㈠ 以下哪些是按防火牆的具體實現來分類的
防火牆的基本作用:
1、包過濾
具備包過濾的就是防火牆?對,沒錯!根據對防火牆的定義,凡是能有效阻止網路非法連接的方式,都算防火牆。早期的防火牆一般就是利用設置的條件,監測通過的包的特徵來決定放行或者阻止的,包過濾是很重要的一種特性。雖然防火牆技術發展到現在有了很多新的理念提出,但是包過濾依然是非常重要的一環,如同四層交換機首要的仍是要具備包的快速轉發這樣一個交換機的基本功能一樣。通過包過濾,防火牆可以實現阻擋攻擊,禁止外部/內部訪問某些站點,限制每個ip的流量和連接數。
2、包的透明轉發
事實上,由於防火牆一般架設在提供某些服務的伺服器前。如果用示意圖來表示就是 Server—FireWall—Guest 。用戶對伺服器的訪問的請求與伺服器反饋給用戶的信息,都需要經過防火牆的轉發,因此,很多防火牆具備網關的能力。
3、阻擋外部攻擊
如果用戶發送的信息是防火牆設置所不允許的,防火牆會立即將其阻斷,避免其進入防火牆之後的伺服器中。
4、記錄攻擊
如果有必要,其實防火牆是完全可以將攻擊行為都記錄下來的,但是由於出於效率上的考慮,目前一般記錄攻擊的事情都交給IDS來完成了,我們在後面會提到。
以上是所有防火牆都具備的基本特性,雖然很簡單,但防火牆技術就是在此基礎上逐步發展起來的。
防火牆的具體作用:
1、首先自然是撐起網路的保護傘。防火牆都會制定自己的規則,凡是符合規則的一律放行,不符合規則的一律禁止,當然這些規則可以由網路管理員來自己制定,但是某些防火牆或許只能使用內置規則。
2、接下來就是強化網路安全策略,本來網路安全問題是由各個安全軟體獨立處理,而防火牆可以有效的把所有安全軟體配置在防火牆上,以防火牆為中心統一調用。防火牆的集中安全管理更經濟,更安全。
3、防火牆還能有效地記錄Internet上的活動,如果訪問經過防火牆的話,它就能一五一十的記錄下來,形成日誌供用戶查看。當有可疑情況發生的時候,防火牆會自動的發出適當的警報,並且提供詳細的信息供用戶查詢。通過這些信息,我們可以有效的掌握目前的網路是否安全,是否需要進一步的配置確保萬無一失。
4、防火牆可以限制暴露用戶點。防火牆可以把網路隔成一個個網段,每個網段之間是相互獨立互不幹擾的,當一個網段出現問題的時候不會波及其他的網段,這樣可以有效的防止因為一個網段問題波及整個網路的安全。
5、防火牆還有一個重要的功能就是防止信息外泄,隱私應該是每個上網用戶最關心的問題,現在正是隱私泄露的敏感時期,因此更受到用戶的關心,而防火牆可以阻塞有關內部網路中的DNS信息,使本機的域名和IP地址不會被外界所了解,能有效的阻止信息外泄。
6、當然防火牆的作用不止於安全范圍,它還支持具有Internet服務特性的企業內部網路技術體系(虛擬專用網路)。很多防火牆都含有功能。
㈡ 防火牆的主要技術及實現方式有哪些
防火牆分類1
如果從防火牆的軟、硬體形式來分的話,防火牆可以分為軟體防火牆和硬體防火牆以及晶元級防火牆。
第一種:軟體防火牆
軟 件防火牆運行於特定的計算機上,它需要客戶預先安裝好的計算機操作系統的支持,一般來說這台計算機就是整個網路的網關。俗稱「個人防火牆」。軟體防火牆就 像其它的軟體產品一樣需要先在計算機上安裝並做好配置才可以使用。防火牆廠商中做網路版軟體防火牆最出名的莫過於Checkpoint。使用這類防火牆, 需要網管對所工作的操作系統平台比較熟悉。
第二種:硬體防火牆
這里說的硬體防火牆是指「所謂的硬體防火牆」。之所以加上"所謂"二 字是針對晶元級防火牆說的了。它們最大的差別在於是否基於專用的硬體平台。目前市場上大多數防火牆都是這種所謂的硬體防火牆,他們都基於PC架構,就是 說,它們和普通的家庭用的PC沒有太大區別。在這些PC架構計算機上運行一些經過裁剪和簡化的操作系統,最常用的有老版本的Unix、Linux和 FreeBSD系統。 值得注意的是,由於此類防火牆採用的依然是別人的內核,因此依然會受到OS(操作系統)本身的安全性影響。
傳統硬體防火牆一般至少應具備三個埠,分別接內網,外網和DMZ區(非軍事化區),現在一些新的硬體防火牆往往擴展了埠,常見四埠防火牆一般將第四個埠做為配置口、管理埠。很多防火牆還可以進一步擴展埠數目。
第三種:晶元級防火牆
芯 片級防火牆基於專門的硬體平台,沒有操作系統。專有的ASIC晶元促使它們比其他種類的防火牆速度更快,處理能力更強,性能更高。做這類防火牆最出名的廠 商有NetScreen、FortiNet、Cisco等。這類防火牆由於是專用OS(操作系統),因此防火牆本身的漏洞比較少,不過價格相對比較高昂。
防火牆技術雖然出現了許多,但總體來講可分為「包過濾型」和「應用代理型」兩大類。前者以以色列的Checkpoint防火牆和美國Cisco公司的PIX防火牆為代表,後者以美國NAI公司的Gauntlet防火牆為代表。
(1). 包過濾(Packet filtering)型
包過濾型防火牆工作在OSI網路參考模型的網路層和傳輸層,它根據數據包頭源地址,目的地址、埠號和協議類型等標志確定是否允許通過。只有滿足過濾條件的數據包才被轉發到相應的目的地,其餘數據包則被從數據流中丟棄。
包 過濾方式是一種通用、廉價和有效的安全手段。之所以通用,是因為它不是針對各個具體的網路服務採取特殊的處理方式,適用於所有網路服務;之所以廉價,是因 為大多數路由器都提供數據包過濾功能,所以這類防火牆多數是由路由器集成的;之所以有效,是因為它能很大程度上滿足了絕大多數企業安全要求。
在整個防火牆技術的發展過程中,包過濾技術出現了兩種不同版本,稱為「第一代靜態包過濾」和「第二代動態包過濾」。
●第一代靜態包過濾類型防火牆
這 類防火牆幾乎是與路由器同時產生的,它是根據定義好的過濾規則審查每個數據包,以便確定其是否與某一條包過濾規則匹配。過濾規則基於數據包的報頭信息進行 制訂。報頭信息中包括IP源地址、IP目標地址、傳輸協議(TCP、UDP、ICMP等等)、TCP/UDP目標埠、ICMP消息類型等。
●第二代動態包過濾類型防火牆
這類防火牆採用動態設置包過濾規則的方法,避免了靜態包過濾所具有的問題。這種技術後來發展成為包狀態監測(Stateful Inspection)技術。採用這種技術的防火牆對通過其建立的每一個連接都進行跟蹤,並且根據需要可動態地在過濾規則中增加或更新條目。
包 過濾方式的優點是不用改動客戶機和主機上的應用程序,因為它工作在網路層和傳輸層,與應用層無關。但其弱點也是明顯的:過濾判別的依據只是網路層和傳輸層 的有限信息,因而各種安全要求不可能充分滿足;在許多過濾器中,過濾規則的數目是有限制的,且隨著規則數目的增加,性能會受到很大地影響;由於缺少上下文 關聯信息,不能有效地過濾如UDP、RPC(遠程過程調用)一類的協議;另外,大多數過濾器中缺少審計和報警機制,它只能依據包頭信息,而不能對用戶身份 進行驗證,很容易受到「地址欺騙型」攻擊。對安全管理人員素質要求高,建立安全規則時,必須對協議本身及其在不同應用程序中的作用有較深入的理解。因此, 過濾器通常是和應用網關配合使用,共同組成防火牆系統。
