论文部分内容阅读
防火墙是网络安全中非常重要的一环,大多数的单位认为仅需要安装一套防火墙设备,就可以解决他们的安全问题,因此不惜重金购买防火墙,但却忽视了防火墙的配置。防火墙功能的强大与否,除了防火墙本身的性能外,主要是取决对防火墙的正确配置。在我们与使用防火墙的用户接触中,发现常常由于防火墙配置的错误,而留下一些系统安全漏洞,让入侵者有机可乘。
在装有防火墙产品的网络中,内部网络的安全性将在一定程度上依赖于防火墙产品的规则配置。由于一些配置在本质上比其它的配置更安全,因而网络安全系统的一个重要组件,在复杂的没有条理性的配置上想要获得安全性是很困难的,或许是不可能的。一个将网络安全时刻放在心上并清楚地组织网络防火墙的配置,使其易于理解和管理,几乎肯定是更加安全的。
一、 防火墙的作用
1.数据包过滤。凡是能有效阻止网络非法连接的方式,都算防火墙。数据包过滤是很重要的一种特性。虽然防火墙技术发展到现在有了很多新的理念提出,但是数据包过滤依然是非常重要的一环,如同四层交换机首要的仍是要具备数据包的快速转发这样一个交换机的基本功能一样。通过数据包过滤,防火墙可以实现阻挡攻击,禁止外部/内部访问某些站点,限制每个IP的流量和连接数。
2.数据包的透明转发。由于防火墙一般架设在提供某些服务的服务器前,用户对服务器的访问请求与服务器反馈给用户的信息,都需要经过防火墙转发,因此,很多防火墙具备网关的能力。
3.阻挡外部攻击。如果用户发送的信息是防火墙设置所不允许的,防火墙会立即将其阻断,避免其进入防火墙之后的服务器中。
4.记录攻击。如果有必要,其实防火墙是完全可以将攻击行为都记录下来的,但是由于出于效率上的考虑,目前一般记录攻击的事情都交给IDS来完成了,我们在后面会提到。
以上是所有防火墙都具备的基本特性,虽然很简单,但防火墙技术就是在此基础上逐步发展起来的。
二、防火墙有哪些缺点和不足
1.防火墙可以阻断攻击,但不能消灭攻击源。
“各扫自家门前雪,不管他人瓦上霜”,就是目前网络安全的现状。互联网上病毒、木马、恶意试探等等造成的攻击行为络绎不绝。设置得当的防火墙能够阻挡他们,但是无法清除攻击源。即使防火墙进行了良好的设置,使得攻击无法穿透防火墙,但各种攻击仍然会源源不断地向防火墙发出尝试。例如接主干网10M网络带宽的某站点,其日常流量中平均有256K左右是攻击行为。那么,即使成功设置了防火墙后,这256K的攻击流量依然不会有丝毫减少。
2.防火墙不能抵抗最新的未设置策略的攻击。
就如杀毒软件与病毒一样,总是先出现病毒,杀毒软件经过分析出特征码后加入到病毒库内才能查杀。防火墙的各种策略,也是在该攻击方式经过专家分析后给出其特征进而设置的。如果世界上新发现某个主机的漏洞把第一个攻击对象选中了你的网络,那么防火墙也没有办法帮到你的。
3.防火墙的并发连接数限制容易导致拥塞或者溢出。
由于要判断、处理流经防火墙的每一个数据包,因此防火墙在某些流量大、并发请求多的情况下,很容易导致拥堵,成为整个网络的瓶颈而影响性能。而当防火墙溢出的时候,整个防线就如同虚设,原本被禁止的连接也能从容通过了。
4.防火墙对服务器合法开放的端口的攻击大多无法阻止。
某些情况下,攻击者利用服务器提供的服务进行缺陷攻击。例如利用开放的3389端口取得没打过SP补丁的Windows 2000的超级权限、利用ASP程序进行脚本攻击等。由于其行为在防火墙一级看来是“合理”和“合法”的,因此就被简单地放行了。
5.防火墙对待内部主动发起连接的攻击一般无法阻止。
“外紧内松”是一般局域网络的特点。或许一道严密防守的防火墙内部的网络是一片混乱也有可能。通过内部网络发送带木马的邮件、带木马的URL等方式,然后由中木马的机器主动对攻击者连接,将铁壁一样的防火墙瞬间破坏掉。另外,防火墙内部各主机间的攻击行为,防火墙也只有如旁观者一样冷视而爱莫能助。
6防火墙本身也会出现问题和受到攻击。
防火墙也是一个操作系统,也有着其硬件系统和软件,因此依然有着漏洞和Bug。所以其本身也可能受到攻击和出现软、硬件方面的故障。
7.防火墙不处理病毒
不管是何种病毒,在内部网络用户下载外网的带毒文件的时候,防火墙是不为所动的。这里的防火墙不是指单机/企业级的杀毒软件中的实时监控功能,虽然它们不少都叫“病毒防火墙”。
在构建任何一个网络的防御工事时,除了物理上的隔离和目前新近提出的网闸概念外,首要的选择绝对是防火墙。防火墙是网络安全的重要一环,但不代表设置了防火墙就一定能保证网络的安全。“真正的安全是一种意识,而非技术!”
在装有防火墙产品的网络中,内部网络的安全性将在一定程度上依赖于防火墙产品的规则配置。由于一些配置在本质上比其它的配置更安全,因而网络安全系统的一个重要组件,在复杂的没有条理性的配置上想要获得安全性是很困难的,或许是不可能的。一个将网络安全时刻放在心上并清楚地组织网络防火墙的配置,使其易于理解和管理,几乎肯定是更加安全的。
一、 防火墙的作用
1.数据包过滤。凡是能有效阻止网络非法连接的方式,都算防火墙。数据包过滤是很重要的一种特性。虽然防火墙技术发展到现在有了很多新的理念提出,但是数据包过滤依然是非常重要的一环,如同四层交换机首要的仍是要具备数据包的快速转发这样一个交换机的基本功能一样。通过数据包过滤,防火墙可以实现阻挡攻击,禁止外部/内部访问某些站点,限制每个IP的流量和连接数。
2.数据包的透明转发。由于防火墙一般架设在提供某些服务的服务器前,用户对服务器的访问请求与服务器反馈给用户的信息,都需要经过防火墙转发,因此,很多防火墙具备网关的能力。
3.阻挡外部攻击。如果用户发送的信息是防火墙设置所不允许的,防火墙会立即将其阻断,避免其进入防火墙之后的服务器中。
4.记录攻击。如果有必要,其实防火墙是完全可以将攻击行为都记录下来的,但是由于出于效率上的考虑,目前一般记录攻击的事情都交给IDS来完成了,我们在后面会提到。
以上是所有防火墙都具备的基本特性,虽然很简单,但防火墙技术就是在此基础上逐步发展起来的。
二、防火墙有哪些缺点和不足
1.防火墙可以阻断攻击,但不能消灭攻击源。
“各扫自家门前雪,不管他人瓦上霜”,就是目前网络安全的现状。互联网上病毒、木马、恶意试探等等造成的攻击行为络绎不绝。设置得当的防火墙能够阻挡他们,但是无法清除攻击源。即使防火墙进行了良好的设置,使得攻击无法穿透防火墙,但各种攻击仍然会源源不断地向防火墙发出尝试。例如接主干网10M网络带宽的某站点,其日常流量中平均有256K左右是攻击行为。那么,即使成功设置了防火墙后,这256K的攻击流量依然不会有丝毫减少。
2.防火墙不能抵抗最新的未设置策略的攻击。
就如杀毒软件与病毒一样,总是先出现病毒,杀毒软件经过分析出特征码后加入到病毒库内才能查杀。防火墙的各种策略,也是在该攻击方式经过专家分析后给出其特征进而设置的。如果世界上新发现某个主机的漏洞把第一个攻击对象选中了你的网络,那么防火墙也没有办法帮到你的。
3.防火墙的并发连接数限制容易导致拥塞或者溢出。
由于要判断、处理流经防火墙的每一个数据包,因此防火墙在某些流量大、并发请求多的情况下,很容易导致拥堵,成为整个网络的瓶颈而影响性能。而当防火墙溢出的时候,整个防线就如同虚设,原本被禁止的连接也能从容通过了。
4.防火墙对服务器合法开放的端口的攻击大多无法阻止。
某些情况下,攻击者利用服务器提供的服务进行缺陷攻击。例如利用开放的3389端口取得没打过SP补丁的Windows 2000的超级权限、利用ASP程序进行脚本攻击等。由于其行为在防火墙一级看来是“合理”和“合法”的,因此就被简单地放行了。
5.防火墙对待内部主动发起连接的攻击一般无法阻止。
“外紧内松”是一般局域网络的特点。或许一道严密防守的防火墙内部的网络是一片混乱也有可能。通过内部网络发送带木马的邮件、带木马的URL等方式,然后由中木马的机器主动对攻击者连接,将铁壁一样的防火墙瞬间破坏掉。另外,防火墙内部各主机间的攻击行为,防火墙也只有如旁观者一样冷视而爱莫能助。
6防火墙本身也会出现问题和受到攻击。
防火墙也是一个操作系统,也有着其硬件系统和软件,因此依然有着漏洞和Bug。所以其本身也可能受到攻击和出现软、硬件方面的故障。
7.防火墙不处理病毒
不管是何种病毒,在内部网络用户下载外网的带毒文件的时候,防火墙是不为所动的。这里的防火墙不是指单机/企业级的杀毒软件中的实时监控功能,虽然它们不少都叫“病毒防火墙”。
在构建任何一个网络的防御工事时,除了物理上的隔离和目前新近提出的网闸概念外,首要的选择绝对是防火墙。防火墙是网络安全的重要一环,但不代表设置了防火墙就一定能保证网络的安全。“真正的安全是一种意识,而非技术!”