第一篇:防火墻的主要類(lèi)型
防火墻的主要類(lèi)型
按照防火墻實(shí)現(xiàn)技術(shù)的不同可以將防火墻為以下幾種主要的類(lèi)型。
1.包過(guò)濾防火墻
數(shù)據(jù)包過(guò)濾是指在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行分析、選擇和過(guò)濾。選擇的數(shù)據(jù)是系統(tǒng)內(nèi)設(shè)置的訪問(wèn)控制表(又叫規(guī)則表),規(guī)則表制定允許哪些類(lèi)型的數(shù)據(jù)包可以流入或流出內(nèi)部網(wǎng)絡(luò)。通過(guò)檢查數(shù)據(jù)流中每一個(gè)IP數(shù)據(jù)包的源地址、目的地址、所用端口號(hào)、協(xié)議狀態(tài)等因素或它們的組合來(lái)確定是否允許該數(shù)據(jù)包通過(guò)。包過(guò)濾防火墻一般可以直接集成在路由器上,在進(jìn)行路由選擇的同時(shí)完成數(shù)據(jù)包的選擇與過(guò)濾,也可以由一臺(tái)單獨(dú)的計(jì)算機(jī)來(lái)完成數(shù)據(jù)包的過(guò)濾。
數(shù)據(jù)包過(guò)濾防火墻的優(yōu)點(diǎn)是速度快、邏輯簡(jiǎn)單、成本低、易于安裝和使用,網(wǎng)絡(luò)性能和通明度好,廣泛地用于Cisco和Sonic System等公司的路由器上。缺點(diǎn)是配置困難,容易出現(xiàn)漏洞,而且為特定服務(wù)開(kāi)放的端口存在著潛在的危險(xiǎn)。
例如:“天網(wǎng)個(gè)人防火墻”就屬于包過(guò)濾類(lèi)型防火墻,根據(jù)系統(tǒng)預(yù)先設(shè)定的過(guò)濾規(guī)則以及用戶自己設(shè)置的過(guò)濾規(guī)則來(lái)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的流動(dòng)情況進(jìn)行分析、監(jiān)控和管理,有效地提高了計(jì)算機(jī)的抗攻擊能力。
2、應(yīng)用代理防火墻 應(yīng)用代理防火墻能夠?qū)⑺锌缭椒阑饓Φ木W(wǎng)絡(luò)通信鏈路分為兩段,使得網(wǎng)絡(luò)內(nèi)部的客戶不直接與外部的服務(wù)器通信。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的連接由兩個(gè)代理服務(wù)器之間的連接來(lái)實(shí)現(xiàn)。有點(diǎn)是外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器,從而起到隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用;缺點(diǎn)是執(zhí)行速度慢,操作系統(tǒng)容易遭到攻擊。
代理服務(wù)在實(shí)際應(yīng)用中比較普遍,如學(xué)校校園網(wǎng)的代理服務(wù)器一端接入Internet,另一端介入內(nèi)部網(wǎng),在代理服務(wù)器上安裝一個(gè)實(shí)現(xiàn)代理服務(wù)的軟件,如WinGate Pro、Microsoft Proxy Server等,就能起到防火墻的作用。
3、狀態(tài)檢測(cè)防火墻
狀態(tài)檢測(cè)防火墻又叫動(dòng)態(tài)包過(guò)濾防火墻。狀態(tài)檢測(cè)防火墻在網(wǎng)絡(luò)層由一個(gè)檢查引擎截獲數(shù)據(jù)包并抽取出與應(yīng)用狀態(tài)有關(guān)的信息。一次作為數(shù)據(jù)來(lái)決定該數(shù)據(jù)包是接受還是拒絕。檢查引擎維護(hù)一個(gè)動(dòng)態(tài)的狀態(tài)信息表并對(duì)后續(xù)的數(shù)據(jù)包進(jìn)行檢查,一旦發(fā)現(xiàn)任何連接的參數(shù)有意外變化,該連接就被終止。
狀態(tài)檢測(cè)防火墻克服了包過(guò)濾防火墻和應(yīng)用代理防火墻的局限性,能夠根據(jù)協(xié)議、端口及IP數(shù)據(jù)包的源地址、目的地址的具體情況來(lái)決定數(shù)據(jù)包是否可以通過(guò)。
在實(shí)際使用中,一般綜合采用以上幾種技術(shù),使防火墻產(chǎn)品能夠滿足對(duì)安全性、高效性、適應(yīng)性和易管性的要求,再集成防毒軟件的功能來(lái)提高系統(tǒng)的防毒能力和抗攻擊能力,例如,瑞星企業(yè)級(jí)防火墻RFW-100就是一個(gè)功能強(qiáng)大、安全性高的混合型防火墻,它集網(wǎng)絡(luò)層狀態(tài)包過(guò)濾、應(yīng)用層專(zhuān)用代理、敏感信息的加密傳輸和詳盡靈活的日志審計(jì)等都腫安全技術(shù)于一身,可根據(jù)用戶的不同需求,提供強(qiáng)大的訪問(wèn)控制、信息過(guò)濾、代理服務(wù)和流量統(tǒng)計(jì)等功能。
第二篇:防火墻的類(lèi)型及主要優(yōu)缺點(diǎn)
防火墻的類(lèi)型 概念以及主要優(yōu)缺點(diǎn)
2008年10月27日 星期一 下午 03:22 什么是防火墻
對(duì)于企業(yè)的網(wǎng)絡(luò)而言,未加特別安全保護(hù)而放臵在internet上,危險(xiǎn)性是顯而易見(jiàn)的。隨著決策層對(duì)安全認(rèn)識(shí)的逐步加強(qiáng),防火墻,作為一種應(yīng)用非常廣泛,技術(shù)相對(duì)比較成熟的網(wǎng)絡(luò)安全產(chǎn)品也在不同的企業(yè)愈來(lái)愈多的得到了重視。然而一個(gè)現(xiàn)實(shí)的問(wèn)題是目前關(guān)于防火墻的名詞以及廠家基于商業(yè)目的宣稱花樣為數(shù)眾多,這就給使用者選擇和應(yīng)用防火墻帶來(lái)了一定的誤解和困難。那么什么是防火墻,主要的防火墻之間如何區(qū)別呢?
對(duì)于防火墻的概念,我們可以這樣理解:防火墻是在兩個(gè)網(wǎng)絡(luò)間實(shí)現(xiàn)訪問(wèn)控制的一個(gè)或一組軟件或硬件系統(tǒng)。防火墻的最主要功能就是屏蔽和允許指定的數(shù)據(jù)通訊,而該功能的實(shí)現(xiàn)又主要是依靠一套訪問(wèn)控制策略,由訪問(wèn)控制策略來(lái)決定通訊的合法性。
那么如何理解種類(lèi)眾多的防火墻呢,下面來(lái)做個(gè)介紹。
防火墻的類(lèi)型
如果我們從OSI分層模式來(lái)考察及分類(lèi)防火墻,會(huì)比較容易的把握住防火墻的脈絡(luò),個(gè)人認(rèn)為,目前主要的防火墻可以分為三類(lèi),它們分別是: 包過(guò)濾防火墻、基于狀態(tài)的包過(guò)濾防火墻、應(yīng)用代理(網(wǎng)關(guān))防火墻,而由這三類(lèi)防火墻可以推導(dǎo)和演繹出其它可能的變化。
下面我們來(lái)逐一說(shuō)明。
包過(guò)濾防火墻
首先,我們要提到的是最基本的報(bào)文過(guò)濾的防火墻,這個(gè)層次的防火墻通常工作在OSI的三層及三層以下,由此我們可以看出,可控的內(nèi)容主要包括報(bào)文的源地址、報(bào)文的目標(biāo)地址、服務(wù)類(lèi)型,以及第二層數(shù)據(jù)鏈路層可控的MAC地址等。除此以外,隨著包過(guò)濾防火墻的發(fā)展,部分OSI四層的內(nèi)容也被包括進(jìn)來(lái),如報(bào)文的源端口和目的端口。
本層次最常見(jiàn)的實(shí)際應(yīng)用的例子就是互聯(lián)網(wǎng)上的路由設(shè)備,比如常見(jiàn)的cisco路由器,使用者可以通過(guò)定制訪問(wèn)控制列(ACL)來(lái)對(duì)路由器進(jìn)出端口的數(shù)據(jù)包進(jìn)行控制,如針對(duì)rfc1918的保留地址進(jìn)屏蔽,在路由器上可以進(jìn)行如下配臵:
interface x
ip access-group 101 in
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 permit ip any any
從上面這個(gè)例子可以很明顯的看出,路由器這里的配臵完全是針對(duì)OSI的三層ip地址,也就是ip的包頭進(jìn)行過(guò)濾,至于這些IP數(shù)據(jù)包里攜帶的具體有什么內(nèi)容,路由器完全不會(huì)去關(guān)心。
