为您找到与防火墙技术描述相关的共200个结果:
欢迎大家来到读文网。网络已经成为了人类所构建的最丰富多彩的虚拟世界,网络的迅速发展,给我们的工作和学习生活带来了巨大的改变。我们通过网络获得信息,共享资源。如今, Internet遍布世界任何一个角落,并且欢迎任何一个人加入其中,相互沟通,相互交流。随着网络的延伸,安全问题受到人们越来越多的关注。在网络日益复杂化,多样化的今天,如何保护各类网络和应用的安全,如何保护信息安全,成为了本文探讨的重点。
几乎所有接触网络的人都知道网络中有一些费尽心机闯入他人计算机系统的人,他们利用各种网络和系统的漏洞,非法获得未授权的访问信息。不幸的是如今攻击网络系统和窃取信息已经不需要什么高深的技巧。网络中有大量的攻击工具和攻击文章等资源,可以任意使用和共享。不需要去了解那些攻击程序是如何运行的,只需要简单的执行就可以给网络造成巨大的威胁。甚至部分程序不需要人为的参与,非常智能化的扫描和破坏整个网络。这种情况使得近几年的攻击频率和密度显著增长,给网络安全带来越来越多的安全隐患。
我们可以通过很多网络工具,设备和策略来保护不可信任的网络。其中防火墙是运用非常广泛和效果最好的选择。它可以防御网络中的各种威胁,并且做出及时的响应,将那些危险的连接和攻击行为隔绝在外。从而降低网络的整体风险。
防火墙的基本功能是对网络通信进行筛选屏蔽以防止未授权的访问进出计算机网络,简单的概括就是,对网络进行访问控制。绝大部分的防火墙都是放置在可信任网络(Internal)和不可信任网络(Internet)之间。
A.机密性的风险
B.数据完整性的风险
C.用性的风险
我们讨论的防火墙主要是部署在网络的边界(Network Perimeter),这个概念主要是指一个本地网络的整个边界,表面看起来,似乎边界的定义很简单,但是随着虚拟专用网络()的出现,边界这个概念在通过拓展的网络中变的非常模糊了。在这种情况下,我们需要考虑的不仅仅是来自外部网络和内部网络的威胁,也包含了远程客户端的安全。因为远程客户端的安全将直接影响到整个防御体系的安全。
浏览量:2
下载量:0
时间:
防火墙已经是目前最成熟的网络安全技术,也是市场上最常见的网络安全产品。在网上Google一下“防火墙”,找到2540000个匹配项;Google一下“firewall”,找到44200000个匹配项。可以想象,防火墙资料之多如汪洋大海。面对这么多的信息,想对防火墙说三道四,还真不容易。目前,网络入侵、网络攻击、网络病毒、垃圾邮件、网络陷阱,网页被篡改的新闻太多,以致于公众对“狼来了”已经麻木、没有反应了。众多的防火墙厂商,琳琅满目的防火墙产品,五花八门的防火墙新技术,充斥着网络安全界。现在网络安全产业,不是用户有什么问题,而是厂商有问题。防火墙技术已经成熟,为广大用户所认可,但是防火墙存在的问题被暴露出来,而且还很严重。用户现在是在看防火墙厂商,看他们怎么办。一位信息中心的老总在一次安全大会上叫板说,我已经买了不少防火墙,别跟我来虚的,跟我说点有新意的东西。现在不缺经费,就缺管用的东西。
现在的防火墙技术到底有什么问题?用户到底要什么管用的东西?
1、向下看,别老向上看
业界流行的观点是,高性能防火墙是防火墙未来发展的趋势。高性能防火墙简直就是防火墙硬件结构不用X86。而对于高端防火墙的技术实现,不外乎基于NP技术或ASIC芯片技术。NP在网络底层转发和处理数据,可二次开发,但性能比ASIC差一点。ASIC技术难度大,很难开发,但性能好一点。NP和ASIC还没有争论完,有些聪明的厂商已经找到诀窍,推出NP+ASIC的综合方案,总算找到“最佳”的搭配方案。至于工控机架构,明眼人一眼就看出了,搞NP和ASIC的人联手,就说它性能不好,说多了就让它淘汰。
真实的情况到底是什么?用户到底是要安全还是要速度?安全和速度可是一对矛盾。在发生安全事故的时候,慢比快安全。如发生相撞事件,行人比骑自行车安全,骑自行车比开汽车安全,开汽车比坐飞机要强。不发生安全事故,当然是效率越高越好,能坐火箭当然不坐飞机。从这个意义上,如果是选择路由器,当然是速度和效率;如果是选择安全设备,要是你是安全负责人的话,选慢的,别选快的。安全总是需要时间来处理,速度越快,效率越高,安全事故发生的时候就越没救。哥仑比亚航天飞机下来的时候出了故障,连人影都找不着;飞机失事,人影还有,就是残缺不全;两个人走路相撞,生气归生气,但基本不会有事。
这个道理用户懂,可路由器和交换机已经买了千兆的,怎么办?怎么办,买千兆防火墙!挑不挑NP或ASIC或X86,是你的事。其实,把安全问题放在千兆出口来解决,本身就不是一种理想的选择。能在计算机上解决的,不要交给网络;能在10M口上解决的,不要交给100M;能在100M口上解决的不要交给1000M;如果你还打算把安全问题交给10000M口上去解决,那基本上就是不解决。
2、向内看,别老向外看
来自网络外部的安全问题当然存在。黑客也罢,敌对势力也罢,外部威胁还在。但是现在90%的安全问题在内部,重点在内部,不在外部。病毒发作,往往是内部传染的。扫描,往往是内部的主机干的。要解决内部的问题,现在的防火墙架构形同虚设。一个只防外不管内的防火墙,怎么管内部的安全问题。再说,防火墙也管不着不经过防火墙的流量。
现有的防火墙架构是一种粗颗粒度的访问控制,把整个内部网络当作一个逻辑单元来处理。这种粗颗粒度的访问控制机制不能满足高安全性的要求,不能解决内网的安全问题,因此我们需要细颗粒度的访问控制机制。细颗粒度的访问控制机制未来会很吃香。提高精度,总是好事。
要说向内看,思科的网络访问控制(NAC)和微软的网络访问保护(NAP),都在向内看。最近注意到华为也开始向内看。无论是微软还是思科,尽管有各自的算盘,但在向内看这个问题上,倒是达成一致共识。分布式防火墙,全网安全,网格防火墙(Grid Firewall),这三样也是典型的向内看的安全架构。
