等），由于目標機器無法正確處理此類 IP 報文，因此導致系統崩潰。另一種方式是，攻擊者通過發送大量無用報文，惡意占用 網絡帶寬，導致網絡阻塞。

（2）掃描攻擊 攻擊者運用掃描工具對網絡進行主機地址或端口進行掃描，通過準確定位潛在目標的位置，探測目標系統的網絡拓撲結構和啟用的服務類型，并利用搜集到的信息實 施進一步的攻擊。

（3）泛洪攻擊

泛洪攻擊是 DoS 攻擊的一種方式，包括 TCP SYN Flood 攻擊和 UDP Flood 攻擊等。攻擊者在短時間內向目標系統發送大量的虛假請求，導致目標系統疲于應付無用信息，大量消耗關鍵資源，無法為合法用戶提供正常服務，即發生拒絕服務。

在各種網絡攻擊中，DoS 攻擊由于其實施簡單、破壞力強，成為最常見的一種攻擊方法。數據顯示，超過 90%的 DoS 攻擊是利用 TCP 協議的漏洞實現的，而 TCP SYN Flood攻擊是使用最普遍的攻擊手段。Internet 上任何提供基于 TCP 的網絡服務的系統， 例如Web 服務器、FTP 服務器和郵件服務器，都容易受到 TCP SYN Flood 攻擊。因此，針對 SYNFlood 攻擊的良好的防范能力在防火墻攻擊防范的整體功能中占有舉足輕重的作用。

防火墻作為保護網絡安全的重要手段，應能有效防范各種網絡攻擊。近年來，大規模網絡攻擊行為的不斷出現，對防火墻提出了更高的要求。隨著防火墻的廣泛應用和組網環境的變化，防火墻的策略配置方式也向著更易用、更高效的趨勢發展。

傳統的防火墻基于內網/外網模式，防火墻處于內部網絡和外部網絡之間，只要根據網絡報文的入接口和出接口進行安全策略的配置。但隨著防火墻的不斷發展，出現 了基于區域劃分的防火墻部署方案，即內網/外網/DMZ（非軍事區）模式。其中，DMZ 是一個不同于內網或外網的特殊網絡區域，DMZ 內通常放置一些不含機密信息的公 用服務器，比如Web、Mail、FTP 服務器等。這樣，來自外網的訪問者可以訪問 DMZ 中的服務，但不能接觸到存放在內網中的公司機密或私人信息等，即使 DMZ 中服務 器受到破壞，也不會對內網中的機密信息造成影響。在這種模式下，防火墻處于三個區域的中心，以三角方式將它們連接起來。