① 包過濾防火牆的編寫
包過濾防火牆需要了解ACL的用法和規則,主要涉及兩大廠商,一個思科,一個華三,命令格式有所不同,但原理相同。
② 試設計一個簡單的協議分析軟體/包過濾防火牆軟體/系統應包含哪些功能模塊
它可通過監測、限制、更改跨越防火牆的數據流,盡可能地對外部屏蔽網路內部的信息、結構和運行狀況, 以此來實現網路的安全保護。
在邏輯上,防火牆是一個分離器,一個限制器,也是一個分析器,有效地監控了內部網和Internet之間的任何活動, 保證了內部網路的安全。
2.使用Firewall的益處
保護脆弱的服務
通過過濾不安全的服務,Firewall可以極大地提高網路安全和減少子網中主機的風險。例如, Firewall可以禁止NIS、NFS服務通過,Firewall同時可以拒絕源路由和ICMP重定向封包。
控制對系統的訪問
Firewall可以提供對系統的訪問控制。如允許從外部訪問某些主機,同時禁止訪問另外的主機。例如, Firewall允許外部訪問特定的Mail Server和Web Server。
集中的安全管理
Firewall對企業內部網實現集中的安全管理,在Firewall定義的安全規則可以運行於整個內部網路系統, 而無須在內部網每台機器上分別設立安全策略。Firewall可以定義不同的認證方法, 而不需要在每台機器上分別安裝特定的認證軟體。外部用戶也只需要經過一次認證即可訪問內部網。
增強的保密性
使用Firewall可以阻止攻擊者獲取攻擊網路系統的有用信息,如Figer和DNS。
記錄和統計網路利用數據以及非法使用數據
Firewall可以記錄和統計通過Firewall的網路通訊,提供關於網路使用的統計數據,並且,Firewall可以提供統計數據, 來判斷可能的攻擊和探測。
策略執行Firewall提供了制定和執行網路安全策略的手段。未設置Firewall時,網路安全取決於每台主機的用戶。
3.防火牆的種類
防火牆總體上分為包過濾、應用級網關和代理伺服器等幾大類型。
數 據 包 過 濾
數據包過濾(Packet Filtering)技術是在網路層對數據包進行選擇,選擇的依據是系統內設置的過濾邏輯, 被稱為訪問控製表(Access Control Table)。通過檢查數據流中每個數據包的源地址、目的地址、所用的埠號、 協議狀態等因素,或它們的組合來確定是否允許該數據包通過。 數據包過濾防火牆邏輯簡單,價格便宜,易於安裝和使用, 網路性能和透明性好,它通常安裝在路由器上。路由器是內部網路與Internet連接必不可少的設備, 因此在原有網路上增加這樣的防火牆幾乎不需要任何額外的費用。
數據包過濾防火牆的缺點有二:一是非法訪問一旦突破防火牆,即可對主機上的軟體和配置漏洞進行攻擊; 二是數據包的源地址、目的地址以及IP的埠號都在數據包的頭部,很有可能被竊聽或假冒。
應 用 級 網 關
應用級網關(Application Level Gateways)是在網路應用層上建立協議過濾和轉發功能。 它針對特定的網路應用服務協議使用指定的數據過濾邏輯,並在過濾的同時,對數據包進行必要的分析、 登記和統計,形成報告。實際中的應用網關通常安裝在專用工作站系統上。
數據包過濾和應用網關防火牆有一個共同的特點,就是它們僅僅依靠特定的邏輯判定是否允許數據包通過。 一旦滿足邏輯,則防火牆內外的計算機系統建立直接聯系, 防火牆外部的用戶便有可能直接了解防火牆內部的網路結構和運行狀態,這有利於實施非法訪問和攻擊。
代理服務(Proxy Service)也稱鏈路級網關或TCP通道(Circuit Level Gateways or TCP Tunnels), 也有人將它歸於應用級網關一類。它是針對數據包過濾和應用網關技術存在的缺點而引入的防火牆技術, 其特點是將所有跨越防火牆的網路通信鏈路分為兩段。防火牆內外計算機系統間應用層的 鏈接, 由兩個終止代理伺服器上的 鏈接來實現,外部計算機的網路鏈路只能到達代理伺服器, 從而起到了隔離防火牆內外計算機系統的作用。
③ Web安全技術與防火牆畢業論文參考文獻(15個)
[1] 楊波,朱秋萍. Web安全技術綜述[J]. 計算機應用研究, 2002,(10) .
[2] 羅鐵堅,徐海智,董占球. Web安全問題[J]. 計算機應用, 2000,(04) .
[3] 張霆,王亞東,陳玉華. Web安全技術與防火牆的功能[J]. 黑龍江水專學報, 2000,(03) .
[4] 蘇瑩瑩. Web安全技術[J]. 牙膏工業, 2003,(04) .
[5] 趙偉,賈卓生. 應用級的Web安全[J]. 鐵路計算機應用, 2004,(01) .
[6] 譚雲松,史燕. 一種新的Web安全與防火牆技術[J]. 計算機時代, 2002,(03) .
[7] 鄧譜. Web安全技術與防火牆[J]. 重慶電力高等專科學校學報, 2000,(04) .
[8] 劉大勇. Web的安全威脅與安全防護[J]. 大眾科技, 2005,(06) .
[9] 楊繼東. 淺析密碼與Web安全[J]. 甘肅農業, 2005,(05) .