无论是思科还是其它的公司,都从去年的SARS事件中得到启发。如果网络的某个主机不安全,在没有有效办法去解决的前提下,最好的办法就是隔离。思科说,我从交换机上将其隔离。分布式防火墙说,我在每一个分布式防火墙上把这个IP和MAC给封了。总之,给隔离了。
向内看肯定是一个趋势。细颗粒度的访问控制到底细到什么程度,目前还没有明确的说法。如果能对每一个用户,每一个IP,每一个MAC地址,都进行访问控制,可以肯定这是目前最细颗粒度的访问控制。这样的网络,是一个强制访问控制网络。听听,这个名词,强制访问控制网络(MACNET),一听就知道是安全的。如果你的网络,每一个用户都有防火墙,每一个IP都有防火墙,每一个MAC地址都有防火墙,你的内网一定相当安全。
3、来实的,别老来虚的
防火墙给人的感觉就是没技术。要不然,怎么一下就好几百个防火墙厂商,而且每家的功能都差不多。如今非要说防火墙还有什么技术的话,对其进行DDoS攻击,看看就知道了。Linux的防火墙家家都会,但Linux上的抗DDoS攻击软件的效果不是很好。解决DDoS攻击是防火墙必须解决的问题。俗话说,养兵千日,用兵一时。敌人要打仗,你有什么办法,对抗是唯一的办法。在治理和封堵不能解决问题的情况下,对抗就是最后的办法。
前不久看到一则消息,一家国内的厂商的抗DDoS攻击的防火墙,被国内一名技术人员研制出一种专门针对该厂商的DDoS攻击软件。该厂商很生气,对软件的作者进行了谴责。我倒觉得这不是什么坏事,该厂商也很争气,马上给出一个改进版本。这就对了,证明了自己的实力。这才叫打硬仗。那位程序人员也是了得,针对一个公司的产品给出相应的攻击工具,先不管做法对不对,对安全产业肯定会有帮助。
别说抗DDoS该怎么做,先给出抗DDoS的防火墙再说。现在网上DDoS的攻击工具多的是,你不用,别人可没说不用,还是测一测比较放心。听说一些安全公司现在都有专门自制的DDoS测试工具,不妨向他们要一个,这也反映一个公司的技术实力。以子之矛攻子之盾,是最好的方法。用别人的矛攻子之盾,也是常见的方法。
边界防火墙的发展趋势,现在看来,可能就是一个支持IPS功能和抗DDoS攻击的包过滤防火墙。就这点功能就够了,别的事情,边界防火墙管不好也管不了。
4、防火墙也搞“体验式营销”
3月25日,金山宣布抛出300万套毒霸的免费下载;3月29日,瑞星发布了下载的“瑞星杀毒软件2005网络版”;江民科技网上下载业务也全面展开,宣布免费杀毒。于是有人询问,什么时候防火墙也能搞搞“免费试用”。
网络游戏在中国近两年得到了巨大的成功。从网络游戏中,杀毒厂商悟出了一个全新的软件发展商业模式:那就是利用网络让用户下载自己的软件,再通过网络游戏运营之道改变软件的生产、营销和消费模式。IDC公布的一份研究报告显然支持了杀毒厂商的意见,由于消费者和投资者需求的变化,历史悠久的一次性销售模式被售后不断提供升级服务支持所取代。IDC在这份研究报告中得出结论:至2010年前,大部分软件供应商的主要财务收入将来源于更新许可证而不是永久性许可证。
尽管几乎所有的国内厂商都用的是Linux的免费防火墙,但还真没有一个向用户免费提供防火墙的厂商。如果一旦有人免费提供防火墙,还真不知道防火墙市场会变成什么样子。不过有一点可以肯定,就向IDC的报告所说的那样,用户还是需要不断提供升级和安全服务,这些服务还是要收费,可能收的一点也不少。
不过,杀毒厂商集体跳向免费服务市场,还是让一些防火墙厂商开始动心。已经有一些厂商的老总开始向业界咨询这类问题。这往往是一个苗头。如果有一天,防火墙厂商也搞免费试用,提供服务来收取费用,对目前市场的影响有多大,只有天知道。
5、规则配置向微软学习
要问用户对防火墙最害怕什么?用户一定说最害怕给防火墙配规则。为什么?因为规则配错了,防火墙的功能就不正确,安全出了问题,一定是用户负责。所以用户说,什么都愿意干,就是不愿意配规则。而规则恰恰是防火墙的灵魂,也是防火墙最大的难点。
为什么说配规则是防火墙的最大难点?因为单独配一条规则很容易,配多条规则要保证其正确性却很难,因为规则与顺序有关。ABC,ACB,BCA,BAC,CAB,CBA的结果,可能相同,也可能不同,在规则很多的情况下,要检查和验证也很难。当然,如果你只配一条规则,这个问题就不存在。
记得一位行业的用户朋友询问,有没有卖安全规则的?如果有卖安全规则的,他就愿意去买规则,这样他就不再担心规则配置错误。到现在为止,确实还没有卖安全规则的。即使一些公司提供安全服务,帮助用户配置一些规则,这同卖规则还是完全不同的两码事。
如果有一天,防火墙厂商把安全规则与厂商的防火墙分离,安全规则可能真的成为一个独立的市场。也许那个时候,上面的朋友才能买到安全规则。这一点倒是很像医和药分离的制度,即看病和卖药是完全分开的。医生不准买药。药店不准开处方。如果是处方药,必须要得到医生的处方,药店才能卖。
买不到规则,那位朋友还不死心,继续询问有没有验证防火墙规则配置是否正确的验证工具。朋友很失望,唠叨说,怎么不做一个这样的工具?用户都会花钱买这样的工具。
在防火墙规则配置的问题上,防火墙厂商应该向微软公司学习。微软公司的一大优点,就是配置和使用简单,而且结果所见即所得。什么时候防火墙厂商能够像微软那样,让防火墙配置和使用简单,那一定是防火墙的发展趋势。
6、防火墙价格向彩电学习
防火墙市场的竞争已经白热化,没有理由不打防火墙的价格战。原来老以为打价格战就一定是低端防火墙。现在看来,高端的防火墙也开始价格战。其实价格战没有什么不好,把水份挤干净,总是让用户受益。说白了,价格战一开始,就不是成本定价,而是市场定价。Cisco推出1万元以下的防火墙。国产厂商要打赢思科,一定得推出低价的高端防火墙,才能站稳脚。只有当低价防火墙市场流行以后,安全市场才能高度国产化。
