1、网络攻击与防御网络攻击与防范措施随着互联网的发展,在计算机网络安全领域里,存在一些非法用户利用各种手段和系统的漏洞攻击计算机网络.网络安全已经成为人们日益关注的焦点问题网络中的安全漏洞无处不在,即便旧的安全漏洞补上了补丁,新的安全漏洞又将不断涌现.网络攻击是造成网络不安全的主要原因.单纯掌握攻击技术或者单纯掌握防御技术都不能适应网络安全技术的发展为了提高计算机网络的安全性,必须了解计算机网络的不安全因素和网络攻击的方法同时采取相应的防御措施。 关键字:特洛伊木马网络监听缓冲区溢出攻击 特洛伊木马是一种恶意程序,它们悄悄地在宿主机器上运行,就在用户毫无察觉的情况下,让攻击者获得了远程访问和控制系
2、统的权限.黑客的特洛伊木马程序事先已经以某种方式潜入你的机器,并在适当的时候激活,潜伏在后台监视系统的运行,它同一般程序一样,能实现任何软件的任何功能.例如拷贝、删除文件、格式化硬盘、甚至发电子邮件,典型的特洛伊木马是窃取别人在网络上的账号和口令,它有时在用户合法的登录前伪造一登录现场,提示用户输入账号和口令,然后将1账号和口令保存至一个文件中,显示登录错误,退出特洛伊木马程序。完整的木马程序一般由两个部份组成:一个是服务器程序,一个是控制器程序.“中了木马”就是指安装了木马的服务器程序,若你的电脑被安装了服务器程序,则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为。 1.1 特洛伊木
3、马程序的检测 (1)通过网络连接检测:扫描端口是检测木马的常用方法.在不打开任何网络软件的前提下,接入互联网的计算机打开的只有 139 端口.因此可以关闭所有的网络软件。进行 139 端口的扫描。 (2)通过进程检测:Win/XP 中按下“CTL+ALT+DEL”进入任务管理器,就可以看到系统正在运行的全部进程,清查可能发现的木马程序。 (3)通过软件检测:用户运行杀毒、防火墙软件和专用木马查杀软件等都可以检测系统中是否存在已知的木马程序。 1.2 特洛伊木马程序的预防 (1)不执行任何来历不明的软件 (2)不随意打开邮件附件 (3)将资源管理器配置成始终显示扩展名 (4)尽量少用共享文件夹
4、(5)运行反木马实时监控程序 (6)经常升级系统 22 网络监听 网络监听技术本来是提供给网络安全管理人员进行管理的工具,可以用来监视网络的状态、数据流动情况以及网络上传输的信息等.当信息以明文的形式在网络上传输时,使用监听技术进行攻击并不是一件难事,只要将网络接口设置成监听模式,便可以源源不断地将网上传输的信息截获。 在因特网上有很多使用以太网协议的局域网,许多主机通过电缆、集线器连在一起。当同一网络中的两台主机通信的时候,源主机将写有目的的主机地址的数据包直接发向目的主机。但这种数据包不能在 IP 层直接发送,必须从 TCP/IP 协议的 IP 层交给网络接口,也就是数据链路层,而网络接口
5、是不会识别 IP 地址的,因此在网络接口数据包又增加了一部分以太帧头的信息。在帧头中有两个域,分别为只有网络接口才能识别的源主机和目的主机的物理地址,这是一个与 IP 地址相对应的 48 位的地址。 当主机工作在监听模式下,所有的数据帧都将被交给上层协议软件处理。而且,当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网时,如果一台主机处于监听模式下,它还能接收到发向与自己不在同一子网(使用了不同的掩码、IP 地址和网关) 的主机的数据包。即在同一条物理信道上传输的所有信息都可以被接收到。正确的使用网络监听技术也可以发现入侵并对入侵者进行追踪定位,在对网络3犯罪进行侦查取证时获取有关犯罪行为
6、的重要信息,成为打击网络犯罪的有力手段。 2.1 如何检测并防范网络监听 (1)对于怀疑运行监听程序的机器,用正确的 IP 地址和错误的物理地址 ping,运行监听程序的机器会有响应。这是因为正常的机器不接收错误的物理地址,处理监听状态的机器能接收,但如果他的IPstack 不再次反向检查的话,就会响应。 (2)观测 DNS 许多的网络监听都会进行址反向解析,在怀疑有网络监听发生时可以在 DNS 系统上观测有没有明显增多的解析请求。 (3)向网上发大量不存在的物理地址的包,由于监听程序要分析和处理大量的数据包会占用很多的 CPU 资源,这将导致性能下降。通过比较前后该机器性能加以判断。这种方法
