1. 請問防火牆的二層安全域和三層安全域有什麼區別
防火牆,其實說白了講,就是用於實現Linux下訪問控制的功能的,它分為硬體的或者軟體的防火牆兩種。無論是在哪個網路中,防火牆工作的地方一定是在網路的邊緣。而我們的任務就是需要去定義到底防火牆如何工作,這就是防火牆的策略,規則,以達到讓它對出入網路的IP、數據進行檢測。
目前市面上比較常見的有3、4層的防火牆,叫網路層的防火牆,還有7層的防火牆,其實是代理層的網關。
對於TCP/IP的七層模型來講,我們知道第三層是網路層,三層的防火牆會在這層對源地址和目標地址進行檢測。但是對於七層的防火牆,不管你源埠或者目標埠,源地址或者目標地址是什麼,都將對你所有的東西進行檢查。所以,對於設計原理來講,七層防火牆更加安全,但是這卻帶來了效率更低。所以市面上通常的防火牆方案,都是兩者結合的。而又由於我們都需要從防火牆所控制的這個口來訪問,所以防火牆的工作效率就成了用戶能夠訪問數據多少的一個最重要的控制,配置的不好甚至有可能成為流量的瓶頸。
二:iptables 的歷史以及工作原理
1.iptables的發展:
iptables的前身叫ipfirewall (內核1.x時代),這是一個作者從freeBSD上移植過來的,能夠工作在內核當中的,對數據包進行檢測的一款簡易訪問控制工具。但是ipfirewall工作功能極其有限(它需要將所有的規則都放進內核當中,這樣規則才能夠運行起來,而放進內核,這個做法一般是極其困難的)。當內核發展到2.x系列的時候,軟體更名為ipchains,它可以定義多條規則,將他們串起來,共同發揮作用,而現在,它叫做iptables,可以將規則組成一個列表,實現絕對詳細的訪問控制功能。
訪問控制:對用戶訪問網路資源的許可權進行嚴格的認證和控制。例如,進行用戶身份認證,對口令加密、更新和鑒別,設置用戶訪問目錄和文件的許可權,控制網路設備配置的許可權,等等。數據加密防護:加密是防護數據安全的重要手段。加密的作用是保障信息被人截獲後不能讀懂其含義。
網路隔離防護:網路隔離有兩種方式,一種是採用隔離卡來實現的,一種是採用網路安全隔離網扎實現的。
其他措施:其他措施包括信息過濾、容錯、數據鏡像、數據備份和審計等。
3. 如何防範網路安全問題
網路安全是指網路系統的硬體、軟體及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷。如何防範網路安全問題防範網路病毒。配置防火牆。採用入侵檢測系統。web、emai1、bbs的安全監測系統。漏洞掃描系統。ip用問題的解決。利用網路維護子網系統安全。提高網路工作人員的素質,強化網路安全責任。採用強力的密碼。一個足夠強大的密碼可以讓暴力破解成為不可能實現的情況。相反的,如果密碼強度不夠,幾乎可以肯定會讓你的系統受到損害;對介質訪問控制(mac)地址進行控制。隱藏無線網路的服務集合標識符、限制介質訪問控制(mac)地址對網路的訪問,可以確保網路不會被初級的惡意攻擊者騷擾的;互聯網已經成為世界各國人民溝通的重要工具。進入21世紀,以互聯網為代表的信息化浪潮席捲世界每個角落,滲透到經濟、政治、文化和國防等各個領域,對人們的生產、工作、學習、生活等產生了全面而深刻的影響,也使世界經濟和人類文明跨入了新的歷史階段。然而,伴隨著互聯網的飛速發展,網路信息安全問題日益突出,越來越受到社會各界的高度關注。如何在推動社會信息化進程中加強網路與信息安全管理,維護互聯網各方的根本利益和社會和諧穩定,促進經濟社會的持續健康發展,成為我們在信息化時代必須認真解決的一個重大問題。下面介紹下關於網路安全防護的幾項措施。
