許多網管員在考慮網路安全問題時,首先會想到通過路由器和防火牆實現安全性。那麼,這些技術各有哪些優缺點?通過什麼手段可彌補缺陷?
路由器技術
路由器是一種多埠裝置,它按照協議和網路資訊負責資料幀的**。路由器位於乙個或多個網段的交界處,一般工作在網路層和傳輸層。在網路層,當路由器遇到乙個ip包時,它便檢查ip包中的目的ip位址,並與路由選擇表中的專案進行比較。如果匹配,路由器則依照表中的指示**ip包,如果不匹配,並且沒有預設的路由選擇,ip包便被濾掉。在傳輸層,路由器利用tcp報頭中的源埠號、目的埠號和tcp標誌(如syn和ack標誌)進行包過濾。路由器可以阻塞廣播資訊和不知名位址的傳輸,達到保護內部安全的目的。
路由器使用的包過濾技術的優點是不要求客戶機和主機應用程式做出修改,因為它們只在ip和tcp層工作,與應用層無關。
但是,在安全性方面它的缺陷很明顯,它只是將ip層和tcp層的位址、埠號和tcp標誌等資訊作為判定過濾與否的惟一依據,並沒有對其他安全需求做出說明,因此路由器不能對通過高層協議進行的攻擊實現有效的檢測。另外,對一些協議,如udp(沒有tcp標誌位ack)和遠端程式呼叫(rpc)很難進行過濾。路由器防範入侵的主要措施是根據系統要求確定路由規則,設計包過濾訪問列表(acl)。能否達到安全性取決於網管員對通訊協議和行為的高水平理解。
此外,在許多包過濾器的實現中,過濾規則的數量受到一定限制,隨著規則數目的提高,需用額外的方法對附加規則進行處理,因此相應的成本會提高。路由器的另乙個缺點是在許多包過濾實施中缺乏審計和報警裝置。
總之,多數路由器採用靜態分組過濾來控制網路資訊傳輸,它適用於對安全要求不高的場合。實際應用中,與防火牆結合可達到更安全的效果。
防火牆技術
目前,保護網路安全主要的手段之一是構築防火牆,它一般位於開放的、不安全的公共網與內部區域網之間,用於實現兩個網路之間的訪問控制和安全策略。
防火牆技術一般分為包過濾、應用閘道器、**伺服器、電路層閘道器和自適應**等幾類。
應用閘道器是在應用層上實現資料過濾和**,針對網路應用協議制定資料過濾邏輯。它的優點是具有高層應用資料或協議的理解能力,但過濾不當仍可能使黑客通過外部網路入侵內部網路。
**伺服器只**可信賴的服務並只允許這些服務穿過防火牆,其他服務都將被徹底封鎖,因此安全性較高。它的缺點是不能完全透明地支援各種服務和應用,必須為每種應用編寫不同的**程式,另外該防火牆cpu資源耗費也較大。
電路層閘道器是在兩個主機首次建立tcp連線時建立起的一道屏障,該閘道器在ip層**各種會話,是包過濾和應用閘道器的折衷方案。
自適應**技術是根據使用者定義的安全策略,動態地適應傳送中的分組流量。如果安全性要求較高,則最初的安全檢查在應用層完成,一旦明確了會話細節,則轉移到速度較快的網路層。該技術基本反映了防火牆技術的最新發展狀況。
防火牆技術的缺陷主要體現在以下幾個方面。
(1)防火牆一般部署在閘道器處,把外部網路當成不可信網路,而把內部網當成可信任的,主要預防來自外部網路的攻擊。然而,事實證明,大部分黑客入侵都來自內部網路,但是防火牆對此卻無能為力。為此可以把內部網分成多個子網,用內部路由器安裝防火牆的方法保護一些內部關鍵區域。採用這種方法,維護成本和裝置成本都會很高,同時也容易產生一些安全盲點。
(2)基於web的**會議系統和電子商務系統都增加一些傳統防火牆所沒有的訪問規則,從而有可能削弱傳統防火牆的功能,增加了黑客入侵的機會。
(3)防火牆只允許來自外部網路的符合規則的服務通過,這樣反而會抑制一些正常的資訊通訊,從某種意義上說大大削弱了internet的開放性。
