179
制。象3)會(huì )話(huà)認證SA( Session Authentication):防火墻提供通信雙方每次通倍時(shí)透明的會(huì )話(huà)授
它的實(shí)現主要有三種方法:文,治にな() )基于口令的認證 (password-based Authe日令是收發(fā)雙方先預定好的
數據??诹铗炞C是根據用戶(hù)知道什么來(lái)進(jìn)行的。在很多計算機網(wǎng)絡(luò )和分布式系統中,對資
將其以明文形式不加保護地在網(wǎng)上傳輸,到達主機后,主機在數據庫中査詢(xún)該用戶(hù)的口令,與 源的保護是通過(guò)用戶(hù)直接輸入口令錄到各個(gè)主機上實(shí)現的。這種情況下,用戶(hù)選擇口令并
只談?wù)勂渲腥c(diǎn):①用戶(hù)所選的口令不是隨機分配的。の如果一個(gè)用戶(hù)在不同主機上有多 接收到的口令比較。如果相同則用戶(hù)合法,不同則非法。這種方法存在許多不安全因素。這
個(gè)戶(hù),則他不得不為每個(gè)主機記憶一個(gè)ロ令、而且當他每換一個(gè)主機時(shí)就必須輸入一遍口
令,這很不方便。相反,用戶(hù)對于整個(gè)計算機網(wǎng)絡(luò )或分布式系統來(lái)說(shuō)應該是單個(gè)用戶(hù)。②口令
的傳輸易受消極攻擊( passive attac)和重播攻擊( replay attack)。主要因為第三個(gè)缺點(diǎn),口令
冒用戶(hù)。認證不適合用于計算機網(wǎng)絡(luò )和分布式系統。通過(guò)網(wǎng)絡(luò )傳送的口令很容易被截獲并且被用來(lái)假
(2)基于地址的認證( Address- Based Authentication)?;趯ぶ返纳矸菡J證可以克服口
器包的源地址而得到認證。它的主要思想是每個(gè)主機存儲有其它可信任主機的記錄。例如在 令認證的缺點(diǎn),尋址認證并不依賴(lài)于在網(wǎng)絡(luò )上傳送口令,而是假定原點(diǎn)的身份可以通過(guò)參考數
umix中,每個(gè)主機有一個(gè)名為/ etc/host. equiv的文件,它包含有一張可信任主機名的列表。
用戶(hù)使用本主機和遠程主機上相同的用戶(hù)名就可以不必輸入ロ令而從一個(gè)可信任的主機上登
送口令的認證方式更不安全。錄。但是,尋址認證并不是解決身份認證問(wèn)題的通用辦法,環(huán)境不同,它可能比以明文形式傳
公鑰密碼體制的認證協(xié)議;②基于傳統密碼體制的認證協(xié)議:③基于密鑰分配中心的認證協(xié) (3)密碼認證( Cryptographic Authentication)。密碼認證又可以有三種實(shí)現機制:①基于
設計一個(gè)實(shí)用的身份認證的協(xié)議卻是非常國難的。Q 以。通常,密碼認證比上述兩種身份認證更安全。盡管身份認證的基本設計原則很簡(jiǎn)單,但是
傳統的身份認證一般采用口令認證,而它的實(shí)現通常是系統把口令以密文的方式存放在
一個(gè)特定的文件中。但用戶(hù)名一般是公開(kāi)的,如果攻擊者得到這個(gè)文件、他極有可能破譯,甚
反駛出來(lái)。在現實(shí)中已經(jīng)有很多這樣成功的例子。日 至直接采用字典攻擊或猜測攻擊來(lái)對系統進(jìn)行攻擊。這已經(jīng)從Umx孫統的安全問(wèn)題中可以
的應用服務(wù)。當外部網(wǎng)絡(luò )的一個(gè)服務(wù)請求到達防火墻時(shí),防火墻可以用其制定的平衡算法,確 5.負載平衡( Load Balance)。平衡服務(wù)器的負載,由多個(gè)服務(wù)器為外部網(wǎng)絡(luò )用戶(hù)提供相同
定請求是由哪臺服務(wù)器來(lái)完成的。但對用戶(hù)來(lái)講,這些都是透明的低氣寫(xiě)
