- ข้อความ
- ประวัติศาสตร์
Controlling Risk from Subversive Th
Controlling Risk from Subversive Threats
Firewalls
Organizations connected to the Internet or other public network often implement an electronic firewall to insulate their intranet from outside intruders. A firewall is a system that enforces access control between two networks. To accomplish this:
• All traffic between the outside network and the organization’s intranet must pass through the firewall.
• Only authorized traffic between the organization and the outside, as formal security policy specifies, is allowed to pass through the firewall.
• The firewall must be immune to penetration from both outside and inside the organization.
Firewall can be used to authenticate an outside user of the network, verify his or her level of access authority, and then direct the user to the program, data, or service requested. In addition to insulating the organization’s network from external network, firewall can also be used to insulate portions of organization’s intranet from internal access. For example, a LAN controlling access to financial data can be insulated from other internal LANs. Some commercially available firewalls provide a high level of security, whereas others are less secure but more efficient. Firewalls may be grouped into two general types: network-level firewalls and application-level firewalls.
Network-level firewalls provide efficient but low-security access control. This type of firewall consists of a screening router that examines the source and destination addresses that are attached to incoming message packets. The firewall accepts or denies access request based on filtering rules that have been programmed into it. The firewall directs incoming calls to the correct internal receiving node. Network-level firewalls are insecure because they are designed to facilitate the free flow of information rather than restrict it. This method does not explicitly authenticate outside user.
Application-level firewalls provide a higher level of customizable network security, but they add overhead to connectivity. These systems are configured to run security applications called proxies that permit routine services such as e-mail to pass through the firewall, but can perform sophisticated functions such as user authentication for specific tasks. Application-level firewalls also provide comprehensive transmission logging and auditing tools for reporting unauthorized activity.
A high level of firewall security is possible using a dual-homed system. This approach, illustrated in Figure 3.3 has two firewall interfaces. One screens incoming request from the Internet; the other provides access to the organization’s intranet. Direct communication to the Internet is disable and the two networks are fully isolated. Proxy applications that impose separate log-on procedures perform all access.
Choosing the right firewall involves a trade-off between convenience and security. Ultimately, organization management, in collaboration with internal audit and network professionals, must come to grips with what constitutes acceptable risk. The more security the firewall provides, however, the less convenient it is for authorized users to pass through it to conduct business.
Controlling Denial of Service Attacks
A previous section described three common forms of denial of service attacks: SYK flood attacks, smurf attacks, and distributed denial of service (DDos) attacks. Each of these techniques has a similar effect on the victim. By clogging the Internet ports of the victim’s server with fraudulently generated messages, the targeted firm is rendered incapable of processing legitimate transactions and can be completely isolated from the Internet for the duration of the attack.
In the case of a smurf attack, the targeted organization can program its firewall to ignore all communication from the attacking site, once the attacker’s IP address is determined. SYN flood attacks that use IP spoofing to disguise the source, however, are a more serious problem. Although the attack may actually be coming from a single disguised site, the victim’s host computer views these transmissions as coming from all over the Internet. IT and network management can take two actions to defeat this sort of attack. First, Internet hosts must embrace a policy of social responsibility by programming their firewalls to block outbound message packets that contain invalid internal IP address. This world prevent attacks from hiding their locations from the targeted site and would assure the management of potential intermediary hosts that no undetected attacks could be launched from their site. This strategy will not, however, prevent attacks from Internet sites that refuse to screen outgoing transmissions. Second, security software is available for the targeted sites that scan for half-open connections. The software looks for SYN packets that have not been followed by an ACK packet. The clogged ports can then be restored to allow legitimate connect
Firewalls
Organizations connected to the Internet or other public network often implement an electronic firewall to insulate their intranet from outside intruders. A firewall is a system that enforces access control between two networks. To accomplish this:
• All traffic between the outside network and the organization’s intranet must pass through the firewall.
• Only authorized traffic between the organization and the outside, as formal security policy specifies, is allowed to pass through the firewall.
• The firewall must be immune to penetration from both outside and inside the organization.
Firewall can be used to authenticate an outside user of the network, verify his or her level of access authority, and then direct the user to the program, data, or service requested. In addition to insulating the organization’s network from external network, firewall can also be used to insulate portions of organization’s intranet from internal access. For example, a LAN controlling access to financial data can be insulated from other internal LANs. Some commercially available firewalls provide a high level of security, whereas others are less secure but more efficient. Firewalls may be grouped into two general types: network-level firewalls and application-level firewalls.
Network-level firewalls provide efficient but low-security access control. This type of firewall consists of a screening router that examines the source and destination addresses that are attached to incoming message packets. The firewall accepts or denies access request based on filtering rules that have been programmed into it. The firewall directs incoming calls to the correct internal receiving node. Network-level firewalls are insecure because they are designed to facilitate the free flow of information rather than restrict it. This method does not explicitly authenticate outside user.
Application-level firewalls provide a higher level of customizable network security, but they add overhead to connectivity. These systems are configured to run security applications called proxies that permit routine services such as e-mail to pass through the firewall, but can perform sophisticated functions such as user authentication for specific tasks. Application-level firewalls also provide comprehensive transmission logging and auditing tools for reporting unauthorized activity.
A high level of firewall security is possible using a dual-homed system. This approach, illustrated in Figure 3.3 has two firewall interfaces. One screens incoming request from the Internet; the other provides access to the organization’s intranet. Direct communication to the Internet is disable and the two networks are fully isolated. Proxy applications that impose separate log-on procedures perform all access.
Choosing the right firewall involves a trade-off between convenience and security. Ultimately, organization management, in collaboration with internal audit and network professionals, must come to grips with what constitutes acceptable risk. The more security the firewall provides, however, the less convenient it is for authorized users to pass through it to conduct business.