从目前国外的市场来看,有PC上的免费个人防火墙,有收费的个人防火墙,有开放源码的免费防火墙(Linux),也有收服务费的开源防火墙。我们注意到一些国外的防火墙厂商,在美国的价格要比其在国内的价格低的多得多。这种现象显然不正常。
最近的一些行业投标中,笔者惊喜地发现防火墙价格正在向彩电学习,这是一个好兆头。说明防火墙市场成熟了。总有人担心,价格低了没有好东西,现在的彩电价格低,东西难道没有原来好?市场这只看不见的手,管用的很。价廉物美,市场才成熟。
浏览量:2
下载量:0
时间:
多年来,企业一直依靠状态检测防火墙、入侵检测系统、基于主机的防病毒系统和反垃圾邮件解决方案来保证企业用户和资源的安全。但是情况在迅速改变,那些传统的单点防御安全设备面临新型攻击已难以胜任。为了检测出最新的攻击,安全设备必须提高检测技术。本文着重介绍针对未知的威胁和有害流量的检测与防护,在防火墙中多个前沿的检测技术组合在一起,提供启发式扫描和异常检测,增强防病毒、反垃圾邮件和其它相关的功能。
现今为了成功的保护企业网络,安全防御必须部署在网络的各个层面,并采用更新的检测和防护机制。用于增强现有安全防御的一些新型安全策略包括:
设计较小的安全区域来保护关键系统。
增加基于网络的安全平台,以提供在线(“in-line”)检测和防御。
采用统一威胁管理(Unified Threat Management,简称UTM),提供更好的管理、攻击关联,降低维护成本。
研究有效的安全策略,并培训用户。
浏览量:2
下载量:0
时间:
你已经决心下大力气搞好应用安全吗?毕竟,例如金融交易、信用卡号码、机密资料、用户档案等信息,对于企业来说太重要了。不过这些应用实在太庞大、太复杂了,最困难的就是,这些应用在通过网络防火墙上的端口80(主要用于HTTP)和端口443(用于SSL)长驱直入的攻击面前暴露无遗。这时防火墙可以派上用场,应用防火墙发现及封阻应用攻击所采用的八项技术如下:
如今,几乎所有的安全应用都使用HTTPS确保通信的保密性。然而,SSL数据流采用了端到端加密,因而对被动探测器如入侵检测系统(IDS)产品来说是不透明的。为了阻止恶意流量,应用防火墙必须终止SSL,对数据流进行解码,以便检查明文格式的流量。这是保护应用流量的最起码要求。如果你的安全策略不允许敏感信息在未加密的前提下通过网络传输,你就需要在流量发送到Web服务器之前重新进行加密的解决方案。
浏览量:2
下载量:0
时间:
随着计算机技术应用的普及,各个组织机构的运行越来越依赖和离不开计算机,各种业务的运行架构于现代化的网络环境中。企业计算机系统作为信息化程度较高、计算机网络应用情况比较先进的一个特殊系统,其业务也同样地越来越依赖于计算机。保证业务系统和工作的正常、可靠和安全地进行是信息系统工作的一个重要话题。但是由于计算机系统的安全威胁,给组织机构带来了重大的经济损失,这种损失可分为直接损失和间接损失:直接损失是由此而带来的经济损失,间接损失是由于安全而导致工作效率降低、机密情报数据泄露、系统不正常、修复系统而导致工作无法进行等。间接损失往往是很难以数字来衡量的。在所有计算机安全威胁中,外部入侵和非法访问是最为严重的事。
一提到网络安全人们首先想到的是防火墙。防火墙系统针对的是来自系统外部的攻击,一旦外部入侵者进入了系统,他们便不受任何阻挡。认证手段也与此类似,一旦入侵者骗过了认证系统,便成为了内部人员。
防火墙的基本类型有:包过滤型、代理服务型和状态包过滤型复合型。
(一)包过滤型防火墙
包过滤(Packet Filter)通常安装在路由器上,并且大多数商用路由器都提供了包过滤的功能。包过滤是一种保安机制,它控制哪些数据包可以进出网络而哪些数据包应被网络所拒绝。
网络中的应用虽然很多,但其最终的传输单位都是以数据包的形式出现,这种做法主要是因为网络要为多个系统提供共享服务。例如,文件传输时,必须将文件分割为小的数据包,每个数据包单独传输。每个数据包中除了包含所要传输的数据(内容),还包括源地址、目标地址等。
数据包是通过互联网络中的路由器,从源网络到达目的网络的。路由器接收到的数据包就知道了该包要去往何处,然后路由器查询自身的路由表,若有去往目的的路由,则将该包发送到下一个路由器或直接发往下一个网段;否则,将该包丢掉。与路由器不同的是,包过滤防火墙,除了判断是否有到达目的网段的路由之外,还要根据一组包过滤规则决定是否将包转发出去。
1、工作机制
包过滤技术可以允许或禁止某些包在网络上传递,它依据的是以下的判断:
对包的目的地址作出判断
对包的源地址作出判断
对包的传送协议(端口号)作出判断
一般地,在进行包过滤判断时不关心包的具体内容。包过滤只能让我们进行类似以下情况的操作,比如:不让任何工作站从外部网用Telnet登录、允许任何工作站使用SMTP往内部网发电子邮件。
但包过滤不能允许我们进行如下的操作,如:允许用户使用FTP,同时还限制用户只可读取文件不可写入文件、允许某个用户使用Telnet登录而不允许其他用户进行这种操作。
包过滤系统处于网络的IP层和TCP层,而不是应用层,所以它无法在应用层的具体操作进行任何过滤。以FTP为例,FTP文件传输协议应用中包含许多具体的操作,如读取操作、写入操作、删除操作等。再有,包过滤系统不能识别数据包中的用户信息。
2、性能特点
因为包过滤防火墙工作在IP和TCP层,所以处理包的速度要比代理服务型防火墙快
提供透明的服务,用户不用改变客户端程序
因为只涉及到TCP层,所以与代理服务型防火墙相比,它提供的安全级别很低
不支持用户认证,包中只有来自哪台机器的信息却不包含来自哪个用户的信息
不提供日志功能
包过滤防火墙的典型代表是早期的CISCO PIX防火墙。
(二)代理服务型防火墙
