主機安全防護設備有哪些

⑴ 入侵防護系統(IPS)的原理

IPS原理

防火牆是實施訪問控制策略的系統，對流經的網路流量進行檢查，攔截不符合安全策略的數據包。入侵檢測技術(IDS)通過監視網路或系統資源，尋找違反安全策略的行為或攻擊跡象，並發出報警。傳統的防火牆旨在拒絕那些明顯可疑的網路流量，但仍然允許某些流量通過，因此防火牆對於很多入侵攻擊仍然無計可施。絕大多數 IDS 系統都是被動的，而不是主動的。也就是說，在攻擊實際發生之前，它們往往無法預先發出警報。而IPS則傾向於提供主動防護，其設計宗旨是預先對入侵活動和攻擊性網路流量進行攔截，避免其造成損失，而不是簡單地在惡意流量傳送時或傳送後才發出警報。IPS 是通過直接嵌入到網路流量中實現這一功能的，即通過一個網路埠接收來自外部系統的流量，經過檢查確認其中不包含異常活動或可疑內容後，再通過另外一個埠將它傳送到內部系統中。這樣一來，有問題的數據包，以及所有來自同一數據流的後續數據包，都能在IPS設備中被清除掉。

IPS工作原理

IPS實現實時檢查和阻止入侵的原理在於IPS擁有數目眾多的過濾器，能夠防止各種攻擊。當新的攻擊手段被發現之後，IPS就會創建一個新的過濾器。IPS數據包處理引擎是專業化定製的集成電路，可以深層檢查數據包的內容。如果有攻擊者利用Layer 2(介質訪問控制)至Layer 7(應用)的漏洞發起攻擊，IPS能夠從數據流中檢查出這些攻擊並加以阻止。傳統的防火牆只能對Layer 3或Layer 4進行檢查，不能檢測應用層的內容。防火牆的包過濾技術不會針對每一位元組進行檢查，因而也就無法發現攻擊活動，而IPS可以做到逐一位元組地檢查數據包。所有流經IPS的數據包都被分類，分類的依據是數據包中的報頭信息，如源IP地址和目的IP地址、埠號和應用域。每種過濾器負責分析相對應的數據包。通過檢查的數據包可以繼續前進，包含惡意內容的數據包就會被丟棄，被懷疑的數據包需要接受進一步的檢查。

針對不同的攻擊行為，IPS需要不同的過濾器。每種過濾器都設有相應的過濾規則，為了確保准確性，這些規則的定義非常廣泛。在對傳輸內容進行分類時，過濾引擎還需要參照數據包的信息參數，並將其解析至一個有意義的域中進行上下文分析，以提高過濾准確性。

過濾器引擎集合了流水和大規模並行處理硬體，能夠同時執行數千次的數據包過濾檢查。並行過濾處理可以確保數據包能夠不間斷地快速通過系統，不會對速度造成影響。這種硬體加速技術對於IPS具有重要意義，因為傳統的軟體解決方案必須串列進行過濾檢查，會導致系統性能大打折扣。

IPS的種類

* 基於主機的入侵防護(HIPS)

HIPS通過在主機/伺服器上安裝軟體代理程序，防止網路攻擊入侵操作系統以及應用程序。基於主機的入侵防護能夠保護伺服器的安全弱點不被不法分子所利用。Cisco公司的Okena、NAI公司的McAfee Entercept、冠群金辰的龍淵伺服器核心防護都屬於這類產品，因此它們在防範紅色代碼和Nimda的攻擊中，起到了很好的防護作用。基於主機的入侵防護技術可以根據自定義的安全策略以及分析學習機制來阻斷對伺服器、主機發起的惡意入侵。HIPS可以阻斷緩沖區溢出、改變登錄口令、改寫動態鏈接庫以及其他試圖從操作系統奪取控制權的入侵行為，整體提升主機的安全水平。

在技術上，HIPS採用獨特的伺服器保護途徑，利用由包過濾、狀態包檢測和實時入侵檢測組成分層防護體系。這種體系能夠在提供合理吞吐率的前提下，最大限度地保護伺服器的敏感內容，既可以以軟體形式嵌入到應用程序對操作系統的調用當中，通過攔截針對操作系統的可疑調用，提供對主機的安全防護;也可以以更改操作系統內核程序的方式，提供比操作系統更加嚴謹的安全控制機制。

由於HIPS工作在受保護的主機/伺服器上，它不但能夠利用特徵和行為規則檢測，阻止諸如緩沖區溢出之類的已知攻擊，還能夠防範未知攻擊，防止針對Web頁面、應用和資源的未授權的任何非法訪問。HIPS與具體的主機/伺服器操作系統平台緊密相關，不同的平台需要不同的軟體代理程序。

* 基於網路的入侵防護(NIPS)

NIPS通過檢測流經的網路流量，提供對網路系統的安全保護。由於它採用在線連接方式，所以一旦辨識出入侵行為，NIPS就可以去除整個網路會話，而不僅僅是復位會話。同樣由於實時在線，NIPS需要具備很高的性能，以免成為網路的瓶頸，因此NIPS通常被設計成類似於交換機的網路設備，提供線速吞吐速率以及多個網路埠。

NIPS必須基於特定的硬體平台，才能實現千兆級網路流量的深度數據包檢測和阻斷功能。這種特定的硬體平台通常可以分為三類：一類是網路處理器(網路晶元)，一類是專用的FPGA編程晶元，第三類是專用的ASIC晶元。

在技術上，NIPS吸取了目前NIDS所有的成熟技術，包括特徵匹配、協議分析和異常檢測。特徵匹配是最廣泛應用的技術，具有準確率高、速度快的特點。基於狀態的特徵匹配不但檢測攻擊行為的特徵，還要檢查當前網路的會話狀態，避免受到欺騙攻擊。

協議分析是一種較新的入侵檢測技術，它充分利用網路協議的高度有序性，並結合高速數據包捕捉和協議分析，來快速檢測某種攻擊特徵。協議分析正在逐漸進入成熟應用階段。協議分析能夠理解不同協議的工作原理，以此分析這些協議的數據包，來尋找可疑或不正常的訪問行為。協議分析不僅僅基於協議標准(如RFC)，還基於協議的具體實現，這是因為很多協議的實現偏離了協議標准。通過協議分析，IPS能夠針對插入(Insertion)與規避(Evasion)攻擊進行檢測。異常檢測的誤報率比較高，NIPS不將其作為主要技術。

* 應用入侵防護(AIP)

NIPS產品有一個特例，即應用入侵防護(Application Intrusion Prevention，AIP)，它把基於主機的入侵防護擴展成為位於應用伺服器之前的網路設備。AIP被設計成一種高性能的設備，配置在應用數據的網路鏈路上，以確保用戶遵守設定好的安全策略，保護伺服器的安全。NIPS工作在網路上，直接對數據包進行檢測和阻斷，與具體的主機/伺服器操作系統平台無關。

NIPS的實時檢測與阻斷功能很有可能出現在未來的交換機上。隨著處理器性能的提高，每一層次的交換機都有可能集成入侵防護功能。

IPS技術特徵

嵌入式運行：只有以嵌入模式運行的 IPS 設備才能夠實現實時的安全防護，實時阻攔所有可疑的數據包，並對該數據流的剩餘部分進行攔截。

深入分析和控制：IPS必須具有深入分析能力，以確定哪些惡意流量已經被攔截，根據攻擊類型、策略等來確定哪些流量應該被攔截。

入侵特徵庫：高質量的入侵特徵庫是IPS高效運行的必要條件，IPS還應該定期升級入侵特徵庫，並快速應用到所有感測器。

高效處理能力：IPS必須具有高效處理數據包的能力，對整個網路性能的影響保持在最低水平。

IPS面臨的挑戰

IPS 技術需要面對很多挑戰，其中主要有三點：一是單點故障，二是性能瓶頸，三是誤報和漏報。設計要求IPS必須以嵌入模式工作在網路中，而這就可能造成瓶頸問題或單點故障。如果IDS 出現故障，最壞的情況也就是造成某些攻擊無法被檢測到，而嵌入式的IPS設備出現問題，就會嚴重影響網路的正常運轉。如果IPS出現故障而關閉，用戶就會面對一個由IPS造成的拒絕服務問題，所有客戶都將無法訪問企業網路提供的應用。

即使 IPS 設備不出現故障，它仍然是一個潛在的網路瓶頸，不僅會增加滯後時間，而且會降低網路的效率，IPS必須與數千兆或者更大容量的網路流量保持同步，尤其是當載入了數量龐大的檢測特徵庫時，設計不夠完善的 IPS 嵌入設備無法支持這種響應速度。絕大多數高端 IPS 產品供應商都通過使用自定義硬體(FPGA、網路處理器和ASIC晶元)來提高IPS的運行效率。

誤報率和漏報率也需要IPS認真面對。在繁忙的網路當中，如果以每秒需要處理十條警報信息來計算，IPS每小時至少需要處理 36,000 條警報，一天就是 864,000 條。一旦生成了警報，最基本的要求就是IPS能夠對警報進行有效處理。如果入侵特徵編寫得不是十分完善，那麼"誤報"就有了可乘之機，導致合法流量也有可能被意外攔截。對於實時在線的IPS來說，一旦攔截了"攻擊性"數據包，就會對來自可疑攻擊者的所有數據流進行攔截。如果觸發了誤報警報的流量恰好是某個客戶訂單的一部分，其結果可想而知，這個客戶整個會話就會被關閉，而且此後該客戶所有重新連接到企業網路的合法訪問都會被"盡職盡責"的IPS攔截。

IPS廠商採用各種方式加以解決。一是綜合採用多種檢測技術，二是採用專用硬體加速系統來提高IPS的運行效率。盡管如此，為了避免IPS重蹈IDS覆轍，廠商對IPS的態度還是十分謹慎的。例如，NAI提供的基於網路的入侵防護設備提供多種接入模式，其中包括旁路接入方式，在這種模式下運行的IPS實際上就是一台純粹的IDS設備，NAI希望提供可選擇的接入方式來幫助用戶實現從旁路監聽向實時阻止攻擊的自然過渡。

IPS的不足並不會成為阻止人們使用IPS的理由，因為安全功能的融合是大勢所趨，入侵防護順應了這一潮流。對於用戶而言，在廠商提供技術支持的條件下，有選擇地採用IPS，仍不失為一種應對攻擊的理想選擇。

⑵ 企業網路安全設備有哪些

企業網路的安全設備有：
1、鏈路負載均衡---Lookproof Branch
Lookproof Branch是Radware公司專門為中小型網路用戶提供的性專價比極屬高的廣域網多鏈路負載均衡的整體解決方案，其功能涵蓋了多鏈路負載均衡（Multilink LoadBalance）、多鏈路帶寬管理和控制以及多鏈路網路攻擊防範（IPS）。
2、IPS入侵防禦系統---綠盟IPS 綠盟科技網路入侵保護系統
針對目前流行的蠕蟲、病毒、間諜軟體、垃圾郵件、DDoS等黑客攻擊，以及網路資源濫用（P2P下載、IM即時通訊、網游、視頻„„），綠盟科技提供了完善的安全防護方案。
3、網行為管理系統---網路督察
4、網路帶寬管理系統--- Allot 帶寬管理
使用NetEnforcer的NetWizard軟體的設置功能，可以自動的獲得網路上通信所使用的協議。
5、防毒牆---趨勢網路病毒防護設備
Trend Micro Network VirusWall業務關鍵型設施的病毒爆發防禦設備。

⑶ 船舶安全設施包括哪些

你這問題涵蓋范圍太大了，還真是不好回答：
1，從大的角度來講，船舶本身就應該回是個安全設施，包括答船體、動力、操控等，哪一方面有缺陷都無法保證船舶的安全。
2，從小的角度來說，船舶配備的救生、消防、防油污、應急設備（包括舵機、通訊）以及主機的安保系統等等，都屬於船舶的安全設施。
3，船舶作為貨物運輸的載體，其本身受到天氣、自身結構、船員素質等多種因素的影響，經常會存在各種不安全因素，例如平時的靠離泊、開關艙、設備保養作業，以及機艙設備的運行、保養等。所以船舶在設計建造過程中盡可能的做到減少這些不安全因素，如增加特殊部位的防滑功能、某些設備安裝限位開關等等，這些都屬於船舶的安全設施。

⑷ 網關和網閘、防火牆有什麼區別

一、主體不同

1、網關：又稱網間連接器、協議轉換器。

2、網閘：是使用帶有多種控制功能的固態開關讀寫介質，連接兩個獨立主機系統的信息安全設備。

3、防火牆：是通過有機結合各類用於安全管理與篩選的軟體和硬體設備。

二、作用不同

1、網關：在網路層以上實現網路互連，是復雜的網路互連設備，僅用於兩個高層協議不同的網路互連。

2、網閘：由於兩個獨立的主機系統通過網閘進行隔離，使系統間不存在通信的物理連接、邏輯連接及信息傳輸協議，不存在依據協議進行的信息交換，而只有以數據文件形式進行的無協議擺渡。

3、防火牆：幫助計算機網路於其內、外網之間構建一道相對隔絕的保護屏障，以保護用戶資料與信息安全性的一種技術。

三、特點不同

1、網關：關既可以用於廣域網互連，也可以用於區域網互連。 網關是一種充當轉換重任的計算機系統或設備。

2、網閘：從邏輯上隔離、阻斷了對內網具有潛在攻擊可能的一切網路連接，使外部攻擊者無法直接入侵、攻擊或破壞內網，保障了內部主機的安全。

3、防火牆：主要在於及時發現並處理計算機網路運行時可能存在的安全風險、數據傳輸等問題，其中處理措施包括隔離與保護，同時可對計算機網路安全當中的各項操作實施記錄與檢測，以確保計算機網路運行的安全性。

⑸ 計算機安全防護有哪些要點

1、注意內網安全與網路邊界安全的不同
內網安全的威脅不同於網路邊界的威脅。網路邊界安全技術防範來自Internet上的攻擊，主要是防範來自公共的網路伺服器如HTTP或SMTP的攻擊。網路邊界防範(如邊界防火牆系統等)減小了資深黑客僅僅只需接入互聯網、寫程序就可訪問企業網的幾率。
內網安全威脅主要源於企業內部。惡性的黑客攻擊事件一般都會先控制區域網絡內部的一台Server，然後以此為基地，對Internet上其他主機發起惡性攻擊。因此，應在邊界展開黑客防護措施，同時建立並加強內網防範策略。
2、限制VPN的訪問
虛擬專用網(VPN)用戶的訪問對內網的安全造成了巨大的威脅。因為它們將弱化的桌面操作系統置於企業防火牆的防護之外。很明顯VPN用戶是可以訪問企業內網的。
因此要避免給每一位VPN用戶訪問內網的全部許可權。這樣可以利用登錄控制許可權列表來限制VPN用戶的登錄許可權的級別，即只需賦予他們所需要的訪問許可權級別即可，如訪問郵件伺服器或其他可選擇的網路資源的許可權。
3、為合作企業網建立內網型的邊界防護
合作企業網也是造成內網安全問題的一大原因。例如安全管理員雖然知道怎樣利用實際技術來完固防火牆，保護MS-SQL，但是Slammer蠕蟲仍能侵入內網，這就是因為企業給了他們的合作夥伴進入內部資源的訪問許可權。由此，既然不能控制合作者的網路安全策略和活動，那麼就應該為每一個合作企業創建一個DMZ，並將他們所需要訪問的資源放置在相應的DMZ中，不允許他們對內網其他資源的訪問。
4、自動跟蹤的安全策略
智能的自動執行實時跟蹤的安全策略是有效地實現網路安全實踐的關鍵。它帶來了商業活動中一大改革，極大的超過了手動安全策略的功效。商業活動的現狀需要企業利用一種自動檢測方法來探測商業活動中的各種變更，因此，安全策略也必須與相適應。例如實時跟蹤企業員工的僱傭和解僱、實時跟蹤網路利用情況並記錄與該計算機對話的文件伺服器。總之，要做到確保每天的所有的活動都遵循安全策略。
5、關掉無用的網路伺服器
大型企業網可能同時支持四到五個伺服器傳送e-mail，有的企業網還會出現幾十個其他伺服器監視SMTP埠的情況。這些主機中很可能有潛在的郵件伺服器的攻擊點。因此要逐個中斷網路伺服器來進行審查。若一個程序(或程序中的邏輯單元)作為一個window文件伺服器在運行但是又不具有文件伺服器作用的，關掉該文件的共享協議。
6、首先保護重要資源
若一個內網上連了千萬台(例如30000台)機子，那麼要期望保持每一台主機都處於鎖定狀態和補丁狀態是非常不現實的。大型企業網的安全考慮一般都有擇優問題。這樣，首先要對伺服器做效益分析評估，然後對內網的每一台網路伺服器進行檢查、分類、修補和強化工作。必定找出重要的網路伺服器(例如實時跟蹤客戶的伺服器)並對他們進行限制管理。這樣就能迅速准確地確定企業最重要的資產，並做好在內網的定位和許可權限制工作。
7、建立可靠的無線訪問
審查網路，為實現無線訪問建立基礎。排除無意義的無線訪問點，確保無線網路訪問的強制性和可利用性，並提供安全的無線訪問介面。將訪問點置於邊界防火牆之外，並允許用戶通過VPN技術進行訪問。
8、可靠的安全決策
網路用戶也存在著安全隱患。有的用戶或許對網路安全知識非常欠缺，例如不知道RADIUS和TACACS之間的不同，或不知道代理網關和分組過濾防火牆之間的不同等等，但是他們作為公司的合作者，也是網路的使用者。因此企業網就要讓這些用戶也容易使用，這樣才能引導他們自動的響應網路安全策略。
另外，在技術上，採用安全交換機、重要數據的備份、使用代理網關、確保操作系統的安全、使用主機防護系統和入侵檢測系統等等措施也不可缺。

⑹ 防火牆是什麼 有什麼用

防火牆的作用是：
防火牆是指設置在不同網路（如可信任的企業內部網和不可信的公共網）或網路安全域之間的一系列部件的組合。它可通過監測、限制、更改跨越防火牆的數據流，盡可能地對外部屏蔽網路內部的信息、結構和運行狀況，以此來實現網路的安全保護。
在邏輯上，防火牆是一個分離器，一個限制器，也是一個分析器，有效地監控了內部網和Internet之間的任何活動，保證了內部網路的安全。

⑺ 什麼是防火牆，以及防火牆可以實現什麼功能.

火牆定義

防火牆就是一個位於計算機和它所連接的網路之間的軟體或硬體(其中硬體防火牆用的很少只有國防部等地才用,因為它價格昂貴)。該計算機流入流出的所有網路通信均要經過此防火牆。

防火牆的功能

防火牆對流經它的網路通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執行。防火牆還可以關閉不使用的埠。而且它還能禁止特定埠的流出通信，封鎖特洛伊木馬。最後，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。

為什麼使用防火牆

防火牆具有很好的保護作用。入侵者必須首先穿越防火牆的安全防線，才能接觸目標計算機。你可以將防火牆配置成許多不同保護級別。高級別的保護可能會禁止一些服務，如視頻流等，但至少這是你自己的保護選擇。

防火牆的類型

防火牆有不同類型。一個防火牆可以是硬體自身的一部分，你可以將網際網路連接和計算機都插入其中。防火牆也可以在一個獨立的機器上運行，該機器作為它背後網路中所有計算機的代理和防火牆。最後，直接連在網際網路的機器可以使用個人防火牆。

防火牆的概念

當然，既然打算由淺入深的來了解，就要先看看防火牆的概念了。防火牆是汽車中一個部件的名稱。在汽車中，利用防火牆把乘客和引擎隔開，以便汽車引擎一旦著火，防火牆不但能保護乘客安全，而同時還能讓司機繼續控制引擎。再電腦術語中，當然就不是這個意思了，我們可以類比來理解，在網路中，所謂「防火牆」，是指一種將內部網和公眾訪問網(如Internet)分開的方法，它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度，它能允許你「同意」的人和數據進入你的網路，同時將你「不同意」的人和數據拒之門外，最大限度地阻止網路中的黑客來訪問你的網路。換句話說，如果不通過防火牆，公司內部的人就無法訪問Internet，Internet上的人也無法和公司內部的人進行通信。

防火牆的功能

防火牆是網路安全的屏障：

一個防火牆（作為阻塞點、控制點）能極大地提高一個內部網路的安全性，並通過過濾不安全的服務而降低風險。由於只有經過精心選擇的應用協議才能通過防火牆，所以網路環境變得更安全。如防火牆可以禁止諸如眾所周知的不安全的NFS協議進出受保護網路，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網路。防火牆同時可以保護網路免受基於路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火牆應該可以拒絕所有以上類型攻擊的報文並通知防火牆管理員。

防火牆可以強化網路安全策略：

通過以防火牆為中心的安全方案配置，能將所有安全軟體（如口令、加密、身份認證、審計等）配置在防火牆上。與將網路安全問題分散到各個主機上相比，防火牆的集中安全管理更經濟。例如在網路訪問時，一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上，而集中在防火牆一身上。

對網路存取和訪問進行監控審計：

如果所有的訪問都經過防火牆，那麼，防火牆就能記錄下這些訪問並作出日誌記錄，同時也能提供網路使用情況的統計數據。當發生可疑動作時，防火牆能進行適當的報警，並提供網路是否受到監測和攻擊的詳細信息。另外，收集一個網路的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火牆是否能夠抵擋攻擊者的探測和攻擊，並且清楚防火牆的控制是否充足。而網路使用統計對網路需求分析和威脅分析等而言也是非常重要的。

防止內部信息的外泄：

通過利用防火牆對內部網路的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感網路安全問題對全局網路造成的影響。再者，隱私是內部網路非常關心的問題，一個內部網路中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內部網路的某些安全漏洞。使用防火牆就可以隱蔽那些透漏內部細節如Finger，DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名，最後登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度，這個系統是否有用戶正在連線上網，這個系統是否在被攻擊時引起注意等等。防火牆可以同樣阻塞有關內部網路中的DNS信息，這樣一台主機的域名和IP地址就不會被外界所了解。

除了安全作用，防火牆還支持具有Internet服務特性的企業內部網路技術體系VPN（虛擬專用網）。

防火牆的英文名為「FireWall」，它是目前一種最重要的網路防護設備。從專業角度講，防火牆是位於兩個(或多個)網路間，實施網路之間訪問控制的一組組件集合。

防火牆在網路中經常是以下圖所示的兩種圖標出現的。左邊那個圖標非常形象，真正像一堵牆一樣。而右邊那個圖標則是從防火牆的過濾機制來形象化的，在圖標中有一個二極體圖標。而二極體我們知道，它具有單向導電性，這樣也就形象地說明了防火牆具有單向導通性。這看起來與現在防火牆過濾機制有些矛盾，不過它卻完全體現了防火牆初期的設計思想，同時也在相當大程度上體現了當前防火牆的過濾機制。因為防火最初的設計思想是對內部網路總是信任的，而對外部網路卻總是不信任的，所以最初的防火牆是只對外部進來的通信進行過濾，而對內部網路用戶發出的通信不作限制。當然目前的防火牆在過濾機制上有所改變，不僅對外部網路發出的通信連接要進行過濾，對內部網路用戶發出的部分連接請求和數據包同樣需要過濾，但防火牆仍只對符合安全策略的通信通過，也可以說具有「單向導通」性。

防火牆的本義是指古代構築和使用木製結構房屋的時候，為防止火災的發生和蔓延，人們將堅固的石塊堆砌在房屋周圍作為屏障，這種防護構築物就被稱之為「防火牆」。其實與防火牆一起起作用的就是「門」。如果沒有門，各房間的人如何溝通呢，這些房間的人又如何進去呢？當火災發生時，這些人又如何逃離現場呢？這個門就相當於我們這里所講的防火牆的「安全策略」，所以在此我們所說的防火牆實際並不是一堵實心牆，而是帶有一些小孔的牆。這些小孔就是用來留給那些允許進行的通信，在這些小孔中安裝了過濾機制，也就是上面所介紹的「單向導通性」。

我們通常所說的網路防火牆是借鑒了古代真正用於防火的防火牆的喻義，它指的是隔離在本地網路與外界網路之間的一道防禦系統。防火可以使企業內部區域網（LAN）網路與Internet之間或者與其他外部網路互相隔離、限制網路互訪用來保護內部網路。典型的防火牆具有以下三個方面的基本特性：

（一）內部網路和外部網路之間的所有網路數據流都必須經過防火牆

這是防火牆所處網路位置特性，同時也是一個前提。因為只有當防火牆是內、外部網路之間通信的唯一通道，才可以全面、有效地保護企業網部網路不受侵害。

根據美國國家安全局制定的《信息保障技術框架》，防火牆適用於用戶網路系統的邊界，屬於用戶網路邊界的安全保護設備。所謂網路邊界即是採用不同安全策略的兩個網路連接處，比如用戶網路和互聯網之間連接、和其它業務往來單位的網路連接、用戶內部網路不同部門之間的連接等。防火牆的目的就是在網路連接之間建立一個安全控制點，通過允許、拒絕或重新定向經過防火牆的數據流，實現對進、出內部網路的服務和訪問的審計和控制。

典型的防火牆體系網路結構如下圖所示。從圖中可以看出，防火牆的一端連接企事業單位內部的區域網，而另一端則連接著互聯網。所有的內、外部網路之間的通信都要經過防火牆。

（二）只有符合安全策略的數據流才能通過防火牆

防火牆最基本的功能是確保網路流量的合法性，並在此前提下將網路的流量快速的從一條鏈路轉發到另外的鏈路上去。從最早的防火牆模型開始談起，原始的防火牆是一台「雙穴主機」，即具備兩個網路介面，同時擁有兩個網路層地址。防火牆將網路上的流量通過相應的網路介面接收上來，按照OSI協議棧的七層結構順序上傳，在適當的協議層進行訪問規則和安全審查，然後將符合通過條件的報文從相應的網路介面送出，而對於那些不符合通過條件的報文則予以阻斷。因此，從這個角度上來說，防火牆是一個類似於橋接或路由器的、多埠的（網路介面>=2）轉發設備，它跨接於多個分離的物理網段之間，並在報文轉發過程之中完成對報文的審查工作。如下圖：

（三）防火牆自身應具有非常強的抗攻擊免疫力

這是防火牆之所以能擔當企業內部網路安全防護重任的先決條件。防火牆處於網路邊緣，它就像一個邊界衛士一樣，每時每刻都要面對黑客的入侵，這樣就要求防火牆自身要具有非常強的抗擊入侵本領。它之所以具有這么強的本領防火牆操作系統本身是關鍵，只有自身具有完整信任關系的操作系統才可以談論系統的安全性。其次就是防火牆自身具有非常低的服務功能，除了專門的防火牆嵌入系統外，再沒有其它應用程序在防火牆上運行。當然這些安全性也只能說是相對的。

目前國內的防火牆幾乎被國外的品牌占據了一半的市場，國外品牌的優勢主要是在技術和知名度上比國內產品高。而國內防火牆廠商對國內用戶了解更加透徹，價格上也更具有優勢。防火牆產品中，國外主流廠商為思科（Cisco）、CheckPoint、NetScreen等，國內主流廠商為東軟、天融信、聯想、方正等，它們都提供不同級別的防火牆產品。來自:引用

⑻ 消防工程需要的安全防護設施有哪些

1.消火栓系統-從消防泵房，樓頂的消防水池，消火栓水泵結合器（消防車打壓），市政給水獲取水源手動進行滅火。
啟動方式-手動（按消火栓裡面的啟泵按鈕，泵房中的消火栓泵就會啟動）
2.自動噴淋系統-從消防泵房，樓頂的消防水池，消火栓水泵結合器獲取水源，當火災區域噴頭被燒到一定溫度例如普通民用建築常規用68°，玻璃球爆裂噴水，然後濕式報警閥報警，或者各種電信號壓力閥向消防主機報警。
啟動方式-被動（有火燒噴頭爆裂動作）
3.防排煙系統-正壓送風，混流風機為火災時電梯口樓梯口地下室加壓送風。排煙-一般在地下室，廁所也有，通過離心風機吸出火災發生時時的有毒氣體與煙氣。
啟動方式-手動（通過按風機控制櫃啟動按鈕），自動（火災時煙感溫感向主機報警）。
4.火災自動報警系統。接線方式根據品牌來定，例如海灣的手動報警按鈕有3根線，北京利達六根（也可以接五根）。主要設備有：主機，煙感，溫感，廣播，模塊（雙輸入輸出，單輸入輸出等），高於8米的中庭或者地下室用紅外報警。
該系統能自動控制消防泵房內的水泵啟動，並監視各防火分區的火災情況，控制排煙機的啟動與風閥的動作，火災時通過光波疏散人群。
5，氣體滅火系統（類似噴淋系統），雨淋系統（類似噴淋系統），泡沫滅火系統，消防水炮，等等等等各種倉庫，碼頭，加油站等特殊場所使用的滅火系統，就不一一列舉。

⑼ 政府門戶網站需要哪些安全防護設備

政府網站普遍存在業務數據機密性要求高、業務連續性要求強、網路結構相對封閉、信息系統架構形式多樣等特點。而政府網站所面臨的安全風險貫穿前端WEB訪
問到後端數據處理和反饋整個過程。因此，對於一個定製化開發的政府門戶網站來說，從其規劃和開發階段就要引入相應的安全建設。而對於大多數已投入使用的政
府門戶網站而言，由於不太可能投入大量的人力去重新開發或做大規模的代碼級整改，因此如何在運行階段進行有效的安全防護成為關注的焦點。

1.DDoS防禦：在Internet出口處部署一台抗DDOS攻擊防護系統，用於防護來自外網的拒絕服務攻擊；

2.網路訪問控制：利用防火牆進行訪問控制，防止不必要的服務請求進入網站系統，減少被攻擊的可能性；

3.系統安全加固：找出主機系統、網路設備及其他設備系統中存在的補丁漏洞和配置漏洞，進行加固，以保障系統的安全性；

4.應用層防護：在網站伺服器前部署一台Web應用防護系統，通過Web應用防護系統有效控制和緩解HTTP及HTTPS應用下各類安全威脅，如SQL注入、XSS、CSRF、cookie篡改以及應用層DDoS等，有效應對網頁篡改、網頁掛馬、敏感信息泄露等安全問題，充分保障門戶網站的高可用性和可靠性。

5.網頁防篡改：在Web伺服器系統上部署網頁防篡改系統，針對Web應用網頁和文件進行防護。

6.網站安全監測：通過專業化的託管式服務來實時監測和周期度量網站的風險隱患，評估網站的安全狀態，衡量改進情況。為政府用戶提供基於網站訪問行為、基於安全事件事前、事中、事後的7×24小時安全運營解決方案。

⑽ 7. 什麼是防火牆防火牆有哪些功能和局限性

防火牆原意來自南方古建築中，戶與戶間屋上有一堵專門用來防範火災蔓莚的牆
電腦上的防火牆是用來防止上網與外界通信時，一些木馬類程序的騷擾或自動下載駐留，不能對計算機上已經有的病毒進行處理