防火墙工作原理及应用.docx
- 文档编号:27524943
- 上传时间:2023-07-02
- 格式:DOCX
- 页数:20
- 大小:29.94KB
防火墙工作原理及应用.docx
《防火墙工作原理及应用.docx》由会员分享,可在线阅读,更多相关《防火墙工作原理及应用.docx(20页珍藏版)》请在冰豆网上搜索。
防火墙工作原理及应用
•防火墙工作原理及应用
当网络涉及不同的信任级别时(例如内部网、Internet或者网络划分),要保证安全必须安装控制设备。
此类控制设备几乎总是某种形式的防火墙。
4.1防火墙概念与分类
网络防火墙是隔离内部网与Internet之间的一道防御系统,这里有一个门,允许人们在内部网和开放的Internet之间通信。
访问者必须首先穿越防火墙的安全防线,才能接触目标计算机,网络防火墙如图4.1所示。
4.1.1防火墙简介
在没有防火墙时,局域网内部的每个节点都暴露给Internet上的其它主机,此时内部网的安全性要由每个节点的坚固程度来决定,且安全性等同于其中最薄弱的节点。
使用防火墙后,防火墙会将内部网的安全性统一到它自身,网络安全性在防火墙系统上得到加固,而不是分布在内部网的所有节点上。
防火墙把内部网与Internet隔离,仅让安全、核准了的信息进入,而阻止对内部网构成威胁的数据,它防止黑客更改、拷贝、毁坏重要信息;同时又不会妨碍人们对Internet的访问。
防火墙的工作原理
防火墙的基本功能
Ø作为一个中心“遏制点”,将内部网的安全管理集中起来,所有的通信都经过防火墙;
Ø只放行经过授权的网络流量,屏蔽非法请求,防止越权访问,并产生安全报警;
Ø能经受得起对其自身的攻击。
防火墙能为管理人员提供对下列问题的答案:
•什么人在使用网络?
•他们什么时间,使用了什么网络资源?
•他们连接了什么站点?
•他们在网上做什么?
•谁要上网,但是没有成功?
防火墙工作在OSI参考模型上
防火墙的发展史
Ø第一代防火墙技术由附加在边界路由器上的访问控制表ACL(AccessControlTable)构成,采用了包过滤技术。
Ø第二代代理防火墙即电路层网关和应用层网关。
Ø1994年,以色列的CheckPoint公司开发出了第一个基于动态包过滤技术的防火墙产品。
Ø1998年,美国的网络联盟公司NAI(NetworkAssociatesInc.)又推出了一种自适应代理技术。
防火墙的两大分类
尽管防火墙的发展经过了将近20年,但是按照防火墙对内外来往数据的处理方法,大致可以将防火墙分为两大体系:
包过滤防火墙和代理防火墙。
前者以Checkpoint防火墙和Cisco公司的PIX防火墙为代表,后者以NAI公司的Gauntlet防火墙为代表,表4.2为防火墙两大体系性能的比较。
防火墙两大体系性能的比较
防火墙的组成
防火墙既可以是一台路由器、一台PC或者一台主机,也可以是由多台主机构成的体系。
应该将防火墙放置在网络的边界。
网络边界是一个本地网络的整个边界,本地网络通过输入点和输出点与其它网络相连,这些连接点都应该装有防火墙,然而在网络边界内部也应该部署防火墙,以便为特定主机提供额外的、特殊的保护。
防火墙放置的位置
防火墙的分类
Ø根据采用的技术不同,可分为包过滤防火墙和代理服务防火墙;
Ø按照应用对象的不同,可分为企业级防火墙与个人防火墙;
Ø依据实现的方法不同,又可分为软件防火墙、硬件防火墙和专用防火墙。
软件防火墙
防火墙运行于特定的计算机上,一般来说这台计算机就是整个网络的网关。
软件防火墙像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。
使用这类防火墙,需要网络管理人员对所工作的操作系统平台比较熟悉。
硬件防火墙
由PC硬件、通用操作系统和防火墙软件组成。
在定制的PC硬件上,采用通用PC系统、Flash盘、网卡组成的硬件平台上运行Linux、FreeBSD、Solaris等经过最小化安全处理后的操作系统及集成的防火墙软件。
