freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

淺談網(wǎng)絡(luò)安全的實際意義56018(參考版)

2025-04-16 05:17本頁面
  

【正文】 收集非.……IXPUB技術(shù)博客%C7G,tl(f_) 15 。IXPUB技術(shù)博客5yqSJB jP209內(nèi)容比對自 信息與網(wǎng)絡(luò)安全(楊茂云)電子書第08章 入侵檢測技術(shù) 誤用檢測模型(Misuse Detection):檢測與已知的不可接受行為之間的匹配程度。但由于現(xiàn)在網(wǎng)絡(luò)的日趨復雜和高速網(wǎng)絡(luò)的普及,這種結(jié)構(gòu)正受到越來越大的挑戰(zhàn)。hn TqrIu0IXPUB技術(shù)博客5Z[1N6x4{   不難看出,網(wǎng)絡(luò)型IDS的優(yōu)點主要是簡便:一個網(wǎng)段上只需安裝一個或幾個這樣的系統(tǒng),便可以監(jiān)測整個網(wǎng)段的情況。往往將一臺機子的網(wǎng)卡設(shè)于混雜模式(promisc mode),監(jiān)聽所有本網(wǎng)段內(nèi)的數(shù)據(jù)包并進行判斷。主機型入侵檢測系統(tǒng)保護的一般是所在的系統(tǒng)。目前,試圖對IDS進行標準化的工作有兩個組織:IETF的Intrusion Detection Working Group (idwg)和Common Intrusion Detection Framework (CIDF),但進展非常緩慢,尚沒有被廣泛接收的標準出臺。除了國外的ISS、axent、NFR、cisco等公司外,國內(nèi)也有數(shù)家公司(如中聯(lián)綠盟,中科網(wǎng)威等)推出了自己相應(yīng)的產(chǎn)品。      具體說來,入侵檢測系統(tǒng)的主要功能有:      ;   ;   ;  ?。? ??;   ,并識別違反安全策略的用戶活動。與其他安全產(chǎn)品不同的是,入侵檢測系統(tǒng)需要更多的智能,它必須可以將得到的數(shù)據(jù)進行分析,并得出有用的結(jié)果。它通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中得若干關(guān)鍵點收集信息并對其進行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。      本文中的“入侵”(Intrusion)是個廣義的概念,不僅包括被發(fā)起攻擊的人(如惡意的黑客)取得超出合法范圍的系統(tǒng)控制權(quán),也包括收集漏洞信息,造成拒絕訪問(Denial of Service)等對計算機系統(tǒng)造成危害的行為。與此同時,當今的網(wǎng)絡(luò)環(huán)境也變得越來越復雜,各式各樣的復雜的設(shè)備,需要不斷升級、補漏的系統(tǒng)使得網(wǎng)絡(luò)管理員的工作不斷加重,不經(jīng)意的疏忽便有可能造成安全的重大隱患。傳統(tǒng)上,公司一般采用防火墻作為安全的第一道防線。不再是計算機的操作系統(tǒng)直接通過網(wǎng)卡進行通信,而是以操作系統(tǒng)通過和個人防火墻對話,仔細檢查網(wǎng)絡(luò)通信,然后再通過網(wǎng)卡通信。用戶可能允許所有的Web連接、來自某些特定IP地址范圍的連接等,個人防火墻然后把這條規(guī)則應(yīng)用于所有傳入的Web連接。然后個人防火墻便記住響應(yīng)方式,并應(yīng)用于以后遇到的相同那種網(wǎng)絡(luò)通信。通常,這些防火墻是安裝在計算機網(wǎng)絡(luò)接口的較低級別上,使得它們可以監(jiān)視傳入傳出網(wǎng)卡的所有網(wǎng)絡(luò)通信。 現(xiàn)在網(wǎng)絡(luò)上流傳著很多的個人防火墻軟件,它是應(yīng)用程序級的。如果沒有事先定義好的規(guī)則,NAT只是簡單的丟棄所有未經(jīng)請求的傳入連接,就像包過濾防火墻所做的那樣。一旦建立了連接,在內(nèi)部計算機和Web站點之間來回流動的通信就都是透明的了。 NAT經(jīng)常用于小型辦公室、家庭等網(wǎng)絡(luò),多個用戶分享單一的IP地址,并為Internet連接提供一些安全機制。 討論到防火墻的主題,就一定要提到有一種路由器,盡管從技術(shù)上講它根本不是防火墻。要求認證的方式由只為已知的用戶建立連接的這種限制,為安全性提供了額外的保證。 這種連接和轉(zhuǎn)移對該用戶來說是透明的,因為它完全是由代理防火墻自動處理的。 例如,一個用戶的Web瀏覽器可能在80端口,但也經(jīng)??赡苁窃?080端口,連接到了內(nèi)部網(wǎng)絡(luò)的HTTP代理防火墻。 另外,如果不為特定的應(yīng)用程序安裝代理程序代碼,這種服務(wù)是不會被支持的,不能建立任何連接。相反,它是接受來自內(nèi)部網(wǎng)絡(luò)特定用戶應(yīng)用程序的通信,然后建立于公共網(wǎng)絡(luò)服務(wù)器單獨的連接。 由信息,防火墻可以減少這種方式的攻擊。對其他種類的包,情況和UDP包類似。對傳入的包,若它所使用的地址和UDP包攜帶的協(xié)議與傳出的連接請求匹配,該包就被允許通過。