『壹』 我每次打開天網防火牆彈出幾次「存儲空間不足,無法處理此命令。」,然後就關閉了,請問是怎麼回事
卸載防火牆
『貳』 windows2008防火牆如何批量添加ip段,ip范圍太多,手工一個個加太繁瑣,容易弄錯。
netsh advfirewall firewall set rule name="TEST" new remoteip=192.168.1.1,192.168.1.3,192.168.1.4-192.168.1.255
使用上述的例子進行添加,替換你需要的規則
『叄』 防火牆的原理
檢索 拒絕 隔離 可疑文件
什麼是防火牆?防火牆就是一種過濾塞(目前你這么理解不算錯),你可以讓你喜歡的東西通過這個塞子,別的玩意都統統過濾掉。在網路的世界裡,要由防火牆過濾的就是承載通信數據的通信包。
天下的防火牆至少都會說兩個詞:Yes或者No。直接說就是接受或者拒絕。最簡單的防火牆是乙太網橋。但幾乎沒有人會認為這種原始防火牆能管多大用。大多數防火牆採用的技術和標准可謂五花八門。這些防火牆的形式多種多樣:有的取代系統上已經裝備的TCP/IP協議棧;有的在已有的協議棧上建立自己的軟體模塊;有的乾脆就是獨立的一套操作系統。還有一些應用型的防火牆只對特定類型的網路連接提供保護(比如SMTP或者HTTP協議等)。還有一些基於硬體的防火牆產品其實應該歸入安全路由器一類。以上的產品都可以叫做防火牆,因為他們的工作方式都是一樣的:分析出入防火牆的數據包,決定放行還是把他們扔到一邊。
所有的防火牆都具有IP地址過濾功能。這項任務要檢查IP包頭,根據其IP源地址和目標地址作出放行/丟棄決定。看看下面這張圖,兩個網段之間隔了一個防火牆,防火牆的一端有台UNIX計算機,另一邊的網段則擺了台PC客戶機。
當PC客戶機向UNIX計算機發起telnet請求時,PC的telnet客戶程序就產生一個TCP包並把它傳給本地的協議棧准備發送。接下來,協議棧將這個TCP包「塞」到一個IP包里,然後通過PC機的TCP/IP棧所定義的路徑將它發送給UNIX計算機。在這個例子里,這個IP包必須經過橫在PC和 UNIX計算機中的防火牆才能到達UNIX計算機。
現在我們「命令」(用專業術語來說就是配製)防火牆把所有發給UNIX計算機的數據包都給拒了,完成這項工作以後,「心腸」比較好的防火牆還會通知客戶程序一聲呢!既然發向目標的IP數據沒法轉發,那麼只有和UNIX計算機同在一個網段的用戶才能訪問UNIX計算機了。
還有一種情況,你可以命令防火牆專給那台可憐的PC機找茬,別人的數據包都讓過就它不行。這正是防火牆最基本的功能:根據IP地址做轉發判斷。但要上了大場面這種小伎倆就玩不轉了,由於黑客們可以採用IP地址欺騙技術,偽裝成合法地址的計算機就可以穿越信任這個地址的防火牆了。不過根據地址的轉發決策機制還是最基本和必需的。另外要注意的一點是,不要用DNS主機名建立過濾表,對DNS的偽造比IP地址欺騙要容易多了。
伺服器TCP/UDP 埠過濾
僅僅依靠地址進行數據過濾在實際運用中是不可行的,還有個原因就是目標主機上往往運行著多種通信服務,比方說,我們不想讓用戶採用 telnet的方式連到系統,但這絕不等於我們非得同時禁止他們使用SMTP/POP郵件伺服器吧?所以說,在地址之外我們還要對伺服器的TCP/ UDP埠進行過濾。
比如,默認的telnet服務連接埠號是23。假如我們不許PC客戶機建立對UNIX計算機(在這時我們當它是伺服器)的telnet連接,那麼我們只需命令防火牆檢查發送目標是UNIX伺服器的數據包,把其中具有23目標埠號的包過濾就行了。這樣,我們把IP地址和目標伺服器TCP/UDP埠結合起來不就可以作為過濾標准來實現相當可靠的防火牆了嗎?不,沒這么簡單。
客戶機也有TCP/UDP埠
TCP/IP是一種端對端協議,每個網路節點都具有唯一的地址。網路節點的應用層也是這樣,處於應用層的每個應用程序和服務都具有自己的對應「地址」,也就是埠號。地址和埠都具備了才能建立客戶機和伺服器的各種應用之間的有效通信聯系。比如,telnet伺服器在埠23偵聽入站連接。同時 telnet客戶機也有一個埠號,否則客戶機的IP棧怎麼知道某個數據包是屬於哪個應用程序的呢?
由於歷史的原因,幾乎所有的TCP/IP客戶程序都使用大於1023的隨機分配埠號。只有UNIX計算機上的root用戶才可以訪問1024以下的埠,而這些埠還保留為伺服器上的服務所用。所以,除非我們讓所有具有大於1023埠號的數據包進入網路,否則各種網路連接都沒法正常工作。
這對防火牆而言可就麻煩了,如果阻塞入站的全部埠,那麼所有的客戶機都沒法使用網路資源。因為伺服器發出響應外部連接請求的入站(就是進入防火牆的意思)數據包都沒法經過防火牆的入站過濾。反過來,打開所有高於1023的埠就可行了嗎?也不盡然。由於很多服務使用的埠都大於1023,比如X client、基於RPC的NFS服務以及為數眾多的非UNIX IP產品等(NetWare/IP)就是這樣的。那麼讓達到1023埠標準的數據包都進入網路的話網路還能說是安全的嗎?連這些客戶程序都不敢說自己是足夠安全的。
雙向過濾
OK,咱們換個思路。我們給防火牆這樣下命令:已知服務的數據包可以進來,其他的全部擋在防火牆之外。比如,如果你知道用戶要訪問Web伺服器,那就只讓具有源埠號80的數據包進入網路:
不過新問題又出現了。首先,你怎麼知道你要訪問的伺服器具有哪些正在運行的埠號呢?象HTTP這樣的伺服器本來就是可以任意配置的,所採用的埠也可以隨意配置。如果你這樣設置防火牆,你就沒法訪問哪些沒採用標准埠號的的網路站點了!反過來,你也沒法保證進入網路的數據包中具有埠號80的就一定來自Web伺服器。有些黑客就是利用這一點製作自己的入侵工具,並讓其運行在本機的80埠!
檢查ACK位
源地址我們不相信,源埠也信不得了,這個不得不與黑客共舞的瘋狂世界上還有什麼值得我們信任呢?還好,事情還沒到走投無路的地步。對策還是有的,不過這個辦法只能用於TCP協議。
TCP是一種可靠的通信協議,「可靠」這個詞意味著協議具有包括糾錯機制在內的一些特殊性質。為了實現其可靠性,每個TCP連接都要先經過一個「握手」過程來交換連接參數。還有,每個發送出去的包在後續的其他包被發送出去之前必須獲得一個確認響應。但並不是對每個TCP包都非要採用專門的ACK包來響應,實際上僅僅在TCP包頭上設置一個專門的位就可以完成這個功能了。所以,只要產生了響應包就要設置ACK位。連接會話的第一個包不用於確認,所以它就沒有設置ACK位,後續會話交換的TCP包就要設置ACK位了。
舉個例子,PC向遠端的Web伺服器發起一個連接,它生成一個沒有設置ACK位的連接請求包。當伺服器響應該請求時,伺服器就發回一個設置了ACK位的數據包,同時在包里標記從客戶機所收到的位元組數。然後客戶機就用自己的響應包再響應該數據包,這個數據包也設置了ACK位並標記了從伺服器收到的位元組數。通過監視ACK位,我們就可以將進入網路的數據限制在響應包的范圍之內。於是,遠程系統根本無法發起TCP連接但卻能響應收到的數據包了。
這套機制還不能算是無懈可擊,簡單地舉個例子,假設我們有台內部Web伺服器,那麼埠80就不得不被打開以便外部請求可以進入網路。還有,對UDP包而言就沒法監視ACK位了,因為UDP包壓根就沒有ACK位。還有一些TCP應用程序,比如FTP,連接就必須由這些伺服器程序自己發起。
FTP帶來的困難
一般的Internet服務對所有的通信都只使用一對埠號,FTP程序在連接期間則使用兩對埠號。第一對埠號用於FTP的「命令通道」提供登錄和執行命令的通信鏈路,而另一對埠號則用於FTP的「數據通道」提供客戶機和伺服器之間的文件傳送。
在通常的FTP會話過程中,客戶機首先向伺服器的埠21(命令通道)發送一個TCP連接請求,然後執行LOGIN、DIR等各種命令。一旦用戶請求伺服器發送數據,FTP伺服器就用其20埠 (數據通道)向客戶的數據埠發起連接。問題來了,如果伺服器向客戶機發起傳送數據的連接,那麼它就會發送沒有設置ACK位的數據包,防火牆則按照剛才的規則拒絕該數據包同時也就意味著數據傳送沒戲了。通常只有高級的、也就是夠聰明的防火牆才能看出客戶機剛才告訴伺服器的埠,然後才許可對該埠的入站連接。
UDP埠過濾
好了,現在我們回過頭來看看怎麼解決UDP問題。剛才說了,UDP包沒有ACK位所以不能進行ACK位過濾。UDP 是發出去不管的「不可靠」通信,這種類型的服務通常用於廣播、路由、多媒體等廣播形式的通信任務。NFS、DNS、WINS、NetBIOS-over- TCP/IP和 NetWare/IP都使用UDP。
看來最簡單的可行辦法就是不允許建立入站UDP連接。防火牆設置為只許轉發來自內部介面的UDP包,來自外部介面的UDP包則不轉發。現在的問題是,比方說,DNS名稱解析請求就使用UDP,如果你提供DNS服務,至少得允許一些內部請求穿越防火牆。還有IRC這樣的客戶程序也使用UDP,如果要讓你的用戶使用它,就同樣要讓他們的UDP包進入網路。我們能做的就是對那些從本地到可信任站點之間的連接進行限制。但是,什麼叫可信任!如果黑客採取地址欺騙的方法不又回到老路上去了嗎?
有些新型路由器可以通過「記憶」出站UDP包來解決這個問題:如果入站UDP包匹配最近出站UDP包的目標地址和埠號就讓它進來。如果在內存中找不到匹配的UDP包就只好拒絕它了!但是,我們如何確信產生數據包的外部主機就是內部客戶機希望通信的伺服器呢?如果黑客詐稱DNS伺服器的地址,那麼他在理論上當然可以從附著DNS的UDP埠發起攻擊。只要你允許DNS查詢和反饋包進入網路這個問題就必然存在。辦法是採用代理伺服器。
所謂代理伺服器,顧名思義就是代表你的網路和外界打交道的伺服器。代理伺服器不允許存在任何網路內外的直接連接。它本身就提供公共和專用的DNS、郵件伺服器等多種功能。代理伺服器重寫數據包而不是簡單地將其轉發了事。給人的感覺就是網路內部的主機都站在了網路的邊緣,但實際上他們都躲在代理的後面,露面的不過是代理這個假面具。
小結
IP地址可能是假的,這是由於IP協議的源路有機制所帶來的,這種機制告訴路由器不要為數據包採用正常的路徑,而是按照包頭內的路徑傳送數據包。於是黑客就可以使用系統的IP地址獲得返回的數據包。有些高級防火牆可以讓用戶禁止源路由。通常我們的網路都通過一條路徑連接ISP,然後再進入 Internet。這時禁用源路由就會迫使數據包必須沿著正常的路徑返回。
還有,我們需要了解防火牆在拒絕數據包的時候還做了哪些其他工作。比如,防火牆是否向連接發起系統發回了「主機不可到達」的ICMP消息?或者防火牆真沒再做其他事?這些問題都可能存在安全隱患。ICMP「主機不可達」消息會告訴黑客「防火牆專門阻塞了某些埠」,黑客立即就可以從這個消息中聞到一點什麼氣味。如果ICMP「主機不可達」是通信中發生的錯誤,那麼老實的系統可能就真的什麼也不發送了。反過來,什麼響應都沒有卻會使發起通信的系統不斷地嘗試建立連接直到應用程序或者協議棧超時,結果最終用戶只能得到一個錯誤信息。當然這種方式會讓黑客無法判斷某埠到底是關閉了還是沒有使用。
『肆』 網路防火牆有哪些重要規則
防火牆對每一個電腦中的應用程序會設定一個規則
這個規則中規定了這個程序的哪些運行是被允許的,哪些行為是被禁止的,哪些行為是需要詢問用戶的
傳統防火牆,規則規定的是所有連接網路的行為
但現在很多防火牆集成了主機入侵防禦系統~
這一部分的規則規定的是程序所有的本地調用、鉤子、注冊表修改、關鍵文件(夾)修改等等
總而言之,應用程序規則就是對程序行為的一個嚴格規定,每個程序運行前都要被防火牆的對應規則驗證,然後給據規則中規定的條例判斷放行還是攔截。
『伍』 已達到當前個人防火牆配置文件允許的最大安全規則數,請至少刪除一個現有規則才能添加
應該是指你經常修改防火牆的參數設置,而且每次修改後都保存了配置文件,這樣的話,就保存了很多配置文件,現在已經達到最大數量了,你應該進入那個配置文件保存路徑,刪除一些,或者全部刪除,然後再來修改保存。
『陸』 c盤中無效的防火牆規則可以刪除嗎
當然可以刪除!畢竟這些無效的規則都是一些已經在你的電腦上不存在的軟體之前創建的規則。軟體都不存在了,要規則幹嘛?除非你以後又要裝那些軟體。
如果想刪除,可以使用一些工具。比如pc hunter,那裡面的「系統雜項」——「防火牆規則」裡面就可以處理這個。
『柒』 防火牆設計規則的設計原則
構造防火牆設備時,經常要遵循下面兩個主要的概念。
第一、保持設計的簡單性。
第二、要計劃好一旦防火牆被滲透應該怎麼辦。 如果你已設計好你的防火牆性能,只有通過你的防火牆才能允許公共訪問你的網路。當設計防火牆時安全管理員要對防火牆主機崩潰或危及的情況作出計劃。如果你僅僅是用一個防火牆設備把內部網路和公網隔離開,那麼黑客滲透進你的防火牆後就會對你內部的網路有著完全訪問的許可權。為了防止這種滲透,要設計幾種不同級別的防火牆設備。不要依賴一個單獨的防火牆保護惟獨的網路。如果你的安全受到損害,那你的安全策略要確定該做些什麼。採取一些特殊的步驟,包括:
1、創建同樣的軟體備份
2、配置同樣的系統並存儲到安全的地方
3、確保所有需要安裝到防火牆上的軟體都容易,這包括你要有恢復磁碟。
『捌』 如何提高防火牆的可靠性
防火牆是系統的第一道防線,其作用是防止非法用戶的進入。在工業環境中,對串聯在網路中的設備的穩定性、健壯性以及安全性的要求非常高,從而對部署在工業網路中的防火牆有了更多的要求。
傳統是一台物理設備上部署一個防火牆系統,並以單個進程或多個進程的運行形態方式,一旦因為設備軟體bug或外部攻擊導致防火牆系統奔潰,會導致業務中斷。此外不同的業務特徵,對安全性的要求也不同,故而對防火牆安全處理的要求也不同。傳統提高網路健壯性、減少業務中斷概率的方法是雙機熱備或多機部署。而解決不同業務安全性的通用做法,是部署不同的安全設備。這種方式弊端在於:需要一次性買兩台或多台防火牆,對於業務流量帶寬不高而業務多樣化的應用場景下,會造成資源浪費;而且組網和管理維護復雜,兩個物理防火牆之間一旦備份不及時,也會導致業務中斷問題,此外對網管人員要求也較高。
因此,在用戶對帶寬需要不高,且業務靈活多樣性的情況以及工業等網路中對防火牆設備要求高穩定、可靠性的應用場合的需求,由目前解決方案導致的前期投入大和維護成本高,而且會造成資源浪費。
技術實現要素:
發明提供的實現高可靠安全性的防火牆系統,其主要目的在於克服現有由目前解決方案導致的前期投入大和維護成本高,而且會造成資源浪費的問題。
為解決上述技術問題,發明採用如下技術方案:
一種實現高可靠安全性的防火牆系統,包括配置於一台物理設備上的管理子防火牆和至少兩個業務子防火牆;所述物理設備具有多核cpu;
每個子防火牆均單獨與cpu核進行綁定,且相互之間的進程獨自運行;
每個所述業務子防火牆,與所述管理子防火牆連接,啟用進程處理業務,並根據預設的安全檢測樹控制業務的數據包進出;
所述管理子防火牆,通過心跳機制對每個業務子防火牆進行管理;在監控到某個業務子防火牆的CPU使用率高於第一閾值時,將該業務子防火牆的進程調度到CPU使用率低於第二閾值的業務子防火牆中運行。
作為一種可實施方式,所述管理子防火牆還用於,在監控到某個業務子防火牆奔潰時,將該業務子防火牆的進程調度到CPU使用率低於第二閾值的業務子防火牆中運行。
作為一種可實施方式,所述安全檢測樹是由與每個子防火牆進程配置的安全規則在內存中編譯創建的。
作為一種可實施方式,每兩個所述業務子防火牆組成一個備份組;備份組中的業務子防火牆採用相同的安全檢測樹。
作為一種可實施方式,在一個備份組中,每個業務子防火牆均會創建共享內存用於存儲對應的轉發表數據。
作為一種可實施方式,所述轉發表數據包括路由表、arp表以及會話表。
作為一種可實施方式,所述業務子防火牆包括第一防護防火牆、第二防護防火牆以及第三防護防火牆;
所述第一防護防火牆,與工業報文的網卡連接;
所述第二防護防火牆,與資料庫的網卡連接;
所述第三防護防火牆,與企業辦公上網的網卡連接。
作為一種可實施方式,所述第一防護防火牆為備份組的防火牆。
作為一種可實施方式,所述管理子防火牆,與管理報文的網卡連接。
『玖』 禁用並刪除windows防火牆里所有出入站規則是否意味著所有程序都無法使用網路
如果是刪除所有規則的話,那就是說已經沒有規則了,防火牆一般是阻止符合規則的內容的,那就所有程序都不被限制。除非你的防火牆是,設置成規則內允許放行
『拾』 防火牆的規則包括哪幾部分
1目的埠號、ICMP報文類型等,當一個數據包滿足過濾規則,則允許此數據包通過.
否則拒絕此包通過 ... 和UDP埠號所代表的應用服務協議類型有所不同 ... 又稱代理(Proxy)
它由兩部分組成;代理伺服器和篩選路由器。。
2、制定規則的合理次序一般防火牆產品在預設狀態下有兩種 ... 這一規則的合理配置,
阻塞對防火牆的任何惡意訪問,提高防火牆本身的安全性。3、詳細的注釋,幫助
理解恰當地組織好規則之後,還建議寫上注釋並經常更新它們 ...