[防火墙的局限性包括]防火墙的局限性

发布时间:2017-7-19 16:06:00 编辑:goodook 手机版

范文一:计算机网络安全防护中防火墙的局限性

摘要:针对计算机网络安全防护当中防火墙的局限性,介绍了计算机网络安全中常见的攻击手段,如网络通信攻击手段的表现形式和网络系统自身攻击手段介绍,探讨了安全传统网络防火墙的局限性,普通应用程序加密与防火墙的检测和web应用程序与防范能力。对用户使用计算机网络的安全性提供了可靠的网络服务环境。

关键词:计算机网络 安全防护 防火墙

中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2012)08-0166-01

当今时代,是高科技的网络时代,拥有安全、可靠的计算机网络环境是用户梦寐以求的愿望,因为安全可靠是保证工作性能的基础,因此,计算机的网络安全是优质公共事业服务的环境,它可以使企事业单位利用计算机和网络的办公、生产、经营活动有序,并可以使计算机网络可以规范的为社会效益与经济效益服务。网络技术的发展也对计算机网络的综合安全性提出了严峻的考验,信息化的高科技时代越来越离不开安全可靠的网络化。但由于计算机网络自身的特性,如自由性、广阔性、开放性制约着必然存在较多的安全漏洞、安全隐患,也使不法分子和一些黑客由于利益的驱动,是他们利用技术手段对计算机的软件程序进行威胁攻击,通过非法的手段窃取或破坏具有价值的资料,这些资料对于拥有者也可能是非常重要的私人信息、重要的数据,由于黑客的攻击致使网络服务中断,由于感染病毒,致使计算机的运行速率减慢甚至是将计算机的整体系统受到彻底的崩溃。

1、计算机网络安全中常见的攻击手段

在应用的计算机网络系统中,它们的运行平台空间可以传输与存储海量的数据,这种存储方便的功能,同时极有可能被非法盗用、篡改或暴露,就是在正常的使用环境中稍不留神,也可能受到黑客们的攻击,他们的攻击手段一般就是采用监听、假冒、扫描、篡改、恶意攻击、阻隔服务等许多方式。

1.1 网络通信攻击手段的表现形式

计算机网络平台为不同地域、空间的人们创设了共享交流的工具,当用户通过网络进行通信联络交流时,如果没有设置有效的保密防护措施,同样位于网络中的其他人员便有可能偷听或获取到通信内容。该类窃取信息内容的攻击方式主要通过对计算机系统与网络信息进行监听进而获取相关通信内容。网络黑客常常利用该类监听手段对其想要获取信息的对象展开攻击,窃取用户账号、网址或密码,可能导致重要保密信息的泄漏。例如,操作应用系统的主体类型、IP地址、具体开放的TCP端口、口令信息、系统用户名等内容。黑客们还会利用假冒身份手段对各类业务应用进行伪造,通过对各类金融业务信息的伪造、数据篡改、更改金融业务信息流时序、次序与流向,对其金融信息的综合完整性进行破坏,假冒合法用户身份对信息进行肆意篡改并开展金融欺诈等。

1.2 网络系统自身攻击手段介绍

排除通信过程中相关信息安全问题外,计算机网络系统自身也会受到一些不良恶意程序的威胁攻击,例如病毒攻击、木马、蠕虫攻击、逻辑炸弹攻击等。这些黑客们向网络系统大量发送ping包进向服务器进行攻击,使网络系统服务器由于长期处于超负荷工作状态,致使相关的服务器出现瘫痪问题。另外入侵者还可通过对网络系统发送不良电子邮件,借助网络系统传播功能令公司整体网络的持续服务与正常运行受到不同程度的影响,还有可能令整体网络系统被不良破坏。随着信息技术的日新月异,网络安全已被摆上日益突出的位置。

2、安全网络防火墙的局限性

在计算机网络中有不同类型的防火墙。这种称作防火墙的硬件是计算机系统自身的一部分,通过网线将因特网和计算机连接起来。防火墙可以使用在独立的机器上运行,也可以将这个机器作为支持网络的所有计算机的代理和防火墙,但是我们不要以为在机算机设备中运行了防火墙,计算机网络安全就万事大吉了,放火墙还有许多局限性。

2.1 普通应用程序加密防火墙无法检测

网络防火墙它不是现实中的障碍物,它是计算机的一个软件。只有当应用层攻击行为的特征与防火墙中的数据库中已有的特征完全匹配时,防火墙才能识别和截获攻击数据。如果采用常见的编码技术,就能够将恶意代码和其他攻击命令隐藏起来,转换成某种形式,既能欺骗前端的网络安全系统,又能够在后台服务器中执行。这种攻击代码具有较强的破坏功能,只要与防火墙规则库中的不一致,就能够躲过网络防火墙的防护。

2.2 加密的web应用程序无法检测

网络防火墙是于1990年发明的,这种用于检测的防火墙,是基于网络层TCP和1P地址,但随着计算机的发展,由于网络防火墙对于加密的SSL流中的数据是不可见的,防火墙无法迅速截获SSL数据流并对其解密,因此无法阻止应用程序的攻击,甚至有些网络防火墙,根本就不提供数据解密的功能。

2.3 对于web的应用程序防火墙能力不足

对于常规的企业局域网的防范,虽然通用的网络防火墙仍占有很高的市场份额,但对于新近出现的上层协议,如XML和SOAP等应用的防范,网络防火墙就显得有些力不从心。即使是最先进的网络防火墙,在防范web应用程序时,由于无法全面控制网络、应用程序和数据流,也无法截获应用层的攻击。

2.4 防火墙的应用防护只适用于简单情况

先进网络防火墙供应商,虽然提出了应用防护的特性,但只适用于简单的环境中。对于实际的企业应用来说,这些特征存在着局限性。有些防火墙供应商,声称能够阻止缓存溢出,但是,如果一个程序或者是一个简单的web网页,防火墙具有防护的局限性只能屏蔽。

2.5 防火墙无法扩展深度检测功能

设置的网络防火墙,如果针对所有网络和应用程序流量的深度检测功能,防火墙是无法高效运行的,虽然一些网络防火墙供应商采用的是基于ASIC的平台,基于网络的A-SIC平台对于新的深度检测功能是无法支持的。

3、结语

基于计算机网络安全的现实重要性只有认清形势、合理明晰影响网络安全的常见攻击手段、原理与方式,深入探索保护网络安全的有效防范技术策略,才能有效提升网络系统综合安全性能,令各项服务管理事业在健康、优质的网络信息环境中实现可持续的全面发展。

参考文献

[1]林中良.计算机网络安全防护技术的研究.硅谷,2012年(1):107转68.

[2]王玉东,胡玉峰.传统网络防火墙的局限性.农业发展与金融,2005年(6):71.

范文二:防火墙十大局限性

防火墙十大局限性

防火墙的脆弱性和缺陷(文摘)

FYI

防火墙是网络上使用最多的安全设备,是网络安全的重要基石。防火墙厂商为了占领市场,对防火墙的宣传越来越多,市场出现了很多错误的东西。其中一个典型的错误,是把防火墙万能化。但2002年8月的《计算机安全》中指出,防火墙的攻破率已经超过47%。正确认识和使用防火墙,确保网络的安全使用,研究防火墙的局限性和脆弱性已经十分必要。

防火墙十大局限性

一、防火墙不能防范不经过防火墙的攻击。没有经过防火墙的数据,防火墙无法检查。

二、防火墙不能解决来自内部网络的攻击和安全问题。防火墙可以设计为既防外也防内,谁都不可信,但绝大多数单位因为不方便,不要求防火墙防内。

三、防火墙不能防止策略配置不当或错误配置引起的安全威胁。防火墙是一个被动的安全策略执行设备,就像门卫一样,要根据政策规定来执行安全,而不能自作主张。

四、防火墙不能防止可接触的人为或自然的破坏。防火墙是一个安全设备,但防火墙本身必须存在于一个安全的地方。

五、防火墙不能防止利用标准网络协议中的缺陷进行的攻击。一旦防火墙准许某些标准网络协议,防火墙不能防止利用该协议中的缺陷进行的攻击。

六、防火墙不能防止利用服务器系统漏洞所进行的攻击。黑客通过防火墙准许的访问端口对该服务器的漏洞进行攻击,防火墙不能防止。

七、防火墙不能防止受病毒感染的文件的传输。防火墙本身并不具备查杀病毒的功能,即使集成了第三方的防病毒的软件,也没有一种软件可以查杀所有的病毒。

八、防火墙不能防止数据驱动式的攻击。当有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时,可能会发生数据驱动式的攻击。

九、防火墙不能防止内部的泄密行为。防火墙内部的一个合法用户主动泄密,防火墙是无能为力的。

十、防火墙不能防止本身的安全漏洞的威胁。防火墙保护别人有时却无法保护自己,目前还没有厂商绝对保证防火墙不会存在安全漏洞。因此对防火墙也必须提供某种安全保护。

防火墙十大脆弱性

一、防火墙的操作系统不能保证没有漏洞。目前还没有一家防火墙厂商说,其防火墙没有操作系统。有操作系统就不能绝对保证没有安全漏洞。

二、防火墙的硬件不能保证不失效。所有的硬件都有一个生命周期,都会老化,总有失效的一天。

三、防火墙软件不能保证没有漏洞。防火墙软件也是软件,是软件就会有漏洞。

四、防火墙无法解决TCP/IP等协议的漏洞。防火墙本身就是基于

TCP/IP等协

议来实现的,就无法解决TCP/IP操作的漏

洞。

五、防火墙无法区分恶意命令还是善意命令。有很多命令对管理员而言,是一项合法命令,而在黑客手里就可能是一个危险的命令。

六、防火墙无法区分恶意流量和善意流量。一个用户使用PING命令,用作网络诊断和网络攻击,从流量上是没有差异的。

七、防火墙的安全性与多功能成反比。多功能与防火墙的安全原则是背道而驰的。因此,除非确信需要某些功能,否则,应该功能最小化。

八、防火墙的安全性和速度成反比。防火墙的安全性是建立在对数据的检查之上,检查越细越安全,但检查越细速度越慢。

九、防火墙的多功能与速度成反比。防火墙的功能越多,对CPU和内存的消耗越大,功能越多,检查的越多,速度越慢。

十、防火墙无法保证准许服务的安全性。防火墙准许某项服务,却不能保证该服务的安全性。准许服务的安全性问题必须由应用安全来解决。

范文三:关于消除防火墙局限性和脆弱性的可行性研究

科技信.息

机 算 网与

关络 消 除 盼孑 火 局I限 牲和脆 弱 Ⅱ晌 可行牲 研穷  啬生

江科技 西师范 院 学柳 宝家

[ 摘要] 文对防火墙 的局限章和脆 性性弱现表以及 成原 因等方 形进行 了研 面,究 并对入检 测侵技 术技以 及防墙火和 入侵检测 系

的统 动联进 行了 讨探。

键 词 火墙]  局 限  性 脆弱 性 入 侵 检 测  动 联关

防着 随Itn ten 的高速e的展 及发们对人息信的大量需 ,求联 互网户 用 乎 以几何几级数长 增, 此由来而网络的全 问安也题日 复杂。防火益作墙 为 网安络的全一第道屏障, 网络 安防护措施中全 , 防火在墙般也被一 作为首选 在安,全 市上 , 防场火墙 占所的场份市最大 额,其 相 的关种各技  术也相比对较熟 成 尽管防。墙火是网络安 的全主基要 石 但,我们不是能  防火墙把万化 能。防墙也不火避免可 的有它自身的 缺。 陷

一 .

