拒絕服務(wù)攻擊是發(fā)起其他攻擊的一個先決條件。如先通過拒絕服務(wù)攻擊導(dǎo)致DNS服務(wù)器癱瘓，然后再進行DNS欺騙等等。Baidu網(wǎng)站被黑，也可以見到拒絕服務(wù)攻擊的影子。所以如何來有效防止Dos攻擊對于企業(yè)網(wǎng)絡(luò)安全來說，至關(guān)重要。

那么該如何有效防止Dos攻擊呢?

有很多種方法可以實現(xiàn)這個目的。筆者今天要談的是，如何通過防火墻來抵擋Dos攻擊。希望借助這篇文章，能夠幫助大家有效的抵御Dos拒絕服務(wù)攻擊，提高服務(wù)器的安全。

阻止分段數(shù)據(jù)包通過防火墻

如上圖所示，如果攻擊者想要對防火墻后面的Web服務(wù)器發(fā)起Dos攻擊，要如何進行呢?通常情況下，Sos攻擊使用分段的IP數(shù)據(jù)包來攻擊主機服務(wù)器。將一個IP數(shù)據(jù)包分隔成多個IP數(shù)據(jù)包叫做IP分段。通過這種分段的方式，可以提高Dos攻擊的效率。如果防火墻能夠阻止分段數(shù)據(jù)包通過防火墻，那么就可以有效的防治Dos攻擊。

在PIX防火墻上，是可以使用Fragment命令，來阻止分段數(shù)據(jù)包通過防火墻。如可以使用如下的命令：fragment chain 1 outside。這個命令是什么意思呢?參數(shù)1表示所有的分組必須是完整的，也就是沒有經(jīng)過IP分段的。這個命令的含義就是阻止分段分組進出交換機。通過交換機的過濾，就可以有效的阻止分段數(shù)據(jù)包通過防火墻，對防火墻后面的Web等服務(wù)器發(fā)起攻擊。

不過在有些場合下，確實需要對數(shù)據(jù)包進行IP分段。此時就需要在防火墻上啟用分段防護功能。即根據(jù)一定的規(guī)則，對進入防火墻的分段數(shù)據(jù)包進行檢測，判斷其是否符合即定的規(guī)則。如果符合的話，就允許其通過。不符合的話，則會被丟棄。

如防火墻會檢查每個非初始的IP段都有一個相關(guān)聯(lián)的合法初始的IP段。如對分段的數(shù)量進行限制，當分段超過一定數(shù)量(默認情況下可能最多為24個分段)時這個分段數(shù)據(jù)包就不能夠通過防火墻。具體的數(shù)量安全人員可以根據(jù)實際需要來設(shè)置。這些安全檢查措施，也可以幫助企業(yè)來有效防止Dos攻擊。在沒有特殊的情況下，還是使用fragment命令阻止分段數(shù)據(jù)包進入防火墻為好。這可以從根本上杜絕DoS攻擊。

【編輯推薦】

1. 淺析IPv6存在的攻擊漏洞
2. 云安全服務(wù)：WAF和DDoS攻擊預(yù)防
3. 針對拒絕服務(wù)攻擊Forefront的應(yīng)對措施
4. 當惡意攻擊更具目標性：恐怖的APT攻擊
5. 企業(yè)如何防范攻擊者利用多個零日攻擊？
6. 警惕黑客攻擊你必須知道的藍牙安全知識