第一篇:各类防火墙的优缺点
二、各类防火墙的优缺点 1.包过滤防火墙
使用包过滤防火墙的优点包括:
防火墙对每条传入和传出网络的包实行低水平控制。
每个IP包的字段都被检查,例如源地址、目的地址、协议、端口等。防火墙将基于这些信息应用过滤规则。
防火墙可以识别和丢弃带欺骗性源IP地址的包。
包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通过防火墙,绕过是困难的。
包过滤通常被包含在路由器数据包中,所以不必额外的系统来处理这个特征。
使用包过滤防火墙的缺点包括:
配置困难。因为包过滤防火墙很复杂,人们经常会忽略建立一些必要的规则,或者错误配置了已有的规则,在防火墙上留下漏洞。然而,在市场上,许多新版本的防火墙对这个缺点正在作改进,如开发者实现了基于图形化用户界面(GUI)的配置和更直接的规则定义。
为特定服务开放的端口存在着危险,可能会被用于其他传输。例如,Web服务器默认端口为80,而计算机上又安装了RealPlayer,那么它会搜寻可以允许连接到RealAudio服务器的端口,而不管这个端口是否被其他协议所使用,RealPlayer正好是使用80端口而搜寻的。就这样无意中,RealPlayer就利用了Web服务器的端口。
可能还有其他方法绕过防火墙进入网络,例如拨入连接。但这个并不是防火墙自身的缺点,而是不应该在网络安全上单纯依赖防火墙的原因。2.状态/动态检测防火墙
状态/动态检测防火墙的优点有:
检查IP包的每个字段的能力,并遵从基于包中信息的过滤规则。
识别带有欺骗性源IP地址包的能力。
包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通过防火墙,绕过是困难的。基于应用程序信息验证一个包的状态的能力,例如基于一个已经建立的FTP连接,允许返回的FTP包通过。
基于应用程序信息验证一个包状态的能力,例如允许一个先前认证过的连接继续与被授予的服务通信。
记录有关通过的每个包的详细信息的能力。基本上,防火墙用来确定包状态的所有信息都可以被记录,包括应用程序对包的请求,连接的持续时间,内部和外部系统所做的连接请求等。
状态/动态检测防火墙的缺点:
状态/动态检测防火墙唯一的缺点就是所有这些记录、测试和分析工作可能会造成网络连接的某种迟滞,特别是在同时有许多连接激活的时候,或者是有大量的过滤网络通信的规则存在时。可是,硬件速度越快,这个问题就越不易察觉,而且防火墙的制造商一直致力于提高他们产品的速度。3.应用程序代理防火墙
使用应用程序代理防火墙的优点有:
指定对连接的控制,例如允许或拒绝基于服务器IP地址的访问,或者是允许或拒绝基于用户所请求连接的IP地址的访问。
通过限制某些协议的传出请求,来减少网络中不必要的服务。
大多数代理防火墙能够记录所有的连接,包括地址和持续时间。这些信息对追踪攻击和发生的未授权访问的事件事很有用的。
使用应用程序代理防火墙的缺点有:
必须在一定范围内定制用户的系统,这取决于所用的应用程序。
一些应用程序可能根本不支持代理连接。4.NAT
使用NAT的优点有:
所有内部的IP地址对外面的人来说是隐蔽的。因为这个原因,网络之外没有人可以通过指定IP地址的方式直接对网络内的任何一台特定的计算机发起攻击。
如果因为某种原因公共IP地址资源比较短缺的话,NAT可以使整个内部网络共享一个IP地址。可以启用基本的包过滤防火墙安全机制,因为所有传入的包如果没有专门指定配置到NAT,那么就会被丢弃。内部网络的计算机就不可能直接访问外部网络。
使用NAT的缺点:
NAT的缺点和包过滤防火墙的缺点是一样的。虽然可以保障内部网络的安全,但它也是一些类似的局限。而且内网可以利用现流传比较广泛的木马程序可以通过NAT做外部连接,就像它可以穿过包过滤防火墙一样的容易。
注意:现在有很多厂商开发的防火墙,特别是状态/动态检测防火墙,除了它们应该具有的功能之外也提供了NAT的功能。5.个人防火墙
个人防火墙的优点有:
增加了保护级别,不需要额外的硬件资源。
个人防火墙除了可以抵挡外来攻击的同时,还可以抵挡内部的攻击。
个人防火墙是对公共网络中的单个系统提供了保护。例如一个家庭用户使用的是Modem或ISDN/ADSL上网,可能一个硬件防火墙对于他来说实在是太昂贵了,或者说是太麻烦了。而个人防火墙已经能够为用户隐蔽暴露在网络上的信息,比如IP地址之类的信息等。
个人防火墙的缺点:
个人防火墙主要的缺点就是对公共网络只有一个物理接口。要记住,真正的防火墙应当监视并控制两个或更多的网络接口之间的通信。这样一来的话,个人防火墙本身可能会容易受到威胁,或者说是具有这样一个弱点,网络通信可以绕过防火墙的规则。
第二篇:防火墙的类型及主要优缺点
防火墙的类型 概念以及主要优缺点
2008年10月27日 星期一 下午 03:22 什么是防火墙
对于企业的网络而言,未加特别安全保护而放臵在internet上,危险性是显而易见的。随着决策层对安全认识的逐步加强,防火墙,作为一种应用非常广泛,技术相对比较成熟的网络安全产品也在不同的企业愈来愈多的得到了重视。然而一个现实的问题是目前关于防火墙的名词以及厂家基于商业目的宣称花样为数众多,这就给使用者选择和应用防火墙带来了一定的误解和困难。那么什么是防火墙,主要的防火墙之间如何区别呢?
对于防火墙的概念,我们可以这样理解:防火墙是在两个网络间实现访问控制的一个或一组软件或硬件系统。防火墙的最主要功能就是屏蔽和允许指定的数据通讯,而该功能的实现又主要是依靠一套访问控制策略,由访问控制策略来决定通讯的合法性。
那么如何理解种类众多的防火墙呢,下面来做个介绍。
防火墙的类型
如果我们从OSI分层模式来考察及分类防火墙,会比较容易的把握住防火墙的脉络,个人认为,目前主要的防火墙可以分为三类,它们分别是: 包过滤防火墙、基于状态的包过滤防火墙、应用代理(网关)防火墙,而由这三类防火墙可以推导和演绎出其它可能的变化。
下面我们来逐一说明。
包过滤防火墙
首先,我们要提到的是最基本的报文过滤的防火墙,这个层次的防火墙通常工作在OSI的三层及三层以下,由此我们可以看出,可控的内容主要包括报文的源地址、报文的目标地址、服务类型,以及第二层数据链路层可控的MAC地址等。除此以外,随着包过滤防火墙的发展,部分OSI四层的内容也被包括进来,如报文的源端口和目的端口。
本层次最常见的实际应用的例子就是互联网上的路由设备,比如常见的cisco路由器,使用者可以通过定制访问控制列(ACL)来对路由器进出端口的数据包进行控制,如针对rfc1918的保留地址进屏蔽,在路由器上可以进行如下配臵:
interface x
ip access-group 101 in
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 permit ip any any
从上面这个例子可以很明显的看出,路由器这里的配臵完全是针对OSI的三层ip地址,也就是ip的包头进行过滤,至于这些IP数据包里携带的具体有什么内容,路由器完全不会去关心。
由此考虑一下,我们就不难看出这个层次的防火墙的优点和弱点:
1.基于报文过滤的防火墙一个非常明显的优势就是速度,这是因为防火墙只是去检察数据包的包头,而对数据包所携带的内容没有任何形式的检查,因此速度非常快。
2.还有一个比较明显的好处是,对用户而言,包过滤防火墙是透明的,无需用户端进行任何配臵。
包过滤防火墙的特性决定了它很适合放在局域网的前端,由它来完成整个安全工作环节中的数据包前期处理工作,如:控制进入局域网的数据包的可信任ip,对外界开放尽量少的端口等。与此同时,这种防火墙的弊端也是显而易见的,比较关键的几点包括:
1.由于无法对数据包及上层的内容进行核查,因此无法过滤审核数据包的内容。体现这一问题的一个很简单的例子就是:对某个端口的开放意味着相应端口对应的服务所能够提供的全部功能都被放开,即使通过防火墙的数据包有攻击性,也无法进行控制和阻断。比如针对微软IIS漏洞的Unicode攻击,因为这种攻击是走的防火墙所允许的80端口,而包过滤的防火墙无法对数据包内容进行核查,因此此时防火墙等同于虚设,未打相应patch的提供web服务的系统,即使在防火墙的屏障之后,也会被攻击者轻松拿下超级用户的权限。
2.由于此种类型的防火墙工作在较低层次,防火墙本身所能接触到的信息较少,所以它无法提供描述事件细致的日志系统,此类防火墙生成的日志常常只是包括数据包捕获时间,三层的ip地址,四层的端口等非常原始的信息。我们可以先把下面要讲的ipmon的软件的日志拿来看看
Nov 23 14:13:05 y.y.y.y ipmon[10841]: 14:13:04.733237 hme0 @0:13 b x.x.x.x,4131-> y.y.y.y,3389 PR tcp len 20 48-S IN
3.我们可以从上面看个大概,这个防火墙于仅仅记录了11月23日14点13分防火墙block了从ip地址x.x.x.x,端口4131来的,目的端口是3389,目的ip是y.y.y.y的包头为20字节,净荷长度为28的数据包。至于这个数据包内容是什么,防火墙不会理会,这恰恰对安全管理员而言是至为关键的。因为即使一个非常优秀的系统管理员一旦陷入大量的通过/屏蔽的原始数据包信息中,往往也是难以理清头绪的,当发生安全事件时会给管理员的安全审计带来了很大的困难。
4.所有有可能用到的端口都必须静态放开,对外界暴露,从而极大的增加了被攻击的可能性,这个问题一个很好的例子就是unix下的危险的rpc服务,它们也工作在高端口,而针对这些服务的攻击程序在互联网上异常流行。
5.如果网络结构比较复杂,那么对管理员而言配臵ACL将是非常恐怖的事情。当网络发展到一定规模时,ACL出错几乎是必然的,这一点相信许多大型站点的系统管理员印象深刻。基于状态的包过滤防火墙
上面我们讲到的包过滤防火墙在具体实施的时候,管理员会遇到一些非常棘手的问题:网络上数据的传输是双向的,因此所有服务所需要的数据包进出防火墙的端口都要仔细的被考虑到,否则,会产生意想不到的情况。然而我们知道,当被防火墙保护的设备与外界通讯时,绝大多数应用要求发出请求的系统本身提供一个端口,用来接收到外界返回的数据包,而且这个端口一般是在1023到16384之间不定的,这就增加了设计控制访问规则的难度。这里我们可以捕获一次由client到server的80端口访问的一些纪录来形象说明这个问题(截取的内容略有删节):
17:48:52.513355 IP penetrat.1134 > server.80: S 1253142352:1253142352
17:48:52.515991 IP server.80 > penetrat.1134: S 1867056172:1867056172 ack 1253142353
17:48:52.516126 IP penetrat.1134 > server.80:.ack 1