上 。一

个有的效火墙依防 于一个赖明确清的 、 全面的安全楚策。实际  略上,在 设 安 全计 系统 时 先考首 虑的 应该 是 策 略 ,不是 防 火墙, 一  是 这而 个好的则规 。防火也因墙其本身取采安的全略策而不避免可具有的缺。  陷防

火 墙 有 两 种 对立 安 的全策 略 :  ( ) 非 明 允确许 则,禁 某 止种服 务   除1

、否

网络安 全现

状网

络的放性和开享性共在便了人们使用方同时 ,的也得 使络网很 容易 到受攻 击 而,受 且攻击后到的害伤是重严 的 ,数如被据人窃 取,诸   务服器不能正提供常务 等等服 。 信 息域 领的罪犯也随之来 , 而取信息 窃 、篡数改据 非和攻击等对法 系 统使用者及全会 社成 的造危和害{ 也特失 别巨 大 =,6 i 并且日 增加 益 据 。 国美《金融时报》 道 , 报 现平均 在 每2秒就发 生一入次计算机侵 络网  O 事件的 ; 过 超31互的 联傲网攻破 。 约7 %以 上网络信息主的人 员报管  ,’告 0

闵机 密信

息漏泄而到受 了损 失。%6在过 的 1 去月个中遭到 内攻部 l 2 击 8 在,去过的 1 个中遭月 到部攻击外。5 %2  据公安 部资料计 , 统早在 19 我 国 98年已就获计破算黑客案件机 近百 ,起利计用算 网机络进的各行类违法行 在中为以每国 3年 %速的 度 递0。增黑客攻击的方法 已超 过算计病毒的机种 类, 总数达到 千种。近公 安部官 员估 计, 目 已前发现黑的客击案约攻占总 数 的%1, 5 多 事件数 由

于没有造 成 严 危重 害或 商 家 不 愿 透 露而 未 被 曝光 。 有 媒 报道体

,中  国 9% 的 It nt 连与 的络 网 管 理中心 都遭 到 过 境 内 黑 外客的 攻 击或   ne 5e r

相这种 策 略除 非 明确允 某 许种服 务 或 应 ,否 则 用防 墙火会 阻 止 所   有的通信在这种。情况假定防墙火应阻塞该所有息 信访,问制控 表CA  (Lcs C nrli ,Aes o t   简s 称 AL ̄)   oL C t 载i的允许规则是, 对据包数 的挡阻能  相力较大对,以 安性相全较强对 它 。缺点的 是 所 安“全高于性用使户的用 方 便 ”对用性进行户了 束约, , 自度较小由。   () 除非 明2不 允确,许 否则允某许种务服 这种策 略上一种与好相刚反 ,种策略这为认 防墙应火转该所发有  的信 通, 除 网非络管理员对某种务服表示明 确止禁这。情种况假防火定 墙 应该接收所 的有信息 包 A L表,中记 载 是 拒绝 的规则, 在 C 其绝拒范  围 小, 对数据 包的挡能力阻小较, 以安性相对较弱。 全 所它的缺是点 “使 用 的 方便性于高‘安性 ”但 内部网络是户用与界外通信所受约束较 的= , 小

,自 由 相度对 较 大。

侵入 中,行 银、 融和证券构机是客攻击 黑重的 。点 在中,国其 针对银 金 行 、券等金证领融域黑客的罪 案犯总件涉案额金 高达已数元 亿 ,对其 针 行业 他黑的犯客案罪件也时有生发 。

由此  可见 ,络 安 全是 一 个 关系 国 家 安全和 主 权、 会 定 、 稳 网社民族  文化的 继承发扬和重要问的 题 。 二 、防 火墙 述  概据统 计 ,连入 I RN T的 网T络 约为大 6 0, N E 0E0 个左0右 ,主机 数 总则 已超 过 10 0 0 万台, 由 于 IT R N EEN 上 T有 如此 的 用 多 , 中户 难免有  其 少数 居 心 不 的所 谓 良 “客  ” 。 黑防火技墙作术为 前目来实现 用网络全措安 的一种施要手主 ,段 它 主要是 用来绝拒未经权授的 刷户 访问,止未阻授的用户权存取感数 敏 ,据同允许合时法用不户妨碍地访受 网问络源资 防。火 墙可以即硬是  ,件也可 以是件 , 软还 以可是行特运定防火 软件的墙机系统主。 防火墙 实质的限是数制流通和允据许数 据流 ,通由 组一件 软、硬  件和一 组全安策略的 合 ,集并 在网络间进行之访控制问。防火墙 像是家 就里的 盗门一防 样 ,们对普它人通说是一层安来防护 ,全 是没有但何一 任 防火墙能提供绝种对保护 , 它同样的有也自己的局限 和脆弱性, 给不  事者好们来带“了 望” 希同也时给网络全安下了隐埋患 ,。  三 、 墙火的 限性 局 和

脆 弱   性防 对火防 的安墙全限局弱性分析脆 ,为了是更好利的防用火墙来保  网络护全, 安要获想得高级别的更网安络 全 我们 ,必须全分析面火防  自身墙 的安全弱 点 、 消 除 防 火墙出局 性限 和脆 弱 性 方 法 。 找 的

)(限性 分  析一 局

防火 对墙 络之间网数的据包按 照一定的 安全 策略来实施检 , 查以  决 网定之络的间信是通 否被 允许, 屏内蔽部网信的息 埘、 结外和运构 行 状况 ,并 供单一的安提全和审 计安控 制点装 , 从而到达保护内 网络部信  不息被部外授权非户访问用 ,过滤 不信良息的 的目。  由于防火墙是 基于 “允许 ” “ 或限制”数 据流 通, 它的通信性能与   其全安性是矛盾 , 要的提其高安全 势必性降 低火防 墙的能性 , 之反, 提高 它的 能性一就定降低会防墙的安全火性。如,例防 火的墙安性全立建在  对据检 查数 上 检查越细,安全越, 但是检 越 细查速越度慢 。

() 弱 性 ( )洞 析 二 脆 漏 分 脆弱性 ,又称 全漏洞安 ,是防就墙火的软件或件在设组 、 计码 、编 配  和使用置程 过的错误中所造成的缺陷。 攻击意者能够用这利缺陷 , 恶个   对 源资行进非权授访或滥问用, 背系统 安的全策 ,略 违 引发安全题。  问 防墙火的脆弱性表现为 全安漏洞, 具体为 : 】  防火墙在存无法阻止着击攻者使软用后门件击攻; 、  2 、法 阻止据数驱动攻 击的 拒绝务服击攻 造过滤、规则 中 使  用无 伪 I的址和物理 地址 P地 ;  无3有法效地阻止络网蔽隐通传道递信息等漏 洞 、; 4、  防墙的操火作统不系能保证有漏洞 没 ; 5  防墙无法火区是分恶命意还是令意善令等。命、   弱脆导性系致呈现一些统弱薄环节漏或洞,任何 胁都是因为系威 统 本身具有薄弱环节漏或才形洞或出现成 。的火防墙的弱性根脆源 很多 ,

有要 :主

() 1软设计件 编、 码的中误错 带 的来漏洞 ,例 如输条入件误错、 问  访验 证 错 、误界 检 错查 误等 边.  .() 2 系用户 为方统操便 , 作更设改 置和用 户 主, 之问机信任的 关 系 传所递带 来的忡隐 缺 , 陷如无需入 H输 名 /户 j例密码的 文共享件 、 程远  登录等。   ) 3( 配和置操作缺陷: 于用户南配的置、 使用来带 的陷缺由于。现 代计算 网络的庞机复杂 大很,多管理只员使用默 配置认对或改更配置后  安的后全不清楚果, 使攻 击 者的入更 侵容为易。如为方便远程例管 理  ,管 理员在火墙 中留下防了隐 蔽的R A 道 ,通 S 从而使击者攻有可

能利用 该 通道 绕过防火 墙 的安 全监 控 。   击攻者果如要击一 攻受个 火防墙护保 的网络 首,先做要的 是机手 目标防 墙火访 的控问制 列规表信则息和内 部网拓络扑 信息, 后然用  利置规则配漏的使 防火洞墙 失去实策 略的能施,进力对受而保的 护内 部

l仃 攻 进击 。碉 络

防火墙

局限性的是防火墙受 自指限制或约束身的 性。质 国从外  历次内测 试的果结都可以看出, 前 目火墙防一个很 大的局限 是速度性 不 够。 具体 体 还 在现   1: 防墙拥火单有一的网络接 点人 ,、 存着规在则 被意滥恶致使用 资源 耗尽的 陷 缺   ;、 2防墙火不防止受病能毒染感 的件传输文;  3防火 墙不防止能内泄 密部为行 ; 、  4火防墙不能防不经范 防火墙的过击 ;攻、  5防火墙不能解 决 来 内部 自网的攻击 和安络 问全题 ; 、  6、 不 墙 防能 策止 略 置配 不或当 误错配 置引 起的 安威 全 胁 等。防 火  防 火墙局限的 性成因有 很方 多面,主 体要在防火墙现的设计策略

... —

综—上所 述 防火 墙, 是 整只体 安 防全范 策 略的一部 分 , 提 高网 络的 要  体安全性能 整 ,还需其要因他的考 素。虑  四 入、 检侵 测( nt s nD citn  Isr i  e t e uo 】o

24.— 4.   .

