为防火墙策略定义状态配置

趋势科技服务器深度安全防护系统的防火墙状态配置机制会分析网络通信历史记录上下文中的每个数据包、TCP 和 IP 标头值的正确性，以及 TCP 连接状态转换。如果使用无状态协议（例如 UDP 和 ICMP），则会根据网络通信历史记录分析而实施虚拟状态机制。状态机制处理数据包的方式如下：

1. 如果静态防火墙规则条件允许数据包通过，数据包会传递至状态例程；
2. 检查数据包以判断数据包是否属于现有连接；
3. 检查 TCP 标头的正确性（例如，序列号、标志组合等）。

通过防火墙状态配置页面可以定义多个状态检查配置，然后，您可以将这些配置加入策略。在工具栏或快捷方式菜单中可以执行下列操作：

• 从头开始创建新的 () 防火墙状态配置
• 从 XML 文件（位于新建菜单下）导入 () 防火墙配置。
• 查看或修改现有防火墙状态配置的属性 ()
• 复制 ()（然后修改）现有的防火墙状态配置
• 删除防火墙状态配置 ()
• 将一个或多个防火墙状态配置导出 到 XML 或 CSV 文件。（可以单击 ... 按钮导出所有防火墙状态配置，或者也可以从列表中选择防火墙状态配置以便仅导出选定的防火墙状态配置或所显示的防火墙状态配置。）
• 添加或删除列 () 通过单击添加/删除列可添加或删除列。通过将列拖曳到新的位置，可以控制列的显示顺序。可按照任意列的内容来排序和搜索所列出的项目。

单击新建 () 或属性 () 显示防火墙状态配置属性窗口。

防火墙状态配置属性

常规信息

• 名称：防火墙状态配置的名称。
• 描述:键入防火墙状态配置的描述。此描述只会出现在这里。

IP 数据包检查

• 拒绝所有的传入片段化数据包：如果启用此选项，则会丢弃所有片段化数据包，并写入以下日志条目："IP fragmented packet".如果存在总长度小于 IP 标头长度的数据包，则该规则就会出现例外：以静默方式丢弃这些数据包。
  攻击者有时会创建并发送片段化数据包，以企图绕开防火墙规则。
  
  
  缺省情况下，防火墙引擎会对片段化数据包执行一系列检查。这是缺省行为，不能重新配置。存在以下特征的数据包将被丢弃：

  • 无效的片段标志/偏移量：当 IP 标头中的 DF 或 MF 标志设为 1 时，或者当标头包含设为 1 的 DF 标志和不是 0 的 Offset 值时，就会丢弃数据包。
  • 第一个片段太小：如果数据包的 MF 标志设为 1、Offset 值是 0，并且总长度小于 120 字节（最大合计标头长度），就会丢弃数据包。
  • IP 片段超出界限：如果数据包的 Offset 标志值和数据包合计长度超过数据报的最大大小 65535 字节，就会丢弃数据包。
  • IP 片段偏移量太小：如果数据包的 Offset 标志不是零，且包含一个小于 60 字节的值，就会丢弃数据包。

TCP 数据包检查

• 拒绝包含 CWR 和 ECE 标志的 TCP 数据包：网络堵塞时会设置这些标志。
  RFC 3168 规定需要将保留文本框的六位中的两位用于 ECN（显式堵塞通知），如下所述：

  • 位 8 到 15：CWR-ECE-URG-ACK-PSH-RST-SYN-FIN
  • TCP 标头标志位名称参考：
    • 位 8：CWR（堵塞窗口已减小）[RFC3168]
    • 位 9：ECE (ECN-Echo) [RFC3168]
  