特点是开发成本低、性能实用、稳定性和扩展性较好,价格也低廉。
由于此类防火墙依赖操作系统内核,因此会受到操作系统本身安全性影响,处理速度也慢。
专用防火墙
采用特别优化设计的硬件体系结构,使用专用的操作系统,此类防火墙在稳定性和传输性能方面有着得天独厚的优势,速度快,处理能力强,性能高;由于使用专用操作系统,容易配置和管理,本身漏洞也比较少,但是扩展能力有限,价格也较高。
由于专用防火墙系列化程度好,用户可根据应用环境选择合适的产品。
4.1.2包过滤防火墙
1包过滤原理
包过滤(PacketFilter)是所有防火墙中最核心的功能,进行包过滤的标准是根据安全策略制定的。
通常情况下靠网络管理员在防火墙设备的ACL中设定。
与代理服务器相比,它的优势是不占用网络带宽来传输信息。
包过滤规则一般存放于路由器的ACL中。
在ACL中定义了各种规则来表明是否同意或拒绝数据包的通过。
如果没有一条规则能匹配,防火墙就会使用默认规则,一般情况下,默认规则要求防火墙丢弃该包。
包过滤的核心是安全策略即包过滤算法的设计。
ACL对数据包的过滤
ACL处理入数据包的过程
2无状态包过滤防火墙
无状态包过滤也叫静态包过滤或者无检查包过滤。
防火墙在检查数据包报头时,不关心服务器和客户机之间的连接状态,只是根据定义好的过滤规则集来检查所有进出防火墙的数据包报头信息来允许或者拒绝数据包。
无状态包过滤防火墙的执行
无状态包过滤防火墙的优缺点
Ø无状态包过滤防火墙最大的好处是速度快、效率高,对流量的管理较出色;由于所有的通信必须通过防火墙,所以绕过是困难的;同时对用户和应用是透明的。
Ø无状态包过滤防火墙的缺点也很明显:
它允许外部网络直接连接到内部网络主机;只要数据包符合ACL规则都可以通过,因此它不能区分包的“好”与“坏”;它不能识别IP欺诈。
它也不支持用户身份认证,不提供日志功能;虽然可以过滤端口,但是不能过滤服务。
IP欺骗
•当外部主机伪装内部主机的IP地址时,防火墙能够阻止这种类型的IP欺骗。
•但是当外部主机伪装成可信任的外部主机的IP地址时,防火墙却不能阻止它们。
•由于无状态包过滤防火墙不能为挂起的通信维持一个记录,所以它就必须根据数据包的格式来判断该数据包是否属于先前所允许的对话。
这就使其有受到IP欺诈的可能性,并且无法识别UDP数据包和ICMP包的状态。
无法过滤服务
2有状态包过滤防火墙
有状态包过滤也叫状态包检查SPI(State-fulPacketInspection)或者动态包过滤(Dynamicpacketfilter),后来发展成为包状态监测技术,它是包过滤器和应用级网关的一种折衷方案。
具有包过滤机制的速度和灵活,也有应用级网关的应用层安全的优点。
SPI防火墙
采用SPI技术的防火墙除了有一个过滤规则集外,还要对通过它的每一个连接都进行跟踪,汲取相关的通信和应用程序的状态信息,形成一个当前连接的状态列表。
列表中至少包括源和目的IP地址、源和目的端口号、TCP序列号信息,以及与那个特定会话相关的每条TCP/UDP连接的附加标记。
当一个会话经过防火墙时,SPI防火墙把数据包与状态表、规则集进行对比,只允许与状态表和规则集匹配的项通过。
✓在维护了一张状态表后,防火墙就可以利用更多的信息来决定是否允许数据包通过,大大降低了把数据包伪装成一个正在使用的连接的一部分的可能性。
✓SPI防火墙能够对特定类型数据包的数据进行检测。
如运行FTP协议的服务器和客户端程序有许多漏洞,其中一部分漏洞来源于不正确的请求或者不正确的命令。
✓SPI防火墙不行使代理功能,即不在源主机和目的之间建立中转连接;也不提供与应用层网关相同程度的保护,而是仅在数据包的数据部分查找特定的字符串。
SPI防火墙的处理过程
举例
SPI防火墙的优缺点
✓优点:
具有识别带有欺骗性源IP地址包的能力;检查的层面能够从网络层至应用层;具有详细记录通过的每个包的信息的能力,其中包括应用程序对包的请求,连接的持续时间,内部和外部系统所做的连接请求等。
✓缺点:
所有这些记录、测试和分析工作可能会造成网络连接的某种迟滞,特别是在同时有许多连接激活的时候,或者是有大量的过滤网络通信的规则存在时。
但是,硬件速度越快,这个问题就越不易察觉。
4.1.3代理服务防火墙
最初,代理服务器将常用的页面存储在缓冲区中,以便提高网络通信的速度。
后来代理服务器逐渐发展为能够提供强大安全功能的一种技术。
代理能在应用层实现防火墙功能,代理技术针对每一个特定应用都有一个程序,通过代理可以实现比包过滤更严格的安全策略。
1代理服务器原理
代理服务器(ProxyServer)防火墙是基于软件的。
运行在内部用户和外部主机之间,并且在它们之间转发数据,它像真的墙一样挡在内部网和Internet之间。
从外面来的访问者只能看到代理服务器但看不见任何内部资源;而内部客户根本感觉不到代理服务器的存在,他们可以自由访问外部站点。
代理可以提供极好的访问控制、登录能力以及地址转换功能,对进出防火墙的信息进行记录,便于管理员监视和管理系统。
举例
2代理服务器和包过滤的比较
✓代理服务器对整个IP包的数据进行扫描,因此它比包过滤器提供更详细的日志文件。
✓如果数据包和包过滤规则匹配,就允许数据包通过防火墙,而代理服务器要用新的源IP地址重建数据包,这样对外隐藏了内部用户。
✓使用代理服务器,意味着在Internet上必须有一个服务器,且内部主机不能直接与外部主机相连。
带有恶意攻击的外部数据包也就不能到达内部主机。
✓对网络通信而言,如果包过滤器由于某种原因不能工作,可能出现的结果是所有的数据包都能到达内部网;而如果代理服务器由于某种原因不能工作,整个网络通信将被终止。
3电路级网关
电路级网关不允许TCP端到端的连接,而是要建立两个连接。
其中一个连接是网关到内部主机,另一个是网关到外部主机。
一旦两个连接被建立,网关只简单地进行数据中转,即它只在内部连接和外部连接之间来回拷贝字节,并将源IP地址转换为自己的地址,使得外界认为是网关和目的地址在进行连接,电路级网关防火墙如图4.10所示。
由于电路级网关在会话建立连接后不对所传输的内容作进一步的分析,因此安全性稍低。
电路级网关的优缺点
✓电路级网关的优点是提供网络地址转换NAT(NetworkAddressTranslator),在使用内部网络地址机制时为网络管理员实现安全提供了很大的灵活性;基于和包过滤防火墙一样的规则,具有包过滤防火墙提供的所有优点。
✓电路级网关的缺点是不能很好地区分好包与坏包、易受IP欺骗类的攻击;需要修改应用程序和执行程序;要求终端用户通过身份认证。
4应用级网关
✓代理服务、应用级网关、应用程序代理这些术语指的都是同一种保护方式。
✓应用级网关主要工作在应用层。
它检查进出的数据包,如图4.11所示,通过自身(网关)复制传递数据,防止在内部网主机与Internet主机间直接建立联系。
✓它能够理解应用层上的协议,能够作复杂一些的访问控制,并做精细的注册和审核。
基本工作过程
在应用级网关中,每一种协议都需要相应的代理软件,常用的代理服务软件有如HTTP、SMTP、FTP、Telnet等,但是对于新开发的应用,尚没有相应的代理服务。
有些应用级网关还存储Internet上的那些被频繁使用的页面。
当用户请求的页面在服务器缓存中存在时,服务器将检查所缓存的页面是否是最新的版本(即该页面是否已更新),如果是最新版本,则直接提交给用户,否则,到真正的服务器上请求最新的页面,然后再转发给用户。
举例
应用级网关的优缺点
✓应用级网关的优点是能够有效地实现防火墙内外计算机系统的隔离,安全性好,还可用于实施较强的数据流监控、过滤、记录和报告等功能。
✓缺点是实现麻烦,对于那些为了使用代理服务器而修改自己应用的终端用户来说,这种选择缺乏透明度。
另外由于代理服务器必须采用操作系统服务来执行代理过程,所以它通常是建立在操作系统之上的,由此带来的问题是增加了开销、降低了性能,而且由于通用操作系统是众所周知的,所以该操作系统容易被攻击的漏洞也是公开的。