科技— 喜 信

计 算 与机 络网

测 和特 检检征测 相合结 )的 侵检测入也不可避 免的缺有 陷 因,此 们同我  样不能仅靠入依检侵测系 统 还需要其他,技术 的合结能更有才地效解  决网 络 安全 题问 。  今 如入 的侵检 系测 统 也不尽 如 人 意 虽 然 ,开发 者 一直 尽力 改进 和   改 良现 有 的术克服这些 技足 ,不 而些 局限有 固有的 是 , 然见常的 有  : 缺乏有效1性, 、 处当 的事件非理多常 , 时无就 法事件进行实时分 对 析,从而致导入检测 侵系因统来及不处理过数量 据丢失或网络数 据  而失包效。   2 有 限 灵 的 性 活 今, 的 入侵 检 系测 统 操与作 系 统 是 关相的 , 当  、 且 如进升级行或重配新时 置 要,重新动启 。 需   3单点失 效 、 当,侵入 检测 统 自系 身因受 到攻或击其他 因而原不  正能常工作时, 其 保功护就能会失丧。   4 缺 对入乏 侵检测 键组件关的保护 , 、 入 检测 系统 侵自也身 面对  很多攻 击 ,果 如 攻击把 入 侵 测 检系 统某 一 组 件 破攻 么, 侵 检入测 统系的  那 检 测功 就 能会 打大折 扣   。 ( )侵检测 与 防火 墙 联 动   三 入 如说假 防火墙是 一 大幢 楼的

门锁 ,那入侵 监测统系是这 就大楼幢 里 的监视 系统。防火墙 工 作方被式 动 ,供提的是 静防御 态,的规则 都  必它事先设须置好, 于未 列出 的络网击不 攻实能时反 应制止 并 对 ,法无 利用 网络态和状网 信络 息自调整动策设略置以阻断正在 行 的攻击进。  通 常 安,策略 全要用来主 止防来外侵 ,人而 不监是控内部 用 。 户  对相应 的,入 侵检 测统系 IS虽 有发具入 侵现 、断接 的连功 能, D阻   但其重点更 多地放在入对行侵 的识别为上,网络整体 安的策全还需略

由火防完成墙 。

由于防

火墙有上具不 可述避 免局的限 性和弱性 脆 ,网防络护 中,在  不 能 够 仅依 靠 火防 墙统 , 系 该应 其和他 安 全 的 施措 结合起 来 同建 ,  而

立 共更 加强 大 的络 网御防系 统。   ) 侵检(测术 技一 入 由于防墙本火 身的缺 ,陷上 T P P议族本身 缺乏协应相的 全  加 安C3机 制 ,使个 整网不 可避免地络存 在全 安问题 。侵入 测系检统 I (n  SD I s—ui   cto  mv 很 好)的 弥 补 火 防 墙不的足 , 防 火 墙 技 术 之t sDne ts  nr oei能

是后

新代的一全安障技保术, 是 对防墙 火必的补充 要   如果。我将计们算机网络 比作城堡 , 么那 防火 墙是就城 堡护城的  桥( ) 河— — 允许 己方只 的队伍通 过 入。 检测侵 统系就是城 堡的 了望中 哨 — 监—视无有方敌其他误或城入的堡人 现 出   。作 为种 一动主的安全护措施 ,防 通过它对计算 网机络和计机 算 系统 中的干若关 键收点集信并对息其行进分 析 从 ,中发现 络或系网 统中 是 否有违 安反 策全的行为略被和击攻的 象 迹,它提供 了 内对攻部 击 外、  攻部 击误 和 作操 实的时 保 护,在 络 收网到危 之 害 进 前行拦 截 和 应响 能   个。通 用的 人 侵检 系测统它 分 为 四个基 本 组 件: 件 产 生 器、 分 件   事 事 器析 应单元、和件数据库事( 图 。 1响 )

一如

1 侵 检 测入 系统 的 基本 构成  图事件产 器 的任生务 是从入侵检测 统系 之外的计算机环境 中采 集 数据 ,它数据 流 对、日 志文等件行进追踪 , 将后集 收的原始 到据转换数  然

件 , 并事把这事件传些 送给其 组件它。   件事析分分析器 从他其件组 到的收 事件息 ,信后 然它对们进行分 析 ,判断 否是入侵行是 或为异 现常 象最, 将判断结果后化 转警为信

息。告

件据数库来存储用各 中间种最终和数 ,它从事件据生 产器或 事 分析器接收件

数据进并保存行以备 系统 需 时使 用要 。 响应 单根元警告据信息作出 反应 ,并 据采 此相应取的施措 ,它以 可做 出杀 死相关进程 、 链将接 位复 、改修文 权 限等件烈反应 ,强也 可 只  以简单是报的警, 是它入侵测系检统 主要的武 器 。  人检测侵系统正是 通过 这 个 组四的件 相互调和 配协合 工而 作。 的  侵检测入系相 比其他统安的全 品产 要有更多需 的智能 能将得,到 的数 据 进智行能 析 分 ,有出意义 结果 ,的且并求不 断要地更新弱点据 数 得库 ,能以够识 别最 新的入侵为行。 个合格的一侵检测入统能够大大化  系简 网络管理员 工的 作 ,保证网 络全的安运 行。从网络安 全体立纵深、  多层 防御 次的度看角, 侵检入测应受 到 度高视重。 据入侵检根所采测 用的  技术 同 不,以分 为 两 类 常:检测 和 特 征 检 测。 异可  1 常 检异测  、 于异基的入常检测 侵方法主来源于要这样的思想 ,人 正常行为的 都 是一定 的规有 律, 并且 以通过可分析这些 为 行, 生产 志日信 并息结总 出这些规律 ;  而侵和滥入用行 则 为通常正和 的常 行存在为重 严的 异 ,差  检查 出些这差异就可 以检 出测入 侵 。这 ,样我们不 但 能检测 出知的入已 侵 行为 还,能发未现知的攻击 模式。  异常检 测 根使据 用的者为行或资 使源 用状况判 断是否 来侵入, 例  如, 通过流量统计析分异将时 间常异的 常络网量流视 为疑可 ,以也   所被 称 为 基 于 为行 检 的 。测基 于 为 的行 测 检与系 统 对相无 ,关用 性 较 强 通   。甚至可能检测 它出以前未出现 的过新的 击方式 ,不攻 像基知于识 检的 测( 滥用监测 ) 那样 受已模式的知限制, 不能发现 新攻击的方 式

2。 、征检 测

特在

目 前的研 究 和 际实 应 用 ,往 中往 将 火 防 墙与 入侵 检测 系 统孤 立  起 单来使独用。侵入检测与防墙火间之的 联动够弥能各 自补的缺陷 ,实 现优 势互补 ,  建立一而个全位的防御体方。系现实入侵检测防火和墙 从 之 的联间有两动种方式   :1通过 定 的一则来规实 现联 :动署在 些 某域 区的 侵入检产 测品   、 部如果 能和相关的防火 在 墙络网上 通 可,可以发则它们挥 之间的 动联 功能。 如 果够将入侵检能 测 品产和火防墙品产动 联 可,以防火墙在系上  统定义哪些 动是活合 不法的动活 ,后然把这种 安 全策转换成略侵 人测  规检 则 ,一旦入侵检 测现发攻 行为击 ,它 以通可知 火防修 墙改全规则 ,安  阻后止 续攻的行 击, 提高为

网络安效 率。全  2 将 侵检入测系 统 入嵌 火防 墙系 统 中 、:这种方 将两法 种术技真正 的 二合一 为, 如果防 墙具火有一定的 侵人测功能检, 则可以在 防火墙   上 开打 功 此 能, 在 防火 上墙使 用 侵入 测 检功 可 以有能 效地抵 制 来 自内 部 和 外 网部 的络攻击 ; 果 入侵 检测 系 具统备 防 火 墙 功 能 ,的它 可 以有   如则效 的 保 自护 的 组身件 免遭 击 并 对 检攻 测到的 入 侵 为进行 行及时 的控制   追 和 。 踪

、五结 展 望  总

于技 术由方 面等的 原,要真 正因现实防墙与入侵火检测 系统的   联动,可能会 临很 多挑战 。但面 ,是于防 火与入侵检测墙 统 系动有联  基效 提地升 火墙 防机 动的和实性反应 时力能, 同增时 强了入检测侵系 的统  阻功断 能, 火墙防和入侵 检测的 动是今后 联全安技发展术 的个一方 向。   侵检测技术入与防火 墙技术的 结合,将会使 消防火墙局 限性和脆除弱 性 成为可能 合理 的,合 运综用 些这术 , 可技以 效有的加增算机 计络 的网 安 性 全,使 计机算网 安全进络入个全一 新时代 的。

参考 文 献

] [湘黔 . 络 全 安与 火防 技墙术 … . 庆 : 庆 大 学出版 ,社 曾 网 1 重重

2 0  . 0 54

]奇 富网络 安 全 术 技][ 州 : 江杭 大学 版出社,06 8姚2T . 2 浙 0

特征测又称为滥检用监 测 它,假所定入侵有行和手为段( 及其变 )种  都 能 够表 达 为 一 模种 式 或 征 特,么 , 有 知 的 已入 侵 法 都方可 以 用 匹   那 所 配方法发现 的 。模式现发 关键的如何是表 入达侵的 模式 把真正,入的侵 与 正行为 区分开常 。来因为很 一大部分 的 入侵是用利 了知 系统已脆的  性弱, 通 过分入析侵程的过征 特 、件 、条 顺 以序及事 件的间关系 以,  可具 描述入体侵为 的行迹 。象这 方法 由于种依具据体 征库特 进行判断 ,以 所 准确 度 很 。高为 检测 结 有果 确明的 参 照, 管为理 员 做相出应 措 施 提 因 也  供 了便方 。  ( ) 侵 检 系 统测 不 的 足二 由于入异 常检测 和特 检 测征 也 各有自 自 身的 陷 缺 至, 混 式合 ( 常甚 异

[]

张3基温.信 息统系全教安 [程]北京 I:清 大学 出版社 华, 077 2.0   []美] (登le , ) 4[ 侯 Ho dn .G 王 , 斌孔璐 译. 火墙与防 络网安全一入 侵 测和检 VP [ ] Ns M. 北京: 清 华大 出学社 ,版 04 62.0  [ ] 云 信所息安全论[概北京]

