防火墙是网络上运用最多的安全设备,是网络安全的重要基石。防火墙厂商为了占领市场,对防火墙的散播越来越多,市场显现了良多差错的器材。个中一个规范的差错,是把防 火墙全能化。但2002年8月的《算计机安全》中指出,防火墙的攻破率已经胜过47%。正确明白和运用防火墙,确保网络的安全运用,研究防火墙的局限性和虚亏性已经非常需要。 防火墙十大局限性 一、防火墙不可以防范不始末防火墙的攻打。没有始末防火墙的数据,防火墙无法搜检。 二、防火墙不可以治理来自内部网络的攻打和安全题目。防火墙能够策画为既防外也防内,谁都不可托,但绝大无数单元因为不容易,不要求防火墙防内。 三、防火墙不可以防止策略设置欠妥或差错设置引起的安全威吓。防火墙是一个被动的安全策略施行设备,就像门卫一样,要依据策略划定来施行安全,而不可以自作主张。 四、防火墙不可以防止可接触的待遇或天然的损坏。防火墙是一个安全设备,但防火墙自身必需存在于一个安全的地方。 五、防火墙不可以防止运用标准网络和议中的缺点进行的攻打。一旦防火墙准许某些标准网络和议,防火墙不可以防止运用该和议中的缺点进行的攻打。 六、防火墙不可以防止运用服务器系统忽视所进行的攻打。黑客通过防火墙准许的访问端口对该服务器的忽视进行攻打,防火墙不可以防止。 七、防火墙不可以防止受病毒浸染的文件的传输。防火墙自身并不具备查杀病毒的功用,虽然集成了第三方的防病毒的软件,也没有一种软件能够查杀通盘的病毒。 八、防火墙不能防止数据驱动式的攻击。当有些式样看来无害的数据邮寄或拷贝到内部网的主机上并被施行时,恐怕会形成数据驱动式的攻击。 九、防火墙不能防止内部的泄密行动。防火墙内部的一个正当用户自动泄密,防火墙是力不从心的。 十、防火墙不能防止自身的安宁漏洞的威吓。防火墙守卫别人有时却无法守卫自身,当前还没有厂商绝对保证防火墙不会存在安宁漏洞。是以对防火墙也必须供给某种安宁守卫。 防火墙十大薄弱性 一、防火墙的操纵系统不能保证没有漏洞。当前还没有一家防火墙厂商说,其防火墙没有操纵系统。有操纵系统就不能绝对保证没有安宁漏洞。 二、防火墙的硬件不能保证不失效。通盘的硬件都有一个生命周期,都邑老化,总有失效的整日。 三、防火墙软件不能保证没有漏洞。防火墙软件也是软件,是软件就会有漏洞。 四、防火墙无法处分TCP/IP等和议的漏洞。防火墙自身就是基于TCP/IP等和议来告竣的,就无法处分TCP/IP操纵的漏洞。 五、防火墙无法分辩恶意命令照样善意命令。有良多命令对管理员而言,是一项正当命令,而在黑客手里就恐怕是一个险情的命令。 六、防火墙无法分辩恶意流量和善意流量。一个用户运用PING命令,用作网络诊断和网络攻击,从流量上是没有分别的。 七、防火墙的安宁性与多功用成反比。多功用与防火墙的安宁大纲是拔苗助长的。是以,除非确信需要某些功用,否则,应该功用最小化。 八、防火墙的安宁性和速率成反比。防火墙的安宁性是建立在对数据的查验之上,查验越细越安宁,但查验越细速率越慢。 九、防火墙的多功用与速率成反比。防火墙的功用越多,对CPU和内存的销耗越大,功用越多,查验的越多,速率越慢。 十、防火墙无法保证允诺服务的安宁性。防火墙允诺某项服务,却不能保证该服务的安宁性。允诺服务的安宁性问题必须由运用安宁来处分。 市场需要新一代防火墙 在计算机网络日益普遍的这天,市场需要新一代防火墙来改变当前的不安宁形势。 新一代防火墙定位于处分以下问题:1.和议的安宁性问题;2.病毒形成的攻击的问题;3.可信与不可信的问题;4.防火墙自身的安宁性问题等。 随着网络安宁技能的不停滋长,像物理隔绝网闸(GAP)、防泄密系统(Anti-Disclosure)、防病毒网关(Anti-Virus Gateway)、抗攻击网关(Anti-DDOS Gateway)、侵略检测防备(IDP)等技能,大大补充了防火墙技能的不足,从而构成了愈加安宁的网络防备系统。 你是不是疲于防范黑客?当前你应该接纳攻势了。起码这是所谓的蜜罐(honeypot)蕴藏的思想。蜜罐是指对象在于吸引攻击者、然后记录下一举一动的计算机系统。 蜜罐技能的告竣 蜜罐比如是情报搜聚系统。蜜罐恰似是用意让人攻击的偏向,引诱黑客前来攻击。