資訊動態(tài)
防火墻的安全保障技術(shù)
發(fā)布:2018-08-31 17:20:34 瀏覽:4996
2章網(wǎng)賣企影與73
并審查常規(guī)記錄,防火墻就形同虛設。在這種情況下,網(wǎng)絡管理員永遠不會知道防火墻是否受到攻擊。InternetI防火墻可以作為部署NAT(NetworkAddressTranslator,網(wǎng)絡地址變換)的邏
輯地址。因此,防火墻可以用來緩解地址空間短缺的問題,并消除機構(gòu)在變換ISP時帶來的重
新編址的麻煩。心只,常的路項要島,民口中眼
防火墻的安全保障技術(shù)防火墻的安全保障技術(shù)是基于被保護網(wǎng)絡具有明確定義的邊界和服務,并且網(wǎng)絡安全的
屏蔽有關(guān)被保護網(wǎng)絡的信息、結(jié)構(gòu),實現(xiàn)對網(wǎng)絡的安全保護,因而比較適合于相對獨立,與外威脅僅來自于外部網(wǎng)絡。它通過監(jiān)測、限制以及更改跨越防火墻的數(shù)據(jù)流,盡可能地對外部網(wǎng)
部網(wǎng)絡互聯(lián)途徑有限并且網(wǎng)絡服務種類相對單一集中的網(wǎng)絡系統(tǒng)。防火墻系統(tǒng)在技木原理
上對來自內(nèi)部網(wǎng)絡系統(tǒng)的安全威脅不具備防范作用,并且常常需要有特殊的較為封閉的網(wǎng)絡
拓撲結(jié)構(gòu)來支持。對網(wǎng)絡安全功能的加強往往以網(wǎng)絡服務的靈活性、多樣性和開放性為代價
且需要較大的網(wǎng)絡管理開銷?;刂碑敚胀▋?nèi)阻野,頭國,政語,圖年的
盡管防火墻已經(jīng)在Internet業(yè)界得到了廣泛的應用,但與防火墻有關(guān)的話題仍然十分敏
感。防火墻的用戶把防火墻看作是一種重要的新型安全措施,因為它把諸多安全功能集于二
點上,大大簡化了安裝、配置和管理的手續(xù)。防火墻的另一特色是它不限于TCP/IP協(xié)議,從
而不只適用于Internet,類似的技術(shù)完全可以在任何分組交換的網(wǎng)絡當中使用。例如x.25或
ATM都可以。會的金同內(nèi)業(yè)生限不的思中図內(nèi)業(yè)全
個部分。安全策略建立全方位的防御體系基至包括:告訴用戶應有的任公司規(guī)定的網(wǎng)防火墻不僅僅是路由器、堡全主機或任何提供網(wǎng)絡安全的設備的組合,而且是安全策略的
絡訪間、服務訪問、本地和遠地的用戶認證、投人和出、磁盤和數(shù)據(jù)加密、病毒防護措施,以及雇員培訓等。所有可能受到攻擊的地方都必須以同樣的安全級別加以保護。僅設立防火墻系
統(tǒng),而沒有全面的安全策略,那么防火墻就形同虛設。后中人に
3.過濾網(wǎng)上信息。數(shù)據(jù)包過濾技術(shù)顧名思義,是在網(wǎng)絡中適當?shù)奈恢脤?shù)據(jù)包實施有選
擇的通過,選擇的依據(jù)即為系統(tǒng)內(nèi)設置的過濾原則(通常稱為訪問控制表AccessControl
List)。只有滿足過濾規(guī)則的數(shù)據(jù)包才被轉(zhuǎn)發(fā)至相應的目的地,其余的數(shù)據(jù)包則被從數(shù)據(jù)流中
刪除。包過濾技術(shù)的實現(xiàn)方式相當簡潔,目前大多數(shù)網(wǎng)絡的路由設備通常都具有一定的數(shù)據(jù)
包過濾能力。因而是路由設備在完成路由和轉(zhuǎn)發(fā)功能之外,同時進行包過濾,可以提供廉價
有效、容易重新配置和具有一定靈活性的網(wǎng)絡級安全。
此外,在工作站上使用軟件進行包過濾,也不失為一種可行的方案,但較為昂貴。若在適
當?shù)穆酚稍O備上啟動包過濾功能(作此用途的路由器稱為屏蔽路由器ScreeningRoute),則通
常不需要額外增加硬件軟件配置,也不需要對網(wǎng)絡拓撲結(jié)構(gòu)作改動。但是,包過濾是在網(wǎng)絡層
和傳輸層上運作的技術(shù),本身對網(wǎng)絡的保護功能有局限性,對位于網(wǎng)絡更高協(xié)議層的信息無理