代理服务(Proxy Service)系统一般安装并运行在双宿主机上。双宿主机是一个被取消路由功能的主机,与双宿主机相连的外部网络与内部网络之间在网络层是被断开的。这样做的目的是使外部网络无法了解内部网络的拓扑。这与包过滤防火墙明显不同,就逻辑拓扑而言,代理服务型防火墙要比包过滤型更安全。
由于内部网络和外部网络在网络层是断开的,所以要实现内外网络之间的应用通讯就必须在网络层之上。代理系统是工作在应用层,代理系统是客户机和真实服务器之间的中介,代理系统完全控制客户机和真实服务器之间的流量,并对流量情况加以记录。目前,代理服务型防火墙产品一般还都包括有包过滤功能。
1、工作机制
代理服务型防火墙按如下标准步骤对接收的数据包进行处理:
接收数据包
检查源地址和目标地址
检查请求类型
调用相应的程序
对请求进行处理
下面,我们以一个外部网络的用户通过Telnet访问内部网络中的主机为例,详细介绍这些标准步骤。
接收数据包
外部网络的路由器将外部网络主机对内部网络资源的请求路由至防火墙的外部网卡。同样,内部网络中的主机通过内部网络中的路由选择信息将对外部网络资源的请求路由至防火墙的内部网卡。
在本例中,当外部网络用户通过Telnet请求对内部网络中的主机进行访问时,路由信息将该请求传送至防火墙的外部网卡上。
检查源地址和目标地址
一旦防火墙接收到数据包,它必须确定如何处理该数据包。首先,防火墙检查数据包中的源地址并确定该包是由哪块网卡接收的。这样做是为了确定数据包是否有IP地址欺骗的行为,例如,如果发现从外部网卡接收的一个数据包中的源地址属于内部网络的地址范围,则表明这是地址欺骗行为,防火墙将拒绝继续对该包进行处理并将此事件记录到日志中。
接下来,防火墙对包中的目标地址进行检查并确定是否需要对该包做进一步处理。这一点与包过滤类似,即检查是否允许对目标地址进行访问。
本例中,Telnet的目标地址是内部网络的某台主机,防火墙是通过外部网卡收到该Telnet请求的,且发现请求包中没有地址欺骗行为,防火墙接收了该数据包。
检查请求类型
防火墙检查数据包的内容(请求的服务端口号)并对照防火墙中已配置好的各种规则,以便确定是否向数据包提供相应的服务。如果防火墙对所请求的端口号不提供服务,则将这一企图作为潜在的威胁记录下来并拒绝该请求。
本例中,数据包的内容表明请求服务是Telnet,即请求端口号为23且防火墙的配置规则是支持这类请求的服务。
调用相应的程序
由于防火墙对所请求的服务提供支持,所以防火墙利用其他配置信息将该服务请求传送至相应的代理服务。
本例中,防火墙将Telnet请求传送给Telnet代理进行处理。
对请求进行处理
现在代理服务以目的主机的身份并采用与应用请求相同的协议对请求进行响应。应用请求方认为它是与目标主机进行对话。
然后,代理服务通过另一块网卡以自己真实的身份代替客户方,向目标主机发送应用请求。如果应用请求成功,则表明客户端至目标主机之间的应用连接成功地建立了。注意,与包过滤防火墙不同,代理服务型防火墙是通过两次连接实现客户机至目标主机之间的连接的,即客户机至防火墙、防火墙至目标主机。
另外,通过对防火墙进行适当的配置,可以在防火墙替客户机向目标主机发送应用请求之前对客户方进行身份验证。验证方法包括SecureID、S/Key、RADIUS等。
本例中,客户方现与防火墙建立Telnet连接,然后防火墙立即向客户方发出身份验证要求。若验证通过,则防火墙替客户方向目标主机发送应用请求;否则,防火墙断开它与客户方已建立的连接。
2、性能特点
提供的安全级别高于包过滤型防火墙
代理服务型防火墙可以配置成唯一的可被外部看见的主机以保护内部主机免受外部攻击
可以强制执行用户认证
代理工作在客户机和真实服务器之间,完全控制会话,所以能提供较详细的审计日志
代理的速度比包过滤慢
代理服务型防火墙中的佼佼者AXENT Raptor完全是基于代理技术的软件防火墙。
随着因特网络技术的发展,不论在速度上还是在安全上都要求防火墙技术也要更新发展,基于上下文的动态包过滤防火墙就是对传统的包过滤型和代理服务型防火墙进行了技术更新。
浏览量:2
下载量:0
时间:
防火墙技术是网络安全领域应用较普遍的一种技术,下面就由读文网小编为大家提供的论文。
1 概述
防火墙是网络安全的第一道门户,可以实现内部网(信任网络)和外部不可信任网络之间,或者内部不同网络安全区域之间的隔离与访问控制,保证网络系统及网络服务的可用性。狭义的防火墙是指安装了防火墙的软件或路由器系统,而广义的防火墙还包括整个网络的安全策略和安全行为。防火墙一词来自建筑物中的同名机构,从字面意思上说,它可以防止火灾从建筑物的一部分蔓延到其他部分。Internet防火墙也要起到同样的作用,防止Internet上的不安全因素蔓延到自己企业或组织的内部网。
2 防火墙功能
本质上来讲,防火墙被认为是两个网络间的隔断,只允许所选定的一些形式的通信通过。防火墙另外一个重要特征是它自身抵抗攻击的能力:防火墙自身应当不易被攻入,因为攻入防火墙就给攻击者进入内部网一个立足点。从安全需求来看,理想的防火墙应具备以下功能:
1)能够分析进出网络的数据。
2)能够通过识别、认证和授权对进出网络的行为进行访问控制。
3)能够封堵安全策略禁止的业务。
4)能够审计跟踪通过的信息内容和活动。
5)能够对网络入侵行为进行检测和报警。
6)能够对需要保密的信息进行授权的加密和解密。
7)能够对接收到的数据进行完整性校验。
通过选择优秀的防火墙产品,制定合理的安全策略,内部网络可以在很大程度上避免受到攻击。但是需要指出的是,当前流行的许多错误概念和观点经常误导用户。那就是过分夸大某些产品的功能,认为所有的网络安全问题可以通过简单地配置防火墙来达到。虽然当单位将其网络互联时,防火墙是网络安全的重要一环,但并非全部。许多危险是在防火墙能力范围之外的。
