防火墙问题

关于防火墙的问题~

1.概述
21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化.它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在.当人类步入21世纪这一信息社会,网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系.
一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台.我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高.
网络安全产品有以下几大特点:第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断地变化;第三,随着网络在社会个方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程.为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发.安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业.
信息安全是国家发展所面临的一个重要问题.对于这个问题,我们还没有从系统的规划上去考虑它,从技术上,产业上,政策上来发展它.政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化,信息化的发展将起到非常重要的作用.
2.防火墙
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备.它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态.
目前的防火墙产品主要有堡垒主机,包过滤路由器,应用层网关(代理服务器)以及电路层网关,屏蔽主机防火墙,双宿主机等类型.
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击.
自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞速的发展.国内外已有数十家公司推出了功能各不相同的防火墙产品系列.
防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴.在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络系统 如果答案是"是",则说明企业内部网还没有在网络层采取相应的防范措施.
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一.虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务.另外还有多种防火墙产品正朝着数据安全与用户认证,防止病毒与黑客侵入等方向发展.
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型,网络地址转换—NAT,代理型和监测型.
2.1.包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术.网络上的数据都是以"包"为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址,目标地址,TCP/UDP源端口和目标端口等.防火墙通过读取数据包中的地址信息来判断这些"包"是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外.系统管理员也可以根据实际情况灵活制订判断规则.
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全.
但包过滤技术的缺陷也是明显的.包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源,目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒.有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙.
2.2.网络地址转化—NAT
网络地址转换是一种用于把IP地址转换成临时的,外部的,注册的IP地址标准.它允许具有私有IP地址的内部网络访问因特网.它还意味着用户不许要为其网络中每一台机器取得注册的IP地址.
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录.系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址.在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问.OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全.当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中.当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求.网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可.
2.3.代理型
代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展.代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流.从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机.当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机.由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统.
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效.其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性.
2.4.监测型
监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义.监测型防火墙能够对各层的数据进行主动的,实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入.同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用.据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部.因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品
虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙.基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术.这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本.
实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势.由于这种产品是基于应用的,应用网关能提供对协议的过滤.例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄.正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上.

防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。

防火墙的功能: 防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。

为什么使用防火墙：防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。

防火墙其实也没有什么用的，我家就没有用软件防火但是还是没有被黑客攻击的
我这里有两个，你看看

1、ZoneAlarm 5.5.114Oem豪华中文版
官方下载地址：ftp://ftpez.ca.com/pub/myeTrust/apps/Firewall_SC.exe
安装序列：LGYTR-G5UKR-XH8LH-ROCXC
安装完成后请不要马上重新启动计算机，然后按照如下步骤修改注册表已使软件恢复成Zonealarm；

安装完eTrust Personal Firewall 5.5.114官方简体中文版至Setup is complete.Do you...时，选择No，
打开注册表，定位到HKEY_LOCAL_MACHINE\SOFTWARE\Zone Labs下，将几处数值数据1051改为1043，
退出注册表，启动Zone Labs Security，出现许可向导，输入za许可号,嘿嘿，后面的我就不必多说了。

变成zap后，可以使用所有oem版被屏蔽的功能，包括反病毒监控，托盘图标也是ZA。
如果你想变回eTrust Personal Firewall，退出zap后，将注册表中改动的1043再改为1051即可

软件简介：

2、Outpost Firewall Pro 4.0.964.6926(582) 正式版
官方下载地址：http://www.agnitum.com/download/OutpostProInstall.exe
安装序列：
0Pv2FDKpgAjWqtdg0gBH6o1i6qORuHpmT6e6
29B8ehAi7R/v0g8oIfhT+z/KjgArAnl73uc5
DFtY/Jn5jl3GsI2Y12VRdT528wpzI7hYgJXB
N7qq4pYGDJ/YYL9QvYdPZeZgUfEKKz3FNMQb
Nd1dLaJRCyrjfhcNe02izGs1usUQ=

软件简介
Agnitum Outpost Firewall是一款短小精悍的网络防火墙软件，它的功能是同类PC软件中比较强大的，甚至包括了广告和图片过滤、内容过滤、DNS缓存等功能。它能够预防来自Cookies、广告、电子邮件病毒、后门、窃密软件、解密高手、广告软件和其它Internet危险的威胁。该软件不需配置就可使用，这对于许多新手来说，变得很简单。尤为值得一提的是，这是市场上第一个支持插件的防火墙，这样它的功能可以很容易地进行扩展。该软件资源占用也很小。Outpost的其它强大功能毋庸多说，你亲自试一试就知道了

软件界面

如在使用过程中发现问题，跟贴提问！

描述：完美汉化补丁
附件： outpost_chs4.zip (112K) 下载次数:3
ZoneAlarm序列号为：
Code:hh11s-pv5cu-batbk-1mvdqe-md0gc0
Code:dt733-v6mci-079e9-q2rdge-f8a7c0
Code:3td72-d6mud-jq6hi-d9x49a-7ndq80
Code:7usr8-fgttf-aiktu-h0kf8c-smrak0

四个之中的任意一个

再加点

介绍几个杀毒软件与防火墙的完美组合

2008/07/04 02:45 P.M.

网络速度不断变快，木马病毒也多了起来，我们不堪重负、举步维艰，要是没有杀毒软件真是寸步难行。好多网友都在问，配置什么样的杀毒软件和防火墙才能保证机器安全、网络畅通？

这可一言难尽，每个人的机器配置、应用需求和使用习惯都不相同，所以不能说最好用，只能说最适合。

我在这里贴一篇比较专业的分析资料，供大家参考（本资料来自于绅博论坛，本人只是做了部分修正而已）。

一、组合原则

1、机器配置

杀软+防火墙的选择，必须符合机器配置情况，不能拖机器速度。

2、互补原则

防护要做到全方位，杀软与防火墙互补不足，功能上应尽量少一些重复，以避免未知冲突（也就是我曾经提过的，不要用一个强大的杀软去配一个强大的防火墙，强强组合不一定更强）。

3、精简原则

一个杀软+一个防火墙+良好的上网习惯+安全意识，不要在机器上装无数个杀软，那无疑是折磨自己的机器。

4、安全系数

没有一个组合是绝对安全的，不要追求100%，我们只能尽力接近100%。

5、兼容原则

有套装的，尽量用套装，同一产品的杀软与防火墙的组合才是最严密，兼容性也是最高的。不要一味迷信权威机构的测试，那些最厉害的东西并不一定适合你。

6、核心原则

必须以杀软选择为核心，防火墙选择为配合。

二、推荐组合

1、以卡巴（或AVS）为核心的组合

第一组合 KIS6.0或者7.0

反病毒+文件保护+主动防御+反间谍+邮件保护+WEB防护+KAH（7.0增加了家长控制，加强了主动防御，增加了启发式），应该是一个全方位的组合了，对于普通用户来说，是完全足够的。

推荐配置：内存512M以上（在合理设置的前提下，512M绝对够用），高手新手均适合。

第二组合 KAV+KAH（或pc tool或ashampoo）

反病毒+主动防御+WEB防护+防火墙，比KIS少了一些功能，但对一般的用户来说，够用了。切莫再装什么AVG之类的杀马软件。之所以有这个建议，一是因为这样会严重影响机器速度；二是卡巴本身具备很强的杀马能力。这是一个最省资源的组合，pc tool或 ashampoo功能一般，以互补为原则。

推荐配置：内存512M以上（在合理设置的前提下，512M绝对够用），高手新手均适合。

第三组合 KAV+jecito

这是一个比较强大的组合，资源占用也还不错，jecito功能强大，资源占用很少。

推荐配置：内存512M以上，只适合高手，主要是jecito的设置很复杂。

2、以蜘蛛（或驱逐舰）为核心的组合

第一组合 蜘蛛+comodo V3

很省资源，comodo V3可以弥补蜘蛛在主动防御上的弱点，又足以防黑。

推荐配置：内存512M以上，适合高手（comodo设置比较复杂）。

第二组合 蜘蛛+SSM（或EQ）+XP墙

这个就不介绍了，和第一组合有相同功效，但更省资源。

推荐配置：内存512M以上，适合高手（SSM设置比较复杂）。

其实在很多情况下，一个SSM就足以应付各种情况。

3、以NOD为核心的组合

第一组合 NOD32 V3集成防火墙版+SSM（或EQ）

NOD32自己出的套装，主动防御能力依然很差，防马能力也一般，所以建议配上一个系统防火墙。

推荐配置：内存256M以上，适合高手。

第二组合 NOD32+微点

很强的组合，以微点弥补NOD的杀马能力和主动防御能力，且微点也自带防火墙 。

推荐配置：内存512M以上，适合一般用户（微点还是比较复杂的）。

第三组合 NOD32+OP（或ZA）

因为NOD占资源很小，这为他配合强力的防火墙提供了条件，也是一个很强的组合。

推荐配置：内存512M以上，适合高手。

4、以小红伞C版为核心的组合

第一组合 红伞C版+微点（或comodo）

强烈推荐这个组合，是个人认为最强最安全的。红伞监控杀毒能力都一流，但是对自身的保护太差，很容易被病毒结束进程。微点（或comodo）也能为这个组合提供强大的主动防御和木马防护。

推荐配置：内存512M以上，适合一般用户。

第二组合 红伞C版+SSM（或EQ）+XP墙

也是一个很强大的组合，和第一组合一样，同样是为了在病毒结束红伞的进程之后，依然能为系统提供一定的保护。SSM（或EQ）的自我保护能力较强。

推荐配置：内存512M以上，适合高手（256M内存也能运行）。

5、咖啡和诺顿

先说咖啡

推荐用他的反病毒企业版+反间谍企业版+防火墙企业版，咖啡本身的这个组合是非常强大的。其实，只要反病毒企业版的规则设置恰当，咖啡甚至不需要反间谍和防火墙模块，只要配合XP墙，就足以构造强大的防线（咖啡的监控，如果规则设置得当，绝对是世界第一）。

推荐配置：内存512M以上，适合高手。

再说诺顿

推荐使用诺顿的企业版10.1，带防火墙的版本（简称SCS，其反病毒简称为SAV），这个组合非常不错，与系统的结合非常紧密，兼容性、稳定性很高（不要被误杀门事件误导，诺顿仍然是杀软界的大哥，他的稳定性无人能比）。

另外NIS2007也是不错的选择，在功能上比SCS更为强大，资源占用也更大一些。不推荐使用诺顿360，个人认为360是比较失败的版本。

推荐配置：内存512M以上，适合新手。

咖啡和诺顿这两款，不需要去搭配其他的防火墙，他们自身的反病毒与防火墙结合非常紧密，安全性、互补性更高。

三、几点需要注意的

1、这回写的这个推荐，是考虑最大范围的免费软件，所以诸如BD、趋势、FS、AVK之类强大但难于破解的杀软没有给出推荐，实际上他们也都有自己的防火墙组合，另外像趋势、FS、AVK，资源占用非常庞大，国内的用户也不多，所以，个人也不是很推荐。

2、对AVG之类的杀马软件也不是很推荐，一是因为他们根本无法取代杀软，二是他们在功能上与某些杀软重复，造成资源浪费。可以使用绿色无监控的版本，形成辅助的杀马软件。

3、关于辅助杀软

辅助杀软在此推荐3款：

一是红伞，启发很强，查杀率非常高；

二是蜘蛛，启发很强，脱壳更是世界第一；

三是卡巴，杀毒能力毋庸置疑，监控比上述两个差。

辅助杀软最好选用绿色无监控版本，避免与主杀和防火墙产生冲突。

4、防火墙要注意的问题

外网用户一定要安装较强的防火墙，外网用户直接暴露在互联网上，XP防火墙太弱，无法提供足够安全的上网环境，免费的comodo对外网用户而言，应该是不二选择。

内网用户则不需要太担心，一个普通的能够实现网络隐身的墙就够了。

5、杀软要注意的问题

对于杀软，我仍然坚持自己的意见，国产三巨头都难以提供足够的安全。在这里，我仅仅推荐微点，应该说，从技术的角度，目前在国内他是处于领先地位的，启发式+主动防御（他的主动防御和卡巴不是一个概念，应该说，要远远强于卡巴）非常强大，缺点是自带防火墙较弱，需要第三方防火墙做辅助（这个第三方墙最好不要带HIPS，以免与微点重复，造成冲突或导致CPU占用过高，类似pc tool的简单的墙就行了）。

6、360安全卫士相当不错，建议一定要使用这个工具。上述各种搭配都可以补充上360安全卫士！

最后要说明，没有一个组合是万能的，您的安全意识才是最重要的。

看我这样辛苦给你找你也+点分吧，谢了

天网的吧

我用着感觉还可以

或者直接把卡吧卸了 装个诺顿杀毒软件（带防火墙的）

咔吧就带防火墙啊～

天网防火墙

你下一个卡巴斯基互联网安全套装
把原来的卡巴删了

---

万安县13464551824： 防火墙问题 - ？
壬店安塞： 其实问题不是很大.主要是由于操作失误造成你的客户端程序端口封闭,无法连接服务器、致使你的程序无法正常运行.通过你 的描述应该是 国外的一款 网上推荐比较好的防火墙,好的防火墙要功能多你不会用还是一个没有用的东东.直选会的 不选好的.其实如果你怕麻烦可以完全卸载你的防火墙.对于你的机器作用不大.应该你不是很熟练的应用,反而是给自己找麻烦.建议使用国产的很多的都很好用啊.天网 .破解的满天飞..不要认为外国的的产品就很好.我就是一个忠实的国产软件fans1 如果你还想用防火墙.并且不想用国产的其实也很简单.你卸载当前的防火墙.之后在安装一边,当你运行你需要的程序时 防火墙会自动提示要操作如果e文不好 yes应该看的懂吧.直接ok

万安县13464551824： 防火墙的问题？
壬店安塞： 点我的电脑 打开控制面板 然后打开WINDOWS防火墙.选择关闭就行了!如果真的是防火墙的问题的话,这是最直接的解决方法.

万安县13464551824： 关于防火墙的一些问题？
壬店安塞： 这表明你处于防火墙/路由器下的局域网内,防火墙/路由器对你的端口进行了屏蔽,他人无法通过连接你的端口进行通信,但这不影响你的正常下载,只影响你的上传.

万安县13464551824： 防火墙的问题？
壬店安塞： ping就是ICMP的一个协议,通过这个协议可以判断主机是否在线,例如 ping 192.168.1.102 ,如果返回信息是 time out 就证明主机不在或者被防火墙拦截了.防火墙禁止ping入就是对所有ICMP协议的数据包进行了拦截,黑客就无法确定目标主机是否在线,从而确定系统安全,另外一点ICMP存在DDOS攻击的漏洞,黑客构造特定的数据包到主机会导致目标机无法响应而当机!

万安县13464551824： 关于防火墙的问题 - ？
壬店安塞： 先说说防火墙的原理和作用,它的实现机理有很多种,但归根到底,都是在网络和用户之间建立一道屏障,放行合法的网络连接,屏蔽非法的数据往来.举个例子来说,灰鸽子木马的种植,很多情况下就是通过...

万安县13464551824： 防火墙的问题 - ？
壬店安塞： 硬件防火墙是一种以物理形式存在的专用设备,通常架设于两个网络的驳接处,直接从网络设备上检查过滤有害的数据报文,位于防火墙设备后端的网络或者服务器接收到的是经过防火墙处理的相对安全的数据,不必另外分出CPU资源去进行基于软件架构的NDIS数据检测,可以大大提高工作效率.如果有人认为防火墙只有软体的话 我也无话可说

万安县13464551824： 防火墙有问题？
壬店安塞： 特殊情况,是防火墙里面的文件丢失或删除了, 重新还原程序吧, 要是上网上搜来下载新的防火墙的话, 要不型号不1样和质量不1样,就无法使用, 还原系统去吧

万安县13464551824： windows防火墙出现问题,怎么办? - ？
壬店安塞： 你好! 试试下面的方法 1.无法打开操作中心-安全服务,解决方法: 控制面板-》管理工具-》服务,找到Security Center 服务,双击打开,查看启动类型是否设置成禁用,是的话更改成自动或者延迟启动,之后就就可以正常启动这个服务了,这...

万安县13464551824： 防火墙问题.急求高手帮助.？
壬店安塞： 我猜测你用的是家用电脑,防火墙是可开可不开的,你只需要在开始---设置--控制面板,你可以看到防火墙的图标,打开,关闭防火墙就可以了. 如果您的电脑网络没问题,这样就可以了.希望可以帮到你.

万安县13464551824： 防火墙的问题 - ？
壬店安塞： 瑞星防火墙是一款相当不错的防病毒软件了!在你上网的时候可以保护你不受黑客的攻击.但是它也占用了不少的内存空间,但是你说QQ上不去,那可能是你的设置有问题,可以打开瑞星防火墙的主程序,然后进行...