數(shù)據(jù)中心安全

       數(shù)據(jù)集中是管理集約化、精細(xì)化的必然要求，是企業(yè)優(yōu)化業(yè)務(wù)流程、管理流程的的必要手段。目前，數(shù)據(jù)集中已經(jīng)成為國內(nèi)電子政務(wù)、企業(yè)信息化建設(shè)的發(fā)展趨勢。數(shù)據(jù)中心的建設(shè)已成為數(shù)據(jù)大集中趨勢下的必然要求。做為網(wǎng)絡(luò)中數(shù)據(jù)交換最頻繁、資源最密集的地方，數(shù)據(jù)中心無疑是個(gè)充滿著巨大的誘惑的數(shù)字城堡，任何防護(hù)上的疏漏必將會(huì)導(dǎo)致不可估量的損失，因此構(gòu)筑一道安全地防御體系將是這座數(shù)字城堡首先面對的問題。

一、數(shù)據(jù)中心面對的安全挑戰(zhàn)

       隨著 Internet 應(yīng)用日益深化，數(shù)據(jù)中心運(yùn)行環(huán)境正從傳統(tǒng)客戶機(jī)/服務(wù)器向網(wǎng)絡(luò)連接的中央服務(wù)器轉(zhuǎn)型，受其影響，基礎(chǔ)設(shè)施框架下多層應(yīng)用程序與硬件、網(wǎng)絡(luò)、操作系統(tǒng)的關(guān)系變得愈加復(fù)雜。這種復(fù)雜性也為數(shù)據(jù)中心的安全體系引入許多不確定因素，一些未實(shí)施正確安全策略的數(shù)據(jù)中心，黑客和蠕蟲將順勢而入。盡管大多數(shù)系統(tǒng)管理員已經(jīng)認(rèn)識(shí)到來自網(wǎng)絡(luò)的惡意行為對數(shù)據(jù)中心造成的嚴(yán)重?fù)p害，而且許多數(shù)據(jù)中心已經(jīng)部署了依靠訪問控制防御來獲得安全性的設(shè)備，但對于日趨成熟和危險(xiǎn)的各類攻擊手段，這些傳統(tǒng)的防御措施仍然顯現(xiàn)的力不從心。

以下是當(dāng)前數(shù)據(jù)中心面對的一些主要安全挑戰(zhàn)。

1.面向應(yīng)用層的攻擊

       常見的應(yīng)用攻擊包括惡意蠕蟲、病毒、緩沖溢出代碼、后門木馬等，最典型的應(yīng)用攻擊莫過于“蠕蟲”。蠕蟲是指"通過計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行自我復(fù)制的惡意程序，泛濫時(shí)可以導(dǎo)致網(wǎng)絡(luò)阻塞和癱瘓"。從本質(zhì)上講，蠕蟲和病毒的最大的區(qū)別在于蠕蟲是通過網(wǎng)絡(luò)進(jìn)行主動(dòng)傳播的，而病毒需要人的手工干預(yù)（如各種外部存儲(chǔ)介質(zhì)的讀寫）。蠕蟲有多種形式，包括系統(tǒng)漏洞型蠕蟲、群發(fā)郵件型蠕蟲、共享型蠕蟲、寄生型蠕蟲和混和型蠕蟲。其中最常見，變種最多的蠕蟲是群發(fā)郵件型蠕蟲，它是通過 EMAIL 進(jìn)行傳播的，著名的例子包括"求職信"、"網(wǎng)絡(luò)天空 NetSky"、"雛鷹 BBeagle"等，2005 年 11 月爆發(fā)的"Sober"蠕蟲，是一個(gè)非常典型的群發(fā)郵件型蠕蟲。而傳播最快，范圍最廣、危害最大是系統(tǒng)漏洞型蠕蟲，例如利用 TCP 445 端口進(jìn)行傳播的 windows PnP 服務(wù)漏洞到 2006 年第一季度還在肆虐它的余威。

2.面向網(wǎng)絡(luò)層的攻擊

       除了由于系統(tǒng)漏洞造成的應(yīng)用攻擊外，數(shù)據(jù)中心還要面對拒絕服務(wù)攻擊（DoS）和分布式拒絕服務(wù)攻擊（DDoS）的挑戰(zhàn)。DOS/DDOS 是一種傳統(tǒng)的網(wǎng)絡(luò)攻擊方式，然而其破壞力卻十分強(qiáng)勁。據(jù) 2004 美國 CSI/FBI 的計(jì)算機(jī)犯罪和安全調(diào)研分析，DOS 和 DDOS 攻擊已成為對企業(yè)損害最大的犯罪行為，超出其他各種犯罪類型兩倍。

       常見的 DDOS 攻擊方法有 SYN Flood、Established Connection Flood 和 Connection Per Second Flood。已發(fā)現(xiàn)的 DOS 攻擊程序有 ICMP Smurf、UDP 反彈，而典型的 DDOS 攻擊程序有 Zombie、TFN2K、Trinoo 和 Stacheldraht 等。DOS/DDoS 攻擊大行其道的原因主要是利用了 TCP/IP 的開放性原則，從任意源地址向任意目標(biāo)地址都可以發(fā)送數(shù)據(jù)包。

       DOS/DDOS 利用看似合理的海量服務(wù)請求來耗盡網(wǎng)絡(luò)和系統(tǒng)的資源，從而使合法用戶無法得到服務(wù)的響應(yīng)。早期的 DOS 攻擊由單機(jī)發(fā)起，在攻擊目標(biāo)的 CPU 速度不高、內(nèi)存有限、網(wǎng)絡(luò)帶寬窄的情況下效果是明顯的。隨著網(wǎng)絡(luò)和系統(tǒng)性能的大幅提高，CPU 的主頻已達(dá)數(shù) G，服務(wù)器的內(nèi)存通常在 2G 以上，此外網(wǎng)絡(luò)的吞吐能力已達(dá)萬兆，單機(jī)發(fā)起的 DoS 攻擊好比孤狼斗猛虎，沒有什么威脅。狼的習(xí)性是群居，一只固然勢單力薄，但如果群起而攻之，恐怕猛虎也難抵擋，這就是分布式拒絕服務(wù)攻擊的原理。用一臺(tái)攻擊機(jī)來攻擊不再起作用的話，攻擊者使用 10 臺(tái)攻擊機(jī)、100 臺(tái)呢共同發(fā)起攻擊呢？DDoS 就是利用大量的傀儡機(jī)來發(fā)起攻擊，積少成多超過網(wǎng)絡(luò)和系統(tǒng)的能力的極限，最終擊潰高性能的網(wǎng)絡(luò)和系統(tǒng)。

       數(shù)據(jù)中心絕不允許DOS/DDOS垃圾報(bào)文肆虐于網(wǎng)絡(luò)之中，因此如何實(shí)施邊界安全策略，如何“拒敵于國門之外”將是數(shù)據(jù)中心面臨的又一個(gè)挑戰(zhàn)。

DDOS攻擊示意圖

3.對網(wǎng)絡(luò)基礎(chǔ)設(shè)施的攻擊

       數(shù)據(jù)中心象一座擁有巨大財(cái)富的城堡，然而堅(jiān)固的堡壘最容易從內(nèi)部被攻破，來自數(shù)據(jù)中心內(nèi)部的攻擊也更具破壞性。隱藏在企業(yè)內(nèi)部的黑客不僅可以通過應(yīng)用攻擊技術(shù)繞過防火墻，對數(shù)據(jù)中心的網(wǎng)絡(luò)造成損害，還可以憑借其網(wǎng)絡(luò)構(gòu)架的充分了解，通過違規(guī)訪問、嗅探網(wǎng)絡(luò)系統(tǒng)、攻擊路由器/交換機(jī)設(shè)備等手段，訪問非授權(quán)資源，這些行將對企業(yè)造成更大的損失。