3 防火墙的结构
3.1 包过滤性防火墙
说明:对进出内部网络的所有信息进行分析,并按照一定的安全策略对进出内部网络的信息进行限制。
优点:处理速度快、费用低、对用户透明。
缺点:维护比较困难,只能阻止少部分IP欺骗,不支持有效地用户认证,日志功能有限。过滤规则增加会大大降低吞吐量,无法对信息提供全面控制。
3.2 双宿网关防火墙
说明:由一台至少装有两块网卡的堡垒主机作为防火墙,位于内外网络之间,分别与内外网络相离,实现物理上的隔开。服务方式,一是用户直接登录到双宿主机上,二是在双宿主机运行代理服务器。
优点:安全性比屏蔽路由器高。
缺点:入侵者一旦得到双宿主机的访问权,内部网络就会被入侵,因此需要具有强大的身份认证系统,才能阻挡来自外部的不可信网络的非法入侵。
3.3 屏蔽主机防火墙
说明:强迫所有的外部主机与一个堡垒主机相连接,不让他们直接与内部主机相连接。它是由包过滤路由器和堡垒主机组成的。
优点:实现了网络层安全和应用层安全,因此安全等级比屏蔽路由器要高。
缺点:堡垒主机可能被绕过,堡垒主机与其他内部主机之间没有任何保护网络安全的物质存在,一旦被攻破,内网就将完全暴露。
3.4 屏蔽子网防火墙
说明:用了两个屏蔽路由器和一个堡垒主机,也称为“单DMZ”防火墙结构。
优点:在定义了“非军事区(DMZ)”网络后,它支持网络层和应用层安全功能,这也是最安全的防火墙系统。
缺点:通常情况下的屏蔽子网防火墙比较小,处于internet
和内部网络之间。一般情况下,将其配置成使用internet和内部网络系统对其访问会受限制的系统,例如:堡垒主机、信息服务器、modem组以及其他公用服务器。
3.5 其他防火墙结构
在实际应用中,经常在前四种基本结构的基础上进行组合。
1)合并“非军事区”的外部路由器和堡垒主机结构(也是单DMZ结构):由双穴堡垒主机执行原来外部路由器的功能,但会缺乏专用路由器的灵活性和性能,出了需注意保护堡垒主机外,与屏蔽子网防火墙结构相比没有明显弱点。
2)合并内部路由器和堡垒主机结构(也是单DMZ):这种结构并不提倡,因为一旦堡垒主机被入侵,内部网络没有安全保护。
3)合并DMZ的内部路由器和外部路由器结构:只有当拥有功能强大的路由器的时候,才考虑合并内、外路由器。这种结构与屏蔽主机结构一样,路由器容易受到伤害。
4)两个堡垒主机和两个非军事结构:也就是使用两台双穴主机,设立两个非军事区,从而将网络分成内网、外网、内DMZ、外DMZ四个部分。通常将不是很机密的服务器放在内DMZ网络上,有机密信息的敏感主机放在内部网络中。另外值得一提的是,在这种结构中,可以在外部DMZ放置一些公共信息服务主机(如FTP、WWW),而堡垒主机对这些主机不予信任,这类主机称为“牺牲主机”。
浏览量:2
下载量:0
时间:
今天读文网小编要跟大家介绍下防火墙技术的研究以及发展,下面就是读文网小编为大家整理到的资料,请大家认真看看!
防火墙的管理及配置相当复杂,要想成功地维护防火墙,防火墙管理员必须对网络安全的手段及其与系统配置的关系有相当深刻的了解。防火墙的安全策略无法进行集中管理。一般来说,由多个系统组成的防火墙,管理上有所疏忽也是在所难免的。
对此可作如下改进:管理上的安全问题,关键在于提高管理员的素质,积极学习安全管理及网络安全知识,熟练掌握防火墙的系统配置关系,多多实践,积累足够的经验,多个系统防火墙的管理一定要有高度认真、负责到底的精神。总而言之,提高管理者的素质至关重要。
浏览量:3
下载量:0
时间:
最新的防火墙技术是基于状态检查的,提供“动态包过滤”的功能。基于状态检查的动态包过滤是一种新型的防火墙技术,就象代理防火墙和包过滤路由器的交叉产物。下面就由读文网小编跟大家谈谈防火墙技术的知识吧。
防火墙技术的发展离不开社会需求的变化,着眼未来,防火墙技术有的新需求如下:远程办公的增长:企事业在家办公,这就要求防火墙既能抵抗外部攻击,又能允许合法的远程访问,做到更细粒度的访问控制。现在一些厂商推出的(虚拟专用网)技术就是很好的解决方式。只有以指定方式加密的数据包才能通过防火墙,这样可以确保信息的保密性,又能成为识别入侵行为的手段。
浏览量:2
下载量:0
时间:
网络的快速发展给人们带来了极大的方便,不出家门便可坐知天下事、完成相应工作。同时因特网也面临着空前的威胁,各类网络违法案件逐年剧增,尤其以电子邮件、特洛伊木马、文件共享等为传播途径的混合型病毒愈演愈烈。目前新一代的计算机病毒将具有更多智能化的特征。因此,如何使用有效可行的方法使网络危险降到人们可接受的范围之内越来越受到人们的关注。防火墙技术作为内、外网之间的屏障,可以有效的防御网络攻击。因此探索防火墙技术及如何选用合适的防火墙是非常必要的。下面就由读文网小编给大家说说防火墙的技术知识。
防火墙是设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况, 以此来实现网络的安全保护。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动, 保证了内部网络的安全。
浏览量:2
下载量:0
时间:
Internet防火墙是这样的系统(或一组系统),它能够使机构内部网络的安全性大大增强。要使一个防火墙有效,所有的Internet信息都必须经过这一道防火墙,接受防火墙的安全检查。只有授权的数据才能够通过防火墙,并且防火墙本身也必须能够免于渗透。但是,防火墙系统一旦发生被攻击者现象时,就不能为我们提供任何的保护了。――我们应当特别注意的是,Internet不只是由堡垒主机和路由器以及其他设备共同形成的防火墙,它本身还是一个重要的安全方式。下面就由读文网小编跟大家说说现阶段的防火墙技术知识有哪些。
