當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>黑客攻防>正文

計(jì)算機(jī)網(wǎng)絡(luò)攻擊常見手法及防范

http://m.yibo1263.com　2008-4-29 7:22:41 　來源:金山軟件　編輯:張佳奇

　　從趨勢(shì)上看，未來的防火墻將位于網(wǎng)絡(luò)級(jí)防火墻和應(yīng)用級(jí)防火墻之間，也就是說，網(wǎng)絡(luò)級(jí)防火墻將變得更加能夠識(shí)別通過的信息，而應(yīng)用級(jí)防火墻在目前的功能上則向“透明”、“低級(jí)”方面發(fā)展。最終防火墻將成為一個(gè)快速注冊(cè)稽查系統(tǒng)，可保護(hù)數(shù)據(jù)以加密方式通過，使所有組織可以放心地在節(jié)點(diǎn)間傳送數(shù)據(jù)。

　�。ㄋ模┓阑饓Φ呐渲�

　　防火墻配置有三種：Dual-homed方式、Screened-host方式和Screened-subnet方式。Dual-homed方式最簡(jiǎn)單。 Dual-homedGateway放置在兩個(gè)網(wǎng)絡(luò)之間，這個(gè)Dual-omedGateway又稱為bastionhost。

　　這種結(jié)構(gòu)成本低，但是它有單點(diǎn)失敗的問題。這種結(jié)構(gòu)沒有增加網(wǎng)絡(luò)安全的自我防衛(wèi)能力，而它往往是受“黑客”攻擊的首選目標(biāo)，它自己一旦被攻破，整個(gè)網(wǎng)絡(luò)也就暴露了。

　　Screened-host方式中的Screeningrouter為保護(hù)Bastionhost的安全建立了一道屏障。它將所有進(jìn)入的信息先送往Bastionhost，并且只接受來自Bastionhost的數(shù)據(jù)作為出去的數(shù)據(jù)。

　　這種結(jié)構(gòu)依賴Screeningrouter和Bastionhost，只要有一個(gè)失敗，整個(gè)網(wǎng)絡(luò)就暴露了。Screened-subnet包含兩個(gè)Screeningrouter和兩個(gè)Bastionhost。在公共網(wǎng)絡(luò)和私有網(wǎng)絡(luò)之間構(gòu)成了一個(gè)隔離網(wǎng)，稱之為”停火區(qū)”（DMZ，即DemilitarizedZone）,Bastionhost放置在”停火區(qū)”內(nèi)。這種結(jié)構(gòu)安全性好，只有當(dāng)兩個(gè)安全單元被破壞后，網(wǎng)絡(luò)才被暴露，但是成本也很昂貴。

（五）防火墻的安全措施

　　各種防火墻的安全性能不盡相同。這里僅介紹一些一般防火墻的常用安全措施：

　　1.防電子欺騙術(shù)

　　防電子欺騙術(shù)功能是保證數(shù)據(jù)包的IP地址與網(wǎng)關(guān)接口相符，防止通過修改IP地址的方法進(jìn)行非授權(quán)訪問。還應(yīng)對(duì)可疑信息進(jìn)行鑒別，并向網(wǎng)絡(luò)管理員報(bào)警。

　　2.網(wǎng)絡(luò)地址轉(zhuǎn)移

　　地址轉(zhuǎn)移是對(duì)Internet隱藏內(nèi)部地址，防止內(nèi)部地址公開。這一功能可以克服IP尋址方式的諸多限制，完善內(nèi)部尋址模式。把未注冊(cè)IP地址映射成合法地址，就可以對(duì)Internet進(jìn)行訪問。

　　3.開放式結(jié)構(gòu)設(shè)計(jì)

　　開放式結(jié)構(gòu)設(shè)計(jì)使得防火墻與相關(guān)應(yīng)用程序和外部用戶數(shù)據(jù)庫的連接相當(dāng)容易，典型的應(yīng)用程序連接如財(cái)務(wù)軟件包、病毒掃描、登錄分析等。

