Downloads

×

注意

该论坛处于只读模式。
Welcome, 来宾
Username: Password: Remember me
  • 页:
  • 1
  • 2
  • 3

TOPIC:

了解什么防火墙能够 10 years 2 weeks ago #36136

我试图弄清楚防火墙真正使一台机器安全的程度。我听说,只要您没有服务在端口上侦听,就无法通过该端口闯入该计算机。而且我还听说,专业人士可以通过现有的任何防火墙,一旦在防火墙后面发送了一些东西,就可以从内部将其打开到更多。

因此,我试图弄清楚我自己需要做些什么,以便自己了解防火墙的真正安全性……否则,对于任何有意见的人来说,这将是永无休止的仇恨,而我将永远是困惑。

我已经阅读了诸如ASA 5505之类的设备的配置手册,但只是在用户级别上,希望有人可以给我一些启示或为我提供正确的资源,以便使我能够更深入地了解当今机器的真正安全性。这将是一个漫长的研究,但我赞成。

任何帮助,不胜感激。

回复:了解防火墙的功能 10 years 2 weeks ago #36137

Ender,

保护防火墙安全是一个重要的话题,论坛话题无法涵盖,但是,我们所有人都可以提供一些投入,以帮助清除现场情况。

所谓的安全防火墙背后有一个大理论,我个人认为,这是您可能永远不会与其他人100%同意的主题之一-每个人都基于他们的经验发表自己的看法。

防火墙旨在保护内部网络免受公共攻击,而有时也用于保护Intranet中的特定网段。

最基本功能中的“防火墙”是一种设备,它可以根据管理员应用的访问列表来允许网络中的流量进出。因此,如果管理员说允许从内部到外部(公共)的端口80,则防火墙将做到这一点。

看起来很安全,但并不是您所知道的那么安全。防火墙将不会检查数据有效载荷的内容,以检查其有效数据还是某种类型的攻击。此外,最早期的防火墙不会检查进入网络的HTTP会话是否实际上是源自内部客户端的有效TCP会话。

这两个重要的安全功能导致了旨在克服这些限制的下一代防火墙。

具有集成IPS(入侵防御系统)的防火墙将检查通过防火墙的每个数据包,并针对大型数据库检查它是否可疑。如果发现某个数据包或数据流可疑,它将自动阻止该数据流,从而防止对公司的攻击或黑客攻击。

状态防火墙的出现在“早期基本防火墙”之后。这些防火墙将监视每个会话,以确保所有TCP会话实际上都是对先前内部请求的答复-或反过来取决于其配置方式。

这两个功能提供了更高级别的安全性和对数据包流的深入检查,从而提高了保护水平。

但是,尽管有这些新功能,仍然有一些方法可以绕过受它们保护的防火墙!

正如您所正确指出的那样,这些天很多尝试都是从内部而不是外部进行的。用户接受来自可疑网站或电子邮件的下载,运行该下载,没有任何反应。该应用程序会自行安装并开始自动下载造成损害的另一个应用程序,打开端口连接到Internet或从本地主机扫描信息,并连接到与其连接的网络驱动器,然后通过电子邮件或其他方法将其发送出去。

如您所知,仅拥有一个带有所有功能的防火墙是不够的。

我坚信,必须将防火墙技术与本地主机保护(例如防病毒/反间谍软件)相结合,再加上对内部用户可用的服务和站点的非常严格的政策,例如使用具有内容过滤功能的代理服务器。

结合使用这些解决方案肯定会进一步加强安全性,直到出现其他新攻击,并且我们被迫投资更新技术来保护我们的网络免受攻击!

我希望这位个人查看者能提供有关我如何看待事物的见解,显然您可以找到很多资源,并且强烈建议您阅读以下标题,这些标题将为您提出的问题提供真实的例子:

1)揭露高科技犯罪-艾迪生·韦斯利(ISVN)ISBN 0-321-21873-6
2)保卫IT-艾迪生·韦斯利ISBN 0-321-19767-4
3)犯罪软件-Symantec Press ISBN:0-321-50195-0

前两个标题是个人的最爱,它使您了解一些非常令人兴奋的黑客调查和访谈的幕后故事。从他们那里可以学到很多东西!

结束语,如果有人想就这个伟大的话题提供一些意见,请这样做-我觉得这对于社区来说是非常值得的。


干杯,
克里斯·帕特塞尼迪斯
创办人兼总编辑
www.Firewall.cx

回复:了解防火墙的功能 10 years 2 weeks ago #36139

Hi Chris,

简要介绍一下,我想到的一个问题是,为什么没有硬件或软件中的安全类型能提供“多合一”保护。

1)防火墙+内容过滤+ IDS / PS + SSL + IAM(身份和访问管理)

2)Windows和Linux之类的操作系统是否可能带有Internet保护软件内置的防病毒功能。

任何想法 ?

提前致谢。

里津
已知是下降,未知是海洋

回复:了解防火墙的功能 10 years 2 weeks ago #36141

结合使用这些解决方案肯定会进一步加强安全性,直到出现其他新攻击,并且我们被迫投资更新技术来保护我们的网络免受攻击!


因此,可以肯定地说所有防火墙都能够执行当前的最佳实践。与病毒一样,您只能与自己知道的东西作斗争,而对自己不知道的事情则容易受到攻击(这意味着您总是为时已晚,因为组始终在进行新的攻击)。因此,我想知道您如何在威胁为时已晚之前意识到威胁(这就是对更新技术进行投资的含义)。我讨厌回答自己的问题,因为我永远不会对它们感到满意。

端口,总线和微处理器来路由数据包。每当您需要增加更好的保护时,只需升级软件即可。但是硬件处于固定状态,无法更改。我的ASA 5505都是在中国制造的,因此可以说没有在芯片中添加后门,从而在需要时会使所有保护失效。

在网络战中总会有一种新的攻击,其中团体不承认存在这种攻击,仅用作最后的预防措施。因此,在我看来,没有安全解决方案之类的东西,而一切都只是一个hack。需要克服一些困难,然后设计解决方案来做到这一点。

我可能已经从最初询问的话题中脱颖而出,一般的互联网安全是我正在研究的另一个兴趣。感谢您的宝贵时间和对您答复的思考。我只是订购了这三本书。提出很好的建议真是太好了,我将继续阅读这些书,以尝试了解防火墙操作系统当前具有的功能,或者至少是它们目前试图防止的功能。

为什么在硬件或软件中都没有安全类型成为“多合一”保护。

我只能想象原因是:
-涉及的技术非常复杂,并且每个领域本身就是一个专业领域,这使集成变得复杂。
-供应商并非各尽所能,因此您需要混合使用各种供应商"chain"兼容的解决方案。
-利润率。
-出售操作系统的OS供应商主要关注"operating systems".

如果没有适当的内置定义(出厂时已发货,则由用户安装),我认为每个操作系统的确都有某种形式的可用解决方案。

回复:了解防火墙的功能 10 years 2 weeks ago #36144

安全永远是落后的一步,甚至听起来很糟糕。

安全性取决于签名的最新性,也取决于您已经说过的良好策略。

当使用良好的防火墙(什么好?)时,您可能还使用具有许可证并每天更新的IDS / IPS。

所有已知的攻击都将被记录,调查并添加到签名库中,只是希望您的公司不是第一个受到新形式攻击的公司。

请注意,99,99%的攻击是基于以前已知的攻击类型,IDS / IPS的创建者将根据攻击的类型而不是specifick攻击来建立通用的签名数据库。特定攻击将基于某种通用类型,因此被阻止(或在IDS情况下为警报)。

如前所述,保护类型的组合将是最好的。您可以结合使用防火墙,IPS,NIPS,HIPS以及最重要的严格策略。

永远不可能有100%安全的环境,但有99,999%的环境是不可能的。黑客发现0.001%只是一个问题,那并不是一件容易的事。

另外,请注意,当黑客(主要是利用数据库)知道一种新型攻击时,IPS / IDS创建者也知道了这种攻击...他们将在寻找新型攻击上做为第二天的工作,新型的进化。...这两者之间的不间断战争(如果它们不相同的话) :) )。
CCNA / CCNP / CCNA-安全性/ CCIP / Prince2 / Checkpoint CCSA

回复:了解防火墙的功能 10 years 1 week ago #36145

Hi All,

@Ender,对您来说是个好消息,多谢Linux怪才尝试IPCop(绝对不值成本)。
Follow this link http://www.ipcop.org/, Im sure you will be pleased with this Security Firewall which combined all features All in One :)

我将在Vmware播放器中对其进行设置以保护主机,我一直坚持配置适配器,但是我很快会在这里提出问题。

注意:尽管IPCop是基于Linux的环境,但不需要Linux知识 :)

担心的注意::cry:我还在嘲笑自己,为什么我在几年前还没有学习Linux:cry:

祝好运 !

里津
已知是下降,未知是海洋
  • 页:
  • 1
  • 2
  • 3
建立页面的时间:0.105秒

CCENT / CCNA

思科公司 Routers

  • SSL WebVPN
  • 保护路由器
  • 基于策略的路由
  • 棒上路由器

虚拟专用网安全

  • 了解DMVPN
  • GRE / IPSec配置
  • 站点到站点IPSec VPN
  • IPSec模式

思科公司 Help

  • 视窗 8 VPN客户端
  • 视窗 7的VPN客户端
  • CCP显示问题
  • 思科支持应用程序。

视窗 2012

  • 新的功能
  • 发牌
  • Hyper-V / VDI
  • 安装Hyper-V

的Linux

  • 文件权限
  • Webmin
  • 群组-用户
  • Samba设置