VMware SD-WAN 提供對各種攻擊的偵測和防護功能,以抵禦攻擊在其各個執行階段的入侵。

為了保護企業網路中的所有連線嘗試, VMware SD-WAN Orchestrator 可讓您在設定檔和 Edge 層級設定網路和洪泛保護設定,以防止下列類型的攻擊:
  • 拒絕服務 (DoS) 攻擊
  • TCP 型攻擊 - TCP 旗標、TCP 登陸和 TCP SYN 片段無效
  • ICMP 型攻擊 - ICMP 死亡之 Ping 和 ICMP 片段
  • IP 型攻擊 - IP 未知通訊協定、IP 選項、IPv6 未知通訊協定,以及 IPv6 延伸標頭
拒絕服務 (DoS) 攻擊

拒絕服務 (DoS) 攻擊是一種網路安全性攻擊,可用大量的假流量湧入目標裝置,使目標疲於處理假流量,而無暇處理合法流量。目標可以是防火牆、由防火牆控制存取的網路資源,或是個別主機的特定硬體平台或作業系統。DoS 攻擊會嘗試耗盡目標裝置的資源,使目標裝置無法供合法的使用者使用。

一般 DoS 攻擊方法有兩種:湧入服務或癱瘓服務。發生洪泛攻擊時,系統會接收到伺服器無法緩衝處理的過多流量,導致這些伺服器速度變慢而最終停止。其他 DoS 攻擊則會直接入侵導致目標系統或服務失效的弱點。在此類攻擊中,輸入會利用目標中的錯誤傳送,進而導致系統當機或極度不穩定。

無效 TCP 旗標
當 TCP 封包的旗標組合不正確或無效時,就會發生無效 TCP 旗標攻擊。易受攻擊的目標裝置會因為 TCP 旗標組合無效而失效,因此建議您將此類組合篩除。無效 TCP 旗標防護功能可保護:
  • TCP 標頭中未設定旗標的封包,例如 SYN、FIN、ACK 等旗標。
  • 結合了 SYN 和 FIN 旗標的 TCP 標頭,而這兩個旗標實際上是互斥的
TCP 登陸

登陸攻擊是第 4 層 DoS 攻擊,此攻擊發動時會建立 TCP SYN 封包,使來源 IP 位址和連接埠的設定等同於目的地 IP 位址和連接埠,而後者又繼而設定為指向目標裝置上開啟的連接埠。易受攻擊的目標裝置會收到此類訊息並回覆目的地位址,然後有效地傳送封包以在無限的迴圈中重新處理。因此,裝置 CPU 會無限期地耗用,導致易受攻擊的目標裝置當機或凍結。

TCP SYN 片段

網際網路通訊協定 (IP) 會在 IP 封包中封裝傳輸控制通訊協定 (TCP) SYN 區段,以在回應中起始 TCP 連線並叫用 SYN/ACK 區段。由於 IP 封包很小,因此沒有正當理由需要將其分段。分段的 SYN 封包是異常的,因此很可疑。在 TCP SYN 片段攻擊中,目標伺服器或主機會湧入 TCP SYN 封包片段。主機會擷取這些片段,並等待剩餘封包到達以便將其重組。讓伺服器或主機湧入無法完成的連線,主機的記憶體緩衝區將會溢位,因此無法進行進一步的合法連線,而導致目標主機的作業系統遭到破壞。

ICMP 死亡之 Ping

網際網路控制訊息通訊協定 (ICMP) 死亡之 Ping 攻擊發動時,攻擊者會向目標裝置傳送多個格式錯誤或惡意的 Ping。雖然 Ping 封包通常很小,用來檢查網路主機的可連線性,但攻擊者可能會刻意設計超過大小上限 65535 位元組的封包。

從惡意主機傳輸惡意的大型封包時,封包在傳輸過程中會進行分段,而當目標裝置嘗試將 IP 片段重組為完整的封包時,總大小將會超過大小上限。這可能會使最初為封包配置的記憶體緩衝區溢位,而導致系統當機、凍結或重新開機,因為它們無法處理如此大型的封包。

ICMP 片段

ICMP 分段攻擊是一種常見的 DoS 攻擊,即產生無法在目標伺服器上進行重組的大量詐騙 ICMP 片段。由於必須在接收到所有片段後才能進行重組,因此此類虛偽片段的暫存會佔用記憶體,並且可能使易受攻擊的目標伺服器耗盡可用的記憶體資源,而導致伺服器無法使用。

IP 未知通訊協定

啟用「IP 未知通訊協定」保護時會封鎖通訊協定欄位中包含的通訊協定識別碼為 143 或以上的 IP 封包,因為若未在終端裝置上正確加以處理,便可能導致系統當機。審慎的做法是封鎖此類 IP 封包,使其無法進入受保護的網路。

