资料下载

×

注意

该论坛处于只读模式。
Welcome, 来宾
Username: Password: Remember me
  • 页:
  • 1

TOPIC:

防火墙的安全性如何? 5 years 9 months ago #38619

让我来说明上下文。我对用户利用的任何漏洞利用程序以及计算机上的应用程序问题不感兴趣。我有兴趣了解防火墙本身的安全性,例如,防火墙配置为不允许传入连接。

假设没有物理访问和良好的配置(严格地说是从WAN端口传入),还有哪些其他利用方式。我之所以这样问,是因为我经常听到这样的声音,以至于任何防火墙都是有害的。我开始认为这些攻击媒介中的大多数(是在不知不觉中)是从内部产生的。

最有才华的组织能否在没有内部计算机帮助的情况下穿透正确配置的防火墙?如果是这样,怎么办?

只是在寻找更好的理解?谢谢。

防火墙的安全性如何? 5 years 9 months ago #38623

Rrlangly,

您肯定在我们的论坛上提出了一个很好的问题。

在IT行业中,绝对存在一个重大误解,即通过安装和配置防火墙,可以很好地保护公司及其网络基础结构。

人们不了解的是,防火墙不过是配置为允许流量通过与否的智能设备。如果是状态防火墙,它也将具有跟踪连接的能力,从而使劫持会话更加困难,并且能够动态打开端口。

事实是,对主要站点进行的最成功的黑客攻击并不是因为防火墙未能保护公司,而是因为运行在其上的Web服务器和应用程序容易受到攻击。黑客发现了各种漏洞,并利用它们来获得对Web服务器的未授权访问。从那里开始,黑客通常将易受攻击和被利用的服务器用作“垫脚石”,以访问内部网络。从那里开始,通常可以轻松访问资源和敏感信息。

一个很好的例子是最近在防火墙.cx上写的Ι。 分析不安全的Web服务器和网站对企业的影响 :

www.firewall.cx/general-topics-reviews/s...tions-companies.html

在本文中,您将了解真实的事实,在这些事实中,大型全球性公司受到黑客的攻击,这些黑客利用易受攻击的服务器,绕过防火墙,就像从未部署过防火墙一样。我们谈论的是数以百万计的帐户遭到入侵,黑客正在访问和分发极其敏感的信息。

市场充分意识到了这些问题,这就是为什么入侵防御系统(IPS)/入侵检测系统(IDS)开始出现在市场中的原因。与防火墙相比,这些设备在正确设置后会在OSI模型中以更高的级别检查数据包和流量,因此它们能够检测各种攻击/利用尝试,否则它们似乎是对防火墙的有效流量。

当您问一个有才华的组织是否能够穿透配置正确的防火墙时,我想回答这取决于防火墙背后运行的是什么。如果目标是Web服务器或防火墙已配置为将流量端口转发到的其他设备,那么我会回答“是”-他们很可能会发现并利用它-防火墙仍在做它的工作,但它无法将利用尝试与正常用户流量区分开!

希望这可以帮助。

克里斯。
克里斯·帕特塞尼迪斯(Chris Partsenidis)。
创办人兼总编辑
www.Firewall.cx

防火墙的安全性如何? 5 years 4 months ago #38680

Chris,

虽然已经有一段时间了,并且我前一段时间确实读过这篇文章,但谢谢您的答复。在尝试了解有关防火墙的更多信息时,我仍然会回到它上面。

我的想法是这样的。如果防火墙本身通过不允许入站而安全,并且内部没有活动可利用,那么这为我提供了一个安全的基础,可以从这里开始并学习如何保护网络。所以我的理解是,如果某个端口未处于活动状态,则意味着没有服务在使用它,那么它是安全的。什么都不会路由到它。当然,这将是最低限度的,没有服务活动的配置。

但是,如果防火墙本身具有漏洞利用功能,那么在保护网络安全方面似乎无能为力,因为大多数防火墙只是计算机本身(我读到甚至我的ASA 5506都在运行旧的Linux内核)。每次转身时,我都会阅读另一篇有关CISCO或其他人对此有后门的文章。如果是这样,我将无能为力(除了我猜想使用OSS路由器外,就目前而言,这还是值得怀疑的)。

因此,尽管我确实了解内部流程是可以利用的,并且可以为不需要的访问提供权限,但我仍在尝试找出如何以最大的安全性最小地运行,然后在需要它们时使用和保护服务并从那里构建。

再次感谢你的回复。
  • 页:
  • 1
建立页面的时间:0.108秒

CCENT / CCNA

思科公司 路由器

  • SSL WebVPN
  • 保护路由器
  • 基于策略的路由
  • 棒上路由器

虚拟专用网安全

  • 了解DMVPN
  • GRE / IPSec配置
  • 站点到站点IPSec 虚拟专用网
  • IPSec模式

思科公司 救命

  • 视窗 8 虚拟专用网客户端
  • 视窗 7的VPN客户端
  • CCP显示问题
  • 思科支持应用程序。

视窗 2012

  • 新的功能
  • 发牌
  • Hyper-V / VDI
  • 安装Hyper-V

的Linux

  • 文件权限
  • Webmin
  • 群组-用户
  • Samba设置