不可忽视:谈网络防火墙和安全问题
减小字体
增大字体收集到目标机构的网络信息之后,黑客会探测每个主机以寻求一个安全上的弱点。有几种工具可能被黑客用来自动扫描驻留在网络上的主机:
· 由于已经知道的服务脆弱性较少,水平高的黑客能够写出短小的程序来试图连接到目标主机上特定的服务端口上。而程序的输出则是支持可攻击的服务的主机清单。
· 有几种公开的工具,如ISS(Internet Security Scanner, Internet安全扫描程序),SATAN(Security Analysis Tool for Auditing Networks,审计网络用的安全分析工具),可以对整个域或子网进行扫描并寻找安全上的漏洞。
这些程序能够针对不同系统的脆弱性确定其弱点。入侵者利用扫描收集来的信息去获得对目标系统的非法访问权。聪明的网络管理员能够在其网络内部使用这些工具来发现潜藏的安全弱点并确定那个主机需要用新的软件补丁(Patches)进行升级。
访问受保护系统
入侵者使用主机探测的结果对目标系统进行攻击。获得对受保护系统的访问权后,黑客可以有多种选择:
· 入侵者可能试图毁掉攻击的痕迹,并在受损害的系统上建立一个新的安全漏洞或后门,以便在原始攻击被发现后可以继续访问这个系统。
· 入侵者可能会安全包探测器,其包括特洛伊马程序,用来窥探所在系统的活动,收集Telnet和FTP的帐户名和口令。黑客用这些信息可以将攻击扩展到其它机器。
· 入侵者可能会发现对受损系统有信任的主机。这样黑客就可以利用某个主机的这种弱点,并将攻击在整个机构网络上舱上展开。
· 如果黑客能够在受损系统上获得特权访问权限,他,或她就可以读取邮件,搜索私人文件,盗取私人文件,毁掉或毁坏重要数据。
基本的防火墙设计
在设计Internet防火墙时,网络管理员必须做出几个决定:
· 防火墙的姿态(Stance)
· 机构的整体安全政策
· 防火墙的经济费用
· 防火墙系统的组件或构件
防火墙的姿态
防火墙的姿态从根本上阐述了一个机构对安全的看法。Internet防火墙可能会扮演两种截然相反的姿态:
· 拒绝没有特别允许的任何事情。这种姿态假定防火墙应该阻塞所有的信息,而每一种所期望的服务或应用都是实现在case-by-case的基础上。这是一个受推荐的方案。其建立的是一个非常安全的环境,因为只有审慎选择的服务才被支持。当然这种方案也有缺点,就是不易使用,因为限制了提供给用户们的选择范围。
· 允许没有特别拒绝的任何事情。这种姿态假定防火墙应该转发所有的信息,任何可能存在危害的服务都应在case-by-case的基础上关掉。这种方案建立的是一个非常灵活的环境,能提供给用户更多的服务。缺点是,由于将易使用这个特点放在了安全性的前面,网络管理员处于不断的响应当中,因此,随着网络规模的增大,很难保证网络的安全。
机构的安全策略
如前所述,Internet防火墙并不是独立的,它是机构总体安全策略的一部分。机构总体安全策略定义了安全防御的方方面面。为确保成功,机构必须知道其所有保护的是什么。安全策略必须建立在精心进行的安全分析、风险评估以及商业需求分析基础之上。如果机构没有详尽的安全策略,无论如何精心构建的防火墙都会被绕过去,从而整个内部网络都暴露在攻击面下。
机构能够负担起什么样的防火墙?简单的包过滤防火墙的费用最低,因为机构至少需要一个路由器才能连入Internet,并且包过滤功能包括在标准的路由器配置中。商业的防火墙系统提供了附加的安全功能,而费用在$4,000到$30,000之间,具体价格要看系统的复杂性和要保护的系统的数量。如果一个机构有自己的专业人员,也可以构建自己的防火墙系统,但是仍旧有开发时间和部署防火墙系统等的费用问题。还有,防火墙系统需要管理,一般性的维护、软件升级、安全上的补漏、事故处理等,这些都要产生费用。
在设计Internet防火墙时,网络管理员必须做出几个决定:
· 防火墙的姿态(Stance)
· 机构的整体安全政策
· 防火墙的经济费用
· 防火墙系统的组件或构件
防火墙的姿态
防火墙的姿态从根本上阐述了一个机构对安全的看法。Internet防火墙可能会扮演两种截然相反的姿态:
· 拒绝没有特别允许的任何事情。这种姿态假定防火墙应该阻塞所有的信息,而每一种所期望的服务或应用都是实现在case-by-case的基础上。这是一个受推荐的方案。其建立的是一个非常安全的环境,因为只有审慎选择的服务才被支持。当然这种方案也有缺点,就是不易使用,因为限制了提供给用户们的选择范围。
· 允许没有特别拒绝的任何事情。这种姿态假定防火墙应该转发所有的信息,任何可能存在危害的服务都应在case-by-case的基础上关掉。这种方案建立的是一个非常灵活的环境,能提供给用户更多的服务。缺点是,由于将易使用这个特点放在了安全性的前面,网络管理员处于不断的响应当中,因此,随着网络规模的增大,很难保证网络的安全。
机构的安全策略
如前所述,Internet防火墙并不是独立的,它是机构总体安全策略的一部分。机构总体安全策略定义了安全防御的方方面面。为确保成功,机构必须知道其所有保护的是什么。安全策略必须建立在精心进行的安全分析、风险评估以及商业需求分析基础之上。如果机构没有详尽的安全策略,无论如何精心构建的防火墙都会被绕过去,从而整个内部网络都暴露在攻击面下。
机构能够负担起什么样的防火墙?简单的包过滤防火墙的费用最低,因为机构至少需要一个路由器才能连入Internet,并且包过滤功能包括在标准的路由器配置中。商业的防火墙系统提供了附加的安全功能,而费用在$4,000到$30,000之间,具体价格要看系统的复杂性和要保护的系统的数量。如果一个机构有自己的专业人员,也可以构建自己的防火墙系统,但是仍旧有开发时间和部署防火墙系统等的费用问题。还有,防火墙系统需要管理,一般性的维护、软件升级、安全上的补漏、事故处理等,这些都要产生费用。
Tags:
作者:风未起时
- 好的评价 如果您觉得此文章好,就请您
0%(0) 
- 差的评价 如果您觉得此文章差,就请您
0%(0) 
中查找“不可忽视:谈网络防火墙和安全问题”更多相关内容
中查找“不可忽视:谈网络防火墙和安全问题”更多相关内容评论内容只代表网友观点,与本站立场无关!
评论摘要(共 0 条,得分 0 分,平均 0 分)
查看完整评论