信息包篩選的工作原理
包過濾是在IP層實現的,因此,它可以只用路由器完成。包過濾根據包的源IP位址、目的IP位址、源連線埠、目的連線埠及包傳遞方向等報頭信息來判斷是否允許包通過。過濾用戶定義的內容,如IP位址。其工作原理是系統在網路層檢查數據包,與套用層無關,包過濾器的套用非常廣泛,因為CPU用來處理包過濾的時間可以忽略不計。而且這種防護措施對用戶透明,合法用戶在進出網路時,根本感覺不到它的存在,使用起來很方便。這樣系統就具有很好的傳輸性能,易擴展。但是這種防火牆不太安全,因為系統對套用層信息無感知——也就是說,它們不理解通信的內容,不能在用戶級別上進行過濾,即不能識別不同的用戶和防止IP位址的盜用。如果攻擊者把自己主機的IP位址設成一個合法主機的IP位址,就可以很輕易地通過包過濾器,這樣更容易被黑客攻破。 基於這種工作機制,包過濾防火牆有以下缺陷:
通信信息:包過濾防火牆只能訪問部分數據包的頭信息;
通信和套用狀態信息:包過濾防火牆是無狀態的,所以它不可能保存來自於通信和套用的狀態信息;
信息處理:包過濾防火牆處理信息的能力是有限的。
比如針對微軟IIS漏洞的Unicode攻擊,因為這種攻擊是走的防火牆所允許的80連線埠,而包過濾的防火牆無法對數據包內容進行核查,因此此時防火牆等同於虛設,未打相應patch的提供web服務的系統,即使在防火牆的屏障之後,也會被攻擊者輕鬆拿下超級用戶的許可權。</CA>
什麼是信息?
信息現代定義。[2006年,醫學信息(雜誌),鄧宇等].
信息是物質、能量、信息及其屬性的標示。逆維納信息定義
信息是確定性的增加。逆香農信息定義
信息是事物現象及其屬性標識的集合。2002年