[10] 李文鋒. Web攻擊方法及其安全研究[J]. 科學技術與工程, 2005,(04) . [1] 邊娜. Web安全技術與防火牆[J]. 山西財經大學學報, 2000,(S2) [1] 鄧譜. Web安全技術與防火牆[J]. 重慶電力高等專科學校學報, 2000,(04)
[2] 張洪霞 , 劉仁濤. 淺談安全的網路城牆——防火牆[J]. 應用能源技術, 2002,(04)
[3] 沈芳陽, 阮潔珊, 李振坤, 黃智勇, 鄧靜, 劉懷亮, 柳正青. 防火牆選購、配置實例及前景[J]. 廣東工業大學學報, 2003,(03)
[4] 史曉龍. 防火牆技術在網路中的應用[J]. 公安大學學報(自然科學版), 2001,(03)
[5] Web應用防火牆來勢洶洶[J]. 電力信息化, 2009,(07)
[6] 閆寶剛. 防火牆組網方案分析[J]. 大眾標准化, 2004,(08)
[7] 潘登. 淺析防火牆技術[J]. 株洲工學院學報, 2004,(02)
[8] 蘆軍, 丁敏. 淺談防火牆設計[J]. 房材與應用, 2004,(01)
[9] 陳冰. 企業計算機網路防火牆的選擇[J]. 供用電, 2004,(04)
[10] 徐文海. 防火牆技術及虛擬專用網路的建立[J]. 鐵道運營技術, 2003,(04)
④ Linux下基於Netfilter個人內核防火牆的設計與實現
這個估計¥1000能買到個普通的
⑤ 包過濾防火牆
1.1 包過濾防火牆的一般概念
1.1.1 什麼是包過濾防火牆
包過濾防火牆是用一個軟體查看所流經的數據包的包頭(header),由此決定整個包的命運。它可能會決定丟棄(DROP)這個包,可能會接受(ACCEPT)這個包(讓這個包通過),也可能執行其它更復雜的動作。
在Linux系統下,包過濾功能是內建於核心的(作為一個核心模塊,或者直接內建),同時還有一些可以運用於數據包之上的技巧,不過最常用的依然是查看包頭以決定包的命運。
包過濾防火牆將對每一個接收到的包做出允許或拒絕的決定。具體地講,它針對每一個數據報的報頭,按照包過濾規則進行判定,與規則相匹配的包依據路由信息繼續轉發,否則就丟棄。包過濾是在IP層實現的,包過濾根據數據包的源IP地址、目的IP地址、協議類型(TCP包、UDP包、ICMP包)、源埠、目的埠等報頭信息及數據包傳輸方向等信息來判斷是否允許數據包通過。
包過濾也包括與服務相關的過濾,這是指基於特定的服務進行包過濾,由於絕大多數服務的監聽都駐留在特定TCP/UDP埠,因此,為阻斷所有進入特定服務的鏈接,防火牆只需將所有包含特定TCP/UDP目的埠的包丟棄即可。
1.1.2 包過濾防火牆的工作層次
包過濾是一種內置於Linux內核路由功能之上的防火牆類型,其防火牆工作在網路層。
1.1.3 包過濾防火牆的工作原理
(1)使用過濾器。數據包過濾用在內部主機和外部主機之間, 過濾系統是一台路由器或是一台主機。過濾系統根據過濾規則來決定是否讓數據包通過。用於過濾數據包的路由器被稱為過濾路由器。
數據包過濾是通過對數據包的IP頭和TCP頭或UDP頭的檢查來實現的,主要信息有:
* IP源地址
* IP目標地址
* 協議(TCP包、UDP包和ICMP包)
* TCP或UDP包的源埠
* TCP或UDP包的目標埠
* ICMP消息類型
* TCP包頭中的ACK位
* 數據包到達的埠
* 數據包出去的埠
在TCP/IP中,存在著一些標準的服務埠號,例如,HTTP的埠號為80。通過屏蔽特定的埠可以禁止特定的服務。包過濾系統可以阻塞內部主機和外部主機或另外一個網路之間的連接,例如,可以阻塞一些被視為是有敵意的或不可信的主機或網路連接到內部網路中。
(2)過濾器的實現。數據包過濾一般使用過濾路由器來實現,這種路由器與普通的路由器有所不同。
普通的路由器只檢查數據包的目標地址,並選擇一個達到目的地址的最佳路徑。它處理數據包是以目標地址為基礎的,存在著兩種可能性:若路由器可以找到一個路徑到達目標地址則發送出去;若路由器不知道如何發送數據包則通知數據包的發送者「數據包不可達」。
過濾路由器會更加仔細地檢查數據包,除了決定是否有到達目標地址的路徑外,還要決定是否應該發送數據包。「應該與否」是由路由器的過濾策略決定並強行執行的。
路由器的過濾策略主要有:
* 拒絕來自某主機或某網段的所有連接。
* 允許來自某主機或某網段的所有連接。
* 拒絕來自某主機或某網段的指定埠的連接。
* 允許來自某主機或某網段的指定埠的連接。
* 拒絕本地主機或本地網路與其它主機或其它網路的所有連接。
* 允許本地主機或本地網路與其它主機或其它網路的所有連接。
* 拒絕本地主機或本地網路與其它主機或其它網路的指定埠的連接。
* 允許本地主機或本地網路與其它主機或其它網路的指定埠的連接。
1.1.4 包過濾器操作的基本過程
下面做個簡單的敘述:
(1)包過濾規則必須被包過濾設備埠存儲起來。
(2)當包到達埠時,對包報頭進行語法分析。大多數包過濾設備只檢查IP、TCP、或UDP報頭中的欄位。
(3)包過濾規則以特殊的方式存儲。應用於包的規則的順序與包過濾器規則存儲順序必須相同。
(4)若一條規則阻止包傳輸或接收,則此包便不被允許。
(5)若一條規則允許包傳輸或接收,則此包便可以被繼續處理。
(6)若包不滿足任何一條規則,則此包便被阻塞。
1.1.5 包過濾技術的優缺點
(1)優點:
→對於一個小型的、不太復雜的站點,包過濾比較容易實現。
→因為過濾路由器工作在IP層和TCP層,所以處理包的速度比代理伺服器快。
→過濾路由器為用戶提供了一種透明的服務,用戶不需要改變客戶端的任何應用程序,也不需要用戶學習任何新的東西。因為過濾路由器工作在IP層和TCP層,而IP層和TCP層與應用層的問題毫不相關。所以,過濾路由器有時也被稱為「包過濾網關」或「透明網關」,之所被稱為網關,是因為包過濾路由器和傳統路由器不同,它涉及到了傳輸層。
→過濾路由器在價格上一般比代理伺服器便宜。
(2)缺點:
→一些包過濾網關不支持有效的用戶認證。
→規則表很快會變得很大而且復雜,規則很難測試。隨著表的增大和復雜性的增加,規則結構出現漏洞的可能 性也會增加。
→這種防火牆最大的缺陷是它依賴一個單一的部件來保護系統。如果這個部件出現了問題,會使得網路大門敞開,而用戶其至可能還不知道。
→在一般情況下,如果外部用戶被允許訪問內部主機,則它就可以訪問內部網上的任何主機。
→包過濾防火牆只能阻止一種類型的IP欺騙,即外部主機偽裝內部主機的IP,對於外部主機偽裝外部主機的IP欺騙卻不可能阻止,而且它不能防止DNS欺騙。
雖然,包過濾防火牆有如上所述的缺點,但是在管理良好的小規模網路上,它能夠正常的發揮其作用。一般情況下,人們不單獨使用包過濾網關,而是將它和其他設備(如堡壘主機等)聯合使用。