  
  数据包自动传输（例如拒绝服务攻击所产生的传输等）通常会生成设置这些标志的数据包。
  
  
• 启用 TCP 状态检查： 在 TCP 级别启用状态检查。如果启用状态 TCP 检查，将提供下列选项：
  • 启用 TCP 状态日志记录： 将记录 TCP 状态检查事件。
  • 将来自单台计算机的传入连接数限制为:限制来自单台计算机的连接数可降低拒绝服务攻击的影响。
    传入连接数限制仅在趋势科技服务器深度安全防护系统客户端 8.0 或更早版本中可用。
  • 将指向单台计算机的传出连接数限制为:限制指向单台计算机的传出连接数可以大幅降低 Nimda 型蠕虫病毒的影响。
    传出连接数限制仅在趋势科技服务器深度安全防护系统客户端 8.0 或更早版本中可用。
  • 将来自单台计算机的半开连接数限制为: 在此处设置一个限制可以防止您受到 SYN Flood 之类的 DoS 攻击。虽然大多数服务器都有超时设置可用于关闭半开连接，但在此处设置一个值可以避免半开连接成为重大问题。如果达到指定的 SYN-SENT（远程）条目限制，就会丢弃来自该特定计算机的后续 TCP 数据包。
    半开连接数限制仅在趋势科技服务器深度安全防护系统客户端 8.0 或更早版本中可用。
    在确定要允许的来自单台计算机的开放连接数时，您可以根据目前使用的协议类型，确定您认为来自单台计算机的半开连接的合理数目，再确定能承担的且不会造成系统堵塞的单台计算机半开连接数，然后在这两个数之间选择一个合理的数字。
  • 在已确认的数据包数超过以下数值时启用 ACK 风暴防护:设置此选项以记录已发生 ACK 风暴攻击的事件。
    • 检测到 ACK 风暴时断开连接：设置此选项以在检测到此类攻击时断开连接。
    ACK 风暴防护选项仅在趋势科技服务器深度安全防护系统客户端 8.0 或更早版本中可用。

FTP 选项

• 主动 FTP
  • 允许传入：当此计算机充当服务器时允许主动 FTP。
  • 允许传出：当此计算机充当客户端时允许主动 FTP。
• 被动 FTP
  • 允许传入：当此计算机充当服务器时允许被动 FTP。
  • 允许传出：当此计算机充当客户端时允许被动 FTP。

UDP

• 启用 UDP 状态检查： 选中该复选框可对 UDP 网络通信启用状态检查。
  UDP 状态机制会丢弃未经请求的传入 UDP 数据包。对于每个传出 UDP 数据包，规则会更新其 UDP“状态”表，然后仅允许在提出请求后 60 秒内发出的 UDP 响应。如果要允许特定的传入 UDP 网络通信，必须创建强制允许规则。例如，如果运行 DNS 服务器，则只有创建强制允许规则，才能让传入 UDP 数据包到达目标端口 53。
  
  
  如果没有对 UDP 网络通信执行状态检查，攻击者可能会伪装成 DNS 服务器，然后从源端口 53 向防火墙后面的计算机发送未经请求的 UDP“响应”。
  • 启用 UDP 状态日志记录： 选中此选项将启用对 UDP 状态检查事件的日志记录。

ICMP

• 启用 ICMP 状态检查： 选中该选项将对 ICMP 网络通信启用状态检查。
  ICMP（假）状态机制会丢弃未经请求的传入 ICMP 数据包。对于每个传出 ICMP 数据包，规则都会创建或更新其 ICMP“状态”表，然后仅允许在提出请求后 60 秒内发出的 ICMP 响应。（支持的 ICMP 对类型：类型 0 和 8、13 和 14、15 和 16、17 和 18。）
  
  
  例如，在启用状态 ICMP 检测后，可以只在已发送回显请求时才允许 ICMP 回显响应。未经请求的 Echo 响应可能代表各种攻击的迹象，包括 Smurf 扩大攻击、主机与守护程序之间的 Tribe Flood Network 通信，或 Loki 2 后门。
  • 启用 ICMP 状态日志记录： 选中此选项将对 ICMP 状态检查事件启用日志记录。

已分配给

已分配给选项卡可列出使用此状态检查配置的策略和计算机。