防火墙的局限性
来源:尚品中国|
类型:网站百科
|时间:2014-06-17
大多数防火摘都侧重于对外部数据包进行防范,而忽略了来自内部的一钱安全隐患。例如.我们讨论过包括碑防火崎常使用一条过滚策略是允许从外部进人的响应数据包,而拒绝自外而来的连接请求或服务请求。如果一个内部主机首先向一个外部攻击者发送一个请求包.而引人一个其有某种攻击行为的响应敬据包,便会使这个攻击包顺利地通过防火墙。实施时某个服务器或网络建设设备的攻击行为.同时由内部向外部发出的数据包有时也会倪带一4相关的内部敏s信息,因防火墉对于发出的教据包通常不作过多的限制.因此这共信息很容易被外部获取.并成为对内部网络发起攻击的关键信息。
防火堵本身是篆于TCP/IP协议基础而实现.因此也就很难完全消除因这残协议翻润所造成安全成胁。例如一种利用TCP的协议瀚洞向服务器发起的SYN攻击.最终将导致被攻击的服务器停止《拒绝)接受所有的胀务漪求.也称为拒绝服务攻击DoS( Denial-o(-Service) ,实现非常简单。攻击者向服务器提供某种服务的端u不停地发送大最的TCP连接请求SYN报文.在发送了SY、连接请求之后.并不再继续与服务器完成接下来的握手信号交换,使得股务器陷入等待墉求者发送第三次握手信号的状态。处于这个等待周期的连接状态也称为服务器的半连接状态。服务器会保待为该连接所分配的所有资碑,直到定时移超时。如果服务器开启大段的处于半连接状态的TCP连接.最终会导致服务器的资源被耗尽而不能够再接受新的TCP连接清求.即便是一个正常的请求.SYN攻击通常针对内网中向外提供公共股务的服务器发起.单从攻击者发送的一个单独的TCP请求连接的SYN数据包,防火墉无法分麟它是出自于一个正常的连接请求。还是一个SYN攻击。一些具有状态检侧功能的防火J. .通过跟踪输人愉出数据包的连接状态变化等信息.检侧数据包的首部状态信息(如TCP的SYN位和ACK位等)的变化是否符合相应的协议规则。形成的过此规则不仅越于数据包的首部字段.祠时还今考数据包的状态变化等参数,以提离对内部网络系统的安全防御能力。但这种具有状态检洲功能的防火墉面临的问题是,首先针对所有效据流徽的状态检侧对防火姗的处理和计算能力都有较高的要求.并且状态枪侧会直接影响防火摘对每个数据包的处理速度;其次.对于上述SYN攻击包来说.即便是具有状态枪测功能的防火墉也很难准确地判断出一个S丫N是否是攻击包.特别是某些进行S丫N攻击的攻击村会采用地址哄毅.使甸次发送的SYN包用不间的派地址。
最后,防火强的安全防御能力与其处理速度是成反比的.防火墙的过a规则越复杂.对数据包检查得越细.内部网络的安全性就越高.但相应地处理梅一个数据包的速度也就会越二使得镇个网络的性能也受到彭响。
上述防火墙局限性说明防火.井不可曲对网络起到绝对的安全保护,实际两络系魄中通常会采用其他的安全控侧指施作为防火堵的必要补充.例如.人倪位IDS(Intrusion DetectionSystem》可以作为防火幼之后的第二道叻找.在不影响网络运行和性能的前扭下.从防火墉或网络不坟中的其他关工节点收典相应的信息.并通过分析这些仿息到断X中是否含有攻击的企图.当发现忍At行为时能够及时向网络,理员报,.作为叻火幼的补偿技术.人任枪侧爪魄不但可以发砚从外娜进人的攻击,也可以发砚来自内部的恶t行为.对于叻止成减轻两络系吮所受到的各种安全减协具重要意义。
防火堵本身是篆于TCP/IP协议基础而实现.因此也就很难完全消除因这残协议翻润所造成安全成胁。例如一种利用TCP的协议瀚洞向服务器发起的SYN攻击.最终将导致被攻击的服务器停止《拒绝)接受所有的胀务漪求.也称为拒绝服务攻击DoS( Denial-o(-Service) ,实现非常简单。攻击者向服务器提供某种服务的端u不停地发送大最的TCP连接请求SYN报文.在发送了SY、连接请求之后.并不再继续与服务器完成接下来的握手信号交换,使得股务器陷入等待墉求者发送第三次握手信号的状态。处于这个等待周期的连接状态也称为服务器的半连接状态。服务器会保待为该连接所分配的所有资碑,直到定时移超时。如果服务器开启大段的处于半连接状态的TCP连接.最终会导致服务器的资源被耗尽而不能够再接受新的TCP连接清求.