應(yīng)用層的防火墻怎么設(shè)計(jì)?
應(yīng)用層防火墻是在 TCP/IP 堆棧的“應(yīng)用層”上運(yùn)作,您使用瀏覽器時(shí)所產(chǎn)生的數(shù)據(jù)流或是使用 FTP 時(shí)的數(shù)據(jù)流都是屬于這一層。應(yīng)用層防火墻可以攔截進(jìn)出某應(yīng)用程序的所有封包,并且封鎖其他的封包(通常是直接將封包丟棄)。理論上,這一類的防火墻可以完全阻絕外部的數(shù)據(jù)流進(jìn)到受保護(hù)的機(jī)器里。
最初的網(wǎng)絡(luò)安全不過是使用支持訪問列表的路由器來擔(dān)任。對簡單的網(wǎng)絡(luò)而言,僅使用訪問控制列表和一些基本的過濾功能來管理一個(gè)網(wǎng)絡(luò)對于未授權(quán)的用戶而言已經(jīng)足夠。因?yàn)槁酚善魑挥诿總€(gè)網(wǎng)絡(luò)的中心,而且這些設(shè)備還被用于轉(zhuǎn)發(fā)與廣域網(wǎng)的通信。
但路由器僅能工作在網(wǎng)絡(luò)層,其過濾方式多少年來并沒有根本性的變化。制造路由器的公司也為增強(qiáng)安全性在這一層上也是下足了工夫。更明確地講,所有的安全措施只不過存在于路由器所在的網(wǎng)絡(luò)層而已。
第三代防火墻稱為應(yīng)用層防火墻或代理服務(wù)器防火墻,這種防火墻在兩種方向上都有“代理服務(wù)器”的能力,這樣它就可以保護(hù)主體和客體,防止其直接聯(lián)系。代理服務(wù)器可以在其中進(jìn)行協(xié)調(diào),這樣它就可以過濾和管理訪問,也可以管理主體和客體發(fā)出和接收的內(nèi)容。這種方法可以通過以各種方式集成到現(xiàn)有目錄而實(shí)現(xiàn),如用戶和用戶組訪問的LDAP。
應(yīng)用層防火墻還能夠仿效暴露在互聯(lián)網(wǎng)上的服務(wù)器,因此正在訪問的用戶就可以擁有一種更加快速而安全的連接體驗(yàn)。事實(shí)上,在用戶訪問公開的服務(wù)器時(shí),他所訪問的其實(shí)是第七層防火墻所開放的端口,其請求得以解析,并通過防火墻的規(guī)則庫進(jìn)行處理。一旦此請求通過了規(guī)則庫的檢查并與不同的規(guī)則相匹配,就會被傳遞給服務(wù)器。這種連接在是超高速緩存中完成的,因此可以極大地改善性能和連接的安全性。
而在OSI模型中,第五層是會話層,第七層是應(yīng)用層。應(yīng)用層之上的層為第八層,它在典型情況下就是保存用戶和策略的層次。
假設(shè)你是一名網(wǎng)絡(luò)管理員,公司的網(wǎng)絡(luò)安全體系如何搭建?
主要就是建立防火墻,建立內(nèi)部網(wǎng)絡(luò),設(shè)置訪問權(quán)限,這些都可以找網(wǎng)絡(luò)供應(yīng)商給你規(guī)劃,你只要清楚你們想做成什么效果就好了
如何建立一臺linux防火墻?
iptables是必須的.或者研究下BSD系統(tǒng)的pf,那個(gè)更專業(yè),很多硬件防火墻的OS是基于bsd系統(tǒng)定制的
企業(yè)防火墻建設(shè)指的是什么
這個(gè) 可以泛指,但是 估計(jì)說的應(yīng)該是 網(wǎng)絡(luò)安全方面的 ,搭建企業(yè)網(wǎng)絡(luò)防火墻,保護(hù)企業(yè)內(nèi)網(wǎng)安全
公司要自己建設(shè)服務(wù)器,具體得軟硬件防火墻及安全問題怎么解決
軟件防火墻的話推薦使用微軟的產(chǎn)品,ISA2004的標(biāo)準(zhǔn)版.畢竟是微軟自己的產(chǎn)品,與win2003搭配,效率,穩(wěn)定性都很高.硬件的話就要看你們的預(yù)算咯,幾萬到幾十萬的都有…..如果預(yù)算不是很充裕,推薦用ISA,直接放棄硬件.