180?愛(ài) 由于多數路由器本身就包含有分組過(guò)濾功,故網(wǎng)絡(luò )訪(fǎng)間控制功能可通過(guò)路由控制來(lái)實(shí)
現,從而使具有分組過(guò)濾功能的路由器稱(chēng)為第一代防火墻產(chǎn)品。
第一代防火墻產(chǎn)品的特點(diǎn)是 (1)利用路由器本身的對分組的解析,以訪(fǎng)問(wèn)控制表方式實(shí)現對分組的過(guò)濾。
2(2)過(guò)濾判決的依據可以是:地址、端口號、ICMP報文類(lèi)型等。
附帶防火墻的功能的方法,對安全性要求較高的網(wǎng)絡(luò )則可單獨利用一臺路由器組成防火墻。1(3)只有分組過(guò)濾的功能,且防火墻與路由器是一體的,對安全要求低的網(wǎng)絡(luò )采用路由器
第一代防火墻產(chǎn)品的不足之處在于: (1)路由協(xié)議十分靈活,本身具有安全漏洞,外部網(wǎng)絡(luò )要探詢(xún)內部網(wǎng)絡(luò )十分容易。
例如:在使用FTP協(xié)議時(shí),外部服務(wù)器容易從20號端ロ上與內部網(wǎng)相連,即使在路由器
設置了過(guò)速規則,內部網(wǎng)絡(luò )的20端口仍可由外部探尋 (2)路由器上的分組過(guò)濾規則的設置和配置存在安全隱患。對路由器中過(guò)濾規則的設暑
網(wǎng)絡(luò )系統管理員難以勝任,加之一旦出現新的協(xié)議,管理員就得加上更多的規去限制,這往 和配置十分復雜,它涉及到規則的邏輯一致性,作用端口的有效性和規則集的正確性,一般的
往會(huì )帶來(lái)很多錯誤 (3)路由器防火墻的最大隱患是:攻擊者可以“假冒”地址,由于信息在網(wǎng)絡(luò )上是以明文專(zhuān)
送的,黑客可以在網(wǎng)絡(luò )上例造假的路由信息欺騙防火墻。(4の路由器防火墻的本質(zhì)性缺陷是:由于路由器的主要功能是為網(wǎng)絡(luò )訪(fǎng)問(wèn)提供動(dòng)態(tài)的,靈
活的路由,而防火墻則要對訪(fǎng)間行為實(shí)施靜態(tài)的、固定的控制,這是一對難以和的不盾,防火
墻的規則設置會(huì )大大降低路由器的性能??梢哉f(shuō);基于路由器的防火墻只是網(wǎng)絡(luò )安全的一種應急措施,用這種權宜之計去對付黑客
的攻擊是十分危險的。
第二階段:用戶(hù)化的防火墻工具套。為了彌補路由器防火墻的不足,很多大型用戶(hù)紛紛要求以專(zhuān)門(mén)開(kāi)發(fā)的防火墻系統來(lái)保護
自己的網(wǎng)絡(luò ),從而推動(dòng)了用戶(hù)化的防火墻工具套的出現
作為第二代防火墻產(chǎn)品,用戶(hù)化的防火墻工具套具有以下的特征:行
基,(2)針對用戶(hù)需求,提供模塊化的軟件包;に1 定(1)將過(guò)濾功能從路由器中獨立出來(lái),并加上審計和告警功能;一月
(3)軟件可通過(guò)網(wǎng)絡(luò )發(fā)送,用戶(hù)可自己動(dòng)手構造防火墻;
(4)與第一代防火墻相比,安全性提高了,價(jià)格降低了。
當復雜的要求,并帶來(lái)以下間題:,ty 國由于是純軟件產(chǎn)品,第二代防火墻產(chǎn)品無(wú)論在實(shí)現還是維護上都對系統管理員提出了相
(1)配置和維護過(guò)程復雜、費時(shí);法互,
(2)對用戶(hù)的技術(shù)要求高;
(3)全軟件實(shí)現,安全性和處理速度均有局限
(4)實(shí)踐表明,使用中出現差錯的情況很多。
第三階段:建立在通用操作系銃上的防火墻。
的田(
本文地址:http://havencoinwallet.com//article/3803.html
