谈网络防火墙和安全问题(2)

2016-01-29 16:42 5 1 收藏

谈网络防火墙和安全问题(2),谈网络防火墙和安全问题(2)

【 tulaoshi.com - 防火墙的作用 】

  Internet防火墙的限制

  Internet防火墙无法防范通过防火墙以外的其它途径的攻击。例如,在一个被保护的网络上有一个没有限制的拨出存在,内部网络上的用户就可以直接通过SLIP或PPP连接进入Internet。聪明的用户可能会对需要附加认证的代理服务器感到厌烦,因而向ISP购买直接的SLIP或PPP连接,从而试图绕过由精心构造的防火墙系统提供的安全系统。这就为从后门攻击创造了极大的可能(图3)。网络上的用户们必须了解这种类型的连接对于一个有全面的安全保护系统来说是绝对不允许的。

  图3 绕过防火墙系统的连接


(本文来源于图老师网站,更多请访问http://www.tulaoshi.com)
  Internet防火墙也不能防止来自内部变节者和不经心的用户们带来的威胁。防火墙无法禁止变节者或公司内部存在的间谍将敏感数据拷贝到软盘或PCMCIA卡上,并将其带出公司。防火墙也不能防范这样的攻击:伪装成超级用户或诈称新雇员,从而劝说没有防范心理的用户公开口令或授予其临时的网络访问权限。所以必须对雇员们进行教育,让它们了解网络攻击的各种类型,并懂得保护自己的用户口令和周期性变换口令的必要性。

  Internet防火墙也不能防止传送已感染病毒得软件或文件。这是因为病毒的类型太多,操作系统也有多种,编码与压缩二进制文件的方法也各不相同。所以不能期望Internet防火墙去对每一个文件进行扫描,查出潜在的病毒。对病毒特别关心的机构应在每个桌面部署防病毒软件,防止病毒从软盘或其它来源进入网络系统。

  最后一点是,防火墙无法防范数据驱动型的攻击。数据驱动型的攻击从表面上看是无害的数据被邮寄或拷贝到Internet主机上。但一旦执行就开成攻击。例如,一个数据型攻击可能导致主机修改与安全相关的文件,使得入侵者很容易获得对系统的访问权。后面我们将会看到,在堡垒主机上部署代理服务器是禁止从外部直接产生网络连接的最佳方式,并能减少数据驱动型攻击的威胁。

  黑客的工具箱

  要描述一个典型的黑客的攻击是很,因为入侵者们的技术水平和经验差异很大,各自的动机也不尽相同。某些黑客只是为了挑战,有一些是为了给别人找麻烦,还有一些是以图利为目的而获取机密数据。

  信息收集

  一般来讲,突破的第一步是各种形式的信息收集。信息惧收集的目的是构造目标机构网络的数据库并收集驻留在网络上的各个主机的有关信息。黑客可以使用下面几种工具来收集这些信息:

  · SNMP协议,用来查阅非安全路由器的路由表,从而了解目标机构网络拓扑的内部细节。

  · TraceRoute程序能够得出到达目标主机所要经过的网络数和路由器数。

  · Whois协议是一种信息服务,能够提供有关所有DNS域和负责各个域的系统管理员数据。不过这些数据常常是过时的。

  · DNS服务器可以访问主机的IP地址表和它们对应的主机名。

  · Finger协议能够提供特定主机上用户们的详细信息(注册名、电话号码、最后一次注册的时间等)

  · Ping实用程序可以用来确定一个指定的主机的位置并确定其是否可达。把这个简单的工具用在扫描程序中,可以Ping网络上每个可能的主机地址,从而可以构造出实际驻留在网络上的主机的清单。

  安全弱点的探测系统

  收集到目标机构的网络信息之后,黑客会探测每个主机以寻求一个安全上的弱点。有几种工具可能被黑客用来自动扫描驻留在网络上的主机:

  · 由于已经知道的服务脆弱性较少,水平高的黑客能够写出短小的程序来试图连接到目标主机上特定的服务端口上。而程序的输出则是支持可攻击的服务的主机清单。

  · 有几种公开的工具,如ISS(Internet Security Scanner, Internet安全扫描程序),SATAN(Security Analysis Tool for Auditing Networks,审计网络用的安全分析工具),可以对整个域或子网进行扫描并寻找安全上的漏洞。

  这些程序能够针对不同系统的脆弱性确定其弱点。入侵者利用扫描收集来的信息去获得对目标系统的非法访问权。聪明的网络管理员能够在其网络内部使用这些工具来发现潜藏的安全弱点并确定那个主机需要用新的软件补丁(Patches)进行升级。

  访问受保护系统

  入侵者使用主机探测的结果对目标系统进行攻击。获得对受保护系统的访问权后,黑客可以有多种选择:

  · 入侵者可能试图毁掉攻击的痕迹,并在受损害的系统上建立一个新的安全漏洞或后门,以便在原始攻击被发现后可以继续访问这个系统。

  · 入侵者可能会安全包探测器,其包括特洛伊马程序,用来窥探所在系统的活动,收集Telnet和FTP的帐户名和口令。黑客用这些信息可以将攻击扩展到其它机器。

  · 入侵者可能会发现对受损系统有信任的主机。这样黑客就可以利用某个主机的这种弱点,并将攻击在整个机构网络上舱上展开。

  · 如果黑

来源:http://www.tulaoshi.com/n/20160129/1499348.html

延伸阅读
  作者: 淮河水手 出处: 电脑报 面对不断“更新”的病毒和攻击技术,你难道不想了解新的安全技术,装备新的安全产品,以保护自己的爱机、绝密的资料吗?不要担心,“安全新秀”将会为你介绍最新的安全技术、资讯,最新的安全产品,让你永远走在安全的前沿。 对于个人用户来说,主要是依靠基于操作系统的软件网络防火墙(如天网...
1、概述   计算机的安全性历来都是人们讨论的主要话题之一。而计算机安全主要研究的是计算机病毒的防治和系统的安全。在计算机网络日益扩展和普及的今天,计算机安全的要求更高,涉及面更广。不但要求防治病毒,还要提高系统抵抗外来非法黑客入侵的能力,还要提高对远程数据传输的保密性,避免在传输途中遭受非法窃取。  &nb...
标签: 软件教程
360安全卫士相信是大家经常使用的一款安全软件,在360安全卫士更新了以后很多的功能入口都变了。下面小编就告诉大家怎么360安全卫士在哪 1、木马防火墙功能模块做了一些更新;单击右侧的“安全防护中心 2、看到没有,木马防火墙功能整合到了安全防护中心里面单击展开各类防护; 3、标悬浮于已开启的防护...
第一步:在电脑主页打开我的电脑,进入我的电脑后,在左边菜单里找到控制面板。打开。 第二步:进入控制面板之后,我们在里面找到安全中心,点击打开安全中心。 第三步:打开之后,我们就可以看到安全基础,在里面找到防火墙,双击。出现一个师傅关闭防火墙,点击是。 第四步:然后会进入防火墙设置,会弹出一个提...
(一)  防火墙介绍     防火墙是一种功能,它使得内部网络和外部网络或Internet互相隔离,以此来保护内部网络或主机。简单的防火墙可以由Router,3 Layer Switch的ACL(access control list)来充当,也可以用一台主机,甚至是一个子网来实现。复杂的可以购买专门的硬件防火墙或软件防火墙来实现。   ...

经验教程

210

收藏

47
微博分享 QQ分享 QQ空间 手机页面 收藏网站 回到头部