路由器对内网提供服务(假设提供服务的端口为tcp1455)。为了保证安全性,在路由器上需要配置成:外-〉内只允许client访问 server的tcp1455端口,其他拒绝。
针对现在的配置,存在的安全脆弱性如下:
1、IP地址欺骗(使连接非正常复位)
2、TCP欺骗(会话重放和劫持)
存在上述隐患的原因是,路由器不能监测TCP的状态。如果在内网的client和路由器之间放上防火墙,由于防火墙能够检测TCP的状态,并且可以重新随机生成TCP的序列号,则可以彻底消除这样的脆弱性。同时,防火墙的一次性口令认证客户端功能,能够实现在对应用完全透明的情况下,实现对用户的访问控制,其认证支持标准的Radius协议和本地认证数据库,可以完全与第三方的认证服务器进行互操作,并能够实现角色的划分。
页码:[1] [2] [3] [4] [5] [6] 第3页、共6页 |
