第一篇：系統(tǒng)安全 三步測試防火墻

系統(tǒng)安全 三步測試防火墻

最近我從測試一家公司的防火墻中學到一點：不要相信任何廠商聲稱的任何事情，除非你已經(jīng)親自測試過產(chǎn)品。這意味著那些“應該有效”或是“過去有 效”的事情可能根本不管用，或者不像你期望地那樣運轉(zhuǎn)。在本文中我將討論如何測試防火墻，你應該實施的三種類型防火墻測試、以及令人意外：對于確保為你的 組織選擇最好的防火墻，測試類型并不重要。

測試防火墻的過程可以劃分成三個截然不同的階段：主觀性的評價、緩解威脅的有效性以及性能測試。

測試防火墻：主觀性評價

你的主觀性評價應該基于一個標準列表，而不是功能列表。評審防火墻的每個部分，例如如何定義規(guī)則、如何建立VPN隧道、遠程訪問如何工作，以及威脅緩解功能是如何分層構(gòu)建于產(chǎn)品之上。記錄你的調(diào)查結(jié)果，并且在你的筆記中添加許多截圖。否則在你測試防火墻A時看起來明顯的東西，六周后當你評審 防火墻G時，回顧那些調(diào)查結(jié)果可能會讓你感到不解。對你評價的每個標準都做好筆記。

測試防火墻：有效性測試

沒有專門的工具很難進行有效性測試，并且即使你擁有專門的工具，你可能無法得到好的結(jié)果。有效性測試應該關(guān)注于三個領(lǐng)域：入侵預防、防惡意軟件和應用識別。

對于入侵預防系統(tǒng)(intrusion prevention system，簡稱IPS)測試，如果需要的話你可以購買或是租用一些工具，但是你應該能夠讓每個防火墻廠商運行你指定的測試，雖然通常他們擁有同樣的工具。

對于應用識別測試，選取你最關(guān)心的應用，并且對真實的服務器進行測試。如果你想阻斷點到點(P2P)的文件共享軟件，啟動一些不同的 Torrent客戶端然后觀察會發(fā)生什么。對于諸如webmail或是Facebook這樣的應用也要做同樣的測試，它們都是應用識別與控制測試的首要候 選。不用嘗試自動化的測試工具，因為測試結(jié)果永遠不會像真實的應用和真實的服務器通信那樣精確。這點對于那些逃避檢測的應用特別準，用測試工具永遠無法完 美地模擬它們的通信。

測試防火墻：評估性能

性能測試通常也要求專門的工具，但是已經(jīng)有很多廣受人歡迎的開源工具可供選擇。當測試性能時記住用空設(shè)備檢查試驗臺的測試，一個路由器或是 轉(zhuǎn)接線就不錯。這會告訴你試驗臺的最大速度。從這里開始，要牢記于心網(wǎng)絡測試員David Newman的測試定律：測試必須是可重復的，必須是壓力性的(對于設(shè)備來說，不是對你)，必須是有意義的。將你正在測試的設(shè)備發(fā)揮到它的極限，即使你不 會在實際運行中達到那種程度。這會告訴你未來會在哪里碰壁，以及設(shè)備有多少使用上升空間。

不要在一千種不同的環(huán)境下測試性能，因為你的網(wǎng)絡只會遇到一種環(huán)境：現(xiàn)實。嘗試構(gòu)建代表你的網(wǎng)絡和使用情況狀況的小環(huán)境，并且對同等配置的 防火墻進行測試。因為大多數(shù)防火墻的大部分工作就是處理HTTP和HTTPS流量，你就放心專注于測試它們。增加額外3%左右的DNS流量會使測試更為復 雜，并且通常不會告訴你任何有用的東西。

性能測試必須有“通過/失敗”這樣的指標。例如，當防火墻開始拒絕打開新的會話時，應該結(jié)束測試因為已經(jīng)超出了它的極限。你應該也設(shè)置其它的上限，例如最大的延遲時間，來定義什么時候防火墻的表現(xiàn)是無法接受的。

完成這三種類型的測試，你會清楚地明白適合組織的最佳防火墻產(chǎn)品。

Web攻防實驗室：

第二篇：測試人員面試三步曲（共）

測試人員面試三步曲

春節(jié)過后，很多測試朋友都想換換工作，找一個待遇好、環(huán)境好，又有自己用武之地和發(fā)展空間的工作。在此，我將自己招聘和面試的一些經(jīng)驗與心得匯成三步曲，獻給大家，希望對大家找工作能有所幫助。