: 5 I段 高等.教育 版出社 , 93020. [ ] 6吴煌 煜网络 与信安息 教全 []程 京 北: 国 水 利 电 水版出社 , I 中

2 ̄

6 (  0

[ ] 罗7守山 入检侵 []测J. 北京 : 北京邮 大学出版社电, 302 0   []8 李涣 洲. 网 安络全 入和检侵测 技术 ]l川四: 师 范川大 学学  I 四

报. 0 1. 12 0

] n rw  ebau 熊桂喜 , 小 虎 等 译计 算 机网络 (   9 A d三 se Tn nma 王第 )J版 . :京 大 华学 出版社 ,9 8 [ ] 北清 91  [0 [ ] b cGa r yBae 侵 入 测 检 ] [ : 京 邮民 电出版 1 ] 美eR ceul e. Mc. 北 人社 ,

1 0 02

24 5



范文四:防火墙十大局限性

防火墙脆的弱和性缺陷 文摘)

(YFI

火墙防网络是上使最多用安的设备全,是络安网的重要基全。石防墙火厂为了商占市场,领对火防墙的传越来宣多越,场市现出了很多误错东西。其中的一个型的错误,典是防火墙万能把化。但00228年的《计月算机全》中指出安,火防的墙攻破率经已过47超%。确正认识和用防使火,墙确保络网安全使的,研究用防火的墙限局性脆和性弱已十经分必。 要

火墙十防局限性大

、防一墙不火能防不范过经防墙的攻火。击没经过防火有墙数的据,火墙无法检防查

。二、

火防墙能解不来决自内部网的攻击和络安问题。全防墙可火设以计为既外也防内防,谁都不可,但信绝大多数位因单不方便为不要,防求墙火内防 。

三、防火不墙能止策防配略不当或置误配置引起错安全威胁的防火。墙一个被动的是安全略策执行设,备像就卫门样,要根一据政规策来定行安执全而不,自作能主。张

、火墙防不能防止可触接的人或为然的自破坏防。墙是一火安个全设备,但防墙火身必须存在于一个安本的全地。 方

五防、墙火能不防利用标准止网络议协中缺陷进行的攻击。的旦一火墙准防许某标准些网协议,络火防不能墙止利防用该议协中缺陷进行的攻的。击

六、防

火不能防止墙用服务利器系统漏洞进所的行击攻黑客通。防过墙准许的火问端口对该服访器的漏洞务行进攻,防击墙火能不止。防

七防、火墙能防止受不病毒感染的件的文输传。火墙防身本不并具备查杀毒病功的能,即集成使了第方的防三病毒软件的也没有,一软种可件查杀以所的病毒。 有

八、防

火墙不防能数止驱动式据的攻击。有些当面看表无害来数据的寄或邮贝到拷内网部主机的上并被行时,可能会执发数生驱据动的攻式击 。

、防九墙不能火防止内部泄密的为。防火墙内行部一个合的用法主动泄密户防,火墙无能为力的是。

、十防墙火能防不本身止的安漏洞的全威胁。火墙保护防别人有时无法保却护己自目,还没有前厂绝对商证保防墙火不存会安全在洞漏因此。防对火墙必也提须某种安供保护。全

火十墙脆弱大 性

、防火的操墙作系不统能证没保漏有。目前还洞有没家一火墙防厂说商,防其墙没有火作操统。系有操系作统不就能对保绝证没有安全漏。 洞

二、防墙的硬件不火能保证不失效所。的有硬都有一个件生命周,期都会化老,有总效失一的。天

防火、墙件软能保不没有漏证洞防火。墙件软是软件也是,件软会就有漏。洞

、四火墙无防法解决TCPIP/等协议漏的。防火洞本墙就身基是TCP于/IP协

等议来实的现就无法,解决TPC/P操作I的漏洞

。五

防、火墙法区无恶分意令命是还善意令。有命很命多令管对员而理,是言项合法命一令,而在客手黑里可就是能个一险的危令。 命

、防墙无火区分恶法流意量善和流量。意个一用户用PIN使命G,用令作络网断和诊网攻络,击从量上是流没有异的差 。

七、防墙的火全安与性功多能成比反。多功与防能火墙安全原则是的背道驰的。而此因除,确非需要某信些能,功则否,该功应最能化小 。

、防八火墙安全性和的速成度比反防。墙的火全安性建立是对在据的数检之上,检查越细查越全安,检但查越细度速慢。

越九、

防火墙多功能的与度成反比速防火墙。的能越功,对多CU和内P存消的耗越大,功能多,越检查的越多速,度越慢 。

十、防

墙无法火证准保服许的安务全。性防墙火许准项某务,服不能却保证服该的务安全。准性许服的务全性安问必须由应题安用来全决解。

范文五:计算机网络安全防护中防火墙的局限性]@]@]

@计算机网络安全防护中防火墙的局限性

摘要:针对计算机网络安全防护当中防火墙的局限性,介绍了计

算机网络安全中常见的攻击手段,如网络通信攻击手段的表现形式

和网络系统自身攻击手段介绍,探讨了安全传统网络防火墙的局限

性,普通应用程序加密与防火墙的检测和web应用程序与防范能力。

对用户使用计算机网络的安全性提供了可靠的网络服务环境。

关键词:计算机网络 安全防护 防火墙

中图分类号:tp393.08 文献标识码:a 文章编号:

1007-9416(2012)08-0166-01

当今时代,是高科技的网络时代,拥有安全、可靠的计算机网络

环境是用户梦寐以求的愿望,因为安全可靠是保证工作性能的基

础,因此,计算机的网络安全是优质公共事业服务的环境,它可以

使企事业单位利用计算机和网络的办公、生产、经营活动有序,并

可以使计算机网络可以规范的为社会效益与经济效益服务。网络技

术的发展也对计算机网络的综合安全性提出了严峻的考验,信息化

的高科技时代越来越离不开安全可靠的网络化。但由于计算机网络

自身的特性,如自由性、广阔性、开放性制约着必然存在较多的安

全漏洞、安全隐患,也使不法分子和一些黑客由于利益的驱动,是

他们利用技术手段对计算机的软件程序进行威胁攻击,通过非法的

手段窃取或破坏具有价值的资料,这些资料对于拥有者也可能是非

常重要的私人信息、重要的数据,由于黑客的攻击致使网络服务中

断,由于感染病毒,致使计算机的运行速率减慢甚至是将计算机的

整体系统受到彻底的崩溃。

1、计算机网络安全中常见的攻击手段

在应用的计算机网络系统中,它们的运行平台空间可以传输与存

储海量的数据,这种存储方便的功能,同时极有可能被非法盗用、

篡改或暴露,就是在正常的使用环境中稍不留神,也可能受到黑客

们的攻击,他们的攻击手段一般就是采用监听、假冒、扫描、篡改、

恶意攻击、阻隔服务等许多方式。

1.1 网络通信攻击手段的表现形式

计算机网络平台为不同地域、空间的人们创设了共享交流的工具,

当用户通过网络进行通信联络交流时,如果没有设置有效的保密防

护措施,同样位于网络中的其他人员便有可能偷听或获取到通信内

容。该类窃取信息内容的攻击方式主要通过对计算机系统与网络信

息进行监听进而获取相关通信内容。网络黑客常常利用该类监听手

段对其想要获取信息的对象展开攻击,窃取用户账号、网址或密码,

可能导致重要保密信息的泄漏。例如,操作应用系统的主体类型、

ip地址、具体开放的tcp端口、口令信息、系统用户名等内容。黑

客们还会利用假冒身份手段对各类业务应用进行伪造,通过对各类

金融业务信息的伪造、数据篡改、更改金融业务信息流时序、次序

与流向,对其金融信息的综合完整性进行破坏,假冒合法用户身份

对信息进行肆意篡改并开展金融欺诈等。

1.2 网络系统自身攻击手段介绍

排除通信过程中相关信息安全问题外,计算机网络系统自身也会

受到一些不良恶意程序的威胁攻击,例如病毒攻击、木马、蠕虫攻

击、逻辑炸弹攻击等。这些黑客们向网络系统大量发送ping包进

向服务器进行攻击,使网络系统服务器由于长期处于超负荷工作状

态,致使相关的服务器出现瘫痪问题。另外入侵者还可通过对网络

系统发送不良电子邮件,借助网络系统传播功能令公司整体网络的

持续服务与正常运行受到不同程度的影响,还有可能令整体网络系

统被不良破坏。随着信息技术的日新月异,网络安全已被摆上日益

突出的位置。

2、安全网络防火墙的局限性

在计算机网络中有不同类型的防火墙。这种称作防火墙的硬件是

计算机系统自身的一部分,通过网线将因特网和计算机连接起来。

防火墙可以使用在独立的机器上运行,也可以将这个机器作为支持

网络的所有计算机的代理和防火墙,但是我们不要以为在机算机设

备中运行了防火墙,计算机网络安全就万事大吉了,放火墙还有许

多局限性。

2.1 普通应用程序加密防火墙无法检测

网络防火墙它不是现实中的障碍物,它是计算机的一个软件。只

有当应用层攻击行为的特征与防火墙中的数据库中已有的特征完

全匹配时,防火墙才能识别和截获攻击数据。如果采用常见的编码

技术,就能够将恶意代码和其他攻击命令隐藏起来,转换成某种形

式,既能欺骗前端的网络安全系统,又能够在后台服务器中执行。

这种攻击代码具有较强的破坏功能,只要与防火墙规则库中的不一

致,就能够躲过网络防火墙的防护。

2.2 加密的web应用程序无法检测

网络防火墙是于1990年发明的,这种用于检测的防火墙,是基于

网络层tcp和1p地址,但随着计算机的发展,由于网络防火墙对

于加密的ssl流中的数据是不可见的,防火墙无法迅速截获ssl数

据流并对其解密,因此无法阻止应用程序的攻击,甚至有些网络防

火墙,根本就不提供数据解密的功能。

2.3 对于web的应用程序防火墙能力不足

对于常规的企业局域网的防范,虽然通用的网络防火墙仍占有很

高的市场份额,但对于新近出现的上层协议,如xml和soap等应

用的防范,网络防火墙就显得有些力不从心。即使是最先进的网络

防火墙,在防范web应用程序时,由于无法全面控制网络、应用程

序和数据流,也无法截获应用层的攻击。

2.4 防火墙的应用防护只适用于简单情况

先进网络防火墙供应商,虽然提出了应用防护的特性,但只适用

于简单的环境中。对于实际的企业应用来说,这些特征存在着局限

性。有些防火墙供应商,声称能够阻止缓存溢出,但是,如果一个

程序或者是一个简单的web网页,防火墙具有防护的局限性只能屏

蔽。

2.5 防火墙无法扩展深度检测功能

设置的网络防火墙,如果针对所有网络和应用程序流量的深度检

测功能,防火墙是无法高效运行的,虽然一些网络防火墙供应商采

用的是基于asic的平台,基于网络的a-sic平台对于新的深度检

测功能是无法支持的。

3、结语

基于计算机网络安全的现实重要性只有认清形势、合理明晰影响

网络安全的常见攻击手段、原理与方式,深入探索保护网络安全的

有效防范技术策略,才能有效提升网络系统综合安全性能,令各项

服务管理事业在健康、优质的网络信息环境中实现可持续的全面发

展。

参考文献

[1]林中良.计算机网络安全防护技术的研究.硅谷,2012年

(1):107转68.

