179
制。象3)會(huì)話認(rèn)證SA( Session Authentication):防火墻提供通信雙方每次通倍時(shí)透明的會(huì)話授
它的實(shí)現(xiàn)主要有三種方法:文,治にな() )基于口令的認(rèn)證 (password-based Authe日令是收發(fā)雙方先預(yù)定好的
數(shù)據(jù)??诹铗?yàn)證是根據(jù)用戶知道什么來進(jìn)行的。在很多計(jì)算機(jī)網(wǎng)絡(luò)和分布式系統(tǒng)中,對(duì)資
將其以明文形式不加保護(hù)地在網(wǎng)上傳輸,到達(dá)主機(jī)后,主機(jī)在數(shù)據(jù)庫中査詢該用戶的口令,與 源的保護(hù)是通過用戶直接輸入口令錄到各個(gè)主機(jī)上實(shí)現(xiàn)的。這種情況下,用戶選擇口令并
只談?wù)勂渲腥c(diǎn):①用戶所選的口令不是隨機(jī)分配的。の如果一個(gè)用戶在不同主機(jī)上有多 接收到的口令比較。如果相同則用戶合法,不同則非法。這種方法存在許多不安全因素。這
個(gè)戶,則他不得不為每個(gè)主機(jī)記憶一個(gè)ロ令、而且當(dāng)他每換一個(gè)主機(jī)時(shí)就必須輸入一遍口
令,這很不方便。相反,用戶對(duì)于整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)或分布式系統(tǒng)來說應(yīng)該是單個(gè)用戶。②口令
的傳輸易受消極攻擊( passive attac)和重播攻擊( replay attack)。主要因?yàn)榈谌齻€(gè)缺點(diǎn),口令
冒用戶。認(rèn)證不適合用于計(jì)算機(jī)網(wǎng)絡(luò)和分布式系統(tǒng)。通過網(wǎng)絡(luò)傳送的口令很容易被截獲并且被用來假
(2)基于地址的認(rèn)證( Address- Based Authentication)?;趯ぶ返纳矸菡J(rèn)證可以克服口
器包的源地址而得到認(rèn)證。它的主要思想是每個(gè)主機(jī)存儲(chǔ)有其它可信任主機(jī)的記錄。例如在 令認(rèn)證的缺點(diǎn),尋址認(rèn)證并不依賴于在網(wǎng)絡(luò)上傳送口令,而是假定原點(diǎn)的身份可以通過參考數(shù)
umix中,每個(gè)主機(jī)有一個(gè)名為/ etc/host. equiv的文件,它包含有一張可信任主機(jī)名的列表。
用戶使用本主機(jī)和遠(yuǎn)程主機(jī)上相同的用戶名就可以不必輸入ロ令而從一個(gè)可信任的主機(jī)上登
送口令的認(rèn)證方式更不安全。錄。但是,尋址認(rèn)證并不是解決身份認(rèn)證問題的通用辦法,環(huán)境不同,它可能比以明文形式傳
公鑰密碼體制的認(rèn)證協(xié)議;②基于傳統(tǒng)密碼體制的認(rèn)證協(xié)議:③基于密鑰分配中心的認(rèn)證協(xié) (3)密碼認(rèn)證( Cryptographic Authentication)。密碼認(rèn)證又可以有三種實(shí)現(xiàn)機(jī)制:①基于
設(shè)計(jì)一個(gè)實(shí)用的身份認(rèn)證的協(xié)議卻是非常國難的。Q 以。通常,密碼認(rèn)證比上述兩種身份認(rèn)證更安全。盡管身份認(rèn)證的基本設(shè)計(jì)原則很簡單,但是
傳統(tǒng)的身份認(rèn)證一般采用口令認(rèn)證,而它的實(shí)現(xiàn)通常是系統(tǒng)把口令以密文的方式存放在
一個(gè)特定的文件中。但用戶名一般是公開的,如果攻擊者得到這個(gè)文件、他極有可能破譯,甚
反駛出來。在現(xiàn)實(shí)中已經(jīng)有很多這樣成功的例子。日 至直接采用字典攻擊或猜測攻擊來對(duì)系統(tǒng)進(jìn)行攻擊。這已經(jīng)從Umx孫統(tǒng)的安全問題中可以
的應(yīng)用服務(wù)。當(dāng)外部網(wǎng)絡(luò)的一個(gè)服務(wù)請(qǐng)求到達(dá)防火墻時(shí),防火墻可以用其制定的平衡算法,確 5.負(fù)載平衡( Load Balance)。平衡服務(wù)器的負(fù)載,由多個(gè)服務(wù)器為外部網(wǎng)絡(luò)用戶提供相同
