中文字幕精品一区,伊人久久在线,日韩欧美视频第二区

網絡技術是從1990年代中期發展起來的新技術，它把互聯網上分散的資源融為有機整體，實現資源的全面共享和有機協作，使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數據資源、信息資源、知識資源、專家資源、大型數據庫、網絡、傳感器等。當前的互聯網只限于信息共享，網絡則被認為是互聯網發展的第三階段。

有幾種類型的攻擊很難使用基本的包頭信息來識別，因為這幾種攻擊是與服務無關的�？梢詫β酚善髋渲靡员惴乐惯@幾種類型的攻擊。但是它們很難指定，因為過濾規則需要附加的信息，并且這些信息只能通過審查路由表和特定的IP選項、檢查特定段的內容等等才能學習到。

　　下面是這幾種攻擊類型的例子：

　　源IP地址欺騙式攻擊（Sowrce IP Address Spoofing Attacks）。這種類型的攻擊的特點是入侵者從外部傳輸一個假裝是來自內部主機的數據包，即數據包中所包含的IP地址為內部網絡上的IP地址。入侵者希望借助于一個假的源IP地址就能滲透到一個只使用了源地址安全功能的系統中。在這樣的系統中，來自內部的信任主機的數據包被接受，而來自其它主機的數據包全部被丟棄。對于源IP地址欺騙式攻擊，可以利用丟棄所有來自路由器外部端口的使用內部源地址的數據包的方法來挫敗。

　　源路由攻擊（Source Rowing Attacks）。這種類型的攻擊的特點是源站點指定了數據包在Internet中所走的路線。這種類型的攻擊是為了旁路安全措施并導致數據包循著一個對方不可預料的路徑到達目的地。只需簡單的丟棄所有包含源路由選項的數據包即可防范這種類型的攻擊。

　　極小數據段式攻擊（Tiny Fragment Attacks）。這種類型的攻擊的特點是入侵者使用了IP分段的特性，創建極小的分段并強行將TCP頭信息分成多個數據包段。這種攻擊是為了繞過用戶定義的過濾規則。黑客寄希望于過濾器路由器只檢查第一個分段而允許其余的分段通過。對于這種類型的攻擊，只要丟棄協議類型為TCP，IP FragmentOffset等于1的數據包就可安然無恙。

　　包過濾路由器的優點

　　已部署的防火墻系統多數只使用了包過濾器路由器。除了花費時間去規劃過濾器和配置路由器之外，實現包過濾幾乎不再需要費用（或極少的費用），因為這些特點都包含在標準的路由器軟件中。由于Internet訪問一般都是在WAN接口上提供，因此在流量適中并定義較少過濾器時對路由器的性能幾乎沒有影響。另外，包過濾路由器對用戶和應用來講是透明的，所以不必對用戶進行特殊的培訓和在每臺主機上安裝特定的軟件。

　　包過濾路由器的缺點

　　定義數據包過濾器會比較復雜，因為網絡管理員需要對各種Internet服務、包頭格式、以及每個域的意義有非常深入的理解。如果必須支持非常復雜的過濾，過濾規則集合會非常的大和復雜，因而難于管理和理解。另外，在路由器上進行規則配置之后，幾乎沒有什么工具可以用來難過濾規則的正確性，因此會成為一個脆弱點。

　　任何直接經過路由器的數據包都有被用做數據驅動式攻擊的潛在危險。我們已經知道數據驅動式攻擊從表面上來看是由路由器轉發到內部主機上沒有害處的數據。該數據包括了一些隱藏的指令，能夠讓主機修改訪問控制和與安全有關的文件，使得入侵者能夠獲得對系統的訪問權。

　　一般來說，隨著過濾器數目的增加，路由器的吞吐量會下降�？梢詫β酚善鬟M行這樣的優化抽取每個數據包的目的IP地址，進行簡單的路由表查詢，然后將數據包轉發到正確的接口上去傳輸。如果打開過濾功能，路由器不僅必須對每個數據包作出轉發決定，還必須將所有的過濾器規則施用給每個數據包。這樣就消耗了CPU時間并影響系統的性能。

　　IP包過濾器可能無法對網絡上流動的信息提供全面的控制。包過濾路由器能夠允許或拒絕特定的服務，但是不能理解特定服務的上下文環境/數據。例如，網絡管理員可能需要在應用層過濾信息以便將訪問限制在可用的FTP或Telnet命令的子集之內，或者阻塞郵件的進入及特定話題的新聞進入。這種控制最好在高層由代理服務和應用層網關來完成。