    “木桶的裝水量取決于最短的木板”，涉及內(nèi)網(wǎng)安全防護(hù)的部件產(chǎn)品非常多，從接入層設(shè)備到匯聚層設(shè)備再到核心層設(shè)備，從服務(wù)器到交換機(jī)到路由器、防火墻，幾乎每臺(tái)網(wǎng)絡(luò)設(shè)備都將參與到系統(tǒng)安全的建設(shè)中，任何部署點(diǎn)安全策略的疏漏都將成為整個(gè)安全體系的短木板。

    “木桶的裝水量還取決于木板間的緊密程度”，一個(gè)網(wǎng)絡(luò)的安全不僅依賴于單個(gè)部件產(chǎn)品的安全特性，也依賴于各安全部件之間的緊密協(xié)作。一個(gè)融合不同工作模式的安全部件產(chǎn)品的無縫安全體系必須可以進(jìn)行全面、集中的安全監(jiān)管與維護(hù)。

        因此，數(shù)據(jù)中心的安全防護(hù)體系不能僅依靠單獨(dú)的某個(gè)安全產(chǎn)品，還要依托整個(gè)網(wǎng)絡(luò)中各部件的安全特性。

二、安防措施

1.三重保護(hù)，多層防御

  以數(shù)據(jù)中心服務(wù)器資源為核心向外延伸有三重保護(hù)功能。依拖具有豐富安全特性的交換機(jī)構(gòu)成數(shù)據(jù)中心網(wǎng)絡(luò)的第一重保護(hù)；以 ASIC、FPGA 和 NP 技術(shù)組成的具有高性能精確檢測引擎的 IPS 提供對網(wǎng)絡(luò)報(bào)文深度檢測，構(gòu)成對數(shù)據(jù)中心網(wǎng)絡(luò)的第二重保護(hù)；第三重保護(hù)是憑借高性能硬件防火墻構(gòu)成的數(shù)據(jù)中心網(wǎng)絡(luò)邊界。

  用一個(gè)形象的比喻來說明數(shù)據(jù)的三重保護(hù)。數(shù)據(jù)中心就像一個(gè)欣欣向榮的國家，來往的商客就像訪問數(shù)據(jù)中心的報(bào)文；防火墻是駐守在國境線上的軍隊(duì)，一方面擔(dān)負(fù)著守衛(wèi)國土防御外族攻擊（DDOS）的重任，另一方面負(fù)責(zé)檢查來往商客的身份（訪問控制）；IPS 是國家的警察，隨時(shí)準(zhǔn)備捉拿雖然擁有合法身份，但仍在從事違法亂紀(jì)活動(dòng)的商客（蠕蟲病毒），以保衛(wèi)社會(huì)秩序；具有各種安全特性的交換機(jī)就像商鋪雇傭的保安，提供最基本的安全監(jiān)管，時(shí)刻提防由內(nèi)部人員造成的破壞（STP 攻擊）。

       在網(wǎng)絡(luò)中存在不同價(jià)值和易受攻擊程度不同的設(shè)備，按照這些設(shè)備的情況制定不同的安全策略和信任模型，將網(wǎng)絡(luò)劃分為不同區(qū)域，這就是所謂的分區(qū)思想。數(shù)據(jù)中心網(wǎng)絡(luò)根據(jù)不同的信任級(jí)別可以劃分為：遠(yuǎn)程接入?yún)^(qū)、園區(qū)網(wǎng)、Internet 服務(wù)器區(qū)、Extranet 服務(wù)器區(qū)、

       Intranet 服務(wù)器區(qū)、管理區(qū)、核心區(qū)，如圖。

三、技術(shù)說明

1.VLAN端口隔離

  交換機(jī)可以由硬件實(shí)現(xiàn)相同 VLAN 中的兩個(gè)端口互相隔離。隔離后這兩個(gè)端口在本設(shè)備內(nèi)不能實(shí)現(xiàn)二、三層互通。當(dāng)相同 VLAN 中的服務(wù)器之間完全沒有互訪要求時(shí)，可以設(shè)置各自連接的端口為隔離端口，如圖。這樣可以更好的保證相同安全區(qū)域內(nèi)的服務(wù)器之間的安全：

