|
網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來的新技術(shù),它把互聯(lián)網(wǎng)上分散的資源融為有機(jī)整體�,實(shí)現(xiàn)資源的全面共享和有機(jī)協(xié)作,使人們能夠透明地使用資源的整體能力并按需獲取信息���。資源包括高性能計(jì)算機(jī)�、存儲(chǔ)資源�、數(shù)據(jù)資源�、信息資源、知識(shí)資源�、專家資源、大型數(shù)據(jù)庫(kù)���、網(wǎng)絡(luò)、傳感器等�����。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享�����,網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段�。 Evaluation Assurance Level Evaluation assurance levels(EAL)提供了描述和預(yù)測(cè)特別的操作系統(tǒng)和網(wǎng)絡(luò)的安全行為的通用的方法��。等級(jí)數(shù)越高���,則要求得越嚴(yán)格。EAL 1需要由TOE廠商做出聲明的證明����,EAL 7需要你核實(shí)和記錄下實(shí)施過程的每一個(gè)步驟。你應(yīng)該注意到當(dāng)EAL的等級(jí)升高時(shí)�,兩項(xiàng)要求也會(huì)變得更嚴(yán)格。 ·設(shè)計(jì)的證明:EAL 1只要求檢查產(chǎn)品的文件��,而EAL 7要求對(duì)系統(tǒng)進(jìn)行完全的記錄完整的獨(dú)立的分析�。
·抵御攻擊的能力:EAL 1需要產(chǎn)品至少聲明能夠提供對(duì)攻擊的有效防范;而EAL 7需要操作系統(tǒng)能夠抵御復(fù)雜的破壞數(shù)據(jù)機(jī)密性和拒絕服務(wù)式的攻擊����。 下表描述了七個(gè)EAL類別���。 類別 | 描述 | 1 | 功能上的測(cè)試:分析產(chǎn)品的聲明����,和實(shí)施TOE的基本測(cè)試。 | 2 | 結(jié)構(gòu)上的測(cè)試:需要選擇TOE的重要元素來經(jīng)受具有權(quán)威資格的測(cè)試����,例如程序開發(fā)者����。 | 3 | 系統(tǒng)的測(cè)試和檢查:進(jìn)行測(cè)試的要求非常嚴(yán)格,在有限的基礎(chǔ)上��,操作系統(tǒng)的所有元素都必須獨(dú)立地檢驗(yàn)���。 | 4 | 系統(tǒng)地設(shè)計(jì),測(cè)試和回顧:這一級(jí)別的保證是允許已經(jīng)完成的程序和以前實(shí)施的系統(tǒng)進(jìn)行更改的最高保證�����。這一級(jí)別還需要操作系統(tǒng)通過抵御低級(jí)別的攻擊的測(cè)試���。 | 5 | 半正式的設(shè)計(jì)和測(cè)試:操作系統(tǒng)必須可以經(jīng)受適度的����,比較復(fù)雜的攻擊���。 | 6 | 半正式地驗(yàn)證設(shè)計(jì)和測(cè)試:與EAL 5相同,但是需要第三方的TOE設(shè)計(jì)核實(shí)�。 | 7 | 操作系統(tǒng)必須經(jīng)完整地回顧和被證明能夠抵御靈活的攻擊。正式地設(shè)計(jì)和測(cè)試:確保發(fā)展的過程有組織���,由第三方記錄所有的過程。例如����,所有通信都必須被記錄下來。 |
增強(qiáng)路由器安全 簡(jiǎn)單地增強(qiáng)路由器安全的方法包括: ·嚴(yán)格控制路由器的物理訪問��。
·獲得最新的操作系統(tǒng)升級(jí)(包括NT系統(tǒng)做路由���,和專門的路由器操作系統(tǒng)����,例如Cisco IOS)
·確保路由器不受拒絕服務(wù)攻擊的影響。
·確保路由器不成為拒絕服務(wù)攻擊的不知情的幫兇����。 下表提供了一些建議來確保第三、四項(xiàng)的要求����。 過程 | 描述 | | 入口和出口過濾 | 配置你的路由器只路由那些具有合法的內(nèi)部IP地址的數(shù)據(jù)包離開。你的路由器應(yīng)當(dāng)丟棄任何不具有合法的內(nèi)部IP地址的包�。這個(gè)設(shè)置有助于網(wǎng)絡(luò)不成為發(fā)送虛假IP包的源頭。 |
然后�����,配置路由器丟棄所有源于表7月5日的IP地址包 要獲得更多的信息請(qǐng)查看Internet Draft ierf-grip-isp-07(ISP的安全展望) 禁止廣播過濾
許多拒絕服務(wù)攻擊�����,包括Smurf攻擊�����,都是攻擊者利用路由器在配置上允許直接廣播的漏洞�����。最簡(jiǎn)單的確定路由器是否配置成回應(yīng)這些地址的方法是ping該網(wǎng)絡(luò)地址(例如192.168.4.0)或該網(wǎng)絡(luò)廣播地址(例如192.168.4.255) 在入口和出口過濾中應(yīng)當(dāng)考慮的IP 地址 分類 | 地址 | | Historical Low End Broadcast | 0.0.0.0/8 | | Limited broadcast | 255.255.255.255/32 | | RFC 1918 私有網(wǎng)絡(luò) | 10.0.0.0/8 | | RFC 1918 私有網(wǎng)絡(luò) | 172.16.0.0/12 | | RFC 1918 私有網(wǎng)絡(luò) | 192.168.0.0/16 | | 本機(jī)回環(huán)地址 | 127.0.0.0/8 | | 連接本地網(wǎng)絡(luò) | 169.254.0.0/16 | | D類地址 | 224.0.0.0/4 | | E類保留地址 | 240.0.0.0/5 | | 未分配地址 | 248.0.0.0/5 |
提前檢測(cè) 提前檢測(cè)是指你使用黑客的策略和手法來對(duì)付他們�,而不是簡(jiǎn)單地停止攻擊����。一個(gè)有效的檢測(cè)策略通常包括審計(jì),但你必須同時(shí)使它能夠簡(jiǎn)單地檢測(cè)系統(tǒng)問題和自動(dòng)提供解決方案�����。
網(wǎng)絡(luò)的神奇作用吸引著越來越多的用戶加入其中,正因如此���,網(wǎng)絡(luò)的承受能力也面臨著越來越嚴(yán)峻的考驗(yàn)―從硬件上�、軟件上����、所用標(biāo)準(zhǔn)上......,各項(xiàng)技術(shù)都需要適時(shí)應(yīng)勢(shì)����,對(duì)應(yīng)發(fā)展,這正是網(wǎng)絡(luò)迅速走向進(jìn)步的催化劑��。
|
溫馨提示:喜歡本站的話,請(qǐng)收藏一下本站����!