如果受到保护的网络连接到了互联网上,用户访问互联网的时候,就必须用合法的IP地址。然而,合法的互联网地址数量是有限的,并且受到保护的网络一般也都有独到的网络地址方案。网络地址转换器是将一个合法的网络地址集团安装到防火墙上面。如果内网的用户想要访问互联网,防火墙就会自动从准备好的地址集团中给用户挑选一个还没有分配的地址,这个用户可以利用这一地址传递信息。另外,一些内网的服务器,如Web,转换器可以给它分配一个固定的地址来使用。外网的用户也可以在经过了防火墙验证之后访问到内网的信息。此类技术可以让主机多、IP地址少的问题得到缓解,在外网也无法获取内网的IP地址,更加安全可靠。
浏览量:2
下载量:0
时间:
现在的病毒软件越来越多,我们也经常会用到病毒防火墙来防止自己电脑中毒,下面是读文网小编整理的一些关于病毒防火墙的主流技术的相关资料,供你参考。
由于包过滤技术无法提供完善的数据保护措施,而且一些特殊的报文攻击仅仅使用过滤的方法并不能消除危害(如SYN攻击、ICMP洪水等),因此人们需要一种更全面的防火墙保护技术,在这样的需求背景下,采用“应用代理”(Application Proxy)技术的防火墙诞生了。我们的读者还记得“代理”的概念吗?代理服务器作为一个为用户保密或者突破访问限制的数据转发通道,在网络上应用广泛。我们都知道,一个完整的代理设备包含一个服务端和客户端,服务端接收来自用户的请求,调用自身的客户端模拟一个基于用户请求的连接到目标服务器,再把目标服务器返回的数据转发给用户,完成一次代理工作过程。那么,如果在一台代理设备的服务端和客户端之间连接一个过滤措施呢?这样的思想便造就了“应用代理”防火墙,这种防火墙实际上就是一台小型的带有数据检测过滤功能的透明代理服务器(Transparent Proxy),但是它并不是单纯的在一个代理设备中嵌入包过滤技术,而是一种被称为“应用协议分析”(Application Protocol Analysis)的新技术。
“应用协议分析”技术工作在OSI模型的最高层——应用层上,在这一层里能接触到的所有数据都是最终形式,也就是说,防火墙“看到”的数据和我们看到的是一样的,而不是一个个带着地址端口协议等原始内容的数据包,因而它可以实现更高级的数据检测过程。整个代理防火墙把自身映射为一条透明线路,在用户方面和外界线路看来,它们之间的连接并没有任何阻碍,但是这个连接的数据收发实际上是经过了代理防火墙转向的,当外界数据进入代理防火墙的客户端时,“应用协议分析”模块便根据应用层协议处理这个数据,通过预置的处理规则(没错,又是规则,防火墙离不开规则)查询这个数据是否带有危害,由于这一层面对的已经不再是组合有限的报文协议,甚至可以识别类似于“GET /sql.asp?id=1 and 1”的数据内容,所以防火墙不仅能根据数据层提供的信息判断数据,更能像管理员分析服务器日志那样“看”内容辨危害。而且由于工作在应用层,防火墙还可以实现双向限制,在过滤外部网络有害数据的同时也监控着内部网络的信息,管理员可以配置防火墙实现一个身份验证和连接时限的功能,进一步防止内部网络信息泄漏的隐患。最后,由于代理防火墙采取是代理机制进行工作,内外部网络之间的通信都需先经过代理服务器审核,通过后再由代理服务器连接,根本没有给分隔在内外部网络两边的计算机直接会话的机会,可以避免入侵者使用“数据驱动”攻击方式(一种能通过包过滤技术防火墙规则的数据报文,但是当它进入计算机处理后,却变成能够修改系统设置和用户数据的恶意代码)渗透内部网络,可以说,“应用代理”是比包过滤技术更完善的防火墙技术。
但是,似乎任何东西都不可能逃避“墨菲定律”的规则,代理型防火墙的结构特征偏偏正是它的最大缺点,由于它是基于代理技术的,通过防火墙的每个连接都必须建立在为之创建的代理程序进程上,而代理进程自身是要消耗一定时间的,更何况代理进程里还有一套复杂的协议分析机制在同时工作,于是数据在通过代理防火墙时就不可避免的发生数据迟滞现象,换个形象的说法,每个数据连接在经过代理防火墙时都会先被请进保安室喝杯茶搜搜身再继续赶路,而保安的工作速度并不能很快。代理防火墙是以牺牲速度为代价换取了比包过滤防火墙更高的安全性能,在网络吞吐量不是很大的情况下,也许用户不会察觉到什么,然而到了数据交换频繁的时刻,代理防火墙就成了整个网络的瓶颈,而且一旦防火墙的硬件配置支撑不住高强度的数据流量而发生罢工,整个网络可能就会因此瘫痪了。所以,代理防火墙的普及范围还远远不及包过滤型防火墙,而在软件防火墙方面更是几乎没见过类似产品了——单机并不具备代理技术所需的条件,所以就目前整个庞大的软件防火墙市场来说,代理防火墙很难有立足之地。
看过文章“病毒防火墙的主流技术”
浏览量:3
下载量:0
时间:
现在互联网的重要性越来越大,很多人也对一些技术很感兴趣,那么你知道DNS隧道技术怎么绕防火墙吗?下面是读文网小编整理的一些关于DNS隧道技术怎么绕防火墙的相关资料,供你参考。
环境:客户机(Kali)+DNS服务器(window2003)+目标机(redhat7)
DNS服务器:192.168.10.132
1、新建一个名字为”bloodzero.com”的正向解析域
2、新建一个主机:IP为攻击者kali的IP
3、新建一个委托
此时我们的DNS服务器就配置好了!
Kali:攻击者&&客户端 192.168.10.135
1、攻击端配置:
修改dns2tcpd配置文件:
resources的IP为目标机的IP
启动dns隧道的服务端
2、客户端配置
删除ssh连接的known_hosts文件
修改DNS解析文件:vim /etc/resolv.conf
配置dns隧道客户端程序
在kali2.0中,没有配置文件,需要自己写配置文件
vim /etc/dns2tcpc.conf
测试是否可以提供服务
这个时候我们就已经配置成功了!
成功效果
0x03 分析结论
这个时候的流量走向:
本文中介绍的是DNS隧道服务器,和DNS隧道客户端是同一台机器,并不能说明问题,当DNS隧道服务器存在于防火墙之后,这个时候我们就可以利用此种技术来绕过大部分的防火墙。并且可绕过不开端口,隐蔽性好等;
这里我使用另外一台客户机去连接目标机时,服务端监听的数据如下:
目标机:192.168.10.133
DNS隧道服务端:192.168.10.135
DNS隧道客户端:192.168.10.134
DNS服务器:192.168.10.132
客户端监听数据如下:
发现能够监听到的ssh数据包是DNS隧道服务端与目标机之间的通信;
而客户端与目标机之间的通信是DNS数据;
这就是简单的配置DNS隧道。
看过文章“DNS隧道技术怎么绕防火墙”
浏览量:2
下载量:0
时间:
防火墙 主要设备性能指标 符合工业标准的状态检测防火墙,策略配置简单、方便。 下面读文网小编就为大家介绍下防火墙的技术指标,希望对大家有帮助哦!
工作模式:网络地址转换,透明模式,路由模式。 用户认证:内建用户认证数据库,支持RADIUS认证数据库,支持LDAP认证数据库。 服务:支持标准服务(例如:FTP、NetMeeting、GRE),用户自定义服务、服务组。 时间表:根据小时、日、周和月建立一次性或循环时间表,防火墙根据不同的时间表定义安全策略。 防御功能:全面的攻击防御功能,包括DoS、端口扫描、缓冲区溢出、暴力攻击、特洛伊木马等攻击。 病毒防护:基于防火墙访问控制策略的病毒扫描。 地址翻译:提供网络地址翻译(NAT)和端口地址翻译(PAT),实现IP地址的隐藏,节省IP地址资源。 IP/MAC绑定:阻止来自IP地址欺骗的攻击。 入侵检测 网络入侵检测系统性能要求 基本要求
1.★网络入侵检测产品要求取得中华人民共和国公安部的《计算机信息系统安全专用产品销售许可证》;国家信息安全测评认证中心颁发的《国家信息安全认证产品型号证书》;国家保密局涉秘信息系统产品检测证书。
2.★具有良好的处理性能,满足百兆网络监控的要求,具体包括: a)每秒并发TCP会话数超过10万 b)每秒最大并发TCP会话数超过20万 c)最大性能处理能力达到200MB
3.★最小支持2个百兆监听口,适用百兆环境,1U硬件 4.★产品要求为国内开发,所有的图形界面与文档资料要求均为中文,具备自主知识产权。
5.★厂商须有对系统漏洞进行发现、验证、以及提供应急服务的技术能力。
6.★要求入侵检测系统探针为机架式硬件设备,系统硬件为全内置封闭式结构,稳定可靠,无需USB盘、光盘等存储设备即可运行。 检测能力 1.实时监测的对象包括不同的操作系统平台、应用系统、局域网,支持高速百兆交换网络的监控。
2.★产品的知识库全面,至少能对1800多种以上的攻击行为进行检测;升级过程不停止监测过程;规则库与CVE兼容。 3.★产品应具有完善的协议识别能力, 支持深度协议识别,能够监测基于Smart Tunnel方式的信息,请描述原理。
4.能够对http,ftp,smtp,pop,telnet等常用协议进行连接回放。
5.★协议异常检测能力,深入分析各种协议,对违反 RFC 规定的通讯协议进行报警,具有发现未知攻击的能力。 6.能够针对各种协议有效进行IP碎片重组与TCP流汇聚能力,能够检测到黑客采用任意分片方式进行的攻击,防止利用碎片穿透技术突破防火墙和欺骗入侵检测系统,让碎片欺骗技术无所遁形。
7.★无需使用外部的工具(如扫描器)就能够准确检测攻击行为成功与失败。
8.★对使用非缺省端口的应用服务或木马能成功检测。
9.基于内容的关键字过滤,对于违背安全规则的会话的记录、拦截、中断功能,防止网络滥用,对URL的分类记录阻断功能。 10.支持安全策略的自定义,可以根据时间、源或目的IP等信息监控或忽略特定的攻击行为。 11.支持用户自定义的检测功能,可以根据IP地址、时间段对特定访问及访问的内容进行记录和报警。 管理能力 1.支持多个分布式的探测引擎,对多个网段同时进行入侵检测与响应,实现入侵检测系统“统一管理、集中监控、多级运行”的功能。 2.★控制台支持任意层次的级联部署,上级控制台可以将最新的最新升级补丁,规则模板文件,探测器配置文件等统一发送到下级控制台,保持整个系统的完整同一性。
3.★支持控制台与探测器的双向连接。
4.网络探测引擎的监测端口应能配置为无IP地址,在网络中实现自身隐藏。
5.可对策略下发、策略对应处理动作的修改。
6.管理员可以为不同用户设置相关权限,保证管理的灵活性
。 7.管理员能够随时利用提供的正规表达式对最新出现的攻击方式进行特征定义。
8.★会话记录及回放能够对指定来源或保护对象的TCP会话进行跟踪和回放,对于一些可能存在的危险行为可以实施跟踪观察 ,方便管理员确定攻击者意图和攻击途径。
9.★能够提供多种响应方式。能够实时的切断基于TCP协议的攻击行为,支持与多种防火墙联动,如 Checkpoint,Netscreen,黑洞,天网,天融信,东方龙马,海信,中网等等,同时应支持通用telnet命令行接口管理的其他防火墙。
10.★能支持ESP(Enterprise Security Planning)开放式安全管理平台协议互通。 日志报告和升级
1.★支持日志缓存,在探测引擎的网络完全断开的情况下,探测引擎仍然会将检测到的攻击行为在探测器本地保存,等到网络恢复正常自动的同步到控制台或日志数据库。不会出现网络断开而丢失告警信息的情况。
2.★日志合并,保证检测到相同类型的攻击的时候控制台报警信息不能造成刷屏显示。
3.报表系统可以自动生成各种形式的攻击统计报表,形式包括日报表,月报表,年报表等,通过来源分析,目标分析,类别分析等多种分析方式,以直观、清晰的方式从总体上分析网络上发生的各种事件,为管理人员提供方便。 4.对发现的攻击行为应该记录到典型数据库中例如SQL Server等,并提供基于时间、事件、风险级别等组合的分析功能,并且可以产生各种图片、文字的报告形式,报告必须自动支持输出到通用的HTML、PDF、TXT、WORD等格式文件。
5.★可以执行任意粒度的日志归并动作,完全避免类似Stick的Anti NIDS。
6.自定义报表:可自由选择报表模板,可任意定义条件;可动态调整生成报告的时间范围。 7.支持全自动备份清除日志数据库。
8.考虑到当前的IDS的实际情况,控制台应该具有方便的日志过滤功能。
9.★升级功能:支持所有部件包括引擎、控制台、规则库在内的实时在线升级和离线手工升级。升级包通过中央控制台升级完毕后所有探测器应自动同步升级。引擎支持串口,控制台两种升级路径。
浏览量:2
下载量:0
时间:
下一代防火墙的作用极大!防护这外来电脑入侵和病毒入侵!下面由读文网小编给你做出详细的下一代防火墙的应用及技术介绍!希望对你有帮助!