5自适应代理防火墙
虽然应用代理防火墙具有很好的安全性,但速度不尽如人意。
自适应代理技术(Adaptiveproxy)结合了代理服务器防火墙的安全性和包过滤防火墙的高速度等优点,组成这种类型防火墙的基本要素有两个:
自适应代理服务器(AdaptiveProxyServer)与动态包过滤器。
在自适应代理防火墙中,初始的安全检查仍在应用层中进行,保证实现传统防火墙的最大安全性;而一旦可信任身份得到认证,建立了安全通道,随后的数据包就可重新定向到网络层。
这使得它在毫不损失安全性的基础上将代理服务器防火墙的性能提高10倍以上。
4.1.4复合防火墙
✓由于防火墙所处的优越位置(内部网与Internet的分界点),在实际应用中除了基本的过滤和访问控制外,防火墙又添加了NAT、VPN、IDS、AAA、QoS、加密、内容过滤、防病毒、路由管理、网络监视等功能。
刚开始这些功能都是由另外的设备提供,这些设备在网络中的位置处于串行或者并行。
✓目前通常的解决办法是将这些特性合并到防火墙中,当整合了这些功能的防火墙正常运转时,网络连接既安全可靠,又效率高。
1网络地址转换
网络地址转换NAT(NetworkAddressTranslator),是一种将一个IP地址域映射到另一个IP地址域的技术,从而为终端主机提供透明路由。
NAT常用于私有地址域与公用地址域的转换以解决IP地址匮乏问题。
在防火墙上实现NAT后,可以隐藏受保护网络的内部拓扑结构,在一定程度上提高网络的安全性。
它可以在边界路由器、包过滤防火墙以及代理服务防火墙上实现。
2虚拟专用网络
虚拟专用网络VPN(VirtualPrivateNetwork),是在公共网络中建立专用网络,数据通过安全的“加密通道”在公网中传播。
目前,VPN的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密匙来实现的,用于公司总部和分支机构、合作伙伴之间以及移动办公用户通过公网进行通信,并且达到安全的目的。
3入侵检测系统
入侵检测系统IDS(IntrusionDetectionSystem),是主动保护自己免受攻击的一种网络安全技术。
它要对侵入计算机网络和主机的行为进行发现并进行一定的阻止。
通常IDS安装在计算机网络或计算机系统的若干关键点,进行网络和系统的信息收集和分析,从中发现网络或系统中是否有违反安全策略的行为和攻击的迹象。
它扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。
4认证、授权、审计
✓认证、授权、审计AAA(Authentication,Authorization,Accounting),Cisco系统表述集中式身份验证服务器三大主要功能的术语,它是网络安全策略的一个组成部分。
✓认证:
确认远端访问用户的身份,判断访问者是否为合法的网络用户。
✓授权:
对用户进行认证后,授权服务将决定该用户可以访问哪些资源,允许该用户执行哪些操作。
✓审计:
为统计、计费和审计目的记录用户使用网络服务中的所有操作,包括使用的服务类型、起始时间、数据流量等信息。
5服务质量
服务质量QoS(QualityofService),是网络的一种安全机制。
拥有QoS的网络是一种智能网络,它可以对网络上传输的视音频流等对实时性要求较高的数据提供优先服务,从而保证较低的延迟。
如果不实施QoS,IP电话、电视会议及关键任务数据等应用只能作为“尽力而为”业务传输,这将导致在网络拥塞时话音和视频的不稳定性。
6其它
防火墙还应包含先进的鉴别措施,如身份识别及验证、信息的保密性保护、信息的完整性校验,以及授权管理技术等。
网络管理安全越完善,体系架构就越复杂。
管理网络的多台安全设备,还需要集中的网管。
4.1.5个人防火墙
