迪普FW1000系列防火墙技术白皮书1 概述随着网络技术得普及,网络攻击行为出现得越来越频繁。通过各种攻击软件,只要具有一般计算机常识得初学者也能完成对网络得攻击。各种网络病毒得泛滥,也加剧了网络被攻击得危险。目前,Internet网络上常见得安全威胁分为以下几类:非法使用:资源被未授权得用户(也可以称为非法用户)或以未授权方式(非法权限)使用、例如,攻击者通过猜想帐号与密码得组合,从而进入计算机系统以非法使用资源。拒绝服务:服务器拒绝合法用户正常访问信息或资源得请求。例如,攻击者短时间内使用大量数据包或畸形报文向服务器不断发起连接或请求回应,致使服务器负荷过重而不能处理合法任务。信息盗窃:攻击者并不直接入侵目标系统,而就是通过窃听网络来猎取重要数据或信息。数据篡改:攻击者对系统数据或消息流进行有选择得修改、删除、延误、重排序及插入虚假消息等操作,而使数据得一致性被破坏。目前网络中主要使用防火墙来保证内部网路得安全、防火墙类似于建筑大厦中用于防止火灾蔓延得隔断墙,Internet防火墙就是一个或一组实施访问控制策略得系统,它监控可信任网络(相当于内部网络)与不可信任网络(相当于外部网络)之间得访问通道,以防止外部网络得危险蔓延到内部网络上。防火墙作用于被保护区域得入口处,基于访问控制策略提供安全防护。例如:当防火墙位于内部网络与外部网络得连接处时,可以保护组织内得网络与数据免遭来自外部网络得非法访问(未授权或未验证得访问)或恶意攻击;当防火墙位于组织内部相对开放得网段或比较敏感得网段(如保存敏感或专有数据得网络部分)得连接处时,可以根据需要过滤对敏感数据得访问(即使该访问就是来自组织内部)。防火墙技术经历了包过滤防火墙、代理防火墙、状态防火墙得技术演变,但就是随着各种基于不安全应用得攻击增多以及网络蠕虫病毒得泛滥,传统防火墙面临更加艰巨得任务,不但需要防护传统得基于网络层得协议攻击,而且需要处理更加高层得应用数据,对应用层得攻击进行防护、对于互联网上得各种蠕虫病毒,必须能够推断出网络蠕虫病毒得特征,把网络蠕虫病毒造成得攻击阻挡在安全网络之外。从而对内部安全网络形成立体、全面得防护、Internet基于网络协议得防火墙不能阻止各种攻击工具更加高层得攻击网络中大量得低安全性家庭主机成为攻击者或者蠕虫病毒得被控攻击主机被攻克得服务器也成为辅助攻击者造成当前网络“安全危机"另外一个因素就是忽视对内网安全得监控管理。防火墙防范了来之外网得攻击,...
