【导语】以下是小编收集整理的选择商业化防火墙需要参考的性能指标(共6篇),欢迎阅读与借鉴。
篇1:选择商业化防火墙需要参考的性能指标
1、吞吐量测试
这项测试用来确定防火墙在接收和发送数据包而没有丢失情况下的最大数据传输速率,是测试防火墙在正常工作时的数据传输处理能力,是其它指标的基础,它反映的是防火墙的数据包转发能力。因为数据流中一帧的丢失会导致由于高层协议等待超时而产生重大延迟,所以知道防火墙实际的最大数据传输速率是非常有用的。同时该项指标还能用于判断防火墙设备在超过自身负载的情况下稳定性问题。
更高的吞吐量使得防火墙更能适用于网络核心层对流量要求很高的网络环境,使防火墙不会成为网络的性能瓶颈,不会影响正常的业务通讯。
2、延迟测试
延时是指从测试数据帧的最后一个比特进入被测设备端口开始至测试数据包的第一个比特从被测设备另一端口离开的时间间隔。
延迟指标对于一些对实时敏感的应用,如网络电话、视频会议、数据库复制等应用影响很大,因此好的延时指标对于评价防火墙的性能表现非常重要,
所有帧长的延迟测试在50%和100%吞吐率下进行,横向比较的是存储转发的延迟结果。单机转发延迟(一条规则,2个GE口,双向2Gbps流量,分别在50%和100%吞吐率下测试)。
3、丢包率测试
丢包率测试用来确定防火墙在不同传输速率下丢失数据包的百分数,目的在于测试防火墙在超负载情况下的性能。
对于金融、证券、电子商务等涉及在线交易的行业,对数据传输的丢包率要求非常苛刻,即便系统结构内部存在纠错、校对机制,但大量的丢包率会导致频繁的roll-back动作,耽误重要交易的及时进行, 影响交易人对系统的信心以至于导致客户的流失。因此丢包率指标对于银行系统网络至关重要。
对于64~1518 byte的帧长,分别采用40%、70%、100%线速进行测试。单机丢包率(一条规则,2个GE口,双向2Gbps流量,分别在40%,70%和100%线速下的丢包率)。
4、并发连接测试
本项测试用于测试防火墙能建立的TCP并发连接数的最大值。
篇2:如何选择服务器软件防火墙
首先要说明的是,服务器一般会有两种使用方式,一种是托管的服务器,或者是在IDC租用的服务器,此时需要的是单机防火墙;另外一种是公司学校的局域网服务器,这种一般是作为网络出口的桥头堡,保护整个局域网的安全,这时要使用专门的网关防火墙。
另外,不同的操作系统使用的防火墙肯定也是相去甚远的,目前主流的操作系统当然就是WINDOWS和Linux,下面我们按照两类操作系统对几款比较值得推荐的防火墙软件进行介绍:
服务器单机防火墙
目前流行的WINDOWS单机防火墙有很多,如sygate personal firewall pro、blackice server edition、zone alarm、norton personal firewall、Panda Platinum Internet Security、NetPatrol、Tiny Firewall Pro、Agnitum Outpost Firewall Pro、McAfee Personal Firewall、kerio server firewall、kerio personal firewall等等。
sygate personal firewall pro、netpatrol和Tiny Firewall Pro由于功能过于强大,在使用的时候必须先在服务器上进行合理的预配置,否则用户可能会无法通过网络来访问你的服务器;Panda Platinum Internet Security、McAfee Personal Firewall和norton personal firewall中,norton是最差劲的,不过它们都属于比较庞大的防火墙,耗费的系统资源较大,不推荐;kerio personal firewall、zone alarm和Agnitum Outpost Firewall Pro都更适合个人使用,做服务器防火墙不好;
kerio server firewall是基于B/S来控制的,这点或许有它的好处,但是使用起来感觉不如其他的方便。剩下就是blackice server edition了,它算设计比较优秀的防火墙软件,不过有个不足就是应用层过滤都相对比较简单,和一般的包过滤没有多少区别(其他的防火墙功能都差不多,都不够强大,除了sygate personal firewall pro、netpatrol和Tiny Firewall Pro)。
国内也有一些开发商推出了专门的服务器防火墙软件,虽然不少是由家庭版、个人版升级改装而来,例如大名鼎鼎的天网实验室开发的天网防火墙服务器版,不过由于其个人版使用的过滤监控机制本身就比较优秀而且易使用,所以适当改装之后也还是很适合服务器单机应用,最主要的当然还是这些软件采用中文界面,对一些英文不是很强的管理人员来说使用起来还是更亲切一些。
WINDOWS系统:BlackICE Server Protection
从使用者的角度出发,下面几款单机版防火墙比较适合于拥有IDC服务器的用户。
BlackICE Server Protection
功能简介:
BlackICE Server Protection 是 ISS 安全公司出品的一款著名的入侵检测系统,拥有强大的检测,分析以及防护功能,而且很容易使用,可以侦察出谁在扫你的端口,在它们进攻我们的电脑之前拦截,保护我们的电脑不受欺害,可以收集入欺者的IP地址、计算机名-网络系统地址、硬件地址-MAC地址,有日志供我们查看!作为服务器网络防火墙来说,绝对是你的首选!