7、难度比较大。 (4)反应时间 向怀疑有网络监听行为的网络发出大量垃圾数据包,根据各个主机回应的情况进行判断,正常的系统回应的时间应该没有太明显的变化,而处于混杂模式的系统由于对大量的垃圾信息照单全收,所以很有可能回应时间会发生较大的变化。 (5)利用 arp 数据包进行监测 这种方法是 ping 方式的一种变体,使用 arp 数据包替代了 ICMP数据包,向主机发送非广播式的 arp 包,如果主机响应了这个 arp 请求,就可以判断它很可能就处于网络监听模式了,这是目前相对比较好的4监测模式。3 缓冲区溢出攻击 缓冲区溢出是指当一个超长的数据进入到缓冲进入到缓冲区时,超出部分就会被写入其他缓冲
8、区,其他缓冲区存放的可能是数据、下一条指令的指针或者是其他程序的输出内容,这些内容都被覆盖或被破坏掉。 缓冲区溢出有时又称为堆栈溢出攻击,是过去的十多年里,网络安全漏洞常用的一种形式并且易于扩充。相比于其他因素,缓冲区溢出是网络受到攻击的主要原因。 (1)编写正确的代码 由于缓冲区溢出是一个编程问题,所以只能通过修复被破坏的程序的代码而解决问题。开放程序时仔细检查溢出情况,不允许数据溢出缓冲区。 (2)非执行的缓冲区 使被攻击程序的数据段址空间不可执行,从而使得攻击都不可能执行被植入的攻击程序输入缓冲共代码。 (3)数组边界检查 数组边界检查完且没有缓冲共溢出的产生和攻击。这样,只要数组不能被
9、溢出,溢出攻击也就无从谈起。为了实现数组边界检查,则所有的对数组的读写操作都应当被检查以确保对数组的操作在正确的范围内。 5(4)堆栈溢出检查 使用检查堆栈溢出的编译器或者在程序中加入某些记号,以便程序运行时确认禁止黑客有意造成的溢出。问题是无法针对已有程序,对新程序来讲,需要修改编译器。 (5)操作系统和应用程序检查 经常检查你的操作系统和应用程序提供商的站点,一旦发现他们提供的补丁程序,就马上下载并且应用在系统上,这是最好的方法。 二、加密技术加密技术:即是对信息进行编码和解码的技术,编码是把原来可读信息(又称明文)译成代码形式(又称密文),其逆过程就是解码(解码)。加密技术的要点是加密算
10、法,加密算法可以分为对称加密、非对称加密和不可逆加密三类算法。2.1 对称加密算法在对称加密算法中,数据发信方将明文(原始数据)和加密密钥一起经过特殊加密算法处理后,使其变成复杂的加密密文发送出去。收信方收到密文后,若想解读原文,则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密,才能使其恢复成可读明文。如图所示:在对称加密算法中,使用的密钥只有一个,发收信双方都使用这个密钥对数据进行加密和解密,这就要求解密方事先必须知道加密密钥。加密明文 密钥 密文解密密文 密钥 明文加密者解密者6对称加密算法的特点是:算法公开;计算量小;加密速度快;加密效率高。不足之处是:交易双方都使用同样的密钥,
11、安全性得不到保证;每对用户每次使用对称加密算法时,都需要使用其他人不知道的惟一密钥,这会使得发收信双方所拥有的密钥数量成几何级数增长,密钥管理成为用户的负担。对称算法的加密和解密表示为:EK (M) =CDK(C) =M2.2 非对称加密算法(公开密钥算法)非对称加密算法使用两把完全不同但又是完全匹配的一对钥匙公钥和私钥。在使用非对称加密算法加密文件时,只有使用匹配的一对公钥和私钥,才能完成对明文的加密和解密过程。公钥和私钥:公钥就是公布出来,所有人都知道的密钥,它的作用是供公众使用。私钥则是只有拥有者才知道的密钥。加密明文时采用公钥加密,解密密文时使用私钥才能完成,而且发信方(加密者)知道收
12、信方的公钥,只有收信方(解密者)才是惟一知道自己私钥的人。如下图:非对称加密算法的基本原理是:(1)如果发信方想发送只有收信方才能解读的加密信息,发信方必须首先知道收信方的公钥,然后利用收信方的公钥来加密原文。(2)收信方收到加密密文后,使用自己的私钥才能解密密文。显然,采用非对称加密算法,收发信双方在通信之前,收信方必须将自己早已随机生成的公钥送给发信方,而自己保留私钥。非对称算法的公开密钥 K1 加密表示为:EK1(M)=C。公开密钥和私人密钥是不加密明文 加密(公钥 Kpublic) 密文解密密文 解密(私钥Kprivate)明文加密者解密者7同的,用相应的私人密钥 K2 解密可表示为:
13、DK2(C)=M。广泛应用的非对称加密算法有 RSA 算法和美国国家标准局提出的数字签名算法 DSA。由于非对称算法拥有两个密钥,因而特别适用于分布式系统中的数据加密。DES(Data Encryption Standard)算法,是一种用 56 位密钥来加密 64 位数据的方法。RSA 算法是第一个能同时用于加密和数字签名的算法。根据 RSA 算法的原理,可以利用 C 语言实现其加密和解密算法。RSA 算法比 DES 算法复杂,加解密的所需要的时间也比较长。2.3 不可逆加密算法不可逆加密算法的特征是:加密过程中不需要使用密钥,输入明文后,由系统直接经过加密算法处理成密文,这种加密后的数据是
14、无法被解密的,只有重新输入明文,并再次经过同样不可逆的加密算法处理,得到相同的加密密文并被系统重新识别后,才能真正解密。显然,在这类加密过程中,加密是自己,解密还得是自己,而所谓解密,实际上就是重新加一次密,所应用的“密码”也就是输入的明文。不可逆加密算法不存在密钥保管和分发问题,非常适合在分布式网络系统上使用,但因加密计算复杂,工作量相当繁重,通常只在数据量有限的情形下使用,如广泛应用在计算机系统中的口令加密,利用的就是不可逆加密算法。2.4 PGP 加密技术本例介绍目前常用的加密工具 PGP,使用 PGP 产生密钥,加密文件和邮件。PGP 加密技术是一个基于 RSA 公钥加密体系的邮件加密
15、软件,提出了公共钥匙或不对称文件的加密技术。由于 RSA 算法计算量极大,在速度上不适合加密大量数据,所以 PGP 实际上用来加密的不是 RSA 本身,而是采用传统加密算法IDEA,IDEA 加解密的速度比 RSA 快得多。PGP 随机生成一个密钥,用 IDEA 算法对明文加密,然后用 RSA 算法对密钥加密。收件人同样是用 RSA 解出随机密钥,再用 IEDA 解出原文。2.4.1.使用 PGP 加密文件使用 PGP 可以加密本地文件,右击要加密的文件,选择 PGP 菜单项的菜单“Encrypt”,如下图所示:8系统自动出现对话框,让用户选择要使用的加密密钥,选中一个密钥,点击按钮“OK”
16、,如下图所示:目标文件被加密了,在当前目录下自动产生一个新的文件,如图所示:打开加密后的文件时,程序自动要求输入密码,输入建立该密钥时的密码。如图:92.4.2 使用 PGP 加密邮件PGP 的主要功能是加密邮件,安装完毕后,PGP 自动和 Outlook 或者 Outlook Express 关联。和 Outlook Express 关联如图所示:利用 Outlook 建立邮件,可以选择利用 PGP 进行加密和签名,如图所示:10三、网络防御在当今网络系统开发中,不注意网络防范问题,就会遭到黑客的攻击,甚至会使整个系统崩溃。因此,在开发中我们注意网络攻击问题,以免让黑客有机可趁。虽然黑客攻击
17、的手段防不胜防,但我们应该把所知道的防范措施做好,例如:防范 SQL 注入式攻击,验证码技术等。3.1 防范 SQL 注入攻击Sql 注入式攻击是指利用设计上的漏洞,在目标服务器上运行 Sql 命令以及进行其他方式的攻击动态生成 Sql 命令时没有对用户输入的数据进行验证是 Sql注入攻击得逞的主要原因。3.1.1 SQL 的注入式攻击比如以在线书店为例,用户只有登陆后才能察看自己的帐户信息,这样做是无可置疑的,然而用户验证的代码如下/id 和 password 直接来自用户的输入。未做处理string id = GetUserInput(“UserID“);string password =
18、 GetUserInput(“UserPassword“);tring script = “select * from table_user where User_ID = “ + id? + “ and User_Password? = “ + password? + “ “;RunSql(script);11如果用户输入的 password 为“ or = ” ,那么生成的 script 就为select * from table_user where User_ID = UserID and User_Password? = or = 这样一来,即使不知道用户的密码也可以察看该用户的帐户
