返回
局域网面对攻击的安全策略

局域网面对攻击的安全策略

ID:46687216

大小:68.00 KB

页数:4页

时间:2019-11-26

局域网面对攻击的安全策略_第1页
局域网面对攻击的安全策略_第2页
局域网面对攻击的安全策略_第3页
局域网面对攻击的安全策略_第4页
资源描述:

《局域网面对攻击的安全策略》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、第五节局域网面对攻击的安全策略局域网的安全问题经常是而对來自Internet的攻击,因此你必须时刻防范这些恶意攻击,关注你局域网的计算机系统安全。在这篇文章里我们谈一谈网络攻击的机制,同时也着重讲述一下局域网系统避免遭受攻击的方法。这里我们使用网络址议分层模式來分析局域网的安全。从图1可以看到,网络的七层在不同程度上会遭受到不同方式的攻圭,如果攻击者取得成功,那将是非常危险的。而我们通常听到或见到的攻击往往发牛在应用层,这些攻击主要是针对Web服务器、浏览器和他们访问到的信息,比较常见的还冇攻击开放的

2、文性系统部分。下而两个方法从实践上來说被认为是非常有用的防范手段。I.包过滤应用层表示层会话层传输层次击Web、FTP和其它煦务,赫毒攻击跛解使用密钥加密的传檜盜取密码•菲法访何系统网络层数据链路层物理层更改tcp/ipmt.栏绝耶务的攻屁/英它协议找上易受到的各帥攻止阿络探割器.蒔洛伊人马生序图1七层模型易遭受的安全攻击在网络层检查通信数据,观察它的源地址和口的地址。过滤器可以禁止特定的地址或地址范围传出或进入,也可以禁止令人怀疑的地址模式。2.防火墙_^星?7茴桁卿恥2路由器細处你1掃E鮪-曲删子

3、科包过滤器息如頤耳稲(詔癮锁,靓这个的牝址,JO有图2包过滤器的配置在应用层检查通信数据,检查消息地址中的端口,或检查特定应用的消息内容。测试失败的任何通信数据将被拒绝。一、路山包过滤TCP/IP地址由机器地址和标识程序处理消息的端口数字组成。这个地址/端口组合信息对每个TCP/IP消息都是有效的。包过滤耳防火墙相比处理的简单一些,它仅是观察TCP/IP地址,而不是端口数字或消息内容。不过包过滤提供给你的是很好的网络安全工具。包过滤器通常使用的是自顶向下的操作原则,下面是它使用的一个典型规则:•允许所

4、有传出通信数据通过;•拒绝建立新的传入连接;•其它的数据•可以全部被接受。通过这样的使用规则,系统的安全性提高了许多。因为它拒绝了Internet上主动与你的计算机建立新连接的请求。它阻止使用TCP的通信数据进入,从而杜绝了对共亨驱动器和文件的未授权访问。过滤器通常的应用是配置在连接你的计算机和Internet的路由器上,如图2所示。在你的局域网和InternetZ间放置过滤器后,就可以保证局域网与Internet所有的通信数据都要经过过滤器。如果包过滤软件有能力检查源地址子网,从子网物理端口传递消息

5、到路由器,你就可以制定规则来避免虚假的TCP/IP地址,就象图2所示的那样。攻击者欺骗的方法就是把来口Internet的消息伪装成来口你局域网的消息。包过滤通过拒收带有不可能源地址的消息來防御攻击者的攻击。例如,假定你在一个装有Linux的机器上安装软件,让它作为一个Windows网络文件服务器,你可以配置Linux让它拒收所有來自你的了网以外的通信数据,阻止Internet±的机器看到这个文件服务器。如果攻击者假装是你内部的机器,用过滤器就可以阻止攻击者的攻击。包过滤虽然对网络的安全防范能起到很好的

6、作用,但包过滤也并不是万能的。它们一般不能防御使用UDP协议的攻击,因为过滤器不能拒收开放的消息。包过滤还不能防御低层攻击,象PING方式的攻击。二、防火墙使用防火墙软件可以在一定程度上控制局域网和Internet之间传递的数据。图3所示是一个TCP/IP数据包报头示意图,从它上面可以清楚地看到包辿遞和防火墙工作原理的不同之处。防火墙不但检杳了包过滤检查内容的所有部分(TCP/IP的源地址和H的地址),还检查了源/H的端口数字和包的内容。包过澹器j源TCP/IP地址防火協检査检查I目的TCP/IP地址

7、源TCP/IP端口目的TCP/IP端口图3包过滤器和防火墙的信息源端口和消息内容这些信息使防火墙比包过滤有更强的防范能力,因为这些信息使防火墙控制特定进/出的主机地址。防火墙的功能有以下儿个方面:•允许或禁止特定的应用服务,例如:FTP或Web页面服务:•允许或禁止访问基于被传递的信息内容的服务。防火墙最直接的实施就是使用图2所示的结构,仅把局域网和ISP之间的包过滤器换成防火墙就可以了。这是一个防火墙的最安全的应用,因为它保护了防火墙后面的所有计算机。图4防火墙中使用DMZ如果我们把图2改为图4所示

8、的结厠,就可以很好地解决这个问题。图4的结构中有3个端口。第三个端口连接的是另一个局域网,通常叫做DMZ(非军爭区)。DMZ中的计算机与安全局域网中的计算机相比安全性要差--些,但是这些计算机可以接受来自Internet的访问。你可以把Web和FTP服务器放在DMZ,从而可以保护其它的计算机。防火墙上的规则设定为阻止进入安全局域网的通信数据,仅允许传出连接的建立。如果你想增强DMZ局域网的安全性,可以使用过滤器,限制局域网中服务器使用的端口,禁止那些来自

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。