2章網(wǎng)賣企影與 73
并審查常規(guī)記錄,防火墻就形同虛設(shè)。在這種情況下,網(wǎng)絡(luò)管理員永遠不會知道防火墻是否受 到攻擊。 Internet I防火墻可以作為部署NAT( Network Address Translator,網(wǎng)絡(luò)地址變換)的邏
輯地址。因此,防火墻可以用來緩解地址空間短缺的問題,并消除機構(gòu)在變換ISP時帶來的重
新編址的麻煩。心只 ,常的路項要島,民口中眼
防火墻的安全保障技術(shù)防火墻的安全保障技術(shù)是基于被保護網(wǎng)絡(luò)具有明確定義的邊界和服務(wù),并且網(wǎng)絡(luò)安全的
屏蔽有關(guān)被保護網(wǎng)絡(luò)的信息、結(jié)構(gòu),實現(xiàn)對網(wǎng)絡(luò)的安全保護,因而比較適合于相對獨立,與外 威脅僅來自于外部網(wǎng)絡(luò)。它通過監(jiān)測、限制以及更改跨越防火墻的數(shù)據(jù)流,盡可能地對外部網(wǎng)
部網(wǎng)絡(luò)互聯(lián)途徑有限并且網(wǎng)絡(luò)服務(wù)種類相對單一集中的網(wǎng)絡(luò)系統(tǒng)。防火墻系統(tǒng)在技木原理
上對來自內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全威脅不具備防范作用,并且常常需要有特殊的較為封閉的網(wǎng)絡(luò)
拓撲結(jié)構(gòu)來支持。對網(wǎng)絡(luò)安全功能的加強往往以網(wǎng)絡(luò)服務(wù)的靈活性、多樣性和開放性為代價
且需要較大的網(wǎng)絡(luò)管理開銷?;刂碑?,日通內(nèi)阻野,頭國,政語,圖年的
盡管防火墻已經(jīng)在 Internet業(yè)界得到了廣泛的應(yīng)用,但與防火墻有關(guān)的話題仍然十分敏
感。防火墻的用戶把防火墻看作是一種重要的新型安全措施,因為它把諸多安全功能集于二
點上,大大簡化了安裝、配置和管理的手續(xù)。防火墻的另一特色是它不限于TCP/IP協(xié)議,從
而不只適用于 Internet,類似的技術(shù)完全可以在任何分組交換的網(wǎng)絡(luò)當中使用。例如x.25或
ATM都可以。會的金同內(nèi)業(yè)生限不的思中図內(nèi)業(yè)全
個部分。安全策略建立全方位的防御體系基至包括:告訴用戶應(yīng)有的任公司規(guī)定的網(wǎng) 防火墻不僅僅是路由器、堡全主機或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合,而且是安全策略的
絡(luò)訪間、服務(wù)訪問、本地和遠地的用戶認證、投人和出、磁盤和數(shù)據(jù)加密、病毒防護措施,以及 雇員培訓(xùn)等。所有可能受到攻擊的地方都必須以同樣的安全級別加以保護。僅設(shè)立防火墻系
統(tǒng),而沒有全面的安全策略,那么防火墻就形同虛設(shè)。后中人に
3.過濾網(wǎng)上信息。數(shù)據(jù)包過濾技術(shù)顧名思義,是在網(wǎng)絡(luò)中適當?shù)奈恢脤?shù)據(jù)包實施有選
擇的通過,選擇的依據(jù)即為系統(tǒng)內(nèi)設(shè)置的過濾原則(通常稱為訪問控制表 Access Control
List)。只有滿足過濾規(guī)則的數(shù)據(jù)包才被轉(zhuǎn)發(fā)至相應(yīng)的目的地,其余的數(shù)據(jù)包則被從數(shù)據(jù)流中
刪除。包過濾技術(shù)的實現(xiàn)方式相當簡潔,目前大多數(shù)網(wǎng)絡(luò)的路由設(shè)備通常都具有一定的數(shù)據(jù)
包過濾能力。因而是路由設(shè)備在完成路由和轉(zhuǎn)發(fā)功能之外,同時進行包過濾,可以提供廉價
有效、容易重新配置和具有一定靈活性的網(wǎng)絡(luò)級安全。
此外,在工作站上使用軟件進行包過濾,也不失為一種可行的方案,但較為昂貴。若在適
當?shù)穆酚稍O(shè)備上啟動包過濾功能(作此用途的路由器稱為屏蔽路由器 Screening Route),則通
常不需要額外增加硬件軟件配置,也不需要對網(wǎng)絡(luò)拓撲結(jié)構(gòu)作改動。但是,包過濾是在網(wǎng)絡(luò)層