Controlling Denial of Service Attacks
A previous section described three common forms of denial of service attacks: SYK flood attacks, smurf attacks, and distributed denial of service (DDos) attacks. Each of these techniques has a similar effect on the victim. By clogging the Internet ports of the victim’s server with fraudulently generated messages, the targeted firm is rendered incapable of processing legitimate transactions and can be completely isolated from the Internet for the duration of the attack.
In the case of a smurf attack, the targeted organization can program its firewall to ignore all communication from the attacking site, once the attacker’s IP address is determined. SYN flood attacks that use IP spoofing to disguise the source, however, are a more serious problem. Although the attack may actually be coming from a single disguised site, the victim’s host computer views these transmissions as coming from all over the Internet. IT and network management can take two actions to defeat this sort of attack. First, Internet hosts must embrace a policy of social responsibility by programming their firewalls to block outbound message packets that contain invalid internal IP address. This world prevent attacks from hiding their locations from the targeted site and would assure the management of potential intermediary hosts that no undetected attacks could be launched from their site. This strategy will not, however, prevent attacks from Internet sites that refuse to screen outgoing transmissions. Second, security software is available for the targeted sites that scan for half-open connections. The software looks for SYN packets that have not been followed by an ACK packet. The clogged ports can then be restored to allow legitimate connect
0/5000
ควบคุมความเสี่ยงจากภัยคุกคามซึ่งถูกโค่นล้ม ไฟร์วอลล์องค์กรที่เชื่อมต่อกับอินเทอร์เน็ต หรือเครือข่ายสาธารณะอื่น ๆ มักจะใช้ไฟร์วอลล์การอิเล็กทรอนิกส์ช่วยอินทราเน็ตของตนจากผู้บุกรุกภายนอก ไฟร์วอลล์เป็นระบบที่ใช้ควบคุมการเข้าถึงระหว่างสองเครือข่าย การดำเนินการนี้:•จราจรทั้งหมดระหว่างเครือข่ายภายนอกอินทราเน็ตขององค์กรต้องผ่านไฟร์วอลล์•เฉพาะอำนาจรับส่งข้อมูลระหว่างองค์กรและภายนอก เป็นนโยบายรักษาความปลอดภัยอย่างเป็นทางระบุ ได้รับอนุญาตผ่านไฟร์วอลล์•ไฟร์วอลล์ต้องมีภูมิคุ้มกันการเจาะจากทั้งภายนอก และภาย ในองค์กรไฟร์วอลล์สามารถใช้การรับรองความถูกต้องผู้ใช้ที่อยู่นอกเครือข่าย ตรวจสอบระดับของผู้เข้าถึง และนำผู้ใช้โปรแกรม ข้อมูล หรือบริการร้องขอ นอกจากฉนวนขององค์กรเครือข่ายจากเครือข่ายภายนอก ไฟร์วอลล์ยังใช้ช่วยส่วนของอินทราเน็ตขององค์กรจากภายใน access ตัว มีฉนวน LAN ควบคุมการเข้าถึงข้อมูลทางการเงินจากระบบ Lan ภายในอื่น ๆ ไฟร์วอลล์บางอย่างในเชิงให้ระดับการรักษาความปลอดภัย ในขณะที่คนอื่น ๆ มีความปลอดภัยน้อยลงแต่มีประสิทธิภาพมากขึ้น ไฟร์วอลล์อาจจัดเป็นประเภททั่วไปที่สอง: ไฟร์วอลล์ระดับเครือข่ายและไฟร์วอลล์ระดับแอพพลิเคชันได้ ไฟร์วอลล์เครือข่ายระดับให้ควบคุมการเข้าถึงอย่างมีประสิทธิภาพ แต่ความ ปลอดภัยต่ำ ไฟร์วอลล์ชนิดนี้ประกอบด้วยเราเตอร์ตรวจที่ตรวจสอบอยู่ต้นทางและปลายทางที่แนบกับแพคเก็ตข้อความขาเข้า ยอมรับ หรือปฏิเสธการร้องขอการเข้าถึงตามการกรองกฎที่ได้รับการโปรแกรมมาในไฟร์วอลล์ ไฟร์วอลล์เป็นการชักจูงสายเรียกเข้าให้ถูกต้องภายในรับโหน ไฟร์วอลล์เครือข่ายระดับไม่ปลอดภัยจากการออกแบบเพื่ออำนวยความสะดวกการไหลของฟรีของข้อมูล มากกว่าที่จำกัดมัน วิธีนี้ไม่ได้รับรองภายนอกผู้ใช้อย่างชัดเจน ไฟร์วอลล์ระดับแอพพลิเคชันให้ระดับความปลอดภัยของเครือข่ายที่สามารถปรับแต่งได้สูง แต่เพิ่มค่าใช้จ่ายในการเชื่อมต่อ ระบบเหล่านี้ถูกกำหนดค่าให้เรียกใช้โปรแกรมประยุกต์ความปลอดภัยที่เรียกว่าฉันทะที่อนุญาตให้บริการเป็นประจำเช่นอีเมลผ่านไฟร์วอลล์ แต่สามารถทำงานที่ซับซ้อนเช่นการตรวจสอบผู้ใช้สำหรับงานเฉพาะ นอกจากนี้ไฟร์วอลล์ระดับแอพพลิเคชันยังให้ส่งครอบคลุมการบันทึก และตรวจสอบเครื่องมือสำหรับการรายงานกิจกรรมที่ไม่ได้รับอนุญาต ระดับการรักษาความปลอดภัยไฟร์วอลล์ได้โดยการใช้ระบบที่สอง-homed วิธีการนี้ แสดงในรูปที่ 3.3 มีไฟร์วอลล์สองอินเตอร์เฟซ หนึ่งหน้าจอร้องขอขาเข้าจากอินเทอร์เน็ต อื่น ๆ ให้เข้าถึงอินทราเน็ตขององค์กร สื่อสารโดยตรงกับอินเทอร์เน็ตถูกปิดใช้งาน และเครือข่ายสองอย่างแยก พร็อกซีโปรแกรมประยุกต์ที่กำหนดขั้นตอนการล็อกอินแยกทำการเข้าถึงทั้งหมด เลือกไฟร์วอลล์ที่เหมาะสมเกี่ยวข้องกับปิดระหว่างความสะดวกสบายและความปลอดภัย ในที่สุด การจัดการองค์กร ร่วมกับการตรวจสอบภายในและเครือข่ายผู้เชี่ยวชาญ ต้องมาจับอะไรเป็นความเสี่ยงที่ยอมรับได้ ไฟร์วอลล์ความปลอดภัยมากขึ้น ก็ ที่ลงว่าเป็นผู้ใช้อำนาจผ่านทางการดำเนินธุรกิจควบคุมการปฏิเสธบริการโจมตีส่วนก่อนหน้านี้อธิบายรูปแบบที่สามพบปฏิเสธบริการโจมตี: SYK น้ำท่วมโจมตี โจมตี smurf และกระจายปฏิเสธบริการ (DDos) โจมตี แต่ละเทคนิคเหล่านี้มีผลคล้ายคลึงกันอยู่ โดยอุดตันพอร์ตอินเทอร์เน็ตของเซิร์ฟเวอร์ของเหยื่อด้วยข้อความที่สร้างขึ้นโดยผิดกฎหมาย บริษัทเป้าหมายมีแสดงความสามารถของการประมวลผลรายการที่ถูกต้องตามกฎหมาย และสามารถแยกอย่างสมบูรณ์จากอินเทอร์เน็ตของการโจมตี ในกรณีที่โจมตีแบบ smurf องค์กรเป้าหมายสามารถโปรแกรมไฟร์วอลล์ให้ละเว้นการสื่อสารทั้งหมดจากไซต์โจมตี เมื่อกำหนดที่อยู่ IP ของผู้โจมตี โจมตีการน้ำท่วม SYN ที่ใช้ IP หลอกลวงปกปิดแหล่งที่มา อย่างไรก็ตาม มีปัญหาร้ายแรงมาก แม้ว่าการโจมตีจริงอาจมาจากไซต์เดียว disguised คอมพิวเตอร์ของเหยื่อดูส่งเหล่านี้เป็นมาจากอินเทอร์เน็ต การจัดการและเครือข่ายสามารถใช้การดำเนินการเอาชนะการโจมตีแบบนี้สอง ครั้งแรก อินเทอร์เน็ตโฮสต์ต้องรับนโยบายสังคม โดยการเขียนของไฟร์วอลล์เพื่อบล็อกแพคเก็ตข้อความขาออกที่อยู่ IP ภายในที่ไม่ถูกต้อง ป้องกันไม่ให้โลกนี้โจมตีจากการซ่อนตำแหน่งที่ตั้งจากเว็บไซต์เป้าหมาย และจะมั่นใจการบริหารของโฮสต์ตัวกลางที่มีศักยภาพว่า อาจเปิดโจมตีไม่ตรวจไม่พบจากเว็บไซต์ของพวกเขา กลยุทธ์นี้จะไม่ อย่างไรก็ตาม สามารถป้องกันการโจมตีจากอินเทอร์เน็ตไซต์ที่ปฏิเสธที่จะส่งข้อมูลออกหน้าจอ ที่สอง ซอฟต์แวร์รักษาความปลอดภัยจะพร้อมใช้งานสำหรับไซต์เป้าหมายที่สแกนสำหรับการเชื่อมต่อเปิดครึ่ง ดูซอฟต์แวร์สำหรับแพคเก็ต SYN ที่ไม่ถูกตาม โดยมีแพคเก็ตระดาษ พอร์ตต่าง ๆ อุดตันสามารถถูกคืนค่าให้ถูกต้องตามกฎหมายแล้วเชื่อมต่อ
การแปล กรุณารอสักครู่..
การควบคุมความเสี่ยงจากภัยคุกคามที่จะล้มล้าง
ไฟร์วอลล์
องค์กรที่เชื่อมต่อกับอินเทอร์เน็ตหรือเครือข่ายสาธารณะอื่น ๆ มักจะใช้ไฟร์วอลล์อิเล็กทรอนิกส์เพื่อป้องกันอินทราเน็ตของพวกเขาจากผู้บุกรุกภายนอก ไฟร์วอลล์คือระบบที่บังคับใช้การควบคุมการเข้าถึงระหว่างสองเครือข่าย เพื่อให้บรรลุนี้:
•การจราจรทั้งหมดระหว่างเครือข่ายภายนอกและอินทราเน็ตขององค์กรจะต้องผ่านไฟร์วอลล์.
•อนุญาตเท่านั้นการจราจรระหว่างองค์กรและภายนอกที่เป็นทางการระบุนโยบายการรักษาความปลอดภัยที่ได้รับอนุญาตให้ผ่านไฟร์วอลล์.
