VMware SD-WAN 针对各种攻击提供检测和保护,以便在执行过程的所有阶段抵御攻击。

为了保护企业网络中的所有连接尝试, VMware SD-WAN Orchestrator 允许您在配置文件和 Edge 级别配置网络和泛洪保护设置以防范以下类型的攻击:
  • 拒绝服务 (Denial-of-Service, DoS) 攻击
  • 基于 TCP 的攻击 - TCP 标记无效、TCP Land 和 TCP SYN 分片
  • 基于 ICMP 的攻击 - ICMP Ping of Death 和 ICMP 分片
  • 基于 IP 的攻击 - IP 未知协议、IP 选项、IPv6 未知协议和 IPv6 扩展标头
拒绝服务 (DoS) 攻击

拒绝服务 (DoS) 攻击是一种网络安全攻击,它使用大量虚假流量淹没目标设备,从而使目标忙于处理虚假流量,而无法处理合法流量。目标可能是防火墙、防火墙控制访问的网络资源或者单个主机的特定硬件平台或操作系统。DoS 攻击尝试耗尽目标设备的资源,以使合法用户无法使用目标设备。

具有两种常规的 DoS 攻击方法:导致服务或泛洪崩溃。如果系统收到过多的流量而导致服务器无法缓冲,从而导致它们速度下降并最终停止,则会发生泛洪攻击。其他 DoS 攻击直接利用漏洞以导致目标系统或服务崩溃。在这些攻击中,发送的输入利用目标中的错误,进而导致系统崩溃或严重破坏系统稳定性。

TCP 标记无效
在 TCP 数据包具有错误或无效的标记组合时,将会发生 TCP 标记无效攻击。易受攻击的目标设备将由于无效的 TCP 标记组合而崩溃,因此,建议筛选掉这些标记。无效的 TCP 标记可以防止:
  • 在 TCP 标头中未设置任何标记的数据包,如 SYN、FIN、ACK 等
  • 组合使用 SYN 和 FIN 标记的 TCP 标头,这些标记实际上是相互排斥的
TCP Land

Land 攻击是一种第 4 层 DoS 攻击,其中,将创建一个 TCP SYN 数据包,以便将源 IP 地址和端口设置为与目标 IP 地址和端口相同,而目标地址和端口设置为指向目标设备上的开放端口。易受攻击的目标设备将收到此类消息并回复目标地址,从而实际上在无限循环中发送数据包以重新进行处理。因此,将会无限期消耗设备 CPU,从而导致易受攻击的目标设备崩溃或冻结。

TCP SYN 分片

Internet 协议 (Internet Protocol, IP) 在 IP 数据包中封装传输控制协议 (Transmission Control Protocol, TCP) SYN 分段,以启动 TCP 连接并调用 SYN/ACK 分段以作为响应。由于 IP 数据包很小,因此,没有合理的理由以将其分片。分片的 SYN 数据包是反常的,因此值得怀疑。在 TCP SYN 分片攻击中,在目标服务器或主机中包含大量的 TCP SYN 数据包分片。主机捕获这些分片并等待剩余数据包到达,以便重新组装这些分片。通过为服务器或主机建立大量无法完成的连接,主机的内存缓冲区将会溢出,因此,无法进一步建立合法的连接,从而对目标主机的操作系统造成损害。

ICMP Ping of Death

Internet 控制消息协议 (Internet Control Message Protocol, ICMP) Ping of Death 攻击涉及攻击者向目标设备发送多个格式错误或恶意的 Ping。虽然 Ping 数据包通常很小并用于检查网络主机的可访问性,但攻击者可能会将其设计为超过最大大小(65535 字节)。

从恶意主机中发送大型恶意数据包时,数据包将在传输过程中分片;在目标设备尝试将 IP 分片重新组装为完整的数据包时,总大小将超过最大大小限制。这可能会导致最初为数据包分配的内存缓冲区溢出,从而导致系统崩溃、冻结或重新引导,因为它们无法处理这么巨大的数据包。

ICMP 分片

ICMP 分片攻击是一种常见的 DoS 攻击,它涉及在目标服务器上包含大量无法重新组装的欺诈 ICMP 分片。由于只能在收到所有分片时进行重新组装,因此,临时存储此类虚假分片将会占用内存,并且可能会耗尽易受攻击的目标服务器的可用内存资源,从而导致服务器不可用。

IP 未知协议

启用 IP 未知协议保护将会阻止协议字段包含协议 ID 编号 143 或更高的 IP 数据包,因为在最终设备上未正确处理该数据包时,可能会导致崩溃。为了谨慎起见,应阻止此类 IP 数据包进入受保护的网络。

