當(dāng)前位置 : 首頁(yè)>網(wǎng)絡(luò)\服務(wù)器>學(xué)堂>正文

避免攻擊保證上傳FTP服務(wù)器的安全

http://m.yibo1263.com　2009-4-25 7:48:27 　來(lái)源:東北IT網(wǎng) 　編輯:葉子

　　2.增設(shè)防火墻

　　我們可以在公司網(wǎng)絡(luò)服務(wù)器和外部網(wǎng)絡(luò)之間的增設(shè)一道屏障，以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵入，那就是增設(shè)一個(gè)防火墻。防火墻利用一組形成防火墻"墻磚"的軟件或硬件將外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)隔開(kāi)，它可以保護(hù)內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)的非授權(quán)訪問(wèn)，因此利用防火墻來(lái)阻止DoS攻擊能有效地保護(hù)內(nèi)部的服務(wù)器。我們可以把FTP服務(wù)器放在防火墻的DMZ區(qū)，讓其既可以接受來(lái)自Internet的訪問(wèn)，又可以受到防火墻的安全保護(hù)。針對(duì)SYN Flood，防火墻通常有三種防護(hù)方式:SYN網(wǎng)關(guān)、被動(dòng)式SYN網(wǎng)關(guān)和SYN中繼。

　　(1)SYN網(wǎng)關(guān)

　　防火墻收到客戶端的SYN包時(shí)，直接轉(zhuǎn)發(fā)給服務(wù)器;防火墻收到服務(wù)器的SYN/ACK包后，一方面將SYN/ACK包轉(zhuǎn)發(fā)給客戶端，另一方面以客戶端的名義給服務(wù)器回送一個(gè)ACK包，完成TCP的三次握手，讓服務(wù)器端由半連接狀態(tài)進(jìn)入連接狀態(tài)。當(dāng)客戶端真正的ACK包到達(dá)時(shí)，有數(shù)據(jù)則轉(zhuǎn)發(fā)給服務(wù)器，否則丟棄該包。由于服務(wù)器能承受連接狀態(tài)要比半連接狀態(tài)高得多，所以這種方法能有效地減輕對(duì)服務(wù)器的攻擊。

　　(2)被動(dòng)式SYN網(wǎng)關(guān)

　　設(shè)置防火墻的SYN請(qǐng)求超時(shí)參數(shù)，讓它遠(yuǎn)小于服務(wù)器的超時(shí)期限。防火墻負(fù)責(zé)轉(zhuǎn)發(fā)客戶端發(fā)往服務(wù)器的SYN包，服務(wù)器發(fā)往客戶端的SYN/ACK 包、以及客戶端發(fā)往服務(wù)器的ACK包。這樣，如果客戶端在防火墻計(jì)時(shí)器到期時(shí)還沒(méi)發(fā)送ACK包，防火墻則往服務(wù)器發(fā)送RST包，以使服務(wù)器從隊(duì)列中刪去該半連接。由于防火墻的超時(shí)參數(shù)遠(yuǎn)小于服務(wù)器的超時(shí)期限，因此這樣能有效防止SYN Flood攻擊。

　　(3)SYN中繼

　　防火墻在收到客戶端的SYN包后，并不向服務(wù)器轉(zhuǎn)發(fā)而是記錄該狀態(tài)信息然后主動(dòng)給客戶端回送SYN/ACK包，如果收到客戶端的ACK包，表明是正常訪問(wèn)，由防火墻向服務(wù)器發(fā)送SYN包并完成三次握手。

　　這樣由防火墻做為代理來(lái)實(shí)現(xiàn)客戶端和服務(wù)器端的連接，可以完全過(guò)濾不可用連接發(fā)往服務(wù)器。

　　各企業(yè)在選擇防火墻時(shí)，除了根據(jù)以上幾種保護(hù)方式進(jìn)行選擇以外，還需要根據(jù)企業(yè)本身的業(yè)務(wù)量來(lái)決定選擇的防火墻的性能。性能越好，當(dāng)然價(jià)格也就越高，而且防火墻的性能和資源的占用是相關(guān)的，性能越高，占用資源也就越多，占用帶寬比例也就越高。另外一般企業(yè)如果不想在安全產(chǎn)品上投入過(guò)多，則會(huì)要求防火墻同時(shí)具有入侵檢測(cè)、VPN等功能，甚至防病毒功能。

本新聞共2頁(yè),當(dāng)前在第2頁(yè) 1 2

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·Linux改善FTP服務(wù)器的安全性

·全面提高FTP服務(wù)器的安全性能

·三招提高FTP服務(wù)器安全性

·匿名FTP服務(wù)器的建立與應(yīng)用

·詳細(xì)講解架設(shè)FTP服務(wù)器的兩種方法

·FTP服務(wù)器關(guān)于權(quán)限的問(wèn)題

·三個(gè)步驟打造安全穩(wěn)定的FTP服務(wù)器

·用Linux系統(tǒng)構(gòu)建高效FTP服務(wù)器

·FTP服務(wù)器架設(shè)的三方面安全因素

·Windows下FTP服務(wù)器的安全管理

·FTP服務(wù)器關(guān)于權(quán)限的防范問(wèn)題

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费