防火墻的局限性
來源:尚品中國|
類型:網站百科
|時間:2014-06-17
大多數防火摘都側重于對外部數據包進行防范,而忽略了來自內部的一錢安全隱患。例如.我們討論過包括碑防火崎常使用一條過滾策略是允許從外部進人的響應數據包,而拒絕自外而來的連接請求或服務請求。如果一個內部主機首先向一個外部攻擊者發(fā)送一個請求包.而引人一個其有某種攻擊行為的響應敬據包,便會使這個攻擊包順利地通過防火墻。實施時某個服務器或網絡建設設備的攻擊行為.同時由內部向外部發(fā)出的數據包有時也會倪帶一4相關的內部敏s信息,因防火墉對于發(fā)出的教據包通常不作過多的限制.因此這共信息很容易被外部獲取.并成為對內部網絡發(fā)起攻擊的關鍵信息。
防火堵本身是篆于TCP/IP協(xié)議基礎而實現(xiàn).因此也就很難完全消除因這殘協(xié)議翻潤所造成安全成脅。例如一種利用TCP的協(xié)議瀚洞向服務器發(fā)起的SYN攻擊.最終將導致被攻擊的服務器停止《拒絕)接受所有的脹務漪求.也稱為拒絕服務攻擊DoS( Denial-o(-Service) ,實現(xiàn)非常簡單。攻擊者向服務器提供某種服務的端u不停地發(fā)送大最的TCP連接請求SYN報文.在發(fā)送了SY、連接請求之后.并不再繼續(xù)與服務器完成接下來的握手信號交換,使得股務器陷入等待墉求者發(fā)送第三次握手信號的狀態(tài)。處于這個等待周期的連接狀態(tài)也稱為服務器的半連接狀態(tài)。服務器會保待為該連接所分配的所有資碑,直到定時移超時。如果服務器開啟大段的處于半連接狀態(tài)的TCP連接.最終會導致服務器的資源被耗盡而不能夠再接受新的TCP連接清求.即便是一個正常的請求.SYN攻擊通常針對內網中向外提供公共股務的服務器發(fā)起.單從攻擊者發(fā)送的一個單獨的TCP請求連接的SYN數據包,防火墉無法分麟它是出自于一個正常的連接請求。還是一個SYN攻擊。一些具有狀態(tài)檢側功能的防火J. .通過跟蹤輸人愉出數據包的連接狀態(tài)變化等信息.檢側數據包的首部狀態(tài)信息(如TCP的SYN位和ACK位等)的變化是否符合相應的協(xié)議規(guī)則。形成的過此規(guī)則不僅越于數據包的首部字段.祠時還今考數據包的狀態(tài)變化等參數,以提離對內部網絡系統(tǒng)的安全防御能力。但這種具有狀態(tài)檢洲功能的防火墉面臨的問題是,首先針對所有效據流徽的狀態(tài)檢側對防火姍的處理和計算能力都有較高的要求.并且狀態(tài)槍側會直接影響防火摘對每個數據包的處理速度;其次.對于上述SYN攻擊包來說.即便是具有狀態(tài)槍測功能的防火墉也很難準確地判斷出一個S丫N是否是攻擊包.特別是某些進行S丫N攻擊的攻擊村會采用地址哄毅.使甸次發(fā)送的SYN包用不間的派地址。
最后,防火強的安全防御能力與其處理速度是成反比的.防火墻的過a規(guī)則越復雜.對數據包檢查得越細.內部網絡的安全性就越高.但相應地處理梅一個數據包的速度也就會越二使得鎮(zhèn)個網絡的性能也受到彭響。
上述防火墻局限性說明防火.井不可曲對網絡起到絕對的安全保護,實際兩絡系魄中通常會采用其他的安全控側指施作為防火堵的必要補充.例如.人倪位IDS(Intrusion DetectionSystem》可以作為防火幼之后的第二道叻找.在不影響網絡運行和性能的前扭下.從防火墉或網絡不墳中的其他關工節(jié)點收典相應的信息.并通過分析這些仿息到斷X中是否含有攻擊的企圖.當發(fā)現(xiàn)忍At行為時能夠及時向網絡,理員報,.作為叻火幼的補償技術.人任槍側爪魄不但可以發(fā)硯從外娜進人的攻擊,也可以發(fā)硯來自內部的惡t行為.對于叻止成減輕兩絡系吮所受到的各種安全減協(xié)具重要意義。
防火堵本身是篆于TCP/IP協(xié)議基礎而實現(xiàn).因此也就很難完全消除因這殘協(xié)議翻潤所造成安全成脅。例如一種利用TCP的協(xié)議瀚洞向服務器發(fā)起的SYN攻擊.最終將導致被攻擊的服務器停止《拒絕)接受所有的脹務漪求.也稱為拒絕服務攻擊DoS( Denial-o(-Service) ,實現(xiàn)非常簡單。攻擊者向服務器提供某種服務的端u不停地發(fā)送大最的TCP連接請求SYN報文.在發(fā)送了SY、連接請求之后.并不再繼續(xù)與服務器完成接下來的握手信號交換,使得股務器陷入等待墉求者發(fā)送第三次握手信號的狀態(tài)。處于這個等待周期的連接狀態(tài)也稱為服務器的半連接狀態(tài)。服務器會保待為該連接所分配的所有資碑,直到定時移超時。如果服務器開啟大段的處于半連接狀態(tài)的TCP連接.