當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)軟件>正文

學(xué)習(xí)邊界防火墻的應(yīng)用

http://m.yibo1263.com　2008/6/12 8:46:08 　來源:本站　編輯:葉子

　　3、DNS

　　DNS服務(wù)器可為互聯(lián)網(wǎng)提供域名解析服務(wù)，對任何網(wǎng)絡(luò)應(yīng)用都十分關(guān)鍵。同時在其中也包括了非常重要的網(wǎng)絡(luò)配置信息，如用戶主機名和IP地址等。正因如此，對DNS服務(wù)器要采取特別的安全保護措施。

　　為了安全起見，建議在防火墻網(wǎng)絡(luò)中，對內(nèi)部DNS服務(wù)器和外部DNS服務(wù)器進行分開放置。為互聯(lián)網(wǎng)服務(wù)的外部DNS服務(wù)器不應(yīng)該包含對外禁止訪問的內(nèi)部網(wǎng)絡(luò)系統(tǒng)的相關(guān)服務(wù)，需要專門放置在內(nèi)部DNS服務(wù)器上。如果將內(nèi)部網(wǎng)絡(luò)的相關(guān)服務(wù)需放置在外部DNS服務(wù)器上，則會為非法攻擊者提供攻擊對象目標信息。這種將內(nèi)部DNS服務(wù)器和外部DNS服務(wù)器分隔開的網(wǎng)絡(luò)配置方案通常稱之為“分割DNS”。圖11描述了一個典型的“DNS分割”的例子：

請?zhí)砑用枋?src="/Files/BeyondPic/2008-6/12/1082559031992.jpg"

請?zhí)砑用枋?src="/Files/BeyondPic/2008-6/12/1082559031992.jpg"

　　在這種典型防火墻DNS服務(wù)器配置網(wǎng)絡(luò)結(jié)構(gòu)中，內(nèi)部DNS服務(wù)器專用來為內(nèi)部網(wǎng)絡(luò)系統(tǒng)進行名稱解析，使得內(nèi)部網(wǎng)絡(luò)用戶可以通過它連接到其它內(nèi)部系統(tǒng)，其中就包括內(nèi)部防火墻和內(nèi)部DMZ；外部DNS使得外部網(wǎng)絡(luò)能夠解析出主防火墻、外部DNS服務(wù)器、外部DMZ區(qū)的主機名字，但不能解析出內(nèi)部網(wǎng)絡(luò)系統(tǒng)主機的名字。

　　6、入侵檢測

　　安全檢測是信息保障的一個重要環(huán)節(jié)，也新型防火墻的一個重要功能。目前主要的安全檢測技術(shù)包括入侵檢測、漏洞掃描和病毒檢測。

　　入侵檢測系統(tǒng)(Intrusion Detection System，IDS)能夠?qū)W(wǎng)絡(luò)中未經(jīng)授權(quán)用戶的訪問進行報警，某些時候還能夠通過其它手段預(yù)防這種非法網(wǎng)絡(luò)行為。它只能發(fā)現(xiàn)已發(fā)生的非法訪問，而且檢測本身不能提供安全保護的作用，但是很多入侵檢測產(chǎn)品能夠和防火墻這類網(wǎng)絡(luò)安全保護產(chǎn)品聯(lián)動，一旦入侵檢測發(fā)現(xiàn)攻擊行為，它可以通知防火墻修改安全規(guī)則，阻止后續(xù)的攻擊網(wǎng)流。

　　入侵檢測方式目前主要分為三類：基于主機的入侵檢測、基于網(wǎng)絡(luò)的入侵檢測和基于應(yīng)用的入侵檢測。

　　建議將基于主機的入侵檢測和基于應(yīng)用的入侵檢測產(chǎn)品配置在關(guān)鍵業(yè)務(wù)服務(wù)器上，以檢測主機應(yīng)用層次的網(wǎng)絡(luò)攻擊行為，尤其是基于用戶的攻擊行為檢測。這屬于一種高級的入侵檢測手段，它所檢測的范圍覆蓋整個網(wǎng)絡(luò)和應(yīng)用。必須清楚，這兩類產(chǎn)品有極大的安全缺陷：

　　(1)、　時間上的滯后性，由于它們的檢測資料來源是主機操作系統(tǒng)/應(yīng)用的日志記錄，因此難以做到實時反應(yīng)；
　　(2)、其檢測分析結(jié)果的準確性完全依賴于主機操作系統(tǒng)日志記錄的全面性和準確性；
　　(3)、占用較多主機資源。

　　如果防火墻具有一定的入侵檢測功能，則可以在主防火墻上打開此功能，在防火墻上使用入侵檢測功能可以相當(dāng)程度地抵制來自外部網(wǎng)絡(luò)的DoS(拒絕服務(wù)攻擊)攻擊和地址欺騙攻擊。

　　部署在某些區(qū)域的入侵檢測產(chǎn)品如果能和相關(guān)的防火墻在網(wǎng)絡(luò)上可通，則可以發(fā)揮它們之間的聯(lián)動功能，提高安全效率。

　　在漏洞和病毒檢測方面，邊界防火墻比較難以實現(xiàn)，而在個人防火墻和分布式防火墻中卻較容易。因為它們之中軟件功能非常強大，而且還可以實時自動聯(lián)網(wǎng)升級。以實現(xiàn)對最新的系統(tǒng)和病毒進行跟蹤檢測的目的，最大限度地保證檢測的有效性。所以在個人防火墻就有好幾種防火墻的叫法，如病毒防火墻、網(wǎng)絡(luò)防火墻和郵件防火墻等。從這些名字我們要吧看出這些防火墻的主要功能。

　　好了，關(guān)于防火墻的主要應(yīng)用網(wǎng)絡(luò)結(jié)構(gòu)及應(yīng)用配置就介紹至此。

本新聞共7頁,當(dāng)前在第7頁 1 2 3 4 5 6 7

【收藏】【打印】【進入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费