(4)公司銷售人員因出差等原因想檢視一下公司內部網路中的重要資料,或公司領導想從外部對內部人員發出指令,也常常被防火牆堵截到門外,這樣容易導致政令不通; 而一旦給公司的這些人員賦予訪問許可權,他們的計算機將成為安全盲區,反而易成為黑客攻擊的重點。公司ceo等要員的移動電腦內常常帶有內部重要資料,一旦被入侵,將給公司造成巨大損失。另外 一些公司領導的家庭計算機內也常有重要資料,入侵者完全可以安裝乙個遠端控制的特洛伊木馬程式傳送到他們的機
器上,從而可以獲得穿過公司內防火牆和虛擬專用網的許可權。
(5)現在跨地區的大公司常利用公用的internet網建立本公司的虛擬專用網(vpn),雖然大部分防火牆整合了對vpn的支援,但vpn只是在介於公司兩個區域網路的閘道器間的公共網路上建立起乙個加密通道,一旦通訊越過目標站點閘道器,它將被解密並暴露在內部網路上,使內部網上出現安全隱患。
其他彌補措施
(1)自主產權的網路作業系統。現在國內90%以上的web站點用的都是windows nt作業系統,而客戶機大部分用的是windows 95/98作業系統。但是,它們都有「後門」:通過pentium 處理器的序列號,在上網時將使用者的資訊與截獲的資訊一一對應起來,就能破獲使用者的隱私和密碼;windows 98的使用者在撥號上網時,系統能自動蒐集使用者電腦內的資料和身份認證資料。建立在他人作業系統之上的網路安全系統,安全性非常令人懷疑,對於軍隊等特殊領域,使用自己的網路作業系統就顯得更加重要。當然,建立乙個安全可靠的作業系統並非易事,但linux 等開放源**系統做了大量的前期工作,建立在該**之上的開發或許對我們會有所幫助。
(2)高強度的保密演算法。網路安全從本質上說與資料加密息息相關。現在網路上採用的加密演算法分對稱金鑰演算法和公開金鑰演算法兩種。對稱金鑰演算法金鑰管理難度較大且安全性不高,公開金鑰演算法使用公鑰和私鑰,公共金鑰可從認證機構ca中得到,私有金鑰由個人儲存,從根本上解決了對稱金鑰演算法管理上的困難。
(3)新一代防火牆和入侵測試系統。可裝在每台機器上進行實時監測,不但能監測來自外部的入侵,也能監測來自內部的入侵,並能進行報警,彌補了現有防火牆的許多缺陷。
(4)新一代網路防病毒軟體。除了對現有的防毒軟體不斷公升級外,採用針對網路的防毒軟體刻不容緩。
使用網路安全措施是為了保護資訊交換,而不是限制資訊交換或使其複雜化。除此之外,在開發安全系統時還應該高度重視系統管理,包括網路配置、金鑰分配、裝置檢查、資料庫維護和審計報告的生成等。應保證資料的安全儲存,確保資料的機密性,即使攻擊者得到資料也無法使用。總之,要綜合考慮各種因素,使構築的網路既好用又安全
Jboss安全措施
在使用jboss的 上線前,一定要禁掉一些預設功能,以免受攻擊。1 禁止瀏覽目錄 在 server default deploy jbossweb tomcat55.sar conf的web.xml中找到listings,改為false。default org.apache.catalina.ser...
Linux基本安全措施
系統賬號清理 linux系統中隨系統或應用程式安裝過程中生成的大量賬號一般用來維護系統執行 啟動或保持服務程序,一般不允許登入,故也稱為非登入使用者。root localhost cat etc passwd grep nologin 非登入使用者的shell為 sbin nologin bin x...
5個PHP安全措施
多年來,php一直是乙個穩定的 廉價的執行基於web應用程式的平台。像大多數基於web的平台一樣,php也是容易受到外部攻擊的。開發人員 資料庫架構師和系統管理員在部署php應用程式到伺服器之前都應該採取預防措施。大部分預防措施可以通過幾行 或者把應用程式設定稍作調整即可完成。1 管理安裝指令碼 如...