Eudemon系列防火墙的智能蠕虫病毒防范解决方案

1、 Catalog 目 录1概述22蠕虫病毒的特点23现在的防范方法24智能蠕虫病毒的防范方法34.1基本原理34.2实现蠕虫病毒防范对设备的基本要求34.2.1强大的处理能力34.2.2具有扫描攻击防范的功能44.2.3具有针对性的策略45Eudemon防火墙智能蠕虫病毒的防范方法45.1强大的处理能力45.2扫描防范功能45.3后续的策略防范55.4总结5防火墙的智能蠕虫病毒防范解决方案1 概述现在网络环境中，面临着诸多不安全因素。其中，以蠕虫为代表的病毒传播也是现在网络中面临的一个非常让人头疼的问题。比如前不久泛滥的振荡波病毒就是一种典型的蠕虫病毒。本文介绍了蠕虫病毒的特点，以及如何有效的

2、防范蠕虫病毒的传播。同时介绍了华为公司的Eudemon系列防火墙如何可以做到智能的防范蠕虫病毒。2 蠕虫病毒的特点下面首先简单介绍一下蠕虫病毒的特点：蠕虫病毒主要由三部分构成：1、病毒传播。蠕虫病毒具有自动利用网络传播的特点，正是由于这个特点导致蠕虫病毒成为了现在网络中面临的一个巨大的问题。在病毒的传播的同时，也造成了带宽的极大浪费，严重的情况可能会造成网络的瘫痪。2、病毒隐藏。病毒隐藏是所有病毒的基本特征，通过在主机上隐藏，使得用户不容易发现病毒的存在。3、控制模块，该模块通过后台运行，进一步感染其他主机或者打开系统的某些后门，以达到控制主机的功能。按照蠕虫病毒的构成特点，在网络中应该重点关

3、注病毒传播部分，因为只要在网络中隔断了病毒的传播，就可以很大程度上抑制了病毒的泛滥，有效的保证了网络的安全运行。而根据病毒的隐藏和控制特征，可以更新主机病毒杀毒软件，通过病毒的特征码发现在主机上面的问题。病毒传播一般按照如下两个步骤进行：1、首先通过扫描发现存在漏洞的主机，找到目标主机之后就可以进行下一步的工作。2、找到具有漏洞的主机之后，就开始采取相应的手段进行攻击，直至取得相应的控制权限，并使得被攻击主机感染病毒。然后一次新的传染过程又开始了。3 现在的防范方法现在防范蠕虫病毒主要通过两个方面入手：1、使用主机安装的杀毒软件，针对病毒本身的特征码识别病毒，查杀病毒。这种方式有一个很大的问题

4、是，由于是被动的防御式清除病毒，因此当刚刚查杀病毒之后，如果连接到网络上，立刻可能又被感染病毒。造成杀毒、染毒周而复始不能彻底的解决问题。2、针对蠕虫病毒的攻击漏洞，我们及早发现，及时的打上安全补丁，这样可以防止蠕虫病毒的入侵。但是这样做的一个不完善的地方是，虽然保护了主机自身的安全，但是网络已经被破坏了。因此我们需要从网络整体来考虑如何防范蠕虫病毒的传播，隔断了传染源，不但可以保护其他主机免受侵害，同时还可以保证整个网络的正常运行。4 智能蠕虫病毒的防范方法4.1 基本原理为了从整个网络层面防止蠕虫病毒的传播，我们需要根据蠕虫病毒传播的原理入手，隔断蠕虫病毒的传播途径。从前面的分析，我们知道

5、“大规模的扫描”过程是蠕虫病毒传播的一个重要途径。因此，为了能达到察觉蠕虫病毒传播，首先需要具有察觉扫描的能力。察觉了扫描，我们还需要有合理的策略隔断扫描报文，同时还应该可以保证用户的正常访问。4.2 实现蠕虫病毒防范对设备的基本要求通过对蠕虫病毒的了解，防火墙设备需要具有如下几个功能，才可能做到对蠕虫病毒的智能防范：4.2.1 强大的处理能力由于蠕虫病毒采用扫描的方式查找目标主机，因此会产生瞬间大流量报文。而且扫描报文很多都采用TCP SYN 报文探测的方式，这样的扫描类似一个SYN Flood类型的Dos攻击，因此要求防火墙需要具有强大的处理能力，这种处理能力不但要表xian在对报文的转发

