拒絕服務(wù)攻擊是發(fā)起其他攻擊的一個(gè)先決條件。如先通過拒絕服務(wù)攻擊導(dǎo)致DNS服務(wù)器癱瘓，然后再進(jìn)行DNS欺騙等等。Baidu網(wǎng)站被黑，也可以見到拒絕服務(wù)攻擊的影子。所以如何來有效防止Dos攻擊對(duì)于企業(yè)網(wǎng)絡(luò)安全來說，至關(guān)重要。

那么該如何有效防止Dos攻擊呢?

有很多種方法可以實(shí)現(xiàn)這個(gè)目的。筆者今天要談的是，如何通過防火墻來抵擋Dos攻擊。希望借助這篇文章，能夠幫助大家有效的抵御Dos拒絕服務(wù)攻擊，提高服務(wù)器的安全。

阻止分段數(shù)據(jù)包通過防火墻

如上圖所示，如果攻擊者想要對(duì)防火墻后面的Web服務(wù)器發(fā)起Dos攻擊，要如何進(jìn)行呢?通常情況下，Sos攻擊使用分段的IP數(shù)據(jù)包來攻擊主機(jī)服務(wù)器。將一個(gè)IP數(shù)據(jù)包分隔成多個(gè)IP數(shù)據(jù)包叫做IP分段。通過這種分段的方式，可以提高Dos攻擊的效率。如果防火墻能夠阻止分段數(shù)據(jù)包通過防火墻，那么就可以有效的防治Dos攻擊。

在PIX防火墻上，是可以使用Fragment命令，來阻止分段數(shù)據(jù)包通過防火墻。如可以使用如下的命令：fragment chain 1 outside。這個(gè)命令是什么意思呢?參數(shù)1表示所有的分組必須是完整的，也就是沒有經(jīng)過IP分段的。這個(gè)命令的含義就是阻止分段分組進(jìn)出交換機(jī)。通過交換機(jī)的過濾，就可以有效的阻止分段數(shù)據(jù)包通過防火墻，對(duì)防火墻后面的Web等服務(wù)器發(fā)起攻擊。

不過在有些場合下，確實(shí)需要對(duì)數(shù)據(jù)包進(jìn)行IP分段。此時(shí)就需要在防火墻上啟用分段防護(hù)功能。即根據(jù)一定的規(guī)則，對(duì)進(jìn)入防火墻的分段數(shù)據(jù)包進(jìn)行檢測(cè)，判斷其是否符合即定的規(guī)則。如果符合的話，就允許其通過。不符合的話，則會(huì)被丟棄。

如防火墻會(huì)檢查每個(gè)非初始的IP段都有一個(gè)相關(guān)聯(lián)的合法初始的IP段。如對(duì)分段的數(shù)量進(jìn)行限制，當(dāng)分段超過一定數(shù)量(默認(rèn)情況下可能最多為24個(gè)分段)時(shí)這個(gè)分段數(shù)據(jù)包就不能夠通過防火墻。具體的數(shù)量安全人員可以根據(jù)實(shí)際需要來設(shè)置。這些安全檢查措施，也可以幫助企業(yè)來有效防止Dos攻擊。在沒有特殊的情況下，還是使用fragment命令阻止分段數(shù)據(jù)包進(jìn)入防火墻為好。這可以從根本上杜絕DoS攻擊。

【編輯推薦】

1. 淺析IPv6存在的攻擊漏洞
2. 云安全服務(wù)：WAF和DDoS攻擊預(yù)防
3. 針對(duì)拒絕服務(wù)攻擊Forefront的應(yīng)對(duì)措施
4. 當(dāng)惡意攻擊更具目標(biāo)性：恐怖的APT攻擊
5. 企業(yè)如何防范攻擊者利用多個(gè)零日攻擊？
6. 警惕黑客攻擊你必須知道的藍(lán)牙安全知識(shí)