当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 网络安全讲座之:防火墙技术(4)

安全基础
今晨百度不能访问 教你访问的两种方法
重装系统后小白软件管家批量安装常用软件
黑客通过劫持DNS黑大型网站越来越流行
缺少msvcirt.dll解决办法
360安全中心公布:2009年中国十大木马
smss.exe进程是病毒吗?smss.exe详细讲解
病毒提示:Google退出中国,请用百度进行搜索
systeminfo命令查看系统的所有信息
网上购买飞机票:手把手教你完美抢票
保证Windows系统安全的十项具体详细设置
网上银行丢账号密码就会丢钱?
修改BIOS让软路由在通电后自动开机
设置GMAIL始终使用https进行加密
用GHOST镜像系统安装到整个硬盘的恢复方法
巧妙设置提高移动存储设备数据传输速度
解析MSN传文件比QQ传文件慢的原因
升级防火墙的7类注意事项
如何管理好自己的MySpace账号
警惕:1G硬盘做成120G大硬盘的两种方法
锁定IE默认首页禁止病毒木马篡改

安全基础 中的 网络安全讲座之:防火墙技术(4)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 52 ::
收藏到网摘: n/a

防火墙默认的配置

  默认情况下,防火墙可以配置成以下两种情况:

  ·拒绝所有的流量,这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。

  ·允许所有的流量,这种情况需要你特殊指定要拒绝的流量的类型。

  可论证地,大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后,你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说,如果你想让你的员工们能够发送和接收Email,你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。

  防火墙的一些高级特性

  今天多数的防火墙系统组合包过滤,电路级网关和应用级网关的功能。它们检查单独的数据包或整个信息包,然后利用事先订制的规则来强制安全策略。只有那些可接受的数据包才能进出整个网络。当你实施一个防火墙策略时,这三种防火墙类型可能都需要。更高级的防火墙提供额外的功能可以增强你的网络的安全性。尽管不是必需,每个防火墙都应该实施日志记录,哪怕是一些最基本的。

  认 证

  防火墙是一个合理的放置提供认证方法来避开特定的IP包。你可以要求一个防火墙令牌(firewall token),或反向查询一个IP地址。反向查询可以检查用户是否真正地来自它所报告的源位置。这种技术有效地反击IP欺骗的攻击。防火墙还允许终端用户认证。应用级网关或代理服务器可以工作在TCP/IP四层的每一层上。多数的代理服务器提供完整的用户帐号数据库。结合使用这些用户帐号数据库和代理服务器自定义的选项来进行认证。代理服务器还可以利用这些帐号数据库来提供更详细的日志。

  日志和警报

  包过滤或筛选路由器一般在默认情况下为了不降低性能是不进行日志记录的。永远不要认为你的防火墙会自动地对所有活动创建日志。筛选路由器只能记录一些最基本的信息,而电路级网关也只能记录相同的信息但除此之外还包括任何NAT解释信息。因为你要在防火墙上创建一个阻塞点,潜在的黑客必须要先穿过它。如果你放置全面记录日志的设备并在防火墙本身实现这种技术,那么你有可能捕获到所有用户的活动包括那些黑客。你可以确切地知道黑客在做些什么并得到这些活动信息代审计。一些防火墙允许你预先配置对不期望的活动做何响应。防火墙两种最普通的活动是中断TCP/IP连接或自动发出警告。相关的警报机制包括可见的和可听到的警告。