　　構件：應用層網關

　　應用層網關使得網絡管理員能夠實現比包過濾路由器更嚴格的安全策略。應用層網關不用依賴包過濾工具來管理Internet服務在防火墻系統中的進出，而是采用為每種所需服務而安裝在網關上特殊代碼（代理服務）的方式來管理Internet服務。如果網絡管理員沒有為某種應用安裝代理編碼，那么該項服務就不支持并不能通過防火墻系統來轉發。同時，代理編碼可以配置成只支持網絡管理員認為必須的部分功能。

　　這樣增強的安全帶來了附加的費用：購買網關硬件平臺、代理服務應用、配置網關所需的時間和知識、提供給用戶的服務水平的下降、由于缺少透明性而導致缺少友好性的系統。同以往一樣，仍要求網絡管理員在機構安全需要和系統的易于使用性方面作出平衡。允許用戶訪問代理服務是很重要的，但是用戶是絕對不允許注冊到應用層網關中的。假如允許用戶注冊到防火墻系統中，防火墻系統的安全就會受到威脅，因為入侵者可能會在暗地里進行某些損害防火墻有效性運動作。例如，入侵者獲取Root權限，安裝特洛伊馬來截取口令，并修改防火墻的安全配置文件。

　　堡壘主機（Bastion host）

　　與包過濾路由器（其允許數據包在內部系統和外部系統之間直接流入和流出）不同，應用層網關允許信息在系統之間流動，但不允許直接交換數據包。允許在內部系統和外部系統之間直接交換數據包的主要危險是駐留在受保護網絡系統上的主機應用避免任何由所允許服務帶來的威脅。

　　一個應用層網關常常被稱做“堡壘主機”（Bastion Host）。因為它是一個專門的系統，有特殊的裝備，并能抵御攻擊。有幾種特點是專門設計給堡壘主機來提供安全性的：

　　· 堡壘主機的硬件執行一個安全版本的操作系統。例如，如果堡壘主機是一個UNIX平臺，那么它執行UNIX操作系統的安全版本，其經過了特殊的設計，避免了操作系統的脆弱點，保證防火墻的完整性。

　　· 只有網絡管理員認為必需的服務才能安裝在堡壘主機上。原因是如果一個服務沒有安裝，它就不能受到攻擊。一般來說，在堡壘主機上安裝有限的代理服務，如Telnet，DNS，FTP，SMTP以及用戶認證等。

　　· 用戶在訪問代理服務之前堡壘主機可能要求附加認證。比如說，堡壘主機是一個安裝嚴格認證的理想位置。在這里，智能卡認證機制產生一個唯一的訪問代碼。另外每種代理可能在授予用戶訪問權之前進行其自己的授權。

　　· 對代理進行配置，使得其只支持標準應用的命令集合的子集。如果代理應用不支持標準的命令，那么很簡單，被認證的用戶沒有使用該命令的權限。

　　· 對代理進行配置，使得其只允許對特定主機的訪問。這表明，有限的命令/功能只能施用于內部網絡上有限數量的主機。

　　· 每個代理都通過登記所有的信息、每一次連接、以及每次連接的持續時間來維持一個詳細的審計信息。審計記錄是發現和終止入侵者攻擊的一個基本工具。

　　· 每個代理都是一個簡短的程序，專門為網絡安全目的而設計。因此可以對代理應用的源程序代碼進行檢查，以確定其是否有紕漏和安全上的漏洞。比如說，典型的UNIX郵件應用可能包括20,000行代碼，而郵件代理只有不到1,000行的程序。

　　· 在堡壘主機上每個代理都與所有其它代理無關。如果任何代理的工作產生問題，或在將來發現脆弱性，只需簡單的卸出，不會影響其它代理的工作。并且，如果一些用戶要求支持新的應用，網絡管理員可以輕而易舉的在堡壘主機上安裝所需應用。

　　· 代理除了讀取初始化配置文件之外，一般不進行磁盤操作。這使得入侵者很難在堡壘主機上安裝特洛伊馬程序或其它的危險文件。

　　· 每個代理在堡壘主機上都以非特權用戶的身份運行在其自己的并且是安全的目錄中。

網絡的神奇作用吸引著越來越多的用戶加入其中，正因如此，網絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標準上......，各項技術都需要適時應勢，對應發展，這正是網絡迅速走向進步的催化劑。

溫馨提示：喜歡本站的話，請收藏一下本站！

人人做人人澡人人爽欧美,国产主播一区二区,久久久精品五月天,羞羞视频在线观看免费

當前位置:蘿卜系統 > 網絡技術教程 > 詳細頁面

談網絡防火墻與安全問題(4)

本類教程下載

系統下載排行