本文目錄一覽:
防火牆默認應添加哪些服務及策略。
從防火牆產品和技術發展來看,分為三種類型:基於路由器的包過濾防火牆、基於通用操作系統的防火牆、基於專用安全操作系統的防火牆。
LAN接口
列出支持的 LAN接口類型:防火牆所能保護的網絡類型,如以太網、快速以太網、千兆以太網、ATM、令牌環及FDDI等。
支持的最大 LAN接口數:指防火牆所支持的局域網絡接口數目,也是其能夠保護的不同內網數目。
服務器平台:防火牆所運行的操作系統平台(如 Linux、UNIX、Win NT、專用安全操作系統等)。
協議支持
支持的非 IP協議:除支持IP協議之外,又支持AppleTalk、DECnet、IPX及NETBEUI等協議。
建立 VPN通道的協議: 構建VPN通道所使用的協議,如密鑰分配等,主要分為IPSec,PPTP、專用協議等。
可以在 VPN中使用的協議:在VPN中使用的協議,一般是指TCP/IP協議。
加密支持
支持的 VPN加密標準:VPN中支持的加密算法, 例如數據加密標準DES、3DES、RC4以及國內專用的加密算法。
除了 VPN之外,加密的其他用途: 加密除用於保護傳輸數據以外,還應用於其他領域,如身份認證、報文完整性認證,密鑰分配等。
提供基於硬件的加密: 是否提供硬件加密方法,硬件加密可以提供更快的加密速度和更高的加密強度。
認證支持
支持的認證類型: 是指防火牆支持的身份認證協議,一般情況下具有一個或多個認證方案,如 RADIUS、Kerberos、TACACS/TACACS+、口令方式、數字證書等。防火牆能夠為本地或遠程用戶提供經過認證與授權的對網絡資源的訪問,防火牆管理員必須決定客戶以何種方式通過認證。
列出支持的認證標準和 CA互操作性:廠商可以選擇自己的認證方案,但應符合相應的國際標準,該項指所支持的標準認證協議,以及實現的認證協議是否與其他CA產品兼容互通。
支持數字證書:是否支持數字證書。
訪問控制
通過防火牆的包內容設置:包過濾防火牆的過濾規則集由若干條規則組成,它應涵蓋對所有出入防火牆的數據包的處理方法,對於沒有明確定義的數據包,應該有一個缺省處理方法;過濾規則應易於理解,易於編輯修改;同時應具備一致性檢測機制,防止衝突。 IP包過濾的依據主要是根據IP包頭部信息如源地址和目的地址進行過濾,如果IP頭中的協議字段表明封裝協議為ICMP、TCP或UDP,那麼再根據 ICMP頭信息(類型和代碼值)、TCP頭信息(源端口和目的端口)或UDP頭信息(源端口和目的端口)執行過濾,其他的還有MAC地址過濾。應用層協議過濾要求主要包括FTP過濾、基於RPC的應用服務過濾、基於UDP的應用服務過濾要求以及動態包過濾技術等。
在應用層提供代理支持:指防火牆是否支持應用層代理,如 HTTP、FTP、TELNET、SNMP等。代理服務在確認客戶端連接請求有效後接管連接,代為向服務器發出連接請求,代理服務器應根據服務器的應答,決定如何響應客戶端請求,代理服務進程應當連接兩個連接(客戶端與代理服務進程間的連接、代理服務進程與服務器端的連接)。為確認連接的唯一性與時效性,代理進程應當維護代理連接表或相關數據庫(最小字段集合),為提供認證和授權,代理進程應當維護一個擴展字段集合。
在傳輸層提供代理支持:指防火牆是否支持傳輸層代理服務。
允許 FTP命令防止某些類型文件通過防火牆:指是否支持FTP文件類型過濾。
用戶操作的代理類型:應用層高級代理功能,如 HTTP、POP3 。
支持網絡地址轉換 (NAT):NAT指將一個IP地址域映射到另一個IP地址域,從而為終端主機提供透明路由的方法。NAT常用於私有地址域與公有地址域的轉換以解決IP 地址匱乏問題。在防火牆上實現NAT後,可以隱藏受保護網絡的內部結構,在一定程度上提高了網絡的安全性。
支持硬件口令、智能卡: 是否支持硬件口令、智能卡等,這是一種比較安全的身份認證技術。
防禦功能
支持病毒掃描: 是否支持防病毒功能,如掃描電子郵件附件中的 DOC和ZIP文件,FTP中的下載或上載文件內容,以發現其中包含的危險信息。
提供內容過濾: 是否支持內容過濾,信息內容過濾指防火牆在 HTTP、FTP、SMTP等協議層,根據過濾條件,對信息流進行控制,防火牆控制的結果是:允許通過、修改後允許通過、禁止通過、記錄日誌、報警等。過濾內容主要指URL、HTTP攜帶的信息:Java Applet、 JavaScript、ActiveX和電子郵件中的Subject、To、From域等。
能防禦的 DoS攻擊類型:拒絕服務攻擊(DoS)就是攻擊者過多地佔用共享資源,導致服務器超載或系統資源耗盡,而使其他用戶無法享有服務或沒有資源可用。防火牆通過控制、檢測與報警等機制,可在一定程度上防止或減輕DoS黑客攻擊。
阻止 ActiveX、Java、Cookies、Javascript侵入:屬於HTTP內容過濾,防火牆應該能夠從HTTP頁面剝離Java Applet、ActiveX等小程序及從Script、PHP和ASP等代碼檢測出危險代碼或病毒,並向瀏覽器用戶報警。同時,能夠過濾用戶上載的 CGI、ASP等程序,當發現危險代碼時,向服務器報警。
安全特性
支持轉發和跟蹤 ICMP協議(ICMP 代理):是否支持ICMP代理,ICMP為網間控制報文協議。
提供入侵實時警告:提供實時入侵告警功能,當發生危險事件時,是否能夠及時報警,報警的方式可能通過郵件、呼機、手機等。
提供實時入侵防範:提供實時入侵響應功能,當發生入侵事件時,防火牆能夠動態響應,調整安全策略,阻擋惡意報文。
識別 /記錄/防止企圖進行IP地址欺騙:IP地址欺騙指使用偽裝的IP地址作為IP包的源地址對受保護網絡進行攻擊,防火牆應該能夠禁止來自外部網絡而源地址是內部IP地址的數據包通過。
管理功能
通過集成策略集中管理多個防火牆:是否支持集中管理,防火牆管理是指對防火牆具有管理權限的管理員行為和防火牆運行狀態的管理,管理員的行為主要包括:通過防火牆的身份鑒別,編寫防火牆的安全規則,配置防火牆的安全參數,查看防火牆的日誌等。防火牆的管理一般分為本地管理、遠程管理和集中管理等。
提供基於時間的訪問控制:是否提供基於時間的訪問控制。
支持 SNMP監視和配置:SNMP是簡單網絡管理協議的縮寫。
本地管理:是指管理員通過防火牆的 Console口或防火牆提供的鍵盤和顯示器對防火牆進行配置管理。
遠程管理:是指管理員通過以太網或防火牆提供的廣域網接口對防火牆進行管理,管理的通信協議可以基於 FTP、TELNET、HTTP等。
支持帶寬管理:防火牆能夠根據當前的流量動態調整某些客戶端佔用的帶寬。
負載均衡特性:負載均衡可以看成動態的端口映射,它將一個外部地址的某一 TCP或UDP端口映射到一組內部地址的某一端口,負載均衡主要用於將某項服務(如HTTP)分攤到一組內部服務器上以平衡負載。
失敗恢復特性( failover):指支持容錯技術,如雙機熱備份、故障恢復,雙電源備份等。
記錄和報表功能
防火牆處理完整日誌的方法:防火牆規定了對於符合條件的報文做日誌,應該提供日誌信息管理和存儲方法。
提供自動日誌掃描:指防火牆是否具有日誌的自動分析和掃描功能,這可以獲得更詳細的統計結果,達到事後分析、亡羊補牢的目的。
提供自動報表、日誌報告書寫器:防火牆實現的一種輸出方式,提供自動報表和日誌報告功能。
警告通知機制:防火牆應提供告警機制,在檢測到入侵網絡以及設備運轉異常情況時,通過告警來通知管理員採取必要的措施,包括 E-mail、呼機、手機等。
提供簡要報表(按照用戶 ID或IP 地址):防火牆實現的一種輸出方式,按要求提供報表分類打印。
提供實時統計:防火牆實現的一種輸出方式,日誌分析後所獲得的智能統計結果,一般是圖表顯示。
列出獲得的國內有關部門許可證類別及號碼:這是防火牆合格與銷售的關鍵要素之一,其中包括:公安部的銷售許可證、國家信息安全測評中心的認證證書、總參的國防通信入網證和國家保密局的推薦證明等。
服務器PHP網頁打開超級慢
看一下是不是被ARP攻擊了。用Firefox的firebug看源碼,如果所有網頁都被強行切入了同樣的HTML框架iframe那很可能是被ARP攻擊了,而且這種病毒一般分時間段的,有時會,有時不會。
解決辦法:用殺毒軟件全盤殺一下。
請推薦一款適合家用的殺毒軟件和防火牆
—卡巴斯基—
1. 卡巴斯基反病毒軟件單機 V5.0.388 簡體中文版
卡巴斯基中文單機版(Kaspersky Anti-Virus Personal)
2. 卡巴斯基反病毒軟件單機 V5.0.372 簡體中文版
卡巴斯基中文單機版(Kaspersky Anti-Virus Personal)是俄羅斯著名數據安全廠商K
download.21cn.com/list.php?id=52533
3. 卡巴斯基反病毒軟件單機 V5.0.388 簡體中文版
4. 卡巴斯基反病毒軟件單機 V5.0.372 簡體中文版
download.winzheng.com/softview/SoftView_31650.htm
5. 卡巴斯基 v5.0.142 簡體中文版
6. 卡巴斯基 v5.0.142 簡體中文版
7. 卡巴斯基(Kaspersky) v5.0.390 Pro 官方簡體中文版+key 2007-07-14
8. 卡巴斯基反病毒單機專業版 V5.0.388 簡體中文註冊版
down.htcnc.net/Software/Catalog25/344.html
9. Kaspersky Anti-Virus(AVP) Personal(卡巴斯基) V5.0.388 簡體中文單機版
10. Kaspersky Anti-Virus(AVP) Personal(卡巴斯基) V5.0.372 簡體中文單機版 授權文件
11. Kaspersky (卡巴斯基) V5.227 簡體中文版
12. Kaspersky (卡巴斯基) V5.0.156 簡體中文版 授權文件
13. 卡巴斯基(AVP) v5.0.142 簡體中文版
14. Kaspersky 卡巴斯基 V5.0.325 簡體中文註冊版 5.0.325
15. Kaspersky Anti-Virus(AVP) Personal Pro(卡巴斯基反病毒單機專業版) V5.0.388 簡體中文註冊版
16. 卡巴斯基V5.0.20 簡體中文單機註冊版
17. 卡巴斯基反病毒軟件單機 V5.0.390 簡體中文版
18. Kaspersky 卡巴斯基 V5.0.325 簡體中文註冊版
19. Kaspersky Anti-Virus(AVP) Personal(卡巴斯基) V5.0.383 簡體中文單機版
20. 卡巴斯基反病毒軟件單機 V5.0.388 簡體中文版
down.vipgov.com/downinfo/22710.html
—-Norton Antivirus 簡體中文版—–
1. Norton Antivirus 2004 簡體中文版
Norton AntiVirus 是一套強而有力的防毒軟件,它可幫你
2. Norton Antivirus 2004 簡體中文版
Norton AntiVirus 是一套強而有力的防毒軟件。它可幫你偵測上萬種已知和未知的病?
download.21cn.com/list.php?id=28962
3. Norton Antivirus 2003官方簡體中文零售版
4. Norton AntiVirus 2004 簡體中文零售光盤RIP版
5. Norton AntiVirus V8.1簡體中文企業版客戶端
6. Norton AntiVirus9.0簡體中文標準版.rar
7. Norton Antivirus 2004 簡體中文零售版
8. Norton AntiVirus V8.1簡體中文企業版客戶端
9. Norton AntiVirus 2004 三合一簡體中文版
10. Norton Antivirus(諾頓殺毒) 2004簡體中文正式免激活版
11. Norton AntiVirus 2004 三合一簡體中文版
12. Norton AntiVirus V8.1簡體中文企業版客戶端
13. Norton AntiVirus 2005 簡體中文光盤零售版
down.htcnc.net/Software/Catalog25/966.html
14. Norton Antivirus(諾頓殺毒) 2004 簡體中文正式版
15. Norton Antivirus 2004 簡體中文版
16. Norton Antivirus 2004 簡體中文版
down.xxjp.org/Software/Catalog21/7541.html
17. Norton Antivirus(諾頓殺毒)v10.0.0.359.Final 官方簡體中文企業版
18. Norton Antivirus Corporate Edition v8.0 簡體中文版
19. Norton Antivirus Corporate Edition v9.0 簡體中文版
20. Norton Antivirus(諾頓殺毒)v10.0.0.359.Final 官方簡體中文企業版
—金山毒霸 —
1. 金山毒霸 2006 殺毒套裝
金山毒霸自全面實行互聯網戰略以來,截至目前為止,全
2. 金山毒霸6 全功能下載版(增強版)
金山毒霸6全功能下載版與市場上價值99元的標準增強版一樣。防毒更有效自動掃描電腦系
3. 金山毒霸6 新功能體驗版
金山毒霸6是金山公司繼金山毒霸V之後推出的新一代反病毒產品,秉持了金山毒霸“以客戶
4. 金山毒霸 6 安全組合裝 完整升級包 12.30
金山毒霸可查殺超過2萬種病毒家族和近百種黑客程序,除傳統的病毒外,還能查殺最新的A
5. 金山毒霸6 組合安裝試用版(2003.12.18)
金山毒霸6是金山公司繼金山毒霸V之後推出的新一代反病毒產品,秉持了金山毒霸“以
download.21cn.com/list.php?id=23915
6. 金山毒霸6 安全組合裝升級包(2005.10.8)
金山毒霸6是金山公司繼金山毒霸V之後推出的新一代反病
7. 金山毒霸 11.06
金山出的很不錯的殺毒軟件,總之是不錯的殺毒軟件
antivirus.pchome.net/kav/7115.html
8. 金山毒霸 6 完整升級包 12.30
金山毒霸6是金山公司繼金山毒霸V之後推出的新一代反病毒產品,秉持了金山毒霸“以客戶
9. 金山毒霸6最新增強版 Build 0201
金山毒霸下載版,公安部權威檢測95分一級品;一鍵智能升級
antivirus.pchome.net/kav/16591.html
10. 金山毒霸6 完整升級包(2005.12.30)
金山毒霸6是金山公司繼金山毒霸V之後推出的新一代反病
11. 金山毒霸 6 完整升級包 2005.12.30
金山毒霸6 完整升級包
antivirus.pchome.net/kav/7108.html
12. 金山毒霸6 升級版
鑒於升級服務器壓力,金山公司尚未開通毒霸6升級版升級
13. 金山毒霸 6 程序升級包 2005.12.30
金山毒霸 6 程序升級包
antivirus.pchome.net/kav/7414.html
14. 金山毒霸2006 體驗版
《金山毒霸2006》除了繼承《金山毒霸2005》的“主動實時升級、搶先啟動防毒系統、主動
15. 金山毒霸–新歡樂時光專殺工具 Build 2002.6.24.44
VBS.KJ 是一個感染 html/htm、jsp、vbs、php、asp 的腳
16. 金山毒霸6 安全組合裝升級包 (2005.10.14)
金山毒霸6是金山公司繼金山毒霸V之後推出的新一代反病毒產品,秉持了金山毒霸“以
download.21cn.com/list.php?id=38829
17. 金山毒霸6 升級版
鑒於升級服務器壓力,金山公司尚未開通毒霸6升級版升級到毒霸6增強版的在線升級,但
download.21cn.com/list.php?id=39203
18. 金山毒霸6 完整升級包 (2005.12.30)
金山毒霸6是金山公司繼金山毒霸V之後推出的新一代反病毒產品,秉持了金山毒霸“以
download.21cn.com/list.php?id=38828
19. 金山毒霸6 全功能下載版(增強版)
金山毒霸6全功能下載版與市場上價值99元的標準增強版一樣。 防毒更有效 自動掃描?
download.21cn.com/list.php?id=50424
20. 金山毒霸 2006 殺毒套裝
可查殺超過2萬種病毒家族和近百種黑客程序
antivirus.pchome.net/kav/7112.html
—江民殺毒軟件—
1. 江民殺毒軟件 KV2005AAA 標準版
KV2005是江民科技集十餘年反病毒經驗,根據病毒發展趨
2. 江民殺毒軟件KV2005AAA 下載版
KV2005是江民科技集十餘年反病毒經驗,根據病毒發展趨勢和電腦用戶的安全需求,由江民
3. KV江民殺毒王 2004 離線增量升級包(2005.12.30)
①本離線升級包與上面的”KV江民殺毒王2004安裝包”配
4. 江民殺毒KV2004離線增量升級包 (2005.12.31)
江民殺毒KV2004離線增量升級包
antivirus.pchome.net/kv/393.html
5. 江民殺毒軟件KV2005 基礎離線包下載 06.13
KV2005是江民科技集十餘年反病毒經驗,根據病毒發展趨勢和電腦用戶的安全需求,由江民
6. 江民殺毒軟件 KV2005AAA 下載版
KV2005是江民科技集十餘年反病毒經驗,根據病毒發展趨
7. 江民殺毒軟件KV2005AAA 標準版
KV2005是江民科技集十餘年反病毒經驗,根據病毒發展趨勢和電腦用戶的安全需求,由江民
8. KV江民殺毒王2004離線增量升級包 (2005.12.30)
①本離線升級包與上面的”KV江民殺毒王2004安裝包”配合使用的; ②用?
download.21cn.com/list.php?id=34314
9. 江民殺毒軟件KV2005升級版(KV2004用戶升級專用) 2005
此軟件專供KV2004用戶升級使用。KV2005是江民科技集十餘年反病毒經驗,根據病毒發展趨
10. 江民殺毒王KV 2005 下載版
KV2005是江民科技集十餘年反病毒經驗,根據病毒發展趨勢和電腦用戶的安全需求,由
download.21cn.com/list.php?id=31823
11. 江民殺毒軟件 KV2005AAA 下載版
KV2005是江民科技集十餘年反病毒經驗,根據病毒發展趨勢和電腦用戶的安全需求,由
download.21cn.com/list.php?id=52327
12. 江民殺毒軟件KV2005升級版(KV2004用戶升級專用) 2005
13. 江民殺毒軟件KV2005下載版 KV2005 1208 KV2005純DOS(U盤+NTFS通用)
14. 江民殺毒軟件 KV2005AAA 標準版
15. 江民殺毒軟件 KV2005AAA 下載版
16. KV江民殺毒王 2004 離線增量升級包 (2005.12.28)
17. 江民殺毒王KV 2005 V08.16 (軟盤+光盤+U盤+NTFS通用)Dos版
18. 江民殺毒軟件KV2005AAA 下載版
down.chinaz.com/S/15942.asp
19. 江民殺毒軟件 KV2005 正式授權版
20. 江民殺毒軟件 KV2005AAA 下載版
soft.mumayi.net/Software/Catalog101/1432.html
分析防火牆技術和入侵檢測技術的優缺點。
防火牆的概念
所謂防火牆指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障。是一種獲取安全性方法的形象說法,它是一種計算機硬件和軟件的結合,使Internet與Intranet之間建立起一個安全網關(Security Gateway),從而保護內部網免受非法用戶的侵入,防火牆主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成。
防火牆就是一個位於計算機和它所連接的網絡之間的軟件或硬件(其中硬件防火牆用的較少,例如國防部以及大型機房等地才用,因為它價格昂貴)。該計算機流入流出的所有網絡通信均要經過此防火牆。
防火牆,英語為firewall,《英漢證券投資詞典》的解釋為:金融機構內部將銀行業務與證券業務嚴格區分開來的法律屏障,旨在防止可能出現的內幕消息共享等不公平交易出現。使用防火牆比喻不要引火燒身。
當然,既然打算由淺入深的來了解,就要先看看防火牆的概念了。防火牆是汽車中一個部件的名稱。在汽車中,利用防火牆把乘客和引擎隔開,以便汽車引擎一旦著火,防火牆不但能保護乘客安全,而同時還能讓司機繼續控制引擎。在電腦術語中,當然就不是這個意思了,我們可以類比來理解,在網絡中,所謂“防火牆”,顧名思義,是一種隔離設備。防火牆是一種高級訪問控制設備,置於不同網絡安全域之間的一系列部件的組合,它是不同網絡安全域之間通信流的唯一通道,能根據用戶有關的安全策略控制進出網絡的訪問行為。從專業角度講,防火牆是位於兩個或多個網絡間,實施網絡訪問控制的組件集合。從用戶角度講,防火牆就是被放置在用戶計算機與外網之間的防禦體系,網絡發往用戶計算機的所有數據都要經過其判斷處理,才決定能否將數據交給計算機,一旦發現數據異常或有害,防火牆就會將數據攔截,從而實現對計算機的保護。防火牆是網絡安全策略的組成部分,它只是一個保護裝置,通過監測和控制網絡間的信息交換和訪問行為來實現對網絡安全的有效管理,其主要目的就是保護內部網絡的安全。
1.2 防火牆的功能
(1)訪問控制:
■ 限制未經授權的用戶訪問本企業的網絡和信息資源的措施,訪問者必需要能適用現行所有的服務和應用。網絡衛士防火牆支持多種應用、服務和協議,支持所有的internet服務,包括安全的web瀏覽器、電子郵件、ftp、telnet及rpc和udp等,還支持如oracle、sybase、sql服務器數據庫訪問和real audio,vodlive、netmeeting和internet phone等這樣的多媒體應用及internet廣播服務。
■ 提供基於狀態檢測技術的ip地址、端口、用戶和時間的管理控制;
■ 訪問控制對象的多種定義方式支持多種方式定義訪問控制對象: ip/mask(如202.100.100.0/24),ip區間(如202.100.100.1-202.100.100.254),ip/mask與通配符,ip區間與通配符等,使配置防火牆的安全策略極為方便。
■ 高效的url和文件級細粒度應用層管理控制;應用層安全控制策略主要針對常用的網絡應用協議http和ftp,控制策略可以實現定義訪問源對象到目標對象間的常用協議命令通過防火牆的權限,源對象可以是網段、主機。http和ftp的協議端口用戶可根據實際情況在策略中定義,協議命令為http和ftp的主要常用命令。通過應用層策略實現了url和文件級的訪問控制。
■ 雙向nat,提供ip地址轉換和ip及tcp/udp端口映射,實現ip復用和隱藏網絡結構:nat在ip層上通過地址轉換提供ip復用功能,解決ip地址不足的問題,同時隱藏了內部網的結構,強化了內部網的安全。網絡衛士防火牆提供了nat功能,並可根據用戶需要靈活配置。當內部網用戶需要對外訪問時,防火牆系統將訪問主體轉化為自己,並將結果透明地返回用戶,相當於一個ip層代理。防火牆的地址轉換是基於安全控制策略的轉換,可以針對具體的通信事件進行地址轉換。internet用戶訪問對內部網絡中具有保留ip主機的訪問,可以利用反向nat實現,即為內部網絡主機在防火牆上映射一註冊ip地址,這樣internet 用戶就可以通過防火牆系統訪問主機了。映射類型可以為ip級和端口級。端口映射可以通過一個註冊ip地址的不同tcp/udp端口映射到多個保留的ip主機。
■ 用戶策略:可以根據企業安全策略,將一次性口令認證與防火牆其它安全機制結合使用,實現對用戶訪問權限的控制。用戶控制策略可以實現用戶之間、用戶與ip網段或主機間的訪問行為,如協議類型、訪問時間等,策略控制對象十分靈活。一次性口令認證方式用於控制內部網與外部網之間的高安全級訪問行為。
■ 接口策略:防止外部機器盜用內部機器的ip地址,這通過防火牆的接口策略實現。網絡衛士防火牆將接口策略加在相應的接口上,以防止其它接口區域的ip被此接口區域內的主機冒用。如在正常情況下,內部ip不可能在防火牆的外部接口作為通信源地址出現,因此可以在外部接口上禁止所有的內部ip作為源地址的通信行為。
■ ip與mac地址綁定:防止防火牆廣播域內主機的ip地址不被另一台機器盜用。也就是說,如果要保護的主機與防火牆直接相連,可以將此機器的ip與其物理網卡地址捆綁,這樣其他內部機器就不可能使用這個ip通過防火牆。
■ ip與用戶綁定:綁定一次性口令用戶到定義ip列表上,防止綁定用戶的從非許可區域通過防火牆。
■ 支持流量管理:流量管理與控制.
■ 可擴展支持計費功能:計費功能可以定義內部網絡ip,記錄內部網絡與外部網絡的方向性通信流量,並可依據ip及用戶統計查詢計費信息。計費模塊還可以提供用戶化計 費信息接口,將計費信息導出到用戶自的計費處理軟件中。
■ 基於優先級的帶寬管理:用戶帶寬最大用量限制,用戶帶寬用量保障,多級用戶優先級設置流量控制功能為用戶提供全部監測和管理網絡的信息。
(2)防禦功能
■ 防tcp、udp等端口掃描:網絡衛士防火牆可以檢測到對網絡或內部主機的所有tcp/udp掃描。
■ 抗dos/ddos攻擊:拒絕服務攻擊(dos)就是攻擊者過多的佔用共享資源,導致服務器超載或系統崩潰,而使正常用戶無法享有服務或沒有資源可用。防火牆通過控制、檢測與報警機制,阻止dos黑客攻擊。
■ 可防禦源路由攻擊、ip碎片包攻擊、dns/rip/icmp攻擊、syn等多種攻擊:網絡衛士防火牆系統可以檢測對網絡或內部主機的多種拒絕服務攻擊。
■阻止activex、java、javascript等侵入:屬於http內容過濾,防火牆能夠從http頁面剝離activex、javaapplet等小程序及從script、php和asp等代碼檢測出危險的代碼,同時,能夠過濾用戶上載的cgi、asp等程序。
■ 提供實時監控、審計和告警功能:網絡衛士防火牆提供對網絡的實時監控,當發現攻擊和危險行為時,防火牆提供告警等功能。
■ 可擴展支持第三方ids入侵檢測系統,實現協同工作:網絡衛士防火牆支持topsec協議,可與第三方ids產品實現無縫集成,協同工作。
(3)用戶認證
因為企業網絡為本地用戶、移動用戶和各種遠程用戶提供信息資源,所以為了保護網絡和信息安全,必須對訪問連接用戶採用有效的權限控制和身份識別,以確保系統安全。
■ 提供高安全強度的一次性口令(otp)用戶認證:一次性口令認證機制是高強度的認證機制,能極大地提高了訪問控制的安全性,有效阻止非授權用戶進入網絡,保證網絡系統的合法使用。一次性口令用戶認證的基本過程是:首先用戶向防火牆發送身份認證請求,並指明自己的用戶名,防火牆收到請求後,向用戶提出挑戰及同步信息,用戶收到此信息後,結合自己的口令,產生一次性口令並發送給防火牆,防火牆判斷用戶答覆是否正確以鑒別用戶的合法性,為防止口令猜測,如果用戶連續三次認證失敗則在一定時間內禁止該用戶認證。由於採用一次性的口令認證機制,即使竊聽者在網絡上截取到口令,由於該口令的有效期僅為一次,故也無法再利用這個口令進行認證鑒別。在實際應用中,用戶採用一次性口令登錄程序登陸時,防火牆向用戶提供一個種子及同步次數,登錄程序根據用戶輸入的口令、種子、同步次數計算出一次性口令並傳給防火牆.用戶可以在不同的服務器上使用不同的種子而口令相同,每次在網絡上傳輸的口令也不同, 用戶可以定期改變種子來達到更高的安全目標.
■ 可擴展支持第三方認證和支持智能ic卡、ikey等硬件方式認證:網絡衛士防火牆有很好的擴展性,可擴展支持radius等認證,提供撥號用戶等安全訪問。也可通過擴展支持支持職能ic卡、ikey等硬件方式認證。
(4)安全管理
■ 提供基於otp機制的管理員認證。
■ 提供分權管理安全機制;提供管理員和審計員分權管理的安全機制,保證安全產品的安全管理。
■ 遠程管理提供加密機制;在進行遠程管理時,管理機和防火牆之間的通訊可進行加密以保證安全,真正實現遠程管理。
■ 遠程管理安全措施:管理源主機限定;並發管理連接數限定;管理接口icmp開關控制;管理接口開關;遠程登錄嘗試鎖定;
■ 提供安全策略檢測機制:網絡衛士防火牆提供規則測試功能,實現策略的控制邏輯檢查,及時發現控制邏輯的錯誤,為用戶檢查規則配置的正確性,完善控制策略提供方便、快捷、有效的工具。
■ 提供豐富完整的審計機制;網絡衛士防火牆產品的日誌審計功能十分完善,有對系統管理體系的分類日誌(管理日誌、通信事件日誌),也有按日期對應的運行日誌。日誌內容包括事件時間及事件摘要等。
■ 提供日誌下載、備份和查詢功能;防火牆的日誌管理方式包括日誌下載、備份和日誌查詢,這為用戶進行日誌的審計和分析提供了方便。防火牆還提供日誌導出工具,將各種日誌信息導出到管理服務器,方便進一步處理。
■ 可擴展支持計費功能。計費模塊提供較強的計費功能。防火牆上設置計費功能可以避免防火牆所保護的內部網計費時,可能因防火牆策略未許可而導致某些用戶計費信息與實際使用的不一致,也彌補了防火牆作地址轉換時,外部網難以計費的缺陷。計費功能可以定義內部網絡ip,記錄內部網絡與外部網絡的方向性通信流量,並可依據ip及用戶統計查詢計費信息。計費模塊還可以提供用戶化計費信息接口,將計費信息導出到用戶自己的計費處理軟件中。
(5)雙機熱備份
提供防火牆的雙機熱備份功能,提高應用系統可靠性和性能。熱備份通過多種方式觸發工作模式切換,模式切換時間短。
(6)操作管理
■ 提供靈活的本地、遠程管理方式;
■ 支持gui和命令行多種操作方式;
■ 可提供基於命令行和gui的本地和遠程配置管理。
1.3 防火牆的分類
(1)從軟、硬件形式上分類
如果從防火牆的軟、硬件形式來分的話,防火牆可以分為軟件防火牆和硬件防火牆以及芯片級防火牆。
■ 軟件防火牆
軟件防火牆運行於特定的計算機上,它需要客戶預先安裝好的計算機操作系統的支持,一般來說這台計算機就是整個網絡的網關。俗稱“個人防火牆”。軟件防火牆就像其它的軟件產品一樣需要先在計算機上安裝並做好配置才可以使用。防火牆廠商中做網絡版軟件防火牆最出名的莫過於Checkpoint。使用這類防火牆,需要網管對所工作的操作系統平台比較熟悉。
■ 硬件防火牆
這裡說的硬件防火牆是指“所謂的硬件防火牆”。之所以加上“所謂”二字是針對芯片級防火牆說的了。它們最大的差別在於是否基於專用的硬件平台。目前市場上大多數防火牆都是這種所謂的硬件防火牆,他們都基於PC架構,就是說,它們和普通的家庭用的PC沒有太大區別。在這些PC架構計算機上運行一些經過裁剪和簡化的操作系統,最常用的有老版本的Unix、Linux和FreeBSD系統。 值得注意的是,由於此類防火牆採用的依然是別人的內核,因此依然會受到OS(操作系統)本身的安全性影響。
■ 芯片級防火牆
芯片級防火牆基於專門的硬件平台,沒有操作系統。專有的ASIC芯片促使它們比其他種類的防火牆速度更快,處理能力更強,性能更高。做這類防火牆最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火牆由於是專用OS(操作系統),因此防火牆本身的漏洞比較少,不過價格相對比較高昂。
(2)從防火牆技術上分類
防火牆技術雖然出現了許多,但總體來講可分為“包過濾型”和“應用代理型”兩大類。前者以以色列的Checkpoint防火牆和美國Cisco公司的PIX防火牆為代表,後者以美國NAI公司的Gauntlet防火牆為代表。
■ 包過濾(Packet filtering)型
包過濾方式是一種通用、廉價和有效的安全手段。之所以通用,是因為它不是針對各個具體的網絡服務採取特殊的處理方式,適用於所有網絡服務;之所以廉價,是因為大多數路由器都提供數據包過濾功能,所以這類防火牆多數是由路由器集成的;之所以有效,是因為它能很大程度上滿足了絕大多數企業安全要求。
在整個防火牆技術的發展過程中,包過濾技術出現了兩種不同版本,稱為“第一代靜態包過濾”和“第二代動態包過濾”。
包過濾方式的優點是不用改動客戶機和主機上的應用程序,因為它工作在網絡層和傳輸層,與應用層無關。但其弱點也是明顯的:過濾判別的依據只是網絡層和傳輸層的有限信息,因而各種安全要求不可能充分滿足;在許多過濾器中,過濾規則的數目是有限制的,且隨着規則數目的增加,性能會受到很大地影響;由於缺少上下文關聯信息,不能有效地過濾如UDP、RPC(遠程過程調用)一類的協議;另外,大多數過濾器中缺少審計和報警機制,它只能依據包頭信息,而不能對用戶身份進行驗證,很容易受到“地址欺騙型”攻擊。對安全管理人員素質要求高,建立安全規則時,必須對協議本身及其在不同應用程序中的作用有較深入的理解。因此,過濾器通常是和應用網關配合使用,共同組成防火牆系統。
■ 應用代理(Application Proxy)型
應用代理型防火牆是工作在OSI的最高層,即應用層。其特點是完全“阻隔”了網絡通信流,通過對每種應用服務編製專門的代理程序,實現監視和控制應用層通信流的作用。其典型網絡結構如圖所示。
在代理型防火牆技術的發展過程中,它也經歷了兩個不同的版本:第一代應用網關型代理防火和第二代自適應代理防火牆。
代理類型防火牆的最突出的優點就是安全。由於它工作於最高層,所以它可以對網絡中任何一層數據通信進行篩選保護,而不是像包過濾那樣,只是對網絡層的數據進行過濾。
另外代理型防火牆採取是一種代理機制,它可以為每一種應用服務建立一個專門的代理,所以內外部網絡之間的通信不是直接的,而都需先經過代理服務器審核,通過後再由代理服務器代為連接,根本沒有給內、外部網絡計算機任何直接會話的機會,從而避免了入侵者使用數據驅動類型的攻擊方式入侵內部網
原創文章,作者:小藍,如若轉載,請註明出處:https://www.506064.com/zh-hant/n/285928.html
微信掃一掃 
支付寶掃一掃 