       即使非法用戶利用后門控制了其中一臺(tái)服務(wù)器，但也無法利用該服務(wù)器作為跳板攻擊該安全區(qū)域內(nèi)的其他服務(wù)器。可以有效的隔離蠕蟲病毒的傳播，減小受感染服務(wù)器可能造成的危害。比如：如果 Web 服務(wù)器遭到了 Code-Red 紅色代碼的破壞，即使其它 Web 服務(wù)器也在這個(gè)網(wǎng)段中，也不會(huì)被感染。

2.STP Root/BPDU Guard

        基于 Root/BPDU Guard 方式的二層連接保護(hù)保證 STP/RSTP 穩(wěn)定,防止攻擊,保障可靠的二層連接

（1）BPDU Guard

        對于接入層設(shè)備，接入端口一般直接與用戶終端（如 PC 機(jī)）或文件服務(wù)器相連，此時(shí)接入端口被設(shè)置為邊緣端口以實(shí)現(xiàn)這些端口的快速遷移；當(dāng)這些端口接受到配置消息（BPDU 報(bào)文）時(shí)系統(tǒng)會(huì)自動(dòng)將這些端口設(shè)置為非邊緣端口，重新計(jì)算生成樹，引起網(wǎng)絡(luò)拓?fù)涞恼鹗?。這些端口正常情況下應(yīng)該不會(huì)收到生成樹協(xié)議的配置消息的。如果有人偽造配置消息惡意攻擊交換機(jī)，就會(huì)引起網(wǎng)絡(luò)震蕩。BPDU 保護(hù)功能可以防止這種網(wǎng)絡(luò)攻擊。交換機(jī)上啟動(dòng)了 BPDU 保護(hù)功能以后，如果邊緣端口收到了配置消息，系統(tǒng)就將這些端口 shutdown，同時(shí)通知網(wǎng)管。被 shutdown 的端口只能由網(wǎng)絡(luò)管理人員恢復(fù)。推薦用戶在配置了邊緣端口的交換機(jī)上配置 BPDU 保護(hù)功能。

（2）ROOT Guard

        由于維護(hù)人員的錯(cuò)誤配置或網(wǎng)絡(luò)中的惡意攻擊，網(wǎng)絡(luò)中的合法根交換機(jī)有可能會(huì)收到優(yōu)先級(jí)更高的配置消息，這樣當(dāng)前根交換機(jī)會(huì)失去根交換機(jī)的地位，引起網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的錯(cuò)誤變動(dòng)。這種不合法的變動(dòng)，會(huì)導(dǎo)致原來應(yīng)該通過高速鏈路的流量被牽引到低速鏈路上，導(dǎo)致網(wǎng)絡(luò)擁塞。Root 保護(hù)功能可以防止這種情況的發(fā)生。

        對于設(shè)置了 Root 保護(hù)功能的端口，端口角色只能保持為指定端口。一旦這種端口上收到了優(yōu)先級(jí)高的配置消息，即其將被選擇為非指定端口時(shí)，這些端口的狀態(tài)將被設(shè)置為偵聽狀態(tài)，不再轉(zhuǎn)發(fā)報(bào)文（相當(dāng)于將此端口相連的鏈路斷開）。當(dāng)在足夠長的時(shí)間內(nèi)沒有收到更優(yōu)的配置消息時(shí)，端口會(huì)恢復(fù)原來的正常狀態(tài)。

（3）LOOP PROTECTION  

       交換機(jī)的根端口和其他阻塞端口的狀態(tài)依靠不斷接收上游交換機(jī)發(fā)送的 BPDU 來維持的。但是由于鏈路擁塞或者單向鏈路故障，這些端口會(huì)收不到上游交換機(jī)的 BPDU。此時(shí)交換機(jī)會(huì)重新選擇根端口，根端口會(huì)轉(zhuǎn)變?yōu)橹付ǘ丝?，而阻塞端口?huì)遷移到轉(zhuǎn)發(fā)狀態(tài)，從而交換網(wǎng)絡(luò)中會(huì)產(chǎn)生環(huán)路。環(huán)路保護(hù)功能會(huì)抑制這種環(huán)路的產(chǎn)生。在啟動(dòng)了環(huán)路保護(hù)功能后，根端口的角色如果發(fā)生變化就會(huì)設(shè)置它為 Discarding 狀態(tài)，阻塞端口會(huì)一直保持在 Discarding 狀態(tài)，不轉(zhuǎn)發(fā)報(bào)文，從而不會(huì)在網(wǎng)絡(luò)中形成環(huán)路。

