本文目录一览:
防火墙默认应添加哪些服务及策略。
从防火墙产品和技术发展来看,分为三种类型:基于路由器的包过滤防火墙、基于通用操作系统的防火墙、基于专用安全操作系统的防火墙。
LAN接口
列出支持的 LAN接口类型:防火墙所能保护的网络类型,如以太网、快速以太网、千兆以太网、ATM、令牌环及FDDI等。
支持的最大 LAN接口数:指防火墙所支持的局域网络接口数目,也是其能够保护的不同内网数目。
服务器平台:防火墙所运行的操作系统平台(如 Linux、UNIX、Win NT、专用安全操作系统等)。
协议支持
支持的非 IP协议:除支持IP协议之外,又支持AppleTalk、DECnet、IPX及NETBEUI等协议。
建立 VPN通道的协议: 构建VPN通道所使用的协议,如密钥分配等,主要分为IPSec,PPTP、专用协议等。
可以在 VPN中使用的协议:在VPN中使用的协议,一般是指TCP/IP协议。
加密支持
支持的 VPN加密标准:VPN中支持的加密算法, 例如数据加密标准DES、3DES、RC4以及国内专用的加密算法。
除了 VPN之外,加密的其他用途: 加密除用于保护传输数据以外,还应用于其他领域,如身份认证、报文完整性认证,密钥分配等。
提供基于硬件的加密: 是否提供硬件加密方法,硬件加密可以提供更快的加密速度和更高的加密强度。
认证支持
支持的认证类型: 是指防火墙支持的身份认证协议,一般情况下具有一个或多个认证方案,如 RADIUS、Kerberos、TACACS/TACACS+、口令方式、数字证书等。防火墙能够为本地或远程用户提供经过认证与授权的对网络资源的访问,防火墙管理员必须决定客户以何种方式通过认证。
列出支持的认证标准和 CA互操作性:厂商可以选择自己的认证方案,但应符合相应的国际标准,该项指所支持的标准认证协议,以及实现的认证协议是否与其他CA产品兼容互通。
支持数字证书:是否支持数字证书。
访问控制
通过防火墙的包内容设置:包过滤防火墙的过滤规则集由若干条规则组成,它应涵盖对所有出入防火墙的数据包的处理方法,对于没有明确定义的数据包,应该有一个缺省处理方法;过滤规则应易于理解,易于编辑修改;同时应具备一致性检测机制,防止冲突。 IP包过滤的依据主要是根据IP包头部信息如源地址和目的地址进行过滤,如果IP头中的协议字段表明封装协议为ICMP、TCP或UDP,那么再根据 ICMP头信息(类型和代码值)、TCP头信息(源端口和目的端口)或UDP头信息(源端口和目的端口)执行过滤,其他的还有MAC地址过滤。应用层协议过滤要求主要包括FTP过滤、基于RPC的应用服务过滤、基于UDP的应用服务过滤要求以及动态包过滤技术等。
在应用层提供代理支持:指防火墙是否支持应用层代理,如 HTTP、FTP、TELNET、SNMP等。代理服务在确认客户端连接请求有效后接管连接,代为向服务器发出连接请求,代理服务器应根据服务器的应答,决定如何响应客户端请求,代理服务进程应当连接两个连接(客户端与代理服务进程间的连接、代理服务进程与服务器端的连接)。为确认连接的唯一性与时效性,代理进程应当维护代理连接表或相关数据库(最小字段集合),为提供认证和授权,代理进程应当维护一个扩展字段集合。
在传输层提供代理支持:指防火墙是否支持传输层代理服务。
允许 FTP命令防止某些类型文件通过防火墙:指是否支持FTP文件类型过滤。
用户操作的代理类型:应用层高级代理功能,如 HTTP、POP3 。
支持网络地址转换 (NAT):NAT指将一个IP地址域映射到另一个IP地址域,从而为终端主机提供透明路由的方法。NAT常用于私有地址域与公有地址域的转换以解决IP 地址匮乏问题。在防火墙上实现NAT后,可以隐藏受保护网络的内部结构,在一定程度上提高了网络的安全性。
