現在的網絡系統,不僅把系統內的計算機緊密的聯系在壹起,還把網絡連接起來。尤其是互聯網,它將全世界的計算機系統緊密地聯系在壹起。因此,如果不嚴格防禦,壹旦網絡遭到敵人或“黑客”的攻擊,後果將不堪設想。
在互聯網上,人們使用類似防火墻的方法來保護網絡資源免受侵犯。具有這種功能的設備稱為防火墻。防火墻是壹種介於內部網和互聯網之間的中間隔離系統。作為它們之間的阻擋屏障,起到加強安全和審計的作用。
建立防火墻的目的是保護您的網絡免受外部攻擊。因此,有必要確定哪些類型的信息允許通過防火墻,哪些不允許。這就是“防火墻安全策略問題”。
目前主要有兩種不同的安全策略:壹種是拒絕壹切未經授權的東西進入內網;另壹種是允許所有沒有被拒絕的東西進入。從網絡安全的角度來說,前者是嚴格的,也就是說:除了確認可信的信息,其他的都不允許進來,但這可能會影響互聯互通;後者是松散的,即除了被確認為不可信的以外,所有信息源都可以進入內網,有利於信息交換,但可能存在安全隱患。
采用何種安全策略的防火墻取決於網絡自身的條件和環境。妳要在對自己的網絡進行安全分析、風險評估、業務需求分析的基礎上,確定安全策略,采用相應的防火墻。
但是,防火墻和現實生活中采取的各種防火措施壹樣,只能將災難降到最低,而不能消除災難。最近,互聯網上出現了大量的“黑客”攻擊程序。這些“黑客”攻擊程序以正常文件為載體,以病毒的形式傳播,突破防火墻系統對“黑客”攻擊程序采取的防禦措施,巧妙地潛入並隱藏在系統內部,打開後門,“內外結合”黑客。造成這種情況的原因是網絡防火墻技術有壹定的局限性。
當前防火墻技術的局限性主要如下:
1.因為防火墻是根據網絡主機的源地址和目的地址來過濾信息流的,所以這個主機地址很容易偽造,如果同壹個地址有多個用戶,防火墻是無法區分的。
2.由於防火墻只是鑒別地址,沒有雙向身份認證,這就給偽造的服務器提供了可乘之機。
3.防火墻對訪問的控制比較粗糙,無法管理信息流的傳輸過程。
4.防火墻的物理結構不是內部的,而是外部的。無法防止來自內部的攻擊,對已入網用戶的操作和訪問缺乏審核能力。
因此,為了更好地保證網絡安全,除了不斷完善防火墻技術外,還應該利用各種加密技術和身份認證技術,註重認證授權,加強管理,使網絡系統擁有壹個良好安全的環境,確保這個系統的信息財富不被竊取和破壞。
學習點
邏輯炸彈
邏輯炸彈(Logic bomb)是壹個程序,或者程序的任何壹部分,它處於休眠狀態,直到某個特定作品的程序邏輯被激活,從而擾亂所有程序,造成程序癱瘓和物理損傷。因為它的影響力就像壹顆突如其來的炸彈,所以得名。“邏輯炸彈”造成的癥狀類似於某些病毒的結果,會對社會造成連帶的災難。與病毒相比,它強調的是破壞本身,實施破壞的過程是不會傳染的。在這樣的邏輯炸彈中,它與現實世界中的地雷非常相似。邏輯炸彈最常見的激活是日期。邏輯炸彈檢查系統的日期在達到預編程的日期和時間之前什麽都不是。此時,邏輯炸彈被激活並執行其代碼。