防火墙(Firewall),也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互连网(US5606668(A)1993-12-15)。它是一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。
什么是防火墙_防火墙 -定义
防火墙防火墙(Firewall)是指在本地网络与外界网络之间的一道防御系统,是这一类防范措施总称。防火墙是在两个网络通信时执行的一种访问控制尺度,它能允许“被同意”的人和数据进入你的网络,同时将“不被同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。互联网上的防火墙是一种非常有效的网络安全模型,通过它可以使企业内部局域网与Internet之间或者与其他外部网络互相隔离、限制网络互访,从而达到保护内部网络目的。
什么是防火墙_防火墙 -概述
以“防火墙”这个来自建筑行业的名称,来命名计算机网络的安全防护系统,显得非常恰当,因为两者之间有许多相似之处。首先,从建筑学来说,防火墙必须用砖石材料、钢筋混凝土等非可燃材料建造,并且应直接砌筑在建筑物基础或钢筋混凝土的框架梁上。如开门窗时,必须用非燃烧体的防火门窗,以切断一切燃烧体。而在计算机系统上,防
火墙本身需要具有较高的抗攻击能力,应设置于系统和网络协议的底层,访问与被访问的端口必须设置严格的访问规则,以切断一切规则以外的网络连接。其次,在建筑学上,建筑物的防火安全性,是由各相关专业和相应设备共同保证的。而在计算机系统上,防火墙的安全防护性能是由防火墙、用户设置的规则和计算机系统本身共同保证的。另外在建筑学上,原有的材料和布置的变化,将使防火墙失去作用,随着时间的推移,一些经过阻燃处理的材料,其阻燃性也逐步丧失。在计算机系统上也是如此,计算机系统网络的变化,系统软硬件环境的变化,也将使防火墙失去作用,而随着时间的推移,防火墙原有的安全防护技术开始落后,防护功能也就慢慢地减弱了。它是根据访问安全策略对两个或者更多网络之间的通信进行限制的软件或硬件。
什么是防火墙_防火墙 -功能
防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
什么是防火墙_防火墙 -为什么使用防火墙
防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。
什么是防火墙_防火墙 -类型
防火墙防火墙有不同类型。一个防火墙可以是硬件自身的一部分,你可以将因特网连接和计算机都插入其中。防火墙也可以在一个独立的机器上运行,该机器作为它背后网络中所有计算机的代理和防火墙。最后,直接连在因特网的机器可以使用个人防火墙。
从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。
(1)软件防火墙
软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。例如SygateFireware、天网防火墙等。
(2)硬件防火墙
硬件防火墙基于硬件平台的网络防预系统,与芯片级防火墙相比并不需要专门的硬件。目前市场上大多数防火墙都是这种硬件防火墙,他们基于PC架构。
(3)芯片级防火墙
芯片级防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。例如NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),防火墙本身的漏洞比较少,不过价格相对比较高昂。
从防火墙的技术来分的话,防火墙可以分为包过滤型、应用代理型
(1)包过滤(Packetfiltering)型
包过滤型防火墙工作在OSI网络参考模型的网络层和传输层,它根据数据包头源地址,目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则从数据流中被丢弃。
(2)应用代理(ApplicationProxy)型