包過濾的工作是通過查看數據包的源地址、目的地址或埠來實現的,一般來說,它不保持前後連接信息,過濾決定是根據 當前數據包的內容來做的。管理員可以做一個可接受機和服務的列表,以及一個不可接受機和服務的列表。在主機和網路一級,利用數據包過濾很容易實現允許或禁止訪問。
由此不難看出這個層次的防火牆的優點和弱點,由於防火牆只是工作在OSI的第三層(網路層)和第四層(傳輸層),因此包過濾的防火牆的一個非常明顯的優勢就是速度,這是因為防火牆只是去檢查數據報的報頭,而對數據報所攜帶的內容沒有任何形勢的檢查,因此速度非常快。與此同時,這種防火牆的缺點也是顯而易見的,比較關鍵的幾點如下所述。
(1)由於無法對數據報的內容進行核查,一次無法過濾或審核數據報的內容
體現這一問題的一個很簡單的例子就是:對某個埠的開放意味著相應埠對應的服務所能夠提供的全部功能都被開放,即使通過防火牆的數據報有攻擊性,也無法進行控制和阻斷。例如在一個簡單的Web伺服器,而包過濾的防火牆無法對數據報內容進行核查。因此,未打相應補丁的提供Web服務的系統,及時在防火牆的屏蔽之後,也會被攻擊著輕易獲取超級用戶的許可權。
(2)由於此種類型的防火牆工作在較低層次,防火牆本身所能接觸道德信息較少,所以它無法提供描述細致事件的日誌系統。
此類防火牆生成的日誌常常只是包括數據報捕獲的時間、網路層的IP地址、傳輸層的埠等非常原始的信息。至於這個數據報內容是什麼,防火牆不會理會,而這對安全管理員而言恰恰是很關鍵的。因為及時一個非常優秀的系統管理員,一旦陷入大量的通過/屏蔽的原始數據包信息中,往往也是難以理清頭緒,這在發生安全事件時給管理員的安全審計帶來很大的困難。
(3)所有可能用到的埠(尤其是大於1024的埠)都必須開放,對外界暴露,從而極大地增加了被攻擊的可能性
通常對於網路上所有服務所需要的數據包進出防火牆的二埠都要仔細考慮,否則會產生意想不到的情況。然而我們知道,當被防火牆保護的設備與外界通信時,絕大多數應用要求發出請求的系統本身提供一個埠,用來接收外界返回的數據包,而且這個埠一般是在1024到65536之間不確定的,如果不開發那個這些埠,通信將無法完成,這樣就需要開發那個1024以上的全部埠,允許這些埠的數據包進出。而這就帶來非常大的安全隱患。例如:用戶網中有一台UNIX伺服器,對內部用戶開放了RPC服務,而這個服務是共做在高埠的,那麼這台伺服器非常容易遭到基於RPC應用的攻擊。
(4)如果網路結構比較復雜,那麼對管理員而言配置訪問控制規則將非常困難
當網路發展到一定規模時,在路由器上配置訪問控制規則將會非常繁瑣,在一個規則甚至一個地址處出現錯誤都有可能導致整個訪問控制列表無法正常使用。
⑥ 本科畢業論文寫基於linux的包過濾防火牆的設計與實現能行嗎
如果這個要基於編程應該比較難,至少你要熟悉網路協議包結構
⑦ 本科畢設——windows個人防火牆的設計與實現,求軟體
我這里有幾套關於網路安全的vc代碼, 論文的話沒有, 不過這個推薦自己寫, 不然無法過查重, 項目主要使用javaweb技術實現的, 資料庫採用mysql, 框架的話有用servlet原生的, 也有用springboot這種框架的, 希望能夠幫到你
⑧ 基於包過濾防火牆的原理和實現技術是怎樣的
推薦看一看 朱雁冰 寫的《Windows防火牆與網路封包截獲技術》,上面介紹了三種分別基於用戶態和核心態下的防火牆編譯,雖然他提到的三種技術現在看來都有不足,但是是一本講解詳細的好書~~~!!
防火牆就是一種過濾塞(目前你這么理解不算錯),你可以讓你喜歡的東西通過這個塞子,別的玩意都統統過濾掉。在網路的世界裡,要由防火牆過濾的就是承載通信數據的通信包。
天下的防火牆至少都會說兩個詞:Yes或者No。直接說就是接受或者拒絕。最簡單的防火牆是乙太網橋。但幾乎沒有人會認為這種原始防火牆能管多大用。大多數防火牆採用的技術和標准可謂五花八門。這些防火牆的形式多種多樣:有的取代系統上已經裝備的TCP/IP協議棧;有的在已有的協議棧上建立自己的軟體模塊;有的乾脆就是獨立的一套操作系統。還有一些應用型的防火牆只對特定類型的網路連接提供保護(比如SMTP或者HTTP協議等)。還有一些基於硬體的防火牆產品其實應該歸入安全路由器一類。以上的產品都可以叫做防火牆,因為他們的工作方式都是一樣的:分析出入防火牆的數據包,決定放行還是把他們扔到一邊。
所有的防火牆都具有IP地址過濾功能。這項任務要檢查IP包頭,根據其IP源地址和目標地址作出放行/丟棄決定。看看下面這張圖,兩個網段之間隔了一個防火牆,防火牆的一端有台UNIX計算機,另一邊的網段則擺了台PC客戶機。
當PC客戶機向UNIX計算機發起telnet請求時,PC的telnet客戶程序就產生一個TCP包並把它傳給本地的協議棧准備發送。接下來,協議棧將這個TCP包「塞」到一個IP包里,然後通過PC機的TCP/IP棧所定義的路徑將它發送給UNIX計算機。在這個例子里,這個IP包必須經過橫在PC和UNIX計算機中的防火牆才能到達UNIX計算機。
現在我們「命令」(用專業術語來說就是配製)防火牆把所有發給UNIX計算機的數據包都給拒了,完成這項工作以後,「心腸」比較好的防火牆還會通知客戶程序一聲呢!既然發向目標的IP數據沒法轉發,那麼只有和UNIX計算機同在一個網段的用戶才能訪問UNIX計算機了。
還有一種情況,你可以命令防火牆專給那台可憐的PC機找茬,別人的數據包都讓過就它不行。這正是防火牆最基本的功能:根據IP地址做轉發判斷。但要上了大場面這種小伎倆就玩不轉了,由於黑客們可以採用IP地址欺騙技術,偽裝成合法地址的計算機就可以穿越信任這個地址的防火牆了。不過根據地址的轉發決策機制還是最基本和必需的。另外要注意的一點是,不要用DNS主機名建立過濾表,對DNS的偽造比IP地址欺騙要容易多了。
伺服器TCP/UDP 埠過濾
僅僅依靠地址進行數據過濾在實際運用中是不可行的,還有個原因就是目標主機上往往運行著多種通信服務,比方說,我們不想讓用戶採用 telnet的方式連到系統,但這絕不等於我們非得同時禁止他們使用SMTP/POP郵件伺服器吧?所以說,在地址之外我們還要對伺服器的TCP/ UDP埠進行過濾。
比如,默認的telnet服務連接埠號是23。假如我們不許PC客戶機建立對UNIX計算機(在這時我們當它是伺服器)的telnet連接,那麼我們只需命令防火牆檢查發送目標是UNIX伺服器的數據包,把其中具有23目標埠號的包過濾就行了。這樣,我們把IP地址和目標伺服器TCP/UDP埠結合起來不就可以作為過濾標准來實現相當可靠的防火牆了嗎?不,沒這么簡單。
客戶機也有TCP/UDP埠
TCP/IP是一種端對端協議,每個網路節點都具有唯一的地址。網路節點的應用層也是這樣,處於應用層的每個應用程序和服務都具有自己的對應「地址」,也就是埠號。地址和埠都具備了才能建立客戶機和伺服器的各種應用之間的有效通信聯系。比如,telnet伺服器在埠23偵聽入站連接。同時telnet客戶機也有一個埠號,否則客戶機的IP棧怎麼知道某個數據包是屬於哪個應用程序的呢?