梭子鱼下一代防火墙可以通过中央平台统一管理,无论企业信息管理人员身处何地——企业总部大楼、数据中心甚至远程在家或者分支机构都可以对整个企业的网络系统进行管理。信息管理人员通过梭子鱼控制中心的界面轻松制定安全、内容和流量管理政策。集中化的安全管理和内容政策有以下优势:
1、 整个企业贯彻统一的安全态势和政策执行
2、 多重网关的即时报告
3、 整个网络的配置和政策改变的综合历史和回顾
4、 对反垃圾邮件、病毒防护、安全网关和网络接入管理更新的统一视图
除了强大的防火墙和技术,梭子鱼NG防火墙集成了一系列的下一代防火墙技术,包括了7层应用防护,入侵防护,安全网关,病毒防护,反垃圾邮件和网络接入控制等。产品拥有多种硬件型号和相应软件平台,适用于从小型分支机构到大型企业总部或数据中心不等。
看过“下一代防火墙的应用及技术”人还看了:
浏览量:2
下载量:0
时间:
在共享局域网联机的时候有需要关闭防火墙,否则会引起冲突,那么Win10系统怎样关闭防火墙呢?今天读文网小编与大家分享下Win10系统关闭防火墙的具体操作步骤,有需要的朋友不妨了解下。
第一步:打开“控制面板”界面,找到 Windows防火墙选项打开。
第二步:单击“启用或关闭windows 防火墙”选项。
第三步:选择“关闭windows 防火墙(不推荐)”。
浏览量:2
下载量:0
时间:
对于win7用户来说,一些应用程序有时会自动连接网络,来获取软件窗口中的广告或弹窗,而虽然用户可通过第三方辅助工具来限制这些程序联网,但是对于不经常使用第三方辅助软件的用户来说,那么你知道win7系统怎么利用防火墙限制指定程序连接网络吗?下面是读文网小编整理的一些关于win7系统利用防火墙限制指定程序连接网络的相关资料,供你参考。
1、在开始菜单下,打开控制面板,选择系统与安全,然后点击“Windows 防火墙”。
2、点击左边的高级设置,会出现高级安全windows防火墙设置。
3、点击左边的出站规则,新建一个出站规则。
4、在新建规则下面,选择程序,再选择该程序的安装路径。
5、点击阻止连接,并将下面的3个选框全部勾上。
6、在名称和描述里面,尽量写的稍微详细点,方面后期查看,再点击下一步,直到完成。
win7系统利用防火墙限制指定程序连接网络的相关
浏览量:2
下载量:0
时间:
win7自带防火墙影响一些程序的正常运行,那么win7自带防火墙如何关闭呢?读文网小编分享了关闭win7自带防火墙的方法,希望对大家有所帮助。
步骤一:首先,点击开始菜单,再点击“控制面板”,如图所示
步骤二:在控制面板中找到“Windows 防火墙”,如图所示
步骤三:然后在防火墙设置中,点击左侧的“打开或关闭 Windows 防火墙”,如图所示
步骤四:接下来,在专用网络设置和公用网络设置里,分别把防火墙关闭,最后点击“确定”,如图所示
Win7简介
win7 即 Windows 7 。
Windows 7 同时也发布了服务器版本——Windows Server 2008 R2。
2011年2月23日凌晨,微软面向大众用户正式发布了Windows 7升级补丁——Windows 7 SP1(Build7601.17514.101119),另外还包括Windows Server 2008 R2 SP1升级补丁。
Win7特点
Windows 7 的设计主要围绕五个重点——针对笔记本电脑的特有设计;基于应用服务的设计;用户的个性化;视听娱乐的优化;用户易用性的新引擎。 跳跃列表,系统故障快速修复等,这些新功能令Windows 7成为最易用的Windows。
易用:Windows 7简化了许多设计,如快速最大化,窗口半屏显示,跳转列表(Jump List),系统故障快速修复等。
简单:Windows 7将会让搜索和使用信息更加简单,包括本地、网络和互联网搜索功能,直观的用户体验将更加高级,还会整合自动化应用程序提交和交叉程序数据透明性。
效率:Windows 7中,系统集成的搜索功能非常的强大,只要用户打开开始菜单并开始输入搜索内容,无论要查找应用程序、文本文档等,搜索功能都能自动运行,给用户的操作带来极大的便利。
看过“win7自带防火墙如何关闭”
浏览量:2
下载量:0
时间:
防火墙,有利也有弊,各种功能各种阻止,使用远程桌面连接就受到防火墙的阻止了,那么Win8系统防火墙阻止远程桌面连接怎么办呢?接下来大家跟着读文网小编一起来了解一下Win8系统防火墙阻止远程桌面连接的解决方法吧。
1、打开Win8系统的控制面板,接着就依次打开下面的几个选项:系统、安全、远程桌面、高级设置等;
2、接着对设置进行相关的更改,这时候就会弹出来一个新的界面,选中里面的选项-“远程桌面”,将其直接打上勾勾;
3、接着找到里面其他自己需要的选项,比如说括远程的,将其前面全部都打上勾勾;
4、上面的都勾选好之后,就直接点击确定按键对其进行保存,最后直接退出就可以了,这样就能够有效解决防火墙阻止相关的问题了,就可以正常连接了。
防火墙阻止各种应用和程序也是比较正常的,这是windows系统的一种安全机制,除了直接关闭防火墙功能之外,用户还可以自定义对防火墙功能允许指定程序和功能。
看过“Win8系统防火墙阻止远程桌面连接怎么办”
浏览量:2
下载量:0
时间: