優(yōu)惠活動 - 12周年慶本月新客福利
優(yōu)惠活動 - 12周年慶本月新客福利
優(yōu)惠活動 - 12周年慶本月新客福利

防火墻的安全保障技術(shù)

2章網(wǎng)賣企影與 73
 
 
并審查常規(guī)記錄,防火墻就形同虛設(shè)。在這種情況下,網(wǎng)絡(luò)管理員永遠(yuǎn)不會知道防火墻是否受 到攻擊。 Internet I防火墻可以作為部署NAT( Network Address Translator,網(wǎng)絡(luò)地址變換)的邏
輯地址。因此,防火墻可以用來緩解地址空間短缺的問題,并消除機(jī)構(gòu)在變換ISP時帶來的重
 
 
新編址的麻煩。心只 ,常的路項要島,民口中眼
 
 
 
防火墻的安全保障技術(shù)防火墻的安全保障技術(shù)是基于被保護(hù)網(wǎng)絡(luò)具有明確定義的邊界和服務(wù),并且網(wǎng)絡(luò)安全的
屏蔽有關(guān)被保護(hù)網(wǎng)絡(luò)的信息、結(jié)構(gòu),實現(xiàn)對網(wǎng)絡(luò)的安全保護(hù),因而比較適合于相對獨(dú)立,與外 威脅僅來自于外部網(wǎng)絡(luò)。它通過監(jiān)測、限制以及更改跨越防火墻的數(shù)據(jù)流,盡可能地對外部網(wǎng)
部網(wǎng)絡(luò)互聯(lián)途徑有限并且網(wǎng)絡(luò)服務(wù)種類相對單一集中的網(wǎng)絡(luò)系統(tǒng)。防火墻系統(tǒng)在技木原理
上對來自內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全威脅不具備防范作用,并且常常需要有特殊的較為封閉的網(wǎng)絡(luò)
拓?fù)浣Y(jié)構(gòu)來支持。對網(wǎng)絡(luò)安全功能的加強(qiáng)往往以網(wǎng)絡(luò)服務(wù)的靈活性、多樣性和開放性為代價
且需要較大的網(wǎng)絡(luò)管理開銷?;刂碑?dāng),日通內(nèi)阻野,頭國,政語,圖年的
盡管防火墻已經(jīng)在 Internet業(yè)界得到了廣泛的應(yīng)用,但與防火墻有關(guān)的話題仍然十分敏
感。防火墻的用戶把防火墻看作是一種重要的新型安全措施,因為它把諸多安全功能集于二
點(diǎn)上,大大簡化了安裝、配置和管理的手續(xù)。防火墻的另一特色是它不限于TCP/IP協(xié)議,從
而不只適用于 Internet,類似的技術(shù)完全可以在任何分組交換的網(wǎng)絡(luò)當(dāng)中使用。例如x.25或
 
 
ATM都可以。會的金同內(nèi)業(yè)生限不的思中図內(nèi)業(yè)全
 
個部分。安全策略建立全方位的防御體系基至包括:告訴用戶應(yīng)有的任公司規(guī)定的網(wǎng) 防火墻不僅僅是路由器、堡全主機(jī)或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合,而且是安全策略的
絡(luò)訪間、服務(wù)訪問、本地和遠(yuǎn)地的用戶認(rèn)證、投人和出、磁盤和數(shù)據(jù)加密、病毒防護(hù)措施,以及 雇員培訓(xùn)等。所有可能受到攻擊的地方都必須以同樣的安全級別加以保護(hù)。僅設(shè)立防火墻系
統(tǒng),而沒有全面的安全策略,那么防火墻就形同虛設(shè)。后中人に
 