拓展資料;網路分段技術的應用將從源頭上杜絕網路的安全隱患問題。因為區域網採用以交換機為中心、以路由器為邊界的網路傳輸格局,再加上基於中心交換機的訪問控制功能和三層交換功能,所以採取物理分段與邏輯分段兩種方法來實現對區域網的安全控制,其目的就是將非法用戶與敏感的網路資源相互隔離,從而防止非法偵聽,保證信息的安全暢通。
以交換式集線器代替共享式集線器的方式將不失為解除隱患的又一方法。
法律依據:《規定》第十二條作出規定:網路用戶或者網路服務提供者利用網路公開自然人基因信息、病歷資料、健康檢查資料、犯罪記錄、家庭住址、私人活動等個人隱私和其他個人信息,造成他人損害,被侵權人請求其承擔侵權責任的,人民法院應予支持。但下列情形除外:
(一)經自然人書面同意且在約定范圍內公開;
(二)為促進社會公共利益且在必要范圍內;
4. 防汛三層防護是什麼意思
就是三道防護確保安全的意思。
5. 三重防護一個中心的含義
一個中心,三重防護是信息安全等級保護中的說法,一個中心是指安全管理中心,三重防護是指通信網路防護、區域邊界防護、計算環境防護。
國家信息安全等級保護堅持自主定級、自主保護的原則。
信息系統的安全保護等級應當根據信息系統在國家安全、經濟建設、社會生活中的重要程度,信息系統遭到破壞後對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。
(5)三層防護網路安全擴展閱讀:
信息系統的安全保護等級分為以下五級:
第一級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級,信息系統受到破壞後,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級,信息系統受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級,信息系統受到破壞後,會對國家安全造成特別嚴重損害。
6. 網路安全防護措施,網路安全防護措施有哪些
首先,硬體上面要有投入,規模比較大的區域網,防火牆、三層交換機、上網行為管理都不能少。
其次,要有行政手段,建立企業內部上網規范。
再次,還要有技術手段來進行保障,最佳方案是:
1. 內網許可權管理用AD域。這樣可以用組策略來做很多限制,避免隨意安裝軟體導致區域網安全隱患。
2. 外網許可權用防火牆、上網行為管理。工作時段進行上網限制,否則只要有1-2個人進行P2P下載、看網路視頻,外網就基本上癱瘓了。
3. 沒有上網行為管理硬體的話,也可以部署上網行為管理軟體(比如「超級嗅探狗」、WFilter等)。可以通過旁路方式監控流量佔用、上網行為、禁止下載等,並且和域控結合。
7. 多層網路防禦系統是什麼
採用多層阻擋和防禦系統可通過層層「攔截」信息進攻。提高整個信息防禦體系的效率。
如第1層防禦系統可防禦大量的日常性信息進攻威脅,「攔截」掉那些低技術進攻威脅;第2層和其他各層可依次用來防禦專業化、目的性很強的戰略性進攻威脅,最終實現確保信息的安全。加拿大Sagus安全公司研製的多層信息防禦系統,可實施4個層次的防護。第1層是用戶層,第2層是網路層,第3層是各種伺服器,第4層才是主機。
8. 伺服器和區域網絡的病毒防護措施一般有哪些!
