无法杜绝的TCP SYN攻击 我该拿你怎么办？

核心提示： 一、通过防火墙代理限制其对服务器的影响通常情况下，出于安全的考虑，无法杜绝的TCP SYN攻击 我该拿你怎么办？(2)，我们会把服务器放在防火墙的一侧，在建立TCP连接时，如此的话，就可以隐藏ERP服务器的真实地址，通过防火墙实现代理，TCP代理相当于客户端和目的服务器间的中间服务器

一、通过防火墙代理限制其对服务器的影响

通常情况下，出于安全的考虑，我们会把服务器放在防火墙的一侧。在建立TCP连接时，通过防火墙实现代理。TCP代理相当于客户端和目的服务器间的中间服务器。当某个客户端要访问服务器的资源时，这个客户端不是直接连接到服务器，而是先连接到防火墙这个代理服务器上，然后这个代理服务器再替客户端去访问服务器。代理服务器把从服务器中反馈回来的信息转发给客户端。所以，从某个角度上来讲，防火墙代理服务器对于服务器来说，是一个客户端，但是，对于真正的客户端来说，又是一合格服务器。防火墙可以检查传入的TCP连接请求，然后执行TCP代理的功能。如果防火墙判断传入的连接请求时伪造的话，则防火墙就可以采取一定的措施来防止它对防火墙一侧服务器的影响。

如笔者企业现在有一个ERP应用服务，其为全国各地的销售办事处提供数据上的支持。若这个服务器瘫痪的话，则全国各地的销售业务都会受到不同程度的影响。如商品的调拨等等将无法完成。由于存在大量的网外用户，笔者很难保证全国各地的用户主机都是安全的。本着安全至上的原则，就在ERP应用服务器与互联网之间设置了防火墙，并启用了防火墙代理功能，来限制SYN的攻击，示意图如下：

1、当互联网上的某个客户端需要访问ERP服务器时，会先发起一个TCP连接。此时，客户端不是直接与ERP服务器进行通信，而是跟防火墙代理服务器进行通信。如此的话，就可以隐藏ERP服务器的真实地址，从而防止外部不良人员对ERP服务器进行攻击。