3.過濾網(wǎng)上信息。數(shù)據(jù)包過濾技術(shù)顧名思義,是在網(wǎng)絡(luò)中適當(dāng)?shù)奈恢脤?shù)據(jù)包實施有選
擇的通過,選擇的依據(jù)即為系統(tǒng)內(nèi)設(shè)置的過濾原則(通常稱為訪問控制表 Access Control
List)。只有滿足過濾規(guī)則的數(shù)據(jù)包才被轉(zhuǎn)發(fā)至相應(yīng)的目的地,其余的數(shù)據(jù)包則被從數(shù)據(jù)流中
刪除。包過濾技術(shù)的實現(xiàn)方式相當(dāng)簡潔,目前大多數(shù)網(wǎng)絡(luò)的路由設(shè)備通常都具有一定的數(shù)據(jù)
包過濾能力。因而是路由設(shè)備在完成路由和轉(zhuǎn)發(fā)功能之外,同時進(jìn)行包過濾,可以提供廉價
有效、容易重新配置和具有一定靈活性的網(wǎng)絡(luò)級安全。
 
此外,在工作站上使用軟件進(jìn)行包過濾,也不失為一種可行的方案,但較為昂貴。若在適
當(dāng)?shù)穆酚稍O(shè)備上啟動包過濾功能(作此用途的路由器稱為屏蔽路由器 Screening Route),則通
常不需要額外增加硬件軟件配置,也不需要對網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)作改動。但是,包過濾是在網(wǎng)絡(luò)層
和傳輸層上運(yùn)作的技術(shù),本身對網(wǎng)絡(luò)的保護(hù)功能有局限性,對位于網(wǎng)絡(luò)更高協(xié)議層的信息無理
解力,因而也對通過網(wǎng)絡(luò)應(yīng)用層協(xié)議實現(xiàn)的安全威脅無防范作用。
 
目前商業(yè)包過濾防火墻超出常規(guī)的路由器,它增加了廣泛的記錄功能和安全功能,如偵察
電子欺騙(外部機(jī)器聲稱自己是受委托主機(jī))。記錄功能不僅能分析進(jìn)攻的情況,而且對保護(hù)
網(wǎng)絡(luò)和提供法律依據(jù)都是極其重要的。
4.限制系統(tǒng)
 
(1)配置軟件。通過增加軟硬件,或者對系統(tǒng)進(jìn)行配置,例如增強(qiáng)記賬,來保護(hù)系統(tǒng)的安

 同穿鄉(xiāng)控 就很有用了。畫更當(dāng),同。入好與動,巧
 
 
 
(4)殺死這個進(jìn)程來切斷人侵者與系統(tǒng)的接。拔下調(diào)制解調(diào)器或網(wǎng)線,或者干關(guān)用
 
 
算機(jī)。甲 (S)管理員可以使用一些工具來監(jiān)視人侵者,觀察他們在做什么。這些工具包括So 與度會題
 
 
 
ps、 Lastcomm和 Ttywatch等 訪問系統(tǒng),這種情況不太好,因為這需要事先與電話公司聯(lián)系。ジー中 (6)p、w和W這些命令可以報告每一個用戶使用的終端。如果人侵者是從一個終t
 
查看哪些用戶登錄進(jìn)遠(yuǎn)程系統(tǒng)。人否遲人出西論下,中 (7)使用who和 Netstat可以發(fā)現(xiàn)人侵從哪個主機(jī)上過來,然后可以使用 Finger命令
=2.10.,4“預(yù)防和補(bǔ)救 1.使用安全工具。有許多工具可以讓我們發(fā)現(xiàn)系統(tǒng)中的漏洞如果關(guān)注網(wǎng)絡(luò)安全,不
 
不知道一個非常有名的工具: SATAN。怕題人原,ヨ的的一量
 
信息,識別一些與網(wǎng)絡(luò)相關(guān)的安全問題。對所發(fā)現(xiàn)的問題, SATAN提供對這個問題的解釋 SATAN是一個分析網(wǎng)絡(luò)的管理、測試和報告的工具。它用來收集網(wǎng)絡(luò)上的主機(jī)的許多
題。在前面對 SATAN已做了比較詳細(xì)的介紹。等原是 及它可能對系統(tǒng)和網(wǎng)絡(luò)安全造成影響的程度,并且通過所附的資料,還能解釋如何處理這些間
 
