有数的几种,但危害性非常大,如Synflooding等。
要求防火墙解决第一类攻击显然是强人所难。系统缺陷和病毒不同, 没有病毒码可以作为依据, 因此在判断到底是不是攻击时常常出现误报现象,目前国内外的入侵检测产品对这类攻击的检测至少有 50% 的误报率。而且这类攻击检测产品不能装在防火墙上, 否则防火墙可能把合法的报文认为是攻击。防火墙能做的是对付第二类攻击, 当然要彻底解决这类攻击也是很难的。抵抗拒绝服务攻击应该是防火墙的基本功能之一,目前有很多防火墙号称可以抵御拒绝服务攻击,实际上严格地说,它应该是可以降低拒绝服务攻击的危害而不是抵御这种攻击。因此在采购防火墙时,网管人员应该详细考察这一功能的真实性和有效性。
■ 注意九:是否可以针对用户身份进行过滤
防火墙过滤报文时, 最基础的是针对 IP 地址进行过滤。大家都知道,IP 地址是非常容易修改的, 只要打听到内部网里谁可以穿过防火墙,那么将自己的 IP 地址改成和他的一样就可以了。这就需要一个针对用户身份而不是IP地址进行过滤的办法。目前防火墙上常用的是一次性口令验证机制, 通过特殊的算法, 保证用户在登录防火墙时, 口令不会在网络上泄露, 这样防火墙就可以确认登录上来的用户确实和他所声称的一致。
这样做的好处有两个: 一,用户可以页码:[1] [2] [3] [4] [5] [6] [7] 第6页、共7页 |
