防火墻的局限性
來源:尚品中國|
類型:網站百科|
時間:2014-06-17
大多數防火摘都側重于對外部數據包進行防范,而忽略了來自內部的一錢安全隱患。例如.我們討論過包括碑防火崎常使用一條過滾策略是允許從外部進人的響應數據包,而拒絕自外而來的連接請求或服務請求。如果一個內部主機首先向一個外部攻擊者發送一個請求包.而引人一個其有某種攻擊行為的響應敬據包,便會使這個攻擊包順利地通過防火墻。實施時某個服務器或網絡建設設備的攻擊行為.同時由內部向外部發出的數據包有時也會倪帶一4相關的內部敏s信息,因防火墉對于發出的教據包通常不作過多的限制.因此這共信息很容易被外部獲取.并成為對內部網絡發起攻擊的關鍵信息。
防火堵本身是篆于TCP/IP協議基礎而實現.因此也就很難完全消除因這殘協議翻潤所造成安全成脅。例如一種利用TCP的協議瀚洞向服務器發起的SYN攻擊.最終將導致被攻擊的服務器停止《拒絕)接受所有的脹務漪求.也稱為拒絕服務攻擊DoS( Denial-o(-Service) ,實現非常簡單。攻擊者向服務器提供某種服務的端u不停地發送大最的TCP連接請求SYN報文.在發送了SY、連接請求之后.并不再繼續與服務器完成接下來的握手信號交換,使得股務器陷入等待墉求者發送第三次握手信號的狀態。處于這個等待周期的連接狀態也稱為服務器的半連接狀態。服務器會保待為該連接所分配的所有資碑,直到定時移超時。如果服務器開啟大段的處于半連接狀態的TCP連接.最終會導致服務器的資源被耗盡而不能夠再接受新的TCP連接清求.即便是一個正常的請求.SYN攻擊通常針對內網中向外提供公共股務的服務器發起.單從攻擊者發送的一個單獨的TCP請求連接的SYN數據包,防火墉無法分麟它是出自于一個正常的連接請求。還是一個SYN攻擊。一些具有狀態檢側功能的防火J. .通過跟蹤輸人愉出數據包的連接狀態變化等信息.檢側數據包的首部狀態信息(如TCP的SYN位和ACK位等)的變化是否符合相應的協議規則。形成的過此規則不僅越于數據包的首部字段.祠時還今考數據包的狀態變化等參數,以提離對內部網絡系統的安全防御能力。但這種具有狀態檢洲功能的防火墉面臨的問題是,首先針對所有效據流徽的狀態檢側對防火姍的處理和計算能力都有較高的要求.并且狀態槍側會直接影響防火摘對每個數據包的處理速度;其次.對于上述SYN攻擊包來說.即便是具有狀態槍測功能的防火墉也很難準確地判斷出一個S丫N是否是攻擊包.特別是某些進行S丫N攻擊的攻擊村會采用地址哄毅.使甸次發送的SYN包用不間的派地址。
最后,防火強的安全防御能力與其處理速度是成反比的.防火墻的過a規則越復雜.對數據包檢查得越細.內部網絡的安全性就越高.但相應地處理梅一個數據包的速度也就會越二使得鎮個網絡的性能也受到彭響。
上述防火墻局限性說明防火.井不可曲對網絡起到絕對的安全保護,實際兩絡系魄中通常會采用其他的安全控側指施作為防火堵的必要補充.例如.人倪位IDS(Intrusion DetectionSystem》可以作為防火幼之后的第二道叻找.在不影響網絡運行和性能的前扭下.從防火墉或網絡不墳中的其他關工節點收典相應的信息.并通過分析這些仿息到斷X中是否含有攻擊的企圖.當發現忍At行為時能夠及時向網絡,理員報,.作為叻火幼的補償技術.人任槍側爪魄不但可以發硯從外娜進人的攻擊,也可以發硯來自內部的惡t行為.對于叻止成減輕兩絡系吮所受到的各種安全減協具重要意義。
防火堵本身是篆于TCP/IP協議基礎而實現.因此也就很難完全消除因這殘協議翻潤所造成安全成脅。例如一種利用TCP的協議瀚洞向服務器發起的SYN攻擊.最終將導致被攻擊的服務器停止《拒絕)接受所有的脹務漪求.也稱為拒絕服務攻擊DoS( Denial-o(-Service) ,實現非常簡單。攻擊者向服務器提供某種服務的端u不停地發送大最的TCP連接請求SYN報文.在發送了SY、連接請求之后.并不再繼續與服務器完成接下來的握手信號交換,使得股務器陷入等待墉求者發送第三次握手信號的狀態。處于這個等待周期的連接狀態也稱為服務器的半連接狀態。服務器會保待為該連接所分配的所有資碑,直到定時移超時。如果服務器開啟大段的處于半連接狀態的TCP連接.最終會導致服務器的資源被耗盡而不能夠再接受新的TCP連接清求.即便是一個正常的請求.SYN攻擊通常針對內網中向外提供公共股務的服務器發起.單從攻擊者發送的一個單獨的TCP請求連接的SYN數據包,防火墉無法分麟它是出自于一個正常的連接請求。還是一個SYN攻擊。一些具有狀態檢側功能的防火J. .通過跟蹤輸人愉出數據包的連接狀態變化等信息.檢側數據包的首部狀態信息(如TCP的SYN位和ACK位等)的變化是否符合相應的協議規則。形成的過此規則不僅越于數據包的首部字段.祠時還今考數據包的狀態變化等參數,以提離對內部網絡系統的安全防御能力。但這種具有狀態檢洲功能的防火墉面臨的問題是,首先針對所有效據流徽的狀態檢側對防火姍的處理和計算能力都有較高的要求.并且狀態槍側會直接影響防火摘對每個數據包的處理速度;其次.對于上述SYN攻擊包來說.即便是具有狀態槍測功能的防火墉也很難準確地判斷出一個S丫N是否是攻擊包.特別是某些進行S丫N攻擊的攻擊村會采用地址哄毅.使甸次發送的SYN包用不間的派地址。
最后,防火強的安全防御能力與其處理速度是成反比的.防火墻的過a規則越復雜.對數據包檢查得越細.內部網絡的安全性就越高.但相應地處理梅一個數據包的速度也就會越二使得鎮個網絡的性能也受到彭響。
上述防火墻局限性說明防火.井不可曲對網絡起到絕對的安全保護,實際兩絡系魄中通常會采用其他的安全控側指施作為防火堵的必要補充.例如.人倪位IDS(Intrusion DetectionSystem》可以作為防火幼之后的第二道叻找.在不影響網絡運行和性能的前扭下.從防火墉或網絡不墳中的其他關工節點收典相應的信息.并通過分析這些仿息到斷X中是否含有攻擊的企圖.當發現忍At行為時能夠及時向網絡,理員報,.作為叻火幼的補償技術.人任槍側爪魄不但可以發硯從外娜進人的攻擊,也可以發硯來自內部的惡t行為.對于叻止成減輕兩絡系吮所受到的各種安全減協具重要意義。
來源聲明:本文章系尚品中國編輯原創或采編整理,如需轉載請注明來自尚品中國。以上內容部分(包含圖片、文字)來源于網絡,如有侵權,請及時與本站聯系(010-60259772)。
推薦新聞
更多行業-
網站建設完成后怎樣讓網站流量越來越多?
網站的年齡也是決定網站排名的重要因素。注意,這里說網站的時代≠域名的時...
2020-11-17 -
北京網站制作的響應式布局和自適應布局有哪些區別
在尋找北京網站的時候,會有一些甲方需要做一個響應式布局或者自適應布局的...
2020-06-25 -
智能網站設計
問題所在商業網站設計大都枯燥乏 味,沒有活力,不夠吸引人。為什么? ...
2012-07-21 -
各搜索引擎的SEO
給用戶提供有價值的信息,可以通過新聞、視頻、圖片等多種搜索優化方式。滿...
2012-06-25 -
網站建設公司談老域名對網站優化的好處
大家都知道新網站在搜索引擎眼里的地位很低。因為百度等搜索引擎不太了解這...
2021-06-03 -
國外搜索引擎是如何判斷網站用戶體驗的好壞?
知乎上,網友提出了一個問題“什么是網站設計用戶體驗?如何評...
2015-07-15
如果您的網站可以增加轉化次數并提高客戶滿意度,該怎么辦?
預約專業咨詢顧問溝通!
Copyright ? 2025 恒久尚品 版權所有 | 京ICP備09066521號
| 公安機關備案號:11011502003910
免責聲明
誠信企業
尚品專注高端網站建設,系統平臺開發,微信小程序及APP開發服務
尚品專注高端網站建設,系統平臺開發,微信小程序及APP開發服務
免責聲明
非常感謝您訪問我們的網站。在您使用本網站之前,請您仔細閱讀本聲明的所有條款。
1、本站部分內容來源自網絡,涉及到的部分文章和圖片版權屬于原作者,本站轉載僅供大家學習和交流,切勿用于任何商業活動。
2、本站不承擔用戶因使用這些資源對自己和他人造成任何形式的損失或傷害。
3、本聲明未涉及的問題參見國家有關法律法規,當本聲明與國家法律法規沖突時,以國家法律法規為準。
4、如果侵害了您的合法權益,請您及時與我們,我們會在第一時間刪除相關內容!
聯系方式:010-60259772
電子郵件:394588593@qq.com
