邊界衛士伺服器怎麼使用
㈠ 網路安全試題及答案
第一章 網路安全概述
【單選題】
1.計算機網路的安全是指( )
A、網路中設備設置環境的安全
B、網路使用者的安全
C、網路中信息的安全
D、網路的財產安全
正確答案: C 我的答案:C
2.黑客搭線竊聽屬於( )風險。
A、信息存儲安全信息
B、信息傳輸安全
C、信息訪問安全
D、以上都不正確
正確答案: B 我的答案:B
3.為了保證計算機信息安全,通常使用( ),以使計算機只允許用戶在輸入正確的保密信息時進入系統。
A、口令
B、命令
C、密碼
D、密鑰
正確答案: A 我的答案:C
4.對企業網路最大的威脅是()。
A、黑客攻擊
B、外國政府
C、競爭對手
D、內部員工的惡意攻擊
正確答案: D 我的答案:D
5.信息不泄露給非授權的用戶、實體或過程,指的是信息( )特性。
A、保密性
B、完整性
C、可用性
D、可控性
正確答案: A 我的答案:A
6.信息安全就是要防止非法攻擊和病毒的傳播,保障電子信息的有效性,從具體意義上理解,需要保證以下( )。
Ⅰ.保密性 Ⅱ.完整性 Ⅲ.可用性 Ⅳ.可控性 Ⅴ.不可否認性
A、Ⅰ、Ⅱ和Ⅳ B
B、Ⅱ和Ⅲ C
C、Ⅱ、Ⅲ和Ⅳ D
D、都是
正確答案: D 我的答案:D
7.信息風險主要指( )
A、信息存儲安全
B、信息傳輸安全
C、信息訪問安全
D、以上都正確
正確答案: D 我的答案:D
8.( )不是信息失真的原因
A、信源提供的信息不完全、不準確
B、信息在編碼、解碼和傳遞過程中受到干擾
C、信宿(信箱)接受信息出現偏差
D、信箱在理解上的偏差
正確答案: D 我的答案:A
9.以下( )不是保證網路安全的要素
A、信息的保密性
B、發送信息的不可否認性
C、數據交換的完整性
D、數據存儲的唯一性
正確答案: D 我的答案:B
第二章 黑客常用系統攻擊方法1
【單選題】
1.網路攻擊的發展趨勢是( )
A、黑客攻擊與網路病毒日益融合
B、攻擊工具日益先進
C、病毒攻擊
D、黑客攻擊
正確答案: A 我的答案:A
2.拒絕服務攻擊( )
A、A.用超過被攻擊目標處理能力的海量數據包消耗可用系統、帶寬資源等方法的攻擊
B、全程是Distributed Denial Of Service
C、拒絕來自一個伺服器所發送回應請求的指令
D、入侵控制一個伺服器後遠程關機
正確答案: A 我的答案:A
3.區域網中如果某台計算機受到了ARP欺騙,那麼它發出去的數據包中,( )地址是錯誤的
A、源IP地址
B、目標IP地址
C、源MAC地址
D、目標MAC地址
正確答案: D 我的答案:A
4.在網路攻擊活動中,Tribal Flood Netw(TFN)是( )類的攻擊程序
A、拒絕服務
B、字典攻擊
C、網路監聽
D、病毒程序
正確答案: A 我的答案:A
5.HTTP默認埠號為( )
A、21
B、80
C、8080
D、23
正確答案: B 我的答案:B
6.DDOS攻擊破壞了( )
A、可用性
B、保密性
C、完整性
D、真實性
正確答案: A 我的答案:A
7.漏洞評估產品在選擇時應注意( )
A、是否具有針對網路、主機和資料庫漏洞的檢測功能
B、產品的掃描能力
C、產品的評估能力
D、產品的漏洞修復能力
E、以上都不正確
正確答案: E 我的答案:A
第二章 黑客常用系統攻擊方法2
【單選題】
1.關於「攻擊工具日益先進,攻擊者需要的技能日趨下降」的觀點不正確的是( )
A、網路受到的攻擊的可能性越來越大
B、.網路受到的攻擊的可能性將越來越小
C、網路攻擊無處不在
D、網路風險日益嚴重
正確答案: B
2.在程序編寫上防範緩沖區溢出攻擊的方法有( )
Ⅰ.編寫正確、安全的代碼 Ⅱ.程序指針完整性檢測
Ⅲ.數組邊界檢查 Ⅳ.使用應用程序保護軟體
A、 Ⅰ、Ⅱ和Ⅳ
B、 Ⅰ、Ⅱ和Ⅲ
C、 Ⅱ和Ⅲ
D、都是
正確答案: B
3.HTTP默認埠號為( )
A、21
B、80
C、8080
D、23
正確答案: B
4.信息不泄露給非授權的用戶、實體或過程,指的是信息( )特性。
A、保密性
B、完整性
C、可用性
D、可控性
正確答案: A
5.為了避免冒名發送數據或發送後不承認的情況出現,可以採取的辦法是( )
A、數字水印
B、數字簽名
C、訪問控制
D、發電子郵箱確認
正確答案: B
6.在建立網站的目錄結構時,最好的做法是( )。
A、將所有文件最好都放在根目錄下
B、目錄層次選在3到5層
C、按欄目內容建立子目錄
D、最好使用中文目錄
正確答案: C
【判斷題】
7.冒充信件回復、冒名Yahoo發信、下載電子賀卡同意書,使用的是叫做「字典攻擊」的方法
正確答案:×
8當伺服器遭受到DoS攻擊的時候,只需要重新啟動系統就可以阻止攻擊。
正確答案:×
9.一般情況下,採用Port scan可以比較快速地了解某台主機上提供了哪些網路服務。
正確答案:×
10.Dos攻擊不但能使目標主機停止服務,還能入侵系統,打開後門,得到想要的資料。
正確答案:×
11.社會工程攻擊目前不容忽視,面對社會工程攻擊,最好的方法使對員工進行全面的教育。
正確答案:√
第三章 計算機病毒1
【單選題】
1.每一種病毒體含有的特徵位元組串對被檢測的對象進行掃描,如果發現特徵位元組串,就表明發現了該特徵串所代表的病毒,這種病毒而檢測方法叫做( )。
A、比較法
B、特徵字的識別法
C、搜索法
D、分析法
E、掃描法
正確答案: B 我的答案:E
2.( )病毒式定期發作的,可以設置Flash ROM 寫狀態來避免病毒破壞ROM。
A、Melissa
B、CIH
C、I love you
D、蠕蟲
正確答案: B 我的答案:D
3.以下( )不是殺毒軟體
A、瑞星
B、Word
C、Norton AntiVirus
D、金山毒霸
正確答案: B 我的答案:B
4.效率最高、最保險的殺毒方式( )。
A、手動殺毒
B、自動殺毒
C、殺毒軟體
D、磁碟格式化
正確答案: D 我的答案:D
【多選題】
5.計算機病毒的傳播方式有( )。
A、通過共享資源傳播
B、通過網頁惡意腳本傳播
C、通過網路文件傳輸傳播
D、通過電子郵件傳播
正確答案: ABCD 我的答案:ABCD
6.計算機病毒按其表現性質可分為( )
A、良性的
B、惡性的
C、隨機的
D、定時的
正確答案: AB 我的答案:ABCD
【判斷題】
7.木馬與傳統病毒不同的是:木馬不自我復制。( )
正確答案:√ 我的答案:√
8.在OUTLOOKEXPRESS 中僅預覽郵件的內容而不打開郵件的附件不會中毒的。( )
正確答案:× 我的答案:×
9.文本文件不會感染宏病毒。( )
正確答案:× 我的答案:√
10.按照計算機病毒的傳播媒介來分類,可分為單機病毒和網路病毒。( )
正確答案:√ 我的答案:√
11.世界上第一個攻擊硬體的病毒是CIH.( )
正確答案:√ 我的答案:√
第三章 計算機病毒2
【單選題】
1.計算機病毒的特徵( )。
A、隱蔽性
B、潛伏性、傳染性
C、破壞性
D、可觸發性
E、以上都正確
正確答案: E 我的答案:E
2.每一種病毒體含有的特徵位元組串對被檢測的對象進行掃描,如果發現特徵位元組串,就表明發現了該特徵串所代表的病毒,這種病毒而檢測方法叫做( )。
A、比較法
B、特徵字的識別法
C、搜索法
D、分析法
E、掃描法
正確答案: B 我的答案:B
3.下列敘述中正確的是( )。
A、計算機病毒只感染可執行文件
B、計算機病毒只感染文本文件
C、計算機病毒只能通過軟體復制的方式進行傳播
D、計算機病毒可以通過讀寫磁碟或網路等方式進行傳播
正確答案: D 我的答案:D
4.計算機病毒的破壞方式包括( )。
A、刪除修改文件類
B、搶占系統資源類
C、非法訪問系統進程類
D、破壞操作系統類
正確答案: ABCD 我的答案:ABCD
【判斷題】
5.只是從被感染磁碟上復制文件到硬碟上並不運行其中的可執行文件不會是系統感染病毒。( )
正確答案:× 我的答案:×
6.將文件的屬性設為只讀不可以保護其不被病毒感染.( )
正確答案:× 我的答案:×
7.重新格式化硬碟可以清楚所有病毒。( )
正確答案:× 我的答案:√
8. GIF和JPG格式的文件不會感染病毒。( )
正確答案:× 我的答案:×
9.蠕蟲病毒是指一個程序(或一組程序),會自我復制、傳播到其他計算機系統中去( )。
正確答案:√ 我的答案:√
第四章 數據加密技術1
【單選題】
1.可以認為數據的加密和解密是對數據進行的某種交換,加密和解密的過程都是在( )的控制下進行的
A、名文
B、密文
C、信息
D、密鑰
正確答案: D 我的答案:D
2.為了避免冒名發送數據或發送後不承認的情況出現,可以採取的辦法是( )
A、數字水印
B、數字簽名
C、訪問控制
D、發電子郵箱確認
正確答案: B 我的答案:B
3.以下關於加密說法正確的是( )
A、加密包括對稱加密和非對稱加密兩種
B、信息隱蔽式加密的一種方法
C、如果沒有信息加密的密鑰,只要知道加密程序的細節就可以對信息進行解密
D、密鑰的位數越多,信息的安全性越高
正確答案: D 我的答案:A
4.( )是網路通信中標志通信各方身份信息的一系列數據,提供一種在INTERNER上驗證身份的方式。
A、數字認證
B、數字證書
C、電子認證
D、電子證書
正確答案: B 我的答案:B
5.數字證書採用公鑰體制時,每個用戶設定一把公鑰,由本人公開,用其進行( )
A、加密和驗證簽名
B、解密和簽名
C、加密
D、解密
正確答案: A 我的答案:A
第四章 數據加密技術2
【單選題】
1.在公開密鑰體制中,加密密鑰即( )
A、解密密鑰
B、私密密鑰
C、公開密鑰
D、私有密鑰
正確答案: C 我的答案:C
2.Set協議又稱為( )
A、安全套協議層協議
B、安全電子交易協議
C、信息傳輸安全協議
D、網上購物協議
正確答案: B 我的答案:B
3.數字簽名為保證其不可更改性,雙方約定使用( )
A、Hash演算法
B、RSA演算法
C、CAP演算法
D、ACR演算法
正確答案: B 我的答案:A
4.安全套接層協議時( )。
A、SET
B、S-HTTP
C、HTTP
D、SSL
正確答案: D 我的答案:D
第五章 防火牆技術1
【單選題】
1.為確保企業管理區域網的信息安全,防止來自Internet的黑客入侵,採用( )可以實現一定的防範作用。
A、網路管理軟體
B、郵件列表
C、防火牆
D、防病毒軟體
正確答案: C
2.防火牆採用的最簡單的技術是( )。
A、安裝保護卡
B、隔離
C、包過濾
D、設置進入密碼
正確答案: C
3.下列關於防火牆的說法正確的是( )。
A、防火牆的安全性能是根據系統安全的要求而設置的
B、防火牆的安全性能是一致的,一般沒有級別之分
C、防火牆不能把內部網路隔離為可信任網路
D、一個防火牆只能用來對兩個網路之間的互相訪問實行強制性管理的安全系統
正確答案: A
4.( )不是防火牆的功能。
A、過濾進出網路的數據包
B、保護存儲數據安全
C、封堵某些禁止的訪問行為
D、記錄通過防火牆的信息內容和活動
正確答案: B
5.( )不是專門的防火牆產品。
A、ISA server 2004
B、Cisco router
C、Topsec 網路衛士
D、check point防火牆
正確答案: B
6.有一個主機專門被用做內部網路和外部網路的分界線。該主機里插有兩塊網卡,分別連接到兩個網路。防火牆裡面的系統可以與這台主機進行通信,防火牆外面的系統(Internet上的系統)也可以與這台主機進行通信,但防火牆兩邊的系統之間不能直接進行通信,這是( )的防火牆。
A、屏蔽主機式體系結構
B、篩選路由式體系結構
C、雙網主機式體系結構
D、屏蔽子網式體系結構
正確答案: A
7.對新建的應用連接,狀態檢測檢查預先設置的安全規則,允許符合規則的連接通過,並在內存中記錄下該連接的相關信息,生成狀態表。對該連接的後續數據包,只要符合狀態表,就可以通過。這種防火牆技術稱為( )。
A、包過濾技術
B、狀態檢測技術
C、代理服務技術
D、以上都不正確
正確答案: B
8.防火牆的作用包括( )。(多選題)
A、提高計算機系統總體的安全性
B、提高網路速度
C、控制對網點系統的訪問
D、數據加密
正確答案: AC
第五章 防火牆技術2
【單選題】
1.防火牆技術可以分為( )等三大類。
A、包過濾、入侵檢測和數據加密
B、包過濾、入侵檢測和應用代理
C、包過濾、應用代理和入侵檢測
D、包過濾、狀態檢測和應用代理
正確答案: D
2.防火牆系統通常由( )組成。
A、殺病毒卡和殺毒軟體
B、代理伺服器和入侵檢測系統
C、過濾路由器和入侵檢測系統
D、過濾路由器和代理伺服器
正確答案: D
3.防火牆防止不希望的、未經授權的通信進出被保護的內部網路,是一種( )網路安全措施。
A、被動的
B、主動的
C、能夠防止內部犯罪的
D、能夠解決所有問題的
正確答案: A
4.防火牆是建立在內外網路邊界上的一類安全保護機制,其安全架構基於( )。
A、流量控制技術
B、加密技術
C、信息流填充技術
D、訪問控制技術
正確答案: D
5.一般作為代理伺服器的堡壘主機上裝有( )。
A、一塊網卡且有一個IP地址
B、兩個網卡且有兩個不同的IP地址
C、兩個網卡且有相同的IP地址
D、多個網卡且動態獲得IP地址
正確答案: A
6.代理伺服器上運行的是( )
A、代理伺服器軟體
B、網路操作系統
C、資料庫管理系統
D、應用軟體
正確答案: A
7.在ISO OSI/RM中隊網路安全服務所屬的協議層次進行分析,要求每個協議層都能提供網路安全服務。其中,用戶身份認證在( )進行。
A、網路層
B、會話層
C、物理層
D、應用層
正確答案: D
8.在ISO OSI/RM中隊網路安全服務所屬的協議層次進行分析,要求每個協議層都能提供網路安全服務。其中,IP過濾型防火牆在( )通過控制網路邊界的信息流動來強化內部網路的安全性。
A、網路層
B、會話層
C、物理層
D、應用層
正確答案: A
第六章 Windows Server的安全1
【單選題】
1.WindowServer2003系統的安全日誌通過( )設置。
A、事件查看器
B、伺服器管理器
C、本地安全策略
D、網路適配器
正確答案: C
2. 用戶匿名登錄主機時,用戶名為( )。
A、guest
B、OK
C、Admin
D、Anonymous
正確答案: D
3.為了保證計算機信息安全,通常使用( ),以使計算機只允許用戶在輸入正確的保密信息時進入系統。
A、口令
B、命令
C、密碼
D、密鑰
正確答案: C
【多選題】
4.( )是Windows Server2003伺服器系統自帶的遠程管理系統。(多選題)
A、Telnet services
B、Terminalservices
C、PC anywhere
D、IPC
正確答案: ABD
5.1、 Windows Server2003伺服器採取的安全措施包括( )。(多選題)
A、使用NTFS格式的磁碟分區
B、及時對操作系統使用補丁程序堵塞安全漏洞
C、實行強有力的安全管理策略
D、藉助防火牆對伺服器提供保護
E、關閉不需要的伺服器組件
正確答案: ABCDE
第六章 Windows Server的安全2
【單選題】
1.( )不是Windows 的共享訪問許可權。
A、只讀
B、完全控制
C、更改
D、讀取及執行
正確答案: D
2.WindowsServer2003的注冊表根鍵( )是確定不同文件後綴的文件類型。
A、HKEY_CLASSES_ROOT
B、HKEY_USER
C、HKEY_LOCAL_MACHINE
D、HKEY_SYSTEM
正確答案: A
3.為了保證Windows Server2003伺服器不被攻擊者非法啟動,管理員應該採取( )措施.
A、備份注冊表
B、利用SYSKEY
C、使用加密設備
D、審計注冊表的用戶許可權
正確答案: B
【多選題】
4.( )可以啟動Windows Server2003的注冊編輯器。(多選題)
A、REGERDIT.EXE
B、DFVIEW.EXE
C、FDISK.EXE
D、REGISTRY.EXE
E、REGEDT32.EXE
正確答案: AE
5.有些病毒為了在計算機啟動的時候自動載入,可以更改注冊表,()鍵值更改注冊表自帶載入項。(多選題)
A、HKLM\software\microsoft\windows\currentversion\run
B、HKLM\software\microsoft\windows\currentversion\runonce
C、HKLM\software\microsoft\windows\currentversion\runservices
D、HKLM\software\microsoft\windows\currentversion\runservicesonce
正確答案: ABCD
6.在保證密碼安全中,應該採取的正確措施有( )。(多選題)
A、不用生日密碼
B、不使用少於5位數的密碼
C、不用純數字
D、將密碼設的很復雜並在20位以上
正確答案: ABC
㈡ 防火牆的設計與規劃
1 引言
網路安全是一個不容忽視的問題,當人們在享受網路帶來的方便與快捷的同時,也要時時面對網路開放帶來的數據安全方面的新挑戰和新危險。為了保障網路安全,當園區網與外部網連接時,可以在中間加入一個或多個中介系統,防止非法入侵者通過網路進行攻擊,非法訪問,並提供數據可靠性、完整性以及保密性等方面的安全和審查控制,這些中間系統就是防火牆(Firewall)技術。它通過監測、限制、修改跨越防火牆的數據流,盡可能地對外屏蔽網路內部的結構、信息和運行情況、阻止外部網路中非法用戶的攻擊、訪問以及阻擋病毒的入侵,以此來實現內部網路的安全運行。
2 防火牆的概述及其分類
網路安全的重要性越來越引起網民們的注意,大大小小的單位紛紛為自己的內部網路「築牆」、防病毒與防黑客成為確保單位信息系統安全的基本手段。防火牆是目前最重要的一種網路防護設備,是處於不同網路(如可信任的局域內部網和不可信的公共網)或網路安全域之間的一系列部件的組合。它是不同網路或網路安全域之間信息的惟一出入口,能根據企業的安全策略控制(允許、拒絕、監測)出入網路的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網路和信息安全的基礎設施。
2.1 概述
在邏輯上,防火牆其實是一個分析器,是一個分離器,同時也是一個限制器,它有效地監控了內部網間或Internet之間的任何活動,保證了區域網內部的安全。
1)什麼是防火牆
古時候,人們常在寓所之間砌起一道磚牆,一旦火災發生,它能夠防止火勢蔓延到別的寓所。現在,如果一個網路接到了Internet上面,它的用戶就可以訪問外部世界並與之通信。但同時,外部世界也同樣可以訪問該網路並與之交互。為安全起見,可以在該網路和Internet之間插入一個中介系統,豎起一道安全屏障。這道屏障的作用是阻斷來自外部通過網路對本網路的威脅和入侵,提供扼守本網路的安全和審計的關卡,它的作用與古時候的防火磚牆有類似之處,因此就把這個屏障叫做「防火牆」。
防火牆可以是硬體型的,所有數據都首先通過硬體晶元監測;也可以是軟體型的,軟體在計算機上運行並監控。其實硬體型也就是晶元里固化了UNIX系統軟體,只是它不佔用計算機CPU的處理時間,但價格非常高,對於個人用戶來說軟體型更加方便實在。
2)防火牆的功能
防火牆只是一個保護裝置,它是一個或一組網路設備裝置。它的目的就是保護內部網路的訪問安全。它的主要任務是允許特別的連接通過,也可以阻止其它不允許的連接。其主體功能可以歸納為如下幾點:
·根據應用程序訪問規則可對應用程序聯網動作進行過濾;
·對應用程序訪問規則具有學習功能;
·可實時監控,監視網路活動;
·具有日誌,以記錄網路訪問動作的詳細信息;
·被攔阻時能通過聲音或閃爍圖標給用戶報警提示。
3)防火牆的使用
由於防火牆的目的是保護一個網路不受來自另一個網路的攻擊。因此,防火牆通常使用在一個被認為是安全和可信的園區網與一個被認為是不安全與不可信的網路之間,阻止別人通過不安全與不可信的網路對本網路的攻擊,破壞網路安全,限制非法用戶訪問本網路,最大限度地減少損失。
2.2 防火牆的分類
市場上的硬體防火牆產品非常之多,分類的標准比較雜,從技術上通常將其分為「包過濾型」、「代理型」和「監測型」等類型。
1)包過濾型
包過濾型產品是防火牆的初級產品,其技術依據是網路中的分包傳輸技術。網路上的數據都是以「包」為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址、目標地址、TCP/UDP(傳輸控制協議/用戶數據報協議)源埠和目標埠等。防火牆通過讀取數據包中的地址信息來判斷這些「包」是否來自可信任的安全站點,一旦發現來自危險站點的數據包,防火牆便會將這些數據拒之門外。
2)代理型
代理型防火牆也可以被稱為代理伺服器,它的安全性要高於包過濾型產品,並已經開始向應用層發展。代理伺服器位於客戶機與伺服器之間,完全阻擋了二者間的數據交流。從客戶機來看,代理伺服器相當於一台真正的伺服器;而從伺服器來看,代理伺服器又是一台真正的客戶機。當客戶機需要使用伺服器上的數據時,首先將數據請求發給代理伺服器,代理伺服器再根據這一請求向伺服器索取數據,然後由代理伺服器將數據傳輸給客戶機。由於外部系統與內部伺服器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網路系統。
3)監測型
監測型防火牆是新一代的產品,這一技術實際上已經超越了最初的防火牆定義。監測型防火牆能夠對各層的數據進行主動的、實時的監測,在對這些數據加以分析的基礎上,監測型防火牆能夠有效地判斷出各層中的非法侵入。同時,這種監測型防火牆產品一般還帶有分布式探測器,這些探測器安置在各種應用伺服器和其他網路的節點之中,不僅能夠檢測來自網路外部的攻擊,同時對來自內部的惡意破壞也有極強的防範作用。據權威機構統計,在針對網路系統的攻擊中,有相當比例的攻擊來自網路內部。因此,監測型防火牆不僅超越了傳統防火牆的定義,而且在安全性上也超越了前兩代產品。
3 防火牆的作用、特點及優缺點
防火牆通常使用在一個可信任的內部網路和不可信任的外部網路之間,阻斷來自外部通過網路對區域網的威脅和入侵,確保區域網的安全。與其它網路產品相比,有著其自身的專用特色,但其本身也有著某些不可避免的局限。下面對其在網路系統中的作用、應用特點和其優缺點進行簡單的闡述。
3.1 防火牆的作用
防火牆可以監控進出網路的通信量,僅讓安全、核准了的信息進入,同時又抵制對園區網構成威脅的數據。隨著安全性問題上的失誤和缺陷越來越普遍,對網路的入侵不僅來自高超的攻擊手段,也有可能來自配置上的低級錯誤或不合適的口令選擇。因此,防火牆的作用是防止不希望的、未授權的通信進出被保護的網路,迫使單位強化自己的安全策略。一般的防火牆都可以達到如下目的:一是可以限制他人進入內部網路,過濾掉不安全服務和非法用戶;二是防止入侵者接近防禦設施;三是限定用戶訪問特殊站點;四是為監視Internet安全提供方便。
3.2 防火牆的特點
我們在使用防火牆的同時,對性能、技術指標和用戶需求進行分析。包過濾防火牆技術的特點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全。包過濾技術是一種基於網路層的安全技術,只能根據數據包的來源、目標和埠等網路信息進行判斷,無法識別基於應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒;代理型防火牆的特點是安全性較高,可以針對應用層進行偵測和掃描,對付基於應用層的侵入和病毒都十分有效。當然代理伺服器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性;雖然監測型防火牆安全性上已超越了包過濾型和代理伺服器型防火牆,但由於監測型防火牆技術的實現成本較高,也不易管理,所以目前在實用中的防火牆產品仍然以第二代代理型產品為主,但在某些方面也已經開始使用監測型防火牆。
防火牆一般具有如下顯著特點:
·廣泛的服務支持 通過動態的、應用層的過濾能力和認證相結合,可以實現WWW瀏覽器、HTTP伺服器、FTP等;
·對私有數據的加密支持 保證通過Internet進行虛擬私人網路和商業活動不受損壞;
·客戶端只允許用戶訪問指定的網路或選擇服務 企業本地網、園區網與分支機構、商業夥伴和移動用戶等安全通信的信息;
·反欺騙 欺騙是從外部獲取網路訪問權的常用手段,它使數據包類似於來自網路內部。防火牆能監視這樣的數據包並能丟棄;
·C/S模式和跨平台支持 能使運行在一個平台的管理模塊控制運行在另一個平台的監視模塊。
3.3 防火牆的優勢和存在的不足
防火牆在確保網路的安全運行上發揮著重要的作用。但任何事物都不是完美無缺的,對待任何事物必須一分為二,防火牆也不例外。在充分利用防火牆優點為我們服務的同時,也不得不面對其自身弱點給我們帶來的不便。
1) 防火牆的優勢
(1)防火牆能夠強化安全策略。因為網路上每天都有上百萬人在收集信息、交換信息,不可避免地會出現個別品德不良或違反規則的人。防火牆就是為了防止不良現象發生的「交通警察」,它執行站點的安全策略,僅僅允許「認可的」和符合規則的請求通過。
(2)防火牆能有效地記錄網路上的活動。因為所有進出信息都必須通過防火牆,所以防火牆非常適合用於收集關於系統和網路使用和誤用的信息。作為訪問的唯一點,防火牆能在被保護的網路和外部網路之間進行記錄。
(3)防火牆限制暴露用戶點。防火牆能夠用來隔開網路中的兩個網段,這樣就能夠防止影響一個網段的信息通過整個網路進行傳播。
(4)防火牆是一個安全策略的檢查站。所有進出的信息都必須通過防火牆,防火牆便成為安全問題的檢查點,使可疑的訪問被拒絕於門外。
2) 防火牆存在的不足
(1)不能防範惡意的知情者。防火牆可以禁止系統用戶經過網路連接發送專有的信息,但用戶可以將數據復制到磁碟、磁帶上,放在公文包中帶出去。如果入侵者已經在防火牆內部,防火牆是無能為力的。內部用戶可以偷竊數據,破壞硬體和軟體,並且巧妙地修改程序而不接近防火牆。對於來自知情者的威脅,只能要求加強內部管理。
(2)不能防範不通過它的連接。防火牆能夠有效地防止通過它傳輸的信息,然而它卻不能防止不通過它而傳輸的信息。例如,如果站點允許對防火牆後面的內部系統進行撥號訪問,那麼防火牆絕對沒有辦法阻止入侵者進行撥號入侵。
(3)不能防備全部的威脅。防火牆被用來防備已知的威脅,如果是一個很好的防火牆設計方案,就可以防備新的威脅,但沒有一台防火牆能自動防禦所有新的威脅。
4 防火牆的管理與維護
如果已經設計好了一個防火牆,使它滿足了你的機構的需要,接下來的工作就是防火牆的管理與維護了。在防火牆設計建造完成以後,使它正常運轉還要做大量的工作。值得注意的是,這里許多維護工作是自動進行的。管理與維護工作主要有4個方面,它們分別是:建立防火牆的安全策略、日常管理、監控系統、保持最新狀態。
4.1 建立防火牆的安全策略
要不要制定安全上的策略規定是一個有爭議的問題。有些人認為制定一套安全策略是相當必須的,因為它可以說是一個組織的安全策略輪廓,尤其在網路上以及網路系統管理員對於安全上的顧慮並沒有明確的策略時。
安全策略也可以稱為訪問上的控制策略。它包含了訪問上的控制以及組織內其他資源使用的種種規定。訪問控制包含了哪些資源可以被訪問,如讀取、刪除、下載等行為的規范,以及哪些人擁有這些權力等信息。
1) 網路服務訪問策略
網路服務訪問策略是一種高層次的、具體到事件的策略,主要用於定義在網路中允許的或禁止的網路服務,還包括對撥號訪問以及PPP(點對點協議)連接的限制。這是因為對一種網路服務的限制可能會促使用戶使用其他的方法,所以其他的途徑也應受到保護。比如,如果一個防火牆阻止用戶使用Telnet服務訪問網際網路,一些人可能會使用撥號連接來獲得這些服務,這樣就可能會使網路受到攻擊。網路服務訪問策略不但應該是一個站點安全策略的延伸,而且對於機構內部資源的保護也起全局的作用。這種策略可能包括許多事情,從文件切碎條例到病毒掃描程序,從遠程訪問到移動介質的管理。
2) 防火牆的設計策略
防火牆的設計策略是具體地針對防火牆,負責制定相應的規章制度來實施網路服務訪問策略。在制定這種策略之前,必須了解這種防火牆的性能以及缺陷、TCP/IP自身所具有的易攻擊性和危險。防火牆一般執行一下兩種基本策略中的一種:
① 除非明確不允許,否則允許某種服務;
② 除非明確允許,否則將禁止某項服務。
執行第一種策略的防火牆在默認情況下允許所有的服務,除非管理員對某種服務明確表示禁止。執行第二種策略的防火牆在默認情況下禁止所有的服務,除非管理員對某種服務明確表示允許。防火牆可以實施一種寬松的策略(第一種),也可以實施一種限制性策略(第二種),這就是制定防火牆策略的入手點。
3) 安全策略設計時需要考慮的問題
為了確定防火牆安全設計策略,進而構建實現預期安全策略的防火牆,應從最安全的防火牆設計策略開始,即除非明確允許,否則禁止某種服務。策略應該解決以下問題:
·需要什麼服務,如Telnet、WWW或NFS等;
·在那裡使用這些服務,如本地、穿越網際網路、從家裡或遠方的辦公機構等;
·是否應當支持撥號入網和加密等服務;
·提供這些服務的風險是什麼;
·若提供這種保護,可能會導致網路使用上的不方便等負面影響,這些影響會有多大;
·與可用性相比,站點的安全性放在什麼位置。
4.2 日常管理
日常管理是經常性的瑣碎工作,以使防火牆保持清潔和安全。為此,需要經常去完成的主要工作:數據備份、賬號管理、磁碟空間管理等。
1) 數據備份
一定要備份防火牆的數據。使用一種定期的、自動的備份系統為一般用途的機器做備份。當這個系統正常做完備份之後,最好還能發送出一封確定信,而當它發現錯誤的時候,也最好能產生一個明顯不同的信息。
為什麼只是在錯誤發生的時候送出一封信就好了呢?如果這個系統只在有錯誤的時候產生一封信,或許就有可能不會注意到這個系統根本就沒有運作。那為什麼需要明顯不同的信息呢?如果備份系統正常和執行失敗時產生的信息很類似。那麼習慣於忽略成功信息的人,也有可能會忽略失敗信息。理想的情況是有一個程序檢查備份有沒有執行,並在備份沒有執行的時候產生一個信息。
2) 賬號管理
賬號的管理。包括增加新賬號、刪除舊賬號及檢查密碼期限等,是最常被忽略的日常管理工作。在防火牆上,正確的增加新賬號、迅速地刪除舊賬號以及適時地變更密碼,絕對是一項非常重要的工作。
建立一個增加賬號的程序,盡量使用一個程序增加賬號。即使防火牆系統上沒有多少用戶,但每一個用戶都可能是一個危險。一般人都有一個毛病,就是漏掉一些步驟,或在過程中暫停幾天。如果這個空檔正好碰到某個賬號沒有密碼,入侵者就很容易進來了。
賬號建立程序中一定要標明賬號日期,以及每隔一階段就自動檢查賬號。雖然不需要自動關閉賬號,但是需要自動通知那些賬號超過期限的人。可能的話,設置一個自動系統監控這些賬號。這可以在UNIX系統上產生賬號文件,然後傳送到其他的機器上,或者是在各台機器上產生賬號,自動把這些賬號文件拷貝到UNIX上,再檢查它們。
如果系統支持密碼期限的功能,應該把該功能打開。選擇稍微長一點的期限,譬如說三到六個月。如果密碼有效期太短,例如一個月,用戶可能會想盡辦法躲避期限,也就無法在安全防護上得到真正的收益。同理如果密碼期限功能不能保證用戶在賬號被停用前看到密碼到期通知,就不要開啟這個功能。否則,用戶會很不方便,而且也會冒著鎖住急需使用機器的系統管理者的風險。
3) 磁碟空間管理
數據總是會塞滿所有可用的空間,即使在幾乎沒有什麼用戶的機器上也一樣。人們總是向文件系統的各個角落丟東西,把各種數據轉存到文件系統的臨時地址中。這樣引起的問題可能常常會超出人們的想像。暫且不說可能需要使用那些磁碟空間,只是這種碎片就容易造成混亂,使事件的處理更復雜。於是有人可能會問:那是上次安裝新版程序留下來的程序嗎?是入侵者放進來的程序嗎?那真的是一個普通的數據文件嗎?是一些對入侵者有特殊意義的東西?等等,不幸的是能自動找出這種「垃圾」的方法沒有,尤其是可以在磁碟上到處寫東西的系統管理者。因此,最好有一個人定期檢查磁碟,如果讓每一個新任的系統管理者都去遍歷磁碟會特別有效。他們將會發現管理員忽視的東西。
在大多數防火牆中,主要的磁碟空間問題會被日誌記錄下來。這些記錄應該自動進行,自動重新開始,這些數據最好把它壓縮起來。Trimlon程序能夠使這個處理程序自動化。當系統管理者要截斷或搬移記錄時,一定要停止程序或讓它們暫停記錄,如果在截斷或搬移記錄時,還有程序在嘗試寫入記錄文件,顯然就會有問題。事實上,即使只是有程序開啟了文件准備稍後寫入,也可能會惹上麻煩。
4.3 監視系統
對防火牆的維護、監視系統是維護防火牆的重點,它可以告訴系統管理者以下的問題:
·防火牆已岌岌可危了嗎?
·防火牆能提供用戶需求的服務嗎?
·防火牆還在正常運作嗎?
·嘗試攻擊防火牆的是哪些類型的攻擊?
要回答這幾個問題,首先應該知道什麼是防火牆的正常工作狀態。
1) 專用設備的監視
雖然大部分的監視工作都是利用防火牆上現成的工具或記錄數據,但是也可能會覺得如果有一些專用的監視設備會很方便。例如,可能需要在周圍網路上放一個監視站,以便確定通過的都是預料中的數據包。可以使用有網路窺視軟體包的一般計算機,也可以使用特殊用途的網路檢測器。
如何確定這一台監視機器不會被入侵者利用呢?事實上,最好根本不要讓入侵者知道它的存在。在某些網路硬體設備上,只要利用一些技術和一對斷線器(wire cutter)取消網路介面的傳輸功能,就可以使這台機器無法被檢測到,也很難被入侵者利用。如果有操作系統的原始程序,也可以從那裡取消傳輸功能,隨時停止傳輸。但是,在這種情況下很難確認操作是否已經做成功了。
2) 應該監視的內容
理想的情況是,應該知道通過防火牆的一切事情,包括每一條連接,以及每一個丟棄或接受的數據包。然而實際的情況是很難做到的,而折衷的辦法是,在不至於影響主機速度也不會太快填滿磁碟的情況下,盡量多做記錄,然後再為所產生的記錄整理出摘要。
在特殊情況下,要記錄好以下內容:一是所有拋棄的包和被拒絕的連接;二是每一個成功的連接通過堡壘主機的時間、協議和用戶名;三是所有從路由器中發現的錯誤、堡壘主機和一些代理程序。
3) 監視工作中的一些經驗
應該把可疑的事件劃分為幾類:一是知道事件發生的原因,而且這不是一個安全方面的問題;二是不知道是什麼原因,也許永遠不知道是什麼原因引起的,但是無論它是什麼,它從未再出現過;三是有人試圖侵入,但問題並不嚴重,只是試探一下;四是有人事實上已經侵入。
這些類別之間的界限比較含糊。要提供以上任何問題的詳細徵兆是不可能的,但是下面這些歸納出的經驗可能會對網路系統管理員有所幫助。如果發現以下情況,網路系統管理員就有理由懷疑有人在探試站點:一是試圖訪問在不安全的埠上提供的服務(如企圖與埠映射或者調試伺服器連接);二是試圖利用普通賬戶登錄(如guest);三是請求FTP文件傳輸或傳輸NFS(Network File System,網路文件系統)映射;四是給站點的SMTP(Simple Mail Transfer Protocol,簡單郵件傳輸協議)伺服器發送debug命令。
如果網路系統管理員見到以下任何情況,應該更加關注。因為侵襲可能正在進行之中:一是多次企圖登錄但多次失敗的合法賬戶,特別是網際網路上的通用賬戶;二是目的不明的數據包命令;三是向某個范圍內每個埠廣播的數據包;四是不明站點的成功登錄。
如果網路系統管理員了發現以下情況,應該懷疑已有人成功地侵入站點:一是日誌文件被刪除或者修改;二是程序突然忽略所期望的正常信息;三是新的日誌文件包含有不能解釋的密碼信息或數據包痕跡;四是特權用戶的意外登錄(例如root用戶),或者突然成為特權用戶的意外用戶;五是來自本機的明顯的試探或者侵襲,名字與系統程序相近的應用程序;六是登錄提示信息發生了改變。
4) 對試探作出的處理
通常情況下,不可避免地發覺外界對防火牆進行明顯試探——有人向沒有向Internet提供的服務發送數據包,企圖用不存在的賬戶進行登錄等。試探通常進行一兩次,如果他們沒有得到令人感興趣的反應,他們通常就會走開。而如果想弄明白試探來自何方,這可能就要花大量時間追尋類似的事件。然而,在大多數情況下,這樣做不會有很大成效,這種追尋試探的新奇感很快就會消失。
一些人滿足於建立防火牆機器去誘惑人們進行一般的試探。例如,在匿名的FTP區域設置裝有用戶賬號數據的文件,即使試探者破譯了密碼,看到的也只是一個虛假信息。這對於消磨空閑時間是沒有害處的,這還能得到報復的快感,但是事實上它不會改善防火牆的安全性。它只能使入侵者惱怒,從而堅定了入侵者闖入站點的決心。
4.4 保持最新狀態
保持防火牆的最新狀態也是維護和管理防火牆的一個重點。在這個侵襲與反侵襲的領域中,每天都產生新的事物、發現新的毛病,以新的方式進行侵襲,同時現有的工具也會不斷地被更新。因此,要使防火牆能同該領域的發展保持同步。
當防火牆需要修補、升級一些東西,或增加新功能時,就必須投入較多的時間。當然所花的時間長短視修補、升級、或增加新功能的復雜程度而定。如果開始時對站點需求估計的越准確,防火牆的設計和建造做的越好,防火牆適應這些改變所花的時間就越少。
5 結束語
隨著Internet在我國的迅速發展,網路安全的問題越來越得到重視,防火牆技術也引起了各方面的廣泛關注。我們國家除了自行展開了對防火牆的一些研究,還對國外的信息安全和防火牆的發展進行了密切的關注,以便能更快掌握這方面的信息,更早的應用到我們的網路上面。當然,金無足赤,人無完人,我們從防火牆維護和管理的研究上得知,防火牆能保護網路的安全,但並不是絕對安全的,而是相對的。
參考文獻
[1] 虞益誠.網路技術及應用.東南大學出版社,2005.2
[2] 王 睿,林海波.網路安全與防火牆技術.清華大學出版社,2005.7
[3] 黃志暉.計算機網路設備全攻略.西安電子科技大學出版社
[4] 石良武.計算機網路與應用.清華大學出版社,2005.2
㈢ 電腦網路防護
1.使用360安全瀏覽器2.開啟360安全衛士的網盾3.不訪問不明或可能有病毒的網站4.在工具,IE選項中,選擇安全中的默認級別 計算機網路攻擊常見手法及防範方法:(一)利用網路系統漏洞進行攻擊 對於系統本身的漏洞,可以安裝軟體補丁;另外網管也需要仔細工作,盡量避免因疏忽而使他人有機可乘。 (二)通過電子郵件進行攻擊
對於遭受此類攻擊的郵箱,可以使用一些垃圾郵件清除軟體來解決,其中常見的有SpamEater、Spamkiller等,Outlook等收信軟體同樣也能達到此目的。(三)解密攻擊
為了防止受到這種攻擊的危害,用戶在進行密碼設置時一定要將其設置得復雜,也可使用多層密碼,或者變換思路使用中文密碼,並且不要以自己的生日和電話甚至用戶名作為密碼,因為一些密碼破解軟體可以讓破解者輸入與被破解用戶相關的信息,如生日等,然後對這些數據構成的密碼進行優先嘗試。另外應該經常更換密碼,這樣使其被破解的可能性又下降了不少。
個人計算機防範黑客攻擊知識 隨著互聯網技術的發展,網路上的安全威脅也從單一的病毒逐漸演變成種類繁多的各種威脅,諸如木馬程序,惡意代碼、垃圾郵件、僵屍網路以及釣魚網站等等威脅無處不在,對於個人計算機的安全防護也隨之變得異常繁瑣和復雜,很多不具備安全常識的用戶不懂得如何優化自己的系統,怎樣使自己的操作系統變得更加安全可靠。我們都知道僅僅依靠軟體的防護是不可能達不到最佳的防護效果,本文就介紹了個人計算機如何最簡單的優化系統,以達到初步安全防護的目的,比較適合菜鳥級的初學者。第一招:總訣式——更改你的計算機設置1、關閉「文件和列印共享」
文件和列印共享應該是一個非常有用的功能,但在不需要它的時候,也是黑客入侵的很好的安全漏洞。所以在沒有必要「文件和列印共享」的情況下,我們可以將它關閉。用滑鼠右擊「網路鄰居」,選擇「屬性」,然後單擊「文件和列印共享」按鈕,將彈出的「文件和列印共享」對話框中的兩個復選框中的鉤去掉即可。 雖然「文件和列印共享」關閉了,但是還不能確保安全,還要修改注冊表,禁止它人更改「文件和列印共享」。打開注冊表編輯器,選擇「HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\NetWork」主鍵,在該主鍵下新建DWORD類型的鍵值,鍵值名為「NoFileSharingControl」,鍵值設為「1」表示禁止這項功能,從而達到禁止更改「文件和列印共享」的目的;鍵值為「0」表示允許這項功能。這樣在「網路鄰居」的「屬性」對話框中「文件和列印共享」就不復存在了。 2.把Guest賬號禁用
有很多入侵都是通過這個賬號進一步獲得管理員密碼或者許可權的。如果不想把自己的計算機給別人當玩具,那還是禁止的好。打開控制面板,雙擊「用戶和密碼」,單擊「高級」選項卡,再單擊「高級」按鈕,彈出本地用戶和組窗口。在Guest賬號上面點擊右鍵,選擇屬性,在「常規」頁中選中「賬戶已停用」。另外,將Administrator賬號改名可以防止黑客知道自己的管理員賬號,這會在很大程度上保證計算機安全。 3.禁止建立空連接
在默認的情況下,任何用戶都可以通過空連接連上伺服器,枚舉賬號並猜測密碼。因此,我們必須禁止建立空連接。方法是修改注冊表:打開注冊表「HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA」,將DWORD值「RestrictAnonymous」的鍵值改為「1」即可。 第二招:破劍式——隱藏IP地址
黑客經常利用一些網路探測技術來查看我們的主機信息,主要目的就是得到網路中主機的IP地址。IP地址在網路安全上是一個很重要的概念,如果攻擊者知道了你的IP地址,等於為他的攻擊准備好了目標,他可以向這個IP發動各種進攻,如DoS( 拒絕服務 )攻擊、Floop溢出攻擊等。隱藏IP地址的主要方法是使用代理伺服器。 與直接連接到Internet相比,使用代理伺服器能保護上網用戶的IP地址,從而保障上網安全。代理伺服器的原理是在客戶機(用戶上網的計算機)和遠程伺服器(如用戶想訪問遠端WWW伺服器)之間架設一個「中轉站」,當客戶機向遠程伺服器提出服務要求後,代理伺服器首先截取用戶的請求,然後代理伺服器將服務請求轉交遠程伺服器,從而實現客戶機和遠程伺服器之間的聯系。很顯然,使用代理伺服器後,其它用戶只能探測到代理伺服器的IP地址而不是用戶的IP地址,這就實現了隱藏用戶IP地址的目的,保障了用戶上網安全。提供免費代理伺服器的網站有很多,你也可以自己用代理獵手等工具來查找。 第三招:破刀式——關閉不必要的埠
黑客在入侵時常常會掃描你的計算機埠,如果安裝了埠監視程序(比如Netwatch),該監視程序則會有警告提示。如果遇到這種入侵,可用工具軟體關閉用不到的埠。 第四招:破槍式——更換管理員帳戶
Administrator帳戶擁有最高的系統許可權,一旦該帳戶被人利用,後果不堪設想。黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼,所以我們要重新配置Administrator帳號。 首先是為Administrator帳戶設置一個強大復雜的密碼,然後我們重命名Administrator帳戶,再創建一個沒有管理員許可權的Administrator帳戶欺騙入侵者。這樣一來,入侵者就很難搞清哪個帳戶真正擁有管理員許可權,也就在一定程度上減少了危險性。 第五招:破鞭式——杜絕Guest帳戶的入侵
Guest帳戶即所謂的來賓帳戶,它可以訪問計算機,但受到限制。不幸的是,Guest也為黑客入侵打開了方便之門!網上有很多文章中都介紹過如何利用Guest用戶得到管理員許可權的方法,所以要杜絕基於Guest帳戶的系統入侵。 禁用或徹底刪除Guest帳戶是最好的辦法,但在某些必須使用到Guest帳戶的情況下,就需要通過其它途徑來做好防禦工作了。首先要給Guest設一個強壯的密碼,然後詳細設置Guest帳戶對物理路徑的訪問許可權。舉例來說,如果你要防止Guest用戶可以訪問tool文件夾,可以右擊該文件夾,在彈出菜單中選擇「安全」標簽,從中可看到可以訪問此文件夾的所有用戶。刪除管理員之外的所有用戶即可。或者在許可權中為相應的用戶設定許可權,比方說只能「列出文件夾目錄」和「讀取」等,這樣就安全多了。 第六招:破索式——安裝必要的安全軟體
我們還應在電腦中安裝並使用必要的防黑軟體,殺毒軟體和 防火牆 都是必備的。在上網時打開它們,這樣即便有黑客進攻我們的安全也是有保證的。 第七招:破掌式——防範木馬程序
木馬程序會竊取所植入電腦中的有用信息,因此我們也要防止被黑客植入木馬程序,常用的辦法有: ◆在下載文件時先放到自己新建的文件夾里,再用殺毒軟體來檢測,起到提前預防的作用。
◆在「開始」→「程序」→「啟動」或「開始」→「程序」→「Startup」選項里看是否有不明的運行項目,如果有,刪除即可。將注冊表裡 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的所有以「Run」為前綴的可疑程序全部刪除即可。 第八招:破箭式——不要回陌生人的郵件
有些黑客可能會冒充某些正規網站的名義,然後編個冠冕堂皇的理由寄一封信給你要求你輸入上網的用戶名稱與密碼,如果按下「確定」,你的帳號和密碼就進了黑客的郵箱。所以不要隨便回陌生人的郵件,即使他說得再動聽再誘人也不上當。 第九招:破氣式——做好IE的安全設置
ActiveX控制項和 Applets有較強的功能,但也存在被人利用的隱患,網頁中的惡意代碼往往就是利用這些控制項編寫的小程序,只要打開網頁就會被運行。所以要避免惡意網頁的攻擊只有禁止這些惡意代碼的運行。IE對此提供了多種選擇,具體設置步驟是:「工具」→「Internet選項」→「安全」→「自定義級別」,建議您將ActiveX控制項與相關選項禁用。謹慎些總沒有錯! 另外,在IE的安全性設定中我們只能設定Internet、本地Intranet、受信任的站點、受限制的站點。不過,微軟在這里隱藏了「我的電腦」的安全性設定,通過修改注冊表把該選項打開,可以使我們在對待ActiveX控制項和 Applets時有更多的選擇,並對本地電腦安全產生更大的影響。 下面是具體的方法:打開「開始」菜單中的「運行」,在彈出的「運行」對話框中輸入Regedit.exe,打開注冊表編輯器,點擊前面的「+」號順次展開到:HKEY_CURRE-NT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\0,在右邊窗口中找到DWORD值「Flags」,默認鍵值為十六進制的21(十進制33),雙擊「Flags」,在彈出的對話框中將它的鍵值改為「1」即可,關閉注冊表編輯器。無需重新啟動電腦,重新打開IE,再次點擊「工具→Internet選項→安全」標簽,你就會看到多了一個「我的電腦」圖標,在這里你可以設定它的安全等級。將它的安全等級設定高些,這樣的防範更嚴密。 最後建議給自己的系統打上補丁, 微軟那些補丁還是很有用的
躲避黑客 網路安全知識儲備:防範DDoS攻擊十一招 1.確保所有伺服器採用最新系統,並打上安全補丁。計算機緊急響應協調中心發現,幾乎每個受到DDoS攻擊的系統都沒有及時打上補丁。
2.確保管理員對所有主機進行檢查,而不僅針對關鍵主機。這是為了確保管理員知道每個主機系統在 運行什麼?誰在使用主機?哪些人可以訪問主機?不然,即使黑客侵犯了系統,也很難查明。
3.確保從伺服器相應的目錄或文件資料庫中刪除未使用的服務如FTP或NFS。Wu-Ftpd等守護程序存在一些已知的漏洞,黑客通過根攻擊就能獲得訪問特權系統的許可權,並能訪問其他系統——甚至是受防火牆保護的系統。
4.確保運行在Unix上的所有服務都有TCP封裝程序,限制對主機的訪問許可權。
5.禁止內部網通過Modem連接至PSTN系統。否則,黑客能通過電話線發現未受保護的主機,即刻就能訪問極為機密的數據。
6.禁止使用網路訪問程序如Telnet、Ftp、Rsh、Rlogin和Rcp,以基於PKI的訪問程序如SSH取代。SSH不會在網上以明文格式傳送口令,而Telnet和Rlogin則正好相反,黑客能搜尋到這些口令,從而立即訪問網路上的重要伺服器。此外,在Unix上應該將.rhost和hosts.equiv文件刪除,因為不用猜口令,這些文件就會提供登錄訪問!
7.限制在防火牆外與網路文件共享。這會使黑客有機會截獲系統文件,並以特洛伊木馬替換它,文件傳輸功能無異將陷入癱瘓。
8.確保手頭有一張最新的網路拓撲圖。這張圖應該詳細標明TCP/IP地址、主機、路由器及其他網路設備,還應該包括網路邊界、非軍事區(DMZ)及網路的內部保密部分。
9.在防火牆上運行埠映射程序或埠掃描程序。大多數事件是由於防火牆配置不當造成的,使DoS/DDoS攻擊成功率很高,所以定要認真檢查特權埠和非特權埠。
10.檢查所有網路設備和主機/伺服器系統的日誌。只要日誌出現漏洞或時間出現變更,幾乎可以肯定:相關的主機安全受到了危脅。
11.利用DDoS設備提供商的設備。
遺憾的是,目前沒有哪個網路可以免受DDoS攻擊,但如果採取上述幾項措施,能起到一定的預防作用。
㈣ 常用防火牆技術只要有哪2種
防火牆技術 - 概念原理
防火牆是汽車中一個部件的名稱。在汽車中,利用防火牆把乘客和引擎隔開,以便汽車引擎一旦著火,防火牆不但能保護乘客安全,而同時還能讓司機繼續控制引擎。再電腦術語中,當然就不是這個意思了,我們可以類比來理解,在網路中,所謂「防火牆」,是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度,它能允許你「同意」的人和數據進入你的網路,同時將你「不同意」的人和數據拒之門外,最大限度地阻止網路中的黑客來訪問你的網路。換句話說,如果不通過防火牆,公司內部的人就無法訪問Internet,Internet上的人也無法和公司內部的人進行通信。
防火牆(FireWall)成為近年來新興的保護計算機網路安全技術性措施。它是一種隔離控制技術,在某個機構的網路和不安全的網路(如Internet)之間設置屏障,阻止對信息資源的非法訪問,也可以使用防火牆阻止重要信息從企業的網路上被非法輸出。作為Internet網的安全性保護軟體,FireWall已經得到廣泛的應用。通常企業為了維護內部的信息系統安全,在企業網和Internet間設立FireWall軟體。企業信息系統對於來自Internet的訪問,採取有選擇的接收方式。它可以允許或禁止一類具體的IP地址訪問,也可以接收或拒絕TCP/IP上的某一類具體的應用。如果在某一台IP主機上有需要禁止的信息或危險的用戶,則可以通過設置使用FireWall過濾掉從該主機發出的包。如果一個企業只是使用Internet的電子郵件和WWW伺服器向外部提供信息,那麼就可以在FireWall上設置使得只有這兩類應用的數據包可以通過。這對於路由器來說,就要不僅分析IP層的信息,而且還要進一步了解TCP傳輸層甚至應用層的信息以進行取捨。FireWall一般安裝在路由器上以保護一個子網,也可以安裝在一台主機上,保護這台主機不受侵犯。
防火牆技術 - 種類
從實現原理上分,防火牆的技術包括四大類:網路級防火牆(也叫包過濾型防火牆)、應用級網關、電路級網關和規則檢查防火牆。它們之間各有所長,具體使用哪一種或是否混合使用,要看具體需要。
1 、網路級防火牆:一般是基於源地址和目的地址、應用、協議以及每個IP包的埠來作出通過與否的判斷。一個路由器便是一個「傳統」的網路級防火牆,大多數的路由器都能通過檢查這些信息來決定是否將所收到的包轉發,但它不能判斷出一個IP包來自何方,去向何處。防火牆檢查每一條規則直至發現包中的信息與某規則相符。如果沒有一條規則能符合,防火牆就會使用默認規則,一般情況下,默認規則就是要求防火牆丟棄該包。其次,通過定義基於TCP或UDP數據包的埠號,防火牆能夠判斷是否允許建立特定的連接,如Telnet、FTP連接。
2 、應用級網關:應用級網關能夠檢查進出的數據包,通過網關復制傳遞數據,防止在受信任伺服器和客戶機與不受信任的主機間直接建立聯系。應用級網關能夠理解應用層上的協議,能夠做復雜一些的訪問控制,並做精細的注冊和稽核。它針對特別的網路應用服務協議即數據過濾協議,並且能夠對數據包分析並形成相關的報告。應用網關對某些易於登錄和控制所有輸出輸入的通信的環境給予嚴格的控制,以防有價值的程序和數據被竊取。 在實際工作中,應用網關一般由專用工作站系統來完成。但每一種協議需要相應的代理軟體,使用時工作量大,效率不如網路級防火牆。 應用級網關有較好的訪問控制,是目前最安全的防火牆技術,但實現困難,而且有的應用級網關缺乏「透明度」。在實際使用中,用戶在受信任的網路上通過防火牆訪問Internet時,經常會發現存在延遲並且必須進行多次登錄(Login)才能訪問Internet或Intranet。
3 、電路級網關:電路級網關用來監控受信任的客戶或伺服器與不受信任的主機間的TCP握手信息,這樣來決定該會話(Session)是否合法,電路級網關是在OSI模型中會話層上來過濾數據包,這樣比包過濾防火牆要高二層。電路級網關還提供一個重要的安全功能:代理伺服器(Proxy Server)。代理伺服器是設置在Internet防火牆網關的專用應用級代碼。這種代理服務准許網管員允許或拒絕特定的應用程序或一個應用的特定功能。包過濾技術和應用網關是通過特定的邏輯判斷來決定是否允許特定的數據包通過,一旦判斷條件滿足,防火牆內部網路的結構和運行狀態便「暴露」在外來用戶面前,這就引入了代理服務的概念,即防火牆內外計算機系統應用層的「鏈接」由兩個終止於代理服務的「鏈接」來實現,這就成功地實現了防火牆內外計算機系統的隔離。同時,代理服務還可用於實施較強的數據流監控、過濾、記錄和報告等功能。代理服務技術主要通過專用計算機硬體(如工作站)來承擔。
4 、規則檢查防火牆:該防火牆結合了包過濾防火牆、電路級網關和應用級網關的特點。它同包過濾防火牆一樣,規則檢查防火牆能夠在OSI網路層上通過IP地址和埠號,過濾進出的數據包。它也象電路級網關一樣,能夠檢查SYN和ACK標記和序列數字是否邏輯有序。當然它也象應用級網關一樣,可以在OSI應用層上檢查數據包的內容,查看這些內容是否能符合企業網路的安全規則。規則檢查防火牆雖然集成前三者的特點,但是不同於一個應用級網關的是,它並不打破客戶機/伺服器模式來分析應用層的數據,它允許受信任的客戶機和不受信任的主機建立直接連接。規則檢查防火牆不依靠與應用層有關的代理,而是依靠某種演算法來識別進出的應用層數據,這些演算法通過已知合法數據包的模式來比較進出數據包,這樣從理論上就能比應用級代理在過濾數據包上更有效。
防火牆技術 - 使用防火牆
防火牆具有很好的保護作用。入侵者必須首先穿越防火牆的安全防線,才能接觸目標計算機。你可以將防火牆配置成許多不同保護級別。高級別的保護可能會禁止一些服務,如視頻流等,但至少這是你自己的保護選擇。
在具體應用防火牆技術時,還要考慮到兩個方面:
1、防火牆是不能防病毒的,盡管有不少的防火牆產品聲稱其具有這個功能。 2、防火牆技術的另外一個弱點在於數據在防火牆之間的更新是一個難題,如果延遲太大將無法支持實時服務請求。並且,防火牆採用濾波技術,濾波通常使網路的性能降低50%以上,如果為了改善網路性能而購置高速路由器,又會大大提高經濟預算。
總之,防火牆是企業網安全問題的流行方案,即把公共數據和服務置於防火牆外,使其對防火牆內部資源的訪問受到限制。作為一種網路安全技術,防火牆具有簡單實用的特點,並且透明度高,可以在不修改原有網路應用系統的情況下達到一定的安全要求。
防火牆技術 - 功能
防火牆對流經它的網路通信進行掃描,這樣能夠過濾掉一些攻擊,以免其在目標計算機上被執行。防火牆還可以關閉不使用的埠。而且它還能禁止特定埠的流出通信,封鎖特洛伊木馬。最後,它可以禁止來自特殊站點的訪問,從而防止來自不明入侵者的所有通信。1、防火牆是網路安全的屏障:一個防火牆(作為阻塞點、控制點)能極大地提高一個內部網路的安全性,並通過過濾不安全的服務而降低風險。由於只有經過精心選擇的應用協議才能通過防火牆,所以網路環境變得更安全。如防火牆可以禁止諸如眾所周知的不安全的NFS協議進出受保護網路,這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網路。防火牆同時可以保護網路免受基於路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火牆應該可以拒絕所有以上類型攻擊的報文並通知防火牆管理員。
2、防火牆可以強化網路安全策略:通過以防火牆為中心的安全方案配置,能將所有安全軟體(如口令、加密、身份認證、審計等)配置在防火牆上。與將網路安全問題分散到各個主機上相比,防火牆的集中安全管理更經濟。例如在網路訪問時,一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上,而集中在防火牆一身上。
3、對網路存取和訪問進行監控審計:如果所有的訪問都經過防火牆,那麼,防火牆就能記錄下這些訪問並作出日誌記錄,同時也能提供網路使用情況的統計數據。當發生可疑動作時,防火牆能進行適當的報警,並提供網路是否受到監測和攻擊的詳細信息。另外,收集一個網路的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火牆是否能夠抵擋攻擊者的探測和攻擊,並且清楚防火牆的控制是否充足。而網路使用統計對網路需求分析和威脅分析等而言也是非常重要的。
4、防止內部信息的外泄:通過利用防火牆對內部網路的劃分,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網路安全問題對全局網路造成的影響。再者,隱私是內部網路非常關心的問題,一個內部網路中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣,甚至因此而暴漏了內部網路的某些安全漏洞。使用防火牆就可以隱蔽那些透漏內部細節如Finger,DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名,最後登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度,這個系統是否有用戶正在連線上網,這個系統是否在被攻擊時引起注意等等。防火牆可以同樣阻塞有關內部網路中的DNS信息,這樣一台主機的域名和IP地址就不會被外界所了解。除了安全作用,防火牆還支持具有Internet服務特性的企業內部網路技術體系VPN(虛擬專用網)。
防火牆技術 - 意義特徵
防火牆的英文名為「FireWall」,它是目前一種最重要的網路防護設備。從專業角度講,防火牆是位於兩個(或多個)網路間,實施網路之間訪問控制的一組組件集合。防火牆的本義是指古代構築和使用木製結構房屋的時候,為防止火災的發生和蔓延,人們將堅固的石塊堆砌在房屋周圍作為屏障,這種防護構築物就被稱之為「防火牆」。其實與防火牆一起起作用的就是「門」。如果沒有門,各房間的人如何溝通呢,這些房間的人又如何進去呢?當火災發生時,這些人又如何逃離現場呢?這個門就相當於我們這里所講的防火牆的「安全策略」,所以在此我們所說的防火牆實際並不是一堵實心牆,而是帶有一些小孔的牆。這些小孔就是用來留給那些允許進行的通信,在這些小孔中安裝了過濾機制,也就是上面所介紹的「單向導通性」。
我們通常所說的網路防火牆是借鑒了古代真正用於防火的防火牆的喻義,它指的是隔離在本地網路與外界網路之間的一道防禦系統。防火可以使企業內部區域網(LAN)網路與Internet之間或者與其他外部網路互相隔離、限制網路互訪用來保護內部網路。典型的防火牆具有以下三個方面的基本特性:(一)內部網路和外部網路之間的所有網路數據流都必須經過防火牆。這是防火牆所處網路位置特性,同時也是一個前提。因為只有當防火牆是內、外部網路之間通信的唯一通道,才可以全面、有效地保護企業網部網路不受侵害。根據美國國家安全局制定的《信息保障技術框架》 ,防火牆適用於用戶網路系統的邊界,屬於用戶網路邊界的安全保護設備。所謂網路邊界即是採用不同安全策略的兩個網路連接處,比如用戶網路和互聯網之間連接、和其它業務往來單位的網路連接、用戶內部網路不同部門之間的連接等。防火牆的目的就是在網路連接之間建立一個安全控制點,通過允許、拒絕或重新定向經過防火牆的數據流,實現對進、出內部網路的服務和訪問的審計和控制。
典型的防火牆體系網路結構一端連接企事業單位內部的區域網,而另一端則連接著互聯網。所有的內、外部網路之間的通信都要經過防火牆。(二)只有符合安全策略的數據流才能通過防火牆防火牆最基本的功能是確保網路流量的合法性,並在此前提下將網路的流量快速的從一條鏈路轉發到另外的鏈路上去。從最早的防火牆模型開始談起,原始的防火牆是一台「雙穴主機」,即具備兩個網路介面,同時擁有兩個網路層地址。防火牆將網路上的流量通過相應的網路介面接收上來,按照OSI協議棧的七層結構順序上傳,在適當的協議層進行訪問規則和安全審查,然後將符合通過條件的報文從相應的網路介面送出,而對於那些不符合通過條件的報文則予以阻斷。因此,從這個角度上來說,防火牆是一個類似於橋接或路由器的、多埠的(網路介面>=2)轉發設備,它跨接於多個分離的物理網段之間,並在報文轉發過程之中完成對報文的審查工作。
(三)防火牆自身應具有非常強的抗攻擊免疫力:這是防火牆之所以能擔當企業內部網路安全防護重任的先決條件。防火牆處於網路邊緣,它就像一個邊界衛士一樣,每時每刻都要面對黑客的入侵,這樣就要求防火牆自身要具有非常強的抗擊入侵本領。它之所以具有這么強的本領防火牆操作系統本身是關鍵,只有自身具有完整信任關系的操作系統才可以談論系統的安全性。其次就是防火牆自身具有非常低的服務功能,除了專門的防火牆嵌入系統外,再沒有其它應用程序在防火牆上運行。當然這些安全性也只能說是相對的。目前國內的防火牆幾乎被國外的品牌占據了一半的市場,國外品牌的優勢主要是在技術和知名度上比國內產品高。而國內防火牆廠商對國內用戶了解更加透徹,價格上也更具有優勢。防火牆產品中,國外主流廠商為思科(Cisco)、CheckPoint、NetScreen等,國內主流廠商為東軟、天融信、聯想、方正等,它們都提供不同級別的防火牆產品。
防火牆的硬體體系結構曾經歷過通用CPU架構、ASIC架構和網路處理器架構,他們各自的特點分別如下:通用CPU架構:通用CPU架構最常見的是基於Intel X86架構的防火牆,在百兆防火牆中Intel X86架構的硬體以其高靈活性和擴展性一直受到防火牆廠商的青睞;由於採用了PCI匯流排介面,Intel X86架構的硬體雖然理論上能達到2Gbps的吞吐量甚至更高,但是在實際應用中,尤其是在小包情況下,遠遠達不到標稱性能,通用CPU的處理能力也很有限。國內安全設備主要採用的就是基於X86的通用CPU架構。ASIC架構:ASIC(Application Specific Integrated Circuit,專用集成電路)技術是國外高端網路設備幾年前廣泛採用的技術。由於採用了硬體轉發模式、多匯流排技術、數據層面與控制層面分離等技術, ASIC架構防火牆解決了帶寬容量和性能不足的問題,穩定性也得到了很好的保證。
ASIC技術的性能優勢主要體現在網路層轉發上,而對於需要強大計算能力的應用層數據的處理則不佔優勢,而且面對頻繁變異的應用安全問題,其靈活性和擴展性也難以滿足要求。由於該技術有較高的技術和資金門檻,主要是國內外知名廠商在採用,國外主要代表廠商是Netscreen,國內主要代表廠商為天融信。網路處理器架構:由於網路處理器所使用的微碼編寫有一定技術難度,難以實現產品的最優性能,因此網路處理器架構的防火牆產品難以佔有大量的市場份額。隨著網路處理器的主要供應商Intel、 Broadcom、IBM等相繼出售其網路處理器業務,目前該技術在網路安全產品中的應用已經走到了盡頭。
㈤ 防火牆的基本特性
(一)內部網路和外部網路之間的所有網路數據流都必須經過防火牆
這是防火牆所處網路位置特性,同時也是一個前提。因為只有當防火牆是內、外部網路之間通信的唯一通道,才可以全面、有效地保護企業網內部網路不受侵害。
根據美國國家安全局制定的《信息保障技術框架》,防火牆適用於用戶網路系統的邊界,屬於用戶網路邊界的安全保護設備。所謂網路邊界即是採用不同安全策略的兩個網路連接處,比如用戶網路和互聯網之間連接、和其它業務往來單位的網路連接、用戶內部網路不同部門之間的連接等。防火牆的目的就是在網路連接之間建立一個安全控制點,通過允許、拒絕或重新定向經過防火牆的數據流,實現對進、出內部網路的服務和訪問的審計和控制。
典型的防火牆體系網路結構如下圖所示。從圖中可以看出,防火牆的一端連接企事業單位內部的區域網,而另一端則連接著互聯網。所有的內、外部網路之間的通信都要經過防火牆。
(二)只有符合安全策略的數據流才能通過防火牆
防火牆最基本的功能是確保網路流量的合法性,並在此前提下將網路的流量快速的從一條鏈路轉發到另外的鏈路上去。從最早的防火牆模型開始談起,原始的防火牆是一台「雙穴主機」,即具備兩個網路介面,同時擁有兩個網路層地址。防火牆將網路上的流量通過相應的網路介面接收上來,按照OSI協議棧的七層結構順序上傳,在適當的協議層進行訪問規則和安全審查,然後將符合通過條件的報文從相應的網路介面送出,而對於那些不符合通過條件的報文則予以阻斷。因此,從這個角度上來說,防火牆是一個類似於橋接或路由器的、多埠的(網路介面>=2)轉發設備,它跨接於多個分離的物理網段之間,並在報文轉發過程之中完成對報文的審查工作。
(三)防火牆自身應具有非常強的抗攻擊免疫力
這是防火牆之所以能擔當企業內部網路安全防護重任的先決條件。防火牆處於網路邊緣,它就像一個邊界衛士一樣,每時每刻都要面對黑客的入侵,這樣就要求防火牆自身要具有非常強的抗擊入侵本領。它之所以具有這么強的本領防火牆操作系統本身是關鍵,只有自身具有完整信任關系的操作系統才可以談論系統的安全性。其次就是防火牆自身具有非常低的服務功能,除了專門的防火牆嵌入系統外,再沒有其它應用程序在防火牆上運行。當然這些安全性也只能說是相對的。
目前國內的防火牆幾乎被國外的品牌占據了一半的市場,國外品牌的優勢主要是在技術和知名度上比國內產品高。而國內防火牆廠商對國內用戶了解更加透徹,價格上也更具有優勢。防火牆產品中,國外主流廠商為思科(Cisco)、CheckPoint、NetScreen等,國內主流廠商為東軟、天融信、山石網科、網御神州、聯想、方正等,它們都提供不同級別的防火牆產品。
(四)應用層防火牆具備更細致的防護能力
自從Gartner提出下一代防火牆概念以來,信息安全行業越來越認識到應用層攻擊成為當下取代傳統攻擊,最大程度危害用戶的信息安全,而傳統防火牆由於不具備區分埠和應用的能力,以至於傳統防火牆僅僅只能防禦傳統的攻擊,基於應用層的攻擊則毫無辦法。
從2011年開始,國內廠家通過多年的技術積累,開始推出下一代防火牆,在國內從第一家推出真正意義的下一代防火牆的網康科技開始,至今包擴東軟,天融信等在內的傳統防火牆廠商也開始相互 效仿,陸續推出了下一代防火牆,下一代防火牆具備應用層分析的能力,能夠基於不同的應用特徵,實現應用層的攻擊過濾,在具備傳統防火牆、IPS、防毒等功能的同時,還能夠對用戶和內容進行識別管理,兼具了應用層的高性能和智能聯動兩大特性,能夠更好的針對應用層攻擊進行防護。
(五)資料庫防火牆針對資料庫惡意攻擊的阻斷能力
虛擬補丁技術:針對CVE公布的資料庫漏洞,提供漏洞特徵檢測技術。高危訪問控制技術:提供對資料庫用戶的登錄、操作行為,提供根據地點、時間、用戶、操作類型、對象等特徵定義高危訪問行為。SQL注入禁止技術:提供SQL注入特徵庫。返回行超標禁止技術:提供對敏感表的返回行數控制。SQL黑名單技術:提供對非法SQL的語法抽象描述。 代理服務設備(可能是一台專屬的硬體,或只是普通機器上的一套軟體)也能像應用程序一樣回應輸入封包(例如連接要求),同時封鎖其他的封包,達到類似於防火牆的效果。
代理使得由外在網路竄改一個內部系統更加困難,並且一個內部系統誤用不一定會導致一個安全漏洞可從防火牆外面(只要應用代理剩下的原封和適當地被配置)被入侵。相反地,入侵者也許劫持一個公開可及的系統和使用它作為代理人為他們自己的目的;代理人然後偽裝作為那個系統對其它內部機器。當對內部地址空間的用途加強安全,破壞狂也許仍然使用方法譬如IP 欺騙試圖通過小包對目標網路。
防火牆經常有網路地址轉換(NAT)的功能,並且主機被保護在防火牆之後共同地使用所謂的「私人地址空間」,依照被定義在[RFC 1918] 。 管理員經常設置了這樣的情節:假裝內部地址或網路是安全的。
防火牆的適當的配置要求技巧和智能。 它要求管理員對網路協議和電腦安全有深入的了解。 因小差錯可使防火牆不能作為安全工具。 (1)防火牆能強化安全策略。
(2)防火牆能有效地記錄Internet上的活動。
(3)防火牆限制暴露用戶點。防火牆能夠用來隔開網路中一個網段與另一個網段。這樣,能夠防止影響一個網段的問題通過整個網路傳播。
(4)防火牆是一個安全策略的檢查站。所有進出的信息都必須通過防火牆,防火牆便成為安全問題的檢查點,使可疑的訪問被拒絕於門外。
㈥ 網關和路由器的區別是什麼
1、網關:是一個區域網的關口地址,分隔區域網之間的關口,負責轉發局域廣播,內網、外網數據交換的必經之地,按照網路協議,一個區域網必須設置一個網關。
2、路由器:是一個負責分配區域網主機IP地址,連接網內主機和外網的設備,沒有設備,主機之間無法通信。
區別:路由器是硬體設備,網關是網路協議中的一個地址,網關設置之後存儲在路由器中,就像主機有了網卡,需要給網卡分配一個IP地址一樣。
㈦ 誰知道怎樣刪除北信源內網管理軟體客戶端
利用系統自帶的程序卸載功能即可。
1、單擊「開始」菜單下的「控制面板」
3、在列表中找到「北信源內網管理軟體」,雙擊該軟體的圖標即可自動卸載。
㈧ 什麼是防火牆一個防火牆至少提供哪兩個基本的服務
1.防火牆的定義