（4）TC PROTECTION

        根據(jù) IEEE 802.1w 和 IEEE 802.1s 協(xié)議，交換機(jī)監(jiān)測到拓?fù)渥兓蛘呓邮盏?TC 報(bào)文后會(huì)清空 MAC 表。如果受到 TC 攻擊(連續(xù)不斷收到 TC 報(bào)文)交換機(jī)就會(huì)一直進(jìn)行 MAC 刪除操作，影響正常的轉(zhuǎn)發(fā)業(yè)務(wù)。使能 TC PROTECTION 功能后，將減少刪除 MAC 的次數(shù)，保證業(yè)務(wù)的正常運(yùn)行。

3.端口安全

       端口安全（Port Security）的主要功能就是通過定義各種安全模式，讓設(shè)備學(xué)習(xí)到合法的源 MAC 地址，以達(dá)到相應(yīng)的網(wǎng)絡(luò)管理效果。對于不能通過安全模式學(xué)習(xí)到源 MAC 地址的報(bào)文或 802.1x 認(rèn)證失敗的 0

       當(dāng)發(fā)現(xiàn)非法報(bào)文后，系統(tǒng)將觸發(fā)相應(yīng)特性，并按照預(yù)先指定的方式自動(dòng)進(jìn)行處理，減少了用戶的維護(hù)工作量，極大地提高了系統(tǒng)的安全性和可管理性。

4.防 IP 偽裝

病毒和非法用戶很多情況會(huì)偽裝 IP 來實(shí)現(xiàn)攻擊。偽裝 IP 有三個(gè)用處：

①就是攻擊的直接功能體。比如 smurf 攻擊。

②麻痹網(wǎng)絡(luò)中的安全設(shè)施。比如繞過利用源 IP 做的接入控制。

③隱藏攻擊源

設(shè)備防止 IP 偽裝的關(guān)鍵在于如何判定設(shè)備接收到的報(bào)文的源 IP 是經(jīng)過偽裝的。這種判定的方式有三種。分別在內(nèi)網(wǎng)和內(nèi)外網(wǎng)的邊界使用。

       由于現(xiàn)今 internet 上的大多數(shù)攻擊者都不具備很高的網(wǎng)絡(luò)技術(shù)水平，其攻擊手段僅僅是比較機(jī)械利用現(xiàn)有的攻擊工具。同時(shí)一些攻擊工具雖然做到了使用方便，但其攻擊方法設(shè)計(jì)也相對簡單，沒有辦法根據(jù)網(wǎng)絡(luò)實(shí)際狀況進(jìn)行調(diào)整。因此，網(wǎng)絡(luò)中大多數(shù)的攻擊方式是帶有盲目性的。局域網(wǎng)在其 internet 出入口處過濾掉不可能出現(xiàn)的 IP 地址，可以緩解非法用戶簡單的隨機(jī)偽裝 IP 所帶來的危害。

（2）網(wǎng)關(guān)防御

       利用 DHCP relay 特性，網(wǎng)關(guān)可以形成本網(wǎng)段下主機(jī)的 IP、MAC 映射表。當(dāng)網(wǎng)關(guān)收到一個(gè) ARP 報(bào)文時(shí)，會(huì)先在映射表中查找是否匹配現(xiàn)有的映射關(guān)系。如果找到則正常學(xué)習(xí)，否則不學(xué)習(xí)該 ARP。這樣偽裝 IP 的設(shè)備沒有辦法進(jìn)行正常的跨網(wǎng)段通信。

