日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
網(wǎng)絡防火墻防范溢出的策略全解

此文章主要向大家描述的是網(wǎng)絡防火墻防范溢出策略解析“溢出”,一直都是很多黑帽子黑客最常用的手段之一,隨安全文化的慢慢普及,大量的公開shellcode(“溢出”代碼)與溢出攻擊原理都可以隨意在各大的網(wǎng)絡安全網(wǎng)站中找得到。

在長安等地區(qū),都構建了全面的區(qū)域性戰(zhàn)略布局,加強發(fā)展的系統(tǒng)性、市場前瞻性、產(chǎn)品創(chuàng)新能力,以專注、極致的服務理念,為客戶提供網(wǎng)站建設、成都網(wǎng)站制作 網(wǎng)站設計制作按需定制制作,公司網(wǎng)站建設,企業(yè)網(wǎng)站建設,高端網(wǎng)站設計,全網(wǎng)整合營銷推廣,外貿(mào)網(wǎng)站建設,長安網(wǎng)站建設費用合理。

由此衍生了一系列的安全隱患……小黑黑使用它們來進行非法的攻擊、惡意程序員使用它們來制造蠕蟲等等……而網(wǎng)絡防火墻作為人們最喜歡的網(wǎng)絡安全“設施”之一,它又能如何“攔截”這一類型的攻擊呢?

目前大多的防火墻系統(tǒng)都是針對包過濾規(guī)則進行安全防御的,這類型的防火墻再高也只能工作在傳輸層,而溢出程序的shellcode是放在應用層的,因此對這類攻擊就無能為力了。打個比方:前段時間比較火熱的IISWEBDAV溢出漏洞,若黑客攻擊成功能直接得到ROOTSHELL(命令行管理員控制臺),它是在正常提供HTTP服務的情況下產(chǎn)生的溢出漏洞。

若在不打補丁與手工處理的情況下一臺防火墻又能做到什么呢?相信你除了把訪問該服務器TCP80端口(提供正常地HTTP服務的情況下)的包過濾掉以外就什么都不會去做了,當然,這樣也會使你的HTTP服務無法正常地開放(等于沒有提供服務)。下面就以這個漏洞為“論點&題材”,說說自己的解決方案。

1)對希望保護的主機實行“單獨開放端口”訪問控制策略

所謂“單獨開放端口”就是指只開放需要提供的端口,對于不需要提供服務的端口實行過濾策略。打個比方,現(xiàn)在我們需要保護一臺存在WebDAV缺陷的WEB服務器,如何能令它不被駭客入侵呢?答案是:在這臺WEB服務器的前端防火墻中加入一個“只允許其他機器訪問此機的TCP80端口”的包過濾規(guī)則(至于閣下的防火墻能否實現(xiàn)這樣的規(guī)則就另當別論了)。加上這個規(guī)則又會有怎樣的效果呢?經(jīng)常做入侵滲透測試的朋友應該比我還清楚遠程溢出的攻擊實施流程了吧?

①使用缺陷掃描器找到存在遠程溢出漏洞的主機-》

②確認其版本號(如果有需要的話)-》

③使用exploit(攻擊程序)發(fā)送shellcode-》

④確認遠程溢出成功后使用NC或TELNET等程序連接被溢出主機的端口-》

⑤得到SHELL。

使用“單獨開放端口”策略的解決方案對整個遠程火墻防范溢出過程所發(fā)生的前三步都是無能為力的,但來到第四步這個策略能有效地阻止駭客連上有缺陷主機的被溢出端口,從而切斷了駭客的惡意攻擊手段。

優(yōu)點:

操作簡單,一般的網(wǎng)絡/系統(tǒng)管理員就能完成相關的操作。

缺點:

對溢出后使用端口復用進行控制的EXPLOITS就無能為力了;

對現(xiàn)實中的溢出后得到反向連接控制的EPLOITS也是無能為力;

不能阻止D.o.S方面的溢出攻擊。

2)使用應用層防火墻系統(tǒng)

這里所謂的應用層并不是想特別指明該防火墻工作在應用層,而是想指明它能在應用層對數(shù)據(jù)進行處理。由于應用層的協(xié)議/服務種類比較多,因此針對應用層形式的防火墻就有一定的市場局限性了。

就樓上所提到的案例而言我們可以使用處理HTTP協(xié)議的應用層防火墻對存在WebDAV缺陷的服務器訂制保護規(guī)則,保證服務器不收此類攻擊的影響。應用層中的HTTP協(xié)議防火墻系統(tǒng)不多,它的基本防御原理與特點是當服務端接受到一個發(fā)送至TCP80端口的數(shù)據(jù)包時,首先就會將該包轉移至SecureIIS,SecureIIS就會對該包進行分析并解碼該包的應用層數(shù)據(jù),將得到的數(shù)據(jù)與你本身定制的規(guī)則進行數(shù)據(jù)配對,一旦發(fā)現(xiàn)條件相符餓數(shù)值就會執(zhí)行規(guī)則所指定的相應操作。

優(yōu)點:

能有效地切斷一些來自應用層的攻擊(如溢出、SQL注入等)。

缺點:

因為需要安裝在服務器上,所以會占用一定的系統(tǒng)資源;(一旦它受到POST行為發(fā)出的中文數(shù)據(jù)時就會自動認為是高位攻擊代碼,自動將其隔離,并進行相關的處理操作)。

3)使用IDS功能的防火墻系統(tǒng)

現(xiàn)在國內(nèi)自主開發(fā)的防火墻系統(tǒng)可謂是進入“白熱化”了,什么百兆、千兆、2U、4U...性能參數(shù)的比較本已經(jīng)日趨激烈了,再開始有不少廠商將技術重點轉移在了“多功能”的方面上,在防火墻中繼承IDS模塊已經(jīng)不是什么新鮮事了,使用這類產(chǎn)品可以達到監(jiān)控應用層數(shù)據(jù)的效果。

優(yōu)點:

便于管理。

缺點:

費用支出增大;長期需要人力資源對其進行管理與設施維護;防火墻上的IDS模塊功能有限。以上的相關內(nèi)容就是對網(wǎng)絡防火墻防范溢出策略解析的介紹,望你能有所收獲。


網(wǎng)頁題目:網(wǎng)絡防火墻防范溢出的策略全解
文章地址:http://m.5511xx.com/article/cdssecs.html