前言信息和网络安全技术历经十多年的发展,无论在广度,还是在深度上,都有了很大的进步,其中一个重要的研究趋势就是注重攻防结合,追求最大化的动态安全
网络的攻与防,即为矛与盾
然而,与此相关的信息安全方面的文章大多数却是从盾来入手的,也就是说从防御的角度来论述
作为网管员来说,他要学习信息安全知识的话,不仅需要了解防护方面的技术,也需要了解检测和相应环节的技术(就是矛)
无数实践表明,最大的不安全,恰恰就是自以为安全
因为,信息安全具有很强的对抗性,威胁时刻存在,各种各样的安全问题常会掩盖在表面的平静之下
有太多的古训,诸如“隐患险于明火”、“知己知彼,百战不殆”……对于今天的网络信息安全防御依然有借鉴意义
对于实施攻击的黑客手法的洞悉,对于自身脆弱性的意识,都是自身安全的前提
为帮助广大网管员了解网络攻击和防火墙的方方面面,本文作者将从攻防兼备的角度,尽可能将纷繁复杂、是似而非的攻防思路整理清晰,以飨广大网管员
防火墙的基础知识防火墙是由楔和门两类功能部件构成,典型的防火墙包括一外一内两个楔和夹在中间的一个门
楔通常由路由器承担,而门通常由相当简化了操作系统的主机承担
换言之,楔强制内部网络和外部网络之间的通信通过门进行,门则执行安全措施并代理网络服务;门与内外楔之间分别链接一个独立的子网,其中,外楔和门之间的子网可以有一个非军事区,这块可部署对外的网络服务如www、ftp、dns等等
内外楔应阻塞不希望穿越防火墙的所有网络服务的分组,目前有两类主导性的防火墙:应用代理和分组过滤网关,这同防火墙概念中的门和楔功能部件相对应,但实际上,完善的防火墙需要这两个部件的有机结合,而不是孤立的发挥作用
防火墙一般有两个以上的网卡,一个连到外部(router),另一个是连到内部网络
当打开主机网络转发功能时,两个网卡间的网络通讯能直接通过
当有防火墙时,他好比插在网卡之间,对所有的网络通