天极传媒：天极网全国分站
您现在的位置： &&
防火墙到底应该有多“厚”天极网络安全 11:42
　　Internet的开放便利性，与网络安全的隐忧，一直是矛盾共存。随着企业对Internet依存的加深，对网络安全的防范与布署，就成了必备的知识。大家都知道，特洛伊城之所以久攻不破，是它有一道坚固的城墙；在Internet上我们也需要一道坚实的，以确保不会因被击溃而导致企业内部电脑的入侵危机。
　　公元前12世纪，希腊与特洛伊的一场战争，造就了荷马(Homer)史诗中的两位英雄人物Achilles与Odysseus；而这场战争最终决定性的胜利竟然是一只木马，这样富戏剧性的结局更让人不可思议，除了具军事教训意味外，着实也多了许多趣味性。如今这场战争却活生生地搬上了Internet舞台，虽然少了美女Helen助阵，不过精采的程度却不下于3000多年前的盛况，只不过整个场景都虚拟于网络之中。。　　打造一道网络城墙
　　据荷马史诗记载，希腊联军共围剿特洛伊城达十年之久，当时没有现代的空中部队，因此整个防卫所依靠的都是城墙！据说当时特洛依城城墙厚度达五公尺，在这么坚固城墙防卫下，希腊一直都无法将特洛依城攻下。
　　相对于特洛依城墙的厚度，到底一道网络的城墙要多“厚”才安全呢？在Internet中的城墙，我们称之Firewall或是防火墙，主要的作用是进行网络交通过滤与管制。
　　这道网络虚拟的城墙强度虽然不能以实体厚度来衡量，但打造这道城墙同样要考虑到“是否地基够稳？”、“是否有钢筋结构？”、“城门卫兵是否尽职？”，此外这一整套控管机构“是否有品质保证？”，如此才能评判防火墙是否足以抵御外侮。
打造一道网络城墙
（作者：李洪兵责任编辑：李红阳）
欢迎在新浪微博上关注我们
* 网友发言均非本站立场，本站不在评论栏推荐任何网店、经销商，谨防上当受骗！
笔记本手机数码家电只需一步，快速开始
后使用快捷导航
最牛的防火墙测试软件（看看你的防火墙能防住几个？）
TA的每日心情郁闷 20:40签到天数: 1 天[LV.1]初来乍到
马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。
才可以下载或查看，没有帐号？
最牛的防火墙测试软件（看看你的防火墙能防住几个？）转自剑盟
下载下边的穿透试验用的软件压缩包（不是木马、病毒），运行当中每个软件，当
有防火墙提示它上网时，选择拦截，看它能否穿透你的防火墙！我试过Tiny、Lns、
ZA，Tiny、Lns可以轻松拦住，Lns、ZA需要打开组件防护功能。OP没试过，不能瞎
说。认为国产软件好的不妨测试一下。不要说你的墙通过了某某在线检测，呵呵，只
要是墙，就可以通过在线检测。而这几个测试就没那么容易了。
& && && &测试者后果自负。
& && && &请贴上你的测试结果！谢谢！
(455.77 KB)
13:40, 下载次数: 197
那楼主试过网标吗!!
回复 2楼 的帖子
我还没敢试那&&要不你去试试&&
哈哈,我也有不太敢啊!!还是等网标出来,到网吧试试吧!!!
回复 4楼 的帖子
好办法啊&&你真毒啊
楼主不厚道，怂恿别人做白老鼠
回复 7楼 的帖子
那您也可以去试试呀
不敢轻易测试
逛了这许久，何不进去瞧瞧？
关注我们：防火墙技术的基本分类有哪些？(1)_防火墙的主要技术-牛bb文章网
防火墙技术的基本分类有哪些？(1)_防火墙的主要技术
话题：，，
以下的文章主要向大家描述的是防火墙技术综述，Internet的迅速发展给现代人的生产和生活都带来了飞跃性的改变，提高了工作效率，也丰富了人们的生活，弥补了人们的精神空缺;而与此同时给人们带来了一个日益严峻的问题DDD网络安全。Internet的迅速发展给现代人的生产和生活都带来了前所未有的飞跃，大大提高了工作效率，丰富了人们的生活，弥补了人们的精神空缺;而与此同时给人们带来了一个日益严峻的问题DDD网络安全。网络的安全性成为当今最热门的之一，很多企业为了保障自身服务器或数据安全都采用了防火墙。随着科技的发展，防火墙也逐渐被大众所接受。但是，由于防火墙是属于高科技产物，许多的人对此还并不是了解的十分透彻。而这篇文章就是给大家讲述了防火墙工作的方式，以及防火墙的基本分类，并且讨论了每一种防火墙的优缺点。防火墙的基本分类1.包过滤防火墙第一代防火墙和最基本形式防火墙检查每一个通过的网络包，或者丢弃，或者放行，取决于所建立的一套规则。这称为包过滤防火墙。本质上，包过滤防火墙是多址的，表明它有两个或两个以上网络适配器或接口。例如，作为防火墙的设备可能有两块网卡(NIC)，一块连到内部网络，一块连到公共的Internet。防火墙的任务，就是作为“通信警察”，指引包和截住那些有危害的包。包过滤防火墙检查每一个传入包，查看包中可用的基本信息(源地址和目的地址、端口号、协议等)。然后，将这些信息与设立的规则相比较。如果已经设立了阻断telnet连接，而包的目的端口是23的话，那么该包就会被丢弃。如果允许传入Web连接，而目的端口为80，则包就会被放行。多个复杂规则的组合也是可行的。如果允许Web连接，但只针对特定的服务器，目的端口和目的地址二者必须与规则相匹配，才可以让该包通过。最后，可以确定当一个包到达时，如果对该包没有规则被定义，接下来将会发生什么事情了。通常，为了安全起见，与传入规则不匹配的包就被丢弃了。如果有理由让该包通过，就要建立规则来处理它。建立包过滤防火墙规则的例子如下：对来自专用网络的包，只允许来自内部地址的包通过，因为其他包包含不正确的包头部信息。这条规则可以防止网络内部的任何人通过欺骗性的源地址发起攻击。而且，如果黑客对专用网络内部的机器具有了不知从何得来的访问权，这种过滤方式可以阻止黑客从网络内部发起攻击。在公共网络，只允许目的地址为80端口的包通过。这条规则只允许传入的连接为Web连接。这条规则也允许与Web连接使用相同端口的连接，所以它并不是十分安全。丢弃从公共网络传入的包，而这些包都有你的网络内的源地址，从而减少IP欺骗性的攻击。丢弃包含源路由信息的包，以减少源路由攻击。要记住，在源路由攻击中，传入的包包含路由信息，它覆盖了包通过网络应采取得正常路由，可能会绕过已有的安全程序。通过忽略源路由信息，防火墙可以减少这种方式的攻击。2.状态/动态检测防火墙状态/动态检测防火墙，试图跟踪通过防火墙的网络连接和包，这样防火墙就可以使用一组附加的标准，以确定是否允许和拒绝通信。它是在使用了基本包过滤防火墙的通信上应用一些防火墙技术来做到这点的。当包过滤防火墙见到一个网络包，包是孤立存在的。它没有防火墙所关心的历史或未来。允许和拒绝包的决定完全取决于包自身所包含的信息，如源地址、目的地址、端口号等。包中没有包含任何描述它在信息流中的位置的信息，则该包被认为是无状态的;它仅是存在而已。一个有状态包检查防火墙跟踪的不仅是包中包含的信息。为了跟踪包的状态，防火墙还记录有用的信息以帮助识别包，例如已有的网络连接、数据的传出请求等。例如，如果传入的包包含视频数据流，而防火墙可能已经记录了有关信息，是关于位于特定IP地址的应用程序最近向发出包的源地址请求视频信号的信息。如果传入的包是要传给发出请求的相同系统，防火墙进行匹配，包就可以被允许通过。一个状态/动态检测防火墙可截断所有传入的通信，而允许所有传出的通信。因为防火墙跟踪内部出去的请求，所有按要求传入的数据被允许通过，直到连接被关闭为止。只有未被请求的传入通信被截断。如果在防火墙内正运行一台服务器，配置就会变得稍微复杂一些，但状态包检查是很有力和适应性的防火墙技术。例如，可以将防火墙配置成只允许从特定端口进入的通信，只可传到特定服务器。如果正在运行Web服务器，防火墙只将80端口传入的通信发到指定的Web服务器。状态/动态检测防火墙可提供的其他一些额外的服务有：将某些类型的连接重定向到审核服务中去。例如，到专用Web服务器的连接，在Web服务器连接被允许之前，可能被发到SecutID服务器(用一次性口令来使用)。拒绝携带某些数据的网络通信，如带有附加可执行程序的传入电子消息，或包含ActiveX程序的Web页面。防火墙技术的基本分类有哪些？(1)_防火墙的主要技术跟踪连接状态的方式取决于包通过防火墙的类型：TCP包。当建立起一个TCP连接时，通过的第一个包被标有包的SYN标志。通常情况下，防火墙丢弃所有外部的连接企图，除非已经建立起某条特定规则来处理它们。对内部的连接试图连到外部主机，防火墙注明连接包，允许响应及随后再两个系统之间的包，直到连接结束为止。在这种方式下，传入的包只有在它是响应一个已建立的连接时，才会被允许通过。UDP包。UDP包比TCP包简单，因为它们不包含任何连接或序列信息。它们只包含源地址、目的地址、校验和携带的数据。这种信息的缺乏使得防火墙确定包的合法性很困难，因为没有打开的连接可利用，以测试传入的包是否应被允许通过。可是，如果防火墙跟踪包的状态，就可以确定。对传入的包，若它所使用的地址和UDP包携带的协议与传出的连接请求匹配，该包就被允许通过。和TCP包一样，没有传入的UDP包会被允许通过，除非它是响应传出的请求或已经建立了指定的规则来处理它。对其他种类的包，情况和UDP包类似。防火墙仔细地跟踪传出的请求，记录下所使用的地址、协议和包的类型，然后对照保存过的信息核对传入的包，以确保这些包是被请求的。3.应用程序代理防火墙应用程序代理防火墙实际上并不允许在它连接的网络之间直接通信。相反，它是接受来自内部网络特定用户应用程序的通信，然后建立于公共网络服务器单独的连接。网络内部的用户不直接与外部的服务器通信，所以服务器不能直接访问内部网的任何一部分。另外，如果不为特定的应用程序安装代理程序代码，这种服务是不会被支持的，不能建立任何连接。这种建立方式拒绝任何没有明确配置的连接，从而提供了额外的安全性和控制性。例如，一个用户的Web浏览器可能在80端口，但也经常可能是在1080端口，连接到了内部网络的HTTP代理防火墙。防火墙然后会接受这个连接请求，并把它转到所请求的Web服务器。这种连接和转移对该用户来说是透明的，因为它完全是由代理防火墙自动处理的。代理防火墙通常支持的一些常见的应用程序有：HTTPHTTPS/SSLSMTPPOP3IMAPNNTPTELNETFTPIRC应用程序代理防火墙可以配置成允许来自内部网络的任何连接，它也可以配置成要求用户认证后才建立连接。要求认证的方式由只为已知的用户建立连接的这种限制，为安全性提供了额外的保证。如果网络受到危害，这个特征使得从内部发动攻击的可能性大大减少。4.NAT讨论到防火墙的主题，就一定要提到有一种路由器，尽管从防火墙技术上讲它根本不是防火墙。网络地址转换(NAT)协议将内部网络的多个IP地址转换到一个公共地址发到Internet上。NAT经常用于小型办公室、家庭等网络，多个用户分享单一的IP地址，并为Internet连接提供一些安全机制。当内部用户与一个公共主机通信时，NAT追踪是哪一个用户作的请求，修改传出的包，这样包就像是来自单一的公共IP地址，然后再打开连接。一旦建立了连接，在内部计算机和Web站点之间来回流动的通信就都是透明的了。当从公共网络传来一个未经请求的传入连接时，NAT有一套规则来决定如何处理它。如果没有事先定义好的规则，NAT只是简单的丢弃所有未经请求的传入连接，就像包过滤防火墙所做的那样。可是，就像对包过滤防火墙一样，你可以将NAT配置为接受某些特定端口传来的传入连接，并将它们送到一个特定的主机地址。5.个人防火墙现在网络上流传着很多的个人防火墙软件，它是应用程序级的。个人防火墙是一种能够保护个人计算机系统安全的软件，它可以直接在用户的计算机上运行，使用与状态/动态检测防火墙相同的方式，保护一台计算机免受攻击。通常，这些防火墙是安装在计算机网络接口的较低级别上，使得它们可以监视传入传出网卡的所有网络通信。一旦安装上个人防火墙，就可以把它设置成“学习模式”，这样的话，对遇到的每一种新的网络通信，个人防火墙都会提示用户一次，询问如何处理那种通信。然后个人防火墙便记住响应方式，并应用于以后遇到的相同那种网络通信。例如，如果用户已经安装了一台个人Web服务器，个人防火墙可能将第一个传入的Web连接作上标志，并询问用户是否允许它通过。用户可能允许所有的Web连接、来自某些特定IP地址范围的连接等，个人防火墙然后把这条规则应用于所有传入的Web连接。以上的相关内容就是对防火墙技术综述的介绍，望你能有所收获。 分享： >
“防火墙的主要技术”相关文章下一代防火墙，到底“牛”在哪里？
发表于：12年07月18日 17:32 [转载]
[导读]防火墙产品从上世纪九十年代至今，虽然历经系统架构和软件形态的多次革新，但在技术发展和用户、带宽不断增长的今天，却愈发难以满足多方面的挑战。
&对于常见的网络层入侵，NGFW所具备的更高每秒新建会话能力在相同软件算法的情况下可以提供更强壮的抗攻击能力;对于应用层攻击，NGFW真正 集成IPS后在一次拆包就可以实现对入侵行为的识别、动作和记录，这种无缝对接保证了对网络入侵行为出现时的时效性、准确性和高处理性能。&山石网科技术 市场经理任磊显然对于NGFW的防御能力深信不疑。
H3C网络安全产品部安全技术总监李彦宾的回答则大相径庭，他对NGFW的表现显然不那么乐观，&面对重大的网络入侵，NGFW融合的设备相对IPS(入 侵防御系统)独立安全设备在稳定性和可靠性方面还有一定的差距。比如IPS透明部署在网络中，在遇到极端情况下，有二层回退、PFC掉电保护等多种可靠性 设计，保证业务的畅通。而NGFW作为网关部署在网络中，一旦出现问题，会造成网络的中断。&
国标中对入侵的定义是指&任何危害或可能危害资源完整性、保密性、可用性的行为&，网络入侵往往包含了多种攻击手段，从攻击过程来看，是一个动态 的、长期的、变化的过程，涉及人员、网络、设备、操作系统、应用系统多个方面。启明星辰边界安全产品部副经理马骏表示，从纵深防御体系来看，NGFW是定 位在边界防御，考量NGFW的重要指标在于其安全防御能力以及事件库的更新速度，这方面取决于厂商在漏洞研究、漏洞验证、入侵检测、快速响应、硬件整合等 多方面的能力，是厂商综合能力的体现。专业设备在这方面目前做得很成熟，并已经获得市场和用户的认可。在NGFW上还需要时间和市场应用的检验。
应运而生 NGFW是否存在独立市场
产品是最终网络安全需求的深入和目前时刻面临的多变的基于应用和内容网络安全威胁而诞生的，根据Gartner的预测，到2014年底，35%的企业会在 采购安全设备的时候转向下一代防火墙，60%新购买的防火墙将是NGFW。在这种趋势下，传统安全设备厂商不可能熟视无睹，他们的产品都会向高性能的应用 识别和应用防护的方向转变，最终实现普遍的应用层安全。
在谈到NGFW在国内的市场应用前景时，山石网科技术市场经理任磊告诉记者，下一代防火墙代表着防火墙产品发展的一种趋势，在数据处理模式和效率方 面有质的提升，这种提升是为了满足网络发展的需求，这样的话也就理应成为未来用户解决网络安全问题的主流选择，而随着云计算环境下安全的需求和虚拟化技术 的不断普及，在安全方面针对应用的高性能深层防护将出现井喷性需求，市场潜力是巨大的。
&下一代防火墙将开辟一个全新的，独立的网络安全硬件市场，国内的下一代防火墙市场处于起步阶段，却发展迅速，而主流的安全硬件厂商都已推出了基于 下一代防火墙概念的产品也恰恰验证了这一市场的广阔前景;国内用户在选择安全产品时，肯定会发现下一代防火墙产品正是能解决日益增多的企业网络安全问题， 日益下降的网络性能问题，困扰网管们的网络管理问题的最佳产品。&
梭子鱼产品经理潘渊表示。
绿盟科技产品市场经理段继平认为，短期内NGFW在国内不会形成独立的市场，将依然会与传统的防火墙，UTM，甚至IPS，上网行为等网关类产品形 成直接竞争。中期内，由于国内各类用户对新产品的认可度不同，NGFW产品将首先会在大型企业，金融，电信等中高端领域逐渐被用户接受。长期内，由于 NGFW代表了未来综合安全网关的发展方向，国内其他
FW，UTM等类厂商会逐渐改进现有产品线以符合NGFW方向。最终NGFW会成为综合网关市场最核心的产品形态。
&根据企业需求部署网络安全网关产品是比较具有性价比的模式。对于中大型企业来说，NGFW的功能、性能、管理等方面都更胜一筹，所以是一种更好的 选择。对于一些小企业来说，网络结构简单，安全问题不突出，则可以选择单一的安全产品或者是UTM。目前的NGFW还是以行业用户应用为主。&
天融信方案与推广副总裁刘辉认为。
作为Internet安全网关，在部署以及维护管理上有很好的优势，可以满足中小企业的需求，在云计算和数据中心环境下各个厂商也提出推出了适应这种环境 要求的安全网关。H3C网络安全产品部安全技术总监李彦宾认为，但由于没有统一标准，在技术上还需要进一步提高发展和规范，整个市场还需要培育。
网络改造 如何选型NGFW
企业选择下一代防火墙应该从自身需求角度出发，在提供应用识别、访问控制、入侵防御等基本功能的基础上，综合处理性能、每秒新建、最大并发连接数和 接口数量都是衡量一款设备是否满足要求的重要指标。山石网科技术市场经理任磊同时强调，升级的及时性、管理界面的友好度、技术支持能力都是考虑的因素，而 在一台设备承载网络中越来越多职能的今天，良好的软硬件扩展性、设备的高可靠能力也开始被大多数用户所关注。
SonicWALL中国区技术经理蔡永生给出了企业选型NGFW更为细致的要素。
&性能。IPS与其他功能的紧密集成是实现NGFW极低网络延迟的关键。
强大的扫描功能。许多NGFW提供商都在大肆宣传DPI功能，但对这些产品的测试发现，DPI功能会大幅降低网络的安全防御能力。评估时，应选择具备以下 功能的NGFW：可扫描各种大小的文件;可解密、扫描和重新加密SSL数据包;可扫描穿越所有端口的原始TCP流量以及大量协议。
&易管理性。
&应用智能、控制和可视化。
&经带扩展的NetFlow和IPFix报告的能力。NetFlow和IPFix是向外部收集程序报告网络流量的两大行业标准。NetFlow部署于交换机和路由器，可导出各种数据，如IP地址源和目的地、源端口和目标端口、3层协议类型和服务等级。
深信服市场行销部技术总监殷浩强调了NGFW应具备完整的应用内容防护功能，避免安全防护的短板。能够提供完整的漏洞防护能力，不但可以针对服务器 OS、应用系统的漏洞提供防护，还可以针对终端浏览器、恶意代码、Office软件的漏洞提供防护能力。具备Web服务器强化防护，支持防应用扫描、防 SQL注入、OS注入、XSS攻击、URL权限控制、数据保护等功能，以避免来自内容级别的入侵窃取服务器关键数据。
瞻博网络大中国区产品市场经理谭俊特别指出，下一代防火墙与整体安全架构的协同防护能力。NGFW需要和其他企业安全基础设施整合，具备感知全方位安全、应用和身份信息的能力，才能充分发挥其效能。
企业部署NGFW，将有效地简化传统安全架构并提升其感知应用和用户的能力。但NGFW并不是一个孤立的元素，更需要整合到整体的安全体系中才能充 分发挥其效果，实现有效地全面安全防护。谭俊同时强调，作为企业而言，在迁移中需要基于当前需求，以及下一步虚拟化，云计算的应用趋势来考虑整合安全架构 的设计。首先要选择满足相应容量，性能和可靠性要求的平台，其次要在该平台上部署高度集成的NGFW安全服务，最后还要注意该方案能够具备方便的，不影响 业务的添加新的安全服务和扩充新的容量的能力。
NGFW从功能上满足了用户多个层次的安全需求(如FW、IPS及应用访问控制)，可以简化企业边界安全部署。从架构上来说，NGFW仍属于边界安 全产品，对于传统安全架构影响不大。对于新建网络来说，部署NGFW比较简单;但是在网络改造过程中的替代部署，则需要企业与厂商仔细评估NGFW对原设 备功能的替代度。正如启明星辰边界安全产品部副经理马骏举的一个例子，原有FW系统支持VPN，这就需要评价NGFW的VPN协议的支持、隧道数的支持、 用户数的支持、算法的支持、认证模式等多项指标。企业在向NGFW迁移时，首先要考虑自身的边界安全需求，包括性能及功能两个方面，现有的NGFW是否能 够替代原有多个安全设备，能否满足新的安全需求?如果不能完全替换，则需考虑跟NGFW如何配合使用，以及在配合使用下的综合运营成本，不能简单考虑只是 设备的替换。
[责任编辑：张存]
日，全球领先的独立企业数据集成软件提供商Informatica在北京召开了媒体见面会，Informatica公司执行副总裁兼首席营销官Margaret Breya女士和Informatica大中国区总经理王晨杰先生向到会的数十家媒体阐释了Informatica公司最新发展蓝图，共享了数据集成和数据质量管理方面的成功经验，以及布局中国市场的最新思路。