论坛: 菜鸟乐园 标题: 关于防火墙的问题 复制本贴地址    
作者: gy769 [gy769]    论坛用户   登录
  防火墙是一类防范措施。防火墙的功能有:过滤掉不安全服务和非法用户 ,控制对特殊站点的访问,提供监视Internet安全和预警的方便端点。防火墙简单的可以只用路由器实现,复杂的可以用主机甚至一个子网来实现。
  防火墙只是一种整体安全防范政策的一部分。防火墙不能防范不经由防火墙的攻击。防火墙不能防止感染了病毒的软件或文件的传输。防火墙不能防止数据驱动式攻击。
  防火墙能够作到些什么?
  1.包过滤  通过包过滤,防火墙可以实现阻挡攻击,禁止外部/内部访问某些站点,限制每个ip的流量和连接数。
  2.包的透明转发  用户对服务器的访问的请求与服务器反馈给用户的信息,都需要经过防火墙的转发,因此,很多防火墙具备网关的能力。
  3.阻挡外部攻击  如果用户发送的信息是防火墙设置所不允许的,防火墙会立即将其阻断,避免其进入防火墙之后的服务器中。
  4.记录攻击    防火墙是完全可以将攻击行为都记录下来的,但是由于出于效率上的考虑,目前一般记录攻击的事情都交给IDS来完成了

  防火墙有哪些缺点和不足?
  1.防火墙可以阻断攻击,但不能消灭攻击源。
  2.防火墙不能抵抗最新的未设置策略的攻击漏洞
  3.防火墙的并发连接数限制容易导致拥塞或者溢出
  4.防火墙对服务器合法开放的端口的攻击大多无法阻止
  5.防火墙对待内部主动发起连接的攻击一般无法阻止
  6.防火墙本身也会出现问题和受到攻击
  7.防火墙不处理病毒

  防火墙的分类
  第一种:软件防火墙
  软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。
  第二种:硬件防火墙
  由于此类防火墙采用的依然是别人的内核,因此依然会受到os本身的安全性影响。
  第三种:芯片级防火墙
  它们基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。

    对于防火墙除了这些书本知识外,还有那些实践中用到的?






   



地主 发表时间: 04-02-24 20:39

回复: gy769 [gy769]   论坛用户   登录
  防火墙基本原理
    │ │---路由器-----网卡│防火墙│网卡│----------内部网络│ │
    防火墙一般有两个以上的网络卡,一个连到外部(router),另一个是连到内部网络。
    防火墙在网络层(包括以下的炼路层)接受到网络数据包后,accept from+ 源地址,端口 to+ 目的地址,端口+ 采取的动作 

  攻击包过滤防火墙
      它在网络层截获网络数据包,根据防火墙的规则表,来检测攻击行为。他根据数据包的源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口来过滤!!很容易受到如下攻击:
      1 ip 欺骗攻击:这种攻击,主要是修改数据包的源,目的地址和端口,模仿一些合法的数据包来骗过防火墙的检测。
      2 d.o.s拒绝服务攻击  不能跟踪 tcp的状态,很容易受到拒绝服务攻击,一旦防火墙受到d.o.s攻击,他可能会忙于处理,而忘记了他自己的过滤功能
      3 分片攻击  这种攻击的原理是:在IP的分片包中,所有的分片包用一个分片偏移字段标志分片包的顺序,但是,只有第一个分片包含有TCP端口号的信息。当IP分片包通过分组过滤防火墙时,防火墙只根据第一个分片包的Tcp信息判断是否允许通过,而其他后续的分片不作防火墙检测,直接让它们通过。
        4 木马攻击  包过滤防火墙一般只过滤低端口(1-1024),而高端口他不可能过滤的(因为,一些服务要用到高端口,因此防火墙不能关闭高端口的),所以很多的木马都在高端口打开等待,如冰河,subseven等。。。
       
      攻击状态检测的包过滤
          状态检测就是从tcp连接的建立到终止都跟踪检测的技术
          原先的包过滤,是拿一个一个单独的数据包来匹配规则的。可是我们知道,同一个tcp连接,他的数据包是前后关联的,先是syn包,-》数据包=》fin包。数据包的前后序列号是相关的。
          说状态检测必须提到动态规则技术。在状态检测里,采用动态规则技术,原先高端口的问题就可以解决了。实现原理是:平时,防火墙可以过滤内部网络的所有端口(1-65535),外部攻击者难于发现入侵的切入点,可是为了不影响正常的服务,防火墙一但检测到服务必须开放高端口时,如(ftp协议,irc等),防火墙在内存就可以动态地天加一条规则打开相关的高端口。等服务完成后,这条规则就又被防火墙删除。这样,既保障了安全,又不影响正常服务,速度也快。!
         
    就黑客攻击防火墙的过程上看,大概可以分为三类攻击。
    第一类攻击防火墙的方法是探测在目标网络上安装的是何种防火墙系统并且找出此防火墙系
统允许哪些服务。我们叫它为对防火墙的探测攻击。
    第二类攻击防火墙的方法是采取地址欺骗、TCP序号攻击等手法绕过防火墙的认证机制,从而对防火墙和内部网络破坏。
    第三类攻击防火墙的方法是寻找、利用防火墙系统实现和设计上的安全漏洞,从而有针对性地发动攻击。这种攻击难度比较大,可是破坏性很大。


    看了以后还是不明白啊 请高手指点防火墙的一些主要攻击示例。






       

B1层 发表时间: 04-02-24 21:20

论坛: 菜鸟乐园

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号