利用防火墙来防止DOS攻击的实例解析

来源:IT专家网   作者:晓文
2012/5/15 11:28:28
有很多种方法可以实现这个目的。笔者今天要谈的是,如何通过防火墙来抵挡Dos攻击。希望借助这篇文章,能够帮助大家有效的抵御Dos拒绝服务攻击,提高服务器的安全。



本文关键字: 防火墙来 DOS攻击

拒绝服务攻击是发起其他攻击的一个先决条件。如先通过拒绝服务攻击导致DNS服务器瘫痪,然后再进行DNS欺骗等等。Baidu网站被黑,也可以见到拒绝服务攻击的影子。所以如何来有效防止Dos攻击对于企业网络安全来说,至关重要。

防火墙来防止DOS攻击的实例解析 src="http://images.51cto.com/files/uploadimg/20110516/1116550.jpg" width=498>

那么该如何有效防止Dos攻击呢?

有很多种方法可以实现这个目的。笔者今天要谈的是,如何通过防火墙来抵挡Dos攻击。希望借助这篇文章,能够帮助大家有效的抵御Dos拒绝服务攻击,提高服务器的安全。

阻止分段数据包通过防火墙

如果攻击者想要对防火墙后面的Web服务器发起Dos攻击,要如何进行呢?通常情况下,Sos攻击使用分段的IP数据包来攻击主机服务器。将一个IP数据包分隔成多个IP数据包叫做IP分段。通过这种分段的方式,可以提高Dos攻击的效率。如果防火墙能够阻止分段数据包通过防火墙,那么就可以有效的防治Dos攻击。

在PIX防火墙上,是可以使用Fragment命令,来阻止分段数据包通过防火墙。如可以使用如下的命令:fragment chain 1 outside。这个命令是什么意思呢?参数1表示所有的分组必须是完整的,也就是没有经过IP分段的。这个命令的含义就是阻止分段分组进出交换机。通过交换机的过滤,就可以有效的阻止分段数据包通过防火墙,对防火墙后面的Web等服务器发起攻击。

不过在有些场合下,确实需要对数据包进行IP分段。此时就需要在防火墙上启用分段防护功能。即根据一定的规则,对进入防火墙的分段数据包进行检测,判断其是否符合即定的规则。如果符合的话,就允许其通过。不符合的话,则会被丢弃。

如防火墙会检查每个非初始的IP段都有一个相关联的合法初始的IP段。如对分段的数量进行限制,当分段超过一定数量(默认情况下可能最多为24个分段)时这个分段数据包就不能够通过防火墙。具体的数量安全人员可以根据实际需要来设置。这些安全检查措施,也可以帮助企业来有效防止Dos攻击。在没有特殊的情况下,还是使用fragment命令阻止分段数据包进入防火墙为好。这可以从根本上杜绝DoS攻击。

责编:孔维维
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918