由於歷史的原因,幾乎所有的TCP/IP客戶程序都使用大於1023的隨機分配埠號。只有UNIX計算機上的root用戶才可以訪問1024以下的埠,而這些埠還保留為伺服器上的服務所用。所以,除非我們讓所有具有大於1023埠號的數據包進入網路,否則各種網路連接都沒法正常工作。
這對防火牆而言可就麻煩了,如果阻塞入站的全部埠,那麼所有的客戶機都沒法使用網路資源。因為伺服器發出響應外部連接請求的入站(就是進入防火牆的意思)數據包都沒法經過防火牆的入站過濾。反過來,打開所有高於1023的埠就可行了嗎?也不盡然。由於很多服務使用的埠都大於1023,比如X client、基於RPC的NFS服務以及為數眾多的非UNIX IP產品等(NetWare/IP)就是這樣的。那麼讓達到1023埠標準的數據包都進入網路的話網路還能說是安全的嗎?連這些客戶程序都不敢說自己是足夠安全的。
雙向過濾
OK,咱們換個思路。我們給防火牆這樣下命令:已知服務的數據包可以進來,其他的全部擋在防火牆之外。比如,如果你知道用戶要訪問Web伺服器,那就只讓具有源埠號80的數據包進入網路:
不過新問題又出現了。首先,你怎麼知道你要訪問的伺服器具有哪些正在運行的埠號呢? 象HTTP這樣的伺服器本來就是可以任意配置的,所採用的埠也可以隨意配置。如果你這樣設置防火牆,你就沒法訪問哪些沒採用標准埠號的的網路站點了!反過來,你也沒法保證進入網路的數據包中具有埠號80的就一定來自Web伺服器。有些黑客就是利用這一點製作自己的入侵工具,並讓其運行在本機的80埠!
檢查ACK位
源地址我們不相信,源埠也信不得了,這個不得不與黑客共舞的瘋狂世界上還有什麼值得我們信任呢?還好,事情還沒到走投無路的地步。對策還是有的,不過這個辦法只能用於TCP協議。
TCP是一種可靠的通信協議,「可靠」這個詞意味著協議具有包括糾錯機制在內的一些特殊性質。為了實現其可靠性,每個TCP連接都要先經過一個「握手」過程來交換連接參數。還有,每個發送出去的包在後續的其他包被發送出去之前必須獲得一個確認響應。但並不是對每個TCP包都非要採用專門的ACK包來響應,實際上僅僅在TCP包頭上設置一個專門的位就可以完成這個功能了。所以,只要產生了響應包就要設置ACK位。連接會話的第一個包不用於確認,所以它就沒有設置ACK位,後續會話交換的TCP包就要設置ACK位了。
舉個例子,PC向遠端的Web伺服器發起一個連接,它生成一個沒有設置ACK位的連接請求包。當伺服器響應該請求時,伺服器就發回一個設置了ACK位的數據包,同時在包里標記從客戶機所收到的位元組數。然後客戶機就用自己的響應包再響應該數據包,這個數據包也設置了ACK位並標記了從伺服器收到的位元組數。通過監視ACK位,我們就可以將進入網路的數據限制在響應包的范圍之內。於是,遠程系統根本無法發起TCP連接但卻能響應收到的數據包了。
這套機制還不能算是無懈可擊,簡單地舉個例子,假設我們有台內部Web伺服器,那麼埠80就不得不被打開以便外部請求可以進入網路。還有,對UDP包而言就沒法監視ACK位了,因為UDP包壓根就沒有ACK位。還有一些TCP應用程序,比如FTP,連接就必須由這些伺服器程序自己發起。
FTP帶來的困難
一般的Internet服務對所有的通信都只使用一對埠號,FTP程序在連接期間則使用兩對埠號。第一對埠號用於FTP的「命令通道」提供登錄和執行命令的通信鏈路,而另一對埠號則用於FTP的「數據通道」提供客戶機和伺服器之間的文件傳送。
在通常的FTP會話過程中,客戶機首先向伺服器的埠21(命令通道)發送一個TCP連接請求,然後執行LOGIN、DIR等各種命令。一旦用戶請求伺服器發送數據,FTP伺服器就用其20埠 (數據通道)向客戶的數據埠發起連接。問題來了,如果伺服器向客戶機發起傳送數據的連接,那麼它就會發送沒有設置ACK位的數據包,防火牆則按照剛才的規則拒絕該數據包同時也就意味著數據傳送沒戲了。通常只有高級的、也就是夠聰明的防火牆才能看出客戶機剛才告訴伺服器的埠,然後才許可對該埠的入站連接。
UDP埠過濾
好了,現在我們回過頭來看看怎麼解決UDP問題。剛才說了,UDP包沒有ACK位所以不能進行ACK位過濾。UDP 是發出去不管的「不可靠」通信,這種類型的服務通常用於廣播、路由、多媒體等廣播形式的通信任務。NFS、DNS、WINS、NetBIOS-over-TCP/IP和 NetWare/IP都使用UDP。
看來最簡單的可行辦法就是不允許建立入站UDP連接。防火牆設置為只許轉發來自內部介面的UDP包,來自外部介面的UDP包則不轉發。現在的問題是,比方說,DNS名稱解析請求就使用UDP,如果你提供DNS服務,至少得允許一些內部請求穿越防火牆。還有IRC這樣的客戶程序也使用UDP,如果要讓你的用戶使用它,就同樣要讓他們的UDP包進入網路。我們能做的就是對那些從本地到可信任站點之間的連接進行限制。但是,什麼叫可信任!如果黑客採取地址欺騙的方法不又回到老路上去了嗎?
