为您找到与avast防火墙打不开怎么办精选4篇 防火墙知识相关的共200个结果:
comodo防火墙avast设置是很重要的,能够有效防护我们的防火墙,那么该怎么样设置呢?下面由读文网小编给你做出详细的comodo防火墙avast设置方法介绍!希望对你有帮助!
要看你的avast是什么版本的 免费版的和comodo能兼容 收费版的 因为avast高级版本身有防火墙 会产生冲突 要嘛关闭avast防火墙用comodo 要嘛卸载comodo
看了“ comodo防火墙avast怎么样设置”文章的还看了:
浏览量:2
下载量:0
时间:
avast防火墙打不开,这样就不能防护我们电脑了,该怎么办呢?下面由读文网小编给你做出详细的avast防火墙打不开解决方法介绍!希望对你有帮助!
是不是你最近安装了什么软件导致冲突?否则软件本身不会打不开的。
但是AVAST的服务器被gfw屏蔽掉了,解封以前是无法升级病毒库的
浏览量:2
下载量:0
时间:
你了解avast防火墙吗?不了解就跟着小编去看看!下面由读文网小编给你做出详细的avast防火墙介绍!希望对你有帮助!
如果你有了AVAST不建议你用防火墙!因为其自带的监控能力很强,当访问到带木马病毒的网站时,会提示 自动终止连接!需要配合是建议你下载安装个“WINDOWS清理助手”因为有些木马病毒是以安装的形式到电脑里面,这些病毒木马杀毒软件卸载不掉他们!你使用WINDOWS 清理助手,下载地址:
独有的清理技术,可以彻底清理有驱动保护的恶意软件; 引擎和脚本分离,立场中立,清理操作对用户完全透明; 自选查杀项,控制权完全由用户掌握; 开放的用户接口,可以满足您的个性化清理需求; 用户自定义脚本文件,实现对一些特殊软件的清理,并可将其共享给所有用户使用; 即时更新脚本库,使您拥有更强劲的清理能力; 新版本拥有更快、更稳定的引擎。纯净、绿色。
浏览量:4
下载量:0
时间:
avast是很重要的防火墙,我们要怎么样去设置呢?下面由读文网小编给你做出详细的avast防火墙设置方法介绍!希望对你有帮助!
avast是有防火墙的,但是是收费的。avast防火墙可以默认设置,也有专家设置。一般用户默认设置即可,不用更改任何设置。
而专家设置就需要全面的了解防火墙才可以,因为是自定义设置,如设置不当就会造成很多麻烦。
专家设置界面:
【专家设置】有策略、网络配置文件、好友,三个选项;
1、策略项:这里定制弹窗规则、通知规则、数据包规则;
2、网络配置文件项:这里记录登陆不同网络的模式选择记录,并可以随时改变;
3、好友项:定制信任的IP段。
浏览量:3
下载量:0
时间:
想开启前avast防火墙来防护电脑,可是电脑开启不了该怎么办呢?下面由读文网小编给你做出详细的avast不能开启防火墙解决方法介绍!希望对你有帮助!
avast! Linux Home Edition
解决方案
avast! Linux Home Edition 为Linux平台提供杀毒解决方案. 这个产品是专为家庭和非商业用途而设的两个条件都必须符合! 我们公司提供免费的家用杀毒软件, 因为我们相信有效的防护可以防止全球性病毒蔓延; 事实上,许多家庭用户都买不起,或者不想花钱在杀毒软件上.我们的家用软件可以让他们得到免费的防护. 本页面显示此程序的重要功能.
公共团体 (即使是非盈利性质的) 不允许使用avast! Linux Home Edition.
Avast!Mac、Linux
avast! Bootable Antivirus & Recovery Tools CD
avast! Bootable Antivirus & Recovery Tools CD (BART CD)是管理工具领域的一个突破!简单来说,它是一个可启动光盘,让您能够检测/清除计算机上的病毒感染.操作简单,可靠,有效防止病毒扩散. BART CD的功能不单只这些,它还拥有编辑注册表文件(操作系统的Windows注册表文件)工具,和检测,修复光盘错误工具.
本程序的最新版本是 BART 2.0.
此工具的最出色的功能是它支持 所有 Windows 文件系统, 包括. NTFS, 还有,存储器SCSI/RAID.一般情况下,BART能够在Windows XP支持的所有磁盘设备上运作.服务器上的非标准设备可以通过硬件供应商提供的标准Windows XP驱动器处理.
BART CD还支持网络.网络支持启动以后,可使用NETBIOS 和 TCP/IP 协议.它还可以映射网络驱动器.只需输入驱动器的路径(标准的UNC格式servershare) 然后选择驱动器被映射的号.驱动器被成功映射以后,您可以像使用其他(本地)驱动器一样使用网络驱动器 – 如,使用avast!扫描病毒.
BART CD是一个工具,因此不能缺少管理员/ 处理硬盘上数据复原的工作人员.授权模式是多节点方式,意思是说,如果您购买一个BART CD,您可以在多台计算机上使用.但是一次只能在一台计算机上,被一个人使用.
avast! PDA Edition
avast! PDA Edition 是为了保护你的 PDA 免受病毒感染而设的. PDA 的重要性与日俱增,这些仪器很快可能会成为新型病毒袭击的对象. 随着这些仪器与计算器通讯的不断进度,病毒入侵也变得更容易.
avast! 5 PDA Edition 支持以下的 PDA 平台:
Palm OS
Windows CE (incl. SmartPhone Edition)
All the CPUs capable of running the given OS are supported.
看了“avast不能开启防火墙怎么办”文章的还看了:
浏览量:2
下载量:0
时间:
avast配什么防火墙好呢?小编来为你详细解释!下面由读文网小编给你做出详细的avast配防火墙介绍!希望对你有帮助!
Avast!自带防火墙,不需要安装其他的防火墙了 请看说明 现在网上最火的杀软AVAST中文版 在欧洲被称为唯一能与NOD32媲美的杀软 AVASTv4.7Professional官方中文版.rar 序列号 S6039686R6039W1106-FBYVE2MU 有效期2009.5.6 升级有效期2010.1.1 S7935192R4371Z1106-S1BJD5AJ 有效期2012.1.6 升级有效期2008.8.1 S6945137R6826L1106-WXH4K1SJ 有效期2008.4.6 升级有效期2010.9.1
已有17年的历史,但最近才在我们这里兴起,它在国外市场一直处于领先地位。Avast!的实时监控功能十分强大!它拥有七大防护模块:网络防火墙防护、标准的本地文件读取防护、网页防护、即时通讯软件防护、邮件收发防护、P2P软件防护。这么完善的防护系统,定能让你的系统练就一副金刚不坏之身!任意开启各项保护模块能够查杀流氓软件,比如3721。升级很人性化Avast是捷克一家软件公司(ALWILSoftware)的产品。
ALWIL软件公司的研发机构在捷克的首都-布拉格,现在他们和世界上许多国家的安全软件机构都有良好的合作关系。早在80年代末ALWIL公司的安全软件已经获得良好的市场占有率,但当时仅限于捷克地区。ALMIL公司是擅长于安全软件方面的研发,开发的AvastAntivirus系列是他们的拳头产品,Avast在许多重要的市场和权威评奖中都取得了骄人的成绩,同样在此后进军国际市场上也赢得了良好的增长率。
主要特点:
(1)高侦测的反病毒表现,多次获得过ICSA和VirusBulletin100%认证,启发式强大。
(2)较低的内存占用和直观,简洁的使用界面。
(3)支持SKIN更换,完善的程序内存检测 (4)对SMTP/POP3/IMAP邮件收发监控的全面保护。
(5)支持MSOUTLOOK外挂,智能型邮件帐号分析。
(6)支持宏病毒文档修复,修复档案后自动产生病毒还原数据库(VRDB功能)。
(7)支持P2P共享下载软件和即时通讯病毒检测,保护全面。 (8)良好有效的侦测并清除病毒,如虫,广告和木马程序 (9)病毒库更新速度快,对新型病毒和木马有迅捷的反应。
功能特性如下: *反病毒内核 *自动升级 *简单的使用界面 *病毒隔离区 *实时监控 *系统结合 *P2P和聊天软件监控保护 *病毒清除 *网络防护 *64位系统支持 *网页防护 *多国语言支持 *增强型用户界面 *恶意脚本屏蔽*DOS下扫描 *扩展病毒库升级*移除病毒备份 占用内存不到25兆,让你老机器也流畅
浏览量:2
下载量:0
时间:
avast 防火墙是什么呢?朋友们听过么?小编来告诉你!下面由读文网小编给你做出详细的avast 防火墙介绍!希望对你有帮助!
AVAST 我用了有3年了!朋友说实话,如果你有了AVAST不建议你用防火墙!因为其自带的监控能力很强,当访问到带木马病毒的网站时,会提示 自动终止连接!需要配合是建议你下载安装个“WINDOWS清理助手”因为有些木马病毒是以安装的形式到电脑里面
这些病毒木马杀毒软件卸载不掉他们!你使用WINDOWS 清理助手,独有的清理技术,可以彻底清理有驱动保护的恶意软件; 引擎和脚本分离,立场中立,清理操作对用户完全透明; 自选查杀项
控制权完全由用户掌握; 开放的用户接口,可以满足您的个性化清理需求; 用户自定义脚本文件,实现对一些特殊软件的清理,并可将其共享给所有用户使用; 即时更新脚本库,使您拥有更强劲的清理能力; 新版本拥有更快、更稳定的引擎。纯净、绿色。希望对你有所帮助!
浏览量:3
下载量:0
时间:
下面就由小编来给大家介绍下防火墙的相关基础知识
■防火墙的五大功能
一般来说,防火墙具有以下几种功能:
1.允许网络管理员定义一个中心点来防止非法用户进入内部网络。
2.可以很方便地监视网络的安全性,并报警。
3.可以作为部署NAT(Network Address Translation,网络地址变换)的地点,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题。
4.是审计和记录Internet使用费用的一个最佳地点。网络管理员可以在此向管理部门提供Internet连接的费用情况,查出潜在的带宽瓶颈位置,并能够依据本机构的核算模式提供部门级的计费。
5.可以连接到一个单独的网段上,从物理上和内部网段隔开,并在此部署WWW服务器和FTP服务器,将其作为向外部发布内部信息的地点。从技术角度来讲,就是所谓的停火区(DMZ)。
■防火墙的两大分类
尽管防火墙的发展经过了上述的几代,但是按照防火墙对内外来往数据的处理方法,大致可以将防火墙分为两大体系:包过滤防火墙和代理防火墙(应用层网关防火墙)。前者以以色列的Checkpoint防火墙和Cisco公司的PIX防火墙为代表,后者以美国NAI公司的Gauntlet防火墙为代表。
1. 包过滤防火墙
第一代:静态包过滤
这种类型的防火墙根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。包过滤类型的防火墙要遵循的一条基本原则是“最小特权原则”,即明确允许那些管理员希望通过的数据包,禁止其他的数据包。
图1 简单包过滤防火墙
第二代:动态包过滤
这种类型的防火墙采用动态设置包过滤规则的方法,避免了静态包过滤所具有的问题。这种技术后来发展成为所谓包状态监测(Stateful Inspection)技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪,并且根据需要可动态地在过滤规则中增加或更新条目。
图2 动态包过滤防火墙
2. 代理防火墙
第一代:代理防火墙
代理防火墙也叫应用层网关(Application Gateway)防火墙。这种防火墙通过一种代理(Proxy)技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。
所谓代理服务器,是指代表客户处理在服务器连接请求的程序。当代理服务器得到一个客户的连接意图时,它们将核实客户请求,并经过特定的安全化的Proxy应用程序处理连接请求,将处理后的请求传递到真实的服务器上,然后接受服务器应答,并做进一步处理后,将答复交给发出请求的最终客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接的作用。
代理类型防火墙的最突出的优点就是安全。由于每一个内外网络之间的连接都要通过Proxy的介入和转换,通过专门为特定的服务如Http编写的安全化的应用程序进行处理,然后由防火墙本身提交请求和应答,没有给内外网络的计算机以任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。包过滤类型的防火墙是很难彻底避免这一漏洞的。就像你要向一个陌生的重要人物递交一份声明一样,如果你先将这份声明交给你的律师,然后律师就会审查你的声明,确认没有什么负面的影响后才由他交给那个陌生人。在此期间,陌生人对你的存在一无所知,如果要对你进行侵犯,他面对的将是你的律师,而你的律师当然比你更加清楚该如何对付这种人。
图3 传统代理型防火墙
代理防火墙的最大缺点就是速度相对比较慢,当用户对内外网络网关的吞吐量要求比较高时,(比如要求达到75-100Mbps时)代理防火墙就会成为内外网络之间的瓶颈。所幸的是,目前用户接入Internet的速度一般都远低于这个数字。在现实环境中,要考虑使用包过滤类型防火墙来满足速度要求的情况,大部分是高速网(ATM或千兆位以太网等)之间的防火墙。
第二代:自适应代理防火墙
自适应代理技术(Adaptive proxy)是最近在商业应用防火墙中实现的一种革命性的技术。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点,在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。组成这种类型防火墙的基本要素有两个:自适应代理服务器(Adaptive Proxy Server)与动态包过滤器(Dynamic Packet filter)。
图4 自适应代理防火墙
在自适应代理与动态包过滤器之间存在一个控制通道。在对防火墙进行配置时,用户仅仅将所需要的服务类型、安全级别等信息通过相应Proxy的管理界面进行设置就可以了。然后,自适应代理就可以根据用户的配置信息,决定是使用代理服务从应用层代理请求还是从网络层转发包。如果是后者,它将动态地通知包过滤器增减过滤规则,满足用户对速度和安全性的双重要求。
--------------------------------------------------------------------------------
小资料
防火墙的发展史
第一代防火墙
第一代防火墙技术几乎与路由器同时出现,采用了包过滤(Packet filter)技术。下图表示了防火墙技术的简单发展历史。
第二、三代防火墙
1989年,贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙――应用层防火墙(代理防火墙)的初步结构。
第四代防火墙
1992年,USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamic packet filter)技术的第四代防火墙,后来演变为目前所说的状态监视(Stateful inspection)技术。1994年,以色列的CheckPoint公司开发出了第一个基于这种技术的商业化的产品。
第五代防火墙
1998年,NAI公司推出了一种自适应代理(Adaptive proxy)技术,并在其产品Gauntlet Firewall for NT中得以实现,给代理类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。
通过这些知识点,你有更加清楚的了解防火墙的作用了么。
浏览量:2
下载量:0
时间:
下面小编来给大家讲解一下防火墙知识入门级别!
对此,Microsoft ISA Server 2004采取的应对措施是,针对每一类主流的应用, HTTP、SMTP、FTP和SQL Server数据库访问(基于RPC)都设置专门的过滤器,如果未来出现新的应用层威胁,还可以增加相应的过滤器。用户可以针对每一种过滤器进行应用相关的过滤设置,例如,可以通过限制任何HTTP访问请求的缓冲区不得超过3000个字节来防止一些蠕虫的攻击。在这种新的机制下,来自Internet的数据包被发送到各自的过滤器,过滤器会将数据包重组后进行内容扫描和判别。拿一封邮件来说,SMTP过滤器会等待相关的包到齐后,在转发之前重组邮件对其内容进行扫描,与已知类型的攻击进行比对,在确认这是正常流量后才允许通过。
经过正确配置的现代防火墙可以阻挡绝大多数已知的病毒邮件和攻击代码。虽然阻挡未知的病毒和攻击要困难得多,但是经过合理的策略设置通常是有效的。正确设置策略的基础是企业用户对于自身业务需求的正确理解,例如,多数企业的用户通常是没有必要通过邮件来传递可执行文件和Visual Basic脚本代码的。用户可以通过阻断含有这类可执行附件的邮件来对付一些未知的病毒。一旦真的需要发送这类文件,也可以设置更有针对性的策略,比如只允许IT部门的用户发送含有可执行文件附件邮件,或者允许用户接收除含有名为“Kournikova.jpg.vbs”的脚本附件之外的所有邮件。
浏览量:2
下载量:0
时间:
Internet防火墙是这样的系统(或一组系统),它能够使机构内部网络的安全性大大增强。要使一个防火墙有效,所有的Internet信息都必须经过这一道防火墙,接受防火墙的安全检查。只有授权的数据才能够通过防火墙,并且防火墙本身也必须能够免于渗透。但是,防火墙系统一旦发生被攻击者现象时,就不能为我们提供任何的保护了。――我们应当特别注意的是,Internet不只是由堡垒主机和路由器以及其他设备共同形成的防火墙,它本身还是一个重要的安全方式。下面就由读文网小编跟大家说说现阶段的防火墙技术知识有哪些。
如果受到保护的网络连接到了互联网上,用户访问互联网的时候,就必须用合法的IP地址。然而,合法的互联网地址数量是有限的,并且受到保护的网络一般也都有独到的网络地址方案。网络地址转换器是将一个合法的网络地址集团安装到防火墙上面。如果内网的用户想要访问互联网,防火墙就会自动从准备好的地址集团中给用户挑选一个还没有分配的地址,这个用户可以利用这一地址传递信息。另外,一些内网的服务器,如Web,转换器可以给它分配一个固定的地址来使用。外网的用户也可以在经过了防火墙验证之后访问到内网的信息。此类技术可以让主机多、IP地址少的问题得到缓解,在外网也无法获取内网的IP地址,更加安全可靠。
浏览量:2
下载量:0
时间:
电脑安全离不开防火墙,对于防火墙知识有多少了解,今天小编为大家介绍防火墙知识,欢迎大家阅读。
什么是防火墙?
通常应用防火墙的目的有以下几方面:限制他人进入内部网络;过滤掉不安全的服务和非法用户;防止入侵者接近你的防御设施;限定人们访问特殊站点;为监视局域网安全提供方便。个人防火墙一般具有以下功能:
1、数据包过滤
过滤技术(Ip Filtering or packet filtering) 的原理在于监视并过滤网络上流入流出的Ip包,拒绝发送可疑的包。在互联网这样的信息包交换网络上,所有往来的信息都被分割成许许多多一定长度的信息包,包头信息中包括IP源地址、IP目标地址、内装协议(ICP、UDP、ICMP、或IP Tunnel)、TCP/UDP目标端口、ICMP消息类型、包的进入接口和出接口。当这些包被送上互联网时,防火墙会读取接收者的IP并选择一条物理上的线路发送出去,信息包可能以不同的路线抵达目的地,当所有的包抵达后会在目的地重新组装还原。包过滤式的防火墙会检查所有通过信息包里的IP地址,并按照系统管理员所给定的过滤规则过滤信息包。如果防火墙设定某一IP为危险的话,从这个地址而来的所有信息都会被防火墙屏蔽掉。2、防火墙的安全规则
安全规则就是对你计算机所使用局域网、互联网的内制协议设置,从而达到系统的最佳安全状态。个人防火墙软件中的安全规则方式可分为两种:一种是定义好的安全规则就是把安全规则定义成几种方案,一般分为低、中、高三种。这样不懂网络协议的用户,就可以根据自己的需要灵活的设置不同的安全方案。例如:ZoneAlarm防火墙.还有一种用户可以自定义安全规则也就是说,在你非常了解网络协议的情况下,你就可以根据自已所需的安全状态,单独设置某个协议。
3、事件日记
这是每个防火墙软件所不能少的主要的功能。记录着防火墙软件监听到发生的一切事件,比如入侵者的来源、协议、端口、时间等等。记录的事件是由防火墙的功能来决定的。
那么那一种防火墙最好呢?这是网友经常询问的问题。
我个人认为选用防火墙,不一定非要用最好的,因为个人防火墙主要是针对个人用户的实用性来制作的,除了以上几种功能外,还集成一些工具,比如说追踪主机名或IP地址、检测特洛伊木马、伪装等等。根据自己不同的需要来选用,在不断地学习中淘汰一些简单的防火墙。本人把用户大概分成五种:
1、不了解网络协议的用户,只是为了游览网页。你可以使用傻瓜式防火墙。例如:Intrusion Detector、Intruder Alert' 99
2、如果你上网是为了聊天或者经常受到攻击的用户,那么你就可以选用:ProtectX、LockDown2000两个防火墙,它们都有追踪IP的功能。如果你受到攻击,立即可以追踪。
3、经常遭遇到扫描的用户,使用Internet Firewall 2000、AnalogX、NetAlert。这两个防火墙可以封锁或监视你的对外开放端口.
