freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

2005年度千兆防火墻公開比較評(píng)測(cè)報(bào)告(編輯修改稿)

2025-09-10 20:47 本頁(yè)面
 

【文章內(nèi)容簡(jiǎn)介】 無(wú)攻擊/攻擊) Check Point0/68 Fortinet0/61 聯(lián)想網(wǎng)御0/0 首信0/931 Symantec0/1867 防御攻擊時(shí)的Web性能   測(cè)試工程師:防火墻所處的位置決定了它會(huì)經(jīng)受非常多惡意行為的挑戰(zhàn)。當(dāng)它和攻擊做斗爭(zhēng)時(shí),在其翼護(hù)下的用戶上網(wǎng)感受將會(huì)怎樣?   測(cè)試實(shí)況:我們首先創(chuàng)建了Web背景流,測(cè)試儀模擬的用戶規(guī)模和上面的測(cè)試相同,只不過(guò)服務(wù)器端的網(wǎng)頁(yè)變?yōu)橛?K字節(jié)到256K字節(jié)不等的多種靜態(tài)頁(yè)面。   然后,防火墻啟動(dòng)攻擊防御,測(cè)試儀開始通過(guò)內(nèi)網(wǎng)向處于DMZ的服務(wù)器進(jìn)行Ping_Flood攻擊,攻擊參數(shù)設(shè)置參見(jiàn)第41版防DoS攻擊部分。當(dāng)確認(rèn)防御成功后,重新傳輸Web背景流。我們對(duì)攻擊前后Web應(yīng)用背景流的數(shù)值表現(xiàn)進(jìn)行了比較。   結(jié)果發(fā)現(xiàn),當(dāng)不啟動(dòng)攻擊時(shí),Web應(yīng)用穿越各個(gè)防火墻時(shí)的性能差異非常細(xì)微。在攻擊防御過(guò)程中,穿過(guò)參測(cè)設(shè)備建立的TCP連接的延遲大多有了明顯的變化,而連接建立后開始響應(yīng)頁(yè)面的延遲多半沒(méi)有劇烈變化。參見(jiàn)表三和圖3。   通過(guò)在防火墻上監(jiān)視流量,負(fù)載最大時(shí)達(dá)到了350Mbps左右。   可貴的是,即使防火墻忙于抗DoS攻擊,聯(lián)想網(wǎng)御SuperV在Web應(yīng)用方面的性能也沒(méi)有任何降低。CheckPointiSECURITYSP5500和FortiGate3600的表現(xiàn)也不錯(cuò),它們將TCP連接建立的延遲控制在70ms以下。 測(cè)試點(diǎn)評(píng) 何去何從防火墻   現(xiàn)在黑客的目標(biāo)直指防火墻一般都打開的端口——80和443等,比如通過(guò)HTTP攜帶惡意數(shù)據(jù)進(jìn)行跨站腳本攻擊等,或者將P2P通信應(yīng)用在80端口上或干脆直接封包在HTTP協(xié)議中,而黑客完全可以通過(guò)未經(jīng)授權(quán)的P2P通信進(jìn)入企業(yè)網(wǎng)絡(luò)內(nèi)部。   顯然,作為邊界安全網(wǎng)關(guān)產(chǎn)品,防火墻僅僅提供端口級(jí)的訪問(wèn)控制已經(jīng)不能解決上述問(wèn)題。防火墻必須要在應(yīng)用層數(shù)據(jù)分析上邁出一大步。   盡管在這次測(cè)試中,我們沒(méi)有對(duì)應(yīng)用層防護(hù)進(jìn)行更多的測(cè)試,但是,通過(guò)對(duì)P2P通信控制能力的考查,已經(jīng)可以對(duì)這些產(chǎn)品在應(yīng)用層的分析程度上有一個(gè)基本認(rèn)識(shí)。正可謂“落葉而知秋”。   不管是“安全網(wǎng)關(guān)”還是“應(yīng)用智能”,他們都已擺脫“地址+端口”的羈絆,開始著眼于應(yīng)用數(shù)據(jù)的內(nèi)部,只不過(guò)程度不同。有人認(rèn)為應(yīng)用層數(shù)據(jù)的分析不應(yīng)該由防火墻來(lái)完成??墒?,對(duì)于來(lái)自外網(wǎng)的威脅,有哪個(gè)用戶愿意買多臺(tái)功能不同的設(shè)備將它們組合起來(lái)?以前,用戶更多的是迫于無(wú)奈。   現(xiàn)在有了這類完全集成或部分集成的產(chǎn)品??墒?,人們很擔(dān)心防火墻變得更加“聰明”后的性能問(wèn)題。   談到性能,大家應(yīng)該從多個(gè)角度去考察,僅僅看“permitany”情況下、64字節(jié)的UDP轉(zhuǎn)發(fā)性能是片面的。防火墻添加了規(guī)則后表現(xiàn)怎么樣?不同包長(zhǎng)混合、UDP和TCP連接混合后的表現(xiàn)怎么樣?防御攻擊時(shí)的性能怎么樣?   從另一個(gè)角度說(shuō),有的“一體化”產(chǎn)品的性能也的確需要加強(qiáng),但我們看到,有些變得更“聰明”后的產(chǎn)品的性能也是不錯(cuò)的。   此外,不要忘了防火墻首先是一個(gè)安全產(chǎn)品。隨著黑客們的行為、網(wǎng)絡(luò)通信方式較之以前發(fā)生的變化,防火墻應(yīng)該知難而進(jìn)!我們了解到,一些傳統(tǒng)狀態(tài)檢測(cè)防火墻廠商正在開發(fā)應(yīng)用層的防護(hù)功能,有的還正與防病毒廠商合作,旨在增加邊界網(wǎng)關(guān)的防范能力。另外,一些安全網(wǎng)關(guān)也努力地向更高性能發(fā)展,在我們的這些參測(cè)廠商中,有的馬上就要推出全新的產(chǎn)品禁止掃描   黑客:主機(jī)掃描→端口掃描→漏洞掃描,這是一個(gè)極為常見(jiàn)且有效的窺探目標(biāo)主機(jī)的方法。它雖算不上是攻擊,但針對(duì)某臺(tái)設(shè)備的攻擊往往在這些步驟結(jié)束后接踵而至。有些國(guó)家視未經(jīng)允許掃描他人主機(jī)為非法。  測(cè)試工程師:不管是企業(yè)網(wǎng)內(nèi)的重要服務(wù)器還是普通員工的個(gè)人電腦都不應(yīng)該被肆意掃描?! y(cè)試實(shí)況: 我們首先在防火墻不加任何防范情況下在內(nèi)網(wǎng)掃描一臺(tái)位于DMZ(非軍事化區(qū))的服務(wù)器。內(nèi)網(wǎng)的掃描主機(jī)在Fedora Core 3上安裝了Nmap和Nessus等掃描軟件,被掃描的服務(wù)器為默認(rèn)安裝的Windows Server 2003。Nessus漏洞掃描的成功建立在主機(jī)掃描和端口掃描成功的基礎(chǔ)上。防范Nmap的掃描行為是給防火墻出的第一道題!  如圖1所示,它是防火墻不加防御情況下對(duì)DMZ中服務(wù)器的掃描結(jié)果(任何一個(gè)采用默認(rèn)安裝的操作系統(tǒng)都是不安全的)。在獲取了這些信息后,黑客就可以利用這些漏洞或隱患著手下一步的攻擊了。圖為:安全風(fēng)險(xiǎn)  然后,我們讓廠商的工程師進(jìn)行現(xiàn)場(chǎng)配置,在保證其他通信不受影響的前提下提供
點(diǎn)擊復(fù)制文檔內(nèi)容
化學(xué)相關(guān)推薦
文庫(kù)吧 www.dybbs8.com
備案圖片鄂ICP備17016276號(hào)-1