和傳輸層上運作的技術(shù),本身對網(wǎng)絡(luò)的保護功能有局限性,對位于網(wǎng)絡(luò)更高協(xié)議層的信息無理
解力,因而也對通過網(wǎng)絡(luò)應(yīng)用層協(xié)議實現(xiàn)的安全威脅無防范作用。
目前商業(yè)包過濾防火墻超出常規(guī)的路由器,它增加了廣泛的記錄功能和安全功能,如偵察
電子欺騙(外部機器聲稱自己是受委托主機)。記錄功能不僅能分析進攻的情況,而且對保護
網(wǎng)絡(luò)和提供法律依據(jù)都是極其重要的。
4.限制系統(tǒng)
(1)配置軟件。通過增加軟硬件,或者對系統(tǒng)進行配置,例如增強記賬,來保護系統(tǒng)的安
同穿鄉(xiāng)控 就很有用了。畫更當,同。入好與動,巧
(4)殺死這個進程來切斷人侵者與系統(tǒng)的接。拔下調(diào)制解調(diào)器或網(wǎng)線,或者干關(guān)用
算機。甲 (S)管理員可以使用一些工具來監(jiān)視人侵者,觀察他們在做什么。這些工具包括So 與度會題
ps、 Lastcomm和 Ttywatch等 訪問系統(tǒng),這種情況不太好,因為這需要事先與電話公司聯(lián)系。ジー中 (6)p、w和W這些命令可以報告每一個用戶使用的終端。如果人侵者是從一個終t
查看哪些用戶登錄進遠程系統(tǒng)。人否遲人出西論下,中 (7)使用who和 Netstat可以發(fā)現(xiàn)人侵從哪個主機上過來,然后可以使用 Finger命令
=2.10.,4“預(yù)防和補救 1.使用安全工具。有許多工具可以讓我們發(fā)現(xiàn)系統(tǒng)中的漏洞如果關(guān)注網(wǎng)絡(luò)安全,不
不知道一個非常有名的工具: SATAN。怕題人原,ヨ的的一量
信息,識別一些與網(wǎng)絡(luò)相關(guān)的安全問題。對所發(fā)現(xiàn)的問題, SATAN提供對這個問題的解釋 SATAN是一個分析網(wǎng)絡(luò)的管理、測試和報告的工具。它用來收集網(wǎng)絡(luò)上的主機的許多
題。在前面對 SATAN已做了比較詳細的介紹。等原是 及它可能對系統(tǒng)和網(wǎng)絡(luò)安全造成影響的程度,并且通過所附的資料,還能解釋如何處理這些間
資源下,迅速地定位和描述一臺目標主機(遠程)或者許多臺主機的所有TCP“監(jiān)聽”端口 另一個工具是 Strobe。它是一個TCP端口掃描器。它可在最大帶寬利用率和最小選程
方便的協(xié)議分析和網(wǎng)絡(luò)監(jiān)控工具。它是一個優(yōu)秀的軟件,能監(jiān)控多個網(wǎng)段,并且允許多監(jiān)控程 etxray協(xié)議分析和網(wǎng)絡(luò)監(jiān)控軟件是運行于 Windows95和 Windows NT上的功能強大、使用
序存在,同時還能捕捉想要的任何類型的報文。
但不能阻止或預(yù)防客入侵系統(tǒng),且不是每個操作系統(tǒng)都有 Tripwil之類的工具。 Tripwire 如果是Unix系統(tǒng),有一個程序叫 tripwire,可以定時地檢查系統(tǒng)文件和程序是否被修改
是免費的,如果有興趣,可訪問如下URL: 主高w面,的合
ftp:: /coast. cs. purdue. edu/pub/COAST/tripwire 另外一種快速檢測方法,就是檢查日志文件中的訪問和錯誤記錄,從中找出一些可能的話
動,對于rm, login,/ /bin/sh及Per等系統(tǒng)命令要跟蹤。
應(yīng)對于 Windows NT平臺,可定期檢查 Event Log中的 Security記錄,察看是否有可疑情況 2.使用防火墻。 Internet防火墻是這樣的系統(tǒng)(或一組系統(tǒng)),它能增強機構(gòu)內(nèi)部網(wǎng)絡(luò)
安全性。防火墻系統(tǒng)決定了哪些內(nèi)部服務(wù)可以被外界訪問;外界的哪些人可以訪問內(nèi)部的
些服務(wù),以及哪些外部服務(wù)可以被內(nèi)部人員訪問。要使一個防火墻有效,所有來自和去往
火墻本身也必須能夠免于診透。當ー同さ人。で的 ternet f的信息都必須經(jīng)過防火墻,接受防火墻的檢査。防火墻只允許授權(quán)的數(shù)據(jù)通過,并且
在防火墻上可以很方便的監(jiān)視網(wǎng)絡(luò)的安全性,并產(chǎn)生報警(注意:對一個與 Internet相 人這