（3）接入設(shè)備防御

       利用 DHCP SNOOPING 特性，接入設(shè)備通過監(jiān)控其端口接收到的 DHCP request、ACK、 release 報(bào)文，也可以形成一張端口下 IP、MAC 的映射表。設(shè)備可以根據(jù) IP、MAC、端口的對應(yīng)關(guān)系，下發(fā) ACL 規(guī)則限制從該端口通過的報(bào)文源 IP 必須為其從 DHCP 服務(wù)器獲取的 IP 地址。

5.數(shù)據(jù)中心網(wǎng)絡(luò)邊界安全技術(shù)

       邊界安全的一項(xiàng)主要功能是實(shí)現(xiàn)網(wǎng)絡(luò)隔離，通過防火墻可以把安全信任網(wǎng)絡(luò)和非安全網(wǎng)絡(luò)進(jìn)行隔離。防火墻以其高效可靠的防攻擊手段，和靈活多變的安全區(qū)域配置策略擔(dān)負(fù)起是守護(hù)數(shù)據(jù)中心邊界安全的的重任。

（1）狀態(tài)防火墻

        實(shí)現(xiàn)網(wǎng)絡(luò)隔離的基本技術(shù)是 IP 包過濾，ACL 是一種簡單可靠的技術(shù)，應(yīng)用在路由器或交換機(jī)上可實(shí)現(xiàn)最基本的 IP 包過濾，但單純的 ACL 包過濾缺乏一定的靈活性。對于類似于應(yīng)用 FTP 協(xié)議進(jìn)行通信的多通道協(xié)議來說，配置 ACL 則是困難的。FTP 包含一個(gè)預(yù)知端口的 TCP 控制通道和一個(gè)動(dòng)態(tài)協(xié)商的 TCP 數(shù)據(jù)通道，對于一般的 ACL 來說，配置安全策略時(shí)無法預(yù)知數(shù)據(jù)通道的端口號(hào)，因此無法確定數(shù)據(jù)通道的入口。

       狀態(tài)防火墻設(shè)備將狀態(tài)檢測技術(shù)應(yīng)用在 ACL 技術(shù)上，通過對連接狀態(tài)的狀態(tài)的檢測，動(dòng)態(tài)的發(fā)現(xiàn)應(yīng)該打開的端口，保證在通信的過程中動(dòng)態(tài)的決定哪些數(shù)據(jù)包可以通過防火墻。狀態(tài)防火墻還采用基于流的狀態(tài)檢測技術(shù)可以提供更高的轉(zhuǎn)發(fā)性能，因?yàn)榛?ACL 的包過濾技術(shù)是逐包檢測的，這樣當(dāng)規(guī)則非常多的時(shí)候包過濾防火墻的性能會(huì)變得比較低下，而基于流的狀態(tài)防火墻可以根據(jù)流的信息決定數(shù)據(jù)包是否可以通過防火墻，這樣就可以利用流的狀態(tài)信息決定對數(shù)據(jù)包的處理結(jié)果加快了轉(zhuǎn)發(fā)性能。

（2）防火墻 DOS/DDOS 防御

        Dos（Deny of service）是一類攻擊方式的統(tǒng)稱（DDos 也是 Dos 的一種），其攻擊的基本原理就是通過發(fā)送各種垃圾報(bào)文導(dǎo)致網(wǎng)絡(luò)的阻塞、服務(wù)的癱瘓。Dos 攻擊方式其利用

        IP 無連接的特點(diǎn)，可以制造各種不同的攻擊手段，而且攻擊方式非常簡單。

       在 Internet 上非常流行，對企業(yè)網(wǎng)、甚至骨干網(wǎng)都造成了非常嚴(yán)重的影響，引發(fā)很大的網(wǎng)絡(luò)事故，因此優(yōu)秀的 Dos 攻擊防范功能是防火墻的必備功能?，F(xiàn)在幾乎所有的防火墻設(shè)備都宣傳具有 Dos 攻擊防御功能，但是那么為什么 Dos 攻擊導(dǎo)致網(wǎng)絡(luò)癱瘓的攻擊事件為什么還是層出不窮呢？一個(gè)優(yōu)秀的 Dos 攻擊防御體系，應(yīng)該具有如下最基本的特征：