应用代理型防火墙是工作在OSI的最高层,即应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。
目前防火墙已经在Internet上得到了广泛的应用。但是,防火墙并不能解决所有的网络安全问题,而只是网络安全政策和策略中的一个组成部分,但了解防火墙技术并学会在实际操作中应用防火墙技术,对于维护网络安全具有非常重要的意义。
什么是防火墙_防火墙 -功能
防火墙是网络安全的屏障
防火墙一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
防火墙可以强化网络安全策略
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。
对网络存取和访问进行监控审计
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
防止内部信息的外泄
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。
除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN(虚拟专用网)。
防火墙的英文名为“FireWall”,它是目前一种最重要的网络防护设备。从专业角度讲,防火墙是位于两个(或多个)网络间,实施网络之间访问控制的一组组件集合。
防火墙在网络中经常是以两种图标出现的。左边那个图标非常形象,真正像一堵墙一样。而右边那个图标则是从防火墙的过滤机制来形象化的,在图标中有一个二极管图标。而二极管我们知道,它具有单向导电性,这样也就形象地说明了防火墙具有单向导通性。这看起来与现在防火墙过滤机制有些矛盾,不过它却完全体现了防火墙初期的设计思想,同时也在相当大程度上体现了当前防火墙的过滤机制。因为防火最初的设计思想是对内部网络总是信任的,而对外部网络却总是不信任的,所以最初的防火墙是只对外部进来的通信进行过滤,而对内部网络用户发出的通信不作限制。当然目前的防火墙在过滤机制上有所改变,不仅对外部网络发出的通信连接要进行过滤,对内部网络用户发出的部分连接请求和数据包同样需要过滤,但防火墙仍只对符合安全策略的通信通过,也可以说具有“单向导通”结构房屋的时候,为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称之为“防火墙”。其实与防火墙一起起作用的就是“门”。如果没有门,各房间的人如何沟通呢,这些房间的人又如何进去呢?当火灾发生时,这些人又如何逃离现场呢?这个门就相当于我们这里所讲的防火墙的“安全策略”,所以在此我们所说的防火墙实际并不是一堵实心墙,而是带有一些小孔的墙。这些小孔就是用来留给那些允许进行的通信,在这些小孔中安装了过滤机制,也就是上面所介绍的“单向导通性”。
我们通常所说的网络防火墙是借鉴了古代真正用于防火的防火墙的喻义,它指的是隔离在本地网络与外界网络之间的一道防御系统。防火可以使企业内部局域网(LAN)网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。
什么是防火墙_防火墙 -基本特性
(一)内部网络和外部网络之间的所有网络数据流都必须经过防火墙
这是防火墙所处网络位置特性,同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道,才可以全面、有效地保护企业网部网络不受侵害。
根据美国国家安全局制定的《信息保障技术框架》,防火墙适用于用户网络系统的边界,属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的两个网络连接处,比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。
典型的防火墙体系网络结构如上图所示。从图中可以看出,防火墙的一端连接企事业单位内部的局域网,而另一端则连接着互联网。所有的内、外部网络之间的通信都要经过防火墙。
(二)只有符合安全策略的数据流才能通过防火墙
