A. 网管必修的课程
面对网络技术日益复杂,网络管理员应当拥有强烈的求知欲和非常强的自学能力。第一、网络知识和网络技术不断更新,新的编程思想、编程语言和数据库不断推出,需要继续学习的内容非常多。第二、学校课本知识大多过于陈旧,并且脱离于网络管理实际,根本无法满足实践需要,许多知识都要从头学起。第三、网络设备和操作系统非常繁杂,各自拥有不同的优点,适用于不同的环境和需求,因此需要全面了解、重点掌握。第四、网络管理员还会频繁接触一些网络设备,需要不断更新硬件知识,掌握最新网络技术。
作为网络管理员,需要亲自动手的时候非常多。不仅要亲自搭建网络和网络服务,而且还必须对交换机和路由器进行设置。虽然布线工程通常都是由网络公司实施,但往往由于新增设备或网络拓扑结果发生变化,而需要做一些网线跳线、压制一些模块,甚至做一些简单的综合布线。另外,计算机硬件和网络设备的升级(比如增加硬盘、内存和CPU等)也往往需要管理员亲自动手。而安装操作系统、应用软件和硬件驱动程序等工作更是网络管理员的必修课。所以,网络管理员必须拥有一双灵巧的手,具备很强的动手能力。
网络管理员必须具有非常敏锐的观察能力,特别是在调试程序或发生软硬件故障时。出错信息、计算机的鸣叫、指示灯的闪烁状态和显示颜色等,都会从一个侧面提示可能导致故障的原因。对故障现象观察得越细致。越全面,排除故障的机会也就越大。另外,通过及时观察,还可以及时排除潜在的网络隐患。
网络管理员几乎每日都要接触网络设备和服务器等硬件,因此成功网管员除了具有一定的自学能力,更新自身知识结构外,还需要掌握有关网络的硬件知识。下面列出了常用的硬件方面的知识内容。
1、路由器
路由器是网络中进行网间连接的关键设备,作为不同网络之间互相连接的枢纽,路由器系统构成了基于TCP/IP的国际互联网Internet的主体节点,也可以说,路由器构建了Internet的骨架,它的处理速度和可靠性则直接影响着网络互连的质量。
配置路由器有两种方法:一是通过路由器的配置端口,利用微机或终端来配置,二是利用网络通过Telnet命令来配置。不过,要采用第二种方法的前提是用户已经正确配置了路由器各接口的IP地址;所以第一种方法更具有通用性。
目前,生产路由器的厂商,国外主要有CISCO(思科)公司、北电网络等,国内厂商包括华为等。作为网管员来说,必须要能掌握各厂家路由器安装与调试,这是成功网管员必须要具备的素质之一。
2、交换机与集线器(HUB)
交换机的英文名称之为“Switch”,它是集线器的升级换代产品,从外观上来看,它与集线器基本上没有多大区别,都是带有多个端口的长方体。交换机是按照通信两端传输信息的需要,用人工或设备自动完成的方法把要传输的信息送到符合要求的相应路由上的技术统称。交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流量控制。目前一些高档交换机还具备了一些新的功能,如对VLAN(虚拟局域网)的支持、对链路汇聚的支持,甚至有的还具有路由和防火墙的功能。
交换机是一种基于MAC地址识别,能完成封装转发数据包功能的网络设备。目前,主流的交换机厂商以国外的CISCO(思科)、3COM、安奈特为代表,国内主要有华为、D-LINK等。
集线器的英文称为“Hub”,集线器的主要功能是对接收到的信号进行再生整形放大,以扩大网络的传输距离,同时把所有节点集中在以它为中心的节点上。 集线器属于纯硬件网络底层设备,基本上不具有类似于交换机的"智能记忆"能力和"学习"能力。它也不具备交换机所具有的MAC地址表,所以它发送数据时都是没有针对性的,而是采用广播方式发送。
掌握交换机的安装与配置,以及交换机故障日常处理方法,也是成功网管员必须要具备的素质之一。
3、防火墙与入侵检测系统(IDS)
防火墙的英文名为“FireWall”,它是目前一种最重要的网络防护设备。从专业角度讲,防火墙是位于两个(或多个)网络间,实施网络之间访问控制的一组组件集合。防火墙可以使企业内部局域网(LAN)网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。
目前国内的防火墙几乎被国外的品牌占据了一半的市场,国外品牌的优势主要是在技术和知名度上比国内产品高。而国内防火墙厂商对国内用户了解更加透彻,价格上也更具有优势。防火墙产品中,国外主流厂商为思科(Cisco)、CheckPoint、NetScreen等,国内主流厂商为东软、天融信、联想、方正等,它们都提供不同级别的防火墙产品。
入侵检测系统(IDS,Intrusion Detection Systems)。专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
在本质上,入侵检测系统是一个典型的"窥探设备"。它不跨接多个物理网段(通常只有一个监听端口),无须转发任何流量,而只需要在网络上被动的、无声息的收集它所关心的报文即可。
作为网络安全的重要组成部分,防火墙和IDS是我们日常使用最多的安全设备,因此掌握防火墙和IDS的安装、配置和应用是成功网管员必须要具备的素质之一。
4、服务器与工作站
服务器是网络的中枢和信息化的核心,服务器是一种高性能的计算机,它的构成诸如有CPU(中央处理器)、内存、硬盘、各种总线等等,能够提供各种共享服务(网络、Web应用、数据库、文件、打印等)以及其他方面的高性能应用,它的高性能主要体现在高速度的运算能力、长时间的可靠运行、强大的外部数据吞吐能力等方面。
目前国外的服务器有IBM、HP、SUN和DELL等品牌,国内的服务器有浪潮、联想、曙光等品牌。
工作站,英文名称为Workstation,是一种以个人计算机和分布式网络计算为基础,主要面向专业应用领域。工作站根据软、硬件平台的不同,一般分为基于RISC(精简指令系统)架构的UNIX系统工作站和基于Windows、Intel的PC工作站。
UNIX工作站是一种高性能的专业工作站,具有强大的处理器(以前多采用RISC芯片)和优化的内存、I/O(输入/输出)、图形子系统,使用专有的处理器(Alpha、MIPS、Power等)、内存以及图形等硬件系统,专有的UNIX操作系统,针对特定硬件平台的应用软件,彼此互不兼容。
PC工作站则是基于高性能的X86处理器之上,使用稳定的Windows NT及Windows2000、WINDOWS XP等操作系统,采用符合专业图形标准(OpenGL)的图形系统,再加上高性能的存储、I/O(输入/输出)、网络等子系统,来满足专业软件运行的要求;以NT、WIN2000、XP为架构的工作站采用的是标准、开放的系统平台,能最大程度的降低拥有成本。
目前,许多厂商都推出了适合不同用户群体的工作站,比如IBM、DELL(戴尔)、HP(惠普)等。
服务器和工作站系统的安装、配置、运行与维护,也是成功网管员必须要具备的重要素质之一。
5、其他硬件设备
在综合布线设备中,除了最为主要的传输介质,如双绞线和光纤线缆等以外,还有很多的布线设备在使用。常用的有RJ45插头、信息插座、配线架、光纤连接器、剥线钳、打线钳、网线钳、网线模块以及测线仪器等,网管员必须学会熟练操作使用。
在网络存储中,磁盘阵列是一种把若干硬磁盘驱动器按照一定要求组成一个整体,整个磁盘阵列由阵列控制器管理的系统。磁带库是像自动加载磁带机一样的基于磁带的备份系统,磁带库由多个驱动器、多个槽、机械手臂组成,并可由机械手臂自动实现磁带的拆卸和装填。它能够提供同样的基本自动备份和数据恢复功能,但同时具有更先进的技术特点。掌握网络存储设备的安装、操作使用也是网管员必须要学会的。
在架构无线局域网时,对无线路由器、无线网络桥接器AP、无线网卡、天线等无线局域网产品进行安装、调试和应用操作。
总之,作为一个成功网管员必须对各种网络设备都要有一定的了解,在具体对待每一个网络产品的使用则要认真仔细,在一定的网络环境中确保设备的正常稳定运行,因此经过努力学习,善于实践,勤于总结,网管员必须要有“广”而“专”的素质,只有这样才能一个真正成功网管员。
B. 怎样预防电脑被人远程控制
安装防火墙
搜捕大行动!!!全是最新破解注册的!!1.
