发信人: HPVC()
整理人: ding(1999-12-13 18:56:32), 站内信件
|
(三)防火墙的构成(续1)
3.2 先进的验证
多年来,管理员劝告用户要选择那些难以猜测的口令,并且不泄露其口令。但是,
即使用户接受这一劝告(而很多人不接受这劝告),入侵者可以监视并确实监视Internet
来获取明文传输口令这一事实也反映传统的口令已经过时。
先进的验证措施,如智能卡、验证令牌、生物统计学和基于软件的工具以被用来克
服传统口令的弱点。尽管验证技术个不相同,但都是相类似的,因为由先进验证装置产
生的口令不能由监视连接的攻击者重新使用。如果Internet上的口令问题是固有的话,
那么,一个可访问Internet的防火墙,如果不使用先进验证装置或不包含使用先进验证
装置的挂接工具,则是几乎没有意义的。
当今使用的一些比较流行的先进验证装置叫做一次性口令系统。例如,智能卡或验证
牌产生一个主系统可以用来取代传统口令的响应信号。由于令牌或智能卡是与主系统上的
软件或硬件协同工作,因此,所产生的响应对每次注册都是独一无二的。其结果是一种
一次性口令。这种口令如果进行监控的话,就不可能被侵入者重新使用来获得某一帐号。
由于防火墙可以集中并控制网点访问,因而防火墙是安装先进的验证软件或硬件的合
理场所。虽然先进验证措施可用于每个主系统,但是,把各项措施都集中到防火墙更切
合实际,更便于管理。下图表明,一个不使用先进验证措施的防火墙的网点,允许TELNET
或FTP等未经验证的应用信息量直接传送到网点系统。如果主系统不使用先进验证措施,
则入侵者可能企图揭开口令奥秘,或者能监视网络进行的包括有口令的注册对话。图还
显示出一种备有使用先进验证措施的防火墙的网点,以致从Internet发送到网点系统的
TELNET 或FTP对话都必须通过先进的验证才允许到达网点系统。网点系统可能仍然需要
静态口令才允许访问,但是,只要先进的验证措施和其他防火墙组成部分可防护入侵者
渗透或绕过防火墙,这些口令就不会被利用,即使口令受到监视也是如此。
__________
| |
|Computer|
|________|
未经验证的TELNET |
FTP信息量 ∧ |
<----------------- __________ ---> ____________ ‖ |
__________________‖__| |_______| |_________‖___|_________
| ‖ |Internet| | Firewall |--------------------->
| ∨ |________| |__________| 防火墙系统
_____|____ 带先进验证软件
| | 经过验证的TELNET
|Computer| FTP信息量
|________|
--
※ 来源:·Netease BBS bbs.nease.net·[FROM: 202.96.185.21]
|
|