科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道Cisco PIX防火墙特殊配置(2)

Cisco PIX防火墙特殊配置(2)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

PIX防火墙是Cisco系列网络安全设备中非常出色的产品,其强大的功能和完善的设置获得了许多企业用户的青睐,选择高档完备的网络安全设备是每一个成功企业必不可少的组网设施。

作者:51CTO.COM 2007年10月25日

关键字: 配置 防火墙 PIX CISCO 流量

  • 评论
  • 分享微博
  • 分享邮件

该特性能够为隐藏在防火墙后的主机设备提供保护,抵御成为“SYN泛洪”的特定类型网络攻击。使用SYN泛洪,攻击者通过好像发自不存在或不可达主机的连接请求,有效的使受害系统负荷过重,从而达到拒绝向目标主机提供服务的目的。SYN防洪巧妙的利用了操作系统为每条新的TCP连接请求分配内存和其他资源的原理。即使主机和服务器能够支持大量的连接,它们所能处理的未完成连接的数目仍然是有限的。

由于TCP是双向和全双工的,所以它在两个方向上都要建立连接。为了建立从服务器到客户端的连接,服务器设置SYN位并包括他自己的顺序号以便请求建立从服务器到客户端的连接,服务器设置SYN位置承载对来自客户端的初始连接请求的确认(ACK位)的分段重并发送给客户端。此后,服务器等待第3步:从客户端发来的对服务器到客户端的连接请求的确认。这个过程通常被成为TCP的“3次握手”。

如果应答者服务器没有在特定的TCP时间间隔内接收到应答,那么服务器会重传设置有SYN和ACK位的分段。根据具体的TCP实现,重传的次数一般是4次,重传的时间间隔开始是1秒,然后一次加倍。如果服务持续的接受连接请求,那么资源可能很快就会被这些半开放的请求耗尽,这样就不能再接受其他传入请求,从而拒绝了那项服务。

TCP Intercept通过启用此特性实现保护的主机设备截获连接,以及对连接请求进行应答来解决这个问题。它代表客户端建立了从PIX到受保护的主机的第二条连接。如果客户端正常的完成连接,那么PIX防火墙透明地将这两条连接结合在一起,最后的结果是建立了一条在客户端和服务器之间的直接连接。

PIX防火墙使用了更短的超时时间间隔,而且如果在这个时间间隔内连接没有完成,那么PIX就会放弃与客户端的未完成连接,并且向受保护的服务器发送RST位,结束PIX到服务器的连接,从而释放掉服务器资源。除了更短的超时之外,TCP Intercept还加入了可配置的阈值。阈值会对连接总数以及最近1分钟内的连接速率进行监控。如果这两个指标中任何一个超过了阈值,TCP Intercept都会从最久的连接开始断掉半开放的连接,知道连接的数目或速率降到阈值以下。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章