2章网卖企影与 73
并审查常规记录,防火墙就形同虚设。在这种情况下,网络管理员永远不会知道防火墙是否受 到攻击。 Internet I防火墙可以作为部署NAT( Network Address Translator,网络地址变换)的逻
辑地址。因此,防火墙可以用来缓解地址空间短缺的问题,并消除机构在变换ISP时带来的重
新编址的麻烦。心只 ,常的路项要岛,民口中眼
防火墙的安全保障技术防火墙的安全保障技术是基于被保护网络具有明确定义的边界和服务,并且网络安全的
屏蔽有关被保护网络的信息、结构,实现对网络的安全保护,因而比较适合于相对独立,与外 威胁仅来自于外部网络。它通过监测、限制以及更改跨越防火墙的数据流,尽可能地对外部网
部网络互联途径有限并且网络服务种类相对单一集中的网络系统。防火墙系统在技木原理
上对来自内部网络系统的安全威胁不具备防范作用,并且常常需要有特殊的较为封闭的网络
拓扑结构来支持。对网络安全功能的加强往往以网络服务的灵活性、多样性和开放性为代价
且需要较大的网络管理开销。回直当,日通内阻野,头国,政语,图年的
尽管防火墙已经在 Internet业界得到了广泛的应用,但与防火墙有关的话题仍然十分敏
感。防火墙的用户把防火墙看作是一种重要的新型安全措施,因为它把诸多安全功能集于二
点上,大大简化了安装、配置和管理的手续。防火墙的另一特色是它不限于TCP/IP协议,从
而不只适用于 Internet,类似的技术完全可以在任何分组交换的网络当中使用。例如x.25或
ATM都可以。会的金同内业生限不的思中図内业全
个部分。安全策略建立全方位的防御体系基至包括:告诉用户应有的任公司规定的网 防火墙不仅仅是路由器、堡全主机或任何提供网络安全的设备的组合,而且是安全策略的
络访间、服务访问、本地和远地的用户认证、投人和出、磁盘和数据加密、病毒防护措施,以及 雇员培训等。所有可能受到攻击的地方都必须以同样的安全级别加以保护。仅设立防火墙系
统,而没有全面的安全策略,那么防火墙就形同虚设。后中人に
3.过滤网上信息。数据包过滤技术顾名思义,是在网络中适当的位置对数据包实施有选
择的通过,选择的依据即为系统内设置的过滤原则(通常称为访问控制表 Access Control
List)。只有满足过滤规则的数据包才被转发至相应的目的地,其余的数据包则被从数据流中
删除。包过滤技术的实现方式相当简洁,目前大多数网络的路由设备通常都具有一定的数据
包过滤能力。因而是路由设备在完成路由和转发功能之外,同时进行包过滤,可以提供廉价
有效、容易重新配置和具有一定灵活性的网络级安全。
此外,在工作站上使用软件进行包过滤,也不失为一种可行的方案,但较为昂贵。若在适
当的路由设备上启动包过滤功能(作此用途的路由器称为屏蔽路由器 Screening Route),则通
常不需要额外增加硬件软件配置,也不需要对网络拓扑结构作改动。但是,包过滤是在网络层
和传输层上运作的技术,本身对网络的保护功能有局限性,对位于网络更高协议层的信息无理
解力,因而也对通过网络应用层协议实现的安全威胁无防范作用。
目前商业包过滤防火墙超出常规的路由器,它增加了广泛的记录功能和安全功能,如侦察
电子欺骗(外部机器声称自己是受委托主机)。记录功能不仅能分析进攻的情况,而且对保护
网络和提供法律依据都是极其重要的。
4.限制系统
(1)配置软件。通过增加软硬件,或者对系统进行配置,例如增强记账,来保护系统的安
同穿乡控 就很有用了。画更当,同。入好与动,巧
(4)杀死这个进程来切断人侵者与系统的接。拔下调制解调器或网线,或者干关用
算机。甲 (S)管理员可以使用一些工具来监视人侵者,观察他们在做什么。这些工具包括So 与度会题
ps、 Lastcomm和 Ttywatch等 访问系统,这种情况不太好,因为这需要事先与电话公司联系。ジー中 (6)p、w和W这些命令可以报告每一个用户使用的终端。如果人侵者是从一个终t
查看哪些用户登录进远程系统。人否迟人出西論下,中 (7)使用who和 Netstat可以发现人侵从哪个主机上过来,然后可以使用 Finger命令
=2.10.,4“预防和补救 1.使用安全工具。有许多工具可以让我们发现系统中的漏洞如果关注网络安全,不
不知道一个非常有名的工具: SATAN。怕题人原,ヨ的的一量
信息,识别一些与网络相关的安全问题。对所发现的问题, SATAN提供对这个问题的解释 SATAN是一个分析网络的管理、测试和报告的工具。它用来收集网络上的主机的许多
题。在前面对 SATAN已做了比较详细的介绍。等原是 及它可能对系统和网络安全造成影响的程度,并且通过所附的资料,还能解释如何处理这些间
资源下,迅速地定位和描述一台目标主机(远程)或者许多台主机的所有TCP“监听”端口 另一个工具是 Strobe。它是一个TCP端口扫描器。它可在最大带宽利用率和最小选程
