防火墻的安全保障技術

2022-05-05 分類：網站建設

2章網賣企影與 73

并審查常規(guī)記錄，防火墻就形同虛設。在這種情況下，網絡管理員永遠不會知道防火墻是否受到攻擊。 Internet I防火墻可以作為部署NAT( Network Address Translator，網絡地址變換)的邏

輯地址。因此，防火墻可以用來緩解地址空間短缺的問題，并消除機構在變換ISP時帶來的重

新編址的麻煩。心只，常的路項要島，民口中眼

防火墻的安全保障技術防火墻的安全保障技術是基于被保護網絡具有明確定義的邊界和服務，并且網絡安全的

屏蔽有關被保護網絡的信息、結構，實現對網絡的安全保護，因而比較適合于相對獨立，與外威脅僅來自于外部網絡。它通過監(jiān)測、限制以及更改跨越防火墻的數據流，盡可能地對外部網

部網絡互聯途徑有限并且網絡服務種類相對單一集中的網絡系統。防火墻系統在技木原理

上對來自內部網絡系統的安全威脅不具備防范作用，并且常常需要有特殊的較為封閉的網絡

拓撲結構來支持。對網絡安全功能的加強往往以網絡服務的靈活性、多樣性和開放性為代價

且需要較大的網絡管理開銷。回直當，日通內阻野，頭國，政語，圖年的

盡管防火墻已經在 Internet業(yè)界得到了廣泛的應用，但與防火墻有關的話題仍然十分敏

感。防火墻的用戶把防火墻看作是一種重要的新型安全措施，因為它把諸多安全功能集于二

點上，大大簡化了安裝、配置和管理的手續(xù)。防火墻的另一特色是它不限于TCP/IP協議，從

而不只適用于 Internet，類似的技術完全可以在任何分組交換的網絡當中使用。例如x.25或

ATM都可以。會的金同內業(yè)生限不的思中図內業(yè)全

個部分。安全策略建立全方位的防御體系基至包括:告訴用戶應有的任公司規(guī)定的網防火墻不僅僅是路由器、堡全主機或任何提供網絡安全的設備的組合，而且是安全策略的

絡訪間、服務訪問、本地和遠地的用戶認證、投人和出、磁盤和數據加密、病毒防護措施，以及雇員培訓等。所有可能受到攻擊的地方都必須以同樣的安全級別加以保護。僅設立防火墻系

統，而沒有全面的安全策略，那么防火墻就形同虛設。后中人に

3.過濾網上信息。數據包過濾技術顧名思義，是在網絡中適當的位置對數據包實施有選

擇的通過，選擇的依據即為系統內設置的過濾原則(通常稱為訪問控制表 Access Control

List)。只有滿足過濾規(guī)則的數據包才被轉發(fā)至相應的目的地，其余的數據包則被從數據流中

刪除。包過濾技術的實現方式相當簡潔，目前大多數網絡的路由設備通常都具有一定的數據

包過濾能力。因而是路由設備在完成路由和轉發(fā)功能之外，同時進行包過濾，可以提供廉價

有效、容易重新配置和具有一定靈活性的網絡級安全。

此外，在工作站上使用軟件進行包過濾，也不失為一種可行的方案，但較為昂貴。若在適

當的路由設備上啟動包過濾功能(作此用途的路由器稱為屏蔽路由器 Screening Route)，則通

常不需要額外增加硬件軟件配置，也不需要對網絡拓撲結構作改動。但是，包過濾是在網絡層

和傳輸層上運作的技術，本身對網絡的保護功能有局限性，對位于網絡更高協議層的信息無理

解力，因而也對通過網絡應用層協議實現的安全威脅無防范作用。

目前商業(yè)包過濾防火墻超出常規(guī)的路由器，它增加了廣泛的記錄功能和安全功能，如偵察

電子欺騙(外部機器聲稱自己是受委托主機)。記錄功能不僅能分析進攻的情況，而且對保護

網絡和提供法律依據都是極其重要的。

4.限制系統

(1)配置軟件。通過增加軟硬件，或者對系統進行配置，例如增強記賬，來保護系統的安

同穿鄉(xiāng)控就很有用了。畫更當，同。入好與動，巧

(4)殺死這個進程來切斷人侵者與系統的接。拔下調制解調器或網線，或者干關用

算機。甲 (S)管理員可以使用一些工具來監(jiān)視人侵者，觀察他們在做什么。這些工具包括So 與度會題

ps、 Lastcomm和 Ttywatch等訪問系統，這種情況不太好，因為這需要事先與電話公司聯系。ジー中 (6)p、w和W這些命令可以報告每一個用戶使用的終端。如果人侵者是從一個終t

查看哪些用戶登錄進遠程系統。人否遲人出西論下，中 (7)使用who和 Netstat可以發(fā)現人侵從哪個主機上過來，然后可以使用 Finger命令

=2.10.，4“預防和補救 1.使用安全工具。有許多工具可以讓我們發(fā)現系統中的漏洞如果關注網絡安全，不

不知道一個非常有名的工具: SATAN。怕題人原，ヨ的的一量

信息，識別一些與網絡相關的安全問題。對所發(fā)現的問題， SATAN提供對這個問題的解釋 SATAN是一個分析網絡的管理、測試和報告的工具。它用來收集網絡上的主機的許多

題。在前面對 SATAN已做了比較詳細的介紹。等原是及它可能對系統和網絡安全造成影響的程度，并且通過所附的資料，還能解釋如何處理這些間

資源下，迅速地定位和描述一臺目標主機(遠程)或者許多臺主機的所有TCP“監(jiān)聽”端口另一個工具是 Strobe。它是一個TCP端口掃描器。它可在大帶寬利用率和最小選程

方便的協議分析和網絡監(jiān)控工具。它是一個優(yōu)秀的軟件，能監(jiān)控多個網段，并且允許多監(jiān)控程 etxray協議分析和網絡監(jiān)控軟件是運行于 Windows95和 Windows NT上的功能強大、使用

序存在，同時還能捕捉想要的任何類型的報文。

但不能阻止或預防客入侵系統，且不是每個操作系統都有 Tripwil之類的工具。 Tripwire 如果是Unix系統，有一個程序叫 tripwire，可以定時地檢查系統文件和程序是否被修改

是免費的，如果有興趣，可訪問如下URL: 主高w面，的合

ftp:: /coast. cs. purdue. edu/pub/COAST/tripwire 另外一種快速檢測方法，就是檢查日志文件中的訪問和錯誤記錄，從中找出一些可能的話

動，對于rm， login，/ /bin/sh及Per等系統命令要跟蹤。

應對于 Windows NT平臺，可定期檢查 Event Log中的 Security記錄，察看是否有可疑情況 2.使用防火墻。 Internet防火墻是這樣的系統(或一組系統)，它能增強機構內部網絡

安全性。防火墻系統決定了哪些內部服務可以被外界訪問；外界的哪些人可以訪問內部的

些服務，以及哪些外部服務可以被內部人員訪問。要使一個防火墻有效，所有來自和去往

火墻本身也必須能夠免于診透。當ー同さ人。で的 ternet f的信息都必須經過防火墻，接受防火墻的檢査。防火墻只允許授權的數據通過，并且

在防火墻上可以很方便的監(jiān)視網絡的安全性，并產生報警(注意:對一個與 Internet相人這

的內部網絡來說，重要的問題并不是網絡是否會受到攻擊，而是何時受到攻擊?誰在攻擊) 網絡管理員必須審計并記錄所有通過防火墻的重要信息。同穿鄉(xiāng)控就很有用了。畫更當，同。入好與動，巧