        防御手段的健全和豐富。因?yàn)?Dos 攻擊手段種類比較多，因此必須具有豐富的防御手段，才可以保證真正的抵御 Dos 攻擊。

        優(yōu)秀的處理性能。因?yàn)?Dos 攻擊伴隨這一個(gè)重要特征就是網(wǎng)絡(luò)流量突然增大，如果防火墻本身不具有優(yōu)秀的處理能力，則防火墻在處理 Dos 攻擊的同時(shí)本身就成為了網(wǎng)絡(luò)的瓶頸，根本就不可能抵御 Dos 攻擊。因?yàn)?Dos 攻擊的一個(gè)重要目的就是使得網(wǎng)絡(luò)癱瘓，網(wǎng)絡(luò)上的關(guān)鍵設(shè)備點(diǎn)發(fā)生了阻塞，則 Dos 攻擊的目的就達(dá)到了。防火墻設(shè)備不但要注重轉(zhuǎn)發(fā)性能，同時(shí)一定要保證對業(yè)務(wù)的處理能力。在進(jìn)行 Dos 攻擊防御的過程中，防火墻的每秒新建能力就成為保證網(wǎng)絡(luò)通暢的一個(gè)重要指標(biāo)，Dos 攻擊的過程中，攻擊者都是在隨機(jī)變化源地址因此所有的連接都是新建連接。

      準(zhǔn)確的識(shí)別攻擊能力。很多防火墻在處理 Dos 攻擊的時(shí)候，僅僅能保證防火墻后端的流量趨于網(wǎng)絡(luò)可以接受的范圍，但是不能保證準(zhǔn)確的識(shí)別攻擊報(bào)文。這樣處理雖然可以保證網(wǎng)絡(luò)流量的正常，可以保證服務(wù)器不會(huì)癱瘓，但是這樣處理還是會(huì)阻擋正常用戶上網(wǎng)、訪問等的報(bào)文，因此雖然網(wǎng)絡(luò)層面是正常的，但是真正的服務(wù)還是被拒絕了，因此還是不能達(dá)到真正的 Dos 攻擊防御的目的。SecPath 系列防火墻產(chǎn)品，在對上述各個(gè)方面都做了詳盡的考慮，因此 Dos 防御的綜合性能、功能等方面在同類防火墻產(chǎn)品中都具有很強(qiáng)的優(yōu)勢。

（3）防火墻TCP代理

        Tcp 代理是為防止 SYN Flood 類的 Dos 攻擊，而專門開發(fā)的一個(gè)安全特性。

        SYN Flood 攻擊可以很快的消耗服務(wù)器資源，導(dǎo)致服務(wù)器崩潰。在一般的 Dos 防范技術(shù)中，在攻擊發(fā)生的時(shí)候不能準(zhǔn)確的識(shí)別哪些是合法用戶，哪些是攻擊報(bào)文。采用 TCP 透明代理的方式實(shí)現(xiàn)了對這種攻擊的防范， 防火墻通過精確的驗(yàn)證可以準(zhǔn)確的發(fā)現(xiàn)攻擊報(bào)文，對正常報(bào)文依然可以通過允許這些報(bào)文訪問防火墻資源，而攻擊報(bào)文則被防火墻丟棄。有些攻擊是建立一個(gè)完整的 TCP 連接用來消耗服務(wù)器的資源。防火墻可以實(shí)現(xiàn)增強(qiáng)代理的功能，在客戶端與防火墻建立連接以后察看客戶是否有數(shù)據(jù)報(bào)文發(fā)送，如果有數(shù)據(jù)報(bào)文發(fā)送防火墻再與服務(wù)器端建立連接否則丟棄客戶端的報(bào)文。這樣可以保證即使采用完成 TCP 三次握手的方式消耗服務(wù)器資源，也可以被防火墻發(fā)現(xiàn)。