在防火牆上查詢nat轉換結果的命令防火牆技術透析

隨著網路技術的普及，網路攻擊行為出現的越來越頻繁。通過各種攻擊軟體，只要具有一般計算機知識的初學者也能完成對網路的攻擊。各種網路病毒的氾濫，也加劇了網路被攻擊的危險。目前，internet網路上常見的安全威脅分為一下幾類。

1、非法使用：資源被未授權的使用者（也可以稱為非法使用者）或以未授權方式（非法許可權）使用。例如：攻擊者通過猜測帳戶和密碼的組合，從而進入計算機系統以非法使用資源。

2、拒絕服務：伺服器拒絕合法永福正常訪問資訊或資源的請求。例如，攻擊者短時間內使用大量資料報或畸形報文向伺服器發起連線或請求回應，致使伺服器負荷過重而不能處理合法任務

3、資訊盜竊：攻擊者不直接入侵目標系統，而是通過竊聽網路來獲取重要資料或資訊。

4、資料篡改：攻擊者對系統資料或訊息流進行有選擇的修改、刪除、延誤、重排序及插入虛假訊息等操作，而使資料的一致性被破壞。

作為負責網路安全的管理人員主要關注（並不侷限於）以下8個方面：

針對網路存在的各種安全隱患，防火牆必須具有如下安全特性：

1、網路隔離及訪問控制：能夠有效防止對外公開的伺服器被黑客用於控制內網的乙個跳板。

2、攻擊防範：能夠保護網路免受黑客對伺服器、內部網路的攻擊。

4、應用層狀態監測：可以實現單向訪問。

5、身份認證：可以確保資源不會被未授權的使用者（也可以稱為非法使用者）或以授權方式（非法許可權）使用。例如，攻擊者通過猜測帳號和密碼的組合，進入計算機系統非法使用資源的行為。

7、安全管理：主要指日誌審計和防火牆的集中管理。

防火牆的主要作用是實現網路隔離和訪問控制。

防火牆從安全管理的角度出發，一般將裝置本身劃分為不同的安全區域，通過將埠和網路裝置接到不同的區域裡，從而達到網路隔離的目的：

1、不受信區域：一般指的是internet，主要攻擊都來自於這個區域。

2、受信區域：一般指的是內網區域，這個區域是可控的。

3、dmz區域：放置公共伺服器的區域，一般情況下，這個區域接受外部的訪問，但不會主動去訪問外部資源。

防火牆通常使用acl訪問控制列表、aspf應用層狀態檢測包過濾的方法來實現訪問控制的目的。

圖1-1通過乙個實際網路典型案例表示了區域網通過防火牆與網際網路的連線，電子郵件伺服器接在dmz區域接受內外部的訪問。圖中用語言描述了防火牆所實現的網路隔離和訪問控制的功能。

五、攻擊防範

防火牆主要關注邊界安全，因此一般防火牆提供比較豐富的安全攻擊防範的特性：

1、dos拒絕服務攻擊防範功能

包括對諸如icmp flood、udp flood、sys flood、分片攻擊等dos拒絕服務攻擊方式進行檢測，丟棄攻擊報文，保護網路內部的主機不受侵害。

2、防止常見網路層攻擊行為

防火牆一般應該支援對ip位址欺騙、winnuke、land攻擊、tear drop等常見的網路攻擊行為，主動發現丟棄報文。

winnuke也稱為「藍色炸彈」,它是導致你所與之交流使用者的 windows 作業系統突然的崩潰或終止。「藍色炸彈」實際上是乙個帶外傳輸網路資料報,其中包括作業系統無法處理的資訊;這樣便會導致作業系統提前崩潰或終止。

land 攻擊是一種使用相同的源和目的主機和埠傳送資料報到某台機器的攻擊。結果通常使存在漏洞的機器崩潰。

tear drop類的攻擊利用udp包重組時重疊偏移(假設資料報中第二片ip包的偏移量小於第一片結束的位移,而且算上第二片ip包的data,也未超過第一片的尾部,這就是重疊現象。)的漏洞對系統主機發動拒絕服務攻擊,最終導致主機菪掉。

3、針對畸形報文的防範

通過一些畸形報文，如果超大的icmp報文，非法的分片報文，tcp標誌混亂的報文等，可能會造成比較驗證的危害，防火牆應該可以識別出這些報文。

4、針對icmp重定向、不可達等具有安全隱患的報文應該具有過濾、關閉的能力。

1、位址轉換是在ip位址日益短缺的情況下提出的。

2、乙個區域網內部有很多臺主機，可是不能保證每台主機都擁有合法的ip位址，為了到達所有的內部主機都可以連線internet網路的目的，可以使用位址轉換。

3、位址轉換技術可以有效的隱藏內部區域網中的主機，因此同時是一種有效的網路安全保護技術。

4、位址轉換可以按照使用者的需要，在內部區域網內部提供給外部ftp、www、telnet服務。

aspf能夠檢測試圖通過防火牆的應用層協議會話資訊，阻止不符合規則的資料報文穿過。

為保護網路安全，基於acl規則的包過濾可以在網路層和傳輸層檢測資料報，防止非法入侵。aspf能夠檢測應用層協議的資訊，並對應用的流量進行監控。

在防火牆上查詢nat轉換結果的命令 防火牆技術透析