计算机网络攻击常见手法及防范(4)

　　前两种状态比较理想，而第四种最不安全。但是许多防火墙由于没有条件进行失效状态测试和验证，无法确定其失效状态等级，因此网络必然存在安全隐患。

　　3.防火墙必须进行动态维护

　　防火墙安装和投入使用后，并非万事大吉。要想充分发挥它的安全防护作用，必须对它进行跟踪和维护，要与商家保持密切的联系，时刻注视商家的动态。因为商家一旦发现其产品存在安全漏洞，就会尽快发布补救(Patch) 产品，此时应尽快确认真伪(防止特洛伊木马等病毒)，并对防火墙软件进行更新。

　　4.目前很难对防火墙进行测试验证

　　防火墙能否起到防护作用，最根本、最有效的证明方法是对其进行测试，甚至站在“黑客”的角度采用各种手段对防火墙进行攻击。然而具体执行时难度较大，主要原因是：

　　a.防火墙性能测试目前还是一种很新的技术，尚无正式出版刊物，可用的工具和软件更是寥寥无几。据了解目前只有美国ISS公司提供有防火墙性能测试的工具软件。

　　b.防火墙测试技术尚不先进，与防火墙设计并非完全吻合，使得测试工作难以达到既定的效果。

　　c.选择“谁”进行公正的测试也是一个问题。

　　可见，防火墙的性能测试决不是一件简单的事情，但这种测试又相当必要，进而提出这样一个问题：不进行测试，何以证明防火墙安全？

　　5.非法攻击防火墙的基本“招数”

　　a. IP地址欺骗攻击。许多防火墙软件无法识别数据包到底来自哪个网络接口，因此攻击者无需表明进攻数据包的真正来源，只需伪装IP地址，取得目标的信任，使其认为来自网络内部即可。IP地址欺骗攻击正是基于这类防火墙对IP地址缺乏识别和验证的机制而得成的。

　　b.破坏防火墙的另一种方式是攻击与干扰相结合。也就是在攻击期间使防火墙始终处于繁忙的状态。防火墙过分的繁忙有时会导致它忘记履行安全防护的职能，处于失效状态。