解析C/S架构的分布式防火墙
2010-09-16 12:21:18企业迫切需要一套真正能够解决网络内部和外部,防火墙和防黑客的安全解决方案,而基于C/S架构的分布式防火墙很好地满足了这一需求:它是由安全策略管理 服务器 [Server]以及客户端防火墙[Client]组成,综合运用多种先进的网络安全技术,为客户提供可靠的网络安全服务.
防火墙的概念已经路人皆知,不论是企业还是个人为了保护自己的网络安全纷纷安装了防火墙。对于企业而言,为了保护自身的数据不被泄漏,防火墙也成为了必备的安全产品。但是防护墙之能够防护外部网络的入侵,却无法对内部访问进行控制。然而分布式防火墙的出现恰恰解决了这一需求。
一. 分布式防火墙系统架构
分布式防火墙由安全策略管理服务器[Server]以及客户端防火墙[Client]组成.客户端防火墙工作在各个从服务器、工作站、个人计算机上,根据安全策略文件的内容,依靠包过滤、特洛伊木马过滤和脚本过滤的三层过滤检查,保护计算机在正常使用网络时不会受到恶意的攻击,提高了网络安全性。而安全策略管理服务器则负责安全策略、用户、日志、审计等的管理。该服务器是集中管理控制中心,统一制定和分发安全策略,负责管理系统日志、多主机的统一管理,使终端用户“零”负担。
二. 分布式防火墙功能解析
在上述图1所示的分布式防火墙解决方案中,左边为政府/企业内部网络(内网)的应用拓扑结构图,中间为Internet公众网络,我们称之为外部网络(外网),右边为政府/企业办公和业务的延伸部分,处于外部网络环境中。在内部的财务、总裁办、人事、档案、网络管理等主机,以及数据库服务器,文件服务器上存放着政府/企业的重要信息,这些信息一旦泄漏或者存放信息的主机遭到破坏,会给政府/企业带来不良的后果。如果不采取相应措施,此网络很容易遭受来自外网和内网上的黑客攻击。若使用边界式防火墙,则外网的攻击将被阻拦,但从数据统计看,还有大部分网络攻击/破坏来源于内部网络的黑客或员工的不小心应用,这时普通防火墙就无能为力了。而政府/企业的移动办公人员、代理商、合作伙伴、远程分支机构在外部网络上很容易受到外部黑客的攻击。所以说,能够很好的阻挡内部和外部网络攻击是政府/企业内部网络安全的重要任务。分布式防火墙能很好地解决上述问题。在内部网络的主服务器安装上分布式防火墙产品的安全策略管理服务器后,设置组和用户分别分配给相应的从服务器和PC机工作站,并配置相应安全策略;将客户端防火墙安装在内网和外网中的所有PC机工作站上,客户端与安全策略管理服务器的连接采用SSL协议建立通信的安全通道,避免下载安全策略和日志通信的不安全性。同时客户端防火墙的机器采用多层过滤,入侵检测,日志纪录等手段,给主机的安全运行提供强有力的保证. 具体功能描述如下:
1、阻止网络攻击
目前,黑客们常用的攻击手段有以下几种:(1)DoS拒绝服务式攻击
拒绝服务攻击是目前网络中新兴起的攻击手段,针对TCP/IP协议的漏洞,使对方服务器承受过多的信息请求而无法处理,产生阻塞导致正常用户的请求被拒绝。一般地有如下方式:(a)Ping-Flood:使用简单的Ping命令对服务器发送数据包,如果在很短的时间内服务器收到大量Ping数据包,那么服务器就需要耗费很多资源去处理这些数据包从而导致无法正常工作。(b)TCP-SYN-Flood: SYN数据包是两台计算机在进行TCP通信之前建立握手信号时所用,正常情况下,SYN数据包中包含有想要进行通信的源机器的IP地址,而服务器收到SYN数据包后将回复确认信息,源机器收到后再发送确认信息给服务器,服务器收到,二者就可以建立连接进行通信了。采用这种攻击方式就是在某一个极短的时间内向对方服务器发送大量的带有虚假IP地址的SYN数据包,服务器发出确认信息,但是却无法收到对方的回复,就要耗费大量的资源去处理这些等待信息,最后将使系统资源耗尽以至瘫痪。(c)UDP-Flood: UDP是基于非连接的用户数据报通讯协议,不包含流控制机制。UDP数据包很容易使得计算机系统忙于响应而丧失正常的网络业务能力。另外还有诸如ICMP-Flood, IGMP-Flood等攻击手段,在此不一一详述.(2)源路由包攻击
源路由包采用了极少使用的一个IP选项,它允许发起者来定义两台机器间所采取的路由,而不是让中间的路由器决定所走的路径。与ICMP的重定向相比,这种特性能使一个黑客来欺骗你的系统,使之相信它正在与一台本地机器、一台ISP机器或某台其他可信的主机对话。(3)利用型攻击
利用型攻击是一类试图直接对你的机器进行控制的攻击,最常见的就是特洛伊木马(Trojan Horse)。例如BO2000就是典型的特洛伊木马程序。(4)信息收集型攻击
信息收集型攻击在初期并不对目标本身造成危害,而是被用来为进一步入侵提供有用的信息,例如:端口扫描技术,黑客使用特殊的应用程序对服务器的每个端口进行测试,以寻找可以进入的端口或者找出某些端口可以利用的安全漏洞。
以上的各种攻击手段,分布式防火墙可以及时地发现,并且采取相应的措施以控制事件的进一步发展,同时记录该攻击事件。2、包过滤
包过滤是防火墙防止计算机受到攻击的最基本方法,防火墙实时地监控进入以及出去的数据包,根据特定的过滤规则决定是否让这些数据包通过。分布式防火墙可以直接处理IP(或与IP级别相当的ARP、RARP以及其它的非IP网络协议)数据包的发送与接收,根据数据包的包头信息,分析出网络协议、源地址、目的地址、源端口以及目的端口,然后对照过滤规则进行过滤。对于不符合过滤规则的数据包,防火墙将拒绝通过,同时进行记录或报警。#p#3、基于状态的过滤
对于面向非连接的UDP网络访问,为了提供较强过滤控制,就必须根据上下文来进行判断。例如:对于一个请求进入的UDP访问,只有在它有对应的出去的UDP访问(地址和端口号相匹配)时才可以接受,否则将拒绝或报警。这就需要IP包过滤模块记录有过去已经发出的UDP访问的列表,这样的列表就叫做上下文。而对于面向连接的TCP访问,同样也可以根据不同的应用协议设定相应的上下文,进行更为细粒度的访问控制。这些技术统称为基于状态的包过滤。对于不符合规则的访问拒绝事件,要进行记录。4、特洛伊木马过滤
如果有黑客侵入到用户的计算机上,他会运行某一些特殊的应用程序与之进行通信,从而获取一些信息。分布式防火墙维护一个已知的应用程序列表,只有列表中的应用程序才可以使用网络,一旦检测到有未知的应用程序企图使用网络,系统将会提醒用户注意,是否要禁止使用或者是加入到允许访问网络的程序列表中.如果用户不小心运行了带有特洛伊木马的程序,当木马程序企图向网络发送信息时,分布式防火墙将会进行拦截。5、脚本过滤
脚本过滤功能对常见的各种脚本,如Java Script脚本、VB Script脚本在运行前被一一进行分析检查,判断它们是否会进行比较危险的操作;如果是,则提醒用户注意,并要求用户决定是否允许该脚本执行,从而有选择地让无害的脚本通过,对恶意的脚本进行拦截,实现实时脚本过滤.6、用户定制的安全策略
用户可以将任意的IP地址加入到自己的信任/不信任地址列表中,对于在信任地址列表中的地址传送过来的数据包,分布式防火墙将不进行任何阻拦,而对于在不信任列表中的地址传送过来的任何数据包,将拒绝接受。如果经常受到某些地址的攻击,用户可以将这些地址加入到不信任地址列表中,拒绝接受这些地址所发出的任何数据包。用户定制的安全策略必须是统一安全策略的超集,也就是说安全级别只能加强不能放松。7、日志和审计
日志用来记录防火墙在运行过程中所出现的各种情况,通过查看日志,用户可以及时、全面地掌握分布式防火墙本身的运转以及用户的访问情况,并可以根据这些日志来制定或修改安全管理策略.强大的日志记录功能,主要包括:(1)软件的安装、升级记录;(2)安全策略改变记录;(3)被拒绝的网络访问记录:包括被拒绝网络访问的应用程序名,使用的协议,源地址和目的地址,使用的端口等;(4)遭受到的攻击记录: 包括攻击者使用的协议、端口、来源地址.8、统一的安全策略管理服务器
安全策略文件以密文形式存放于硬盘中,用户不能直接对其阅读,也不可以对其进行随意更改。分布式防火墙启动时,安全策略文件经解密后加载到防火墙中。复杂的安全策略以Hash表的方法进行检索。使用Hash列表对安全策略文件进行检索能大大加快读取速度,安全策略可以动态更新,更新总在用户态进行,同时磁盘文件也被更新。用户可以在防火墙运行的过程中更改安全级别,而不影响防火墙的正常运行。更新完成后,系统将会在新的安全级别下工作。安全策略服务器和客户端防火墙之间采用SSL通信,保证了安全策略传输时的安全性。另外管理模块功能还包括:用户组管理,基于用户组的安全策略分配,实时监控当前网络状态,查看日志,更改安全级别,更改用户定制的安全属性等。基于C/S架构的分布式防火墙产品,采用统一的安全策略管理服务器[Server],各台主机客户端[Client]从服务器下载安全策略,设置多层安全过滤,拥有出色的入侵检测和强大的日志管理功能,安装方便,使用简洁,升级快捷,降低了维护成本,形成了可靠的网络安全体系,很好地满足了政府、企业、个人保护网络信息安全的迫切需求.
【编辑推荐】
泛域名解析方法:把*用CNEME解析到dns.1dns.cn.上
以下是一些域名解析方面的问题,仅供你参考1、什么是域名解析?域名解析就是域名到IP地址的转换过程。 IP地址是网路上标识您站点的数字地址,为了简单好记,采用域名来代替ip地址标识站点地址。 域名的解析工作由DNS服务器完成。 2、怎样设置域名解析?您可按以下的步骤办理:(1)域名可以通过会员区管理:1)浏览:>通过数字ID及对应密码登录客户自助系统--->点击“产品管理”--->中“域名管理”--->点击需要解析的域名--->点击左侧“域名解析服务”--->选择解析类型--->填写三级域名--->在“值”处输入IP地址或者转发连接地址--->点击“新增”,系统自动解析--->域名生效域名解析记录的新增及变更结果在万网的DNS上是30分钟左右生效,全球DNS一般6-12小时生效;2)说明:A.可以添加的总的记录数是10条;超过10条记录,需要另外购买,每10条记录收费一次,价格是100元。 B.相关记录说明:A-A记录: 设定域名或者子域名指向,保证域名指向对应的主机重要设置;其只能填写IP,不能填写如: http:// 以及 :881等字符。 NS-NS记录: 全称Name Server,用来指定该域名由哪个DNS服务器来进行解析。 该记录轻易不要设置,如果需要增加,请填写有效的DNS解析服务器。 MX-MX记录: 设定域名的邮件交换记录,是指定该域名对应的邮箱服务器的重要设置CNAME-CNAME记录: 设定域名或者子域名指向,保证域名指向对应的主机重要设置;其只能填写域名。 URL-URL转发: 设定域名、子域名的URL转发指向。 域名空间站: 设定一个域名或二级域名到域名空间站,轻点鼠标即可生成精美网站。 (如果您的域名要指向您的主机,请不要提交域名空间站解析。 )提示:1.添加A记录时,RR为三级域名,值为标准IP地址如:218.30.103.2442.添加CNAME记录时,RR为三级或者多级域名,值为域名3.添加MX记录时,值为主机名:mail.您的域名,同时注意必须先添加一条:mail.您的域名 的A记录,指向邮局服务器IP地址4.添加URL转发时,值需要是一个合法的URL地址:如:添加域名空间站记录,RR为三级或者多级域名,值为中国万网IP地址。 设定后用域名和域名密码登录。 6.未购买域名解析综合服务的域名,万网保留在相关服务中增加其他功能的权利(如跳出窗口等)原通联无限用户请按照以下方法设置域名解析:1、邮箱:请先将原来设置的mail、pop3、smtp、webmail 4条CNAME记录删除,添加一条mail的A记录,解析到万网提供给您的邮箱IP地址上;再将MX对应的值修改为mail或者mail.域名上。 2、主机:请先将原设置的www的CNAME记录删除,添加一条www的A记录,解析到万网提供给您的主机的IP地址上。 3)条件:(1)在万网自助系统中做域名解析的域名必须符合以下几个条件:a.在万网申请成功或己转入至万网的域名;为万网默认DNS。 (和、和、和或者和;如果是原通联的用户,dns是和也可以在万网设置域名解析);c.尚未到期的域名。 (2)域名不能通过会员区管理:发传真至技术部(010-),写明域名、要指向的IP地址、简要说明要求,加盖域名所有者公章(单位用户)或身份证复印件(个人用户),技术部收到传真后24-48小时域名解析生效。 注意:需做解析的域名DNS为万网本身的DNS服务器。 3、我要额外增加子域名解析,请问如何办理?如果您的域名己成功在我公司注册或成功转入至我公司,且此域名的DNS也为我公司的默认DNS,则您可以通过您的ID及对应密码登录万网首页客户自助系统,在己付款产品管理——域名解析综合服务提交您的解析申请。 在此处,我们可以为您免费提供 、 、、、MX记录的提交及其他(名称您可以自己确定) 10个子域名解析。 除以上以外,如您仍需继续设置其他子域名解析,请您在万网会员区-域名管理-点击您需要添加解析的域名,左侧域名解析服务的下方提交购买额外增加域名解析。 每10条记录收费一次,价格是100元。 解析方法同前十条的解析方法相同。 请您参照域名解析问题集锦(一)4、DNS修改和域名解析有什么不同吗?DNS修改和域名解析的含义完全不同:(1)DNS修改是指域名解析服务器(Domain Name System)的修改。 如果您自己有独立DNS服务器,想通过此DNS解析己注册成功的域名,您可选择DNS修改业务(注:要改DNS的域名必须是在我公司注册或己成功转入至我公司的域名)。 请您登陆会员区-域名服务-域名管理-点击相应域名-DNS修改处修改您的域名DNS信息(2)域名解析:域名与IP地址之间是一一对应的,它们之间的转换工作称为域名解析,域名解析需要由专门的域名解析服务器(DNS)来完成。 如您的主机及域名均成功,则需做解析,如果您的域名DNS是万网默认的DNS,请您登陆会员区-域名服务-域名管理-点击相应域名-域名解析综合服务修改您的域名解析即可。 如果您的域名DNS不是万网的解析服务器,请您与DNS所在服务商联系解析事宜。 5、什么是泛域名解析?泛域名解析是指将*.域名解析到同一IP(此IP须为独立IP)。 在域名前添加任何子域名,均可访问到所指向的WEB地址。 也就是客户的之下所设的*全部解析到同一个IP地址上去。 比如客户设就会自已自动解析到与同一个IP地址上去。 6、泛域名解析域名域名解析的区别?泛域名解析是:*.域名解析到同一IP。 域名解析是:子域名.域名解析到同一IP。 注意:只有客户的空间是独立IP的时候泛域名才有意义。 而域名解析则没有此要求。 7、为什么MX记录后面有小数点,是否设置错误?MX记录结尾加点是正确的。 MX即邮件交换记录,存在于域名的DNS文件中,用于将某个邮局域名结尾的电子邮件指向对应的邮件服务器处理,设置方法如下:客户登录会员专区后->点击“产品管理”中“域名管理”->选择相关的域名->点击“域名解析综合服务”进入设置界面,RR栏可以为空或子域名,类型选择MX-MX记录,值可以填入主机名或IP地址,点击新增按钮即可。 注意:MX记录要求主机名或IP地址结尾必须加点,否则此记录不会生效,如果您提交时没有加点,我们的系统会自动添加。
在适宜的温度下,( )会使牛奶发酵成为酸奶?细菌的繁殖速度是多少?食物和一些物品在潮湿、( )
您好,你是做食品微生物学还是食品保藏与保鲜技术方面的题吧! 乳酸菌 20min-30min繁殖一代 温暖 低温保藏、高温灭菌、盐腌、真空密封 希望我的回答可以帮助你。
花事 阅读答案
作者按什么顺序记叙花事?依次描写了那些花?答:作者按时间顺序记叙花事。 依次写了腊梅花、红梅、绿梅、杏花、干枝花、桃花、地丁、蒲公英、荠菜、玉兰、紫叶红、梨花、油菜花。 本文颇具特色,使者结合第七段内容进行赏析。 答:第七段运用了拟人和比喻的修辞手法,使之更生动、形象的展现在人们的面前。 表现出了油菜花的多,表达出作者对油菜花的喜爱。 文章内容是写花事,为什么又写蜜蜂、蝴蝶和小鸟?答:写蜜蜂、蝴蝶和小鸟是从侧面写出了花的娇艳与美丽。 正面衬托花的多谈谈你对文章最后一句话的理解。 答:我的理解是:花朵在春天开得最美丽,是最幸福的时候,我们应该向春天的花朵一样,把幸福一直延续下去。 1.请用简洁的语言概括小说的主要事件。 (4分)2.本文的主题思想是在字里行间自然地生长出来的,请概括小说的主题思想。 (5分)3.对本文分析鉴赏错误的两项是( )(4分)A.本文是按时间顺序来组织材料的。 B.本文的“花事”在文文心目中不是“小事”,它也是贯穿全文的线索。 C.王大伯等人认为“不能当饭吃”、“不能当钱花”、“考试又不考它”,这些共同反映出人们的功利主义心理,也直接批判了学校应试教育的危害。 D.小说蕴含着深刻的哲理,故事情节曲折动人。 E.文文“觉得自己一下子长大了”,因为他通过了自己的探索、自己的贽力,找到了多年没人能正确回答的问题。 F.小说对某种社会现象进行了深入的思考,读后让人们心灵震颤,发人深省。 4.小说中的文文的经历,给了你什么启示?请谈谈你在学习或生活中遇丑过的困惑和解决此类问题的方法。 (5分)答案:1.《花事》写一棵树上开满了粉红的花朵,大家不知道它叫什么花,在大人们看来,那只是一树“无用”的花(或:是一件很“无用”的“花事”)。 一个叫文文的孩子,面对大人们的批评指责,从6岁开始到l6岁读高中,花了十年的时间才弄清它叫樱桃花。 (评分意见:符合大意即可。 答案侧重在后一点)2.本文充分肯定了孩子身上(文文)的科学求真的;精神(或肯定了孩子敢于发现问题、探索问题和解决问题的勇气),从侧面也表现了对学校、家庭和社会教育的忧虑。 (评分意见:根据大意给分。 前一点属于“正面肯定”,占3分。 后一点属于“侧面否定”,占2分)其他参考有:保护孩子的好奇心(问题意识),远远比获得眼前的一些实惠(利益)更重要。 可给满分5分。 3.C、D解析:C.文章没有直接批判学校应式教育。 D.小说情节简单平实,并不曲折。 4.答案示例:第一问“启示”(占2分):持之以恒.可获成功:要善于发现问题:要敢于刨根问底……答对一点,言之有理即可。 第二问:写出自已的困惑(1分),写出自已解决 此类问题的方法,并言之有理(2分)。
发表评论