第一步、投遞簡歷

投遞簡歷，讓招聘公司發(fā)現(xiàn)你，一般有4種方式：

1.通過招聘網(wǎng)站搜索測試招聘信息，選擇合適的公司和職位，投遞簡歷；

2.通過招聘網(wǎng)站發(fā)布自己的簡歷，等待招聘公司發(fā)現(xiàn)并下載你的簡歷；

3.通過本公司內(nèi)部招聘、內(nèi)部人員推薦；

4.通過招聘會，現(xiàn)場投遞簡歷。

以上4種招聘方式，最為常用的是1、2兩種，而且結(jié)合使用，第3種的成功率最高，第4種應用很少。第1種方式是現(xiàn)在大多數(shù)測試朋友找工作的主要途徑，目前，國內(nèi)知名的人才招聘網(wǎng)站：中華英才網(wǎng)（）、51job前程無憂（）、卓博（）、中國國家人才網(wǎng)（.cn）、北京人才網(wǎng)（）等，相信各位想找工作的測試朋友，早已對這些網(wǎng)站如數(shù)家珍了。如果你想被獵頭看重，那就趕快注冊（更新）一下自己的簡歷吧，很快將會有一大堆公司給你打電話，通知你去面試，這就是第2種方式。一般說來，你在人才網(wǎng)上發(fā)布簡歷找工作的同時，獵頭公司也在找你，所以說，1、2兩種方式結(jié)合使用。接下來，我們再來探討一下第3種方式。在外企以及一些大公司，為了減緩員工在從事一項工作幾年之后產(chǎn)生的乏味情緒，特別推出一種內(nèi)部招聘的方式，允許公司內(nèi)部相關(guān)部門的相關(guān)人員的應聘，比如說作技術(shù)支持的要應聘作市場，作開發(fā)的要應聘作測試等等，或者在公司內(nèi)部公布招聘信息，希望本公司的員工推薦符合招聘要求的人員，可以直接到公司進行面試。因為公司對內(nèi)部員工相當了解，員工對招聘要求十分清楚，必然按要求搜尋符合條件的熟人進行推薦，所以，公司內(nèi)部招聘、內(nèi)部推薦十分容易成功。第4種招聘方式，近兩年已經(jīng)很少應用，因為招聘會有時間限制，還要跑到現(xiàn)場，在人山人海中搜尋符合自己條件的公司和職位，投遞簡歷并進行簡單面試，既費時、費力，效果也不佳，故而應用越來越少。

第二步、準備面試

想要參加面試，就一定要做好面試的準備：

公司情況：

在接到面試通知時，一定要簡單而客氣地詢問一下公司的情況，正所謂知己知彼，百戰(zhàn)不殆。看看公司是否有你所關(guān)注的地方，比如公司的規(guī)模、辦公地點、測試組的情況等，最主要的要知道公司的主要業(yè)務，測試什么，軟件還是硬件，那個行業(yè)的，問話不要多，否則對方很容易反感，最好是要來對方的公司網(wǎng)址，到網(wǎng)站上瀏覽一下，大體也就知道了。穿衣戴帽：

陌生人見面，第一印象很重要，你給招聘方的第一印象，主要通過衣著來表現(xiàn)。我們這些測試人員，都是搞技術(shù)的IT人士，不能穿的象個新新人類，試想一下，你作為主考官，見一個身穿乞丐服、頭戴鴨舌帽的人進來應聘測試工程師，你會相信他的技術(shù)嗎。所以在面試時，一定要穿潔凈、整齊的職業(yè)裝或者夾克，或者適中的風衣。女士稍微畫一點淡妝，男式記得刮胡子。頭發(fā)都要梳的整齊。

言談舉止：

言談舉止要透出一股自信，讓人感覺你就是很棒，什么任務都可以放心的交給你去作，你都

能圓滿完成。

證書、簡歷：

很多公司可能在通知你面試的時候，就會通知你帶相關(guān)的學歷證件、培訓證書，如果招聘方?jīng)]有通知，你可以禮貌的問一下，是否需要攜帶。至于你的簡歷，一定要多帶上幾份，不要以為招聘方看過你的簡歷，就一定有你的簡歷。因為也許是人事部發(fā)現(xiàn)了你的簡歷，通知測試部一同面試，或者測試部發(fā)現(xiàn)了你的簡歷，通知人事部一同面試，而面試又是在幾天之后的事情，早不知把你的簡歷扔到哪里去了。你以為網(wǎng)站上有你的簡歷，可以直接打印，那你就錯了。因為招聘負責人可能工作比較忙，比較累，應聘的人又那么多，手頭沒有現(xiàn)成的簡歷，隨便應付一下，就打發(fā)你走了。感覺難受吧，可你改變不了人家，如果不想失去這次機會，就自己準備簡歷吧，需要就拿出來，不需要可以留著下次用。

語言表達：

面試的關(guān)鍵就是語言表達，看你是否能夠很有條理的把自己的經(jīng)歷、知識、技能表達清楚，并且在講的過程中，注意觀察招聘方的表情，看人家是否感興趣，如果人家皺眉頭，表情不悅，就盡快結(jié)束自己的話題。因此，在面試之前，你可以自己練習練習。

知識、技能：

知識、技能是測試人員平時積累下來的寶貴財富，面試之前，你可以將其條分縷悉，以備面試時表達清楚。

英語能力：

國內(nèi)企業(yè)對英語要求不是十分苛刻，只要有良好的英文文檔閱讀能力即可；倘若是外企或者承包外企項目的公司，對英語要求則十分嚴格：要求你能夠用日常英語會話，能夠用英語撰寫測試文檔，匯報測試工作。所以在學習測試知識和技能的同時，我們也要注意對英語知識的積累。

第三步、參加面試

在約定的時間、約定的地點，你最好準時出現(xiàn)，如果不能準時赴約，一定要提前打電話，告知對方是什么原因?qū)е履氵t到，多長時間以后能你到達約定地點。進入公司，會有接待人員招呼你坐下，通知招聘負責人接待你面試，此間接待人員會給你送上來一杯水。

1.考試

招聘負責人給你一份試卷(一般為筆試，也有上機的，如果對英語有嚴格要求，還會有一份英文試卷)，規(guī)定一定的時限，到時間他來收卷。試卷的命題一般分為填空、選擇、判斷、邏輯推理、程序改錯、簡答，也有讓你找bug的題，這些題給人的感覺都是在簡單中透漏著怪異。如果你問為什么要有考試這一關(guān)，招聘人會告訴你，是想考察應聘者的能力。其實，不盡然，最根本是公司的質(zhì)量保證體系，要求公司所有活動都得有記錄，所以才出現(xiàn)了考試這回事。