2007-7-13 19:32 回復
激情小呆
1位粉絲
2樓
(2). 應用代理(Application Proxy)型
應用代理型防火牆是工作在OSI的最高層,即應用層。其特點是完全"阻隔"了網路通信流,通過對每種應用服務編制專門的代理程序,實現監視和控制應用層通信流的作用。其典型網路結構如圖所示。
在代理型防火牆技術的發展過程中,它也經歷了兩個不同的版本,即:第一代應用網關型代理防火和第二代自適應代理防火牆。
第一代應用網關(Application Gateway)型防火牆
這 類防火牆是通過一種代理(Proxy)技術參與到一個TCP連接的全過程。從內部發出的數據包經過這樣的防火牆處理後,就好像是源於防火牆外部網卡一樣, 從而可以達到隱藏內部網結構的作用。這種類型的防火牆被網路安全專家和媒體公認為是最安全的防火牆。它的核心技術就是代理伺服器技術。
第二代自適應代理(Adaptive proxy)型防火牆
它 是近幾年才得到廣泛應用的一種新防火牆類型。它可以結合代理類型防火牆的安全性和包過濾防火牆的高速度等優點,在毫不損失安全性的基礎之上將代理型防火牆 的性能提高10倍以上。組成這種類型防火牆的基本要素有兩個:自適應代理伺服器(Adaptive Proxy Server)與動態包過濾器(Dynamic Packet filter)。
在「自適應代理伺服器」與 「動態包過濾器」之間存在一個控制通道。在對防火牆進行配置時,用戶僅僅將所需要的服務類型、安全級別等信息通過相應Proxy的管理界面進行設置就可以 了。然後,自適應代理就可以根據用戶的配置信息,決定是使用代理服務從應用層代理請求還是從網路層轉發包。如果是後者,它將動態地通知包過濾器增減過濾規 則,滿足用戶對速度和安全性的雙重要求。
代理類型防火牆的最突出的優點就是安全。由於它工作於最高層,所以它可以對網路中任何一層數據通信進行篩選保護,而不是像包過濾那樣,只是對網路層的數據進行過濾。
另 外代理型防火牆採取是一種代理機制,它可以為每一種應用服務建立一個專門的代理,所以內外部網路之間的通信不是直接的,而都需先經過代理伺服器審核,通過 後再由代理伺服器代為連接,根本沒有給內、外部網路計算機任何直接會話的機會,從而避免了入侵者使用數據驅動類型的攻擊方式入侵內部網。
代理 防火牆的最大缺點就是速度相對比較慢,當用戶對內外部網路網關的吞吐量要求比較高時,代理防火牆就會成為內外部網路之間的瓶頸。那因為防火牆需要為不同的 網路服務建立專門的代理服務,在自己的代理程序為內、外部網路用戶建立連接時需要時間,所以給系統性能帶來了一些負面影響,但通常不會很明顯。
防火牆分類3
從防火牆結構上分,防火牆主要有:單一主機防火牆、路由器集成式防火牆和分布式防火牆三種。
單一主機防火牆是最為傳統的防火牆,獨立於其它網路設備,它位於網路邊界。
這 種防火牆其實與一台計算機結構差不多(如下圖),同樣包括CPU、內存、硬碟等基本組件,當然主板更是不能少了,且主板上也有南、北橋晶元。它與一般計算 機最主要的區別就是一般防火牆都集成了兩個以上的乙太網卡,因為它需要連接一個以上的內、外部網路。其中的硬碟就是用來存儲防火牆所用的基本程序,如包過 濾程序和代理伺服器程序等,有的防火牆還把日誌記錄也記錄在此硬碟上。雖然如此,但我們不能說它就與我們平常的PC機一樣,因為它的工作性質,決定了它要 具備非常高的穩定性、實用性,具備非常高的系統吞吐性能。正因如此,看似與PC機差不多的配置,價格甚遠。
㈢ 下列哪種技術不是實現防火牆的主流技術()
c 代理伺服器不是防火牆好吧
㈣ 簡述防火牆如何進行網路數據包過濾的
數據包過濾(Packet Filtering)技術是在網路層對數據包進行選擇,選擇的依據是系統內設置的過回濾邏輯, 被稱為答訪問控製表(Access Control Table)。通過檢查數據流中每個數據包的源地址、目的地址、所用的埠號、 協議狀態等因素,或它們的組合來確定是否允許該數據包通過。
數據包過濾防火牆的缺點有二:一是非法訪問一旦突破防火牆,即可對主機上的軟體和配置漏洞進行攻擊; 二是數據包的源地址、目的地址以及IP的埠號都在數據包的頭部,很有可能被竊聽或假冒。
㈤ 在以下選項中,哪一項不是防火牆技術
績效考核作為人力資源管理的工具和方法,其對於企業管理的重要性已為廣大的管理者所認同,相當一批企業在這方面投入了較大的精力。但遺憾的是,真正通過績效考核達到預期目的的企業卻非常少,大多數企業最後不是流於形式,就是中途夭折。甚至可以說,績效考核似乎成了中國企業改善人力資源管理的滑鐵盧。在對企業進行咨詢診斷過程中,筆者聽的最多的,就是企業領導人的無奈和抱怨。花大力氣精心設計出來的考核方案往往被束之於高閣;即使勉強通過審核,可實際運作中卻舉步維艱;各級主管怨聲載道,員工議論紛紛;民營老闆在走馬燈似的換掉幾任HR經理後,卻轉怪員工素質不高;國有企業老總卻怪制度,怪上級領導授權不夠。從傳統的德勤績才考核到目標管理、平衡記分卡的應用,葯方開了無數,可為什麼著名外資企業屢試屢爽的完美方法到了本企業卻靈光不再呢?企業的領導人對此百思不得其解!根據筆者在管理咨詢活動中的觀察,發現我國企業在績效考核方面普遍存在以下幾種原因,筆者做了如下的歸納:一、本末倒置現在,有許多企業一味強調要引進世界先進的考核手段,但領導者心目中,考核無非還只是獎優罰劣,亦即傳統的紅蘿卜加大棒,績效考核的最終目的是為了什麼?很多企業的領導者對此都沒有清楚的認識;有許多企業做績效考核,並無明確的目的。就如一夜之間,國內的許多企業都把人事部改成人力資源部、但做的仍舊是單純的人事工作一樣,也有趕時髦之嫌。績效考核的目的何在?的確,考核是要把員工分出等來,但這只是手段而非目的。績效考核,顧名思義,就是要挖掘出績效來,績效考核的根本目的就是通過考核等管理手段促進績效的提高。研究發現,恰恰是因為我國企業在很多時候對績效考核的理解不全面、不系統甚至存在誤解,才導致這項對於企業價值極高的工作難以收到預期成效。其中最關鍵的一點就是,在現代人力資源管理中真正有效的是績效管理 ,而不是許多企業所理解的那種秋後算賬式的績效考核或者績效評價,績效考核只是績效管理中的一個重要環節,績效管理包括績效計劃、績效計劃執行、績效考核、績效反饋面談等幾個階段,這幾個階段都是一環扣一環的,哪一個環節出現了問題,都會影響到企業的最終績效水平。因此,單純的通過對員工最後產出水平的考核是很難讓企業提高績效水平的,在對最後結果考核之前,我們要做好績效計劃的工作;在平時工作過程中,企業的領導者要對員工工作進行輔導;在考核結果出來之後,上級領導要與員工共同進行績效面談,分析原因、找出差距,進行績效改進。經過這樣的一個閉環績效管理流程,企業的績效水平才會得到提升。二、前提條件不足拋開企業的其他管理系統,單就人力資源系統而言,各子系統是互相聯系,互為依託的。工作分析是人力資源工作開展的基礎。企業應切實科學合理地根據公司戰略,確定組織結構 ,對組織中的每個崗位的職責、重要程度、任職資格等進行客觀分析,編制詳細的崗位說明書,並且進一步確定公司的薪酬策略、薪資結構、招聘與培訓計劃等。各崗位職責分工清楚,是績效考核展開的前提條件。另外,在績效考核之前,上級領導要與員工的就執行績效計劃進行不斷溝通。在這一過程中,非常強調主管與員工之間的溝通以及主管對員工的監督和指導,而不是像許多企業的管理者那樣,一旦計劃制定完就萬事大吉,只等年底或者績效周期結束進行評價和考核。事實上,如果沒有這個階段的鋪墊,任何企業的績效評價和考核階段都是非常棘手的。在這一階段,上一級管理者與員工要開誠布公地溝通、交流,對員工工作上的優點和缺點能夠及時交換意見,不僅有利於員工的工作達成預期的要求,而且有利於員工和上級之間融洽關系,有利於員工接受最終的績效評價結果。而在這一階段沒有進行充分的溝通和交流,上級不指導下級,恰恰是導致我國許多企業的績效管理工作陷入困境的最主要原因之一。同時,也為下一階段的績效考核提供事實依據,在這一階段,管理人員還要注意收集、觀察以及記錄員工的重要業績表現,其中既包括好的表現,也包括不良的表現。這種績效記錄對於將來的績效反饋面談、對員工進行獎懲甚至解僱都是非常重要的事實依據。在必要時,還需要員工在某些業績記錄表上簽字認可。三、過程出現問題績效考核過程中容易出現的問題可以分為兩類,一類與考核標准有關,另一類與主考人有關。1、與考核標准有關的問題。首先,考核標准不嚴謹。考核標准應該根據員工的工作職能而不是職位設定。考核項目設置不嚴謹、考核標准說明含糊不清,加大了考核的隨意性。考核標准大而籠統,沒有具體的評價標准;考核標准中有過多難以衡量的因素,難以使員工信服;考核標准與工作職能偏差較大。這些都使考核者打分存在一定的隨意性,人為操縱可能性強,考核結果爭議性大,很難令員工信服,結果使考核流於形式。其次,考核的內容不夠完整,尤其是不能涵蓋全部的工作內容,或以偏概全,如關鍵績效指標有缺失等,因此,無法正確評價人的真實工作績效。許多企業的考核內容大多千篇一律,不同類型部門考核內容差別不大,針對性不強,這在很大程度影響了考核結果的客觀性、真實性和准確性。多數企業在考核內容上主要集中在兩方面,一方面是員工的德、能、勤、績,另一方面是員工為企業創造多少經濟效益。這兩方面內容的考核並不能全面地包括員工工作績效的所有方面。另外,德、能、勤、績這類考核指標基本上是屬於定性化的指標,過多定性化指標的存在自然無法避免會造成考核者判斷的主觀隨意性,在一定程度上失去了績效考核的公正性與有效性。只有把定性化的指標以定量的形式表現出來,才能克服其主觀隨意性。實際上,績效考核是非常個性化的。不同行業、不同發展階段、不同戰略背景下的企業,績效考核的目的、手段、結果運用等各不相同。即使是同行業、同系統下的不同企業,在績效考核這盤棋上也不能千篇一律。並且,績效考核與企業的整體現狀、人力資源管理的其他系統,有著千絲萬縷的聯系,各系統間,必須兼容,彼此絕不能孤立看待,否則,就會死機。憑空設計一套考核方案,對絕大多數的HR顧問來講都是易如反掌,但若設計出一套適合企業發展的、能挖掘出企業績效潛力的考核方案,決非做一個訪談,看幾份資料就搞掂。企業的績效考核,與企業的戰略、人力資源政策、規劃、人力資源基礎、員工晉升、薪酬、、招聘、培訓、激勵、職業生涯規劃、企業現狀、整體素質等諸多環節無法割裂開來,企業要調整,就必須是全方位的,否則,無法真正收到實效。生搬硬套,這也就是許多考核手段在別家效果顯著,在自家無法存活的根本原因。所以,績效考核要收到績效,關鍵不在於你的考核方案多麼高深精準,而在乎一個適字。現在適,不等於將來永遠適,必須視企業的發展,定期做相應調整,才能永遠適用。2.與主考人有關的問題。由於考核者的主觀隨意性及過嚴、過寬、趨中的心理傾向,使績效考核出現偏差。(1)暈輪效應。暈輪效應是指在考察員工業績時,由於一些特別的或突出的特徵,而掩蓋了被考核人其他方面的表現和品質。在考核中將被考核者的某一優點擴大化,以偏概全,通常表現為一好百好,或一無是處,要麼全面肯定,要麼全面否定,因而影響考核結果。例如,某經理看到某員工經常加班、忙忙碌碌,對他的工作態度很有好感,在年終考核時對他的評價就較高,從而忽略了對他的工作效率和經濟效益等綜合表現的考察。(2)寬嚴傾向。寬嚴傾向包括寬松和嚴格兩個方面。寬松傾向是指考核中所做出的評價過高;嚴格傾向是指考核中所做出的評價過低。這兩類考核誤差的原因主要是缺乏明確、嚴格、一致的判斷標准,考核者往往根據自己的人生觀和過去的經驗進行判斷,在評價標准上主觀性很強。(3)平均傾向。平均傾向也稱調和傾向或居中趨勢,是指給大多數員工的考核得分在平均水平的同一檔次,並往往是中等水平或良好水平,這也是考核結果具有統計意義上的集中傾向的體現。無論員工的實際表現如何,統統給中間或平均水平的評價。產生這種現象的原因之一是利益驅動,管理者給自己下屬員工普遍高評價,有助於在本部門薪酬預算時得利;原因之二是對績效考核評價工作缺乏自信,缺乏進行績效考核的相關事實和依據;原因之三為有些主考人信奉中庸之道,不願做反面考核,認為被評為劣等表現會對員工造成負面影響,挫傷工作信心和士氣。在管理者如此心態下所做的考核必定是含糊的,無法對員工形成正面、有效的引導機制。(4)近因和首因效應。近因效應是考核者只看到考核期末一小段時間內的情況,對整個考核期間的工作表現缺乏長期了解和記憶,以近代全,只是對最後一階段的考核。首因效應是指考核者憑第一印象下判斷的問題。這與人的思維習慣有關,考核結果並不能反映整個考核期間內員工績效表現,在一定程度上影響考核的得分。(5)成見效應。成見效應也稱定型作用,是指考核者由於經驗、教育、世界觀、個人背景以至人際關系等因素而形成的固定思維對考核評價結果的刻板化影響,通俗的說法是偏見、頑固等。憑個人好惡判斷是非,是絕大多數人難以察覺、不願承認的弱點,甚至是一種本能。個人的價值觀和偏見可能會代替組織已制定的考核標准,依據個人意願和個人的理解隨意地考核。在考核他人時,很多人都會受到個人好惡的影響。成見效應是績效考核中的常見問題,因此,考核者在考核工作時應時刻注意自己的每一個判斷是否因個人好惡而導致不公的結論。針對這種現象,需要對考核者進行培訓與心理輔導,使考核人員關注可能導致不正確結果的個人錯誤觀念,從而加以糾正。另外,採用基於事實(如工作記錄)的客觀考核方法,由多人組成考核小組進行考核,有助於減少個人好惡所導致的考核誤差。4、考核結果運用不當很多企業績效考核工作搞得轟轟烈烈,過程錯綜復雜,但是對結果的運用卻差強人意!許多企業的領導人在觀念上認為績效考核不過只是發發獎金的依據罷了,對績效考核的結果的應用缺乏明確的概念和思路。績效考核是企業經營管理工作中的一項重要任務,是保障並促進企業內部管理機制有序運轉、實現企業各項經營管理目標所必須的一種管理行為。具體來說,績效考核具有如下作用:人員招聘的依據、崗位調動和職位升降的標准、員工培訓的依據、薪酬和獎懲的依據等。為了保證績效考核過程公正、結果運用得當,企業應該進行如下的操作:(1)公開考核過程和考核結果績效考核結果必須公開公示,這不僅僅是考核工作民主化的反映,也是組織管理科學化的客觀要求。考核評價做出以後,要及時進行考核面談,由上級對下級逐一進行,將考核結果反饋給員工,使員工了解自己的業績狀況和考核結果,也使管理者了解下級工作中的問題及意見,創造一個公開、通暢的雙向溝通環境,使考評者與被評對象能就考核結果及其原因、成績與問題及改進的措施進行及時、有效的交流,並在此基礎上制定員工未來事業發展計劃。這樣,績效考核才能真正發揮其效用,推動員工素質的提高,實現組織發展目標。對績效考核結果的保密,則只會起到導致員工不信任與不合作的後果。(2)設置考核申訴程序考核申訴產生的原因,一是被考核員工對考核結果不滿,或者認為考核者在評價標準的掌握上不公正;二是員工認為對考核標準的運用不當、有失公平。因此,要設立一定的程序,以從制度上促進績效考核工作的合理化,達到提高組織績效的應有作用。處理考核申訴,一般是由人力資源部門負責。在處理考核申訴時要注意尊重員工個人,申訴處理機構應該認真分析員工所提出的問題,找出問題發生的原因。如果是員工的問題,應當以事實為依據,以考核標准為准繩,對員工進行說服和幫助;如果是組織方面的問題,則必須對員工所提出的問題加以改正。其次,要把處理考核申訴過程作為互動互進的過程,當員工提出考核申訴時,組織應當把它當做一個完善績效管理體系、促進員工提高績效的機會,而不要簡單地認為員工申訴是員工有問題。第三,處理考核申訴,應當把令申訴者信服的處理結果告訴員工。
㈥ 什麼不屬於防火牆技術四選一
代理服務
代理服務不是防火牆的技術帶領服務是伺服器的功能之一
㈦ 防火牆採用的最簡單的技術是包過濾對嗎
不一定。
現在防火牆也細分了。
傳統的網路防火牆,就是檢查數據包,現在可以檢查應用了。
㈧ 以下內容中,不是防火牆功能的是( )。
防火牆功能:
1.創建一個阻塞點
防火牆在一個公司內部網路和外部網路間建立一個檢查點。這種實現要求所有的流量都要通過這個檢查點。一旦這些檢查點清楚地建立,防火牆設備就可以監視,過濾和檢查所有進來和出去的流量。這樣一個檢查點,在網路安全行業中稱之為「阻塞點」。通過強制所有進出流量都通過這些檢查點,網路管理員可以集中在較少的地方來實現安全目的。如果沒有這樣一個供監視和控制信息的點,系統或安全管理員則要在大量的地方來進行監測。
2. 隔離不同網路,防止內部信息的外泄
這是防火牆的最基本功能,它通過隔離內、外部網路來確保內部網路的安全。也限制了局部重點或敏感網路安全問題對全局網路造成的影響。企業秘密是大家普遍非常關心的問題,一個內部網路中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣,甚至因此而暴漏了內部網路的某些安全漏洞。使用防火牆就可以隱蔽那些透漏內部細節如Finger,DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名,最後登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所截獲,攻擊者通過所獲取的信息可以知道一個系統使用的頻繁程度,這個系統是否有用戶正在連線上網等信息。防火牆可以同樣阻塞有關內部網路中的DNS信息,這樣一台主機的域名和IP地址就不會被外界所了解。
3. 強化網路安全策略
通過以防火牆為中心的安全方案配置,能將所有安全軟體(如口令、加密、身份認證、審計等)配置在防火牆上。與將網路安全問題分散到各個主機上相比,防火牆的集中安全管理更經濟。各種安全措施的有機結合,更能有效地對網路安全性能起到加強作用。
