通讯与网络安全--CISSP安全教育之二.pdfVIP

通讯和网络安全 CISSP安全教育之二 新东方IT教育 金悦 cSsP的第二部分内容包含网络结构．传输方法、 从这个例子可以很明显的看出．路由器这里的配 数据传输格．以及用于保证数据在公共网络和私有网 络和介质传输时的完整性、稳定性、验证和加密性。 行过滤，至于这些IP数据包里携带的具体有什么内容． 考试范围包括了语音和数据传输、防火墙、路由器 路由器完全不会去关心。 以及在通讯安全管理方面的防御、检测以及纠正方法。 由此我们不难看出这种防火墙的优点： 本文主要展开clssP考试中经常涉及到的防火墙的 1．基于包过滤的防火墙一个非常明显的优势就是 知识进行展开。 速度，这是因为防火墙只是去检察数据包的包头．而对 防火墙是隔绝危险和潜在危机的防护设备。在整 数据包所携带的内容没有任何形式的检查，因此速度 个Internet中，防火墙不单纯指的是路由器．主机系统 非常快。 或是网络中保证安全的一系列系统。防火墙指的是安 2．还有一个比较明显的好处是，对用户而言，包 全方法．它能帮助实施一整套定义允许的服务和访问 过滤防火墙是透明的．无需用户端进行任何配置。 的安全策略等。防火墙最重要的功能就是包过滤，而发 同时，这种防火墙的弊端也是显而易见的．比较关 C 挥包过滤功能的方式就是访问控制A L．一般而言防 键的几点包括： 火墙有许许多多种形式，有以软件形式运行在普通计 1． 由于无法对数据包及其上层的内容进行核查． 算机之上的．也有以固件形式设计在路由器之中的。总 因此无法过滤审核数据包的内容。体现这一问题的～ 的来说业界的分类有三种：包过滤防火墙．应用级网关 个很简单的例子就是：对某个端口的开放意味着相应端 和状态监视器。 口对应的服务所能够提供的全部功能都被放开．即使 通过防火墙的数据包有攻击性．也无法进行控制和阻 包过滤防火墙 在互联网络这样的TcP／IP网络上，所有往来的信击是走的防火墙所允许的80端口．而包过滤的防火墙 息都被分割成许许多多一定长度的信息包，包中包含 无法对数据包内容进行核查，因此此时防火墙等同于 发送者的IP地址和接收者的|P地址信息。包过滤式的 ■簟嗣_蕊龇． 防火墙会检查所有通过的信息包中的IP地址，并按照 所给定的过滤规则进行过滤。如果对防火墙设定某一IP 地址的站点为不适宜访问的话．从这个地址来的所有 信息都会被防火墙屏蔽掉。 这种类型最常见的实际应用的例子就是互联网上 的路由设备，比如常见的cisco路由器，使用者可以通 过定制访问控制列(AcL)来对路由器进出端口的数据包 91 进行控制，如针对rfcl8的保留地址进屏蔽．在路由 器上可以进行如下配置： 万方数据 被务器支持的服务，对每一类服务要使用特殊的客户 虚设．未打相应patch的提供web服务的系统．即使在 防火墙的屏障之后．也会被攻击者轻松拿下超级用户 端软件，更不幸的是．并不是所有的互联网应用软件都 的权限。 可以使用代理服务器。 2 由于此种类型的防火墙工作在较低层次，防火 状态监测防火墙 墙本身所能接触到的信息较少，所以它无法提供描述 事件细致的日志系统．此类防火墙生成的日志常常只