2。 单防火墙和单子网
由于不同的资源存在着不同的风险程度,所以要基于此来对网络资源进行划分。这里的.风险包含两个因素: 资源将被妥协的可能性和资源本身的敏感性。例如:一个好的Web 服务器运行CGI 会比仅仅提供静态网页更容易得到用户的认可,但随之带来的却是Web 服务器的安全隐患。网络管理员在服务器前端配置防火墙,会减少它全面暴露的风险。数据库服务器中存放有重要数据,它比Web 服务器更加敏感,因此需要添加额外的安全保护层。
使用单防火墙和单子网保护多级应用系统的网络结构,这里所有的服务器都被安排在同一个子网,防火墙接在边界路由器与内部网络之间,防御来自Internet 的网络攻击。论文参考,arp欺骗。。在网络使用和基于主机的入侵检测系统下,服务器得到了加强和防护,这样便可以保护应用系统免遭攻击。像这样的纵向防护技术在所有坚固的设计中是非常普遍的,但它们并没有明显的显示在图表中。
在这种设计方案中,所有服务器都安排在同一个子网,用防火墙将它们与Internet 隔离,这些不同安全级别的服务器在子网中受到同等级的安全保护。尽管所有服务器都在一个子网,但网络管理员仍然可以将内部资源与外部共享资源有效地分离。使用单防火墙和单子网保护服务器的方案系统造价便宜,而且网络管理和维护比较简单,这是该方案的一个重要优点。因此, 当进一步隔离网络服务器并不能从实质上降低重要数据的安全风险时,采用单防火墙和单子网的方案的确是一种经济的选择。
3。 单防火墙和多子网
如果遇见适合划分多个子网的情况,网络管理员可以把内部网络划分成独立的子网,不同层的服务器分别放在不同的子网中,数据层服务器只接受中间层服务器数据查询时连接的端口,就能有效地提高数据层服务器的安全性,也能够帮助防御其它类型的攻击。论文参考,arp欺骗。。这时,更适于采用一种更为精巧的网络结构———单个防火墙划分多重子网结构。单个防火墙划分多重子网的方法就是在一个防火墙上开放多个端口,用该防火墙把整个网络划分成多个子网,每个子网分管应用系统的特定的层。管理员能够在防火墙不同的端口上设置不同的安全策略。
使用单个防火墙分割网络是对应用系统分层的最经济的一种方法,但它并不是没有局限性。逻辑上的单个防火墙,即便有冗余的硬件设备,当用它来加强不同安全风险级别的服务器的安全策略时,如果该防火墙出现危险或错误的配置,入侵者就会获取所有子网包括数据层服务器所在的最敏感网络的访问权限。而且,该防火墙需要检测所有子网间的流通数据,因此,它会变成网络执行效率的瓶颈。所以,在资金允许的情况下,我们可以用另一种设计方案———多个防火墙划分多个子网的方法,来消除这种缺陷。
4。arp欺骗对策
各种网络安全的对策都是相对的,主要要看网管平时对网络安全的重视性了。下面介始一些相应的对策:
在系统中建立静态ARP表,建立后对本身自已系统影响不大的,对网络影响较大,破坏了动态ARP解析过程。论文参考,arp欺骗。。静态ARP协议表不会过期的,我们用“arp–d”命令清除ARP表,即手动删除。论文参考,arp欺骗。。但是有的系统的静态ARP表项可以被动态刷新,如Solaris系统,那样的话依靠静态ARP表项并不能对抗ARP欺骗攻击,相反纵容了ARP欺骗攻击,因为虚假的静态ARP表项不会自动超时消失。论文参考,arp欺骗。。 在相对系统中禁止某个网络接口做ARP解析(对抗ARP欺骗攻击),可以做静态ARP协议设置(因为对方不会响应ARP请求报文)如:arp —sXXX。XXX。XX。X 08—00—20—a8—2e—ac。 在绝大多数操作系统如:Unix、BSD、NT等,都可以结合“禁止相应网络接口做ARP解析”和“使用静态ARP表”的设置来对抗ARP欺骗攻击。而Linux系统,其静态ARP表项不会被动态刷新,所以不需要“禁止相应网络接口做ARP解析”即可对抗ARP欺骗攻击。
【网络安全防火墙论文】相关文章:
1.网络安全论文
2.网络安全性论文
5.网络安全毕业论文
6.网络安全的论文
7.网络安全议论论文