4. 防火墙TCP代理
Tcp代理是SecPath系列防火墙为防止SYN Flood类的Dos攻击,而专门开发的一个安全特性。
SYN Flood攻击可以很快的消耗服务器资源,导致服务器崩溃。在一般的Dos防范技术中,在攻击发生的时候不能准确的识别哪些是合法用户,哪些是攻击报文。Eudemon防火墙采用了TCP透明代理的方式实现了对这种攻击的防范,Eudemon防火墙通过精确的验证可以准确的发现攻击报文,对正常报文依然可以通过允许这些报文访问防火墙资源,而攻击报文则被Eudemon防火墙丢弃。有些攻击是建立一个完整的TCP连接用来消耗服务器的资源。Eudemon系列防火墙可以实现增强代理的功能,在客户端与防火墙建立连接以后察看客户是否有数据报文发送,如果有数据报文发送防火墙再与服务器端建立连接否则丢弃客户端的报文。这样可以保证即使采用完成TCP三次握手的方式消耗服务器资源,也可以被Eudemon防火墙发现。
图11 防火墙TCP代理
5. 防火墙在数据中心的部署点
1) ServerFarm 网络边界上的状态防火墙
园区网络通常包括园区核心网、边界网络、内部网络、分支结构网络、数据中心(ServerFarm)网络。核心网络是所有网络区域的中心,内部网络、数据中心、边界网络以星状连接在核心周围,边界网的另一端还与Internet相连,可以为园区提供Internet出口,并且作为分支网络的接入点,如图所示。
点击查看大图
图12 防火墙在数据中心的部署点
防火墙应该部署在信任与非信任网络的邻接点上,避免不安全因素的扩散。上述园区网络模型中存在两个这样的邻接点,一是边界网络与Internet的接入点上,这个位置部署放火墙可以隔离来自Internet或外部网络的有害数据;另一个在数据中心(ServerFarm)汇聚交换机与核心网交换机的接的接入点上,在此部署防火墙可避免来自内部网络的威胁,这种威胁可能是内网员工恶意攻击造成的,也可能是一些不恰当的操作对网络造成的。
2) 多层服务器区内部的状态防火墙
在ServerFarm内部多层服务器区的各层之间也可以部署防火墙以增强不同层次之间的安全性,如图。由于web服务器直接面对访问者,通常来说是网络中的薄弱环节,使用分层防御可以将重要的服务器通过防火墙进行保护,即使web服务器被攻陷,也不会造成应用服务器与数据库服务器的进一步破坏。
3.1.3 数据中心应用防护技术
IPS可以针对应用流量做深度分析与检测能力,同时配合以精心研究的攻击特征知识库和用户规则,即可以有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为,也可以对分布在网络中的各种流量进行有效管理,从而达到对网络上应用的保护、网络基础设施的保护和网络性能的保护。
以下介绍H3C TippingPoint IPS应用防护功能的几项关键技术:
1. IPS in-line 部署方式
TippingPoint IPS可以被“in-line”地部署到网络当中去,对所有流经的流量进行深度分析与检测,从而具备了实时阻断攻击的能力,同时对正常流量不产生任何影响。基于其高速和可扩展的硬件平台,TippingPoint IPS不断优化检测性能,使其能够达到与交换机同等级别的高吞吐量和低延时,同时可以对所有主要网络应用进行分析,精确鉴别和阻断攻击。TippingPoint IPS的出现使得应用层威胁问题迎刃而解。
2. 硬件引擎
复制本页网址和标题,发送给你QQ/Msn的好友一起分享 国内数字集群技术简介 数据中心解决方案高可用技术白皮书
精品推荐