2.初試

初試是最關(guān)鍵的，幾乎決定是否錄用你。初試之前招聘負責人可能會寒暄幾句，讓你放松一下心情。招聘負責人一般有兩位，一位負責測試技術(shù)，一位負責人事，招聘負責人會作自我介紹，也可能其中一位捎帶介紹另一位的資歷(比如留美博士)，表示這家公司很有誘惑力，連這么好的人才都吸引來了。接下來負責測試技術(shù)的會問你幾個問題：

? 請你簡單談談你的經(jīng)歷？

? 你在某某家公司主要作哪些工作？

? 測試過那些東西？

? 測試流程是什么？

? 手工測試還是自動測試？

? 使用過哪些測試工具？使用過Rational系列測試工具嗎？

? 作過白盒測試嗎？

? 作過XXX測試嗎？以前接觸過XXX嗎？你對XXX了解到什么程度？（XXX代

表招聘公司所要測試的東西）

?平時使用哪些操作系統(tǒng)？Linux操作熟練嗎？

? 以前作過開發(fā)嗎？開發(fā)了哪些東西？使用的什么語言？

? 你覺得測試工程師應該具備哪些素質(zhì)？

? 對一個測試工程師來說，什么素質(zhì)最重要？

? 結(jié)合自己的實際工作，談談你對測試的理解？

? 為什么要離開上一家公司？

? 居住在哪里？離公司遠不遠？

有經(jīng)驗的招聘負責人都會簡單介紹一下自己的公司（背景、主營業(yè)務、發(fā)展前景等），然后開始問問題。一般開門見山的問題是’請你簡單談談你的經(jīng)歷？’，回答這個問題，只要簡單的敘述你從畢業(yè)到現(xiàn)在都在那些公司作了那些事情即可，敘述時一定要從容、清晰而有條理，眼睛瞅著招聘負責人，觀察其表情，如果有些不耐煩，要盡早結(jié)束這一話題。招聘負責人此時會大致瀏覽你的簡歷，在你敘述完自己的經(jīng)歷時，招聘人會就你簡歷的某一項問你，比如’你在某某家公司主要作什么？測試過那些東西？測試流程是什么？’，待你回答完這些之后，繼而問你測試的具體細節(jié)，手工測試、自動測試、用過那些工具？是否作過白盒測試？使用過什么操作系統(tǒng)？熟悉那些語言？是否作過開發(fā)？如果你肯定回答這些問題，那么還要繼續(xù)問具體操作，比如你答作過白盒測試，那么招聘人會問你測了哪些東西？怎么進行的？是獨立進行的還是和別人一起進行的？測試出的bug 如何處理？是否作進一步的分析？??

負責測試技術(shù)的問完后，就由負責人事的繼續(xù)發(fā)問：

? 你的期望薪金是多少？稅前還是稅后？

? 一旦錄用多長時間可以來上班？

? 你的戶口在哪里？調(diào)檔案是否有問題等？

等你回答完畢，接下來他會告訴你：

? 公司是否有試用期，試用期多長時間；

? 試用期的薪金如何發(fā)放，其他待遇怎樣處理；

? 如果符合初試條件，多長時間之內(nèi)通知復試；

? 有無醫(yī)療保險、養(yǎng)老保險、失業(yè)保險、住房公基金等福利待遇。

一般面試的會談與過程掌控在招聘人手中，如果不想變得很被動，就要試著主動發(fā)問。不過，招聘人很少會給你機會，或者你問的不是時機，會讓他很反感。只有到最后，招聘人才會說“我們的問題問完了，你有什么問題嗎？”，這時你就可以放心大膽的問了，比如：

? 公司是那年成立的？

? 主要業(yè)務是什么？

? 現(xiàn)有規(guī)模怎么樣？

? 測試組的情況怎么樣？

? 作息制度等等？

凡是你所關(guān)心的問題都可以問。

之后是幾句寒暄的話，諸如：

? 謝謝您來參加面試

? 耽誤您寶貴時間了

? 我送您出門

? ByeBye，再見

（注明：如果是外企公司或承包外企項目的公司，幾乎整個初試將用英語進行。）

這樣，初試就結(jié)束了。一般初試后一周之內(nèi)會通知你參加復試，如果沒有接到通知，就不要再懷念這家公司了。假如你仍不死心，當然也可以打電話咨詢一下，也許他們真的沒有想好通知誰復試，也許因為你打了電話，通知復試就是你了；也許他們已經(jīng)將你Pass掉了，就會委婉的告訴你，或者直截了當?shù)母嬖V你。

3.復試

在考試和初試綜合成績出來之后，招聘負責人決定推薦幾位綜合成績好的初試者給老板（最終負責人），由其對你進行復試。談話的內(nèi)容與初試差不多，但你會覺得比較隨和，因為大老板一般都很會做人，而且覺得你可能就是我們公司的員工了，所以會相對放松些。

經(jīng)過復試之后，幾乎當場或者很快就會給你電話，告知你被錄用了，報到時需要攜帶哪些證件，詢問你何時能夠上班？如果復試后幾天都沒有訊息，就不要再等了，招聘公司已經(jīng)將你Pass掉了。

(注明：不是所有公司的面試都有考試、初試、復試，但至少一次面談是必需的)

