您现在的位置是: 首页 > 软件更新 软件更新
隔离驱动防火墙_隔离驱动防火墙的作用
ysladmin 2024-05-09 人已围观
简介隔离驱动防火墙_隔离驱动防火墙的作用 接下来,我将会为大家提供一些有关隔离驱动防火墙的知识和见解,希望我的回答能够让大家对此有更深入的了解。下面,我们开始
接下来,我将会为大家提供一些有关隔离驱动防火墙的知识和见解,希望我的回答能够让大家对此有更深入的了解。下面,我们开始探讨一下隔离驱动防火墙的话题。
1.防火墙真的很重要吗?如果不装会发生什么?
2.防火墙都有几种类型
3.电脑装什么防火墙好
4.内网需要安防火墙吗?
5.防火墙有哪些局限性
防火墙真的很重要吗?如果不装会发生什么?
要想知道它的作用,必须先了解它的工作原理。
防火墙是一个或一组系统,它在网络之间执行访问控制策略。实现防火墙的实际方式各不相同,但是在原则上,防火墙可以被认为是这样一对机制:一种机制是拦阻传输流通行,另一种机制是允许传输流通过。一些防火墙偏重拦阻传输流的通行,而另一些防火墙则偏重允许传输流通过。了解有关防火墙的最重要的概念可能就是它实现了一种访问控制策略。如果你不太清楚你需要允许或否决那类访问,你可以让其他人或某些产品根据他(它)们认为应当做的事来配置防火墙,然后他(它)们会为你的机构全面地制定访问策略。
2.为何需要防火墙?
同其它任何社会一样,Internet也受到某些无聊之人的困扰,这些人喜爱在网上做这类的事,像在现实中向其他人的墙上喷染涂鸦、将他人的邮箱推倒或者坐在大街上按汽车喇叭一样。一些人试图通过Internet完成一些真正的工作,而另一些人则拥有敏感或专有数据需要保护。一般来说,防火墙的目是将那些无聊之人挡在你的网络之外,同时使你仍可以完成工作。
许多传统风格的企业和数据中心都制定了计算安全策略和必须遵守的惯例。在一家公司的安全策略规定数据必须被保护的情况下,防火墙更显得十分重要,因为它是这家企业安全策略的具体体现。如果你的公司是一家大企业,连接到Internet上的最难做的工作经常不是费用或所需做的工作,而是让管理层信服上网是安全的。防火墙不仅提供了真正的安全性,而且还起到了为管理层盖上一条安全的毯子的重要作用。
最后,防火墙可以发挥你的企业驻Internet“大使”的作用。许多企业利用其防火墙系统作为保存有关企业产品和服务的公开信息、下载文件、错误修补以及其它一些文件的场所。这些系统当中的几种系统已经成为Internet服务结构(如UUnet.uu.net、whitehouse.gov、gatekeeper.dec.com)的重要组成部分,并且给这些机构的赞助者带来了良好的影响。
3.防火墙可以防范什么?
一些防火墙只允许电子邮件通过,因而保护了网络免受除对电子邮件服务攻击之外的任何攻击。另一些防火墙提供不太严格的保护措施,并且拦阻一些众所周知存在问题的服务。
一般来说,防火墙在配置上是防止来自“外部”世界未经授权的交互式登录的。这大大有助于防止破坏者登录到你网络中的计算机上。一些设计更为精巧的防火墙可以防止来自外部的传输流进入内部,但又允许内部的用户可以自由地与外部通信。如果你切断防火墙的话,它可以保护你免受网络上任何类型的攻击。
防火墙的另一个非常重要的特性是可以提供一个单独的“拦阻点”,在“拦阻点”上设置安全和审计检查。与计算机系统正受到某些人利用调制解调器拨入攻击的情况不同,防火墙可以发挥一种有效的“电话监听”(Phone tap)和跟踪工具的作用。防火墙提供了一种重要的记录和审计功能;它们经常可以向管理员提供一些情况概要,提供有关通过防火墙的传流输的类型和数量以及有多少次试图闯入防火墙的企图等等信息。
4.防火墙不能防范什么?
防火墙不能防范不经过防火墙的攻击。许多接入到Internet的企业对通过接入路线造成公司专用数据数据泄露非常担心。不幸得是,对于这些担心来说,一盘磁带可以被很有效地用来泄露数据。许多机构的管理层对Internet接入非常恐惧,它们对应当如何保护通过调制解调器拨号访问没有连惯的政策。当你住在一所木屋中,却安装了一扇六英尺厚的钢门,会被认为很愚蠢。然而,有许多机构购买了价格昂贵的防火墙,但却忽视了通往其网络中的其它几扇后门。要使防火墙发挥作用,防火墙就必须成为整个机构安全架构中不可分割的一部分。防火墙的策略必须现实,能够反映出整个网络安全的水平。例如,一个保存着超级机密或保密数据的站点根本不需要防火墙:首先,它根本不应当被接入到Internet上,或者保存着真正秘密数据的系统应当与这家企业的其余网络隔离开。
防火墙不能真正保护你防止的另一种危险是你网络内部的叛变者或白痴。尽管一个工业间谍可以通过防火墙传送信息,但他更有可能利用电话、传真机或软盘来传送信息。软盘远比防火墙更有可能成为泄露你机构秘密的媒介!防火墙同样不能保护你避免愚蠢行为的发生。通过电话泄露敏感信息的用户是社会工程(social engineering)的好目标;如果攻击者能找到内部的一个“对他有帮助”的雇员,通过欺骗他进入调制解调器池,攻击者可能会完全绕过防火墙打入你的网络。
5.防火墙能否防止病毒的攻击?
防火墙不能有效地防范像病毒这类东西的入侵。在网络上传输二进制文件的编码方式太多了,并且有太多的不同的结构和病毒,因此不可能查找所有的病毒。换句话说,防火墙不可能将安全意识(security-consciosness)交给用户一方。总之,防火墙不能防止数据驱动的攻击:即通过将某种东西邮寄或拷贝到内部主机中,然后它再在内部主机中运行的攻击。过去曾发生过对不同版本的邮件寄送程序和幻像脚本(ghostscript)和免费PostScript阅读器的这类攻击。
对病毒十分忧虑的机构应当在整个机构范围内采取病毒控制措施。不要试图将病毒挡在防火墙之外,而是保证每个脆弱的桌面系统都安装上病毒扫描软件,只要一引导计算机就对病毒进行扫描。利用病毒扫描软件防护你的网络将可以防止通过软盘、调制解调器和Internet传播的病毒的攻击。试图御病毒于防火墙之外只能防止来自Internet的病毒,而绝大多数病毒是通过软盘传染上的。
尽管如此,还是有越来越多的防火墙厂商正提供“病毒探测”防火墙。这类防火墙只对那种交换Windows-on-Intel执行程序和恶意宏应用文档的毫无经验的用户有用。不要指望这种特性能够对攻击起到任何防范作用。
6.在防火墙设计中需要做哪些基本设计决策?
在负责防火墙的设计、制定工程计划以及实施或监督安装的幸运儿面前,有许多基本设计问题等着他去解决。
首先,最重要的问题是,它应体现你的公司或机构打算如何运行这个系统的策略:安装后的防火墙是为了明确地拒绝除对于连接到网络至关重的服务之外的所有服务,或者,安装就绪的防火墙是为以非威胁方式对“鱼贯而入”的访问("queuing" access)提供一种计量和审计的方法。在这些选择中存在着某种程度的偏执狂;防火墙的最终功能可能将是行政上的结果,而非工程上的决策。
第二个问题是:你需要何种程度的监视、冗余度以及控制水平?通过解决第一个问题,确定了可接受的风险水平(例如你的偏执到何种程度)后,你可以列出一个必须监测什么传输、必须允许什么传输流通行以及应当拒绝什么传输的清单。换句话说,你开始时先列出你的总体目标,然后把需求分析与风险评估结合在一起,挑出与风险始终对立的需求,加入到计划完成的工作的清单中。
第三个问题是财务上的问题。在此,我们只能以模糊的表达方式论述这个问题,但是,试图以购买或实施解决方案的费用多少来量化提出的解决方案十分重要。例如,一个完整的防火墙的高端产品可能价值10万美元,而低端产品可能是免费的。像在Cisco或类似的路由器上做一些奇妙的配置这类免费选择不会花你一分钱,只需要工作人员的时间和几杯咖啡。从头建立一个高端防火墙可能需要几个人工月,它可能等于价值3万美元的工作人员工资和利润。系统管理开销也是需要考虑的问题。建立自行开发的防火墙固然很好,但重要的是使建立的防火墙不需要费用高昂的不断干预。换句话说,在评估防火墙时,重要的是不仅要以防火墙目前的费用来评估它,而且要考虑到像支持服务这类后续费用。
出于实用目的,我们目前谈论的是网络服务提供商提供的路由器与你内部网络之间存在的静态传输流路由服务,因此基于为一事实,在技术上,还需要做出几项决策。传输流路由服务可以通过诸如路由器中的过滤规则在IP层实现,或通过代理网关和服务在应用层实现。
需要做出的决定是,是否将暴露的简易机放置在外部网络上为telnet、ftp、news等运行代理服务,或是否设置像过滤器这样的屏蔽路由器,允许与一台或多台内部计算机的通信。这两种方式都存在着优缺点,代理机可以提供更高水平的审计和潜在的安全性,但代价是配置费用的增加,以及可能提供的服务水平的降低(由于代理机需要针对每种需要的服务进行开发)。由来以久的易使性与安全性之间的平衡问题再次死死地困扰着我们。
7.防火墙的基本类型是什么?
