Linux操作系统中的防火墙技术及其应用(4)

文章作者 100test 发表时间 2007:03:14 16:29:59
来源 100Test.Com百考试题网


四、系统测试

系统配置好以后,可以从内部子网的任意一台主机上“ping”一下外部的某个服务器,若能“ping”通,则IP伪装配置是正确的。

可能的安全漏洞

对防火墙的不当配置可能造成安全漏洞。如处理TCP分段时,Ipchains需要查看包头中的源端口、目的端口、ICMP代码或“TCP SYN”标志等信息,而这些信息只能在TCP分段的第一个IP包中才有。于是从第二个分段开始都不能匹配过滤规则。某些管理者将防火墙配置为仅对第一个分段进行处理。通常,一个TCP连接的第一个TCP分段被防火墙阻挡后,其他的TCP分段被认为不会产生安全性问题,因为在目的主机上由于缺少第一个分段而无法重新组装报文。然而,由于系统缺陷等原因,发送的分段可能使机器瘫痪,甚至人为精心设计的IP包可借此缺陷绕过防火墙。因此配置防火墙需要仔细分析过滤规则如何处理各种类型的分组。对分段的处理最好将系统内核编译为重新组装所有通过的分段,或在应用层另设安全机制。

对基于包过滤防火墙更常见的攻击是利用IP欺骗的方法。IP欺骗是指主机发送自称是另一个主机发送的包。防止IP欺骗的方法是使用源地址确认,它通过配置路由器识别路由代码实现,而不是防火墙。防火墙结合源地址确认能较好地增强系统的安全性。



相关文章


开放创新CEO谈:消除Linux发展暗礁(1)
Linux操作系统线程库性能测试与分析(1)
如何在Linux系统环境中模拟DOS命令(2)
Linux操作系统中的防火墙技术及其应用(4)
Linux操作系统中的防火墙技术及其应用(2)
澳大利亚华人论坛
考好网
日本华人论坛
华人移民留学论坛
英国华人论坛