BlackICE 软件曾经获得PC Magazine 的技术卓越大奖,专家对它的评语是:“对于没有防火墙的家庭用户来说,BlackICE是一道不可缺少的防线;而对于企业网络,它又增加了一层保护措施--它并不是要取代防火墙,而是阻止企图穿过防火墙的入侵者,
BlackICE集成有非常强大的检测和分析引擎,可以识别200 多种入侵技巧,给你全面的网络检测以及系统防护,它还能即时监测网络端口和协议,拦截所有可疑的网络入侵,无论 如何费尽心机也无法危害到你的系统。
而且它还可以将查明那些试图入侵的 的NetBIOS(WINS)名、DNS名或是他目前所使用的IP地址记录下来,以便你采取进一步行动。封言用过后感觉,该软件的灵敏度和准确率非常高,稳定性也相当出色,系统资源占用率极少,是每一位上网朋友的最佳选择。
新增功能:
1. 在设置中增加了应用程序与通信控制的功能条
2. 可控制应用程序是否在电脑上执行
3. 可控制哪些应用程序能与Internet通讯
4. 扫描你的系统,检测所有的系统设置改变
5. 可在事件列表中记录新软件与新通讯事件的发生情况
6. 可以有效预防DDos攻击, 和服务器的首选软件防火墙
WINDOWS系统:Cyberwall PLUS-SV
功能简介:
Cyberwall PLUS是美国网屹公司(网屹公司的产品主要定位于企业网内部网络的安全防范)开发的一套先进的包过滤防火墙产品系列。它具有分布式、主机驻留的体系机构,代表着新一代防火墙的技术潮流。它可以在网络边界、网络内部、服务器和客户端等任何网络结合处设置屏障,同时监测多种网络通信协议,并可实现集中管理,从而形成了一个多层次、多措施、内外统一防范的立体安全体系。
CyberwallPlus系列防火墙包括CyberwallPlus主机防火墙、CyberwallPlus-AP保护内部网络防火墙、CyberwallPlus-IP包过滤防火墙三种产品,其中CyberwallPlus又包含CyberwallPlus-WS工作站防火墙和CyberwallPlus-SV服务器防火墙两个类别。Cyberwall PLUS-SV是世界上用于Windows NT/服务器最优秀的防火墙,对于在“electronically open”组织中管理Windows NT/2000服务器的管理员来说是必不可少的工具,帮助用户的信息服务器和应用服务器抵御网络的攻击和入侵。
网屹的CyberwallPLUS-SV主机入侵防护系统从两方面来防止攻击。它应用特定规则增强服务器的安全,进行全面的集中管理。双向的过滤对服务器提供了双重保护,使它不能成为特洛伊木马和其它隐藏代码攻击的发射台。该产品也是一种包过滤防火墙,提供了灵活、细致的网络访问控制,管理员可以精确地定义哪些网络协议和地址被允许进入系统。这些控制将系统从未授权访问和入侵企图中保护和隐藏起来,还可以阻止未授权的从系统出去的流量。
一旦包通过防火墙,它将通过状态检测引擎的严格检查。CyberwallPLUS查看网络层、传输层和应用层协议,结合这三层协议的规范来校验包的结构。CyberwallPLUS使用包过滤引擎实现状态包检测,而不是利用入侵检测来实现,它在每一个通讯会话的处理中动态的打开或关闭端口。这就避免了为某些协议如MS-RPC需要开放大量的端口的情况,可以实现更为严格的安全。
功能列表:
CyberwallPLUS具有Windows NT欠缺的安全保障,向系统管理员提供了保障系统安全必不可少的网络访问控制和入侵防护功能。
CyberwallPLUS引入了一系列独立的Windows NT 欠缺的网络安全功能,包括:网络访问控制、状态包检测、基于时间的入侵检测和防护、基于时间的安全策略、入侵报警、流量审核日志、实时流量监测、违反策略的事件日志、集中式的管理、KFW傲盾防火墙服务器版。
