|
隨著國(guó)際互連網(wǎng)的發(fā)展�����,一些企業(yè)建立了自己的INTRANET����,并通過(guò)專線與INTERNET連通����。為了保證企業(yè)內(nèi)部網(wǎng)的安全����,防止非法入侵,需要使用專用的防火墻計(jì)算機(jī)�。路由器防火墻只能作為過(guò)濾器,并不能把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)從入侵者眼前隱藏起來(lái)��。只要允許外部網(wǎng)絡(luò)上的計(jì)算機(jī)直接訪問(wèn)內(nèi)部網(wǎng)絡(luò)上的計(jì)算機(jī)�,就存在著攻擊者可以損害內(nèi)部局域網(wǎng)上機(jī)器的安全性,并從那里攻擊其他計(jì)算機(jī)的可能性�����。
大多數(shù)提供代理服務(wù)的專用防火墻機(jī)器是基于UNIX系統(tǒng)的�,這些操作系統(tǒng)本身就有安全缺陷。CISCO提供了PIX (Private Internet eXchange���,私有Internet交換)防火墻����,它運(yùn)行自己定制的操作系統(tǒng)�,事實(shí)證明,它可以有效地防止非法攻擊���。PIX防火墻要求有一個(gè)路由器連接到外部網(wǎng)絡(luò)��,如附圖所示�。PIX有兩個(gè)ETHERNET接口�,一個(gè)用于連接內(nèi)部局域網(wǎng),另一個(gè)用于連接外部路由器�。外部接口有一組外部地址,使用他們來(lái)與外部網(wǎng)絡(luò)通信���。內(nèi)部網(wǎng)絡(luò)則配置有一個(gè)適合內(nèi)部網(wǎng)絡(luò)號(hào)方案的IP地址�。PIX的主要工作是在內(nèi)部計(jì)算機(jī)需要與外部網(wǎng)絡(luò)進(jìn)行通信時(shí)���,完成內(nèi)部和外部地址之間的映射��。
配置好PIX防火墻后�����,從外部世界看來(lái)�,內(nèi)部計(jì)算機(jī)好象就是直接連接到PIX的外部接口似的。由于PIX的外部接口是Ethernet接口���,所以��,向主機(jī)傳送信息包需要用到MAC地址�。為了使內(nèi)部主機(jī)在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層上看起來(lái)都好象是連接在外部接口上的��,PIX運(yùn)行了代理ARP�,代理ARP給外部網(wǎng)絡(luò)層IP地址指定數(shù)據(jù)鏈路MAC地址,這就使得內(nèi)部計(jì)算機(jī)看起來(lái)像是在數(shù)據(jù)鏈路層協(xié)議的外部接口上似的�����。大多數(shù)情況下���,與外部網(wǎng)絡(luò)的通信是從內(nèi)部網(wǎng)絡(luò)中發(fā)出的��。由于PIX是對(duì)信息包進(jìn)行操作�����,而不是在應(yīng)用過(guò)程級(jí)(代理服務(wù)器則采用這種方法)��,PIX既可以跟蹤UDP會(huì)話���,也可以跟蹤TCP連接����。當(dāng)一個(gè)計(jì)算機(jī)希望同外部計(jì)算機(jī)進(jìn)行通信時(shí)���,PIX記錄下內(nèi)部來(lái)源地址,然后從外部地址庫(kù)分配一個(gè)地址��,并記錄下所進(jìn)行的轉(zhuǎn)換��。這就是人們常說(shuō)的有界NAT(stateful NAT)�����,這樣�,PIX就能記住它在同誰(shuí)進(jìn)行交談,以及是哪個(gè)計(jì)算機(jī)首先發(fā)起的對(duì)話���。只有已被確認(rèn)的來(lái)自外部網(wǎng)絡(luò)的信息包才會(huì)運(yùn)行���,并進(jìn)入內(nèi)部網(wǎng)絡(luò)。
不過(guò),有時(shí)也需要允許外部計(jì)算機(jī)發(fā)起同指定的內(nèi)部計(jì)算機(jī)的通信�。典型的服務(wù)包括電子郵件、WWW服務(wù)�、以及FTP服務(wù)。PIX給一個(gè)內(nèi)部地址硬編碼一個(gè)外部地址��,這個(gè)地址是不會(huì)過(guò)期的��。在這種情況下����,用到對(duì)目標(biāo)地址和端口號(hào)的普通過(guò)濾。除非侵入PIX本身�,外部用戶仍然是無(wú)法了解內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)的。在不了解內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)的情況下��,惡意用戶就無(wú)法從內(nèi)部主機(jī)向內(nèi)部網(wǎng)絡(luò)實(shí)施攻擊���。
PIX另一個(gè)關(guān)鍵性的安全特性是對(duì)TCP信息包的序列編號(hào)進(jìn)行隨機(jī)化處理�。由于IP地址電子欺騙的方法早已公布���,所以�,入侵者已經(jīng)有可能通過(guò)這種方法�,控制住一個(gè)現(xiàn)成的TCP連接�,然后向內(nèi)部局域網(wǎng)上的計(jì)算機(jī)發(fā)送它們自己的信息���。要想做到這一點(diǎn)�,入侵者必須猜出正確的序列編號(hào)����。在通常的TCP/IP中實(shí)現(xiàn)是很容易的,因?yàn)槊看纬跏蓟B接時(shí)����,大都采用一個(gè)相同的編號(hào)來(lái)啟動(dòng)會(huì)話���。而PIX則使用了一種數(shù)學(xué)算法來(lái)隨機(jī)化產(chǎn)生序列編號(hào)���,這實(shí)際上使得攻擊者已經(jīng)不可能猜出連接所使用的序列編號(hào)了。
本文出自:億恩科技【1tcdy.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)��!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商�!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