組裝文件服務(wù)器及硬件防火墻
HP ProLiant 180G6
可以滿足你的需要
兩顆英特爾? 至強(qiáng)? 處理器 E5520(2.26 GHz,8MB 三級緩存,80W,DDR3-1066,HT,Turbo 1/1/2/2);Intel 5520芯片組;8GB(4x2GB)PC3-10600E(UDIMM),12個(gè)內(nèi)存插槽,最多支持96GB;HP Smart Array P410 /256MB 控制器(RAID 0/1/1+0/5/5+0),8塊熱插拔 1TB SATA 硬盤,可升級到14塊LFF熱插拔硬盤或25塊 SFF熱插拔硬盤;3 個(gè)可用 PCI-Express 插槽(1個(gè)x16 半長/半高;2* x8 全高/全長);集成NC362i 雙端口千兆網(wǎng)絡(luò)適配器;2個(gè)460W 通用熱插拔電源,可選1+1 冗余;4個(gè)非熱插拔風(fēng)扇;機(jī)架式(2U),免工具固定導(dǎo)軌;1 根6“IEC-IEC(PDU)電源線
這個(gè)的價(jià)格大概是4W4K多,主要是硬盤貴了(可以自己買WD或希捷的企業(yè)級硬盤+HP的熱插拔托架,可以降低不少成本。但硬盤保修HP就不管了)
硬墻現(xiàn)在有很多,不知道你們的公司的接入帶寬和詳細(xì)的需求,只能推薦幾款常見主流的型號給你參考
Juniper netscreen SSG140 1W8K左右
Cisco ASA 5510 1W6K左右
H3C F100-A 2W2K左右
ZyWALL USG 300 1W5K左右
XP系統(tǒng)如何利用注冊表搭建防火墻?
windows的組策略其實(shí)是一個(gè)很好的“防火墻”,只要你能設(shè)置好。
一,木馬病毒假冒進(jìn)程防護(hù)。
Svchost本身只是作為服務(wù)宿主,并不實(shí)現(xiàn)任何服務(wù)功能,需要Svchost啟動的服務(wù)以動態(tài)鏈接庫形式實(shí)現(xiàn),在安裝這些服務(wù)時(shí),把服務(wù)的可執(zhí)行程序指向svchost,啟動這些服務(wù)時(shí)由svchost調(diào)用相應(yīng)服務(wù)的動態(tài)鏈接庫來啟動服務(wù)。因此Svchost.exe進(jìn)程是必不可少的。通常windowsxp系統(tǒng)有多個(gè)Svchost.exe進(jìn)程,因此偽裝假冒也就很難發(fā)現(xiàn)。
我們可以新建兩條策略來防范。首先打開“運(yùn)行”命令,輸入“gpedit.msc”命令打開組策略,展開“計(jì)算機(jī)配置”下的“Windows設(shè)置”,打開其中的“安全設(shè)置”中的“軟件限制策略”的設(shè)置。(“計(jì)算機(jī)配置”和“用戶配置”其實(shí)差不多,只不過在“計(jì)算機(jī)配置”中設(shè)置的應(yīng)用與電腦中的所有用戶,而在“用戶配置”中設(shè)置只應(yīng)用與當(dāng)前用戶。)(提示:如果從前設(shè)置過組策略,則鼠標(biāo)右擊“軟件限制策略”選擇創(chuàng)建新的策略。)
我們在“其他規(guī)則”中設(shè)置策略。鼠標(biāo)點(diǎn)擊“其他規(guī)則”在右側(cè)空白出右擊選擇新建“新路徑規(guī)則”,在彈出的窗口中的路徑中,點(diǎn)擊瀏覽選擇系統(tǒng)中的Svchost.exe文件(如系統(tǒng)盤是C盤,則路徑為:C:\windows\system32\Svchost.exe);“安全級別”為“不受限的”。再新建一個(gè)策略,在路徑中輸入“Svchost.exe”,而“安全級別”為“不允許的”。(這里有一個(gè)優(yōu)先級問題,按微軟的規(guī)定:絕對路徑>使用通配符的路徑>文件名)
二,阻止可疑程序。
我們知道系統(tǒng)的回收站文件夾(Recycled)、系統(tǒng)還原文件夾(SystemVolumeInformation)、System文件夾、Drivers文件夾等在正常情況下是沒有可執(zhí)行程序文件的。所以可以新建一些規(guī)則。
同樣在“其他規(guī)則”中新建。新建四個(gè)規(guī)則,路徑為:“?:\Recycled\*.exe”、“?:\SystemVolumeInformation\*.exe”、“%windir%\system\*.exe”、“%windir%\System32\Drivers\*.exe”。“安全級別”全為“不允許的”。
三,禁止自動運(yùn)行。
其實(shí)也可以用組策略禁止自動運(yùn)行,在路徑中輸入“?:*.exe”然后設(shè)置為“不允許的”即可。
也可以設(shè)置規(guī)則來防范AutoRun病毒,在路徑中輸入“?:\AutiRun.inf”,“安全級別”設(shè)置為“不允許的”。
若不放心,還可以在新建一個(gè)路徑規(guī)則,在路徑中輸入“?:\*.com”,同樣設(shè)置為“不允許的”。
希望對你們有用!