篇3:防火墙安全选择策略
在6月份的时候有这样一则新闻:美国科学家表示,许多网站目前都面临一种新形式网络攻击——“HTTP请求走私”的威胁,这种攻击将有害的数据包隐藏在看似合法的数据包中,通过HTTP请求破坏网站。
专家发现,“HTTP请求走私”最简单的一种攻击形式是添加多余的“内容长度的头信息标签”。通常,当浏览器发出网页请求时,它会发送包含详细请 求内容的数据包。一般情况下,数据包中只包含一个“内容长度的头信息标签”,以保证需要处理的数据大小。而在“HTTP请求走私”中,可能会出现两个以上 “内容长度的头信息标签”。科学家发现,不同的网站在遭到这种攻击时会作出不同的反应,很可能会造成处理错误。另外,“HTTP请求走私”能够突破安全过 滤器,可以将新网站非法上载到网站缓冲区中。
专家认为,黑客可能很快就会利用“HTTP请求走私”,对网站进行大规模攻击。最好的防范措施,就是严格遵循超文本数据传输协议的各项要求。同时,专家也认为,之所以出现“HTTP请求走私”,说明超文本传输协议存在漏洞,应对其进行修改。
这条新闻所提到的攻击只是网站所面对的众多攻击中的比较新的一个。随着互联网的飞速发展,Web应用也日益增多。今天,商业交易的各个部分都正在 向Web上转移,但每增加一个新的基于Web的应用系统,都会导致之前处于保护状态下的后端系统直接连接到互联网上,最后的结果就是将公司的关键数据置于 外界攻击之下。
据Gartner调查显示,现在有75%的攻击都是针对Web应用层发起的。尤其是金融服务业成为了众矢之的,而攻击者的主要目的就是直接获取个人数据。
据美国计算机安全协会(CSI)/美国联邦调查局(FBI)的研究表明,在接受调查的公司中,有52%的公司的系统遭受过外部攻击(包 括系统入侵、滥用Web应用系统、网页置换、盗取私人信息及拒绝服务等等),这些攻击给269家受访公司带来的经济损失超过1.41亿美元,但事实上他们 中有98%的公司都装有防火墙。
为什么防火墙没有防住攻击?因为他们安装的是网络防火墙,而真正能防御这些攻击的是应用防火墙。早在,IDC就曾在报告中认为,“网络防火墙对应用层的安全已起不到什么作用了,因为为了确保通信,网络防火墙内的端口都必须处于开放状态。”
从概念走向实用
应用防火墙其实是个安全“老兵”了。在十几年前,就已经出现了应用防火墙的概念。但是为什么迟迟没有产品出现呢?华城技术有限公司负责人杨磊说: “因为系统的硬件平台跟不上。以前,网络层数据的转发处理就占用了CPU大量的资源,CPU根本无法再做应用层的处理;而可以进行高速网络数据处理的 ASIC技术又处理不了应用层数据的复杂性,所以应用防火墙没有诞生的条件。”随着NP(网络处理器)性能的迅速提升,特别是基于通用CPU的多核NP 体系(例如Broadcom的双核NP 1250,将2个64位MIPS芯片集成在一块处理器芯片里面,而且后续推出了集成4个CPU的处理器;而 Cavium公司也推出了集成16个MIPS CPU和硬件加速处理单元的网络服务处理器OCTEON)产生之后,利用多CPU的并行处理能力和软件的灵 活性,应用防火墙可以实现对复杂应用的安全处理,并且能够达到千兆线速的性能。
在20,应用防火墙终于冲破概念的围城,真正实现了产品化。国外有Teros、Sanctum、Netcontinuum和Kavado等 厂商推出了Web应用防火墙,目前在国内记者看到的产品仅仅有华城技术(secnumen)的AppRock和F5网络公司的 TrafficShield.