所謂防火牆指的是一個由軟體和硬體設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法,它是一種計算機硬體和軟體的結合,使Internet與Intranet之間建立起一個安全網關(Security Gateway),從而保護內部網免受非法用戶的侵入,防火牆主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成,
防火牆就是一個位於計算機和它所連接的網路之間的軟體或硬體(其中硬體防火牆用的較少,例如國防部以及大型機房等地才用,因為它價格昂貴)。該計算機流入流出的所有網路通信均要經過此防火牆。
防火牆 英語為firewall 《英漢證券投資詞典》的解釋為:金融機構內部將銀行業務與證券業務嚴格區分開來的法律屏障,旨在防止可能出現的內幕消息共享等不公平交易出現。使用防火牆比喻不要引火燒身
(一)內部網路和外部網路之間的所有網路數據流都必須經過防火牆
這是防火牆所處網路位置特性,同時也是一個前提。因為只有當防火牆是內、外部網路之間通信的唯一通道,才可以全面、有效地保護企業網部網路不受侵害。
根據美國國家安全局制定的《信息保障技術框架》,防火牆適用於用戶網路系統的邊界,屬於用戶網路邊界的安全保護設備。所謂網路邊界即是採用不同安全策略的兩個網路連接處,比如用戶網路和互聯網之間連接、和其它業務往來單位的網路連接、用戶內部網路不同部門之間的連接等。防火牆的目的就是在網路連接之間建立一個安全控制點,通過允許、拒絕或重新定向經過防火牆的數據流,實現對進、出內部網路的服務和訪問的審計和控制。
典型的防火牆體系網路結構如下圖所示。從圖中可以看出,防火牆的一端連接企事業單位內部的區域網,而另一端則連接著互聯網。所有的內、外部網路之間的通信都要經過防火牆。
(二)只有符合安全策略的數據流才能通過防火牆
防火牆最基本的功能是確保網路流量的合法性,並在此前提下將網路的流量快速的從一條鏈路轉發到另外的鏈路上去。從最早的防火牆模型開始談起,原始的防火牆是一台「雙穴主機」,即具備兩個網路介面,同時擁有兩個網路層地址。防火牆將網路上的流量通過相應的網路介面接收上來,按照OSI協議棧的七層結構順序上傳,在適當的協議層進行訪問規則和安全審查,然後將符合通過條件的報文從相應的網路介面送出,而對於那些不符合通過條件的報文則予以阻斷。因此,從這個角度上來說,防火牆是一個類似於橋接或路由器的、多埠的(網路介面>=2)轉發設備,它跨接於多個分離的物理網段之間,並在報文轉發過程之中完成對報文的審查工作。如下圖:
(三)防火牆自身應具有非常強的抗攻擊免疫力
這是防火牆之所以能擔當企業內部網路安全防護重任的先決條件。防火牆處於網路邊緣,它就像一個邊界衛士一樣,每時每刻都要面對黑客的入侵,這樣就要求防火牆自身要具有非常強的抗擊入侵本領。它之所以具有這么強的本領防火牆操作系統本身是關鍵,只有自身具有完整信任關系的操作系統才可以談論系統的安全性。其次就是防火牆自身具有非常低的服務功能,除了專門的防火牆嵌入系統外,再沒有其它應用程序在防火牆上運行。當然這些安全性也只能說是相對的。
2.防火牆最基本的功能就是控制在計算機網路中,不同信任程度區域間傳送的數據流。例如互聯網是不可信任的區域,而內部網路是高度信任的區域。以避免安全策略中禁止的一些通信,與建築中的防火牆功能相似。它有控制信息基本的任務在不同信任的區域。 典型信任的區域包括互聯網(一個沒有信任的區域) 和一個內部網路(一個高信任的區域) 。 最終目標是提供受控連通性在不同水平的信任區域通過安全政策的運行和連通性模型之間根據最少特權原則。
㈨ 電腦的安全級別低怎麼辦
加強操作系統安全的十個建議
無論你現在使用的操作系統是什麼,總有一些通用的加強系統安全的建議可以參考。如果你想加固你的系統來阻止未經授權的訪問和不幸的災難的發生,以下預防措施肯定會對你有很大幫助。
1、使用安全系數高的密碼
提高安全性的最簡單有效的方法之一就是使用一個不會輕易被暴力攻擊所猜到的密碼。
什麼是暴力攻擊?攻擊者使用一個自動化系統來盡可能快的猜測密碼,以希望不久可以發現正確的密碼。使用包含特殊字元和空格,同時使用大小寫字母,避免使用從字典中能找到的單詞,不要使用純數字密碼,這種密碼破解起來比你使用母親的名字或你的生日作為密碼要困難的多。
另外,你要記住,每使你的密碼長度增加一位,就會以倍數級別增加由你的密碼字元所構成的組合。一半來說,小於8個字元的密碼被認為是很容易被破解的。可以用10個、12個字元作為密碼,16個當然更好了。在不會因為過長而難於鍵入的情況下,讓你的密碼盡可能的更長會更加安全。
2、做好邊界防護
並不是所有的安全問題都發生在系統桌面上。使用外部防火牆路由器來幫助保護你的計算機是一個好想法,哪怕你只有一台計算機。
如果從低端考慮,你可以購買一個寬頻路由器設備,例如從網上就可以購買到的Linksys、D-Link和Netgear路由器等。如果從高端考慮,你可以使用來自諸如思科、Foundry等企業級廠商的可網管交換機、路由器和防火牆等安全設備。當然,你也可以使用預先封裝的防火牆/路由器安裝程序,來自己動手打造自己的防護設備,例如使用m0n0wall和IPCoP。代理伺服器、防病毒網關和垃圾郵件過濾網關也都有助於實現非常強大的邊界安全。
請記住,通常來說,在安全性方面,可網管交換機比集線器強,而具有地址轉換的路由器要比交換機強,而硬體防火牆是第一選擇。
3、升級您的軟體
在很多情況下,在安裝部署生產性應用軟體之前,對系統進行補丁測試工作是至關重要的,最終安全補丁必須安裝到你的系統中。如果很長時間沒有進行安全升級,可能會導致你使用的計算機非常容易成為不道德黑客的攻擊目標。因此,不要把軟體安裝在長期沒有進行安全補丁更新的計算機上。
同樣的情況也適用於任何基於特徵碼的惡意軟體保護工具,諸如防病毒應用程序,如果它不進行及時的更新,從而不能得到當前的惡意軟體特徵定義,防護效果會大打折扣。
4、關閉沒有使用的服務
多數情況下,很多計算機用戶甚至不知道他們的系統上運行著哪些可以通過網路訪問的服務,這是一個非常危險的情況。
Telnet和FTP是兩個常見的問題服務,如果你的計算機不需要運行它們的話,請立即關閉它們。確保你了解每一個運行在你的計算機上的每一個服務究竟是做什麼的,並且知道為什麼它要運行。
在某些情況下,這可能要求你了解哪些服務對你是非常重要的,這樣你才不會犯下諸如在一個微軟Windows計算機上關閉RPC服務這樣的錯誤。不過,關閉你實際不用的服務總是一個正確的想法。
5、使用數據加密
對於那些有安全意識的計算機用戶或系統管理員來說,有不同級別的數據加密范圍可以使用,根據需要選擇正確級別的加密通常是根據具體情況來決定的。
數據加密的范圍很廣,從使用密碼工具來逐一對文件進行加密,到文件系統加密,最後到整個磁碟加密。通常來說,這些加密級別都不會包括對boot分區進行加密,因為那樣需要來自專門硬體的解密幫助,但是如果你的秘密足夠重要而值得花費這部分錢的話,也可以實現這種對整個系統的加密。除了boot分區加密之外,還有許多種解決方案可以滿足每一個加密級別的需要,這其中既包括商業化的專有系統,也包括可以在每一個主流桌面操作系統上進行整盤加密的開源系統。
6、通過備份保護你的數據
備份你的數據,這是你可以保護自己在面對災難的時候把損失降到最低的重要方法之一。數據冗餘策略既可以包括簡單、基本的定期拷貝數據到CD上,也包括復雜的定期自動備份到一個伺服器上。
對於那些必須保持連續在線服務不宕機的系統來說,RAID可提供自動出錯冗餘,以防其中一個磁碟出現故障。
諸如rsync和Bacula等免費備份工具可以把任意復雜級別的自動備份方案整合在一起。諸如Subversion之類的版本控制工具可以提供靈活的數據管理,因此你不僅能夠在另一台計算機上進行備份工作,而且你能夠不用費事的讓多台計算機的系統可以對同一個數據保持同步。通過這種方式來使用subversion,讓我在2004年我的工作筆記本的硬碟損壞的情況下,數據倖免於難,這也說明了對關鍵數據進行定期備份的重要性。
7、加密敏感通信用於保護通信免遭竊聽的密碼系統是非常常見的。針對電子郵件的支持OpenPGP協議的軟體,針對即時通信客戶端的OffTheRecord插件,還有使用諸如SSH和SSL等安全協議維持通信的加密通道軟體,以及許多其他工具,都可以被用來輕松的確保數據在傳輸過程中不會被威脅。
當然,在個人對個人的通信中,有時候很難說服另一方來使用加密軟體來保護通信,但是有的時候,這種保護是非常重要的。
8、不要信任外部網路
在一個開放的無線網路中,例如在你本地具有無線網路的咖啡店中,這個理念是非常重要的。如果你對安全非常謹慎和足夠警惕的話,沒有理由說在一個咖啡店或一些其他非信任的外部網路中,你就不能使用這個無線網路。但是,關鍵是你必須通過自己的系統來確保安全,不要相信外部網路和自己的私有網路一樣安全。
舉個例子來說,在一個開放的無線網路中,使用加密措施來保護你的敏感通信是非常必要的,包括在連接到一個網站時,你可能會使用一個登錄會話cookie來自動進行認證,或者輸入一個用戶名和密碼進行認證。還有,確信不要運行那些不是必須的網路服務,因為如果存在未修補的漏洞的話,它們就可以被利用來威脅你的系統。這個原則適用於諸如NFS或微軟的CIFS之類的網路文件系統軟體、SSH伺服器、活動目錄服務和其他許多可能的服務。
從內部和外部兩方面入手檢查你的系統,判斷有什麼機會可以被惡意安全破壞者利用來威脅你的計算機的安全,確保這些切入點要盡可能的被關閉。在某些方面,這只是關閉不需要的服務和加密敏感通信這兩種安全建議的延伸,在使用外部網路的時候,你需要變得更加謹慎。很多時候,要想在一個外部非信任網路中保護自己,實際上會要求你對系統的安全配置重新設定。
9、使用不間斷電源支持
如果僅僅是為了在停電的時候不丟失文件,你可能不想去選擇購買UPS。實際上之所以推薦你使用UPS,還有更重要的原因,例如功率調節和避免文件系統損壞。由於這種原因,確保使你的操作系統能夠提醒你它什麼時候將關閉,以免當電源用盡的時候你卻不在家中,還要確保確保一個提供功率調節和電池備份的UPS。
一個簡單的浪涌保護器還不足以保護你的系統免遭「臟電」的毀壞。記住,對於保護你的硬體和你的數據,UPS都起著非常關鍵的作用。
10、監控系統的安全是否被威脅和侵入
永遠不要認為:因為你已經採取了一系列安全防護措施,你的系統就一定不會遭到安全破壞者的入侵。你應該搭建起一些類型的監控程序來確保可疑事件可以迅速引起你的注意,並能夠允許你跟蹤判斷是安全入侵還是安全威脅。我們不僅要監控本地網路,還要進行完整性審核,以及使用一些其他本地系統安全監視技術。
根據你使用的操作系統不同,還有很多其他的安全預防措施。有的操作系統因為設計的原因,存在的安全問題要大一些。而有的操作系統可以讓有經驗的系統管理員來大大提高系統安全性。不過,無論你的使用的是像微軟的Windows和蘋果的MacOSX,還是使用的像Linux、FreeBSD等開源操作系統,當你在加固它們的安全的時候,以上建議都是必須牢記心頭的。