第一、防火墙只是辅助软件,并不智能。不能分别出是访问者还是攻击者,只能一味拒绝。并不是好的东西,除非有些产品能防DDOS攻击的。
第二、受攻击分2种,DDOS(拒绝服务式攻击)一种是脚本攻击。如果你安装的网站版本存在漏洞,哪么可以是从脚本攻击。比如最最常见的SQL注入。
如一个查询数据库的SQL语句如下
"Select * From [User] Where [ID]="&ID
如果这个ID变量值没有经过一些处理和验证,并过滤掉一些非法字符哪么会存在所谓的脚本攻击
比如abc.asp?ID=2
我们改成
abc.asp?ID=2'
这样ID就成了 2'而在SQL查询中的'单引号是字符串识别,现在就是等于2后面有个字符串,可是要2个单引中间才是字符串,现在只有一个单引所以会提示未关闭的单引号错误。
利用起来就是
abc.asp?ID=2%20And%201>=(Select%20Top%201*%20From%20Admin)
这样SQL句语变成了
Select * From [User] Where [ID]=2 And 1>=(Select Top 1 * From Admin)
这样攻击者就可以取得是否存在Admin这个表。如果存在可进一步猜解密码。
详细的SQL注入请自行搜索
上传漏洞~
很多上传程序没检查文件名,变成了所有类型都可上传,攻击者上传一个ASP木马,对服务器进行安全探测,如果服务器安全设置简单,哪么可以取得服务器的最高权限,即为管理员权限。
或是有些上传的程序检查文件名不严格,通过欺骗上传到ASP木马,一样有危险。
解决是添加SQL防注入,上传的检查文件名要严格,不允许ASP、ASA、CER、CDX等文件上传。如果主机支持ASP.NET也要禁掉ASPX、ASAX这样的ASP.NET文件名
添加防DDOS防火墙。
设置服务器安全
基本完成~
绝对值得一看的杀毒软件和防火墙评论1,如果你选择安装的是F-SECURE client security的话,那么这款杀毒软件自带防火墙程序,而且这个防火墙排名欧洲第一,绝对可以了已经。这样你就可以不必再另外安装了,这个选择比较便捷!
2,ZA,也就是ZONEALARM,用户群也蛮多额,ZA功能确实比较强大,但是对普通用户而言还是比较难上手,而且过于严格的规则可能导致上某些论坛出错,而且最新的ZA版本与卡巴斯基有严重冲突,所以卡巴的用户如果要安装ZA防火墙的话还是悠着点,哈哈。实在想尝试的话可以考虑安装5.5版本的,这个稳定。
'
3,OP,也就是outpost,口碑很好,用户对其评价很高,号称世界排名第二的东东,对于广告拦截很有效果,反黑能力也很强悍,网上找个破解补丁可以使用10年,但是可能占用系统资源多一点,配置不高的用户可能上网会感觉有点延迟。而且这款防火墙比较专业,上网过滤的东西也很多,很多网站的图片也被过滤掉,用户可能看的不习惯,所以大家自己看着办吧。
4,Tiny personal firewall pro,tiny防火墙是我用过的防火墙里面感觉技术最为先进的一款,貌似是国外军方防火墙,呵呵。Tiny的规则相当严格和复杂,对于一些刚上手的朋友而言肯定吃不消的,而且tiny防火墙与卡巴的网页扫描功能有冲突,所以这款防火墙是超级强悍,东西绝对是一流的,不怕麻烦的朋友可以尝试安装。
5,Lns,也就是传说中的look'n'stop,号称世界第一的顶级防火墙,只有600多KB,容量很小,系统资源占的很少,但是功能极其强大,只可惜设置超级复杂,很难上手,一般用户还是选择放弃吧,呵呵,虽然有一些别人编订的规则包,但还是不大适合我们使用。
6,天网,相信用的人满天飞,世界排名未知,呵呵,其实是根本埃不到边。天网可以算是一款入门级别的防火墙,和上述5款防火墙最大区别是非常容易上手,根本不需要设置什么东西,拿来就用!普通用户如果怕不装防火墙感觉不安,但又怕设置麻烦的话,干脆就用用天网算了。
国产的瑞星或者天网都会标榜自己的防火墙规则是多么多么丰富,貌似搞的很牛的样子,其实恰恰相反,规则越多防火墙性能越差,比如瑞星几乎天天更新规则,天网更是广告做到声称自己有1000条规则库文件,每次上网,天网防火墙不断闪动红色感叹号,报告XX用户试图连接本机XX端口,该包已被拦截,这个是不是增加你的心里安慰呢?每时每刻都在拦截信息,哪有这么多黑客会盯着你,天网这样做好像有点夸大其词了。其实有这么多规则顶用么?规则一多上网速度就越慢,每个探测端口的信息防火墙就要用近千条规则去衡量,这不傻掉啊!真正一流的防火墙并不需要超级多的规则,也不需要频繁更新,就如卡巴防火墙,虽然界面极其简单,更新也不快,但是一个隐藏模式就足以令国产的瑞星和天网闭嘴!
很多人热衷于做网上安全测试,我也做过几次,后来发现也不能说明什么问题,加装一流防火墙和不装防火墙就一定有本质区别?就拿诺顿安全测试来看,只用XP SP2自带防火墙就可以轻松通过所有测试,全部显示安全。呵呵,装个ZA也是安全,那到底装不装呢?所以大家也不要迷信这些测试网站。自己认为怎么顺手就怎么用好了!
乱七八糟说了这么多,也不知道大家有没有耐心看完额。以上涉及的杀毒软件或者防火墙本人每个都使用过,所以写的内容也是真实的使用体会。大家随便看看吧。如果各位图个方便,不想装其他设置繁琐的防火墙,但又希望系统有最大限度的安全保障的话,可以考虑使用国外的F-Secure Anti-Virus Client Security或者BitDefender Professional,都是杀毒软件+防火墙的组合装。个人更看好F-Secure Anti-Virus Client Security,集合AVP,LIBRA,ORION,DRACO四套杀毒引擎+内置防火墙+反间谍监控程序,可以说各方面功能都比较均衡实在,怕麻烦的朋友们不仿可以考虑一下。但是这个软件只有英文原版的,但是我想英文界面也并非那么令人望而却步吧。
其实对于杀毒软件除了国内的,国外的杀软建议大家都使用英文原版的,那些汉化内核的版本最好别用,bug太多,除了真正出过简体中文版本的,不过我个人还是不喜欢,呵呵。
另外我需要强调一点的就是卡巴其实并不适合每个人,大家应该依照自己的实际情况装杀毒软件,卡巴占用系统资源更象暴发户,所以很容易拖垮电脑,如果自己电脑配置本身就不高,CPU处理器能力也不强,或者内存就256MB那么点,我想还是算了吧,毕竟装了以后你才知道什么叫慢,开了个卡巴,除了得到我系统应该很安全了这样的心里安慰,其他事情都不能做,开个大程序就卡,玩个游戏载入要老半天,这又何苦呢?与其这样,我宁可欣赏飘哥的做法,撒杀毒软件也不装,就搞个防火墙玩玩,毕竟节省资源啊!敢于裸奔电脑上网的用户我就更服帖了!
我写这篇文章就是希望大家不要盲目跟风,卡巴是好卡巴是比较牛,但不是意味着就要一窝蜂都去装卡巴,何必呢,天下杀毒软件如此之多,何必单恋他一个呢?大家说对伐?
参考资料:http://zhidao.baidu.com/question/2576079.html
下面的文章是节选自《黑客技术大宝库》
"一旦你的PC经过了上面的测试,你就可以再增加一个加强安全的程序了,这种程序有很多,但是目前最热门的是“个人用防火墙”,下面我们讨论的重点也就是如何选择这一类产品。
不管你是否已经使用了公用的防火墙、代理服务器、域名服务器,这些本地的防火墙在你的机器内部监视你的INTERNET数据交换,防止来自黑客的不正常的访问,其中一些还可以监视非正常的数据输出,也就是那种特洛伊木马程序式偷偷摸摸留下的“后门”,在你不知道的情况下,向你的机器发送信息或者获取信息。
我现在使用的个人防火墙是免费而绝妙的ZoneAlarm,虽然它还有一些粗糙,但是它更新很快,最新的版本已经是2.0.26了,而且解决了很多早期版本存在的问题,而且它免费,却比很多售价50美圆的商业产品更有效,例如它是少数能够检测到特洛伊程序的防火墙之一。
Aladdin的eSafe Protect Desktop也加入了类似于防病毒程序的功能,相当于防火墙加沙箱的功能,能够防范决大多数带有恶意的访问,并将它们隔离起来。另外,它们让人满意的是占用很少的系统资源,只有2%而已。它是一个值得注意的产品,售价为30美圆。但是为了与流行的ZoneAlarm抗衡,Aladdin的Protect Desktop现在对个人使用完
全免费,因此很值得试试看,我正在试用,可能它会变成我的新欢哟!
FWProxy是一个简单免费的程序,能够在设定的端口监听进入的TCP连接,检查用户对设备的授权,在远程RAS用户和设定的内部TCP设备之间建立连接,你如果你只需要这个功能,那你可以试试它。
Sybergen Secure Desktop(以前叫SyShield)非常灵活,可以从多方面进行设置,售价为30美圆,它的长处在于安装简单,虽然为数不多的文档让那些迷失在它过多的设置选项中的初学者有些困惑,但是它马上就会出新版本了,以后我们还要介绍。
BlackIce Defender是一个享有盛誉、非常流行的防火墙,花费40美圆就可以获得BlackIce Defender和一年的安全升级。和ZoneAlarm一样,BlackIce也有其显得粗糙的地方,例如它的错误检测警告,几乎让你发生一种错觉,好象你受到外界的攻击是基本不变的,另外文档也不够完善,除非你对防火墙技术和端口分配都非常精通,还有一些用
户对它支持的级别和对错误反应的时间也不满意。看来Networkice这位始作俑者已经被他们的胜利淹没了,很难继续保持原来的状态。这种说法分的另一个佐证是关于Windows 2000,Windows 2000已经推出一段时间了,而BlackIce的站点还在说:“Win2k目前仍然是beta版本,我们目前还不能支持它,检测侵入的部分运行良好,而防火墙部分现在
还不行,我们计划在WIN 2000正式推出时再支持它。”这种情况让人联想到它的安全产品,因为人们总是希望它的内容能够尽量保持最新状态。
如果你到过各种黑客站点和黑客的BBS,你可以看到一个让黑客们又爱又怕的软件,售价为49美圆的ConSeal Private Desktop,他们喜欢在自己的机器上安装这个软件,但又痛恨在所攻击的用户机器上也安装了这个软件。出品它的加拿大公司Signal9刚被McA
fee收购,我们还不清楚McAfee的计划是什么,你可以到 http://www.signal9.com/上去看看相关信息。
McAfee还刚刚收购了Cybermedia,它的售价为30美圆的防护狗软件是一个很有趣的产品,多种功能兼而有之,病毒检测、隐私保护和在线安全,还包括对恶意ActiveX和Java applets的防护。
而ConSeal的AtGuard,是另一个让黑客爱恨交织的防火墙,刚刚被Symantec收购,现在变成了售价为60美圆的Norton Internet Security 2000的一部分。和它的其他产品相比,AtGuard略显单薄,但是Norton Internet Security 2000是一个安全“巨人”,
虽然它的设置也很麻烦。但是无论如何,AtGuard安全部分的功能仍然使非常出色的,尽管它现在已经被其他产品的光芒掩盖了。
上面介绍的产品都是一些用途广泛功能全面的防护软件,但是还有一些功能比较精细集中的产品:
Jammer,售价为20美圆,专门设计用来防范NetBus和BackOrifice的攻击,如果你的其他安全产品只有一般的防护能力,它倒还是挺有用的;
ProtectX,售价为25美圆,可以同时监视最多20个端口,还可以帮你追踪攻击你的黑客的来源,也是一个享有盛誉的产品,尽管它所能监视的端口数量受到限制,和同类产品相比显得有些不足。
Rainbow Diamond Intrusion Detector,售价为40美圆,在你可能受到侵犯的时候会发出警报,Intrusion Detector直接在机器中监视可疑的网络活动,一旦发现对象,就发出报警。Intrusion Detector还会试图确定攻击你的用户的身份。
TDS-2,售价33美圆,来自澳大利亚的Trojan特洛伊防范系统,对特洛伊有比其他软件更强的检测能力。
哦,你的选择真是太多了,有了这些产品,你的机器的安全级别一定可以到很高的级别。
但是,即使有了上面的这些产品,我们的安全工作还是没有完成,下一步或者是对上述产品的补充,或是对上述产品的替代,另外,还有一个特的措施你可以使用,将你的安全性能提高到一个很高的程度。"
欢迎分享,转载请注明来源:夏雨云
评论列表(0条)