现在我们所说的应用防火墙,一般是指Web应用防火墙和数据库防火墙(也叫SQL防火墙),而现在我们所能见到的产品基本都是Web应用防火墙。
应用前面的铜墙铁壁
安装了网络防火墙和IDS,就能抵挡应用层攻击吗?不能。因为在保护应用方面,网络防火墙和IDS各有不足。
网络防火墙有洞
网络防火墙技术的发展已经非常成熟,也是目前网络安全技术中最实用和作用最大的技术。但是,作为目前应用最为广泛的HTTP服务器等应用服务器, 通常是部署在防火墙的DMZ区域,防火墙完全向外部网络开放HTTP应用端口,这种方式对于HTTP应用没有任何的保护作用。即使使用HTTP代理型的防 火墙,防火墙也只是验证HTTP协议本身的合法性,完全不能理解HTTP协议所承载的数据,也无从判断对HTTP服务器的访问行为是否合法。攻击者知道正 面攻破网络防火墙十分困难,于是从简单的端口扫描攻击转向通过应用层协议进入企业内部,目前,利用网上随处可见的攻击软件,攻击者不需要对网络协议有深厚 的理解,即可完成诸如更换Web网站主页、盗取管理员密码、破坏整个网站数据等攻击。而这些攻击过程中产生的网络层数据,和正常数据没有什么区别。一个最 简单的例子就是在请求中包含SQL注入代码,或者提交可以完成获取其他用户认证信息的跨站脚本,这些数据不管是在传统防火墙所处理的网络层和传输层,还是 在代理型防火墙所处理的协议会话层,都会认为是合法的。
明白了防火墙的工作原理,我们就知道,对于应用层攻击,网络防火墙是无能为力的。
入侵检测有限
目前最成熟的入侵检测技术就是攻击特征检测。入侵检测系统首先建立一个包含目前大多已知攻击特征的数据库,然后检测网络数据中的每一个报文,判断是否含有数据库中的任何一个攻击特征,如果有,则认为发生相应的攻击,否则认为是合法的数据。
入侵检测系统作为防火墙的有力补充,加强了网络的安全防御能力。但是,入侵检测技术的作用存在一定的局限性。由于需要预先构造攻击特征库来匹配网 络数据,对于未知攻击和不能有效提取攻击特征的攻击,入侵检测系统不能检测和防御。另外就是其技术实现的矛盾,如果需要防御更多的攻击,那么就需要很多的 规则,但是随着规则的增多,系统出现的虚假报告(对于入侵防御系统来说,会产生中断正常连接的问题)率就会上升,同时,系统的效率会降低。
对于应用攻击,入侵检测系统可以有效的防御部分攻击,但不是全部。
应用防火墙有效
网络面临的许多安全问题单靠网络防火墙是无法解决的,必须通过一种全新设计的高性能安全代理专用设备来配合网络防火墙。具体来说,利用网络防火墙 阻挡外面的端口扫描攻击,利用应用安全防护技术,深层管理和控制由用户访问外部资源而引起的应用层攻击,解决针对应用的、具有破坏性的复杂攻击。
应用防火墙真正实现了对网络应用的保护,是传统安全技术的有效补充。应用防火墙可以阻止针对Web应用的攻击,而不仅仅是验证HTTP协议。这些 攻击包括利用特殊字符或通配符修改数据的数据攻击、设法得到命令串或逻辑语句的逻辑内容攻击,以及以账户、文件或主机为主要目标的目标攻击。年所 出现的Web应用10大漏洞,应用防火墙均可以防御,未知攻击也无法越过应用防火墙。
业界标准的应用防火墙一般采用主动安全技术实现对应用的保护。主动安全技术是指建立正面规则集,也就是说明哪些行为和访问是合法的规则描述。对于 接收到的应用数据(从网络协议还原出来的应用数据,不是数据报文头),判断是否符合合法规则。因为只允许通过已知的正常数据,这种方式可以防御所有的未知 攻击。
