179
制。象3)会话认证SA( Session Authentication):防火墙提供通信双方每次通倍时透明的会话授
它的实现主要有三种方法:文,治にな() )基于口令的认证 (password-based Authe日令是收发双方先预定好的
数据。口令验证是根据用户知道什么来进行的。在很多计算机网络和分布式系统中,对资
将其以明文形式不加保护地在网上传输,到达主机后,主机在数据库中査询该用户的口令,与 源的保护是通过用户直接输入口令录到各个主机上实现的。这种情况下,用户选择口令并
只谈谈其中三点:①用户所选的口令不是随机分配的。の如果一个用户在不同主机上有多 接收到的口令比较。如果相同则用户合法,不同则非法。这种方法存在许多不安全因素。这
个户,则他不得不为每个主机记忆一个ロ令、而且当他每换一个主机时就必须输入一遍口
令,这很不方便。相反,用户对于整个计算机网络或分布式系统来说应该是单个用户。②口令
的传输易受消极攻击( passive attac)和重播攻击( replay attack)。主要因为第三个缺点,口令
冒用户。认证不适合用于计算机网络和分布式系统。通过网络传送的口令很容易被截获并且被用来假
(2)基于地址的认证( Address- Based Authentication)。基于寻址的身份认证可以克服口
器包的源地址而得到认证。它的主要思想是每个主机存储有其它可信任主机的记录。例如在 令认证的缺点,寻址认证并不依赖于在网络上传送口令,而是假定原点的身份可以通过参考数
umix中,每个主机有一个名为/ etc/host. equiv的文件,它包含有一张可信任主机名的列表。
用户使用本主机和远程主机上相同的用户名就可以不必输入ロ令而从一个可信任的主机上登
送口令的认证方式更不安全。录。但是,寻址认证并不是解决身份认证问题的通用办法,环境不同,它可能比以明文形式传
公钥密码体制的认证协议;②基于传统密码体制的认证协议:③基于密钥分配中心的认证协 (3)密码认证( Cryptographic Authentication)。密码认证又可以有三种实现机制:①基于
设计一个实用的身份认证的协议却是非常国难的。Q 以。通常,密码认证比上述两种身份认证更安全。尽管身份认证的基本设计原则很简单,但是
传统的身份认证一般采用口令认证,而它的实现通常是系统把口令以密文的方式存放在
一个特定的文件中。但用户名一般是公开的,如果攻击者得到这个文件、他极有可能破译,甚
反驶出来。在现实中已经有很多这样成功的例子。日 至直接采用字典攻击或猜测攻击来对系统进行攻击。这已经从Umx孫统的安全问题中可以
的应用服务。当外部网络的一个服务请求到达防火墙时,防火墙可以用其制定的平衡算法,确 5.负载平衡( Load Balance)。平衡服务器的负载,由多个服务器为外部网络用户提供相同
定请求是由哪台服务器来完成的。但对用户来讲,这些都是透明的低气写
180?爱 由于多数路由器本身就包含有分组过滤功,故网络访间控制功能可通过路由控制来实
现,从而使具有分组过滤功能的路由器称为第一代防火墙产品。
第一代防火墙产品的特点是 (1)利用路由器本身的对分组的解析,以访问控制表方式实现对分组的过滤。
2(2)过滤判决的依据可以是:地址、端口号、ICMP报文类型等。
附带防火墙的功能的方法,对安全性要求较高的网络则可单独利用一台路由器组成防火墙。1(3)只有分组过滤的功能,且防火墙与路由器是一体的,对安全要求低的网络采用路由器
第一代防火墙产品的不足之处在于: (1)路由协议十分灵活,本身具有安全漏洞,外部网络要探询内部网络十分容易。
例如:在使用FTP协议时,外部服务器容易从20号端ロ上与内部网相连,即使在路由器
设置了过速规则,内部网络的20端口仍可由外部探寻 (2)路由器上的分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设暑
网络系统管理员难以胜任,加之一旦出现新的协议,管理员就得加上更多的规去限制,这往 和配置十分复杂,它涉及到规则的逻辑一致性,作用端口的有效性和规则集的正确性,一般的
往会带来很多错误 (3)路由器防火墙的最大隐患是:攻击者可以“假冒”地址,由于信息在网络上是以明文专
送的,黑客可以在网络上例造假的路由信息欺骗防火墙。(4の路由器防火墙的本质性缺陷是:由于路由器的主要功能是为网络访问提供动态的,灵
活的路由,而防火墙则要对访间行为实施静态的、固定的控制,这是一对难以和的不盾,防火
墙的规则设置会大大降低路由器的性能。可以说;基于路由器的防火墙只是网络安全的一种应急措施,用这种权宜之计去对付黑客
的攻击是十分危险的。
第二阶段:用户化的防火墙工具套。为了弥补路由器防火墙的不足,很多大型用户纷纷要求以专门开发的防火墙系统来保护
自己的网络,从而推动了用户化的防火墙工具套的出现
作为第二代防火墙产品,用户化的防火墙工具套具有以下的特征:行
基,(2)针对用户需求,提供模块化的软件包;に1 定(1)将过滤功能从路由器中独立出来,并加上审计和告警功能;一月
(3)软件可通过网络发送,用户可自己动手构造防火墙;
(4)与第一代防火墙相比,安全性提高了,价格降低了。
当复杂的要求,并带来以下间题:,ty 国由于是纯软件产品,第二代防火墙产品无论在实现还是维护上都对系统管理员提出了相
(1)配置和维护过程复杂、费时;法互,
(2)对用户的技术要求高;
(3)全软件实现,安全性和处理速度均有局限
(4)实践表明,使用中出现差错的情况很多。
第三阶段:建立在通用操作系銃上的防火墙。
的田(
本文地址://www.xrqsnxx.com//article/3803.html