19、信息了从上面的这些例子可以看出,使用 SQL 注入式攻击可以得到用户的账户信息,不过 SQL 注入式攻击不只是那么简单,黑客还可能利用其它系统设计漏洞。比如黑客设计一些 SQL 语句诱导系统程序把数据库返回的错误信息显示出来。还有对数据库访问权限的设计不当,给与每一个数据库连接太多的权限,甚至dbo 或 sa 的权限,也是 sql 注入式攻击利用的主要漏洞之一。3.1.2 防范 sql 注入式攻击第一点 最小权限原则特别是不要用 dbo 或者 sa 账户,为不同的类型的动作或者组建使用不同的账户,最小权限原则适用于所有与安全有关的场合。第二点 对用户输入进行检查对一些特殊字符,比如单引号,双引
20、号,分号,逗号,冒号,连接号等进行转换或者过滤;使用强数据类型,比如你需要用户输入一个整数,就要把用户输入的数据转换成整数形式;限制用户输入的长度等等。这些检查要放在server 运行, client 提交的任何东西都是不可信的。第三点 使用存储过程如果一定要使用 sq 语句,那么用标准的方式组建 sql 语句,比如可以利用parameters 对象,避免用字符串直接拼 sq 命令。当 sql 运行出错时,不要把数据库返回的错误信息全部显示给用户,错误信息经常会透露一些数据库设计的细节针对常用的 sql 注入式攻击方式对症下药3.2 验证码技术所谓验证码,就是将一串随机产生的数字或符号,生成一
21、幅图片,图片里加上一些干扰象素,由用户肉眼识别其中的验证码信息,输入表单提交网站验证,验证成功后才能使用某项功能。3.2.1 为什么使用验证码技术防止不法用户用软件频繁注册,频繁发送不良信息。例如:普遍的客户端交12互如留言本、会员注册等仅是按照要求输入内容,但网上有很多攻击软件,如注册机,可以通过浏览 WEB,扫描表单,然后在系统上频繁注册,频繁发送不良信息,造成不良的影响,或者通过软件不断的尝试,盗取你的密码。而我们使用通过使用验证码技术,使客户端输入的信息都必须经过验证。3.2.2 测试验证码是否完善必须保证所有客户端交互部分都输入验证码,测试提交信息时不输入验证码,或者故意输入错误的验
22、证码,如果信息都不能交,说明验证码有效,同时在验证码输入正确下提交信息,如果能提交,说明验证码功能已完善。上面仅介绍了两种必须注意的安全问题,在开发系统中无论你使用 ASP、JSP或者其它技术,都要注意网络攻击问题,然后进行防御。四、网络攻击对网络信息系统的攻击来自很多方面,这些攻击可以宏观地为人为攻击和自然灾害攻击。他们都会对通信安全构成威胁,但是精心设计的人为攻击威胁最大,也最难防备。4.1 社会工程学攻击社交工程是使用计谋和假情报去获得密码和其他敏感信息的科学,研究一个站点的策略其中之一就是尽可能多的了解这个组织的个体,因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。
23、举个例子:一组高中学生曾经想要进入一个当地的公司的计算机网络,他们拟定了一个表格,调查看上去显得是无害的个人信息,例如所有秘书和行政人员和他们的配偶、孩子的名字,这些从学生转变成的黑客说这种简单的调查是他们社会研究工作的一部分。利用这份表格这些学生能够快速的进入系统,因为网络上的大多数人是使用宠物和他们配偶名字作为密码。4.1.2 攻击方式(1)打电话请求密码。尽管这个方式很普通,但打电话询问密码也经常奏效。在社会工程中那些黑客冒充失去密码的合法雇员,经常通过这种简单的方法重新获得密码。(2)伪造 Email使用 telnet,一个黑客可以截取任何一个身份证发送 Email 的全部信息,这样1
24、3的 Email 消息是真,因为它发自于一个合法的用户。在这种情形下这些信息显得是绝对的真实。黑客可以伪造这些。一个冒充系统管理员或经理的黑客就能较为轻松的获得大量的信息,黑客就能实施他们的恶意阴谋。4.2. Ping of death 攻击Ping 是潜水艇人员的专用术语,表示回应的声纳脉冲,在网络中 ping 是一个十分好用的 TCP/IP 工具。它主要的功能是用来检测网络的连通情况和分析网路速度。Ping 有善的一面也有恶的一面。4.2.1 攻击方式对 目 标 IP 不 停 地 Ping 探 测 从 而 致 使 目 标 主 机 TCP/IP 堆 栈 崩 溃 导 致网 络 瘫 痪 。Pin
