就軟件防火墻而言又分網(wǎng)絡(luò)防火墻與病毒防火墻,這之中還有手機防火墻。我們常用到的軟件防火墻品牌包括瑞星,冰盾等。
就硬件防火墻我這里就引用點現(xiàn)成的東西,以便說明硬件防火墻在網(wǎng)絡(luò)中的使用。
首先為什么要研究安全?
什么是“計算機安全”?廣義地講,安全是指防止其他人利用、借助你的計算機或外圍設(shè)備,做你不希望他們做的任何事情。首要問題是:“我們力圖保護的是些什么資源?”答案并不是明確的.通常,對這個問題的答案是采取必要的主機專用措施。圖5描述了目前的網(wǎng)絡(luò)現(xiàn)壯。
![]("http://network.51cto.com/files/uploadimg/20060227/1157440.jpg")
498)this.style.width=498;">許多人都抱怨Windows漏洞太多,有的人甚至為這一個又一個的漏洞煩惱。為此,本文簡要的向您介紹怎樣才能架起網(wǎng)絡(luò)安全防線。
禁用沒用的服務(wù)
Windows提供了許許多多的服務(wù),其實有許多我們是根本也用不上的。或許你還不知道,有些服務(wù)正為居心叵測的人開啟后門。
Windows還有許多服務(wù),在此不做過多地介紹。大家可以根據(jù)自己實際情況禁止某些服務(wù)。禁用不必要的服務(wù),除了可以減少安全隱患,還可以增加Windows運行速度,何樂而不為呢?
打補丁
Microsoft公司時不時就會在網(wǎng)上免費提供一些補丁,有時間可以去打打補丁。除了可以增強兼容性外,更重要的是堵上已發(fā)現(xiàn)的安全漏洞。建議有能力的朋友可以根據(jù)自己的實際情況根據(jù)情況打適合自己補丁。
防火墻
選擇一款徹底隔離病毒的辦法,物理隔離 Fortigate能夠預(yù)防十多種黑客攻擊,
分布式服務(wù)拒絕攻擊DDOS(Distributed Denial-Of-Service attacks)
※SYN Attack
※ICMP Flood
※UDP Flood
IP碎片攻擊(IP Fragmentation attacks)
※Ping of Death attack
※Tear Drop attack
※Land attack
端口掃描攻擊(Port Scan Attacks)
IP源路由攻擊(IP Source Attacks)
IP Spoofing Attacks
Address Sweep Attacks
WinNuke Attacks 您可以配置Fortigate在受到攻擊時發(fā)送警告郵件給管理員,最多可以指定3個郵件接受人。
防火墻的根本手段是隔離.安裝防火墻后必須對其進行必要的設(shè)置和時刻日志跟蹤。這樣才能發(fā)揮其最大的威力。
而我們這里主要講述防火墻概念以及與訪問控制列表的聯(lián)系。這里我綜合了網(wǎng)上有關(guān)防火墻,訪問控制表的定義。
防火墻概念
防火墻包含著一對矛盾( 或 稱 機 制):
一方面它限制數(shù)據(jù)流通,另一方面它又允許數(shù)據(jù)流通。
由于網(wǎng)絡(luò)的管理機制及安全策略(security policy)不同,因此這對矛盾呈現(xiàn)出不同的表現(xiàn)形式。
存在兩種極端的情形:
第一種是除了非允許不可的都被禁止,第二種是除了非禁止不可都被允許。
第一種的特點是安全但不好用,第二種是好用但不安全,而多數(shù)防火墻都在兩者之間采取折衷。
在確保防火墻安全或比較安全前提下提高訪問效率是當前防火墻技術(shù)研究和實現(xiàn)的熱點。
保護脆弱的服務(wù)
通過過濾不安全的服務(wù),F(xiàn)irewall可以極大地提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機的風險。例如,F(xiàn)irewall可以禁止NIS、NFS服務(wù)通過,F(xiàn)irewall同時可以拒絕源路由和ICMP重定向封包。
控制對系統(tǒng)的訪問
Firewall可以提供對系統(tǒng)的訪問控制。如允許從外部訪問某些主機,同時禁止訪問另外的主機。
集中的安全管理
Firewall對企業(yè)內(nèi)部網(wǎng)實現(xiàn)集中的安全管理,在Firewall定義的安全規(guī)則可以運行于整個內(nèi)部網(wǎng)絡(luò)系統(tǒng),而無須在內(nèi)部網(wǎng)每臺機器上分別設(shè)立安全策略。Firewall可以定義不同的認證方法,而不需要在每臺機器上分別安裝特定的認證軟件。外部用戶也只需要經(jīng)過一次認證即可訪問內(nèi)部網(wǎng)。
增強的保密性
使用Firewall可以阻止攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息,如Figer和DNS。
記錄和統(tǒng)計網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)
Firewall可以記錄和統(tǒng)計通過Firewall的網(wǎng)絡(luò)通訊,提供關(guān)于網(wǎng)絡(luò)使用的統(tǒng)計數(shù)據(jù),并且,F(xiàn)irewall可以提供統(tǒng)計數(shù)據(jù),來判斷可能的攻擊和探測。
策略執(zhí)行
Firewall提供了制定和執(zhí)行網(wǎng)絡(luò)安全策略的手段。未設(shè)置Firewall時,網(wǎng)絡(luò)安全取決于每臺主機的用戶
防火墻的功能
防火墻是網(wǎng)絡(luò)安全的屏障:
一個防火墻(作為阻塞點、控制點)能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風險。
防火墻可以強化網(wǎng)絡(luò)安全策略:
通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個主機上相比,防火墻的集中安全管理更經(jīng)濟。
對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計:
如果所有的訪問都經(jīng)過防火墻,那么,防火墻就能記錄下這些訪問并作出日志記錄,同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作時,防火墻能進行適當?shù)膱缶⑻峁┚W(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細信息。
另外,收集一個網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。
首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊,
并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計對網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。
防止內(nèi)部信息的外泄:
隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題.通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分,可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離,從而限制了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。
除了安全作用,防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN。通過VPN,將企事業(yè)單位在地域上分布在全世界各地的LAN或?qū)S米泳W(wǎng),有機地聯(lián)成一個整體。不僅省去了專用通信線路,而且為信息共享提供了技術(shù)保障。
防火墻技術(shù)
防火墻能增強機構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性,必須只允許授權(quán)的數(shù)據(jù)通過,而且防火墻本身也必須能夠免于滲透。
防火墻的五大功能
一般來說,防火墻具有以下幾種功能:
1.允許網(wǎng)絡(luò)管理員定義一個中心點來防止非法用戶進入內(nèi)部網(wǎng)絡(luò)。
2.可以很方便地監(jiān)視網(wǎng)絡(luò)的安全性,并報警。
3.可以作為部署NAT(Network Address Translation,網(wǎng)絡(luò)地址變換)的地點,利用NAT技術(shù),將有限的IP地址動態(tài)或靜態(tài)地與內(nèi)部的IP地址對應(yīng)起來,用來緩解地址空間短缺的問題。
4.是審計和記錄Internet使用費用的一個最佳地點。網(wǎng)絡(luò)管理員可以在此向管理部門提供Internet連接的費用情況,查出潛在的帶寬瓶頸位置,并能夠依據(jù)本機構(gòu)的核算模式提供部門級的計費。
5.可以連接到一個單獨的網(wǎng)段上,從物理上和內(nèi)部網(wǎng)段隔開,并在此部署WWW服務(wù)器和FTP服務(wù)器,將其作為向外部發(fā)布內(nèi)部信息的地點。從技術(shù)角度來講,就是所謂的停火區(qū)(DMZ)。
防火墻的兩大分類
1. 包過濾防火墻
第一代:靜態(tài)包過濾
這種類型的防火墻根據(jù)定義好的過濾規(guī)則審查每個數(shù)據(jù)包,以便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于數(shù)據(jù)包的報頭信息進行制訂。報頭信息中包括IP源地址、IP目標地址、傳輸協(xié)議(TCP、UDP、ICMP等等)、TCP/UDP目標端口、ICMP消息類型等。包過濾類型的防火墻要遵循的一條基本原則是"最小特權(quán)原則",即明確允許那些管理員希望通過的數(shù)據(jù)包,禁止其他的數(shù)據(jù)包。
第二代:動態(tài)包過濾
這種類型的防火墻采用動態(tài)設(shè)置包過濾規(guī)則的方法,避免了靜態(tài)包過濾所具有的問題。這種技術(shù)后來發(fā)展成為所謂包狀態(tài)監(jiān)測(Stateful Inspection)技術(shù)。采用這種技術(shù)的防火墻對通過其建立的每一個連接都進行跟蹤,并且根據(jù)需要可動態(tài)地在過濾規(guī)則中增加或更新條目。
2. 代理防火墻
第一代:代理防火墻
代理防火墻也叫應(yīng)用層網(wǎng)關(guān)(Application Gateway)防火墻。這種防火墻通過一種代理(Proxy)技術(shù)參與到一個TCP連接的全過程。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻處理后,就好像是源于防火墻外部網(wǎng)卡一樣,從而可以達到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用。這種類型的防火墻被網(wǎng)絡(luò)安全專家和媒體公認為是最安全的防火墻。它的核心技術(shù)就是代理服務(wù)器技術(shù)。
代理類型防火墻的最突出的優(yōu)點就是安全。
由于每一個內(nèi)外網(wǎng)絡(luò)之間的連接都要通過Proxy的介入和轉(zhuǎn)換,通過專門為特定的服務(wù)如Http編寫的安全化的應(yīng)用程序進行處理,然后由防火墻本身提交請求和應(yīng)答,沒有給內(nèi)外網(wǎng)絡(luò)的計算機以任何直接會話的機會,從而避免了入侵者使用數(shù)據(jù)驅(qū)動類型的攻擊方式入侵內(nèi)部網(wǎng)。包過濾類型的防火墻是很難徹底避免這一漏洞的。
代理防火墻的最大缺點就是速度相對比較慢,當用戶對內(nèi)外網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時,(比如要求達到75-100Mbps時)代理防火墻就會成為內(nèi)外網(wǎng)絡(luò)之間的瓶頸。所幸的是,目前用戶接入Internet的速度一般都遠低于這個數(shù)字。在現(xiàn)實環(huán)境中,要考慮使用包過濾類型防火墻來滿足速度要求的情況,大部分是高速網(wǎng)(ATM或千兆位以太網(wǎng)等)之間的防火墻。
第二代:自適應(yīng)代理防火墻