应用防火墙技术是现有网络安全架构的一个重要补充,而不是取代传统防火墙和入侵检测等安全设备。传统安全设备阻挡攻击者从正面入侵,着重进行网络层的攻击防护;而应用防火墙着重进行应用层的内容检查和安全防御,与传统安全设备共同构成全面、有效的安全防护体系。
篇4:菜鸟须知:我们因为什么需要防火墙
很多网络初级用户认为,只要装了杀毒软件,系统就绝对安全了,这种想法是万万要不得的!在现今的网络安全环境下,木马、病毒肆虐, 攻击频繁,而各种流氓软软件、间谍软件也行风作浪,怎样才能让我们的系统立于如此险恶的网络环境呢?光靠杀毒软件足以保证我们的系统安全吗?下面我就从影响系统安全的几个方面来剖析防火墙的重要性。
现在的网络安全威胁主要来自病毒攻击、木马攻击、 攻击以及间谍软件攻击。杀毒软件发展了十几年,依然是停留在被动杀毒的层面(别看那些自我标榜主动防御,无非是一些骗人的幌子,看看这个文章就知道了column.chinabyte.com/88/088.shtml
现在病毒、木马的更新很快,从全球范围内来看,能造成较大损失的病毒木马,大部分都是新出现的,或者是各类变种,由于这些病毒木马的特征并没有被杀毒软件掌握,因此杀毒软件对它们是既不能报警,也无法剿杀。难道我们就任病毒木马宰割了吗?当然不!高手岂能向几个病毒木马低头!虽然杀毒软件只能干瞪眼,可是我们还有严守大门的防火墙呢!
防火墙为什么就能挡住病毒木马甚至是最新的病毒木马变种呢?这就要从防火墙的防御机制说起了。防火墙是根据连接网络的数据包来进行监控的,也就是说,防火墙就相当于一个严格的门卫,掌管系统的各扇门(端口),它负责对进出的人进行身份核实,每个人都需要得到最高长官的许可才可以出入,而这个最高长官,就是你自己了,
每当有不明的程序想要进入系统,或者连出网络,防火墙都会在第一时间拦截,并检查身份,如果是经过你许可放行的(比如在应用规则设置中你允许了某一个程序连接网络),则防火墙会放行该程序所发出的所有数据包,如果检测到这个程序并没有被许可放行,则自动报警,并发出提示是否允许这个程序放行,这时候就需要你这个“最高统帅”做出判断了。一般来说,自己没有运行或者不太了解的程序,我们一律阻拦,并通过搜索引擎或者防火墙的提示确认该软件的性质。
写到这里,大家估计对杀毒软件和防火墙的区别有一定了解了,举个直观的例子:你的系统就好比一座城堡,你是这个城堡的最高统帅,杀毒软件和防火墙是负责安全的警卫,各有分工。杀毒软件负责对进入城堡的人进行鉴别,如果发现可疑的人物就抓起来(当然,抓错的几率很大,不然就没有这么多误杀误报事件了);而防火墙则是门卫,对每一个进出城堡的人都进行检查,一旦发现没有出入证的人就向最高统帅确认。因此,任何木马或者间谍软件,或许可能在杀毒软件的眼皮底下偷偷记录你的帐号密码,可是由于防火墙把城门看得死死的,再多的信息也传不出去,从而保护了你的系统安全。
另外,对于 攻击,杀毒软件是没有任何办法的,因为 的操作不具有任何特征码,杀毒软件自然无法识别,而防火墙则可以把你系统的每个端口都隐藏起来,让 找不到入口,自然也就保证了系统的安全。
篇5:防火墙设计原则及重点方案选择
1.方案:硬件?还是软件?