　　4.路由器安全管理程序

　　它為Bay和Cisco的路由器提供集中管理和訪問列表控制。

　�。﹤鹘y(tǒng)防火墻的五大不足

　　1．無法檢測(cè)加密的Web流量

　　如果你正在部署一個(gè)光鍵的門戶網(wǎng)站，希望所有的網(wǎng)絡(luò)層和應(yīng)用層的漏洞都被屏蔽在應(yīng)用程序之外。這個(gè)需求，對(duì)于傳統(tǒng)的網(wǎng)絡(luò)防火墻而言，是個(gè)大問題。

　　由于網(wǎng)絡(luò)防火墻對(duì)于加密的SSL流中的數(shù)據(jù)是不可見的，防火墻無法迅速截獲SSL數(shù)據(jù)流并對(duì)其解密，因此無法阻止應(yīng)用程序的攻擊，甚至有些網(wǎng)絡(luò)防火墻，根本就不提供數(shù)據(jù)解密的功能。

　　2、普通應(yīng)用程序加密后，也能輕易躲過防火墻的檢測(cè)

　　網(wǎng)絡(luò)防火墻無法看到的，不僅僅是SSL加密的數(shù)據(jù)。對(duì)于應(yīng)用程序加密的數(shù)據(jù)，同樣也不可見。在如今大多數(shù)網(wǎng)絡(luò)防火墻中，依賴的是靜態(tài)的特征庫，與入侵監(jiān)測(cè)系統(tǒng)（IDS，Intrusion Detect System）的原理類似。只有當(dāng)應(yīng)用層攻擊行為的特征與防火墻中的數(shù)據(jù)庫中已有的特征完全匹配時(shí)，防火墻才能識(shí)別和截獲攻擊數(shù)據(jù)。

　　但如今，采用常見的編碼技術(shù)，就能夠地將惡意代碼和其他攻擊命令隱藏起來，轉(zhuǎn)換成某種形式，既能欺騙前端的網(wǎng)絡(luò)安全系統(tǒng)，又能夠在后臺(tái)服務(wù)器中執(zhí)行。這種加密后的攻擊代碼，只要與防火墻規(guī)則庫中的規(guī)則不一樣，就能夠躲過網(wǎng)絡(luò)防火墻，成功避開特征匹配。

　　3、對(duì)于Web應(yīng)用程序，防范能力不足

　　網(wǎng)絡(luò)防火墻于1990年發(fā)明，而商用的Web服務(wù)器，則在一年以后才面世。基于狀態(tài)檢測(cè)的防火墻，其設(shè)計(jì)原理，是基于網(wǎng)絡(luò)層TCP和IP地址，來設(shè)置與加強(qiáng)狀態(tài)訪問控制列表（ACLs，Access Control Lists）。在這一方面，網(wǎng)絡(luò)防火墻表現(xiàn)確實(shí)十分出色。

本新聞共5頁,當(dāng)前在第4頁 1 2 3 4 5

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·日本研究者發(fā)現(xiàn)一分鐘攻破WPA技術(shù)

·黑客攻防：網(wǎng)站常見后門總結(jié)

·拒絕黑客巧設(shè)網(wǎng)站目錄與數(shù)據(jù)庫權(quán)限

·防止網(wǎng)絡(luò)服務(wù)器被黑的安全技巧

·實(shí)例演示IPC$ 135弱口令入侵技巧

·網(wǎng)絡(luò)行為分析與拒絕服務(wù)攻擊分析

·為您揭露攻擊者最陰險(xiǎn)的七大黑技

·教你找到電腦中隱藏的入侵的黑手

·硬件入侵檢測(cè)系統(tǒng)完全導(dǎo)購

·從入侵實(shí)例看視頻服務(wù)器安全部署

·黑客如何查找互聯(lián)網(wǎng)網(wǎng)絡(luò)安全漏洞

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费