返回
全面分析防火墙及防火墙的渗透

全面分析防火墙及防火墙的渗透

ID:9746719

大小:61.50 KB

页数:10页

时间:2018-05-07

全面分析防火墙及防火墙的渗透_第1页
全面分析防火墙及防火墙的渗透_第2页
全面分析防火墙及防火墙的渗透_第3页
全面分析防火墙及防火墙的渗透_第4页
全面分析防火墙及防火墙的渗透_第5页
资源描述:

《全面分析防火墙及防火墙的渗透》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、全面分析防火墙及防火墙的渗透~教育资源库  (一)防火墙介绍   防火墙是一种功能,它使得内部网络和外部网络或Inter互相隔离,以此来保护内部网络或主机。简单的防火墙可以由Router,3LayerSdash;也就是说,它们不理解通信的内容,不能在用户级别上进行过滤,即不能识别不同的用户和防止IP地址的盗用。如果攻击者把自己主机的IP地址设成一个合法主机的IP地址,就可以很轻易地通过包过滤器,这样更容易被黑客攻破。基于这种工作机制,包过滤防火墙有以下缺陷:   通信信息:包过滤防火墙只能访问部分数据包的头信息;   通信和应用状态信息:包过滤防火墙是无状态的,所以它不可能保存

2、来自于通信和应用的状态信息;   信息处理:包过滤防火墙处理信息的能力是有限的。   比如针对微软IIS漏洞的Unicode攻击,因为这种攻击是走的防火墙所允许的80端口,而包过滤的防火墙无法对数据包内容进行核查,因此此时防火墙等同于虚设,未打相应patch的提供web服务的系统,即使在防火墙的屏障之后,也会被攻击者轻松拿下超级用户的权限。   包过滤防火墙的缺点和不足,可以在应用层解决。下面我们来看看应用层网关。   2.应用网关   1、应用代理服务器(ApplicationGatewayProxy)   在网络应用层提供授权检查及代理服务。当外部某台主机试图访问受保护网络

3、时,必须先在防火墙上经过身份认证。通过身份认证后,防火墙运行一个专门为该网络设计的程序,把外部主机与内部主机连接。在这个过程中,防火墙可以限制用户访问的主机、访问时间及访问的方式。同样,受保护网络内部用户访问外部网时也需先登录到防火墙上,通过验证后,才可访问。   应用网关代理的优点是既可以隐藏内部IP地址,也可以给单个用户授权,即使攻击者盗用了一个合法的IP地址,也通不过严格的身份认证。因此应用网关比报文过滤具有更高的安全性。但是这种认证使得应用网关不透明,用户每次连接都要受到认证,这给用户带来许多不便。这种代理技术需要为每个应用写专门的程序。   2、回路级代理服务器   

4、即通常意义的代理服务器,它适用于多个协议,但不能解释应用协议,需要通过其他方式来获得信息,所以,回路级代理服务器通常要求修改过的用户程序。   套接字服务器(SocketsServer)就是回路级代理服务器。套接字(Sockets)是一种网络应用层的国际标准。当受保护网络客户机需要与外部网交互信息时,在防火墙上的套服务器检查客户的UserID、IP源地址和IP目的地址,经过确认后,套服务器才与外部的服务器建立连接。对用户来说,受保护网与外部网的信息交换是透明的,感觉不到防火墙的存在,那是因为网络用户不需要登录到防火墙上。但是客户端的应用软件必须支持SocketsifiedAPI

5、,受保护网络用户访问公共网所使用的IP地址也都是防火墙的IP地址。   3、代管服务器   代管服务器技术是把不安全的服务如FTP、Tel等放到防火墙上,使它同时充当服务器,对外部的请求作出回答。与应用层代理实现相比,代管服务器技术不必为每种服务专门写程序。而且,受保护网内部用户想对外部网访问时,也需先登录到防火墙上,再向外提出请求,这样从外部网向内就只能看到防火墙,从而隐藏了内部地址,提高了安全性。   4、IP通道(IPTunnels)   如果一个大公司的两个子公司相隔较远,通过Inter通信。这种情况下,可以采用IPTunnels来防止Inter上的黑客截取信息,从而在

6、Inter上形成一个虚拟的企业网。   5、网络地址转换器(NATNetworkAddressTranslate)   当1234下一页友情提醒:,特别!受保护网连到Inter上时,受保护网用户若要访问Inter,必须使用一个合法的IP地址。但由于合法InterIP地址有限,而且受保护网络往往有自己的一套IP地址规划(非正式IP地址)。网络地址转换器就是在防火墙上装一个合法IP地址集。当内部某一用户要访问Inter时,防火墙动态地从地址集中选一个未分配的地址分配给该用户,该用户即可使用这个合法地址进行通信。同时,对于内部的某些服务器如ailForedGateZ。有的屏蔽子网中还

7、设有一堡垒主机作为唯一可访问点,支持终端交互或作为应用网关代理。这种配置的危险带仅包括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网的路由器。   如果攻击者试图完全破坏防火墙,他必须重新配置连接三个网的路由器,既不切断连接又不要把自己锁在外面,同时又不使自己被发现,这样也还是可能的。但若禁止网络访问路由器或只允许内网中的某些主机访问它,则攻击会变得很困难。在这种情况下,攻击者得先侵入堡垒主机,然后进入内网主机,再返回来破坏屏蔽路由器,整个过程中不能引发警报。   建造防火墙时,一般很少采

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。