iT邦幫忙

2023 iThome 鐵人賽

DAY 26
0
Security

資訊安全之加密理論大雜燴系列 第 26

Day 26 代理防火牆

  • 分享至 

  • xImage
  •  

昨天講到應用代理防火牆,今天來把他的一些有趣性質補完

重新包裝

一個新進來的封包來到應用代理防火牆時,防火牆不僅會幫你拆開封包檢查資料內容,而且會將原始的封包破壞,重新包裝成封包再傳輸至內網

也就是這個社區管理員不僅會幫你收包裹,檢查裡面裝的東西有沒有問題,他還會把原本的包裝都拆掉,換成屬於社區大樓的包裝再傳進去

這一個好處是可以防止先前談到的窗口掃描攻擊

想像現在有一個不同於先前TCP ACK的窗口掃描方式,他是在封包的網路層IP表頭中,加上存活時間的資訊
例如存活時間設為四,該封包會在跳躍四個節點後立即消滅,而該消滅的訊息會根據IP協定傳送一個錯誤訊息給發送者

假設Trudy知道防火牆的IP位置,以及內網的主機IP位置,他可以將存活時間設置成到防火牆位置+1,藉此達成窗口掃描的效果(和TCP ACK使用不同的原理)

例如以下的圖
https://ithelp.ithome.com.tw/upload/images/20230907/20162318DmIVrYTrYL.png
如果該防火牆只進行封包篩選,Trudy馬上就知道防火牆開放的窗口是1209
但是如果是應用代理,該訊息被重新包裝再寄出給內部網路,該時間超過的訊息也只會被退回應用代理層面,不會返還至Trudy,因此將封包重新組裝寄出可以有效避免這種攻擊

多重防火牆

在設計一套保護內部網路的安全系統時,甚至可以將多種類型的防火牆安插在系統的不同層級上

https://ithelp.ithome.com.tw/upload/images/20230907/201623189LF7WJOrqp.png

例如,網頁伺服器、FTP伺服器、DNS伺服器等會對外開放的服務,可以用一個簡單的封包篩選進行過濾,而對於想要深入內網的封包,便可加裝比較強的應用代理防火牆進行二重保護
由於想進來內網的封包不多,因此比較不會有封包卡在應用代理處理太久的問題

甚至可以在內網安裝更深層的保護,安裝客製化的防火牆,讓進來的數據封包經過徹底篩選,以確保系統安全

這種多重防護的結構,即使一邊的防火牆壞掉,也可以由其他防火牆補上待其修復
因此也稱作是縱深防護的機制,是一種相當安全的保護措施


上一篇
Day 25 防火牆的基礎
下一篇
Day 27 安全協定
系列文
資訊安全之加密理論大雜燴30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言