不可忽视谈网络防火墙和安全问题[三]

520pub

安全弱点的探测系统 \r\n\r\n　　收集到目标机构的网络信息之后，黑客会探测每个主机以寻求一个安全上的弱点。有几种工具可能被黑客用来自动扫描驻留在网络上的主机： \r\n\r\n　　· 由于已经知道的服务脆弱性较少，水平高的黑客能够写出短小的程序来试图连接到目标主机上特定的服务端口上。而程序的输出则是支持可攻击的服务的主机清单。 \r\n\r\n　　· 有几种公开的工具，如ISS(Internet Security Scanner, Internet安全扫描程序），SATAN(Security Analysis Tool for Auditing Networks，审计网络用的安全分析工具），可以对整个域或子网进行扫描并寻找安全上的漏洞。 \r\n\r\n　　这些程序能够针对不同系统的脆弱性确定其弱点。入侵者利用扫描收集来的信息去获得对目标系统的非法访问权。聪明的网络管理员能够在其网络内部使用这些工具来发现潜藏的安全弱点并确定那个主机需要用新的软件补丁（Patches）进行升级。 \r\n\r\n　　访问受保护系统 \r\n\r\n　　入侵者使用主机探测的结果对目标系统进行攻击。获得对受保护系统的访问权后，黑客可以有多种选择： \r\n\r\n　　· 入侵者可能试图毁掉攻击的痕迹，并在受损害的系统上建立一个新的安全漏洞或后门，以便在原始攻击被发现后可以继续访问这个系统。 \r\n\r\n　　· 入侵者可能会安全包探测器，其包括特洛伊马程序，用来窥探所在系统的活动，收集Telnet和FTP的帐户名和口令。黑客用这些信息可以将攻击扩展到其它机器。 \r\n\r\n　　· 入侵者可能会发现对受损系统有信任的主机。这样黑客就可以利用某个主机的这种弱点，并将攻击在整个机构网络上舱上展开。 \r\n\r\n　　· 如果黑客能够在受损系统上获得特权访问权限，他，或她就可以读取邮件，搜索私人文件，盗取私人文件，毁掉或毁坏重要数据。 \r\n\r\n　　基本的防火墙设计 \r\n\r\n　　在设计Internet防火墙时，网络管理员必须做出几个决定： \r\n\r\n　　· 防火墙的姿态（Stance） \r\n　　· 机构的整体安全政策 \r\n　　· 防火墙的经济费用 \r\n　　· 防火墙系统的组件或构件