這個環是比較合適的。 如果用特徵庫對每個包都進行判斷效果不是很好。 而且可以考慮各類人員許可權, 用特徵庫就要寫的很靈活。之前還指望host:欄位幫上忙。 但host欄位名字很多,也是不好過濾。 只能根據網域名稱獲取到對應ip。 如果要這個操作,還不如直接在dns裡邊開個洞。
提倡dns過濾,減少url過濾
1. url過濾的問題
url過濾是現在防火牆的乙個重要的訪問控制方法,同時還衍生出一系列技術,如url重組,和url分類伺服器連動等。固然url控制可以限制到檔案級別的粒度,但在實際應用中進行如此細粒度控制的幾乎沒有,並不限制訪問的目錄名和檔名,基本還是限制在網域名稱級別。這樣帶來的問題就是不用url訪問,而是用ip位址訪問,在訪問前先使用nslookup等工具先解析出ip位址後用ip訪問,這樣url網域名稱過濾就會失效;其二,即使網域名稱限制成立,但等url重組完,再識別,再強行斷開連線,對系統,包括客戶端、伺服器和防火牆的資源都是很大浪費。
url過濾還有乙個比較大的缺陷,在http/1.1中,網域名稱部分是通過http頭的「host: 」欄位來獲取的,其他欄位均不能保證能正確獲取網域名稱,而這個欄位有的伺服器並不檢查,可以隨便填個別的網域名稱,伺服器也可以正確返回;而在http/1.0中,這個字段更加不是必須的,因此根本不能保證獲取正確的網域名稱。
2. dns過濾的優勢
解決方法是dns過濾,即在網域名稱解析時就進行限制,在dns請求包中就把網域名稱提取出來進行判斷。由於dns一般是udp包,乙個包中就包含了所有資訊,不需要重組(對於tcp的dns協議可以關閉,使用udp的已經足夠了);其次,對於udp包,各種資源的消耗都很少,客戶端發udp的資源消耗遠小於tcp,伺服器根本就沒消耗,防火牆跟蹤udp也比跟蹤tcp要簡單得多;再次,限制得可以更加全面,通常url只限制了http,而限制dns則把該網域名稱對應的所有服務都可以限制住;最後,dns限制就沒有ip訪問的漏洞,因為本來就得不到ip。
當然,dns過濾是無法控制到目錄和檔案級別的粒度的,但大部分情況都不需要。所以必要時可以用dns過濾為主,url過濾為輔的方法進行過濾。
3. 結論
使用dns過濾,能更快更有效的限制對網域名稱的訪問,過濾得也更徹底,強於url過濾。
windows安全防禦
從windows xp vista windows 7 windows 8直至現在的windows 10,各個系統的使用感覺是完全不一樣的,要論系統的體驗,沒有哪乙個能比windows xp經典,不過要論系統的安全性,就屬windows xp最差了。儘管人們對微軟安全認知一直被掩蓋在其產品功能的光環...
web安全學習 web安全防禦
影響web安全的主要因素就是使用者輸入的不可控,這篇文章就從乙個巨集觀的角度來分析一下如何去保證乙個應用程式的安全。為了保證web安全,首先就是要分析應用程式中那些方面容易遭受到攻擊,然後根據分析結果在制定具體的安全方案。web應用程式的基本安全問題 所有使用者的輸入都是不可信的 致使應用程式實施大...
iOS常用安全防禦手段
ios常用安全防禦手段 加密密碼長度 密碼隨機生成器 common crypto library pbkdf2 geo encryption 伺服器端的一半key 記憶體安全 ssl 公鑰加密 反取證 反揭秘 安全地刪除檔案 dod 5220.22 m標準刪除 清除sqlite記錄 清除鍵盤cach...