我们可以从上述内容中看到,client为了完成对server的www.xiexiebang.comes the limitations of the previous two approaches by providing full application-layer awareness without breaking the client/server model.Stateful Inspection extracts the state-related information required for security decisions from all application layers and maintains this information in dynamic state tables for evaluating subsequent connection attempts.This provides a solution that is highly secure and offers maximum performance, scalability, and extensibility.Check Point FireWall-1 is based upon Stateful Inspection, which has become the defacto standard for firewalls.综合checkpoint网站的资料,我们可以通俗的将这种Stateful Inspection大致理解为,防火墙的内核中运行着Stateful Inspectionsm engine,由它在OSI底层对接收到的数据包进行审核,当接收到的数据包符合访问控制要求时,将该数据包传到高层进行应用级别和状态的审核,如果不符合要求,则丢弃。由于Stateful Inspectionsm engine工作在内核中,因此效率和速度都能得到很好的保证,同时由于Stateful Inspectionsm engine能够理解应用层的数据包,所以能够快速有效的在应用层进行数据包审核。
关于checkpoint的专利技术Stateful Inspectionsm engine,该公司有如下说明: This provides important system flexibility, allowing Check Point, as well as its technology partners and end-users, to incorporate new applications, services, and protocols, without requiring new software to be loaded.For most new applications, including most custom applications developed by end users, the communication-related behavior of the new application can be incorporated simply be modifying one of Firewall-1's built-in script templates via the graphical user interface.Even the most complex applications can be added quickly and easily via the INSPECT language.按照上面的理解,对新的应用程序的防火墙支持是无需在增加新的软件的,但本人认为,此处值得商榷,在checkpoint公司主页上,有专门的一部分介绍Application Support,也就是说,用户购臵的checkpoint防火墙内部已经支持了相应的程序的审核,这一点应该是没有问题的。但是,除此之外,当用户的网络上增加了新的应用时,并需要防火墙支持该应用时,应该并不会如上述说明那么简单,因为对应用的支持并不是简单的增加端口,修改脚本那么容易完成的。Stateful Inspectionsm engine必须理解该应用的比较具体的实现方法。比如国内广泛使用的oicq,防火墙增加对qq的支持,并不是系统管理员点几下鼠标,敲击几次键盘就能轻松完成的。
个人认为,其实基于状态检查的防火墙其设计思想可能还是源于基于状态的包过滤防火墙,只是在此基础上又增加了对应用层数据包的审核而已,但是由于本人没有实际使用过,因此无法下定论。
防火墙的附加功能
目前的防火墙还往往能够提供一些特殊的功能,如:
1.IP转换 IP转换主要功能有二,一是隐藏在其后的网络设备的真实IP,从而使入侵者无法直接攻击内部网络,二是可是使用rfc1918的保留IP,这对解决ip地址匮乏的网络是很实用的。
2.虚拟企业网络 VPN在国外使用的较多,国内也开始逐渐得到应用。它是指在公共网络中建立的专用加密虚拟通道,以确保通讯安全。
3.杀毒 一般都通过插件或联动实现。
4.与IDS联动 目前实现这一功能的产品也有逐渐增多的趋势。
5.GUI界面管理 传统以及一些*nix下free的防火墙一般都是通过命令行方式来键入命令来控制访问策略的,商用的防火墙一般都提供了web和gui的界面,以便于管理员进行配臵工作。
6.自我保护,流控和计费等其它功能。
选购和使用防火墙的误区
就本人几年来系统管理员的经验看来,防火墙在选购和使用时经常会有一些误区,如下:
1.最全的就是最好的,最贵的就是最好的 这个问题常常出现在决策层,相信“全能”防火墙,认为防火墙要包括所有的模块,求大而全,不求专而精,不清楚自己的企业需要保护什么,常常是白花了大量的经费却无法取得应有的效果。
2.一次配臵,永远运行 这个问题往往都在经验不足的系统管理员手上出现,在初次配臵成功的情况下,就将防火墙永远的丢在了一边,不再根据业务情况动态的更改访问控制策略-请注意本文一开始讲到的,缺乏好的允许或者拒绝的控制策略,防火墙将起不到任何作用。
3.审计是可有可无的 这个问题也出现在系统管理员手上出现,表现为对防火墙的工作状态,日志等无暇审计,或即使审计也不明白防火墙的纪录代表着什么,这同样是危险的。
4.厂家的配臵无需改动 目前国内比较现实的情况是很多公司没有专业的技术人员来进行网络安全方面的管理,当公司购臵防火墙等产品时,只能依靠厂家的技术人员来进行配臵,但应当警惕的是,厂家的技术人员即使技术精湛,往往不会仔细的了解公司方面的业务,无法精心定制及审核安全策略,那么在配臵过程中很可能会留下一些安全隐患。作为防火墙的试用方不能迷信厂家的技术,即使对技术不是非常清楚,也非常有必要对安全策略和厂家进行讨论。
第三篇:防火墙案例
据统计,本周瑞星共截获了875810个钓鱼网站,共有451万网民遭遇钓鱼网站攻击。瑞星安全专家提醒用户,在机场、图书馆、咖啡馆等公共场所使用免费WiFi上网时,一定要注意安全,不要随意连接没有设置密码的网络。目前,发现很多黑客会在公共WiFi场所私自搭建不设密码的“小WiFi”,用户一旦接入,上网提交的各种数据、账号、密码极有可能被截获,从而导致个人隐私泄露。网民上网时,一定要向网络提供商询问清楚,避免出现信息丢失的问题。本周要警惕一个名为Ngrbot蠕虫后门的病毒,这是一个蠕虫类型的后门病毒,病毒代码经过加密,病毒运行后,首先会进行解密,然后将其代码注入到新启动的进程中,使病毒代码得以运行。
大家在了解了防火墙技术、产品、方案和选购等系列内容后,似乎就等着买回一款产品安装,然后就可以高忱无忧地享用防火墙了。然而,我们有所不知,除选购合适的防火墙外,更为重要的是用好防火墙。不少用户在花费大量资金购置防火墙之后,由于缺乏相应技术贮备或对产品功能的了解,并没能充分发挥防火墙的作用。
事实上,在防火墙安装和投入使用后,并非就是万事大吉了。首先,防火墙的安全防护功能的发挥需要依赖很多因素,不仅某些病毒和黑客可以通过系统漏洞或者其他手段避开防火墙,内部人员管理控制欠完善也有可能使得防火墙形同虚设。其次,为了提高防火墙的安全性,用户可以将防火墙和其他安全工具相结合,例如和漏洞扫描器与IDS搭配使用。还有,要想充分发挥防火墙的安全防护作用,必须对它进行升级和维护,要与厂商保持密切的联系,时刻注视厂商的动态。因为厂商一旦发现其产品存在安全漏洞,就会尽快发布补丁产品,此时应及时对防火墙进行更新。
为了让大家更好地使用防火墙,我们从反面列举4个有代表性的失败案例,以警示读者。例1:未制定完整的企业安全策略
网络环境:某中型企业购买了适合自己网络特点的防火墙,刚投入使用后,发现以前局域网中肆虐横行的蠕虫病毒不见了,企业网站遭受拒绝服务攻击的次数也大大减少了,为此,公司领导特意表扬了负责防火墙安装实施的信息部。
该企业内部网络的核心交换机是带路由模块的三层交换机,出口通过路由器和ISP连接。内部网划分为5个VLAN,VLAN
1、VLAN 2和VLAN 3分配给不同的部门使用,不同的VLAN之间根据部门级别设置访问权限;VLAN 4分配给交换机出口地址和路由器使用;VLAN 5分配给公共服务器使用。在没有加入防火墙之前,各个VLAN中的PC机能够通过交换机和路由器不受限制地访问Internet。加入防火墙后,给防火墙分配一个VLAN 4中的空闲IP地址,并把网关指向路由器;将VLAN 5接入到防火墙的一个网口上。这样,防火墙就把整个网络分为3个区域: 内部网、公共服务器区和外部网,三者之间的通信受到防火墙安全规则的限制。
问题描述:防火墙投入运行后,实施了一套较为严格的安全规则,导致公司员工无法使用QQ聊天软件,于是没过多久就有员工自己拨号上网,导致感染了特洛依木马和蠕虫等病毒,并立刻在公司内部局域网中传播开来,造成内部网大面积瘫痪。
问题分析:我们知道,防火墙作为一种保护网络安全的设备,必须部署在受保护网络的边界处,只有这样防火墙才能控制所有出入网络的数据通信,达到将入侵者拒之门外的目的。如果被保护网络的边界不惟一,有很多出入口,那么只部署一台防火墙是不够的。在本案例中,防火墙投入使用后,没有禁止私自拨号上网行为,使得许多PC机通过电话线和Internet相连,导致网络边界不惟一,入侵者可以通过攻击这些PC机然后进一步攻击内部网络,从而成功地避开了防火墙。
解决办法:根据自己企业网的特点,制定一整套安全策略,并彻底地贯彻实施。比如说,制定一套安全管理规章制度,严禁员工私自拨号上网;同时封掉拨号上网的电话号码,并购买检测拨号上网的软件,这样从管理和技术上杜绝出现网络边界不惟一的情况发生。另外,考虑到企业员工的需求,可以在防火墙上添加按照时间段生效的安全规则,在非工作时间打开QQ使用的TCP/UDP端口,使得企业员工可以在工余时间使用QQ聊天软件。
结论和忠告:防火墙只是保证安全的一种技术手段,要想真正实现安全,安全策略是核心问题。例2:未考虑防火墙的可扩充性
问题描述:某大型企业一年前购买了几十台防火墙,分布在总部局域网和全国各地的分支机构中。刚投入使用后,各部门和分支机构都反映不错,没有影响到网络性能。随着信息化程度的不断提高,该企业决定构建视频会议系统,却发现防火墙不支持该应用协议,如果要实现视频会议,必须让防火墙打开一个很大的缺口,这会留下很大的安全隐患。
问题分析:视频会议系统一般都采用H.323协议(ITU-T第16工作组的建议,由一组协议构成,其中有负责音频与视频信号的编码、解码和包装,有负责呼叫信令收发和控制的信令,还有负责能力交换的信令。),在创建符合H.323协议的Voice-Over-IP(IP语音)通道时,需要用到TCP协议的1720、1731和1735等端口,并且会使用到TCP协议(传输控制协议)的、大于1024的端口及UDP协议的、大于30000的端口,这些端口是动态随机选取的。如果防火墙没有专门针对H.323协议实现动态包过滤,那么必须静态地配置安全规则,打开TCP协议1024到65535之间的所有端口以及UDP协议(用户数据包协议)30000到65535之间的所有端口,这样等于给防火墙打开了一个缺口,留下了安全隐患。此外,视频会议系统对于网络的服务质量和语音传输的优先级要求很高,如果防火墙不支持QoS(服务质量)功能,就无法保证参加视频会议的主机的的语音和视频质量。本案例说明了企业在选购防火墙时没有充分考虑到今后网络的扩展性,导致防火墙不能适应新的应用环境。
解决办法:购买防火墙前应充分考虑到各种应用的可能性。如果问题已经发生,请求防火墙厂商或安全集成商帮助解决。
结论和忠告:“安全当头,应用为先”。如果不支持诸如视频等网络应用,再好的安全设施也是没有意义的。请关注防火墙的功能是否全面,是否全面兼容各种应用协议。
例3:未考虑与其他安全产品的配合使用
问题描述:某公司购买了防火墙后,紧接着又购买了漏洞扫描和IDS(入侵检测系统)产品。当系统管理员利用IDS发现入侵行为后,必须每次都要手工调整防火墙安全策略,使管理员工作量剧增,而且经常调整安全策略,也给整个网络带来不良影响。
问题分析:选购防火墙时未充分考虑到与其他安全产品如IDS的联动功能,导致不能最大程度地发挥安全系统的作用。
解决办法:购买防火墙前应查看企业网是否安装了漏洞扫描或IDS等其他安全产品,以及具体产品名称和型号,然后确定所要购买的防火墙是否有联动功能(即是否支持其他安全产品,尤其是IDS产品),支持的是哪些品牌和型号的产品,是否与已有的安全产品名称相符,如果不符,最好不要选用,而选择能同已有安全产品联动的防火墙。这样,当IDS发现入侵行为后,在通知管理员的同时发送消息给防火墙,由防火墙自动添加相关规则,把入侵者拒之门外。
结论和忠告:保护网络安全不仅仅是防火墙一种产品,只有将多种安全产品无缝地结合起来,充分利用它们各自的优点,才能最大限度地保证网络安全。
例4:未经常维护升级防火墙
问题描述:某政府机构购置防火墙后已安全运行一年多,由于该机构网络结构一直很稳定,没有什么变化,各种应用也运行稳定,因此管理员逐渐放松了对防火墙的管理,只要网络一直保持畅通即可,不再关心防火墙的规则是否需要调整,软件是否需要升级。而且由于该机构处于政府专网内,与Internet物理隔离,防火墙无法实现在线升级。因此该机构的防火墙软件版本一直还是购买时的旧版本,虽然管理员一直都收到防火墙厂家通过电子邮件发来的软件升级包,但从未手工升级过。在一次全球范围的蠕虫病毒迅速蔓延事件中,政府专网也受到蠕虫病毒的感染,该机构防火墙因为没有及时升级,无法抵御这种蠕虫病毒的攻击,造成整个机构的内部网大面积受感染,网络陷于瘫痪之中。
问题分析:安全与入侵永远是一对矛盾。防火墙软件作为一种安全工具,必须不断地升级与更新才能应付不断发展的入侵手段,过时的防护盾牌是无法抵挡最先进的长矛的。作为安全管理员来说,应当
时刻留心厂家发布的升级包,及时给防火墙打上最新的补丁。
解决办法:及时维护防火墙,当本机构发生人员变动、网络调整和应用变化时,要及时调整防火墙的安全规则,及时升级防火墙。
结论和忠告:保护网络安全是动态的过程,防火墙需要积极地维护和升级。
可疑的事件划分为几类:一是知道事件发生的原因,而且这不是一个安全方面的问题;二是不知道是什么原因,也许永远不知道是什么原因引起的,但是无论它是什么,它从未再出现过;三是有人试图侵入,但问题并不严重,只是试探一下;四是有人事实上已经侵入。
这些类别之间的界限比较含糊。要提供以上任何问题的详细征兆是不可能的,但是下面这些归纳出的经验可能会对网络系统管理员有所帮助。如果发现以下情况,网络系统管理员就有理由怀疑有人在探试站点:一是试图访问在不安全的端口上提供的服务(如企图与端口映射或者调试服务器连接);二是试图利用普通账户登录(如guest);三是请求FTP文件传输或传输NFS(Network File System,网络文件系统)映射;四是给站点的SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)服务器发送debug命令。
如果网络系统管理员见到以下任何情况,应该更加关注。因为侵袭可能正在进行之中:一是多次企图登录但多次失败的合法账户,特别是因特网上的通用账户;二是目的不明的数据包命令;三是向某个范围内每个端口广播的数据包;四是不明站点的成功登录。
如果网络系统管理员了发现以下情况,应该怀疑已有人成功地侵入站点:一是日志文件被删除或者修改;二是程序突然忽略所期望的正常信息;三是新的日志文件包含有不能解释的密码信息或数据包痕迹;四是特权用户的意外登录(例如root用户),或者突然成为特权用户的意外用户;五是来自本机的明显的试探或者侵袭,名字与系统程序相近的应用程序;六是登录提示信息发生了改变。
4)对试探作出的处理
通常情况下,不可避免地发觉外界对防火墙进行明显试探——有人向没有向Internet提供的服务发送数据包,企图用不存在的账户进行登录等。试探通常进行一两次,如果他们没有得到令人感兴趣的反应,他们通常就会走开。而如果想弄明白试探来自何方,这可能就要花大量时间追寻类似的事件。然而,在大多数情况下,这样做不会有很大成效,这种追寻试探的新奇感很快就会消失。
一些人满足于建立防火墙机器去诱惑人们进行一般的试探。例如,在匿名的FTP区域设置装有用户账号数据的文件,即使试探者破译了密码,看到的也只是一个虚假信息。这对于消磨空闲时间是没有害处的,这还能得到报复的快感,但是事实上它不会改善防火墙的安全性。它只能使入侵者恼怒,从而坚定了入侵者闯入站点的决心。
保持最新状态
保持防火墙的最新状态也是维护和管理防火墙的一个重点。在这个侵袭与反侵袭的领域中,每天都产生新的事物、发现新的毛病,以新的方式进行侵袭,同时现有的工具也会不断地被更新。因此,要使防火墙能同该领域的发展保持同步。
当防火墙需要修补、升级一些东西,或增加新功能时,就必须投入较多的时间。当然所花的时间长短视修补、升级、或增加新功能的复杂程度而定。如果开始时对站点需求估计的越准确,防火墙的设计和建造做的越好,防火墙适应这些改变所花的时间就越少。
瑞星防火墙2012版正在进行火热公测,其主打的“安全上网”、“绿色上网”和“智能上网”包含了数十项专业防火墙功能,保护网购、网游、微博、办公等常见应用面临的各种上网安全和黑客攻击问题.通过测试发现,瑞星防火墙2012版确实带来了很多实用且好用的功能,下面选择几个跟大家一起分享一下。
亮点1:IP切换器——家庭、公司网络切换智能瞬间搞定!
笔记本用户经常能够面对的一个问题就是,在家里、公司或其它地方上网,每次都需要设置网络ip地址、dns服务器地址等信息,非常麻烦。瑞星防火墙2012版中新增加的“IP切换器”就是帮助用户在多个网络间连接时,能够无缝的自动进行网络接入,省去频繁的网络配置。
本人平时工作的时候经常遇到这样一个麻烦——有时要使用外网IP,有时又要使用内网的IP,然而同时设置两个IP又会出现一些不方便的问题。而“IP切 换器”正是解决这个问题的,使用IP切换可以设置好各个场所的网络配置。当你到某个场所时,只需要鼠标轻轻一点,便可以自动切换到该场所的网络环境了。
亮点2:网速保护——有限网速内的最合理分配,看网页,下载两不误!
网速是有限的,而下载、看片、玩游戏是无限的!在使用下载工具进 行下载或者在线看视频的时候,经常因为带宽问题导致浏览网页时候半天没有打开,严重的时候可能会出现“无法显示该页面”。瑞星防火墙2012版的“网速保 护”功能就是当出现这种情况时,可以根据网络情况进行必要的调整和重新分配,使浏览网页的请求和响应可以得到足够的网速保障,以达到在网速不足时流畅浏览 网页的目的。
亮点3:ADSL优化——群租用户的上网必备利器!再也不用担心多人上网的问题了!
还是那句话,网速是有限的,但到了晚上上网高峰时,多人抢占有限的带宽,有人用bt下载、有人在线看片、有人打游戏,总会有不和谐的声音~
瑞星防火墙2012版的新功能“ADSL优化”功能:当用户使用ADSL共享多台电脑上网的时候,此功能可以根据网络情况来合理分配网络带宽,避免某台 电脑因为下载而导致其他电脑无法正常上网的问题。在“我的带宽”那里输入当前带宽,单击“已开启”按钮即可启动此功能。
QoS(Quality of Service)服务质量,是网络的一种安全机制,是用来解决网络延迟和阻塞等问题的一种技术。在正常情况下,如果网络只用于特定的无时间限制的应用系统,并不需要QoS,比如Web应用,或E-mail设置等。但是对关键应用和多媒体应用就十分必要。当网络过载或拥塞时,QoS 能确保重要业务量不受延迟或丢弃,同时保证网络的高效运行。
VoIP(Voice over Internet Protocol)简而言之就是将模拟声音讯号(Voice)数字化,以数据封包(Data Packet)的形式在 IP 数据网络(IP Network)上做实时传递。VoIP最大的优势是能广泛地采用Internet和全球IP互连的环境,提供比传统业务更多、更好的服务。VoIP可以在IP网络上便宜的传送语音、传真、视频、和数据等业务,如统一消息、虚拟电话、虚拟语音/传真邮箱、查号业务、Internet呼叫中心、Internet呼叫管理、电视会议、电子商务、传真存储转发和各种信息的存储转发等。
在选择使用协议的时候,选择UDP必须要谨慎。在网络质量令人不十分满意的环境下,UDP协议数据包丢失会比较严重。但是由于UDP的特性:它不属于连接型协议,因而具有资源消耗小,处理速度快的优点,所以通常音频、视频和普通数据在传送时使用UDP较多,因为它们即使偶尔丢失一两个数据包,也不会对接收结果产生太大影响。比如我们聊天用的ICQ和QQ就是使用的UDP协议。
第四篇:防火墙 实验报告
一、实验目的
通过实验深入理解防火墙的功能和工作原理 熟悉天网防火墙个人版的配置和使用
二、实验原理
防火墙的工作原理
防火墙能增强机构内部网络的安全性。防火墙系统决定了哪些内部服务可以被外界访问;外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过,而且防火墙本身也必须能够免于渗透。
两种防火墙技术的对比
包过滤防火墙:将防火墙放置于内外网络的边界;价格较低,性能开销小,处理速度较快;定义复杂,容易出现因配置不当带来问题,允许数据包直接通过,容易造成数据驱动式攻击的潜在危险。
应用级网关:内置了专门为了提高安全性而编制的Proxy应用程序,能够透彻地理解相关服务的命令,对来往的数据包进行安全化处理,速度较慢,不太适用于高速网(ATM或千兆位以太网等)之间的应用。
防火墙体系结构
屏蔽主机防火墙体系结构:在该结构中,分组过滤路由器或防火墙与 Internet 相连,同时一个堡垒机安装在内部网络,通过在分组过滤路由器或防火墙上过滤规则的设置,使堡垒机成为 Internet 上其它节点所能到达的唯一节点,这确保了内部网络不受未授权外部用户的攻击。
双重宿主主机体系结构:围绕双重宿主主机构筑。双重宿主主机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器;它能够从一个网络到另外一个网络发送IP数据包。但是外部网络与内部网络不能直接通信,它们之间的通信必须经过双重宿主主机的过滤和控制。
被屏蔽子网体系结构:添加额外的安全层到被屏蔽主机体系结构,即通过添加周边网络更进一步的把内部网络和外部网络(通常是Internet)隔离开。被屏蔽子网体系结构的最简单的形式为,两个屏蔽路由器,每一个都连接到周边网。一个位于周边网与内部网络之间,另一个位于周边网与外部网络(通常为Internet)之间。
四、实验内容和步骤
(1)简述天网防火墙的工作原理 天网防火墙的工作原理:
在于监视并过滤网络上流入流出的IP包,拒绝发送可疑的包。基于协议特定的标准,路由器在其端口能够区分包和限制包的能力叫包过滤。由于Internet 与Intranet 的连接多数都要使用路由器,所以Router成为内外通信的必经端口,Router的厂商在Router上加入IP 过滤功能,过滤路由器也可以称作包过滤路由器或筛选路由器。防火墙常常就是这样一个具备包过滤功能的简单路由器,这种Firewall应该是足够安全的,但前提是配置合理。然而一个包过滤规则是否完全严密及必要是很难判定的,因而在安全要求较高的场合,通常还配合使用其它的技术来加强安全性。
路由器逐一审查数据包以判定它是否与其它包过滤规则相匹配。每个包有两个部分:数据部分和包头。过滤规则以用于IP顺行处理的包头信息为基础,不理会包内的正文信息内容。包头信息包括:IP 源地址、IP目的地址、封装协议(TCP、UDP、或IP Tunnel)、TCP/UDP源端口、ICMP包类型、包输入接口和包输出接口。如果找到一个匹配,且规则允许这包,这一包则根据路由表中的信息前行。如果找到一个匹配,且规则拒绝此包,这一包则被舍弃。如果无匹配规则,一个用户配置的缺省参数将决定此包是前行还是被舍弃。
(2)实验过程 步骤:
(1)运行天网防火墙设置向导,根据向导进行基本设置。
(2)启动天网防火墙,运用它拦截一些程序的网络连接请求,如启动Microsoft Baseline Security Analyzer,则天网防火墙会弹出报警窗口。此时选中“该程序以后都按照这次的操作运行”,允许MBSA对网络的访问。
(3)打开应用程序规则窗口,可设置MBSA的安全规则,如使其只可以通过TCP协议发送信息,并制定协议只可使用端口21和8080等。了解应用程序规则设置方法。
(4)使用IP规则配置,可对主机中每一个发送和传输的数据包进行控制;ping局域网内机器,观察能否收到reply;修改IP规则配置,将“允许自己用ping命令探测其他机器”改为禁止并保存,再次ping局域网内同一台机器,观察能否收到reply。改变不同IP规则引起的结果:
规则是一系列的比较条件和一个对数据包的动作,即根据数据包的每一个部分来与设置的条件比较,当符合条件时,就可以确定对该包放行或者阻挡。通过合理设置规则就可以把有害的数据包挡在机器之外。
(5)将“允许自己用ping命令探测其他机器”改回为允许,但将此规则下移到“防御ICMP攻击”规则之后,再次ping 局域网内的同一台机器,观察能否收到reply。
(6)添加一条禁止邻居同学主机连接本地计算机FTP服务器的安全规则;邻居同学发起FTP请求连接,观察结果。
(7)观察应用程序使用网络的状态,有无特殊进程在访问网络,若有,可用“结束进程”按钮来禁止它们。
(8)察看防火墙日志,了解记录的格式和含义。日志的格式和含义:
天网防火墙将会把所有不符合规则的数据包拦截并且记录下来,如图 15 所示。每条记 录从左到右分别是发送/接受时间、发送 IP 地址、数据传输封包类型、本机通信端口、标 志位和防火墙的操作。
五、实验总结
通过该实验了解了个人防火墙的工作原理和规则设置方法,了解到天火防火墙的优点及缺点:
1、灵活的安全级别设置
2、实用的应用程序规则设置
3、详细的访问记录
4、严密的应用程序网络状态监控功能
5、多样的缺省IP规则
6、可以自定义IP规则
7、具有修补系统漏洞功能。
第五篇:防火墙总结
大石头中心校
构筑校园消防安全“防火墙”工作总结
学校消防安全工作是学校综合治理的重要内容,关系到学校财产安全和教师员工的生命安全。对于这项工作,我们从来不敢有丝毫懈怠与麻痹大意。为了深入贯彻实施《中华人民共和国消防法》,切实加强火灾防控工作,创新校园消防安全管理模式,提升学校消防安全管理水平,提高我校师生消防安全意识和自救自护能力,保证全校师生的人身、财产安全,根据市政府统一部署和《敦化市构筑社会消防安全“防火墙”工程实施方案》,根据市教育局的要求,我校全面深入制定计划,在实际工作中能坚持做到不断总结经验教训,不断改进和完善工作方法,提高安全防范能力,将事故隐患减少到最低指数,最大可能的提供安全保障,确保学校发展不受影响。以下是构筑校园消防安全“防火墙”三年工作总结:
一、宣传发动,统一思想,营造创建学校消防安全工作氛围
学校在学生安全方面所采取的一系列措施,充分利用学校的校园网、宣传橱窗、黑板报、学校广播等宣传阵地进行大力宣传。对师生进行交通安全、防电、防火、预防食物中毒、预防手足口病等教育,学校建立了义务消防队,对有关人员定期培训,熟悉消防防备,掌握火警处置及启动消防设施设备的程序和方法。我校加大“防火墙”工程主题的宣传,普及消防知识,组织学生进行了消防安全演练,教给学会正确使用灭火器以及掌握逃生的方法,使每一位学生普遍掌握火警电话,知道如何报警等基本常识。另外学校加强了值班管理制度,1
值班领导和教师要提前到岗,严禁校外人员进入学校,从而保证学生的安全。
通过学习宣传,大家统一了思想,提高了认识。因此,把安全防范和教学质量作为学校一切工作中最主要的两件事来抓,做到“两手都硬”。同时重视并抓好学校消防安全工作。近几年,教学资源和教学设施还不能完全跟上变化的形势,还不能满足教学的需要。因此,校园不安全因素较以前增多,校园发生安全事故的可能性比以前大大增加。这就给学校的消防安全工作提出了更高的要求,决不能掉以轻心,麻痹大意。再者,创建平安学校是实践“三个代表”重要思想的具体体现,这对于坚持社会主义办学方向,全面贯彻党的教育方针,构建社会主义和谐社会,培养合格的社会主义事业建设者和接班人同样具有重要意义。
在教育活动中,每学期学校做到了“六个一”即:一份计划、一次国旗下讲话、一次安全知识讲座、一堂主题班会、一次图片展览、一期黑板报。同时,对创建中的典型事例和经验做法及时利用校广播加以宣传报道,积极营造创建学校消防安全工作的良好氛围。
二、健全组织,落实责任,探索创建学校消防安全工作新机制
学校领导高度重视学校消防安全工作,成立了由张校长总负责的消防安全工作领导小组。
组 长:张 波(校长)负责学校的全面安全防火工作
副组长:赵永成(德育副校长)协助校长做好学校安全防火工作、各领导办公室安全防火工作
胡学文(教学副校长)协助校长做好学校安全防火工作、各教师办公室安全防火工作
刘书昌(工会主席)具体负责学校安全防火工作
组 员:陈 赞(支部副书记)负责宿舍、卫生室、图书室、档案室、会议室安全防火工作
高永清(教导主任)负责实验室、微机室、多功能室安全防火工作
宋立刚(少先队辅导员)负责各班级安全防火工作 李志强(总务主任)负责食堂、商店、库房、村小学安全防火工作
朱 哲(保卫干事)负责警务室、值班室安全防火工作 武吉富(保卫科长)负责学校安全防火检
贯彻实施《消防法》和《吉林省消防条例》,认真落实“政府统一领导、部门依法监管、单位全面负责、公民积极参与”的消防工作原则,学校把消防安全工作具体任务落实到班级负责人,按照“谁主管,谁负责”的原则,各层次负责人分别和下属各部门责任人签订消防安全责任书。这样明确分工,责任到人,使全校创建最安全学校工作“事事有人做,人人有事做”,形成了“上下联动,齐抓共管” 的管理格局。学校消防安全工作领导小组具体统筹、组织、协调学校消防安全工作的日常督查、记载等工作。做到工作有计划、有布置、有检查。把此项工作落到实处,推进学校消防安全管理创新,前移火灾预防关口,提升学校火灾防控水平
三、完善制度,奖惩结合,落实创建各项措施
1、落实消防安全责任制:制定各岗位消防安全职责,学校逐级与消防安全责任人之间签订消防安全责任书。
2、建立、完善和落实消防安全规章制度:学校建立了《消防安 3
全宣传教育制度》《防火巡查、检查制度》《安全疏散设施管理制度》《消防器材、设施维护保养制度》、《灭火和应急疏散预案演练制度》。按照“安全第一,预防为主”的原则,要求各责任部门、责任人对安全工作做到“每天必查,有查必记,有患必除”,保证安全工作一项不漏,一个盲点不留,一个隐患不存。
3、坚持落实学校消防安全工作的考核机制。
4、完善消防基础设施:按国家规范配置灭火器,电器产品的安装、使用和线路敷设符合国家规范,无私拉乱接电气线路,学生宿舍内无违章用电的行为,疏散通道畅通,学生宿舍外窗无影响安全疏散和应急救援的栅栏,图书室、学校宿舍置火灾应急照明。
5、加强防火巡查、检查,及时消防火灾隐患:学校每月组织开展一次防火检查。防火巡查对查出的火灾隐患要及时整改。
6、制定应急疏散预案,适时组织开展演练:学校每年组织开展1-2次应急疏散预案演练。
四、以人为本,“三防”齐抓,构建创建工作网络、加强消防消安全宣传教育工作,强化“四个能力”建设。
1、将消防安全教育纳入学校的日常教学内容,每个学期每个班级都安排2节消防安全知识课。
2、每个学期组织学生接受一次消防安全教育。
3、在校园内或学生宿舍都有永久性消防安全宣传标语,在校园内开辟1个消防安全教育宣传栏。
4、学校组织开展了“消防安全宣传教育月”活动。向学生传授日常防火、火场逃生自救等消防常识。
五、输导结合,形式多样,重视法制宣教工作
采取多种形式,开展安全教育。学校利用升旗、班会、健康教育课对学生进行安全意识教育和自救自护的常识教育。组织师生开展消防疏散演练活动,教会学生火灾逃生自救的方法。
学校消防安全工作是学校工作的重要组成部分。做好这项工作是维护稳定大局的需要,是学校生存、发展的需要。我校消防安全工作,取得了一些成绩,但与上级领导的要求相比,与日益变化的客观形势要求相比还存在一定的差距。三年“防火墙”工程虽已结束,但我们绝不会松懈、放松警惕,我们仍将一如既往,加大工作力度,促使我校消防安全学校工作再上新的台阶。
2012年10月28日