各位測試朋友，在經(jīng)歷了投遞簡歷、準備面試、參加面試的三步曲之后，總會有一家適合你的公司；如果你經(jīng)歷了幾次都沒能成功，請不要氣餒，也許我們與這些公司之間真的是有些偏差，比如人家要求有手機測試經(jīng)驗，而我們沒有，就不要懷疑自己能力不行； 比如人家要求熟練使用Rational系列測試工具，我們現(xiàn)在不擅長，就可以向熟悉Rational工具的人學習學習。總之，無論成功、失敗，我們都要保持一種謙虛、自信的態(tài)度，來面對人生中的一次又一次面試。

第三篇：系統(tǒng)安全

系統(tǒng)安全.txt我退化了，到現(xiàn)在我還不會游泳，要知道在我出生之前，我絕對是游的最快的那個轉(zhuǎn)自小木蟲論壇http://emuch.net/bbs/viewthread.php?tid=178421&fpage=7別再使用使用電腦公司ＧＨＯＳＴ版系統(tǒng)了我的朋友告訴我有天晚上他在下載東西，睡不著，又閑著無聊，就拿出了掃描工具[s.exe,這個掃描工具的速度我認為是非?？斓腯，掃描了

[***.***.1.1 ***.***.254.254]開了3389的IP，結(jié)果太另我驚奇了，開了3389的集子居然有186臺(時間是晚上1點多)，這個還不算什么，我就去連接遠程桌面了，[對方是WindowsXP的系統(tǒng)]自然是要用戶名和密碼了，我就拿[Administrator，密碼為空]居然讓我進去了，而且[Administrator是第一次登陸，沒有個人設(shè)置的]我就去看看他有哪些用戶，Guest自然是禁用的了，只有兩個管理員號碼[Administrator和new]，我沒動它，管理員和我一樣，在下載東西，我加了他QQ，傳了個Radmin，搞定之后，我便去看看其他的3389機器了！我連接第二個掃描出來的3389IP也是WindowsXP的系統(tǒng)，還是老路用[Administrator,密碼空]去連的時候，提示[new]在線，我就有點奇怪了，他們兩個人的用戶怎么是一樣的啊，也沒怎么在意，這個IP暫時放一邊，換IP去連。IP在連，我的心也在涼！我連了186個IP，發(fā)現(xiàn)了一個特點：都開放了3389端口，都有Administrator和new這個用戶，而且密碼都為空。這意味著什么呢！還有一臺電腦我進去了，他是剛裝的系統(tǒng)和驅(qū)動，什么都沒設(shè)置，人不在，我看了他可能把硬盤全格式化了，里面都沒文件?，F(xiàn)在我就能確定一件事情啦：他們安裝完系統(tǒng)之后，就開了3389，而且建立了一個用戶[new，密碼空]。怎么可以這樣實現(xiàn)呢，據(jù)我初步估計，他們一定是在網(wǎng)上下載了GHOST版系統(tǒng)，很可能是，別人在自己的系統(tǒng)里面做了后門，然后做成了鏡像，給你們下載！當你們安裝了之后。。。。以上的事情絕對是真實的！在此，我強烈建議大家不要為了省時間，安裝GHOST系統(tǒng)，論壇上志鴻兄弟的那個就很好啊，或者你直接下一個xp505原版的iso算號安裝。大家看了這個帖子之后就到命令提示符下面去打這個命令:netstat-na上面的那個命令是可以查看自己開了哪些端口的！還有就是給自己的用戶設(shè)置好密碼，特別提醒，發(fā)現(xiàn)自己有new這個用戶的朋友，建議你們換系統(tǒng)吧(估計你們還是很菜，即使在論壇上說了怎么搞，你們也未必會搞)！好了，我就寫到這里了，下面的事情，你們自己去辦吧！解決方案:1.系統(tǒng)屬性——遠程——把“允許從這臺計算機發(fā)送遠程協(xié)助邀請”和“允許用戶遠程連接到此計算機”復選框前面的勾去掉！2.開始——控制面板——管理工具——服務，“Terminal Services”(允許用戶以交互方式連接到遠程計算機。遠程桌面、快速用戶切換、遠程協(xié)助和終端服務器依賴此服務-停止或禁用此服務會使您的計算機變得不可靠。要阻止遠程使用此計算機，請在“系統(tǒng)”屬性控制面板項目上清除“遠程”選項卡上的復選框。)括號里的是關(guān)于這個服務的描述。禁用了吧！3.開始——控制面板——管理工具——本地安全策略——本地策略——用戶權(quán)限分配——通過終端服務允許登陸，你把“Administrators”和“Remote Desktop Users”刪除。4.把用戶[new]、用戶[Guest]和用戶[Administrator]重命名，并且設(shè)置一個強密碼(推薦：字母＋數(shù)字＋字符，的組合)！5.控制面板——Windows防火墻——例外——把“遠程桌面”前的復選框的勾去掉！

6.從IP策略里面關(guān)閉木馬和病毒默認開放的端口。7.安裝第三方防火墻！8.多去看看系統(tǒng)日志（開始——控制面板——管理工具——事件查看器）9.平時多用netstat-na這個命令，去看看有沒有開放陌生的端口(運行cmd，在命令提示符下輸入netstat-na),也許。。10.養(yǎng)成良好的上網(wǎng)習慣！本人經(jīng)瑞星防火墻驗證確實有人通過3389端口連接我的電腦。有江西、陜西、河北等地，請大家注意。

第四篇：系統(tǒng)安全

系統(tǒng)安全

各種信息系統(tǒng)的信息量吞吐龐大，而且需要不間斷地實時運行。因此系統(tǒng)應具有高穩(wěn)定性和高安全性，以防范電子威脅、物理威脅和信息威脅等。

系統(tǒng)安全包括多個方面：物理安全，數(shù)據(jù)安全，通信/網(wǎng)絡安全，操作系統(tǒng)安全，應用軟件安全以及管理安全。系統(tǒng)安全示意圖如下圖所示：

圖系統(tǒng)安全示意圖

1物理安全

物理平臺安全指運行整個系統(tǒng)所需要的基本環(huán)境設(shè)施，包括計算機房、電源供給和備份等。? 計算機房安全措施

計算機機房及相關(guān)設(shè)施的設(shè)計與建設(shè)，必須符合國家、行業(yè)和地方有關(guān)的技術(shù)規(guī)范和標準，以保障環(huán)境安全。? 電源供給系統(tǒng)安全措施

電源供給是整個系統(tǒng)的生命線，必須考慮設(shè)計三種保障機制：第一種方式是雙電路供電，即完全引用兩個不同的輸配電網(wǎng)在線電源供電；第二種方式是發(fā)電機熱備份，即在正常狀態(tài)下由能夠滿足負荷要求的專用發(fā)電機提供在線電源熱備份；第三種方式是由大功率不間斷電源供給系統(tǒng)在線電源熱備份。? 消防安全措施

主要設(shè)施與環(huán)境的消防安全保障，必須符合國家、行業(yè)和地方有關(guān)的規(guī)范和標準，以保障環(huán)境安全。? 選用高可靠性服務器以及其他硬件設(shè)施

硬件設(shè)施本身可靠性以及性能對系統(tǒng)的安全性影響至關(guān)重要，只有選用經(jīng)過長期穩(wěn)定使用的，高可靠性的硬件產(chǎn)品才能保證整個系統(tǒng)在運轉(zhuǎn)中長期處于可靠、高效、安全的狀態(tài)。2網(wǎng)絡安全

采用專網(wǎng)設(shè)計，運用網(wǎng)閘等先進工具保證數(shù)據(jù)的物理隔離，實現(xiàn)各個子網(wǎng)的物理隔離。3數(shù)據(jù)安全

保證數(shù)據(jù)庫的安全與穩(wěn)定，對純粹數(shù)據(jù)信息的安全保護，以

數(shù)據(jù)庫信息的保護最為典型。對各種功能文件的保護，終端安全很重要。為確保這些數(shù)據(jù)的安全，在網(wǎng)絡信息安全系統(tǒng)的設(shè)計中必須包括以下內(nèi)容：

? 采用高可靠版本的SQL Server 2008數(shù)據(jù)庫，配置安全級別以及訪問控制。

? 采用本地熱備份、遠程異地熱備份和第三方承保的方式進行數(shù)據(jù)備份，保障數(shù)據(jù)安全。? 配置數(shù)據(jù)備份和恢復工具 ? 采用數(shù)據(jù)訪問控制措施 ? 進行用戶的身份鑒別與權(quán)限控制 ? 采用數(shù)據(jù)機密性保護措施，如密文存儲 ? 采用數(shù)據(jù)完整性保護措施 ? 防止非法軟件拷貝和硬盤啟動 ? 防病毒

? 備份數(shù)據(jù)的安全保護 4系統(tǒng)安全

該層次的安全問題來自網(wǎng)絡內(nèi)使用的操作系統(tǒng)的安全和應用軟件的安全。主要表現(xiàn)在以下方面，一是操作系統(tǒng)本身的缺陷帶來的不安全因素，主要包括身份認證、訪問控制、系統(tǒng)漏洞等。二是對運行操作系統(tǒng)的物理設(shè)備損壞問題。三是病毒對操作系統(tǒng)的威脅。我們將采用CA認證機制等并設(shè)置復雜的訪問密碼，配置

完善的安全策略，同時采用多種操作系統(tǒng)，多機多信道冗余以及采用先進的防病毒、防黑客工具，最大限度地防止上述不安全因素造成損失。

同時，也應考慮在登入應用軟件系統(tǒng)時的身份驗證，數(shù)據(jù)傳輸過程中的信息加密，指揮過程中的身份確認和身份控制以及軟件系統(tǒng)的使用權(quán)限等問題。

同時，應用軟件系統(tǒng)將采用嚴格的身份認證和權(quán)限控制機制，運用多層次的用戶權(quán)限，包括系統(tǒng)級權(quán)限，模塊級權(quán)限，功能級權(quán)限，字段級權(quán)限以及業(yè)務記錄級權(quán)限等。采用嚴格的用戶授權(quán)管理保證不同的權(quán)限訪問不同的數(shù)據(jù)。

? 系統(tǒng)級權(quán)限：不同權(quán)限的用戶訪問不同的功能模塊，實現(xiàn)功能模塊訪問的權(quán)限劃分。

? 業(yè)務級權(quán)限：不同權(quán)限的用戶訪問功能模塊中的不同子模塊，實現(xiàn)細小功能模塊的權(quán)限控制。

? 功能權(quán)限：不同權(quán)限的用戶訪問功能模塊中的不同業(yè)務功能，限制部分業(yè)務功能的使用范圍，保證系統(tǒng)安全。

? 字段級權(quán)限：限制未授權(quán)用戶/訪問修改被保護的數(shù)據(jù)，保證了敏感數(shù)據(jù)的安全。

? 業(yè)務記錄級權(quán)限：限制部分用戶只能訪問/修改某些被授權(quán)的數(shù)據(jù)，例如操作員只能訪問模塊中有關(guān)自己業(yè)務范疇的數(shù)據(jù)，但領(lǐng)導可以訪問各種數(shù)據(jù)，統(tǒng)攬全局。

為此，系統(tǒng)需要記錄詳盡的操作日志，使任何操作有據(jù)可查。

5管理安全

安全管理包括安全技術(shù)和設(shè)備的管理、安全管理制度、部門與人員的組織規(guī)則等。管理的制度化極大程度地影響著整個網(wǎng)絡的安全，嚴格的安全管理制度、明確的部門安全職責劃分、合理的人員角色配置都可以在很大程度上降低其它層次的安全漏洞。? 針對網(wǎng)絡系統(tǒng)，隨著安全工程的規(guī)劃與實施，必須逐漸建立健全一套自上而下的安全組織機構(gòu)與有關(guān)管理的規(guī)章制度。? 與網(wǎng)絡安全工程的層次結(jié)構(gòu)相對應，安全組織結(jié)構(gòu)也應采用分層結(jié)構(gòu)。建議指定專門機構(gòu)和人員，負責全網(wǎng)所有日常安全管理活動，主要職責有：(1)監(jiān)視全網(wǎng)運行和安全告警信息

(2)網(wǎng)絡各個層次審計與日志信息的常規(guī)分析(3)安全設(shè)備的常規(guī)設(shè)置與維護

(4)全網(wǎng)與下一級網(wǎng)絡安全策略的規(guī)劃、制定與實施(5)網(wǎng)絡安全事件的處理等

? 在下屬各專網(wǎng)設(shè)置安全工作小組，接受全網(wǎng)安全管理中心的指導，主要負責該層次網(wǎng)絡的安全事務。

? 網(wǎng)絡系統(tǒng)的安全規(guī)章制度分兩部分，一是國家及主管部門在信息安全方面的法律、法規(guī)與規(guī)定；另一部分是網(wǎng)絡系統(tǒng)自身的制度和規(guī)定，它應該與網(wǎng)絡所采取的各種安全機制相輔相成，互為補充。

? 可采用動態(tài)登入密碼機制，保護密碼安全。

第五篇：防火墻論文

防火墻技術(shù)論文

姓 名：王田輝 學 號：2012110438 專 業(yè)：網(wǎng)絡工程

摘要

本文介紹了防火墻的概念、分類、發(fā)展歷程、工作原理、主要技術(shù)及相關(guān)的特性。防火墻是一種訪問控制技術(shù)，它通過在某個機構(gòu)的網(wǎng)絡和不安全的網(wǎng)絡之間設(shè)置障礙，阻止信息資源的非法訪問。說明了網(wǎng)絡常見攻擊方式以及防火墻應對策略。分析了防火墻技術(shù)在Internet安全上的重要作用，并提出其不足之處 和解決方案。最后展望了防火墻的反戰(zhàn)前景以及技術(shù)方向。

關(guān)鍵字：防火墻；網(wǎng)絡；網(wǎng)絡安全；功能；Internet；

Abstract The paper introduces the concept, classification and firewall development course, working principle and main technology and related properties.A firewall is a kind of access control technology, it is through the network and in some institutions unsafe network between obstacles, stop the illegal access to information resources.Explain the network attack mode and common firewall strategies.Analysis on the Internet security firewall technology was proposed, and the important role of the deficiencies and solutions.Finally discussed the prospect and the anti-war firewall technology trends.Key words: firewall, Network, Network security, Function, Internet，目錄

一、防火墻是什么.........................................1

二、防火墻的分類.........................................1

三、防火墻的發(fā)展歷程.....................................1

四、防火墻的工作原理.....................................2

五、防火墻應該具備的特性.................................2

六、防火墻主要技術(shù).......................................2

七、常見攻擊方式以及應對策略.............................3

八、防火墻的反戰(zhàn)前景以及技術(shù)方向.........................3

九、結(jié)束語...............................................4

十、參考文獻.............................................4 現(xiàn)在無論是企業(yè)，還是個人，隨著計算機的應用由單機發(fā)展到網(wǎng)絡，網(wǎng)絡面臨著大量的安全威脅，其安全問題日益嚴重，日益成為廣泛關(guān)注的焦點。在這樣一個大環(huán)境下，網(wǎng)絡安全問題凝了人們的注意力，大大小小的企業(yè)紛紛為自己的內(nèi)部網(wǎng)絡“筑墻”，防病毒與防黑客成為確保企業(yè)信息系統(tǒng)安全的基本手段。因此信息安全，網(wǎng)絡安全的問題已經(jīng)引起各國，各部門，各行各業(yè)以及每個計算機用戶的充分重視。

一、防火墻是什么

防火墻就是一個位于計算機和它所連接的網(wǎng)絡之間的軟件。該計算機流入流出的所有網(wǎng)絡通信均要經(jīng)過此防火墻。

二、防火墻的分類

防火墻又大致分為硬件防火墻和軟件防火墻:硬件防火墻是指把防火墻程序做到芯片里面，由硬件執(zhí)行這些功能，能減少CPU的負擔，使路由更穩(wěn)定。硬件防火墻一般都有WAN、LAN和DMZ三個端口，還具有各種安全功能，價格比較高，企業(yè)以及大型網(wǎng)絡使用得比較多。軟件防火墻其實就是安全防護軟件，比如天網(wǎng)防火墻、金山網(wǎng)鏢、藍盾防火墻等等。

三、防火墻的發(fā)展歷程

目前的防火墻無論從技術(shù)上還是產(chǎn)品發(fā)展歷程上，都經(jīng)歷了五個發(fā)展階段。第一代防火墻技術(shù)幾乎與路由器同時出現(xiàn)，采用了包過濾技術(shù)。1989年，貝爾實驗室的Dave Presotto和Howard Trickey推出了第二代防火墻，即電路層防火墻，同時提出了第三代防火墻——應用層防火墻（代理防火墻）的初步結(jié)構(gòu)。第四代防火墻是1992年，USC信息科學院的BobBraden開發(fā)出了基于動態(tài)包過濾技術(shù)的第四代防火墻，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視技術(shù)。1994年，以色列的CheckPoint公司開發(fā)出了第一個采用這種技術(shù)的商業(yè)化的產(chǎn)品。第五代防火墻是1998年，NAI公司推出了一種自適應代理技術(shù)，并在其產(chǎn)品Gauntlet Firewall for NT中得以實現(xiàn)，給代理類型的防火墻賦予了全新的意義。高級應用代理的研究，克服速度和安全性之間的矛盾，可以稱之為第五代防火墻。前五代防火墻技術(shù)有一個共同的特點，就是采用逐一匹配方法，計算量太大。包過濾是對IP包進行匹配檢查，狀態(tài)檢測包過濾除了對包進行匹配檢查外還要對狀態(tài)信息進行匹配檢查，應用代理對應用協(xié)議和應用數(shù)據(jù)進行匹配檢查。因此，它們都有一個共同的缺陷，安全性越高，檢查的越多，效率越低。用一個定律來描述，就是防火墻的安全性與效率成反比。

四、防火墻的工作原理

天下的防火墻至少都會說兩個詞：Yes或者No。直接說就是接受或者拒絕。最簡單的防火墻是以太網(wǎng)橋。但幾乎沒有人會認為這種原始防火墻能管多大用。大多數(shù)防火墻采用的技術(shù)和標準可謂五花八門。這些防火墻的形式多種多樣：有的取代系統(tǒng)上已經(jīng)裝備的TCP/IP協(xié)議棧；有的在已有的協(xié)議棧上建立自己的軟件模塊；有的干脆就是獨立的一套操作系統(tǒng)。還有一些應用型的防火墻只對特定類型的網(wǎng)絡連接提供保護（比如SMTP或者HTTP協(xié)議等）。還有一些基于硬件的防火墻產(chǎn)品其實應該歸入安全路由器一類。以上的產(chǎn)品都可以叫做防火墻，因為他們的工作方式都是一樣的：分析出入防火墻的數(shù)據(jù)包，決定放行還是把他們?nèi)拥揭贿?。所有的防火墻都具有IP地址過濾功能。這項任務要檢查IP包頭，根據(jù)其IP源地址和目標地址作出放行/丟棄決定。

五、防火墻應該具備的特性

當前的防火墻需要具備如下的技術(shù)、功能、特性，才可以成為企業(yè)用戶歡迎的防火墻產(chǎn)品：

1、安全、成熟、國際領(lǐng)先的特性；

2、具有專有的硬件平臺和操作系統(tǒng)平臺；

3、采用高性能的全狀態(tài)檢測（Stateful Inspection）技術(shù)；

4、具有優(yōu)異的管理功能，提供優(yōu)異的GUI管理界面；

5、支持多種用戶認證類型和多種認證機制；

6、需要支持用戶分組，并支持分組認證和授權(quán)；

7、支持內(nèi)容過濾；

8、支持動態(tài)和靜態(tài)地址翻譯(NAT；

9、支持高可用性，單臺防火墻的故障不能影響系統(tǒng)的正常運行；

10、支持本地管理和遠程管理；

11、支持日志管理和對日志的統(tǒng)計分析；

12、實時告警功能，在不影響性能的情況下，支持較大數(shù)量的連接數(shù)；

13、在保持足夠的性能指標的前提下，能夠提供盡量豐富的功能；

14、可以劃分很多不同安全級別的區(qū)域，相同安全級別可控制是否相互通訊；

15、支持在線升級；

16、支持虛擬防火墻及對虛擬防火墻的資源限制等功能；

17、防火墻能夠與入侵檢測系統(tǒng)互動。

六、防火墻主要技術(shù)

先進的防火墻產(chǎn)品將網(wǎng)關(guān)與安全系統(tǒng)合二為一，具有以下技術(shù)：雙端口或三端口的結(jié)構(gòu)；透明的訪問方式；靈活的代理系統(tǒng)；多級的過濾技術(shù)；網(wǎng)絡地址轉(zhuǎn)換技術(shù)（NAT）；Internet網(wǎng)關(guān)技術(shù)；安全服務器網(wǎng)絡（SSN）；用戶鑒別與加密；用戶定制服務；審計和告警。

七、常見攻擊方式以及應對策略

（一）病毒

策略：設(shè)定安全等級，嚴格阻止系統(tǒng)在未經(jīng)安全檢測的情況下執(zhí)行下載程序；或者通過常用的基于主機的安全方法來保護網(wǎng)絡。

（二）口令字

對口令字的攻擊方式有兩種：窮舉和嗅探。窮舉針對來自外部網(wǎng)絡的攻擊，來猜測防火墻管理的口令字。嗅探針對內(nèi)部網(wǎng)絡的攻擊，通過監(jiān)測網(wǎng)絡獲取主機給防火墻的口令字。