 
資源下,迅速地定位和描述一臺目標(biāo)主機(jī)(遠(yuǎn)程)或者許多臺主機(jī)的所有TCP“監(jiān)聽”端口 另一個工具是 Strobe。它是一個TCP端口掃描器。它可在最大帶寬利用率和最小選程
方便的協(xié)議分析和網(wǎng)絡(luò)監(jiān)控工具。它是一個優(yōu)秀的軟件,能監(jiān)控多個網(wǎng)段,并且允許多監(jiān)控程 etxray協(xié)議分析和網(wǎng)絡(luò)監(jiān)控軟件是運(yùn)行于 Windows95和 Windows NT上的功能強(qiáng)大、使用
 
 
序存在,同時還能捕捉想要的任何類型的報文。
 
但不能阻止或預(yù)防客入侵系統(tǒng),且不是每個操作系統(tǒng)都有 Tripwil之類的工具。 Tripwire 如果是Unix系統(tǒng),有一個程序叫 tripwire,可以定時地檢查系統(tǒng)文件和程序是否被修改
 
 
是免費(fèi)的,如果有興趣,可訪問如下URL: 主高w面,的合
 
 
 
ftp:: /coast. cs. purdue. edu/pub/COAST/tripwire 另外一種快速檢測方法,就是檢查日志文件中的訪問和錯誤記錄,從中找出一些可能的話
動,對于rm, login,/ /bin/sh及Per等系統(tǒng)命令要跟蹤。
 
應(yīng)對于 Windows NT平臺,可定期檢查 Event Log中的 Security記錄,察看是否有可疑情況 2.使用防火墻。 Internet防火墻是這樣的系統(tǒng)(或一組系統(tǒng)),它能增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)
安全性。防火墻系統(tǒng)決定了哪些內(nèi)部服務(wù)可以被外界訪問;外界的哪些人可以訪問內(nèi)部的
些服務(wù),以及哪些外部服務(wù)可以被內(nèi)部人員訪問。要使一個防火墻有效,所有來自和去往
火墻本身也必須能夠免于診透。當(dāng)ー同さ人。で的 ternet f的信息都必須經(jīng)過防火墻,接受防火墻的檢査。防火墻只允許授權(quán)的數(shù)據(jù)通過,并且
 
 
 
在防火墻上可以很方便的監(jiān)視網(wǎng)絡(luò)的安全性,并產(chǎn)生報警(注意:對一個與 Internet相 人這
 
 
的內(nèi)部網(wǎng)絡(luò)來說,重要的問題并不是網(wǎng)絡(luò)是否會受到攻擊,而是何時受到攻擊?誰在攻擊) 網(wǎng)絡(luò)管理員必須審計并記錄所有通過防火墻的重要信息。 同穿鄉(xiāng)控 就很有用了。畫更當(dāng),同。入好與動,巧
 
 
 
(4)殺死這個進(jìn)程來切斷人侵者與系統(tǒng)的接。拔下調(diào)制解調(diào)器或網(wǎng)線,或者干關(guān)用
 
 
算機(jī)。甲 (S)管理員可以使用一些工具來監(jiān)視人侵者,觀察他們在做什么。這些工具包括So 與度會題
 
 
 
ps、 Lastcomm和 Ttywatch等 訪問系統(tǒng),這種情況不太好,因為這需要事先與電話公司聯(lián)系。ジー中 (6)p、w和W這些命令可以報告每一個用戶使用的終端。如果人侵者是從一個終t
 
查看哪些用戶登錄進(jìn)遠(yuǎn)程系統(tǒng)。人否遲人出西論下,中 (7)使用who和 Netstat可以發(fā)現(xiàn)人侵從哪個主機(jī)上過來,然后可以使用 Finger命令
=2.10.,4“預(yù)防和補(bǔ)救 1.使用安全工具。有許多工具可以讓我們發(fā)現(xiàn)系統(tǒng)中的漏洞如果關(guān)注網(wǎng)絡(luò)安全,不
 
