防火墻的局限性

防火堵本身是篆于TCP/IP協(xié)議基礎(chǔ)而實現(xiàn).因此也就很難完全消除因這殘協(xié)議翻潤所造成安全成脅。例如一種利用TCP的協(xié)議瀚洞向服務(wù)器發(fā)起的SYN攻擊.最終將導(dǎo)致被攻擊的服務(wù)器停止《拒絕)接受所有的脹務(wù)漪求.也稱為拒絕服務(wù)攻擊DoS( Denial-o(-Service) ,實現(xiàn)非常簡單。攻擊者向服務(wù)器提供某種服務(wù)的端u不停地發(fā)送大最的TCP連接請求SYN報文.在發(fā)送了SY、連接請求之后.并不再繼續(xù)與服務(wù)器完成接下來的握手信號交換,使得股務(wù)器陷入等待墉求者發(fā)送第三次握手信號的狀態(tài)。處于這個等待周期的連接狀態(tài)也稱為服務(wù)器的半連接狀態(tài)。服務(wù)器會保待為該連接所分配的所有資碑,直到定時移超時。如果服務(wù)器開啟大段的處于半連接狀態(tài)的TCP連接.最終會導(dǎo)致服務(wù)器的資源被耗盡而不能夠再接受新的TCP連接清求.即便是一個正常的請求.SYN攻擊通常針對內(nèi)網(wǎng)中向外提供公共股務(wù)的服務(wù)器發(fā)起.單從攻擊者發(fā)送的一個單獨的TCP請求連接的SYN數(shù)據(jù)包,防火墉無法分麟它是出自于一個正常的連接請求。還是一個SYN攻擊。一些具有狀態(tài)檢側(cè)功能的防火J. .通過跟蹤輸人愉出數(shù)據(jù)包的連接狀態(tài)變化等信息.檢側(cè)數(shù)據(jù)包的首部狀態(tài)信息(如TCP的SYN位和ACK位等)的變化是否符合相應(yīng)的協(xié)議規(guī)則。形成的過此規(guī)則不僅越于數(shù)據(jù)包的首部字段.祠時還今考數(shù)據(jù)包的狀態(tài)變化等參數(shù),以提離對內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全防御能力。但這種具有狀態(tài)檢洲功能的防火墉面臨的問題是,首先針對所有效據(jù)流徽的狀態(tài)檢側(cè)對防火姍的處理和計算能力都有較高的要求.并且狀態(tài)槍側(cè)會直接影響防火摘對每個數(shù)據(jù)包的處理速度;其次.對于上述SYN攻擊包來說.即便是具有狀態(tài)槍測功能的防火墉也很難準確地判斷出一個S丫N是否是攻擊包.特別是某些進行S丫N攻擊的攻擊村會采用地址哄毅.使甸次發(fā)送的SYN包用不間的派地址。
最后,防火強的安全防御能力與其處理速度是成反比的.防火墻的過a規(guī)則越復(fù)雜.對數(shù)據(jù)包檢查得越細.內(nèi)部網(wǎng)絡(luò)的安全性就越高.但相應(yīng)地處理梅一個數(shù)據(jù)包的速度也就會越二使得鎮(zhèn)個網(wǎng)絡(luò)的性能也受到彭響。
上述防火墻局限性說明防火.井不可曲對網(wǎng)絡(luò)起到絕對的安全保護,實際兩絡(luò)系魄中通常會采用其他的安全控側(cè)指施作為防火堵的必要補充.例如.人倪位IDS(Intrusion DetectionSystem》可以作為防火幼之后的第二道叻找.在不影響網(wǎng)絡(luò)運行和性能的前扭下.從防火墉或網(wǎng)絡(luò)不墳中的其他關(guān)工節(jié)點收典相應(yīng)的信息.并通過分析這些仿息到斷X中是否含有攻擊的企圖.當發(fā)現(xiàn)忍At行為時能夠及時向網(wǎng)絡(luò),理員報,.作為叻火幼的補償技術(shù).人任槍側(cè)爪魄不但可以發(fā)硯從外娜進人的攻擊,也可以發(fā)硯來自內(nèi)部的惡t行為.對于叻止成減輕兩絡(luò)系吮所受到的各種安全減協(xié)具重要意義。
建站流程
-
網(wǎng)站需求
-
網(wǎng)站策劃方案
-
頁面設(shè)計風格
-
確認交付使用
-
資料錄入優(yōu)化
-
程序設(shè)計開發(fā)
-
后續(xù)跟蹤服務(wù)
-
聯(lián)系電話
010-60259772
熱門標簽
- 網(wǎng)站建設(shè)
- 食品網(wǎng)站建設(shè)
- 微信小程序開發(fā)
- 小程序開發(fā)
- 無錫網(wǎng)站建設(shè)
- 研究所網(wǎng)站建設(shè)
- 沈陽網(wǎng)站建設(shè)
- 廊坊網(wǎng)站建設(shè)
- 鄭州網(wǎng)站建設(shè)
- 婚紗攝影網(wǎng)站建設(shè)
- 手機端網(wǎng)站建設(shè)
- 高校網(wǎng)站制作
- 天津網(wǎng)站建設(shè)
- 教育網(wǎng)站建設(shè)
- 品牌網(wǎng)站建設(shè)
- 政府網(wǎng)站建設(shè)
- 北京網(wǎng)站建設(shè)
- 網(wǎng)站設(shè)計
- 網(wǎng)站制作
最新文章
推薦新聞
更多行業(yè)-
建設(shè)綠色互聯(lián)網(wǎng),弘揚青春正能量
9月29日,由全國百家網(wǎng)站共同發(fā)起的“綠色網(wǎng)絡(luò) 助飛夢想&...
2018-08-20 -
網(wǎng)站設(shè)計給你不同的視覺體驗
眾所周知,網(wǎng)站設(shè)計無非就是一個成功的用戶體驗。小編經(jīng)驗總結(jié)如下:
2021-04-06 -
關(guān)鍵字定位都包含什么?
我們網(wǎng)站百科里面已經(jīng)講了很多。首先我們談到最大限度地提高客戶在線狀態(tài)。...
2018-04-13 -
提升photoshop運行速度的方法
當用戶的系統(tǒng)沒有足夠的內(nèi)存來執(zhí)行某項操作時,Photoshop將使用暫...
2015-12-05 -
百度關(guān)鍵詞排名為什么不穩(wěn)定
百度每月兩次大更新,當然還有百度更新的原因。每周一次小更新,更新頻率比...
2012-06-19 -
北京網(wǎng)站建設(shè)需要提前準備哪些工作?
網(wǎng)絡(luò)現(xiàn)在已經(jīng)成為人類不可分割的一部分。網(wǎng)絡(luò)的重要載體是各種網(wǎng)站。除了字...
2020-06-29
預(yù)約專業(yè)咨詢顧問溝通!
免責聲明
非常感謝您訪問我們的網(wǎng)站。在您使用本網(wǎng)站之前,請您仔細閱讀本聲明的所有條款。
1、本站部分內(nèi)容來源自網(wǎng)絡(luò),涉及到的部分文章和圖片版權(quán)屬于原作者,本站轉(zhuǎn)載僅供大家學(xué)習和交流,切勿用于任何商業(yè)活動。
2、本站不承擔用戶因使用這些資源對自己和他人造成任何形式的損失或傷害。
3、本聲明未涉及的問題參見國家有關(guān)法律法規(guī),當本聲明與國家法律法規(guī)沖突時,以國家法律法規(guī)為準。
4、如果侵害了您的合法權(quán)益,請您及時與我們,我們會在第一時間刪除相關(guān)內(nèi)容!
聯(lián)系方式:010-60259772
電子郵件:394588593@qq.com