» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 防火墙 » 能回答的是高手    25   1/3   1   2   3   >  作者: 标题: 能回答的是高手 微点专家 版主 Weizi 积分 11554 发帖 11458 注册 2006-8-27 来自 贵阳 #1  能回答的是高手 问一个很常见却又棘手的问题。 常听大家说这个防火墙好，那个防火墙太弱。 我想请问，你们是怎么知道防火墙的好与不好的，杀毒软件可以用病毒木马测 试，那防火墙怎么测试，你们都会测试吗？测试过后怎么判断好与不好？ 能回答上来的100%的是高手！！！ ※ ※ ※ 本文纯属【微点专家】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 做个性的自己 2006-12-12 22:14 ggank 新手上路 积分 1 发帖 1 注册 2006-12-12 #2   到国外专门测试防火墙的网站 看一下他们的测试方法和介绍，不就知道了。 好的防火墙至少双向控制都做得比较好， D层程序控制能力强，能分析出程序访问网络的行为，如DSA就是这样的一个防火墙 ※ ※ ※ 本文纯属【ggank】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-12-13 00:20 luzhi592 新手上路 新手上路 积分 26 发帖 26 注册 2006-3-9 #3   从网络开始成为一种生活方式被人们所选择的那一天起，网络安全的重要性便不可避免的日益凸显。马斯洛需求层次理论告诉我们，人们对于安全的需要根深蒂固；科特勒市场理论告诉我们，庞大需求缔造庞大市场——这一切都似乎在宣示，网络安全产品巨大的应用前景。基于这一认识，早在路由器刚刚发明的那个时代，被称为“防火墙”的网络安全技术便诞生了。之后的日子里，从基本的包过滤，到渐成体系的过滤规则系统，再到研究中的动态包过滤，个人防火墙技术的飞速发展从未停滞。点击浏览器图标，链接Google，输入关键词“Firewall”，数数看一共有多少个品牌映入眼帘？今天的网络防火墙世界，正呈现出一派百花齐放，欣欣向荣的繁盛景象！值得一提的是，在这众多网络防火墙当中，有两个与众不同的品牌，它们将成为今天我们讨论的主角——Outpost（以下简称OP）和Look'n'stop（以下简称LNS）。   来自俄罗斯的OP（最新版本3.0-431）与来自法国的LNS（最新版本2.05p3）同属市面上顶级的防火墙产品，从技术方面分析，它们都采用了系统型包过滤规则的网络防御方式。在工作状态下，它们根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。OP与LNS目前已经建立起各具特色的过滤规则体系。   先来看LNS。由于尽量简化了不必要的功能，LNS的过滤规则体系显得格外简单，它由两个层面组成：应用程序层面及全局层面。和大多数防火墙不同的是，LNS的防御基调是灰色的，即LNS默认程序或进程有害并有意图阻挡的倾向（这从LNS全局策略的最后一条“Block any other Packets”看得出来）。举例来说，对于要求网络连接的某个程序A，即使你已在应用程序策略中设置允许其访问网络，该程序还必须通过全局策略的检查，这就是说，LNS的应用程序策略优先级要低于全局策略。在上述情况下，只有进一步通过全局策略的检查，程序A才能获得访问网络的许可。很多朋友反映LNS难以设置，关键就是因为这个原因——在应用程序策略里明明已经设置好允许其采用任何方式的网络连接可程序就是连不上网——现在你知道遇到这种情况你还需要修改全局策略，而这确实是比较考量功力的。   OP的过滤规则体系与LNS有所不同。首先，OP的防御基调是阳光型的，表现在应用程序策略的优先级要高于大部分的全局策略（除开NetBIOS阻挡规则）。OP压制了全局规则拦阻联网请求的欲望，你在这里找不到诸如“Block all other...”这样的字眼，全局规则的逻辑面仅仅覆盖了所有可能情况中的一小部分，其他未覆盖的情况统统交给应用程序策略以及Outpost自定义方针去处理。因此如果某个程序要访问网络的话，通常只需在应用程序层面策略中指定并允许即可；此外，由于OP较LNS加入了更多的监控功能和插件，其构建的过滤规则体系要比LNS要复杂得多。以最新的3.0-431版本为例，OP的过滤规则由十个层面构成，优先级依次递减： Plugins－－插件 Trusted/NetBIOS Zones－－信任区域 Global NetBIOS Block Rules－－全局的NETBIOS阻挡规则 Global Rules with High Priority flag－－标记为高优先级的全局规则（基本无） Blocked/Trusted Application Settings－－应用程序分类设置 Application Rules－－应用程序策略 Global Rules－－全局策略 Outpost Policy－－Outpost自定义方针 Allow NAT Packets－－允许NAT数据包 Transit Rule－－通过规则 怎么样，很庞大的规则体系吧？下面我们着重来看看其中的几个层面。 －－插件。OP3.0-431自带了包括网页内容过滤、活动内容过滤、入侵检测、广告拦截、Email过滤、DNS缓冲和反间谍七大插件，每个插件都设置了相关的属性，对请求联网的程序进行判断从而决定拦截或者放行。在OP的操作界面上可以对插件属性进行修改甚至禁用这些插件。注意插件的运行是要消耗系统资源的，当你觉得它给你带来的安全性能提升所导致的满足不足以抵消资源耗损引发的不快时，你应该果断的禁用——平心而论，这些插件能够增加的安全系数并不多，包括新增的Anti-Spyware在内。 －－应用程序分类。OP将所有已运行的应用程序按可信度分成三组：完全信任组、不信任祖以及部分信任组。注意这种区分的优先级显然要高于应用程序策略——处在完全信任组的程序可以提出任何形式的联网请求都不被拒绝，处在不信任祖的程序无法联网，而所有部分信任组中的程序将通过应用程序策略来进行判断。这种分类的意义在于能够更加方便用户操作——当用户发现某个可信赖的程序联网出现错误时将他加入完全信任组即可解决所有问题。值得再三强调的是，完全信任组同时也是一种危险的存在，不加屏障的允许程序通行可能导致诸多的安全问题，而从带宽占用的角度来看这样做也是不经济的，所以不要轻易将程序置于该组当中除非你真的确定它是可信的。 －－应用程序策略与全局策略。这两个层面加在一起构成了OP过滤体系的主要组成部分。相关的设置可以参看《百炼成钢－打磨你的Outpost防火墙》一文，里面已经作了十分详细的说明。 －－Outpost自定义方针。Outpost可以对其工作方针进行界定，它一共提供了五种模式供用户选择——禁用模式、多数允许模式、向导模式、多数拦截模式以及全部拦截模式。显然禁用模式与全部拦截模式太过极端，而多数允许模式在安全性上也有所保留，因此我们倾向于在向导模式和多数拦截模式之间作出选择。前面已经说过，OP的全局规则事实上仅仅覆盖了所有可能情况中的一小部分，我们在正常的工作中随时会遇到没有事先界定的网络请求——选择向导模式或多数拦截模式取决于这类突发状况的发生频率。注意到所有的突发请求已经通过了现存体系中全部过滤规则的审核，因此如果你愿意选择多数允许模式的话也未尝不可。有朋友提到仿效LNS的做法在OP全局策略的最后部分人为加上“Block all UDP”、“Block all incoming TCP”、“Block all outbound TCP”等规则，事实上只要你的电脑没有作为局域网网关（由于全局策略优先级>允许NAT数据包，在这里Block的话将导致你的子网客户机无法联网），这些操作完全可以用选取多数拦截的工作模式来代替。   综上所述，从产品的种种细节和特点来看，OP与LNS可能分别代表了防火墙产品未来演变的两种趋势：OP立足于功能的拓展以及安全工具的整合，意图以强大的功能、一站式的全面服务来获取更多的用户；而LNS则抛弃一切去追求其向往已久的“反朴归真”，努力为用户提供最节省资源最稳定灵敏的防火墙核心。OP的做法势必导致程序占用资源的增加以及使用上的繁杂，而LNS剑走偏锋的简约化路线则不利于用户对情况的全面掌握——事实上，LNS的应用程序策略就远不如OP的直观和全面，很容易让人产生用WhoisConected做辅助的冲动。   当然，纵观天下之事，凡有得亦必有失，只是如何善用中庸之道以实现多方的平衡， 所以说测试一款防火墙，首先从设计理念上，只有好的设计理念才能带来好的产品， 其次从产品性能，规则设置，规则越多，一个数据包通过就需要越多的规则检测，浪费的时间就越多，就拿天网来说吧，号称有１０００多条规则，可是防御木马的规则真的有用么？别人随便改下端口，这条规则就干瞪眼吧，真正用到的不多， 然后是防范攻击.          防火墙的发展趋势是防毒墙，或许不久的将来．．．．．．．．．．．．． ※ ※ ※ 本文纯属【luzhi592】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-12-13 15:57 nasdaq 版主 版主 积分 1140 发帖 1118 注册 2006-4-6 #4   这个帖子的气氛很好，3#朋友的资料很详细~！ 说点儿我的个人意见，动态包过滤并不是只在研究中，我们目前用到的个人防火墙软件就是一种动态包过滤机制，也叫状态检测防火墙。我理解包过滤一般就是指静态的规则，而我们防火前中那些允许程序访问网络的设定其实就是一种动态规则，也就是动态包过滤机制。 我一直有个疑问，对于包过滤机制的防火墙来说，如果我们把两款防火墙设定为同样的规则，那怎么可能判别出两款防火墙有不同的效果呢？ 我认为效果是基本一致的，也就是说除了某些本身存在严重缺陷的防火墙之外，目前的个人防火墙软件在家用这种小流量窄带宽的条件下并不存在有质的差异。 [ Last edited by nasdaq on 2006-12-13 at 22:13 ] ※ ※ ※ 本文纯属【nasdaq】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-12-13 22:04 eden_cao 注册用户 积分 62 发帖 62 注册 2006-10-17 #5   性能，防御能力，功能，易用性，管理性等等，而每一项又包括了很多方面。所以每个人理解的好都不是统一的。虽然如此但还是有着一定的标准，合格与不合格是有分界岭的。 ※ ※ ※ 本文纯属【eden_cao】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-12-14 01:23 fox3 新手上路 积分 7 发帖 7 注册 2006-12-14 #6   3 防火墙技术的分类 ——目前，从概念上来讲，防火墙技术主要分为3种： ——（1）包过滤（Packet filter）防火墙，又称筛选路由器（Screening router）或网络层防火墙（Network level firewall），它是对进出内部网络的所有信息进行分析，并按照一定的安全策略——信息过滤规则对进出内部网络的信息进行限制，允许授权信息通过，拒绝非授权信息通过。信息过滤规则是以其所收到的数据包头信息为基础，比如IP数据包源地址、IP数据包目的地址、封装协议类型（TCP、UDP、ICMP等）、TCP／IP源端口号、TCP／IP目的端口号、ICMP报文类型等，当一个数据包满足过滤规则，则允许此数据包通过，否则拒绝此包通过，相当于此数据包所要到达的网络物理上被断开，起到了保护内部网络的作用。采用这种技术的防火墙优点在于速度快、实现方便，但安全性能差，且由于不同操作系统环境下TCP和UDP端口号所代表的应用服务协议类型有所不同，故兼容性差。 ——（2）应用层网关级（Application level gatewav）防火墙，又称代理（Proxy），它由两部分组成：代理服务器和筛选路由器。这种防火墙技术是目前最通用的一种，它是把筛选路由器技术和软件代理技术结合在一起，由筛选路由器负责网络的互联，进行严格的数据选择，应用代理则提供应用层服务的控制，如图3所示，代理服务器起到了外部网络向内部网络申请服务时中间转接作用。内部网络只接受代理服务器提出的服务请求，拒绝外部网络其它节点的直接请求，代理服务器其实是外部网络和内部网络交互信息的交换点，当外部网络向内部网络的某个节叔申请某种服务时，比如FTP、Telnet、WWW、Gopher、WAIS等，先由代理服务器接受，然后代理服务器根据其服务类型、服务内容、被服务的对象及其它因素，例如服务申请者的域名范围、时间等，决定是否接受此项服务，如果接受，就由代理服务器内部网络转发这项请求，并把结果反馈结申请 者，否则就拒绝。根据其处理协议的功能可分为FTP网关型防火墙、Telnet网关型防火墙、WWW网关型防火墙、WAIS网关型防火墙等，它的优点在于既能进行安全控制又可以加速访问，安全性好，但是寥实现比较困难，对于每一种服务协议必须为其设计一个代理软件模块来进行安全控制。 　 ——（3）双宿主机（Dual-homed host）技术防火墙，又称堡垒主机（Bastion host），它的结构如图4所示，采用主机取代路由器执行安全控制功能，故类似于包过滤防火墙。双宿主机即一台配有多个网络接口的主机，它可以用来在内部网络和外部网络之间进行寻径，如果在一台双宿主机中寻径功能被禁止了，则这个主机可以隔离与它相连的内部网络与外部网络之间的通信，而与它相连的内部网络和外部网络仍可以执行由它所提供的网络应用，如果这个应用允许的话，它们就可以共享数据，这样就保证内部网络和外部网络的某些节点之间可以通过双宿主机上的共享数据传递信息，但内部网络与外部网络之间却不能传递信息，从而达到保护内部网络的作用。 　 ——防火墙技术从其功能上来分，又可分为FTP防火墙、Telnet防火墙、Email防火墙、病毒防火墙等各种专用防火墙。通常几种防火墙技术被一起使用来弥补各自的缺陷，增加系统的安全性能。 4 防火墙的安全标准 ——防火墙技术发展很快，但是现在标准尚不健全，导致各大防火墙产品供应商生产的防火墙产品兼容性差，给不同厂商的防火墙产品的互联带来了困难，为了解决这个问题目前已提出了2个标准： ——（1）RSA数据安全公司与一些防火墙的生产厂商（如Sun Microsystem公司、Checkpoint公司、TIS公司等）以及一些TCP／IP协议开发商（如FTP公司等）提出了Secure／WAN（S／WAN）标 准，它能使在IP层上由支持数据加密技术的不同厂家生产的防火墙和TCP／IP协议具有互操作性，从而解决了建立虚拟专用网（VPN）的一个主要障碍，此标准包含两个部分： ——①防火墙中采用的信息加密技术一致，即加密算法、安全协议一致，使得遵循此标准生产的防火墙产品能够实现无缝互联，但又不失去加密功能； ——②安全控制策略的规范性、逻辑上的正确合理性，避免了各大防火墙厂商推出的防火墙产品由于安全策略上的漏洞而对整个内部保护网络产生危害。 ——（2）美国国家计算机安全协会NCSA （National Computer Security Association）成立的防火墙开发商FWPD （Firewall Product Developer）联盟制订的防火墙测试标准。 ※ ※ ※ 本文纯属【fox3】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-12-14 01:43 fox3 新手上路 积分 7 发帖 7 注册 2006-12-14 #7   如3楼所说，OP的包过滤确实不错，其还有一点不错的，其ARP Spoofing攻击的防护，很多软件防火墙都没有 ※ ※ ※ 本文纯属【fox3】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-12-14 01:51 weizg 中级用户 积分 434 发帖 430 注册 2006-11-25 来自 广西南宁 #8   杀毒软件可以用病毒木马测试， 那防火墙也可以用功击来测试啊 ※ ※ ※ 本文纯属【weizg】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-12-16 11:32 leelee 高级用户 积分 582 发帖 568 注册 2006-12-16 #9   http://security.symantec.com/ssc ... YZIFKWOZ&bhcp=1 安全扫描 您的计算机面对在线威胁是否安全无忧？ 若吨的安全扫描。天网不行 好多个都没通过 试试你们的~ ※ ※ ※ 本文纯属【leelee】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-12-16 23:12 微点专家 版主 Weizi 积分 11554 发帖 11458 注册 2006-8-27 来自 贵阳 #10     Quote: Originally posted by leelee at 2006-12-16 23:12: http://security.symantec.com/ssc ... YZIFKWOZ&bhcp=1 安全扫描 您的计算机面对在线威胁是否安全无忧？ 若吨的安全扫描。 ... 那是忽悠人的。 ※ ※ ※ 本文纯属【微点专家】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 做个性的自己 2006-12-16 23:34  25   1/3   1   2   3   >  论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号