Sine安全-网络安全背后的巨人,提供服务器安全_服务器维护_网站安全解决方案

关于通信协议防火墙的功能设计防护检测机制



      Internet通信协议(internetcommunicatio,ICMP)用于TCP/IP通信问题的报告,

也用于IP层连接问题的检测,这对于网络问题的检非常重要。然而,icmp协议也可以用来收集

关于网络拓扑和主机服务开放的重要信息。攻击者可以使用ping扫描可访问的网络来识别可用

的主机,而更强大的攻击者避免使用ping并使用更多的方法获取主机信息。icmp回放和回放恢

复功能也可以用于创建隐藏通道以绕过防火墙检查(通常icmp包不能包含其他信息)。因此

,icmp请求应该被禁止在边界网关上。
 
 
 
网段中的第一个和最后一个ip地址被认为是特殊地址,称为网络地址和广播地址。向这两个地

址发送数据包被认为是向网络中的所有主机发送数据包。因此,如果将ping消息发送到包含75

个主机的广播地址,则将收到75个响应。这个特性也是交通放大攻击的基础,通常是蓝精灵和

碎片攻击。在smurf攻击中,攻击者向大型网络的大量广播地址发送icmp信息,而源地址是攻

击者,因此所有icmp响应都被发送给攻击者而不是攻击者。在fraggle攻击中,攻击者还将消

息发送到大网络的广播地址,以引起大量响应,但与使udpecho数据包而不是icmpecho数据

包不同。但结果是一样的。这些udp数据包还将响应每个可以访问和响应的系统,并且对打开

udp服务的主机更加明显。
 
 
 
icmp转发可以用于向目标网络发送更有效的路由更新信息。这在一个有多个路由器出现在同

一个子网中的网络中很常见。但是,攻击者还可以使用这个特性进行路由路径更改。禁止将

路由器接口上的icmp数据包转发到不安全的网络或外部网络。网络中的另一种常见攻击方法

是在tcp/ip头中插入虚假或欺骗信息,以期控制主机。地址欺骗是试图将外部地址伪装成一

个更容易通过边界路由器条目的内部地址。放弃在入口处接收内部源代码ip的数据包将有助

于对抗此攻击。路由器可以记录与acl活动相关的日志,如与系统相关的信息。大多数路由

器本身没有大容量的磁盘记录网络和系统运行信息,但它们提供了远程发送日志到日志服

务器的能力。在安全行业中,有一种特殊的技术,即安全信息和事件管理(siem),主要

用于收集、分析和关联日志信息,然后推荐或实现基于事件信息的策略。
 
 
 
防火墙可以是一个软件,通常是一个专用设备。有时防火墙功能实际上是由多个不同的设

备提供的。防火墙平台的具体功能和防火墙网络的设计是网络保护的关键。为了发挥有效

的防护作用,防火墙必须部署在网络的适当位置并进行有效配置。最佳做法包括:


 
所有通信必须通过防火墙。防火墙只允许授权通信量通过,其角色不能区分授权和未授权

的网络通信量,或者配置为允许危险或不必要的网络通信,其角色将被削弱。如果出现故

障或过载,防火墙必须保持拒绝所有通信或关闭状态。
 
 
 
 
防火墙的设计和配置必须考虑其自身的防攻击能力。防火墙的优点,防火墙可以很好地执

行安全策略,应该将其配置为限制通信给管理层已经决定并允许的业务。防火墙可以用来

限制对特定服务的访问。防火墙在网络中是透明的,终端用户不需要安装客户端软件。


 
防火墙提供审计能力,并且只提供足够的磁盘空间或远程日志记录能力来记录我们感兴趣

的网络流量。防火墙可以提醒我们注意指定的事件。防火墙中的缺陷只有当防火墙配置的

规则被执行时才有效。防火墙不能防止社会工程攻击,并授权用户故意使用其恶意访问权

限。防火墙不能实现不存在或未定义的安全策略。
分享: