A. 網管必修的課程
面對網路技術日益復雜,網路管理員應當擁有強烈的求知慾和非常強的自學能力。第一、網路知識和網路技術不斷更新,新的編程思想、編程語言和資料庫不斷推出,需要繼續學習的內容非常多。第二、學校課本知識大多過於陳舊,並且脫離於網路管理實際,根本無法滿足實踐需要,許多知識都要從頭學起。第三、網路設備和操作系統非常繁雜,各自擁有不同的優點,適用於不同的環境和需求,因此需要全面了解、重點掌握。第四、網路管理員還會頻繁接觸一些網路設備,需要不斷更新硬體知識,掌握最新網路技術。
作為網路管理員,需要親自動手的時候非常多。不僅要親自搭建網路和網路服務,而且還必須對交換機和路由器進行設置。雖然布線工程通常都是由網路公司實施,但往往由於新增設備或網路拓撲結果發生變化,而需要做一些網線跳線、壓制一些模塊,甚至做一些簡單的綜合布線。另外,計算機硬體和網路設備的升級(比如增加硬碟、內存和CPU等)也往往需要管理員親自動手。而安裝操作系統、應用軟體和硬體驅動程序等工作更是網路管理員的必修課。所以,網路管理員必須擁有一雙靈巧的手,具備很強的動手能力。
網路管理員必須具有非常敏銳的觀察能力,特別是在調試程序或發生軟硬體故障時。出錯信息、計算機的鳴叫、指示燈的閃爍狀態和顯示顏色等,都會從一個側面提示可能導致故障的原因。對故障現象觀察得越細致。越全面,排除故障的機會也就越大。另外,通過及時觀察,還可以及時排除潛在的網路隱患。
網路管理員幾乎每日都要接觸網路設備和伺服器等硬體,因此成功網管員除了具有一定的自學能力,更新自身知識結構外,還需要掌握有關網路的硬體知識。下面列出了常用的硬體方面的知識內容。
1、路由器
路由器是網路中進行網間連接的關鍵設備,作為不同網路之間互相連接的樞紐,路由器系統構成了基於TCP/IP的國際互聯網Internet的主體節點,也可以說,路由器構建了Internet的骨架,它的處理速度和可靠性則直接影響著網路互連的質量。
配置路由器有兩種方法:一是通過路由器的配置埠,利用微機或終端來配置,二是利用網路通過Telnet命令來配置。不過,要採用第二種方法的前提是用戶已經正確配置了路由器各介面的IP地址;所以第一種方法更具有通用性。
目前,生產路由器的廠商,國外主要有CISCO(思科)公司、北電網路等,國內廠商包括華為等。作為網管員來說,必須要能掌握各廠家路由器安裝與調試,這是成功網管員必須要具備的素質之一。
2、交換機與集線器(HUB)
交換機的英文名稱之為「Switch」,它是集線器的升級換代產品,從外觀上來看,它與集線器基本上沒有多大區別,都是帶有多個埠的長方體。交換機是按照通信兩端傳輸信息的需要,用人工或設備自動完成的方法把要傳輸的信息送到符合要求的相應路由上的技術統稱。交換機的主要功能包括物理編址、網路拓撲結構、錯誤校驗、幀序列以及流量控制。目前一些高檔交換機還具備了一些新的功能,如對VLAN(虛擬區域網)的支持、對鏈路匯聚的支持,甚至有的還具有路由和防火牆的功能。
交換機是一種基於MAC地址識別,能完成封裝轉發數據包功能的網路設備。目前,主流的交換機廠商以國外的CISCO(思科)、3COM、安奈特為代表,國內主要有華為、D-LINK等。
集線器的英文稱為「Hub」,集線器的主要功能是對接收到的信號進行再生整形放大,以擴大網路的傳輸距離,同時把所有節點集中在以它為中心的節點上。 集線器屬於純硬體網路底層設備,基本上不具有類似於交換機的"智能記憶"能力和"學習"能力。它也不具備交換機所具有的MAC地址表,所以它發送數據時都是沒有針對性的,而是採用廣播方式發送。
掌握交換機的安裝與配置,以及交換機故障日常處理方法,也是成功網管員必須要具備的素質之一。
3、防火牆與入侵檢測系統(IDS)
防火牆的英文名為「FireWall」,它是目前一種最重要的網路防護設備。從專業角度講,防火牆是位於兩個(或多個)網路間,實施網路之間訪問控制的一組組件集合。防火牆可以使企業內部區域網(LAN)網路與Internet之間或者與其他外部網路互相隔離、限制網路互訪用來保護內部網路。
目前國內的防火牆幾乎被國外的品牌占據了一半的市場,國外品牌的優勢主要是在技術和知名度上比國內產品高。而國內防火牆廠商對國內用戶了解更加透徹,價格上也更具有優勢。防火牆產品中,國外主流廠商為思科(Cisco)、CheckPoint、NetScreen等,國內主流廠商為東軟、天融信、聯想、方正等,它們都提供不同級別的防火牆產品。
入侵檢測系統(IDS,Intrusion Detection Systems)。專業上講就是依照一定的安全策略,對網路、系統的運行狀況進行監視,盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果,以保證網路系統資源的機密性、完整性和可用性。
在本質上,入侵檢測系統是一個典型的"窺探設備"。它不跨接多個物理網段(通常只有一個監聽埠),無須轉發任何流量,而只需要在網路上被動的、無聲息的收集它所關心的報文即可。
作為網路安全的重要組成部分,防火牆和IDS是我們日常使用最多的安全設備,因此掌握防火牆和IDS的安裝、配置和應用是成功網管員必須要具備的素質之一。
4、伺服器與工作站
伺服器是網路的中樞和信息化的核心,伺服器是一種高性能的計算機,它的構成諸如有CPU(中央處理器)、內存、硬碟、各種匯流排等等,能夠提供各種共享服務(網路、Web應用、資料庫、文件、列印等)以及其他方面的高性能應用,它的高性能主要體現在高速度的運算能力、長時間的可靠運行、強大的外部數據吞吐能力等方面。
目前國外的伺服器有IBM、HP、SUN和DELL等品牌,國內的伺服器有浪潮、聯想、曙光等品牌。
工作站,英文名稱為Workstation,是一種以個人計算機和分布式網路計算為基礎,主要面向專業應用領域。工作站根據軟、硬體平台的不同,一般分為基於RISC(精簡指令系統)架構的UNIX系統工作站和基於Windows、Intel的PC工作站。
UNIX工作站是一種高性能的專業工作站,具有強大的處理器(以前多採用RISC晶元)和優化的內存、I/O(輸入/輸出)、圖形子系統,使用專有的處理器(Alpha、MIPS、Power等)、內存以及圖形等硬體系統,專有的UNIX操作系統,針對特定硬體平台的應用軟體,彼此互不兼容。
PC工作站則是基於高性能的X86處理器之上,使用穩定的Windows NT及Windows2000、WINDOWS XP等操作系統,採用符合專業圖形標准(OpenGL)的圖形系統,再加上高性能的存儲、I/O(輸入/輸出)、網路等子系統,來滿足專業軟體運行的要求;以NT、WIN2000、XP為架構的工作站採用的是標准、開放的系統平台,能最大程度的降低擁有成本。
目前,許多廠商都推出了適合不同用戶群體的工作站,比如IBM、DELL(戴爾)、HP(惠普)等。
伺服器和工作站系統的安裝、配置、運行與維護,也是成功網管員必須要具備的重要素質之一。
5、其他硬體設備
在綜合布線設備中,除了最為主要的傳輸介質,如雙絞線和光纖線纜等以外,還有很多的布線設備在使用。常用的有RJ45插頭、信息插座、配線架、光纖連接器、剝線鉗、打線鉗、網線鉗、網線模塊以及測線儀器等,網管員必須學會熟練操作使用。
在網路存儲中,磁碟陣列是一種把若干硬磁碟驅動器按照一定要求組成一個整體,整個磁碟陣列由陣列控制器管理的系統。磁帶庫是像自動載入磁帶機一樣的基於磁帶的備份系統,磁帶庫由多個驅動器、多個槽、機械手臂組成,並可由機械手臂自動實現磁帶的拆卸和裝填。它能夠提供同樣的基本自動備份和數據恢復功能,但同時具有更先進的技術特點。掌握網路存儲設備的安裝、操作使用也是網管員必須要學會的。
在架構無線區域網時,對無線路由器、無線網路橋接器AP、無線網卡、天線等無線區域網產品進行安裝、調試和應用操作。
總之,作為一個成功網管員必須對各種網路設備都要有一定的了解,在具體對待每一個網路產品的使用則要認真仔細,在一定的網路環境中確保設備的正常穩定運行,因此經過努力學習,善於實踐,勤於總結,網管員必須要有「廣」而「專」的素質,只有這樣才能一個真正成功網管員。
B. 怎樣預防電腦被人遠程式控制制
安裝防火牆
搜捕大行動!!!全是最新破解注冊的!!1.
Look'n'stop
Look』n』Stop 被譽為世界頂級防火牆!與同類產品相比具有最為突出的強勁功能以及與眾不同的特點,不僅功能評測在知名防火牆中是最強的!而且軟體大小隻有區區600多k十分小巧, 占內存非常小,可以監控dll,更具強大的御防黑客攻擊能力!
下載Look'n'stop:http://3800cc.com/Soft/aqfh/2129.html
2.
Outpost
一款短小精悍的網路防火牆軟體,它的功能是同類PC軟體中最強的,甚至包括了廣告和圖片過濾、內容過濾、DNS緩存等功能。它能夠預防來自Cookies、廣告、電子郵件病毒、後門、竊密軟體、解密高手、廣告軟體和其它 Internet 危險的威脅。該軟體不需配置就可使用,這對於許多新手來說,變得很簡單。尤為值得一提的是,這是市場上第一個支持插件的防火牆,這樣它的功能可以很容易地進行擴展。該軟體資源佔用也很小。 Outpost的其它強大功能毋庸多說,你親自試一試就知道了。
下載outpost3.0:http://www.xpblue.com/soft/6085.htm
3.
ZoneAlarm
ZoneAlarm來保護你的電腦,防止Trojan(特洛伊木馬)程序,Trojan也是一種極為可怕的程序。ZoneAlarm可以幫你執行這項重大任務喔。基本版還是免費的。
使用很簡單,你只要在安裝時填入你的資料,如有最新的ZoneAlarm,你就可以免費網上更新。安裝完後從新開機,ZoneAlarm就會自動啟動,幫你執行任務。當有程序想要存取Internet時,如網路瀏覽器可能會出現連不上網路,這時你可以在右下角ZoneAlarm的小圖示上按兩下滑鼠左鍵,選取Programs的選項,勾選你要讓哪些軟體上網,哪些不可以上網,利用此種方法來防治一些來路不明的軟體偷偷上網。最好的方法是鎖住(Lock)網路不讓任何程序通過,只有你核準的軟體才可以通行無阻。你還可利用它來看看你開機後已經使用多少網路資源,也可以設定鎖定網路的時間。這么好用的軟體你一定要親自使用才能感覺到它的威力。
下載ZoneAlarm-v6.0.667:
http://jc.arongsoft.com/aqxg/ZoneAlarm-v6.0H.rar
4.
BlackICE
該軟體在九九年獲得了PC Magazine 的技術卓越大獎,專家對它的評語是:「對於沒有防火牆的家庭用戶來說,BlackICE是一道不可缺少的防線;而對於企業網路,它又增加了一層保護措施--它並不是要取代防火牆,而是阻止企圖穿過防火牆的入侵者。BlackICE集成有非常強大的檢測和分析引擎,可以識別 200 多種入侵技巧,給你全面的網路檢測以及系統防護,它還能即時監測網路埠和協議,攔截所有可疑的網路入侵,無論黑客如何費盡心機也無法危害到你的系統。而且它還可以將查明那些試圖入侵的黑客的NetBIOS(WINS)名、DNS名或是他目前所使用的IP地址記錄下來,以便你採取進一步行動。封言用過後感覺,該軟體的靈敏度和准確率非常高,穩定性也相當出色,系統資源佔用率極少,是每一位上網朋友的最佳選擇。
下載BlackICE36coo:
http://down.xxjp.org/Software/Catalog19/5015.html
5.
Tiny Firewall
Tiny Software 公司是一家面向中小型網路路由器和防火牆軟體的開發商,最近Tiny Firewall目的是為了妨止非法使用時的不安全性,保障計算機的安全。這一版本是基於通過ICSA認證的 WinRoute Pro安全保障技術,是WinRoute 的子集,只具備防火牆功能。該項技術已經獲得成功。 Tiny Personal Firewall可以設置為手工啟動,或者設置為一個伺服器。其中包括一個桌面管理工具,可用於對本地或遠程計算機上的安全引擎進行詳細配置。用戶的安全設置有高、中、低三級,通過它的包過濾特性(packet-filtering),每一級設置還可進行不同的配置,以滿足特殊的需求。高級用戶可以建立基於斷口,應用,協議和目標的規則,每當遇到新的情況,立即提示,包括拒絕,接受或者建立處理未來動作的規則。其它的特性包括 MD5 簽名支持,密碼保護,日誌功能和高可配置的報告功能,記錄特殊的侵入動作。 Tiny Personal Firewall是一個全面,卻又簡單易用的網路防黑軟體。他可以管理你的計算機與國際網路的數據交換,會阻擋任何未經認證的用戶進入你的計算機,讀取你的檔案。支持 MD5簽名認證,可以防止特洛依程序使用計算機認可的應用程序來闖入計算機,判斷出那個程序安全與否,共有叄個安全等級可設置,可以考慮自己網路活動來作調整。 程序包含主引擎、網路狀況監視器、事件紀錄簿。如你要打開某個網頁,會問你是否允許存取。你也可以作一個過濾器,允許某個連接持續運作,限制使用那個埠(port)或者目的ip。也會紀錄所有可疑的活動到日誌中,隨時可叫出來檢查,可說相當方便有強力的一款軟體。
下載Tiny Firewall 2005 v6.5.2:
http://down.xxjp.org/Software/catalog19/5285.html
6.
Kaspersky
Kaspersky Anti-Hacker 是Kaspersky 公司出品的一款非常優秀的網路安全防火牆!和著名的殺毒軟體 AVP是同一個公司的作品!保護你的電腦不被黑客攻擊和入侵,全方位保護你的數據安全!所有網路資料存取的動作都會經由它對您產生提示,存取動作是否放行,都由您來決定,能夠抵擋來自於內部網路或網際網路的黑客攻擊!
與原有版本相比,新版增加了升級模塊。
新產品保留了1.5版中所有非常受歡迎的性能,包括友好的用戶界面、易用性(這對入門級的用戶特別重要)、安裝簡捷、5級防護水平選擇等。系統可在隱形模式下工作,本地的計算機可封鎖所有來自外部網路的請求,使用戶隱形和安全地在網上遨遊。
產品的新性能包括對MS SP2完全兼容,使Windows XP的用戶大為受益。
下載卡巴防火牆1.8.180:
http://www.mf96.com/Software.asp?id=896
7.
McAfee Desktop Firewall
McAfee公司的一個出色的個人防火牆軟體,是基於ConSeal Private Desktop, Signal 9 Solutions 的獲得的國際認證個人防火牆軟體包。它可以保護你免受來自Internet的黑客和木馬程序等攻擊。它的特色是:保護個人信息、即時報警、詳細事件記錄、阻塞特定的互聯網系統、多層安全、24小時自動更新,還有就是整合了hackerwatch.com的資源,使得你能查看詳細的攻擊信息。
能夠對客戶端進行前瞻性的保護和控制,使其免受新威脅的攻擊,這是單純的防病毒產品無法實現的。 Desktop Firewall 針對網路和應用程序提供了全面的防火牆功能,並與入侵檢測技術完美結合。 它可以防止客戶端發送或接收非法網路流或應用程序中所攜帶的惡意攻擊。 它還可以防止合法應用程序被入侵者利用,進而在整個網路中發送或接收攻擊信息。 McAfee ePolicy Orchestrator 為 Desktop Firewall 提供了可擴展的集中式管理、部署和報告功能。 此外,Desktop Firewall 能夠與 McAfee VirusScan Enterprise 和 ePolicy Orchestrator 進行集成,從而提供了無可比擬的客戶端安全性和投資回報率
下載McAfee Desktop Firewall v8.0簡體中文版:
http://down.xxjp.org/Software/catalog19/7940.html
8.
費爾個人防火牆專業版
軟體說明:專業級的強大功能、個性化的設計理念、個人網路安全工具的首選。軟體完全免費、整套源程序低價出售。1.幾乎擁有專業防火牆軟體的所有強大功能 2.引入了別具特色的「流量示波器」,使得網路流量一目瞭然,生動地展現網路狀態 3.對代理上網進行了優化,用戶再也不用抱怨自己的郵件被代理伺服器盲目攔截 4.對網上鄰居共享資源進行全面控管,使區域網管理更自由、更安全 5.應用層 / 核心層雙重過濾,完全管控TCP/IP網路封包 6.防出牆 / 防入牆雙牆防護,防止信息泄漏和外來攻擊 7.對ICMP(PING)進行嚴格控制,有效保護IP地址不被探測 8.全程互動式控管規則自動生成器,對任何情況的網路動作都可以進行動態、交互、自動生成控管規則,最大程度的方便操作 9.把復雜的功能設置進行了有效的條理化分類,做到既可以讓普通用戶感覺到簡單易用,又可以讓專業人士進行復雜的安全防範配置 10.漂亮流暢的操作界面,各種人性化的設計,使用起來輕松方便 另外值得注意的是:費爾個人防火牆的整套、包括核心模塊的源程序是完全開放出售的,國際化的編程風格、結構化的設計思想、精緻詳實的源碼注釋、大量圖表的設計文檔、毫無保留的全面開放,從系統分析到代碼實現,給您一個全方位體驗,是您技術提高、贏得商機的有力支持。
下載費爾個人防火牆專業版 3.0:
http://down.xxjp.org/Software/catalog19/6679.html
9.
AnyView(網路警) V3.34軟體說明:AnyView是一款企業級的網路監控軟體。一機安裝即可監控、記錄、控制區域網內其他計算機的上網行為。用於防止單位重要資料機密文件等的泄密;監督審查限制網路使用行為;備份重要網路資源文件。主要功能有:
一、全面監控網內所有收發的郵件。
AnyView能實時記錄區域網內所有收發的郵件(包括POP3/SMTP協議和HTTP協議的郵件),同時檢測並記錄其所用的IP地址、收發時間、標題、收件人/發件人、附件、內容及郵件大小等信息。
二、監控各類聊天工具的使用。
AnyView能實時監控區域網用戶對各類聊天工具的使用情況,能檢查出在線用戶所使用的聊天工具、聊天ID、上線時間等信息,並保存。
三、記錄每個員工瀏覽過的網頁,保存上傳下載(FTP協議)的文件。
AnyView能實時記錄區域網內所有用戶瀏覽過的網頁(包括網頁標題、網頁內容、所屬網站、網頁大小等),並以網頁快照的形式供管理者查看。AnyView能實時記錄網內所有用戶通過FTP協議上傳下載的文件。
四、埠級的上網控制。
1.禁止某些電腦在指定時段上指定的網站;
2.只允許某些電腦在指定時段上指定的網站;
3.禁止某些電腦在指定時段收發郵件;
4.禁止某些電腦在指定時段通過瀏覽器收發郵件;
5.禁止某些電腦在指定時段使用指定的聊天工具(包括QQ、MSN、Yahoo Messenger、ICQ等);
6.禁止某些電腦在指定時段使用FTP工具外發資料;
7.允許自定義網頁列表阻斷:色情列表庫、游戲網站列表庫、股票網站庫、聊天網站庫、外發資料網站庫;
五、採用C/S管理模式,支持分級許可權管理。
AnyView支持伺服器和客戶端程序分開,支持多客戶連接,允許對不同客戶端賦予不同的監控許可權。
六、其他功能。
1.自動搜索區域網內的電腦,並自動解析出機器名;
2.跨平台監控;被監控電腦也可以是Unix 、Linux 等其他操作系統;
3.不需要在被監視和管理電腦上安裝任何軟體,一機運行,整網管理;
4.支持攔截內容的壓縮、備份、恢復;
5.正式版安裝以後,同一網段內,其他機器上的試用版不能正常運行。
下載AnyView(網路警) V3.34:
http://down.xxjp.org/Software/catalog3/2879.html
10.
天網防火牆
SkyNet-FireWall個人版(簡稱為天網防火牆)是一款由天網安全實驗室製作的給個人電腦使用的網路安全程序。它根據系統管理者設定的安全規則(Security Rules)把守網路,提供強大的訪問控制、應用選通、信息過濾等功能。它可以幫你抵擋網路入侵和攻擊,防止信息泄露,並可與天網安全實驗室的網站(
www.SKY.NET.CN
)相配合,根據可疑的攻擊信息,來找到攻擊者。天網防火牆把網路分為本地網和互聯網,可以針對來自不同網路的信息,來設置不同的安全方案,它適合於任何撥號上網的用戶。
下載天網防火牆 2.7.5 Build 0720零售版破解補丁+IP規則數據包2.24+1000條規則:
點擊下載
下載天網2.76:
http://jc.arongsoft.com/aqxg/SkynetPFW.rar
11.
瑞星個人防火牆功能列表:
1。支持任何形式的網路接入方式。(如乙太網卡/Proxy方式、撥號上網、CableModem接入、ADSL接入、Irad接入等)
2。不影響網路通訊的速度,也不會干擾其它運行中的程序。
3。方便靈活的規則設置功能可使您任意設置可信的網路連接,同時把不可信的網路連接拒之門外。
4。保證您的計算機和私人資料處於安全的狀態。
5。提供網路實時過濾監控功能。
6。防禦各種木馬攻擊。如BO、冰河。
7。防禦ICMP洪水攻擊及ICMP碎片攻擊。
8。防禦諸如WinNuke,IpHacker之類的OOB攻擊。
9。在受到攻擊時,系統會自動切斷攻擊連接,發出報警聲音並且閃爍圖標提示。
10。詳細的日誌功能實時記錄網路惡意攻擊行為和一些網路通訊狀況;若受到攻擊時,可通過查看日誌使攻擊者原形畢露。
下載瑞星防火牆2005 17.42版(中天在線):
http://down.xxjp.org/Software/catalog19/5227.html
12.
江民防火牆
軟體說明:上網必備安全工具軟體:反黑王是一款專為解決個人用戶上網安全而設計的網路安全防護工具,產品融入了先進的網路安全四大技術,徹底阻擋黑客攻擊、木馬程序及互聯網病毒等各種網路危險的入侵,全面保護個人上網安全。有了反黑王的保護,網民再不必擔心上網帳號、QQ密碼、游戲分值、銀行帳號、郵件密碼、個人隱私及其他重要個人信息的泄漏。
下載:江民黑客防火牆 v8.0.1.413:
http://down.xxjp.org/Software/catalog21/5217.html
13.
金山網鏢2005
下載金山網鏢 2005標准版:
http://down.xxjp.org/Software/catalog73/8128.html
14.
傲盾防火牆
強大的傲盾防火牆
網路安全一直是每一位電腦用戶都不可迴避問題,然而這又不是任何一位普通的計算機用戶就能輕松解決的問題。本文就為大家介紹一款個人防火牆軟體——「KFW傲盾防火牆」它能在網路設備和系統之間築起一道防護堡壘。
主要功能:
1、實時數據包地址 、類型過濾
2、功能強大的包內容過濾
3、包內容的截獲
4、先進的應用程序跟蹤
5、靈活的防火牆規則設置
6、實用的應用程序規則設置
7、詳細的全安紀錄
8、專業級別的包內容記錄
9、完善的報警系統
10、IP地址翻譯
11、簡捷方便漂亮的操作界面
12、強大的埠分析功能
13、強大在線模塊升級功能
下載KFW傲盾防火牆 企業網站防護版 2.0.2.005
:
http://www.safe123.com/soft/kfw.rar
15.
冰盾防火牆
全球第一款具備IDS入侵檢測功能的專業級抗DDOS防火牆,來自IT技術世界一流的美國矽谷,由華人留學生Mr.Bingle Wang和Mr.Buick Zhang設計開發,採用國際領先的生物基因鑒別技術智能識別各種DDOS攻擊和黑客入侵行為,防火牆採用微內核技術實現,工作在系統的最底層,充分發揮CPU的效能,僅耗費少許內存即獲得驚人的處理效能。經高強度攻防試驗測試表明:在抗DDOS攻擊方面,工作於100M網卡冰盾約可抵禦每秒25萬個SYN包攻擊,工作於1000M網卡冰盾約可抵禦160萬個SYN攻擊包;在防黑客入侵方面,冰盾可智能識別Port掃描、Unicode惡意編碼、SQL注入攻擊、Trojan木馬上傳、Exploit漏洞利用等2000多種黑客入侵行為並自動阻止。冰盾防火牆的主要防護功能如下: ★ 阻止DOS攻擊:TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、BigPing、OOB等數百種。 ★ 抵禦DDOS攻擊:SYN/ACK Flood、UDPFlood、ICMP Flood、TCP Flood等所有流行的DDOS攻擊。 ★ 拒絕TCP全連接攻擊:自動阻斷某一IP對伺服器特定埠的大量TCP全連接資源耗盡攻擊。 ★ 防止腳本攻擊:專業防範ASP、PHP、PERL、JSP等腳本程序的洪水式Flood調用導致資料庫和WEB崩潰的拒絕服務攻擊。 ★ 對付DDOS工具:XDOS、HGOD、SYNKILLER、CC、GZDOS、PKDOS、JDOS、KKDOS、SUPERDDOS、FATBOY、SYNKFW等數十種。 ★ 超強Web過濾:過濾URL關鍵字、Unicode惡意編碼、腳本木馬、防止木馬上傳等。 ★ 偵測黑客入侵:智能檢測Port掃描、SQL注入、密碼猜測、Exploit利用等2000多種黑客入侵行為並阻斷。
下載冰盾防火牆標准版 v5.2:
http://down.xxjp.org/Software/catalog9/2208.html
16.
天盾防火牆
一款專業的網路防火牆,價格低廉.既使您不付費就可以永久使用.防木馬,防黑客,是您網路安全的指南針.
主要功能:
1.網路狀態:查看當前網路數據流量及狀態.
2.應用程序:管理當前計算機上需要訪問網路的程序,防止木馬及間諜.
3.網路規則:管控網路其他計算機對您的訪問許可權,防止黑客及病毒攻擊.
4.功能選項:設置保護級別.
5.我要購買:了解注冊有關的事項
下載天盾防火牆 2005 Build 0504:
http://down.xxjp.org/Software/catalog19/8021.html
17.
趨勢PC-cillin
PC-cillin 能立即偵測並清除所有已知和未知的電腦病毒,除了傳統的開機型、檔案型及巨集型病毒外,亦可主動偵測、清除基於 Internet 全面入侵的 Java、ActiveX 等惡性程序,可全面防堵電子郵件病毒入侵,為你過濾不良網站。PC-cillin 98/2000 擁有增強的病毒掃描引擎,還有最佳的程序相容性及穩定性,佔用極少系統資源,更簡易的使用介面設計,讓你輕輕鬆鬆就做好電腦的防毒工作。
下載Pc-Cillin 2005網路安全版L:
http://down.xxjp.org/Software/catalog21/5240.html
18.
安鐵諾
下載安鐵諾:
http://down.xxjp.org/Software/catalog2¼;;578.html
19.
諾頓個人防火牆 2005
下載諾頓個人防火牆 2005 破解版:
http://down.xxjp.org/Software/catalog19/7957.html
20.
F-Secure歐洲最好的防火牆,在2003年底,F-SECURE被評為2003 TOP TEN排名第一。該防火牆的特點是利用系統資源少,對系統操作沒有任何影響.在歐洲多數的學校和公司都採用F-SECURE的防火牆。
下載F-Secure.rar:
ftp://white&black:[email protected]/系統安全/碧海藍天防火牆系列/F-Secure.rar
C. 兇相畢露,打一什麼生肖
是生肖蛇。兇相畢露,漢語成語,拼音 是xiōng xiàng bì lù,意思是指原來偽裝和善,遇事就露出了本相。出自柯岩《追趕太陽的人》。
D. 路由器上注冊和光信號一直紅燈閃沒網怎麼辦啊
原因
1、看下插在光貓上的光纖介面是否松動了,如果已經松動,重新插好。
2、重啟光貓,切斷光貓的電源,等待幾分鍾,然後接通電源。
3、光貓光介面有問題,需要更換光貓。
4、你的寬頻欠費。現在寬頻基本都是後付費模式,因為你欠費的時間太長,運營商直接關掉了你的寬頻,這種情況下需要你去繳清欠費才能恢復。
安全防護措施
路由器對於網路來說,它是一種過渡性的工具,它對網路的使用也有著非常重要的作用。路由器的漏洞主要分為密碼破解漏洞、Web漏洞、後門漏洞和溢出漏洞,但是大部分的路由器漏洞都是與路由器質量的好壞有重要的關系的。
每個路由器都至少有兩個埠和兩個網路相連接,質量好的路由器會使用嚴格的安全機制來對自己進行保護,同時也會對連接的電腦網路進行一定的保護,避免密碼出現被破解或者留有太過明顯的後門。
除此之外,網路管理者和路由器的安裝也應該對設備進行一定的安全保護,從根源上對危險進行隔絕。對於BGP漏洞來說,最有效的解決方法就會在ISP級別解決問題,在網路層面來說就是對入站數據包的路由進行監控,並搜索其中的任何異常情況進行解決。
E. 電腦屏幕一直閃爍怎麼回事
1、因接觸不良問題導致的電腦屏幕閃爍解決辦法;
2、先看看主機和顯示器的電源線有沒有接穩,如果比較松就會出現這種閃屏;
3、因信號干擾問題導致的電腦屏幕閃爍解決辦法;
4、連接顯示器的電纜線是否沒有屏蔽線圈,如果沒有防干擾的那個黑色凸起物,也會對屏幕有干擾QQexternal.exe是什麼進程。還要檢查附近是否有干擾,如大功率音響、電源變壓器。顯示器很容易受到強電場或強磁場的干擾;
5、某些時候屏幕抖動是由顯示器附近的磁場或電場引起的。為了將顯示器周圍的一切干擾排除干凈,可將計算機搬到一張四周都空盪盪的桌子上,然後進行開機測試,如果屏幕抖動的現象消失,那麼說明你電腦原來的地方有強電場或強磁場干擾;
6、請將可疑的東西(如音箱的低音炮、磁化杯子等)從電腦附近拿開。然後把顯示器關掉再重開幾次,以達到消磁的目的(現在的顯示器在打開時均具有自動消磁功能);
7、因屏幕的刷新率問題導致的電腦屏幕閃爍解決辦法;
8、桌面單擊右鍵->屬性->設置->高級->監視器->屏幕刷新頻率,CRT調整到75Hz或以上(筆記本電腦液晶屏幕LCD調到60Hz即可);
9、其實顯示器屏幕抖動最主要的原因就是顯示器的刷新頻率設置低於75Hz造成的,此時屏幕常會出現抖動、閃爍的現象,我們只需把刷新率調高到75Hz以上,那麼電腦屏幕抖動的現象就不會再出現了;
10、因顯卡驅動程序不正確導致的電腦屏幕閃爍解決辦法;
11、檢查你的顯卡是否松動,試試把電腦的顯卡驅動卸載,安裝穩定版本的驅動。有時我們進入電腦的顯示器刷新頻率時,卻發現沒有刷新頻率可供選擇,這就是由於前顯卡的驅動程序不正確或太舊造成的;
12、購買時間較早的電腦容易出現這個問題,此時不要再使用購買電腦時所配光碟中的驅動,可到網上下載對應顯示卡的最新版驅動程序,然後打開「系統」的屬性窗口,單擊「硬體」窗口中的「設備管理器」按鈕,進入系統的設備列表界面;
13、用滑鼠右鍵單擊該界面中的顯示卡選項,從彈出的右鍵菜單中單擊「屬性」命令,然後在彈出的顯卡屬性設置窗口中,單擊「驅動程序」標簽,再在對應標簽頁面中單擊「更新驅動程序」按鈕,以後根據向導提示逐步將顯卡驅動程序更新到最新版本;
14、最後將計算機系統重新啟動了一下,如果驅動安裝合適,就會出現顯示器刷新頻率選擇項了,再將刷新率設置成75Hz以上即可解決電腦屏幕閃爍;
15、因恢復BIOS為出廠設置導致的電腦屏幕閃爍解決辦法;
16、插拔一下內存和顯卡,重新安裝完全版本的操作系統;
17、因劣質電源或電源設備已經老化導致的電腦屏幕閃爍解決辦法;
18、許多雜牌電腦電源所使用的元件做工、用料均很差,易造成電腦的電路不暢或供電能力跟不上,當系統繁忙時,顯示器尤其會出現電腦屏幕抖動的現象。此時必須更換電源;
19、因顯示器、顯卡等硬體問題導致的電腦屏幕閃爍解決辦法;
20、有時由於使用的顯示器年歲已高,也會出現抖動現象。為了檢驗顯示器內部的電子元件是否老化,可將故障的顯示器連接到別人的計算機上進行測試,如果故障仍然消失,說明顯示器已壞,需要修理;
21、因病毒作怪導致的電腦屏幕閃爍解決辦法;
22、有些計算機病毒會擾亂屏幕顯示,比如:字元倒置、屏幕抖動、圖形翻轉顯示等。
這主要是:「內存有錯誤」或「系統文件丟失」引起
解決方法:
1。試試開機,出完電腦品牌後,按F8,回車,回車,進安全模式里,高級啟動選項,最後一次正確配置,回車,回車,按下去試試!【關鍵一步】
2。再不行,進安全模式,回車,到桌面後,殺毒軟體,全盤殺毒!「隔離區」的東西,徹底刪除!
3。再使用:360安全衛士,「木馬查殺」里的:「360系統急救箱」,系統修復,全選,立即修復!【關鍵一步】網路修復,開始修復!再點:開始急救!重啟後,點開「文件恢復區」,全選,徹底刪除文件!360安全衛士,掃描插件,立即清理!360安全衛士,系統修復,一鍵修復!
4。檢查是否有同類功能的,多餘類似軟體,如:多款播放器,多款殺毒軟體等,卸載多餘的,只留一款,因為同類軟體,互不兼容!【關鍵一步】5。再不行,下載「驅動人生」,升級:顯卡驅動!【關鍵一步】6。再開機,如果還是不行,需要「一鍵還原」或「重裝系統」了!7。硬體有問題,送修!
F. 網路安全手抄報五年級
走路要專心,不能東張西望,看書看報或因想事、聊天而忘記觀察路面情況。那樣很可能被路面上的石塊、木棍伴倒,摔傷或撞倒樹上、電線桿上,甚至可能發生車禍。路邊停有車輛的時候,要注意避開,免得汽車突然啟動或打開車門碰傷。不能在馬路上踢球、溜旱冰、跳皮筋、做游戲或追逐打鬧,更不要扒車、追車、站在路中間強行攔車或者拋物擊車。霧天、雨天走路更要小心,最好穿上顏色鮮艷(最好是黃色)的衣服、雨衣,打鮮艷的傘。晚上上街,要選擇有路燈的地段,特別注意來往車輛和路面情況,以防發生意外事故或不慎掉入修路挖的坑裡及各種無蓋的井裡。
穿越公路時,要聽從交通民警的指揮,要遵守交通規則,做到「紅燈停,綠燈行」及「一慢、二看、三通過」
G. 為什麼這樣做不對啊
步驟1
將水發魚翅去沙,剔整排在竹箅上,放進沸水鍋中加蔥段30克、薑片15克 、紹酒100克煮10分鍾,支其腥味取出,揀去蔥、姜,汁不用,將箅拿出放進碗里,魚翅上擺放豬肥膘肉,加紹酒50克,上籠屜用旺火蒸2小時取出,揀去肥膘肉,潷去蒸汁。
步驟2
魚唇切成長2厘米、寬4.5厘米的塊,放進沸水鍋中,加蔥段30克、紹酒100克、薑片15克煮10分鍾去腥撈出,揀去蔥、姜。
步驟3
金錢鮑放進籠屜,用旺火蒸爛取出,洗凈後每個片成兩片,剞上十字花刀,盛 入小盆,加骨湯250克、紹酒15克,放進籠屜旺火蒸30分鍾取出,潷去蒸汁。鴿蛋煮熟,去殼。
步驟4
雞、鴨分別剁去頭、頸、腳。豬蹄尖剔殼,拔凈毛,洗凈。羊肘刮洗干凈。以上四料各切12塊,與凈鴨肫一並下沸水鍋氽一下,去掉血水撈起。豬肚裡外翻洗干凈,用沸水氽兩次,去掉濁味後,切成12塊,下鍋中,加同有湯250克燒沸,加紹酒85克氽一下撈起,湯汁不用。
步驟5
將水發刺參洗凈,每隻切為兩片。水發豬蹄筋洗凈,切成2寸長的段。凈火腿腱肉加清水150克,上籠屜用旺火蒸30分鍾取出,潷去蒸汁,切成厚約1厘米的片。冬筍放沸水鍋中氽熟撈出,每條直切成四塊,用力輕輕拍扁。鍋置旺 火上,熟豬油放鍋中燒至七成熱時,將鴿蛋、冬筍塊下鍋炸約2分鍾撈起。隨後,將魚高魚肚下鍋,炸至手可折斷時,倒進漏勺瀝去油,然後放入清水中浸透取出,切成長4.5厘米、寬2.5厘米的塊。
步驟6
鍋中留余油50克,用旺火燒至七成熱時,將蔥段35克、薑片45克下鍋炒出香味 後,放入雞、鴨、羊肘、豬蹄尖、鴨肫、豬肚塊炒幾下,加入醬油75克、味精10克、冰糖75克、紹酒2150克、骨湯500克、桂皮,加蓋煮20分鍾後,揀去蔥、姜、桂皮,起鍋撈出各料盛於盆,湯汁待用。
步驟7
取一個福建老酒壇洗凈,加入清水500克,放在微火上燒熱,倒凈壇中水,壇底放 一個小竹箅,先將煮過的雞、鴨、羊、肘、豬蹄尖、鴨肫、豬肚塊及花冬菇、冬筍塊放入,再把魚翅、火腿片、干貝、鮑魚片用紗布包成長方形,擺在雞、鴨等料上,然後倒入煮雞、鴨等料的湯汁,用荷葉在壇口上封蓋著,並倒扣壓上一隻小碗。裝好後,將酒壇置於木炭爐上,用小火煨2小時後啟蓋,速將刺參、蹄筋、魚唇、魚高肚放入壇內,即刻封好壇口,再煨一小時取出,上菜時,將壇口菜胡倒在大盆內,紗布包打開,鴿蛋放在最上面。同時,跟上蓑衣蘿卜一碟、火腿拌豆芽一碟、冬菇炒豆苗一碟、油辣芥一碟以及銀絲卷、芝麻燒餅佐食。
H. 家裡的無線網路能連上去但是不能上網
您好,wifi信號不論是否有網路手機等設備均可以進行連接的,用戶連接wifi後無法使用網路首先要確認您的寬頻線路是否通暢,可以查看下寬頻貓的指示燈是否有los紅燈閃爍,如果有就是寬頻故障所以路由器的wifi不能使用網路,此時用戶致電運營商客服進行報障處理即可,報障後會有工作人員上門排障的。
如果寬頻貓正常可以聯網那麼就是路由器的問題,可以檢查網線是否連接正確。如果寬頻貓和路由器之間的網線是正常的,那麼用戶可以將路由器恢復出廠值,然後重新設置下路由器參數看是否可以恢復正常,路由器設置方法如下:
1、首先路由器和寬頻貓電腦連接,如圖:
6、無線設置完畢後,點擊保存,然後重新啟動路由器即可正常使用了。
I. 防火牆的設計與規劃
1 引言
網路安全是一個不容忽視的問題,當人們在享受網路帶來的方便與快捷的同時,也要時時面對網路開放帶來的數據安全方面的新挑戰和新危險。為了保障網路安全,當園區網與外部網連接時,可以在中間加入一個或多個中介系統,防止非法入侵者通過網路進行攻擊,非法訪問,並提供數據可靠性、完整性以及保密性等方面的安全和審查控制,這些中間系統就是防火牆(Firewall)技術。它通過監測、限制、修改跨越防火牆的數據流,盡可能地對外屏蔽網路內部的結構、信息和運行情況、阻止外部網路中非法用戶的攻擊、訪問以及阻擋病毒的入侵,以此來實現內部網路的安全運行。
2 防火牆的概述及其分類
網路安全的重要性越來越引起網民們的注意,大大小小的單位紛紛為自己的內部網路「築牆」、防病毒與防黑客成為確保單位信息系統安全的基本手段。防火牆是目前最重要的一種網路防護設備,是處於不同網路(如可信任的局域內部網和不可信的公共網)或網路安全域之間的一系列部件的組合。它是不同網路或網路安全域之間信息的惟一出入口,能根據企業的安全策略控制(允許、拒絕、監測)出入網路的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網路和信息安全的基礎設施。
2.1 概述
在邏輯上,防火牆其實是一個分析器,是一個分離器,同時也是一個限制器,它有效地監控了內部網間或Internet之間的任何活動,保證了區域網內部的安全。
1)什麼是防火牆
古時候,人們常在寓所之間砌起一道磚牆,一旦火災發生,它能夠防止火勢蔓延到別的寓所。現在,如果一個網路接到了Internet上面,它的用戶就可以訪問外部世界並與之通信。但同時,外部世界也同樣可以訪問該網路並與之交互。為安全起見,可以在該網路和Internet之間插入一個中介系統,豎起一道安全屏障。這道屏障的作用是阻斷來自外部通過網路對本網路的威脅和入侵,提供扼守本網路的安全和審計的關卡,它的作用與古時候的防火磚牆有類似之處,因此就把這個屏障叫做「防火牆」。
防火牆可以是硬體型的,所有數據都首先通過硬體晶元監測;也可以是軟體型的,軟體在計算機上運行並監控。其實硬體型也就是晶元里固化了UNIX系統軟體,只是它不佔用計算機CPU的處理時間,但價格非常高,對於個人用戶來說軟體型更加方便實在。
2)防火牆的功能
防火牆只是一個保護裝置,它是一個或一組網路設備裝置。它的目的就是保護內部網路的訪問安全。它的主要任務是允許特別的連接通過,也可以阻止其它不允許的連接。其主體功能可以歸納為如下幾點:
·根據應用程序訪問規則可對應用程序聯網動作進行過濾;
·對應用程序訪問規則具有學習功能;
·可實時監控,監視網路活動;
·具有日誌,以記錄網路訪問動作的詳細信息;
·被攔阻時能通過聲音或閃爍圖標給用戶報警提示。
3)防火牆的使用
由於防火牆的目的是保護一個網路不受來自另一個網路的攻擊。因此,防火牆通常使用在一個被認為是安全和可信的園區網與一個被認為是不安全與不可信的網路之間,阻止別人通過不安全與不可信的網路對本網路的攻擊,破壞網路安全,限制非法用戶訪問本網路,最大限度地減少損失。
2.2 防火牆的分類
市場上的硬體防火牆產品非常之多,分類的標准比較雜,從技術上通常將其分為「包過濾型」、「代理型」和「監測型」等類型。
1)包過濾型
包過濾型產品是防火牆的初級產品,其技術依據是網路中的分包傳輸技術。網路上的數據都是以「包」為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址、目標地址、TCP/UDP(傳輸控制協議/用戶數據報協議)源埠和目標埠等。防火牆通過讀取數據包中的地址信息來判斷這些「包」是否來自可信任的安全站點,一旦發現來自危險站點的數據包,防火牆便會將這些數據拒之門外。
2)代理型
代理型防火牆也可以被稱為代理伺服器,它的安全性要高於包過濾型產品,並已經開始向應用層發展。代理伺服器位於客戶機與伺服器之間,完全阻擋了二者間的數據交流。從客戶機來看,代理伺服器相當於一台真正的伺服器;而從伺服器來看,代理伺服器又是一台真正的客戶機。當客戶機需要使用伺服器上的數據時,首先將數據請求發給代理伺服器,代理伺服器再根據這一請求向伺服器索取數據,然後由代理伺服器將數據傳輸給客戶機。由於外部系統與內部伺服器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網路系統。
3)監測型
監測型防火牆是新一代的產品,這一技術實際上已經超越了最初的防火牆定義。監測型防火牆能夠對各層的數據進行主動的、實時的監測,在對這些數據加以分析的基礎上,監測型防火牆能夠有效地判斷出各層中的非法侵入。同時,這種監測型防火牆產品一般還帶有分布式探測器,這些探測器安置在各種應用伺服器和其他網路的節點之中,不僅能夠檢測來自網路外部的攻擊,同時對來自內部的惡意破壞也有極強的防範作用。據權威機構統計,在針對網路系統的攻擊中,有相當比例的攻擊來自網路內部。因此,監測型防火牆不僅超越了傳統防火牆的定義,而且在安全性上也超越了前兩代產品。
3 防火牆的作用、特點及優缺點
防火牆通常使用在一個可信任的內部網路和不可信任的外部網路之間,阻斷來自外部通過網路對區域網的威脅和入侵,確保區域網的安全。與其它網路產品相比,有著其自身的專用特色,但其本身也有著某些不可避免的局限。下面對其在網路系統中的作用、應用特點和其優缺點進行簡單的闡述。
3.1 防火牆的作用
防火牆可以監控進出網路的通信量,僅讓安全、核准了的信息進入,同時又抵制對園區網構成威脅的數據。隨著安全性問題上的失誤和缺陷越來越普遍,對網路的入侵不僅來自高超的攻擊手段,也有可能來自配置上的低級錯誤或不合適的口令選擇。因此,防火牆的作用是防止不希望的、未授權的通信進出被保護的網路,迫使單位強化自己的安全策略。一般的防火牆都可以達到如下目的:一是可以限制他人進入內部網路,過濾掉不安全服務和非法用戶;二是防止入侵者接近防禦設施;三是限定用戶訪問特殊站點;四是為監視Internet安全提供方便。
3.2 防火牆的特點
我們在使用防火牆的同時,對性能、技術指標和用戶需求進行分析。包過濾防火牆技術的特點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全。包過濾技術是一種基於網路層的安全技術,只能根據數據包的來源、目標和埠等網路信息進行判斷,無法識別基於應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒;代理型防火牆的特點是安全性較高,可以針對應用層進行偵測和掃描,對付基於應用層的侵入和病毒都十分有效。當然代理伺服器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性;雖然監測型防火牆安全性上已超越了包過濾型和代理伺服器型防火牆,但由於監測型防火牆技術的實現成本較高,也不易管理,所以目前在實用中的防火牆產品仍然以第二代代理型產品為主,但在某些方面也已經開始使用監測型防火牆。
防火牆一般具有如下顯著特點:
·廣泛的服務支持 通過動態的、應用層的過濾能力和認證相結合,可以實現WWW瀏覽器、HTTP伺服器、FTP等;
·對私有數據的加密支持 保證通過Internet進行虛擬私人網路和商業活動不受損壞;
·客戶端只允許用戶訪問指定的網路或選擇服務 企業本地網、園區網與分支機構、商業夥伴和移動用戶等安全通信的信息;
·反欺騙 欺騙是從外部獲取網路訪問權的常用手段,它使數據包類似於來自網路內部。防火牆能監視這樣的數據包並能丟棄;
·C/S模式和跨平台支持 能使運行在一個平台的管理模塊控制運行在另一個平台的監視模塊。
3.3 防火牆的優勢和存在的不足
防火牆在確保網路的安全運行上發揮著重要的作用。但任何事物都不是完美無缺的,對待任何事物必須一分為二,防火牆也不例外。在充分利用防火牆優點為我們服務的同時,也不得不面對其自身弱點給我們帶來的不便。
1) 防火牆的優勢
(1)防火牆能夠強化安全策略。因為網路上每天都有上百萬人在收集信息、交換信息,不可避免地會出現個別品德不良或違反規則的人。防火牆就是為了防止不良現象發生的「交通警察」,它執行站點的安全策略,僅僅允許「認可的」和符合規則的請求通過。
(2)防火牆能有效地記錄網路上的活動。因為所有進出信息都必須通過防火牆,所以防火牆非常適合用於收集關於系統和網路使用和誤用的信息。作為訪問的唯一點,防火牆能在被保護的網路和外部網路之間進行記錄。