解力,因而也對通過網(wǎng)絡應用層協(xié)議實現(xiàn)的安全威脅無防范作用。
目前商業(yè)包過濾防火墻超出常規(guī)的路由器,它增加了廣泛的記錄功能和安全功能,如偵察
電子欺騙(外部機器聲稱自己是受委托主機)。記錄功能不僅能分析進攻的情況,而且對保護
網(wǎng)絡和提供法律依據(jù)都是極其重要的。
4.限制系統(tǒng)
(1)配置軟件。通過增加軟硬件,或者對系統(tǒng)進行配置,例如增強記賬,來保護系統(tǒng)的安
同穿鄉(xiāng)控就很有用了。畫更當,同。入好與動,巧
(4)殺死這個進程來切斷人侵者與系統(tǒng)的接。拔下調(diào)制解調(diào)器或網(wǎng)線,或者干關(guān)用
算機。甲(S)管理員可以使用一些工具來監(jiān)視人侵者,觀察他們在做什么。這些工具包括So與度會題
ps、Lastcomm和Ttywatch等訪問系統(tǒng),這種情況不太好,因為這需要事先與電話公司聯(lián)系。ジー中(6)p、w和W這些命令可以報告每一個用戶使用的終端。如果人侵者是從一個終t
查看哪些用戶登錄進遠程系統(tǒng)。人否遲人出西論下,中(7)使用who和Netstat可以發(fā)現(xiàn)人侵從哪個主機上過來,然后可以使用Finger命令
=2.10.,4“預防和補救1.使用安全工具。有許多工具可以讓我們發(fā)現(xiàn)系統(tǒng)中的漏洞如果關(guān)注網(wǎng)絡安全,不
不知道一個非常有名的工具:SATAN。怕題人原,ヨ的的一量
信息,識別一些與網(wǎng)絡相關(guān)的安全問題。對所發(fā)現(xiàn)的問題,SATAN提供對這個問題的解釋SATAN是一個分析網(wǎng)絡的管理、測試和報告的工具。它用來收集網(wǎng)絡上的主機的許多
題。在前面對SATAN已做了比較詳細的介紹。等原是及它可能對系統(tǒng)和網(wǎng)絡安全造成影響的程度,并且通過所附的資料,還能解釋如何處理這些間
資源下,迅速地定位和描述一臺目標主機(遠程)或者許多臺主機的所有TCP“監(jiān)聽”端口另一個工具是Strobe。它是一個TCP端口掃描器。它可在最大帶寬利用率和最小選程
方便的協(xié)議分析和網(wǎng)絡監(jiān)控工具。它是一個優(yōu)秀的軟件,能監(jiān)控多個網(wǎng)段,并且允許多監(jiān)控程etxray協(xié)議分析和網(wǎng)絡監(jiān)控軟件是運行于Windows95和WindowsNT上的功能強大、使用
序存在,同時還能捕捉想要的任何類型的報文。
但不能阻止或預防客入侵系統(tǒng),且不是每個操作系統(tǒng)都有Tripwil之類的工具。Tripwire如果是Unix系統(tǒng),有一個程序叫tripwire,可以定時地檢查系統(tǒng)文件和程序是否被修改
是免費的,如果有興趣,可訪問如下URL:主高w面,的合
ftp::/coast.cs.purdue.edu/pub/COAST/tripwire另外一種快速檢測方法,就是檢查日志文件中的訪問和錯誤記錄,從中找出一些可能的話
動,對于rm,login,//bin/sh及Per等系統(tǒng)命令要跟蹤。
應對于WindowsNT平臺,可定期檢查EventLog中的Security記錄,察看是否有可疑情況2.使用防火墻。Internet防火墻是這樣的系統(tǒng)(或一組系統(tǒng)),它能增強機構(gòu)內(nèi)部網(wǎng)絡
安全性。防火墻系統(tǒng)決定了哪些內(nèi)部服務可以被外界訪問;外界的哪些人可以訪問內(nèi)部的
些服務,以及哪些外部服務可以被內(nèi)部人員訪問。要使一個防火墻有效,所有來自和去往
火墻本身也必須能夠免于診透。當ー同さ人。で的ternetf的信息都必須經(jīng)過防火墻,接受防火墻的檢査。防火墻只允許授權(quán)的數(shù)據(jù)通過,并且
在防火墻上可以很方便的監(jiān)視網(wǎng)絡的安全性,并產(chǎn)生報警(注意:對一個與Internet相人這
的內(nèi)部網(wǎng)絡來說,重要的問題并不是網(wǎng)絡是否會受到攻擊,而是何時受到攻擊?誰在攻擊)網(wǎng)絡管理員必須審計并記錄所有通過防火墻的重要信息。同穿鄉(xiāng)控就很有用了。畫更當,同。入好與動,巧