IP 選項

攻擊者有時會錯誤地在 IP 封包內設定 IP 選項欄位,而產生不完整或格式錯誤的欄位。攻擊者會利用這些格式錯誤的封包來入侵網路上易受攻擊的主機。弱點遭到入侵時,可能會讓任意程式碼得以執行。若封包在其 IP 標頭中包含刻意設計的特定 IP 選項,則在處理封包後,弱點便可能遭到入侵。啟用「IP 不安全選項」保護時會封鎖在 IP 封包標頭中含有格式錯誤之 IP 選項欄位的傳輸 IP 封包。

IPv6 未知通訊協定

啟用「IPv6 未知通訊協定」保護時會封鎖通訊協定欄位中包含的通訊協定識別碼為 143 或以上的 IPv6 封包,因為若未在終端裝置上正確加以處理,便可能導致系統當機。審慎的做法是封鎖此類 IPv6 封包,使其無法進入受保護的網路。

IPv6 延伸標頭

「IPv6 延伸標頭」攻擊是一種 DoS 攻擊,起因是 IPv6 封包中的延伸標頭處理不當所致。當 IPv6 延伸標頭處理不當時,會產生新的攻擊向量,從而可能導致 DoS,並濫用於不同的目的,例如,建立隱密通道和路由標頭 0 攻擊。啟用此選項時,只要 IPv6 封包具有除分段標頭以外的任何延伸標頭,就會被捨棄。

設定網路和洪泛保護設定

若要設定設定檔層級的網路和洪泛保護設定,請執行下列步驟。

程序

  1. SD-WAN Orchestrator,移至設定 (Configure) > 設定檔 (Profiles) > 防火牆 (Firewall)
  2. 為選取的設定檔啟用可設定狀態的防火牆 (Stateful Firewall)
  3. 網路和洪泛保護設定 (Network & Flood Protection Settings) 區域下方,設定下列設定:
    依預設,網路和洪泛保護設定會套用於 IPv4 位址。
    備註: 如果您要為 IPv6 位址設定網路和洪泛保護設定,您必須使用新的 Orchestrator UI。如需詳細資訊,請參閱 使用新的 Orchestrator UI 來設定防火牆
    欄位 說明
    新連線臨界值 (每秒連線數) (New Connection Threshold (connections per second)) 每秒允許來自單一來源 IP 的新連線數上限。允許的值範圍介於 10% 到 100% 之間。預設值為 25%。
    封鎖清單 (Denylist) 啟用此核取方塊會封鎖來源 IP 位址 (此類位址因網路設定錯誤或惡意使用者攻擊而傳送大量流量,從而違反新連線臨界值)。
    備註: 新連線臨界值 (每秒連線數) (New Connection Threshold (connections per second)) 設定將無法運作,除非已啟用 封鎖清單 (Denylist)
    偵測持續時間 (秒) (Detect Duration (seconds)) 在封鎖來源 IP 位址之前,這是允許違規的來源 IP 傳送流量的寬限期持續時間。

    如果主機在此持續時間傳送了新增連線要求的大量流量 (連接埠掃描、TCP SYN 洪泛等),且其數量超過每秒允許的連線數 (CPS) 上限,則系統會將其視為符合列入封鎖清單的條件,而非在其超過每個來源的 CPS 一次時就立即將其列入封鎖清單。例如,假設允許的 CPS 上限為 10,而偵測持續時間為 10 秒,如果主機充斥超過 100 個的新連線要求達 10 秒,則系統會將主機列入封鎖清單中。

    允許的值範圍介於 10 秒到 100 秒之間。預設值為 10 秒。
    封鎖清單持續時間 (秒) (Denylist Duration (seconds)) 違規的來源 IP 遭到封鎖而無法傳送任何封包的持續時間。允許的值範圍介於 10 秒到 86400 秒之間。預設值為 10 秒。
    TCP 型攻擊 (TCP Based Attacks) 藉由啟用對應的核取方塊,支援對下列 TCP 型攻擊的防護:
    • 無效 TCP 旗標 (Invalid TCP Flags)
    • TCP 登陸 (TCP Land)
    • TCP SYN 片段 (TCP SYN Fragment)
    ICMP 型攻擊 (ICMP Based Attacks) 藉由啟用對應的核取方塊,支援對下列 ICMP 型攻擊的防護:
    • ICMP 死亡之 Ping (ICMP Ping of Death)
    • ICMP 片段 (ICMP Fragment)
    IP 型攻擊 (IP Based Attacks) 藉由啟用對應的核取方塊,支援對下列 IP 型攻擊的防護:
    • IP 未知通訊協定 (IP Unknown Protocol)
    • IP 不安全選項 (IP Insecure Options)
    • IPv6 未知通訊協定
    • IPv6 延伸標頭
    您也可以在 Edge 層級上選擇性地覆寫網路和洪泛保護設定。如需詳細資訊,請參閱 設定 Edge 的 Netflow 設定