返回
看防火墙是如何应对网络攻击的

看防火墙是如何应对网络攻击的

ID:44004700

大小:23.48 KB

页数:9页

时间:2019-10-17

看防火墙是如何应对网络攻击的_第1页
看防火墙是如何应对网络攻击的_第2页
看防火墙是如何应对网络攻击的_第3页
看防火墙是如何应对网络攻击的_第4页
看防火墙是如何应对网络攻击的_第5页
资源描述:

《看防火墙是如何应对网络攻击的》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、前言    信息和网络安全技术历经十多年的发展,无论在广度,还是在深度上,都有了很大的进步,其中一个重要的研究趋势就是注重攻防结合,追求最大化的动态安全。网络的攻与防,即为矛与盾。然而,与此相关的信息安全方面的文章大多数却是从盾来入手的,也就是说从防御的角度来论述。   作为网管员来说,他要学习信息安全知识的话,不仅需要了解防护方面的技术,也需要了解检测和相应环节的技术(就是矛)。无数实践表明,最大的不安全,恰恰就是自以为安全!因为,信息安全具有很强的对抗性,威胁时刻存在,各种各样的安全问题常会掩盖在表面的平静之下。   有太多的古训,诸如“隐患险于明火”

2、、“知己知彼,百战不殆”……对于今天的网络信息安全防御依然有借鉴意义。对于实施攻击的黑客手法的洞悉,对于自身脆弱性的意识,都是自身安全的前提。   为帮助广大网管员了解网络攻击和防火墙的方方面面,本文作者将从攻防兼备的角度,尽可能将纷繁复杂、是似而非的攻防思路整理清晰,以飨广大网管员。 防火墙的基础知识    防火墙是由楔和门两类功能部件构成,典型的防火墙包括一外一内两个楔和夹在中间的一个门。楔通常由路由器承担,而门通常由相当简化了操作系统的主机承担。换言之,楔强制内部网络和外部网络之间的通信通过门进行,门则执行安全措施并代理网络服务;门与内外楔之间分别链

3、接一个独立的子网,其中,外楔和门之间的子网可以有一个非军事区,这块可部署对外的网络服务如www、ftp、dns等等。内外楔应阻塞不希望穿越防火墙的所有网络服务的分组,   目前有两类主导性的防火墙:应用代理和分组过滤网关,这同防火墙概念中的门和楔功能部件相对应,但实际上,完善的防火墙需要这两个部件的有机结合,而不是孤立的发挥作用。   防火墙一般有两个以上的网卡,一个连到外部(router),另一个是连到内部网络。当打开主机网络转发功能时,两个网卡间的网络通讯能直接通过。当有防火墙时,他好比插在网卡之间,对所有的网络通讯进行控制,示意图如下: ││---路

4、由器-----网卡│防火墙│网卡│----------内部网络││   防火墙主要通过一个访问控制表来判断的,它的形式一般是一连串的如下规则:1acceptfrom+源地址,端口to+目的地址,端口+采取的动作2deny...........(deny是拒绝)3nat............(nat是地址转换)   防火墙在网络层(包括以下的链路层)接收到网络数据包后,就从上面的规则连表一条一条地匹配,如果符合就执行预先安排的动作,如丢弃包等。  矛与盾的较量    几千年前的孙子兵法就写道:不知彼而知己,一胜一负;不知彼,不知己,每战必殆。   我们作为

5、网络管理员,要做到能够检测并预防相应的攻击,就必须了解入侵者的手段,这样,我们才能有针对性的防范。   我们知道,盗窃者在开始犯罪之前,必须完成三个基本的步骤:踩点、查点、行动。比如,有一个盗窃团伙决定抢银行的时候,他们会事先花大量时间去收集这家银行的信息,如武装押运车的路线和押送时间,摄像头的位置和范围,出纳员人数,逃跑路线一起其他任何有助于避免发生意外情况的信息。   对于网络入侵者而言,也是一样的。他要入侵某个网络,事先也必须收集大量的信息──关于该机构的网络安全情况的各个方面的信息,如果不进行踩点就贸然攻击,这个行为简直就是愚蠢的,就好比径直走进银

6、行开始要钱。   只要想查,任何人都可以获取有关你的网络安全情况──其可用信息数量之多往往会超出你的想像!   入侵防火墙的第一步就是查找和判断防火墙。然后就是进行攻击防火墙。 踩点之直接扫描查找防火墙 矛    有些防火墙会在简单的端口扫描下原形毕露──防火墙有特定端口在监听──你只需要知道哪些端口应该去扫描,比如,CheckPoint的Firewall-1防火墙在256、257、258号的TCP端口监听,MicrosoftProxyServer2.0防火墙在1080、1745号TCP端口监听……只要知道每个防火墙监听的缺省端口,就可以用端口扫描软件来对

7、特定缺省端口进行扫描来查找防火墙,如使用nmap[S1]程序来扫描:nmap-n-vv-P0-p256,1080,174510.152.1.1-60.254   因为大多数防火墙不会对ICMP应答,所以上述命令加上了-P0选项来禁止ICMPping。其他端口扫描软件要视其说明文件来设置禁止ICMPping。   不过,如果该机构部署了入侵检测系统(IDS)的话,用这种方式对目标网络执行大范围的扫描,显然有些愚蠢和鲁莽,所以,水平比较高的入侵者不会这样明目张胆的踩点,他们可能使用多种技巧以避免对方的注意,如对Ping探测分组、目标端口、目标地址和源端口进行随

8、机顺序扫描,执行欺骗性源主机执行分布式源扫描等等。 盾    要彻

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。