您的位置:網站首頁 > 電器維修資料網 > 正文 >
如何配置防火墻與路由器安全
★★★★★【文章導讀】:如何配置防火墻與路由器安全具體內容是:1.兩種設備產生的根源不同路由器的產生是基于對網絡數據包路由而產生的。路由器需要完成的是將不同網絡的數據包進行有效的路由,至于為什么路由、是否應該路由、路由過后是否有問題等根本不關心,所關心的是:能否將…
來源: 日期:2013-12-23 23:42:54 人氣:標簽:
1.兩種設備產生的根源不同
路由器的產生是基于對網絡數據包路由而產生的。路由器需要完成的是將不同網絡的數據包進行有效的路由,至于為什么路由、是否應該路由、路由過后是否有問題等根本不關心,所關心的是:能否將不同的網段的數據包進行路由從而進行通訊。
防火墻是產生于人們對于安全性的需求。數據包是否可以正確的到達、到達的時間、方向等不是防火墻關心的重點,重點是這個(一系列)數據包是否應該通過、通過后是否會對網絡造成危害。
2.根本目的不同
路由器的根本目的是:保持網絡和數據的"通"。
防火墻根本的的目的是:保證任何非允許的數據包"不通"。
二、核心技術的不同
Cisco路由器核心的ACL列表是基于簡單的包過濾,從防火墻技術實現的角度來說,NetEye防火墻是基于狀態包過濾的應用級信息流過濾。
下圖是一個 為簡單的應用:企業內網的一臺主機,通過路由器對內網提供服務(假設提供服務的端口為tcp 1455)。為了保證安全性,在路由器上需要配置成:外-》內 只允許client訪問 server的tcp 1455端口,其他拒絕。
針對現在的配置,存在的安全脆弱性如下:
1、IP地址欺騙(使連接非正常復位)
2、TCP欺騙(會話重放和劫持)
存在上述隱患的原因是,路由器不能監測TCP的狀態。如果在內網的client和路由器之間放上NetEye防火墻,由于NetEye防火墻能夠檢測TCP的狀態,并且可以重新隨機生成TCP的序列號,則可以徹底消除這樣的脆弱性。同時,NetEye 防火墻的一次性口令認證客戶端功能,能夠實現在對應用完全透明的情況下,實現對用戶的訪問控制,其認證支持標準的Radius協議和本地認證數據庫,可以完全與第三方的認證服務器進行互操作,并能夠實現角色的劃分。
雖然,路由器的"LOCk-and-Key"功能能夠通過動態訪問控制列表的方式,實現對用戶的認證,但該特性需要路由器提供Telnet服務,用戶在使用使也需要先Telnet到路由器上,使用起來不很方便,同時也不夠安全(開放的端口為黑客創造了機會)。
三、安全策略制定的復雜程度不同
路由器的默認配置對安全性的考慮不夠,需要一些高級配置才能達到一些防范攻擊的作用,安全策略的制定絕大多數都是基于命令行的,其針對安全性的規則的制定相對比較復雜,配置出錯的概率較高。
NetEye 防火墻的默認配置既可以防止各種攻擊,達到既用既安全,安全策略的制定是基于全中文的GUI的管理工具,其安全策略的制定人性化,配置簡單、出錯率低。
- 1
- 2
- 下一頁
【看看這篇文章在百度的收錄情況】
相關文章
- 上一篇: 淺談局域網病毒入侵的原理與防范技巧
- 下一篇: 淺談ARP病毒如何防治的思路