TOPIC:

我试图弄清楚防火墙真正使一台机器安全的程度。我听说，只要您没有服务在端口上侦听，就无法通过该端口闯入该计算机。而且我还听说，专业人士可以通过现有的任何防火墙，一旦在防火墙后面发送了一些东西，就可以从内部将其打开到更多。

因此，我试图弄清楚我自己需要做些什么，以便自己了解防火墙的真正安全性……否则，对于任何有意见的人来说，这将是永无休止的仇恨，而我将永远是困惑。

我已经阅读了诸如ASA 5505之类的设备的配置手册，但只是在用户级别上，希望有人可以给我一些启示或为我提供正确的资源，以便使我能够更深入地了解当今机器的真正安全性。这将是一个漫长的研究，但我赞成。

任何帮助，不胜感激。

Ender,

保护防火墙安全是一个重要的话题，论坛话题无法涵盖，但是，我们所有人都可以提供一些投入，以帮助清除现场情况。

所谓的安全防火墙背后有一个大理论，我个人认为，这是您可能永远不会与其他人100％同意的主题之一-每个人都基于他们的经验发表自己的看法。

防火墙旨在保护内部网络免受公共攻击，而有时也用于保护Intranet中的特定网段。

最基本功能中的“防火墙”是一种设备，它可以根据管理员应用的访问列表来允许网络中的流量进出。因此，如果管理员说允许从内部到外部（公共）的端口80，则防火墙将做到这一点。

看起来很安全，但并不是您所知道的那么安全。防火墙将不会检查数据有效载荷的内容，以检查其有效数据还是某种类型的攻击。此外，最早期的防火墙不会检查进入网络的HTTP会话是否实际上是源自内部客户端的有效TCP会话。

这两个重要的安全功能导致了旨在克服这些限制的下一代防火墙。

具有集成IPS（入侵防御系统）的防火墙将检查通过防火墙的每个数据包，并针对大型数据库检查它是否可疑。如果发现某个数据包或数据流可疑，它将自动阻止该数据流，从而防止对公司的攻击或黑客攻击。

状态防火墙的出现在“早期基本防火墙”之后。这些防火墙将监视每个会话，以确保所有TCP会话实际上都是对先前内部请求的答复-或反过来取决于其配置方式。

这两个功能提供了更高级别的安全性和对数据包流的深入检查，从而提高了保护水平。

但是，尽管有这些新功能，仍然有一些方法可以绕过受它们保护的防火墙！

正如您所正确指出的那样，这些天很多尝试都是从内部而不是外部进行的。用户接受来自可疑网站或电子邮件的下载，运行该下载，没有任何反应。该应用程序会自行安装并开始自动下载造成损害的另一个应用程序，打开端口连接到Internet或从本地主机扫描信息，并连接到与其连接的网络驱动器，然后通过电子邮件或其他方法将其发送出去。

如您所知，仅拥有一个带有所有功能的防火墙是不够的。

我坚信，必须将防火墙技术与本地主机保护（例如防病毒/反间谍软件）相结合，再加上对内部用户可用的服务和站点的非常严格的政策，例如使用具有内容过滤功能的代理服务器。

结合使用这些解决方案肯定会进一步加强安全性，直到出现其他新攻击，并且我们被迫投资更新技术来保护我们的网络免受攻击！

我希望这位个人查看者能提供有关我如何看待事物的见解，显然您可以找到很多资源，并且强烈建议您阅读以下标题，这些标题将为您提出的问题提供真实的例子：

1）揭露高科技犯罪-艾迪生·韦斯利（ISVN）ISBN 0-321-21873-6
2）保卫IT-艾迪生·韦斯利ISBN 0-321-19767-4
3）犯罪软件-Symantec Press ISBN：0-321-50195-0

前两个标题是个人的最爱，它使您了解一些非常令人兴奋的黑客调查和访谈的幕后故事。从他们那里可以学到很多东西！

结束语，如果有人想就这个伟大的话题提供一些意见，请这样做-我觉得这对于社区来说是非常值得的。


干杯，

Hi Chris,

简要介绍一下，我想到的一个问题是，为什么没有硬件或软件中的安全类型能提供“多合一”保护。

1）防火墙+内容过滤+ IDS / PS + SSL + IAM（身份和访问管理）

2）Windows和Linux之类的操作系统是否可能带有Internet保护软件内置的防病毒功能。

任何想法 ？

提前致谢。

里津

结合使用这些解决方案肯定会进一步加强安全性，直到出现其他新攻击，并且我们被迫投资更新技术来保护我们的网络免受攻击！

因此，可以肯定地说所有防火墙都能够执行当前的最佳实践。与病毒一样，您只能与自己知道的东西作斗争，而对自己不知道的事情则容易受到攻击（这意味着您总是为时已晚，因为组始终在进行新的攻击）。因此，我想知道您如何在威胁为时已晚之前意识到威胁（这就是对更新技术进行投资的含义）。我讨厌回答自己的问题，因为我永远不会对它们感到满意。

端口，总线和微处理器来路由数据包。每当您需要增加更好的保护时，只需升级软件即可。但是硬件处于固定状态，无法更改。我的ASA 5505都是在中国制造的，因此可以说没有在芯片中添加后门，从而在需要时会使所有保护失效。

在网络战中总会有一种新的攻击，其中团体不承认存在这种攻击，仅用作最后的预防措施。因此，在我看来，没有安全解决方案之类的东西，而一切都只是一个hack。需要克服一些困难，然后设计解决方案来做到这一点。

我可能已经从最初询问的话题中脱颖而出，一般的互联网安全是我正在研究的另一个兴趣。感谢您的宝贵时间和对您答复的思考。我只是订购了这三本书。提出很好的建议真是太好了，我将继续阅读这些书，以尝试了解防火墙操作系统当前具有的功能，或者至少是它们目前试图防止的功能。

为什么在硬件或软件中都没有安全类型成为“多合一”保护。

我只能想象原因是：
-涉及的技术非常复杂，并且每个领域本身就是一个专业领域，这使集成变得复杂。
-供应商并非各尽所能，因此您需要混合使用各种供应商"chain"兼容的解决方案。
-利润率。
-出售操作系统的OS供应商主要关注"operating systems".

如果没有适当的内置定义（出厂时已发货，则由用户安装），我认为每个操作系统的确都有某种形式的可用解决方案。

安全永远是落后的一步，甚至听起来很糟糕。

安全性取决于签名的最新性，也取决于您已经说过的良好策略。

当使用良好的防火墙（什么好？）时，您可能还使用具有许可证并每天更新的IDS / IPS。

所有已知的攻击都将被记录，调查并添加到签名库中，只是希望您的公司不是第一个受到新形式攻击的公司。

请注意，99,99％的攻击是基于以前已知的攻击类型，IDS / IPS的创建者将根据攻击的类型而不是specifick攻击来建立通用的签名数据库。特定攻击将基于某种通用类型，因此被阻止（或在IDS情况下为警报）。

如前所述，保护类型的组合将是最好的。您可以结合使用防火墙，IPS，NIPS，HIPS以及最重要的严格策略。

永远不可能有100％安全的环境，但有99,999％的环境是不可能的。黑客发现0.001％只是一个问题，那并不是一件容易的事。

另外，请注意，当黑客（主要是利用数据库）知道一种新型攻击时，IPS / IDS创建者也知道了这种攻击...他们将在寻找新型攻击上做为第二天的工作，新型的进化。...这两者之间的不间断战争（如果它们不相同的话） ）。

Hi All,

@Ender，对您来说是个好消息，多谢Linux怪才尝试IPCop（绝对不值成本）。
Follow this link http://www.ipcop.org/, Im sure you will be pleased with this Security Firewall which combined all features All in One

我将在Vmware播放器中对其进行设置以保护主机，我一直坚持配置适配器，但是我很快会在这里提出问题。

注意：尽管IPCop是基于Linux的环境，但不需要Linux知识

担心的注意：：cry：我还在嘲笑自己，为什么我在几年前还没有学习Linux：cry：

祝好运 ！

里津