即便是一个正常的请求.SYN攻击通常针对内网中向外提供公共股务的服务器发起.单从攻击者发送的一个单独的TCP请求连接的SYN数据包,防火墉无法分麟它是出自于一个正常的连接请求。还是一个SYN攻击。一些具有状态检侧功能的防火J. .通过跟踪输人愉出数据包的连接状态变化等信息.检侧数据包的首部状态信息(如TCP的SYN位和ACK位等)的变化是否符合相应的协议规则。形成的过此规则不仅越于数据包的首部字段.祠时还今考数据包的状态变化等参数,以提离对内部网络系统的安全防御能力。但这种具有状态检洲功能的防火墉面临的问题是,首先针对所有效据流徽的状态检侧对防火姗的处理和计算能力都有较高的要求.并且状态枪侧会直接影响防火摘对每个数据包的处理速度;其次.对于上述SYN攻击包来说.即便是具有状态枪测功能的防火墉也很难准确地判断出一个S丫N是否是攻击包.特别是某些进行S丫N攻击的攻击村会采用地址哄毅.使甸次发送的SYN包用不间的派地址。
最后,防火强的安全防御能力与其处理速度是成反比的.防火墙的过a规则越复杂.对数据包检查得越细.内部网络的安全性就越高.但相应地处理梅一个数据包的速度也就会越二使得镇个网络的性能也受到彭响。
上述防火墙局限性说明防火.井不可曲对网络起到绝对的安全保护,实际两络系魄中通常会采用其他的安全控侧指施作为防火堵的必要补充.例如.人倪位IDS(Intrusion DetectionSystem》可以作为防火幼之后的第二道叻找.在不影响网络运行和性能的前扭下.从防火墉或网络不坟中的其他关工节点收典相应的信息.并通过分析这些仿息到断X中是否含有攻击的企图.当发现忍At行为时能够及时向网络,理员报,.作为叻火幼的补偿技术.人任枪侧爪魄不但可以发砚从外娜进人的攻击,也可以发砚来自内部的恶t行为.对于叻止成减轻两络系吮所受到的各种安全减协具重要意义。
来源声明:本文章系尚品中国编辑原创或采编整理,如需转载请注明来自尚品中国。以上内容部分(包含图片、文字)来源于网络,如有侵权,请及时与本站联系(010-60259772)。
TAG标签:
推荐新闻
更多行业-
性能决定一切,响应式能否解决一些问题?
认为响应式能解决所有问题,那就大错特错了据有关数据显示,当前大约有11...
2018-08-31 -
狙击野鸭:一个HTML5 + JavaScript游戏
狙击野鸭:一个HTML5 + JavaScript游戏当“...
2011-11-06 -
网站营销策划是网上线前须做好的一件事
网络非常发达的今天,网上创业已经是一个大的趋势,现在的网站、商城等多如...
2013-03-29 -
网页中插入对象
一个协调的网站设计站点在外观方面都有一条共同的原则,就是视觉上的一致性...
2014-07-30 -
网站建设告诉您将企业官网做成响应式网站好不好?
拥有一个官方网站是许多中小企业迫切需要的,也是改造互联网宣传和推广自己...
2021-08-02 -
网站设计如何避免影响后期排名?
随着网络技术的飞速发展,公司网站也在不断更新。因为没有相应的标准,容易...
2022-06-20
如果您的网站可以增加转化次数并提高客户满意度,该怎么办?
预约专业咨询顾问沟通!
Copyright © 2025 恒久尚品 版权所有 | 京ICP备09066521号
| 公安机关备案号:11011502003910
免责声明
诚信企业
尚品专注高端网站建设,系统平台开发,微信小程序及APP开发服务
尚品专注高端网站建设,系统平台开发,微信小程序及APP开发服务
免责声明
非常感谢您访问我们的网站。在您使用本网站之前,请您仔细阅读本声明的所有条款。
1、本站部分内容来源自网络,涉及到的部分文章和图片版权属于原作者,本站转载仅供大家学习和交流,切勿用于任何商业活动。
2、本站不承担用户因使用这些资源对自己和他人造成任何形式的损失或伤害。
3、本声明未涉及的问题参见国家有关法律法规,当本声明与国家法律法规冲突时,以国家法律法规为准。
4、如果侵害了您的合法权益,请您及时与我们,我们会在第一时间删除相关内容!
联系方式:010-60259772
电子邮件:394588593@qq.com