由此考慮一下,我們就不難看出這個(gè)層次的防火墻的優(yōu)點(diǎn)和弱點(diǎn):
1.基于報(bào)文過(guò)濾的防火墻一個(gè)非常明顯的優(yōu)勢(shì)就是速度,這是因?yàn)榉阑饓χ皇侨z察數(shù)據(jù)包的包頭,而對(duì)數(shù)據(jù)包所攜帶的內(nèi)容沒(méi)有任何形式的檢查,因此速度非???。
2.還有一個(gè)比較明顯的好處是,對(duì)用戶而言,包過(guò)濾防火墻是透明的,無(wú)需用戶端進(jìn)行任何配臵。
包過(guò)濾防火墻的特性決定了它很適合放在局域網(wǎng)的前端,由它來(lái)完成整個(gè)安全工作環(huán)節(jié)中的數(shù)據(jù)包前期處理工作,如:控制進(jìn)入局域網(wǎng)的數(shù)據(jù)包的可信任ip,對(duì)外界開(kāi)放盡量少的端口等。與此同時(shí),這種防火墻的弊端也是顯而易見(jiàn)的,比較關(guān)鍵的幾點(diǎn)包括:
1.由于無(wú)法對(duì)數(shù)據(jù)包及上層的內(nèi)容進(jìn)行核查,因此無(wú)法過(guò)濾審核數(shù)據(jù)包的內(nèi)容。體現(xiàn)這一問(wèn)題的一個(gè)很簡(jiǎn)單的例子就是:對(duì)某個(gè)端口的開(kāi)放意味著相應(yīng)端口對(duì)應(yīng)的服務(wù)所能夠提供的全部功能都被放開(kāi),即使通過(guò)防火墻的數(shù)據(jù)包有攻擊性,也無(wú)法進(jìn)行控制和阻斷。比如針對(duì)微軟IIS漏洞的Unicode攻擊,因?yàn)檫@種攻擊是走的防火墻所允許的80端口,而包過(guò)濾的防火墻無(wú)法對(duì)數(shù)據(jù)包內(nèi)容進(jìn)行核查,因此此時(shí)防火墻等同于虛設(shè),未打相應(yīng)patch的提供web服務(wù)的系統(tǒng),即使在防火墻的屏障之后,也會(huì)被攻擊者輕松拿下超級(jí)用戶的權(quán)限。
2.由于此種類(lèi)型的防火墻工作在較低層次,防火墻本身所能接觸到的信息較少,所以它無(wú)法提供描述事件細(xì)致的日志系統(tǒng),此類(lèi)防火墻生成的日志常常只是包括數(shù)據(jù)包捕獲時(shí)間,三層的ip地址,四層的端口等非常原始的信息。我們可以先把下面要講的ipmon的軟件的日志拿來(lái)看看
Nov 23 14:13:05 y.y.y.y ipmon[10841]: 14:13:04.733237 hme0 @0:13 b x.x.x.x,4131-> y.y.y.y,3389 PR tcp len 20 48-S IN
3.我們可以從上面看個(gè)大概,這個(gè)防火墻于僅僅記錄了11月23日14點(diǎn)13分防火墻block了從ip地址x.x.x.x,端口4131來(lái)的,目的端口是3389,目的ip是y.y.y.y的包頭為20字節(jié),凈荷長(zhǎng)度為28的數(shù)據(jù)包。至于這個(gè)數(shù)據(jù)包內(nèi)容是什么,防火墻不會(huì)理會(huì),這恰恰對(duì)安全管理員而言是至為關(guān)鍵的。因?yàn)榧词挂粋€(gè)非常優(yōu)秀的系統(tǒng)管理員一旦陷入大量的通過(guò)/屏蔽的原始數(shù)據(jù)包信息中,往往也是難以理清頭緒的,當(dāng)發(fā)生安全事件時(shí)會(huì)給管理員的安全審計(jì)帶來(lái)了很大的困難。
4.所有有可能用到的端口都必須靜態(tài)放開(kāi),對(duì)外界暴露,從而極大的增加了被攻擊的可能性,這個(gè)問(wèn)題一個(gè)很好的例子就是unix下的危險(xiǎn)的rpc服務(wù),它們也工作在高端口,而針對(duì)這些服務(wù)的攻擊程序在互聯(lián)網(wǎng)上異常流行。
5.如果網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜,那么對(duì)管理員而言配臵ACL將是非??植赖氖虑椤.?dāng)網(wǎng)絡(luò)發(fā)展到一定規(guī)模時(shí),ACL出錯(cuò)幾乎是必然的,這一點(diǎn)相信許多大型站點(diǎn)的系統(tǒng)管理員印象深刻?;跔顟B(tài)的包過(guò)濾防火墻
上面我們講到的包過(guò)濾防火墻在具體實(shí)施的時(shí)候,管理員會(huì)遇到一些非常棘手的問(wèn)題:網(wǎng)絡(luò)上數(shù)據(jù)的傳輸是雙向的,因此所有服務(wù)所需要的數(shù)據(jù)包進(jìn)出防火墻的端口都要仔細(xì)的被考慮到,否則,會(huì)產(chǎn)生意想不到的情況。然而我們知道,當(dāng)被防火墻保護(hù)的設(shè)備與外界通訊時(shí),絕大多數(shù)應(yīng)用要求發(fā)出請(qǐng)求的系統(tǒng)本身提供一個(gè)端口,用來(lái)接收到外界返回的數(shù)據(jù)包,而且這個(gè)端口一般是在1023到16384之間不定的,這就增加了設(shè)計(jì)控制訪問(wèn)規(guī)則的難度。這里我們可以捕獲一次由client到server的80端口訪問(wèn)的一些紀(jì)錄來(lái)形象說(shuō)明這個(gè)問(wèn)題(截取的內(nèi)容略有刪節(jié)):
17:48:52.513355 IP penetrat.1134 > server.80: S 1253142352:1253142352
17:48:52.515991 IP server.80 > penetrat.1134: S 1867056172:1867056172 ack 1253142353
17:48:52.516126 IP penetrat.1134 > server.80:.ack 1
我們可以從上述內(nèi)容中看到,client為了完成對(duì)server的004km.cnes the limitations of the previous two approaches by providing full application-layer awareness without breaking the client/server model.Stateful Inspection extracts the state-related information required for security decisions from all application layers and maintains this information in dynamic state tables for evaluating subsequent connection attempts.This provides a solution that is highly secure and offers maximum performance, scalability, and extensibility.Check Point FireWall-1 is based upon Stateful Inspection, which has become the defacto standard for firewalls.綜合checkpoint網(wǎng)站的資料,我們可以通俗的將這種Stateful Inspection大致理解為,防火墻的內(nèi)核中運(yùn)行著Stateful Inspectionsm engine,由它在OSI底層對(duì)接收到的數(shù)據(jù)包進(jìn)行審核,當(dāng)接收到的數(shù)據(jù)包符合訪問(wèn)控制要求時(shí),將該數(shù)據(jù)包傳到高層進(jìn)行應(yīng)用級(jí)別和狀態(tài)的審核,如果不符合要求,則丟棄。由于Stateful Inspectionsm engine工作在內(nèi)核中,因此效率和速度都能得到很好的保證,同時(shí)由于Stateful Inspectionsm engine能夠理解應(yīng)用層的數(shù)據(jù)包,所以能夠快速有效的在應(yīng)用層進(jìn)行數(shù)據(jù)包審核。
關(guān)于checkpoint的專(zhuān)利技術(shù)Stateful Inspectionsm engine,該公司有如下說(shuō)明: This provides important system flexibility, allowing Check Point, as well as its technology partners and end-users, to incorporate new applications, services, and protocols, without requiring new software to be loaded.For most new applications, including most custom applications developed by end users, the communication-related behavior of the new application can be incorporated simply be modifying one of Firewall-1's built-in script templates via the graphical user interface.Even the most complex applications can be added quickly and easily via the INSPECT language.按照上面的理解,對(duì)新的應(yīng)用程序的防火墻支持是無(wú)需在增加新的軟件的,但本人認(rèn)為,此處值得商榷,在checkpoint公司主頁(yè)上,有專(zhuān)門(mén)的一部分介紹Application Support,也就是說(shuō),用戶購(gòu)臵的checkpoint防火墻內(nèi)部已經(jīng)支持了相應(yīng)的程序的審核,這一點(diǎn)應(yīng)該是沒(méi)有問(wèn)題的。但是,除此之外,當(dāng)用戶的網(wǎng)絡(luò)上增加了新的應(yīng)用時(shí),并需要防火墻支持該應(yīng)用時(shí),應(yīng)該并不會(huì)如上述說(shuō)明那么簡(jiǎn)單,因?yàn)閷?duì)應(yīng)用的支持并不是簡(jiǎn)單的增加端口,修改腳本那么容易完成的。Stateful Inspectionsm engine必須理解該應(yīng)用的比較具體的實(shí)現(xiàn)方法。比如國(guó)內(nèi)廣泛使用的oicq,防火墻增加對(duì)qq的支持,并不是系統(tǒng)管理員點(diǎn)幾下鼠標(biāo),敲擊幾次鍵盤(pán)就能輕松完成的。
個(gè)人認(rèn)為,其實(shí)基于狀態(tài)檢查的防火墻其設(shè)計(jì)思想可能還是源于基于狀態(tài)的包過(guò)濾防火墻,只是在此基礎(chǔ)上又增加了對(duì)應(yīng)用層數(shù)據(jù)包的審核而已,但是由于本人沒(méi)有實(shí)際使用過(guò),因此無(wú)法下定論。
防火墻的附加功能
目前的防火墻還往往能夠提供一些特殊的功能,如:
1.IP轉(zhuǎn)換 IP轉(zhuǎn)換主要功能有二,一是隱藏在其后的網(wǎng)絡(luò)設(shè)備的真實(shí)IP,從而使入侵者無(wú)法直接攻擊內(nèi)部網(wǎng)絡(luò),二是可是使用rfc1918的保留IP,這對(duì)解決ip地址匱乏的網(wǎng)絡(luò)是很實(shí)用的。
2.虛擬企業(yè)網(wǎng)絡(luò) VPN在國(guó)外使用的較多,國(guó)內(nèi)也開(kāi)始逐漸得到應(yīng)用。它是指在公共網(wǎng)絡(luò)中建立的專(zhuān)用加密虛擬通道,以確保通訊安全。
3.殺毒 一般都通過(guò)插件或聯(lián)動(dòng)實(shí)現(xiàn)。
4.與IDS聯(lián)動(dòng) 目前實(shí)現(xiàn)這一功能的產(chǎn)品也有逐漸增多的趨勢(shì)。
5.GUI界面管理 傳統(tǒng)以及一些*nix下free的防火墻一般都是通過(guò)命令行方式來(lái)鍵入命令來(lái)控制訪問(wèn)策略的,商用的防火墻一般都提供了web和gui的界面,以便于管理員進(jìn)行配臵工作。
6.自我保護(hù),流控和計(jì)費(fèi)等其它功能。
選購(gòu)和使用防火墻的誤區(qū)
就本人幾年來(lái)系統(tǒng)管理員的經(jīng)驗(yàn)看來(lái),防火墻在選購(gòu)和使用時(shí)經(jīng)常會(huì)有一些誤區(qū),如下:
1.最全的就是最好的,最貴的就是最好的 這個(gè)問(wèn)題常常出現(xiàn)在決策層,相信“全能”防火墻,認(rèn)為防火墻要包括所有的模塊,求大而全,不求專(zhuān)而精,不清楚自己的企業(yè)需要保護(hù)什么,常常是白花了大量的經(jīng)費(fèi)卻無(wú)法取得應(yīng)有的效果。
2.一次配臵,永遠(yuǎn)運(yùn)行 這個(gè)問(wèn)題往往都在經(jīng)驗(yàn)不足的系統(tǒng)管理員手上出現(xiàn),在初次配臵成功的情況下,就將防火墻永遠(yuǎn)的丟在了一邊,不再根據(jù)業(yè)務(wù)情況動(dòng)態(tài)的更改訪問(wèn)控制策略-請(qǐng)注意本文一開(kāi)始講到的,缺乏好的允許或者拒絕的控制策略,防火墻將起不到任何作用。
3.審計(jì)是可有可無(wú)的 這個(gè)問(wèn)題也出現(xiàn)在系統(tǒng)管理員手上出現(xiàn),表現(xiàn)為對(duì)防火墻的工作狀態(tài),日志等無(wú)暇審計(jì),或即使審計(jì)也不明白防火墻的紀(jì)錄代表著什么,這同樣是危險(xiǎn)的。
4.廠家的配臵無(wú)需改動(dòng) 目前國(guó)內(nèi)比較現(xiàn)實(shí)的情況是很多公司沒(méi)有專(zhuān)業(yè)的技術(shù)人員來(lái)進(jìn)行網(wǎng)絡(luò)安全方面的管理,當(dāng)公司購(gòu)臵防火墻等產(chǎn)品時(shí),只能依靠廠家的技術(shù)人員來(lái)進(jìn)行配臵,但應(yīng)當(dāng)警惕的是,廠家的技術(shù)人員即使技術(shù)精湛,往往不會(huì)仔細(xì)的了解公司方面的業(yè)務(wù),無(wú)法精心定制及審核安全策略,那么在配臵過(guò)程中很可能會(huì)留下一些安全隱患。作為防火墻的試用方不能迷信廠家的技術(shù),即使對(duì)技術(shù)不是非常清楚,也非常有必要對(duì)安全策略和廠家進(jìn)行討論。
第三篇:防火墻案例
據(jù)統(tǒng)計(jì),本周瑞星共截獲了875810個(gè)釣魚(yú)網(wǎng)站,共有451萬(wàn)網(wǎng)民遭遇釣魚(yú)網(wǎng)站攻擊。瑞星安全專(zhuān)家提醒用戶,在機(jī)場(chǎng)、圖書(shū)館、咖啡館等公共場(chǎng)所使用免費(fèi)WiFi上網(wǎng)時(shí),一定要注意安全,不要隨意連接沒(méi)有設(shè)置密碼的網(wǎng)絡(luò)。目前,發(fā)現(xiàn)很多黑客會(huì)在公共WiFi場(chǎng)所私自搭建不設(shè)密碼的“小WiFi”,用戶一旦接入,上網(wǎng)提交的各種數(shù)據(jù)、賬號(hào)、密碼極有可能被截獲,從而導(dǎo)致個(gè)人隱私泄露。網(wǎng)民上網(wǎng)時(shí),一定要向網(wǎng)絡(luò)提供商詢問(wèn)清楚,避免出現(xiàn)信息丟失的問(wèn)題。本周要警惕一個(gè)名為Ngrbot蠕蟲(chóng)后門(mén)的病毒,這是一個(gè)蠕蟲(chóng)類(lèi)型的后門(mén)病毒,病毒代碼經(jīng)過(guò)加密,病毒運(yùn)行后,首先會(huì)進(jìn)行解密,然后將其代碼注入到新啟動(dòng)的進(jìn)程中,使病毒代碼得以運(yùn)行。
大家在了解了防火墻技術(shù)、產(chǎn)品、方案和選購(gòu)等系列內(nèi)容后,似乎就等著買(mǎi)回一款產(chǎn)品安裝,然后就可以高忱無(wú)憂地享用防火墻了。然而,我們有所不知,除選購(gòu)合適的防火墻外,更為重要的是用好防火墻。不少用戶在花費(fèi)大量資金購(gòu)置防火墻之后,由于缺乏相應(yīng)技術(shù)貯備或?qū)Ξa(chǎn)品功能的了解,并沒(méi)能充分發(fā)揮防火墻的作用。
事實(shí)上,在防火墻安裝和投入使用后,并非就是萬(wàn)事大吉了。首先,防火墻的安全防護(hù)功能的發(fā)揮需要依賴很多因素,不僅某些病毒和黑客可以通過(guò)系統(tǒng)漏洞或者其他手段避開(kāi)防火墻,內(nèi)部人員管理控制欠完善也有可能使得防火墻形同虛設(shè)。其次,為了提高防火墻的安全性,用戶可以將防火墻和其他安全工具相結(jié)合,例如和漏洞掃描器與IDS搭配使用。還有,要想充分發(fā)揮防火墻的安全防護(hù)作用,必須對(duì)它進(jìn)行升級(jí)和維護(hù),要與廠商保持密切的聯(lián)系,時(shí)刻注視廠商的動(dòng)態(tài)。因?yàn)閺S商一旦發(fā)現(xiàn)其產(chǎn)品存在安全漏洞,就會(huì)盡快發(fā)布補(bǔ)丁產(chǎn)品,此時(shí)應(yīng)及時(shí)對(duì)防火墻進(jìn)行更新。
為了讓大家更好地使用防火墻,我們從反面列舉4個(gè)有代表性的失敗案例,以警示讀者。例1:未制定完整的企業(yè)安全策略
網(wǎng)絡(luò)環(huán)境:某中型企業(yè)購(gòu)買(mǎi)了適合自己網(wǎng)絡(luò)特點(diǎn)的防火墻,剛投入使用后,發(fā)現(xiàn)以前局域網(wǎng)中肆虐橫行的蠕蟲(chóng)病毒不見(jiàn)了,企業(yè)網(wǎng)站遭受拒絕服務(wù)攻擊的次數(shù)也大大減少了,為此,公司領(lǐng)導(dǎo)特意表?yè)P(yáng)了負(fù)責(zé)防火墻安裝實(shí)施的信息部。
該企業(yè)內(nèi)部網(wǎng)絡(luò)的核心交換機(jī)是帶路由模塊的三層交換機(jī),出口通過(guò)路由器和ISP連接。內(nèi)部網(wǎng)劃分為5個(gè)VLAN,VLAN
1、VLAN 2和VLAN 3分配給不同的部門(mén)使用,不同的VLAN之間根據(jù)部門(mén)級(jí)別設(shè)置訪問(wèn)權(quán)限;VLAN 4分配給交換機(jī)出口地址和路由器使用;VLAN 5分配給公共服務(wù)器使用。在沒(méi)有加入防火墻之前,各個(gè)VLAN中的PC機(jī)能夠通過(guò)交換機(jī)和路由器不受限制地訪問(wèn)Internet。加入防火墻后,給防火墻分配一個(gè)VLAN 4中的空閑IP地址,并把網(wǎng)關(guān)指向路由器;將VLAN 5接入到防火墻的一個(gè)網(wǎng)口上。這樣,防火墻就把整個(gè)網(wǎng)絡(luò)分為3個(gè)區(qū)域: 內(nèi)部網(wǎng)、公共服務(wù)器區(qū)和外部網(wǎng),三者之間的通信受到防火墻安全規(guī)則的限制。
問(wèn)題描述:防火墻投入運(yùn)行后,實(shí)施了一套較為嚴(yán)格的安全規(guī)則,導(dǎo)致公司員工無(wú)法使用QQ聊天軟件,于是沒(méi)過(guò)多久就有員工自己撥號(hào)上網(wǎng),導(dǎo)致感染了特洛依木馬和蠕蟲(chóng)等病毒,并立刻在公司內(nèi)部局域網(wǎng)中傳播開(kāi)來(lái),造成內(nèi)部網(wǎng)大面積癱瘓。
問(wèn)題分析:我們知道,防火墻作為一種保護(hù)網(wǎng)絡(luò)安全的設(shè)備,必須部署在受保護(hù)網(wǎng)絡(luò)的邊界處,只有這樣防火墻才能控制所有出入網(wǎng)絡(luò)的數(shù)據(jù)通信,達(dá)到將入侵者拒之門(mén)外的目的。如果被保護(hù)網(wǎng)絡(luò)的邊界不惟一,有很多出入口,那么只部署一臺(tái)防火墻是不夠的。在本案例中,防火墻投入使用后,沒(méi)有禁止私自撥號(hào)上網(wǎng)行為,使得許多PC機(jī)通過(guò)電話線和Internet相連,導(dǎo)致網(wǎng)絡(luò)邊界不惟一,入侵者可以通過(guò)攻擊這些PC機(jī)然后進(jìn)一步攻擊內(nèi)部網(wǎng)絡(luò),從而成功地避開(kāi)了防火墻。
解決辦法:根據(jù)自己企業(yè)網(wǎng)的特點(diǎn),制定一整套安全策略,并徹底地貫徹實(shí)施。比如說(shuō),制定一套安全管理規(guī)章制度,嚴(yán)禁員工私自撥號(hào)上網(wǎng);同時(shí)封掉撥號(hào)上網(wǎng)的電話號(hào)碼,并購(gòu)買(mǎi)檢測(cè)撥號(hào)上網(wǎng)的軟件,這樣從管理和技術(shù)上杜絕出現(xiàn)網(wǎng)絡(luò)邊界不惟一的情況發(fā)生。另外,考慮到企業(yè)員工的需求,可以在防火墻上添加按照時(shí)間段生效的安全規(guī)則,在非工作時(shí)間打開(kāi)QQ使用的TCP/UDP端口,使得企業(yè)員工可以在工余時(shí)間使用QQ聊天軟件。
結(jié)論和忠告:防火墻只是保證安全的一種技術(shù)手段,要想真正實(shí)現(xiàn)安全,安全策略是核心問(wèn)題。例2:未考慮防火墻的可擴(kuò)充性
問(wèn)題描述:某大型企業(yè)一年前購(gòu)買(mǎi)了幾十臺(tái)防火墻,分布在總部局域網(wǎng)和全國(guó)各地的分支機(jī)構(gòu)中。剛投入使用后,各部門(mén)和分支機(jī)構(gòu)都反映不錯(cuò),沒(méi)有影響到網(wǎng)絡(luò)性能。隨著信息化程度的不斷提高,該企業(yè)決定構(gòu)建視頻會(huì)議系統(tǒng),卻發(fā)現(xiàn)防火墻不支持該應(yīng)用協(xié)議,如果要實(shí)現(xiàn)視頻會(huì)議,必須讓防火墻打開(kāi)一個(gè)很大的缺口,這會(huì)留下很大的安全隱患。
問(wèn)題分析:視頻會(huì)議系統(tǒng)一般都采用H.323協(xié)議(ITU-T第16工作組的建議,由一組協(xié)議構(gòu)成,其中有負(fù)責(zé)音頻與視頻信號(hào)的編碼、解碼和包裝,有負(fù)責(zé)呼叫信令收發(fā)和控制的信令,還有負(fù)責(zé)能力交換的信令。),在創(chuàng)建符合H.323協(xié)議的Voice-Over-IP(IP語(yǔ)音)通道時(shí),需要用到TCP協(xié)議的1720、1731和1735等端口,并且會(huì)使用到TCP協(xié)議(傳輸控制協(xié)議)的、大于1024的端口及UDP協(xié)議的、大于30000的端口,這些端口是動(dòng)態(tài)隨機(jī)選取的。如果防火墻沒(méi)有專(zhuān)門(mén)針對(duì)H.323協(xié)議實(shí)現(xiàn)動(dòng)態(tài)包過(guò)濾,那么必須靜態(tài)地配置安全規(guī)則,打開(kāi)TCP協(xié)議1024到65535之間的所有端口以及UDP協(xié)議(用戶數(shù)據(jù)包協(xié)議)30000到65535之間的所有端口,這樣等于給防火墻打開(kāi)了一個(gè)缺口,留下了安全隱患。此外,視頻會(huì)議系統(tǒng)對(duì)于網(wǎng)絡(luò)的服務(wù)質(zhì)量和語(yǔ)音傳輸?shù)膬?yōu)先級(jí)要求很高,如果防火墻不支持QoS(服務(wù)質(zhì)量)功能,就無(wú)法保證參加視頻會(huì)議的主機(jī)的的語(yǔ)音和視頻質(zhì)量。本案例說(shuō)明了企業(yè)在選購(gòu)防火墻時(shí)沒(méi)有充分考慮到今后網(wǎng)絡(luò)的擴(kuò)展性,導(dǎo)致防火墻不能適應(yīng)新的應(yīng)用環(huán)境。
解決辦法:購(gòu)買(mǎi)防火墻前應(yīng)充分考慮到各種應(yīng)用的可能性。如果問(wèn)題已經(jīng)發(fā)生,請(qǐng)求防火墻廠商或安全集成商幫助解決。
結(jié)論和忠告:“安全當(dāng)頭,應(yīng)用為先”。如果不支持諸如視頻等網(wǎng)絡(luò)應(yīng)用,再好的安全設(shè)施也是沒(méi)有意義的。請(qǐng)關(guān)注防火墻的功能是否全面,是否全面兼容各種應(yīng)用協(xié)議。
例3:未考慮與其他安全產(chǎn)品的配合使用
問(wèn)題描述:某公司購(gòu)買(mǎi)了防火墻后,緊接著又購(gòu)買(mǎi)了漏洞掃描和IDS(入侵檢測(cè)系統(tǒng))產(chǎn)品。當(dāng)系統(tǒng)管理員利用IDS發(fā)現(xiàn)入侵行為后,必須每次都要手工調(diào)整防火墻安全策略,使管理員工作量劇增,而且經(jīng)常調(diào)整安全策略,也給整個(gè)網(wǎng)絡(luò)帶來(lái)不良影響。
問(wèn)題分析:選購(gòu)防火墻時(shí)未充分考慮到與其他安全產(chǎn)品如IDS的聯(lián)動(dòng)功能,導(dǎo)致不能最大程度地發(fā)揮安全系統(tǒng)的作用。
解決辦法:購(gòu)買(mǎi)防火墻前應(yīng)查看企業(yè)網(wǎng)是否安裝了漏洞掃描或IDS等其他安全產(chǎn)品,以及具體產(chǎn)品名稱和型號(hào),然后確定所要購(gòu)買(mǎi)的防火墻是否有聯(lián)動(dòng)功能(即是否支持其他安全產(chǎn)品,尤其是IDS產(chǎn)品),支持的是哪些品牌和型號(hào)的產(chǎn)品,是否與已有的安全產(chǎn)品名稱相符,如果不符,最好不要選用,而選擇能同已有安全產(chǎn)品聯(lián)動(dòng)的防火墻。這樣,當(dāng)IDS發(fā)現(xiàn)入侵行為后,在通知管理員的同時(shí)發(fā)送消息給防火墻,由防火墻自動(dòng)添加相關(guān)規(guī)則,把入侵者拒之門(mén)外。
結(jié)論和忠告:保護(hù)網(wǎng)絡(luò)安全不僅僅是防火墻一種產(chǎn)品,只有將多種安全產(chǎn)品無(wú)縫地結(jié)合起來(lái),充分利用它們各自的優(yōu)點(diǎn),才能最大限度地保證網(wǎng)絡(luò)安全。
例4:未經(jīng)常維護(hù)升級(jí)防火墻
問(wèn)題描述:某政府機(jī)構(gòu)購(gòu)置防火墻后已安全運(yùn)行一年多,由于該機(jī)構(gòu)網(wǎng)絡(luò)結(jié)構(gòu)一直很穩(wěn)定,沒(méi)有什么變化,各種應(yīng)用也運(yùn)行穩(wěn)定,因此管理員逐漸放松了對(duì)防火墻的管理,只要網(wǎng)絡(luò)一直保持暢通即可,不再關(guān)心防火墻的規(guī)則是否需要調(diào)整,軟件是否需要升級(jí)。而且由于該機(jī)構(gòu)處于政府專(zhuān)網(wǎng)內(nèi),與Internet物理隔離,防火墻無(wú)法實(shí)現(xiàn)在線升級(jí)。因此該機(jī)構(gòu)的防火墻軟件版本一直還是購(gòu)買(mǎi)時(shí)的舊版本,雖然管理員一直都收到防火墻廠家通過(guò)電子郵件發(fā)來(lái)的軟件升級(jí)包,但從未手工升級(jí)過(guò)。在一次全球范圍的蠕蟲(chóng)病毒迅速蔓延事件中,政府專(zhuān)網(wǎng)也受到蠕蟲(chóng)病毒的感染,該機(jī)構(gòu)防火墻因?yàn)闆](méi)有及時(shí)升級(jí),無(wú)法抵御這種蠕蟲(chóng)病毒的攻擊,造成整個(gè)機(jī)構(gòu)的內(nèi)部網(wǎng)大面積受感染,網(wǎng)絡(luò)陷于癱瘓之中。
問(wèn)題分析:安全與入侵永遠(yuǎn)是一對(duì)矛盾。防火墻軟件作為一種安全工具,必須不斷地升級(jí)與更新才能應(yīng)付不斷發(fā)展的入侵手段,過(guò)時(shí)的防護(hù)盾牌是無(wú)法抵擋最先進(jìn)的長(zhǎng)矛的。作為安全管理員來(lái)說(shuō),應(yīng)當(dāng)
時(shí)刻留心廠家發(fā)布的升級(jí)包,及時(shí)給防火墻打上最新的補(bǔ)丁。
解決辦法:及時(shí)維護(hù)防火墻,當(dāng)本機(jī)構(gòu)發(fā)生人員變動(dòng)、網(wǎng)絡(luò)調(diào)整和應(yīng)用變化時(shí),要及時(shí)調(diào)整防火墻的安全規(guī)則,及時(shí)升級(jí)防火墻。
結(jié)論和忠告:保護(hù)網(wǎng)絡(luò)安全是動(dòng)態(tài)的過(guò)程,防火墻需要積極地維護(hù)和升級(jí)。
可疑的事件劃分為幾類(lèi):一是知道事件發(fā)生的原因,而且這不是一個(gè)安全方面的問(wèn)題;二是不知道是什么原因,也許永遠(yuǎn)不知道是什么原因引起的,但是無(wú)論它是什么,它從未再出現(xiàn)過(guò);三是有人試圖侵入,但問(wèn)題并不嚴(yán)重,只是試探一下;四是有人事實(shí)上已經(jīng)侵入。
這些類(lèi)別之間的界限比較含糊。要提供以上任何問(wèn)題的詳細(xì)征兆是不可能的,但是下面這些歸納出的經(jīng)驗(yàn)可能會(huì)對(duì)網(wǎng)絡(luò)系統(tǒng)管理員有所幫助。如果發(fā)現(xiàn)以下情況,網(wǎng)絡(luò)系統(tǒng)管理員就有理由懷疑有人在探試站點(diǎn):一是試圖訪問(wèn)在不安全的端口上提供的服務(wù)(如企圖與端口映射或者調(diào)試服務(wù)器連接);二是試圖利用普通賬戶登錄(如guest);三是請(qǐng)求FTP文件傳輸或傳輸NFS(Network File System,網(wǎng)絡(luò)文件系統(tǒng))映射;四是給站點(diǎn)的SMTP(Simple Mail Transfer Protocol,簡(jiǎn)單郵件傳輸協(xié)議)服務(wù)器發(fā)送debug命令。
如果網(wǎng)絡(luò)系統(tǒng)管理員見(jiàn)到以下任何情況,應(yīng)該更加關(guān)注。因?yàn)榍忠u可能正在進(jìn)行之中:一是多次企圖登錄但多次失敗的合法賬戶,特別是因特網(wǎng)上的通用賬戶;二是目的不明的數(shù)據(jù)包命令;三是向某個(gè)范圍內(nèi)每個(gè)端口廣播的數(shù)據(jù)包;四是不明站點(diǎn)的成功登錄。
如果網(wǎng)絡(luò)系統(tǒng)管理員了發(fā)現(xiàn)以下情況,應(yīng)該懷疑已有人成功地侵入站點(diǎn):一是日志文件被刪除或者修改;二是程序突然忽略所期望的正常信息;三是新的日志文件包含有不能解釋的密碼信息或數(shù)據(jù)包痕跡;四是特權(quán)用戶的意外登錄(例如root用戶),或者突然成為特權(quán)用戶的意外用戶;五是來(lái)自本機(jī)的明顯的試探或者侵襲,名字與系統(tǒng)程序相近的應(yīng)用程序;六是登錄提示信息發(fā)生了改變。
4)對(duì)試探作出的處理
通常情況下,不可避免地發(fā)覺(jué)外界對(duì)防火墻進(jìn)行明顯試探——有人向沒(méi)有向Internet提供的服務(wù)發(fā)送數(shù)據(jù)包,企圖用不存在的賬戶進(jìn)行登錄等。試探通常進(jìn)行一兩次,如果他們沒(méi)有得到令人感興趣的反應(yīng),他們通常就會(huì)走開(kāi)。而如果想弄明白試探來(lái)自何方,這可能就要花大量時(shí)間追尋類(lèi)似的事件。然而,在大多數(shù)情況下,這樣做不會(huì)有很大成效,這種追尋試探的新奇感很快就會(huì)消失。
一些人滿足于建立防火墻機(jī)器去誘惑人們進(jìn)行一般的試探。例如,在匿名的FTP區(qū)域設(shè)置裝有用戶賬號(hào)數(shù)據(jù)的文件,即使試探者破譯了密碼,看到的也只是一個(gè)虛假信息。這對(duì)于消磨空閑時(shí)間是沒(méi)有害處的,這還能得到報(bào)復(fù)的快感,但是事實(shí)上它不會(huì)改善防火墻的安全性。它只能使入侵者惱怒,從而堅(jiān)定了入侵者闖入站點(diǎn)的決心。
保持最新?tīng)顟B(tài)
保持防火墻的最新?tīng)顟B(tài)也是維護(hù)和管理防火墻的一個(gè)重點(diǎn)。在這個(gè)侵襲與反侵襲的領(lǐng)域中,每天都產(chǎn)生新的事物、發(fā)現(xiàn)新的毛病,以新的方式進(jìn)行侵襲,同時(shí)現(xiàn)有的工具也會(huì)不斷地被更新。因此,要使防火墻能同該領(lǐng)域的發(fā)展保持同步。
當(dāng)防火墻需要修補(bǔ)、升級(jí)一些東西,或增加新功能時(shí),就必須投入較多的時(shí)間。當(dāng)然所花的時(shí)間長(zhǎng)短視修補(bǔ)、升級(jí)、或增加新功能的復(fù)雜程度而定。如果開(kāi)始時(shí)對(duì)站點(diǎn)需求估計(jì)的越準(zhǔn)確,防火墻的設(shè)計(jì)和建造做的越好,防火墻適應(yīng)這些改變所花的時(shí)間就越少。
瑞星防火墻2012版正在進(jìn)行火熱公測(cè),其主打的“安全上網(wǎng)”、“綠色上網(wǎng)”和“智能上網(wǎng)”包含了數(shù)十項(xiàng)專(zhuān)業(yè)防火墻功能,保護(hù)網(wǎng)購(gòu)、網(wǎng)游、微博、辦公等常見(jiàn)應(yīng)用面臨的各種上網(wǎng)安全和黑客攻擊問(wèn)題.通過(guò)測(cè)試發(fā)現(xiàn),瑞星防火墻2012版確實(shí)帶來(lái)了很多實(shí)用且好用的功能,下面選擇幾個(gè)跟大家一起分享一下。
亮點(diǎn)1:IP切換器——家庭、公司網(wǎng)絡(luò)切換智能瞬間搞定!