由於病毒摧毀計算機所造成的威脅有越來越嚴重的趨勢,企業對於功能更強大的防毒軟體的需求也越來越迫切。許多的企業也因為之前沒有對網路架構作好防毒措施,付出了慘痛而昂貴的代價。前幾天我們這里的行政部門的的所有計算機由於感染了尼姆達病毒,搞得整個區域網癱瘓了,我們幾個整整忙了兩天才完全恢復正常。在工作期間,我發現這個單位網路安全意識低得真讓人不敢相信,大多數計算機沒有安裝防火牆,就算安裝了也好久沒有升級了。(同志們,這可是我們政府機關啊!)所以建構一個全面的防毒策略,成為了大多數單位的一個重要問題,大面我和大家談談企業如何構建一個電腦病毒防護的安全策略。
企業的防毒策略
在早期的計算機環境中,其實病毒並不是一個非常令人頭痛的事,只要我不用來路不明的磁碟,基本上可以防止 80% 的病毒入侵,但是進入互聯網的新世紀,絕大部分的信息經由互聯網交換,那麼更容易從互聯網上染上病毒,因此企業防毒策略的制定,更是絕對不能沒有的計劃。一般而言,一個需要作好防毒措施的網路架構可以分成以下三個不同的階層:
1、網路(SMTP)網關(Internet Gateways)防毒機制
首先針對病毒可能會入侵的通道加以防堵,第一步就是企業的大門,在企業的區域網絡中,網關扮演了舉足輕重的角色,通常企業的網關就是通往內部網路的門,或者是安全性更高防護措施更完善的企業網路架構中,會有一個非軍事區網路 ( DMZ, De-Militarized Zone ) ,在這個地方就是一個非常重要的部署防毒牆或者是防毒過濾軟體的地方。
以網關或是DMZ部分的部署,通常可以分為兩種模式:
第一種為網關模式,也就是將防毒伺服器或是防毒牆(例如McAfee WebShield e50 硬體式防毒牆 ) 當成內部路由器的部署方式,此種配置方式乃是將防毒網關配置在防火牆裝置的內部或是所有內部主機系統的最外部,也就是防毒牆或防毒伺服器將成為名符其實的一個資料網關(有點像是路由器),如此一來所有進出企業體的封包,將一一被掃描過濾,一個都不會錯過。
我以一般企業簡單的網路架構來說明,一般來說位在網關的防毒機制,考慮到運作效能的問題,是不需要負責太復雜的防毒,通常是專門針對某些通訊協議加以偵測掃描,例如針對SMTP、FTP、HTTP 等通訊協議。在圖1的架構中,共分為兩個部分,由外部進來的封包,通過防火牆的控制,只能到達 DMZ 的部分,所有郵件都能夠被掃描偵測,並且能夠過濾垃圾郵件及防止郵件伺服器被來自Internet的使用 ( Anti-Relay ),因此針對郵件我們就有了第一層的保護。
而另一部份則是內部網路,基於安全的理由,一般在防火牆的設定是不允許直接由 Internet 前往內部網路的,因此這部分是針對客戶端計算機因瀏覽網站,或者是FTP站台所受到一些惡意站台的威脅,所做的防護措施因此針對來自Internet的威脅,我們就有了初步的病毒防護機制。
第二種模式則是代理模式,以如此模式建構的話,基本上防毒伺服器是以代理伺服器的型態存在。如果某家公司不管理自己的 Internet 網關,那防護的工作就得交由 ISP 來提供了。如果 ISP 不提供防毒服務或者它索取很高的費用,那麼就應當考慮更換服務提供商。
一般情況下如果一個企業設置了第一層的病毒防護,那麼公司只要在一兩個網關上替整個公司捕捉和攔截病毒就可以了。一旦病毒通過了網關,公司就必須依靠伺服器代理程序(server agents)對眾多的伺服器進行掃描和修復,而不再只是處理一個網關。倘若由於某種原因病毒穿透了伺服器層,那就必須依靠客戶端這一層的防毒軟體,這可能會影響到成千上萬的節點(nodes)。所以,立即在第一層阻止病毒是最行У慕餼齜椒ā?
2、伺服器防毒機制
接下來就是伺服器這一層。單單依靠桌上型計算機上的防毒軟體是不夠的,因為不管是在什麼時候,都一定會有好幾十台的計算機的防毒軟體不是取消功能,就是解除安裝,或者是其它原因而讓防毒軟體不能運作。在企業之中,有著不同的伺服器提供著不同的服務,其中最容易遭數受病毒的攻擊的伺服器,首推群組伺服器以及檔案伺服器,檔案伺服器有著檔案集中的特性,提供企業體制中檔案儲存及交換的便利性,正是這種特性,更容易讓病毒有機可乘,更容易散播開來。
而郵件伺服器幾乎可以稱的現代企業的通信管道,很多資料、重要訊息大都是通過電子郵件這種最普遍亦是最方便的一種共通方式,所以也是病毒傳染最快的方式,但這不是全部,病毒不只是通過郵件傳遞達到散播的目的,更利用群組中的信息共享機制,如電子公告欄,共享資料夾等等的訊息共享機制來散播病毒,因此我們更應該針對所有可能的通道價以防護,這就是架構中的第二層防護:你需要在每台存放文件和 e-mail 的伺服器上作好病毒的防護工作,在這些伺服器上,防毒軟體都必須設置成提供實時防護和定期的防毒掃描(scheled scanning)。注意:如果你只使用定期掃描這一種方法,而病毒在成功入侵一台開放的伺服器時,它可能在你准備在夜間通過掃描過程來對付它之前,已經復制並感染了多台工作站。
3、客戶端計算機防毒機制
在整個網路的最末端,客戶端的計算機是企業網路中為數最多也是容易遭受到病毒感染的一個環節,也是最大、最難防護的一層,而且並非所有使用者都具有病毒防治的觀念,因此在客戶端的病毒防護策略,除了必須考慮環境及病毒入侵的防護外,還必須考慮到人為因素及管理因素,在如此復雜的環境中,我們先從病毒可能進行感染的通道防堵。
首先針對一般感染路徑,檔案的存取及網路的存取,已經是一種基本應有的功能,它必須在幕後隨時監視及掃描你所存取的所有檔案,包含壓縮檔及較不為一般人所注意的office 宏文件,以防止一般性的病毒威脅。在電子郵件的傳染途徑中,除了針對 SMTP 的通訊協議作保護外,還必須考慮到一些使用者必須由外部的郵件伺服器收取郵件,或者是下載互聯網上的檔案,因此在下載檔案的部分以及 POP3、MAPI 等通訊協議上必須加強防護。同樣的來自於瀏覽網站或者是利用FTP上傳或下載檔案也是必須防護的重點,如此構成了嚴密的三層病毒防護策略。
作為網路管理人員的你也可以在登錄描述程序(logon scripts)中加入了一些智能型的機制,以確保安裝的防毒軟體的版本是最新的。如果不是最新的版本,那麼一個正確的(且升級後的)版本就會安裝進來。未經正確病毒防護的設定,任何一台工作站都不允許放在網路上,這包括通過撥號的方式遠程訪問網路的計算機。此外,新一代的防毒軟體,如 McAfee's ePolicy Orchestrator(相關網址: http://corporate.mcafee.com/content/software_procts/avd_epolicy.asp ),能自動為你進行版本的檢測和升級。擁有一個能夠針對「工作站上的防毒軟體並非最新」這一情況做出報告的系統,對你的企業來說也是相對重要的一環。
4、補充--管理機制
前面我已經討論了關於防毒的三層架構,其中大家可以發現一點,當企業體制越大,所需要維護及管理的工作也越趨重要,維護及管理病毒防護機制是一件絕對不可缺的事,不然縱使你擁有全球最強的防毒機制,一樣形同虛設無法發揮它應有防治病毒的功能,因此在制定你的病毒防護計劃的同時,你必須考慮到針對所有防毒軟體或硬體,必須要具備易於管理及維護的特性。想想假如你的企業規模是具有50台計算機的單位,也許你認為只要大約三個人就可以擔負所有的防毒軟體的病毒碼更新、病毒掃描引擎更新、以及照顧一些只會使用office的文書人員的防毒機制,但是這並不是一個永久的辦法,當你企業不斷的成長,終究會面臨信息人員的負擔越來越重,但是效率卻越來越差窘境,因此把這些繁復瑣碎的事情交給計算機來管理,而你的信息人員就能夠更有效率的完成其它你所交付的工作。如此才能周全你的病毒防護計劃,為你的企業帶來最完善的防護。
結束語
病毒防護計劃在現今的企業體制中已經是不可或缺的事,如何運用最少的人力物力完成最大的防護效能,才是你考慮的重點,對於防毒軟體的選擇,我綜合了以下幾個觀點供大家參考:
1、全方位的防毒功能,能夠考慮到所有可能的入侵通道;
2、具有多層架構的防毒機制;
3、易於集中管理及維護,具有自動更新升級的能力;
4、中央控管的防毒規則,完全不需使用者設定,提高信息人員效率;
5、具有病毒防護統計報告能力,使你易於掌握整個防護計劃。
互聯網高度發展的現今社會,互聯網帶給人們更快速的信息取得通道,同樣的也給
算機病毒具有快速傳播的能力,如今其危害已經不是只有個人,而是擴及到企業損失,如果你依然不重視這個問題,那麼所帶來的危害將是無法估計的。 採納我把 (*^__^*) 嘻嘻
9. 什麼是一個中心 三重防護 等保
以「一個中心,三重防護」為網路安全技術設計的總體思路,其中一個中心即安全管理中心,三重防護即安全計算環境、安全區域邊界、安全通信網路。
所謂「一個中心三重防護」,就是針對安全管理中心和計算環境安全、區域邊界安全、通信網路安全的安全合規進行方案設計,建立以計算環境安全為基礎,以區域邊界安全、通信網路安全為保障,以安全管理中心為核心的信息安全整體保障體系。
開展網路安全等級保護工作的意義
(一)體現國家管理意志,構建國家信息安全保護體系
等級保護是我國關於信息安全的基本政策,國家法律法規、相關政策制度要求單位開展等級保護工作,如《中華人民共和國網路安全法》和《網路安全管理辦法》。
(二)維護國家安全,保護公眾利益,保障和促進信息化發展
落實個人及單位的網路安全保護義務,通過等級保護工作發現單位信息系統存在的安全隱患和不足,通過安全整改提高信息系統的信息安全防護能力,合理規避風險。
以上內容參考 網路--信息安全等級保護
10. 有了三層交換機和防火牆,省略路由器是否影響安全性
簡單回答:
1、泛指性的去討論,三層交換機、防火牆、路由器,與網路安全的關系是無法確定的。
2、因為各種三層交換機、防火牆、路由器的具體的能力、性能、功能都有非常大的差別。
3、要保證網路安全,需要較為專業的技術人員根據網路的實際情況整體考慮。
******以下可能需要基本的網路知識才能看懂,有耐心可以了解*******
一、三層交換機的最主要的功能是:
1、交換機功能:讓網路中的設備能通過網路相互聯接《高速》通訊。(必須有)
2、路由功能:能讓不同網段的設備的通迅經過三層交換機的中轉實現跨網段通信。(必須有,否則就不能稱為三層交換)
3、其它防護功能:基本的防護功能、垃圾信號抑制功能、分組交換功能、防攻擊功能。(這些都因具體的型號而異,不一定有,一般越高檔的功能越全)
二、路由器的最主要的功能是:
1、交換機功能:讓聯入路由的設備能通過網路相互聯接通訊。(一般都有)
2、路由功能:能讓不同網段的設備的通迅經過路由器的中轉實現跨網段通信。(必須有,否則就不能稱為路由)
3、其本防護功能:防攻擊功能,埠影射和中轉,其它額外功能(比如動態域名,PPPOE拔入,VPN等)。(因個體型號而異,不一定有)
三、路由與三層交換機的不同:
1、三層交換機注重的是交換、快速通迅。一般現在的三層交換機的速度都要達到千兆,要承擔網部網路的數據交換中心的功能。
2、而路由器一般注重的是中轉,與外部(外單位)網路進行通訊,或內部科室間進行隔離,它的交換速度一般不超過100M。
3、三層交換機中、低檔的,在防護功能方面可能比一些功能稍強的路由器、可網管交換機還要差,它只管交換。三層交換機可以與可網管交換機配合用,比如MAC鎖定、廣播包抑制、DDOS攻擊防護等讓可網管交換機在第二層次時進行。
4、功能做得全面的一些路由器在安全上面比低檔三層交換機要強。比如水星的MR900B,自身帶有「防火牆」,可以做ARP防護、攻擊防護、MAC過濾、訪問策略過濾等,雖然與專業的「防火牆」比可能差了很多,但比多數三層交換機強。
四、防火牆的最主要的功能是:
1、對異常的網路數據流進行阻擋比如來源不明的信號,不規范的信號,大量的重復的垃圾信號。(一般有)
2、對信號的來源與去向進行審核,並按規則批准通過或忽視。主要根據MAC、IP、埠、URL,以三者的組合。(多數有)
3、其它高級功能。比如病毒殺防,直接在通迅的基礎上查出病毒,並禁止通過。記錄敏感通訊,比如記錄重要電腦的動作等等。(不一定)
4、其它相關功能,比如路由功能、交換機功能。(很多有)