•ไฟร์วอลล์ต้อง จะมีภูมิคุ้มกันต่อการเจาะจากทั้งภายนอกและภายในองค์กร. Firewall สามารถนำมาใช้ในการตรวจสอบผู้ใช้ที่ด้านนอกของเครือข่ายการตรวจสอบระดับของเขาหรือเธอของผู้มีอำนาจเข้าถึงแล้วผู้ใช้ไปยังโปรแกรมข้อมูลหรือบริการที่ร้องขอ นอกเหนือไปจากฉนวนเครือข่ายขององค์กรจากเครือข่ายภายนอกไฟร์วอลล์ยังสามารถนำมาใช้เพื่อป้องกันบางส่วนของอินทราเน็ตขององค์กรจากการเข้าถึงภายใน ยกตัวอย่างเช่นการควบคุมการเข้าถึงระบบ LAN ข้อมูลทางการเงินสามารถฉนวนจากระบบ LAN ภายในอื่น ๆ บางไฟร์วอลล์ใช้ได้ในเชิงพาณิชย์ให้ระดับสูงของการรักษาความปลอดภัยในขณะที่คนอื่น ๆ มีความปลอดภัยน้อยลง แต่มีประสิทธิภาพมากขึ้น ไฟร์วอลล์อาจจะแบ่งออกเป็นสองประเภททั่วไป: ไฟร์วอลล์ระดับเครือข่ายและไฟร์วอลล์ระดับโปรแกรมประยุกต์. ไฟร์วอลล์ระดับเครือข่ายให้ แต่การควบคุมการเข้าถึงการรักษาความปลอดภัยที่มีประสิทธิภาพต่ำ ประเภทของไฟร์วอลล์นี้ประกอบด้วยการตรวจคัดกรองเราเตอร์ที่จะตรวจสอบแหล่งที่มาและที่อยู่ปลายทางที่จะแนบไปกับแพ็กเก็ตข้อความขาเข้า ไฟร์วอลล์ยอมรับหรือปฏิเสธคำขอเข้าถึงอยู่บนพื้นฐานของกฎการกรองที่ได้รับโปรแกรมมัน ไฟร์วอลล์นำสายเรียกเข้าที่ถูกต้องโหนดรับภายใน ไฟร์วอลล์เครือข่ายระดับที่ไม่ปลอดภัยเพราะพวกเขาได้รับการออกแบบเพื่อความสะดวกในการไหลของฟรีของข้อมูลที่มากกว่ามัน จำกัด วิธีการนี้ไม่ชัดเจนตรวจสอบผู้ใช้นอก. ไฟร์วอลล์แอพลิเคชันระดับให้อยู่ในระดับที่สูงขึ้นของการรักษาความปลอดภัยเครือข่ายที่ปรับแต่งได้ แต่พวกเขาเพิ่มค่าใช้จ่ายในการเชื่อมต่อไปยัง ระบบเหล่านี้มีการกำหนดค่าในการใช้งานการรักษาความปลอดภัยที่เรียกว่าผู้รับมอบฉันทะที่อนุญาตให้บริการประจำเช่น e-mail มาที่ผ่านไฟร์วอลล์ แต่สามารถทำหน้าที่ที่มีความซับซ้อนเช่นการตรวจสอบของผู้ใช้สำหรับงานที่เฉพาะเจาะจง ไฟร์วอลล์ระดับโปรแกรมประยุกต์ยังให้ครอบคลุมการเข้าสู่ระบบการส่งและการตรวจสอบเครื่องมือสำหรับการรายงานกิจกรรมที่ไม่ได้รับอนุญาต. ระดับสูงของการรักษาความปลอดภัยไฟร์วอลล์เป็นไปได้โดยใช้ระบบ Dual-homed วิธีการนี้แสดงในรูปที่ 3.3 มีสอง interfaces ไฟร์วอลล์ หนึ่งหน้าจอเข้ามาร้องขอจากอินเทอร์เน็ต; อื่น ๆ ที่ให้การเข้าถึงเครือข่ายอินทราเน็ตขององค์กร การสื่อสารโดยตรงกับอินเทอร์เน็ตจะปิดการใช้งานและทั้งสองจะแยกเครือข่ายอย่างเต็มที่ การประยุกต์ใช้พร็อกซีที่กำหนดเข้าสู่ระบบในขั้นตอนการดำเนินการแยกจากกันการเข้าถึงทั้งหมด. เลือกไฟร์วอลล์ขวาเกี่ยวข้องกับการค้าระหว่างความสะดวกสบายและความปลอดภัย ในท้ายที่สุดการจัดการองค์กรในความร่วมมือกับผู้เชี่ยวชาญด้านการตรวจสอบและเครือข่ายภายในจะต้องมาจับกับสิ่งที่ถือว่าเป็นความเสี่ยงที่ยอมรับ การรักษาความปลอดภัยมากขึ้นไฟร์วอลล์ให้ แต่สะดวกสบายน้อยลงก็คือสำหรับผู้ใช้ที่ได้รับอนุญาตให้ผ่านมันในการดำเนินธุรกิจ. ควบคุม Denial of Service โจมตีส่วนก่อนหน้านี้อธิบายสามรูปแบบทั่วไปของการปฏิเสธการโจมตีบริการ: SYK โจมตีน้ำท่วมโจมตี Smurf, และการกระจายการปฏิเสธการให้บริการ (DDoS) แต่ละเทคนิคเหล่านี้มีผลกระทบที่คล้ายกันในเหยื่อ โดยการอุดตันพอร์ตอินเทอร์เน็ตของเซิร์ฟเวอร์ของเหยื่อที่มีข้อความสร้างฉ้อฉล บริษัท เป้าหมายที่มีการแสดงความสามารถในการประมวลผลการทำธุรกรรมที่ถูกต้องและสามารถแยกได้อย่างสมบูรณ์จากอินเทอร์เน็ตในช่วงระยะเวลาของการโจมตีได้. ในกรณีที่มีการโจมตี