(3)防火牆限制暴露用戶點。防火牆能夠用來隔開網路中的兩個網段,這樣就能夠防止影響一個網段的信息通過整個網路進行傳播。
(4)防火牆是一個安全策略的檢查站。所有進出的信息都必須通過防火牆,防火牆便成為安全問題的檢查點,使可疑的訪問被拒絕於門外。
2) 防火牆存在的不足
(1)不能防範惡意的知情者。防火牆可以禁止系統用戶經過網路連接發送專有的信息,但用戶可以將數據復制到磁碟、磁帶上,放在公文包中帶出去。如果入侵者已經在防火牆內部,防火牆是無能為力的。內部用戶可以偷竊數據,破壞硬體和軟體,並且巧妙地修改程序而不接近防火牆。對於來自知情者的威脅,只能要求加強內部管理。
(2)不能防範不通過它的連接。防火牆能夠有效地防止通過它傳輸的信息,然而它卻不能防止不通過它而傳輸的信息。例如,如果站點允許對防火牆後面的內部系統進行撥號訪問,那麼防火牆絕對沒有辦法阻止入侵者進行撥號入侵。
(3)不能防備全部的威脅。防火牆被用來防備已知的威脅,如果是一個很好的防火牆設計方案,就可以防備新的威脅,但沒有一台防火牆能自動防禦所有新的威脅。
4 防火牆的管理與維護
如果已經設計好了一個防火牆,使它滿足了你的機構的需要,接下來的工作就是防火牆的管理與維護了。在防火牆設計建造完成以後,使它正常運轉還要做大量的工作。值得注意的是,這里許多維護工作是自動進行的。管理與維護工作主要有4個方面,它們分別是:建立防火牆的安全策略、日常管理、監控系統、保持最新狀態。
4.1 建立防火牆的安全策略
要不要制定安全上的策略規定是一個有爭議的問題。有些人認為制定一套安全策略是相當必須的,因為它可以說是一個組織的安全策略輪廓,尤其在網路上以及網路系統管理員對於安全上的顧慮並沒有明確的策略時。
安全策略也可以稱為訪問上的控制策略。它包含了訪問上的控制以及組織內其他資源使用的種種規定。訪問控制包含了哪些資源可以被訪問,如讀取、刪除、下載等行為的規范,以及哪些人擁有這些權力等信息。
1) 網路服務訪問策略
網路服務訪問策略是一種高層次的、具體到事件的策略,主要用於定義在網路中允許的或禁止的網路服務,還包括對撥號訪問以及PPP(點對點協議)連接的限制。這是因為對一種網路服務的限制可能會促使用戶使用其他的方法,所以其他的途徑也應受到保護。比如,如果一個防火牆阻止用戶使用Telnet服務訪問網際網路,一些人可能會使用撥號連接來獲得這些服務,這樣就可能會使網路受到攻擊。網路服務訪問策略不但應該是一個站點安全策略的延伸,而且對於機構內部資源的保護也起全局的作用。這種策略可能包括許多事情,從文件切碎條例到病毒掃描程序,從遠程訪問到移動介質的管理。
2) 防火牆的設計策略
防火牆的設計策略是具體地針對防火牆,負責制定相應的規章制度來實施網路服務訪問策略。在制定這種策略之前,必須了解這種防火牆的性能以及缺陷、TCP/IP自身所具有的易攻擊性和危險。防火牆一般執行一下兩種基本策略中的一種:
① 除非明確不允許,否則允許某種服務;
② 除非明確允許,否則將禁止某項服務。
執行第一種策略的防火牆在默認情況下允許所有的服務,除非管理員對某種服務明確表示禁止。執行第二種策略的防火牆在默認情況下禁止所有的服務,除非管理員對某種服務明確表示允許。防火牆可以實施一種寬松的策略(第一種),也可以實施一種限制性策略(第二種),這就是制定防火牆策略的入手點。
3) 安全策略設計時需要考慮的問題
為了確定防火牆安全設計策略,進而構建實現預期安全策略的防火牆,應從最安全的防火牆設計策略開始,即除非明確允許,否則禁止某種服務。策略應該解決以下問題:
·需要什麼服務,如Telnet、WWW或NFS等;
·在那裡使用這些服務,如本地、穿越網際網路、從家裡或遠方的辦公機構等;
·是否應當支持撥號入網和加密等服務;
·提供這些服務的風險是什麼;
·若提供這種保護,可能會導致網路使用上的不方便等負面影響,這些影響會有多大;
·與可用性相比,站點的安全性放在什麼位置。
4.2 日常管理
日常管理是經常性的瑣碎工作,以使防火牆保持清潔和安全。為此,需要經常去完成的主要工作:數據備份、賬號管理、磁碟空間管理等。
1) 數據備份
一定要備份防火牆的數據。使用一種定期的、自動的備份系統為一般用途的機器做備份。當這個系統正常做完備份之後,最好還能發送出一封確定信,而當它發現錯誤的時候,也最好能產生一個明顯不同的信息。
為什麼只是在錯誤發生的時候送出一封信就好了呢?如果這個系統只在有錯誤的時候產生一封信,或許就有可能不會注意到這個系統根本就沒有運作。那為什麼需要明顯不同的信息呢?如果備份系統正常和執行失敗時產生的信息很類似。那麼習慣於忽略成功信息的人,也有可能會忽略失敗信息。理想的情況是有一個程序檢查備份有沒有執行,並在備份沒有執行的時候產生一個信息。
2) 賬號管理
賬號的管理。包括增加新賬號、刪除舊賬號及檢查密碼期限等,是最常被忽略的日常管理工作。在防火牆上,正確的增加新賬號、迅速地刪除舊賬號以及適時地變更密碼,絕對是一項非常重要的工作。
建立一個增加賬號的程序,盡量使用一個程序增加賬號。即使防火牆系統上沒有多少用戶,但每一個用戶都可能是一個危險。一般人都有一個毛病,就是漏掉一些步驟,或在過程中暫停幾天。如果這個空檔正好碰到某個賬號沒有密碼,入侵者就很容易進來了。
賬號建立程序中一定要標明賬號日期,以及每隔一階段就自動檢查賬號。雖然不需要自動關閉賬號,但是需要自動通知那些賬號超過期限的人。可能的話,設置一個自動系統監控這些賬號。這可以在UNIX系統上產生賬號文件,然後傳送到其他的機器上,或者是在各台機器上產生賬號,自動把這些賬號文件拷貝到UNIX上,再檢查它們。
如果系統支持密碼期限的功能,應該把該功能打開。選擇稍微長一點的期限,譬如說三到六個月。如果密碼有效期太短,例如一個月,用戶可能會想盡辦法躲避期限,也就無法在安全防護上得到真正的收益。同理如果密碼期限功能不能保證用戶在賬號被停用前看到密碼到期通知,就不要開啟這個功能。否則,用戶會很不方便,而且也會冒著鎖住急需使用機器的系統管理者的風險。
3) 磁碟空間管理
數據總是會塞滿所有可用的空間,即使在幾乎沒有什麼用戶的機器上也一樣。人們總是向文件系統的各個角落丟東西,把各種數據轉存到文件系統的臨時地址中。這樣引起的問題可能常常會超出人們的想像。暫且不說可能需要使用那些磁碟空間,只是這種碎片就容易造成混亂,使事件的處理更復雜。於是有人可能會問:那是上次安裝新版程序留下來的程序嗎?是入侵者放進來的程序嗎?那真的是一個普通的數據文件嗎?是一些對入侵者有特殊意義的東西?等等,不幸的是能自動找出這種「垃圾」的方法沒有,尤其是可以在磁碟上到處寫東西的系統管理者。因此,最好有一個人定期檢查磁碟,如果讓每一個新任的系統管理者都去遍歷磁碟會特別有效。他們將會發現管理員忽視的東西。
在大多數防火牆中,主要的磁碟空間問題會被日誌記錄下來。這些記錄應該自動進行,自動重新開始,這些數據最好把它壓縮起來。Trimlon程序能夠使這個處理程序自動化。當系統管理者要截斷或搬移記錄時,一定要停止程序或讓它們暫停記錄,如果在截斷或搬移記錄時,還有程序在嘗試寫入記錄文件,顯然就會有問題。事實上,即使只是有程序開啟了文件准備稍後寫入,也可能會惹上麻煩。
4.3 監視系統
對防火牆的維護、監視系統是維護防火牆的重點,它可以告訴系統管理者以下的問題:
·防火牆已岌岌可危了嗎?
·防火牆能提供用戶需求的服務嗎?
·防火牆還在正常運作嗎?
·嘗試攻擊防火牆的是哪些類型的攻擊?
要回答這幾個問題,首先應該知道什麼是防火牆的正常工作狀態。
1) 專用設備的監視
雖然大部分的監視工作都是利用防火牆上現成的工具或記錄數據,但是也可能會覺得如果有一些專用的監視設備會很方便。例如,可能需要在周圍網路上放一個監視站,以便確定通過的都是預料中的數據包。可以使用有網路窺視軟體包的一般計算機,也可以使用特殊用途的網路檢測器。
如何確定這一台監視機器不會被入侵者利用呢?事實上,最好根本不要讓入侵者知道它的存在。在某些網路硬體設備上,只要利用一些技術和一對斷線器(wire cutter)取消網路介面的傳輸功能,就可以使這台機器無法被檢測到,也很難被入侵者利用。如果有操作系統的原始程序,也可以從那裡取消傳輸功能,隨時停止傳輸。但是,在這種情況下很難確認操作是否已經做成功了。
2) 應該監視的內容
理想的情況是,應該知道通過防火牆的一切事情,包括每一條連接,以及每一個丟棄或接受的數據包。然而實際的情況是很難做到的,而折衷的辦法是,在不至於影響主機速度也不會太快填滿磁碟的情況下,盡量多做記錄,然後再為所產生的記錄整理出摘要。
在特殊情況下,要記錄好以下內容:一是所有拋棄的包和被拒絕的連接;二是每一個成功的連接通過堡壘主機的時間、協議和用戶名;三是所有從路由器中發現的錯誤、堡壘主機和一些代理程序。
3) 監視工作中的一些經驗
應該把可疑的事件劃分為幾類:一是知道事件發生的原因,而且這不是一個安全方面的問題;二是不知道是什麼原因,也許永遠不知道是什麼原因引起的,但是無論它是什麼,它從未再出現過;三是有人試圖侵入,但問題並不嚴重,只是試探一下;四是有人事實上已經侵入。
這些類別之間的界限比較含糊。要提供以上任何問題的詳細徵兆是不可能的,但是下面這些歸納出的經驗可能會對網路系統管理員有所幫助。如果發現以下情況,網路系統管理員就有理由懷疑有人在探試站點:一是試圖訪問在不安全的埠上提供的服務(如企圖與埠映射或者調試伺服器連接);二是試圖利用普通賬戶登錄(如guest);三是請求FTP文件傳輸或傳輸NFS(Network File System,網路文件系統)映射;四是給站點的SMTP(Simple Mail Transfer Protocol,簡單郵件傳輸協議)伺服器發送debug命令。
如果網路系統管理員見到以下任何情況,應該更加關注。因為侵襲可能正在進行之中:一是多次企圖登錄但多次失敗的合法賬戶,特別是網際網路上的通用賬戶;二是目的不明的數據包命令;三是向某個范圍內每個埠廣播的數據包;四是不明站點的成功登錄。
如果網路系統管理員了發現以下情況,應該懷疑已有人成功地侵入站點:一是日誌文件被刪除或者修改;二是程序突然忽略所期望的正常信息;三是新的日誌文件包含有不能解釋的密碼信息或數據包痕跡;四是特權用戶的意外登錄(例如root用戶),或者突然成為特權用戶的意外用戶;五是來自本機的明顯的試探或者侵襲,名字與系統程序相近的應用程序;六是登錄提示信息發生了改變。
4) 對試探作出的處理
通常情況下,不可避免地發覺外界對防火牆進行明顯試探——有人向沒有向Internet提供的服務發送數據包,企圖用不存在的賬戶進行登錄等。試探通常進行一兩次,如果他們沒有得到令人感興趣的反應,他們通常就會走開。而如果想弄明白試探來自何方,這可能就要花大量時間追尋類似的事件。然而,在大多數情況下,這樣做不會有很大成效,這種追尋試探的新奇感很快就會消失。
一些人滿足於建立防火牆機器去誘惑人們進行一般的試探。例如,在匿名的FTP區域設置裝有用戶賬號數據的文件,即使試探者破譯了密碼,看到的也只是一個虛假信息。這對於消磨空閑時間是沒有害處的,這還能得到報復的快感,但是事實上它不會改善防火牆的安全性。它只能使入侵者惱怒,從而堅定了入侵者闖入站點的決心。
4.4 保持最新狀態
保持防火牆的最新狀態也是維護和管理防火牆的一個重點。在這個侵襲與反侵襲的領域中,每天都產生新的事物、發現新的毛病,以新的方式進行侵襲,同時現有的工具也會不斷地被更新。因此,要使防火牆能同該領域的發展保持同步。
當防火牆需要修補、升級一些東西,或增加新功能時,就必須投入較多的時間。當然所花的時間長短視修補、升級、或增加新功能的復雜程度而定。如果開始時對站點需求估計的越准確,防火牆的設計和建造做的越好,防火牆適應這些改變所花的時間就越少。
5 結束語
隨著Internet在我國的迅速發展,網路安全的問題越來越得到重視,防火牆技術也引起了各方面的廣泛關注。我們國家除了自行展開了對防火牆的一些研究,還對國外的信息安全和防火牆的發展進行了密切的關注,以便能更快掌握這方面的信息,更早的應用到我們的網路上面。當然,金無足赤,人無完人,我們從防火牆維護和管理的研究上得知,防火牆能保護網路的安全,但並不是絕對安全的,而是相對的。
參考文獻
[1] 虞益誠.網路技術及應用.東南大學出版社,2005.2
[2] 王 睿,林海波.網路安全與防火牆技術.清華大學出版社,2005.7
[3] 黃志暉.計算機網路設備全攻略.西安電子科技大學出版社
[4] 石良武.計算機網路與應用.清華大學出版社,2005.2