不知道一個非常有名的工具: SATAN。怕題人原,ヨ的的一量
 
信息,識別一些與網(wǎng)絡(luò)相關(guān)的安全問題。對所發(fā)現(xiàn)的問題, SATAN提供對這個問題的解釋 SATAN是一個分析網(wǎng)絡(luò)的管理、測試和報告的工具。它用來收集網(wǎng)絡(luò)上的主機(jī)的許多
題。在前面對 SATAN已做了比較詳細(xì)的介紹。等原是 及它可能對系統(tǒng)和網(wǎng)絡(luò)安全造成影響的程度,并且通過所附的資料,還能解釋如何處理這些間
 
 
資源下,迅速地定位和描述一臺目標(biāo)主機(jī)(遠(yuǎn)程)或者許多臺主機(jī)的所有TCP“監(jiān)聽”端口 另一個工具是 Strobe。它是一個TCP端口掃描器。它可在最大帶寬利用率和最小選程
方便的協(xié)議分析和網(wǎng)絡(luò)監(jiān)控工具。它是一個優(yōu)秀的軟件,能監(jiān)控多個網(wǎng)段,并且允許多監(jiān)控程 etxray協(xié)議分析和網(wǎng)絡(luò)監(jiān)控軟件是運(yùn)行于 Windows95和 Windows NT上的功能強(qiáng)大、使用
 
 
序存在,同時還能捕捉想要的任何類型的報文。
 
但不能阻止或預(yù)防客入侵系統(tǒng),且不是每個操作系統(tǒng)都有 Tripwil之類的工具。 Tripwire 如果是Unix系統(tǒng),有一個程序叫 tripwire,可以定時地檢查系統(tǒng)文件和程序是否被修改
 
 
是免費(fèi)的,如果有興趣,可訪問如下URL: 主高w面,的合
 
 
 
ftp:: /coast. cs. purdue. edu/pub/COAST/tripwire 另外一種快速檢測方法,就是檢查日志文件中的訪問和錯誤記錄,從中找出一些可能的話
動,對于rm, login,/ /bin/sh及Per等系統(tǒng)命令要跟蹤。
 
應(yīng)對于 Windows NT平臺,可定期檢查 Event Log中的 Security記錄,察看是否有可疑情況 2.使用防火墻。 Internet防火墻是這樣的系統(tǒng)(或一組系統(tǒng)),它能增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)
安全性。防火墻系統(tǒng)決定了哪些內(nèi)部服務(wù)可以被外界訪問;外界的哪些人可以訪問內(nèi)部的
些服務(wù),以及哪些外部服務(wù)可以被內(nèi)部人員訪問。要使一個防火墻有效,所有來自和去往
火墻本身也必須能夠免于診透。當(dāng)ー同さ人。で的 ternet f的信息都必須經(jīng)過防火墻,接受防火墻的檢査。防火墻只允許授權(quán)的數(shù)據(jù)通過,并且
 
 
 
在防火墻上可以很方便的監(jiān)視網(wǎng)絡(luò)的安全性,并產(chǎn)生報警(注意:對一個與 Internet相 人這
 
 
的內(nèi)部網(wǎng)絡(luò)來說,重要的問題并不是網(wǎng)絡(luò)是否會受到攻擊,而是何時受到攻擊?誰在攻擊) 網(wǎng)絡(luò)管理員必須審計并記錄所有通過防火墻的重要信息。網(wǎng)站建設(shè)如果網(wǎng)絡(luò)管理員不能及時響應(yīng)根如果網(wǎng)絡(luò)管理員不能及時響應(yīng)根

本文地址:http://m.cdrpkj.cn//article/3754.html
相關(guān)文章:
最新文章: