安全防火墙是对付黑客_黑客最难攻击的防火墙配置

hacker|
279

什么个人防火墙黑客最难攻击

黑客防火墙

下面的文章是节选自《黑客技术大宝库》

"一旦你的PC经过了上面的测试,你就可以再增加一个加强安全的程序了,这种程序有很多,但是目前最热门的是“个人用防火墙”,下面我们讨论的重点也就是如何选择这一类产品。

不管你是否已经使用了公用的防火墙、 *** 服务器、域名服务器,这些本地的防火墙在你的机器内部监视你的INTERNET数据交换,防止来自黑客的不正常的访问,其中一些还可以监视非正常的数据输出,也就是那种特洛伊木马程序式偷偷摸摸留下的“后门”,在你不知道的情况下,向你的机器发送信息或者获取信息。

我现在使用的个人防火墙是免费而绝妙的ZoneAlarm,虽然它还有一些粗糙,但是它更新很快,最新的版本已经是2.0.26了,而且解决了很多早期版本存在的问题,而且它免费,却比很多售价50美圆的商业产品更有效,例如它是少数能够检测到特洛伊程序的防火墙之一。

Aladdin的eSafe Protect Desktop也加入了类似于防病毒程序的功能,相当于防火墙加沙箱的功能,能够防范决大多数带有恶意的访问,并将它们隔离起来。另外,它们让人满意的是占用很少的系统资源,只有2%而已。它是一个值得注意的产品,售价为30美圆。但是为了与流行的ZoneAlarm抗衡,Aladdin的Protect Desktop现在对个人使用完

全免费,因此很值得试试看,我正在试用,可能它会变成我的新欢哟!

FWProxy是一个简单免费的程序,能够在设定的端口监听进入的TCP连接,检查用户对设备的授权,在远程RAS用户和设定的内部TCP设备之间建立连接,你如果你只需要这个功能,那你可以试试它。

Sybergen Secure Desktop(以前叫SyShield)非常灵活,可以从多方面进行设置,售价为30美圆,它的长处在于安装简单,虽然为数不多的文档让那些迷失在它过多的设置选项中的初学者有些困惑,但是它马上就会出新版本了,以后我们还要介绍。

BlackIce Defender是一个享有盛誉、非常流行的防火墙,花费40美圆就可以获得BlackIce Defender和一年的安全升级。和ZoneAlarm一样,BlackIce也有其显得粗糙的地方,例如它的错误检测警告,几乎让你发生一种错觉,好象你受到外界的攻击是基本不变的,另外文档也不够完善,除非你对防火墙技术和端口分配都非常精通,还有一些用

户对它支持的级别和对错误反应的时间也不满意。看来Networkice这位始作俑者已经被他们的胜利淹没了,很难继续保持原来的状态。这种说法分的另一个佐证是关于Windows 2000,Windows 2000已经推出一段时间了,而BlackIce的站点还在说:“Win2k目前仍然是beta版本,我们目前还不能支持它,检测侵入的部分运行良好,而防火墙部分现在

还不行,我们计划在WIN 2000正式推出时再支持它。”这种情况让人联想到它的安全产品,因为人们总是希望它的内容能够尽量保持最新状态。

如果你到过各种黑客站点和黑客的BBS,你可以看到一个让黑客们又爱又怕的软件,售价为49美圆的ConSeal Private Desktop,他们喜欢在自己的机器上安装这个软件,但又痛恨在所攻击的用户机器上也安装了这个软件。出品它的加拿大公司Signal9刚被McA

fee收购,我们还不清楚McAfee的计划是什么,你可以到 上去看看相关信息。

McAfee还刚刚收购了Cybermedia,它的售价为30美圆的防护狗软件是一个很有趣的产品,多种功能兼而有之,病毒检测、隐私保护和在线安全,还包括对恶意ActiveX和Java applets的防护。

而ConSeal的AtGuard,是另一个让黑客爱恨交织的防火墙,刚刚被Symantec收购,现在变成了售价为60美圆的Norton Internet Security 2000的一部分。和它的其他产品相比,AtGuard略显单薄,但是Norton Internet Security 2000是一个安全“巨人”,

虽然它的设置也很麻烦。但是无论如何,AtGuard安全部分的功能仍然使非常出色的,尽管它现在已经被其他产品的光芒掩盖了。

上面介绍的产品都是一些用途广泛功能全面的防护软件,但是还有一些功能比较精细集中的产品:

Jammer,售价为20美圆,专门设计用来防范NetBus和BackOrifice的攻击,如果你的其他安全产品只有一般的防护能力,它倒还是挺有用的;

ProtectX,售价为25美圆,可以同时监视最多20个端口,还可以帮你追踪攻击你的黑客的来源,也是一个享有盛誉的产品,尽管它所能监视的端口数量受到限制,和同类产品相比显得有些不足。

Rainbow Diamond Intrusion Detector,售价为40美圆,在你可能受到侵犯的时候会发出警报,Intrusion Detector直接在机器中监视可疑的 *** 活动,一旦发现对象,就发出报警。Intrusion Detector还会试图确定攻击你的用户的身份。

TDS-2,售价33美圆,来自澳大利亚的Trojan特洛伊防范系统,对特洛伊有比其他软件更强的检测能力。

哦,你的选择真是太多了,有了这些产品,你的机器的安全级别一定可以到很高的级别。

但是,即使有了上面的这些产品,我们的安全工作还是没有完成,下一步或者是对上述产品的补充,或是对上述产品的替代,另外,还有一个特的措施你可以使用,将你的安全性能提高到一个很高的程度。"

哪种防黑客攻击的防火墙更好?更好带上有注册码的下载地址哦!

网防火墙个人版是个人电脑使用的 *** 安全程序,根据管理者设定的安全规则把守 *** ,提供强大的访问控制、信息过滤等功能,帮你抵挡 *** 入侵和攻击,防止信息泄露。天网防火墙把 *** 分为本地网和互联网,可针对来自不同 *** 的信息,来设置不同的安全方案,适合于任何方式上网的用户。 1)严密的实时监控 天网防火墙(个人版)对所有来自外部机器的访问请求进行过滤,发现非授权的访问请求后立即拒绝,随时保护用户系统的信息安全。 2)灵活的安全规则 天网防火墙(个人版)设置了一系列安全规则,允许特定主机的相应服务,拒绝其它主机的访问要求。用户还可以根据自已的实际情况,添加、删除、修改安全规则,保护本机安全。 3)应用程序规则设置 新版的天网防火墙增加对应用程序数据包进行底层分析拦截功能,它可以控制应用程序发送和接收数据包的类型、通讯端口,并且决定拦截还是通过,这是目前其它很多软件防火墙不具有的功能。 4)详细的访问记录和完善的报警系统 天网防火墙(个人版)可显示所有被拦截的访问记录,包括访问的时间、来源、类型、代码等都详细地记录下来,你可以清楚地看到是否有入侵者想连接到你的机器,从而制定更有效的防护规则。与以往的版本相比,天网防火墙(个人版)设置了完善的声音报警系统,当出现异常情况的时候,系统会发出预警信号,从而让用户作好防御措施。 天网防火墙个人版v3.0.0.1000 build0710新增特性 一、 采用优化的3.0内核引擎,优化了数据检测算法,使数据处理速度更快,确保在处理大批量数据时依然能应对自如。 二、 推出全新多彩的皮肤界面,让您的防火墙更多姿多彩。 三、 增加稳定的进程保护功能,防止恶意程序结束天网防火墙进程,保护更加安全。 四、 提供智能的入侵检测模块,自动拦截 *** 入侵,让您的电脑随时处于安全状态

下载地方!!我就喜欢这个,使用很简单,而且很可靠!!很安全!

用什么防火墙更好,可以防止木马或黑客攻击?????

几乎所有的防火墙都可以防止木马或黑客攻击,但计算机这东西是"道高一尺,魔高一丈"的.木马使用了新技术,就无法防御,必须等到软件公司发布新的,可以防范的措施才可以有效防御,也就是说需要经常更新反病毒软件.上网需谨慎,新技术通常都用在垃圾网站上,尽量不要去浏览这种网站.

选择国外知名反病毒软件更放心一点,并且要养成定期更新的习惯.诺顿的赛门铁克,或者卡巴斯基都很不错.

求推荐 *** 防火墙。要求如下:

您好!关于您的问题回答如下:防火墙是一类防范措施的总称,它使得内部 *** 与Internet之间或者与其他外部 *** 互相隔离、限制 *** 互访用来保护内部 *** 。防火墙简单的可以只用路由器实现,复杂的可以用主机甚至一个子网来实现。设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道,简化 *** 的安全管理。

防火墙的功能有:

1、过滤掉不安全服务和非法用户

2、控制对特殊站点的访问

3、提供监视Internet安全和预警的方便端点

由于互连网的开放性,有许多防范功能的防火墙也有一些防范不到的地方:

1、防火墙不能防范不经由防火墙的攻击。例如,如果允许从受保护网内部不受限制的向外拨号,一些用户可以形成与Internet的直接的连接,从而绕过防火墙,造成一个潜在的后门攻击渠道。

2、防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上装反病毒软件。

3、防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到Internet主机上并被执行而发起攻击时,就会发生数据驱动攻击。

因此,防火墙只是一种整体安全防范政策的一部分。这种安全政策必须包括公开的、以便用户知道自身责任的安全准则、职员培训计划以及与 *** 访问、当地和远程用户认证、拨出拨入呼叫、磁盘和数据加密以及病毒防护的有关政策。

防火墙的特点

一般防火墙具备以下特点:

1、广泛的服务支持:通过将动态的、应用层的过滤能力和认证相结合,可实现WWW浏览器、HTTP服务器、 FTP等;

2、对私有数据的加密支持:保证通过Internet进行虚拟私人 *** 和商务活动不受损坏;

3、客户端认证只允许指定的用户访问内部 *** 或选择服务:企业本地网与分支机构、商业伙伴和移动用户间安全通信的附加部分;

4、反欺骗:欺骗是从外部获取 *** 访问权的常用手段,它使数据包好似来自 *** 内部。防火墙能监视这样的数据包并能扔掉它们;

5、C/S模式和跨平台支持:能使运行在一平台的管理模块控制运行在另一平台的监视模块。

实现防火墙的技术

防火墙的实现从层次上大体上可以分两种:报文过滤和应用层网关。

报文过滤是在IP层实现的,因此,它可以只用路由器完成。报文过滤根据报文的源IP地址、目的IP地址、源端口、目的端口及报文传递方向等报头信息来判断是否允许报文通过。现在也出现了一种可以分析报文数据区内容的智能型报文过滤器。

报文过滤器的应用非常广泛,因为CPU用来处理报文过滤的时间可以忽略不计。而且这种防护措施对用户透明,合法用户在进出 *** 时,根本感觉不到它的存在,使用起来很方便。报文过滤另一个也是很关键的弱点是不能在用户级别上进行过滤,即不能识别不同的用户和防止IP地址的盗用。如果攻击者把自己主机的IP地址设成一个合法主机的IP地址,就可以很轻易地通过报文过滤器。

报文过滤的弱点可以用应用层网关解决。在应用层实现防火墙,方式多种多样,下面是几种应用层防火墙的设计实现。

1、应用 *** 服务器(Application Gateway Proxy)

在 *** 应用层提供授权检查及 *** 服务。当外部某台主机试图访问受保护 *** 时,必须先在防火墙上经过身份认证。通过身份认证后,防火墙运行一个专门为该 *** 设计的程序,把外部主机与内部主机连接。在这个过程中,防火墙可以限制用户访问的主机、访问时间及访问的方式。同样,受保护 *** 内部用户访问外部网时也需先登录到防火墙上,通过验证后,才可访问。

应用网关 *** 的优点是既可以隐藏内部IP地址,也可以给单个用户授权,即使攻击者盗用了一个合法的IP地址,也通不过严格的身份认证。因此应用网关比报文过滤具有更高的安全性。但是这种认证使得应用网关不透明,用户每次连接都要受到认证,这给用户带来许多不便。这种 *** 技术需要为每个应用写专门的程序。

2、回路级 *** 服务器

即通常意义的 *** 服务器,它适用于多个协议,但不能解释应用协议,需要通过其他方式来获得信息,所以,回路级 *** 服务器通常要求修改过的用户程序。

套接字服务器(Sockets Server)就是回路级 *** 服务器。套接字(Sockets)是一种 *** 应用层的国际标准。当受保护 *** 客户机需要与外部网交互信息时,在防火墙上的套服务器检查客户的User ID、IP源地址和IP目的地址,经过确认后,套服务器才与外部的服务器建立连接。对用户来说,受保护网与外部网的信息交换是透明的,感觉不到防火墙的存在,那是因为 *** 用户不需要登录到防火墙上。但是客户端的应用软件必须支持 “Socketsified API”,受保护 *** 用户访问公共网所使用的IP地址也都是防火墙的IP地址。

3、代管服务器

代管服务器技术是把不安全的服务如FTP、Telnet等放到防火墙上,使它同时充当服务器,对外部的请求作出回答。与应用层 *** 实现相比,代管服务器技术不必为每种服务专门写程序。而且,受保护网内部用户想对外部网访问时,也需先登录到防火墙上,再向外提出请求,这样从外部网向内就只能看到防火墙,从而隐藏了内部地址,提高了安全性。

4、IP通道(IP Tunnels)

如果一个大公司的两个子公司相隔较远,通过Internet通信。这种情况下,可以采用IP Tunnels来防止Internet上的黑客截取信息,从而在Internet上形成一个虚拟的企业网。

5、 *** 地址转换器(NAT Network Address Translate)

当受保护网连到Internet上时,受保护网用户若要访问Internet,必须使用一个合法的IP地址。但由于合法Internet IP地址有限,而且受保护 *** 往往有自己的一套IP地址规划(非正式IP地址)。 *** 地址转换器就是在防火墙上装一个合法IP地址集。当内部某一用户要访问Internet时,防火墙动态地从地址集中选一个未分配的地址分配给该用户,该用户即可使用这个合法地址进行通信。同时,对于内部的某些服务器如 Web服务器, *** 地址转换器允许为其分配一个固定的合法地址。外部 *** 的用户就可通过防火墙来访问内部的服务器。这种技术既缓解了少量的IP地址和大量的主机之间的矛盾,又对外隐藏了内部主机的IP地址,提高了安全性。

6、隔离域名服务器(Split Domain Name Server )

这种技术是通过防火墙将受保护 *** 的域名服务器与外部网的域名服务器隔离,使外部网的域名服务器只能看到防火墙的IP地址,无法了解受保护 *** 的具体情况,这样可以保证受保护 *** 的IP地址不被外部 *** 知悉。

7、邮件技术(Mail Forwarding)

当防火墙采用上面所提到的几种技术使得外部 *** 只知道防火墙的IP地址和域名时,从外部 *** 发来的邮件,就只能送到防火墙上。这时防火墙对邮件进行检查,只有当发送邮件的源主机是被允许通过的,防火墙才对邮件的目的地址进行转换,送到内部的邮件服务器,由其进行转发。

防火墙的体系结构及组合形式

1、屏蔽路由器(Screening Router)

这是防火墙最基本的构件。它可以由厂家专门生产的路由器实现,也可以用主机来实现。屏蔽路由器作为内外连接的唯一通道,要求所有的报文都必须在此通过检查。路由器上可以装基于IP层的报文过滤软件,实现报文过滤功能。许多路由器本身带有报文过滤配置选项,但一般比较简单。

单纯由屏蔽路由器构成的防火墙的危险带包括路由器本身及路由器允许访问的主机。它的缺点是一旦被攻陷后很难发现,而且不能识别不同的用户。

2、双穴主机网关(Dual Homed Gateway)

这种配置是用一台装有两块网卡的堡垒主机做防火墙。两块网卡各自与受保护网和外部网相连。堡垒主机上运行着防火墙软件,可以转发应用程序,提供服务等。

双穴主机网关优于屏蔽路由器的地方是:堡垒主机的系统软件可用于维护系统日志、硬件拷贝日志或远程日志。这对于日后的检查很有用。但这不能帮助 *** 管理者确认内网中哪些主机可能已被黑客入侵。

双穴主机网关的一个致命弱点是:一旦入侵者侵入堡垒主机并使其只具有路由功能,则任何网上用户均可以随便访问内网。

3、被屏蔽主机网关(Screened Host Gateway)

屏蔽主机网关易于实现也很安全,因此应用广泛。例如,一个分组过滤路由器连接外部 *** ,同时一个堡垒主机安装在内部 *** 上,通常在路由器上设立过滤规则,并使这个堡垒主机成为从外部 *** 唯一可直接到达的主机,这确保了内部 *** 不受未被授权的外部用户的攻击。

如果受保护网是一个虚拟扩展的本地网,即没有子网和路由器,那么内网的变化不影响堡垒主机和屏蔽路由器的配置。危险带限制在堡垒主机和屏蔽路由器。网关的基本控制策略由安装在上面的软件决定。如果攻击者设法登录到它上面,内网中的其余主机就会受到很大威胁。这与双穴主机网关受攻击时的情形差不多。

4、被屏蔽子网 (Screened Subnet)

这种 *** 是在内部 *** 和外部 *** 之间建立一个被隔离的子网,用两台分组过滤路由器将这一子网分别与内部 *** 和外部 *** 分开。在很多实现中,两个分组过滤路由器放在子网的两端,在子网内构成一个“非军事区”DMZ。有的屏蔽子网中还设有一堡垒主机作为唯一可访问点,支持终端交互或作为应用网关 *** 。这种配置的危险带仅包括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网的路由器。

如果攻击者试图完全破坏防火墙,他必须重新配置连接三个网的路由器,既不切断连接又不要把自己锁在外面,同时又不使自己被发现,这样也还是可能的。但若禁止 *** 访问路由器或只允许内网中的某些主机访问它,则攻击会变得很困难。在这种情况下,攻击者得先侵入堡垒主机,然后进入内网主机,再返回来破坏屏蔽路由器,整个过程中不能引发警报。

建造防火墙时,一般很少采用单一的技术,通常是多种解决不同问题的技术的组合。这种组合主要取决于网管中心向用户提供什么样的服务,以及网管中心能接受什么等级风险。采用哪种技术主要取决于经费,投资的大小或技术人员的技术、时间等因素。一般有以下几种形式:

1、使用多堡垒主机;

2、合并内部路由器与外部路由器;

3、合并堡垒主机与外部路由器;

4、合并堡垒主机与内部路由器;

5、使用多台内部路由器;

6、使用多台外部路由器;

7、使用多个周边 *** ;

8、使用双重宿主主机与屏蔽子网。

内部防火墙

建立防火墙的目的在于保护内部网免受外部网的侵扰。有时为了某些原因,我们还需要对内部网的部分站点再加以保护以免受内部的其它站点的侵袭。因此,有时我们需要在同一结构的两个部分之间,或者在同一内部网的两个不同组织结构之间再建立防火墙(也被称为内部防火墙)。

防火墙的未来发展趋势

目前,防火墙技术已经引起了人们的注意,随着新技术的发展,混合使用包过滤技术、 *** 服务技术和其它一些新技术的防火墙正向我们走来。

越来越多的客户端和服务器端的应用程序本身就支持 *** 服务方式。比如,许多WWW 客户服务软件包就具有 *** 能力,而许多象SOCKS 这样的软件在运行编译时也支持类 *** 服务。

包过滤系统向着更具柔性和多功能的方向发展。比如动态包过滤系统,在CheckPoint Firewall-1、Karl Brige/Karl Brouter 以 及 Morning Star Secure Connect router 中的包过滤规则可由路由器灵活、快速的来设置。一个输出的UDP 数据包可以引起对应的允许应答UDP 创立一个临时的包过滤规则,允许其对应的UDP 包进入内部网。

被称为“ 第三代”产品的之一批系统已开始进入市场。如Border *** 技术公司的Border 产品和Truest 信息系统公司的Gauntlet 3.0 产品从外部向内看起来像是 *** 服务(任何外部服务请求都来自于同一主机),而由内部向外看像一个包过滤系统(内部用户认为他们直接与外部网交互)。这些产品通过对大量内部网的外向连接请求的计帐系统和包的批次修改对防火墙的内外提供相关的伪像。Karl Bridge/Karl Brouter 产品拓展了包过滤的范围,它对应用层上的包过滤和授权进行了扩展。这比传统的包过滤要精细得多。

目前,人们正在设计新的IP 协议(也被称为IP version 6)。IP 协议的变化将对防火墙的建立与运行产生深刻的影响。同时,目前大多数 *** 上的机器的信息流都有可能被偷看到,但更新式的 *** 技术如帧中继,异步传输模式(ATM)可将数据包源地址直接发送给目的地址,从而防止信息流在传输中途被泄露。

系统防火墙怎样设置才是更好的?

1、打开控制面板,点击“系统和安全”。

2、这里就能看到“Windows Defender 防火墙”了,点击打开它。

3、点击打开左侧的“启用或关闭Windows Defender 防火墙”。

4、这里就能设置防火墙的开启或关闭。

5、回到上一个页面,点击左侧的“允许应用或功能通过Windows Defender 防火墙”。

6、这里就能对防火墙允许放通的应用进行设置。

0条大神的评论

发表评论