外部攻击与防火墙对抗 外部攻击主要有: DOS(DDOS)攻击 P假冒( SPoofing) 口令字攻击 邮件诈骗 对抗防火墙(anti- firewa‖)
外部攻击与防火墙对抗 • 外部攻击主要有: – DOS(DDOS)攻击 – IP假冒(IPspoofing) – 口令字攻击 – 邮件诈骗 – 对抗防火墙(anti-firewall)
防火墙 防火墙体系结构 路出器 双穴主机网关 被屏蔽主机网关 被屏子网 多重防火墙组合技术
防火墙 • 防火墙体系结构 – 屏蔽路由器 – 双穴主机网关 – 被屏蔽主机网关 – 被屏蔽子网 – 多重防火墙组合技术
屏黻路由器 屏黻路由器 ScreeningRoute这是防火墙最 基本的构件。它可以由厂家专门生产的路 由器实现,也可以用主机来实现。屏蔽路 由器作为内外连接的唯一通道,要求所有 的报文都必须在此通过检查。路由器上可 以装基于IP层的报文过滤软件,实现报文过 滤功能
屏蔽路由器 • 屏蔽路由器ScreeningRouter这是防火墙最 基本的构件。它可以由厂家专门生产的路 由器实现,也可以用主机来实现。屏蔽路 由器作为内外连接的唯一通道,要求所有 的报文都必须在此通过检查。路由器上可 以装基于IP层的报文过滤软件,实现报文过 滤功能
双穴主机网关 双穴主机网关 DualHomed Gateway方式最简单。Dual homed Gateway放置在两个网络之间,这个Dua homed Gateway又称为 bastionhost。这种结构成本低,但 它有单点失败的问题。 双穴主机网关优于屏蔽路由器的地方是:堡垒主机的系统 软件可用于维护系统日志、硬件拷贝日志或远程日志。这 对于日后的检査很有用。但这不能帮助网络管理者确认内 网中哪些主机可能已被黑客入侵 双穴主机网关的一个致命弱点是:一日入侵者侵入堡垒主 机并使其只具有路由功能,则任何网上用户均可以随便访 问内网
双穴主机网关 • 双穴主机网关DualHomedGateway方式最简单。DualhomedGateway放置在两个网络之间,这个DualhomedGateway又称为bastionhost。这种结构成本低,但 是它有单点失败的问题。 • 双穴主机网关优于屏蔽路由器的地方是:堡垒主机的系统 软件可用于维护系统日志、硬件拷贝日志或远程日志。这 对于日后的检查很有用。但这不能帮助网络管理者确认内 网中哪些主机可能已被黑客入侵。 • 双穴主机网关的一个致命弱点是:一旦入侵者侵入堡垒主 机并使其只具有路由功能,则任何网上用户均可以随便访 问内网
被屏蔽主机网关 屏蔽主机网关( ScreenedHostGateway)易 于实现也很安全,因此应用广泛。 如果受保护网是一个虚拟扩展的本地网, 即没有子网和路由器,那么内网的变化不 影响堡垒主机和屏蔽路由器的配置。危险 带限制在堡垒主机和屏蔽路由器
被屏蔽主机网关 • 屏蔽主机网关(ScreenedHostGateway)易 于实现也很安全,因此应用广泛。 • 如果受保护网是一个虚拟扩展的本地网, 即没有子网和路由器,那么内网的变化不 影响堡垒主机和屏蔽路由器的配置。危险 带限制在堡垒主机和屏蔽路由器