支持硬件口令、智能卡: 是否支持硬件口令、智能卡等,这是一种比较安全的身份认证技术。
防御功能
支持病毒扫描: 是否支持防病毒功能,如扫描电子邮件附件中的 DOC和ZIP文件,FTP中的下载或上载文件内容,以发现其中包含的危险信息。
提供内容过滤: 是否支持内容过滤,信息内容过滤指防火墙在 HTTP、FTP、SMTP等协议层,根据过滤条件,对信息流进行控制,防火墙控制的结果是:允许通过、修改后允许通过、禁止通过、记录日志、报警等。过滤内容主要指URL、HTTP携带的信息:Java Applet、 JavaScript、ActiveX和电子邮件中的Subject、To、From域等。
能防御的 DoS攻击类型:拒绝服务攻击(DoS)就是攻击者过多地占用共享资源,导致服务器超载或系统资源耗尽,而使其他用户无法享有服务或没有资源可用。防火墙通过控制、检测与报警等机制,可在一定程度上防止或减轻DoS黑客攻击。
阻止 ActiveX、Java、Cookies、Javascript侵入:属于HTTP内容过滤,防火墙应该能够从HTTP页面剥离Java Applet、ActiveX等小程序及从Script、PHP和ASP等代码检测出危险代码或病毒,并向浏览器用户报警。同时,能够过滤用户上载的 CGI、ASP等程序,当发现危险代码时,向服务器报警。
安全特性
支持转发和跟踪 ICMP协议(ICMP 代理):是否支持ICMP代理,ICMP为网间控制报文协议。
提供入侵实时警告:提供实时入侵告警功能,当发生危险事件时,是否能够及时报警,报警的方式可能通过邮件、呼机、手机等。
提供实时入侵防范:提供实时入侵响应功能,当发生入侵事件时,防火墙能够动态响应,调整安全策略,阻挡恶意报文。
识别 /记录/防止企图进行IP地址欺骗:IP地址欺骗指使用伪装的IP地址作为IP包的源地址对受保护网络进行攻击,防火墙应该能够禁止来自外部网络而源地址是内部IP地址的数据包通过。
管理功能
通过集成策略集中管理多个防火墙:是否支持集中管理,防火墙管理是指对防火墙具有管理权限的管理员行为和防火墙运行状态的管理,管理员的行为主要包括:通过防火墙的身份鉴别,编写防火墙的安全规则,配置防火墙的安全参数,查看防火墙的日志等。防火墙的管理一般分为本地管理、远程管理和集中管理等。
提供基于时间的访问控制:是否提供基于时间的访问控制。
支持 SNMP监视和配置:SNMP是简单网络管理协议的缩写。
本地管理:是指管理员通过防火墙的 Console口或防火墙提供的键盘和显示器对防火墙进行配置管理。
远程管理:是指管理员通过以太网或防火墙提供的广域网接口对防火墙进行管理,管理的通信协议可以基于 FTP、TELNET、HTTP等。
支持带宽管理:防火墙能够根据当前的流量动态调整某些客户端占用的带宽。
负载均衡特性:负载均衡可以看成动态的端口映射,它将一个外部地址的某一 TCP或UDP端口映射到一组内部地址的某一端口,负载均衡主要用于将某项服务(如HTTP)分摊到一组内部服务器上以平衡负载。
失败恢复特性( failover):指支持容错技术,如双机热备份、故障恢复,双电源备份等。
记录和报表功能
防火墙处理完整日志的方法:防火墙规定了对于符合条件的报文做日志,应该提供日志信息管理和存储方法。
提供自动日志扫描:指防火墙是否具有日志的自动分析和扫描功能,这可以获得更详细的统计结果,达到事后分析、亡羊补牢的目的。
提供自动报表、日志报告书写器:防火墙实现的一种输出方式,提供自动报表和日志报告功能。
警告通知机制:防火墙应提供告警机制,在检测到入侵网络以及设备运转异常情况时,通过告警来通知管理员采取必要的措施,包括 E-mail、呼机、手机等。
提供简要报表(按照用户 ID或IP 地址):防火墙实现的一种输出方式,按要求提供报表分类打印。
提供实时统计:防火墙实现的一种输出方式,日志分析后所获得的智能统计结果,一般是图表显示。
列出获得的国内有关部门许可证类别及号码:这是防火墙合格与销售的关键要素之一,其中包括:公安部的销售许可证、国家信息安全测评中心的认证证书、总参的国防通信入网证和国家保密局的推荐证明等。
服务器PHP网页打开超级慢
看一下是不是被ARP攻击了。用Firefox的firebug看源码,如果所有网页都被强行切入了同样的HTML框架iframe那很可能是被ARP攻击了,而且这种病毒一般分时间段的,有时会,有时不会。
解决办法:用杀毒软件全盘杀一下。
请推荐一款适合家用的杀毒软件和防火墙
—卡巴斯基—
1. 卡巴斯基反病毒软件单机 V5.0.388 简体中文版
卡巴斯基中文单机版(Kaspersky Anti-Virus Personal)
2. 卡巴斯基反病毒软件单机 V5.0.372 简体中文版
卡巴斯基中文单机版(Kaspersky Anti-Virus Personal)是俄罗斯著名数据安全厂商K
download.21cn.com/list.php?id=52533
3. 卡巴斯基反病毒软件单机 V5.0.388 简体中文版
4. 卡巴斯基反病毒软件单机 V5.0.372 简体中文版
download.winzheng.com/softview/SoftView_31650.htm
5. 卡巴斯基 v5.0.142 简体中文版
6. 卡巴斯基 v5.0.142 简体中文版
7. 卡巴斯基(Kaspersky) v5.0.390 Pro 官方简体中文版+key 2007-07-14
8. 卡巴斯基反病毒单机专业版 V5.0.388 简体中文注册版
down.htcnc.net/Software/Catalog25/344.html
9. Kaspersky Anti-Virus(AVP) Personal(卡巴斯基) V5.0.388 简体中文单机版
10. Kaspersky Anti-Virus(AVP) Personal(卡巴斯基) V5.0.372 简体中文单机版 授权文件
11. Kaspersky (卡巴斯基) V5.227 简体中文版
12. Kaspersky (卡巴斯基) V5.0.156 简体中文版 授权文件
13. 卡巴斯基(AVP) v5.0.142 简体中文版
14. Kaspersky 卡巴斯基 V5.0.325 简体中文注册版 5.0.325
15. Kaspersky Anti-Virus(AVP) Personal Pro(卡巴斯基反病毒单机专业版) V5.0.388 简体中文注册版
16. 卡巴斯基V5.0.20 简体中文单机注册版
17. 卡巴斯基反病毒软件单机 V5.0.390 简体中文版
18. Kaspersky 卡巴斯基 V5.0.325 简体中文注册版
19. Kaspersky Anti-Virus(AVP) Personal(卡巴斯基) V5.0.383 简体中文单机版
20. 卡巴斯基反病毒软件单机 V5.0.388 简体中文版
down.vipgov.com/downinfo/22710.html
—-Norton Antivirus 简体中文版—–
1. Norton Antivirus 2004 简体中文版
Norton AntiVirus 是一套强而有力的防毒软件,它可帮你
2. Norton Antivirus 2004 简体中文版
Norton AntiVirus 是一套强而有力的防毒软件。它可帮你侦测上万种已知和未知的病?
download.21cn.com/list.php?id=28962
3. Norton Antivirus 2003官方简体中文零售版
4. Norton AntiVirus 2004 简体中文零售光盘RIP版
5. Norton AntiVirus V8.1简体中文企业版客户端
6. Norton AntiVirus9.0简体中文标准版.rar
7. Norton Antivirus 2004 简体中文零售版
8. Norton AntiVirus V8.1简体中文企业版客户端
9. Norton AntiVirus 2004 三合一简体中文版
10. Norton Antivirus(诺顿杀毒) 2004简体中文正式免激活版
11. Norton AntiVirus 2004 三合一简体中文版
12. Norton AntiVirus V8.1简体中文企业版客户端
13. Norton AntiVirus 2005 简体中文光盘零售版
down.htcnc.net/Software/Catalog25/966.html
14. Norton Antivirus(诺顿杀毒) 2004 简体中文正式版
15. Norton Antivirus 2004 简体中文版
16. Norton Antivirus 2004 简体中文版
down.xxjp.org/Software/Catalog21/7541.html
17. Norton Antivirus(诺顿杀毒)v10.0.0.359.Final 官方简体中文企业版
18. Norton Antivirus Corporate Edition v8.0 简体中文版
19. Norton Antivirus Corporate Edition v9.0 简体中文版
20. Norton Antivirus(诺顿杀毒)v10.0.0.359.Final 官方简体中文企业版
—金山毒霸 —
1. 金山毒霸 2006 杀毒套装
金山毒霸自全面实行互联网战略以来,截至目前为止,全
2. 金山毒霸6 全功能下载版(增强版)
金山毒霸6全功能下载版与市场上价值99元的标准增强版一样。防毒更有效自动扫描电脑系
3. 金山毒霸6 新功能体验版
金山毒霸6是金山公司继金山毒霸V之后推出的新一代反病毒产品,秉持了金山毒霸“以客户
4. 金山毒霸 6 安全组合装 完整升级包 12.30
金山毒霸可查杀超过2万种病毒家族和近百种黑客程序,除传统的病毒外,还能查杀最新的A
5. 金山毒霸6 组合安装试用版(2003.12.18)
金山毒霸6是金山公司继金山毒霸V之后推出的新一代反病毒产品,秉持了金山毒霸“以
download.21cn.com/list.php?id=23915
6. 金山毒霸6 安全组合装升级包(2005.10.8)
金山毒霸6是金山公司继金山毒霸V之后推出的新一代反病
7. 金山毒霸 11.06
金山出的很不错的杀毒软件,总之是不错的杀毒软件
antivirus.pchome.net/kav/7115.html
8. 金山毒霸 6 完整升级包 12.30
金山毒霸6是金山公司继金山毒霸V之后推出的新一代反病毒产品,秉持了金山毒霸“以客户
9. 金山毒霸6最新增强版 Build 0201
金山毒霸下载版,公安部权威检测95分一级品;一键智能升级
antivirus.pchome.net/kav/16591.html
10. 金山毒霸6 完整升级包(2005.12.30)
金山毒霸6是金山公司继金山毒霸V之后推出的新一代反病
11. 金山毒霸 6 完整升级包 2005.12.30
金山毒霸6 完整升级包
antivirus.pchome.net/kav/7108.html
12. 金山毒霸6 升级版
鉴于升级服务器压力,金山公司尚未开通毒霸6升级版升级
13. 金山毒霸 6 程序升级包 2005.12.30
金山毒霸 6 程序升级包
antivirus.pchome.net/kav/7414.html
14. 金山毒霸2006 体验版
《金山毒霸2006》除了继承《金山毒霸2005》的“主动实时升级、抢先启动防毒系统、主动
15. 金山毒霸–新欢乐时光专杀工具 Build 2002.6.24.44
VBS.KJ 是一个感染 html/htm、jsp、vbs、php、asp 的脚
16. 金山毒霸6 安全组合装升级包 (2005.10.14)
金山毒霸6是金山公司继金山毒霸V之后推出的新一代反病毒产品,秉持了金山毒霸“以
download.21cn.com/list.php?id=38829
17. 金山毒霸6 升级版
鉴于升级服务器压力,金山公司尚未开通毒霸6升级版升级到毒霸6增强版的在线升级,但
download.21cn.com/list.php?id=39203
18. 金山毒霸6 完整升级包 (2005.12.30)
金山毒霸6是金山公司继金山毒霸V之后推出的新一代反病毒产品,秉持了金山毒霸“以
download.21cn.com/list.php?id=38828
19. 金山毒霸6 全功能下载版(增强版)
金山毒霸6全功能下载版与市场上价值99元的标准增强版一样。 防毒更有效 自动扫描?
download.21cn.com/list.php?id=50424
20. 金山毒霸 2006 杀毒套装
可查杀超过2万种病毒家族和近百种黑客程序
antivirus.pchome.net/kav/7112.html
—江民杀毒软件—
1. 江民杀毒软件 KV2005AAA 标准版
KV2005是江民科技集十余年反病毒经验,根据病毒发展趋
2. 江民杀毒软件KV2005AAA 下载版
KV2005是江民科技集十余年反病毒经验,根据病毒发展趋势和电脑用户的安全需求,由江民
3. KV江民杀毒王 2004 离线增量升级包(2005.12.30)
①本离线升级包与上面的”KV江民杀毒王2004安装包”配
4. 江民杀毒KV2004离线增量升级包 (2005.12.31)
江民杀毒KV2004离线增量升级包
antivirus.pchome.net/kv/393.html
5. 江民杀毒软件KV2005 基础离线包下载 06.13
KV2005是江民科技集十余年反病毒经验,根据病毒发展趋势和电脑用户的安全需求,由江民
6. 江民杀毒软件 KV2005AAA 下载版
KV2005是江民科技集十余年反病毒经验,根据病毒发展趋
7. 江民杀毒软件KV2005AAA 标准版
KV2005是江民科技集十余年反病毒经验,根据病毒发展趋势和电脑用户的安全需求,由江民
8. KV江民杀毒王2004离线增量升级包 (2005.12.30)
①本离线升级包与上面的”KV江民杀毒王2004安装包”配合使用的; ②用?
download.21cn.com/list.php?id=34314
9. 江民杀毒软件KV2005升级版(KV2004用户升级专用) 2005
此软件专供KV2004用户升级使用。KV2005是江民科技集十余年反病毒经验,根据病毒发展趋
10. 江民杀毒王KV 2005 下载版
KV2005是江民科技集十余年反病毒经验,根据病毒发展趋势和电脑用户的安全需求,由
download.21cn.com/list.php?id=31823
11. 江民杀毒软件 KV2005AAA 下载版
KV2005是江民科技集十余年反病毒经验,根据病毒发展趋势和电脑用户的安全需求,由
download.21cn.com/list.php?id=52327
12. 江民杀毒软件KV2005升级版(KV2004用户升级专用) 2005
13. 江民杀毒软件KV2005下载版 KV2005 1208 KV2005纯DOS(U盘+NTFS通用)
14. 江民杀毒软件 KV2005AAA 标准版
15. 江民杀毒软件 KV2005AAA 下载版
16. KV江民杀毒王 2004 离线增量升级包 (2005.12.28)
17. 江民杀毒王KV 2005 V08.16 (软盘+光盘+U盘+NTFS通用)Dos版
18. 江民杀毒软件KV2005AAA 下载版
down.chinaz.com/S/15942.asp
19. 江民杀毒软件 KV2005 正式授权版
20. 江民杀毒软件 KV2005AAA 下载版
soft.mumayi.net/Software/Catalog101/1432.html
分析防火墙技术和入侵检测技术的优缺点。
防火墙的概念
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。
防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的较少,例如国防部以及大型机房等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。
防火墙,英语为firewall,《英汉证券投资词典》的解释为:金融机构内部将银行业务与证券业务严格区分开来的法律屏障,旨在防止可能出现的内幕消息共享等不公平交易出现。使用防火墙比喻不要引火烧身。
当然,既然打算由浅入深的来了解,就要先看看防火墙的概念了。防火墙是汽车中一个部件的名称。在汽车中,利用防火墙把乘客和引擎隔开,以便汽车引擎一旦著火,防火墙不但能保护乘客安全,而同时还能让司机继续控制引擎。在电脑术语中,当然就不是这个意思了,我们可以类比来理解,在网络中,所谓“防火墙”,顾名思义,是一种隔离设备。防火墙是一种高级访问控制设备,置于不同网络安全域之间的一系列部件的组合,它是不同网络安全域之间通信流的唯一通道,能根据用户有关的安全策略控制进出网络的访问行为。从专业角度讲,防火墙是位于两个或多个网络间,实施网络访问控制的组件集合。从用户角度讲,防火墙就是被放置在用户计算机与外网之间的防御体系,网络发往用户计算机的所有数据都要经过其判断处理,才决定能否将数据交给计算机,一旦发现数据异常或有害,防火墙就会将数据拦截,从而实现对计算机的保护。防火墙是网络安全策略的组成部分,它只是一个保护装置,通过监测和控制网络间的信息交换和访问行为来实现对网络安全的有效管理,其主要目的就是保护内部网络的安全。
1.2 防火墙的功能
(1)访问控制:
■ 限制未经授权的用户访问本企业的网络和信息资源的措施,访问者必需要能适用现行所有的服务和应用。网络卫士防火墙支持多种应用、服务和协议,支持所有的internet服务,包括安全的web浏览器、电子邮件、ftp、telnet及rpc和udp等,还支持如oracle、sybase、sql服务器数据库访问和real audio,vodlive、netmeeting和internet phone等这样的多媒体应用及internet广播服务。
■ 提供基于状态检测技术的ip地址、端口、用户和时间的管理控制;
■ 访问控制对象的多种定义方式支持多种方式定义访问控制对象: ip/mask(如202.100.100.0/24),ip区间(如202.100.100.1-202.100.100.254),ip/mask与通配符,ip区间与通配符等,使配置防火墙的安全策略极为方便。
■ 高效的url和文件级细粒度应用层管理控制;应用层安全控制策略主要针对常用的网络应用协议http和ftp,控制策略可以实现定义访问源对象到目标对象间的常用协议命令通过防火墙的权限,源对象可以是网段、主机。http和ftp的协议端口用户可根据实际情况在策略中定义,协议命令为http和ftp的主要常用命令。通过应用层策略实现了url和文件级的访问控制。
■ 双向nat,提供ip地址转换和ip及tcp/udp端口映射,实现ip复用和隐藏网络结构:nat在ip层上通过地址转换提供ip复用功能,解决ip地址不足的问题,同时隐藏了内部网的结构,强化了内部网的安全。网络卫士防火墙提供了nat功能,并可根据用户需要灵活配置。当内部网用户需要对外访问时,防火墙系统将访问主体转化为自己,并将结果透明地返回用户,相当于一个ip层代理。防火墙的地址转换是基于安全控制策略的转换,可以针对具体的通信事件进行地址转换。internet用户访问对内部网络中具有保留ip主机的访问,可以利用反向nat实现,即为内部网络主机在防火墙上映射一注册ip地址,这样internet 用户就可以通过防火墙系统访问主机了。映射类型可以为ip级和端口级。端口映射可以通过一个注册ip地址的不同tcp/udp端口映射到多个保留的ip主机。
■ 用户策略:可以根据企业安全策略,将一次性口令认证与防火墙其它安全机制结合使用,实现对用户访问权限的控制。用户控制策略可以实现用户之间、用户与ip网段或主机间的访问行为,如协议类型、访问时间等,策略控制对象十分灵活。一次性口令认证方式用于控制内部网与外部网之间的高安全级访问行为。
■ 接口策略:防止外部机器盗用内部机器的ip地址,这通过防火墙的接口策略实现。网络卫士防火墙将接口策略加在相应的接口上,以防止其它接口区域的ip被此接口区域内的主机冒用。如在正常情况下,内部ip不可能在防火墙的外部接口作为通信源地址出现,因此可以在外部接口上禁止所有的内部ip作为源地址的通信行为。
■ ip与mac地址绑定:防止防火墙广播域内主机的ip地址不被另一台机器盗用。也就是说,如果要保护的主机与防火墙直接相连,可以将此机器的ip与其物理网卡地址捆绑,这样其他内部机器就不可能使用这个ip通过防火墙。
■ ip与用户绑定:绑定一次性口令用户到定义ip列表上,防止绑定用户的从非许可区域通过防火墙。
■ 支持流量管理:流量管理与控制.
■ 可扩展支持计费功能:计费功能可以定义内部网络ip,记录内部网络与外部网络的方向性通信流量,并可依据ip及用户统计查询计费信息。计费模块还可以提供用户化计 费信息接口,将计费信息导出到用户自的计费处理软件中。
■ 基于优先级的带宽管理:用户带宽最大用量限制,用户带宽用量保障,多级用户优先级设置流量控制功能为用户提供全部监测和管理网络的信息。
(2)防御功能
■ 防tcp、udp等端口扫描:网络卫士防火墙可以检测到对网络或内部主机的所有tcp/udp扫描。
■ 抗dos/ddos攻击:拒绝服务攻击(dos)就是攻击者过多的占用共享资源,导致服务器超载或系统崩溃,而使正常用户无法享有服务或没有资源可用。防火墙通过控制、检测与报警机制,阻止dos黑客攻击。
■ 可防御源路由攻击、ip碎片包攻击、dns/rip/icmp攻击、syn等多种攻击:网络卫士防火墙系统可以检测对网络或内部主机的多种拒绝服务攻击。
■阻止activex、java、javascript等侵入:属于http内容过滤,防火墙能够从http页面剥离activex、javaapplet等小程序及从script、php和asp等代码检测出危险的代码,同时,能够过滤用户上载的cgi、asp等程序。
■ 提供实时监控、审计和告警功能:网络卫士防火墙提供对网络的实时监控,当发现攻击和危险行为时,防火墙提供告警等功能。
■ 可扩展支持第三方ids入侵检测系统,实现协同工作:网络卫士防火墙支持topsec协议,可与第三方ids产品实现无缝集成,协同工作。
(3)用户认证
因为企业网络为本地用户、移动用户和各种远程用户提供信息资源,所以为了保护网络和信息安全,必须对访问连接用户采用有效的权限控制和身份识别,以确保系统安全。
■ 提供高安全强度的一次性口令(otp)用户认证:一次性口令认证机制是高强度的认证机制,能极大地提高了访问控制的安全性,有效阻止非授权用户进入网络,保证网络系统的合法使用。一次性口令用户认证的基本过程是:首先用户向防火墙发送身份认证请求,并指明自己的用户名,防火墙收到请求后,向用户提出挑战及同步信息,用户收到此信息后,结合自己的口令,产生一次性口令并发送给防火墙,防火墙判断用户答复是否正确以鉴别用户的合法性,为防止口令猜测,如果用户连续三次认证失败则在一定时间内禁止该用户认证。由于采用一次性的口令认证机制,即使窃听者在网络上截取到口令,由于该口令的有效期仅为一次,故也无法再利用这个口令进行认证鉴别。在实际应用中,用户采用一次性口令登录程序登陆时,防火墙向用户提供一个种子及同步次数,登录程序根据用户输入的口令、种子、同步次数计算出一次性口令并传给防火墙.用户可以在不同的服务器上使用不同的种子而口令相同,每次在网络上传输的口令也不同, 用户可以定期改变种子来达到更高的安全目标.