25、g t l 655504.3 Unicode 漏 洞 攻 击4.3.1 Unicode 漏 洞 描 述攻 击 者 可 通 过 IE 浏 览 器 远 程 运 行 被 攻 击 计 算 机 的 cmd.exe 文 件 , 从 而使 该 计 算 机 的 文 件 暴 露 , 且 可 随 意 执 行 和 更 改 文 件 。Unicode 标 准 被 很 多 软 件 开 发 者 所 采 用 , 无 论 何 种 平 台 、 程 序 或 开 发 语言 , Unicode 均 为 每 个 字 符 提 供 独 一 无 二 的 序 号 , 如 向 IIS 服 务 器 发 出 包括 非 法 Unicode UTF-8
26、序 列 的 URL, 攻 击 者 可 使 服 务 器 逐 字 “进 入 或 退 出 ”目 录 并 执 行任 意 程 序 , 该 攻 击 即 称 为 目 录 转 换 攻 击 。Unicode 用 “%2f”和 “%5c”分 别 代 表 “/”和 “”字 符 , 但 也 可 用“超 长 ”序 列 来 代 替 这 些 字 符 。 “超 长 ”序 列 是 非 法 的 Unicode 表 示 符 ,如 用 “%c0%af”代 表 “/”字 符 。 由 于 IIS 不 对 超 长 序 列 进 行 检 查 , 因 此 在URL 中 添 加 超 长 的 Unicode 序 列 后 , 可 绕 过 微 软 的
27、安 全 检 查 , 如 在 一 个 标 记为 可 执 行 的 文 件 夹 发 出 该 请 求 , 攻 击 者 即 可 在 服 务 器 上 运 行 可 执 行 文 件 。4.3.2 利 用 Unicode 漏 洞 进 行 攻 击此 漏 洞 从 中 文 IIS4.0+SP6 开 始 , 还 影 响 中 文 WIN2000+IIS5.0、 中 文WIN2000+IIS5.0+SP1, 台 湾 繁 体 中 文 也 同 样 存 在 这 样 的 漏 洞 。 在 NT4 中 /编 码 为 “%c1%9c”或 者 “%c1%9c”, WIN2000 英 文 版 是 “%c0%af”。14但 从 国 外 某 些
28、 站 点 得 来 的 资 料 显 示 , 还 有 以 下 的 编 码 可 以 实 现 对 该 漏 洞 的检 测 , 该 编 码 存 在 于 日 文 版 、 韩 文 版 等 操 作 系 统 。 %c1%pc %c0%9v %c0%qf %c1%8s %e0%80%af4.3.3 利 用 Unicode 漏 洞 读 取 系 统 盘 目 录利 用 该 漏 洞 读 取 出 计 算 机 上 目 录 列 表 , 比 如 读 取 C 盘 的 目 录 , 只 要 在 浏览 器 中 输 入 “http:/172.18.25.109/scripts/%c0%2f/winnt/system32/cmd.exe?/c
29、+dir+c:”4.3.4 利 用 Unicode 漏 洞 读 取 系 统 文 件利 用 语 句 得 到 对 方 计 算 机 上 装 了 几 个 操 作 系 统 以 及 操 作 系 统 的 类 型 , 只 要读 取 C 盘 下 的 boot.ini 文 件 就 可 以 了 。 使 用 的 语 句 是 :http:/172.18.25.109/scripts/%c0%2f/winnt/system32/cmd.exe?/c+type+c:boot.ini15执 行 的 结 果 如 图 所 示 :4.3.5 利 用 Unicode 漏 洞 拷 贝 文 件为 了 是 使 用 方 便 , 利 用 语
30、句 将 cmd.exe 文 件 拷 贝 到 scripts 目 录 , 并改 名 为 c.exe, 使 用 的 语 句 是 :http:/172.18.25.109/scripts/%c0%2f/winnt/system32/cmd.exe?/c+copy+C:winntsystem32cmd.exe+c.exe执 行 结 果 如 图 所 示 :五、防火墙技术5.1 防火墙的定义16在互联网上,防火墙是一种非常有效的网络安全系统,通过它可以隔离风险区域(Internet 或有一定风险的网络)与安全区域(局域网)的连接,同时不会妨碍安全区域对风险区域的访问,网络防火墙结构如图所示。5.2 防火墙