在概念上,有两种类型的防火墙:
1、网络级防火墙
2、应用级防火墙
这两种类型的差异并不像你想像得那样大,最新的技术模糊了两者之间的区别,使哪个“更好”或“更坏”不再那么明显。同以往一样,你需要谨慎选择满足你需要的防火墙类型。
网络级防火墙一般根据源、目的地址做出决策,输入单个的IP包。一台简单的路由器是“传统的”网络级防火墙,因为它不能做出复杂的决策,不能判断出一个包的实际含意或包的实际出处。现代网络级防火墙已变得越来越复杂,可以保持流经它的接入状态、一些数据流的内容等等有关信息。许多网络级防火墙之间的一个重要差别是防火墙可以使传输流直接通过,因此要使用这样的防火墙通常需要分配有效的IP地址块。网络级防火墙一般速度都很快,对用户很透明。
网络级防火墙的例子:在这个例子中,给出了一种称为“屏蔽主机防火墙”(screened host
firewall)的网络级防火墙。在屏蔽主机防火墙中,对单个主机的访问或从单个主机进行访问是通过运行在网络级上的路由器来控制的。这台单个主机是一台桥头堡主机(bastion host),是一个可以(希望如此)抵御攻击的高度设防和保险的要塞。
网络级防火墙的例子:在这个例子中,给出了一种所谓“屏蔽子网防火墙”的网络级防火墙。在屏蔽子网防火墙中,对网络的访问或从这个网络中进行访问是通过运行在网络级上的路由器来控制的。除了它实际上是由屏蔽主机组成的网络外,它与被屏蔽主机的作用相似。
应用级防火墙一般是运行代理服务器的主机,它不允许传输流在网络之间直接传输,并对通过它的传输流进行记录和审计。由于代理应用程序是运行在防火墙上的软件部件,因此它处于实施记录和访问控制的理想位置。应用级防火墙可以被用作网络地址翻译器,因为传输流通过有效地屏蔽掉起始接入原址的应用程序后,从一“面”进来,从另一面出去。在某些情况下,设置了应用级防火墙后,可能会对性能造成影响,会使防火墙不太透明。早期的应用级防火墙,如那些利用TIS防火墙工具包构造的防火墙,对于最终用户不很透明,并需要对用户进行培训。应用级防火墙一般会提供更详尽的审计报告,比网络级防火墙实施更保守的安全模型。
应用级防火墙举例:这此例中,给出了一个所谓“双向本地网关”(dual homed gateway)的应用级防火墙。双向本地网关是一种运行代理软件的高度安全主机。它有两个网络接口,每个网络上有一个接口,拦阻通过它的所有传输流。
防火墙未来的位置应当处于网络级防火墙与应用级防火墙之间的某一位置。网络级防火墙可能对流经它们的信息越来越“了解”(aware),而应用级防火墙可能将变得更加“低级”和透明。最终的结果将是能够对通过的数据流记录和审计的快速包屏蔽系统。越来越多的防火墙(网络和应用层)中都包含了加密机制,使它们可以在Internet上保护流经它们之间的传输流。具有端到端加密功能的防火墙可以被使用多点Internet接入的机构所用,这些机构可以将Internet作为“专用骨干网”,无需担心自己的数据或口令被偷看。
8.什么是“单故障点”?应当如何避免出现这种故障?
安全性取决于一种机制的结构具有单故障点。运行桥头堡主机的软件存在错误。应用程序存在错误。控制路由器的软件存在错误。使用所有这些组件建造设计安全的网络,并以冗余的方式使用它们才有意义。
如果你的防火墙结构是屏蔽子网,那么,你有两台包过滤路由器和一台桥头堡主机。(参见本节的问题2)Internet访问路由器不允许传输流从Internet进入你的专用网络。然而,如果你不在桥头堡主机以及(或)阻塞(choke)路由器上与其它任何机制一道执行这个规则(rule)的话,那么只要这种结构中的一个组件出现故障或遭到破坏就会使攻击者进入防火墙内部。另一方面,如果你在桥头堡主机上具有冗余规则,并在阻塞路由器上也有冗余规则,那么攻击者必须对付三种机制。
此外,如果这台桥头堡主机或阻塞路由器使用规则来拦阻外部访问进入内部网络的话,你可能需要让它触发某种报警,因为你知道有人进入了你的访问路由器。
9.如何才能将所有的恶意的传输拦在外面?
对于重点在于安全而非连接性的防火墙来说,你应当考虑缺省拦阻所有的传输,并且只特别地根据具体情况允许你所需要的服务通过。
如果你将除特定的服务集之外的所有东西都挡在外面,那么你已经使你的任务变得很容易了。你无需再为周围的每样产品和每件服务的各种安全问题担心了,你只需关注特定产品和服务存在的各种安全问题。:-)
在启动一项服务之前,你应当考虑下列问题:
*这个产品的协议是人们熟知的公开协议吗?
*为这个协议提供服务的应用程序的应用情况是否可供公开检查?
*这项服务和产品是否为人们熟知?
*使用这项服务会怎样改变防火墙的结构?攻击者会从不同的角度看待这些吗?攻击者能利用这点进入我的内部网络,或者会改变我的DMZ中主机上的东西吗?
在考虑上述问题时,请记住下列忠告:
*“不为人所知的安全性根本不安全。许多未公开的协议都被那些坏家伙研究并破解过。
*无论营销人员说些什么,不是所有的协议或服务在设计时考虑了安全性。事实上,真正在设计时考虑了安全性的协议或服务数量很少。
*甚至在考虑过安全性的情况下,并不是所有的机构都拥有合格的负责安全的人员。在那些没有称职负责安全的人员的机构中,不是所有的机构都愿意请称职的顾问参与工程项目。这样做的结果是那些其它方面还称职的、好心肠的开发者会设计出不安全的系统。
*厂商越不愿意告诉你他们系统的真正工作原理,它就越有可能可存安全性(或其它)问题。只有有什么东西需要隐瞒的厂商才有理由隐瞒他们的设计和实施情况。
10.有哪些常见的攻击?应当如何保护系统不受它们的攻击呢?
每个站点与其它站点遭受攻击的类型都略有不同。但仍有一些共同之处。
SMTP会话攻击(SMTP Session Hijacking)
在这种攻击中,垃圾邮件制造者将一条消息复制成千上万份,并按一个巨大的电子邮件地址清单发送这条消息。由于这些地址清单常常很糟糕,并且为了加快垃圾制造者的操作速度,许多垃圾制造者采取了将他们所有的邮件都发送到一台SMTP服务器上作法,由这台服务器负责实际发送这些邮件。
当然,弹回(bounces)消息、对垃圾制造者的抱怨、咒骂的邮件和坏的PR都涌入了曾被用作中继站的站点。这将着实要让这个站点破费一下了,其中大部分花费被用到支付以后清除这些信息的人员费用上。
《防止邮件滥用系统传输安全性建议》(The Mail Abuse Prevention System Transport Security Initiative)中对这个问题作了详尽的叙述,以及如何对每个寄信人进行配置防止这种攻击。
利用应用程序中的错误(bugs)
不同版本的web服务器、邮件服务器和其它Internet服务软件都存在各种错误,因此,远程(Internet)用户可以利用错误做从造成对计算机的控制到引起应用程序瘫痪等各种后果。
只运行必要的服务、用最新的补丁程序修补程序以及使用应用过一段时间的产品可以减少遭遇这种风险的可能。
利用操作系统中的错误
这类攻击一般也是由远程用户发起的。相对于IP网络较新的操作系统更易出现问题,而很成熟的操作系统有充分的时间来发现和清除存在的错误。攻击者经常可以使被攻击的设备不断重新引导、瘫痪、失去与网络通信的能力,或替换计算机上的文件。
因此,尽可能少地运行操作系统服务可以有助于防范对系统的攻击。此外,在操作系统前端安装一个包过滤器也可以大大减少受这类攻击的次数。
当然,选择一个稳定的操作系统也同样会有帮助。在选择操作系统时,不要轻信“好货不便宜”这类说法。自由软件操作系统常常比商用操作系统更强。
11.我必须满足用户要求的各种要求吗?
对这个问题的答案完全有可能是“不”。对于需要什么,不需要什么,每个站点都有自己的策略,但是,重要的是记住作为一家机构的看门人的主要工作之一是教育。用户需要流视频、实时聊天,并要求能够向请求在内部网络上的活数据库进行交互查询的外部客户提供服务。
这意味着完成任何这类事情都会给机构造成风险,而造成的风险往往比想像中沿着这条路走下去的“价值”的回报更高。多数用户不愿使自己的机构遭受风险。他们只看一看商标,阅读一下广告,他们也愿意做上述那些事。重要的是了解用户真正想干些什么,帮助他们懂得他们可以以更安全的方式实现他们的真正目的。
你不会总受到欢迎,你可以甚至会发现自己收到了难以置信愚蠢的命令,让你做一些诸如“打开所有的口子”这样的事,但不要为此担心。在这种时刻,明智的做法是将你的交换数据全都保存起来,这样当一个十二岁的小孩闯入网络时,你至少能够使你自己远离混乱局面。
12.如何才能通过自己的防火墙运行Web/HTTP?
有三种办法做到这点:
1、如果你使用屏蔽路由器的话,允许“建立起的”连接经过路由器接入到防火墙外。
2、使用支持SOCKS的Web客户机,并在你的桥头堡主机上运行SOCKS。
3、运行桥头堡主机上的某种具有代理功能的Web服务器。一些可供选择的代理服务器包括Squid、Apache、Netscape Proxy和TIS防火墙工具包中的的连接。基本上所有的Web客户机(Mozilla、Internet Explorer、Lynx等等)都具有内置的对代理服务器的支持。
13.在使用防火墙时,怎样使用DNS呢?
一些机构想隐藏DNS名,不让外界知道。许多专家认为隐藏DNS名没有什么价值,但是,如果站点或企业的政策强制要求隐藏域名,它也不失为一种已知可行的办法。你可能必须隐藏域名的另一条理由是你的内部网络上是否有非标准的寻址方案。不要自欺欺人的认为,如果隐藏了你的DNS名,在攻击者打入你的防火墙时,会给攻击者增加困难。有关你的网络的信息可以很容易地从网络层获得。假如你有兴趣证实这点的话,不妨在LAN上“ping”一下子网广播地址,然后再执行“arp -a”。还需要说明的是,隐藏DNS中的域名不能解决从邮件头、新闻文章等中“泄露”主机名的问题。
这种方法是许多方法中的一个,它对于希望向Internet隐瞒自己的主机名的机构很有用。这种办法的成功取决于这样一个事实:即一台机器上的DNS客户机不必与在同一台机器上的DNS服务器对话。换句话说,正是由于在一台机器上有一个DNS服务器,因此,将这部机器的DNS客户机活动重定向到另一台机器上的DNS服务器没有任何不妥(并且经常有好处)。
首先,你在可以与外部世界通信的桥头堡主机上建立DNS服务器。你建立这台服务器使它宣布对你的域名具有访问的权力。事实上,这台服务器所了解的就是你想让外部世界所了解的:你网关的名称和地址、你的通配符MX记录等等。这台服务器就是“公共”服务器。
然后,在内部机器上建立一台DNS服务器。这台服务器也宣布对你的域名具有权力;与公共服务器不同,这台服务器“讲的是真话”。它是你的“正常”的命名服务器,你可以在这台服务器中放入你所有的“正常”DNS名。你再设置这台服务器,使它可以将它不能解决的查询转发到公共服务器(例如,使用Unix机上的/etc/
named.boot中的“转发器”行(forwarder line))。
最后,设置你所有的DNS客户机(例如,Unix机上的/etc/resolv.conf文件)使用内部服务器,这些DNS客户机包括公共服务器所在机器上的DNS客户机。这是关键。
询问有关一台内部主机信息的内部客户机向内部服务器提出问题,并得到回答;询问有关一部外部主机信息的内部客户机向内部服务器查询,内部客户机再向公共服务器进行查询,公共服务器再向Internet查询,然后将得到的答案再一步一步传回来。公共服务器上的客户机也以相同的方式工作。但是,一台询问关于一台内部主机信息的外部客户机,只能从公共服务器上得到“限制性”的答案。
这种方式假定在这两台服务器之间有一个包过滤防火墙,这个防火墙允许服务器相互传递DNS,但除此之外,限制其它主机之间的DNS。
这种方式中的另一项有用的技巧是利用你的IN-ADDR.AROA域名中通配符PTR记录。这将引起对任何非公共主机的“地址到名称”(address-to-name)的查找返回像“unknown.YOUR.DOMAIN”这样的信息,而非返回一个错误。这就满足了像ftp.uu.net匿名FTP站点的要求。这类站点要求得到与它们通信的计算机的名字。当与进行DNS交叉检查的站点通信时,这种方法就不灵了。在交叉检查中,主机名要与它的地址匹配,地址也要与主机名匹配。
14.怎样才能穿过防火墙使用FTP?
一般来说,可以通过使用像防火墙工具包中的ftp-gw这类代理服务器,或在有限的端口范围允许接入连接到网络上(利用如“建立的”屏蔽规则这样的规则来限制除上述端口外的接入),使FTP可以穿过防火墙工作。然后,修改FTP客户机,使其将数据端口连接在允许端口范围内的一个端口上。这样做需要能够修改在内部主机上的
FTP客户机应用。
在某些情况下,如果FTP的下载是你所希望支持的,你不妨考虑宣布FTP为“死协议”(dead protocol),并且让户通过Web下载文件。如果你选择FTP-via-Web方式,用户将不能使用FTP向外传输文件,这可能会造成问题,不过这取决你试图完成什么。
另一个不同的办法是使用FTP "PASV"选项来指示远程FTP服务器允许客户机开始连接。PASV方式假设远程系统上的FTP服务器支持这种操作。(详细说明请参看RFC1579)
另一些站点偏爱建立根据SOCKS库链接的FTP程序的客户机版本。
15.怎样才能穿过防火墙使用telnet?
利用像防火墙工具包中的tn-gw这类应用代理,或简单地配置一台路由器使它利用像“建立的”屏蔽规则等策略允许接出,一般都可以支持使用telnet。应用代理可以以运行在桥头堡主机上的独立代理的形式,或以SOCKS服务器和修改的客户机的形式存在。
16.怎样才能穿过防火墙使用RealAudio?
RealNetworks中含有关于如何使穿过防火墙RealAudio的一些说明。在没有清楚地了解做哪些改动,了解新的改动将带来什么样的风险的情况下,就改动你的防火墙,是很不明智的。
17.如何才能使web服务器作为专用网络上的一个数据库的前端呢?
实现这点的最佳途径是通过特定的协议在web服务器与数据库服务器之间允许很有限的连接。特定的协议只支持你将使用的功能的级别。允许原始SQL或其它任何可为攻击者利用来进行定制提取(extractions)的东西,一般来说不是一个好主意。
假设攻击者能够进入你的web服务器,并以web服务器同样的方式进行查询。难道没有一种机制能提取web服务器不需要的像信用卡信息这样的敏感信息吗?攻击者难道不能发出一次SQL选择,然后提取你整个的专用数据库吗?
同其它所有应用一样,“电子商务”应用从一开始设计时就充分考虑到了安全问题,而不是以后再想起来“增加”安全性。应当从一个攻击者的角度,严格审查你的结构。假设攻击者了解你的结构的每一个细节。现在,再问问自己,想要窃取你的数据、进行非授权的改动或做其它任何你不想让做的事的话,应当做些什么。你可能会发现,不需要增加任何功能,只需做出一些设计和实施上的决策就可大大地增加安全性。
下面是一些如何做到这点的想法:
以一般的原则,从数据库中提取你所需要的数据,使你不用对包含攻击者感兴趣的信息的整个数据库进行查询。对你允许在web服务器与数据库之间传输流实行严格的限制和审计。
回答者:引力流 - 经理 四级 3-11 23:46
提问者对于答案的评价:
bn
其他回答
共 6 条
记得<一个馒头>中说无极=无聊X2,那我想现在普通网友认为的安全应该是 安全=防火墙+杀毒.鉴于普通网友不具备主动发现和手工清除病毒的能力,所以采用杀毒软件来清除病毒是很好的办法,但是有的时候杀毒软件确实也发现不了一些木马后门.而且经常因为清除病毒造成一些程序无法正常使用,防火墙是阻挡外界攻击的,网络上的攻击形形色色所以我们合理的配置好我们的防火墙还是很有必要的,你问题中提到了后台活动的程序那我推荐你安装反间谍程序,这样就一目了然了。 所以这些防护软件该怎么用,并没有严格限制,根据自己需求吧.
总而言之一句话,防火墙是守城的,是站岗放哨的,没有系统给他的命令是不
允许放不明身份的敌人(程序)进来的。而杀毒软件是把不小心潜入的敌人(程序)给消灭掉的。
防火墙都有几种类型
经历过几次电脑病毒大事件,人们对网络的安全问题开始关注起来,比如防火墙,防火墙对电脑具有很好的保护作用,避免电脑被黑客入侵。那么防火墙软件有哪些呢?面对琳琅满目的防火墙软件该做什么选择呢?下面小编来为您盘点!
防火墙的功能
1.防火墙是网络安全的屏障
一个防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险.由于只有经过精心选择的应用协议才能通过防火墙,因此网络环境变得更安全,例如,防火墙能够禁止大家所熟悉的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络,防火墙同时能够保护网络免受基于路由的攻击.例如IP选项中的源路由攻击和ICMP重定向路径.
2.可以强化网络安全策略
通过以防火墙为中心的安全方案配置,可以将所有安全软件配置在防火墙上,与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济.
3.对网络存取和访问进行监控审计
如果所有的访问都经过防火墙,则防火墙可以记录下这些访问并做出日志记录,同时也可以提供网络使用情况的统计数据,如果发生可疑动作,收集一个网络的使用和误用情况也是非常重要的,而网络使用统计对网络需求分析和威胁分析等来说也是非常重要的.
4.防止内部信息的外泄
通过防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响,其次,隐私是内部网络非常关心的问题,一个内部网络中不引入注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴露了内部网络的某些安全漏洞,使用防火墙就可以隐蔽那些透漏内部细节的服务.
防火墙软件有哪些?件防火墙排名
一、360木马防火墙
360木马防火墙独立版提取自360安全卫士的功能大全组件,内建入口防御、隔离防御和系统防御三大功能,能够阻挡所有有木马行为的软件向网络发送信息,保证你电脑的信息安全。
二、瑞星个人防火墙
瑞星个人防火墙2012版以瑞星最新研发的变频杀毒引擎为核心,通过变频技术使电脑得到安全保证的同时,又大大降低资源占用,让电脑更加轻便。
瑞星个人防火墙2012版功能:
1、网络攻击拦截:阻止黑客攻击系统对用户造成的危险。
2、出站攻击防御:最大程度解决“肉鸡”和“网络僵尸”对网络造成的安全威胁。
3、恶意网址拦截:保护用户在访问网页时,不被病毒及钓鱼网页侵害。
4、瑞星个人防火墙2012官方版是为解决网络上黑客攻击问题而研制的个人信息安全产品,具有完备的规则设置,能有效的监控任何网络连接,保护网络不受黑客的攻击。
三、天行广告防火墙
天行广告防火墙又叫广告卫士,在功能上采用了分别键入的方式取代了以往通用软件的“一键优化”,创新性的加入了不同层次的过滤优化体验,用户可以非常便捷的进行逐个功能的使用和一体化的过滤。
功能介绍:
1、Win 8风格界面,全新换肤功能,美观易用。
2、内核引擎全面重构,系统资源占用更低,启动速度更快。
3、不良信息、网站骚扰、视频广告、自定义过滤一键选择。
4、国内率先提供Win8.1 系统与全平台 IE11浏览器广告过滤。
5、强大完善的规则编辑,支持语法变色。热键呼出简单快捷!
6、实时监控软件广告过滤流量,上传下载,一目了然。
四、江民防火墙
江民防火墙(新)是一款专为解决个人用户上网安全而设计的网络安全防护工具,产品融入了先进的网络访问动态监控技术,彻底解决黑客攻击、木马程序及互联网病毒等各种网络危险的入侵,全面保护个人上网安全。有了江民防火墙的保护,网民再不必担心上网帐号、QQ密码、游戏账号、游戏装备、银行帐号、邮件密码、个人隐私及其他重要个人信息的泄漏。
五、脑残防火墙
脑残防火墙能做什么?
1、禁止指定程序运行(软件、游戏等)。
2、记录电脑使用者对文件的操作(新增、删除等)。
3、杀掉包含关键字的窗口(例如你将“安装”作为关键字,就可以杀掉大部分安装程序了)。
4、远程控制软件进行捣乱或关掉正在运行的程序,赶走霸着你电脑的人。
5、锁定HOST禁止浏览指定网页。
六、金山贝壳ARP防火墙
金山贝壳ARP防火墙功能介绍:
1、支持所有windows操作系统,包括Windows 2000、XP、2003、Vista以及Windows 7;
2、完全兼容其他杀毒软件和软件防火墙,完全无需担心软件冲突问题;
3、内核级网络数据包过滤,效率更高,丝毫不影响上网、下载和玩游戏;
4、集成查杀盗号木马功能,保护计算机不受木马/病毒的侵害;
5、ARP主动防御功能,保障网关不受ARP欺骗影响;
6、专业灵活的设置界面,使用更贴心、更方便。
七、AntiARP防火墙
彩影ARP防火墙主要功能有:
1、拦截外部ARP攻击。在系统内核层拦截接收到的虚假ARP数据包,保障本机ARP缓存表的正确性。
2、拦截对外ARP攻击。在系统内核层拦截本机对外的ARP攻击数据包,避免本机感染ARP病毒后成为攻击源。
3、拦截IP冲突。在系统内核层拦截接收到的IP冲突数据包,避免本机因IP冲突造成掉线等。
4、主动防御。主动向网关通告本机正确的MAC地址,保障网关不受ARP欺骗影响。
ARP防火墙辅助功能是围绕主要功能来设计的,目的是为了让主要功能模块更好的发挥作用。辅助功能主要有:
1、智能防御。在只有网关受到ARP欺骗的情况下,智能防御功能可以检测到并做出反应。
2、可信路由监测。在只有网关受到ARP欺骗的情况下,可信路由监测功能可以检测到并做出反应。
3、ARP病毒专杀。发现本机有对外攻击行为时,自动定位本机所感染的恶意程序。
4、Dos攻击抑制。在系统内核层拦截本机对外的TCPSYN/UDP/ICMP/ARPDoS攻击数据包,并可定位恶意程序。
5、安全模式。除了网关外,不响应其它机器发送的ARP请求(ARPRequest),达到隐身效果,减少受到ARP攻击的几率。
八、360网络防火墙
360网络防火墙主要功能:
1、智能云监控:拦截不安全的上网程序,保护隐私、帐号安全;
2、上网信息保护:对不安全的共享资源、端口等网络漏洞进行封堵;
3、入侵检测:解决常见的网络攻击,让电脑不受黑客侵害。
九、绿盾ARP防火墙
绿盾ARP防火墙是一款基于网络驱动技术的ARP防火墙,可以出色地拦截ARP攻击。由于恶意ARP病毒的肆意攻击,您的网络可能会时断时通,个人帐号信息可能在毫不知情的情况就 被攻击者**,绿盾ARP防火墙可以很好地解决上述问题。
1、支持安装程序自动安装,调用参数 /silent ;
2、修复内外网流量区分bug ;
3、增加主动保护功能。
十、冰盾DDoS防火墙
冰盾防火墙是全球第一款具备IDS入侵检测功能的专业级抗DDOS防火墙,来自IT技术世界一流的美国硅谷,由华人留学生Mr.Bingle Wang和Mr.Buick Zhang设计开发,采用国际领先的生物基因鉴别技术智能识别各种DDOS攻击和黑客入侵行为,防火墙采用微内核技术实现,工作在系统的最底层,充分发挥CPU的效能,仅耗费少许内存即获得惊人的处理效能。经高强度攻防试验测试表明:在抗DDOS攻击方面,工作于100M网卡冰盾约可抵御每秒25万个SYN包攻击,工作于1000M网卡冰盾约可抵御160万个SYN攻击包;在防黑客入侵方面,冰盾可智能识别Port扫描、Unicode恶意编码、SQL注入攻击、Trojan木马上传、Exploit漏洞利用等2000多种黑客入侵行为并自动阻止。
电脑装什么防火墙好
分类: 电脑/网络 >> 反病毒
问题描述:
麻烦了!很着急!!谢谢!
解析:
你看看这个
防火墙分类1
如果从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。
第一种:软件防火墙
软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。
第二种:硬件防火墙
这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上"所谓"二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。 值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到OS(操作系统)本身的安全性影响。
传统硬件防火墙一般至少应具备三个端口,分别接内网,外网和DMZ区(非军事化区),现在一些新的硬件防火墙往往扩展了端口,常见四端口防火墙一般将第四个端口做为配置口、管理端口。很多防火墙还可以进一步扩展端口数目。
第三种:芯片级防火墙
芯片级防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。
防火墙技术虽然出现了许多,但总体来讲可分为“包过滤型”和“应用代理型”两大类。前者以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表,后者以美国NAI公司的Gauntlet防火墙为代表。
(1). 包过滤(Packet filtering)型
包过滤型防火墙工作在OSI网络参考模型的网络层和传输层,它根据数据包头源地址,目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。
包过滤方式是一种通用、廉价和有效的安全手段。之所以通用,是因为它不是针对各个具体的网络服务采取特殊的处理方式,适用于所有网络服务;之所以廉价,是因为大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能很大程度上满足了绝大多数企业安全要求。
在整个防火墙技术的发展过程中,包过滤技术出现了两种不同版本,称为“第一代静态包过滤”和“第二代动态包过滤”。
●第一代静态包过滤类型防火墙
这类防火墙几乎是与路由器同时产生的,它是根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。
●第二代动态包过滤类型防火墙
这类防火墙采用动态设置包过滤规则的方法,避免了静态包过滤所具有的问题。这种技术后来发展成为包状态监测(Stateful Inspection)技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪,并且根据需要可动态地在过滤规则中增加或更新条目。
包过滤方式的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的:过滤判别的依据只是网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC(远程过程调用)一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只能依据包头信息,而不能对用户身份进行验证,很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。
(2). 应用代理(Application Proxy)型
应用代理型防火墙是工作在OSI的最高层,即应用层。其特点是完全"阻隔"了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。其典型网络结构如图所示。
在代理型防火墙技术的发展过程中,它也经历了两个不同的版本,即:第一代应用网关型代理防火和第二代自适应代理防火墙。
第一代应用网关(Application Gateway)型防火墙
这类防火墙是通过一种代理(Proxy)技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。
第二代自适应代理(Adaptive proxy)型防火墙
它是近几年才得到广泛应用的一种新防火墙类型。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点,在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。组成这种类型防火墙的基本要素有两个:自适应代理服务器(Adaptive Proxy Server)与动态包过滤器(Dynamic Packet filter)。
在“自适应代理服务器”与“动态包过滤器”之间存在一个控制通道。在对防火墙进行配置时,用户仅仅将所需要的服务类型、安全级别等信息通过相应Proxy的管理界面进行设置就可以了。然后,自适应代理就可以根据用户的配置信息,决定是使用代理服务从应用层代理请求还是从网络层转发包。如果是后者,它将动态地通知包过滤器增减过滤规则,满足用户对速度和安全性的双重要求。
代理类型防火墙的最突出的优点就是安全。由于它工作于最高层,所以它可以对网络中任何一层数据通信进行筛选保护,而不是像包过滤那样,只是对网络层的数据进行过滤。
另外代理型防火墙采取是一种代理机制,它可以为每一种应用服务建立一个专门的代理,所以内外部网络之间的通信不是直接的,而都需先经过代理服务器审核,通过后再由代理服务器代为连接,根本没有给内、外部网络计算机任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。
代理防火墙的最大缺点就是速度相对比较慢,当用户对内外部网络网关的吞吐量要求比较高时,代理防火墙就会成为内外部网络之间的瓶颈。那因为防火墙需要为不同的网络服务建立专门的代理服务,在自己的代理程序为内、外部网络用户建立连接时需要时间,所以给系统性能带来了一些负面影响,但通常不会很明显。
防火墙分类3
从防火墙结构上分,防火墙主要有:单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。
单一主机防火墙是最为传统的防火墙,独立于其它网络设备,它位于网络边界。
这种防火墙其实与一台计算机结构差不多(如下图),同样包括CPU、内存、硬盘等基本组件,当然主板更是不能少了,且主板上也有南、北桥芯片。它与一般计算机最主要的区别就是一般防火墙都集成了两个以上的以太网卡,因为它需要连接一个以上的内、外部网络。其中的硬盘就是用来存储防火墙所用的基本程序,如包过滤程序和代理服务器程序等,有的防火墙还把日志记录也记录在此硬盘上。虽然如此,但我们不能说它就与我们平常的PC机一样,因为它的工作性质,决定了它要具备非常高的稳定性、实用性,具备非常高的系统吞吐性能。正因如此,看似与PC机差不多的配置,价格甚远。
随着防火墙技术的发展及应用需求的提高,原来作为单一主机的防火墙现在已发生了许多变化。最明显的变化就是现在许多中、高档的路由器中已集成了防火墙功能,还有的防火墙已不再是一个独立的硬件实体,而是由多个软、硬件组成的系统,这种防火墙,俗称“分布式防火墙”。
原来单一主机的防火墙由于价格非常昂贵,仅有少数大型企业才能承受得起,为了降低企业网络投资,现在许多中、高档路由器中集成了防火墙功能。如Cisco IOS防火墙系列。但这种防火墙通常是较低级的包过滤型。这样企业就不用再同时购买路由器和防火墙,大大降低了网络设备购买成本。
分布式防火墙再也不是只是位于网络边界,而是渗透于网络的每一台主机,对整个内部网络的主机实施保护。在网络服务器中,通常会安装一个用于防火墙系统管理软件,在服务器及各主机上安装有集成网卡功能的PCI防火墙卡 ,这样一块防火墙卡同时兼有网卡和防火墙的双重功能。这样一个防火墙系统就可以彻底保护内部网络。各主机把任何其它主机发送的通信连接都视为“不可信”的,都需要严格过滤。而不是传统边界防火墙那样,仅对外部网络发出的通信请求“不信任”。
防火墙分类4
如果按防火墙的应用部署位置分,可以分为边界防火墙、个人防火墙和混合防火墙三大类。
边界防火墙是最为传统的那种,它们于内、外部网络的边界,所起的作用的对内、外部网络实施隔离,保护边界内部网络。这类防火墙一般都是硬件类型的,价格较贵,性能较好。
个人防火墙安装于单台主机中,防护的也只是单台主机。这类防火墙应用于广大的个人用户,通常为软件防火墙,价格最便宜,性能也最差。
混合式防火墙可以说就是“分布式防火墙”或者“嵌入式防火墙”,它是一整套防火墙系统,由若干个软、硬件组件组成,分布于内、外部网络边界和内部各主机之间,既对内、外部网络之间通信进行过滤,又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一,性能最好,价格也最贵。
防火墙分类5
如果按防火墙的性能来分可以分为百兆级防火墙和千兆级防火墙两类。
因为防火墙通常位于网络边界,所以不可能只是十兆级的。这主要是指防火的通道带宽(Bandwidth),或者说是吞吐率。当然通道带宽越宽,性能越高,这样的防火墙因包过滤或应用代理所产生的延时也越小,对整个网络通信性能的影响也就越小。
内网需要安防火墙吗?
其实防火墙这个东西 使用它也是 要看自己的喜好和自己本身电脑的配置情况,还要看 你选用的 杀毒软件和防火墙是否兼容,所以 就必须要了解各种防火墙的 性能和特点,所以请看以下内容。
几个防火墙的比较
一.Kaspersky(卡巴斯基)防火墙(Kaspersky Anti-Hacker)
1.设置简单,和Kaspersky(卡巴斯基)杀毒软件一起使用没有冲突,与ZoneAlarm Pro version:5.5.094.000运行也可以,没见死机。
2.内存占用小,刚启动时6M左右,最小时1M不到。
3.可以查看正在打开的端口,正在连接网络的应用程序及连接地址、端口。
4.可以为每个程序定义规则(阻止、允许)及安全类型(浏览、文件传送、信息发送等等)。发现有程序连接时会提示,并允许选择自定义。
5.可以定义包过滤规则。默认已经定义一些。不过自定义的包过滤规则有点简单。在一条规则定义几个端口时不太方便(只能选单个或区间)。
6.本地连接的时候没有提示。比如通过代理软件上网,浏览器再通过代理软件连接的时候不会对浏览器连接网络进行提示。
二、ZoneAlarm Pro 5.5.094
1.资源占用较大,两个进程,zlclient.exe占用4M左右, vsmon.exe占用9M左右。启动还算快。和Kaspersky(卡巴斯基)杀毒软件共处相安无事,和Norton防病毒软件一起工作正常。和Sygate Personal Firewall可能有冲突。
2.默认设置还算简单,按默认设置即可阻止很多可疑连接。
3.功能强大,广告过滤,邮件过滤都不错。可对每一程序设置连接规则。
4、防火墙的专家设置项可以完成难度比较大的规则设置,设置规则还算简单,根据参考可以自定义完成。
5、升级到6.0后资源占用变得很大,启动响应比较慢。
6、对于网关的ARP保护并没有效果,同局域网机器可以使用ARP欺骗进行攻击致使无法上网。使用专家项设置IP和MAC绑定也无效果。经查ZoneAlarm 存在一个安全问题,允许未授权用户在本地局域网安全设置下连接到该防火墙保护的主机。
三、F-Secure Distributed Firewall 5.5
与天网发生冲突,安装第一次重新启动后出现蓝屏然后重启。提示信息表示与sknfw.sys文件有关。最后没有使用就删除了,可惜。
四、Outpost Firewall pro 2.7.492.416
1、与天网发生冲突,安装第一次重新启动后出现蓝屏然后重启。提示信息表示与sknfw.sys文件有关。删除sknfw.sys后再重新安装则没有出现这个问题。
2、与ZoneAlarm Pro有冲突,可以同时安装两个,不过只能运行其中一个,不然出现死机。与McAfee.VirusScan.Enterprise.v80共处没有出现什么冲突。只是如果安装有其它防火墙的话会提示,比如look 'n' stop、Tiny Firewall。不过没有冲突。
3、启动后只有一个进程outpost.exe,Outpost占用内存极小,刚启动时20M左右,最小化正常后只有2M左右。
4、功能强大,设置复杂。不过按其默认设置基本上可以满足上网要求。
5、可以查看正在连接网络的应用程序、连接IP、端口,系统正在打开的端口。已经发送和接收的TCP,UDP数据流量。阻止的各项统计。
6、支持插件,默认安装了active content,ads,attachment quarantine,attack detection,content,dns cache等插件。使用较多的是active content(包括pop-up windows,activeX controls,javascripts,vbscripts,cookies等的过滤设置)和ads(广告过滤,关键字列表设置)。
7、ads(广告过滤)功能不错,基本上可以过滤大部分广告,页面清爽不少,不过误杀还是比较多。
8、防火墙设置包括LAN设置,ICMP设置和全局RULES设置,应用程序设置。前几天设置基本上按默认设置已经满足需要,应用程序的设置已经自带了一些默认的规则(包括浏览器、ICQ、FTP等规则),可以参考这些规则进行更改。还可以对应用程序组件进行控制。
9、发现运行Robocop.exe的时候竟然没有进行拦截,看来网络执法官是有点霸道。不知道outpost为何默认就让Robocop.exe通过免检。或者是我哪里设置不对,还没找到原因。
10、发现如果边上网听歌边浏览的时候听歌时竟然有点卡,原来是下载广告过滤包后列表KEYWORD太多的缘故,使用默认的则没有出现这个问题。
五、blackice 3.6 col
1、与Outpost Firewall pro同时运行没有发生冲突,与McAfee.VirusScan.Enterprise.v80配合还不错,没有冲突。安装后不用重新启动。
2、设置简单,基本上没有过多设置,安装后会扫描所有程序加入已知程序列表,可在列表中设置阻挡。不过修改不方便,不能从列表中删除。以后对于未知程序运行会提示。
3、占用内存比较大,运行后三个进程:blackice.exe(主程序)大概占5M左右,app.exe(应用程序保护) 大概占3M左右,blackd.exe(防火墙引擎)大概占10M左右。发现如果没有停止防火墙而退出主程序,防火墙引擎和程序保护进程并没有退出。
4、防火墙规则设置比较简单,可以通过设置IP,Port,Type来进行过滤。
5、觉得功能没有ZoneAlarm Pro强,自定义控制不是很多。对于程序访问网络的控制项少。占用资源比较多。
六、look 'n' stop 2.05p2
1、占用内存很小,见过的占用内存最小的防火墙,启动后一个进程looknstop.exe,最小后正常后只有1M左右。可以监视正在连接的IP,Port。不过如果进行配置后甚至可以监视经过的每一个数据包(包括包发送接收的物理地址、包类型、协议、包长度、数据等)
2、基于数据包过滤,所以要正确配置必须对网络连接的数据包有一些了解。有世界第一的防火墙之称,不过从技术上看只是简单的数据包过滤,因此可以自由定义。定义好了确实是可以对通行的信息全面控制。总体上看配置比较难,有几个需要注意的地方如果配置不错则连不上网。
3、可以对ARP数据进行控制,这点应该比其它防火墙功能更为强大。因此通过设置和网关的ARP接收发送后可以屏蔽Robocop的攻击。这一功能确实强大,足以局域网内的ARP欺骗攻击。试过才知道它的强大。
4、有应用程序过滤,如果安装后存在程序连接网络的时候并没有出现提示窗口的问题,这是因为其驱动安装有错,如果出现此问题要安装其提供的patch。不过应用程序过滤的设置项不多,只能对连接的IP,Port进行过滤。对于数据包类型按网络过滤规则过滤。
5、支持插件功能。不过默认没有安装什么插件。也不支持广告过滤之类的功能。
6、与outpost同时运行没有发现冲突,和macafee配合也不错。
7、如果安装过天网,还是会与sknfw.sys存在冲突而安装后蓝屏无法启动。可见天网的作用,难道它就是为了让人不能装别的防火墙。进安全模式卸载后即可解决此问题(XP-SP2),XP-SP1可能还要自己删除sknfw.sys。
8、对中文支持还不是很好,应用程序过滤中应用程序的目录名最好是E文。经测试感觉还是有点影响网络速度。
七、Tiny Firewall 2005 Professional V6.5.92
1、启动后7个进程:umxlu.exe(3M左右)(查检升级,可以关闭),umxtray.exe(5M左右,任务栏图标显示),umxagent.exe(8M左右),umxpol.exe(3M左右),umxfwhlp.exe(2M左右),umxcfg.exe(13M左右),amon.exe(4M左右)(活动监控进程,可以关闭)。不能关闭的其它四个都是服务进程。
正常后:umxlu.exe(1M不到),umxtray.exe(1M左右),umxagent.exe(3M左右),umxpol.exe(1M不到),umxfwhlp.exe(100K左右),umxcfg.exe(4M左右),amon.exe(1M左右)。另外还有管理中心cfgtool.exe,追踪分析tralogan.exe,需要的时候用到。因为是服务进程,不使用的时候想关闭比较麻烦。
2、从以上的进程数可以看到设置复杂,不过确实功能强大。包括应用程序访问控制、网络访问保护、文件保护,系统级保护(包括注册表、dlls、OLE/COM、服务、驱动等等),入侵检测等,每一项都可以设置规则。不过默认规则已经比较多,参照起来还算比较清楚。可能因为设置项过多所以使人感到无从下手,因此比较少人使用吧。
3、安装后与McAfee.VirusScan.Enterprise.v80没有冲突,运行look 'n' stop、Outpost也还正常。只是其它防火墙退出方便。
4、发现还是不能对ARP数据包进行控制。对于应用程序的控制很全面,还可以分组设置,如果一些软件的安全设置相同,比如浏览器,聊天软件等可以放在同一组里,更改设置方便。
5、对于系统文件、注册表等的保护也不错。
八、Sygate Personal Firewall Pro v5.5.2637
1、启动后一个进程smc.exe,占用16M左右。正常后10M左右,如果把窗口最小化看到只占用5M左右。
2、设置简单,默认的安全规则已经设置好,所以不需要过多设置。主要需要设置的是每一个程序的访问控制。对于每一个程序可以设置IP,PORT(远程的)的过滤,且设置比较方便。
3、没有过多的功能,主要是防火墙功能。没有其它象广告过滤、邮件过滤等。不过象ZA的专家设置那样也提供了高级规则设置供需要时候使用。高级规则设置可以设置IP或MAC,PORTS AND PROTOCOLS,适用的程序,甚至计划启动的时间,选择比较细。
4、一大特色是日志显示,显示的内容很详细,基本的如协议、本地\远程IP、端口、方向、动作(屏蔽\通过)、程序路径,甚至还包括了本地\远程主机的MAC地址,还有一个功能就是backtrace,反跟踪远程主机,然后查出whois。
5、主窗口可以列出正在运行的程序连接的各项内容。以图形的方式显示进出的流量速度。还有security test,方便测试防火墙的安全性。
九、Kerio Personal Firewall 2.1.5
1、启动后一个进程PERSFW.EXE(服务进程),启动时占用5M左右,正常后占用2M左右。如果调出管理程序PFWADMIN.EXE,占用3M左右。可以自由退出而不驻留进程。不过发现退出防火墙的时候PERSFW.EXE进程没有关闭。
2、设置简单,安装好后即可使用。和Sygate类似,没有过多的功能,主要是防火墙功能。没有其它象广告过滤、邮件过滤等。
3、对于程序访问网络的设置也与Sygate类似,可以设置协议,方向,本地\远程主机的IP,PORT。Sygate只能设置远程主机的。一个特色是对于每个程序还有个MD5校验,所以防止恶意程序改成别的程序名连接网络。
4、可以查看正在连接的程序、打开的端口的一起内容,与其它防火墙类似。查看过滤日志不是很方便。经测试感觉对于上网速度没有太大影响。
5、卸载后不用重新启动。可以和ZA,looknstop同时安装,没有提示冲突,与macafee配合也不错。
6、4.2版本提示与ZA有冲突。4.0版本后增加了广告拦截功能,感觉有点学ZA的界面和功能,资源占用也变大了,两个进程,kpf4ss.exe(占用13M左右),kpf4gui.exe(占用5M左右)。还增加了入侵检测,logs and alerts也人性化多了。
防火墙有哪些局限性
内网防火墙是一类防范措施的总称,它使得内部网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。防火墙简单的可以只用路由器实现,复杂的可以用主机甚至一个子网来实现。设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理。
防火墙的功能有:
1、过滤掉不安全服务和非法用户
2、控制对特殊站点的访问
3、提供监视Internet安全和预警的方便端点
由于互连网的开放性,有许多防范功能的防火墙也有一些防范不到的地方:
1、防火墙不能防范不经由防火墙的攻击。例如,如果允许从受保护网内部不受限制的向外拨号,一些用户可以形成与Internet的直接的连接,从而绕过防火墙,造成一个潜在的后门攻击渠道。
2、防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上装反病毒软件。
3、防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到Internet主机上并被执行而发起攻击时,就会发生数据驱动攻击。
因此,防火墙只是一种整体安全防范政策的一部分。这种安全政策必须包括公开的、以便用户知道自身责任的安全准则、职员培训计划以及与网络访问、当地和远程用户认证、拨出拨入呼叫、磁盘和数据加密以及病毒防护的有关政策。
防火墙有哪些局限性
防火墙的局限性如下:
1、不能防范不经防火墙的攻击;
2、不能防止感染病毒的软件或文件的传输;
3、不能防止数据驱动式攻击;
4、不能防止内部用户的破坏;
5、不能防备不断更新的攻击
7. 什么是防火墙?防火墙有哪些功能和局限性?防火墙技术简介
——Inter的发展给 *** 结构、企事业单位带来了革命性的改革和开放。他们正努力通过利用Inter来提高办事效率和市场反应速度,以便更具竞争力。通过Inter,企业可以从异地取回重要数据,同时又要面对Inter开放带来的数据安全的新挑战和新危险:即客户、销售商、移动用户、异地员工和内部员工的安全访问;以及保护企业的机密信息不受黑客和工业间谍的入侵。因此企业必须加筑安全的战壕,而这个战壕就是防火墙。
——防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Inter网络为最甚。
1.防火墙的概念
——防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
——在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Inter之间的任何活动,保证了内部网络的安全。
2.防火墙的功能
防火墙是网络安全的屏障:
——一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
防火墙可以强化网络安全策略:
——通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。
对网络存取和访问进行监控审计:
——如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
防止内部信息的外泄:
——通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。
——除了安全作用,防火墙还支持具有Inter服务特性的企业内部网络技术体系***。通过***,将企事业单位在地域上分布在全世界各地的LAN或专用子网,有机地联成一个整体。不仅省去了专用通信线路,而且为信息共享提供了技术保障。
3.防火墙的种类
——防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型,但总体来讲可分为二大类:分组过滤、应用代理。
——分组过滤(Packet filtering):作用在网络层和传输层,它根据分组包头源地址,目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则被从数据流中丢弃。
——应用代理(Application Proxy):也叫应用网关(Application Gateway),它作用在应用层,其特点是完全阻隔了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。
4.分组过滤型防火墙
——分组过滤或包过滤,是一种通用、廉价、有效的安全手段。之所以通用,因为它不针对各个具体的网络服务采取特殊的处理方式;之所以廉价,因为大多数路由器都提供分组过滤功能;之所以有效,因为它能很大程度地满足企业的安全要求。
——包过滤在网络层和传输层起作用。它根据分组包的源、宿地址,端口号及协议类型、标志确定是否允许分组包通过。所根据的信息来源于IP、TCP或UDP包头。
——包过滤的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的:据以过滤判别的只有网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC一类的协议;另外,大多数过滤器中缺少审计和报警机制,且管理方式和用户界面较差;对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。
5.应用代理型防火墙
——应用代理型防火墙是内部网与外部网的隔离点,起着监视和隔绝应用层通信流的作 用。同时也常结合入过滤器的功能。它工作在OSI模型的最高层,掌握着应用系统中可用作安全决策的全部信息。
6.复合型防火墙
——由于对更高安全性的要求,常把基于包过滤的方法与基于应用代理的方法结合起来,形成复合型防火墙产品。这种结合通常是以下两种方案。
——屏蔽主机防火墙体系结构:在该结构中,分组过滤路由器或防火墙与Inter相连,同时一个堡垒机安装在内部网络,通过在分组过滤路由器或防火墙上过滤规则的设置,使堡垒机成为Inter上其它节点所能到达的唯一节点,这确保了内部网络不受未授权外部用户的攻击。
——屏蔽子网防火墙体系结构:堡垒机放在一个子网内,形成非军事化区,两个分组过滤路由器放在这一子网的两端,使这一子网与Inter及内部网络分离。在屏蔽子网防火墙体系结构中,堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础。
7.防火墙操作系统
——防火墙应该建立在安全的操作系统之上,而安全的操作系统来自于对专用操作系统的安全加固和改造,从现有的诸多产品看,对安全操作系统内核的固化与改造主要从以下几方面进行:取消危险的系统调用;限制命令的执行权限;取消IP的转发功能;检查每个分组的接口;采用随机连接序号;驻留分组过滤模块;取消动态路由功能;采用多个安全内核,等等。