✓个人版防火墙是安装在PC机系统里的一段“代码墙”把你的电脑和Internet分隔开。
它检查到达防火墙两端的所有数据包,无论是进入还是发出,从而决定该拦截这个包还是将其放行。
也就是说:
在不妨碍你正常上网浏览的同时,阻止Internet上的其他用户对你的计算机进行的非法访问。
✓一个好的个人版防火墙必须是低的系统资源消耗,高的处理效率,具有简单易懂的设置界面,具有灵活而有效的规则设定。
4.2防火墙体系结构
防火墙是保护网络安全的一个很好的选择,设置防火墙、选择合适类型的防火墙并配置它,是用好防火墙的三大关键任务。
如何设置它,应该将它放到什么位置是本节要讨论的问题。
在网络设计时要考虑网络安全问题,所以网络拓扑结构应该有网络安全拓扑内容。
关注网络安全拓扑设计对阻止网络攻击大有帮助。
并且能够使不同设备的安全特性得到最有效的使用。
4.2.1.堡垒主机
✧“堡垒”一词来源于中世纪,指城堡中特别加固的部分,用于发现和抵御攻击者的进攻。
✧在网络中堡垒主机是经过加固,安装了防火墙软件,但没有IP转发功能的计算机。
它对外界提供一些必要的服务,也可以被内部用户访问。
通常它只提供一种服务,因为提供的服务越多,导致的安全隐患的可能性也就越大。
✧它应该位于非军事区DMZ(DemilitarizedZone,也称为停火区或者周边网络)。
如果堡垒主机提供代理服务,它会知道自己将要为哪些应用提供代理。
配置堡垒主机
1)禁用不需要的服务;
2)限制端口;
3)禁用账户;
4)及时地安装所需要的补丁;
5)大部分能够用于操纵该台主机的工具和配置程序都要从该主机中删除;
6)开启主机的日志纪录,以便捕获任何危害它的企图;
7)进行备份;
8)堡垒主机和内部网要使用不同的认证系统。
以防止攻击者攻破堡垒主机后获得访问防火墙和内部网的权限。
堡垒主机的配置类型
1单宿主堡垒主机
有一块网卡的堡垒主机做防火墙,通常用于应用级网关防火墙。
将外部路由器配置成所有进来的数据均发送到堡垒主机上,同时将全部内部客户端配置成所有出去的数据都发送到这台堡垒主机上。
堡垒主机以安全方针作为依据检验这些数据。
它的主要缺点是可以配置路由器使信息直接进入内部网络,而完全绕过堡垒主机;内部用户也可以配置他们的主机,绕过堡垒主机把信息直接发送到路由器上。
2双宿主堡垒主机
有两块网卡的堡垒主机做防火墙,两块网卡各自与内外部网络相连。
但是内外部网络之间不能直接通信,内外部网络之间的数据流被双宿主机完全切断。
它采用主机取代路由器执行安全控制功能。
可以通过运行代理软件或者让用户直接注册到其上来提供网络控制。
当一个黑客若要访问内部网络时,他必须首先攻破双宿主堡垒主机,这使得网络管理员有时间阻止对入侵做出反应。
3内部堡垒主机
堡垒主机与内部网通信,以便转发从外部网获得的信息。
这类堡垒主机启用了较多的服务,并开放了较多的端口以便满足应用程序的需要。
4外部堡垒主机
堡垒主机为Internet提供公共服务,它不向内部网转发任何请求,而是自己处理请求。
它只提供非常有限的服务,并且只开放有限的端口来满足这类服务。
它需要更多的防御和保护,并应切断对内部网的任何访问。
5受害堡垒主机
该堡垒主机是故意向攻击者暴露的目标,也被称作蜜罐(honeypot)或者陷阱。
设置它的主要目的是引诱不法者的攻击,让黑客误以为已经成功侵入网络,并且让黑客继续“为所欲为”,以便赢得时间跟踪他们。
该堡垒主机只包含最起码的最小服务配置以便运行相应的程序。
4.2.2.非军事区
•在现代网络安全设计中用到的最关键的思想之一是按照功能或者部门将网络分割成网段。
不同的网段对安全有着不同的需要。
•以太网是一个广播的网络,网络上的任何机器都有可能查看到这个网络上的所有通信。
如果黑客侵入网络,可以容易地截获所有通信。
为了配置和管理方便,内部网需要向外提供服务的服务器往往放在一个单独的网段,这个网段便是DMZ。
DMZ在内部网之外,具有一个与内部网不同的网络号,连接到防火墙,提供公共服务。