有些新型路由器可以通過「記憶」出站UDP包來解決這個問題:如果入站UDP包匹配最近出站UDP包的目標地址和埠號就讓它進來。如果在內存中找不到匹配的UDP包就只好拒絕它了!但是,我們如何確信產生數據包的外部主機就是內部客戶機希望通信的伺服器呢?如果黑客詐稱DNS伺服器的地址,那麼他在理論上當然可以從附著DNS的UDP埠發起攻擊。只要你允許DNS查詢和反饋包進入網路這個問題就必然存在。辦法是採用代理伺服器。
所謂代理伺服器,顧名思義就是代表你的網路和外界打交道的伺服器。代理伺服器不允許存在任何網路內外的直接連接。它本身就提供公共和專用的DNS、郵件伺服器等多種功能。代理伺服器重寫數據包而不是簡單地將其轉發了事。給人的感覺就是網路內部的主機都站在了網路的邊緣,但實際上他們都躲在代理的後面,露面的不過是代理這個假面具。
小結
IP地址可能是假的,這是由於IP協議的源路有機制所帶來的,這種機制告訴路由器不要為數據包採用正常的路徑,而是按照包頭內的路徑傳送數據包。於是黑客就可以使用系統的IP地址獲得返回的數據包。有些高級防火牆可以讓用戶禁止源路由。通常我們的網路都通過一條路徑連接ISP,然後再進入Internet。這時禁用源路由就會迫使數據包必須沿著正常的路徑返回。
還有,我們需要了解防火牆在拒絕數據包的時候還做了哪些其他工作。比如,防火牆是否向連接發起系統發回了「主機不可到達」的ICMP消息?或者防火牆真沒再做其他事?這些問題都可能存在安全隱患。ICMP「主機不可達」消息會告訴黑客「防火牆專門阻塞了某些埠」,黑客立即就可以從這個消息中聞到一點什麼氣味。如果ICMP「主機不可達」是通信中發生的錯誤,那麼老實的系統可能就真的什麼也不發送了。反過來,什麼響應都沒有卻會使發起通信的系統不斷地嘗試建立連接直到應用程序或者協議棧超時,結果最終用戶只能得到一個錯誤信息。當然這種方式會讓黑客無法判斷某埠到底是關閉了還是沒有使用。
⑨ C++編寫防火牆
U盤防火牆工作量、技術含量、創新程度都不夠,肯定會被退回去。
剩下的只有兩個:包過濾防火牆軟體和防火牆准系統。
包過濾防火牆的難點主要是在編寫網卡的上層過濾驅動上,防火牆准系統會稍微簡單些,做的工作是:
1.精簡linux內核,只留下路由、iptables、shell、telnet。
2.設計一些常用的iptables規則模板,在寫個shell前端以便管理員應用這些規則。
3.設置相應的許可權使遠程訪問者只能運行你的前端。
這樣防火牆准系統就完成了,除了一點點shell編程以外就沒編程了。即使是這樣只要你能做出來鐵定拿優秀畢業設計。
⑩ 防火牆的設計與規劃
1 引言
網路安全是一個不容忽視的問題,當人們在享受網路帶來的方便與快捷的同時,也要時時面對網路開放帶來的數據安全方面的新挑戰和新危險。為了保障網路安全,當園區網與外部網連接時,可以在中間加入一個或多個中介系統,防止非法入侵者通過網路進行攻擊,非法訪問,並提供數據可靠性、完整性以及保密性等方面的安全和審查控制,這些中間系統就是防火牆(Firewall)技術。它通過監測、限制、修改跨越防火牆的數據流,盡可能地對外屏蔽網路內部的結構、信息和運行情況、阻止外部網路中非法用戶的攻擊、訪問以及阻擋病毒的入侵,以此來實現內部網路的安全運行。
2 防火牆的概述及其分類
網路安全的重要性越來越引起網民們的注意,大大小小的單位紛紛為自己的內部網路「築牆」、防病毒與防黑客成為確保單位信息系統安全的基本手段。防火牆是目前最重要的一種網路防護設備,是處於不同網路(如可信任的局域內部網和不可信的公共網)或網路安全域之間的一系列部件的組合。它是不同網路或網路安全域之間信息的惟一出入口,能根據企業的安全策略控制(允許、拒絕、監測)出入網路的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網路和信息安全的基礎設施。
2.1 概述
在邏輯上,防火牆其實是一個分析器,是一個分離器,同時也是一個限制器,它有效地監控了內部網間或Internet之間的任何活動,保證了區域網內部的安全。
1)什麼是防火牆
古時候,人們常在寓所之間砌起一道磚牆,一旦火災發生,它能夠防止火勢蔓延到別的寓所。現在,如果一個網路接到了Internet上面,它的用戶就可以訪問外部世界並與之通信。但同時,外部世界也同樣可以訪問該網路並與之交互。為安全起見,可以在該網路和Internet之間插入一個中介系統,豎起一道安全屏障。這道屏障的作用是阻斷來自外部通過網路對本網路的威脅和入侵,提供扼守本網路的安全和審計的關卡,它的作用與古時候的防火磚牆有類似之處,因此就把這個屏障叫做「防火牆」。
防火牆可以是硬體型的,所有數據都首先通過硬體晶元監測;也可以是軟體型的,軟體在計算機上運行並監控。其實硬體型也就是晶元里固化了UNIX系統軟體,只是它不佔用計算機CPU的處理時間,但價格非常高,對於個人用戶來說軟體型更加方便實在。
2)防火牆的功能
防火牆只是一個保護裝置,它是一個或一組網路設備裝置。它的目的就是保護內部網路的訪問安全。它的主要任務是允許特別的連接通過,也可以阻止其它不允許的連接。其主體功能可以歸納為如下幾點:
·根據應用程序訪問規則可對應用程序聯網動作進行過濾;
·對應用程序訪問規則具有學習功能;
·可實時監控,監視網路活動;
·具有日誌,以記錄網路訪問動作的詳細信息;
·被攔阻時能通過聲音或閃爍圖標給用戶報警提示。
3)防火牆的使用
由於防火牆的目的是保護一個網路不受來自另一個網路的攻擊。因此,防火牆通常使用在一個被認為是安全和可信的園區網與一個被認為是不安全與不可信的網路之間,阻止別人通過不安全與不可信的網路對本網路的攻擊,破壞網路安全,限制非法用戶訪問本網路,最大限度地減少損失。
2.2 防火牆的分類
市場上的硬體防火牆產品非常之多,分類的標准比較雜,從技術上通常將其分為「包過濾型」、「代理型」和「監測型」等類型。
1)包過濾型