Look'n'stop
Look’n’Stop 被誉为世界顶级防火墙!与同类产品相比具有最为突出的强劲功能以及与众不同的特点,不仅功能评测在知名防火墙中是最强的!而且软件大小只有区区600多k十分小巧, 占内存非常小,可以监控dll,更具强大的御防黑客攻击能力!
下载Look'n'stop:http://3800cc.com/Soft/aqfh/2129.html
2.
Outpost
一款短小精悍的网络防火墙软件,它的功能是同类PC软件中最强的,甚至包括了广告和图片过滤、内容过滤、DNS缓存等功能。它能够预防来自Cookies、广告、电子邮件病毒、后门、窃密软件、解密高手、广告软件和其它 Internet 危险的威胁。该软件不需配置就可使用,这对于许多新手来说,变得很简单。尤为值得一提的是,这是市场上第一个支持插件的防火墙,这样它的功能可以很容易地进行扩展。该软件资源占用也很小。 Outpost的其它强大功能毋庸多说,你亲自试一试就知道了。
下载outpost3.0:http://www.xpblue.com/soft/6085.htm
3.
ZoneAlarm
ZoneAlarm来保护你的电脑,防止Trojan(特洛伊木马)程序,Trojan也是一种极为可怕的程序。ZoneAlarm可以帮你执行这项重大任务喔。基本版还是免费的。
使用很简单,你只要在安装时填入你的资料,如有最新的ZoneAlarm,你就可以免费网上更新。安装完后从新开机,ZoneAlarm就会自动启动,帮你执行任务。当有程序想要存取Internet时,如网络浏览器可能会出现连不上网络,这时你可以在右下角ZoneAlarm的小图示上按两下鼠标左键,选取Programs的选项,勾选你要让哪些软件上网,哪些不可以上网,利用此种方法来防治一些来路不明的软件偷偷上网。最好的方法是锁住(Lock)网络不让任何程序通过,只有你核准的软件才可以通行无阻。你还可利用它来看看你开机后已经使用多少网络资源,也可以设定锁定网络的时间。这么好用的软件你一定要亲自使用才能感觉到它的威力。
下载ZoneAlarm-v6.0.667:
http://jc.arongsoft.com/aqxg/ZoneAlarm-v6.0H.rar
4.
BlackICE
该软件在九九年获得了PC Magazine 的技术卓越大奖,专家对它的评语是:“对于没有防火墙的家庭用户来说,BlackICE是一道不可缺少的防线;而对于企业网络,它又增加了一层保护措施--它并不是要取代防火墙,而是阻止企图穿过防火墙的入侵者。BlackICE集成有非常强大的检测和分析引擎,可以识别 200 多种入侵技巧,给你全面的网络检测以及系统防护,它还能即时监测网络端口和协议,拦截所有可疑的网络入侵,无论黑客如何费尽心机也无法危害到你的系统。而且它还可以将查明那些试图入侵的黑客的NetBIOS(WINS)名、DNS名或是他目前所使用的IP地址记录下来,以便你采取进一步行动。封言用过后感觉,该软件的灵敏度和准确率非常高,稳定性也相当出色,系统资源占用率极少,是每一位上网朋友的最佳选择。
下载BlackICE36coo:
http://down.xxjp.org/Software/Catalog19/5015.html
5.
Tiny Firewall
Tiny Software 公司是一家面向中小型网络路由器和防火墙软件的开发商,最近Tiny Firewall目的是为了妨止非法使用时的不安全性,保障计算机的安全。这一版本是基于通过ICSA认证的 WinRoute Pro安全保障技术,是WinRoute 的子集,只具备防火墙功能。该项技术已经获得成功。 Tiny Personal Firewall可以设置为手工启动,或者设置为一个服务器。其中包括一个桌面管理工具,可用于对本地或远程计算机上的安全引擎进行详细配置。用户的安全设置有高、中、低三级,通过它的包过滤特性(packet-filtering),每一级设置还可进行不同的配置,以满足特殊的需求。高级用户可以建立基于断口,应用,协议和目标的规则,每当遇到新的情况,立即提示,包括拒绝,接受或者建立处理未来动作的规则。其它的特性包括 MD5 签名支持,密码保护,日志功能和高可配置的报告功能,记录特殊的侵入动作。 Tiny Personal Firewall是一个全面,却又简单易用的网络防黑软件。他可以管理你的计算机与国际网络的数据交换,会阻挡任何未经认证的用户进入你的计算机,读取你的档案。支持 MD5签名认证,可以防止特洛依程序使用计算机认可的应用程序来闯入计算机,判断出那个程序安全与否,共有叁个安全等级可设置,可以考虑自己网络活动来作调整。 程序包含主引擎、网络状况监视器、事件纪录簿。如你要打开某个网页,会问你是否允许存取。你也可以作一个过滤器,允许某个连接持续运作,限制使用那个端口(port)或者目的ip。也会纪录所有可疑的活动到日志中,随时可叫出来检查,可说相当方便有强力的一款软件。
下载Tiny Firewall 2005 v6.5.2:
http://down.xxjp.org/Software/catalog19/5285.html
6.
Kaspersky
Kaspersky Anti-Hacker 是Kaspersky 公司出品的一款非常优秀的网络安全防火墙!和着名的杀毒软件 AVP是同一个公司的作品!保护你的电脑不被黑客攻击和入侵,全方位保护你的数据安全!所有网络资料存取的动作都会经由它对您产生提示,存取动作是否放行,都由您来决定,能够抵挡来自于内部网络或网际网络的黑客攻击!
与原有版本相比,新版增加了升级模块。
新产品保留了1.5版中所有非常受欢迎的性能,包括友好的用户界面、易用性(这对入门级的用户特别重要)、安装简捷、5级防护水平选择等。系统可在隐形模式下工作,本地的计算机可封锁所有来自外部网络的请求,使用户隐形和安全地在网上遨游。
产品的新性能包括对MS SP2完全兼容,使Windows XP的用户大为受益。
下载卡巴防火墙1.8.180:
http://www.mf96.com/Software.asp?id=896
7.
McAfee Desktop Firewall
McAfee公司的一个出色的个人防火墙软件,是基于ConSeal Private Desktop, Signal 9 Solutions 的获得的国际认证个人防火墙软件包。它可以保护你免受来自Internet的黑客和木马程序等攻击。它的特色是:保护个人信息、即时报警、详细事件记录、阻塞特定的互联网系统、多层安全、24小时自动更新,还有就是整合了hackerwatch.com的资源,使得你能查看详细的攻击信息。
能够对客户端进行前瞻性的保护和控制,使其免受新威胁的攻击,这是单纯的防病毒产品无法实现的。 Desktop Firewall 针对网络和应用程序提供了全面的防火墙功能,并与入侵检测技术完美结合。 它可以防止客户端发送或接收非法网络流或应用程序中所携带的恶意攻击。 它还可以防止合法应用程序被入侵者利用,进而在整个网络中发送或接收攻击信息。 McAfee ePolicy Orchestrator 为 Desktop Firewall 提供了可扩展的集中式管理、部署和报告功能。 此外,Desktop Firewall 能够与 McAfee VirusScan Enterprise 和 ePolicy Orchestrator 进行集成,从而提供了无可比拟的客户端安全性和投资回报率
下载McAfee Desktop Firewall v8.0简体中文版:
http://down.xxjp.org/Software/catalog19/7940.html
8.
费尔个人防火墙专业版
软件说明:专业级的强大功能、个性化的设计理念、个人网络安全工具的首选。软件完全免费、整套源程序低价出售。1.几乎拥有专业防火墙软件的所有强大功能 2.引入了别具特色的“流量示波器”,使得网络流量一目了然,生动地展现网络状态 3.对代理上网进行了优化,用户再也不用抱怨自己的邮件被代理服务器盲目拦截 4.对网上邻居共享资源进行全面控管,使局域网管理更自由、更安全 5.应用层 / 核心层双重过滤,完全管控TCP/IP网络封包 6.防出墙 / 防入墙双墙防护,防止信息泄漏和外来攻击 7.对ICMP(PING)进行严格控制,有效保护IP地址不被探测 8.全程交互式控管规则自动生成器,对任何情况的网络动作都可以进行动态、交互、自动生成控管规则,最大程度的方便操作 9.把复杂的功能设置进行了有效的条理化分类,做到既可以让普通用户感觉到简单易用,又可以让专业人士进行复杂的安全防范配置 10.漂亮流畅的操作界面,各种人性化的设计,使用起来轻松方便 另外值得注意的是:费尔个人防火墙的整套、包括核心模块的源程序是完全开放出售的,国际化的编程风格、结构化的设计思想、精致详实的源码注释、大量图表的设计文档、毫无保留的全面开放,从系统分析到代码实现,给您一个全方位体验,是您技术提高、赢得商机的有力支持。
下载费尔个人防火墙专业版 3.0:
http://down.xxjp.org/Software/catalog19/6679.html
9.
AnyView(网络警) V3.34软件说明:AnyView是一款企业级的网络监控软件。一机安装即可监控、记录、控制局域网内其他计算机的上网行为。用于防止单位重要资料机密文件等的泄密;监督审查限制网络使用行为;备份重要网络资源文件。主要功能有:
一、全面监控网内所有收发的邮件。
AnyView能实时记录局域网内所有收发的邮件(包括POP3/SMTP协议和HTTP协议的邮件),同时检测并记录其所用的IP地址、收发时间、标题、收件人/发件人、附件、内容及邮件大小等信息。
二、监控各类聊天工具的使用。
AnyView能实时监控局域网用户对各类聊天工具的使用情况,能检查出在线用户所使用的聊天工具、聊天ID、上线时间等信息,并保存。
三、记录每个员工浏览过的网页,保存上传下载(FTP协议)的文件。
AnyView能实时记录局域网内所有用户浏览过的网页(包括网页标题、网页内容、所属网站、网页大小等),并以网页快照的形式供管理者查看。AnyView能实时记录网内所有用户通过FTP协议上传下载的文件。
四、端口级的上网控制。
1.禁止某些电脑在指定时段上指定的网站;
2.只允许某些电脑在指定时段上指定的网站;
3.禁止某些电脑在指定时段收发邮件;
4.禁止某些电脑在指定时段通过浏览器收发邮件;
5.禁止某些电脑在指定时段使用指定的聊天工具(包括QQ、MSN、Yahoo Messenger、ICQ等);
6.禁止某些电脑在指定时段使用FTP工具外发资料;
7.允许自定义网页列表阻断:色情列表库、游戏网站列表库、股票网站库、聊天网站库、外发资料网站库;
五、采用C/S管理模式,支持分级权限管理。
AnyView支持服务器和客户端程序分开,支持多客户连接,允许对不同客户端赋予不同的监控权限。
六、其他功能。
1.自动搜索局域网内的电脑,并自动解析出机器名;
2.跨平台监控;被监控电脑也可以是Unix 、Linux 等其他操作系统;
3.不需要在被监视和管理电脑上安装任何软件,一机运行,整网管理;
4.支持拦截内容的压缩、备份、恢复;
5.正式版安装以后,同一网段内,其他机器上的试用版不能正常运行。
下载AnyView(网络警) V3.34:
http://down.xxjp.org/Software/catalog3/2879.html
10.
天网防火墙
SkyNet-FireWall个人版(简称为天网防火墙)是一款由天网安全实验室制作的给个人电脑使用的网络安全程序。它根据系统管理者设定的安全规则(Security Rules)把守网络,提供强大的访问控制、应用选通、信息过滤等功能。它可以帮你抵挡网络入侵和攻击,防止信息泄露,并可与天网安全实验室的网站(
www.SKY.NET.CN
)相配合,根据可疑的攻击信息,来找到攻击者。天网防火墙把网络分为本地网和互联网,可以针对来自不同网络的信息,来设置不同的安全方案,它适合于任何拨号上网的用户。
下载天网防火墙 2.7.5 Build 0720零售版破解补丁+IP规则数据包2.24+1000条规则:
点击下载
下载天网2.76:
http://jc.arongsoft.com/aqxg/SkynetPFW.rar
11.
瑞星个人防火墙功能列表:
1。支持任何形式的网络接入方式。(如以太网卡/Proxy方式、拨号上网、CableModem接入、ADSL接入、Irad接入等)
2。不影响网络通讯的速度,也不会干扰其它运行中的程序。
3。方便灵活的规则设置功能可使您任意设置可信的网络连接,同时把不可信的网络连接拒之门外。
4。保证您的计算机和私人资料处于安全的状态。
5。提供网络实时过滤监控功能。
6。防御各种木马攻击。如BO、冰河。
7。防御ICMP洪水攻击及ICMP碎片攻击。
8。防御诸如WinNuke,IpHacker之类的OOB攻击。
9。在受到攻击时,系统会自动切断攻击连接,发出报警声音并且闪烁图标提示。
10。详细的日志功能实时记录网络恶意攻击行为和一些网络通讯状况;若受到攻击时,可通过查看日志使攻击者原形毕露。
下载瑞星防火墙2005 17.42版(中天在线):
http://down.xxjp.org/Software/catalog19/5227.html
12.
江民防火墙
软件说明:上网必备安全工具软件:反黑王是一款专为解决个人用户上网安全而设计的网络安全防护工具,产品融入了先进的网络安全四大技术,彻底阻挡黑客攻击、木马程序及互联网病毒等各种网络危险的入侵,全面保护个人上网安全。有了反黑王的保护,网民再不必担心上网帐号、QQ密码、游戏分值、银行帐号、邮件密码、个人隐私及其他重要个人信息的泄漏。
下载:江民黑客防火墙 v8.0.1.413:
http://down.xxjp.org/Software/catalog21/5217.html
13.
金山网镖2005
下载金山网镖 2005标准版:
http://down.xxjp.org/Software/catalog73/8128.html
14.
傲盾防火墙
强大的傲盾防火墙
网络安全一直是每一位电脑用户都不可回避问题,然而这又不是任何一位普通的计算机用户就能轻松解决的问题。本文就为大家介绍一款个人防火墙软件——“KFW傲盾防火墙”它能在网络设备和系统之间筑起一道防护堡垒。
主要功能:
1、实时数据包地址 、类型过滤
2、功能强大的包内容过滤
3、包内容的截获
4、先进的应用程序跟踪
5、灵活的防火墙规则设置
6、实用的应用程序规则设置
7、详细的全安纪录
8、专业级别的包内容记录
9、完善的报警系统
10、IP地址翻译
11、简捷方便漂亮的操作界面
12、强大的端口分析功能
13、强大在线模块升级功能
下载KFW傲盾防火墙 企业网站防护版 2.0.2.005
:
http://www.safe123.com/soft/kfw.rar
15.
冰盾防火墙
全球第一款具备IDS入侵检测功能的专业级抗DDOS防火墙,来自IT技术世界一流的美国硅谷,由华人留学生Mr.Bingle Wang和Mr.Buick Zhang设计开发,采用国际领先的生物基因鉴别技术智能识别各种DDOS攻击和黑客入侵行为,防火墙采用微内核技术实现,工作在系统的最底层,充分发挥CPU的效能,仅耗费少许内存即获得惊人的处理效能。经高强度攻防试验测试表明:在抗DDOS攻击方面,工作于100M网卡冰盾约可抵御每秒25万个SYN包攻击,工作于1000M网卡冰盾约可抵御160万个SYN攻击包;在防黑客入侵方面,冰盾可智能识别Port扫描、Unicode恶意编码、SQL注入攻击、Trojan木马上传、Exploit漏洞利用等2000多种黑客入侵行为并自动阻止。冰盾防火墙的主要防护功能如下: ★ 阻止DOS攻击:TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、BigPing、OOB等数百种。 ★ 抵御DDOS攻击:SYN/ACK Flood、UDPFlood、ICMP Flood、TCP Flood等所有流行的DDOS攻击。 ★ 拒绝TCP全连接攻击:自动阻断某一IP对服务器特定端口的大量TCP全连接资源耗尽攻击。 ★ 防止脚本攻击:专业防范ASP、PHP、PERL、JSP等脚本程序的洪水式Flood调用导致数据库和WEB崩溃的拒绝服务攻击。 ★ 对付DDOS工具:XDOS、HGOD、SYNKILLER、CC、GZDOS、PKDOS、JDOS、KKDOS、SUPERDDOS、FATBOY、SYNKFW等数十种。 ★ 超强Web过滤:过滤URL关键字、Unicode恶意编码、脚本木马、防止木马上传等。 ★ 侦测黑客入侵:智能检测Port扫描、SQL注入、密码猜测、Exploit利用等2000多种黑客入侵行为并阻断。
下载冰盾防火墙标准版 v5.2:
http://down.xxjp.org/Software/catalog9/2208.html
16.
天盾防火墙
一款专业的网络防火墙,价格低廉.既使您不付费就可以永久使用.防木马,防黑客,是您网络安全的指南针.
主要功能:
1.网络状态:查看当前网络数据流量及状态.
2.应用程序:管理当前计算机上需要访问网络的程序,防止木马及间谍.
3.网络规则:管控网络其他计算机对您的访问权限,防止黑客及病毒攻击.
4.功能选项:设置保护级别.
5.我要购买:了解注册有关的事项
下载天盾防火墙 2005 Build 0504:
http://down.xxjp.org/Software/catalog19/8021.html
17.
趋势PC-cillin
PC-cillin 能立即侦测并清除所有已知和未知的电脑病毒,除了传统的开机型、档案型及巨集型病毒外,亦可主动侦测、清除基于 Internet 全面入侵的 Java、ActiveX 等恶性程序,可全面防堵电子邮件病毒入侵,为你过滤不良网站。PC-cillin 98/2000 拥有增强的病毒扫描引擎,还有最佳的程序相容性及稳定性,占用极少系统资源,更简易的使用接口设计,让你轻轻松松就做好电脑的防毒工作。
下载Pc-Cillin 2005网络安全版L:
http://down.xxjp.org/Software/catalog21/5240.html
18.
安铁诺
下载安铁诺:
http://down.xxjp.org/Software/catalog2¼;;578.html
19.
诺顿个人防火墙 2005
下载诺顿个人防火墙 2005 破解版:
http://down.xxjp.org/Software/catalog19/7957.html
20.
F-Secure欧洲最好的防火墙,在2003年底,F-SECURE被评为2003 TOP TEN排名第一。该防火墙的特点是利用系统资源少,对系统操作没有任何影响.在欧洲多数的学校和公司都采用F-SECURE的防火墙。
下载F-Secure.rar:
ftp://white&black:[email protected]/系统安全/碧海蓝天防火墙系列/F-Secure.rar
C. 凶相毕露,打一什么生肖
是生肖蛇。凶相毕露,汉语成语,拼音 是xiōng xiàng bì lù,意思是指原来伪装和善,遇事就露出了本相。出自柯岩《追赶太阳的人》。
D. 路由器上注册和光信号一直红灯闪没网怎么办啊
原因
1、看下插在光猫上的光纤接口是否松动了,如果已经松动,重新插好。
2、重启光猫,切断光猫的电源,等待几分钟,然后接通电源。
3、光猫光接口有问题,需要更换光猫。
4、你的宽带欠费。现在宽带基本都是后付费模式,因为你欠费的时间太长,运营商直接关掉了你的宽带,这种情况下需要你去缴清欠费才能恢复。
安全防护措施
路由器对于网络来说,它是一种过渡性的工具,它对网络的使用也有着非常重要的作用。路由器的漏洞主要分为密码破解漏洞、Web漏洞、后门漏洞和溢出漏洞,但是大部分的路由器漏洞都是与路由器质量的好坏有重要的关系的。
每个路由器都至少有两个端口和两个网络相连接,质量好的路由器会使用严格的安全机制来对自己进行保护,同时也会对连接的电脑网络进行一定的保护,避免密码出现被破解或者留有太过明显的后门。
除此之外,网络管理者和路由器的安装也应该对设备进行一定的安全保护,从根源上对危险进行隔绝。对于BGP漏洞来说,最有效的解决方法就会在ISP级别解决问题,在网络层面来说就是对入站数据包的路由进行监控,并搜索其中的任何异常情况进行解决。
E. 电脑屏幕一直闪烁怎么回事
1、因接触不良问题导致的电脑屏幕闪烁解决办法;
2、先看看主机和显示器的电源线有没有接稳,如果比较松就会出现这种闪屏;
3、因信号干扰问题导致的电脑屏幕闪烁解决办法;
4、连接显示器的电缆线是否没有屏蔽线圈,如果没有防干扰的那个黑色凸起物,也会对屏幕有干扰QQexternal.exe是什么进程。还要检查附近是否有干扰,如大功率音响、电源变压器。显示器很容易受到强电场或强磁场的干扰;
5、某些时候屏幕抖动是由显示器附近的磁场或电场引起的。为了将显示器周围的一切干扰排除干净,可将计算机搬到一张四周都空荡荡的桌子上,然后进行开机测试,如果屏幕抖动的现象消失,那么说明你电脑原来的地方有强电场或强磁场干扰;
6、请将可疑的东西(如音箱的低音炮、磁化杯子等)从电脑附近拿开。然后把显示器关掉再重开几次,以达到消磁的目的(现在的显示器在打开时均具有自动消磁功能);
7、因屏幕的刷新率问题导致的电脑屏幕闪烁解决办法;
8、桌面单击右键->属性->设置->高级->监视器->屏幕刷新频率,CRT调整到75Hz或以上(笔记本电脑液晶屏幕LCD调到60Hz即可);
9、其实显示器屏幕抖动最主要的原因就是显示器的刷新频率设置低于75Hz造成的,此时屏幕常会出现抖动、闪烁的现象,我们只需把刷新率调高到75Hz以上,那么电脑屏幕抖动的现象就不会再出现了;
10、因显卡驱动程序不正确导致的电脑屏幕闪烁解决办法;
11、检查你的显卡是否松动,试试把电脑的显卡驱动卸载,安装稳定版本的驱动。有时我们进入电脑的显示器刷新频率时,却发现没有刷新频率可供选择,这就是由于前显卡的驱动程序不正确或太旧造成的;
12、购买时间较早的电脑容易出现这个问题,此时不要再使用购买电脑时所配光盘中的驱动,可到网上下载对应显示卡的最新版驱动程序,然后打开“系统”的属性窗口,单击“硬件”窗口中的“设备管理器”按钮,进入系统的设备列表界面;
13、用鼠标右键单击该界面中的显示卡选项,从弹出的右键菜单中单击“属性”命令,然后在弹出的显卡属性设置窗口中,单击“驱动程序”标签,再在对应标签页面中单击“更新驱动程序”按钮,以后根据向导提示逐步将显卡驱动程序更新到最新版本;
14、最后将计算机系统重新启动了一下,如果驱动安装合适,就会出现显示器刷新频率选择项了,再将刷新率设置成75Hz以上即可解决电脑屏幕闪烁;
15、因恢复BIOS为出厂设置导致的电脑屏幕闪烁解决办法;
16、插拔一下内存和显卡,重新安装完全版本的操作系统;
17、因劣质电源或电源设备已经老化导致的电脑屏幕闪烁解决办法;
18、许多杂牌电脑电源所使用的元件做工、用料均很差,易造成电脑的电路不畅或供电能力跟不上,当系统繁忙时,显示器尤其会出现电脑屏幕抖动的现象。此时必须更换电源;
19、因显示器、显卡等硬件问题导致的电脑屏幕闪烁解决办法;
20、有时由于使用的显示器年岁已高,也会出现抖动现象。为了检验显示器内部的电子元件是否老化,可将故障的显示器连接到别人的计算机上进行测试,如果故障仍然消失,说明显示器已坏,需要修理;
21、因病毒作怪导致的电脑屏幕闪烁解决办法;
22、有些计算机病毒会扰乱屏幕显示,比如:字符倒置、屏幕抖动、图形翻转显示等。
这主要是:“内存有错误”或“系统文件丢失”引起
解决方法:
1。试试开机,出完电脑品牌后,按F8,回车,回车,进安全模式里,高级启动选项,最后一次正确配置,回车,回车,按下去试试!【关键一步】
2。再不行,进安全模式,回车,到桌面后,杀毒软件,全盘杀毒!“隔离区”的东西,彻底删除!
3。再使用:360安全卫士,“木马查杀”里的:“360系统急救箱”,系统修复,全选,立即修复!【关键一步】网络修复,开始修复!再点:开始急救!重启后,点开“文件恢复区”,全选,彻底删除文件!360安全卫士,扫描插件,立即清理!360安全卫士,系统修复,一键修复!
4。检查是否有同类功能的,多余类似软件,如:多款播放器,多款杀毒软件等,卸载多余的,只留一款,因为同类软件,互不兼容!【关键一步】5。再不行,下载“驱动人生”,升级:显卡驱动!【关键一步】6。再开机,如果还是不行,需要“一键还原”或“重装系统”了!7。硬件有问题,送修!
F. 网络安全手抄报五年级
走路要专心,不能东张西望,看书看报或因想事、聊天而忘记观察路面情况。那样很可能被路面上的石块、木棍伴倒,摔伤或撞倒树上、电线杆上,甚至可能发生车祸。路边停有车辆的时候,要注意避开,免得汽车突然启动或打开车门碰伤。不能在马路上踢球、溜旱冰、跳皮筋、做游戏或追逐打闹,更不要扒车、追车、站在路中间强行拦车或者抛物击车。雾天、雨天走路更要小心,最好穿上颜色鲜艳(最好是黄色)的衣服、雨衣,打鲜艳的伞。晚上上街,要选择有路灯的地段,特别注意来往车辆和路面情况,以防发生意外事故或不慎掉入修路挖的坑里及各种无盖的井里。
穿越公路时,要听从交通民警的指挥,要遵守交通规则,做到“红灯停,绿灯行”及“一慢、二看、三通过”
G. 为什么这样做不对啊
步骤1
将水发鱼翅去沙,剔整排在竹箅上,放进沸水锅中加葱段30克、姜片15克 、绍酒100克煮10分钟,支其腥味取出,拣去葱、姜,汁不用,将箅拿出放进碗里,鱼翅上摆放猪肥膘肉,加绍酒50克,上笼屉用旺火蒸2小时取出,拣去肥膘肉,滗去蒸汁。
步骤2
鱼唇切成长2厘米、宽4.5厘米的块,放进沸水锅中,加葱段30克、绍酒100克、姜片15克煮10分钟去腥捞出,拣去葱、姜。
步骤3
金钱鲍放进笼屉,用旺火蒸烂取出,洗净后每个片成两片,剞上十字花刀,盛 入小盆,加骨汤250克、绍酒15克,放进笼屉旺火蒸30分钟取出,滗去蒸汁。鸽蛋煮熟,去壳。
步骤4
鸡、鸭分别剁去头、颈、脚。猪蹄尖剔壳,拔净毛,洗净。羊肘刮洗干净。以上四料各切12块,与净鸭肫一并下沸水锅氽一下,去掉血水捞起。猪肚里外翻洗干净,用沸水氽两次,去掉浊味后,切成12块,下锅中,加同有汤250克烧沸,加绍酒85克氽一下捞起,汤汁不用。
步骤5
将水发刺参洗净,每只切为两片。水发猪蹄筋洗净,切成2寸长的段。净火腿腱肉加清水150克,上笼屉用旺火蒸30分钟取出,滗去蒸汁,切成厚约1厘米的片。冬笋放沸水锅中氽熟捞出,每条直切成四块,用力轻轻拍扁。锅置旺 火上,熟猪油放锅中烧至七成热时,将鸽蛋、冬笋块下锅炸约2分钟捞起。随后,将鱼高鱼肚下锅,炸至手可折断时,倒进漏勺沥去油,然后放入清水中浸透取出,切成长4.5厘米、宽2.5厘米的块。
步骤6
锅中留余油50克,用旺火烧至七成热时,将葱段35克、姜片45克下锅炒出香味 后,放入鸡、鸭、羊肘、猪蹄尖、鸭肫、猪肚块炒几下,加入酱油75克、味精10克、冰糖75克、绍酒2150克、骨汤500克、桂皮,加盖煮20分钟后,拣去葱、姜、桂皮,起锅捞出各料盛于盆,汤汁待用。
步骤7
取一个福建老酒坛洗净,加入清水500克,放在微火上烧热,倒净坛中水,坛底放 一个小竹箅,先将煮过的鸡、鸭、羊、肘、猪蹄尖、鸭肫、猪肚块及花冬菇、冬笋块放入,再把鱼翅、火腿片、干贝、鲍鱼片用纱布包成长方形,摆在鸡、鸭等料上,然后倒入煮鸡、鸭等料的汤汁,用荷叶在坛口上封盖着,并倒扣压上一只小碗。装好后,将酒坛置于木炭炉上,用小火煨2小时后启盖,速将刺参、蹄筋、鱼唇、鱼高肚放入坛内,即刻封好坛口,再煨一小时取出,上菜时,将坛口菜胡倒在大盆内,纱布包打开,鸽蛋放在最上面。同时,跟上蓑衣萝卜一碟、火腿拌豆芽一碟、冬菇炒豆苗一碟、油辣芥一碟以及银丝卷、芝麻烧饼佐食。
H. 家里的无线网络能连上去但是不能上网
您好,wifi信号不论是否有网络手机等设备均可以进行连接的,用户连接wifi后无法使用网络首先要确认您的宽带线路是否通畅,可以查看下宽带猫的指示灯是否有los红灯闪烁,如果有就是宽带故障所以路由器的wifi不能使用网络,此时用户致电运营商客服进行报障处理即可,报障后会有工作人员上门排障的。
如果宽带猫正常可以联网那么就是路由器的问题,可以检查网线是否连接正确。如果宽带猫和路由器之间的网线是正常的,那么用户可以将路由器恢复出厂值,然后重新设置下路由器参数看是否可以恢复正常,路由器设置方法如下:
1、首先路由器和宽带猫电脑连接,如图:
6、无线设置完毕后,点击保存,然后重新启动路由器即可正常使用了。
I. 防火墙的设计与规划
1 引言
网络安全是一个不容忽视的问题,当人们在享受网络带来的方便与快捷的同时,也要时时面对网络开放带来的数据安全方面的新挑战和新危险。为了保障网络安全,当园区网与外部网连接时,可以在中间加入一个或多个中介系统,防止非法入侵者通过网络进行攻击,非法访问,并提供数据可靠性、完整性以及保密性等方面的安全和审查控制,这些中间系统就是防火墙(Firewall)技术。它通过监测、限制、修改跨越防火墙的数据流,尽可能地对外屏蔽网络内部的结构、信息和运行情况、阻止外部网络中非法用户的攻击、访问以及阻挡病毒的入侵,以此来实现内部网络的安全运行。
2 防火墙的概述及其分类
网络安全的重要性越来越引起网民们的注意,大大小小的单位纷纷为自己的内部网络“筑墙”、防病毒与防黑客成为确保单位信息系统安全的基本手段。防火墙是目前最重要的一种网络防护设备,是处于不同网络(如可信任的局域内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口,能根据企业的安全策略控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
2.1 概述
在逻辑上,防火墙其实是一个分析器,是一个分离器,同时也是一个限制器,它有效地监控了内部网间或Internet之间的任何活动,保证了局域网内部的安全。
1)什么是防火墙
古时候,人们常在寓所之间砌起一道砖墙,一旦火灾发生,它能够防止火势蔓延到别的寓所。现在,如果一个网络接到了Internet上面,它的用户就可以访问外部世界并与之通信。但同时,外部世界也同样可以访问该网络并与之交互。为安全起见,可以在该网络和Internet之间插入一个中介系统,竖起一道安全屏障。这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵,提供扼守本网络的安全和审计的关卡,它的作用与古时候的防火砖墙有类似之处,因此就把这个屏障叫做“防火墙”。
防火墙可以是硬件型的,所有数据都首先通过硬件芯片监测;也可以是软件型的,软件在计算机上运行并监控。其实硬件型也就是芯片里固化了UNIX系统软件,只是它不占用计算机CPU的处理时间,但价格非常高,对于个人用户来说软件型更加方便实在。
2)防火墙的功能
防火墙只是一个保护装置,它是一个或一组网络设备装置。它的目的就是保护内部网络的访问安全。它的主要任务是允许特别的连接通过,也可以阻止其它不允许的连接。其主体功能可以归纳为如下几点:
·根据应用程序访问规则可对应用程序联网动作进行过滤;
·对应用程序访问规则具有学习功能;
·可实时监控,监视网络活动;
·具有日志,以记录网络访问动作的详细信息;
·被拦阻时能通过声音或闪烁图标给用户报警提示。
3)防火墙的使用
由于防火墙的目的是保护一个网络不受来自另一个网络的攻击。因此,防火墙通常使用在一个被认为是安全和可信的园区网与一个被认为是不安全与不可信的网络之间,阻止别人通过不安全与不可信的网络对本网络的攻击,破坏网络安全,限制非法用户访问本网络,最大限度地减少损失。
2.2 防火墙的分类
市场上的硬件防火墙产品非常之多,分类的标准比较杂,从技术上通常将其分为“包过滤型”、“代理型”和“监测型”等类型。
1)包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP(传输控制协议/用户数据报协议)源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。
2)代理型
代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。
3)监测型
监测型防火墙是新一代的产品,这一技术实际上已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种监测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品。
3 防火墙的作用、特点及优缺点
防火墙通常使用在一个可信任的内部网络和不可信任的外部网络之间,阻断来自外部通过网络对局域网的威胁和入侵,确保局域网的安全。与其它网络产品相比,有着其自身的专用特色,但其本身也有着某些不可避免的局限。下面对其在网络系统中的作用、应用特点和其优缺点进行简单的阐述。
3.1 防火墙的作用
防火墙可以监控进出网络的通信量,仅让安全、核准了的信息进入,同时又抵制对园区网构成威胁的数据。随着安全性问题上的失误和缺陷越来越普遍,对网络的入侵不仅来自高超的攻击手段,也有可能来自配置上的低级错误或不合适的口令选择。因此,防火墙的作用是防止不希望的、未授权的通信进出被保护的网络,迫使单位强化自己的安全策略。一般的防火墙都可以达到如下目的:一是可以限制他人进入内部网络,过滤掉不安全服务和非法用户;二是防止入侵者接近防御设施;三是限定用户访问特殊站点;四是为监视Internet安全提供方便。
3.2 防火墙的特点
我们在使用防火墙的同时,对性能、技术指标和用户需求进行分析。包过滤防火墙技术的特点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。包过滤技术是一种基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒;代理型防火墙的特点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。当然代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性;虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。
防火墙一般具有如下显着特点:
·广泛的服务支持 通过动态的、应用层的过滤能力和认证相结合,可以实现WWW浏览器、HTTP服务器、FTP等;
·对私有数据的加密支持 保证通过Internet进行虚拟私人网络和商业活动不受损坏;
·客户端只允许用户访问指定的网络或选择服务 企业本地网、园区网与分支机构、商业伙伴和移动用户等安全通信的信息;
·反欺骗 欺骗是从外部获取网络访问权的常用手段,它使数据包类似于来自网络内部。防火墙能监视这样的数据包并能丢弃;
·C/S模式和跨平台支持 能使运行在一个平台的管理模块控制运行在另一个平台的监视模块。
3.3 防火墙的优势和存在的不足
防火墙在确保网络的安全运行上发挥着重要的作用。但任何事物都不是完美无缺的,对待任何事物必须一分为二,防火墙也不例外。在充分利用防火墙优点为我们服务的同时,也不得不面对其自身弱点给我们带来的不便。
1) 防火墙的优势
(1)防火墙能够强化安全策略。因为网络上每天都有上百万人在收集信息、交换信息,不可避免地会出现个别品德不良或违反规则的人。防火墙就是为了防止不良现象发生的“交通警察”,它执行站点的安全策略,仅仅允许“认可的”和符合规则的请求通过。
(2)防火墙能有效地记录网络上的活动。因为所有进出信息都必须通过防火墙,所以防火墙非常适合用于收集关于系统和网络使用和误用的信息。作为访问的唯一点,防火墙能在被保护的网络和外部网络之间进行记录。