[2]王玉东,胡玉峰.传统网络防火墙的局限性.农业发展与金

融,2005年(6):71.



范文六:防火墙与防火墙的作用

防火墙与防火墙的作用

文章出处:www.cec.gov.cn 发布时间:2004-07-27 点击:0

一、防火墙

由于Internet的迅速发展,提供了发布信息和检索信息的场所,但它也带来了信息污染和信息破坏的危险,人们为了保护其数据和资源的安全,出现了防火墙。防火墙从本质上说是一种保护装置。它保护的是数据、资源和用户的声誉。

1.Internet防火墙

防火墙原是建筑物大厦设计来防止火灾从大厦的一部分传播到另一部分的设施。从理论上讲Internet防火墙服务也属于类似目的。它防止Internet上的危险(病毒、资源盗用等)传播到你的网络内部。而事实上Internet防火墙不象一座现代化大厦中的防火墙,更象北京故宫的护城河。它服务于多个目的:

(1)限制人们从一个特别的控制点进入;

(2)防止侵入者接近你的其它设施;

(3)限定人们从一个特别的点离开;

(4)有效的阻止破坏者对你的计算机系统进行破坏。

因特网防火墙常常被安装在受保护的内部网络连接到因特网的点上。

2.防火墙的优点

(1)防火墙能强化安全策略

因为Internet上每天都有上百万人在那里收集信息、交换信息,不可避免地会出现个别品德不良的人,或违反规则的人,防火墙是为了防止不良现象发生的交通警察,它执行站点的安全策略,仅仅容许认可的和符合规则的请求通过。

(2)防火墙能有效地记录Internet上的活动

因为所有进出信息都必须通过防火墙,所以防火墙非常适用收集关于系统和网络使用和误用的信息。作为访问的唯一点,防火墙能在被保护的网络和外部网络之间进行记录。

(3)防火墙限制暴露用户点

防火墙能够用来隔开网络中一个网段与另一个网段。这样,能够防止影响一个网段的问题通过整个网络传播。

(4)防火墙是一个安全策略的检查站

所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。

3.防火墙的不足之处

上面我们叙述了防火墙的优点,但它还是有缺点的,主要表现在:

(1)不能防范恶意的知情者

防火墙可以禁止系统用户经过网络连接发送专有的信息,但用户可以将数据复制到磁盘、磁带上,放在公文包中带出去。如果入侵者已经在防火墙内部,防火墙是无能为力的。内部用户偷窃数据,破坏硬件和软件,并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁只能要求加强内部管理,如主机安全和用户教育等。

(2)不能防范不通过它的连接

防火墙能够有效地防止通过它进行传输信息,然而不能防止不通过它而传输的信息。例如,如果站点允许对防火墙后面的内部系统进行拨号访问,那么防火墙绝对没有办法阻止入侵者进行拨号入侵。

(3)不能防备全部的威胁

防火墙被用来防备已知的威胁,如果是一个很好的防火墙设计方案,可以防备新的威胁,但没有一个防火墙能自动防御所有的新的威胁。

(4)防火墙不能防范病毒

防火墙不能消除网络上的PC机的病毒。

二、防火墙体系结构

目前,防火墙的体系结构一般有以下几种:

(1)双重宿主主机体系结构;

(2)被屏蔽主机体系结构;

(3)被屏蔽子网体系结构。

1.双重宿主主机体系结构

双重宿主主机体系结构是围绕具有双重宿主的主机计算机而构筑的,该计算机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器;它能够从一个网络到另一个网络发送IP数据包。然而,实现双重宿主主机的防火墙体系结构禁止这种发送功能。因而,IP数据包从一个网络(例如,因特网)并不是直接发送到其它网络(例如,内部的、被保护的网络)。防火墙内部的系统能与双重宿主主机通信,同时防火墙外部的系统(在因特网上)能与双重宿主主机通信,但是这些系统不能直接互相通信。它们之间的IP通信被完全阻止。

双重宿主主机的防火墙体系结构是相当简单的:双重宿主主机位于两者之间,并且被连接到因特网和内部的网络。

2.屏蔽主机体系结构 双重宿主主机体系结构提供来自与多个网络相连的主机的服务(但是路由关闭),而被屏蔽主机体系结构使用一个单独的路由器提供来自仅仅与内部的网络相连的主机的服务。在这种体系结构中,主要的安全由数据包过滤。

在屏蔽的路由器上的数据包过滤是按这样一种方法设置的:即堡垒主机是因特网上的主机能连接到内部网络上的系统的桥梁(例如,传送进来的电子邮件)。即使这样,也仅有某些确定类型的连接被允许。任何外部的系统试图访问内部的系统或者服务将必须连接到这台堡垒主机上。因此,堡垒主机需要拥有高等级的安全。

数据包过滤也允许堡垒主机开放可允许的连接(什么是可允许将由用户的站点的安全策略决定)到外部世界。

在屏蔽的路由器中数据包过滤配置可以按下列之一执行:

允许其它的内部主机为了某些服务与因特网上的主机连接(即允许那些已经由数据包过滤的服务)。

不允许来自内部主机的所有连接(强迫那些主机经由堡垒主机使用代理服务)。

用户可以针对不同的服务混合使用这些手段;某些服务可以被允许直接经由数据包过滤,而其它服务可以被允许仅仅间接地经过代理。这完全取决于用户实行的安全策略。

因为这种体系结构允许数据包从因特网向内部网的移动,所以,它的设计比没有外部数据包能到达内部网络的双重宿主主机体系结构似乎是更冒风险。话说回来,实际上双重宿主主机体系结构在防备数据包从外部网络穿过内部的网络也容易产生失败(因为这种失败类型是完全出乎预料的,不大可能防备黑客侵袭)。进而言之,保卫路由器比保卫主机较易实现,因为它提供非常有限

的服务组。多数情况下,被屏蔽的主机体系结构提供比双重宿主主机体系结构具有更好的安全性和可用性。

然而,比较其它体系结构,如在下面要讨论的屏蔽子网体系结构也有一些缺点。主要的是如果侵袭者没有办法侵入堡垒主机时,而且在堡垒主机和其余的内部主机之间没有任何保护网络安全的东西存在的情况下,路由器同样出现一个单点失效。如果路由器被损害,整个网络对侵袭者是开放的。

3.屏蔽子网体系结构

屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构,即通过添加周边网络更进一步地把内部网络与Internet隔离开。

为什么这样做?由它们的性质决定。堡垒主机是用户的网络上最容易受侵袭的机器。任凭用户尽最大的力气去保护它,它仍是最有可能被侵袭的机器,因为它本质上是能够被侵袭的机器。如果在屏蔽主机体系结构中,用户的内部网络对来自用户的堡垒主机的侵袭门户洞开,那么用户的堡垒主机是非常诱人的攻击目标。在它与用户的其它内部机器之间没有其它的防御手段时(除了它们可能有的主机安全之外,这通常是非常少的)。如果有人成功地侵入屏蔽主机体系结构中的堡垒主机,那就毫无阻挡地进入了内部系统。 通过在周边网络上隔离堡垒主机,能减少在堡垒主机上侵入的影响。可以说,它只给入侵者一些访问的机会,但不是全部。屏蔽子网体系结构的最简单的形式为,两个屏蔽路由器,每一个都连接到周边网。一个位于周边网与内部的网络之间,另一个位于周边网与外部网络之间(通常为Internet)。为了侵入用这种类型的体系结构构筑的内部网络,侵袭者必须要通过两个路由器。即使侵袭者设法侵入堡垒主机,他将仍然必须通过内部路由器。在此情况下,没有损害内部网络的单一的易受侵袭点。作为入侵者,只是进行了一次访问。要点说明如下: (1)周边网络

周边网络是另一个安全层,是在外部网络与用户的被保护的内部网络之间的附加的网络。如果侵袭者成功地侵入用户的防火墙的外层领域,周边网络在那个侵袭者与用户的内部系统之间提供一个附加的保护层。

对于周边网络的作用,举例说明如下。在许多网络设置中,用给定网络上的任何机器来查看这个网络上的每一台机器的通信是可能的,对大多数以太网为基础的网络确实如此(而且以太网是当今使用最广泛的局域网技术);对若干其它成熟的技术,诸如令牌环和FDDI也是如此。探听者可以通过查看那些在Telnet、FTP以及rlogin会话期间使用过的口令成功地探测出口令。即使口令没被攻破,探听者仍然能偷看或访问他人的敏感文件的内容,或阅读他们感兴趣的电子邮件等等;探听者能完全监视何人在使用网络。

对于周边网络,如果某人侵入周边网上的堡垒主机,他仅能探听到周边网上的通信。因为所有周边网上的通信来自或者通往堡垒主机或Internet。

因为没有严格的内部通信(即在两台内部主机之间的通信,这通常是敏感的或者专有的)能越过周边网。所以,如果堡垒主机被损害,内部的通信仍将是安全的。

一般来说,来往于堡垒主机,或者外部世界的通信,仍然是可监视的。防火墙设计工作的一部分就是确保这种通信不致于机密到阅读它将损害你的站点的完整性。

(2)堡垒主机

在屏蔽的子网体系结构中,用户把堡垒主机连接到周边网;这台主机便是接受来自外界连接的主要入口。例如:

1对于进来的电子邮件(SMTP)会话,传送电子邮件到站点;

2对于进来的FTP连接,转接到站点的匿名FTP服务器;

3对于进来的域名服务(DNS)站点查询等等。另一方面,其出站服务(从内部的客户端到在Internet上的服务器)按如下任一方法处理:

1在外部和内部的路由器上设置数据包过滤来允许内部的客户端直接访问外部的服务器。

2设置代理服务器在堡垒主机上运行(如果用户的防火墙使用代理软件)来允许内部的客户端间接地访问外部的服务器。用户也可以设置数据包过滤来允许内部的客户端在堡垒主机上同代理服务器交谈,反之亦然。但是禁止内部的客户端与外部世界之间直接通信(即拨号入网方式)。

(3)内部路由器

内部路由器(在有关防火墙著作中有时被称为阻塞路由器)保护内部的网络使之免受Internet和周边网的侵犯。

内部路由器为用户的防火墙执行大部分的数据包过滤工作。它允许从内部网到Internet的有选择的出站服务。这些服务是用户的站点能使用数据包过滤而不是代理服务安全支持和安全提供的服务。

内部路由器所允许的在堡垒主机(在周边网上)和用户的内部网之间服务可以不同于内部路由器所允许的在Internet和用户的内部网之间的服务。限制堡垒主机和内部网之间服务的理由是减少由此而导致的受到来自堡垒主机侵袭的机器的数量。

(4)外部路由器

在理论上,外部路由器(在有关防火墙著作中有时被称为访问路由器)保护周边网和内部网使之免受来自Internet的侵犯。实际上,外部路由器倾向于允许几乎任何东西从周边网出站,并且它们通常只执行非常少的数据包过滤。保护内部机器的数据包过滤规则在内部路由器和外部路由器上基本上应该是一样的;如果在规则中有允许侵袭者访问的错误,错误就可能出现在两个路由器上。

一般,外部路由器由外部群组提供(例如,用户的Internet供应商),同时用户对它的访问被限制。外部群组可能愿意放入一些通用型数据包过滤规则来维护路由器,但是不愿意使维护复杂或者使用频繁变化的规则组。

外部路由器实际上需要做什么呢?外部路由器能有效地执行的安全任务之一(通常别的任何地方不容易做的任务)是:阻止从Internet上伪造源地址进来的任何数据包。这样的数据包自称来自内部的网络,但实际上是来自Internet。

三、防火墙体系结构的组合形式

建造防火墙时,一般很少采用单一的技术,通常是多种解决不同问题的技术的组合。这种组合主要取决于网管中心向用户提供什么样的服务,以及网管中心能接受什么等级风险。采用哪种技术主要取决于经费,投资的大小或技术人员的技术、时间等因素。一般有以下几种形式:

1使用多堡垒主机;

2合并内部路由器与外部路由器;

3合并堡垒主机与外部路由器;

4合并堡垒主机与内部路由器;

5使用多台内部路由器;

6使用多台外部路由器;

7使用多个周边网络;

8使用双重宿主主机与屏蔽子网。

四、内部防火墙

在本文的大部分讨论中,都假定建立防火墙的目的在于保护内部网免受外部网的侵扰。但有时为了某些原因,我们还需要对内部网的部分站点再加以保护以免受内部的其它站点的侵袭。因此,有时我们需要在同一结构的两个部分之间,

或者在同一内部网的两个不同组织结构之间再建立防火墙(也被称为内部防火墙)。

因为网络中每一个用户所需要的服务和信息经常是不一样的,它们对安全保障的要求也不一样,所以我们可以将网络组织结构的一部分与其余站点隔离。例如,财务部分与其它部分分开,人事档案部分与办公管理分开等。许多用于建立外部防火墙的工具与技术也可用于建立内部防火墙。

五、防火墙的未来发展趋势

目前,防火墙技术已经引起了人们的注意,随着新技术的发展,混合使用包过滤技术、代理服务技术和其它一些新技术的防火墙正向我们走来。

越来越多的客户端和服务器端的应用程序本身就支持代理服务方式。比如,许多WWW客户服务软件包就具有代理能力。而许多象SOCKS这样的软件在运行编译时也支持类代理服务。

包过滤系统向着更具柔性和多功能的方向发展。比如动态包过滤系统,在CheckPointFirewall-1、KarlBrige/KarlBrouter以及

MorningStarSecureConnectrouter中的包过滤规则可由路由器灵活、快速的来设置。一个输出的UDP数据包可以引起对应的允许应答UDP创立一个临时的包过滤规则,允许其对应的UDP包进入内部网。

被称为第三代产品的第一批系统已开始进入市场。例如,Border网络技术公司的Border产品和Truest信息系统公司的Gauntlet3.0产品从外部向内看起来像是代理服务(任何外部服务请求都来自于同一主机),而由内部向外看像一个包过滤系统(内部用户认为他们直接与外部网交互)。这些产品通过对大量内部网的外向连接请求的计帐系统和包的批次修改对防火墙的内外提供相关的伪像。KarlBridge/KarlBrouter产品拓展了包过滤的范围,它对应用层上的包过滤和授权进行了扩展。这比传统的包过滤要精细得多。

目前,人们正在设计新的IP协议(也被称为IPversion6)。IP协议的变化将对防火墙的建立与运行产生深刻的影响。同时,目前大多数网络上的机器的信息流都有可能被偷看到,但更新式的网络技术如帧中继,异步传输模式(ATM)可将数据包源地址直接发送给目的地址,从而防止信息流在传输中途被泄露。

范文七:防火墙的局限性

防火墙的局限性

在当前情况下,防火墙存在下面一些问题,通常,人们认为防火墙可以保护处于它身后的网络不受外界的侵袭和干扰。但随着网络技术的发展,网络结构日趋复杂,传统防火墙在使用的过程中暴露出以下的不足:

一、传统的防火墙在工作时,入侵者可以伪造数据绕过防火墙或者找到防火墙中可能开启的后门;

二、防火墙不能防止来自网络内部的袭击,通过调查发现,有将近一半以上的攻击都来自网络内部,对于那些将要泄漏企业机密的员工来说,防火墙形同虚设;

三、由于防火墙性能上的限制,通常它不具备实时监控入侵的能力;

四、防火墙对病毒的侵袭也是束手无策。

五、防火墙通常工作在网络层,仅以防火墙则无法检测和防御最新的拒绝服务攻击(dos)及蠕虫病毒的攻击:

正因为如此,认为在internet入口处设置防火墙系统就足以保护企业网络安全的想法就力不从心了。也正是这些因素引起了人们对入侵检测技术的研究及开发。入侵防御系统(ips)可以弥补防火墙的不足,为网络提供实时的监控,并且在发现入侵的初期采取相应的防护手段,ips系统作为必要附加手段。已经为大多数组织机构的安全构架所接受。

防火墙十大局限性

一、防火墙不能防范不经过防火墙的攻击。没有经过防火墙的数据,防火墙无法检查。

二、防火墙不能解决来自内部网络的攻击和安全问题。防火墙可以设计为既防外也防内,谁 都不可信,但绝大多数单位因为不方便,不要求防火墙防内。

三、防火墙不能防止策略配置不当或错误配置引起的安全威胁。防火墙是一个被动的安全策 略执行设备,就像门卫一样,要根据政策规定来执行安全,而不能自作主张。

四、防火墙不能防止可接触的人为或自然的破坏。防火墙是一个安全设备,但防火墙本身必 须存在于一个安全的地方。

五、防火墙不能防止利用标准网络协议中的缺陷进行的攻击。一旦防火墙准许某些标准网络 协议,防火墙不能防止利用该协议中的缺陷进行的攻击。

六、防火墙不能防止利用服务器系统漏洞所进行的攻击。黑客通过防火墙准许的访问端口对 该服务器的漏洞进行攻击,防火墙不能防止。

七、防火墙不能防止受病毒感染的文件的传输。防火墙本身并不具备查杀病毒的功能,即使 集成了第三方的防病毒的软件,也没有一种软件可以查杀所有的病毒。

八、防火墙不能防止数据驱动式的攻击。当有些表面看来无害的数据邮寄或拷贝到内部网的 主机上并被执行时,可能会发生数据驱动式的攻击。

九、防火墙不能防止内部的泄密行为。防火墙内部的一个合法用户主动泄密,防火墙是无能 为力的。

十、防火墙不能防止本身的安全漏洞的威胁。防火墙保护别人有时却无法保护自己,目前还 没有厂商绝对保证防火墙不会存在安全漏洞。因此对防火墙也必须提供某种安全保护。

范文八:传统网络防火墙的局限性

随着信息技术的日新月异,网络安全已被摆上日益突出的位置。传统的网络防火墙,存在着以下不足之处:

1.无法检测加密的Web流量。

如果你正在部署一个新建的门户网站或应用平台,希望所有的网络层和应用层的漏洞都被屏蔽在应用程序之外。这个需求,对于传统的网络防火墙而言,是个大问题。

由于网络防火墙对于加密的SSL流中的数据是不可见的,防火墙无法迅速截获SSL数据流并对其解密,因此无法阻止应用程序的攻击,甚至有些网络防火墙,根本就不提供数据解密的功能。

2.普通应用程序加密后,也能轻易躲过防火墙的检测。

网络防火墙无法看到的,不仅仅是SSL加密的数据。对于应用程序加密的数据,同样也不可见。在如今大多数网络防火墙中,依赖的是静态的特征库,与入侵监测系统(IDS,Intrusion—

Detect

比如:(1)定期需要部署新的应用程序;(2)经常需要增加或更新软件模块;(3)QA们经常会发现代码中的bug,已部署的系统需要定期打补丁。在这样动态复杂的环境中,安全专家们需要采用灵活的、粗粒度的方法,实施有效的防护策略。

虽然一些先进的网络防火墙供应商,提出了应用防护的特性,但只适用于简单的环境中。细看就会发现,对于实际的企业应用来说,这些特征存在着局限性。在多数情况下,弹性概念(proof—of—concept)的特征无法应用于现实生活中的数据中心上。比如,有些防火墙供应商,曾经声称能够阻止缓存溢出,当黑客在浏览器的URL中输入太长数据,试图使后台服务崩

System)的原理类似。只有当应用层攻

传统网络防火墙的局限性.

