黑客眼中的防火墙与路由器

爸7788

爸7788

2016-01-29 16:32

黑客眼中的防火墙与路由器,黑客眼中的防火墙与路由器
防火墙已经成为企业网络建设中的一个关键组成部分。但有很多用户,认为网络中已经有了路由器,可以实现一些简单的包过滤功能,所以,为什么还要用防火墙呢?以下我们针对防火墙与业界应用最多、最具代表性的路由器在安全方面的对比,来阐述为什么用户网络中有了路由器还需要防火墙。 

  一、两种设备产生和存在的背景不同 

  1、两种设备产生的根源不同 

  路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网络的数据包进行有效的路由,至于为什么路由、是否应该路由、路由过后是否有问题等根本不关心,所关心的是:能否将不同的网段的数据包进行路由从而进行通讯。 

  防火墙是产生于人们对于安全性的需求。数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点,重点是这个(一系列)数据包是否应该通过、通过后是否会对网络造成危害。 

  2、根本目的不同 

  路由器的根本目的是:保持网络和数据的“通”。 

  防火墙根本的的目的是:保证任何非允许的数据包“不通”。 

  二、核心技术的不同 

  Cisco路由器核心的ACL列表是基于简单的包过滤,从防火墙技术实现的角度来说,防火墙是基于状态包过滤的应用级信息流过滤。 

  一个最为简单的应用:企业内网的一台主机,通过路由器对内网提供服务(假设提供服务的端口为tcp 1455)。为了保证安全性,在路由器上需要配置成:外-〉内 只允许client访问 server的tcp 1455端口,其他拒绝。 

  针对现在的配置,存在的安全脆弱性如下: 

  1、IP地址欺骗(使连接非正常复位) 

  2、TCP欺骗(会话重放和劫持) 

  存在上述隐患的原因是,路由器不能监测TCP的状态。如果在内网的client和路由器之间放上防火墙,由于防火墙能够检测TCP的状态,并且可以重新随机生成TCP的序列号,则可以彻底消除这样的脆弱性。同时,防火墙的一次性口令认证客户端功能,能够实现在对应用完全透明的情况下,实现对用户的访问控制,其认证支持标准的Radius协议和本地认证数据库,可以完全与第三方的认证服务器进行互操作,并能够实现角色的划分。 

  虽然,路由器的"Lock-and-Key"功能能够通过动态访问控制列表的方式,实现对用户的认证,但该特性需要路由器提供Telnet服务,用户在使用使也需要先Telnet到路由器上,使用起来不很方便,同时也不够安全(开放的端口为黑客创造了机会)。 

本新闻共2页,当前在第1页  1  2  

(本文来源于图老师网站,更多请访问http://m.tulaoshi.com)
展开更多 50%)
分享

猜你喜欢

黑客眼中的防火墙与路由器

电脑网络
黑客眼中的防火墙与路由器

华为路由器防火墙配置命令

电脑网络
华为路由器防火墙配置命令

s8lol主宰符文怎么配

英雄联盟 网络游戏
s8lol主宰符文怎么配

防火墙入门:什么是防火墙

电脑网络
防火墙入门:什么是防火墙

再谈防火墙及防火墙的渗透

电脑网络
再谈防火墙及防火墙的渗透

lol偷钱流符文搭配推荐

英雄联盟 网络游戏
lol偷钱流符文搭配推荐

用Linux防火墙伪装抵挡黑客恶意攻击

Linux Linux命令 Linux安装 Linux编程 Linux桌面 Linux软件 Linux内核 Linux管理
用Linux防火墙伪装抵挡黑客恶意攻击

怎么关闭防火墙 教你简单关闭防火墙方法

计算机应用技术
怎么关闭防火墙 教你简单关闭防火墙方法

lolAD刺客新符文搭配推荐

英雄联盟
lolAD刺客新符文搭配推荐

Photoshop鼠绘甜蜜冲刺中的糖果国王

Photoshop鼠绘甜蜜冲刺中的糖果国王

防火墙防止DDOS的几种方式

防火墙防止DDOS的几种方式
下拉加载更多内容 ↓