4、在局域网环境中上网的用户,那么防火墙必须支持NETBIOS设置功能。例如:AtGuard、Zone Alarm、conseal pc firewall、天网防火墙、BlackICE。
5、自己对网络协议运用自如的用户。Norton Internet Security 2000 V2.0 Personal Firewall与AtGuard防火墙都有非常详细的自定义网络协议。
这里说明一下,上面所说的五种用户分类,不是必须按照这样的分类使用的,只不过它们有那种分类的功能特点。比如说,Zone Alarm、天网防火墙,这两个防火墙也对普通用户提供了安全规则方案,不了解网络协议的用户也可以运用自如。
浏览量:2
下载量:0
时间:
欢迎大家来到读文网。网络已经成为了人类所构建的最丰富多彩的虚拟世界,网络的迅速发展,给我们的工作和学习生活带来了巨大的改变。我们通过网络获得信息,共享资源。如今, Internet遍布世界任何一个角落,并且欢迎任何一个人加入其中,相互沟通,相互交流。随着网络的延伸,安全问题受到人们越来越多的关注。在网络日益复杂化,多样化的今天,如何保护各类网络和应用的安全,如何保护信息安全,成为了本文探讨的重点。
几乎所有接触网络的人都知道网络中有一些费尽心机闯入他人计算机系统的人,他们利用各种网络和系统的漏洞,非法获得未授权的访问信息。不幸的是如今攻击网络系统和窃取信息已经不需要什么高深的技巧。网络中有大量的攻击工具和攻击文章等资源,可以任意使用和共享。不需要去了解那些攻击程序是如何运行的,只需要简单的执行就可以给网络造成巨大的威胁。甚至部分程序不需要人为的参与,非常智能化的扫描和破坏整个网络。这种情况使得近几年的攻击频率和密度显著增长,给网络安全带来越来越多的安全隐患。
我们可以通过很多网络工具,设备和策略来保护不可信任的网络。其中防火墙是运用非常广泛和效果最好的选择。它可以防御网络中的各种威胁,并且做出及时的响应,将那些危险的连接和攻击行为隔绝在外。从而降低网络的整体风险。
防火墙的基本功能是对网络通信进行筛选屏蔽以防止未授权的访问进出计算机网络,简单的概括就是,对网络进行访问控制。绝大部分的防火墙都是放置在可信任网络(Internal)和不可信任网络(Internet)之间。
A.机密性的风险
B.数据完整性的风险
C.用性的风险
我们讨论的防火墙主要是部署在网络的边界(Network Perimeter),这个概念主要是指一个本地网络的整个边界,表面看起来,似乎边界的定义很简单,但是随着虚拟专用网络()的出现,边界这个概念在通过拓展的网络中变的非常模糊了。在这种情况下,我们需要考虑的不仅仅是来自外部网络和内部网络的威胁,也包含了远程客户端的安全。因为远程客户端的安全将直接影响到整个防御体系的安全。
浏览量:2
下载量:0
时间:
今天读文网小编要跟大家介绍下电脑防火墙的相关知识,下面就是读文网小编为大家整理到的资料,请大家认真看看!
应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作,您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包,并且封锁其他的封包(通常是直接将封包丢弃)。理论上,这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。
防火墙借由监测所有的封包并找出不符规则的内容,可以防范电脑蠕虫或是木马程序的快速蔓延。不过就实现而言,这个方法既烦且杂(软件有千千百百种啊),所以大部分的防火墙都不会考虑以这种方法设计。
XML 防火墙是一种新型态的应用层防火墙。
根据侧重不同,可分为:包过滤型防火墙、应用层网关型防火墙、服务器型防火墙。
浏览量:2
下载量:0
时间:
凡是网络存在之处,都不可避免地会受到诸多不安全因素的威胁,在系统中安装防火墙无疑是最明智、有效的选择。我们既然寄希望于防火墙成为个人计算机与网络之间的一道安全屏障,就一定要对防火墙的方方面面有通透的了解,才能事半功倍,达到预期效果。
问:Windows 2003 自带的防火墙应该如何打开和关闭?
答:可以直接在网卡属性里面设置,也可以在服务里面自己开启服务。
问:除了Norton 8.1版能装在Windows 2003,还有哪个杀毒软件能支持Windows 2003的?
答:McAfee VirusScan Enterprise、Kaspersky Anti-Virus for NT Server 都可以,但惟一通过Windows 2003认证的目前是趋势SPNT 5.57中文版。
问:Windows 2000 Server装了ZoneAlarm Pro防火墙,还装了Terminal Service终端服务用来远程控制。可怎么配置都无法从远程连接终端服务,大概是ZoneAlarm Pro禁止了链接请求。应该怎样配置才能让ZoneAlarm Pro允许终端服务连接呢?
答:开放3389端口。
问:我在使用 Norton Internet Security 时遇到了以下问题:一是由于硬性屏蔽了来路信息,导致 Discuz? 提交安全检查无法通过,在发帖等情况下提示为未定义操作;二是由于误判断,将发帖时的 Discuz? 代码辅助提示判断为广告信息而不被执行。有何解决方法?
答:修改 Norton 的默认配置可以避免以上问题,方法如下(以 Norton Internet Security 2003 中文版为例)。
1. 调出“选项”窗口,选择“Norton Internet Security→Web内容→浏览站点的信息”,选择“允许”。
2. 选择“禁止广告→配置”,取消“启用禁止广告”复选框。
经过上述修改后,在安装有 Norton Internet Security 的机器上仍然可以顺畅地访问 Discuz! 及其他网站。
问:单位有人使用BT大量下载东西。以前我在防火墙上封掉对外的6969端口好像很有效果,但是最近好像没啥效果了。请问有什么好的建议吗?
答:那就使用防火墙把6999-9999端口都封了,不过,他们还会开别的,用监视看他们用哪个就封哪个。
问:朋友的一台笔记本电脑,主要就是写写文章,上网查点东西,不玩游戏,其他东西做的也不多。3月份重装系统安装了ZoneAlarm防火墙后,就开始出现:如果ADSL网络没有流量(就是不访问点什么,停在那里不动)大概过10分钟就会断线,然后机器重新拨号连接!我检查半天,就是找不到有什么问题,请问可能会是什么原因?
答:通常来说,这类防火墙都有当网络闲置时自动断线的功能,而且,一般来说,这个功能默认情况下是启用的,解决这位朋友遇到的问题办法其实很简单,只需去掉这个功能即可。
问:装Kerio Personal Firewall 2.1.5防火墙的这台机器是直接拨号上网?ADSL,两台机器是Hub相连的,通过Windows XP的那个共享来一起上网。现在装了防火墙之后,另一台就不能上网了,不论做什么都不行。请问大家,要创建些怎样的规则才行呢?
答:选择“管理→防火墙→高级→Microsoft网络”,选中“允许其他用户访问我的共享文件夹和打印机”即可。
问:我现在QQ每发送一个消息,Norton都会进行病毒扫描。在内存驻留Savscan.exe这个程序,在后台强行关闭不了这个文件,一关闭就会出现提示,但是仍然继续扫描,好像是扫描msg???.db的一个文件。扫描过程使我用QQ速度很慢,而且CPU占用率很高,请问我如何关闭Norton对QQ的病毒扫描?
答:在Norton的程序选项中,选择“系统→自动防护→排除”,在右侧列表中将QQ程序添加至要“排除的项目”。再选择“其它→威胁类别→排除”,同样添加QQ程序至右侧列表中。
浏览量:3
下载量:0
时间:
防火墙可以由软件组成,也可以由软件和硬件设备共同组合而成。通常情况下,网络防火墙作为内部网与外部网之间的一种访问控制设备,常常被安装在内部网和外部网的出口上,用来限制Internet用户对内部网络的访问以及管理内部用户访问外界的权限。随着越来越多企业或组织的内部网连接到Internet上,越来越多的企业组建Intranet,网络的安全变得日趋重要。安全关注如何对进出网络的数据流进行有效的控制与监视,相应的控制措施包括防火墙、物理隔离、远程访问控制、病毒/恶意代码防御和入侵检测等。作为保护网络安全产品,防火墙技术已经逐步趋于成熟,并为广大用户所认可。
1.网络防火墙的主要功能
使用网络防火墙的目的是在网络连接之间建立一个安全的控制点,实现对进、出内部网络的服务和访问的审计和控制。防火墙主要有如下的功能:
(1)实现了网段之间的隔离或控制
(2)记录与Internet之间的通信活动
(3)强化了安全访问策略
(4)提供一个安全策略的检查站
(5)实现了数据包的过滤
(6)网络地址翻译
2.网络防火墙功能的局限
虽然防火墙能够提供基本的安全保证,但功能也还是有它不可避免的缺陷,主要表现在:
(1)防火墙不能防备全部威胁
(2)防火墙一般没有配置防病毒的功能
(3)防火墙不能防范不通过它的连接
(4)防火墙不能完全防范内外部恶意的知情者
因此,尽管防火墙的作用非常重要,但也不能将防火墙当作惟一的安全手段,而是应当结合其他的安全措施,建设全面的安全防御体系。
浏览量:2
下载量:0
时间:
这篇防火墙基础知识是读文网小编特地为大家整理的,希望对大家有所帮助!
1.什么是 防火墙?
防火墙是一个或一组系统,它在网络之间执行访问控制策略。实防火墙的实际方式各不相同,但是在原则上,防火墙可以被认为是这样一对机制:一种机制是拦阻传输流通行,另一种机制是允许传输流通过。一些防火墙偏重拦阻传输流的通行,而另一些防火墙则偏重允许传输流通过。了解有关防火墙的最重要的概念可能就是它实现了一种访问控制策略。如果你不太清楚你需要允许或否决那类访问,你可以让其他人或某些产品根据他(它)们认为应当做的事来配置防火墙,然后他(它)们会为你的机构全面地制定访问策略。
2.为何需要防火墙?
同其它任何社会一样,Internet也受到某些无聊之人的困扰,这些人喜爱在网上做这类的事,像在现实中向其他人的墙上喷染涂鸦、将他人的邮箱推倒或者坐在大街上按汽车喇叭一样。一些人试图通过Internet完成一些真正的工作,而另一些人则拥有敏感或专有数据需要保护。一般来说,防火墙的目是将那些无聊之人挡在你的网络之外,同时使你仍可以完成工作。
许多传统风格的企业和数据中心都制定了计算安全策略和必须遵守的惯例。在一家公司的安全策略规定数据必须被保护的情况下,防火墙更显得十分重要,因为它是这家企业安全策略的具体体现。如果你的公司是一家大企业,连接到Int-ernet上的最难做的工作经常不是费用或所需做的工作,而是让管理层信服上网是安全的。防火墙不仅提供了真正的安全性,而且还起到了为管理层盖上一条安全的毯子的重要作用。
最后,防火墙可以发挥你的企业驻Internet“大使”的作用。许多企业利用其防火墙系统作为保存有关企业产品和服务的公开信息、下载文件、错误修补以及其它一些文件的场所。这些系统当中的几种系统已经成为Internet服务结构(如UUnet.uu.net、whitehouse.gov、gatekeeper.dec.com)的重要组成部分,并且给这些机构的赞助者带来了良好的影响。
3.防火墙可以防范什么?
一些防火墙只允许电子邮件通过,因而保护了网络免受除对电子邮件服务攻击之外的任何攻击。另一些防火墙提供不太严格的保护措施,并且拦阻一些众所周知存在问题的服务。
一般来说,防火墙在配置上是防止来自“外部”世界未经授权的交互式登录的。这大大有助于防止破坏者登录到你网络中的计算机上。一些设计更为精巧的防火墙可以防止来自外部的传输流进入内部,但又允许内部的用户可以自由地与外部通信。如果你切断防火墙的话,它可以保护你免受网络上任何类型的攻击。
防火墙的另一个非常重要的特性是可以提供一个单独的“拦阻点”,在“拦阻点”上设置安全和审计检查。与计算机系统正受到某些人利用调制解调器拨入攻击的情况不同,防火墙可以发挥一种有效的“电话监听”(Phone tap)和跟踪工具的作用。防火墙提供了一种重要的记录和审计功能;它们经常可以向管理员提供一些情况概要,提供有关通过防火墙的传流输的类型和数量以及有多少次试图闯入防火墙的企图等等信息。
4.防火墙不能防范什么?
防火墙不能防范不经过防火墙的攻击。许多接入到Internet的企业对通过接入路线造成公司专用数据数据泄露非常担心。不幸得是,对于这些担心来说,一盘磁带可以被很有效地用来泄露数据。许多机构的管理层对Internet接入非常恐惧,它们对应当如何保护通过调制解调器拨号访问没有连惯的政策。当你住在一所木屋中,却安装了一扇六英尺厚的钢门,会被认为很愚蠢。然而,有许多机构购买了价格昂贵的防火墙,但却忽视了通往其网络中的其它几扇后门。要使防火墙发挥作用,防火墙就必须成为整个机构安全架构中不可分割的一部分。防火墙的策略必须现实,能够反映出整个网络安全的水平。例如,一个保存着超级机密或保密数据的站点根本不需要防火墙:首先,它根本不应当被接入到Internet上,或者保存着真正秘密数据的系统应当与这家企业的其余网络隔离开。
防火墙不能真正保护你防止的另一种危险是你网络内部的叛变者或白痴。尽管一个工业间谍可以通过防火墙传送信息,但他更有可能利用电话、传真机或软盘来传送信息。软盘远比防火墙更有可能成为泄露你机构秘密的媒介!防火墙同样不能保护你避免愚蠢行为的发生。通过电话泄露敏感信息的用户是社会工程(social engineering)的好目标;如果攻击者能找到内部的一个“对他有帮助”的雇员,通过欺骗他进入调制解调器池,攻击者可能会完全绕过防火墙打入你的网络。
5.防火墙能否防止病毒的攻击?
防火墙不能有效地防范像病毒这类东西的入侵。在网络上传输二进制文件的编码方式太多了,并且有太多的不同的结构和病毒,因此不可能查找所有的病毒。换句话说,防火墙不可能将安全意识(security-consciosness)交给用户一方。总之,防火墙不能防止数据驱动的攻击:即通过将某种东西邮寄或拷贝到内部主机中,然后它再在内部主机中运行的攻击。过去曾发生过对不同版本的邮件寄送程序和幻像脚本(ghostscript)和免费PostScript阅读器的这类攻击。
对病毒十分忧虑的机构应当在整个机构范围内采取病毒控制措施。不要试图将病毒挡在防火墙之外,而是保证每个脆弱的桌面系统都安装上病毒扫描软件,只要一引导计算机就对病毒进行扫描。利用病毒扫描软件防护你的网络将可以防止通过软盘、调制解调器和Internet传播的病毒的攻击。试图御病毒于防火墙之外只能防止来自Internet的病毒,而绝大多数病毒是通过软盘传染上的。
尽管如此,还是有越来越多的防火墙厂商正提供“病毒探测”防火墙。这类防火墙只对那种交换Windows-on-Intel执行程序和恶意宏应用文档的毫无经验的用户有用。不要指望这种特性能够对攻击起到任何防范作用。
6.在防火墙设计中需要做哪些基本设计决策?
在负责防火墙的设计、制定工程计划以及实施或监督安装的幸运儿面前,有许多基本设计问题等着他去解决。
首先,最重要的问题是,它应体现你的公司或机构打算如何运行这个系统的策略:安装后的防火墙是为了明确地拒绝除对于连接到网络至关重的服务之外的所有服务,或者,安装就绪的防火墙是为以非威胁方式对“鱼贯而入”的访问("queuing" access)提供一种计量和审计的方法。在这些选择中存在着某种程度的偏执狂;防火墙的最终功能可能将是行政上的结果,而非工程上的决策。
第二个问题是:你需要何种程度的监视、冗余度以及控制水平?通过解决第一个问题,确定了可接受的风险水平(例如你的偏执到何种程度)后,你可以列出一个必须监测什么传输、必须允许什么传输流通行以及应当拒绝什么传输的清单。换句话说,你开始时先列出你的总体目标,然后把需求分析与风险评估结合在一起,挑出与风险始终对立的需求,加入到计划完成的工作的清单中。
第三个问题是财务上的问题。在此,我们只能以模糊的表达方式论述这个问题,但是,试图以购买或实施解决方案的费用多少来量化提出的解决方案十分重要。例如,一个完整的防火墙的高端产品可能价值10万美元,而低端产品可能是免费的。像在Cisco或类似的路由器上做一些奇妙的配置这类免费选择不会花你一分钱,只需要工作人员的时间和几杯咖啡。从头建立一个高端防火墙可能需要几个人工月,它可能等于价值3万美元的工作人员工资和利润。系统管理开销也是需要考虑的问题。建立自行开发的防火墙固然很好,但重要的是使建立的防火墙不需要费用高昂的不断干预。换句话说,在评估防火墙时,重要的是不仅要以防火墙目前的费用来评估它,而且要考虑到像支持服务这类后续费用。
出于实用目的,我们目前谈论的是网络服务提供商提供的路由器与你内部网络之间存在的静态传输流路由服务,因此基于为一事实,在技术上,还需要做出几项决策。传输流路由服务可以通过诸如路由器中的过滤规则在IP层实现,或通过代理网关和服务在应用层实现。
需要做出的决定是,是否将暴露的简易机放置在外部网络上为telnet、ftp、news等运行代理服务,或是否设置像过滤器这样的屏蔽路由器,允许与一台或多台内部计算机的通信。这两种方式都存在着优缺点,代理机可以提供更高水平的审计和潜在的安全性,但代价是配置费用的增加,以及可能提供的服务水平的降低(由于代理机需要针对每种需要的服务进行开发)。由来以久的易使性与安全性之间的平衡问题再次死死地困扰着我们。
7.防火墙的基本类型是什么?