Smurf, องค์กรเป้าหมาย สามารถเขียนโปรแกรมไฟร์วอลล์ที่จะไม่สนใจการสื่อสารทั้งหมดจากเว็บไซต์โจมตีครั้งที่อยู่ IP ของผู้โจมตีจะถูกกำหนด การโจมตี SYN น้ำท่วมที่ใช้ปลอมแปลง IP เพื่อปกปิดแหล่งที่มา แต่เป็นปัญหาที่รุนแรงมากขึ้น แม้ว่าการโจมตีอาจเป็นจริงที่มาจากเว็บไซต์ปลอมตัวเดียวโฮสต์คอมพิวเตอร์ของเหยื่อมุมมองการส่งสัญญาณเหล่านี้เป็นมาจากทั่วอินเทอร์เน็ต ไอทีและการจัดการเครือข่ายสามารถใช้สองการกระทำที่จะเอาชนะการเรียงลำดับของการโจมตีครั้งนี้ ครั้งแรกในอินเทอร์เน็ตต้องยอมรับนโยบายความรับผิดชอบต่อสังคมโดยการเขียนโปรแกรมไฟร์วอลล์ของพวกเขาเพื่อป้องกันการแพ็คเก็ตข้อความขาออกที่มีที่ไม่ถูกต้องอยู่ IP ภายใน โลกนี้ป้องกันการโจมตีจากที่ซ่อนสถานที่ของพวกเขาจากเว็บไซต์ที่กำหนดเป้าหมายและจะมั่นใจการจัดการของโฮสต์ตัวกลางที่มีศักยภาพที่ไม่มีการโจมตีตรวจไม่พบอาจจะมีการเปิดตัวจากเว็บไซต์ของพวกเขา กลยุทธ์นี้จะไม่ได้ แต่ป้องกันการโจมตีจากเว็บไซต์อินเทอร์เน็ตที่ปฏิเสธที่จะส่งสัญญาณขาออกหน้าจอ ประการที่สองซอฟต์แวร์รักษาความปลอดภัยที่มีอยู่สำหรับเว็บไซต์เป้าหมายที่สแกนสำหรับการเชื่อมต่อครึ่งเปิด ซอฟแวร์ที่มีลักษณะสำหรับแพคเก็ต SYN ที่ยังไม่ได้รับการปฏิบัติตามโดยต ACK พอร์ตการอุดตันนั้นจะสามารถเรียกคืนไปยังอนุญาตให้ถูกต้องตามกฎหมายการเชื่อมต่อ
ไฟร์วอลล์
องค์กรที่เชื่อมต่อกับอินเทอร์เน็ตหรือเครือข่ายสาธารณะอื่น ๆ มักจะใช้ไฟร์วอลล์อิเล็กทรอนิกส์เพื่อป้องกันอินทราเน็ตของพวกเขาจากผู้บุกรุกภายนอก ไฟร์วอลล์คือระบบที่บังคับใช้การควบคุมการเข้าถึงระหว่างสองเครือข่าย เพื่อให้บรรลุนี้:
•การจราจรทั้งหมดระหว่างเครือข่ายภายนอกและอินทราเน็ตขององค์กรจะต้องผ่านไฟร์วอลล์.
•อนุญาตเท่านั้นการจราจรระหว่างองค์กรและภายนอกที่เป็นทางการระบุนโยบายการรักษาความปลอดภัยที่ได้รับอนุญาตให้ผ่านไฟร์วอลล์.
•ไฟร์วอลล์ต้อง จะมีภูมิคุ้มกันต่อการเจาะจากทั้งภายนอกและภายในองค์กร. Firewall สามารถนำมาใช้ในการตรวจสอบผู้ใช้ที่ด้านนอกของเครือข่ายการตรวจสอบระดับของเขาหรือเธอของผู้มีอำนาจเข้าถึงแล้วผู้ใช้ไปยังโปรแกรมข้อมูลหรือบริการที่ร้องขอ นอกเหนือไปจากฉนวนเครือข่ายขององค์กรจากเครือข่ายภายนอกไฟร์วอลล์ยังสามารถนำมาใช้เพื่อป้องกันบางส่วนของอินทราเน็ตขององค์กรจากการเข้าถึงภายใน ยกตัวอย่างเช่นการควบคุมการเข้าถึงระบบ LAN ข้อมูลทางการเงินสามารถฉนวนจากระบบ LAN ภายในอื่น ๆ บางไฟร์วอลล์ใช้ได้ในเชิงพาณิชย์ให้ระดับสูงของการรักษาความปลอดภัยในขณะที่คนอื่น ๆ มีความปลอดภัยน้อยลง แต่มีประสิทธิภาพมากขึ้น ไฟร์วอลล์อาจจะแบ่งออกเป็นสองประเภททั่วไป: ไฟร์วอลล์ระดับเครือข่ายและไฟร์วอลล์ระดับโปรแกรมประยุกต์. ไฟร์วอลล์ระดับเครือข่ายให้ แต่การควบคุมการเข้าถึงการรักษาความปลอดภัยที่มีประสิทธิภาพต่ำ ประเภทของไฟร์วอลล์นี้ประกอบด้วยการตรวจคัดกรองเราเตอร์ที่จะตรวจสอบแหล่งที่มาและที่อยู่ปลายทางที่จะแนบไปกับแพ็กเก็ตข้อความขาเข้า ไฟร์วอลล์ยอมรับหรือปฏิเสธคำขอเข้าถึงอยู่บนพื้นฐานของกฎการกรองที่ได้รับโปรแกรมมัน ไฟร์วอลล์นำสายเรียกเข้าที่ถูกต้องโหนดรับภายใน ไฟร์วอลล์เครือข่ายระดับที่ไม่ปลอดภัยเพราะพวกเขาได้รับการออกแบบเพื่อความสะดวกในการไหลของฟรีของข้อมูลที่มากกว่ามัน จำกัด