99久久99久久精品免观看,国产精品久久久久国产精品,国产黄色录像视频,免费的黄色毛片,国产一区精品普通话对白,色妞妞成人在线观看,最新aⅴ福利在线观看免费

綠色資源網:您身邊最放心的安全下載站! 最新軟件|熱門排行|軟件分類|軟件專題|廠商大全

綠色資源網

技術教程
您的位置:首頁系統(tǒng)集成網絡安全 → 防火墻設定路由訪存表防止黑客入侵

防火墻設定路由訪存表防止黑客入侵

我要評論 2010/03/10 12:39:10 來源:綠色資源網 編輯:綠色資源站 [ ] 評論:0 點擊:219次

防火墻的方法有兩種:端口掃描、路徑追蹤,今天我們來了解一下防止黑客入侵的方式。

一、大多數防火墻都帶有其自身標識

如CHECKPOINT的FIREWALL-1缺省在256、257、258號的TCP端口進行監(jiān)聽;

MICROSOFT的 PROXY SERVER則通常在1080、1745號TCP端口上進行監(jiān)聽。

因為大多數IDS產品缺省配置成只檢測大范圍的無頭腦的端口掃描,所以真正聰明的攻擊者決不會采用這種鹵莽的地毯掃描方法。而是利用如NMAP這樣的掃描工具進行有選擇的掃描,而躲過配置并不精細的IDS防護,如下:

command: nmap -n -vv -p0 -p256,1080,1745,192.168.50.1-60.254

!!! 注意因為大多數防火墻會不對ICMP PING請求作出響應,故上行命令中的-P0參數

是為了防止發(fā)送ICMP包,而暴露攻擊傾向的。

如何預防?

配置CISCO 路由器ACL表,阻塞相應的監(jiān)聽端口

如:

access-list 101 deny any any eq 256 log! block firewall-1 scans access-list 101 deny any any eq 257 log! block firewall-1 scans access-list 101 deny any any eq 258 log! block firewall-1 scans access-list 101 deny any any eq 1080 log! block socks scans access-list 101 deny any any eq 1745 log! block winsock scans

二、路徑追蹤

UNIX的traceroute,和NT的 tracert.exe來追蹤到達主機前的最后一跳,其有很大的可能性為防火墻。

若本地主機和目標服務器之間的路由器對TTL已過期分組作出響應,則發(fā)現防火墻會較容易。然而,有很多路由器、防火墻設置成不返送ICMP TTL 已過期分組,探測包往往在到達目標前幾跳就不再顯示任何路徑信息。

如何預防?

因為整個trace path上可能經過很多ISP提供的網路,這些ROUTERE的配置是在你的控制之外的,所以應盡可能去控制你的邊界路由器對ICMP TTL響應的配置。

如:access-list 101 deny icmp any any 1 0 ! ttl-exceeded

將邊界路由器配置成接收到TTL值為0、1的分組時不與響應。

關鍵詞:防火墻,黑客入侵

閱讀本文后您有什么感想? 已有 人給出評價!

  • 0 歡迎喜歡
  • 0 白癡
  • 0 拜托
  • 0 哇
  • 0 加油
  • 0 鄙視