防火墙

本文概述了 IBM® Rational® Software Modeler V7.0 的新特性，IBM Rational Software Modeler 是用来建模、构建软件解决方案与应用的首要工具。

模糊化地设置安全信息。重命名你的管理员和根权限帐户。不要以ExchangeAdmin来命名一个帐号。不要将你的文件服务器命名为如FS1，Exchange1或者GatewaySrv1登。在条件允许时将服务置于非默认端口：比如，你可以为内部用户和商业伙伴将SSH服务移到30456端口，RDP到30389，HTTP到30080等等。

系统中某些程序，99.9999%的用户都会允许的，象IE，如果有用户不允许IE连接网络的话，那是很稀见的。因为IE一般都是防火墙信任的应用程序，所以只要将后门程序插入到IE中运行，那么防火墙一般是不会拦的。只要防火墙允许IE连接网络，那么插入到IE中运行的后门就可以接受外界的连接了。这类后门一般是以Dl加载进去IE运行的，直接一个可执行程序将

防火墙不能有效地防范像病毒这类东西的入侵。在网络上传输二进制文件的编码方式太多了，并且有太多的不同的结构和病毒，因此不可能查找所有的病毒。换句话说，防火墙不可能将安全意识（security-consciosness）交给用户一方。 总之，防火墙不能防止数据驱动的攻击：即通过将某种东西邮寄或拷贝到内部主机中，然后它再在内部主机中运行的攻击

最简单的方案是显而易见的，通过统计IDS/IPS所能检测的利用漏洞攻击种数来进行比较。目前多数主流的IDS/IPS产品都提供了CVE名的支持，每个CVE名对应一个独立的安全漏洞，虽然CVE名字表不可能包含所有的已知安全漏洞，但至少包括了其中的大多数重要条目。因此通过统计产品相关的CVE条目数量可以大致了解IDS/IPS的漏洞攻击检测覆盖面。我们最原始

这种结构由路由器和Filter共同完成对外界计算机访问内部网络从IP地址或域名上的限制，也可以指定或限制内部网络访问Internet。路由器仅对筛虑主机的特定的PORT上数据通讯加以路由，而Filter主机则执行筛选、过滤、验证及其安全监控，这样可以很大程度隔断内外网络间的不正常的访问登陆。

某艺术公司五年前买服务器的时候，该服务器可以支持六个8G-byte RAID Array 5驱动器。为了要节省钱，公司坚持只买四个4G-byte驱动器。网络管理员说,不久他们会需要较多的空间，公司最终妥协了，多买了两个驱动器，如此了结了此事。在三年之后他们出现了严重的空间不足问题,他们甚至不得不删除只有50K byte的小文件。他们急需扩大容量，而当时8G-

布线的特点是一旦完成，就很难再修改，因此，用户在设计时就应该考虑到今后一段时间的需要。例如，除了在电脑桌和沙发旁设置信息点之外，是否需要在厨房布置信息点，以适应偶尔在厨房吃早饭时上网，或者日后智能冰箱的需要？在电视柜后面布置信息点也是一种非常有眼光的做法，从游戏机、机顶盒到电视机，过不了多久，我们就会看到配置RJ-45以太

物理定位是无线入侵检测系统的一个重要的部分。针对802.11 的攻击经常在接近下很快地执行，因此对攻击的回应就是必然的了,象一些入侵检测系统的一些行为封锁非法的IP。就需要部署找出入侵者的IP,而且,一定要及时。不同于传统的局域网，黑客可以攻击的远程网络,无线局域网的入侵者就在本地。通过无线入侵检测系统就可以估算出入侵者的物理地址。

上面说到的方法只是一些最基本的方法，并且rkhunter,chkrootkit这样的程序都是只能检测默认安装的rootkit，修改过的rootkit或者没公开的rootkit，它们是基本找不到的。怎么办？自动化查找不行了，就只有靠我们手动分析了，这个就是体现安全管理员水平高低的时候了。

在网关上面使用TCPDUMP程序截取每个ARP程序包，弄一个脚本分析软件分析这些ARP协议。ARP欺骗攻击的包一般有以下两个特点，满足之一就可以视为攻击包报警，第一是以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配。第二是ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内，或者与自己网络MAC数据库MAC/IP不匹配。我们也可以通

日前,经"远特通信"战略合作部证实，该公司已与阿里巴巴集团旗下子公司阿里软件达成战略合作伙伴关系，共同为阿里软件全线产品：外贸版、网店版、中小企业版、阿里旺旺的用户提供优质的电子传真服务功能。

延时是指从测试数据帧的最后一个比特进入被测设备端口开始至测试数据包的第一个比特从被测设备另一端口离开的时间间隔。

防火墙管理员看到这种情况的原因是Internet上发生路由循环。路由器Flapping(持续变换路由器)是一个常见的问题，常会导致循环。这意味着当一个IP包朝目的地前进时，这个包被一个路由器错误引导至一个它曾经通过的路由器。如果路由器在包经过的时候把TTL域减一，这个包只好循环运动。实际上当TTL值为0时它被丢弃。

防火墙管理员看到这种情况的原因是Internet上发生路由循环。路由器Flapping(持续变换路由器)是一个常见的问题，常会导致循环。这意味着当一个IP包朝目的地前进时，这个包被一个路由器错误引导至一个它曾经通过的路由器。如果路由器在包经过的时候把TTL域减一，这个包只好循环运动。实际上当TTL值为0时它被丢弃。

在网络安全日益警惕的今天，防火墙都会被安全软件认为是病毒，这可是一件新鲜事，这不近日对瑞星防火墙用户来说，就遇上此事。难到是误报惹得祸？还是系统感染病毒瑞星防火墙被线程注入？这让网民纷纷猜测不已。

经过正确配置的现代防火墙可以阻挡绝大多数已知的病毒邮件和攻击代码。虽然阻挡未知的病毒和攻击要困难得多，但是经过合理的策略设置通常是有效的。正确设置策略的基础是企业用户对于自身业务需求的正确理解，例如，多数企业的用户通常是没有必要通过邮件来传递可执行文件和Visual Basic脚本代码的。用户可以通过阻断含有这类可执行附件的邮件来

"ICMP"规则要填入类型和代码，如果输入255，表示任何类型和代码都符合本规则。"IGMP"中不用填写任何内容。 当一个数据包满足上面的条件时，你就可以对该包采取行动了："通行"指让该数据包　　畅通无阻的进入或出去；"拦截"指让该数据包无法进入或出去；"继续下一规则"指不对该数据包作任何处理，由该规则的下一条规则来确定对该包的处理。

<p>这是代理服务器的增强版本。就象一个代理服务器，一个起代理作用的程序被安装后，每个应用都将以被代理的方式通过防火墙。不管怎样，应用网关很实用并且检查每一个请求和应答，比如一个FTP会话可以单向传输数据但不能双向传输数据，并且下载后数据没有病毒，应答时没有缓冲区溢出发生等等。有人会说SQUID是一个应用网关，因为它做许多安全

WUI形式的防火墙也有缺点:首先，WEB界面非常不适合进行复杂、动态的页面显示，一般的WUI界面很难显示丰富的统计图表，所以对于审计、统计功能要求比较苛刻的用户，尽量不要选择WUI方式;另外，它将导致防火墙管理安全威胁增大，如果用户在家里通过浏览器管理位于公司的防火墙，信任关系仅仅依赖于一个简单的用户名和口令，黑客很容易猜测到口令，