王玉东胡玉峰

溃或使试图非法访问的时候,网络防火墙能够检测并制止这种情况。细看就会发现,这些供应商采用对80端口数据流中,针对URL长度进行控制的方法,来实现这个功能的。

如果使用这个规则,将对所有的应用程序生效。如果一个程序或者是一个简单的Web网页,确实需要涉及到很长的URL时,就要屏蔽该规则。

网络防火墙的体系结构,决定了网络防火墙是针对网络端口和网络层进行操作的,因此

击行为的特征与防火墙中的数据库中已有的特

征完全匹配时,防火墙才能识别和截获攻击数

据。

但如今,采用常见的编码技术,就能够将恶意代码和其他攻击命令隐藏起来,转换成某种形式,既能欺骗前端的网络安全系统,又能够在后台服务器中执行。这种加密后的攻击代码,只要与防火墙规则库中的规则不样,就能够躲过网络防火墙,成功避开特征匹配。

3.对于Web应用程序,防范能力不足。网络防火墙于1990年发明,而商用的Web服务器,则在一年以后才面世。基于状态检测的防火墙,其设计原理,是基于网络层TCP和IP地址,来设置与加强状态访问控制列表(ACLs,

AccessControl

很难对应用层进行防护,除非是一些很简单的

防护的目标,不再只是重要的业务数据。网络防火墙的防护范围,发生了变化。

对于常规的企业局域网的防范,通用的网络防火墙仍占有很高的市场份额,继续发挥重要作用,但对于新近出现的上层协议,如XML和SOAP等应用的防范,网络防火墙就显得有些力不从心。

由于体系结构的原因,即使是最先进的网络防火墙,在防范Web应用程序时,由于无法全面控制网络、应用程序和数据流,也无法截获应用层的攻击。由于对于整体的应用数据流,缺乏完整的、基于会话(Session)级别的监控能力,因此很难预防新的未知的攻击。

应用程序。

5.无法扩展带深度检测功能。

基于状态检测的网络防火墙,如果希望只扩展深度检测(deepinspection)功能,而没有相应增加网络性能,这是不行的。真正的针对所有网络和应用程序流量的深度检测功能,需要空前的处理能力,来完成大量的计算任务,包括以下几个方面:(I)SSL加密、解密功能;(2)完全的双向有效负载检测;(3)确保所有合法流量的正常化:(4)广泛的协议性能。这些任务,在基于标准PC硬件上,是无法高效运行的,虽然一些网络防火墙供应商采用的是基于ASIC的平台,但进一步研究,就能发现:旧的基于网络的A—SIC平台对于新的深度检测功能是无法支持

的。■

Lists)。在这一方面,网络防火

墙表现确实十分出色。

近年来,实际应用过程中,HTTP是主要的传输协议。主流的平台供应商和大的应用程序供应商,均已转移到基于Web的体系结构,安全

4.应用防护特性,只适用于简单情况。

目前的数据中心服务器,时常会发生变动,

万方数据

传统网络防火墙的局限性

作者:作者单位:刊名:英文刊名:年,卷(期):引用次数:

王玉东, 胡玉峰

农业发展与金融

THE AGRICULTURAL DEVELOPMENT AND FINANCE2005,(6)0次

本文链接:http://d.g.wanfangdata.com.cn/Periodical_nyfzyjr200506023.aspx

下载时间:2010年6月23日

范文九:关于消除防火墙局限性和脆弱性的可行性研究

科技信息

计算机与网络

关于消除防火墙局限性和脆弱性的可行性研究

江西科技师范学院

柳家宝

[摘要]文章对防火墙的局限性和脆弱性表现以及形成原因等方面进行了研究,并对入侵检测技术技以及防火墙和入侵检测系统的联动进行了探讨。[关键词]防火墙局限性脆弱性入侵检测联动

随着Intenet的高速的发展及人们对信息的大量需求,互联网用户

几乎以几何级数增长,由此而来的网络安全问题也日益复杂。防火墙作为网络安全的第一道屏障,在网络安全防护措施中,防火墙一般也被作为首选,在安全市场上,防火墙所占的市场份额最大,其相关的各种技

尽管防火墙是网络安全的主要基石,但是我们不能术也相对比较成熟。

把防火墙万能化。防火墙也不可避免的有它自身的缺陷。

一、网络安全现状

网络的开放性和共享性在方便了人们使用的同时,也使得网络很容易受到攻击,而且受到攻击后的伤害是严重的,诸如数据被人窃取,服务器不能正常提供服务等等。

信息领域的犯罪也随之而来,窃取信息、篡改数据和非法攻击等对

据系统使用者及全社会造成的危害和损失也特别巨大,并且日益增加。

《金融时报》报道,现在平均每20秒就发生一次入侵计算机网络的美国事件;超过1/3的互联网被攻破。约70%以上的网络信息主管人员报告因机密信息泄漏而受到了损失。61%在过去的12个月中遭到内部攻

58%在过去的12个月中遭到外部攻击。击,

据公安部资料统计,我国早在1998年就已破获计算机黑客案件近百起,利用计算机网络进行的各类违法行为在中国以每年30%的速度递增。黑客的攻击方法已超过计算机病毒的种类,总数达到近千种。公安部官员估计,目前已发现的黑客攻击案约占总数的15%,多数事件由于没有造成严重危害或商家不愿透露而未被曝光。有媒体报道,中国95%的与Internet相连的网络管理中心都遭到过境内外黑客的攻击或

金融和证劵机构是黑客攻击的重点。在中国,针对银侵入,其中银行、

行、证劵等金融领域的黑客犯罪案件总涉案金额已高达数亿元,针对其他行业的黑客犯罪案件也时有发生。

由此可见,网络安全是一个关系国家安全和主权、社会稳定、民族文化的继承和发扬的重要问题。

二、防火墙概述据统计,连入INTERNET的网络大约为60,000个左右,主机总数则已超过1000万台,由于INTERNET上有如此多的用户,其中难免有

“黑客”。少数居心不良的所谓

防火墙技术作为目前用来实现网络安全措施的一种主要手段,它主要是用来拒绝未经授权的用户访问,阻止未授权的用户存取敏感数据,同时允许合法用户不受妨碍地访问网络资源。防火墙即可以是硬件,也可以是软件,还可以是运行特定防火墙软件的主机系统。

防火墙的实质是限制数据流通和允许数据流通,由一组软件、硬件和一组安全策略的集合,并在网络之间进行访问控制。防火墙就像是家里的防盗门一样,它们对普通人来说是一层安全防护,但是没有任何一种防火墙能提供绝对的保护,它同样也有自己的局限和脆弱性,给不好

“希望”,同时也给网络安全埋下了隐患。事者们带来了

三、防火墙的局限性和脆弱性

对防火墙的安全局限脆弱性分析,是为了更好的利用防火墙来保护网络安全,想要获得更高级别的网络安全,我们必须全面分析防火墙自身的安全弱点、找出消除防火墙局限性和脆弱性的方法。

(一)局限性分析

防火墙的局限性是指防火墙受自身限制或约束的性质。从国内外历次测试的结果都可以看出,目前防火墙一个很大的局限性是速度不够。具体还体现在:

1、防火墙拥有单一的网络接入点,存在着规则被恶意滥用致使资源耗尽的缺陷;

2、防火墙不能防止受病毒感染的文件传输;3、防火墙不能防止内部泄密行为;4、防火墙不能防范不经过防火墙的攻击;5、防火墙不能解决来自内部网络的攻击和安全问题;6、防火墙不能防止策略配置不当或错误配置引起的安全威胁等。防火墙的局限性成因有很多方面,主要体现在防火墙的设计策略

上。一个有效的防火墙依赖于一个明确清楚的、全面的安全策略。实际上,在设计安全系统时首先考虑的应该是策略,而不是防火墙,这是一

防火墙也因其本身采取的安全策略而不可避免的具有缺陷。个好的规则。

防火墙有两种对立的安全策略:(1)除非明确允许,否则禁止某种服务

这种策略除非明确允许某种服务或应用,否则防火墙会阻止所有的通信。在这种情况假定防火墙应该阻塞所有信息,访问控制表ACL(AcessControlList,简称ACL)记载的是允许规则,对数据包的阻挡能力相对较大,所以安全性相对较强。它的缺点是“安全性高于用户使用的方便性”,对用户进行了约束,自由度较小。

(2)除非明确不允许,否则允许某种服务

这种策略与上一种刚好相反,这种策略认为防火墙应该转发所有

这种情况假定防火的通信,除非网络管理员对某种服务表示明确禁止。

墙应该接收所有的信息包,在ACL表中记载的是拒绝规则,其拒绝范围小,对数据包的阻挡能力较小,所以安全性相对较弱。它的缺点是“使

,但是内部网络用户与外界通信所受的约束较用的方便性高于安全性”

小,自由度相对较大。

防火墙对网络之间的数据包按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,对外屏蔽内部网的信息、结构和运行状况,并提供单一的安全和审计安装控制点,从而达到保护内部网络信息不被外部非授权用户访问,过滤不良信息的目的。

由于防火墙是基于“允许”或“限制”数据流通,它的通信性能与其安全性是矛盾的,要提高其安全性势必降低防火墙的性能,反之,提高

例如,防火墙的安全性建立在它的性能就一定会降低防火墙的安全性。

对数据检查上,检查越细越安全,但是检查越细速度越慢。

(二)脆弱性(漏洞)分析

编码、配脆弱性,又称安全漏洞,就是防火墙的软件或组件在设计、

恶意攻击者能够利用这个缺陷,置和使用过程中的错误所造成的缺陷。

对资源进行非授权访问或滥用,违背系统的安全策略,引发安全问题。

防火墙的脆弱性表现为安全漏洞,具体为:1、防火墙存在着无法阻止攻击者使用软件后门攻击;2、无法阻止数据驱动攻击的拒绝服务攻击、伪造过滤规则中使用的IP地址和物理地址;

3、无法有效地阻止网络隐蔽通道传递信息等漏洞;4、防火墙的操作系统不能保证没有漏洞;5、防火墙无法区分是恶意命令还是善意命令等。

脆弱性导致系统呈现一些薄弱环节或漏洞,任何威胁都是因为系统本身具有薄弱环节或漏洞才形成或出现的。防火墙的脆弱性根源很多,主要有:

(1)软件设计、编码中的错误带来的漏洞,例如输入条件错误、访问验证错误、边界检查错误等。

(2)系统用户为方便操作,更改设置和用户,主机之间的信任关系传递所带来的隐性缺陷,例如无需输入用户名/密码的文件共享、远程登录等。

(3)配置和操作缺陷:由于用户的配置、使用带来的缺陷。由于现代计算机网络的庞大复杂,很多管理员只使用默认配置或对更改配置后的安全后果不清楚,使攻击者的入侵更为容易。例如为方便远程管理,管理员在防火墙中留下了隐蔽的RSA通道,从而使攻击者有可能利用该通道绕过防火墙的安全监控。

攻击者如果要攻击一个受防火墙保护的网络,首先要做的是手机目标防火墙的访问控制列表规则信息和内部网络拓扑信息,然后利用配置规则的漏洞使防火墙失去实施策略的能力,进而对受保护的内部网络进行攻击。