วิธีการนี้ไม่ชัดเจนตรวจสอบผู้ใช้นอก. ไฟร์วอลล์แอพลิเคชันระดับให้อยู่ในระดับที่สูงขึ้นของการรักษาความปลอดภัยเครือข่ายที่ปรับแต่งได้ แต่พวกเขาเพิ่มค่าใช้จ่ายในการเชื่อมต่อไปยัง ระบบเหล่านี้มีการกำหนดค่าในการใช้งานการรักษาความปลอดภัยที่เรียกว่าผู้รับมอบฉันทะที่อนุญาตให้บริการประจำเช่น e-mail มาที่ผ่านไฟร์วอลล์ แต่สามารถทำหน้าที่ที่มีความซับซ้อนเช่นการตรวจสอบของผู้ใช้สำหรับงานที่เฉพาะเจาะจง ไฟร์วอลล์ระดับโปรแกรมประยุกต์ยังให้ครอบคลุมการเข้าสู่ระบบการส่งและการตรวจสอบเครื่องมือสำหรับการรายงานกิจกรรมที่ไม่ได้รับอนุญาต. ระดับสูงของการรักษาความปลอดภัยไฟร์วอลล์เป็นไปได้โดยใช้ระบบ Dual-homed วิธีการนี้แสดงในรูปที่ 3.3 มีสอง interfaces ไฟร์วอลล์ หนึ่งหน้าจอเข้ามาร้องขอจากอินเทอร์เน็ต; อื่น ๆ ที่ให้การเข้าถึงเครือข่ายอินทราเน็ตขององค์กร การสื่อสารโดยตรงกับอินเทอร์เน็ตจะปิดการใช้งานและทั้งสองจะแยกเครือข่ายอย่างเต็มที่ การประยุกต์ใช้พร็อกซีที่กำหนดเข้าสู่ระบบในขั้นตอนการดำเนินการแยกจากกันการเข้าถึงทั้งหมด. เลือกไฟร์วอลล์ขวาเกี่ยวข้องกับการค้าระหว่างความสะดวกสบายและความปลอดภัย ในท้ายที่สุดการจัดการองค์กรในความร่วมมือกับผู้เชี่ยวชาญด้านการตรวจสอบและเครือข่ายภายในจะต้องมาจับกับสิ่งที่ถือว่าเป็นความเสี่ยงที่ยอมรับ การรักษาความปลอดภัยมากขึ้นไฟร์วอลล์ให้ แต่สะดวกสบายน้อยลงก็คือสำหรับผู้ใช้ที่ได้รับอนุญาตให้ผ่านมันในการดำเนินธุรกิจ. ควบคุม Denial of Service โจมตีส่วนก่อนหน้านี้อธิบายสามรูปแบบทั่วไปของการปฏิเสธการโจมตีบริการ: SYK โจมตีน้ำท่วมโจมตี Smurf, และการกระจายการปฏิเสธการให้บริการ (DDoS) แต่ละเทคนิคเหล่านี้มีผลกระทบที่คล้ายกันในเหยื่อ โดยการอุดตันพอร์ตอินเทอร์เน็ตของเซิร์ฟเวอร์ของเหยื่อที่มีข้อความสร้างฉ้อฉล บริษัท เป้าหมายที่มีการแสดงความสามารถในการประมวลผลการทำธุรกรรมที่ถูกต้องและสามารถแยกได้อย่างสมบูรณ์จากอินเทอร์เน็ตในช่วงระยะเวลาของการโจมตีได้. ในกรณีที่มีการโจมตี Smurf, องค์กรเป้าหมาย สามารถเขียนโปรแกรมไฟร์วอลล์ที่จะไม่สนใจการสื่อสารทั้งหมดจากเว็บไซต์โจมตีครั้งที่อยู่ IP ของผู้โจมตีจะถูกกำหนด การโจมตี SYN น้ำท่วมที่ใช้ปลอมแปลง IP เพื่อปกปิดแหล่งที่มา แต่เป็นปัญหาที่รุนแรงมากขึ้น แม้ว่าการโจมตีอาจเป็นจริงที่มาจากเว็บไซต์ปลอมตัวเดียวโฮสต์คอมพิวเตอร์ของเหยื่อมุมมองการส่งสัญญาณเหล่านี้เป็นมาจากทั่วอินเทอร์เน็ต ไอทีและการจัดการเครือข่ายสามารถใช้สองการกระทำที่จะเอาชนะการเรียงลำดับของการโจมตีครั้งนี้ ครั้งแรกในอินเทอร์เน็ตต้องยอมรับนโยบายความรับผิดชอบต่อสังคมโดยการเขียนโปรแกรมไฟร์วอลล์ของพวกเขาเพื่อป้องกันการแพ็คเก็ตข้อความขาออกที่มีที่ไม่ถูกต้องอยู่ IP ภายใน โลกนี้ป้องกันการโจมตีจากที่ซ่อนสถานที่ของพวกเขาจากเว็บไซต์ที่กำหนดเป้าหมายและจะมั่นใจการจัดการของโฮสต์ตัวกลางที่มีศักยภาพที่ไม่มีการโจมตีตรวจไม่พบอาจจะมีการเปิดตัวจากเว็บไซต์ของพวกเขา กลยุทธ์นี้จะไม่ได้ แต่ป้องกันการโจมตีจากเว็บไซต์อินเทอร์เน็ตที่ปฏิเสธที่จะส่งสัญญาณขาออกหน้าจอ ประการที่สองซอฟต์แวร์รักษาความปลอดภัยที่มีอยู่สำหรับเว็บไซต์เป้าหมายที่สแกนสำหรับการเชื่อมต่อครึ่งเปิด ซอฟแวร์ที่มีลักษณะสำหรับแพคเก็ต SYN ที่ยังไม่ได้รับการปฏิบัติตามโดยต ACK พอร์ตการอุดตันนั้นจะสามารถเรียกคืนไปยังอนุญาตให้ถูกต้องตามกฎหมายการเชื่อมต่อ
การแปล กรุณารอสักครู่..