策略：設(shè)計主機與防火墻通過單獨接口通信（即專用服務器端口）、采用一次性口令或禁止直接登錄防火墻。

（三）郵件

來自于郵件的攻擊方式越來越突出，在這種攻擊中，垃圾郵件制造者將一條消息復制成成千上萬份，并按一個巨大的電子郵件地址清單發(fā)送這條信息，當不經(jīng)意打開郵件時，惡意代碼即可進入。

策略：打開防火墻上的過濾功能，在內(nèi)網(wǎng)主機上采取相應阻止措施。

（四）IP地址

黑客利用一個類似于內(nèi)部網(wǎng)絡的IP地址，以“逃過”服務器檢測，從而進入內(nèi)部網(wǎng)達到攻擊的目的。策略：通過打開內(nèi)核rp_filter功能，丟棄所有來自網(wǎng)絡外部但卻有內(nèi)部地址的數(shù)據(jù)包；同時將特定IP地址與MAC綁定，只有擁有相應MAC地址的用戶才能使用被綁定的IP地址進行網(wǎng)絡訪問。

八、防火墻的反戰(zhàn)前景以及技術(shù)方向

伴隨著Internet的飛速發(fā)展，防火墻技術(shù)與產(chǎn)品的更新步伐必然會加強，而要全面展望防火墻技術(shù)的發(fā)展幾乎是不可能的。但是，從產(chǎn)品及功能上，卻又可以看出一些動向和趨勢。下面諸點可能是下一步的走向和選擇：

（1)防火墻將從目前對子網(wǎng)或內(nèi)部網(wǎng)管理的方式向遠程上網(wǎng)集中管理的方式發(fā)展。

（2)過濾深度會不斷加強，從目前的地址、服務過濾，發(fā)展到URL(頁面)過濾、關(guān)鍵字過濾和對ActiveX、Java等的過濾，并逐漸有病毒掃描功能。

（3)利用防火墻建立專用網(wǎng)是較長一段時間用戶使用的主流，IP的加密需求越來越強，安全協(xié)議的開發(fā)是一大熱點。

（4)單向防火墻(又叫做網(wǎng)絡二極管)將作為一種產(chǎn)品門類而出現(xiàn)。（5)對網(wǎng)絡攻擊的檢測和各種告警將成為防火墻的重要功能。（6)安全管理工具不斷完善，特別是可以活動的日志分析工具等將成為防火墻產(chǎn)品中的一部分。 另外值得一提的是，伴隨著防火墻技術(shù)的不斷發(fā)展，人們選擇防火墻的標準將主要集中在易于管理、應用透明性、鑒別與加密功能、操作環(huán)境和硬件要求、VPN 的功能與CA的功能、接口的數(shù)量、成本等幾個方面。幾乎所有接觸網(wǎng)絡的人都知道網(wǎng)絡中有一些費盡心機闖入他人計算機系統(tǒng)的人，他們利用各種網(wǎng)絡和系統(tǒng)的漏洞，非法獲得未授權(quán)的訪問信息。不幸的是如今攻擊網(wǎng)絡系統(tǒng)和竊取信息已經(jīng)不需要什么高深的技巧。網(wǎng)絡中有大量的攻擊工具和攻擊文章等資源，可以任意使用和共享。不需要去了解那些攻擊程序是如何運行的，只需要簡單的執(zhí)行就可以給網(wǎng)絡造成巨大的威脅。甚至部分程序不需要人為的參與，非常智能化的掃描和破壞整個網(wǎng)絡。這種情況使得近幾年的攻擊頻率和密度顯著增長，給網(wǎng)絡安全帶來越來越多的安全隱患

九、結(jié)束語

隨著Internet/Intranet技術(shù)的飛速發(fā)展，網(wǎng)絡安全問題必將愈來愈引起人們的重視。防火墻技術(shù)作為目前用來實現(xiàn)網(wǎng)絡安全措施的一種主要手段，它主要是用來拒絕未經(jīng)授權(quán)用戶的訪問，阻止未經(jīng)授權(quán)用戶存取敏感數(shù)據(jù)，同時允許合法用戶不受妨礙的訪問網(wǎng)絡資源。如果使用得當，可以在很大程度上提高網(wǎng)絡安全。但是沒有一種技術(shù)可以百分之百地解決網(wǎng)絡上的所有問題，比如防火墻雖然能對來自外部網(wǎng)絡的攻擊進行有效的保護，但對于來自網(wǎng)絡內(nèi)部的攻擊卻無能為力。事實上60%以上的網(wǎng)絡安全問題來自網(wǎng)絡內(nèi)部。因此網(wǎng)絡安全單靠防火墻是不夠的，還需要有其它技術(shù)和非技術(shù)因素的考慮，如信息加密技術(shù)、身份驗證技術(shù)、制定網(wǎng)絡法規(guī)、提高網(wǎng)絡管理人員的安全意識等等。

十、參考文獻

[1] 作者：彭濤.《計算機網(wǎng)絡教程 》 機械工業(yè)出版社 [2] 作者：IBON.Marshield 《網(wǎng)絡安全技術(shù)白皮書》 艾邦公司資料

[3] 作者：楚狂 等 《網(wǎng)絡安全與Firewall技術(shù)》 人民郵電出版社 [4] 作者：聶元銘 丘平《網(wǎng)絡信息安全技術(shù)》 科學出版社