INTERNET或信息发布服务
这种情况非常普遍,ISP或ICP,企业的网页,在INTERNET上提供息服务或提供数据库服务等。任何一种想提供普遍服务或广而告之的网络行为,必须允许用户能够访问到你提供服务的主机,都属于这种情况。
对访问服务行业而言,访问服务提供者必须把要提供服务的服务器主机放在外部用户可以访问的地方,也就是说,主机安全几乎是唯一的保证。除非明确地知道 谁会对你的访问惊醒破坏,才可以对出口路由器或出口防火墙惊醒一些针对性的限制访问控制的设定,否则,访问控制变得毫无意义。
主机安全是一个非常有效的手段。所谓的主机安全是一个非常广义的概念,首先是要有一个安全的操作系统,建立在一个不安全、甚至稳定性都很差的操作系统上,是无法作到一个安全的主机。然后是仔细的检查你所提供的服务,如果不是你所必须提供的服务,建议除掉一切你所不需要的进程,对你的服务而言,它们都是你安全上的隐患。
可以采用一些安全检测或网络扫描工具来确定你的服务器上到底有伸麽服务,以保证是否有安全漏洞或隐患。最后是对主机确定非常严格的访问限制规则,除了允许提供商愿意提供的服务之外,宣纸并拒绝所有未允许的服务,这是一个非常严格的措施。
除了主机安全以外,如果还需要提高服务的安全性,就该考虑采用网络实时监控和交互式动态防火墙。网络实时监控系统,会自动捕捉网络上所有的通信包,并对其进行分析和解析,并判断出用户的行为和企图。如果发现用户的行为或企图与服务商所允许的服务不同,交互式防火墙立即采取措施,封堵或拒绝用户的访问,将其拒绝在防火墙之外,并报警。网络实时监控系统和交互式防火墙具有很强的审计功能,但成本相对偏高。
INTERNET和内部网
企业一方面访问INTERNET,得到INTERNET所带来的好处,另一方面,却不希望外部用户去访问企业的内部数据库和网络。企业当然没有办法去建立两套网络来满足这种需求。
防火墙的基本思想不是对每台主机系统进行保护,而是让所有对系统的访问通过某一点,并且保护这一点,并尽可能地对受保护的内部网和不可信任的外界网络之间建立一道屏障,它可以实施比较惯犯的安全政策来控制信息流,防止不可预料的潜在的入侵破坏。
根据企业内部网安全政策的不同,采取防火墙的技术手段也有所不同。
1.包过滤防火墙
包过滤防火墙的安全性是基于对包的IP地址的校验。在Internet上,所有信息都是以包的形式传输的,信息包中包含发送方的IP地址和接收方的IP地址。包过滤防火墙将所有通过的信息包中发送方IP地址、接收方IP地址、TCP端口、TCP链路状态等信息读出,并按照预先设定过滤原则过滤信息包。那些不符合规定的IP地址的信息包会被防火墙过滤掉,以保证网络系统的安全。
包过滤防火墙是基于访问控制来实现的。它利用数据包的头信息(源IP地址、封装协议、端口号等)判定与过滤规则相匹配与否决定舍取。建立这类防火墙需按如下步骤去做;建立安全策略;写出所允许的和禁止的任务;将安全策略转化为数据包分组字段的逻辑表达式;用相应的句法重写逻辑表达式并设置之,
包过滤防火墙主要是防止外来攻击,或是限制内部用户访问某些外部的资源。如果是防止外部攻击,针对典型攻击的过滤规则,大体有:
对付源IP地址欺骗式攻击(Source IP Address Spoofing Attacks)
对入侵者假冒内部主机,从外部传输一个源IP地址为内部网络IP地址的数据包的这类攻击,防火墙只需把来自外部端口的使用内部源地址的数据包统统丢弃掉。
对付残片攻击(Tiny Fragment Attacks)
入侵者使用TCP/IP数据包 分段特性,创建极小的分段并强行将TCP/IP头信息分成多个数据包,以绕过用户防火墙的过滤规则。黑客期望防火墙只检查第一个分段而允许其余的分段通过。对付这类攻击,防火墙只需将TCP/IP协议片断位移植(Fragment Offset)为1的数据包全部丢弃即可。
包过滤防火墙简单、透明,而且非常行之有效,能解决大部分的安全问题,但必须了解包过滤防火墙不能做伸麽和有伸麽缺点。
对于采用动态分配端口的服务,如很多RPC(远程过程调用)服务相关联的服务器在系统启动时随机分配端口的,就很难进行有效地过滤。
包过滤防火墙只按照规则丢弃数据包而不对其作日志,导致对过滤的IP地址的不同用户,不具备用户身份认证功能,不具备检测通过高层协议(如应用层)实现的安全攻击的能力。
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。