现在防火墙的功能越来越多越花哨,如此多的功能必然要求系统有一个高效的处理能力,
防火墙从实现上可以分为软件防火墙和硬件防火墙。软件防火墙以checkpoint公司的Firewall-I为代表,其实现是通过 dev_add_pack的办法加载过滤函数(Linux,其他操作系统没有作分析,估计类似),通过在操作系统底层做工作来实现防火墙的各种功能和优化。国内也有一些所谓的软件防火墙,但据了解大多是所谓“个人”防火墙,而且功能及其有限,故不在此讨论范围。
在国内目前已通过公安部检验的防火墙中,硬件防火墙占绝大多数。硬件防火墙一种是从硬件到软件都单独设计,典型如Netscreen防火墙不但软件部分单独设计,硬件部分也采用专门的ASIC集成电路。
另外一种就是基于PC架构的使用经过定制的通用操作系统的所谓硬件防火墙。目前国内绝大
多数防火墙都属于这种类型。
虽然都号称硬件防火墙,国内厂家和国外厂家还是存在着巨大区别。硬件防火墙需要在硬件和软件两方面同时下功夫,国外厂家的通常做法是软件运算硬件化,其所设计或选用的运行平台本身的性能可能并不高,但它将主要的运算程序(查表运算是防火墙的主要工作)做成芯片,以减少主机CPU的运算压力。国内厂家的防火墙硬件平台基本上采用通用PC系统或工业PC架构(直接原因是可以节省硬件开发成本),在提高硬件性能方面所能做的工作仅仅是提升系统CPU的处理能力,增大内存容量而已。现在国内防火墙的一个典型结构就是:工业主板+x86+128(256)M内存+DOC/DOM+硬盘(或不要硬盘而另增加一个日志服务器)+百兆网卡这样一个工业PC结构。
在软件性能方面,国内外厂家的差别就更大了,国外(一些著名)厂家均是采用专用的操作系统,自行设计防火墙。而国内所有厂家操作系统系统都是基于通用的Linux,无一例外。各厂家的区别仅仅在于对Linux系统本身和防火墙部分(2.2内核为ipchains,2.4以后内核为netfilter)所作的改动量有多大。
事实上,Linux只是一个通用操作系统,它并没有针对防火墙功能做什么优化,而且其处理大数据量通信方面的能力一直并不突出,甚至比较低下(这也是 Linux一直只是低端服务器的宠儿的重要原因,我自己认为,在这一点上它还不如BSD系列,据说国外有用BSD做防火墙的,国内尚未见到)。现在绝大部分厂家,甚至包括号称国内最大的天融信,在软件方面所作的工作无非也就是系统有针对性的裁减、防火墙部分代码的少量改动(绝大部分还是没有什么改动)和少量的系统补丁。而且我们在分析各厂家产品时可以注意这一点,如果哪个厂家对系统本身做了什么大的改动,它肯定会把这个视为一个重要的卖点,大吹特吹,遗憾的是似乎还没有什么厂家有能力去做宣传(天融信似乎有一个类似于checkpoint的功能:开放式的安全应用接口 TOPSEC,但它究竟做了多少工作,还需要去仔细了解)。
目前国内厂家也已经认识到这个问题,有些在做一些底层的工作,但有明显成效的,似乎还没有。
在此我们仅针对以Linux(或其他通用操作系统)为基础的、以PC架构为硬件载体的防火墙做讨论,以下如不特别提出,均同。
2.内核和防火墙设计
现在有一种商业卖点,即所谓“建立在安全操作系统之上的第四代防火墙”(关于防火墙分代的问题,目前有很多讨论,比较一致的是把包过滤防火墙称为第一代防火墙,把应用型防火墙(一般结合了包过滤功能,因此也成为混合型防火墙)称为第二代防火墙,有些厂家把增加了检测通信信息、状态检测和应用监测的防火墙称为第三代防火墙,更有甚者在此基础上提出了采用安全操作系统的防火墙,并把这个称为第四代防火墙)。所谓安全操作系统,其实大多用的还是Linux,所不同的是需要做一些内核加固和简单改造的工作,主要有以下: 取消危险的系统调用,或者截获系统调用,稍加改动(如加载一些llkm);
限制命令执行权限;
取消IP转发功能;
检查每个分组的接口;
采用随机连接序号;
驻留分组过滤模块;
取消动态路由功能;
采用多个安全内核(这个只见有人提出,但未见到实例,对此不是很清楚)。
以上诸多工作,其实基本上都没有对内核源码做太大改动,因此从个人角度来看算不上可以太夸大的地方。
对于防火墙部分,国内大部分已经升级到2.4内核所支持的netfilter。netfilter已经是一个功能比较完善的防火墙框架,它已经支持基于状态的监测(通过connection track模块实现)。而且netfilter是一个设计很合理的框架,可以在适当的位置上登记一些需要的处理函数,正式代码中已经登记了许多处理函数,如在NF_IP_FORWARD点上登记了装发的包过滤功能(包过滤等功能便是由这些正式登记的函数实现的)。我们也可以登记自己的处理函数,在功能上作扩展(如加入简单的IDS功能等等)。这一点是国内厂家可以做文章的地方,至于netfilter源码的修改,对国内厂家来说似乎不太现实,
至于采用其它防火墙模型的,目前还没有看到(可能是netfilter已经设计的很成功,不需要我们再去做太多工作)。
3.自我保护能力(安全性)
由于防火墙的特殊功能和特殊位置,它自然是众多攻击者的目标,因此它的自我包括能力在设计过程中应该放在首要的位置。
A.管理上的安全性
防火墙需要一个管理界面,而管理过程如何设计的更安全,是一个很重要的问题。目前有两种方案。
a.设置专门的服务端口
为了减少管理上的风险和降低设计上的难度,有一些防火墙(如东方龙马)在防火墙上专门添加了一个服务端口,这个端口只是用来和管理主机连接。除了专用的服务口外,防火墙不接受来自任何其它端口的直接访问。这样做的显著特点就是降低了设计上的难度,由于管理通信是单独的通道,无论是内网主机、外网主机还是DMZ内主机都无法 到该通信,安全性显然很高,而且设计时也无需考虑通信过程加密的问题。
然而这样做,我们需要单独设置一台管理主机,显然太过浪费,而且这样管理起来的灵活性也不好。
b.通信过程加密
这样无需一个专门的端口,内网任意一台主机都可以在适当的情况下成为管理主机,管理主
机和防火墙之间采用加密的方式通信。
目前国内有采用的是使用自定义协议、一次性口令认证。对加密这个领域了解不多,不做详
细讨论。
B.对来自外部(和内部)攻击的反应能力
目前常见的来自外部的攻击方式主要有:
a.DOS(DDOS)攻击
(分布式)拒绝服务攻击是目前一种很普遍的攻击方式,在预防上也是非常困难的。目前防火墙对于这种攻击似乎没有太多的解决办法,主要是提高防火墙本身的健壮性(如增加缓冲区大小)。在Linux内核中有一个防止Syn flooding攻击的选项:CONFIG_SYN_COOKIES,它是通过为每一个Syn建立一个缓冲(cookie)来分辨可信请求和不可信请求。另外对于ICMP攻击,可以通过关闭ICMP 回应来实现。
b.IP假冒(IP spoofing)
IP假冒是指一个非法的主机假冒内部的主机地址,骗取服务器的“信任”,从而达到对网络的攻击目的。
第一,防火墙设计上应该知道网络内外的IP地址分配,从而丢弃所有来自网络外部但却有内部地址的数据包。实际实现起来非常简单,只要在内核中打开rp_filter功能即可。
第二,防火墙将内网的实际地址隐蔽起来,外网很难知道内部的IP地址,攻击难度加大。IP假冒主要来自外部,对内网无需考虑此问题(其实同时内网的IP假冒情况也可以得到遏制)。
c.特洛伊木马
防火墙本身预防木马比较简单,只要不让系统不能执行下载的程序即可。
一个需要说明的地方是必须指出的是,防火墙能抗特洛伊木马的攻击并不意味着内网主机也能防止木马攻击。事实上,内网主机可能会透过防火墙下载执行携带木马的程序而感染。内网主机的在预防木马方面的安全性仍然需要主机自己解决(防火墙只能在内网主机感染木马以后起一定的防范作用)。
d.口令字攻击
口令字攻击既可能来自外部,也可能来自内部,主要是来自内部。(在管理主机与防火墙通过单独接口通信的情况下,口令字攻击是不存在的)
来自外部的攻击即用穷举的办法猜测防火墙管理的口令字,这个很容易解决,只要不把管理部分提供给外部接口即可。
内部的口令字攻击主要是穷举和嗅探,其中以嗅探危害最大。嗅探指监测网络截获管理主机给防火墙的口令字,如果口令字已加密,则解密得到口令字。目前一般采用一次性口令和禁止直接登录防火墙的措施来防止对口令字的攻击。
e.邮件诈骗
邮件诈骗是目前越来越突出的攻击方式。防火墙本身防止邮件诈骗非常简单,不接收任何邮件就可以了。然而象木马攻击一样,内网主机仍可收发邮件,邮件诈骗的危险仍然存在,其解决办法一个是内网主机本身采取措施防止邮件诈骗,另一个是在防火墙上做过滤。
f.对抗防火墙(anti-firewall)
目前一个网络安全中一个研究的热点就是对抗网络安全产品如防火墙。一种是分析防火墙功能和探测防火墙内部网络结构,典型的如Firewalk。另外有一些其他的网络安全性分析工具本身具有双刃性,这类工具用于攻击网络,也可能会很有效的探测到防火墙和内部网络的安全缺陷,典型的如SATAN和ISS公司的 Internet Security Scanner。目前对于这种探测(攻击)手段,尚无有效的预防措施,因为防火墙本身是一个被动的东西,它只能靠隐藏内部网络结构和提高自身的安全性来对抗这些攻击。
C.透明代理的采用
应用代理防火墙一般是通过设置不同用户的访问权限来实现,这样就需要有用户认证体系。以前的防火墙在访问方式上主要是要求用户登录进系统(如果采用 sock代理的方式则需要修改客户应用)。透明代理的采用,可以降低系统登录固有的安全风险和出错概率,从而提高了防火墙的安全性。
篇6:人生需要选择演讲稿
理想活在我们每个人身边,死在我们身边。理想物质匮乏的时候,为什么不说这个人没有理想呢?——铭文
发生在你身边的一些决定,一些选择,理想,可能是相互关联的。他们其实是远房亲戚。
现在除了亲戚,每天联系最多的老师。他们是一群不知名的劳动者。他们选择了这项艰苦的工作,但为了祖国的未来,他们用不同的风格教育学生。但是因为没有人知道这些工人每天呼吸多少粉笔灰,他们老了肺就不好了;因为他们每天站在讲台上累,没人知道,所以老了腿脚不好;因为他们每天熬夜备课,批改作业,没人知道,所以老了总是头疼;因为他们总是对学生令人失望的表现感到愤怒,没有人知道,所以他们老了就会患高血压。这个时候,你会感恩吗?你不觉得这是一份很累,很辛苦,但是很神圣很高尚的工作吗?
每天都间接联系——个天天晒太阳的农民。他们不起眼,也许根本不会被人注意,因为他们选择了这种生活,为了别人更好的生活,为了祖国更健康更繁荣的未来。“除草的日子到了中午,汗水把草滴到了土里。谁知道中餐硬?”我们很早就会背诵的一首诗,但是谁知道这首诗的真正含义呢?也许不是,因为根本没有人理解他们的艰辛,几乎没有人看到农民会认为他们在强烈的阳光下工作会被晒伤和抓伤。这些农民每天日出而作,日落而归。这个时候,你会感恩吗?你不觉得这只是一份累、辛苦,却神圣而高尚的工作吗?
也许,他们不被人喜欢,不被人重视,却忍受了磨难,为了什么?难道只是一种普通的安居乐业的方式吗?他们在为祖国服务,他们在为更美好的祖国而奋斗。
可能,有人觉得辞退才是正道,但你想过他们的感受吗?他们每天都在为祖国的建设而努力。为什么不能被欣赏?老师教书育人,直到白发苍苍;农民耕种到不能工作;工人们建造高楼,直到。
或许,现在的歌手和电影明星都很受青少年的青睐,但你有没有想过普通工人的心?
也许,你有这个想法,但是仔细想想,如果没有老师,你会不会在舞台上更加出彩?你能出现在舞台上吗?如果没有农民,你会吃新鲜健康的蔬菜吗?你会活在这个世界上吗?
理想是一个常见的话题。当我们谈论如何选择理想时,这是一个深奥的话题。愿意的,不愿意的,才能改变世界。世界因理想而辉煌;人生因理想而精彩;人生因理想而绚烂。
当理想缺少了必不可少的物质——爱,这个人就会彻底失去理想。——结束
文档为doc格式
