當(dāng)前位置 : 首頁(yè)>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)軟件>正文

學(xué)習(xí)邊界防火墻的應(yīng)用

http://www.yibo1263.com　2008/6/12 8:46:08 　來源:本站　編輯:葉子

　　3、DNS

　　DNS服務(wù)器可為互聯(lián)網(wǎng)提供域名解析服務(wù)，對(duì)任何網(wǎng)絡(luò)應(yīng)用都十分關(guān)鍵。同時(shí)在其中也包括了非常重要的網(wǎng)絡(luò)配置信息，如用戶主機(jī)名和IP地址等。正因如此，對(duì)DNS服務(wù)器要采取特別的安全保護(hù)措施。

　　為了安全起見，建議在防火墻網(wǎng)絡(luò)中，對(duì)內(nèi)部DNS服務(wù)器和外部DNS服務(wù)器進(jìn)行分開放置。為互聯(lián)網(wǎng)服務(wù)的外部DNS服務(wù)器不應(yīng)該包含對(duì)外禁止訪問的內(nèi)部網(wǎng)絡(luò)系統(tǒng)的相關(guān)服務(wù)，需要專門放置在內(nèi)部DNS服務(wù)器上。如果將內(nèi)部網(wǎng)絡(luò)的相關(guān)服務(wù)需放置在外部DNS服務(wù)器上，則會(huì)為非法攻擊者提供攻擊對(duì)象目標(biāo)信息。這種將內(nèi)部DNS服務(wù)器和外部DNS服務(wù)器分隔開的網(wǎng)絡(luò)配置方案通常稱之為“分割DNS”。圖11描述了一個(gè)典型的“DNS分割”的例子：

請(qǐng)?zhí)砑用枋?src="/Files/BeyondPic/2008-6/12/1082559031992.jpg"

請(qǐng)?zhí)砑用枋?src="/Files/BeyondPic/2008-6/12/1082559031992.jpg"

　　在這種典型防火墻DNS服務(wù)器配置網(wǎng)絡(luò)結(jié)構(gòu)中，內(nèi)部DNS服務(wù)器專用來為內(nèi)部網(wǎng)絡(luò)系統(tǒng)進(jìn)行名稱解析，使得內(nèi)部網(wǎng)絡(luò)用戶可以通過它連接到其它內(nèi)部系統(tǒng)，其中就包括內(nèi)部防火墻和內(nèi)部DMZ；外部DNS使得外部網(wǎng)絡(luò)能夠解析出主防火墻、外部DNS服務(wù)器、外部DMZ區(qū)的主機(jī)名字，但不能解析出內(nèi)部網(wǎng)絡(luò)系統(tǒng)主機(jī)的名字。

　　6、入侵檢測(cè)

　　安全檢測(cè)是信息保障的一個(gè)重要環(huán)節(jié)，也新型防火墻的一個(gè)重要功能。目前主要的安全檢測(cè)技術(shù)包括入侵檢測(cè)、漏洞掃描和病毒檢測(cè)。

　　入侵檢測(cè)系統(tǒng)(Intrusion Detection System，IDS)能夠?qū)W(wǎng)絡(luò)中未經(jīng)授權(quán)用戶的訪問進(jìn)行報(bào)警，某些時(shí)候還能夠通過其它手段預(yù)防這種非法網(wǎng)絡(luò)行為。它只能發(fā)現(xiàn)已發(fā)生的非法訪問，而且檢測(cè)本身不能提供安全保護(hù)的作用，但是很多入侵檢測(cè)產(chǎn)品能夠和防火墻這類網(wǎng)絡(luò)安全保護(hù)產(chǎn)品聯(lián)動(dòng)，一旦入侵檢測(cè)發(fā)現(xiàn)攻擊行為，它可以通知防火墻修改安全規(guī)則，阻止后續(xù)的攻擊網(wǎng)流。

　　入侵檢測(cè)方式目前主要分為三類：基于主機(jī)的入侵檢測(cè)、基于網(wǎng)絡(luò)的入侵檢測(cè)和基于應(yīng)用的入侵檢測(cè)。

　　建議將基于主機(jī)的入侵檢測(cè)和基于應(yīng)用的入侵檢測(cè)產(chǎn)品配置在關(guān)鍵業(yè)務(wù)服務(wù)器上，以檢測(cè)主機(jī)應(yīng)用層次的網(wǎng)絡(luò)攻擊行為，尤其是基于用戶的攻擊行為檢測(cè)。這屬于一種高級(jí)的入侵檢測(cè)手段，它所檢測(cè)的范圍覆蓋整個(gè)網(wǎng)絡(luò)和應(yīng)用。必須清楚，這兩類產(chǎn)品有極大的安全缺陷：

　　(1)、　時(shí)間上的滯后性，由于它們的檢測(cè)資料來源是主機(jī)操作系統(tǒng)/應(yīng)用的日志記錄，因此難以做到實(shí)時(shí)反應(yīng)；
　　(2)、其檢測(cè)分析結(jié)果的準(zhǔn)確性完全依賴于主機(jī)操作系統(tǒng)日志記錄的全面性和準(zhǔn)確性；
　　(3)、占用較多主機(jī)資源。

　　如果防火墻具有一定的入侵檢測(cè)功能，則可以在主防火墻上打開此功能，在防火墻上使用入侵檢測(cè)功能可以相當(dāng)程度地抵制來自外部網(wǎng)絡(luò)的DoS(拒絕服務(wù)攻擊)攻擊和地址欺騙攻擊。

　　部署在某些區(qū)域的入侵檢測(cè)產(chǎn)品如果能和相關(guān)的防火墻在網(wǎng)絡(luò)上可通，則可以發(fā)揮它們之間的聯(lián)動(dòng)功能，提高安全效率。

　　在漏洞和病毒檢測(cè)方面，邊界防火墻比較難以實(shí)現(xiàn)，而在個(gè)人防火墻和分布式防火墻中卻較容易。因?yàn)樗鼈冎熊浖δ芊浅?qiáng)大，而且還可以實(shí)時(shí)自動(dòng)聯(lián)網(wǎng)升級(jí)。以實(shí)現(xiàn)對(duì)最新的系統(tǒng)和病毒進(jìn)行跟蹤檢測(cè)的目的，最大限度地保證檢測(cè)的有效性。所以在個(gè)人防火墻就有好幾種防火墻的叫法，如病毒防火墻、網(wǎng)絡(luò)防火墻和郵件防火墻等。從這些名字我們要吧看出這些防火墻的主要功能。

　　好了，關(guān)于防火墻的主要應(yīng)用網(wǎng)絡(luò)結(jié)構(gòu)及應(yīng)用配置就介紹至此。

本新聞共7頁(yè),當(dāng)前在第7頁(yè) 1 2 3 4 5 6 7

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费