6、能力上，还需要具有很高“每秒新建连接”的能力。这里稍微谈一下为什么要强调防火墙的“每秒新建连接”能力。现在主流的防火墙设备都是“状态检测防火墙”，状态防火墙监控一个连接的全过程，例如监控一次TCP完整的通信过程，根据连接状态过程的变迁来更进一步检测报文的合法性，由于状态防火墙是基于连接进行的，对于后续报文的检测基于状态的表项就可以决定，因此在业务处理能力上状态防火墙比传统的“包过滤防火墙”具有更高的性能。但是这种高效的处理能力是针对一个“完整连接的”，例如一次TCP访问假设总共发送了3000个IP报文，针对这3000个IP报文的转发能力，状态防火墙要高于包过滤防火墙。但是仅仅针对这3000个I

7、P报文的“首包报文”（第一个报文）的处理能力，实际上状态防火墙可能还要低于包过滤防火墙，因为针对首包报文状态防火墙需要创建一个记录连接状态的信息表。如果发送3000个针对不同目的地址的TCP SYN报文，实际上状态防火墙的处理能力可能还要低于包过滤防火墙。在衡量防火墙处理能力的常用指标“吞吐量”中都是使用同样的TCP报文进行测试的，因此从上面的情况来看，“吞吐量”是不能完全的衡量防火墙的性能，必须使用“每秒新建连接”这样的指标来进一步衡量状态防火墙的真实性能。因此在网络中出现Dos攻击和扫描情况发生的时候，所有的报文都是“首包报文”，因此即使防火墙的“吞吐量”很大，但是“每秒新建连接”的能力很

8、弱的时候，依然无法抵御Dos攻击，更无法准确的发现扫描攻击。4.2.2 具有扫描攻击防范的功能因为蠕虫病毒传播的一个重要特征就是通过扫描方式发现具有漏洞的主机，从而进一步感染主机。防火墙要发现蠕虫病毒传播的行为，首先要具有发现扫描行为的能力。因此，防火墙首先要具有识别正常报文和扫描报文的能力。4.2.3 具有针对性的策略当发现了一个主机进行扫描的时候，必须具有一定针对性的策略以防止扫描报文对防火墙系统造成的系统消耗。因为在发现扫描攻击的过程中，必定会漏掉部分的报文，因此如果没有后续的防范策略，依然无法正常的防范蠕虫病毒的传播。5 Eudemon防火墙智能蠕虫病毒的防范方法5.1 强大的处理能力

9、Eudemon系列防火墙是一种“状态检测防火墙”，同时采用了先进的硬件结构、高效的处理算法，可以保证提供高效的处理能力。Eudemon系列防火墙有Eudemon100、Eudemon 200、Eudemon 500、Eudemon 1000四款产品。Eudemon 1000的吞吐量可以达到3G，而“每秒新建连接”更是高达10万条/秒，而业界一般防火墙的“每秒新建连接”能力只有几万，甚至几千包。由于Eudemon系列防火墙具有优异的处理能力，为Dos、扫描类攻击的防御打下了坚实的基础，可以高效的抵御网络中的攻击。5.2 扫描防范功能Eudemon系列防火墙具有先进的扫描防御能力，可以有效的发现I

10、P扫描、TCP/UDP端口扫描等各种扫描行为。扫描类一般分为端口扫描和地址扫描：地址扫描类攻击一般采用如下的方式进行：运用ping这样的程序探测目标地址，对此作出响应的表示其存在，用来确定哪些目标系统确实存活着并且连接在目标网络上。也有可能使用TCP/UDP报文对一定地址发起连接（如TCP ping），判断是否有应答报文。端口扫描类攻击一般采用如下的方式进行：向大范围的主机的一系列TCP/UDP端口发起连接，根据应答报文判断主机是否使用这些端口提供服务。Eudemon系列防火墙通过特定的算法，可以有效的检查出扫描行为的发生，对于发现以后的扫描报文进行丢弃，并进行日志记录。5.3 后续的策略防范

11、当发现了一个主机进行了扫描攻击行为之后，如果不采取进一步的智能防范措施，依然无法防止蠕虫病毒的传播。扫描过程是持续不断的，在扫描监控的过程中会有部分的报文通过防火墙的，因为扫描必须达到一定的累计量才能确认是扫描行为，如果仅仅发现扫描攻击是不够的。Eudemon系列防火墙在发现扫描攻击以后会采用如下一些策略防止蠕虫病毒的扩散：1、当发现扫描攻击之后，首先丢弃扫描攻击发现以后的报文，同时把产生扫描行为的主机加入到黑名单，加入黑名单的具体时间是可以调整的。2、当主机加入到黑名单之后，该主机的访问就会自动的受到黑名单的控制，这样即使是新开始的扫描行为依然逃脱不了防火墙的监控。3、某些主机加入到黑名单以后，也不能完全阻