防DoS攻击

　　测试工程师:我们没有将测试仪中所有的DoS攻击武器都搬出来考验防火墙，而是仅仅选取了Ping_Flood和Syn_Flood两种攻击。这两种攻击都会使目标主机在极短时间内陷入瘫痪，比较而言，Syn_Flood由于半开连接更耗资源等因素，其危害更大。

　　测试实况:正如我们所料，这些产品都可以对这两种DoS攻击进行防范。

　　我们在测试仪IXIA 1600T上使用攻击软件IxAttack和IxExplorer来模拟攻击源。由于我们还要考察攻击情况下的Web应用的性能，为避免形成带宽瓶颈，我们所有的攻击测试都在测试仪的百兆端口上进行。测试拓扑如图4所示，当防火墙不启动相应的DoS攻击防御时，测试仪的攻击按钮刚刚按下，位于DMZ的Windows Server 2003立即“死机”。

图为：防DoS拓扑图

　　所有参测产品都可以设置攻击数据包数目的阈值，当启动防御后，再次进行攻击，服务器可以正常工作，CPU利用率维持在10%以下，通过Sniffer抓包，也可以发现不同厂商在应对DoS攻击时的不同做法。有的仍让很少量的包通过，有的则丢弃所有的包。我们此次测试没有对防DoS攻击的漏包数目的精确度进行衡量。

　　需要说明的一点，首信CF 2000-EP500的防DoS攻击表现有所不同。一开始，我们在其上进行防御配置后，DMZ的服务器仍然会迅速“死机”。它此时并不认为这是一种攻击，而将攻击源发来的数据转发给DMZ的服务器。后来，我们在测试仪上将攻击源的IP地址设为不断变化，它可以防范成功。在使用攻击软件xdos进行尝试也可以成功防御。

　　在攻击过程中，我们还考察了防火墙是否可以将攻击事件准确地记录到日志中。对于支持Syslog服务器的产品，我们使用3CDeamon作为Syslog服务器软件进行了测试，结果发现日志都非常准确。VoIP支持

　　测试工程师:VoIP部署中比较常见的H.323协议既使用1720这样的固定端口，也使用较多的动态端口进行通信。有些防火墙，由于不能对H.323协议进行识别，只能通过规则静态地打开一段端口来保证IP电话的正常运行，这一段打开的端口，在黑客眼中，就像是一扇打开的大门。此次测试，我们针对H.323协议对防火墙进行了功能性验证。

　　测试实况:结果发现，所有防火墙都能识别H.323，并根据协议的需要在通信过程中允许使用H.323动态端口的媒体流通过。我们使用微软NetMeeting充当H.323的端点，一台Windows XP笔记本位于防火墙内，一台装有Windows 2000 Pro的台式机位于防火墙的外网，它们都预装了NetMeeting，版本均为3.01，测试拓扑见图5所示。

图为：VoIP测试拓扑图

　　经测试，每个防火墙都支持这项服务。一开始，防火墙的策略设置为“permit any”，我们将这两个H.323 端点连接到防火墙，并针对对方的IP发起呼叫，结果通话可以顺利进行。

　　与此同时，我们用Sniffer对通信的全过程进行抓包。可以发现固定使用的TCP端口1720和其他的TCP、UDP动态端口。

　　然后，我们删除“permit any”这条策略，添加了允许H.323服务。当端点发起呼叫后，对方接受并开始通话，没有感觉到和第一次有何不同。

　　对于添加了关守或网关的组网模式，各家也都提出了解决办法。测试中，我们仅测试了端点到端点这一种拓扑。http://netadmin.77169.com/HTML/20050719015409_4.html