包過濾型產品是防火牆的初級產品,其技術依據是網路中的分包傳輸技術。網路上的數據都是以「包」為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址、目標地址、TCP/UDP(傳輸控制協議/用戶數據報協議)源埠和目標埠等。防火牆通過讀取數據包中的地址信息來判斷這些「包」是否來自可信任的安全站點,一旦發現來自危險站點的數據包,防火牆便會將這些數據拒之門外。
2)代理型
代理型防火牆也可以被稱為代理伺服器,它的安全性要高於包過濾型產品,並已經開始向應用層發展。代理伺服器位於客戶機與伺服器之間,完全阻擋了二者間的數據交流。從客戶機來看,代理伺服器相當於一台真正的伺服器;而從伺服器來看,代理伺服器又是一台真正的客戶機。當客戶機需要使用伺服器上的數據時,首先將數據請求發給代理伺服器,代理伺服器再根據這一請求向伺服器索取數據,然後由代理伺服器將數據傳輸給客戶機。由於外部系統與內部伺服器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網路系統。
3)監測型
監測型防火牆是新一代的產品,這一技術實際上已經超越了最初的防火牆定義。監測型防火牆能夠對各層的數據進行主動的、實時的監測,在對這些數據加以分析的基礎上,監測型防火牆能夠有效地判斷出各層中的非法侵入。同時,這種監測型防火牆產品一般還帶有分布式探測器,這些探測器安置在各種應用伺服器和其他網路的節點之中,不僅能夠檢測來自網路外部的攻擊,同時對來自內部的惡意破壞也有極強的防範作用。據權威機構統計,在針對網路系統的攻擊中,有相當比例的攻擊來自網路內部。因此,監測型防火牆不僅超越了傳統防火牆的定義,而且在安全性上也超越了前兩代產品。
3 防火牆的作用、特點及優缺點
防火牆通常使用在一個可信任的內部網路和不可信任的外部網路之間,阻斷來自外部通過網路對區域網的威脅和入侵,確保區域網的安全。與其它網路產品相比,有著其自身的專用特色,但其本身也有著某些不可避免的局限。下面對其在網路系統中的作用、應用特點和其優缺點進行簡單的闡述。
3.1 防火牆的作用
防火牆可以監控進出網路的通信量,僅讓安全、核准了的信息進入,同時又抵制對園區網構成威脅的數據。隨著安全性問題上的失誤和缺陷越來越普遍,對網路的入侵不僅來自高超的攻擊手段,也有可能來自配置上的低級錯誤或不合適的口令選擇。因此,防火牆的作用是防止不希望的、未授權的通信進出被保護的網路,迫使單位強化自己的安全策略。一般的防火牆都可以達到如下目的:一是可以限制他人進入內部網路,過濾掉不安全服務和非法用戶;二是防止入侵者接近防禦設施;三是限定用戶訪問特殊站點;四是為監視Internet安全提供方便。
3.2 防火牆的特點
我們在使用防火牆的同時,對性能、技術指標和用戶需求進行分析。包過濾防火牆技術的特點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全。包過濾技術是一種基於網路層的安全技術,只能根據數據包的來源、目標和埠等網路信息進行判斷,無法識別基於應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒;代理型防火牆的特點是安全性較高,可以針對應用層進行偵測和掃描,對付基於應用層的侵入和病毒都十分有效。當然代理伺服器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性;雖然監測型防火牆安全性上已超越了包過濾型和代理伺服器型防火牆,但由於監測型防火牆技術的實現成本較高,也不易管理,所以目前在實用中的防火牆產品仍然以第二代代理型產品為主,但在某些方面也已經開始使用監測型防火牆。
防火牆一般具有如下顯著特點:
·廣泛的服務支持 通過動態的、應用層的過濾能力和認證相結合,可以實現WWW瀏覽器、HTTP伺服器、FTP等;
·對私有數據的加密支持 保證通過Internet進行虛擬私人網路和商業活動不受損壞;
·客戶端只允許用戶訪問指定的網路或選擇服務 企業本地網、園區網與分支機構、商業夥伴和移動用戶等安全通信的信息;
·反欺騙 欺騙是從外部獲取網路訪問權的常用手段,它使數據包類似於來自網路內部。防火牆能監視這樣的數據包並能丟棄;
·C/S模式和跨平台支持 能使運行在一個平台的管理模塊控制運行在另一個平台的監視模塊。
3.3 防火牆的優勢和存在的不足
防火牆在確保網路的安全運行上發揮著重要的作用。但任何事物都不是完美無缺的,對待任何事物必須一分為二,防火牆也不例外。在充分利用防火牆優點為我們服務的同時,也不得不面對其自身弱點給我們帶來的不便。
1) 防火牆的優勢
(1)防火牆能夠強化安全策略。因為網路上每天都有上百萬人在收集信息、交換信息,不可避免地會出現個別品德不良或違反規則的人。防火牆就是為了防止不良現象發生的「交通警察」,它執行站點的安全策略,僅僅允許「認可的」和符合規則的請求通過。
(2)防火牆能有效地記錄網路上的活動。因為所有進出信息都必須通過防火牆,所以防火牆非常適合用於收集關於系統和網路使用和誤用的信息。作為訪問的唯一點,防火牆能在被保護的網路和外部網路之間進行記錄。
(3)防火牆限制暴露用戶點。防火牆能夠用來隔開網路中的兩個網段,這樣就能夠防止影響一個網段的信息通過整個網路進行傳播。
(4)防火牆是一個安全策略的檢查站。所有進出的信息都必須通過防火牆,防火牆便成為安全問題的檢查點,使可疑的訪問被拒絕於門外。
2) 防火牆存在的不足
(1)不能防範惡意的知情者。防火牆可以禁止系統用戶經過網路連接發送專有的信息,但用戶可以將數據復制到磁碟、磁帶上,放在公文包中帶出去。如果入侵者已經在防火牆內部,防火牆是無能為力的。內部用戶可以偷竊數據,破壞硬體和軟體,並且巧妙地修改程序而不接近防火牆。對於來自知情者的威脅,只能要求加強內部管理。
(2)不能防範不通過它的連接。防火牆能夠有效地防止通過它傳輸的信息,然而它卻不能防止不通過它而傳輸的信息。例如,如果站點允許對防火牆後面的內部系統進行撥號訪問,那麼防火牆絕對沒有辦法阻止入侵者進行撥號入侵。
(3)不能防備全部的威脅。防火牆被用來防備已知的威脅,如果是一個很好的防火牆設計方案,就可以防備新的威脅,但沒有一台防火牆能自動防禦所有新的威脅。
4 防火牆的管理與維護