怎樣可以建立防火墻呀!
買張【瑞星殺毒軟件2006】單機(jī)版光盤(時(shí)價(jià)約100-120員),裝上,就殺毒軟件和防火墻都有了。裝完就升級到最新(病毒庫)版本。2007版出來后會自動升級到2007版,從安裝時(shí)起管一年。明年到期前再買張升級版(今年的升級版是50元)又可以管一年了。新手別用網(wǎng)上下載的殺毒和防火墻軟件。一則注冊、升級麻煩,二則現(xiàn)在反盜版的風(fēng)頭上,下載的軟件序列號經(jīng)常被封殺,殺軟和防火墻時(shí)時(shí)出現(xiàn)關(guān)閉或過期的現(xiàn)象,你很難處理,不用它們,要不了3天,病毒就會把你電腦弄死(即使用了,也要特別小心病毒!別亂進(jìn)網(wǎng)站、亂開網(wǎng)頁和鏈接啊!現(xiàn)在的病毒可厲害啦)。自己不會弄系統(tǒng),找人弄,熟人幫一兩次忙可以,多了會特?zé)┠悖皇欤悄憔蜏?zhǔn)備掏錢吧。還有,正版瑞星在電腦中毒時(shí)可以在網(wǎng)上找瑞星公司,告訴他們情況,24小時(shí)會有答復(fù),幫你解決問題。這是新手的最大好辦法,買的就是服務(wù)。
網(wǎng)站服務(wù)器防火墻應(yīng)該如何設(shè)置設(shè)置
一般的話要開通在防火墻上開通兩個(gè)端口一個(gè)80給網(wǎng)站用一個(gè)你遠(yuǎn)程的端口 方便遠(yuǎn)程操作.如果是服務(wù)器的網(wǎng)站和數(shù)據(jù)庫不在一起還需要開通數(shù)據(jù)端口
如何配置windows server 2008防火墻
1打開控制面板,點(diǎn)擊windows 防火墻
防火墻的主頁面里列出防火寺的基本狀態(tài)。點(diǎn)擊“啟用或關(guān)閉windows防火墻”可以配置防火墻選項(xiàng)
2在常規(guī)菜單里可以開戶或關(guān)閉windows防火墻。啟用防火墻下有個(gè)“阻止所有傳入連接”設(shè)置如果打上勾,是在你使用的網(wǎng)絡(luò)不確定安全時(shí)啟用,例如,以前一直是在局域網(wǎng)里運(yùn)行的,現(xiàn)在有需要連接到互聯(lián)網(wǎng),而且要訪問一些未確定安全的網(wǎng)絡(luò),此時(shí)建議把這個(gè)選項(xiàng)選上,其它時(shí)間不建議選擇,因?yàn)橐坏┻@個(gè)選項(xiàng)打上,則很多需要上傳到服務(wù)器的信息都會給屏蔽,這會造成某些應(yīng)用無法使用
3接著配置例外選項(xiàng),所謂例外指的是防火墻對這些例外的應(yīng)用程序使用的端口或者自行添加的端口不進(jìn)行阻止,直接放行,適合于已知安全的應(yīng)用,如殺軟,公司應(yīng)用以及windows相關(guān)組件的設(shè)置。
4點(diǎn)擊“添加程序”,系統(tǒng)列出已安裝的應(yīng)用程序,選擇需要添加成例外的應(yīng)用程序,點(diǎn)擊確認(rèn)即可添加成windows防火墻例外程序。“更改范圍”選項(xiàng)里可以設(shè)置更具體的選項(xiàng),如對某些計(jì)算機(jī),某個(gè)網(wǎng)段進(jìn)行放行,其它規(guī)則外阻止。這一點(diǎn)是不是很強(qiáng)大,如果一套公司應(yīng)用程序只適合內(nèi)網(wǎng)同事來登陸,那么把它設(shè)置成只適合內(nèi)網(wǎng)的話,則系統(tǒng)能夠?qū)ν饩W(wǎng)的訪問進(jìn)行攔截。
點(diǎn)擊例外菜單下“添加端口”可添加自己所需要放行的端口,如tomcat運(yùn)行時(shí)默認(rèn)8080端口,可以填入tomcat及端口號8080,那么系統(tǒng)將對8080端口進(jìn)行放行
5點(diǎn)擊高級菜單,這里可以配置防火墻保護(hù)哪些網(wǎng)卡通訊的數(shù)據(jù)。有些內(nèi)網(wǎng),比如服務(wù)器與服務(wù)器連接的網(wǎng)卡,基本上是安全的,打開的話可能會影響他們之間的信息交互,此時(shí)需要把勾去掉。