IP 选项

有时,攻击者错误地在 IP 数据包中配置 IP 选项字段,从而产生不完整或格式错误的字段。攻击者使用这些格式错误的数据包危害网络上的易受攻击的主机。利用该漏洞可能会允许执行任意代码。在处理数据包 IP 标头包含设计的特定 IP 选项的数据包后,可能会利用该漏洞。启用 IP 不安全选项保护将会阻止传送在 IP 数据包标头中包含格式错误的 IP 选项字段的 IP 数据包。

IPv6 未知协议

启用 IPv6 未知协议防护将会阻止协议字段包含协议 ID 编号 143 或更高的 IPv6 数据包,因为在最终设备上未正确处理该数据包时,可能会导致崩溃。为了谨慎起见,应阻止此类 IPv6 数据包进入受保护的网络。

IPv6 扩展标头

IPv6 扩展标头攻击是由于对 IPv6 数据包中的扩展标头处理不当引起的一种 DoS 攻击。IPv6 扩展标头处理不当会产生新的攻击向量,这些新攻击向量可能会造成 DoS,并且被用于不同目的,例如创建秘密通道和路由标头 0 攻击。启用此选项将丢弃拥有除分段标头以外的任何扩展标头的 IPv6 数据包。

配置网络和泛洪保护设置

要在配置文件级别配置网络和泛洪保护设置,请执行以下步骤。

过程

  1. SD-WAN Orchestrator 中,转到配置 (Configure) > 配置文件 (Profiles) > 防火墙 (Firewall)
  2. 为选定的配置文件启用有状态防火墙 (Stateful Firewall)
  3. 网络和泛洪保护设置 (Network & Flood Protection Settings) 区域下面,配置以下设置:
    默认情况下,网络和泛洪保护设置将应用于 IPv4 地址。
    注: 如果要为 IPv6 地址配置网络和泛洪保护设置,您必须使用新的 Orchestrator UI。有关更多信息,请参阅 使用新 Orchestrator UI 配置防火墙
    字段 描述
    新连接阈值 (每秒连接数) (New Connection Threshold (connections per second)) 每秒允许来自单个源 IP 的最大新连接数。允许的值范围是 10% 到 100%。默认值为 25%。
    拒绝列表 (Denylist) 启用该复选框以阻止源 IP 地址,该地址由于网络配置错误或恶意用户攻击而发送泛洪流量,从而导致超过新的连接阈值。
    注: 除非已启用 拒绝列表 (Denylist),否则 新连接阈值 (每秒连接数) (New Connection Threshold (connections per second)) 设置将不起作用。
    检测持续时间 (秒) (Detect Duration (seconds)) 这是在阻止源 IP 地址之前允许违规的源 IP 发送流量的宽限期。

    如果主机在此持续时间内发送大量新连接请求(端口扫描、TCP SYN 泛洪等)流量,从而超过每秒允许的最大连接数 (Connection Per Second, CPS),则将其视为符合拒绝列表条件,而不是在超过每个源的 CPS 一次时立即将其加入拒绝列表。例如,假设允许的最大 CPS 为 10 个,并且检测持续时间为 10 秒,如果主机在 10 秒内发送的新连接请求数超过 100 个,则会将主机加入拒绝列表。

    允许的值范围是 10 秒到 100 秒。默认值为 10 秒。
    拒绝列表持续时间 (秒) (Denylist Duration (seconds)) 阻止违规的源 IP 发送任何数据包的持续时间。允许的值范围是 10 秒到 86400 秒。默认值为 10 秒。
    基于 TCP 的攻击 (TCP Based Attacks) 启用相应的复选框以支持防范以下基于 TCP 的攻击:
    • TCP 标记无效 (Invalid TCP Flags)
    • TCP Land
    • TCP SYN 分片 (TCP SYN Fragment)
    基于 ICMP 的攻击 (ICMP Based Attacks) 启用相应的复选框以支持防范以下基于 ICMP 的攻击:
    • ICMP Ping of Death
    • ICMP 分片 (ICMP Fragment)
    基于 IP 的攻击 (IP Based Attacks) 启用相应的复选框以支持防范以下基于 IP 的攻击:
    • IP 未知协议 (IP Unknown Protocol)
    • IP 不安全选项 (IP Insecure Options)
    • IPv6 未知协议
    • IPv6 扩展标头
    (可选)您也可以在 Edge 级别覆盖网络和泛洪保护设置。有关更多信息,请参阅 为 Edge 配置 Netflow 设置