31、的功能根据不同的需要,防火墙的功能有比较大差异,但是一般都包含以下三种基本功能。(1)可以限制未授权的用户进入内部网络,过滤掉不安全的服务和非法用户(2)防止入侵者接近网络防御设施(3)限制内部用户访问特殊站点由于防火墙假设了网络边界和服务,因此适合于相对独立的网络,例如Intranet 等种类相对集中的网络。Internet 上的 Web 网站中,超过三分之一的站点都是有某种防火墙保护的,任何关键性的服务器,都应该放在防火墙之后。5.3 防火墙的必要性随着世界各国信息基础设施的逐渐形成,国与国之间变得“近在咫尺” 。Internet 已经成为信息化社会发展的重要保证。已深入到国家的政治、军事
32、、经济、文教等诸多领域。许多重要的政府宏观调控决策、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要信息都通过网络存贮、传输和处理。因此,难免会遭遇各种主动或被动的攻击。例如信息泄漏、信息窃取、数据篡改、数据删除和计算机病毒等。因此,网络安全已经成为迫在眉防 火 墙服 务 器 工 作 站 台 式 PC打 印 机服 务 器 安 全 区 域 服 务 器 工 作 站 台 式 PC打 印 机服 务 器安 全 区 域Inter网 络17睫的重要问题,没有网络安全就没有社会信息化.5.4 防火墙的分类常见的放火墙有三种类型:1、分组过滤防火墙;2、应用代理防火墙;3、状态检测防火墙。分组
33、过滤(Packet Filtering):作用在协议组的网络层和传输层,根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过,只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端,其余的数据包则从数据流中丢弃。应用代理(Application Proxy):也叫应用网关(Application Gateway) ,它作用在应用层,其特点是完全“阻隔”网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。状态检测(Status Detection):直接对分组里的数据进行处理,并且结合前后分组的数据进行综
34、合判断,然后决定是否允许该数据包通过。应用代理防火墙应用代理(Application Proxy)是运行在防火墙上的一种服务器程序,防火墙主机可以是一个具有两个网络接口的双重宿主主机,也可以是一个堡垒主机。代理服务器被放置在内部服务器和外部服务器之间,用于转接内外主机之间的通信,它可以根据安全策略来决定是否为用户进行代理服务。代理服务器运行在应用层,因此又被称为“应用网关” 。防 火 墙服 务 器 工 作 站 台 式 PC打 印 机服 务 器 数 据 包安 全 区 域 数 据 包 服 务 器控 制 策 略查 找 对 应 的 策 略 数 据IP报 头 TCP报 头分 组 过 滤 判 断 拆 开
35、数 据 包应 用 代 理 分 析 数 据185.4 防火墙的优缺点防火墙的优点:(1) 防火墙能强化安全策略 因为因特网上每天都有上百万人在那里收集信息。交换信息,不可避免的会发生个别品的不良的人,或违反规则的人,防火墙就是为了防止不良现象发生的“交通警察”,他执行站点的安全策略,仅仅容许“认可”和符合规则的请求通过。(2) 防火墙能有效的记录因特网上的活动 因为所有进出信息都必须通过防火墙,所以防火墙非常适用于收集关于系统和网络使用和误用的信息。作为唯一的访问点,防火墙能在被保护的网络和外部网络之间进行记录。(3) 防火墙限制暴露用户点防火墙能够用来隔开网络中一个网段。这样,能够防止影响一个
36、网段问题通过整个网络转播。(4) 防火墙是一个安全策略的检查站 所有进出的信息必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝与门外。防火墙的缺点: (1) 不能防范恶意的知情者 防火墙可以禁止系统用户经过网络连接发送专有的信息,但用户可以将数据复制到磁盘,放在公文包中带出去。如果入侵者已经在防火墙内部,防火墙就变得无能为力。内部用户可以偷窃数据。破坏硬件和软件,并且巧妙的修改程序而不接近防火墙。(2) 不能防范不通过它的连接 防火墙能够有效的防止通过它进行传输的信息的功绩,然而不能防止不通过它而传输的信息的功绩。(3) 不能防备全部的威胁 防火墙被用来防备已知的威胁,如果是一个很好的防火墙涉及方案,可以防备新的威胁,但没有一个防火墙能自动防御所有的威胁。(4) 防火墙不能防范病毒 防火墙不能消除网络上的 pc 机的病毒。