如果已經設計好了一個防火牆,使它滿足了你的機構的需要,接下來的工作就是防火牆的管理與維護了。在防火牆設計建造完成以後,使它正常運轉還要做大量的工作。值得注意的是,這里許多維護工作是自動進行的。管理與維護工作主要有4個方面,它們分別是:建立防火牆的安全策略、日常管理、監控系統、保持最新狀態。
4.1 建立防火牆的安全策略
要不要制定安全上的策略規定是一個有爭議的問題。有些人認為制定一套安全策略是相當必須的,因為它可以說是一個組織的安全策略輪廓,尤其在網路上以及網路系統管理員對於安全上的顧慮並沒有明確的策略時。
安全策略也可以稱為訪問上的控制策略。它包含了訪問上的控制以及組織內其他資源使用的種種規定。訪問控制包含了哪些資源可以被訪問,如讀取、刪除、下載等行為的規范,以及哪些人擁有這些權力等信息。
1) 網路服務訪問策略
網路服務訪問策略是一種高層次的、具體到事件的策略,主要用於定義在網路中允許的或禁止的網路服務,還包括對撥號訪問以及PPP(點對點協議)連接的限制。這是因為對一種網路服務的限制可能會促使用戶使用其他的方法,所以其他的途徑也應受到保護。比如,如果一個防火牆阻止用戶使用Telnet服務訪問網際網路,一些人可能會使用撥號連接來獲得這些服務,這樣就可能會使網路受到攻擊。網路服務訪問策略不但應該是一個站點安全策略的延伸,而且對於機構內部資源的保護也起全局的作用。這種策略可能包括許多事情,從文件切碎條例到病毒掃描程序,從遠程訪問到移動介質的管理。
2) 防火牆的設計策略
防火牆的設計策略是具體地針對防火牆,負責制定相應的規章制度來實施網路服務訪問策略。在制定這種策略之前,必須了解這種防火牆的性能以及缺陷、TCP/IP自身所具有的易攻擊性和危險。防火牆一般執行一下兩種基本策略中的一種:
① 除非明確不允許,否則允許某種服務;
② 除非明確允許,否則將禁止某項服務。
執行第一種策略的防火牆在默認情況下允許所有的服務,除非管理員對某種服務明確表示禁止。執行第二種策略的防火牆在默認情況下禁止所有的服務,除非管理員對某種服務明確表示允許。防火牆可以實施一種寬松的策略(第一種),也可以實施一種限制性策略(第二種),這就是制定防火牆策略的入手點。
3) 安全策略設計時需要考慮的問題
為了確定防火牆安全設計策略,進而構建實現預期安全策略的防火牆,應從最安全的防火牆設計策略開始,即除非明確允許,否則禁止某種服務。策略應該解決以下問題:
·需要什麼服務,如Telnet、WWW或NFS等;
·在那裡使用這些服務,如本地、穿越網際網路、從家裡或遠方的辦公機構等;
·是否應當支持撥號入網和加密等服務;
·提供這些服務的風險是什麼;
·若提供這種保護,可能會導致網路使用上的不方便等負面影響,這些影響會有多大;
·與可用性相比,站點的安全性放在什麼位置。
4.2 日常管理
日常管理是經常性的瑣碎工作,以使防火牆保持清潔和安全。為此,需要經常去完成的主要工作:數據備份、賬號管理、磁碟空間管理等。
1) 數據備份
一定要備份防火牆的數據。使用一種定期的、自動的備份系統為一般用途的機器做備份。當這個系統正常做完備份之後,最好還能發送出一封確定信,而當它發現錯誤的時候,也最好能產生一個明顯不同的信息。
為什麼只是在錯誤發生的時候送出一封信就好了呢?如果這個系統只在有錯誤的時候產生一封信,或許就有可能不會注意到這個系統根本就沒有運作。那為什麼需要明顯不同的信息呢?如果備份系統正常和執行失敗時產生的信息很類似。那麼習慣於忽略成功信息的人,也有可能會忽略失敗信息。理想的情況是有一個程序檢查備份有沒有執行,並在備份沒有執行的時候產生一個信息。
2) 賬號管理
賬號的管理。包括增加新賬號、刪除舊賬號及檢查密碼期限等,是最常被忽略的日常管理工作。在防火牆上,正確的增加新賬號、迅速地刪除舊賬號以及適時地變更密碼,絕對是一項非常重要的工作。
建立一個增加賬號的程序,盡量使用一個程序增加賬號。即使防火牆系統上沒有多少用戶,但每一個用戶都可能是一個危險。一般人都有一個毛病,就是漏掉一些步驟,或在過程中暫停幾天。如果這個空檔正好碰到某個賬號沒有密碼,入侵者就很容易進來了。
賬號建立程序中一定要標明賬號日期,以及每隔一階段就自動檢查賬號。雖然不需要自動關閉賬號,但是需要自動通知那些賬號超過期限的人。可能的話,設置一個自動系統監控這些賬號。這可以在UNIX系統上產生賬號文件,然後傳送到其他的機器上,或者是在各台機器上產生賬號,自動把這些賬號文件拷貝到UNIX上,再檢查它們。
如果系統支持密碼期限的功能,應該把該功能打開。選擇稍微長一點的期限,譬如說三到六個月。如果密碼有效期太短,例如一個月,用戶可能會想盡辦法躲避期限,也就無法在安全防護上得到真正的收益。同理如果密碼期限功能不能保證用戶在賬號被停用前看到密碼到期通知,就不要開啟這個功能。否則,用戶會很不方便,而且也會冒著鎖住急需使用機器的系統管理者的風險。
3) 磁碟空間管理
數據總是會塞滿所有可用的空間,即使在幾乎沒有什麼用戶的機器上也一樣。人們總是向文件系統的各個角落丟東西,把各種數據轉存到文件系統的臨時地址中。這樣引起的問題可能常常會超出人們的想像。暫且不說可能需要使用那些磁碟空間,只是這種碎片就容易造成混亂,使事件的處理更復雜。於是有人可能會問:那是上次安裝新版程序留下來的程序嗎?是入侵者放進來的程序嗎?那真的是一個普通的數據文件嗎?是一些對入侵者有特殊意義的東西?等等,不幸的是能自動找出這種「垃圾」的方法沒有,尤其是可以在磁碟上到處寫東西的系統管理者。因此,最好有一個人定期檢查磁碟,如果讓每一個新任的系統管理者都去遍歷磁碟會特別有效。他們將會發現管理員忽視的東西。
在大多數防火牆中,主要的磁碟空間問題會被日誌記錄下來。這些記錄應該自動進行,自動重新開始,這些數據最好把它壓縮起來。Trimlon程序能夠使這個處理程序自動化。當系統管理者要截斷或搬移記錄時,一定要停止程序或讓它們暫停記錄,如果在截斷或搬移記錄時,還有程序在嘗試寫入記錄文件,顯然就會有問題。事實上,即使只是有程序開啟了文件准備稍後寫入,也可能會惹上麻煩。
4.3 監視系統
對防火牆的維護、監視系統是維護防火牆的重點,它可以告訴系統管理者以下的問題:
·防火牆已岌岌可危了嗎?
