地狱书生的博客

先进的防火墙产品将网关与安全系统合二为一，具有以下技术与功能。 　　　　双端口或三端口的结构 　　新一代防火墙产品具有两个或三个独立的网卡，内外两个网卡可不作IP转化而串接于内部网与外部网之间，另一个网卡可专用于对服务器的安全保护。 　　　　透明的访问方式 　　以前的防火墙在访问方式上要么要求用户作系统登录，要么需要通过SOCKS等库路径修改客户机的应用。新一代防火墙利用了透明的代理系统技术，从而降低了系统登录固有的安全风险和出错概率。 　　　　灵活的代理系统 　　代理系统是一种将信息从防火墙的一侧传送到另一...

阅读全文>>

1． 包过滤防火墙 　　　　第一代：静态包过滤 　　　　这种类型的防火墙根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。包过滤类型的防火墙要遵循的一条基本原则是"最小特权原则"，即明确允许那些管理员希望通过的数据包，禁止其他的数据包。 　　第二代：动态包过滤 　　　　这种类型的防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所具有...

阅读全文>>

一般来说，防火墙具有以下几种功能： 　　　　1．允许网络管理员定义一个中心点来防止非法用户进入内部网络。 　　　　2．可以很方便地监视网络的安全性，并报警。 　　　　3．可以作为部署NAT（Network Address Translation，网络地址变换）的地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题。 　　　　4．是审计和记录Internet使用费用的一个最佳地点。网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈位置，并能够依据本机构的核算模式提供部门级的计费...

阅读全文>>

1. 需求说明:　　在大规模的路由网络中,例如在一个由省-地市-县-营业点组成的四级远程互连的路由网络中,如何维护大量的营业点路由器的直连子网路由和配置营业点的静态路由成为一个巨大的负担.此案例中说明了如何利用cisco On-Demand Routing (ODR)技术来优化这种大规模路由网络的一个设想.　　　　2.ODR简介:　　ODR技术(IOS 12.0.5T)能够使hub and spoke网络结构中的hub路由器自动地向spoke路由器(又称为stub站点)提供缺省路由,stub站点路由器不需要运行动态路由协议,也不需要配置任何的静态路由,几乎没有系统资源的占用,就能够实现本地所...

阅读全文>>

防火墙包含着一对矛盾( 或 称 机 制)： 　　一方面它限制数据流通，另一方面它又允许数据流通。 　　由于网络的管理机制及安全策略(security policy)不同，因此这对矛盾呈现出不同的表现形式。 　　　　存在两种极端的情形： 　　第一种是除了非允许不可的都被禁止，第二种是除了非禁止不可都被允许。 　　第一种的特点是安全但不好用，第二种是好用但不安全，而多数防火墙都在两者之间采取折衷。 　　　　在确保防火墙安全或比较安全前提下提高访问效率是当前防火墙技术研究和实现的热点。

阅读全文>>

随着Internet/Intranet的飞速发展，全国各企事业单位都在建设局域网并连入互联网，但信息网络安全一直是我们关心的问题，所以本文提出了在路由器下通过访问控制列表(ACL)来构建计算机网络的防火墙体系结构。　　　　一个组织全局的安全策略应根据安全分析和业务需求分析来决定，因为网络安全与防火墙关系紧密，所以我们要正确设置网络的安全策略，使防火墙发挥最大的作用。　　　　网络防火墙安全策略是指要明确定义哪些数据包允许或禁止通过并使用网络服务，以及这些服务的使用规则。而且，网络防火墙安全策略中的每一条规定都应该在实际...

阅读全文>>

学会如何在内部服务器和客户端使用访问控制列表来保护你的网络不会遭到各种各样的袭击。　　　　大多的安全管理程序都能很好地使用防火墙，过滤路由器和其它的防御工具来保护它们的网络免于受到外部黑客的袭击。然而，对于你网络的最大的敌人莫过于内部的攻击。内部的访问控制列表（ACLs）可以帮助保护你的网络安全免遭内部危害。　　　　你的路由器和交换机中的内部ACLs可以在安全构件中给你提供另外一个工具。通过在你的网络中限制传输的类型，你就可以提高性能，并且可以减少你的弱点，以防止内部攻击、特洛伊木马和蠕虫病毒的繁衍。当...

阅读全文>>

双音多频信号（DTMF）是由一组低音频信号和一组高音频信号以一定方式的组合构成，每组音频信号各有4个音频信号，而每种组合有一个高音频信号和一个低音频信号，共16种组合。过去主要用于电话拨号信息传输，具有很强的抗干扰能力。目前市场上销售的DTMF专用芯片集编解码于一体，MT8880具有收发功能。本文通过89C51单片机控制MT8880实现计算机间的远距离数据传输。　　　　1　DTMF技术介绍　　1．1　DTMF信号介绍　　　　DTMF信号的产生原理：双音频信号是2个正弦波信号的叠加，选定2个频率f1和f2后可得到这种信号的数学表达式：　　　　f（...

阅读全文>>

RFC 1858　报道IP段过滤的安 全注意事项并且突出显示对介入TCP信息包、微小的碎片攻击和交迭 的碎片攻击的IP段的主机的二次攻击。拦截这些攻击是理想 的因为他们能攻陷主机，或者阻塞所有其内部资源。 　　　　RFC 1858　也描述二个方法保卫这些攻 击，直接和间接。在直接方法，最小长度小于的初始分段被 丢弃。如果开始8个字节原始IP数据报，间接方法介入丢弃片 段集的第二个片段。请参阅 RFC 1858　关于更详细的细节。 　　　　传统上， 信息包过滤器类似ACLs被应用于不分片和IP信息包的初始分段因为 他们包含第三层和4 ACLs能匹配为允许...

阅读全文>>

VPN按照实现的方式可以分为基于用户端CPE设备的VPN和基于运营商网络的VPN。当一个企业用户要建立一个虚拟专用网络时，既可以由用户端来实现，也可以由网络运营商来实现，甚至可以由网络运营商和用户共同来实现，这就是所谓的VPN实现的分类。　　　　基于用户端CPE设备的VPN 　　基于用户端CPE的VPN是指用户自己设置并维护VPN网关设备，在各个分支机构和公司总部之间建立VPN连接，并且可以采用加密技术以保障数据传输的安全性。连接的建立与用户的管理完全由用户自己负责，网络运营商不必调整或改变网络的结构与性能就可以提供对这种VPN功能...

阅读全文>>

利用因特网资源组建企业虚拟专用网络（VPN），已成为大型企业内部分支机构互联的热点。而VPN外包服务则以其安全、可靠的 Internet通道资源，以及服务提供商对服务水平协议（SLA）的改进和服务质量（QoS）的保证，吸引了企业用户的目光。　　　　外包服务的提供让企业实现VPN第一次有了“五星级”的享受。　　　　VPN服务为企业带来什么　　VPN作为一种新业务和增值业务，是在20世纪90年代才发展起来的。目前，在国内提供VPN业务的主要是几大运营商，如中国电信、中国联通、中国网通、中国移动等；还有一些运营服务提供商，如中企...

阅读全文>>

3．IDS与防病毒系统的协同　　IDS与防病毒系统的协同在数据采集协同中已经进行过论述，但实际上对防病毒系统来讲，查和杀是不可或缺的两个方面，在查的层面有数据采集协同，在杀的层面有响应协同。如果说IDS还可以通过发送大量RST报文阻断已经建立的连接，某种程度上代替防火墙的响应机制的话，在防止计算机遭受病毒袭击的方面简直是无能为力，目前由于网络病毒攻击占所有攻击的比例不断增加，IDS与防病毒系统的协同也变得越来越重要。　　　　4．IDS与蜜罐和填充单元系统协同　　有一些工具可以作为IDS的补充，由于它们的功能相似，销售商...

阅读全文>>

数据分析协同　　入侵检测不仅需要利用模式匹配和异常检测技术来分析某个检测引擎所采集的数据，以发现一些简单的入侵行为，还需要在此基础上利用数据挖掘技术，分析多个检测引擎提交的审计数据以发现更为复杂的入侵行为。　　　　理论上讲，任何网络入侵行为都能够被发现，因为网络流量和主机日志记录了入侵的活动。数据分析协同需要在两个层面上进行，一是对一个检测引擎采集的数据进行协同分析，综合使用检测技术，以发现较为常见的、典型的攻击行为; 二是对来自多个检测引擎的审计数据，利用数据挖掘技术进行分析，以发现较为复杂的攻...

阅读全文>>

入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。　入侵检测系统能够识别出任何不希望有的活动，这种活动可能来自于网络外部和内部。入侵检测系统的应用，能使在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中，能减少入侵攻击所造成的损失。在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加入知识库内，以增强系统的防范能力。　　　　典型的IDS系统模型...

阅读全文>>

配电网自动化系统可采用的通信有光纤、配电载电(DLC：Distribution Line Carrier)、无线、有线等多种方式。10kV配电线路从变电所出发可以延伸到线路上的任一测、控点，所以DLC是最经济、可靠的通信方式之一，是配电自动化的首选通信方式。　　　　配电线载波通信（DLC）不同于电力系统原有的高压系统输电线载波通信(PLC：Power Line Carrier)方式。PLC一般是两点之间通过阻波器和结合滤波器上送和下载高频信号，传输目标明确，结构简单。而DLC则是一对多的通信方式，不设阻波器，通信信号在10kV及380kV配电网中传输，其上装设的任何一个通...

阅读全文>>