您当前位置：&&&&&&&&&
售前咨询热线
看防火墙是如何应对网络攻击的_
前言 信息和网络安全技术历经十多年的发展，无论在广度，还是在深度上，都有了很大的进步，其中一个重要的研究趋势就是注重攻防结合，追求最大化的动态安全。网络的攻与防，即为矛与盾。然而，与此相关的信息安全方面的文章大多数却是从盾来入手的，也就是说
　　前言&&&& 信息和网络安全技术历经十多年的发展，无论在广度，还是在深度上，都有了很大的进步，其中一个重要的研究趋势就是注重攻防结合，追求最大化的动态安全。网络的攻与防，即为矛与盾。然而，与此相关的信息安全方面的文章大多数却是从盾来入手的，也就是说从防御的角度来论述。&&& 作为网管员来说，他要学习信息安全知识的话，不仅需要了解防护方面的技术，也需要了解检测和相应环节的技术（就是矛）。无数实践表明，最大的不安全，恰恰就是自以为安全！因为，信息安全具有很强的对抗性，威胁时刻存在，各种各样的安全问题常会掩盖在表面的平静之下。&&& 有太多的古训，诸如&隐患险于明火&、&知己知彼，百战不殆&&&对于今天的网络信息安全防御依然有借鉴意义。对于实施攻击的黑客手法的洞悉，对于自身脆弱性的意识，都是自身安全的前提。&&& 为帮助广大网管员了解网络攻击和防火墙的方方面面，本文作者将从攻防兼备的角度，尽可能将纷繁复杂、是似而非的攻防思路整理清晰，以飨广大网管员。&防火墙的基础知识&&&& 防火墙是由楔和门两类功能部件构成，典型的防火墙包括一外一内两个楔和夹在中间的一个门。楔通常由路由器承担，而门通常由相当简化了操作系统的主机承担。换言之，楔强制内部网络和外部网络之间的通信通过门进行，门则执行安全措施并代理网络服务；门与内外楔之间分别链接一个独立的子网，其中，外楔和门之间的子 网可以有一个非军事区，这块可部署对外的网络服务如www、ftp、dns等等。内外楔应阻塞不希望穿越防火墙的所有网络服务的分组，&&& 目前有两类主导性的防火墙：应用代理和分组过滤网关，这同防火墙概念中的门和楔功能部件相对应，但实际上，完善的防火墙需要这两个部件的有机结合，而不是孤立的发挥作用。&&& 防火墙一般有两个以上的网卡，一个连到外部(router)，另一个是连到内部网络。当打开主机网络转发功能时，两个网卡间的网络通讯能直接通过。当有防火墙时，他好比插在网卡之间，对所有的网络通讯进行控制，示意图如下：　│ │---路由器-----网卡│防火墙│网卡│----------内部网络│ │&&& 防火墙主要通过一个访问控制表来判断的，它的形式一般是一连串的如下规则：1 accept from+ 源地址，端口 to+ 目的地址，端口+ 采取的动作2 deny ...........(deny是拒绝)3 nat ............(nat是地址转换)&&& 防火墙在网络层(包括以下的链路层)接收到网络数据包后，就从上面的规则连表一条一条地匹配，如果符合就执行预先安排的动作，如丢弃包等。&&矛与盾的较量&&&& 几千年前的孙子兵法就写道：不知彼而知己，一胜一负；不知彼，不知己，每战必殆。&&& 我们作为网络管理员，要做到能够检测并预防相应的攻击，就必须了解入侵者的手段，这样，我们才能有针对性的防范。&&& 我们知道，盗窃者在开始犯罪之前，必须完成三个基本的步骤：踩点、查点、行动。比如，有一个盗窃团伙决定抢银行的时候，他们会事先花大量时间去收集这家银行的信息，如武装押运车的路线和押送时间，摄像头的位置和范围，出纳员人数，逃跑路线一起其他任何有助于避免发生意外情况的信息。&&& 对于网络入侵者而言，也是一样的。他要入侵某个网络，事先也必须收集大量的信息──关于该机构的网络安全情况的各个方面的信息，如果不进行踩点就贸然攻击，这个行为简直就是愚蠢的，就好比径直走进银行开始要钱。&&& 只要想查，任何人都可以获取有关你的网络安全情况──其可用信息数量之多往往会超出你的想像！&&& 入侵防火墙的第一步就是查找和判断防火墙。然后就是进行攻击防火墙。&踩点之直接扫描查找防火墙&矛&&&& 有些防火墙会在简单的端口扫描下原形毕露──防火墙有特定端口在监听──你只需要知道哪些端口应该去扫描，比如，CheckPoint的Firewall- 1防火墙在256、257、258号的TCP端口监听，Microsoft Proxy Server 2.0防火墙在号TCP端口监听&&只要知道每个防火墙监听的缺省端口，就可以用端口扫描软件来对特定缺省端口进行扫描来查找防火墙， 如使用nmap[S1] 程序来扫描：nmap -n -vv -P0 -p256,.152.1.1-60.254&&& 因为大多数防火墙不会对ICMP应答，所以上述命令加上了-P0选项来禁止ICMP ping。其他端口扫描软件要视其说明文件来设置禁止ICMP ping。&&& 不过，如果该机构部署了入侵检测系统（IDS）的话，用这种方式对目标网络执行大范围的扫描，显然有些愚蠢和鲁莽，所以，水平比较高的入侵者不会这样明目张 胆的踩点，他们可能使用多种技巧以避免对方的注意，如对Ping探测分组、目标端口、目标地址和源端口进行随机顺序扫描，执行欺骗性源主机执行分布式源扫 描等等。&盾&&&& 要彻底防止入侵者对你的网络发起端口扫描这样的探测，很难。但可以通过将防火墙监听着的端口数缩减到正常运行必需的范围，这要查阅相应的用户手册，也就是在防火墙前面的路由器上阻塞这些端口，若这些路由器是ISP管理的话，就得同ISP联系以阻塞这些端口；如果路由器是自己管理的话，以Cisco路由器为例，可以使用ACL规则显式地阻塞刚才提到的端口：access-list 101 deny tcp any any eq 256 log ! Block Firewall-1 scansaccess-list 101 deny tcp any any eq 257 log ! Block Firewall-1 scansaccess-list 101 deny tcp any any eq 258 log ! Block Firewall-1 scansaccess-list 101 deny tcp any any eq 1080 log ! Block Socks scansaccess-list 101 deny tcp any any eq 1745 log ! Block Winsock scans&&& 请参考所使用的路由器的文档，以达到阻塞针对这些特定端口的扫描。&踩点之路径追踪查找防火墙&矛&&& 上面已经说过，对目标网络执行大范围的扫描是愚蠢和鲁莽的做法，高明的入侵者经常会采用Traceroute──路径追踪。&&& 我们知道，在网络中，信息的传送是通过网中许多段的传输介质和设备（路由器，交换机，服务器，网关等等）从一端到达另一端。每一个连接在Internet上的设备，如主机、路由器、接入服务器等一般情况下都会有一个独立的IP地址。通过Traceroute我们可以知道信息从你的计算机到互联网另一端的主机 是走的什么路径。当然每次数据包由某一同样的出发点到达某一同样的目的地走的路径可能会不一样，但基本上来说大部分时候所走的路由是相同的。 Traceroute通过发送小的数据包到目的设备直到其返回，来测量其需要多长时间。一条路径上的每个设备Traceroute要测3次。输出结果中包括每次测试的时间(ms)和设备的名称（如有的话）及其IP地址。&&& Traceroute在UNIX/Linux中为traceroute，而在Windows则为tracert。&&& 例如在Linux中：lzy@Liuzhiyong:~$ sudo traceroute -I traceroute to
(10.1.28.4), 30 hops max, 40 byte packets1& 10.152.16.3 (10.152.16.3)& 0.345 ms& 0.338 ms *2& 10.152.1.1 (10.152.1.1) 5.801 ms 5.668 ms 5.106 ms&&12&
(10.0.202.1 ) 42.439 ms * *13& 10.1.28.4 (10.1.28.4)& 106.813 ms * *&&& 我们从中可以推测，达到前最后一跳（10.0.202.1）是防火墙的可能性非常大。但事实是否如此，还需要进一步判断。&&& 如果本地计算机到目标服务器之间的路由器对TTL已过期分组做出响应，那么刚才的例子是没有问题的，但如果路由器和防火墙设置成不返回ICMP TTL已过期分组，那么，做出上述的结论就不够科学，这时能做的就是运行traceroute，查看最后响应的是哪一跳，由此推断是否真正的防火墙，或者至少是路径上开始阻塞路径追踪分组的第一个路由器。例如：1& 10.152.16.3 (10.152.16.3)& 0.345 ms& 0.338 ms *2& 10.152.1.1 (10.152.1.1) 5.801 ms 5.668 ms 5.106 ms&&17 atm6. (10.50.2.1) 205.006 ms 391.682 ms18 atm8. (10.50.2.5) 226.669 ms 366.211 ms19 client- (10.50.3.250) 266.223 ms !X * *&&&&& 在上述例子中，我们可以看出，ICMP探测分组被阻塞到达目的地之前，client-之后没有响应，就可以知道结论。&盾&&&& 知道了路径追踪是怎么回事后，自然就知道这个盾如何打造：限制尽可能多的防火墙和路由器对TTL已过期分组做出响应，但是，通常有一些路由器是由你的ISP 控制，你需要跟他们联系。将边界路由器配置成接受到TTL值为0或1的分组时，不响应以TTL EXPIRED的ICMP消息。当然，也可以在边界路由器上阻塞所有不必要的UDP分组。&&& 例如，在Cisco路由器上可以应用如下ACL规策：access-list 101 deny icmp any any 11 0 ! ttl-exceeded&查点之攫取旗标查找防火墙&矛&&&& 旗标就是显示应用程序名和版本号，用来宣告自身的存在，防火墙也与此类似。攫取旗标的思路很有用，因为大多数防火墙并不像CheckPoint那样在缺省的端口监听，这时，攫取旗标就可以检测出防火墙。&&& 这里有一个例子：C:\Documents and Settings\Administrator\nc[S2]& -v -n 10.152.4.12 21(UNKNOWN) [10.152.4.12] 21 (?) open220 Secure Gateway FTP server ready.&&& 看到什么了？嗯，再链接到23号端口看看：C:\Documents and Settings\Administrator\nc -v -n 10.152.4.12 23(UNKNOWN) [10.152.4.12] 21 (?) openEagle Secure Gateway.Hostname:&&& 还不太肯定这是防火墙吗？那我们继续链接到25号端口看看：C:\Documents and Settings\Administrator\nc -v -n 10.152.4.12 25(UNKNOWN) [10.152.4.12] 21 (?) open421 fw4..cn Sorry, the firewall does not provide mail service ti you.&&& 至此，获取的信息还不够多吗？由此可见，攫取旗标可以查找出代理性质的防火墙，很多流行的防火墙只要被连接就会声明自己的存在，甚至包括自己的类型和版本，这恰恰对入侵者提供了有价值的信息，依靠这些信息，入侵者就可以找到网上已公开的薄弱点或者常见的错误配置从而达到入侵目的。&盾&&& 要防住这个&矛&，就是经常变更防火墙的旗标配置文件，但具体的修改方法要取决于所使用的防火墙产品，需要查阅产品说明书或者直接与厂家联系。通常旗标最好被修改为包含警告信息，而不是宣告程序名和版本号等信息。&&& 如果上述几支矛都不够锋利，无法穿透盾的话，入侵者就会使用更为锋利的矛。查点之利用nmap判断防火墙矛&&&& 限于笔者的水平及篇幅所限，这里只能简略的讲述，以使网管员有个简单的认识。&&& nmap是发现防火墙信息的好工具，用nmap扫描时，能看出哪些端口打开着，哪些端口关闭着，还有哪些端口被阻塞着。&盾&&&& 因为nmap是将接受到的ICMP分组的有效负载与早先发送的阿嚏内测分组的内容相比较，然后确定这些信息是否关联，所以，要防住这个矛的盾，应该就是禁止防火墙前面的路由器响应以类型为3、代码为13的ICMP分组（详见RFC 1812，刚才提到的这个分组是ICMP Admin Prohibited Filter分组，通常是从某个分组过滤路由器发出的），在Cisco路由器可以这样做来达到阻止他们对IP不可抵达消息做出回应：no ip unreachables&&& 另外，这个盾也可以防范hping[S3] 攻击的矛。hping是Salvatore Sanfilippo编写的工具，通过向一个目的端口发送TCP分组，并报告由它引回的分组进行工作。&&& hping可以发现打开着的，被阻塞着的、被丢弃的或者被拒绝的分组，而这些分组，能部分或全部的提供了防火墙具体访问控制的情况。&攻击之IP欺骗攻击包过滤防火墙&矛&&&& 这种矛，说穿了就是修改数据包的源、目的地址和端口，模仿一些合法的数据包来骗过防火墙的检测。如：外部入侵者将他的数据报源地址改为内部网络地址，让防火墙看到的是合法地址，从而放行。&盾&&&& 包过滤防火墙是防火墙中最简单的一种，如果防火墙能结合接口，地址来匹配，这种矛就失去了它的锋芒。&攻击之木马攻击绕过包过滤防火墙&矛&&&& 如果入侵者预先攻破了防火墙后面的某个系统，或者欺骗了某个后端系统上的用户执行一个特洛伊木马程序，这样，入侵者就很有效的绕过所设置的防火墙规则了。原因是，包过滤防火墙一般只过滤低端口(1-1024)，而高端口他不可能过滤的(因为，一些服务要用到高端口，因此防火墙不能关闭高端口的)，所以很多的木马都在高端口打开等待。&盾&&&& 加强客户端用户的安全意识，这是老生常谈。对于防火墙而言，应按照自己的配置需求，禁止许多缺省允许的分组类型，小心应对这个防范措施，因为有可能禁止有权穿行的分组通过防火墙，具体做法应根据所使用的防火墙产品的说明书去实施。&攻击之ICMP、UDP隧道绕过防火墙&矛&&&& 这种矛的攻击思想与VPN的实现原理相似，入侵者将一些恶意的攻击数据包隐藏在一些协议分组的头部，从而穿透防火墙系统对内部网络进行攻击。这种矛，依赖于防火墙后面已有一个受害的系统。例如，许多简单地允许ICMP回射请求、ICMP回射应答和UDP分组通过的防火墙就容易受到ICMP和UDP协议隧道 的攻击。Jeremy Rauch和Mike Shiffman编写的loki和lokid[S4]& (攻击的客户端和服务端)是实施这种攻击的有效的工具。&&& 在实际行动中，入侵者首先必须设法在允许ICMP回射请求和回射应答分组穿行的防火墙后面的某一个系统上运行上lokid服务端，而入侵者就通过loki 客户端将希望远程执行的攻击命令(对应IP分组)嵌入在ICMP或UDP包头部，再发送给内部网络服务端lokid，由它执行其中的命令，并以同样的方式 返回结果。由于许多防火墙允许ICMP和UDP分组自由出入，因此攻击者的恶意数据就能附带在正常的分组，绕过防火墙的认证，顺利地到达攻击目标主机下面 的命令是用于启动lokid服务器程序：lokid-p CI Cvl&&& loki客户程序则如下启动：loki Cd 172.29.11.191(攻击目标主机)-p CI Cv1 Ct3&&& 这样，lokid和loki就联合提供了一个穿透防火墙系统访问目标系统的一个后门。盾&&& 要防止利用ICMP和UDP隧道的木马绕过防火墙，可以是完全禁止通过防火墙的ICMP访问，也可以是对ICMP分组提供小粒度的访问控制，对于 Cisco路由器而言，要禁止穿行不是来往于172.29.10.0子网（DMZ区域）的所有ICMP分组，你可以创建以下ACL规则：access-list 101 permit icmp any 172.29.10.0 0. 8!echoaccess-list 101 permit icmp any 172.29.10.0 0. 0!echo-replyaccess-list 102 deny ip any any log ! deny and log all else攻击之反弹式木马&矛&&&& 现在防火墙的包过滤采用的是状态检测技术，一句话，状态检测就是从tcp连接的建立到终止都跟踪检测的技术。状态检测必须提到动态规则技术。在状态检测里，采用动态规则技术，原先高端口的问题就可以解决了。实现原理是：平时防火墙可以过滤内部网络的所有端口(1-65535)，入侵者难于发现切入点，可是为了不影响正常的服务，防火墙一但检测到服务必须开放高端口时，就在内存动态地添加一条规则打开相关的高端口。等服务完成后，这条规则就又被防火墙删除。这样，既保障了安全，又不影响正常服务，速度也快。&&& 反弹式木马是对付这种防火墙的最有效的方法。入侵者在防火墙后面的某个受害系统事先安装好反弹式木马，定时地连接外部攻击 者控制的主机，由于连接是从内部发起的，防火墙(任何的防火墙)都认为是一个合法的连接，从而实现了入侵。防火墙不能区分木马的连接和合法的连接&&这是目前防火墙的盲区。&盾&&&& 据笔者所知，目前还没有相应的盾来抵住这支矛。所以保证防火墙后面的系统，不被非法的安装反弹式木马是至关重要的第一步，扼守住这一步，就不会让反弹式木马来传统防火墙被攻击了。&结语&&&& 实际上，要绕过配置得当的防火墙是非常困难的。但是，时下发现的薄弱点的根源在于，防火墙的错误配置和缺乏管理性监视，一旦入侵者通过踩点和查点寻找到并判断出目标网络的路由器和防火墙之间的通路以及防火墙的类型，那么带来的后果可能是毁灭性的。&&& 黑客入侵技术不会因为我们不去了解它而不复存在；黑客们也不会因为我们不去学习、不去掌握抗击技术和工具而放弃对手无寸铁的我们的攻击。我们作为网管员，切记不能像鸵鸟那样，我们要在知识的获取上与黑客比速度，如果能先于攻击者之前了解这些知识，那么我们的安全就会更有保障。&&&[S1]namp是一种网络探测和安全扫描器。它可以让系统管理员或好奇个人扫描大型网络决定那些机器开启并且提供哪些服务。nmap支持大量的扫描技术例如：UDP, TCP connect(), TCP SYN (half open), ftp proxy (bounce attack), Reverse-ident, ICMP (ping sweep), FIN, ACK sweep,Xmas Tree, SYN sweep, and Null scan.更多细节看扫描类型节。nmap同时提供了大量的高级特性，例如：通过TCP/IP指纹进行远程操作系统检测, stealth scanning, dynamic delay and retransmission calculations, parallel scanning, detection of down hosts via parallel pings, decoy scanning, port filtering detection, fragmentation scanning, and flexible target and port specification.&&[S2]即netcat，它被誉为网络安全界的&瑞士军刀&，它是一个简单而有用的工具，透过使用TCP或UDP协议的网络连接去读写数据。它被设计成一个稳定的后门工具，能够直接由其它程序和脚本轻松驱动。同时，它也是一个功能强大的网络调试和探测工具，能够建立你需要的几乎所有类型的网络连接，还有几个很有意思的内置功能。&&[S3]hping是一个基于命令行的TCP/IP工具,它在UNIX上得到很好的应用,不过它并非仅仅一个ICMP请求/响应工具,它还支持TCP, UDP, ICMP, RAW-IP 协议,以及一个路由模型HPING一直被用作安全工具,可以用来测试网络及主机的安全,它有以下功能：1:防火墙探测、2:高级端口扫描、3:网络测试;(可以用不同的协议,TOS,数据包碎片来实现此功能)、4:手工MTU发掘、5:高级路由(在任何协议下都可一实现)、6:指纹判断、7:细微UPTIME猜测&&HPING也可以被研究人员用来学习TCP/IP,在以下OS上它可以运行于LINUX,FREEBSD,NETBSD,OPENBSD,SOLARIS. 目前最新版本为HPING3。
聚生网管官网,反p2p终结者,流量监控软件,检测局域网流量,防止ip地址冲突,局域网禁止上网
大势至公司网络管理产品：
1、，是国内最早、最专业的局域网监控软件、上网行为控制系统，可以有效管理公司局域网电脑上网行为，有效屏蔽迅雷下载、禁止迅雷上传，禁止pps上传、禁止看qq直播、禁止局域网玩游戏、禁止登录QQ游戏大厅、禁止员工炒股、限制上班看电影、进行局域网带宽限制、控制打开网页、禁止局域网网购、监控邮件内容、监控邮件附件、记录论坛发帖留言、防ARP攻击、查找局域网手机、禁止手机接入公司局域网、禁止私自安装无线路由器上网、防止无线局域网蹭网等;
2、，专业的上网行为管理服务器、比上网行为管理路由器、上网管理路由器更强大，可以有效禁止电脑游戏、屏蔽网页游戏、限制局域网看视频、禁止别人看视频、限制P2P软件使用、禁止快车下载、局域网控制迅雷下载、限制股票软件、禁止上班炒股行为、进行局域网流量监控、限制带宽软件，禁止员工网络购物、屏蔽购物网站、屏蔽网页视频网站，并且独创了&创新直连&监控模式，国内最快捷、最简单、最安全控制多网段电脑上网行为，监控效率和综合性能最强的硬件网络管理系统、上网行为管理系统。
3、，一款强大的USB端口控制系统，有效禁用USB端口使用、屏蔽U口、禁止电脑使用U盘、屏蔽优盘使用、禁用优盘，禁止移动硬盘使用、禁止手机存储卡使用，可以有效地屏蔽USB存储设备而不影响USB鼠标键盘和非USB设备的使用；同时，还可以禁止修改注册表、禁止修改组策略、禁止修改msconfig启动项、禁止修改计算机管理、禁止F8键进入安全模式、禁止U盘启动电脑、禁止光驱启动电脑；此外，还可以只允许电脑访问特定网站，只让打开特定程序、只让运行特定软件或者禁止运行某些程序、禁止访问某些网站等；
4、，是一款强大的共享文件服务器监控软件、服务器文件管理系统、服务器文件访问控制软件，最有效监控服务器共享文件的访问，详细记录修改服务器共享文件、删除服务器共享文件、复制服务器共享文件、剪切服务器共享文件或者打印服务器共享文件的行为，以及重命名共享文件等；同时，记录访问共享文件者的IP地址、MAC地址、主机名和域账号等信息，从而可以为网管员提供详细的服务器文件访问日志，便于加强服务器共享文件管理，保护单位无形资产和商业机密等；
5、，是一款专业的公司局域网接入管理软件、内网接入控制系统，可以有效防止非公司电脑访问公司局域网、禁止外部电脑访问公司局域网、限制外来电脑接入公司局域网、禁止手机接入公司局域网、禁止手机无线上网、限制平板电脑无线上网，检测局域网处于混杂模式的网卡，防止局域网抓包、防止局域网嗅探；同时，还可以查找局域网无线路由器，禁止无线路由器接入公司局域网，禁止无线路由器上网，禁止局域网启用代理，限制员工代理上网，禁止电脑安装代理软件为其他电脑提供代理上网服务等；
国内领先企业网络管理方案提供商——大势至（北京）软件工程有限公司简介：大势至公司是国内专业的企业上网管理软件、局域网网络管理软件提供商，公司核心产品：聚生网管监控软件（有效禁止局域网下载、禁止局域网玩游戏、禁止在线看视频、禁止上网软件、禁止局域网下载、局域网网速控制软件、局域网禁用随身wifi、禁止上网购物、限制局域网网购、局域网限速管理软件、局域网控制上网软件、局域网流量监控软件、局域网带宽分配软件、上网行为管理系统、计算机网络管理软件、最好用的网管软件、免费网管软件下载、计算机网络管理软件排行榜第一名……）；大势至服务器共享文件管理软件（是一款专门监控服务器共享文件访问日志的软件，详细记录服务器共享文件的打开、读取、复制、修改、删除、剪切和重命名等操作，防止删除服务器共享文件、禁止复制服务器共享文件，分配共享文件访问权限，是一款专门的服务器文件管理软件、文件共享服务器监控软件、局域网共享文件设置软件、局域网共享文件管理软件……）；大势至网络准入控制系统（一款专门的局域网接入管理软件，禁止外来电脑接入局域网、隔离局域网电脑、禁止电脑相互通讯、检测局域网无线路由器、检测局域网手机、防止蹭网、禁止局域网代理上网、防止网络嗅探、禁止修改MAC地址、禁止修改IP地址、绑定IP和MAC地址、禁止外来电脑上网、禁止外来电脑访问公司文件服务器、禁止访问共享文件、禁止非公司电脑接入公司局域网，实现全面的局域网网络接入控制和安全防范……）；大势至电脑USB禁用软件（一款禁用U盘软件、电脑USB接口禁用软件、计算机USB端口禁用软件、微机USB屏蔽软件、禁用USB存储设备、禁用手机存储卡、禁止复制电脑文件到U盘、禁用360随身wifi、屏蔽随身wifi、禁止wifi共享、禁止修改注册表、禁止打开组策略、禁止U盘启动电脑、禁止光驱启动电脑、WIN7禁止安装软件、禁止电脑运行软件、禁止发邮件、禁止网盘上传文件、禁止QQ发文件、禁用光驱、只让电脑运行某个软件、禁止电脑上网、只让电脑打开某个网站、只让电脑运行某些程序等）。大势至四款核心局域网电脑管理软件可以协调配合，为企业提供全面的员工上网行为管理、电脑文件安全管理软件和商业机密保护，保障企业高效率、稳健运转！
京ICP备号 京公网安备您还未登陆，请登录后操作！
局域网安全防护
我们学校的计算机是外线接入到一个猫上,再从猫上引出一个线到路由器上,再从路由器接到一个交换机上然后再从交换机的分口上接到各个办公室的电脑上然后还在各办公室中接上一个交换机,然后还可以几台电脑.这样行吗.这样叫局域网吗?如果不是,规范的局域网硬件和软件应该有哪些呢?还有设置应该怎样做呢.安全防护应该怎样设置.最近我们单位的网络老是出现掉线或受到漏洞攻击.多台机中毒.请教大师们不吝赐教.谢谢
局域网安全防护的具体措施是什么
首先分清你的局域网是不是还有外网出口。
一、没有外网出口：这个就比较简单了，只要避免内部病毒的相互感染，其实只要在局域网内的机器安装win2000sp4以上的版本，基本上没有什么问题，谈不上什么安全防护。
二、有外网出口：局域网用户可以访问互联网，则用户不仅要使用高版本的windows，最好还要尽快安装各类补丁，如果使用win2000sp4，还要打上冲击波和震荡波补丁，xpsp2只要启用自带的防火墙基本没有问题。另外最好使用带有管理功能的交换机，将用户划分Vlan，避免大范围的相互攻击，你还可以在交换机上层安装一台监控的计算机，可以时时抓包，看看到底那台机器经常发送病毒数据包，及时清理用户。我们单位就是这样，但是我们没有用什么好的交换机，我主要是对他们进行安全教育，打好补丁，另外通过肉眼观察某一个用户端口在交换机上面的小灯闪烁的异常，哈哈，就是闪的很快，和其他用户不同，马上找到他！所以，每一条线路，你最好有记录，知道是谁的，就可以了~
回答数：6244
您的举报已经提交成功，我们将尽快处理，谢谢！防火墙的作用是什么？_百度知道
防火墙的作用是什么？
提问者采纳
防止网络病毒的入侵~保护电脑的安全使用~
放在路由器的后面
您是说防火墙的作用吗？ 就是阻挡网络攻击，放置黑客入侵，避免中毒~
其他类似问题
38人觉得有用
防火墙的相关知识
按默认排序
其他1条回答
一楼回答很正确。
您可能关注的推广回答者：
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