防火牆和系統安全防護和優化
1.防火牆
1.定義
防火牆技術是通過有機結合各類用於安全管理與篩選的軟件和硬件設備,幫助計算機網絡於其內、外網之間構建一道相對隔絕的保護屏障,以保護用戶資料與信息安全性的一種技術。防火牆技術的功能主要在於及時發現並處理計算機網絡運行時可能存在的安全風險、數據傳輸等問題,其中處理措施包括隔離與保護,同時可對計算機網絡安全當中的各項操作實施記錄與檢測,以確保計算機網絡運行的安全性,保障用戶資料與信息的完整性,爲用戶提供更好、更安全的計算機網絡使用體驗。
所謂“防火牆”是指一種將內部網和公衆訪問網(如Internet)分開的方法,它實際上是一種建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術,隔離技術。越來越多地應用於專用網絡與公用網絡的互聯環境之中,尤其以接入Internet網絡爲最甚。
2.功能
1、入侵檢測功能
網絡防火牆技術的主要功能之一就是入侵檢測功能,主要有反端口掃描、檢測拒絕服務工具、檢測CGI/IIS服務器入侵、檢測木馬或者網絡蠕蟲攻擊、檢測緩衝區溢出攻擊等功能,可以極大程度上減少網絡威脅因素的入侵,有效阻擋大多數網絡安全攻擊。
2、網絡地址轉換功能
利用防火牆技術可以有效實現內部網絡或者外部網絡的IP地址轉換,可以分爲源地址轉換和目的地址轉換,即SNAT和NAT。SNAT主要用於隱藏內部網絡結構,避免受到來自外部網絡的非法訪問和惡意攻擊,有效緩解地址空間的短缺問題,而DNAT主要用於外網主機訪問內網主機,以此避免內部網絡被攻擊。
3、網絡操作的審計監控功能
通過此功能可以有效對系統管理的所有操作以及安全信息進行記錄,提供有關網絡使用情況的統計數據,方便計算機網絡管理以進行信息追蹤。
4、強化網絡安全服務
防火牆技術管理可以實現集中化的安全管理,將安全系統裝配在防火牆上,在信息訪問的途徑中就可以實現對網絡信息安全的監管。
3.重要性
1、記錄計算機網絡之中的數據信息
數據信息對於計算機網絡建設工作有着積極的促進作用,同時其對於計算機網絡安全也有着一定程度上的影響。通過防火牆技術能夠收集計算機網絡在運行的過程當中的數據傳輸、信息訪問等多方面的內容,同時對收集的信息進行分類分組,藉此找出其中存在安全隱患的數據信息,採取針對性的措施進行解決,有效防止這些數據信息影響到計算機網絡的安全。除此之外,工作人員在對防火牆之中記錄的數據信息進行總結之後,能夠明確不同類型的異常數據信息的特點,藉此能夠有效提高計算機網絡風險防控工作的效率和質量。
2、防止工作人員訪問存在安全隱患的網站
計算機網絡安全問題之中有相當一部分是由工作人員進入了存在安全隱患的網站所導致的。通過應用防火牆技術能夠對工作人員的操作進行實時監控,一旦發現工作人員即將進入存在安全隱患的網站,防火牆就會立刻發出警報,藉此有效防止工作人員誤入存在安全隱患的網站,有效提高訪問工作的安全性。
3、控制不安全服務
計算機網絡在運行的過程當中會出現許多不安全服務,這些不安全服務會嚴重影響到計算機網絡的安全。通過應用防火牆技術能夠有效降低工作人員的實際操作風險,其能夠將不安全服務有效攔截下來,有效防止非法攻擊對計算機網絡安全造成影響。此外,通過防火牆技術還能夠實現對計算機網絡之中的各項工作進行實施監控,藉此使得計算機用戶的各項工作能夠在一個安全可靠的環境之下進行,有效防止因爲計算機網絡問題給用戶帶來經濟損失。
4.主要類型
1.過濾型防火牆
過濾型防火牆是在網絡層與傳輸層中,可以基於數據源頭的地址以及協議類型等標誌特徵進行分析,確定是否可以通過。在符合防火牆規定標準之下,滿足安全性能以及類型纔可以進行信息的傳遞,而一些不安全的因素則會被防火牆過濾、阻擋。
2.應用代理類型防火牆
應用代理防火牆主要的工作範圍就是在OIS的最高層,位於應用層之上。其主要的特徵是可以完全隔離網絡通信流,通過特定的代理程序就可以實現對應用層的監督與控制。這兩種防火牆是應用較爲普遍的防火牆,其他一些防火牆應用效果也較爲顯著,在實際應用中要綜合具體的需求以及狀況合理的選擇防火牆的類型,這樣纔可以有效地避免防火牆的外部侵擾等問題的出現。
3.複合型
目前應用較爲廣泛的防火牆技術當屬複合型防火牆技術,綜合了包過濾防火牆技術以及應用代理防火牆技術的優點,譬如發過來的安全策略是包過濾策略,那麼可以針對報文的報頭部分進行訪問控制;如果安全策略是代理策略,就可以針對報文的內容數據進行訪問控制,因此複合型防火牆技術綜合了其組成部分的優點,同時摒棄了兩種防火牆的原有缺點,大大提高了防火牆技術在應用實踐中的靈活性和安全性。
5.關鍵技術
1、包過濾技術
防火牆的包過濾技術一般只應用於OSI7層的模型網絡層的數據中,其能夠完成對防火牆的狀態檢測,從而預先可以把邏輯策略進行確定。邏輯策略主要針對地址、端口與源地址,通過防火牆所有的數據都需要進行分析,如果數據包內具有的信息和策略要求是不相符的,則其數據包就能夠順利通過,如果是完全相符的,則其數據包就被迅速攔截。計算機數據包傳輸的過程中,一般都會分解成爲很多由目和地質等組成的一種小型數據包,當它們通過防火牆的時候,儘管其能夠通過很多傳輸路徑進行傳輸,而最終都會匯合於同一地方,在這個目地點位置,所有的數據包都需要進行防火牆的檢測,在檢測合格後,纔會允許通過,如果傳輸的過程中,出現數據包的丟失以及地址的變化等情況,則就會被拋棄。
2、加密技術
計算機信息傳輸的過程中,藉助防火牆還能夠有效的實現信息的加密,通過這種加密技術,相關人員就能夠對傳輸的信息進行有效的加密,其中信息密碼是信息交流的雙方進行掌握,對信息進行接受的人員需要對加密的信息實施解密處理後,才能獲取所傳輸的信息數據,在防火牆加密技術應用中,要時刻注意信息加密處理安全性的保障。在防火牆技術應用中,想要實現信息的安全傳輸,還需要做好用戶身份的驗證,在進行加密處理後,信息的傳輸需要對用戶授權,然後對信息接收方以及發送方要進行身份的驗證,從而建立信息安全傳遞的通道,保證計算機的網絡信息在傳遞中具有良好的安全性,非法分子不擁有正確的身份驗證條件,因此,其就不能對計算機的網絡信息實施入侵。
3、防病毒技術
防火牆具有着防病毒的功能,在防病毒技術的應用中,其主要包括病毒的預防、清除和檢測等方面。防火牆的防病毒預防功能來說,在網絡的建設過程中,通過安裝相應的防火牆來對計算機和互聯網間的信息數據進行嚴格的控制,從而形成一種安全的屏障來對計算機外網以及內網數據實施保護。計算機網絡要想進行連接,一般都是通過互聯網和路由器連接實現的,則對網絡保護就需要從主幹網的部分開始,在主幹網的中心資源實施控制,防止服務器出現非法的訪問,爲了杜絕外來非法的入侵對信息進行盜用,在計算機連接的端口所接入的數據,還要進行以太網和IP地址的嚴格檢查,被盜用IP地址會被丟棄,同時還會對重要信息資源進行全面記錄,保障其計算機的信息網絡具有良好安全性。
4、代理服務器
代理服務器是防火牆技術引用比較廣泛的功能,根據其計算機的網絡運行方法可以通過防火牆技術設置相應的代理服務器,從而藉助代理服務器來進行信息的交互。在信息數據從內網向外網發送時,其信息數據就會攜帶着正確IP,非法攻擊者能夠分局信息數據IP作爲追蹤的對象,來讓病毒進入到內網中,如果使用代理服務器,則就能夠實現信息數據IP的虛擬化,非法攻擊者在進行虛擬IP的跟蹤中,就不能夠獲取真實的解析信息,從而代理服務器實現對計算機網絡的安全防護。另外,代理服務器還能夠進行信息數據的中轉,對計算機內網以及外網信息的交互進行控制,對計算機的網絡安全起到保護。
2.系統優化
1.系統啓動項太多,影響開機啓動速度,方法:開始——運行——msconfig——啓動——在啓動項裏,你只保留ctfmon.exe輸入法和殺毒軟件即可,其他的將對勾去掉,按應用並確定即可。
2、關閉系統屬性中的特效,這可是簡單有效的提速良方。右鍵我的電腦—屬性–高級–性能–設置–在視覺效果中,設置爲調整爲最佳性能–確定即可。
3、屏幕保護程序—選擇無。
4、外觀—窗口和按鈕—選擇經典樣式—色彩方案—選擇Windows經典。
5、桌面圖標最多保留十個左右;對一些不常用的圖標應該從桌面刪除。
6、對一些不常用你又不想刪除的,可以集中放在一個文件夾,方法:右鍵桌面—排列圖標—運行桌面清理嚮導,你只要按照提示清理就OK了。
7、如果你的系統殺毒軟件開機時隨機啓動的話,殺毒軟件就要掃描檢查圖標鏈接是否有毒,這需要一定時間,就出現圖標顯示慢的情況,這是正常的,並不是電腦有問題。這方面網上很多,你可以去搜索搜索。
8、開始--運行--輸入regedit 回車。打開註冊表編輯器,找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters,在右邊找到EnablePrefetcher主鍵,把它的默認值3改爲1,這樣滾動條滾動的時間就會減少。
9、在“我的電腦”上點右鍵-屬性-硬件-設備管理器-點擊“IDE ATA/ATAPI”選項-雙擊“次要IDE通道”-高級設置-設備類型,將“自動檢測”改爲“無”,主要要IDE通道也做相同的設置,這樣你電腦滾動條最多跑三圈,啓動速度將提高三倍以上。
10、在“開始→運行”中輸入gpedit.msc,打開組策略編輯器。找到“計算機配置→管理模板→網絡→QoS數據包調度程序”,選擇右邊的“限制可保留帶寬”,選擇“屬性”打開限制可保留帶寬屬性對話框,選擇“禁用”即可。這樣就釋放了保留的帶寬。
11、建議經常清理系統垃圾(如系統垃圾文件、系統註冊表垃圾)。
12、建議將你電腦中的IE臨時文件和虛擬內存設置在非系統盤中 。
3.操作系統安全防護
操作系統的安全防護策略
- 制定操作系統的安全策略
- 關閉不必要的端口;
- 關閉不必要的服務;
- 開啓審覈策略;
- 開啓密碼策略;
