t从我的工作站远程登录到外部去。这本来是不应该成功的,但是我却成功了。那么数据包是怎样到达目的地的呢?经过了一系列的实验后,终于发现了这样一个简单的事实:那台机器通过一个以太网端口连接到网关LAN上,另一个路由器也被连接到了网关LAN上。而它的配置并不正确,并向内部发射了一个“缺省”路由项。从而使得那台机器获得了一条通往外部的路径。如果我们对内部网络的寄生缺省路由进行监视,或者我们的监视器不具有通告外部的IP地址,那么这种事情是可以避免的。
应用级网关
在防火墙的设计中,应用级网关代表了相反的极端。它不像包过滤那样拦截所有的信息,而是针对每一个特定的应用都有一个程序,说到这里大家就会发现,它是想在应用层实现防火墙的功能,答对了,这也就是应用级网关名称的由来。应用级网关有一个优点:它可以很方便地记录并控制所有的进/出的通信,如果你是一位有经验的网管的话,一定知道这一点是很重要的。很多公司和企业会限制员工的FTP通信,并控制带宽,很大程度上是基于公司安全的考虑,防止那些有价值的程序和数据被盗。但是,我们知道,这样的防火墙通常都只能防范那些来自于外部的攻击页码:[1] [2] [3] [4] [5] [6] 第4页、共6页 |
