㈠ 關於防火牆和殺毒軟體是否有效的問題
在應用防病病毒軟體的時候,應該主要的時候在於應用她進行防禦更加確信的說是預防,一旦你中病毒,那就不好辦,因為,是在你有防毒軟體的時候中的病毒.就像是人都感冒了,再吃葯就不好.最好是在自己應用的時候,在防毒軟體的幫助的情況下,首先把自己的操作系統的補丁大好,就像是你冬天(北方)上街了,自己的衣服不防寒,滿身上都是"洞",那就你上網的時候,最能感覺到,這個補丁就是你的系統穿上了一個比較完整的防禦系統,我們的防毒軟體就是一個小的安全程序,而且大多數的病毒是通過漏洞進行攻擊的.
另外一點就是,通過你對對方(有毒的機器)的信任造成的,是你的機器上有一個病毒的運行程序,然後這個程序辦你的病毒防護軟體關掉,在自己肆意的繁殖,
但是這個時候,還是可以補救的,在管理器中可以看到,那個程序的佔有率高,
然後在 網路知道里,或是中找到相關的清理的過程,也許會有救.
在防禦的時候,就是病毒監控軟體提醒你注冊表...等等自己要清楚的看出,或者是盡量的做到那個修改的是什麼軟體,這樣救好多了,如果,必須是非得修改那就應該自己備份一下注冊表.
一定要把系統的補丁大好,然後在到"寒冷的網上溜達".
殺毒軟體主要是,檢查沒有發作的,剛剛傳輸到機器里的數據,救查毒來講怎麼都是線性的查,那就有新的數據加入的時候無論什麼時候 "浪費點時間,查毒"我感覺這樣會好一點.
千里之堤 毀於螞蟻之穴
有回答的不好的,多多包含.]
**********************************************************
防火牆就是一個 網路得高級設備. 防火牆就現在我們使用得都是第三代防火牆
1路由
2軟體
3基於操作系統(基於通用系統得防火牆)
4基於安全操作系統(一般得都是企業用得)
問題在於,現在我們使用的防火牆是第三代,第三代防火牆有下面的特點:
第3代防火牆就因為它基於操作系統得防火牆
是批量上市得專用防火牆產品
包括分組過濾或者是有路由過濾功能
再裝有專用得代理系統,監控所有協議得數據和指令
保護用戶編程空間和用戶配置所有協議得數據和命令
保護用戶編程空間和用戶配置內核得數據和指令
安全性大大提高
基於是操作系統得防火牆,那就再系統中有漏洞得情況下,本身系統就是不安全得,怎麼能夠讓防火牆做的那麼出色呢,
防火牆得定義是,網路的高級"設備"
至於不同網路安全域之間的一系列的系列部件的組合,它是不同網路安全域間通信的唯一通道,並且能夠根據企業的安全政策控制(允許.拒絕.監視.記錄)進出網路的訪問行為.
但是在我們使用的時候有的時候,我們把這個唯一的通道之外又開了另外的一條通道,那就使得我們的防火牆沒有想像中的那麼優秀.再有就是上面說的,系統本身就是軟體.
21:02 2007-1-9 (補充昨天說的)*******************
簡單包過濾 防火牆的工作原理
應用層 信息
tcp tcp 信息
ip ip tcp 信息
網路介面層 ETH IP TCP 信息
經過1011011......
防火牆 如果是簡單包過濾防火牆過濾ip tcp(只是檢報頭) +不檢測數據包 如果可行的話就向下傳輸.
工作於網路的傳輸層.對應用層的控制很弱.重復上面的過程
網路介面層 ETH IP TCP 信息
ip ip tcp 信息
tcp tcp 信息
應用層 信息
狀態檢測包過濾防火牆原理
應用層 信息
tcp tcp 信息
ip ip tcp 信息
網路介面層 ETH IP TCP 信息
經過1011011......
防火牆 (狀態檢測包過濾防火牆原理) 檢報頭+連接狀態信息表(如果信息特別的長) +不檢測 數據包/*
用於對後續報文的訪問當中去,可以根據這個表去跟蹤,效率也適當的增加,如果是一樣的報頭就不用去檢
測,*/
它對網路層的防火能里要好一些,對應用層的保護還是不好.
接受1011011.......
網路介面層 ETH IP TCP 信息
ip ip tcp 信息
tcp tcp 信息
應用層 信息
應用代理防火牆工作原理
應用層 信息
tcp tcp 信息
ip ip tcp 信息
網路介面層 ETH IP TCP 信息
經過1011011......
防火牆(只檢測高層對協議的報文和會話有更好的理解,對高層的協議理解,並拆包並檢測除了上述講的)
安全性增高,但是,它的效率卻因此降低.並且也不檢測tcp ip層--對網路層的保護不好.
接受1011011.......
網路介面層 ETH IP TCP 信息
ip ip tcp 信息
tcp tcp 信息
應用層 信息
復合型防火牆
應用層 信息
tcp tcp 信息
ip ip tcp 信息
網路介面層 ETH IP TCP 信息
經過1011011......
防火牆 檢測高層對協議的報文和會話有更好的理解+tcp+ip(集合上面的有點) 檢查整個文件報文內容
並且建立狀態連接表,所以在 安全性和靈活性都有所改善 但是對會話的控制是不夠的.
接受1011011.......
網路介面層 ETH IP TCP 信息
ip ip tcp 信息
tcp tcp 信息
應用層 信息
網路介面層
核檢測防火牆的工作原理
應用層 信息(信息較多)
tcp tcp 信息(在TCP層需要多個報文相互轉發)
ip ip tcp 信息(假設有5個報文)
網路介面層 ETH IP TCP 信息(5個報文)
經過1011011......
防火牆 如果是上面的防火牆那就 隨機的檢測一個報文,另外的就不檢測.都不能把這5個報文聯起來驚醒
處理 那麼,在核防火牆中就會將 這幾個報文理解成一個整體,連接起來處理,控制.可以更好的控
制,同時生成日誌. 檢查多個報文組成的會話,建立連接狀態表.並且有了,對對話的控制.優點:
網路層的保護,應用層的保護,會話的保護,上下文的相關,前後報文有聯系.
接受1011011.......
網路介面層 ETH IP TCP 信息 5
ip ip tcp 信息 5
tcp tcp 信息 5
應用層 信息
************21:49 2007-1-9*****************
**************體系結構**********
被屏蔽子網(現在我們多數在用的)
內網 內部篩選路由器 堡壘主機 外部篩選路由器 外網 (整個有兩個網路防火牆來保護)
兩個防火牆可以用以個三介面的防火牆來代替.效果時一樣的.這個時候 堡壘主機就ssn(非軍事化
區)/*標配防火牆給我們三個口的原因*/
*********************22:36 2007-1-9***************
防火牆的功能
基本的訪問控制技術
上面說的 1000011 到防火牆 通過管理員設計的匹配原則 10000111 主機
基於 源ip地址
基於目的ip地址
基於源埠
基於目的的埠
基於時間
基於用戶
基於流量
基於文件
基於文件
基於網址
基於Mac 地址
企業的防火牆,還有要支持 伺服器的負載均衡(在防火牆保護的時 伺服器陣列的時候,經過防火牆掌握的負載演算法,
分配給空閑的伺服器).
順序地址+權值
根據ping的時間間隔來選擇地址+權值
根據Connect的時間間隔來選擇+權值
根據Connect然活發送請求並得到應答得時間間隔來選擇地址+權值
但隨著環境得改變 防火牆還得 適應TRUNK
將交換機分成 兩個vlan1 和 vlan2 (如果這個有) 再有一個 trunk 之中傳送 不同得報文
所以要求 防火牆支持TRUNK
或者時不同得 vlan之間得數據交換也要求,具有 TRUNK個功能.
防火牆 支持 第三方認證
客觀得要求,伺服器也許時 radius otp的伺服器 等等這樣用戶就要記多個密碼.
分級帶寬管理
internet 100M 防火牆
www mail dns (dnz區域) 50m
財務子網 5M
購物子網 20M
生產子網 .....(分配不不同帶寬)
這種結構,也非常的復合企業的 縱向管理
日誌分析
1 是否寫日子
2 通信日誌(傳統的) 做傳統的計費流量統計等就夠了
3 應用層命令日誌 比上面的都了,數據的過程比如 GET 等
4 做訪問日誌
可以看到例如:http:line 4: content-location:http://162.168.7.170/default.htm
5 做內容日誌 更加深層次的 全部的信息 就可以做信息審計.
6 日誌查詢工具進行處理和查詢
(應不同的要求開做不同的操作)
在可靠性的要求下,需要,防火牆的 雙機熱備 (傳輸協議打開STP)/*防火牆使之通明的切換*/
還有就時提供介面的備份
防火牆的負載均衡(兩個防火牆都可以通行數據).
23:18 2007-1-9 43.19
還有就是與IDS(病毒伺服器)的安全互動:
ids可以將入侵者的IP埠號等信息記錄下來,並且以報文的形式通知防火牆.防火牆根據報文判斷,動態的生成一
個驗證報文並才取措施阻斷這個入侵者的後續報文.並且回來發個報文給IDS我已經採取了措施.(如果是正常用戶的
誤操作的,可以在一會就可以訪問,在防火牆里也有一個時間的設定.)
當然在IDS並聯在網路的時候,就沒有它串連的時候的作用號,
防火牆 與 病毒伺服器安全聯動
如果 外網的郵件里有可疑信息,就想把它在進入內網之前就給它阻斷,一個就是在防火牆內,增加一個反病毒模塊.
訪問控制,病毒掃描這樣就 大大增加了防火牆的負擔,升級硬體就不是非常的容易,相關聯呢,就可以升級軟體卻比較
好.
現在就是開放的進入 topesop協議 由防火牆把報文發個病毒伺服器由伺服器來判斷病毒,這樣就解決了上面的缺點.
大大增加防火牆的安全性和效率這一塊.也有不好的就是延遲,那就把報文的前個幾個先同步的傳給內網,但是最後的
一個防火牆交給病毒伺服器檢測,沒有則轉發.這樣就沒有延遲的現象出現.
雙地址路由功能
在現實的情況下,有些用戶的要求不同,一個是要求訪問教育網 一個是訪問Internet
源目地址技術 防火牆從源地址那裡分派不同的網路目的.這樣把不同的路徑分給不同的用戶.
防火牆 具有ip與mac (用戶)的綁定
就是 防火牆指定ip上網 但是在該機沒有上網的時候,其他的機器欺騙防火牆 改變成相應的IP.
所以,將ip與mac綁定.(防止在內部的IP調用) 另外 如果是跨網段的時候 ip 可以與用戶之間相綁定.
對dhcp應用環境的支持.
一種就是在防火牆內部內置dhcp
另外的有一個dhcp伺服器
現在的時候,網址由MAC地址決定.
防火牆 將ip與mac進行綁定.
1根據訪問戰略配置某條規則起作用的時間.
2假如配置時間策略,防火牆在規則匹配時將跳過那些當前時間不在策略時間內的規則.
注意,這個時間不時允許訪問的時間,而是指規則起作用的時間.
防火牆 實行埠映射
map(映射) 199.168.1.2;80 to 202.102.103:80
不同的則可以隱藏應該的地址. 你看到的不是,你想看到的地址.把自己的網路服務起保護起來.
防火牆 地址的轉換
隱藏內部網路的結構
內部網路可以使用私用有ip地址
公開地址不足的網路可以使用這種方式提供ip服用功能
另外 希望防火牆支持 snmp(簡單網路管理協議) 或時 v3協議的版本的 這樣的版本的協議更高.
*********13:58 2007-1-10***************************************************
上面說的是 防火牆的工作原理及相關. 有不足的多多包含,其實防毒軟體就像是葯一樣,如果,我們不用那就很快的
知道病毒的威力,反證法得出,還有一定得作用得.就是有的遺漏了.
希望和你多多討論,一同進步.祝好.