計算機網絡攻擊常見手法及防范

http://www.yibo1263.com　2008-4-29 7:22:41 　來源:金山軟件　編輯:張佳奇

　　從趨勢上看，未來的防火墻將位于網絡級防火墻和應用級防火墻之間，也就是說，網絡級防火墻將變得更加能夠識別通過的信息，而應用級防火墻在目前的功能上則向“透明”、“低級”方面發(fā)展。最終防火墻將成為一個快速注冊稽查系統(tǒng)，可保護數(shù)據(jù)以加密方式通過，使所有組織可以放心地在節(jié)點間傳送數(shù)據(jù)。

　�。ㄋ模┓阑饓Φ呐渲�

　　防火墻配置有三種：Dual-homed方式、Screened-host方式和Screened-subnet方式。Dual-homed方式最簡單。 Dual-homedGateway放置在兩個網絡之間，這個Dual-omedGateway又稱為bastionhost。

　　這種結構成本低，但是它有單點失敗的問題。這種結構沒有增加網絡安全的自我防衛(wèi)能力，而它往往是受“黑客”攻擊的首選目標，它自己一旦被攻破，整個網絡也就暴露了。

　　Screened-host方式中的Screeningrouter為保護Bastionhost的安全建立了一道屏障。它將所有進入的信息先送往Bastionhost，并且只接受來自Bastionhost的數(shù)據(jù)作為出去的數(shù)據(jù)。

　　這種結構依賴Screeningrouter和Bastionhost，只要有一個失敗，整個網絡就暴露了。Screened-subnet包含兩個Screeningrouter和兩個Bastionhost。在公共網絡和私有網絡之間構成了一個隔離網，稱之為”�；饏^(qū)”（DMZ，即DemilitarizedZone）,Bastionhost放置在”�；饏^(qū)”內。這種結構安全性好，只有當兩個安全單元被破壞后，網絡才被暴露，但是成本也很昂貴。

（五）防火墻的安全措施

　　各種防火墻的安全性能不盡相同。這里僅介紹一些一般防火墻的常用安全措施：

　　1.防電子欺騙術

　　防電子欺騙術功能是保證數(shù)據(jù)包的IP地址與網關接口相符，防止通過修改IP地址的方法進行非授權訪問。還應對可疑信息進行鑒別，并向網絡管理員報警。

　　2.網絡地址轉移

　　地址轉移是對Internet隱藏內部地址，防止內部地址公開。這一功能可以克服IP尋址方式的諸多限制，完善內部尋址模式。把未注冊IP地址映射成合法地址，就可以對Internet進行訪問。

　　3.開放式結構設計

　　開放式結構設計使得防火墻與相關應用程序和外部用戶數(shù)據(jù)庫的連接相當容易，典型的應用程序連接如財務軟件包、病毒掃描、登錄分析等。

　　4.路由器安全管理程序

　　它為Bay和Cisco的路由器提供集中管理和訪問列表控制。

　　（六）傳統(tǒng)防火墻的五大不足

　　1．無法檢測加密的Web流量

　　如果你正在部署一個光鍵的門戶網站，希望所有的網絡層和應用層的漏洞都被屏蔽在應用程序之外。這個需求，對于傳統(tǒng)的網絡防火墻而言，是個大問題。

　　由于網絡防火墻對于加密的SSL流中的數(shù)據(jù)是不可見的，防火墻無法迅速截獲SSL數(shù)據(jù)流并對其解密，因此無法阻止應用程序的攻擊，甚至有些網絡防火墻，根本就不提供數(shù)據(jù)解密的功能。

　　2、普通應用程序加密后，也能輕易躲過防火墻的檢測

　　網絡防火墻無法看到的，不僅僅是SSL加密的數(shù)據(jù)。對于應用程序加密的數(shù)據(jù)，同樣也不可見。在如今大多數(shù)網絡防火墻中，依賴的是靜態(tài)的特征庫，與入侵監(jiān)測系統(tǒng)（IDS，Intrusion Detect System）的原理類似。只有當應用層攻擊行為的特征與防火墻中的數(shù)據(jù)庫中已有的特征完全匹配時，防火墻才能識別和截獲攻擊數(shù)據(jù)。

　　但如今，采用常見的編碼技術，就能夠地將惡意代碼和其他攻擊命令隱藏起來，轉換成某種形式，既能欺騙前端的網絡安全系統(tǒng)，又能夠在后臺服務器中執(zhí)行。這種加密后的攻擊代碼，只要與防火墻規(guī)則庫中的規(guī)則不一樣，就能夠躲過網絡防火墻，成功避開特征匹配。

　　3、對于Web應用程序，防范能力不足

　　網絡防火墻于1990年發(fā)明，而商用的Web服務器，則在一年以后才面世。基于狀態(tài)檢測的防火墻，其設計原理，是基于網絡層TCP和IP地址，來設置與加強狀態(tài)訪問控制列表（ACLs，Access Control Lists）。在這一方面，網絡防火墻表現(xiàn)確實十分出色。

本新聞共5頁,當前在第4頁 1 2 3 4 5

【收藏】【打印】【進入論壇】

·日本研究者發(fā)現(xiàn)一分鐘攻破WPA技術

·黑客攻防：網站常見后門總結

·拒絕黑客巧設網站目錄與數(shù)據(jù)庫權限

·黑客如何查找互聯(lián)網網絡安全漏洞

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费