方便的协议分析和网络监控工具。它是一个优秀的软件,能监控多个网段,并且允许多监控程 etxray协议分析和网络监控软件是运行于 Windows95和 Windows NT上的功能强大、使用
序存在,同时还能捕捉想要的任何类型的报文。
但不能阻止或预防客入侵系统,且不是每个操作系统都有 Tripwil之类的工具。 Tripwire 如果是Unix系统,有一个程序叫 tripwire,可以定时地检查系统文件和程序是否被修改
是免费的,如果有兴趣,可访问如下URL: 主高w面,的合
ftp:: /coast. cs. purdue. edu/pub/COAST/tripwire 另外一种快速检测方法,就是检查日志文件中的访问和错误记录,从中找出一些可能的话
动,对于rm, login,/ /bin/sh及Per等系统命令要跟踪。
应对于 Windows NT平台,可定期检查 Event Log中的 Security记录,察看是否有可疑情况 2.使用防火墙。 Internet防火墙是这样的系统(或一组系统),它能增强机构内部网络
安全性。防火墙系统决定了哪些内部服务可以被外界访问;外界的哪些人可以访问内部的
些服务,以及哪些外部服务可以被内部人员访问。要使一个防火墙有效,所有来自和去往
火墙本身也必须能够免于診透。当ー同さ人。で的 ternet f的信息都必须经过防火墙,接受防火墙的检査。防火墙只允许授权的数据通过,并且
在防火墙上可以很方便的监视网络的安全性,并产生报警(注意:对一个与 Internet相 人这
的内部网络来说,重要的问题并不是网络是否会受到攻击,而是何时受到攻击?谁在攻击) 网络管理员必须审计并记录所有通过防火墙的重要信息。 同穿乡控 就很有用了。画更当,同。入好与动,巧
(4)杀死这个进程来切断人侵者与系统的接。拔下调制解调器或网线,或者干关用
算机。甲 (S)管理员可以使用一些工具来监视人侵者,观察他们在做什么。这些工具包括So 与度会题
ps、 Lastcomm和 Ttywatch等 访问系统,这种情况不太好,因为这需要事先与电话公司联系。ジー中 (6)p、w和W这些命令可以报告每一个用户使用的终端。如果人侵者是从一个终t
查看哪些用户登录进远程系统。人否迟人出西論下,中 (7)使用who和 Netstat可以发现人侵从哪个主机上过来,然后可以使用 Finger命令
=2.10.,4“预防和补救 1.使用安全工具。有许多工具可以让我们发现系统中的漏洞如果关注网络安全,不
不知道一个非常有名的工具: SATAN。怕题人原,ヨ的的一量
信息,识别一些与网络相关的安全问题。对所发现的问题, SATAN提供对这个问题的解释 SATAN是一个分析网络的管理、测试和报告的工具。它用来收集网络上的主机的许多
题。在前面对 SATAN已做了比较详细的介绍。等原是 及它可能对系统和网络安全造成影响的程度,并且通过所附的资料,还能解释如何处理这些间
资源下,迅速地定位和描述一台目标主机(远程)或者许多台主机的所有TCP“监听”端口 另一个工具是 Strobe。它是一个TCP端口扫描器。它可在最大带宽利用率和最小选程
方便的协议分析和网络监控工具。它是一个优秀的软件,能监控多个网段,并且允许多监控程 etxray协议分析和网络监控软件是运行于 Windows95和 Windows NT上的功能强大、使用
序存在,同时还能捕捉想要的任何类型的报文。
但不能阻止或预防客入侵系统,且不是每个操作系统都有 Tripwil之类的工具。 Tripwire 如果是Unix系统,有一个程序叫 tripwire,可以定时地检查系统文件和程序是否被修改
是免费的,如果有兴趣,可访问如下URL: 主高w面,的合
ftp:: /coast. cs. purdue. edu/pub/COAST/tripwire 另外一种快速检测方法,就是检查日志文件中的访问和错误记录,从中找出一些可能的话
动,对于rm, login,/ /bin/sh及Per等系统命令要跟踪。
应对于 Windows NT平台,可定期检查 Event Log中的 Security记录,察看是否有可疑情况 2.使用防火墙。 Internet防火墙是这样的系统(或一组系统),它能增强机构内部网络
安全性。防火墙系统决定了哪些内部服务可以被外界访问;外界的哪些人可以访问内部的
些服务,以及哪些外部服务可以被内部人员访问。要使一个防火墙有效,所有来自和去往
火墙本身也必须能够免于診透。当ー同さ人。で的 ternet f的信息都必须经过防火墙,接受防火墙的检査。防火墙只允许授权的数据通过,并且
在防火墙上可以很方便的监视网络的安全性,并产生报警(注意:对一个与 Internet相 人这
的内部网络来说,重要的问题并不是网络是否会受到攻击,而是何时受到攻击?谁在攻击) 网络管理员必须审计并记录所有通过防火墙的重要信息。网站建设如果网络管理员不能及时响应根如果网络管理员不能及时响应根
本文地址://www.qlpinke.com//article/3754.html