对此,Microsoft ISA Server 2004采取的应对措施是,针对每一类主流的应用, HTTP、SMTP、FTP和SQL Server数据库访问(基于RPC)都设置专门的过滤器,如果未来出现新的应用层威胁,还可以增加相应的过滤器。用户可以针对每一种过滤器进行应用相关的过滤设置,例如,可以通过限制任何HTTP访问请求的缓冲区不得超过3000个字节来防止一些蠕虫的攻击。在这种新的机制下,来自Internet的数据包被发送到各自的过滤器,过滤器会将数据包重组后进行内容扫描和判别。拿一封邮件来说,SMTP过滤器会等待相关的包到齐后,在转发之前重组邮件对其内容进行扫描,与已知类型的攻击进行比对,在确认这是正常流量后才允许通过。
用户早已习惯于把安全性和性能看成是对立的,就像在机场的安检入口,检查的步骤越多,等待安检的队伍也就越长。对于防火墙来说,性能和安全的确是一对永远的矛盾,但是应用层过滤的功能对防火墙性能的影响并没有多数用户想象得那么大,Microsoft ISA Server 2004标称每秒钟可处理超过1000个并发用户,同时保持每会话(session)27Mbps的吞吐量。事实上,有些厂商通过硬件(ASIC)实现应用层的过滤引擎,能够达到更加接近线速(可理解为以太网交换机的处理极限)的处理能力。
Kerio Personal Firewall 采用了专业的防黑技术,可以确保你的计算机不被任何黑客侵扰,资源占用极少,支持 MD5 文件校验,支持远程管理。 对个人用户完全免费,商业用途则是30天试用。
11.Sygate Personal Firewall(SFW)◆◆
Sygate Personal Firewall 是一个简单易用的个人防火墙,适合于那些网络中的单机用户来防止入侵者非法进入系统。作为一个基于主机的解决方案,该软件提供了 多层保护的防火墙安全环境,可以有效地防止入侵者和黑客的侵袭。与真正的防火墙不同的是,Sygate Personal Firewall 能够从系统内部进行保护,并且可以在后台不间断地运行。另外,该软件还提供有安全访问和访问监视功能,并可向你提供所有用户的活 动报告,当检测到入侵和不当的使用后,能够立即发出警报。
第三类攻击防火墙的方法是寻找、利用防火墙系统实现和设计上的安全漏洞,从而有针对性地发动攻击。这种攻击难度比较大,可是破坏性很大。作者: sunweipeng 时间: 2009-7-31 08:15
Windows XP SP2在安全方面做了重大的调整,安全设计融合到整个操作系统中,防火墙屏障、操作系统补丁和更新病毒库等理念形成一个安全体系,而防火墙是这个安全体系的第一道屏障,它提供了一个强大的保护层,可以阻止恶意用户和程序依*未经请求的传入流量攻击计算机。Windows XP SP2防火墙又称ICF(Internet Connection frewall),已经具备个人防火墙的基本功能,它是一种能够阻截所有传入的未经请求的流量的状态防火墙。这些流量既不是响应计算机请求而发送的流量(请求流量),也不是事先指定允许传入的未经请求的流量(异常流量)。这有助于使计算机更加安全,使您可以更好地控制计算机上的数据。和Windows良好的兼容性及可*性是其它个人防火墙所不能比拟的。
注:此文只探讨Windows 防火墙原理、功能变化以及应用过程中可能遇到问题和解决办法,不描述怎样设置Windows 防火墙,如果未特别说明,本文所提到的Windows 防火墙指Windows XP SP2防火墙。
当您单击选中“不允许例外”时,Windows 防火墙将阻止所有连接到您的计算机的请求,即使请求来自“例外”选项卡上列出的程序或服务也是如此。防火墙还会阻止发现网络设备、文件共享和打印机共享。当您连接到公用网络(例如,与机场或旅馆相关的网络)时,“不允许例外”选项十分有用。此设置可以阻止所有连接到您的计算机的尝试,因而有助于保护您的计算机。当您使用 Windows 防火墙并启用了“不允许例外”选项时,您仍然可以查看网页,收发电子邮件或使用即时消息传递程序。
针对“例外”的说明
“例外”选项卡使您可以添加程序和端口例外,以允许特定类型的传入通信。您可以为每个例外设置范围。
对于家庭和小型办公室网络,我们建议您在可能的条件下,将范围设定为仅限局域网内部。这样配置可以使同一个子网上的计算机可以与此计算机上的程序连接,但拒绝源自远程网络的通信。作者: sunweipeng 时间: 2009-7-31 08:16
四、Windows XP SP2的防火墙真的安全吗?
网络资源共享的一个重要应用是文件和打印共享,如果启用了防火墙是不是象2003或XPSP1中的防火墙一样,阻止了文件和打印共享服务呢?在Windows XP SP22的防火墙下部署文件和打印共享服务非常简单,不必担心出现早期版本遇到的难堪的困难,如上图在“例外”选项上“程序和服务”列表中选择“文件及打印机共享”就可以了。曾几何时,在XPSP1防火墙中如果要让防火墙和网上邻居共存需要映射多个端口,现在,如果在Windows XP SP2防火墙启用了“文件及打印机共享”,网上邻居不能正确显示的问题也迎刃而解。
这样可能带来新问题!如果企业网络同时连接外部网络,比如INTERNET,对外开放这些端口是不安全的。Windows XP SP2防火墙考虑到了这个安全问题,在“编辑服务”选项中点击“更改范围”,在弹出的对话框中选择“仅我的网络(子网)”,这样设置后,文件和打印共享服务只对内部提供提供,而对外而言服务是不可见的,这样就安全多了
通过Windows XP SP2防火墙实现远程协作的方法很简单,虽然远程协作使用的是动态端口。在防火墙设置对话框中的“例外”选项卡上“程序和服务”列表中选择“远程协作”项目,这样Windows自动监视并正确处理来自sessmgr.exe应用程序的所有通讯请求完成连接。
Windows NetMeeting 的远程桌面要复杂一些,尽管在例外选项卡中有“远程桌面”选项,但是如果你选择这个选项,实际是开放了TCP的端口3389,也可能无法完成远程桌面连接,正确的方法是:在 Windows 防火墙打开的情况下,在可以使用 Windows NetMeeting 的远程桌面共享功能之前,必须向 Windows 防火墙的“例外”选项卡上“程序和服务”列表中分别为 Windows NetMeeting 和 Mnmsrvc.exe( Drive:\Windows\System32 目录中)文件和conf.exe(Drive:\Program Files\NetMeeting 文件夹中)文件分别添加一个条目。