防火墙的局限性
防火堵本身是篆于TCP/IP协议基础而实现.因此也就很难完全消除因这残协议翻润所造成安全成胁。例如一种利用TCP的协议瀚洞向服务器发起的SYN攻击.最终将导致被攻击的服务器停止《拒绝)接受所有的胀务漪求.也称为拒绝服务攻击DoS( Denial-o(-Service) ,实现非常简单。攻击者向服务器提供某种服务的端u不停地发送大最的TCP连接请求SYN报文.在发送了SY、连接请求之后.并不再继续与服务器完成接下来的握手信号交换,使得股务器陷入等待墉求者发送第三次握手信号的状态。处于这个等待周期的连接状态也称为服务器的半连接状态。服务器会保待为该连接所分配的所有资碑,直到定时移超时。如果服务器开启大段的处于半连接状态的TCP连接.最终会导致服务器的资源被耗尽而不能够再接受新的TCP连接清求.即便是一个正常的请求.SYN攻击通常针对内网中向外提供公共股务的服务器发起.单从攻击者发送的一个单独的TCP请求连接的SYN数据包,防火墉无法分麟它是出自于一个正常的连接请求。还是一个SYN攻击。一些具有状态检侧功能的防火J. .通过跟踪输人愉出数据包的连接状态变化等信息.检侧数据包的首部状态信息(如TCP的SYN位和ACK位等)的变化是否符合相应的协议规则。形成的过此规则不仅越于数据包的首部字段.祠时还今考数据包的状态变化等参数,以提离对内部网络系统的安全防御能力。但这种具有状态检洲功能的防火墉面临的问题是,首先针对所有效据流徽的状态检侧对防火姗的处理和计算能力都有较高的要求.并且状态枪侧会直接影响防火摘对每个数据包的处理速度;其次.对于上述SYN攻击包来说.即便是具有状态枪测功能的防火墉也很难准确地判断出一个S丫N是否是攻击包.特别是某些进行S丫N攻击的攻击村会采用地址哄毅.使甸次发送的SYN包用不间的派地址。
最后,防火强的安全防御能力与其处理速度是成反比的.防火墙的过a规则越复杂.对数据包检查得越细.内部网络的安全性就越高.但相应地处理梅一个数据包的速度也就会越二使得镇个网络的性能也受到彭响。
上述防火墙局限性说明防火.井不可曲对网络起到绝对的安全保护,实际两络系魄中通常会采用其他的安全控侧指施作为防火堵的必要补充.例如.人倪位IDS(Intrusion DetectionSystem》可以作为防火幼之后的第二道叻找.在不影响网络运行和性能的前扭下.从防火墉或网络不坟中的其他关工节点收典相应的信息.并通过分析这些仿息到断X中是否含有攻击的企图.当发现忍At行为时能够及时向网络,理员报,.作为叻火幼的补偿技术.人任枪侧爪魄不但可以发砚从外娜进人的攻击,也可以发砚来自内部的恶t行为.对于叻止成减轻两络系吮所受到的各种安全减协具重要意义。
推荐新闻
更多行业-
[北京网站制作]重视影响谷歌排名几点因素解析
重视影响谷歌排名几点因素解析谷歌虽然已经推出国内主要市场,但是还是有很...
2011-10-26 -
专业网站建设怎样才能做好网络推广
至于如何做好网络推广,我赞同一种观点,做好市场分析,网络推广专业人士刘...
2021-08-10 -
医院网站建设如何进行科室划分?
现在医院网站建设跟以往不一样,并不仅仅只是单纯的网站建设或者是宣传医院...
2022-09-15 -
建设网站的作用与意义
企业形象展示与提升(Enterprise image display ...
2012-08-13 -
怎样判断网站流量是否正常?
Seoer网站优化的目的是提高网站在搜索引擎中的排名,让其在用户有需求...
2020-09-15 -
高端网站设计不可以忽视哪些内容?
想要让网站的使用更加的优质,其次也保障吸引用户的目光,肯定也是要重视网...
2022-12-28
预约专业咨询顾问沟通!
免责声明
非常感谢您访问我们的网站。在您使用本网站之前,请您仔细阅读本声明的所有条款。
1、本站部分内容来源自网络,涉及到的部分文章和图片版权属于原作者,本站转载仅供大家学习和交流,切勿用于任何商业活动。
2、本站不承担用户因使用这些资源对自己和他人造成任何形式的损失或伤害。
3、本声明未涉及的问题参见国家有关法律法规,当本声明与国家法律法规冲突时,以国家法律法规为准。
4、如果侵害了您的合法权益,请您及时与我们,我们会在第一时间删除相关内容!
联系方式:010-60259772
电子邮件:394588593@qq.com