179
制。象3)會話認證SA( Session Authentication):防火墻提供通信雙方每次通倍時透明的會話授
它的實現(xiàn)主要有三種方法:文,治にな() )基于口令的認證 (password-based Authe日令是收發(fā)雙方先預定好的
數(shù)據(jù)??诹铗炞C是根據(jù)用戶知道什么來進行的。在很多計算機網(wǎng)絡和分布式系統(tǒng)中,對資
將其以明文形式不加保護地在網(wǎng)上傳輸,到達主機后,主機在數(shù)據(jù)庫中査詢該用戶的口令,與 源的保護是通過用戶直接輸入口令錄到各個主機上實現(xiàn)的。這種情況下,用戶選擇口令并
只談談其中三點:①用戶所選的口令不是隨機分配的。の如果一個用戶在不同主機上有多 接收到的口令比較。如果相同則用戶合法,不同則非法。這種方法存在許多不安全因素。這
個戶,則他不得不為每個主機記憶一個ロ令、而且當他每換一個主機時就必須輸入一遍口
令,這很不方便。相反,用戶對于整個計算機網(wǎng)絡或分布式系統(tǒng)來說應該是單個用戶。②口令
的傳輸易受消極攻擊( passive attac)和重播攻擊( replay attack)。主要因為第三個缺點,口令
冒用戶。認證不適合用于計算機網(wǎng)絡和分布式系統(tǒng)。通過網(wǎng)絡傳送的口令很容易被截獲并且被用來假
(2)基于地址的認證( Address- Based Authentication)?;趯ぶ返纳矸菡J證可以克服口
器包的源地址而得到認證。它的主要思想是每個主機存儲有其它可信任主機的記錄。例如在 令認證的缺點,尋址認證并不依賴于在網(wǎng)絡上傳送口令,而是假定原點的身份可以通過參考數(shù)
umix中,每個主機有一個名為/ etc/host. equiv的文件,它包含有一張可信任主機名的列表。
用戶使用本主機和遠程主機上相同的用戶名就可以不必輸入ロ令而從一個可信任的主機上登
送口令的認證方式更不安全。錄。但是,尋址認證并不是解決身份認證問題的通用辦法,環(huán)境不同,它可能比以明文形式傳
公鑰密碼體制的認證協(xié)議;②基于傳統(tǒng)密碼體制的認證協(xié)議:③基于密鑰分配中心的認證協(xié) (3)密碼認證( Cryptographic Authentication)。密碼認證又可以有三種實現(xiàn)機制:①基于
設計一個實用的身份認證的協(xié)議卻是非常國難的。Q 以。通常,密碼認證比上述兩種身份認證更安全。盡管身份認證的基本設計原則很簡單,但是
傳統(tǒng)的身份認證一般采用口令認證,而它的實現(xiàn)通常是系統(tǒng)把口令以密文的方式存放在
一個特定的文件中。但用戶名一般是公開的,如果攻擊者得到這個文件、他極有可能破譯,甚
反駛出來。在現(xiàn)實中已經(jīng)有很多這樣成功的例子。日 至直接采用字典攻擊或猜測攻擊來對系統(tǒng)進行攻擊。這已經(jīng)從Umx孫統(tǒng)的安全問題中可以
的應用服務。當外部網(wǎng)絡的一個服務請求到達防火墻時,防火墻可以用其制定的平衡算法,確 5.負載平衡( Load Balance)。平衡服務器的負載,由多個服務器為外部網(wǎng)絡用戶提供相同
定請求是由哪臺服務器來完成的。但對用戶來講,這些都是透明的低氣寫
180?愛 由于多數(shù)路由器本身就包含有分組過濾功,故網(wǎng)絡訪間控制功能可通過路由控制來實
現(xiàn),從而使具有分組過濾功能的路由器稱為第一代防火墻產(chǎn)品。
第一代防火墻產(chǎn)品的特點是 (1)利用路由器本身的對分組的解析,以訪問控制表方式實現(xiàn)對分組的過濾。
2(2)過濾判決的依據(jù)可以是:地址、端口號、ICMP報文類型等。
附帶防火墻的功能的方法,對安全性要求較高的網(wǎng)絡則可單獨利用一臺路由器組成防火墻。1(3)只有分組過濾的功能,且防火墻與路由器是一體的,對安全要求低的網(wǎng)絡采用路由器
第一代防火墻產(chǎn)品的不足之處在于: (1)路由協(xié)議十分靈活,本身具有安全漏洞,外部網(wǎng)絡要探詢內(nèi)部網(wǎng)絡十分容易。
例如:在使用FTP協(xié)議時,外部服務器容易從20號端ロ上與內(nèi)部網(wǎng)相連,即使在路由器
設置了過速規(guī)則,內(nèi)部網(wǎng)絡的20端口仍可由外部探尋 (2)路由器上的分組過濾規(guī)則的設置和配置存在安全隱患。對路由器中過濾規(guī)則的設暑
網(wǎng)絡系統(tǒng)管理員難以勝任,加之一旦出現(xiàn)新的協(xié)議,管理員就得加上更多的規(guī)去限制,這往 和配置十分復雜,它涉及到規(guī)則的邏輯一致性,作用端口的有效性和規(guī)則集的正確性,一般的
往會帶來很多錯誤 (3)路由器防火墻的最大隱患是:攻擊者可以“假冒”地址,由于信息在網(wǎng)絡上是以明文專
送的,黑客可以在網(wǎng)絡上例造假的路由信息欺騙防火墻。(4の路由器防火墻的本質(zhì)性缺陷是:由于路由器的主要功能是為網(wǎng)絡訪問提供動態(tài)的,靈
活的路由,而防火墻則要對訪間行為實施靜態(tài)的、固定的控制,這是一對難以和的不盾,防火
墻的規(guī)則設置會大大降低路由器的性能??梢哉f;基于路由器的防火墻只是網(wǎng)絡安全的一種應急措施,用這種權宜之計去對付黑客
的攻擊是十分危險的。
第二階段:用戶化的防火墻工具套。為了彌補路由器防火墻的不足,很多大型用戶紛紛要求以專門開發(fā)的防火墻系統(tǒng)來保護
自己的網(wǎng)絡,從而推動了用戶化的防火墻工具套的出現(xiàn)
作為第二代防火墻產(chǎn)品,用戶化的防火墻工具套具有以下的特征:行
基,(2)針對用戶需求,提供模塊化的軟件包;に1 定(1)將過濾功能從路由器中獨立出來,并加上審計和告警功能;一月
(3)軟件可通過網(wǎng)絡發(fā)送,用戶可自己動手構造防火墻;
(4)與第一代防火墻相比,安全性提高了,價格降低了。
當復雜的要求,并帶來以下間題:,ty 國由于是純軟件產(chǎn)品,第二代防火墻產(chǎn)品無論在實現(xiàn)還是維護上都對系統(tǒng)管理員提出了相
(1)配置和維護過程復雜、費時;法互,
(2)對用戶的技術要求高;
(3)全軟件實現(xiàn),安全性和處理速度均有局限
(4)實踐表明,使用中出現(xiàn)差錯的情況很多。
第三階段:建立在通用操作系銃上的防火墻。
的田(
本文地址:http://blackside-inc.com//article/3803.html
