|
隨著國際互連網(wǎng)的發(fā)展��,一些企業(yè)建立了自己的INTRANET��,并通過專線與INTERNET連通���。為了保證企業(yè)內(nèi)部網(wǎng)的安全,防止非法入侵�,需要使用專用的防火墻計(jì)算機(jī)。路由器防火墻只能作為過濾器��,并不能把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)從入侵者眼前隱藏起來�。只要允許外部網(wǎng)絡(luò)上的計(jì)算機(jī)直接訪問內(nèi)部網(wǎng)絡(luò)上的計(jì)算機(jī),就存在著攻擊者可以損害內(nèi)部局域網(wǎng)上機(jī)器的安全性���,并從那里攻擊其他計(jì)算機(jī)的可能性���。
大多數(shù)提供代理服務(wù)的專用防火墻機(jī)器是基于UNIX系統(tǒng)的,這些操作系統(tǒng)本身就有安全缺陷��。CISCO提供了PIX (Private Internet eXchange��,私有Internet交換)防火墻�����,它運(yùn)行自己定制的操作系統(tǒng)��,事實(shí)證明���,它可以有效地防止非法攻擊��。PIX防火墻要求有一個(gè)路由器連接到外部網(wǎng)絡(luò)�����,如附圖所示�。PIX有兩個(gè)ETHERNET接口�,一個(gè)用于連接內(nèi)部局域網(wǎng),另一個(gè)用于連接外部路由器�����。外部接口有一組外部地址�����,使用他們來與外部網(wǎng)絡(luò)通信�。內(nèi)部網(wǎng)絡(luò)則配置有一個(gè)適合內(nèi)部網(wǎng)絡(luò)號(hào)方案的IP地址。PIX的主要工作是在內(nèi)部計(jì)算機(jī)需要與外部網(wǎng)絡(luò)進(jìn)行通信時(shí),完成內(nèi)部和外部地址之間的映射��。
配置好PIX防火墻后�����,從外部世界看來�,內(nèi)部計(jì)算機(jī)好象就是直接連接到PIX的外部接口似的。由于PIX的外部接口是Ethernet接口��,所以��,向主機(jī)傳送信息包需要用到MAC地址����。為了使內(nèi)部主機(jī)在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層上看起來都好象是連接在外部接口上的,PIX運(yùn)行了代理ARP��,代理ARP給外部網(wǎng)絡(luò)層IP地址指定數(shù)據(jù)鏈路MAC地址�,這就使得內(nèi)部計(jì)算機(jī)看起來像是在數(shù)據(jù)鏈路層協(xié)議的外部接口上似的。大多數(shù)情況下��,與外部網(wǎng)絡(luò)的通信是從內(nèi)部網(wǎng)絡(luò)中發(fā)出的���。由于PIX是對(duì)信息包進(jìn)行操作,而不是在應(yīng)用過程級(jí)(代理服務(wù)器則采用這種方法)��,PIX既可以跟蹤UDP會(huì)話,也可以跟蹤TCP連接����。當(dāng)一個(gè)計(jì)算機(jī)希望同外部計(jì)算機(jī)進(jìn)行通信時(shí),PIX記錄下內(nèi)部來源地址��,然后從外部地址庫分配一個(gè)地址����,并記錄下所進(jìn)行的轉(zhuǎn)換。這就是人們常說的有界NAT(stateful NAT)��,這樣�,PIX就能記住它在同誰進(jìn)行交談,以及是哪個(gè)計(jì)算機(jī)首先發(fā)起的對(duì)話�。只有已被確認(rèn)的來自外部網(wǎng)絡(luò)的信息包才會(huì)運(yùn)行,并進(jìn)入內(nèi)部網(wǎng)絡(luò)���。
不過�����,有時(shí)也需要允許外部計(jì)算機(jī)發(fā)起同指定的內(nèi)部計(jì)算機(jī)的通信�。典型的服務(wù)包括電子郵件、WWW服務(wù)����、以及FTP服務(wù)。PIX給一個(gè)內(nèi)部地址硬編碼一個(gè)外部地址�����,這個(gè)地址是不會(huì)過期的�����。在這種情況下����,用到對(duì)目標(biāo)地址和端口號(hào)的普通過濾。除非侵入PIX本身�,外部用戶仍然是無法了解內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)的。在不了解內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)的情況下����,惡意用戶就無法從內(nèi)部主機(jī)向內(nèi)部網(wǎng)絡(luò)實(shí)施攻擊。
PIX另一個(gè)關(guān)鍵性的安全特性是對(duì)TCP信息包的序列編號(hào)進(jìn)行隨機(jī)化處理�。由于IP地址電子欺騙的方法早已公布,所以����,入侵者已經(jīng)有可能通過這種方法�����,控制住一個(gè)現(xiàn)成的TCP連接,然后向內(nèi)部局域網(wǎng)上的計(jì)算機(jī)發(fā)送它們自己的信息��。要想做到這一點(diǎn)��,入侵者必須猜出正確的序列編號(hào)�����。在通常的TCP/IP中實(shí)現(xiàn)是很容易的��,因?yàn)槊看纬跏蓟B接時(shí)�����,大都采用一個(gè)相同的編號(hào)來啟動(dòng)會(huì)話�����。而PIX則使用了一種數(shù)學(xué)算法來隨機(jī)化產(chǎn)生序列編號(hào)����,這實(shí)際上使得攻擊者已經(jīng)不可能猜出連接所使用的序列編號(hào)了����。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)���!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商�����!15年品質(zhì)保障�!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
