防火墙和系统安全防护和优化

-- —— 关于防火墙  —— --

1.防火墙的定义

        所谓“防火墙”是指一种将内部网和公众访问网（如Internet）分开的方法，它实际上是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，隔离技术。越来越多地应用于专用网络与公用网络的互联环境之中，尤其以接入Internet网络为最甚。 
        防火墙代主要是借助硬件和软件的作用于内部和外部网络的环境间产生一种保护的屏障，从而实现对计算机不安全网络因素的阻断。只有在防火墙同意情况下，用户才能够进入计算机内，如果不同意就会被阻挡于外，防火墙技术的警报功能十分强大，在外部的用户要进入到计算机内时，防火墙就会迅速的发出相应的警报，并提醒用户的行为，并进行自我的判断来决定是否允许外部的用户进入到内部，只要是在网络环境内的用户，这种防火墙都能够进行有效的查询，同时把查到信息朝用户进行显示，然后用户需要按照自身需要对防火墙实施相应设置，对不允许的用户行为进行阻断。通过防火墙还能够对信息数据的流量实施有效查看，并且还能够对数据信息的上传和下载速度进行掌握，便于用户对计算机使用的情况具有良好的控制判断，计算机的内部情况也可以通过这种防火墙进行查看，还具有启动与关闭程序的功能，而计算机系统的内部中具有的日志功能，其实也是防火墙对计算机的内部系统实时安全情况与每日流量情况进行的总结和整理。
        防火墙是在两个网络通讯时执行的一种访问控制尺度，能最大限度阻止网络中的黑客访问你的网络。是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。

2.防火墙的功能

1、入侵检测功能

        网络防火墙技术的主要功能之一就是入侵检测功能，主要有反端口扫描、检测拒绝服务工具、检测CGI/IIS服务器入侵、检测木马或者网络蠕虫攻击、检测缓冲区溢出攻击等功能，可以极大程度上减少网络威胁因素的入侵，有效阻挡大多数网络安全攻击。

2.、网络地址转换功能

        利用防火墙技术可以有效实现内部网络或者外部网络的IP地址转换，可以分为源地址转换和目的地址转换，即SNAT和NAT。SNAT主要用于隐藏内部网络结构，避免受到来自外部网络的非法访问和恶意攻击，有效缓解地址空间的短缺问题，而DNAT主要用于外网主机访问内网主机，以此避免内部网络被攻击。

3、网络操作的审计监控功能

        通过此功能可以有效对系统管理的所有操作以及安全信息进行记录，提供有关网络使用情况的统计数据，方便计算机网络管理以进行信息追踪。

4、强化网络安全服务

        防火墙技术管理可以实现集中化的安全管理，将安全系统装配在防火墙上，在信息访问的途径中就可以实现对网络信息安全的监管。

3.防火墙类型

（1）过滤型防火墙

        过滤型防火墙是在网络层与传输层中，可以基于数据源头的地址以及协议类型等标志特征进行分析，确定是否可以通过。在符合防火墙规定标准之下，满足安全性能以及类型才可以进行信息的传递，而一些不安全的因素则会被防火墙过滤、阻挡。

（2）应用代理类型防火墙

        应用代理防火墙主要的工作范围就是在OIS的最高层，位于应用层之上。其主要的特征是可以完全隔离网络通信流，通过特定的代理程序就可以实现对应用层的监督与控制。这两种防火墙是应用较为普遍的防火墙，其他一些防火墙应用效果也较为显著，在实际应用中要综合具体的需求以及状况合理的选择防火墙的类型，这样才可以有效地避免防火墙的外部侵扰等问题的出现。

（3）复合型

         目前应用较为广泛的防火墙技术当属复合型防火墙技术，综合了包过滤防火墙技术以及应用代理防火墙技术的优点，譬如发过来的安全策略是包过滤策略，那么可以针对报文的报头部分进行访问控制；如果安全策略是代理策略，就可以针对报文的内容数据进行访问控制，因此复合型防火墙技术综合了其组成部分的优点，同时摒弃了两种防火墙的原有缺点，大大提高了防火墙技术在应用实践中的灵活性和安全性。

 

4.防火墙的安全策略及其三种工作模式

安全策略（缺省情况下，域内安全策略缺省动作为允许）：
1、域间或域内安全策略：用于控制域间或域内的流量，此时的安全策略既有传统包过滤功能，也有对流量进行IPS、AV、Web过滤、应用控制等进一步的应用层检测的作用。
     域间或域内安全策略是包过滤、UTM应用层检测等多种安全检查同时实施的一体化策略。
2.应用在接口上的包过滤规则：用于控制接口的流量，就是传统的包过滤功能，基于IP、MAC地址等二、三层报文属性直接允许或拒绝报文通过。

 

域间安全策略（需要设置转发出入口方向（即inbound和outbound））：
1.转发策略：控制设备转发的流量，包括传统的包过滤和应用层的UTM检测。（UTM仅在该策略中实现）
2.本地策略：控制外界与设备的互访，只根据五元组进行控制。

域内安全策略：基本策略同上，唯一区别是不需要设置转发出入口，且不能对local域内流量控制。
UTM策略（应用层检测）：通过设置policy对匹配条件进行判断（action{permit|deny}IPS、AV等UTM策略，默认action为permit）

安全策略应用方向：由于USG是基于对话的安全策略，只对同一会话的首包检测，后续包直接按照首包的动作进行处理。
             所以对同一条会话来说只需要在首包的发起方向上，也就是访问发起的方向上应用安全策略。
注：配置安全策略时，先配置明细策略，在配置宽泛策略，避免屏蔽了对特定流量的细化控制

防火墙的三种工作模式：
1、路由模式：防火墙以第三层对外连接（接口具有IP地址），此时可以完成ACL包过滤，ASPF动态过滤、NAT转换等功能。
     注：路由模式需要对网络拓扑进行修改
2、透明模式：防火墙以第二层对外连接（接口没有IP地址），此时相当于交换机，部分防火墙不支持STP
3、混合模式：混合上面两种

防火墙数据包安全匹配顺序：
1、NAT服务器
2、域间的ACL规则
3、域间的ASPF
4、域间的NAT
5、域间的缺省规则

-- —— 关于系统安全防护和优化  —— --

安全防范系统（security & protection system，SPS） 以维护社会公共安全为目的，运用安全防范产品和其它相关产品所构成的入侵报警系统、视频安防监控系统、出入口控制系统、防爆安全检查系统等；或由这些系统为子系统组合或集成的电子系统或网络。

 

 

1、更新系统补丁

 补丁是系统安全最基本的保障，因此需要及时将补丁更新至最新。

千万不要使用任何第三方软件更新补丁，用Windows自带的补丁更新工具才是最好的。没有谁比微软更了解Windows，而且第三方软件有可能会加入一些自己的软件进去，比如某安全巨头公司曾经就干过这种卑鄙的事情。

2、禁用不需要的服务

以下服务必须禁用：Server、Workstation、Print Spooler、Remote Registry、Routing and Remote Access、TCP/IP NetBIOS Helper、Computer Browser

3、卸载危险组件

regsvr32 /u %SystemRoot%\system32\shell32.dll

regsvr32 /u %SystemRoot%\system32\wshom.ocx

4、删除危险权限

由于系统权限设置的地方非常多，我们只能公布常用的部分。

部分文件被系统隐藏了，不便于设置，因此我们先将所有文件显示出来。

5、更改远程端口

有很多暴力破解工具专门针对远程登录，更改远程端口能防范扫描。

更改端口后注意到防火墙添加新端口放行规则。

6、开启防火墙

只开放需要的端口，如：21、80、3389