8.NAT技术
——NAT技术能透明地对所有内部地址作转换,使外部网络无法了解内部网络的内部结构,同时使用NAT的网络,与外部网络的连接只能由内部网络发起,极大地提高了内部网络的安全性。
——NAT的另一个显而易见的用途是解决IP地址匮乏问题。
9.防火墙的抗攻击能力
——作为一种安全防护设备,防火墙在网络中自然是众多攻击者的目标,故抗攻击能力也是防火墙的必备功能。
10.防火墙的局限性
——存在着一些防火墙不能防范的安全威胁,如防火墙不能防范不经过防火墙的攻击。例如,如果允许从受保护的网络内部向外拨号,一些用户就可能形成与Inter的直接连接。另外,防火墙很难防范来自于网络内部的攻击以及病毒的威胁
防火墙的局限性有那些防火墙不能防范不经过防火墙的攻击,另外,防火墙很难防范来自于网络内部的攻击以及病毒的威胁等
传统防火墙的局限性?即使没有和Inter相连,您的组织也会受未被授权访问的影响,例如,您公司的邮件(标准的邮政服务邮件)或您的个人邮件可能是您首要的安全性问题之一。然而,可能总会有人非法访问您的邮件(例如,邮政服务会有可能把它传递到一个错误地址),对机密信息的访问是冒险行为,无论您是把信息贮存到您的网络上还是或物理媒体上(例如纸)。
雇员的不满是另一个严重威胁安全性的例子。比如,雇员可能会把一切东西——从源代码到公司的政策——都透露给竞争者。另外还有,在饭馆或其他公共场所进行的随意的商业性谈话都可能危害您公司的安全性。总之,您的商业事务已经有许多安全问题需要处理,其中一些是目前可以说出来的,也有我们还没发现的。显然,防火墙不可能解决所有的安全问题。然而,对这些问题公司已有安全策略,您可以把这种策略贮存在防火墙的信息中。
许多公司已建立了昂贵的和颇有影响的防火墙防御来自Inter的进攻,从而保护数据。糟糕的是,许多公司仍然没有固定的政策来防止由于直接与他们系统相连而导致的数据盗窃或破坏。工业观察者已经把这种仔细的结合比作“在一间木屋里安装6英尺的双焊铁门”。也就是说,防火墙不能保护网络内部的盗窃。无论它是被授权用户使用,还是被那些具有授权用户的屏幕用名或口令的人使用,防火墙都不能制止这种盗窃。
现在,防火墙对它们所能提供的安全性的量和度有许多限制。总之,防火墙对于下列的安全性需求而言不是非常有力的工具。
1.保证数据的完整性
尽管许多新一代防火墙结合软件来抵制伴随数据包接收的病毒,但这并不是防火墙的职责。在一个大流量进、出数据包的大型网络中,要求防火墙检查每一个数据包和每个伴随数据包而来的二进制文件。因为超过1000种的病毒将会把网络速度减少到无法接受的程度。相反,您应该对接收文件的放置进行约束,并用防毒软件检查离线的数据包。在您检查文件之后,您可以把“干净”的文件送到网络的目的地。病毒是一个非常严重的安全性威胁,它的数量在近些年来增加迅速。
2.灾难防护
防火墙不能保护受到灾难的数据。它不能保护您的数据因为火灾、地震和别的灾难及由于疏忽产生的破坏。请注意,防火墙仅控制对数据的电子访问,但它并不提供对侵犯和毁坏的物理保护。
3.认证数据源
您的防火墙并不帮您认证数据源。您的防火墙不能补救TCP/IP大多数明显的安全性弱点——正在工作的任何人可能会对某些别的未授权的计算机发布信息。您的防火墙不能防止您受到TCP/IP邀请的捉弄。
4.数据的机密
在内部网络中,您的防火墙不能保护数据机密性。许多后期防火墙,包括越界数据包的编码工具,如果使用这些工具。数据包的接收者必须与发送者有一样的防火墙,然而这通常是不可能的。对防火墙的需求预示着您的公司必须把您的本地网连到外部的世界——Inter上。您可以通过评论和分析本地和Inter之间传输的通信类型和数量来制定出一种特定防火墙的设计方案。设计防火墙时,必须作出如下决策:
(1)决定是否让Inter的用户上载文件到网络服务器上。
(2)决定是否让Inter的用户从网络服务器上下载文件。
(3)决定您是否应该取消特别用户(例如竞争者)的所有权限。
(4)决定您的网络是否将包括Inter可访问的网页。
(5)决定您的站点是否包括支持Tel/Ftp等服务。
(6)决定您的雇员应该有多少外出访问Inter和网页的权限。
(7)决定您是否将有一个敬业的员工来监测防火墙的安全性。
(8)如果一个侵犯者进入您的本地网,您要预测这种情况下您的网络和数据可能发生的最糟糕的情况。
防火墙的作用是什么?它有哪些局限性?控制网络连接,检查进出站的数据包,阻止不允许的数据包,放行允许的数据包,可以保护电脑抵御网络攻击。
防火墙的局限性是什么?
防火墙有十大局限性:
一、防火墙不能防范不经过防火墙的攻击。没有经过防火墙的数据,防火墙无法检查。
二、防火墙不能解决来自内部网络的攻击和安全问题。防火墙可以设计为既防外也防内,谁都不可信,但绝大多数单位因为不方便,不要求防火墙防内。
三、防火墙不能防止策略配置不当或错误配置引起的安全威胁。防火墙是一个被动的安全策略执行设备,就像门卫一样,要根据政策规定来执行安全,而不能自作主张。
四、防火墙不能防止可接触的人为或自然的破坏。防火墙是一个安全设备,但防火墙本身必须存在于一个安全的地方。
五、防火墙不能防止利用标准网络协议中的缺陷进行的攻击。一旦防火墙准许某些标准网络协议,防火墙不能防止利用该协议中的缺陷进行的攻击。
六、防火墙不能防止利用服务器系统漏洞所进行的攻击。黑客通过防火墙准许的访问端口对该服务器的漏洞进行攻击,防火墙不能防止。
七、防火墙不能防止受病毒感染的文件的传输。防火墙本身并不具备查杀病毒的功能,即使集成了第三方的防病毒的软件,也没有一种软件可以查杀所有的病毒。
八、防火墙不能防止数据驱动式的攻击。当有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时,可能会发生数据驱动式的攻击。
九、防火墙不能防止内部的泄密行为。防火墙内部的一个合法用户主动泄密,防火墙是无能为力的。
十、防火墙不能防止本身的安全漏洞的威胁。防火墙保护别人有时却无法保护自己,目前还没有厂商绝对保证防火墙不会存在安全漏洞。因此对防火墙也必须提供某种安全保护。
IDSS有哪些局限性Idss
英 美 drain current at zero gate voltage (symbol) 零电压时的消耗电流(符号)
MOS管的参数IDSS的意义是什么?
我来回答
最佳答案
饱和漏极电流,定义为:当栅、源极之间的电压等于零,而漏、源极之间的电压大于夹断电压时,对应的漏极电流。
mapreduce有哪些局限性从MapReduce 的特点可以看出MapReduce的优点非常明显,但是MapReduce也有其局限性,并不是处理海量数据的普适方法。它的局限性主要体现在以下几点。
MapReduce的执行速度慢。一个普通的MapReduce作业一般在分钟级别完成,复杂的作业或者数据量更大的情况下,也可能花费一小时或者更多,好在离线计算对于时间远没有OLTP那么敏感。所以MapReduce现在不是,以后也不会是关系型数据库的终结者。MapReduce的慢主要是由于磁盘I/O, MapReduce作业通常都是数据密集型作业,大量的中间结果需要写到磁盘上并通过网络进行传输,这耗去了大量的时间。
MapReduce过于底层。与SQL相比,MapReduce显得过于底层。对于普通的查询,一般人是不会希望写一个map函数和reduce函数的。对于习惯于关系型数据库的用户,或者数据分析师来说,编写map函数和reduce函数无疑是一件头疼的事情。好在Hive的出现,大大改善了这种状况。
不是所有算法都能用MapReduce实现。这意味着,不是所有算法都能实现并行。例如机器学习的模型训练,这些算法需要状态共享或者参数间有依赖,且需要集中维护和更新。
JavaScript有哪些局限性JavaScript的局限性
1. JavaScript简单性
2. 解释执行
3. 基于对象,弱类型(数据类型可以被忽略的语言。它与强类型定义语言相反, 一个变量可以赋不同数据类型的值。强类型定义语言在速度上可能略逊色于弱类型定义语言,但是强类型定义语言带来的严谨性能够有效的避免许多错误。)
在 上有很多浏览器,如Netscape Navigator,Mosaic和HotJava等,但每种浏览器支持JavaScript的程度是不一样的,支持和不完全支持JavaScript的 浏览器在浏览一个带有JavaScript脚本的主页时,效果会有一定的差距,有时甚至会显示不出来。
当把JavaScript的一个设计目 标设定为"Web安全性"时,就需要牺牲JavaScript的一些功能。这时,纯粹的JavaScript将不能打开、读写和保存用户计算机上的文件。 它有权访问的唯一信息就是它所嵌入的那个Web主页中的信息,简言之,JavaScript将只存在于它自己的小小世界----Web主页里。
防水材料有哪些局限性笼统的回答就是:任何防水材料都有是被动防水;再好的防水材料因受环境、温度等因素影响都有其使用的局限性和效能的局限性,因此,如同药品一样,没有治百病的药,也没有万能型的防水材料。
好了,关于“隔离驱动防火墙”的话题就讲到这里了。希望大家能够对“隔离驱动防火墙”有更深入的了解,并且从我的回答中得到一些启示。