最終會導致服務器的資源被耗盡而不能夠再接受新的TCP連接清求.即便是一個正常的請求.SYN攻擊通常針對內網中向外提供公共股務的服務器發(fā)起.單從攻擊者發(fā)送的一個單獨的TCP請求連接的SYN數據包,防火墉無法分麟它是出自于一個正常的連接請求。還是一個SYN攻擊。一些具有狀態(tài)檢側功能的防火J. .通過跟蹤輸人愉出數據包的連接狀態(tài)變化等信息.檢側數據包的首部狀態(tài)信息(如TCP的SYN位和ACK位等)的變化是否符合相應的協(xié)議規(guī)則。形成的過此規(guī)則不僅越于數據包的首部字段.祠時還今考數據包的狀態(tài)變化等參數,以提離對內部網絡系統(tǒng)的安全防御能力。但這種具有狀態(tài)檢洲功能的防火墉面臨的問題是,首先針對所有效據流徽的狀態(tài)檢側對防火姍的處理和計算能力都有較高的要求.并且狀態(tài)槍側會直接影響防火摘對每個數據包的處理速度;其次.對于上述SYN攻擊包來說.即便是具有狀態(tài)槍測功能的防火墉也很難準確地判斷出一個S丫N是否是攻擊包.特別是某些進行S丫N攻擊的攻擊村會采用地址哄毅.使甸次發(fā)送的SYN包用不間的派地址。
最后,防火強的安全防御能力與其處理速度是成反比的.防火墻的過a規(guī)則越復雜.對數據包檢查得越細.內部網絡的安全性就越高.但相應地處理梅一個數據包的速度也就會越二使得鎮(zhèn)個網絡的性能也受到彭響。
上述防火墻局限性說明防火.井不可曲對網絡起到絕對的安全保護,實際兩絡系魄中通常會采用其他的安全控側指施作為防火堵的必要補充.例如.人倪位IDS(Intrusion DetectionSystem》可以作為防火幼之后的第二道叻找.在不影響網絡運行和性能的前扭下.從防火墉或網絡不墳中的其他關工節(jié)點收典相應的信息.并通過分析這些仿息到斷X中是否含有攻擊的企圖.當發(fā)現(xiàn)忍At行為時能夠及時向網絡,理員報,.作為叻火幼的補償技術.人任槍側爪魄不但可以發(fā)硯從外娜進人的攻擊,也可以發(fā)硯來自內部的惡t行為.對于叻止成減輕兩絡系吮所受到的各種安全減協(xié)具重要意義。
來源聲明:本文章系尚品中國編輯原創(chuàng)或采編整理,如需轉載請注明來自尚品中國。以上內容部分(包含圖片、文字)來源于網絡,如有侵權,請及時與本站聯(lián)系(010-60259772)。
推薦新聞
更多行業(yè)-
定制企業(yè)網站建設有哪些特點
定制網站建設是指為企業(yè)進行重新規(guī)劃、方案撰寫、重新設計和功能開發(fā)的網站...
2021-10-27 -
新手研究SEO技術切莫“走火入魔”
那么作為研究seo技術的您是否也走火入魔了呢?說了這么多,經常看電視某...
2012-07-05 -
網站建設—PHP如何刪除數組中的重復元素
本文我們講述PHP通過 array_unique()函數刪除數組中重復...
2019-03-07 -
如何制作一個商城網站
伴隨著中國電子商務的發(fā)展和互聯(lián)網應用范圍的擴大及網絡技術的成熟,UEO...
2012-08-14 -
淺析AI網站建設的“冷知識”
AI的話題一直備受關注,各行各業(yè)都在研發(fā)AI智能。今天,小編將與您分享...
2022-03-01 -
如何讓你的網站賺到更多的錢
北京網站建設公司尚品中國:對于數以百萬計的人,網站制作的主要收入來源。...
2012-02-17
如果您的網站可以增加轉化次數并提高客戶滿意度,該怎么辦?
預約專業(yè)咨詢顧問溝通!
Copyright ? 2025 恒久尚品 版權所有 | 京ICP備09066521號
| 公安機關備案號:11011502003910
免責聲明
誠信企業(yè)
尚品專注高端網站建設,系統(tǒng)平臺開發(fā),微信小程序及APP開發(fā)服務
尚品專注高端網站建設,系統(tǒng)平臺開發(fā),微信小程序及APP開發(fā)服務
免責聲明
非常感謝您訪問我們的網站。在您使用本網站之前,請您仔細閱讀本聲明的所有條款。
1、本站部分內容來源自網絡,涉及到的部分文章和圖片版權屬于原作者,本站轉載僅供大家學習和交流,切勿用于任何商業(yè)活動。
2、本站不承擔用戶因使用這些資源對自己和他人造成任何形式的損失或傷害。
3、本聲明未涉及的問題參見國家有關法律法規(guī),當本聲明與國家法律法規(guī)沖突時,以國家法律法規(guī)為準。
4、如果侵害了您的合法權益,請您及時與我們,我們會在第一時間刪除相關內容!
聯(lián)系方式:010-60259772
電子郵件:394588593@qq.com