在概念上,有两种类型的防火墙:
1、网络级防火墙
2、应用级防火墙
这两种类型的差异并不像你想像得那样大,最新的技术模糊了两者之间的区别,使哪个“更好”或“更坏”不再那么明显。同以往一样,你需要谨慎选择满足你需要的防火墙类型。
网络级防火墙一般根据源、目的地址做出决策,输入单个的IP包。一台简单的路由器是“传统的”网络级防火墙,因为它不能做出复杂的决策,不能判断出一个包的实际含意或包的实际出处。现代网络级防火墙已变得越来越复杂,可以保持流经它的接入状态、一些数据流的内容等等有关信息。许多网络级防火墙之间的一个重要差别是防火墙可以使传输流直接通过,因此要使用这样的防火墙通常需要分配有效的IP地址块。网络级防火墙一般速度都很快,对用户很透明。
网络级防火墙的例子:在这个例子中,给出了一种称为“屏蔽主机防火墙”(screened hostfirewall)的网络级防火墙。在屏蔽主机防火墙中,对单个主机的访问或从单个主机进行访问是通过运行在网络级上的路由器来控制的。这台单个主机是一台桥头堡主机(bastion host),是一个可以(希望如此)抵御攻击的高度设防和保险的要塞。
网络级防火墙的例子:在这个例子中,给出了一种所谓“屏蔽子网防火墙”的网络级防火墙。在屏蔽子网防火墙中,对网络的访问或从这个网络中进行访问是通过运行在网络级上的路由器来控制的。除了它实际上是由屏蔽主机组成的网络外,它与被屏蔽主机的作用相似。
应用级防火墙一般是运行代理服务器的主机,它不允许传输流在网络之间直接传输,并对通过它的传输流进行记录和审计。由于代理应用程序是运行在防火墙上的软件部件,因此它处于实施记录和访问控制的理想位置。应用级防火墙可以被用作网络地址翻译器,因为传输流通过有效地屏蔽掉起始接入原址的应用程序后,从一“面”进来,从另一面出去。在某些情况下,设置了应用级防火墙后,可能会对性能造成影响,会使防火墙不太透明。早期的应用级防火墙,如那些利用TIS防火墙工具包构造的防火墙,对于最终用户不很透明,并需要对用户进行培训。应用级防火墙一般会提供更详尽的审计报告,比网络级防火墙实施更保守的安全模型。
应用级防火墙举例:这此例中,给出了一个所谓“双向本地网关”(dual homed gateway)的应用级防火墙。双向本地网关是一种运行代理软件的高度安全主机。它有两个网络接口,每个网络上有一个接口,拦阻通过它的所有传输流。
防火墙未来的位置应当处于网络级防火墙与应用级防火墙之间的某一位置。网络级防火墙可能对流经它们的信息越来越“了解”(aware),而应用级防火墙可能将变得更加“低级”和透明。最终的结果将是能够对通过的数据流记录和审计的快速包屏蔽系统。越来越多的防火墙(网络和应用层)中都包含了加密机制,使它们可以在Internet上保护流经它们之间的传输流。具有端到端加密功能的防火墙可以被使用多点Internet接入的机构所用,这些机构可以将Internet作为“专用骨干网”,无需担心自己的数据或口令被偷看。
8.什么是“单故障点”?应当如何避免出现这种故障?
安全性取决于一种机制的结构具有单故障点。运行桥头堡主机的软件存在错误。应用程序存在错误。控制路由器的软件存在错误。使用所有这些组件建造设计安全的网络,并以冗余的方式使用它们才有意义。
如果你的防火墙结构是屏蔽子网,那么,你有两台包过滤路由器和一台桥头堡主机。(参见本节的问题2)Internet访问路由器不允许传输流从Internet进入你的专用网络。然而,如果你不在桥头堡主机以及(或)阻塞(choke)路由器上与其它任何机制一道执行这个规则(rule)的话,那么只要这种结构中的一个组件出现故障或遭到破坏就会使攻击者进入防火墙内部。另一方面,如果你在桥头堡主机上具有冗余规则,并在阻塞路由器上也有冗余规则,那么攻击者必须对付三种机制。
此外,如果这台桥头堡主机或阻塞路由器使用规则来拦阻外部访问进入内部网络的话,你可能需要让它触发某种报警,因为你知道有人进入了你的访问路由器。
9.如何才能将所有的恶意的传输拦在外面?
对于重点在于安全而非连接性的防火墙来说,你应当考虑缺省拦阻所有的传输,并且只特别地根据具体情况允许你所需要的服务通过。
如果你将除特定的服务集之外的所有东西都挡在外面,那么你已经使你的任务变得很容易了。你无需再为周围的每样产品和每件服务的各种安全问题担心了,你只需关注特定产品和服务存在的各种安全问题。
在启动一项服务之前,你应当考虑下列问题:*这个产品的协议是人们熟知的公开协议吗?*为这个协议提供服务的应用程序的应用情况是否可供公开检查?*这项服务和产品是否为人们熟知?*使用这项服务会怎样改变防火墙的结构?攻击者会从不同的角度看待这些吗?攻击者能利用这点进入我的内部网络,或者会改变我的DMZ中主机上的东西吗?
在考虑上述问题时,请记住下列忠告:*“不为人所知的安全性根本不安全。许多未公开的协议都被那些坏家伙研究并解除过。*无论营销人员说些什么,不是所有的协议或服务在设计时考虑了安全性。事实上,真正在设计时考虑了安全性的协议或服务数量很少。*甚至在考虑过安全性的情况下,并不是所有的机构都拥有合格的负责安全的人员。在那些没有称职负责安全的人员的机构中,不是所有的机构都愿意请称职的顾问参与工程项目。这样做的结果是那些其它方面还称职的、好心肠的开发者会设计出不安全的系统。*厂商越不愿意告诉你他们系统的真正工作原理,它就越有可能可存安全性(或其它)问题。只有有什么东西需要隐瞒的厂商才有理由隐瞒他们的设计和实施情况。
10.有哪些常见的攻击?应当如何保护系统不受它们的攻击呢?
每个站点与其它站点遭受攻击的类型都略有不同。但仍有一些共同之处。SMTP会话攻击(SMTP Session Hijacking)在这种攻击中,垃圾邮件制造者将一条消息复制成千上万份,并按一个巨大的电子邮件地址清单发送这条消息。由于这些地址清单常常很糟糕,并且为了加快垃圾制造者的操作速度,许多垃圾制造者采取了将他们所有的邮件都发送到一台SMTP服务器上作法,由这台服务器负责实际发送这些邮件。
当然,弹回(bounces)消息、对垃圾制造者的抱怨、咒骂的邮件和坏的PR都涌入了曾被用作中继站的站点。这将着实要让这个站点破费一下了,其中大部分花费被用到支付以后清除这些信息的人员费用上。
《防止邮件滥用系统传输安全性建议》(The Mail Abuse Prevention System Transport Security Initiative)中对这个问题作了详尽的叙述,以及如何对每个寄信人进行配置防止这种攻击。利用应用程序中的错误(bugs)不同版本的web服务器、邮件服务器和其它Internet服务软件都存在各种错误,因此,远程(Internet)用户可以利用错误做从造成对计算机的控制到引起应用程序瘫痪等各种后果。
只运行必要的服务、用最新的补丁程序修补程序以及使用应用过一段时间的产品可以减少遭遇这种风险的可能。利用操作系统中的错误这类攻击一般也是由远程用户发起的。相对于IP网络较新的操作系统更易出现问题,而很成熟的操作系统有充分的时间来发现和清除存在的错误。攻击者经常可以使被攻击的设备不断重新引导、瘫痪、失去与网络通信的能力,或替换计算机上的文件。
因此,尽可能少地运行操作系统服务可以有助于防范对系统的攻击。此外,在操作系统前端安装一个包过滤器也可以大大减少受这类攻击的次数。 当然,选择一个稳定的操作系统也同样会有帮助。在选择操作系统时,不要轻信“好货不便宜”这类说法。自由软件操作系统常常比商用操作系统更强健。
11.我必须满足用户要求的各种要求吗?
对这个问题的答案完全有可能是“不”。对于需要什么,不需要什么,每个站点都有自己的策略,但是,重要的是记住作为一家机构的看门人的主要工作之一是教育。用户需要流视频、实时聊天,并要求能够向请求在内部网络上的活数据库进行交互查询的外部客户提供服务。
这意味着完成任何这类事情都会给机构造成风险,而造成的风险往往比想像中沿着这条路走下去的“价值”的回报更高。多数用户不愿使自己的机构遭受风险。他们只看一看商标,阅读一下广告,他们也愿意做上述那些事。重要的是了解用户真正想干些什么,帮助他们懂得他们可以以更安全的方式实现他们的真正目的。
你不会总受到欢迎,你可以甚至会发现自己收到了难以置信愚蠢的命令,让你做一些诸如“打开所有的口子”这样的事,但不要为此担心。在这种时刻,明智的做法是将你的交换数据全都保存起来,这样当一个十二岁的小孩闯入网络时,你至少能够使你自己远离混乱局面。
12.如何才能通过自己的防火墙运行Web/HTTP?
有三种办法做到这点:
1、如果你使用屏蔽路由器的话,允许“建立起的”连接经过路由器接入到防火墙外。
2、使用支持SOCKS的Web客户机,并在你的桥头堡主机上运行SOCKS。
3、运行桥头堡主机上的某种具有代理功能的Web服务器。一些可供选择的代理服务器包括Squid、Apache、Netscape Proxy和TIS防火墙工具包中的http-gw。这些选件中的多数还可以代理其它协议(如gopher和ftp),并可缓存捕获的对象。后者一般会提高用户的性能,使你能更有效地使用到Internet的连接。基本上所有的Web客户机(Mozilla、Inter-net Explorer、Lynx等等)都具有内置的对代理服务器的支持。
13.在使用防火墙时,怎样使用DNS呢?
一些机构想隐藏DNS名,不让外界知道。许多专家认为隐藏DNS名没有什么价值,但是,如果站点或企业的政策强制要求隐藏域名,它也不失为一种已知可行的办法。你可能必须隐藏域名的另一条理由是你的内部网络上是否有非标准的寻址方案。不要自欺欺人的认为,如果隐藏了你的DNS名,在攻击者打入你的防火墙时,会给攻击者增加困难。有关你的网络的信息可以很容易地从网络层获得。假如你有兴趣证实这点的话,不妨在LAN上“ping”一下子网广播地址,然后再执行“arp -a”。还需要说明的是,隐藏DNS中的域名不能解决从邮件头、新闻文章等中“泄露”主机名的问题。
这种方法是许多方法中的一个,它对于希望向Internet隐瞒自己的主机名的机构很有用。这种办法的成功取决于这样一个事实:即一台机器上的DNS客户机不必与在同一台机器上的DNS服务器对话。换句话说,正是由于在一台机器上有一个DNS服务器,因此,将这部机器的DNS客户机活动重定向到另一台机器上的DNS服务器没有任何不妥(并且经常有好处)。
首先,你在可以与外部世界通信的桥头堡主机上建立DNS服务器。你建立这台服务器使它宣布对你的域名具有访问的权力。事实上,这台服务器所了解的就是你想让外部世界所了解的:你网关的名称和地址、你的通配符MX记录等等。这台服务器就是“公共”服务器。
然后,在内部机器上建立一台DNS服务器。这台服务器也宣布对你的域名具有权力;与公共服务器不同,这台服务器“讲的是真话”。它是你的“正常”的命名服务器,你可以在这台服务器中放入你所有的“正常”DNS名。你再设置这台服务器,使它可以将它不能解决的查询转发到公共服务器(例如,使用Unix机上的/etc/named.boot中的“转发器”行(forwarder line))。
最后,设置你所有的DNS客户机(例如,Unix机上的/etc/resolv.conf文件)使用内部服务器,这些DNS客户机包括公共服务器所在机器上的DNS客户机。这是关键。
询问有关一台内部主机信息的内部客户机向内部服务器提出问题,并得到回答;询问有关一部外部主机信息的内部客户机向内部服务器查询,内部客户机再向公共服务器进行查询,公共服务器再向Internet查询,然后将得到的答案再一步一步传回来。公共服务器上的客户机也以相同的方式工作。但是,一台询问关于一台内部主机信息的外部客户机,只能从公共服务器上得到“限制性”的答案。
这种方式假定在这两台服务器之间有一个包过滤防火墙,这个防火墙允许服务器相互传递DNS,但除此之外,限制其它主机之间的DNS。
这种方式中的另一项有用的技巧是利用你的IN-ADDR.AROA域名中通配符PTR记录。这将引起对任何非公共主机的“地址到名称”(address-to-name)的查找返回像“unknown.YOUR.DOMAIN”这样的信息,而非返回一个错误。这就满足了像ftp.uu.net匿名FTP站点的要求。这类站点要求得到与它们通信的计算机的名字。当与进行DNS交叉检查的站点通信时,这种方法就不灵了。在交叉检查中,主机名要与它的地址匹配,地址也要与主机名匹配。
14.怎样才能穿过防火墙使用FTP?
一般来说,可以通过使用像防火墙工具包中的ftp-gw这类代理服务器,或在有限的端口范围允许接入连接到网络上(利用如“建立的”屏蔽规则这样的规则来限制除上述端口外的接入),使FTP可以穿过防火墙工作。然后,修改FTP客户机,使其将数据端口连接在允许端口范围内的一个端口上。这样做需要能够修改在内部主机上的FTP客户机应用。在某些情况下,如果FTP的下载是你所希望支持的,你不妨考虑宣布FTP为“死协议”(dead protocol),并且让户通过Web下载文件。如果你选择FTP-via-Web方式,用户将不能使用FTP向外传输文件,这可能会造成问题,不过这取决你试图完成什么。
另一个不同的办法是使用FTP "PASV"选项来指示远程FTP服务器允许客户机开始连接。PASV方式假设远程系统上的FTP服务器支持这种操作。(详细说明请参看RFC1579)
另一些站点偏爱建立根据SOCKS库链接的FTP程序的客户机版本。
15.怎样才能穿过防火墙使用telnet?
利用像防火墙工具包中的tn-gw这类应用代理,或简单地配置一台路由器使它利用像“建立的”屏蔽规则等策略允许接出,一般都可以支持使用telnet。应用代理可以以运行在桥头堡主机上的独立代理的形式,或以SOCKS服务器和修改的客户机的形式存在。
16.怎样才能穿过防火墙使用RealAudio?
RealNetworks中含有关于如何使穿过防火墙RealAudio的一些说明。在没有清楚地了解做哪些改动,了解新的改动将带来什么样的风险的情况下,就改动你的防火墙,是很不明智的。
17.如何才能使web服务器作为专用网络上的一个数据库的前端呢?
实现这点的最佳途径是通过特定的协议在web服务器与数据库服务器之间允许很有限的连接。特定的协议只支持你将使用的功能的级别。允许原始SQL或其它任何可为攻击者利用来进行定制提取(extractions)的东西,一般来说不是一个好主意。
假设攻击者能够进入你的web服务器,并以web服务器同样的方式进行查询。难道没有一种机制能提取web服务器不需要的像信用卡信息这样的敏感信息吗?攻击者难道不能发出一次SQL选择,然后提取你整个的专用数据库吗?
同其它所有应用一样,“电子商务”应用从一开始设计时就充分考虑到了安全问题,而不是以后再想起来“增加”安全性。应当从一个攻击者的角度,严格审查你的结构。假设攻击者了解你的结构的每一个细节。现在,再问问自己,想要窃取你的数据、进行非授权的改动或做其它任何你不想让做的事的话,应当做些什么。你可能会发现,不需要增加任何功能,只需做出一些设计和实施上的决策就可大大地增加安全性。
浏览量:2
下载量:0
时间:
导语:以下是读文网OMG小编为大家整理的劳动法规的知识,希望你喜欢阅读:
1.什么是 防火墙?
防火墙是一个或一组系统,它在网络之间执行访问控制策略。实防火墙的实际方式各不相同,但是在原则上,防火墙可以被认为是这样一对机制:一种机制是拦阻传输流通行,另一种机制是允许传输流通过。一些防火墙偏重拦阻传输流的通行,而另一些防火墙则偏重允许传输流通过。了解有关防火墙的最重要的概念可能就是它实现了一种访问控制策略。如果你不太清楚你需要允许或否决那类访问,你可以让其他人或某些产品根据他(它)们认为应当做的事来配置防火墙,然后他(它)们会为你的机构全面地制定访问策略。
2.为何需要防火墙?
同其它任何社会一样,Internet也受到某些无聊之人的困扰,这些人喜爱在网上做这类的事,像在现实中向其他人的墙上喷染涂鸦、将他人的邮箱推倒或者坐在大街上按汽车喇叭一样。一些人试图通过Internet完成一些真正的工作,而另一些人则拥有敏感或专有数据需要保护。一般来说,防火墙的目是将那些无聊之人挡在你的网络之外,同时使你仍可以完成工作。
许多传统风格的企业和数据中心都制定了计算安全策略和必须遵守的惯例。在一家公司的安全策略规定数据必须被保护的情况下,防火墙更显得十分重要,因为它是这家企业安全策略的具体体现。如果你的公司是一家大企业,连接到Int-ernet上的最难做的工作经常不是费用或所需做的工作,而是让管理层信服上网是安全的。防火墙不仅提供了真正的安全性,而且还起到了为管理层盖上一条安全的毯子的重要作用。
最后,防火墙可以发挥你的企业驻Internet“大使”的作用。许多企业利用其防火墙系统作为保存有关企业产品和服务的公开信息、下载文件、错误修补以及其它一些文件的场所。这些系统当中的几种系统已经成为Internet服务结构(如UUnet.uu.net、whitehouse.gov、gatekeeper.dec.com)的重要组成部分,并且给这些机构的赞助者带来了良好的影响。
3.防火墙可以防范什么?
一些防火墙只允许电子邮件通过,因而保护了网络免受除对电子邮件服务攻击之外的任何攻击。另一些防火墙提供不太严格的保护措施,并且拦阻一些众所周知存在问题的服务。
一般来说,防火墙在配置上是防止来自“外部”世界未经授权的交互式登录的。这大大有助于防止破坏者登录到你网络中的计算机上。一些设计更为精巧的防火墙可以防止来自外部的传输流进入内部,但又允许内部的用户可以自由地与外部通信。如果你切断防火墙的话,它可以保护你免受网络上任何类型的攻击。
防火墙的另一个非常重要的特性是可以提供一个单独的“拦阻点”,在“拦阻点”上设置安全和审计检查。与计算机系统正受到某些人利用调制解调器拨入攻击的情况不同,防火墙可以发挥一种有效的“电话监听”(Phone tap)和跟踪工具的作用。防火墙提供了一种重要的记录和审计功能;它们经常可以向管理员提供一些情况概要,提供有关通过防火墙的传流输的类型和数量以及有多少次试图闯入防火墙的企图等等信息。
4.防火墙不能防范什么?
防火墙不能防范不经过防火墙的攻击。许多接入到Internet的企业对通过接入路线造成公司专用数据数据泄露非常担心。不幸得是,对于这些担心来说,一盘磁带可以被很有效地用来泄露数据。许多机构的管理层对Internet接入非常恐惧,它们对应当如何保护通过调制解调器拨号访问没有连惯的政策。当你住在一所木屋中,却安装了一扇六英尺厚的钢门,会被认为很愚蠢。然而,有许多机构购买了价格昂贵的防火墙,但却忽视了通往其网络中的其它几扇后门。要使防火墙发挥作用,防火墙就必须成为整个机构安全架构中不可分割的一部分。防火墙的策略必须现实,能够反映出整个网络安全的水平。例如,一个保存着超级机密或保密数据的站点根本不需要防火墙:首先,它根本不应当被接入到Internet上,或者保存着真正秘密数据的系统应当与这家企业的其余网络隔离开。
防火墙不能真正保护你防止的另一种危险是你网络内部的叛变者或白痴。尽管一个工业间谍可以通过防火墙传送信息,但他更有可能利用电话、传真机或软盘来传送信息。软盘远比防火墙更有可能成为泄露你机构秘密的媒介!防火墙同样不能保护你避免愚蠢行为的发生。通过电话泄露敏感信息的用户是社会工程(social engineering)的好目标;如果攻击者能找到内部的一个“对他有帮助”的雇员,通过欺骗他进入调制解调器池,攻击者可能会完全绕过防火墙打入你的网络。
5.防火墙能否防止病毒的攻击?
防火墙不能有效地防范像病毒这类东西的入侵。在网络上传输二进制文件的编码方式太多了,并且有太多的不同的结构和病毒,因此不可能查找所有的病毒。换句话说,防火墙不可能将安全意识(security-consciosness)交给用户一方。总之,防火墙不能防止数据驱动的攻击:即通过将某种东西邮寄或拷贝到内部主机中,然后它再在内部主机中运行的攻击。过去曾发生过对不同版本的邮件寄送程序和幻像脚本(ghostscript)和免费PostScript阅读器的这类攻击。
对病毒十分忧虑的机构应当在整个机构范围内采取病毒控制措施。不要试图将病毒挡在防火墙之外,而是保证每个脆弱的桌面系统都安装上病毒扫描软件,只要一引导计算机就对病毒进行扫描。利用病毒扫描软件防护你的网络将可以防止通过软盘、调制解调器和Internet传播的病毒的攻击。试图御病毒于防火墙之外只能防止来自Internet的病毒,而绝大多数病毒是通过软盘传染上的。
尽管如此,还是有越来越多的防火墙厂商正提供“病毒探测”防火墙。这类防火墙只对那种交换Windows-on-Intel执行程序和恶意宏应用文档的毫无经验的用户有用。不要指望这种特性能够对攻击起到任何防范作用。
6.在防火墙设计中需要做哪些基本设计决策?
在负责防火墙的设计、制定工程计划以及实施或监督安装的幸运儿面前,有许多基本设计问题等着他去解决。
首先,最重要的问题是,它应体现你的公司或机构打算如何运行这个系统的策略:安装后的防火墙是为了明确地拒绝除对于连接到网络至关重的服务之外的所有服务,或者,安装就绪的防火墙是为以非威胁方式对“鱼贯而入”的访问("queuing" access)提供一种计量和审计的方法。在这些选择中存在着某种程度的偏执狂;防火墙的最终功能可能将是行政上的结果,而非工程上的决策。
第二个问题是:你需要何种程度的监视、冗余度以及控制水平?通过解决第一个问题,确定了可接受的风险水平(例如你的偏执到何种程度)后,你可以列出一个必须监测什么传输、必须允许什么传输流通行以及应当拒绝什么传输的清单。换句话说,你开始时先列出你的总体目标,然后把需求分析与风险评估结合在一起,挑出与风险始终对立的需求,加入到计划完成的工作的清单中。
第三个问题是财务上的问题。在此,我们只能以模糊的表达方式论述这个问题,但是,试图以购买或实施解决方案的费用多少来量化提出的解决方案十分重要。例如,一个完整的防火墙的高端产品可能价值10万美元,而低端产品可能是免费的。像在Cisco或类似的路由器上做一些奇妙的配置这类免费选择不会花你一分钱,只需要工作人员的时间和几杯咖啡。从头建立一个高端防火墙可能需要几个人工月,它可能等于价值3万美元的工作人员工资和利润。系统管理开销也是需要考虑的问题。建立自行开发的防火墙固然很好,但重要的是使建立的防火墙不需要费用高昂的不断干预。换句话说,在评估防火墙时,重要的是不仅要以防火墙目前的费用来评估它,而且要考虑到像支持服务这类后续费用。
出于实用目的,我们目前谈论的是网络服务提供商提供的路由器与你内部网络之间存在的静态传输流路由服务,因此基于为一事实,在技术上,还需要做出几项决策。传输流路由服务可以通过诸如路由器中的过滤规则在IP层实现,或通过代理网关和服务在应用层实现。
需要做出的决定是,是否将暴露的简易机放置在外部网络上为telnet、ftp、news等运行代理服务,或是否设置像过滤器这样的屏蔽路由器,允许与一台或多台内部计算机的通信。这两种方式都存在着优缺点,代理机可以提供更高水平的审计和潜在的安全性,但代价是配置费用的增加,以及可能提供的服务水平的降低(由于代理机需要针对每种需要的服务进行开发)。由来以久的易使性与安全性之间的平衡问题再次死死地困扰着我们。
7.防火墙的基本类型是什么?
在概念上,有两种类型的防火墙:
1、网络级防火墙
2、应用级防火墙
这两种类型的差异并不像你想像得那样大,最新的技术模糊了两者之间的区别,使哪个“更好”或“更坏”不再那么明显。同以往一样,你需要谨慎选择满足你需要的防火墙类型。
网络级防火墙一般根据源、目的地址做出决策,输入单个的IP包。一台简单的路由器是“传统的”网络级防火墙,因为它不能做出复杂的决策,不能判断出一个包的实际含意或包的实际出处。现代网络级防火墙已变得越来越复杂,可以保持流经它的接入状态、一些数据流的内容等等有关信息。许多网络级防火墙之间的一个重要差别是防火墙可以使传输流直接通过,因此要使用这样的防火墙通常需要分配有效的IP地址块。网络级防火墙一般速度都很快,对用户很透明。
网络级防火墙的例子:在这个例子中,给出了一种称为“屏蔽主机防火墙”(screened hostfirewall)的网络级防火墙。在屏蔽主机防火墙中,对单个主机的访问或从单个主机进行访问是通过运行在网络级上的路由器来控制的。这台单个主机是一台桥头堡主机(bastion host),是一个可以(希望如此)抵御攻击的高度设防和保险的要塞。
网络级防火墙的例子:在这个例子中,给出了一种所谓“屏蔽子网防火墙”的网络级防火墙。在屏蔽子网防火墙中,对网络的访问或从这个网络中进行访问是通过运行在网络级上的路由器来控制的。除了它实际上是由屏蔽主机组成的网络外,它与被屏蔽主机的作用相似。
应用级防火墙一般是运行代理服务器的主机,它不允许传输流在网络之间直接传输,并对通过它的传输流进行记录和审计。由于代理应用程序是运行在防火墙上的软件部件,因此它处于实施记录和访问控制的理想位置。应用级防火墙可以被用作网络地址翻译器,因为传输流通过有效地屏蔽掉起始接入原址的应用程序后,从一“面”进来,从另一面出去。在某些情况下,设置了应用级防火墙后,可能会对性能造成影响,会使防火墙不太透明。早期的应用级防火墙,如那些利用TIS防火墙工具包构造的防火墙,对于最终用户不很透明,并需要对用户进行培训。应用级防火墙一般会提供更详尽的审计报告,比网络级防火墙实施更保守的安全模型。
应用级防火墙举例:这此例中,给出了一个所谓“双向本地网关”(dual homed gateway)的应用级防火墙。双向本地网关是一种运行代理软件的高度安全主机。它有两个网络接口,每个网络上有一个接口,拦阻通过它的所有传输流。
防火墙未来的位置应当处于网络级防火墙与应用级防火墙之间的某一位置。网络级防火墙可能对流经它们的信息越来越“了解”(aware),而应用级防火墙可能将变得更加“低级”和透明。最终的结果将是能够对通过的数据流记录和审计的快速包屏蔽系统。越来越多的防火墙(网络和应用层)中都包含了加密机制,使它们可以在Internet上保护流经它们之间的传输流。具有端到端加密功能的防火墙可以被使用多点Internet接入的机构所用,这些机构可以将Internet作为“专用骨干网”,无需担心自己的数据或口令被偷看。
8.什么是“单故障点”?应当如何避免出现这种故障?
安全性取决于一种机制的结构具有单故障点。运行桥头堡主机的软件存在错误。应用程序存在错误。控制路由器的软件存在错误。使用所有这些组件建造设计安全的网络,并以冗余的方式使用它们才有意义。
如果你的防火墙结构是屏蔽子网,那么,你有两台包过滤路由器和一台桥头堡主机。(参见本节的问题2)Internet访问路由器不允许传输流从Internet进入你的专用网络。然而,如果你不在桥头堡主机以及(或)阻塞(choke)路由器上与其它任何机制一道执行这个规则(rule)的话,那么只要这种结构中的一个组件出现故障或遭到破坏就会使攻击者进入防火墙内部。另一方面,如果你在桥头堡主机上具有冗余规则,并在阻塞路由器上也有冗余规则,那么攻击者必须对付三种机制。
此外,如果这台桥头堡主机或阻塞路由器使用规则来拦阻外部访问进入内部网络的话,你可能需要让它触发某种报警,因为你知道有人进入了你的访问路由器。
9.如何才能将所有的恶意的传输拦在外面?
对于重点在于安全而非连接性的防火墙来说,你应当考虑缺省拦阻所有的传输,并且只特别地根据具体情况允许你所需要的服务通过。
如果你将除特定的服务集之外的所有东西都挡在外面,那么你已经使你的任务变得很容易了。你无需再为周围的每样产品和每件服务的各种安全问题担心了,你只需关注特定产品和服务存在的各种安全问题。
在启动一项服务之前,你应当考虑下列问题:*这个产品的协议是人们熟知的公开协议吗?*为这个协议提供服务的应用程序的应用情况是否可供公开检查?*这项服务和产品是否为人们熟知?*使用这项服务会怎样改变防火墙的结构?攻击者会从不同的角度看待这些吗?攻击者能利用这点进入我的内部网络,或者会改变我的DMZ中主机上的东西吗?
在考虑上述问题时,请记住下列忠告:*“不为人所知的安全性根本不安全。许多未公开的协议都被那些坏家伙研究并破解过。*无论营销人员说些什么,不是所有的协议或服务在设计时考虑了安全性。事实上,真正在设计时考虑了安全性的协议或服务数量很少。*甚至在考虑过安全性的情况下,并不是所有的机构都拥有合格的负责安全的人员。在那些没有称职负责安全的人员的机构中,不是所有的机构都愿意请称职的顾问参与工程项目。这样做的结果是那些其它方面还称职的、好心肠的开发者会设计出不安全的系统。*厂商越不愿意告诉你他们系统的真正工作原理,它就越有可能可存安全性(或其它)问题。只有有什么东西需要隐瞒的厂商才有理由隐瞒他们的设计和实施情况。
10.有哪些常见的攻击?应当如何保护系统不受它们的攻击呢?
