第一篇:系统安全 三步测试防火墙
系统安全 三步测试防火墙
最近我从测试一家公司的防火墙中学到一点:不要相信任何厂商声称的任何事情,除非你已经亲自测试过产品。这意味着那些“应该有效”或是“过去有 效”的事情可能根本不管用,或者不像你期望地那样运转。在本文中我将讨论如何测试防火墙,你应该实施的三种类型防火墙测试、以及令人意外:对于确保为你的 组织选择最好的防火墙,测试类型并不重要。
测试防火墙的过程可以划分成三个截然不同的阶段:主观性的评价、缓解威胁的有效性以及性能测试。
测试防火墙:主观性评价
你的主观性评价应该基于一个标准列表,而不是功能列表。评审防火墙的每个部分,例如如何定义规则、如何建立VPN隧道、远程访问如何工作,以及威胁缓解功能是如何分层构建于产品之上。记录你的调查结果,并且在你的笔记中添加许多截图。否则在你测试防火墙A时看起来明显的东西,六周后当你评审 防火墙G时,回顾那些调查结果可能会让你感到不解。对你评价的每个标准都做好笔记。
测试防火墙:有效性测试
没有专门的工具很难进行有效性测试,并且即使你拥有专门的工具,你可能无法得到好的结果。有效性测试应该关注于三个领域:入侵预防、防恶意软件和应用识别。
对于入侵预防系统(intrusion prevention system,简称IPS)测试,如果需要的话你可以购买或是租用一些工具,但是你应该能够让每个防火墙厂商运行你指定的测试,虽然通常他们拥有同样的工具。
对于应用识别测试,选取你最关心的应用,并且对真实的服务器进行测试。如果你想阻断点到点(P2P)的文件共享软件,启动一些不同的 Torrent客户端然后观察会发生什么。对于诸如webmail或是Facebook这样的应用也要做同样的测试,它们都是应用识别与控制测试的首要候 选。不用尝试自动化的测试工具,因为测试结果永远不会像真实的应用和真实的服务器通信那样精确。这点对于那些逃避检测的应用特别准,用测试工具永远无法完 美地模拟它们的通信。
测试防火墙:评估性能
性能测试通常也要求专门的工具,但是已经有很多广受人欢迎的开源工具可供选择。当测试性能时记住用空设备检查试验台的测试,一个路由器或是 转接线就不错。这会告诉你试验台的最大速度。从这里开始,要牢记于心网络测试员David Newman的测试定律:测试必须是可重复的,必须是压力性的(对于设备来说,不是对你),必须是有意义的。将你正在测试的设备发挥到它的极限,即使你不 会在实际运行中达到那种程度。这会告诉你未来会在哪里碰壁,以及设备有多少使用上升空间。
不要在一千种不同的环境下测试性能,因为你的网络只会遇到一种环境:现实。尝试构建代表你的网络和使用情况状况的小环境,并且对同等配置的 防火墙进行测试。因为大多数防火墙的大部分工作就是处理HTTP和HTTPS流量,你就放心专注于测试它们。增加额外3%左右的DNS流量会使测试更为复 杂,并且通常不会告诉你任何有用的东西。
性能测试必须有“通过/失败”这样的指标。例如,当防火墙开始拒绝打开新的会话时,应该结束测试因为已经超出了它的极限。你应该也设置其它的上限,例如最大的延迟时间,来定义什么时候防火墙的表现是无法接受的。
完成这三种类型的测试,你会清楚地明白适合组织的最佳防火墙产品。
Web攻防实验室:
第二篇:测试人员面试三步曲(共)
测试人员面试三步曲
春节过后,很多测试朋友都想换换工作,找一个待遇好、环境好,又有自己用武之地和发展空间的工作。在此,我将自己招聘和面试的一些经验与心得汇成三步曲,献给大家,希望对大家找工作能有所帮助。
第一步、投递简历
投递简历,让招聘公司发现你,一般有4种方式:
1.通过招聘网站搜索测试招聘信息,选择合适的公司和职位,投递简历;
2.通过招聘网站发布自己的简历,等待招聘公司发现并下载你的简历;
3.通过本公司内部招聘、内部人员推荐;
4.通过招聘会,现场投递简历。
以上4种招聘方式,最为常用的是1、2两种,而且结合使用,第3种的成功率最高,第4种应用很少。第1种方式是现在大多数测试朋友找工作的主要途径,目前,国内知名的人才招聘网站:中华英才网()、51job前程无忧()、卓博()、中国国家人才网(.cn)、北京人才网()等,相信各位想找工作的测试朋友,早已对这些网站如数家珍了。如果你想被猎头看重,那就赶快注册(更新)一下自己的简历吧,很快将会有一大堆公司给你打电话,通知你去面试,这就是第2种方式。一般说来,你在人才网上发布简历找工作的同时,猎头公司也在找你,所以说,1、2两种方式结合使用。接下来,我们再来探讨一下第3种方式。在外企以及一些大公司,为了减缓员工在从事一项工作几年之后产生的乏味情绪,特别推出一种内部招聘的方式,允许公司内部相关部门的相关人员的应聘,比如说作技术支持的要应聘作市场,作开发的要应聘作测试等等,或者在公司内部公布招聘信息,希望本公司的员工推荐符合招聘要求的人员,可以直接到公司进行面试。因为公司对内部员工相当了解,员工对招聘要求十分清楚,必然按要求搜寻符合条件的熟人进行推荐,所以,公司内部招聘、内部推荐十分容易成功。第4种招聘方式,近两年已经很少应用,因为招聘会有时间限制,还要跑到现场,在人山人海中搜寻符合自己条件的公司和职位,投递简历并进行简单面试,既费时、费力,效果也不佳,故而应用越来越少。
第二步、准备面试
想要参加面试,就一定要做好面试的准备:
公司情况:
在接到面试通知时,一定要简单而客气地询问一下公司的情况,正所谓知己知彼,百战不殆。看看公司是否有你所关注的地方,比如公司的规模、办公地点、测试组的情况等,最主要的要知道公司的主要业务,测试什么,软件还是硬件,那个行业的,问话不要多,否则对方很容易反感,最好是要来对方的公司网址,到网站上浏览一下,大体也就知道了。穿衣戴帽:
陌生人见面,第一印象很重要,你给招聘方的第一印象,主要通过衣着来表现。我们这些测试人员,都是搞技术的IT人士,不能穿的象个新新人类,试想一下,你作为主考官,见一个身穿乞丐服、头戴鸭舌帽的人进来应聘测试工程师,你会相信他的技术吗。所以在面试时,一定要穿洁净、整齐的职业装或者夹克,或者适中的风衣。女士稍微画一点淡妆,男式记得刮胡子。头发都要梳的整齐。
言谈举止:
言谈举止要透出一股自信,让人感觉你就是很棒,什么任务都可以放心的交给你去作,你都
能圆满完成。
证书、简历:
很多公司可能在通知你面试的时候,就会通知你带相关的学历证件、培训证书,如果招聘方没有通知,你可以礼貌的问一下,是否需要携带。至于你的简历,一定要多带上几份,不要以为招聘方看过你的简历,就一定有你的简历。因为也许是人事部发现了你的简历,通知测试部一同面试,或者测试部发现了你的简历,通知人事部一同面试,而面试又是在几天之后的事情,早不知把你的简历扔到哪里去了。你以为网站上有你的简历,可以直接打印,那你就错了。因为招聘负责人可能工作比较忙,比较累,应聘的人又那么多,手头没有现成的简历,随便应付一下,就打发你走了。感觉难受吧,可你改变不了人家,如果不想失去这次机会,就自己准备简历吧,需要就拿出来,不需要可以留着下次用。
语言表达:
面试的关键就是语言表达,看你是否能够很有条理的把自己的经历、知识、技能表达清楚,并且在讲的过程中,注意观察招聘方的表情,看人家是否感兴趣,如果人家皱眉头,表情不悦,就尽快结束自己的话题。因此,在面试之前,你可以自己练习练习。
知识、技能:
知识、技能是测试人员平时积累下来的宝贵财富,面试之前,你可以将其条分缕悉,以备面试时表达清楚。
英语能力:
国内企业对英语要求不是十分苛刻,只要有良好的英文文档阅读能力即可;倘若是外企或者承包外企项目的公司,对英语要求则十分严格:要求你能够用日常英语会话,能够用英语撰写测试文档,汇报测试工作。所以在学习测试知识和技能的同时,我们也要注意对英语知识的积累。
第三步、参加面试
在约定的时间、约定的地点,你最好准时出现,如果不能准时赴约,一定要提前打电话,告知对方是什么原因导致你迟到,多长时间以后能你到达约定地点。进入公司,会有接待人员招呼你坐下,通知招聘负责人接待你面试,此间接待人员会给你送上来一杯水。
1.考试
招聘负责人给你一份试卷(一般为笔试,也有上机的,如果对英语有严格要求,还会有一份英文试卷),规定一定的时限,到时间他来收卷。试卷的命题一般分为填空、选择、判断、逻辑推理、程序改错、简答,也有让你找bug的题,这些题给人的感觉都是在简单中透漏着怪异。如果你问为什么要有考试这一关,招聘人会告诉你,是想考察应聘者的能力。其实,不尽然,最根本是公司的质量保证体系,要求公司所有活动都得有记录,所以才出现了考试这回事。
2.初试
初试是最关键的,几乎决定是否录用你。初试之前招聘负责人可能会寒暄几句,让你放松一下心情。招聘负责人一般有两位,一位负责测试技术,一位负责人事,招聘负责人会作自我介绍,也可能其中一位捎带介绍另一位的资历(比如留美博士),表示这家公司很有诱惑力,连这么好的人才都吸引来了。接下来负责测试技术的会问你几个问题:
请你简单谈谈你的经历?
你在某某家公司主要作哪些工作?
测试过那些东西?
测试流程是什么?
手工测试还是自动测试?
使用过哪些测试工具?使用过Rational系列测试工具吗?
作过白盒测试吗?
作过XXX测试吗?以前接触过XXX吗?你对XXX了解到什么程度?(XXX代
表招聘公司所要测试的东西)
平时使用哪些操作系统?Linux操作熟练吗?
以前作过开发吗?开发了哪些东西?使用的什么语言?
你觉得测试工程师应该具备哪些素质?
对一个测试工程师来说,什么素质最重要?
结合自己的实际工作,谈谈你对测试的理解?
为什么要离开上一家公司?
居住在哪里?离公司远不远?
有经验的招聘负责人都会简单介绍一下自己的公司(背景、主营业务、发展前景等),然后开始问问题。一般开门见山的问题是’请你简单谈谈你的经历?’,回答这个问题,只要简单的叙述你从毕业到现在都在那些公司作了那些事情即可,叙述时一定要从容、清晰而有条理,眼睛瞅着招聘负责人,观察其表情,如果有些不耐烦,要尽早结束这一话题。招聘负责人此时会大致浏览你的简历,在你叙述完自己的经历时,招聘人会就你简历的某一项问你,比如’你在某某家公司主要作什么?测试过那些东西?测试流程是什么?’,待你回答完这些之后,继而问你测试的具体细节,手工测试、自动测试、用过那些工具?是否作过白盒测试?使用过什么操作系统?熟悉那些语言?是否作过开发?如果你肯定回答这些问题,那么还要继续问具体操作,比如你答作过白盒测试,那么招聘人会问你测了哪些东西?怎么进行的?是独立进行的还是和别人一起进行的?测试出的bug 如何处理?是否作进一步的分析?„„
负责测试技术的问完后,就由负责人事的继续发问:
你的期望薪金是多少?税前还是税后?
一旦录用多长时间可以来上班?
你的户口在哪里?调档案是否有问题等?
等你回答完毕,接下来他会告诉你:
公司是否有试用期,试用期多长时间;
试用期的薪金如何发放,其他待遇怎样处理;
如果符合初试条件,多长时间之内通知复试;
有无医疗保险、养老保险、失业保险、住房公基金等福利待遇。
一般面试的会谈与过程掌控在招聘人手中,如果不想变得很被动,就要试着主动发问。不过,招聘人很少会给你机会,或者你问的不是时机,会让他很反感。只有到最后,招聘人才会说“我们的问题问完了,你有什么问题吗?”,这时你就可以放心大胆的问了,比如:
公司是那年成立的?
主要业务是什么?
现有规模怎么样?
测试组的情况怎么样?
作息制度等等?
凡是你所关心的问题都可以问。
之后是几句寒暄的话,诸如:
谢谢您来参加面试
耽误您宝贵时间了
我送您出门
ByeBye,再见
(注明:如果是外企公司或承包外企项目的公司,几乎整个初试将用英语进行。)
这样,初试就结束了。一般初试后一周之内会通知你参加复试,如果没有接到通知,就不要再怀念这家公司了。假如你仍不死心,当然也可以打电话咨询一下,也许他们真的没有想好通知谁复试,也许因为你打了电话,通知复试就是你了;也许他们已经将你Pass掉了,就会委婉的告诉你,或者直截了当的告诉你。
3.复试
在考试和初试综合成绩出来之后,招聘负责人决定推荐几位综合成绩好的初试者给老板(最终负责人),由其对你进行复试。谈话的内容与初试差不多,但你会觉得比较随和,因为大老板一般都很会做人,而且觉得你可能就是我们公司的员工了,所以会相对放松些。
经过复试之后,几乎当场或者很快就会给你电话,告知你被录用了,报到时需要携带哪些证件,询问你何时能够上班?如果复试后几天都没有讯息,就不要再等了,招聘公司已经将你Pass掉了。
(注明:不是所有公司的面试都有考试、初试、复试,但至少一次面谈是必需的)
各位测试朋友,在经历了投递简历、准备面试、参加面试的三步曲之后,总会有一家适合你的公司;如果你经历了几次都没能成功,请不要气馁,也许我们与这些公司之间真的是有些偏差,比如人家要求有手机测试经验,而我们没有,就不要怀疑自己能力不行; 比如人家要求熟练使用Rational系列测试工具,我们现在不擅长,就可以向熟悉Rational工具的人学习学习。总之,无论成功、失败,我们都要保持一种谦虚、自信的态度,来面对人生中的一次又一次面试。
第三篇:系统安全
系统安全.txt我退化了,到现在我还不会游泳,要知道在我出生之前,我绝对是游的最快的那个转自小木虫论坛http://emuch.net/bbs/viewthread.php?tid=178421&fpage=7别再使用使用电脑公司GHOST版系统了我的朋友告诉我有天晚上他在下载东西,睡不着,又闲着无聊,就拿出了扫描工具[s.exe,这个扫描工具的速度我认为是非常快的],扫描了
[***.***.1.1 ***.***.254.254]开了3389的IP,结果太另我惊奇了,开了3389的集子居然有186台(时间是晚上1点多),这个还不算什么,我就去连接远程桌面了,[对方是WindowsXP的系统]自然是要用户名和密码了,我就拿[Administrator,密码为空]居然让我进去了,而且[Administrator是第一次登陆,没有个人设置的]我就去看看他有哪些用户,Guest自然是禁用的了,只有两个管理员号码[Administrator和new],我没动它,管理员和我一样,在下载东西,我加了他QQ,传了个Radmin,搞定之后,我便去看看其他的3389机器了!我连接第二个扫描出来的3389IP也是WindowsXP的系统,还是老路用[Administrator,密码空]去连的时候,提示[new]在线,我就有点奇怪了,他们两个人的用户怎么是一样的啊,也没怎么在意,这个IP暂时放一边,换IP去连。IP在连,我的心也在凉!我连了186个IP,发现了一个特点:都开放了3389端口,都有Administrator和new这个用户,而且密码都为空。这意味着什么呢!还有一台电脑我进去了,他是刚装的系统和驱动,什么都没设置,人不在,我看了他可能把硬盘全格式化了,里面都没文件。现在我就能确定一件事情啦:他们安装完系统之后,就开了3389,而且建立了一个用户[new,密码空]。怎么可以这样实现呢,据我初步估计,他们一定是在网上下载了GHOST版系统,很可能是,别人在自己的系统里面做了后门,然后做成了镜像,给你们下载!当你们安装了之后。。。。以上的事情绝对是真实的!在此,我强烈建议大家不要为了省时间,安装GHOST系统,论坛上志鸿兄弟的那个就很好啊,或者你直接下一个xp505原版的iso算号安装。大家看了这个帖子之后就到命令提示符下面去打这个命令:netstat-na上面的那个命令是可以查看自己开了哪些端口的!还有就是给自己的用户设置好密码,特别提醒,发现自己有new这个用户的朋友,建议你们换系统吧(估计你们还是很菜,即使在论坛上说了怎么搞,你们也未必会搞)!好了,我就写到这里了,下面的事情,你们自己去办吧!解决方案:1.系统属性——远程——把“允许从这台计算机发送远程协助邀请”和“允许用户远程连接到此计算机”复选框前面的勾去掉!2.开始——控制面板——管理工具——服务,“Terminal Services”(允许用户以交互方式连接到远程计算机。远程桌面、快速用户切换、远程协助和终端服务器依赖此服务-停止或禁用此服务会使您的计算机变得不可靠。要阻止远程使用此计算机,请在“系统”属性控制面板项目上清除“远程”选项卡上的复选框。)括号里的是关于这个服务的描述。禁用了吧!3.开始——控制面板——管理工具——本地安全策略——本地策略——用户权限分配——通过终端服务允许登陆,你把“Administrators”和“Remote Desktop Users”删除。4.把用户[new]、用户[Guest]和用户[Administrator]重命名,并且设置一个强密码(推荐:字母+数字+字符,的组合)!5.控制面板——Windows防火墙——例外——把“远程桌面”前的复选框的勾去掉!
6.从IP策略里面关闭木马和病毒默认开放的端口。7.安装第三方防火墙!8.多去看看系统日志(开始——控制面板——管理工具——事件查看器)9.平时多用netstat-na这个命令,去看看有没有开放陌生的端口(运行cmd,在命令提示符下输入netstat-na),也许。。10.养成良好的上网习惯!本人经瑞星防火墙验证确实有人通过3389端口连接我的电脑。有江西、陕西、河北等地,请大家注意。
第四篇:系统安全
系统安全
各种信息系统的信息量吞吐庞大,而且需要不间断地实时运行。因此系统应具有高稳定性和高安全性,以防范电子威胁、物理威胁和信息威胁等。
系统安全包括多个方面:物理安全,数据安全,通信/网络安全,操作系统安全,应用软件安全以及管理安全。系统安全示意图如下图所示:
图系统安全示意图
1物理安全
物理平台安全指运行整个系统所需要的基本环境设施,包括计算机房、电源供给和备份等。 计算机房安全措施
计算机机房及相关设施的设计与建设,必须符合国家、行业和地方有关的技术规范和标准,以保障环境安全。 电源供给系统安全措施
电源供给是整个系统的生命线,必须考虑设计三种保障机制:第一种方式是双电路供电,即完全引用两个不同的输配电网在线电源供电;第二种方式是发电机热备份,即在正常状态下由能够满足负荷要求的专用发电机提供在线电源热备份;第三种方式是由大功率不间断电源供给系统在线电源热备份。 消防安全措施
主要设施与环境的消防安全保障,必须符合国家、行业和地方有关的规范和标准,以保障环境安全。 选用高可靠性服务器以及其他硬件设施
硬件设施本身可靠性以及性能对系统的安全性影响至关重要,只有选用经过长期稳定使用的,高可靠性的硬件产品才能保证整个系统在运转中长期处于可靠、高效、安全的状态。2网络安全
采用专网设计,运用网闸等先进工具保证数据的物理隔离,实现各个子网的物理隔离。3数据安全
保证数据库的安全与稳定,对纯粹数据信息的安全保护,以
数据库信息的保护最为典型。对各种功能文件的保护,终端安全很重要。为确保这些数据的安全,在网络信息安全系统的设计中必须包括以下内容:
采用高可靠版本的SQL Server 2008数据库,配置安全级别以及访问控制。
采用本地热备份、远程异地热备份和第三方承保的方式进行数据备份,保障数据安全。 配置数据备份和恢复工具 采用数据访问控制措施 进行用户的身份鉴别与权限控制 采用数据机密性保护措施,如密文存储 采用数据完整性保护措施 防止非法软件拷贝和硬盘启动 防病毒
备份数据的安全保护 4系统安全
该层次的安全问题来自网络内使用的操作系统的安全和应用软件的安全。主要表现在以下方面,一是操作系统本身的缺陷带来的不安全因素,主要包括身份认证、访问控制、系统漏洞等。二是对运行操作系统的物理设备损坏问题。三是病毒对操作系统的威胁。我们将采用CA认证机制等并设置复杂的访问密码,配置
完善的安全策略,同时采用多种操作系统,多机多信道冗余以及采用先进的防病毒、防黑客工具,最大限度地防止上述不安全因素造成损失。
同时,也应考虑在登入应用软件系统时的身份验证,数据传输过程中的信息加密,指挥过程中的身份确认和身份控制以及软件系统的使用权限等问题。
同时,应用软件系统将采用严格的身份认证和权限控制机制,运用多层次的用户权限,包括系统级权限,模块级权限,功能级权限,字段级权限以及业务记录级权限等。采用严格的用户授权管理保证不同的权限访问不同的数据。
系统级权限:不同权限的用户访问不同的功能模块,实现功能模块访问的权限划分。
业务级权限:不同权限的用户访问功能模块中的不同子模块,实现细小功能模块的权限控制。
功能权限:不同权限的用户访问功能模块中的不同业务功能,限制部分业务功能的使用范围,保证系统安全。
字段级权限:限制未授权用户/访问修改被保护的数据,保证了敏感数据的安全。
业务记录级权限:限制部分用户只能访问/修改某些被授权的数据,例如操作员只能访问模块中有关自己业务范畴的数据,但领导可以访问各种数据,统揽全局。
为此,系统需要记录详尽的操作日志,使任何操作有据可查。
5管理安全
安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。管理的制度化极大程度地影响着整个网络的安全,严格的安全管理制度、明确的部门安全职责划分、合理的人员角色配置都可以在很大程度上降低其它层次的安全漏洞。 针对网络系统,随着安全工程的规划与实施,必须逐渐建立健全一套自上而下的安全组织机构与有关管理的规章制度。 与网络安全工程的层次结构相对应,安全组织结构也应采用分层结构。建议指定专门机构和人员,负责全网所有日常安全管理活动,主要职责有:(1)监视全网运行和安全告警信息
(2)网络各个层次审计与日志信息的常规分析(3)安全设备的常规设置与维护
(4)全网与下一级网络安全策略的规划、制定与实施(5)网络安全事件的处理等
在下属各专网设置安全工作小组,接受全网安全管理中心的指导,主要负责该层次网络的安全事务。
网络系统的安全规章制度分两部分,一是国家及主管部门在信息安全方面的法律、法规与规定;另一部分是网络系统自身的制度和规定,它应该与网络所采取的各种安全机制相辅相成,互为补充。
可采用动态登入密码机制,保护密码安全。
第五篇:防火墙论文
防火墙技术论文
姓 名:王田辉 学 号:2012110438 专 业:网络工程
摘要
本文介绍了防火墙的概念、分类、发展历程、工作原理、主要技术及相关的特性。防火墙是一种访问控制技术,它通过在某个机构的网络和不安全的网络之间设置障碍,阻止信息资源的非法访问。说明了网络常见攻击方式以及防火墙应对策略。分析了防火墙技术在Internet安全上的重要作用,并提出其不足之处 和解决方案。最后展望了防火墙的反战前景以及技术方向。
关键字:防火墙;网络;网络安全;功能;Internet;
Abstract The paper introduces the concept, classification and firewall development course, working principle and main technology and related properties.A firewall is a kind of access control technology, it is through the network and in some institutions unsafe network between obstacles, stop the illegal access to information resources.Explain the network attack mode and common firewall strategies.Analysis on the Internet security firewall technology was proposed, and the important role of the deficiencies and solutions.Finally discussed the prospect and the anti-war firewall technology trends.Key words: firewall, Network, Network security, Function, Internet,目录
一、防火墙是什么.........................................1
二、防火墙的分类.........................................1
三、防火墙的发展历程.....................................1
四、防火墙的工作原理.....................................2
五、防火墙应该具备的特性.................................2
六、防火墙主要技术.......................................2
七、常见攻击方式以及应对策略.............................3
八、防火墙的反战前景以及技术方向.........................3
九、结束语...............................................4
十、参考文献.............................................4 现在无论是企业,还是个人,随着计算机的应用由单机发展到网络,网络面临着大量的安全威胁,其安全问题日益严重,日益成为广泛关注的焦点。在这样一个大环境下,网络安全问题凝了人们的注意力,大大小小的企业纷纷为自己的内部网络“筑墙”,防病毒与防黑客成为确保企业信息系统安全的基本手段。因此信息安全,网络安全的问题已经引起各国,各部门,各行各业以及每个计算机用户的充分重视。
一、防火墙是什么
防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。
二、防火墙的分类
防火墙又大致分为硬件防火墙和软件防火墙:硬件防火墙是指把防火墙程序做到芯片里面,由硬件执行这些功能,能减少CPU的负担,使路由更稳定。硬件防火墙一般都有WAN、LAN和DMZ三个端口,还具有各种安全功能,价格比较高,企业以及大型网络使用得比较多。软件防火墙其实就是安全防护软件,比如天网防火墙、金山网镖、蓝盾防火墙等等。
三、防火墙的发展历程
目前的防火墙无论从技术上还是产品发展历程上,都经历了五个发展阶段。第一代防火墙技术几乎与路由器同时出现,采用了包过滤技术。1989年,贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙——应用层防火墙(代理防火墙)的初步结构。第四代防火墙是1992年,USC信息科学院的BobBraden开发出了基于动态包过滤技术的第四代防火墙,后来演变为目前所说的状态监视技术。1994年,以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。第五代防火墙是1998年,NAI公司推出了一种自适应代理技术,并在其产品Gauntlet Firewall for NT中得以实现,给代理类型的防火墙赋予了全新的意义。高级应用代理的研究,克服速度和安全性之间的矛盾,可以称之为第五代防火墙。前五代防火墙技术有一个共同的特点,就是采用逐一匹配方法,计算量太大。包过滤是对IP包进行匹配检查,状态检测包过滤除了对包进行匹配检查外还要对状态信息进行匹配检查,应用代理对应用协议和应用数据进行匹配检查。因此,它们都有一个共同的缺陷,安全性越高,检查的越多,效率越低。用一个定律来描述,就是防火墙的安全性与效率成反比。
四、防火墙的工作原理
天下的防火墙至少都会说两个词:Yes或者No。直接说就是接受或者拒绝。最简单的防火墙是以太网桥。但几乎没有人会认为这种原始防火墙能管多大用。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样:有的取代系统上已经装备的TCP/IP协议栈;有的在已有的协议栈上建立自己的软件模块;有的干脆就是独立的一套操作系统。还有一些应用型的防火墙只对特定类型的网络连接提供保护(比如SMTP或者HTTP协议等)。还有一些基于硬件的防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做防火墙,因为他们的工作方式都是一样的:分析出入防火墙的数据包,决定放行还是把他们扔到一边。所有的防火墙都具有IP地址过滤功能。这项任务要检查IP包头,根据其IP源地址和目标地址作出放行/丢弃决定。
五、防火墙应该具备的特性
当前的防火墙需要具备如下的技术、功能、特性,才可以成为企业用户欢迎的防火墙产品:
1、安全、成熟、国际领先的特性;
2、具有专有的硬件平台和操作系统平台;
3、采用高性能的全状态检测(Stateful Inspection)技术;
4、具有优异的管理功能,提供优异的GUI管理界面;
5、支持多种用户认证类型和多种认证机制;
6、需要支持用户分组,并支持分组认证和授权;
7、支持内容过滤;
8、支持动态和静态地址翻译(NAT;
9、支持高可用性,单台防火墙的故障不能影响系统的正常运行;
10、支持本地管理和远程管理;
11、支持日志管理和对日志的统计分析;
12、实时告警功能,在不影响性能的情况下,支持较大数量的连接数;
13、在保持足够的性能指标的前提下,能够提供尽量丰富的功能;
14、可以划分很多不同安全级别的区域,相同安全级别可控制是否相互通讯;
15、支持在线升级;
16、支持虚拟防火墙及对虚拟防火墙的资源限制等功能;
17、防火墙能够与入侵检测系统互动。
六、防火墙主要技术
先进的防火墙产品将网关与安全系统合二为一,具有以下技术:双端口或三端口的结构;透明的访问方式;灵活的代理系统;多级的过滤技术;网络地址转换技术(NAT);Internet网关技术;安全服务器网络(SSN);用户鉴别与加密;用户定制服务;审计和告警。
七、常见攻击方式以及应对策略
(一)病毒
策略:设定安全等级,严格阻止系统在未经安全检测的情况下执行下载程序;或者通过常用的基于主机的安全方法来保护网络。
(二)口令字
对口令字的攻击方式有两种:穷举和嗅探。穷举针对来自外部网络的攻击,来猜测防火墙管理的口令字。嗅探针对内部网络的攻击,通过监测网络获取主机给防火墙的口令字。
策略:设计主机与防火墙通过单独接口通信(即专用服务器端口)、采用一次性口令或禁止直接登录防火墙。
(三)邮件
来自于邮件的攻击方式越来越突出,在这种攻击中,垃圾邮件制造者将一条消息复制成成千上万份,并按一个巨大的电子邮件地址清单发送这条信息,当不经意打开邮件时,恶意代码即可进入。
策略:打开防火墙上的过滤功能,在内网主机上采取相应阻止措施。
(四)IP地址
黑客利用一个类似于内部网络的IP地址,以“逃过”服务器检测,从而进入内部网达到攻击的目的。策略:通过打开内核rp_filter功能,丢弃所有来自网络外部但却有内部地址的数据包;同时将特定IP地址与MAC绑定,只有拥有相应MAC地址的用户才能使用被绑定的IP地址进行网络访问。
八、防火墙的反战前景以及技术方向
伴随着Internet的飞速发展,防火墙技术与产品的更新步伐必然会加强,而要全面展望防火墙技术的发展几乎是不可能的。但是,从产品及功能上,却又可以看出一些动向和趋势。下面诸点可能是下一步的走向和选择:
(1)防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展。
(2)过滤深度会不断加强,从目前的地址、服务过滤,发展到URL(页面)过滤、关键字过滤和对ActiveX、Java等的过滤,并逐渐有病毒扫描功能。
(3)利用防火墙建立专用网是较长一段时间用户使用的主流,IP的加密需求越来越强,安全协议的开发是一大热点。
(4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。(5)对网络攻击的检测和各种告警将成为防火墙的重要功能。(6)安全管理工具不断完善,特别是可以活动的日志分析工具等将成为防火墙产品中的一部分。 另外值得一提的是,伴随着防火墙技术的不断发展,人们选择防火墙的标准将主要集中在易于管理、应用透明性、鉴别与加密功能、操作环境和硬件要求、VPN 的功能与CA的功能、接口的数量、成本等几个方面。几乎所有接触网络的人都知道网络中有一些费尽心机闯入他人计算机系统的人,他们利用各种网络和系统的漏洞,非法获得未授权的访问信息。不幸的是如今攻击网络系统和窃取信息已经不需要什么高深的技巧。网络中有大量的攻击工具和攻击文章等资源,可以任意使用和共享。不需要去了解那些攻击程序是如何运行的,只需要简单的执行就可以给网络造成巨大的威胁。甚至部分程序不需要人为的参与,非常智能化的扫描和破坏整个网络。这种情况使得近几年的攻击频率和密度显著增长,给网络安全带来越来越多的安全隐患
九、结束语
随着Internet/Intranet技术的飞速发展,网络安全问题必将愈来愈引起人们的重视。防火墙技术作为目前用来实现网络安全措施的一种主要手段,它主要是用来拒绝未经授权用户的访问,阻止未经授权用户存取敏感数据,同时允许合法用户不受妨碍的访问网络资源。如果使用得当,可以在很大程度上提高网络安全。但是没有一种技术可以百分之百地解决网络上的所有问题,比如防火墙虽然能对来自外部网络的攻击进行有效的保护,但对于来自网络内部的攻击却无能为力。事实上60%以上的网络安全问题来自网络内部。因此网络安全单靠防火墙是不够的,还需要有其它技术和非技术因素的考虑,如信息加密技术、身份验证技术、制定网络法规、提高网络管理人员的安全意识等等。
十、参考文献
[1] 作者:彭涛.《计算机网络教程 》 机械工业出版社 [2] 作者:IBON.Marshield 《网络安全技术白皮书》 艾邦公司资料
[3] 作者:楚狂 等 《网络安全与Firewall技术》 人民邮电出版社 [4] 作者:聂元铭 丘平《网络信息安全技术》 科学出版社
点击咨询 