用户登录  |  傲看软件园 用户注册
文章中心广告代码ASP源码PHP源码JSP源码.NET源码源码相关傲看留言板繁體中文
当前位置:傲看软件园文章中心电脑安全杀毒防毒

防火墙的技术与应用-选购和应用(16)

减小字体 增大字体 作者:风未起时  来源:中国站长学院  发布时间:2008-10-20 20:19:56
防火墙到底应该有多“厚”?(3)

    
木马屠城重返Internet时代
 

  在特洛伊战争中,要不是特洛依人多事将木马拖入城内,也不会造成木马屠城的惨剧;不过在Internet的时代,防火墙城门是不能紧闭的,在某些程度上甚至是欢迎大家光临的;控管只是要降低与外界的接触面,并不能完全阻隔。因此提供外界的连线存取是有必要的,而依赖防火墙的连线存取控管,是否就可以免于黑客入侵了呢?

  答案是否定的。防火墙可以阻挡一些入侵行为,但是并不能完全抵挡。依连线控管级别来分析,采用Packet Filtering或Stateful Inspection控管机制的防火墙,可轻易被伪装成正常网络程序端口号的后门程序欺瞒!Application Layer Gateway能阻挡的入侵行为最多,包含防止身分伪冒、数据包调包以及确保协定内容的真实。但这些还是不够,因为即使传输内容合乎协定标准,但是数据包内容传递至远端系统后,系统的反应却不见得是正常的。

  就如同上述的例子,A书店如果是儿童书店,而收到的杂志内容却是光怪陆离,或是色情暴力,这样对于书店读者来说反应是负面的,其实并不应该收下这些杂志的。但因为守卫并不负责书刊分级,他只管将东西传送到目的地,A书店还是照单全收,书店也只好自行处理这些垃圾;有时也可能收到一大堆的垃圾杂志,堵住整间书店,以致不能正常营业!

  而在Internet的环境中,各Internet Service的问题通常还更严重,我们称之为“弱点(Vulnerability)”或“漏洞”,黑客可以利用Internet Service的正常传输指令,夹带的却是系统所不能接收的内容,来达到入侵系统有弱点的主机的目的。一旦入侵到内部系统后,就有机会再入侵到其他系统。

  这就是一副网络木马屠城图:防火墙提供内部的Web与Mail供外界存取,Internet使用者使用标准的程序或指令来达到连线的目的;黑客却可以利用这些已开启的通道,对内部Web Server与E-Mail Server进行破坏,且一旦破坏成功后,又转而破坏其他Unix与NT主机。


常见的系统入侵行为

在防火墙的保护伞后面,仍然会遭受外部入侵的行为有:

  1、妨碍系统正常运作(Denial of Service),以让所有网络连线中断为目的。

  2、Buffer Overflow利用程序设计的疏失,异常中断程序运作。通常会伴随“root exploit”或“backdoor”的攻击。

  3、截取超级使用者权限(root exploit)以控制系统,并据此攻击内部其他机器。

  4、安装后门木马程序,供黑客随时进入系统用,同时自动收集相关信息传送给黑客。
  

网络需要全方位防卫

  特洛伊城之所以久攻不破,是它有一道坚固的城墙,不会因城墙溃败而引来全面性的杀机;在Internet上我们也需要一道坚实的防火墙,以确保防火墙不会因被击溃,而导致企业内部数十乃至数百台的电脑的入侵危机。但木马屠城却给我们另一层的启示:在外需要厚实的城墙抵挡,在内更须时时提高警觉,防止可疑份子的渗透破坏。

  因此即使有了防火墙,也须要时时提防所有的连线是否隐藏破坏分子,也要审视系统是否脆弱地不堪黑客一击。同时更须设法提高系统的自卫能力。如此遇到木马时,也不至于被屠城了。


Tags:

作者:风未起时

文章评论评论内容只代表网友观点,与本站立场无关!

   评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论

精品栏目导航

关于本站 | 网站帮助 | 广告合作 | 下载声明 | 友情连接 | 网站地图
冀ICP备08004437号 | 客服Q:354766721 | 交流群83228313
傲看软件园 - 绿色软件,破解软件下载站! 源码网 源码之家 绿软之家
Copyright © 2003-2010 OkHan.Net. All Rights Reserved .
页面执行时间:2,406.25000 毫秒
Powered by:OkHan CMS Version 4.0.0 SP2