为什么要防火墙，路由器已经把内网和外网隔离，黑客攻击什么？

harry007 2003-10-15 03:52:37

为什么要防火墙，路由器已经把内网和外网隔离，黑客攻击什么？

...全文

490 12 打赏收藏转发到动态举报

写回复

12 条回复

切换为时间正序

请发表友善的回复…

发表回复

leekace 2003-10-20

打赏
举报

回复

端口过滤，端口识别

GarrySeven 2003-10-20

打赏
举报

回复

路由也有一些简单的功能，来控制其他网络对自己网络的访问；但防火墙的功能更强大，更专业。

teaor 2003-10-20

打赏
举报

回复

老兄，看名字就能知道个大概了。

sandbitch 2003-10-18

打赏
举报

回复

防火墙可以防止黑客冒充！

回炉重造，学习编程中。。。 2003-10-17

打赏
举报

回复

加了防火墙还不一定安全哪，你还想不用？

spark_li 2003-10-16

打赏
举报

回复

router 看名字你就应该明白他的作用，他只提供简单的访问控制。

而且用router来处理太多的acl的话，会增加router的负担与延迟，

所以在流量很大的网络环境中，比如核心交换机，是没有用任何acl的。

niyh 2003-10-16

打赏
举报

回复

防火墙能够基于内容过滤，路由器只能基于端口过滤。

bluerain7 2003-10-16

打赏
举报

回复

你能完全拒绝外网对内的访问吗？？？？？？？？？？？？？
肯定是要留入口的吧！当然你应该会留下密码！
黑客们肯定不会怕，他们可以用策略套用密码！这一点route是不能防止的！

而放火墙可以做到，当有同一ip反复要求登陆时，firewall就会禁止他的访问！

这只是firewall中的一种策略！其他还有很多拉

washington_wzh 2003-10-16

打赏
举报

回复

其实路由器完全可以不用防火墙的,防火墙的作用主要是用来防止黑客攻击计费系统

andy9776 2003-10-16

打赏
举报

回复

我想至少防火墙可以防止外部对路由器对内部网络的攻击，路由器是内网和外网连接的通道，一个枢纽，要是病毒已UDP等协议传输，你不就中了。

wudid007 2003-10-15

打赏
举报

回复

其它呢？

bbcc422427 2003-10-15

打赏
举报

回复

最起码防火墙能记录下罪证。

防火墙与网络安全主要内容： 防火墙概念 防火墙功能 防火墙分类 防火墙设计 防火墙产品介绍 §1.1 防火墙概念网络防火墙是指隔离在内网与外网之间的一道防御系统，防火墙可以监控进出网络的通信信息，仅让安全、核准了的信息进入，拒绝抵制不安全的数据。 §1.1 防火墙概念 防火墙的工作姿态：拒绝没有特别允许的任何事情。这种姿态假定防火墙应该阻塞所有的信息，而每一种所期望的服务或应用都是实现在case- by-case的基础上。允许没有特别拒绝的任何事情。这种姿态假定防火墙应该转发所有的信息，任何可能存在危害的服务都应在case-by-case的基础上关掉。 §1.2 防火墙功能 §1.3 防火墙分类按实现方式分软件防火墙 实现：在通用的计算机系统上安装防火墙软件，通过防火墙软件设置安全策略。特点：软件防火墙成本相对较低，功能丰富灵活，可以工作在网络层和应用层；软件防火墙采用软件实现，性能受到影响；软件防火墙建立在通用的计算机及操作系统之上，本身存在安全性弱点；硬件防火墙 实现：采用专用的硬件和软件合成的防火墙，通过防火墙提供的配置命令设置安全策略。特点：硬件防火墙的硬件、软件都是专门针对防火墙功能而设计的，与软件防火墙相比具有高安全性、高性能等优点，但灵活性不如软件防火墙。 §1.3 防火墙分类按实现原理分包过滤防火墙 原理：在网络层和传输层对数据包实施有选择的通过，依据预先设定好的过滤规则ACL，检查经过的每个数据包，根据数据包的源IP地址/目标IP地址/协议/端口确定是否允许通过。实现：路由器一般都具备包过滤功能。应用级防火墙 原理：应用级防火墙采用代理服务的方式， 防火墙内外的计算机系统应用层的链接是在两个终止于代理服务的链接来实现，这样便隔离了防火墙内外计算机系统的任何直接链接，然后由代理按照制定的规则对数据包进行过滤处理；实现：应用级防火墙一般采用在通用计算机系统上安装软件防火墙实现，即代理服务器。 §2.1 防火墙设计——屏蔽路由器 实现：采用路由器配置包过滤防火墙，设置ACL、NAT等包过滤防火墙的基本功能。特点：支持网络层的安全策略：过滤特定网络服务的数据包，防御源IP地址欺骗式攻击（伪装内网IP）、源路由攻击（旁路）等；不支持应用层次的安全策略。单纯的包过滤防火墙的安全机制是比较脆弱，无法抵御来自数据驱动式攻击的潜在危险，且对黑客来说是比较容易攻击的。 §2.2 防火墙设计——双穴主机网关实现：采用一台装有两块网卡的主机（堡垒主机）做防火墙，两块网卡分别与内网和外部网相连，堡垒主机上运行防火墙软件提供代理服务，阻断了内外网数据的直接交换，由堡垒主机根据规则转发，属于应用级防火墙，即代理服务器。特点：与屏蔽路由器（包过滤）相比，应用级防火墙工作在应用层，能够对服务进行全面的控制，支持应用层安全策略，如限制服务的命令集，支持应用层次上的过滤，维护系统日志等。一旦黑客侵入堡垒主机，使其只具有路由功能，任何网上用户均可以随便访问内部网。 §2.3 防火墙设计——屏蔽主机网关实现：将堡垒主机与屏蔽路由器组合，堡垒主机配置在内部网络上，而包过滤路由器放置在内网和Internet之间。 路由器上设置包过滤规则，使得堡垒主机成为从外网唯一可直接到达的主机，阻塞去往内部系统上其它主机的信息，同时只接受来自堡垒主机的内部数据包，强制内部用户使用代理服务；屏蔽主机网关中的堡垒主机负责为内网与外网的数据交换提供代理服务；特点：确保内部网不受未被授权的外部用户的攻击，同样内部网的客户机，只能受控制地通过屏蔽主机和路由器访问Internet；屏蔽主机网关中堡垒主机是唯一能从Internet上直接访问的内部系统，所以有可能受到攻击的主机就只有堡垒主机本身。但如果允许用户注册到堡垒主机，那么整个内部网络上的主机都会受到攻击的威胁。 §2.4 防火墙设计——屏蔽子网网关 §3.1 防火墙产品——Netscreen-100 §3.2 防火墙产品——应用案例 1、有时候读书是一种巧妙地避开思考的方法。9月-209月-20Thursday, September 24, 2020 2、阅读一切好书如同和过去最杰出的人谈话。18:48:1818:48:1818:489/24/2020 6:48:18 PM 3、越是没有本领的就越加自命不凡。9月-2018:48:1818:48Sep-2024-Sep-20 4、越是无能的人，越喜欢挑剔别人的错儿。18:48:1818:48:1818:48Thursday, September 24, 2020 5、知人者智，自知者明。胜人者有力，自胜者强。9月-209月-2018:48:1818:48:18Septembe

网络安全题库网络安全题库全文共14页，当前为第1页。网络安全题库全文共14页，当前为第1页。网络安全题库全文共14页，当前为第1页。网络安全题库全文共14页，当前为第1页。网络安全复习题第7题[单选题] 1. 关于多重防火墙技术错误的是用专家系统实现对入侵检测，需将有关入侵的知识转化为（） A：组合主要取决于网管中心向用户提供什么样的服务，以结构。及网管中心能接受什么等级风险。 A：条件结构 B：设置的周边网络被攻破后，内部网络也就被攻破了。 B：then 结构 C：多重防火墙的组合方式主要有两种：叠加式和并行式。 C：if-then 结构 D：新旧设备必须是不同种类、不同厂家的产品。 D：while 循环结构参考答案： B 参考答案： C 第 2 题[单选题] 第8题[单选题] 背包公钥密码系统利用的是关于被屏蔽子网错误的是 A：背包问题的多解性 A：如果攻击者试图完全破坏防火墙，他可以重新配置连接 B：背包问题的 NP性三个网的路由器，既不切断连接又不要把自己锁在外面，同 C：欧拉定理时又不使自己发现。 D：概率加密技术 B：在内部网络和外部网络之间建立一个被隔离的子网，用参考答案： B 两台分组过滤路由器将这一子网分别与内部网络和外部网第 3 题[单选题] 络分开。下列哪项不是 RAS可靠性的内容？ C：在很多实现中，两个分组过滤路由器放在子网的两端， A：可靠性在子网内构成一个"非军事区" DMZ。 B：可恢复性 D：这种配置的危险带仅包括堡垒主机、子网主机及所有连 C：可维护性接内网、外网和屏蔽子网的路由器。 D：可用性参考答案： A 参考答案： B 第9题[单选题] 第 4 题[单选题] 以下不属于软件的保护方式的是下面哪一项是计算机网络里最大的安全弱点 A：破坏磁盘保护法 A：网络木马 B：网卡序列号及 CPU序列号：只认随机带的网卡或者 CPU B：计算机病毒 C：软件注册（注册码，序列号，注册文件） C：用户帐号 D：压缩 D：网络连接参考答案： D 参考答案： C 第 10题[单选题 ] 第 5 题[单选题] 计算机犯罪起源于：用户策略我们集中归纳为以下几点，哪个是错误的？ A：1940' A：只有用户拥有数据库通道。 B：1950' B：其他用户在没有管理员允许的情况下不能读取或更改文 C：1960' 件。 D：1970' C：管理员应该保证所有用户数据的完整性，机密性和有效参考答案： A 性。第 11题[单选题 ] D：用户应该知道他进入的命令，或者那些进入为了他的利以下哪个不是安全操作系统的基本特征？益。 A：弱化特权原则参考答案： C B：自主访问控制和强制访问控制第 6 题[单选题] C：安全审计功能能够提供"审慎的保护"的安全等级是： D：安全域隔离功能 A：A类参考答案： A B：B类第 12题[单选题 ] C：C类下列哪些不属于计算机安全中的硬件类危险： D：D类 A：灾害参考答案： C B：人为破坏最新范本 ,供参考！网络安全题库全文共14页，当前为第2页。网络安全题库全文共14页，当前为第2页。网络安全题库全文共14页，当前为第2页。网络安全题库全文共14页，当前为第2页。 C：操作失误 C：计算机系统硬件的保护机构不起作用。或不能提供软件 D：数据泄漏保护，操作系统没有安全保护机构，造成信息泄漏。参考答案： D D：通讯网络终端安装在不安全的环境，产生电磁辐射，以第13题[单选题] 及通讯网线路上的泄漏。 KerberosSSP 能够提供三种安全性服务 , 不是的是参考答案： A A：认证：进行身份验证第 19题[单选题 ] B：代理：代替用户访问远程数据以下加解密方法中，不能够泄露加密算法的是 C：数据完整性：保证数据在传送过程中不被篡改 A：E（ M）=C， D （C）=M D：数据保密性：保证数据在传送过程中不被获取 B：EK（M） =C， DK（C） =M 参考答案： B C：EK1（M）=C， DK2 （C）=M 第14题[单选题] D：EK（M） =C， DF（K）（C） =M Debug 的单步执行是跟踪调试软件技术的基石。以下不能有参考答案： A 效破坏 debug 的基本方法是第 20题[单选题 ] A：抑制跟踪中断黑客将完成某一动作的程序依附在某一合法用户的正常程 B：封锁键盘输入序中，这种攻击方式是 C：设置显示器的显示性能 A：口令入侵术 D：屏蔽中断 B：特洛伊木马参考答案： D C：Email 病毒第15题[单选题] D：监听术目录的访问模式的最小集合是？参考答案： B A： read 与 write-expand 第 21题[单选题

介绍了这么多，我相信大家应该也理解了，防火墙是入侵者进入的第一道安全防线，主要解决了经过防火墙的网络传播途径的部分入侵攻击问题，而通过物理传播途径，内网传播途径的攻击就会很难解决，因此本篇文章希望通过我的介绍，提高咱们自身的信息安全意识，任何技术都有漏洞，有了漏洞必然就有机会攻克。而当防火墙溢出的时候，整个防线就如同虚设，原本被禁止的连接也能从容通过了。在内部网络用户下载外网的带毒文件的时候，防火墙是不为所动的（这里的防火墙不是指单机/企业级的杀毒软件中的实时监控功能，虽然它们不少都叫"病毒防火墙"）。

在没有DMZ的技术之前，需要使用外网服务器的用户必须在其防火墙上面开放端口（就是Port Forwarding技术）使互联网的用户访问其外网服务器，显然，这种做法会因为防火墙对互联网开放了一些必要的端口降低了需要受严密保护的内网区域的安全性，黑客们只需要攻陷外网服务器，那么整个内部网络就完全崩溃了。在网络中，非军事区(DMZ)是指为不信任系统提供服务的孤立网段，其目的是把敏感的内部网络和其他提供访问服务的网络分开，阻止内网和外网直接通信，以保证内网安全。此策略是为了方便内网用户使用和管理DMZ中的服务器。

例如，一个企业按图 1-3 划分防火墙的安全区域，内网接口加入 trust 安全区域，外网接口加入 untrust 安全区域，服务器区接口加入 dmz 安全区域，另外为访客区自定义名称为 guest 的安全区域。反之如果防火墙主动访问其他安全区域的对象，例如防火墙向日志服务器上报日志、防火墙连接安全中心升级特征库等，需要配置 local 到其他安全区域的安全策略。另外除了物理接口，防火墙还支持逻辑接口，如子接口、VLANIF、Tunnel 接口等，这些逻辑接口在使用时也需要加入安全区域。

交换及路由技术

3,808

社区成员

12,781

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章