·防火牆能提供用戶需求的服務嗎?
·防火牆還在正常運作嗎?
·嘗試攻擊防火牆的是哪些類型的攻擊?
要回答這幾個問題,首先應該知道什麼是防火牆的正常工作狀態。
1) 專用設備的監視
雖然大部分的監視工作都是利用防火牆上現成的工具或記錄數據,但是也可能會覺得如果有一些專用的監視設備會很方便。例如,可能需要在周圍網路上放一個監視站,以便確定通過的都是預料中的數據包。可以使用有網路窺視軟體包的一般計算機,也可以使用特殊用途的網路檢測器。
如何確定這一台監視機器不會被入侵者利用呢?事實上,最好根本不要讓入侵者知道它的存在。在某些網路硬體設備上,只要利用一些技術和一對斷線器(wire cutter)取消網路介面的傳輸功能,就可以使這台機器無法被檢測到,也很難被入侵者利用。如果有操作系統的原始程序,也可以從那裡取消傳輸功能,隨時停止傳輸。但是,在這種情況下很難確認操作是否已經做成功了。
2) 應該監視的內容
理想的情況是,應該知道通過防火牆的一切事情,包括每一條連接,以及每一個丟棄或接受的數據包。然而實際的情況是很難做到的,而折衷的辦法是,在不至於影響主機速度也不會太快填滿磁碟的情況下,盡量多做記錄,然後再為所產生的記錄整理出摘要。
在特殊情況下,要記錄好以下內容:一是所有拋棄的包和被拒絕的連接;二是每一個成功的連接通過堡壘主機的時間、協議和用戶名;三是所有從路由器中發現的錯誤、堡壘主機和一些代理程序。
3) 監視工作中的一些經驗
應該把可疑的事件劃分為幾類:一是知道事件發生的原因,而且這不是一個安全方面的問題;二是不知道是什麼原因,也許永遠不知道是什麼原因引起的,但是無論它是什麼,它從未再出現過;三是有人試圖侵入,但問題並不嚴重,只是試探一下;四是有人事實上已經侵入。
這些類別之間的界限比較含糊。要提供以上任何問題的詳細徵兆是不可能的,但是下面這些歸納出的經驗可能會對網路系統管理員有所幫助。如果發現以下情況,網路系統管理員就有理由懷疑有人在探試站點:一是試圖訪問在不安全的埠上提供的服務(如企圖與埠映射或者調試伺服器連接);二是試圖利用普通賬戶登錄(如guest);三是請求FTP文件傳輸或傳輸NFS(Network File System,網路文件系統)映射;四是給站點的SMTP(Simple Mail Transfer Protocol,簡單郵件傳輸協議)伺服器發送debug命令。
如果網路系統管理員見到以下任何情況,應該更加關注。因為侵襲可能正在進行之中:一是多次企圖登錄但多次失敗的合法賬戶,特別是網際網路上的通用賬戶;二是目的不明的數據包命令;三是向某個范圍內每個埠廣播的數據包;四是不明站點的成功登錄。
如果網路系統管理員了發現以下情況,應該懷疑已有人成功地侵入站點:一是日誌文件被刪除或者修改;二是程序突然忽略所期望的正常信息;三是新的日誌文件包含有不能解釋的密碼信息或數據包痕跡;四是特權用戶的意外登錄(例如root用戶),或者突然成為特權用戶的意外用戶;五是來自本機的明顯的試探或者侵襲,名字與系統程序相近的應用程序;六是登錄提示信息發生了改變。
4) 對試探作出的處理
通常情況下,不可避免地發覺外界對防火牆進行明顯試探——有人向沒有向Internet提供的服務發送數據包,企圖用不存在的賬戶進行登錄等。試探通常進行一兩次,如果他們沒有得到令人感興趣的反應,他們通常就會走開。而如果想弄明白試探來自何方,這可能就要花大量時間追尋類似的事件。然而,在大多數情況下,這樣做不會有很大成效,這種追尋試探的新奇感很快就會消失。
一些人滿足於建立防火牆機器去誘惑人們進行一般的試探。例如,在匿名的FTP區域設置裝有用戶賬號數據的文件,即使試探者破譯了密碼,看到的也只是一個虛假信息。這對於消磨空閑時間是沒有害處的,這還能得到報復的快感,但是事實上它不會改善防火牆的安全性。它只能使入侵者惱怒,從而堅定了入侵者闖入站點的決心。
4.4 保持最新狀態
保持防火牆的最新狀態也是維護和管理防火牆的一個重點。在這個侵襲與反侵襲的領域中,每天都產生新的事物、發現新的毛病,以新的方式進行侵襲,同時現有的工具也會不斷地被更新。因此,要使防火牆能同該領域的發展保持同步。
當防火牆需要修補、升級一些東西,或增加新功能時,就必須投入較多的時間。當然所花的時間長短視修補、升級、或增加新功能的復雜程度而定。如果開始時對站點需求估計的越准確,防火牆的設計和建造做的越好,防火牆適應這些改變所花的時間就越少。
5 結束語
隨著Internet在我國的迅速發展,網路安全的問題越來越得到重視,防火牆技術也引起了各方面的廣泛關注。我們國家除了自行展開了對防火牆的一些研究,還對國外的信息安全和防火牆的發展進行了密切的關注,以便能更快掌握這方面的信息,更早的應用到我們的網路上面。當然,金無足赤,人無完人,我們從防火牆維護和管理的研究上得知,防火牆能保護網路的安全,但並不是絕對安全的,而是相對的。
參考文獻
[1] 虞益誠.網路技術及應用.東南大學出版社,2005.2
[2] 王 睿,林海波.網路安全與防火牆技術.清華大學出版社,2005.7
[3] 黃志暉.計算機網路設備全攻略.西安電子科技大學出版社
[4] 石良武.計算機網路與應用.清華大學出版社,2005.2