全文下载链接(充值:10积分元)
浅议防火墙安全策略
随着互联网的不断扩展,病毒,黑客以及一些非法网站不断攻击着人们的电脑所以人们也渐渐提高了防范意识比如杀毒软件的安装和使用,防火墙的安装和升级常常帮助我们防范了很多非法网络,保证了内部网络安全。但是防火墙也不是万能的,它也存在着很多不完善的东西,因此就需要我们不断的去发现问题然后对它进行不断改进才能让防火墙变得更加完善更加可靠,本文针对目前防火墙所存在的问题进行剖析,并对所述问题提出了对应方案:自我防范的意识,对SSL流中的数据加密,利用Web应用程序进行渗透测试,根据系统环境来制作防范程序,防火墙深度检测功能的运用。 一、防火墙概述 防火墙是设置在用户网络和外界之间的一道屏障,是为了防止不可预料的、潜在的破坏侵入用户网络。也可以把它理解为是安装了防火墙软件的主机或者是路由器系统;它是保护可信网络、防止黑客通过非可信网络入侵的一种设备也因此所有的从内部到外部或者从外部到内部的通信都必须经过它,只有内部访问策略授权的通信才能够被允许通过,外部对内部网络的访问都要受到它的限制。而它的系统本身也具有相当高的可靠性。 二、防火墙在设置上出现的问题 1、防火墙不能防范不经由防火墙的攻击 当我们在上网过程中如果遇到了有某个网络请求被允许通过而我们没有用防火墙进行拦截而是直接授权允许它通过;或者允许了从受保护网内部不受限制地向外拨号,一些用户可以形成与因特网之际的点对点协议(Point to Point Protocol)的连接,这就是绕过了防火墙从而造成了一个潜在后门的网络攻击。 2、防火墙不能防止已经感染了病毒的软件或者是文件的传输 现在有很多病毒、加密和压缩的二进制文件种类,防火墙根本不可能对每个文件逐个进行扫描和查找潜在的病毒,所以要想不被病毒感染只有在防火墙的设置做一定的改进或者利用其他网络工具来达到自己想要的目的。 3、防火墙无法检测加密后的Web流量 当你正在规划一个关键的门户网站,而且也希望所有的网络层和应用层的漏洞都被屏蔽在这个应用程序之外。这个需求,对于防火墙而言,确实是个大问题。由于网络防火墙对于加密后的SSL流中的数据是看不见的,防火墙也无法迅速截获SSL数据流并对它进行解密,因此无法去阻止应用程序被攻击,甚至有些防火墙,根本就提供不了数据解密的这种功能。 4、普通应用程序加密后,也能够轻易的躲过防火墙的检测 防火墙无法看到的不仅仅是SSL加密后的数据。对于应用程序加密后的数据,同样也看不见。现在大多数的防火墙中靠的是静态的特征库,和入侵监测系统(IDS,Intrusion Detect System)的原理相似。只有当应用层受攻击的行为特征与防火墙中的数据库中已有的特征完全相同时,防火墙才能识别和截取攻击数据。
