| 论文首页哲学论文经济论文法学论文教育论文文学论文历史论文理学论文工学论文医学论文管理论文艺术论文 |
2.5硬件防火墙防御攻击的策略
2.5.1伪造IP欺骗攻击的防御策略
当IP数据包出内网时检验其IP源地址,每一个连接内网的硬件防火墙在决定是否允许本网内部的IP数据包发出之前,先对来自该IP数据包的IP源地址进行检验。如果该IP包的IP源地址不是其所在局域网内部的IP地址,该IP包就被拒绝,不允许该包离开内网。这样一来,攻击者至需要使用自己的IP地址才能通过连接网关或路由器。这样过滤和检验内网发出数据包的IP源地址的方法基本可以做到预防伪造IP欺骗攻击。
2.5.2SYN FLo0D攻击防御策略
硬件防火墙对于SYNFLOOD攻击防御基本上有三种,一是阻断新建的连接,二是释放无效连接,三是SYNCookie和SafeRe.set技术。
阻断新建连接就是在防火墙发现连半开连接数阈值和新建连接数阈值被超时时,SYNFLOOD攻击检测发现攻击,暂时阻止客户向服务器发出的任何请求。防火墙能在服务器处理新建连接报文之前将其阻断,削弱了网络攻击对服务器的影响,但无法在服务器被攻击时有效提升服务器的服务能力。因此,一般配合防火墙SYNFlood攻击检测,避免瞬间高强度攻击使服务器系统崩溃。释放无效链接是当服务器上半开连接过多时,要警惕冒充客户端的虚假IP发起无效连接,防火墙要在这些连接中识别那些是无效的.向服务器发送复位报文,让服务器进行释放,协助服务器恢复服务能力。 (转载自中国科教评价网http://www.nseac.com)
SYNCo0kie和SafeReset是验证发起连接客户的合法性。防火墙要保护服务器入口的关键位置,对服务器发出的报文进行严格检查。
2.5.3 ACK Flood攻击防御策略
防火墙对网络进行分析,当收包异常大于发包时,攻击者一般采用大量ACK包,小包发送,提高速度,这种判断方法是对称性判断.可以作为ACKFlood攻击的依据。防火墙建立hash表存放TCP连接状态,从而大致上知道网络状况。
2.5.4UDPHood攻击防御策略
UDPF1ood攻击防御比较困难,因为UDP是无连接的,防火墙应该判断UDP包的大小,大包攻击则采用粉碎UDP包的方法,或者对碎片进行重组。还有比较专业的防火墙在攻击端口不是业务端口是丢弃UDP包,抑或将UDP也设一些和TCP类似的规则。
2.5.5ICM PFlood攻击防御策略
对于ICMPFlood的防御策略,硬件防火墙采用过滤ICMP报文的方法。
硬件防火墙还对网络中其他的一些攻击手段进行着安全有效的防御,保护着网络的安全。
3硬件防火墙的配置考虑要素和选购标准
硬件防火墙是网络硬件设备,需要安装配置,网络管理人员应该要考虑实际应用中硬件规则的改变调整,配置参数也在不断改变。对于硬件防火墙的安全策略也应该考虑到,哪些数据流被允许,哪些不被允许,还有代理等等,还有授权的问题,外网域内网之问,内网里各个不同部门之间,还有DMZ区域和内网等,这些都需要照顾到。详尽的安全策略应该保证硬件防火墙配置的修改工作程序化.并能尽量避免因修改配置所造成的错误和安全漏洞。除此之外还要考虑CPU负载问题,过高的CPU负载可能是遭到网络DOS攻击。硬盘中保留日志记录也很重要,这对检查硬件防火墙有着重要作用,还要定期检查。 (科教作文网http://zw.NSEaC.com编辑发布)
对于大中型网络来说,硬件防火墙相当重要,因此选购硬件防火墙也是很重要的。首先品牌很重要,好的硬件防火墙需要资金和技术作为后盾,大品牌大公司生产的技术相对来说会更好,而且售后服务也会更好。其次是安全性能,网络的安全是信息安全的生命.只有硬件防火墙本身安全,没有漏洞才能保护好大中型网络内部安全。再次,防火墙的数据处理能力是主要性能标准,尤其是在大型网络中,如果没有一定的数据吞吐量是无法完成保护网络安全的目的的。最后就是硬件防火墙的兼容性,良好的兼容性也是网络安全的重要前提。
综合来说,硬件防火墙在大中型网络中起到了保卫安全的重要作用,大中型网络的安全关乎到企业社会和国家的信息安全,因此通过理论研究硬件防火墙,对保障信息安全起着重要作用。