防火墙最基本的功能是确保网络流量的合法性,并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。从最早的防火墙模型开始谈起,原始的防火墙是一台“双穴主机”,即具备两个网络接口,同时拥有两个网络层地址。防火墙将网络上的流量通过相应的网络接口接收上来,按照OSI协议栈的七层结构顺序上传,在适当的协议层进行访问规则和安全审查,然后将符合通过条件的报文从相应的网络接口送出,而对于那些不符合通过条件的报文则予以阻断。因此,从这个角度上来说,防火墙是一个类似于桥接或路由器的、多端口的(网络接口>=2)转发设备,它跨接于多个分离的物理网段之间,并在报文转发过程之中完成对报文的审查工作。
(三)防火墙自身应具有非常强的抗攻击免疫力
这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。防火墙处于网络边缘,它就像一个边界卫士一样,每时每刻都要面对黑客的入侵,这样就要求防火墙自身要具有非常强的抗击入侵本领。它之所以具有这么强的本领防火墙操作系统本身是关键,只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能,除了专门的防火墙嵌入系统外,再没有其它应用程序在防火墙上运行。当然这些安全性也只能说是相对的。
目前国内的防火墙几乎被国外的品牌占据了一半的市场,国外品牌的优势主要是在技术和知名度上比国内产品高。而国内防火墙厂商对国内用户了解更加透彻,价格上也更具有优势。防火墙产品中,国外主流厂商为思科(Cisco)、CheckPoint、NetScreen等,国内主流厂商为东软、天融信、联想、方正等,它们都提供不同级别的防火墙产品。
什么是防火墙_防火墙 -当前流行防火墙技术
除了对网络进行管理,设定访问与被访问规则,切断被禁止的访问以外,计算机系统上防火墙还需要分析过滤进出的数据包,监测并记录通过防火墙的信息内容和活动,并且对来自网络的攻击行为进行检测和报警。这些都是防火墙的基本功能,不论是物理性的防火墙硬件还是防火墙软件,都需要具备这五项基本功能。要想实现这些功能,先要对防火墙技术有所了解。当前流行的防火墙技术主要有以下三种:
过滤型
过滤型防火墙技术使用一种简单、有效的安全控制技术,通过对所有进出计算机系统的数据包进行检查,获得数据包头的内容,了解数据包的发送地址、目标地址、使用协议、TCP或者UDP的端口等信息,再将检查到的内容与用户设置的规则相比较,根据规则的匹配结果决定是否允许数据包的进出。该技术最大的优点是对用户透明,效率也很高。但也有几个严重的缺点,例如管理复杂,没有足够的记录与报警机制,无法对连接进行全面控制,对拒绝服务攻击、缓冲区溢出攻击等高层次的攻击手段无能为力。只限于对发送地址、目标地址和端口的进行初步的安全控制。
检测型
检测型防火墙技术与过滤型相类似,可谓是过滤型的加强版,又称为动态过滤型技术。该技术增加了控制连接的能力,通过状态检测,当有新建的连接时,会要求与预先设置的规则相匹配,如果满足要求,就允许连接,并在内存中记录下该连接的信息,生成状态表。对该连接的后续数据包,只要符合状态表,就可以通过。这种技术的性能和安全性都比较高,当遇到需要打开新的端口时,可以通过检测应用程序的信息与安全规则,动态地打开端口,并在传输结束时自动关闭端口。如果结合用户认证方式,能够提供应用级的安全认证手段,安全控制力度更为细致。
代理型
代理型防火墙技术的关键,是用一个网关形式的代理服务,进行连线动作拦截。代理服务位于内部网络的用户和Internet之间,由它来处理两端间的连线方式,将用户对互联网络的服务请求,依据己制定的安全规则向外提交。而且,对于用户的网络服务请求,代理服务器并非全部提交给互联网上真正的服务器。因为服务器能依据安全规则和用户的请求,判断是否代理执行该请求,有些请求可能会被否决。这种控制机制可以有效地控制整个连线的动作,不会被客户或服务器端欺骗,在管理上也不会像过滤型防火墙技术那么复杂。而对于用户而言,代理服务器是透明,感觉与外部网络连接是直接的。由于完全阻断了内部网络与外部网络的直接联系,所以代理型防火墙技术相对比较安全。但处理效率比较差、无法直接支持新的应用是它的缺点。
什么是防火墙_防火墙 -如何选择个人防火墙
每种防火墙技术都存在各自的优缺点。实际上,市场上大部分防火墙都不仅仅使用上面的几种技术,它们还能提供许多新的功能技术,来提高防火墙的安全防护功能。例如通过将检测与拦截已知入侵手法的入侵检测功能,与用户设置安全策略集成,可以大大地提高防火墙的安全性能。即使安全策略允许所有通信流量传输,入侵检测功能也可检测和拦截极具攻击性的行为和企图。通过检测已知特洛伊木马运行特征与使用端口,防火墙可以实现特洛伊木马拦截功能,防止特洛伊木马从内部影响防火墙的安全性能。总的来说,使用不同技术的防火墙都有其适用的环境。要注意,最佳的企业级防火墙并不一定适用于个人计算机用户,用户必须根据自己的需求来进行选择。如大型企业一般使用采取过滤型技术的路由器之类硬件设备,作为大型计算机网络的第一道防线,这对个人计算机用户明显不适用。而企业网络选用的防火墙,一般集成多种防火墙技术,并利用代理型防火墙技术对用户进行控制。这是因为除了安全以外,用户的控制也是企业级防火墙的着眼点,而对个人计算机用户来说,明显没有这个必要。
要选择一个合适的个人防火墙,除了考虑防火墙是否提供足够的安全防护性能外,防火墙自身的稳定性,运行时系统资源使用的程度,防火墙的设置与管理是否方便、人机界面是否良好,是否具有可扩展可升级性等,都应该列入考虑的范围。在设置管理方面,提供多种预先设置的安全策略,让用户选择安全级别的个人防火墙比较适用于初级用户,而通过对计算机系统上的应用程序逐一指定网络使用规则,或需要自定义计算机系统网络安全策略的防火墙比较适用于中高级用户。由于国内计算机系统感染特洛伊木马的问题非常严重,使用扫描器搜索有安全漏洞的计算机的人也非常多,选用有检测特洛伊木马和入侵检测功能的防火墙较佳。另外防火墙升级性也很重要,特别是对于有检测特洛伊木马和入侵检测功能的防火墙更是如此。因为这类功能,都是通过对已知木马特征或入侵手法进行检测的,需要您不断更新相关的资料库,才能够起到防护作用。
什么是防火墙_防火墙 -流行防火墙介绍
现今流行的个人防火墙软件大约有20种,功能各异,使用的安全防护手段也不同,下面笔者选择了几款向大家介绍。
天网个人防火墙天网个人防火墙在国内很受用户欢迎。其个人版最近已经上市。用户也可以到http://sky.net.cn免费下载测试版。该网站提供安全检测服务,免费为用户检测计算机系统的安全情况,并做出相应的指导。提供的帮助文件与在线使用手册内容丰富。软件提供多种预先设置的安全策略,用户可以自行选择安全级别,也支持用户自定义应用程序的安全规则、系统的安全策略,或自行对内部网络指定另外的安全策略。软件运行时占用的系统资源较少,提供特洛伊木马和入侵检测功能。但软件的可升级性较差,稳定性也一般。
蓝盾防火墙个人版蓝盾曾在2001年中美网络攻击事件中扬名,当时有网站报称使用该品牌的网站防火墙后,未受黑客攻击。“蓝盾防火墙个人版”使用智能防御系统,可以有效地拦截各种探测、攻击手段,支持用户自定义安全规则,具有强大的反追踪功能。当受到攻击和探测时,能追踪攻击方计算机名、用户名、MAC IP地址等。但软件的使用界面一般,设置与管理功能较少,不具备扩展性与升级能力,帮助文件和使用手册也不够详细。
金山网镖金山网镖是金山公司的个人防火墙产品,主要基于安全规则,通过高、中、低三种安全级别的设定,达到不同程度地保护用户安全的目的,能够通过对已知端口的检查,防御特洛伊木马。软件占用的资源少,稳定性较高,但功能简单,设置与管理功能明显不足,扩展与升级性一般。
瑞星个人防火墙“瑞星个人防火墙”是瑞星公司的个人防火墙产品。软件基于规则设置,具备防御特洛伊木马和入侵检测功能。在受到攻击时,系统会自动切断攻击连接,发出报警声音并用闪烁图标提示用户。软件占用的资源较少,但稳定性较差。使用界面一般,警报与帮助文件、使用手册比较简单。
诺顿个人防火墙“诺顿个人防火墙”是“诺顿互连网特警”的一个部分,它曾在国外的评比中获得最佳个人安全防护系统的荣誉。该软件性能稳定,提供自动识别程序,帮助用户设置计算机系统上应用程序的安全规则,允许用户为不同的网络区域指定安全策略,方便的在线升级功能,可以使诺顿个人防火墙更好地检测特洛伊木马和黑客入侵。软件的设置与管理方便,警报与帮助文件以及使用手册内容详细。一旦受到某个IP地址的攻击,会在30分钟内自动禁止所有来自该地址的连接请求,使对方无法试图使用其他方式攻击。但软件占用的系统资源较大,而且由于需要对应用程序逐一指定安全规则,容易对用户造成困扰。
Lockdown“Lockdown”早期主要用于防止特洛伊木马连接到网络上,通过用户逐一指定需要使用Internet的程序来定义安全规则实现。现已经发展为支持网络安全保护,监视Web、Cookie情况等众多安全防护功能的系统。软件性能稳定,有多个扩展的功能,支持用户监视计算机系统上打开的端口,监视网络连接的情况等。它可以在线升级,支持查杀计算机系统上的特洛伊木马文件。可以自动为用户设置部分常用应用程序的安全规则,管理上也分为简单和高级两种方式。但软件的界面让人感觉混乱。
CheckItCheckIt是一个专业防火墙,基于规则定义,通过应用程序安全规则与计算机系统安全策略、端口防护、信任IP防护和协议防护等多种方式,保护计算机网络的安全。该软件性能高、功能多,可以通过电子邮件向用户发送安全警报,可以查看计算机系统上所运行的服务。软件的网站提供一个系统测试服务,可以从多方面测试计算机系统的安全情况。软件的稳定性强,占用的系统资源也不多,但应用程序的安全规则定义起来比较麻烦,不支持自动识别功能,软件使用界面的友好性也较差。
BlackICEDefender“BlackICE Defender”是国外有名的防火墙,软件使用智能防御系统,集成有非常强大的入侵检测和分析引擎,可以识别多种入侵技巧。通过监测网络端口和TCP/IP协议,可以拦截可疑的网络入侵。该软件的稳定强,警报的灵敏度和准确率非常高,系统资源占用率极少,支持在线更新。由于使用智能防御系统,用户设置与管理的功能较少。但不具备应用程序安全规则等安全防护手段。
什么是防火墙_防火墙 -个人防火墙的使用
一般情况下,用户应该选择智能化程度较高,能够自动识别可信任的网络应用程序,能够更新特洛伊木马和入侵检测功能资料库的防火墙,以避免频繁地设置安全规则,处理安全警报。另外在选择一个合适的个人防火墙以后,一般需要进行设置,才能够起到安全防保作用。这需要用户具备一定的网络知识,如TCP/IP协议的基础知识等。只有在对各种协议所提供的服务有一定了解之后,才能判断出应用程序或网络连接请求的危险程度,从而正确处理,正确设置安全规则。要知道,即使您使用的是智能化较高、支持自动识别应用程序或智能防御系统的防火墙,也避免不了自定义安全规则的工作。另外用户还需要了解一些黑客知识,如各种常见的攻击手段和名词,才能够正确的理解警报信息所报告的事件。而且,在处理安全警报时要有足够的耐心,仔细查看有关的事件内容,做出正确的判断。如果不加以了解,就允许应用程序访问网络或允许他人访问,也就失去了安装防火墙的意义。
为了使您的计算机网络系统足够安全,在使用装防火墙时,还需要配合病毒防护软件,以保护自己的计算机系统,不受到类似恶意修改注册表之类防火墙较难发现的攻击。另外还可以阻止蠕虫之类的网络病毒入侵。
经常阅读分析日志文件也是保证网络安全的重要方面。通过检查日志文件,可以确定是否有人在探测您,或使用一定规则的扫描器,在您的计算机系统上寻找安全漏洞。然后再决定是否则需要采用更严格的防火墙安全规则,以便过滤或是追踪这些探测行为,并采取相应的行动。
什么是防火墙_防火墙 -使用注意事项
1.防火墙实现了你的安全政策
防火墙加强了一些安全策略。如果你没有在放置防火墙之前制定安全策略的话,那么现在就是制定的时候了。它可以不被写成书面形式,但是同样可以作为安全策略。如果你还没有明确关于安全策略应当做什么的话,安装防火墙就是你能做的最好的保护你的站点的事情,并且要随时维护它也是很不容易的事情。要想有一个好的防火墙,你需要好的安全策略---写成书面的并且被大家所接受。
2.一个防火墙在许多时候并不是一个单一的设备
除非在特别简单的案例中,防火墙很少是单一的设备,而是一组设备。就算你购买的是一个商用的“all-in-one”防火墙应用程序,你同样得配置其他机器(例如你的网络服务器)来与之一同运行。这些其他的机器被认为是防火墙的一部分,这包含了对这些机器的配置和管理方式,他们所信任的是什么,什么又将他们作为可信的等等。你不能简单的选择一个叫做“防火墙”的设备却期望其担负所有安全责任。
3.防火墙并不是现成的随时获得的产品
选择防火墙更像买房子而不是选择去哪里度假。防火墙和房子很相似,你必须每天和它待在一起,你使用它的期限也不止一两个星期那么多。都需要维护否则都会崩溃掉。建设防火墙需要仔细的选择和配置一个解决方案来满足你的需求,然后不断的去维护它。需要做很多的决定,对一个站点是正确的解决方案往往对另外站点来说是错误的。
4.防火墙并不会解决你所有的问题
不要指望防火墙靠自身就能够给予你安全。防火墙保护你免受一类攻击的威胁,人们尝试从外部直接攻击内部。但是却不能防止从LAN内部的攻击,它甚至不能保护你免受所有那些它能检测到的攻击。
5.使用默认的策略
正常情况下你的手段是拒绝除了你知道必要和安全的服务以外的任何服务。但是新的漏洞每天都出现,关闭不安全的服务意味着一场持续的战争。
6.有条件的妥协,而不是轻易的
人们都喜欢做不安全的事情。如果你允许所有的请求的话,你的网络就会很不安全。如果你拒绝所有的请求的话,你的网络同样是不安全的,你不会知道不安全的东西隐藏在哪里。那些不能和你一同工作的人将会对你不利。你需要找到满足用户需求的方式,虽然这些方式会带来一定量的风险。
7.使用分层手段
并在一个地点以来单一的设备。使用多个安全层来避免某个失误造成对你关心的问题的侵害。
8.只安装你所需要的
防火墙机器不能像普通计算机那样安装厂商提供的全部软件分发。作为防火墙一部分的机器必须保持最小的安装。即使你认为有些东西是安全的也不要在你不需要的时候安装它。
9.使用可以获得的所有资源
不要建立基于单一来源的信息的防火墙,特别是该资源不是来自厂商。有许多可以利用的资源:例如厂商信息,我们所编写的书,邮件组,和网站。
10.只相信你能确定的
不要相信图形界面的手工和对话框或是厂商关于某些东西如何运行的声明,检测来确定应当拒绝的连接都拒绝了。检测来确定应当允许的连接都允许了。
11.不断的重新评价决定你五年前买的房子今天可能已经不适合你了。同样的,你一年以前所安装的防火墙对于你现在的情况已经不是最好的解决方案了。对于防火墙你应当经常性的评估你的决定并确认你仍然有合理的解决方案。更改你的防火墙,就像搬新家一样,需要明显的努力和仔细的计划。
12.要对失败有心理准备
做好最坏的心理准备。防火墙不是万能的,对一些新出现的病毒和木马可能没有反映,要时常的更新.机器可能会停止运行,动机良好的用户可能会做错事情,有恶意动机的用户可能做坏的事情并成功的打败你。但是一定要明白当这些事情发生的时候这并不是一个完全的灾难,因为现在病毒发展迅速,而且品种繁多,防为墙不可能全部都能阻拦,所以要做好最坏的心理准备的同时还要为下一步预防做好打算,加强自身的安全防护
什么是防火墙_防火墙 -设置Windows8系统防火墙
系统的安全性是用户们应该时常注意的问题,而在杀毒软件的保护之外,我们还建议通过开启系统自带的防火墙来进一步巩固系统的安全防卫。接下来,小编就将详细介绍如何开启iWn8的防火墙。
首先自然是要找到Win8中防火墙的位置。将鼠标移动至屏幕右下角调出“Charm栏”选择设置,在这里点击“控制面板”进入控制面板界面。再点击控制面板中的“系统和安全”打开系统和安全窗口,在这里我们就能看到“Windows防火墙”的选项了。
进入防火墙之后,我们将目光移动到窗口左侧,这里就可以看到“启用或关闭Windows防火墙”的选项,在这里我们可以自定义这类网络的设置。我们建议的设置是启用所有网络下的防火墙,并且打开在阻止新应用时通知。
此外,“阻止所有传入连接,包括位于允许应用列表中的应用”这个选项,我们建议在专用网络中关闭,在公用网络中最好启用。
这里有涉及到了一个“允许应用列表”的概念,顾名思义在允许应用列表中的应用不会被防火墙屏蔽,那么这个要怎么设置呢?在防火墙窗口的左侧我们能看到“允许应用或功能通过防火墙”的选项,在这里我们可以自行添加和删除允许的应用。
至于最后的“高级选项”,一般的普通用户基本接触不到,我们也不用费神地去思考。有了Windows防火墙和自带的WindowsDefender,我们甚至不用安装第三方的安全工具都能保证系统的安全。