防火墙

一般而言，系统的告警信息是有必要记录的，但对于流量信息是应该有选择的。有时候为了检查某个问题我们可以新建一条与该问题匹配的策略并对其进行观测。比如：内网发现蠕虫病毒，该病毒可能会针对主机系统某UDP端口进行攻击，网管员虽然已经将该病毒清除，但为了监控有没有其他的主机受感染，我们可以为该端口增加一条策略并进行日志来检测网内

　按下回车键后将会加载Linux的内核。注意在这个地方还可以使用另外的两个参数“nousb”和“nopcmcia”，这两个选项参数实质上就是屏蔽主板上的USB接口和PCMCIA接口功能。一般情况下一台普通的路由器是根本就不需要这两种接口的。

状态监视器作为防火墙技术其安全特性最佳，它采用了一个在网关上执行网络安全策略的软件引擎，称之为检测模块。检测模块在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施监测，抽取部分数据，即状态信息，并动态地保存起来作为以后制定安全决策的参考。检测模块支持多种协议和应用程序，并可以很容易地实现应用和服务

应用扫描器基本上可以对你的服务器发动一系列模拟攻击，然后汇报结果。KaVaDo ScanDo、Sanctum AppScan Audit和SPI Dynamics在详细列出缺陷、建议补救方法方面的功能都相当全面。AppScan Audit尤其值得关注，因为这款产品具有事后检查功能，可以帮助编程人员在编制代码时就查出漏洞。不过，这些工具包没有一款比得上安全专业人士的全面审查

我在规则链的最顶端放置拦截规则。这样即使有对这种传输不起作用的规则也不会有什么问题了，在他们能处理之前，拦截规则过滤掉的传输会最先被丢弃。另外，拦截规则的优先级要足够高，这样它们就不会被其他能够识别传输并改道发送它们的规则所扰乱。例如，它拦截所有来自特定IP地址的传输，而比它高优先级的规则却以另一种理由接受同一个传输（比

某些情况譬如大量使用JavaScript或者应用故意偏离行为模型都会导致行为建模犯错，从而引发误报，拒绝合理用户访问应用。行为建模要发挥作用，就需要一定程度的人为干预，以提高安全模型的准确性。行为自动预测又叫规则自动生成或应用学习，严格说来不是流量检测技术，而是一种元检测（meta-inspection）技术，它能够分析流量、建立行为模型，并

行为建模有时称为积极的安全模型或“白名单”（white list）安全，它是唯一能够防御最棘手的应用漏洞——零时间漏洞的保护机制。零时间漏洞是指未写入文档或“还不知道”的攻击。对付这类攻击的唯一机制就是只允许已知是良好行为的行为，其它行为一律禁止。这项技术要求对应用行为进行建模，这反过来就要求全面分析提交至应用的每个请求的每次响

上面方法4已说明了IE一般是防火墙信任的应用程序，所以将后门插入到IE中运行已是一个好方法了，由于某些防火墙还会检查in bound连接(从外界连入系统的连接)，是会导致方法4失效的，因为防火墙是可能通知用户是否允许这个连接的，只要用户拒绝，那么方法4就失效了。但如果将后门插到IE中运行，并且让后门自动向外界一个指定的IP中连接(反向连接)

因为防火墙具有数据过滤功能，可以有效的过滤掉恶意代码，和阻止DDOS攻击等等。总之如今的防火墙功能强大，连漏洞扫描都有，所以你只要安装防火墙就可以杜绝大多数网络攻击，但是就算是装防火墙也不要以为就万事无忧。因为安全只是相对的，如果哪个邪派高手看上你的机器，防火墙也无济于事。我们只能尽量提高我们的安全系数，尽量把损失减少到最

安全策略文件以密文形式存放于硬盘中，用户不能直接对其阅读，也不可以对其进行随意更改。分布式防火墙启动时，安全策略文件经解密后加载到防火墙中。复杂的安全策略以Hash表的方法进行检索。使用Hash列表对安全策略文件进行检索能大大加快读取速度，安全策略可以动态更新，更新总在用户态进行，同时磁盘文件也被更新。用户可以在防火墙运行的过

实际上的“IP伪装”要比上述的还要复杂一些。基本上，“IP伪装”服务器架设在两个网络之间。如果你用模拟的拨号调制解调器来存取Internet上的资料，这便是其中一个网络；你的内部网络通常会对应到一张以太网卡，这就是第二个网络。若你使用的是DSL调制解调器或缆线调制解调器(Cable Modem)，那么系统中将会有第二张以太网卡，代替了模拟调制解调

虚拟主机服务商在运营过程中可能会受到黑客攻击，常见的攻击方式有SYN，DDOS等。通过更换IP，查找被攻击的站点可能避开攻击，但是中断服务的时间比较长。比较彻底的解决方法是添置硬件防火墙。不过，硬件防火墙价格比较昂贵。可以考虑利用Linux系统本身提供的防火墙功能来防御。

对于金融、证券、电子商务等涉及在线交易的行业，对数据传输的丢包率要求非常苛刻，即便系统结构内部存在纠错、校对机制，但大量的丢包率会导致频繁的roll-back动作，耽误重要交易的及时进行， 影响交易人对系统的信心以至于导致客户的流失。因此丢包率指标对于银行系统网络至关重要。

所有穿过防火墙的通讯都是连接的一个部分。一个连接包含一对相互“交谈”的IP地址以及一对与IP地址对应的端口。目标端口通常意味着正被连接的某种服务。当防火墙阻挡（block）某个连接时，它会将目标端口“记录在案”（logfile）。这节将描述这些端口的意义。

另一种威胁就是命令执行。只要Web应用把命令发送到外壳程序，狡猾的黑客就可以在服务器上随意执行命令。另一些攻击比较简单。譬如说，HTML注释里面往往含有敏感信息，包括不谨慎的编程人员留下的登录信息。于是，针对应用层的攻击手段，从篡改coOKIes到更改HTML表单里面的隐藏字段，完全取决于黑客的想象力。不过好消息是，大多数这类攻击是完全

具有应用层过滤功能的防火墙可以更有效地阻挡当前多数病毒和攻击程序，但新的安全威胁的不断出现又对防火墙提出了新的挑战。攻击的来源正在变得更加复杂，而攻击的手段也愈加高明，最近垃圾邮件与攻击代码的结合就是一个典型的例证。这一方面需要防火墙设备对于应用层的内容有更好的认知和智能判别的能力，另一方面也需要防火墙更多地与其他的安

我们的工作便是生成一个struct nf_hook_ops结构的实例，并用nf_register_hook将其HOOK上。其中list项我们总要初始化为{NULL,NULL}；由于一般在IP层工作，pf总是PF_INET；hooknum就是我们选择的HOOK点;一个HOOK点可能挂多个处理函数，谁先谁后，便要看优先级，即priority的指定了。Netfilter_IPv4.h中用一个枚举类型指定了内置的处理函数的优先级

出于实用目的，企业目前关心的是路由器与自身内部网络之间存在的静态传输流路由服务。因此，基于这一事实，在技术上还需要做出几项决策：传输流路由服务可以通过诸如路由器中的过滤规则在IP层实现，或通过代理网关和服务在应用层实现。 　　IT人员需要做出的决定是，是否将暴露的简易机放置在外部网络上为Telnet、FTP、News等运行代理服务，

出于实用目的，企业目前关心的是路由器与自身内部网络之间存在的静态传输流路由服务。因此，基于这一事实，在技术上还需要做出几项决策：传输流路由服务可以通过诸如路由器中的过滤规则在IP层实现，或通过代理网关和服务在应用层实现。 IT人员需要做出的决定是，是否将暴露的简易机放置在外部网络上为Telnet、Ftp、News等运行代理服务，或是

产品销售与购买属于商业行为，商业就不得不提防欺骗，在测试中则是要警惕作弊行为。假设极个别厂商制作了专门用来测试的高性能“竞争测试版”产品唬人，假设极个别厂商在设备内作一些手脚(如用网线直接连通)，那么整个测试结果就会对其他诚信的厂商很不公平。