(4)殺死這個進程來切斷人侵者與系統(tǒng)的接。拔下調(diào)制解調(diào)器或網(wǎng)線,或者干關(guān)用
算機。甲(S)管理員可以使用一些工具來監(jiān)視人侵者,觀察他們在做什么。這些工具包括So與度會題
ps、Lastcomm和Ttywatch等訪問系統(tǒng),這種情況不太好,因為這需要事先與電話公司聯(lián)系。ジー中(6)p、w和W這些命令可以報告每一個用戶使用的終端。如果人侵者是從一個終t
查看哪些用戶登錄進遠程系統(tǒng)。人否遲人出西論下,中(7)使用who和Netstat可以發(fā)現(xiàn)人侵從哪個主機上過來,然后可以使用Finger命令
=2.10.,4“預防和補救1.使用安全工具。有許多工具可以讓我們發(fā)現(xiàn)系統(tǒng)中的漏洞如果關(guān)注網(wǎng)絡安全,不
不知道一個非常有名的工具:SATAN。怕題人原,ヨ的的一量
信息,識別一些與網(wǎng)絡相關(guān)的安全問題。對所發(fā)現(xiàn)的問題,SATAN提供對這個問題的解釋SATAN是一個分析網(wǎng)絡的管理、測試和報告的工具。它用來收集網(wǎng)絡上的主機的許多
題。在前面對SATAN已做了比較詳細的介紹。等原是及它可能對系統(tǒng)和網(wǎng)絡安全造成影響的程度,并且通過所附的資料,還能解釋如何處理這些間
資源下,迅速地定位和描述一臺目標主機(遠程)或者許多臺主機的所有TCP“監(jiān)聽”端口另一個工具是Strobe。它是一個TCP端口掃描器。它可在最大帶寬利用率和最小選程
方便的協(xié)議分析和網(wǎng)絡監(jiān)控工具。它是一個優(yōu)秀的軟件,能監(jiān)控多個網(wǎng)段,并且允許多監(jiān)控程etxray協(xié)議分析和網(wǎng)絡監(jiān)控軟件是運行于Windows95和WindowsNT上的功能強大、使用
序存在,同時還能捕捉想要的任何類型的報文。
但不能阻止或預防客入侵系統(tǒng),且不是每個操作系統(tǒng)都有Tripwil之類的工具。Tripwire如果是Unix系統(tǒng),有一個程序叫tripwire,可以定時地檢查系統(tǒng)文件和程序是否被修改
是免費的,如果有興趣,可訪問如下URL:主高w面,的合
ftp::/coast.cs.purdue.edu/pub/COAST/tripwire另外一種快速檢測方法,就是檢查日志文件中的訪問和錯誤記錄,從中找出一些可能的話
動,對于rm,login,//bin/sh及Per等系統(tǒng)命令要跟蹤。
應對于WindowsNT平臺,可定期檢查EventLog中的Security記錄,察看是否有可疑情況2.使用防火墻。Internet防火墻是這樣的系統(tǒng)(或一組系統(tǒng)),它能增強機構(gòu)內(nèi)部網(wǎng)絡
安全性。防火墻系統(tǒng)決定了哪些內(nèi)部服務可以被外界訪問;外界的哪些人可以訪問內(nèi)部的
些服務,以及哪些外部服務可以被內(nèi)部人員訪問。要使一個防火墻有效,所有來自和去往
火墻本身也必須能夠免于診透。當ー同さ人。で的ternetf的信息都必須經(jīng)過防火墻,接受防火墻的檢査。防火墻只允許授權(quán)的數(shù)據(jù)通過,并且
在防火墻上可以很方便的監(jiān)視網(wǎng)絡的安全性,并產(chǎn)生報警(注意:對一個與Internet相人這
的內(nèi)部網(wǎng)絡來說,重要的問題并不是網(wǎng)絡是否會受到攻擊,而是何時受到攻擊?誰在攻擊)網(wǎng)絡管理員必須審計并記錄所有通過防火墻的重要信息。網(wǎng)站建設如果網(wǎng)絡管理員不能及時響應根如果網(wǎng)絡管理員不能及時響應根
>>> 查看《防火墻的安全保障技術(shù)》更多相關(guān)資訊 <<<
本文地址:http://www.finger78.cn/news/html/3754.html
上一個:電磁輻射(如偵聽微機操作過程)
下一個:錯誤行為與作法而推卸責任