การควบคุมความเสี่ยงจากภัยคุกคามทางไฟร์วอลล์องค์กรเชื่อมต่อกับอินเทอร์เน็ตหรือเครือข่ายสาธารณะอื่น ๆมักจะใช้ไฟร์วอลล์เพื่อป้องกันอินทราเน็ตของอิเล็กทรอนิกส์จากผู้บุกรุกภายนอก ไฟร์วอลล์เป็นระบบที่ครอบคลุมการควบคุมการเข้าถึงระหว่างสองเครือข่าย เพื่อให้บรรลุนี้ :- การจราจรระหว่างเครือข่ายภายนอกและเครือข่ายอินทราเน็ตขององค์กรจะต้องผ่านไฟร์วอลล์- ได้รับอนุญาตเท่านั้นการจราจรระหว่างองค์กร และ ภายนอก เช่นนโยบายการรักษาความปลอดภัยอย่างเป็นทางการระบุอนุญาตให้ผ่านไฟร์วอลล์บริการไฟร์วอลล์ต้องมีภูมิคุ้มกันได้ ทั้งจากภายในและภายนอกองค์กรไฟร์วอลล์สามารถใช้ในการตรวจสอบผู้ใช้ภายนอกเครือข่าย ตรวจสอบระดับของเขาหรือเธอของการเข้าถึงอำนาจและจากนั้นโดยตรงผู้ใช้สามารถโปรแกรมข้อมูลหรือบริการที่ร้องขอ นอกจากใช้เครือข่ายขององค์กรจากเครือข่ายภายนอกไฟร์วอลล์ยังสามารถใช้เพื่อป้องกันจากการเข้าถึงบางส่วนขององค์กรอินทราเน็ตภายใน ตัวอย่างเช่น ระบบการควบคุมการเข้าถึงข้อมูลทางการเงินที่สามารถหุ้มฉนวนจาก LAN อื่น ๆ ภายใน บางคนอาดไฟร์วอลล์ให้ระดับสูงของการรักษาความปลอดภัยในขณะที่คนอื่นจะปลอดภัยน้อยลง แต่มีประสิทธิภาพมากขึ้น ไฟร์วอลล์สามารถแบ่งออกเป็นสองประเภททั่วไป : ระดับเครือข่ายไฟร์วอลล์และไฟร์วอลล์ระดับโปรแกรมประยุกต์ไฟร์วอลล์ระดับเครือข่ายให้มีประสิทธิภาพ แต่การควบคุมการเข้าถึงการรักษาความปลอดภัยต่ำ ของไฟร์วอลล์ชนิดนี้ประกอบด้วยการคัดกรองที่เราเตอร์ตรวจสอบแหล่งที่มาและที่อยู่ปลายทางที่แนบมากับข้อความที่เข้ามาแพ็คเก็ต . ไฟร์วอลล์ ยอมรับหรือปฏิเสธการร้องขอการเข้าถึงตามกฎการกรองที่ถูกตั้งโปรแกรมลงในมัน ไฟร์วอลล์นำโทรเข้ามาจะได้รับถูกต้องภายในโหนด ไฟร์วอลล์ระดับเครือข่ายที่ไม่ปลอดภัย เพราะพวกเขาถูกออกแบบมาเพื่อความสะดวกในการไหลของฟรีของข้อมูลมากกว่าการ จำกัด มัน วิธีนี้ไม่ได้ตรวจสอบภายนอกอย่างชัดเจน ผู้ใช้ไฟร์วอลล์ระดับโปรแกรมประยุกต์ให้ระดับที่สูงขึ้นของการรักษาความปลอดภัยเครือข่ายที่ปรับแต่งได้ แต่พวกเขาเพิ่มค่าใช้จ่ายในการเชื่อมต่อ ระบบเหล่านี้ถูกกำหนดค่าให้รันโปรแกรมรักษาความปลอดภัยที่เรียกว่าผู้รับมอบฉันทะที่อนุญาตให้บริการตามปกติเช่น e - mail ผ่านไฟร์วอลล์ แต่สามารถแสดงการทำงานที่ซับซ้อนเช่นการตรวจสอบผู้ใช้สำหรับงานเฉพาะ ไฟร์วอลล์ระดับโปรแกรมประยุกต์ยังให้ครอบคลุมการส่งเข้าสู่ระบบและการตรวจสอบเครื่องมือสำหรับการรายงานกิจกรรมที่ไม่ได้รับอนุญาตระดับสูงของการรักษาความปลอดภัยสามารถใช้สองบ้านระบบ วิธีการนี้ แสดง ในรูปที่ 3.3 มีสองไฟร์วอลล์การเชื่อมต่อ . หนึ่งหน้าจอการร้องขอเข้ามาจากอินเทอร์เน็ต ; อื่น ๆให้การเข้าถึงอินทราเน็ตขององค์กร การสื่อสารโดยตรงกับอินเทอร์เน็ตปิดการใช้งานและสองเครือข่ายอย่างโดดเดี่ยว พร็อกซีเข้าสู่ระบบโปรแกรมประยุกต์ที่กำหนดแยกในขั้นตอนที่แสดงการเชื่อมต่อทั้งหมดเลือกไฟร์วอลล์ที่เหมาะสมที่เกี่ยวข้องกับการแลกเปลี่ยนระหว่างความสะดวกสบาย และความปลอดภัย ในที่สุด , การจัดการองค์กร ในความร่วมมือกับผู้เชี่ยวชาญด้านการตรวจสอบภายใน และเครือข่าย ต้องมาจับกับสิ่งที่ถือว่าความเสี่ยงที่ยอมรับได้ เพิ่มเติมการรักษาความปลอดภัยไฟร์วอลล์ มี แต่ น้อย สะดวกจะอนุญาตให้ผู้ใช้ผ่านมันเพื่อดําเนินธุรกิจการควบคุมการปฏิเสธการโจมตีบริการส่วนก่อนหน้านี้อธิบายสามรูปแบบทั่วไปของการปฏิเสธการโจมตีบริการ : syk น้ำท่วมโจมตี , โจมตี Smurf , และการกระจายการปฏิเสธการให้บริการ ( DDoS ) การโจมตี แต่ละเทคนิคเหล่านี้มีผลที่คล้ายกันบนเหยื่อ โดยการอุดตันอินเทอร์เน็ตพอร์ตของเซิร์ฟเวอร์เหยื่อ ด้วยข้อความที่สร้างขึ้นโดย , เป้าหมายบริษัทให้ความสามารถในการประมวลผลธุรกรรมที่ถูกต้องตามกฎหมาย และสามารถจะสมบูรณ์แยกจากอินเทอร์เน็ตสำหรับระยะเวลาของการโจมตีในกรณีของ Smurf การโจมตีเป้าหมายขององค์การสามารถโปรแกรมไฟร์วอลล์ที่จะละเว้นการสื่อสารทั้งหมดจากการโจมตีเว็บไซต์ เมื่อคนร้ายที่อยู่ IP ที่ถูกกำหนด น้ำท่วม การโจมตีที่ใช้ IP ปลอมแปลง , ปลอมตัวมา แต่เป็นปัญหาร้ายแรงมากขึ้น แม้ว่าการโจมตีจริงอาจจะมาจากสายเดียวเว็บไซต์ของเหยื่อ โฮสต์คอมพิวเตอร์มุมมองเหล่านี้เป็นสัญญาณที่มาจากทั้งหมดผ่านทางอินเทอร์เน็ต และการจัดการเครือข่ายสามารถใช้เวลาสองการกระทำที่จะเอาชนะนี้ชนิดของการโจมตี ครั้งแรก , โฮสต์อินเทอร์เน็ตต้องกอดนโยบายความรับผิดชอบต่อสังคม โดยการโปรแกรมไฟร์วอลล์ของพวกเขาเพื่อป้องกันขาออกข้อความแพ็คเก็ตที่มีที่อยู่ IP ภายใน ไม่ถูกต้อง โลกใบนี้ป้องกันการโจมตีจากซ่อนสถานที่ของพวกเขาจากเป้าหมายเว็บไซต์และจะรับประกันการจัดการโฮสต์ตัวกลางศักยภาพที่ไม่อาจโจมตีได้เปิดตัวจากเว็บไซต์ของพวกเขา กลยุทธ์นี้จะไม่ อย่างไรก็ตาม ป้องกันการโจมตีจากอินเทอร์เน็ตไซต์ที่ปฏิเสธที่จะหน้าจอการส่งออก ที่สอง , ซอฟต์แวร์รักษาความปลอดภัยสามารถกำหนดเป้าหมายเว็บไซต์ที่สแกนสำหรับครึ่งเปิดการเชื่อมต่อ ซอฟต์แวร์ค้นหาแพ็คเก็ต ; ที่ยังไม่ได้ตามด้วยแอ๊คด้วย อุดตันพอร์ตแล้วสามารถเรียกคืนเพื่อให้ขา
การแปล กรุณารอสักครู่..
ภาษาอื่น ๆ
การสนับสนุนเครื่องมือแปลภาษา: กรีก, กันนาดา, กาลิเชียน, คลิงออน, คอร์สิกา, คาซัค, คาตาลัน, คินยารวันดา, คีร์กิซ, คุชราต, จอร์เจีย, จีน, จีนดั้งเดิม, ชวา, ชิเชวา, ซามัว, ซีบัวโน, ซุนดา, ซูลู, ญี่ปุ่น, ดัตช์, ตรวจหาภาษา, ตุรกี, ทมิฬ, ทาจิก, ทาทาร์, นอร์เวย์, บอสเนีย, บัลแกเรีย, บาสก์, ปัญจาป, ฝรั่งเศส, พาชตู, ฟริเชียน, ฟินแลนด์, ฟิลิปปินส์, ภาษาอินโดนีเซี, มองโกเลีย, มัลทีส, มาซีโดเนีย, มาราฐี, มาลากาซี, มาลายาลัม, มาเลย์, ม้ง, ยิดดิช, ยูเครน, รัสเซีย, ละติน, ลักเซมเบิร์ก, ลัตเวีย, ลาว, ลิทัวเนีย, สวาฮิลี, สวีเดน, สิงหล, สินธี, สเปน, สโลวัก, สโลวีเนีย, อังกฤษ, อัมฮาริก, อาร์เซอร์ไบจัน, อาร์เมเนีย, อาหรับ, อิกโบ, อิตาลี, อุยกูร์, อุสเบกิสถาน, อูรดู, ฮังการี, ฮัวซา, ฮาวาย, ฮินดี, ฮีบรู, เกลิกสกอต, เกาหลี, เขมร, เคิร์ด, เช็ก, เซอร์เบียน, เซโซโท, เดนมาร์ก, เตลูกู, เติร์กเมน, เนปาล, เบงกอล, เบลารุส, เปอร์เซีย, เมารี, เมียนมา (พม่า), เยอรมัน, เวลส์, เวียดนาม, เอสเปอแรนโต, เอสโทเนีย, เฮติครีโอล, แอฟริกา, แอลเบเนีย, โคซา, โครเอเชีย, โชนา, โซมาลี, โปรตุเกส, โปแลนด์, โยรูบา, โรมาเนีย, โอเดีย (โอริยา), ไทย, ไอซ์แลนด์, ไอร์แลนด์, การแปลภาษา.
- I do once in a while sit-ups and push-up
- prize
- Quit
- แต่คุณก็ทำฉันร้องไห้เช่นกัน
- ยินดีตอนรับสู่ประเทศไทย
- Applying an Alumni Feedback System to Ad
- ล้างชาม
- Conflict management comprises the identi
- What gadget does everyone want now
- ฉันหลับสบายจนถึงเช้าเลย
- เอาจริงอ่ะ
- Raming Lodge Hotel & Spa emphasizes on t
- ณัฐภัทร โพธิ์ศรี
- และสิ่งเหล่านี้มีทั้งข้อดีและเสีย
- Raming Lodge Hotel & Spa emphasizes on t
- ข้อมูลทั่วไป สีขาว สีม่วงแสดงถึงเกาะช้าง
- Talent
- สรุปตามความเข้าใจของตนเอง
- แต่คุณก็ทำฉันร้องไห้เช่นกัน
- Grief
- ความช่วยเหลือจากผู้ที่ผ่านประสบการณ์มาแล
- Do you stay alone
- person’s gender
- lower cohesiveness