筆記本用戶經(jīng)常能夠面對(duì)的一個(gè)問(wèn)題就是,在家里、公司或其它地方上網(wǎng),每次都需要設(shè)置網(wǎng)絡(luò)ip地址、dns服務(wù)器地址等信息,非常麻煩。瑞星防火墻2012版中新增加的“IP切換器”就是幫助用戶在多個(gè)網(wǎng)絡(luò)間連接時(shí),能夠無(wú)縫的自動(dòng)進(jìn)行網(wǎng)絡(luò)接入,省去頻繁的網(wǎng)絡(luò)配置。
本人平時(shí)工作的時(shí)候經(jīng)常遇到這樣一個(gè)麻煩——有時(shí)要使用外網(wǎng)IP,有時(shí)又要使用內(nèi)網(wǎng)的IP,然而同時(shí)設(shè)置兩個(gè)IP又會(huì)出現(xiàn)一些不方便的問(wèn)題。而“IP切 換器”正是解決這個(gè)問(wèn)題的,使用IP切換可以設(shè)置好各個(gè)場(chǎng)所的網(wǎng)絡(luò)配置。當(dāng)你到某個(gè)場(chǎng)所時(shí),只需要鼠標(biāo)輕輕一點(diǎn),便可以自動(dòng)切換到該場(chǎng)所的網(wǎng)絡(luò)環(huán)境了。
亮點(diǎn)2:網(wǎng)速保護(hù)——有限網(wǎng)速內(nèi)的最合理分配,看網(wǎng)頁(yè),下載兩不誤!
網(wǎng)速是有限的,而下載、看片、玩游戲是無(wú)限的!在使用下載工具進(jìn) 行下載或者在線看視頻的時(shí)候,經(jīng)常因?yàn)閹拞?wèn)題導(dǎo)致瀏覽網(wǎng)頁(yè)時(shí)候半天沒(méi)有打開(kāi),嚴(yán)重的時(shí)候可能會(huì)出現(xiàn)“無(wú)法顯示該頁(yè)面”。瑞星防火墻2012版的“網(wǎng)速保 護(hù)”功能就是當(dāng)出現(xiàn)這種情況時(shí),可以根據(jù)網(wǎng)絡(luò)情況進(jìn)行必要的調(diào)整和重新分配,使瀏覽網(wǎng)頁(yè)的請(qǐng)求和響應(yīng)可以得到足夠的網(wǎng)速保障,以達(dá)到在網(wǎng)速不足時(shí)流暢瀏覽 網(wǎng)頁(yè)的目的。
亮點(diǎn)3:ADSL優(yōu)化——群租用戶的上網(wǎng)必備利器!再也不用擔(dān)心多人上網(wǎng)的問(wèn)題了!
還是那句話,網(wǎng)速是有限的,但到了晚上上網(wǎng)高峰時(shí),多人搶占有限的帶寬,有人用bt下載、有人在線看片、有人打游戲,總會(huì)有不和諧的聲音~(yú)
瑞星防火墻2012版的新功能“ADSL優(yōu)化”功能:當(dāng)用戶使用ADSL共享多臺(tái)電腦上網(wǎng)的時(shí)候,此功能可以根據(jù)網(wǎng)絡(luò)情況來(lái)合理分配網(wǎng)絡(luò)帶寬,避免某臺(tái) 電腦因?yàn)橄螺d而導(dǎo)致其他電腦無(wú)法正常上網(wǎng)的問(wèn)題。在“我的帶寬”那里輸入當(dāng)前帶寬,單擊“已開(kāi)啟”按鈕即可啟動(dòng)此功能。
QoS(Quality of Service)服務(wù)質(zhì)量,是網(wǎng)絡(luò)的一種安全機(jī)制,是用來(lái)解決網(wǎng)絡(luò)延遲和阻塞等問(wèn)題的一種技術(shù)。在正常情況下,如果網(wǎng)絡(luò)只用于特定的無(wú)時(shí)間限制的應(yīng)用系統(tǒng),并不需要QoS,比如Web應(yīng)用,或E-mail設(shè)置等。但是對(duì)關(guān)鍵應(yīng)用和多媒體應(yīng)用就十分必要。當(dāng)網(wǎng)絡(luò)過(guò)載或擁塞時(shí),QoS 能確保重要業(yè)務(wù)量不受延遲或丟棄,同時(shí)保證網(wǎng)絡(luò)的高效運(yùn)行。
VoIP(Voice over Internet Protocol)簡(jiǎn)而言之就是將模擬聲音訊號(hào)(Voice)數(shù)字化,以數(shù)據(jù)封包(Data Packet)的形式在 IP 數(shù)據(jù)網(wǎng)絡(luò)(IP Network)上做實(shí)時(shí)傳遞。VoIP最大的優(yōu)勢(shì)是能廣泛地采用Internet和全球IP互連的環(huán)境,提供比傳統(tǒng)業(yè)務(wù)更多、更好的服務(wù)。VoIP可以在IP網(wǎng)絡(luò)上便宜的傳送語(yǔ)音、傳真、視頻、和數(shù)據(jù)等業(yè)務(wù),如統(tǒng)一消息、虛擬電話、虛擬語(yǔ)音/傳真郵箱、查號(hào)業(yè)務(wù)、Internet呼叫中心、Internet呼叫管理、電視會(huì)議、電子商務(wù)、傳真存儲(chǔ)轉(zhuǎn)發(fā)和各種信息的存儲(chǔ)轉(zhuǎn)發(fā)等。
在選擇使用協(xié)議的時(shí)候,選擇UDP必須要謹(jǐn)慎。在網(wǎng)絡(luò)質(zhì)量令人不十分滿意的環(huán)境下,UDP協(xié)議數(shù)據(jù)包丟失會(huì)比較嚴(yán)重。但是由于UDP的特性:它不屬于連接型協(xié)議,因而具有資源消耗小,處理速度快的優(yōu)點(diǎn),所以通常音頻、視頻和普通數(shù)據(jù)在傳送時(shí)使用UDP較多,因?yàn)樗鼈兗词古紶杹G失一兩個(gè)數(shù)據(jù)包,也不會(huì)對(duì)接收結(jié)果產(chǎn)生太大影響。比如我們聊天用的ICQ和QQ就是使用的UDP協(xié)議。
第四篇:防火墻 實(shí)驗(yàn)報(bào)告
一、實(shí)驗(yàn)?zāi)康?/p>
? 通過(guò)實(shí)驗(yàn)深入理解防火墻的功能和工作原理 ? 熟悉天網(wǎng)防火墻個(gè)人版的配置和使用
二、實(shí)驗(yàn)原理
? 防火墻的工作原理
? 防火墻能增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性。防火墻系統(tǒng)決定了哪些內(nèi)部服務(wù)可以被外界訪問(wèn);外界的哪些人可以訪問(wèn)內(nèi)部的服務(wù)以及哪些外部服務(wù)可以被內(nèi)部人員訪問(wèn)。防火墻必須只允許授權(quán)的數(shù)據(jù)通過(guò),而且防火墻本身也必須能夠免于滲透。
? 兩種防火墻技術(shù)的對(duì)比
? 包過(guò)濾防火墻:將防火墻放置于內(nèi)外網(wǎng)絡(luò)的邊界;價(jià)格較低,性能開(kāi)銷(xiāo)小,處理速度較快;定義復(fù)雜,容易出現(xiàn)因配置不當(dāng)帶來(lái)問(wèn)題,允許數(shù)據(jù)包直接通過(guò),容易造成數(shù)據(jù)驅(qū)動(dòng)式攻擊的潛在危險(xiǎn)。
? 應(yīng)用級(jí)網(wǎng)關(guān):內(nèi)置了專(zhuān)門(mén)為了提高安全性而編制的Proxy應(yīng)用程序,能夠透徹地理解相關(guān)服務(wù)的命令,對(duì)來(lái)往的數(shù)據(jù)包進(jìn)行安全化處理,速度較慢,不太適用于高速網(wǎng)(ATM或千兆位以太網(wǎng)等)之間的應(yīng)用。
? 防火墻體系結(jié)構(gòu)
? 屏蔽主機(jī)防火墻體系結(jié)構(gòu):在該結(jié)構(gòu)中,分組過(guò)濾路由器或防火墻與 Internet 相連,同時(shí)一個(gè)堡壘機(jī)安裝在內(nèi)部網(wǎng)絡(luò),通過(guò)在分組過(guò)濾路由器或防火墻上過(guò)濾規(guī)則的設(shè)置,使堡壘機(jī)成為 Internet 上其它節(jié)點(diǎn)所能到達(dá)的唯一節(jié)點(diǎn),這確保了內(nèi)部網(wǎng)絡(luò)不受未授權(quán)外部用戶的攻擊。
? 雙重宿主主機(jī)體系結(jié)構(gòu):圍繞雙重宿主主機(jī)構(gòu)筑。雙重宿主主機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口。這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器;它能夠從一個(gè)網(wǎng)絡(luò)到另外一個(gè)網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。但是外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)不能直接通信,它們之間的通信必須經(jīng)過(guò)雙重宿主主機(jī)的過(guò)濾和控制。
? 被屏蔽子網(wǎng)體系結(jié)構(gòu):添加額外的安全層到被屏蔽主機(jī)體系結(jié)構(gòu),即通過(guò)添加周邊網(wǎng)絡(luò)更進(jìn)一步的把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)(通常是Internet)隔離開(kāi)。被屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡(jiǎn)單的形式為,兩個(gè)屏蔽路由器,每一個(gè)都連接到周邊網(wǎng)。一個(gè)位于周邊網(wǎng)與內(nèi)部網(wǎng)絡(luò)之間,另一個(gè)位于周邊網(wǎng)與外部網(wǎng)絡(luò)(通常為Internet)之間。
四、實(shí)驗(yàn)內(nèi)容和步驟
(1)簡(jiǎn)述天網(wǎng)防火墻的工作原理 天網(wǎng)防火墻的工作原理:
在于監(jiān)視并過(guò)濾網(wǎng)絡(luò)上流入流出的IP包,拒絕發(fā)送可疑的包。基于協(xié)議特定的標(biāo)準(zhǔn),路由器在其端口能夠區(qū)分包和限制包的能力叫包過(guò)濾。由于Internet 與Intranet 的連接多數(shù)都要使用路由器,所以Router成為內(nèi)外通信的必經(jīng)端口,Router的廠商在Router上加入IP 過(guò)濾功能,過(guò)濾路由器也可以稱作包過(guò)濾路由器或篩選路由器。防火墻常常就是這樣一個(gè)具備包過(guò)濾功能的簡(jiǎn)單路由器,這種Firewall應(yīng)該是足夠安全的,但前提是配置合理。然而一個(gè)包過(guò)濾規(guī)則是否完全嚴(yán)密及必要是很難判定的,因而在安全要求較高的場(chǎng)合,通常還配合使用其它的技術(shù)來(lái)加強(qiáng)安全性。
路由器逐一審查數(shù)據(jù)包以判定它是否與其它包過(guò)濾規(guī)則相匹配。每個(gè)包有兩個(gè)部分:數(shù)據(jù)部分和包頭。過(guò)濾規(guī)則以用于IP順行處理的包頭信息為基礎(chǔ),不理會(huì)包內(nèi)的正文信息內(nèi)容。包頭信息包括:IP 源地址、IP目的地址、封裝協(xié)議(TCP、UDP、或IP Tunnel)、TCP/UDP源端口、ICMP包類(lèi)型、包輸入接口和包輸出接口。如果找到一個(gè)匹配,且規(guī)則允許這包,這一包則根據(jù)路由表中的信息前行。如果找到一個(gè)匹配,且規(guī)則拒絕此包,這一包則被舍棄。如果無(wú)匹配規(guī)則,一個(gè)用戶配置的缺省參數(shù)將決定此包是前行還是被舍棄。
(2)實(shí)驗(yàn)過(guò)程 步驟:
(1)運(yùn)行天網(wǎng)防火墻設(shè)置向?qū)?,根?jù)向?qū)нM(jìn)行基本設(shè)置。
(2)啟動(dòng)天網(wǎng)防火墻,運(yùn)用它攔截一些程序的網(wǎng)絡(luò)連接請(qǐng)求,如啟動(dòng)Microsoft Baseline Security Analyzer,則天網(wǎng)防火墻會(huì)彈出報(bào)警窗口。此時(shí)選中“該程序以后都按照這次的操作運(yùn)行”,允許MBSA對(duì)網(wǎng)絡(luò)的訪問(wèn)。
(3)打開(kāi)應(yīng)用程序規(guī)則窗口,可設(shè)置MBSA的安全規(guī)則,如使其只可以通過(guò)TCP協(xié)議發(fā)送信息,并制定協(xié)議只可使用端口21和8080等。了解應(yīng)用程序規(guī)則設(shè)置方法。
(4)使用IP規(guī)則配置,可對(duì)主機(jī)中每一個(gè)發(fā)送和傳輸?shù)臄?shù)據(jù)包進(jìn)行控制;ping局域網(wǎng)內(nèi)機(jī)器,觀察能否收到reply;修改IP規(guī)則配置,將“允許自己用ping命令探測(cè)其他機(jī)器”改為禁止并保存,再次ping局域網(wǎng)內(nèi)同一臺(tái)機(jī)器,觀察能否收到reply。改變不同IP規(guī)則引起的結(jié)果:
規(guī)則是一系列的比較條件和一個(gè)對(duì)數(shù)據(jù)包的動(dòng)作,即根據(jù)數(shù)據(jù)包的每一個(gè)部分來(lái)與設(shè)置的條件比較,當(dāng)符合條件時(shí),就可以確定對(duì)該包放行或者阻擋。通過(guò)合理設(shè)置規(guī)則就可以把有害的數(shù)據(jù)包擋在機(jī)器之外。
(5)將“允許自己用ping命令探測(cè)其他機(jī)器”改回為允許,但將此規(guī)則下移到“防御ICMP攻擊”規(guī)則之后,再次ping 局域網(wǎng)內(nèi)的同一臺(tái)機(jī)器,觀察能否收到reply。
(6)添加一條禁止鄰居同學(xué)主機(jī)連接本地計(jì)算機(jī)FTP服務(wù)器的安全規(guī)則;鄰居同學(xué)發(fā)起FTP請(qǐng)求連接,觀察結(jié)果。
(7)觀察應(yīng)用程序使用網(wǎng)絡(luò)的狀態(tài),有無(wú)特殊進(jìn)程在訪問(wèn)網(wǎng)絡(luò),若有,可用“結(jié)束進(jìn)程”按鈕來(lái)禁止它們。
(8)察看防火墻日志,了解記錄的格式和含義。日志的格式和含義:
天網(wǎng)防火墻將會(huì)把所有不符合規(guī)則的數(shù)據(jù)包攔截并且記錄下來(lái),如圖 15 所示。每條記 錄從左到右分別是發(fā)送/接受時(shí)間、發(fā)送 IP 地址、數(shù)據(jù)傳輸封包類(lèi)型、本機(jī)通信端口、標(biāo) 志位和防火墻的操作。
五、實(shí)驗(yàn)總結(jié)
通過(guò)該實(shí)驗(yàn)了解了個(gè)人防火墻的工作原理和規(guī)則設(shè)置方法,了解到天火防火墻的優(yōu)點(diǎn)及缺點(diǎn):
1、靈活的安全級(jí)別設(shè)置
2、實(shí)用的應(yīng)用程序規(guī)則設(shè)置
3、詳細(xì)的訪問(wèn)記錄
4、嚴(yán)密的應(yīng)用程序網(wǎng)絡(luò)狀態(tài)監(jiān)控功能
5、多樣的缺省IP規(guī)則
6、可以自定義IP規(guī)則
7、具有修補(bǔ)系統(tǒng)漏洞功能。
第五篇:防火墻總結(jié)
大石頭中心校
構(gòu)筑校園消防安全“防火墻”工作總結(jié)
學(xué)校消防安全工作是學(xué)校綜合治理的重要內(nèi)容,關(guān)系到學(xué)校財(cái)產(chǎn)安全和教師員工的生命安全。對(duì)于這項(xiàng)工作,我們從來(lái)不敢有絲毫懈怠與麻痹大意。為了深入貫徹實(shí)施《中華人民共和國(guó)消防法》,切實(shí)加強(qiáng)火災(zāi)防控工作,創(chuàng)新校園消防安全管理模式,提升學(xué)校消防安全管理水平,提高我校師生消防安全意識(shí)和自救自護(hù)能力,保證全校師生的人身、財(cái)產(chǎn)安全,根據(jù)市政府統(tǒng)一部署和《敦化市構(gòu)筑社會(huì)消防安全“防火墻”工程實(shí)施方案》,根據(jù)市教育局的要求,我校全面深入制定計(jì)劃,在實(shí)際工作中能堅(jiān)持做到不斷總結(jié)經(jīng)驗(yàn)教訓(xùn),不斷改進(jìn)和完善工作方法,提高安全防范能力,將事故隱患減少到最低指數(shù),最大可能的提供安全保障,確保學(xué)校發(fā)展不受影響。以下是構(gòu)筑校園消防安全“防火墻”三年工作總結(jié):
一、宣傳發(fā)動(dòng),統(tǒng)一思想,營(yíng)造創(chuàng)建學(xué)校消防安全工作氛圍
學(xué)校在學(xué)生安全方面所采取的一系列措施,充分利用學(xué)校的校園網(wǎng)、宣傳櫥窗、黑板報(bào)、學(xué)校廣播等宣傳陣地進(jìn)行大力宣傳。對(duì)師生進(jìn)行交通安全、防電、防火、預(yù)防食物中毒、預(yù)防手足口病等教育,學(xué)校建立了義務(wù)消防隊(duì),對(duì)有關(guān)人員定期培訓(xùn),熟悉消防防備,掌握火警處置及啟動(dòng)消防設(shè)施設(shè)備的程序和方法。我校加大“防火墻”工程主題的宣傳,普及消防知識(shí),組織學(xué)生進(jìn)行了消防安全演練,教給學(xué)會(huì)正確使用滅火器以及掌握逃生的方法,使每一位學(xué)生普遍掌握火警電話,知道如何報(bào)警等基本常識(shí)。另外學(xué)校加強(qiáng)了值班管理制度,1
值班領(lǐng)導(dǎo)和教師要提前到崗,嚴(yán)禁校外人員進(jìn)入學(xué)校,從而保證學(xué)生的安全。
通過(guò)學(xué)習(xí)宣傳,大家統(tǒng)一了思想,提高了認(rèn)識(shí)。因此,把安全防范和教學(xué)質(zhì)量作為學(xué)校一切工作中最主要的兩件事來(lái)抓,做到“兩手都硬”。同時(shí)重視并抓好學(xué)校消防安全工作。近幾年,教學(xué)資源和教學(xué)設(shè)施還不能完全跟上變化的形勢(shì),還不能滿足教學(xué)的需要。因此,校園不安全因素較以前增多,校園發(fā)生安全事故的可能性比以前大大增加。這就給學(xué)校的消防安全工作提出了更高的要求,決不能掉以輕心,麻痹大意。再者,創(chuàng)建平安學(xué)校是實(shí)踐“三個(gè)代表”重要思想的具體體現(xiàn),這對(duì)于堅(jiān)持社會(huì)主義辦學(xué)方向,全面貫徹黨的教育方針,構(gòu)建社會(huì)主義和諧社會(huì),培養(yǎng)合格的社會(huì)主義事業(yè)建設(shè)者和接班人同樣具有重要意義。
在教育活動(dòng)中,每學(xué)期學(xué)校做到了“六個(gè)一”即:一份計(jì)劃、一次國(guó)旗下講話、一次安全知識(shí)講座、一堂主題班會(huì)、一次圖片展覽、一期黑板報(bào)。同時(shí),對(duì)創(chuàng)建中的典型事例和經(jīng)驗(yàn)做法及時(shí)利用校廣播加以宣傳報(bào)道,積極營(yíng)造創(chuàng)建學(xué)校消防安全工作的良好氛圍。
二、健全組織,落實(shí)責(zé)任,探索創(chuàng)建學(xué)校消防安全工作新機(jī)制
學(xué)校領(lǐng)導(dǎo)高度重視學(xué)校消防安全工作,成立了由張校長(zhǎng)總負(fù)責(zé)的消防安全工作領(lǐng)導(dǎo)小組。
組 長(zhǎng):張 波(校長(zhǎng))負(fù)責(zé)學(xué)校的全面安全防火工作
副組長(zhǎng):趙永成(德育副校長(zhǎng))協(xié)助校長(zhǎng)做好學(xué)校安全防火工作、各領(lǐng)導(dǎo)辦公室安全防火工作
胡學(xué)文(教學(xué)副校長(zhǎng))協(xié)助校長(zhǎng)做好學(xué)校安全防火工作、各教師辦公室安全防火工作
劉書(shū)昌(工會(huì)主席)具體負(fù)責(zé)學(xué)校安全防火工作
組 員:陳 贊(支部副書(shū)記)負(fù)責(zé)宿舍、衛(wèi)生室、圖書(shū)室、檔案室、會(huì)議室安全防火工作
高永清(教導(dǎo)主任)負(fù)責(zé)實(shí)驗(yàn)室、微機(jī)室、多功能室安全防火工作
宋立剛(少先隊(duì)輔導(dǎo)員)負(fù)責(zé)各班級(jí)安全防火工作 李志強(qiáng)(總務(wù)主任)負(fù)責(zé)食堂、商店、庫(kù)房、村小學(xué)安全防火工作
朱 哲(保衛(wèi)干事)負(fù)責(zé)警務(wù)室、值班室安全防火工作 武吉富(保衛(wèi)科長(zhǎng))負(fù)責(zé)學(xué)校安全防火檢
貫徹實(shí)施《消防法》和《吉林省消防條例》,認(rèn)真落實(shí)“政府統(tǒng)一領(lǐng)導(dǎo)、部門(mén)依法監(jiān)管、單位全面負(fù)責(zé)、公民積極參與”的消防工作原則,學(xué)校把消防安全工作具體任務(wù)落實(shí)到班級(jí)負(fù)責(zé)人,按照“誰(shuí)主管,誰(shuí)負(fù)責(zé)”的原則,各層次負(fù)責(zé)人分別和下屬各部門(mén)責(zé)任人簽訂消防安全責(zé)任書(shū)。這樣明確分工,責(zé)任到人,使全校創(chuàng)建最安全學(xué)校工作“事事有人做,人人有事做”,形成了“上下聯(lián)動(dòng),齊抓共管” 的管理格局。學(xué)校消防安全工作領(lǐng)導(dǎo)小組具體統(tǒng)籌、組織、協(xié)調(diào)學(xué)校消防安全工作的日常督查、記載等工作。做到工作有計(jì)劃、有布置、有檢查。把此項(xiàng)工作落到實(shí)處,推進(jìn)學(xué)校消防安全管理創(chuàng)新,前移火災(zāi)預(yù)防關(guān)口,提升學(xué)?;馂?zāi)防控水平
三、完善制度,獎(jiǎng)懲結(jié)合,落實(shí)創(chuàng)建各項(xiàng)措施
1、落實(shí)消防安全責(zé)任制:制定各崗位消防安全職責(zé),學(xué)校逐級(jí)與消防安全責(zé)任人之間簽訂消防安全責(zé)任書(shū)。
2、建立、完善和落實(shí)消防安全規(guī)章制度:學(xué)校建立了《消防安 3
全宣傳教育制度》《防火巡查、檢查制度》《安全疏散設(shè)施管理制度》《消防器材、設(shè)施維護(hù)保養(yǎng)制度》、《滅火和應(yīng)急疏散預(yù)案演練制度》。按照“安全第一,預(yù)防為主”的原則,要求各責(zé)任部門(mén)、責(zé)任人對(duì)安全工作做到“每天必查,有查必記,有患必除”,保證安全工作一項(xiàng)不漏,一個(gè)盲點(diǎn)不留,一個(gè)隱患不存。
3、堅(jiān)持落實(shí)學(xué)校消防安全工作的考核機(jī)制。
4、完善消防基礎(chǔ)設(shè)施:按國(guó)家規(guī)范配置滅火器,電器產(chǎn)品的安裝、使用和線路敷設(shè)符合國(guó)家規(guī)范,無(wú)私拉亂接電氣線路,學(xué)生宿舍內(nèi)無(wú)違章用電的行為,疏散通道暢通,學(xué)生宿舍外窗無(wú)影響安全疏散和應(yīng)急救援的柵欄,圖書(shū)室、學(xué)校宿舍置火災(zāi)應(yīng)急照明。
5、加強(qiáng)防火巡查、檢查,及時(shí)消防火災(zāi)隱患:學(xué)校每月組織開(kāi)展一次防火檢查。防火巡查對(duì)查出的火災(zāi)隱患要及時(shí)整改。
6、制定應(yīng)急疏散預(yù)案,適時(shí)組織開(kāi)展演練:學(xué)校每年組織開(kāi)展1-2次應(yīng)急疏散預(yù)案演練。
四、以人為本,“三防”齊抓,構(gòu)建創(chuàng)建工作網(wǎng)絡(luò)、加強(qiáng)消防消安全宣傳教育工作,強(qiáng)化“四個(gè)能力”建設(shè)。
1、將消防安全教育納入學(xué)校的日常教學(xué)內(nèi)容,每個(gè)學(xué)期每個(gè)班級(jí)都安排2節(jié)消防安全知識(shí)課。
2、每個(gè)學(xué)期組織學(xué)生接受一次消防安全教育。
3、在校園內(nèi)或?qū)W生宿舍都有永久性消防安全宣傳標(biāo)語(yǔ),在校園內(nèi)開(kāi)辟1個(gè)消防安全教育宣傳欄。
4、學(xué)校組織開(kāi)展了“消防安全宣傳教育月”活動(dòng)。向?qū)W生傳授日常防火、火場(chǎng)逃生自救等消防常識(shí)。
五、輸導(dǎo)結(jié)合,形式多樣,重視法制宣教工作
采取多種形式,開(kāi)展安全教育。學(xué)校利用升旗、班會(huì)、健康教育課對(duì)學(xué)生進(jìn)行安全意識(shí)教育和自救自護(hù)的常識(shí)教育。組織師生開(kāi)展消防疏散演練活動(dòng),教會(huì)學(xué)生火災(zāi)逃生自救的方法。
學(xué)校消防安全工作是學(xué)校工作的重要組成部分。做好這項(xiàng)工作是維護(hù)穩(wěn)定大局的需要,是學(xué)校生存、發(fā)展的需要。我校消防安全工作,取得了一些成績(jī),但與上級(jí)領(lǐng)導(dǎo)的要求相比,與日益變化的客觀形勢(shì)要求相比還存在一定的差距。三年“防火墻”工程雖已結(jié)束,但我們絕不會(huì)松懈、放松警惕,我們?nèi)詫⒁蝗缂韧?,加大工作力度,促使我校消防安全學(xué)校工作再上新的臺(tái)階。
2012年10月28日