(3)防火墙限制暴露用户点。防火墙能够用来隔开网络中的两个网段,这样就能够防止影响一个网段的信息通过整个网络进行传播。
(4)防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。
2) 防火墙存在的不足
(1)不能防范恶意的知情者。防火墙可以禁止系统用户经过网络连接发送专有的信息,但用户可以将数据复制到磁盘、磁带上,放在公文包中带出去。如果入侵者已经在防火墙内部,防火墙是无能为力的。内部用户可以偷窃数据,破坏硬件和软件,并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁,只能要求加强内部管理。
(2)不能防范不通过它的连接。防火墙能够有效地防止通过它传输的信息,然而它却不能防止不通过它而传输的信息。例如,如果站点允许对防火墙后面的内部系统进行拨号访问,那么防火墙绝对没有办法阻止入侵者进行拨号入侵。
(3)不能防备全部的威胁。防火墙被用来防备已知的威胁,如果是一个很好的防火墙设计方案,就可以防备新的威胁,但没有一台防火墙能自动防御所有新的威胁。
4 防火墙的管理与维护
如果已经设计好了一个防火墙,使它满足了你的机构的需要,接下来的工作就是防火墙的管理与维护了。在防火墙设计建造完成以后,使它正常运转还要做大量的工作。值得注意的是,这里许多维护工作是自动进行的。管理与维护工作主要有4个方面,它们分别是:建立防火墙的安全策略、日常管理、监控系统、保持最新状态。
4.1 建立防火墙的安全策略
要不要制定安全上的策略规定是一个有争议的问题。有些人认为制定一套安全策略是相当必须的,因为它可以说是一个组织的安全策略轮廓,尤其在网络上以及网络系统管理员对于安全上的顾虑并没有明确的策略时。
安全策略也可以称为访问上的控制策略。它包含了访问上的控制以及组织内其他资源使用的种种规定。访问控制包含了哪些资源可以被访问,如读取、删除、下载等行为的规范,以及哪些人拥有这些权力等信息。
1) 网络服务访问策略
网络服务访问策略是一种高层次的、具体到事件的策略,主要用于定义在网络中允许的或禁止的网络服务,还包括对拨号访问以及PPP(点对点协议)连接的限制。这是因为对一种网络服务的限制可能会促使用户使用其他的方法,所以其他的途径也应受到保护。比如,如果一个防火墙阻止用户使用Telnet服务访问因特网,一些人可能会使用拨号连接来获得这些服务,这样就可能会使网络受到攻击。网络服务访问策略不但应该是一个站点安全策略的延伸,而且对于机构内部资源的保护也起全局的作用。这种策略可能包括许多事情,从文件切碎条例到病毒扫描程序,从远程访问到移动介质的管理。
2) 防火墙的设计策略
防火墙的设计策略是具体地针对防火墙,负责制定相应的规章制度来实施网络服务访问策略。在制定这种策略之前,必须了解这种防火墙的性能以及缺陷、TCP/IP自身所具有的易攻击性和危险。防火墙一般执行一下两种基本策略中的一种:
① 除非明确不允许,否则允许某种服务;
② 除非明确允许,否则将禁止某项服务。
执行第一种策略的防火墙在默认情况下允许所有的服务,除非管理员对某种服务明确表示禁止。执行第二种策略的防火墙在默认情况下禁止所有的服务,除非管理员对某种服务明确表示允许。防火墙可以实施一种宽松的策略(第一种),也可以实施一种限制性策略(第二种),这就是制定防火墙策略的入手点。
3) 安全策略设计时需要考虑的问题
为了确定防火墙安全设计策略,进而构建实现预期安全策略的防火墙,应从最安全的防火墙设计策略开始,即除非明确允许,否则禁止某种服务。策略应该解决以下问题:
·需要什么服务,如Telnet、WWW或NFS等;
·在那里使用这些服务,如本地、穿越因特网、从家里或远方的办公机构等;
·是否应当支持拨号入网和加密等服务;
·提供这些服务的风险是什么;
·若提供这种保护,可能会导致网络使用上的不方便等负面影响,这些影响会有多大;
·与可用性相比,站点的安全性放在什么位置。
4.2 日常管理
日常管理是经常性的琐碎工作,以使防火墙保持清洁和安全。为此,需要经常去完成的主要工作:数据备份、账号管理、磁盘空间管理等。
1) 数据备份
一定要备份防火墙的数据。使用一种定期的、自动的备份系统为一般用途的机器做备份。当这个系统正常做完备份之后,最好还能发送出一封确定信,而当它发现错误的时候,也最好能产生一个明显不同的信息。
为什么只是在错误发生的时候送出一封信就好了呢?如果这个系统只在有错误的时候产生一封信,或许就有可能不会注意到这个系统根本就没有运作。那为什么需要明显不同的信息呢?如果备份系统正常和执行失败时产生的信息很类似。那么习惯于忽略成功信息的人,也有可能会忽略失败信息。理想的情况是有一个程序检查备份有没有执行,并在备份没有执行的时候产生一个信息。
2) 账号管理
账号的管理。包括增加新账号、删除旧账号及检查密码期限等,是最常被忽略的日常管理工作。在防火墙上,正确的增加新账号、迅速地删除旧账号以及适时地变更密码,绝对是一项非常重要的工作。
建立一个增加账号的程序,尽量使用一个程序增加账号。即使防火墙系统上没有多少用户,但每一个用户都可能是一个危险。一般人都有一个毛病,就是漏掉一些步骤,或在过程中暂停几天。如果这个空档正好碰到某个账号没有密码,入侵者就很容易进来了。
账号建立程序中一定要标明账号日期,以及每隔一阶段就自动检查账号。虽然不需要自动关闭账号,但是需要自动通知那些账号超过期限的人。可能的话,设置一个自动系统监控这些账号。这可以在UNIX系统上产生账号文件,然后传送到其他的机器上,或者是在各台机器上产生账号,自动把这些账号文件拷贝到UNIX上,再检查它们。
如果系统支持密码期限的功能,应该把该功能打开。选择稍微长一点的期限,譬如说三到六个月。如果密码有效期太短,例如一个月,用户可能会想尽办法躲避期限,也就无法在安全防护上得到真正的收益。同理如果密码期限功能不能保证用户在账号被停用前看到密码到期通知,就不要开启这个功能。否则,用户会很不方便,而且也会冒着锁住急需使用机器的系统管理者的风险。
3) 磁盘空间管理
数据总是会塞满所有可用的空间,即使在几乎没有什么用户的机器上也一样。人们总是向文件系统的各个角落丢东西,把各种数据转存到文件系统的临时地址中。这样引起的问题可能常常会超出人们的想象。暂且不说可能需要使用那些磁盘空间,只是这种碎片就容易造成混乱,使事件的处理更复杂。于是有人可能会问:那是上次安装新版程序留下来的程序吗?是入侵者放进来的程序吗?那真的是一个普通的数据文件吗?是一些对入侵者有特殊意义的东西?等等,不幸的是能自动找出这种“垃圾”的方法没有,尤其是可以在磁盘上到处写东西的系统管理者。因此,最好有一个人定期检查磁盘,如果让每一个新任的系统管理者都去遍历磁盘会特别有效。他们将会发现管理员忽视的东西。
在大多数防火墙中,主要的磁盘空间问题会被日志记录下来。这些记录应该自动进行,自动重新开始,这些数据最好把它压缩起来。Trimlon程序能够使这个处理程序自动化。当系统管理者要截断或搬移记录时,一定要停止程序或让它们暂停记录,如果在截断或搬移记录时,还有程序在尝试写入记录文件,显然就会有问题。事实上,即使只是有程序开启了文件准备稍后写入,也可能会惹上麻烦。
4.3 监视系统
对防火墙的维护、监视系统是维护防火墙的重点,它可以告诉系统管理者以下的问题:
·防火墙已岌岌可危了吗?