每个站点与其它站点遭受攻击的类型都略有不同。但仍有一些共同之处。SMTP会话攻击(SMTP Session Hijacking)在这种攻击中,垃圾邮件制造者将一条消息复制成千上万份,并按一个巨大的电子邮件地址清单发送这条消息。由于这些地址清单常常很糟糕,并且为了加快垃圾制造者的操作速度,许多垃圾制造者采取了将他们所有的邮件都发送到一台SMTP服务器上作法,由这台服务器负责实际发送这些邮件。
当然,弹回(bounces)消息、对垃圾制造者的抱怨、咒骂的邮件和坏的PR都涌入了曾被用作中继站的站点。这将着实要让这个站点破费一下了,其中大部分花费被用到支付以后清除这些信息的人员费用上。
《防止邮件滥用系统传输安全性建议》(The Mail Abuse Prevention System Transport Security Initiative)中对这个问题作了详尽的叙述,以及如何对每个寄信人进行配置防止这种攻击。利用应用程序中的错误(bugs)不同版本的web服务器、邮件服务器和其它Internet服务软件都存在各种错误,因此,远程(Internet)用户可以利用错误做从造成对计算机的控制到引起应用程序瘫痪等各种后果。
只运行必要的服务、用最新的补丁程序修补程序以及使用应用过一段时间的产品可以减少遭遇这种风险的可能。利用操作系统中的错误这类攻击一般也是由远程用户发起的。相对于IP网络较新的操作系统更易出现问题,而很成熟的操作系统有充分的时间来发现和清除存在的错误。攻击者经常可以使被攻击的设备不断重新引导、瘫痪、失去与网络通信的能力,或替换计算机上的文件。
因此,尽可能少地运行操作系统服务可以有助于防范对系统的攻击。此外,在操作系统前端安装一个包过滤器也可以大大减少受这类攻击的次数。 当然,选择一个稳定的操作系统也同样会有帮助。在选择操作系统时,不要轻信“好货不便宜”这类说法。自由软件操作系统常常比商用操作系统更强健。
11.我必须满足用户要求的各种要求吗?
对这个问题的答案完全有可能是“不”。对于需要什么,不需要什么,每个站点都有自己的策略,但是,重要的是记住作为一家机构的看门人的主要工作之一是教育。用户需要流视频、实时聊天,并要求能够向请求在内部网络上的活数据库进行交互查询的外部客户提供服务。
这意味着完成任何这类事情都会给机构造成风险,而造成的风险往往比想像中沿着这条路走下去的“价值”的回报更高。多数用户不愿使自己的机构遭受风险。他们只看一看商标,阅读一下广告,他们也愿意做上述那些事。重要的是了解用户真正想干些什么,帮助他们懂得他们可以以更安全的方式实现他们的真正目的。
你不会总受到欢迎,你可以甚至会发现自己收到了难以置信愚蠢的命令,让你做一些诸如“打开所有的口子”这样的事,但不要为此担心。在这种时刻,明智的做法是将你的交换数据全都保存起来,这样当一个十二岁的小孩闯入网络时,你至少能够使你自己远离混乱局面。
12.如何才能通过自己的防火墙运行Web/HTTP?
有三种办法做到这点:
1、如果你使用屏蔽路由器的话,允许“建立起的”连接经过路由器接入到防火墙外。
2、使用支持SOCKS的Web客户机,并在你的桥头堡主机上运行SOCKS。
3、运行桥头堡主机上的某种具有代理功能的Web服务器。一些可供选择的代理服务器包括Squid、Apache、Netscape Proxy和TIS防火墙工具包中的http-gw。这些选件中的多数还可以代理其它协议(如gopher和ftp),并可缓存捕获的对象。后者一般会提高用户的性能,使你能更有效地使用到Internet的连接。基本上所有的Web客户机(Mozilla、Inter-net Explorer、Lynx等等)都具有内置的对代理服务器的支持。
13.在使用防火墙时,怎样使用DNS呢?
一些机构想隐藏DNS名,不让外界知道。许多专家认为隐藏DNS名没有什么价值,但是,如果站点或企业的政策强制要求隐藏域名,它也不失为一种已知可行的办法。你可能必须隐藏域名的另一条理由是你的内部网络上是否有非标准的寻址方案。不要自欺欺人的认为,如果隐藏了你的DNS名,在攻击者打入你的防火墙时,会给攻击者增加困难。有关你的网络的信息可以很容易地从网络层获得。假如你有兴趣证实这点的话,不妨在LAN上“ping”一下子网广播地址,然后再执行“arp -a”。还需要说明的是,隐藏DNS中的域名不能解决从邮件头、新闻文章等中“泄露”主机名的问题。
这种方法是许多方法中的一个,它对于希望向Internet隐瞒自己的主机名的机构很有用。这种办法的成功取决于这样一个事实:即一台机器上的DNS客户机不必与在同一台机器上的DNS服务器对话。换句话说,正是由于在一台机器上有一个DNS服务器,因此,将这部机器的DNS客户机活动重定向到另一台机器上的DNS服务器没有任何不妥(并且经常有好处)。
首先,你在可以与外部世界通信的桥头堡主机上建立DNS服务器。你建立这台服务器使它宣布对你的域名具有访问的权力。事实上,这台服务器所了解的就是你想让外部世界所了解的:你网关的名称和地址、你的通配符MX记录等等。这台服务器就是“公共”服务器。
然后,在内部机器上建立一台DNS服务器。这台服务器也宣布对你的域名具有权力;与公共服务器不同,这台服务器“讲的是真话”。它是你的“正常”的命名服务器,你可以在这台服务器中放入你所有的“正常”DNS名。你再设置这台服务器,使它可以将它不能解决的查询转发到公共服务器(例如,使用Unix机上的/etc/named.boot中的“转发器”行(forwarder line))。
最后,设置你所有的DNS客户机(例如,Unix机上的/etc/resolv.conf文件)使用内部服务器,这些DNS客户机包括公共服务器所在机器上的DNS客户机。这是关键。
询问有关一台内部主机信息的内部客户机向内部服务器提出问题,并得到回答;询问有关一部外部主机信息的内部客户机向内部服务器查询,内部客户机再向公共服务器进行查询,公共服务器再向Internet查询,然后将得到的答案再一步一步传回来。公共服务器上的客户机也以相同的方式工作。但是,一台询问关于一台内部主机信息的外部客户机,只能从公共服务器上得到“限制性”的答案。
这种方式假定在这两台服务器之间有一个包过滤防火墙,这个防火墙允许服务器相互传递DNS,但除此之外,限制其它主机之间的DNS。
这种方式中的另一项有用的技巧是利用你的IN-ADDR.AROA域名中通配符PTR记录。这将引起对任何非公共主机的“地址到名称”(address-to-name)的查找返回像“unknown.YOUR.DOMAIN”这样的信息,而非返回一个错误。这就满足了像ftp.uu.net匿名FTP站点的要求。这类站点要求得到与它们通信的计算机的名字。当与进行DNS交叉检查的站点通信时,这种方法就不灵了。在交叉检查中,主机名要与它的地址匹配,地址也要与主机名匹配。
14.怎样才能穿过防火墙使用FTP?
一般来说,可以通过使用像防火墙工具包中的ftp-gw这类代理服务器,或在有限的端口范围允许接入连接到网络上(利用如“建立的”屏蔽规则这样的规则来限制除上述端口外的接入),使FTP可以穿过防火墙工作。然后,修改FTP客户机,使其将数据端口连接在允许端口范围内的一个端口上。这样做需要能够修改在内部主机上的FTP客户机应用。在某些情况下,如果FTP的下载是你所希望支持的,你不妨考虑宣布FTP为“死协议”(dead protocol),并且让户通过Web下载文件。如果你选择FTP-via-Web方式,用户将不能使用FTP向外传输文件,这可能会造成问题,不过这取决你试图完成什么。
另一个不同的办法是使用FTP "PASV"选项来指示远程FTP服务器允许客户机开始连接。PASV方式假设远程系统上的FTP服务器支持这种操作。(详细说明请参看RFC1579)
另一些站点偏爱建立根据SOCKS库链接的FTP程序的客户机版本。
15.怎样才能穿过防火墙使用telnet?
利用像防火墙工具包中的tn-gw这类应用代理,或简单地配置一台路由器使它利用像“建立的”屏蔽规则等策略允许接出,一般都可以支持使用telnet。应用代理可以以运行在桥头堡主机上的独立代理的形式,或以SOCKS服务器和修改的客户机的形式存在。
16.怎样才能穿过防火墙使用RealAudio?
RealNetworks中含有关于如何使穿过防火墙RealAudio的一些说明。在没有清楚地了解做哪些改动,了解新的改动将带来什么样的风险的情况下,就改动你的防火墙,是很不明智的。
17.如何才能使web服务器作为专用网络上的一个数据库的前端呢?
实现这点的最佳途径是通过特定的协议在web服务器与数据库服务器之间允许很有限的连接。特定的协议只支持你将使用的功能的级别。允许原始SQL或其它任何可为攻击者利用来进行定制提取(extractions)的东西,一般来说不是一个好主意。
假设攻击者能够进入你的web服务器,并以web服务器同样的方式进行查询。难道没有一种机制能提取web服务器不需要的像信用卡信息这样的敏感信息吗?攻击者难道不能发出一次SQL选择,然后提取你整个的专用数据库吗?
同其它所有应用一样,“电子商务”应用从一开始设计时就充分考虑到了安全问题,而不是以后再想起来“增加”安全性。应当从一个攻击者的角度,严格审查你的结构。假设攻击者了解你的结构的每一个细节。现在,再问问自己,想要窃取你的数据、进行非授权的改动或做其它任何你不想让做的事的话,应当做些什么。你可能会发现,不需要增加任何功能,只需做出一些设计和实施上的决策就可大大地增加安全性。
下面是一些如何做到这点的想法:
以一般的原则,从数据库中提取你所需要的数据,使你不用对包含攻击者感兴趣的信息的整个数据库进行查询。对你允许在web服务器与数据库之间传输流实行严格的限制和审计
谢谢观赏
浏览量:2
下载量:0
时间: