freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

2005年度千兆防火墻公開比較評測報(bào)告(編輯修改稿)

2024-09-10 20:47 本頁面
 

【文章內(nèi)容簡介】 無攻擊/攻擊) Check Point0/68 Fortinet0/61 聯(lián)想網(wǎng)御0/0 首信0/931 Symantec0/1867 防御攻擊時(shí)的Web性能   測試工程師:防火墻所處的位置決定了它會(huì)經(jīng)受非常多惡意行為的挑戰(zhàn)。當(dāng)它和攻擊做斗爭時(shí),在其翼護(hù)下的用戶上網(wǎng)感受將會(huì)怎樣?   測試實(shí)況:我們首先創(chuàng)建了Web背景流,測試儀模擬的用戶規(guī)模和上面的測試相同,只不過服務(wù)器端的網(wǎng)頁變?yōu)橛?K字節(jié)到256K字節(jié)不等的多種靜態(tài)頁面。   然后,防火墻啟動(dòng)攻擊防御,測試儀開始通過內(nèi)網(wǎng)向處于DMZ的服務(wù)器進(jìn)行Ping_Flood攻擊,攻擊參數(shù)設(shè)置參見第41版防DoS攻擊部分。當(dāng)確認(rèn)防御成功后,重新傳輸Web背景流。我們對攻擊前后Web應(yīng)用背景流的數(shù)值表現(xiàn)進(jìn)行了比較。   結(jié)果發(fā)現(xiàn),當(dāng)不啟動(dòng)攻擊時(shí),Web應(yīng)用穿越各個(gè)防火墻時(shí)的性能差異非常細(xì)微。在攻擊防御過程中,穿過參測設(shè)備建立的TCP連接的延遲大多有了明顯的變化,而連接建立后開始響應(yīng)頁面的延遲多半沒有劇烈變化。參見表三和圖3。   通過在防火墻上監(jiān)視流量,負(fù)載最大時(shí)達(dá)到了350Mbps左右。   可貴的是,即使防火墻忙于抗DoS攻擊,聯(lián)想網(wǎng)御SuperV在Web應(yīng)用方面的性能也沒有任何降低。CheckPointiSECURITYSP5500和FortiGate3600的表現(xiàn)也不錯(cuò),它們將TCP連接建立的延遲控制在70ms以下。 測試點(diǎn)評 何去何從防火墻   現(xiàn)在黑客的目標(biāo)直指防火墻一般都打開的端口——80和443等,比如通過HTTP攜帶惡意數(shù)據(jù)進(jìn)行跨站腳本攻擊等,或者將P2P通信應(yīng)用在80端口上或干脆直接封包在HTTP協(xié)議中,而黑客完全可以通過未經(jīng)授權(quán)的P2P通信進(jìn)入企業(yè)網(wǎng)絡(luò)內(nèi)部。   顯然,作為邊界安全網(wǎng)關(guān)產(chǎn)品,防火墻僅僅提供端口級(jí)的訪問控制已經(jīng)不能解決上述問題。防火墻必須要在應(yīng)用層數(shù)據(jù)分析上邁出一大步。   盡管在這次測試中,我們沒有對應(yīng)用層防護(hù)進(jìn)行更多的測試,但是,通過對P2P通信控制能力的考查,已經(jīng)可以對這些產(chǎn)品在應(yīng)用層的分析程度上有一個(gè)基本認(rèn)識(shí)。正可謂“落葉而知秋”。   不管是“安全網(wǎng)關(guān)”還是“應(yīng)用智能”,他們都已擺脫“地址+端口”的羈絆,開始著眼于應(yīng)用數(shù)據(jù)的內(nèi)部,只不過程度不同。有人認(rèn)為應(yīng)用層數(shù)據(jù)的分析不應(yīng)該由防火墻來完成。可是,對于來自外網(wǎng)的威脅,有哪個(gè)用戶愿意買多臺(tái)功能不同的設(shè)備將它們組合起來?以前,用戶更多的是迫于無奈。   現(xiàn)在有了這類完全集成或部分集成的產(chǎn)品??墒牵藗兒軗?dān)心防火墻變得更加“聰明”后的性能問題。   談到性能,大家應(yīng)該從多個(gè)角度去考察,僅僅看“permitany”情況下、64字節(jié)的UDP轉(zhuǎn)發(fā)性能是片面的。防火墻添加了規(guī)則后表現(xiàn)怎么樣?不同包長混合、UDP和TCP連接混合后的表現(xiàn)怎么樣?防御攻擊時(shí)的性能怎么樣?   從另一個(gè)角度說,有的“一體化”產(chǎn)品的性能也的確需要加強(qiáng),但我們看到,有些變得更“聰明”后的產(chǎn)品的性能也是不錯(cuò)的。   此外,不要忘了防火墻首先是一個(gè)安全產(chǎn)品。隨著黑客們的行為、網(wǎng)絡(luò)通信方式較之以前發(fā)生的變化,防火墻應(yīng)該知難而進(jìn)!我們了解到,一些傳統(tǒng)狀態(tài)檢測防火墻廠商正在開發(fā)應(yīng)用層的防護(hù)功能,有的還正與防病毒廠商合作,旨在增加邊界網(wǎng)關(guān)的防范能力。另外,一些安全網(wǎng)關(guān)也努力地向更高性能發(fā)展,在我們的這些參測廠商中,有的馬上就要推出全新的產(chǎn)品禁止掃描   黑客:主機(jī)掃描→端口掃描→漏洞掃描,這是一個(gè)極為常見且有效的窺探目標(biāo)主機(jī)的方法。它雖算不上是攻擊,但針對某臺(tái)設(shè)備的攻擊往往在這些步驟結(jié)束后接踵而至。有些國家視未經(jīng)允許掃描他人主機(jī)為非法?! y試工程師:不管是企業(yè)網(wǎng)內(nèi)的重要服務(wù)器還是普通員工的個(gè)人電腦都不應(yīng)該被肆意掃描?! y試實(shí)況: 我們首先在防火墻不加任何防范情況下在內(nèi)網(wǎng)掃描一臺(tái)位于DMZ(非軍事化區(qū))的服務(wù)器。內(nèi)網(wǎng)的掃描主機(jī)在Fedora Core 3上安裝了Nmap和Nessus等掃描軟件,被掃描的服務(wù)器為默認(rèn)安裝的Windows Server 2003。Nessus漏洞掃描的成功建立在主機(jī)掃描和端口掃描成功的基礎(chǔ)上。防范Nmap的掃描行為是給防火墻出的第一道題!  如圖1所示,它是防火墻不加防御情況下對DMZ中服務(wù)器的掃描結(jié)果(任何一個(gè)采用默認(rèn)安裝的操作系統(tǒng)都是不安全的)。在獲取了這些信息后,黑客就可以利用這些漏洞或隱患著手下一步的攻擊了。圖為:安全風(fēng)險(xiǎn)  然后,我們讓廠商的工程師進(jìn)行現(xiàn)場配置,在保證其他通信不受影響的前提下提供
點(diǎn)擊復(fù)制文檔內(nèi)容
化學(xué)相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖片鄂ICP備17016276號(hào)-1