•使用一个三脚防火墙
使用一个有三个接口的防火墙(三宿主防火墙)创建隔离区,如图4.12所示,每个隔离区成为这个防火墙接口的一员。
防火墙提供区之间的隔离,也提供了DMZ的安全。
•DMZ置于防火墙之外公网和防火墙之间
需要通过防火墙的流量首先通过DMZ。
缺点是DMZ暴露在公共面一侧,因此不推荐使用这种配置,
•DMZ置于防火墙之外不在公网和防火墙之间的通道上
DMZ位于边缘路由器的一个接口,没有与防火墙直接相连,如图4.14所示,从DMZ到防火墙形成一个隔离层。
在这种配置中路由器能够用于拒绝所有从DMZ子网到防火墙所在的子网的访问,当位于DMZ子网的主机受到危害,并且攻击者开始使用这个主机对网络发动进一步攻击时,增加的隔离层能够帮助延缓对防火墙的攻击进度。
•两个防火墙,一个DMZ
DMZ由两个防火墙来保护如图4.15。
防火墙①监控DMZ到Internet之间的通信,防火墙②监控DMZ到内部网之间的通信。
防火墙②相当于一个备份设备,可以作为故障切换防火墙,当防火墙①工作失败时,它可以立即工作。
由于防火墙①使得DMZ获得相当多的安全,但它的缺点是需要从Internet访问到内部网时,所有流量必须通过DMZ,所有从内部网到Internet的访问流量也都要经过DMZ,当一个DMZ设备被攻陷后,攻击者会阻截或者攻击这个流量。
解决的办法是在两个防火墙之间的设备上使用VLAN。
它的另一个缺点是需要使用两个防火墙,增加了设备的成本。
•“脏”DMZ
用一个边界路由器在不安全的Internet与准安全的DMZ之间建立一个分界线,即产生一个“脏”DMZ,见图4.16。
在这里边界路由器是担当第一道防线的普通路由器,内置的ACL用来实现由网络安全策略所定义的包过滤规则,以便可以对堡垒主机提供一个部分受保护的环境。
专用的防火墙提供第二道防线,更好的保护内部网资源。
4.2.3.屏蔽路由器
屏蔽路由器(ScreeningRouter)是在Internet和内部网之间放置一个路由器,使之执行包过滤功能,这是最简单的防火墙。
屏蔽路由器可以由路由器实现。
它作为内外连接的唯一通道,要求所有的数据包都必须在此通过检查。
在路由器上安装包过滤软件,实现包过滤功能。
图4.17显示了它的拓扑结构,虽然它并不昂贵,但仍能提供重要的保护。
屏蔽路由器体系结构也称筛选路由器体系结构,最大优点是架构简单且硬件成本较低,由于路由器提供非常有限的服务,所以保卫路由器比保卫主机较易实现。
屏蔽路由器的缺点
✓屏蔽路由器仅依靠包过滤规则过滤数据包,一旦有任何错误的配置,将会导致不期望的流量通过或者拒绝一些可接受的流量;
✓只有一个单独的设备保护网络,如果一个黑客损害到这个路由器,他将能访问到内部网中的任何资源;
✓屏蔽路由器不能隐藏内部网的配置,任何能访问屏蔽路由器的人都能轻松地看到内部网的布局和结构;
✓屏蔽路由器没有较好的监视和日志功能、没有报警功能,缺乏用户级身份认证,如果一个安全侵犯事件发生,对于这种潜在的威胁它不能通知网络管理员。
4.2.4双宿主主机体系结构
用一台装有两块网卡的堡垒主机做防火墙,两块网卡各自与内部网和Internet相连,如图4.18。
堡垒主机上运行防火墙软件,可以转发应用程序,提供服务等。
内、外部网之间的通信必须经过堡垒主机。
在这种体系结构中必须禁用路由选择功能,这样防火墙两边的网络才可以只与双宿主主机通信,而两系统不能直接通信。
优缺点
✧双宿主主机体系结构优于屏蔽路由器的地方是:
堡垒主机的系统软件可用于维护系统日志、硬件拷贝日志或远程管理日志。
这对于日后的检查很有用。
但这不能帮助网络管理者确认内部网中哪些主机可能已被黑客入侵。
✧双宿主主机体系结构的一个致命弱点是:
一旦入侵者侵入堡垒主机并使其只具有路由功能,则任何网上用户均可以随便访问内部网。
4.2.5
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 防火墙 工作 原理 应用