综上所述,防火墙只是整体安全防范策略的一部分,要提高网络的整体安全性能,还需要其他因素的考虑。

四、入侵检测(InstrusionDetection)

科技信息

计算机与网络

检测和特征检测相结合)的入侵检测也不可避免的有缺陷,因此我们同样不能仅依靠入侵检测系统,还需要其他技术的结合才能更有效地解决网络安全问题。

如今的入侵检测系统也不尽如人意,虽然开发者一直尽力改进和改良现有的技术克服这些不足,然而有些局限是固有的,常见的有:

1、缺乏有效性,当处理的事件非常多时,就无法对事件进行实时分析,从而导致入侵检测系统因来不及处理过量数据或丢失网络数据包而失效。

2、有限的灵活性,如今的入侵检测系统与操作系统是相关的,且当进行升级或重新配置时,需要重新启动。

3、单点失效,当入侵检测系统自身因受到攻击或其他原因而不能正常工作时,其保护功能就会丧失。

4、缺乏对入侵检测关键组件的保护,入侵检测系统自身也面对很多攻击,如果攻击把入侵检测系统某一组件攻破,那么入侵检测系统的检测功能就会大打折扣。

(三)入侵检测与防火墙联动

假如说防火墙是一幢大楼的门锁,那入侵监测系统就是这幢大楼里的监视系统。防火墙工作方式被动,提供的是静态防御,它的规则都必须事先设置好,对于未列出的网络攻击不能实时反应并制止,无法利用网络状态和网络信息自动调整策略设置以阻断正在进行的攻击。通常,安全策略主要用来防止外来入侵,而不是监控内部用户。

相对应的,入侵检测系统IDS虽具有发现入侵、阻断连接的功能,但其重点更多地放在对入侵行为的识别上,网络整体的安全策略还需由防火墙完成。

在目前的研究和实际应用中,往往将防火墙与入侵检测系统孤立起来单独使用。入侵检测与防火墙之间的联动能够弥补各自的缺陷,实

实现入侵检测和防火墙现优势互补,从而建立一个全方位的防御体系。

之间的联动有两种方式:

1、通过一定的规则来实现联动:部署在某些区域的入侵检测产品如果能和相关的防火墙在网络上可通,则可以发挥它们之间的联动功能。如果能够将入侵检测产品和防火墙产品联动,可以在防火墙系统上定义哪些活动是不合法的活动,然后把这种安全策略转换成入侵检测规则,一旦入侵检测发现攻击行为,它可以通知防火墙修改安全规则,阻止后续的攻击行为,提高网络安全效率。

2、将入侵检测系统嵌入防火墙系统中:这种方法将两种技术真正的合二为一,如果防火墙具有一定的入侵检测功能,则可以在防火墙上打开此功能,在防火墙上使用入侵检测功能可以有效地抵制来自内部和外部网络的攻击;如果入侵检测系统具备防火墙的功能,则它可以有效的保护自身的组件免遭攻击并对检测到的入侵行为进行及时的控制和追踪。

五、总结展望

由于技术等方面的原因,要真正实现防火墙与入侵检测系统的联

基于防火墙与入侵检测系统联动有效动,可能会面临很多挑战。但是,

地提升防火墙的机动性和实时反应能力,同时增强了入侵检测系统的阻断功能,防火墙和入侵检测的联动是今后安全技术发展的一个方向。入侵检测技术与防火墙技术的结合,将会使消除防火墙局限性和脆弱性成为可能,合理的综合运用这些技术,可以有效的增加计算机网络的安全性,使计算机网络安全进入一个全新的时代。参考文献

曾湘黔.网络安全与防火墙技术[J].重庆:重庆大学出版社,[1]

2005.4

[2]姚奇富.网络安全技术[J].杭州:浙江大学出版社,2006.8[3]张基温.信息系统安全教程[J].北京:清华大学出版社,2007.7[4][美]侯登(Holden,G.).王斌,孔璐译.防火墙与网络安全—入侵检测和VPNs[M].北京:清华大学出版社,2004.6

[5]段云所.信息安全概论[J].北京:高等教育出版社,2009.3[6]吴煜煌.网络与信息安全教程[J].北京:中国水利水电出版社,2006

[7]罗守山.入侵检测[J].北京:北京邮电大学出版社,2003[8]李涣洲.网络安全和入侵检测技术[J].四川:四川师范大学学报,2001.1

[9]AndrewS.Tanenbaum.熊桂喜,王小虎等译.计算机网络(第三版)[J].北京:清华大学出版社,1998

[10][美]RebeccaGurleyBace.入侵检测[M].北京:人民邮电出版社,

2001

由于防火墙具有上述不可避免的局限性和脆弱性,在网络防护中,

不能够仅依靠防火墙系统,而应该和其他的安全措施结合起来,共同建立更加强大的网络防御系统。

(一)入侵检测技术

由于防火墙本身的缺陷,加上TCP/IP协议族本身缺乏相应的安全机制,使整个网络不可避免地存在安全问题。入侵检测系统IDS(In-)能很好的弥补防火墙的不足,是防火墙技术之strusionDetectionSystem后新一代的安全保障技术,是对防火墙的必要补充。

如果我们将计算机网络比作城堡,那么防火墙就是城堡的护城桥(河)———只允许己方的队伍通过。入侵检测系统就是城堡中的了望哨———监视有无敌方或其他误入城堡的人出现。

作为一种主动的安全防护措施,它通过对计算机网络和计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象,它提供了对内部攻击、外部攻击和误操作的实时保护,能在网络收到危害之前进行拦截和响应。一个通用的入侵检测系统它分为四个基本组件:事件产生器、事件分析器、响应单元和事件数据库(如图1)。

图1入侵检测系统的基本构成图

事件产生器的任务是从入侵检测系统之外的计算机环境中采集数据,它对数据流、日志文件等进行追踪,然后将收集到的原始数据转换为事件,并把这些事件传送给其它组件。

事件分析器分析从其他组件收到的事件信息,然后对它们进行分析,判断是否是入侵行为或异常现象,最后将判断结果转化为警告信息。

事件数据库用来存储各种中间和最终数据,它从事件产生器或事件分析器接收数据并进行保存以备系统需要时使用。

响应单元根据警告信息作出反应,并据此采取相应的措施,它可以做出杀死相关进程、将链接复位、修改文件权限等强烈反应,也可以只是简单的报警,它是入侵检测系统的主要武器。

入侵检测系统正是通过这四个组件的相互协调和配合而工作的。入侵检测系统相比其他的安全产品需要有更多的智能,能将得到的数据进行智能分析,得出有意义的结果,并且要求不断地更新弱点数据库,以能够识别最新的入侵行为。一个合格的入侵检测系统能够大大化简网络管理员的工作,保证网络安全的运行。从网络安全立体纵深、多

根据入侵检测所采用的层次防御的角度看,入侵检测应受到高度重视。

技术不同,可以分为两类:异常检测和特征检测。

1、异常检测

基于异常的入侵检测方法主要来源于这样的思想,人的正常行为都是有一定的规律,并且可以通过分析这些行为,产生日志信息并总结出这些规律;而入侵和滥用行为则通常和正常的行为存在严重的差异,检查出这些差异就可以检测出入侵。这样,我们不但能检测出已知的入侵行为,还能发现未知的攻击模式。

异常检测根据使用者的行为或资源使用状况来判断是否入侵,例如,通过流量统计分析将异常时间的异常网络流量视为可疑,所以也被称为基于行为的检测。基于行为的检测与系统相对无关,通用性较强。它甚至可能检测出以前未出现过的新的攻击方式,不像基于知识的检测(滥用监测)那样受已知模式的限制,不能发现新的攻击方式。

2、特征检测

特征检测又称为滥用监测,它假定所有入侵行为和手段(及其变种)都能够表达为一种模式或特征,那么,所有已知的入侵方法都可以用匹配的方法发现。模式发现的关键是如何表达入侵的模式,把真正的入侵与正常行为区分开来。因为很大一部分的入侵是利用了已知系统的脆弱性,通过分析入侵过程的特征、条件、顺序以及事件间的关系,可以具体描述入侵行为的迹象。这种方法由于依据具体特征库进行判断,所以准确度很高。因为检测结果有明确的参照,也为管理员做出相应措施提供了方便。

(二)入侵检测系统的不足

由于异常检测和特征检测也各自有自身的缺陷,甚至混合式(异常

—245—

范文十:Linux1防火墙防火墙的分类

Linux1 防火墙 防火墙的分类

世界时没有两种一样的事物,防火墙也是如此,防火墙的分类方法有很多,可以从形式上、技术上、结构上、性能上对其进行分类。

1.从形式上分类

从形式上分类,可以把防火墙分为软件和硬件防火墙两大类。

? 软件防火墙

软件防火墙运行于特定的计算机上,它需要用户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。使用这类防火墙,需要用户对操作系统平台比较熟悉。

? 硬件防火墙

硬件防火墙是一种以物理形式存在的专用设备,通常架设在内部局域网和外部互联网的连接处,直接在网络设备上检查过滤有害的数据,位于防火墙设备后端的网络或服务器接收到的是经过防火墙处理过的相对安全的数据,其不必占用CPU资源,进行基于软件的架构的NDIS(网络驱动程序接口)数据检测,这样大大提高了工作效率。

普通硬件防火墙,其拥有标准计算机的硬件平台和一些功能经过简化处理的Unix、Linux操作系统已及防火墙软件,这种防火墙措施相当于专门在一台计算机上安装了软件防火墙,除了不需要处理其他事务以外,其仍使用一般的操作系统,因此操作系统的安全问题,会对其造成影响。

芯片级防火墙基于专门的硬件平台,使用专用的OS(操作系统)。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。这类防火墙最出名的厂商有Juniper、Cisco、NetScreen、等。这类防火墙由于使用专用OS,因此防火墙本身的漏洞比较少,不过价格相对比较高昂。

2.从技术上分类

从技术上,可以把防火墙分为包过滤型、应用代理型(网关防火墙)和状态监视型防火墙3大类。

? 包过滤(Packet filtering)型

包过滤型防火墙工作在OSI网络参考模型的网络层和传输层,它根据数据包头源地址,目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。

包过滤方式是一种通用、廉价和有效的安全手段。之所以通用,是因为它不是针对各个具体的网络服务采取特殊的处理方式,适用于所有网络服务;之所以廉价,是因为大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能很大程度上满足了绝大多数企业安全要求。