·防火墙能提供用户需求的服务吗?
·防火墙还在正常运作吗?
·尝试攻击防火墙的是哪些类型的攻击?
要回答这几个问题,首先应该知道什么是防火墙的正常工作状态。
1) 专用设备的监视
虽然大部分的监视工作都是利用防火墙上现成的工具或记录数据,但是也可能会觉得如果有一些专用的监视设备会很方便。例如,可能需要在周围网络上放一个监视站,以便确定通过的都是预料中的数据包。可以使用有网络窥视软件包的一般计算机,也可以使用特殊用途的网络检测器。
如何确定这一台监视机器不会被入侵者利用呢?事实上,最好根本不要让入侵者知道它的存在。在某些网络硬件设备上,只要利用一些技术和一对断线器(wire cutter)取消网络接口的传输功能,就可以使这台机器无法被检测到,也很难被入侵者利用。如果有操作系统的原始程序,也可以从那里取消传输功能,随时停止传输。但是,在这种情况下很难确认操作是否已经做成功了。
2) 应该监视的内容
理想的情况是,应该知道通过防火墙的一切事情,包括每一条连接,以及每一个丢弃或接受的数据包。然而实际的情况是很难做到的,而折衷的办法是,在不至于影响主机速度也不会太快填满磁盘的情况下,尽量多做记录,然后再为所产生的记录整理出摘要。
在特殊情况下,要记录好以下内容:一是所有抛弃的包和被拒绝的连接;二是每一个成功的连接通过堡垒主机的时间、协议和用户名;三是所有从路由器中发现的错误、堡垒主机和一些代理程序。
3) 监视工作中的一些经验
应该把可疑的事件划分为几类:一是知道事件发生的原因,而且这不是一个安全方面的问题;二是不知道是什么原因,也许永远不知道是什么原因引起的,但是无论它是什么,它从未再出现过;三是有人试图侵入,但问题并不严重,只是试探一下;四是有人事实上已经侵入。
这些类别之间的界限比较含糊。要提供以上任何问题的详细征兆是不可能的,但是下面这些归纳出的经验可能会对网络系统管理员有所帮助。如果发现以下情况,网络系统管理员就有理由怀疑有人在探试站点:一是试图访问在不安全的端口上提供的服务(如企图与端口映射或者调试服务器连接);二是试图利用普通账户登录(如guest);三是请求FTP文件传输或传输NFS(Network File System,网络文件系统)映射;四是给站点的SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)服务器发送debug命令。
如果网络系统管理员见到以下任何情况,应该更加关注。因为侵袭可能正在进行之中:一是多次企图登录但多次失败的合法账户,特别是因特网上的通用账户;二是目的不明的数据包命令;三是向某个范围内每个端口广播的数据包;四是不明站点的成功登录。
如果网络系统管理员了发现以下情况,应该怀疑已有人成功地侵入站点:一是日志文件被删除或者修改;二是程序突然忽略所期望的正常信息;三是新的日志文件包含有不能解释的密码信息或数据包痕迹;四是特权用户的意外登录(例如root用户),或者突然成为特权用户的意外用户;五是来自本机的明显的试探或者侵袭,名字与系统程序相近的应用程序;六是登录提示信息发生了改变。
4) 对试探作出的处理
通常情况下,不可避免地发觉外界对防火墙进行明显试探——有人向没有向Internet提供的服务发送数据包,企图用不存在的账户进行登录等。试探通常进行一两次,如果他们没有得到令人感兴趣的反应,他们通常就会走开。而如果想弄明白试探来自何方,这可能就要花大量时间追寻类似的事件。然而,在大多数情况下,这样做不会有很大成效,这种追寻试探的新奇感很快就会消失。
一些人满足于建立防火墙机器去诱惑人们进行一般的试探。例如,在匿名的FTP区域设置装有用户账号数据的文件,即使试探者破译了密码,看到的也只是一个虚假信息。这对于消磨空闲时间是没有害处的,这还能得到报复的快感,但是事实上它不会改善防火墙的安全性。它只能使入侵者恼怒,从而坚定了入侵者闯入站点的决心。
4.4 保持最新状态
保持防火墙的最新状态也是维护和管理防火墙的一个重点。在这个侵袭与反侵袭的领域中,每天都产生新的事物、发现新的毛病,以新的方式进行侵袭,同时现有的工具也会不断地被更新。因此,要使防火墙能同该领域的发展保持同步。
当防火墙需要修补、升级一些东西,或增加新功能时,就必须投入较多的时间。当然所花的时间长短视修补、升级、或增加新功能的复杂程度而定。如果开始时对站点需求估计的越准确,防火墙的设计和建造做的越好,防火墙适应这些改变所花的时间就越少。
5 结束语
随着Internet在我国的迅速发展,网络安全的问题越来越得到重视,防火墙技术也引起了各方面的广泛关注。我们国家除了自行展开了对防火墙的一些研究,还对国外的信息安全和防火墙的发展进行了密切的关注,以便能更快掌握这方面的信息,更早的应用到我们的网络上面。当然,金无足赤,人无完人,我们从防火墙维护和管理的研究上得知,防火墙能保护网络的安全,但并不是绝对安全的,而是相对的。
参考文献
[1] 虞益诚.网络技术及应用.东南大学出版社,2005.2
[2] 王 睿,林海波.网络安全与防火墙技术.清华大学出版社,2005.7
[3] 黄志晖.计算机网络设备全攻略.西安电子科技大学出版社
[4] 石良武.计算机网络与应用.清华大学出版社,2005.2