全面分析防火牆及防火牆的滲透

來源:互聯網
上載者:User

  (一)防火牆介紹 

  防火牆是一種功能,它使得內部網路和外部網路或Internet互相隔離,以此來保護內部網路或主機。簡單的防火牆可以由Router,3 Layer Switch的ACL(access control list)來充當,也可以用一台主機,甚至是一個子網來實現。複雜的可以購買專門的硬體防火牆或軟體防火牆來實現。 

  防火牆的功能有: 

  1、過濾掉不安全服務和非法使用者 

  2、控制對特殊網站的訪問 

  3、提供監視Internet安全和預警的方便端點 

  防火牆並不是萬能的,也有很多防火牆無能為力的地方: 

  1、防火牆防不住繞過防火牆的攻擊。比如,防火牆不限制從內部網路到外部網路的串連,那麼,一些內部使用者可能形成一個直接通往Internet的串連,從而繞過防火牆,造成一個潛在的backdoor.惡意的外部使用者直接連接到內部使用者的機器上,以這個內部使用者的機器為跳板,發起繞過防火牆的不受限制的攻擊。 

  2、防火牆不是防毒牆,不能攔截帶病毒的資料在網路之間傳播。 

  3、防火牆對資料驅動式攻擊也無能為力。 

  因此,我們不能過分依賴防火牆。網路的安全是一個整體,並不是有某一樣特別出色的配置。網路安全遵循的是“木桶原則”。 

  一般防火牆具備以下特點: 

  1、廣泛的服務支援:通過將動態、應用程式層的過濾能力和認證相結合,可實現WWW瀏覽器、HTTP伺服器、 FTP等; 

  2、對私人資料的加密支援:保證通過Internet進行虛擬私人網路和商務活動不受損壞; 

  3、用戶端認證只允許指定的使用者訪問內部網路或選擇服務:企業本地網與分公司、商業夥伴和移動使用者間安全通訊的附加部分; 

  4、反欺騙:欺騙是從外部擷取網路訪問權的常用手段,它使資料包好似來自網路內部。防火牆能監視這樣的資料包並能扔掉它們; 

  5、C/S模式和跨平台支援:能使運行在一平台的管理模組控制運行在另一平台的監視模組。 

  讓我們來看看傳統的防火牆工作原理及優缺點: 

  1.(傳統的)包過濾防火牆的工作原理 

  包過濾是在IP層實現的,因此,它可以只用路由器完成。包過濾根據包的源IP地址、目的IP地址、源連接埠、目的連接埠及包傳遞方向等前序資訊來判斷是否允許包通過。過濾使用者定義的內容,如IP地址。其工作原理是系統在網路層檢查資料包,與應用程式層無關,包過濾器的應用非常廣泛,因為CPU用來處理包過濾的時間可以忽略不計。而且這種防護措施對使用者透明,合法使用者在進出網路時,根本感覺不到它的存在,使用起來很方便。這樣系統就具有很好的傳輸效能,易擴充。但是這種防火牆不太安全,因為系統對應用程式層資訊無感知——也就是說,它們不理解通訊的內容,不能在使用者層級上進行過濾,即不能識別不同的使用者和防止IP地址的盜用。如果攻擊者把自己主機的IP地址設成一個合法主機的IP地址,就可以很輕易地通過包過濾器,這樣更容易被駭客攻破。 基於這種工作機制,包過濾防火牆有以下缺陷: 



相關文章

Beyond APAC's No.1 Cloud

19.6% IaaS Market Share in Asia Pacific - Gartner IT Service report, 2018

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。