的內(nèi)部網(wǎng)絡(luò)來說,重要的問題并不是網(wǎng)絡(luò)是否會受到攻擊,而是何時受到攻擊?誰在攻擊) 網(wǎng)絡(luò)管理員必須審計并記錄所有通過防火墻的重要信息。 同穿鄉(xiāng)控 就很有用了。畫更當,同。入好與動,巧
(4)殺死這個進程來切斷人侵者與系統(tǒng)的接。拔下調(diào)制解調(diào)器或網(wǎng)線,或者干關(guān)用
算機。甲 (S)管理員可以使用一些工具來監(jiān)視人侵者,觀察他們在做什么。這些工具包括So 與度會題
ps、 Lastcomm和 Ttywatch等 訪問系統(tǒng),這種情況不太好,因為這需要事先與電話公司聯(lián)系。ジー中 (6)p、w和W這些命令可以報告每一個用戶使用的終端。如果人侵者是從一個終t
查看哪些用戶登錄進遠程系統(tǒng)。人否遲人出西論下,中 (7)使用who和 Netstat可以發(fā)現(xiàn)人侵從哪個主機上過來,然后可以使用 Finger命令
=2.10.,4“預(yù)防和補救 1.使用安全工具。有許多工具可以讓我們發(fā)現(xiàn)系統(tǒng)中的漏洞如果關(guān)注網(wǎng)絡(luò)安全,不
不知道一個非常有名的工具: SATAN。怕題人原,ヨ的的一量
信息,識別一些與網(wǎng)絡(luò)相關(guān)的安全問題。對所發(fā)現(xiàn)的問題, SATAN提供對這個問題的解釋 SATAN是一個分析網(wǎng)絡(luò)的管理、測試和報告的工具。它用來收集網(wǎng)絡(luò)上的主機的許多
題。在前面對 SATAN已做了比較詳細的介紹。等原是 及它可能對系統(tǒng)和網(wǎng)絡(luò)安全造成影響的程度,并且通過所附的資料,還能解釋如何處理這些間
資源下,迅速地定位和描述一臺目標主機(遠程)或者許多臺主機的所有TCP“監(jiān)聽”端口 另一個工具是 Strobe。它是一個TCP端口掃描器。它可在最大帶寬利用率和最小選程
方便的協(xié)議分析和網(wǎng)絡(luò)監(jiān)控工具。它是一個優(yōu)秀的軟件,能監(jiān)控多個網(wǎng)段,并且允許多監(jiān)控程 etxray協(xié)議分析和網(wǎng)絡(luò)監(jiān)控軟件是運行于 Windows95和 Windows NT上的功能強大、使用
序存在,同時還能捕捉想要的任何類型的報文。
但不能阻止或預(yù)防客入侵系統(tǒng),且不是每個操作系統(tǒng)都有 Tripwil之類的工具。 Tripwire 如果是Unix系統(tǒng),有一個程序叫 tripwire,可以定時地檢查系統(tǒng)文件和程序是否被修改
是免費的,如果有興趣,可訪問如下URL: 主高w面,的合
ftp:: /coast. cs. purdue. edu/pub/COAST/tripwire 另外一種快速檢測方法,就是檢查日志文件中的訪問和錯誤記錄,從中找出一些可能的話
動,對于rm, login,/ /bin/sh及Per等系統(tǒng)命令要跟蹤。
應(yīng)對于 Windows NT平臺,可定期檢查 Event Log中的 Security記錄,察看是否有可疑情況 2.使用防火墻。 Internet防火墻是這樣的系統(tǒng)(或一組系統(tǒng)),它能增強機構(gòu)內(nèi)部網(wǎng)絡(luò)
安全性。防火墻系統(tǒng)決定了哪些內(nèi)部服務(wù)可以被外界訪問;外界的哪些人可以訪問內(nèi)部的
些服務(wù),以及哪些外部服務(wù)可以被內(nèi)部人員訪問。要使一個防火墻有效,所有來自和去往
火墻本身也必須能夠免于診透。當ー同さ人。で的 ternet f的信息都必須經(jīng)過防火墻,接受防火墻的檢査。防火墻只允許授權(quán)的數(shù)據(jù)通過,并且
在防火墻上可以很方便的監(jiān)視網(wǎng)絡(luò)的安全性,并產(chǎn)生報警(注意:對一個與 Internet相 人這
的內(nèi)部網(wǎng)絡(luò)來說,重要的問題并不是網(wǎng)絡(luò)是否會受到攻擊,而是何時受到攻擊?誰在攻擊) 網(wǎng)絡(luò)管理員必須審計并記錄所有通過防火墻的重要信息。網(wǎng)站建設(shè)如果網(wǎng)絡(luò)管理員不能及時響應(yīng)根如果網(wǎng)絡(luò)管理員不能及時響應(yīng)根
本文地址:http://m.blackside-inc.com//article/3754.html