這種信息的缺乏使得防火墻確定包的合法性很困難,因為沒有打開的連接可利用,以測試傳入的包是否應(yīng)被允許通過。UDP包比TCP包簡單,因為它們不包含任何連接或序列信息。在這種方式下,傳入的包只有在它是響應(yīng)一個已建立的連接時,才會被允許通過。通常情況下,防火墻丟棄所有外部的連接企圖,除非已經(jīng)建立起某條特定規(guī)則來處理它們。 跟蹤連接狀態(tài)的方式取決于包通過防火墻的類型: TCP包。例如,到專用Web服務(wù)器的連接,在Web服務(wù)器連接被允許之前,可能被發(fā)到SecutID服務(wù)器(用一次性口令來使用)。如果正在運行Web服務(wù)器,防火墻只將80端口傳入的通信發(fā)到指定的Web服務(wù)器。 如果在防火墻內(nèi)正運行一臺服務(wù)器,配置就會變得稍微復雜一些,但狀態(tài)包檢查是很有力和適應(yīng)性的技術(shù)。因為防火墻跟蹤內(nèi)部出去的請求,所有按要求傳入的數(shù)據(jù)被允許通過,直到連接被關(guān)閉為止。如果傳入的包是要傳給發(fā)出請求的相同系統(tǒng),防火墻進行匹配,包就可以被允許通過。為了跟蹤包的狀態(tài),防火墻還記錄有用的信息以幫助識別包,例如已有的網(wǎng)絡(luò)連接、數(shù)據(jù)的傳出請求等。它僅是存在而已。允許和拒絕包的決定完全取決于包自身所包含的信息,如源地址、目的地址、端口號等。 當包過濾防火墻見到一個網(wǎng)絡(luò)包,包是孤立存在的。…… 狀態(tài)/動態(tài)檢測防火墻,試圖跟蹤通過防火墻的網(wǎng)絡(luò)連接和包,這樣防火墻就可以使用一組附加的標準,以確定是否允許和拒絕通信。通常,為了安全起見,與傳入規(guī)則不匹配的包就被丟棄了。如果允許Web連接,但只針對特定的服務(wù)器,目的端口和目的地址二者必須與規(guī)則相匹配,才可以讓該包通過。如果允許傳入Web連接,而目的端口為80,則包就會被放行。然后,將這些信息與設(shè)立的規(guī)則相比較。防火墻的任務(wù),就是作為“通信警察”,指引包和截住那些有危害的包。 本質(zhì)上,包過濾防火墻是多址的,表明它有兩個或兩個以上網(wǎng)絡(luò)適配器或接口。 P197198內(nèi)容比對自全面解析防火墻基本分類以及優(yōu)缺點 (1) 一、防火墻的基本分類 防火墻檢查每一個通過的網(wǎng)絡(luò)包,或者丟棄,或者放行,取決于所建立的一套規(guī)則。雖然這樣做也是可以的,但是工作效率并不能和真正的PC架構(gòu)防火墻相比,因為PC架構(gòu)防火墻采用的是專門修改簡化過的系統(tǒng)和相應(yīng)防火墻程序,比一般計算機系統(tǒng)和軟件防火墻更高度緊密集合,而且由于它的工作性質(zhì)決定了它要具備非常高的穩(wěn)定性、實用性和非常高的系統(tǒng)吞吐性能,這些要求并不是安裝了多網(wǎng)卡的計算機就能簡單替代的,因此PC架構(gòu)防火墻雖然是與計算機差不多的配置,價格卻相差很大。由于硬件防火墻的主要作用是把傳入的數(shù)據(jù)報文進行過濾處理后轉(zhuǎn)發(fā)到位于防火墻后面的網(wǎng)絡(luò)中,因此它自身的硬件規(guī)格也是分檔次的,盡管硬件防火墻已經(jīng)足以實現(xiàn)比較高的信息處理效率,但是在一些對數(shù)據(jù)吞吐量要求很高的網(wǎng)絡(luò)里,檔次低的防火墻仍然會形成瓶頸,所以對于一些大企業(yè)而言,芯片級的硬件防火墻才是他們的首選。 硬件防火墻一般是通過網(wǎng)線連接于外部網(wǎng)絡(luò)接口與內(nèi)部服務(wù)器或企業(yè)網(wǎng)絡(luò)之間的設(shè)備,這里又另外派分出兩種結(jié)構(gòu),一種是普通硬件級別防火墻,它擁有標準計算機的硬件平臺和一些功能經(jīng)過簡化處理的UNIX系列操作系統(tǒng)和防火墻軟件,這種防火墻措施相當于專門拿出一臺計算機安裝了軟件防火墻,除了不需要處理其他事務(wù)以外,它畢竟還是一般的操作系統(tǒng),因此有可能會存在漏洞和不穩(wěn)定因素,安全性并不能做到最好;另一種是所謂的“芯片”級硬件防火墻,它采用專門設(shè)計的硬件平臺,在上面搭建的軟件也是專門開發(fā)的,并非流行的操作系統(tǒng),因而可以達到較好的安全性能保障。 軟件防火墻工作于系統(tǒng)接口與NDIS之間,用于檢查過濾由NDIS發(fā)送過來的數(shù)據(jù),在無需改動硬件的前提下便能實現(xiàn)一定強度的安全保障,但是由于軟件防火墻自身屬于運行于系統(tǒng)上的程序,不可避免的需要占用一部分CPU資源維持工作,而且由于數(shù)據(jù)判斷處理需要一定的時間,在一些數(shù)據(jù)流量大的網(wǎng)絡(luò)里,軟件防火墻會使整個系統(tǒng)工作效率和數(shù)據(jù)吞吐速度下降,甚至有些軟件防火墻會存在漏洞,導致有害數(shù)據(jù)可以繞過它的防御體系,給數(shù)據(jù)安全帶來損失,因此,許多企業(yè)并不會考慮用軟件防火墻方案作為公司網(wǎng)絡(luò)的防御措施,而是使用看得見摸得著的
點擊復制文檔內(nèi)容
公司管理相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖鄂ICP備17016276號-1