定請(qǐng)求是由哪臺(tái)服務(wù)器來完成的。但對(duì)用戶來講,這些都是透明的低氣寫
180?愛 由于多數(shù)路由器本身就包含有分組過濾功,故網(wǎng)絡(luò)訪間控制功能可通過路由控制來實(shí)
現(xiàn),從而使具有分組過濾功能的路由器稱為第一代防火墻產(chǎn)品。
第一代防火墻產(chǎn)品的特點(diǎn)是 (1)利用路由器本身的對(duì)分組的解析,以訪問控制表方式實(shí)現(xiàn)對(duì)分組的過濾。
2(2)過濾判決的依據(jù)可以是:地址、端口號(hào)、ICMP報(bào)文類型等。
附帶防火墻的功能的方法,對(duì)安全性要求較高的網(wǎng)絡(luò)則可單獨(dú)利用一臺(tái)路由器組成防火墻。1(3)只有分組過濾的功能,且防火墻與路由器是一體的,對(duì)安全要求低的網(wǎng)絡(luò)采用路由器
第一代防火墻產(chǎn)品的不足之處在于: (1)路由協(xié)議十分靈活,本身具有安全漏洞,外部網(wǎng)絡(luò)要探詢內(nèi)部網(wǎng)絡(luò)十分容易。
例如:在使用FTP協(xié)議時(shí),外部服務(wù)器容易從20號(hào)端ロ上與內(nèi)部網(wǎng)相連,即使在路由器
設(shè)置了過速規(guī)則,內(nèi)部網(wǎng)絡(luò)的20端口仍可由外部探尋 (2)路由器上的分組過濾規(guī)則的設(shè)置和配置存在安全隱患。對(duì)路由器中過濾規(guī)則的設(shè)暑
網(wǎng)絡(luò)系統(tǒng)管理員難以勝任,加之一旦出現(xiàn)新的協(xié)議,管理員就得加上更多的規(guī)去限制,這往 和配置十分復(fù)雜,它涉及到規(guī)則的邏輯一致性,作用端口的有效性和規(guī)則集的正確性,一般的
往會(huì)帶來很多錯(cuò)誤 (3)路由器防火墻的最大隱患是:攻擊者可以“假冒”地址,由于信息在網(wǎng)絡(luò)上是以明文專
送的,黑客可以在網(wǎng)絡(luò)上例造假的路由信息欺騙防火墻。(4の路由器防火墻的本質(zhì)性缺陷是:由于路由器的主要功能是為網(wǎng)絡(luò)訪問提供動(dòng)態(tài)的,靈
活的路由,而防火墻則要對(duì)訪間行為實(shí)施靜態(tài)的、固定的控制,這是一對(duì)難以和的不盾,防火
墻的規(guī)則設(shè)置會(huì)大大降低路由器的性能??梢哉f;基于路由器的防火墻只是網(wǎng)絡(luò)安全的一種應(yīng)急措施,用這種權(quán)宜之計(jì)去對(duì)付黑客
的攻擊是十分危險(xiǎn)的。
第二階段:用戶化的防火墻工具套。為了彌補(bǔ)路由器防火墻的不足,很多大型用戶紛紛要求以專門開發(fā)的防火墻系統(tǒng)來保護(hù)
自己的網(wǎng)絡(luò),從而推動(dòng)了用戶化的防火墻工具套的出現(xiàn)
作為第二代防火墻產(chǎn)品,用戶化的防火墻工具套具有以下的特征:行
基,(2)針對(duì)用戶需求,提供模塊化的軟件包;に1 定(1)將過濾功能從路由器中獨(dú)立出來,并加上審計(jì)和告警功能;一月
(3)軟件可通過網(wǎng)絡(luò)發(fā)送,用戶可自己動(dòng)手構(gòu)造防火墻;
(4)與第一代防火墻相比,安全性提高了,價(jià)格降低了。
當(dāng)復(fù)雜的要求,并帶來以下間題:,ty 國由于是純軟件產(chǎn)品,第二代防火墻產(chǎn)品無論在實(shí)現(xiàn)還是維護(hù)上都對(duì)系統(tǒng)管理員提出了相
(1)配置和維護(hù)過程復(fù)雜、費(fèi)時(shí);法互,
(2)對(duì)用戶的技術(shù)要求高;
(3)全軟件實(shí)現(xiàn),安全性和處理速度均有局限
(4)實(shí)踐表明,使用中出現(xiàn)差錯(cuò)的情況很多。
第三階段:建立在通用操作系銃上的防火墻。
的田(
本文地址:http://www.islandpacificappraisals.com//article/3803.html