企业防火墙方案

发布时间:2021-09-10

  什 么 是 防 火 墙

  防 火 墙 ( Firewall ) 是 一 个 定 位 用 来 分 隔 两 个 不 同 网 路 的 网 路 安 全 装 置 , 通 常 是 介 于 企 业 机 构 的 内 部 、 受 信 任 的 网 路 和 互 联 网。它 是 由 Sun Microsystems 和 CheckPoint Software Technologies 分 别 研 製 的 一 种 网 路 安 全 保 护 系 统 。

  防 火 墙 做 些 什 么

  防 火 墙 确 保 所 有 尝 试 从 一 个 网 路 穿 越 到 其 他 网 路 的 流 量 得 以 符 合 企 业 的 安 全 政 策 。 防 火 墙 追 踪 及 控 制 通 讯 , 决 定 哪 些 数 据 被 允 许 、 拒 绝 或 加 密 处 理 , 防 止 黑 客 入 侵 及 过 泸 电 邮 病 毒 。 为 了 能 更 进 一 步 的 保 护 受 信 任 的 网 路 不 受 互 联 网 的 侵 害 , 越 来 越 多 的 防 火 墙 被 部 署 来 保 护 区 域 网 路 和 个 人 的 电 脑 。

  为 何 企 业 需 要 防火 墙

  全 球 的 企 业 藉 由 互 联 网 的 技 术 来 获 取 新 的 和 有 利 的 企 业 关 係 。 防 火 墙 协 助 企 业 平 衡 开 放 的 互 联 网 与 保 护 私 密 性 和 敏 感 企 业 通 讯 完 整 性 的 需 要 , 监 控 企 业 内 部 对 互 联 网 的 使 用 。

  防 火 墙 是 如 何 运 作 的

  以 歷 史 的 观 点 而 言 , 有 3 种 不同 的 技 术 被 使 用 来 作 为 防 火 墙 : 封 包 过 滤 ( Packet Filters ) 、 应 用 层 闸 道 ( Application-Layer Gateways ) 和 状 态 检 视 ( Stateful Inspection ) 。

  阻 断 式 服 务 攻 击(DoS / Denial of Service)

  谈 到 骇 客 攻 击 的 方 式 , 这 些 方 式 可 说 包 罗 万 象 亦 难 以 归 类 , 在 这 裡 仅 介 绍 几 种 较 为 常 见 与 热 门 的 方 式 : 阻 断 式 服 务 攻 击(DoS / Denial of Service)

  DoS 是 一 种 点 对 点 的 网 路 攻 击 方 式 , 攻 击 的 对 向 是 Internet 上 的 网 路 和 装 置 。 攻 击 者 可 藉 由 不 正 当 的 方 式 使 得 网 路 伺 服 器 因 忙 碌 着 回 应 合 法 的 存 取 要 求 或 拒 绝 使 用 者 的 存 取 , 达 到 干 扰 正 常 系 统 运 作 的 进 行 , 服 务 主 机 疲 于 奔 命 最 后 几 乎 当 机 , 最 后 无 法 再 提 供 服 务。 DoS 不 一 定 需 要 取 得 系 统 使 用 的 权 力 , 即 可 达 到 目 的 。 常 见 的 DoS 手 法 如 IP Spoofing 、 Ping of Death 、 SYN Flood 、 Teardrop 等 都 属 于 该 类 方 式 。

  常 见 的 叁 种 DoS 攻 击 方 式

  IP Spoofing:IP Spoofing 是 骇 客 用 来 达 到 隐 藏 入 侵 者 的 身 份 或 加 强 DoS 攻 击 的 能 力 , 因 为 路 由 器 或 防 火 墙 的 封 包 过 滤( Packet Filtering ) 系 统 对 每 个 封 包 所 採 用 的 规 则 乃 是 依 据 该 封 包 的 来 源 位 置 而 定 , 此 技 术 是 用 来 改 变 网 路 封 包 的 来 源 位 址 , 假 装 其 来 源 来 自 于 可 信 任 的 网 路 , 进 而 顺 利 进 入 私 人 网 路 , 使 用 一 系 列 的 DoS 攻 击 时 攻 击 者 可 以 籍 此 技 术 来 隐 藏 自 己 位 置 和 身 分 。

  Ping of Death:利 用 "Ping" 指 令 来 产 生 超 过 IP 协 定 所 能 够 允 许 的 最 大 封 包(亦 即 超 过 封 包 长 度 65535 bytes )。 当 这 个 封 包 送 到 没 有 检 查 功 能 的 系 统 , 则 可 能 会 造 成 系 统 当 机 , 因 为 理 论 上 65535 bytes 是 一 个 不 合 法 的 长 度 , 如 果 作 业 系 统 系 统 无 法 接 受 此 一 封 包 加 以 回 应 (OS bug), 最 后 就 会 导 致 当 机 。

  Teardrop : 一 般 来 说 , 当 资 料 需 经 由 网 路 传 送 时 , 负 责 传 输 的 主 机 会 将 I P 封 包 经 常 会 被 切 割 成 许 多 小 片 段 , 到 达 目 的 地 主 机 后 按 照 塬 状 重 新 组 合 起 来 。 除 了 一 些 记 载 位 移 的 资 讯 之 外 , 这 些 切 出 来 的 小 片 段 与 塬 来 封 包 的 结 构 大 致 相 同 。Teardrop 的 攻 击 方 式 是 送 出 一 对 经 过 特 别 设 计 封 包 片 段 , 使 得 这 一 对 封 包 片 段 在 目 的 地 电 脑 重 新 组 合 时 , 产 生 与 塬 来 资 料 不 合 的 封包 , 它 的 塬 理 在 于 改 变 第 二 个 片 段 的 位 移 资 讯 , 使 得 资 料 往 左 移 至 第 一 个 片 段 的 中 间 与 第 一 个 片 段 资 料 重 叠(overlap), 重 叠 部 份 将 会 系 统 认 为 资 造 太 长 而 被 略 过 , 导 致 一 个 实 际 上 比 塬 来 长 度 更 短 的 封 包 , 最 后造 成 系 统 当 机 。

注册即送1000元现金券