是以攻击者侵略后,你就能够知道他是怎么得逞的,随时知道针对贵公司服务器动员的最新的攻击和漏洞。还能够通过窃听黑客之间的关连,搜聚黑客所用的种种对象,而且控制他们的应酬网络。 配置蜜罐并不难,只要在外部因特网上有一台计算机运行没有打上补丁的微软Windows恐怕Red Hat Linux即行。由于黑客恐怕会设陷阱,以获取计算机的日志和稽查功用,你就要在计算机和因特网相连之间睡眠一套网络监控系统,以便偷偷记录下出入计算机的通盘流量。然后只要坐下来,期待攻击者自投罗网。 不外,配置蜜罐并不是说没有危机。这是由于,大部分平安遭到危及的体系会被黑客用来攻击其它体系。这即是卑劣职责(downstream liability),由此引出了蜜网(honeynet)这一话题。 蜜网是指其它采用了技术的蜜罐,从而以公道格式纪录下黑客的疏通,同时只管即便减小或摈弃对因特网上其它体系造成的危机。成立在反向防火墙反面的蜜罐即是一个例子。防火墙的方向不是制止入站邻接,而是制止蜜罐成立出站邻接。不外,虽然这种主意使蜜罐不会毁坏其它体系,但同时很方便被黑客发觉。 数据搜集是配置蜜罐的另一项技术搬弄。蜜罐监控者只要纪录下出入体系的每个数据包,就也许对黑客的所作所为明明白白。蜜罐本身上面的日志文件也是很好的数据泉源。但日志文件很方便被攻击者减少,以是不时的主意即是让蜜罐向在统一网络上但防御机制较圆满的长途体系日志服务器发送日志备份。(务必同时监控日志服务器。倘使攻击者用新方法突入了服务器,那么蜜罐无疑会证明其价钱。) 频年来,由于黑帽子群体越来越多地应用加密技术,数据搜集任务的难度大大加强。此刻,他们蒙受了众多计算机平安专长人士的提倡,改而采用SSH等暗码协议,担保网络监控对本身的通讯无能为力。蜜网看待暗码的计算即是批改宗旨计算机的操纵体系,以便整个敲入的字符、传输的文件及其它消息都纪录到另一个监控体系的日志内中。由于攻击者大概会发觉这类日志,蜜网打算采用了一种潜藏技术。譬如说,把敲入字符隐匿到NetBIOS广播数据包内中。 蜜罐技术的上风 蜜罐体系的利益之一即是它们大大减少了所要分析的数据。看待不时的网站或邮件服务器,攻击流量不时会被正当流量所霸占。而蜜罐出入的数据大部分是攻击流量。以是,阅读数据、查明攻击者的现实行动也就方便多了。 自1999年启动自此,蜜网打算已经搜集到了大批消息,你可以在www.honeynet.org上找到。部分发觉结果包罗:攻击率在昔日一年增添了一倍;攻击者越来越多地应用也许堵住马虎的自动点击工具(倘使发觉新马虎,工具很方便更新);虽然矫揉造作,但很稀少黑客采用新的攻击方法。 蜜罐主倘使一种研讨工具,但同样有着真实的贸易应用。把蜜罐配置在与公司的Web或邮件服务器相邻的IP地方上,你就可以明了它所遭受到的攻击。 固然,蜜罐和蜜网不是什么“射后不睬”(fire and forget)的平安配置。据蜜网打算声称,要真实弄明了攻击者在短短30分钟内造成的毁坏,不时须要分析30到40个小时。体系还须要整齐维护及试验。有了蜜罐,你要不断与黑客斗智斗勇。可以这么说:你选择的是战场,而敌手选择的是比较机缘。以是,你必须不时坚决警戒。 蜜罐领域最让人快乐的滋长结果之一即是展现了假造蜜网。假造计算机网络运行在应用VMware或User-Mode Linux等假造计算机体系的简单死板之上。假造体系使你可以在简单主机体系上运行几台假造计算机(不时是4到10台)。假造蜜网大大降低了资本、死板占用空间以及约束蜜罐的难度。其它,假造体系不时附和“悬挂”和“中兴”功效,如此你就可以固结平安受危及的计算机,分析攻击主意,然后开放TCP/IP邻接及体系上面的其它服务。 对大组织的首席平安官(CSO)来说,运行蜜网最充分的原由之一即是可以发觉内里不怀善意的人。 蜜罐技术的法律问题 出乎意料的是,监控蜜罐也要蒙受相应的法律结果,譬如说,有大概违背《反窃听法》。虽然现在没有判例法,但熟谙这方面法律的人士大多数以为,两边赞同的标语是出路地方。也即是说,给每个蜜罐打上如此的标语:“应用该体系的任何人赞同本身的行动受到监控,并透露给其他人,包罗法律职员。” (转载请注明出处:http://www.ysht119.com/youxijiaoliu/20100720/706.html) |