■ 可扩展支持第三方认证和支持智能ic卡、ikey等硬件方式认证:网络卫士防火墙有很好的扩展性,可扩展支持radius等认证,提供拨号用户等安全访问。也可通过扩展支持支持职能ic卡、ikey等硬件方式认证。
(4)安全管理
■ 提供基于otp机制的管理员认证。
■ 提供分权管理安全机制;提供管理员和审计员分权管理的安全机制,保证安全产品的安全管理。
■ 远程管理提供加密机制;在进行远程管理时,管理机和防火墙之间的通讯可进行加密以保证安全,真正实现远程管理。
■ 远程管理安全措施:管理源主机限定;并发管理连接数限定;管理接口icmp开关控制;管理接口开关;远程登录尝试锁定;
■ 提供安全策略检测机制:网络卫士防火墙提供规则测试功能,实现策略的控制逻辑检查,及时发现控制逻辑的错误,为用户检查规则配置的正确性,完善控制策略提供方便、快捷、有效的工具。
■ 提供丰富完整的审计机制;网络卫士防火墙产品的日志审计功能十分完善,有对系统管理体系的分类日志(管理日志、通信事件日志),也有按日期对应的运行日志。日志内容包括事件时间及事件摘要等。
■ 提供日志下载、备份和查询功能;防火墙的日志管理方式包括日志下载、备份和日志查询,这为用户进行日志的审计和分析提供了方便。防火墙还提供日志导出工具,将各种日志信息导出到管理服务器,方便进一步处理。
■ 可扩展支持计费功能。计费模块提供较强的计费功能。防火墙上设置计费功能可以避免防火墙所保护的内部网计费时,可能因防火墙策略未许可而导致某些用户计费信息与实际使用的不一致,也弥补了防火墙作地址转换时,外部网难以计费的缺陷。计费功能可以定义内部网络ip,记录内部网络与外部网络的方向性通信流量,并可依据ip及用户统计查询计费信息。计费模块还可以提供用户化计费信息接口,将计费信息导出到用户自己的计费处理软件中。
(5)双机热备份
提供防火墙的双机热备份功能,提高应用系统可靠性和性能。热备份通过多种方式触发工作模式切换,模式切换时间短。
(6)操作管理
■ 提供灵活的本地、远程管理方式;
■ 支持gui和命令行多种操作方式;
■ 可提供基于命令行和gui的本地和远程配置管理。
1.3 防火墙的分类
(1)从软、硬件形式上分类
如果从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。
■ 软件防火墙
软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。
■ 硬件防火墙
这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上“所谓”二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。 值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到OS(操作系统)本身的安全性影响。
■ 芯片级防火墙
芯片级防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。
(2)从防火墙技术上分类
防火墙技术虽然出现了许多,但总体来讲可分为“包过滤型”和“应用代理型”两大类。前者以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表,后者以美国NAI公司的Gauntlet防火墙为代表。
■ 包过滤(Packet filtering)型
包过滤方式是一种通用、廉价和有效的安全手段。之所以通用,是因为它不是针对各个具体的网络服务采取特殊的处理方式,适用于所有网络服务;之所以廉价,是因为大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能很大程度上满足了绝大多数企业安全要求。
在整个防火墙技术的发展过程中,包过滤技术出现了两种不同版本,称为“第一代静态包过滤”和“第二代动态包过滤”。
包过滤方式的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的:过滤判别的依据只是网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC(远程过程调用)一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只能依据包头信息,而不能对用户身份进行验证,很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。
■ 应用代理(Application Proxy)型
应用代理型防火墙是工作在OSI的最高层,即应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。其典型网络结构如图所示。
在代理型防火墙技术的发展过程中,它也经历了两个不同的版本:第一代应用网关型代理防火和第二代自适应代理防火墙。
代理类型防火墙的最突出的优点就是安全。由于它工作于最高层,所以它可以对网络中任何一层数据通信进行筛选保护,而不是像包过滤那样,只是对网络层的数据进行过滤。
另外代理型防火墙采取是一种代理机制,它可以为每一种应用服务建立一个专门的代理,所以内外部网络之间的通信不是直接的,而都需先经过代理服务器审核,通过后再由代理服务器代为连接,根本没有给内、外部网络计算机任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网
原创文章,作者:小蓝,如若转载,请注明出处:https://www.506064.com/n/285928.html
微信扫一扫 
支付宝扫一扫 