联入外部网络的安全性问题

3.2.4　联入外部网络的安全性问题

台内网与Internet互联,可以实现台外用户访问台内资源和台内用户访问互联网资源。这时需要在同Internet的接口处布置防火墙,从而抵挡大量的网络攻击或其他危害网络安全的事件,但是仅仅依靠防火墙是不够的,黑客技术的发展,使大量的攻击可以穿越防火墙到达网络内部,具体而言,可能存在的安全威胁主要有:

(1)IP地址欺骗式攻击(IPAddressSpoofingAttacks)

IP地址欺骗式攻击大部分针对UDP攻击,有时候为了启动内部主机的某个程序或达到欺骗防火墙的目的,入侵者假冒内部主机,从外部传输一个源IP地址数据包为内部网络IP地址数据包,企图骗过防火墙或路由器对内部主机进行攻击。本攻击往往表现为拒绝服务攻击,引起路由器和某些操作系统超载,造成主机瘫痪。

(2)碎片攻击(Tiny Fragment Attacks)

虽然安装有防火墙,并且在路由器上可以设置过滤,但由于TCP/IP固有的弱点,入侵者可通过TCP/IP数据包分段特性,把一个完整的攻击包进行极小的分段,强行将TCP/IP头信息分成多个数据包,以绕过防火墙和路由器的过滤,到达目标后重新组合成一个完整的攻击包对目标进行攻击。黑客期望防火墙只检查第一个分段而允许其余的分段通过。这样大量的数据包通过路由器,无形中增加了骨干路由器的负担。

(3)拒绝服务攻击(DenialofService)

拒绝服务攻击的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,致使网络服务超载,无法响应其他的请求。这些服务资源包括网络带宽,文件系统空间容量,开放的进程或者内向的连接。这种攻击会导致资源的匮乏,无法满足实际的需求。