4. 有效地審計和記錄內、外部網路上的活動
防火牆可以對內、外部網路存取和訪問進行監控審計。如果所有的訪問都經過防火牆,那麼,防火牆就能記錄下這些訪問並進行日誌記錄,同時也能提供網路使用情況的統計數據。當發生可疑動作時,防火牆能進行適當的報警,並提供網路是否受到監測和攻擊的詳細信息。這為網路管理人員提供非常重要的安全管理信息,可以使管理員清楚防火牆是否能夠抵擋攻擊者的探測和攻擊,並且清楚防火牆的控制是否充足。
以上是從宏觀方面對防火牆的功能所進行的綜合描述,如果從技術微觀方面分的話,它主要體現在如下方面:
1. 包過濾
包過濾是防火牆所要實現的最基本功能,現在的防火牆已經由最初的地址、埠判定控制,發展到判斷通信報文協議頭的各部分,以及通信協議的應用層命令、內容、用戶認證、用戶規則甚至狀態檢測等等。
2. 審計和報警機制
在防火牆結合網路配置和安全策略對相關數據分析完成以後,就要做出接受、拒絕、丟棄或加密等決定。如果某個訪問違反安全策略,審計和報警機制開始起作用,並作記錄和報告。審計是一種重要的安全舉措,用以監控通信行為和完善安全策略,檢查安全漏洞和錯誤配置。報警機制是在有通信違反相關安全策略後,防火牆可以有多種方式及時向管理員進行報警,如聲音、郵件、電話、手機簡訊息等。
防火牆的審計和報警機制在防火牆體系中是很重要的,只有有了審計和報警功能,管理人員才可能及時知道網路是否受到了攻擊。通過防火牆日誌啟示還可以進行統計、分析,得出系統安全存在最大不足和隱患,進而可以有針對性地進行改進。
但要注意的,由於要對整個網路通信進行日誌記錄,所以防火牆的日誌記錄數據量比較大,在防火牆自身上是不可能能存儲這么龐大的日誌文件的。通常採用外掛方式,即將日誌掛接在內部網路的一台專門存放日誌的日誌伺服器上。
3.NAT(Network Address Translation,網路地址轉換)
網路地址轉換功能現在也已成為防火牆的標准配置之一。通過此項功能就可以很好地屏蔽內部網路的IP地址,對內部網路用戶起到了保護作用。
NAT又分「SNAT (Source NAT)」和「DNAT (Destination NAT)」。SNAT就是改變轉發數據包的源地址,對內部網路地址進行轉換,對外部網路是屏蔽的,使得外部非常用戶對內部主機的攻擊更加困難,同時可以節省有限的公網IP資源,通過少數一個或幾個公網IP地址共享上網。而DNAT就是改變轉發數據包的目的地址,外部網路主機向內部網路主機發出通信連接時,防火牆首先把目的地址轉換為自己的地址,然後再轉發外部網路的通信連接,這樣實際上外部網路主機與內部網路主機的通信變成了防火牆與內部網路主機的通信。在防火牆中主要用於外部網路主機對內部網路和DMZ區(非軍事區)主機的訪問。
4.Proxy(代理)
在防火牆代理服務中,主要有如下兩種實現方式:
透明代理(Transparent proxy)
透明代理是指內部網路主機需要訪問外部網路主機時,不需要做任何設置,完全意識不到防火牆的存在。其基本原理是防火牆截取內部網路主機與外部網路通信,由防火牆本身完成與外部網路主機通信,然後把結果傳回給發出通信連接的內部網路主機,在這個過程中,無論內部網路主機還是外部網路主機都意識不到它們其實是在和防火牆通信。而從外部網路只能看到防火牆,這就隱藏了內部網路網路,提高了安全性。
傳統代理
傳統代理工作原理與透明代理相似,所不同的是它需要在客戶端設置代理伺服器。如前所述,代理能實現較高的安全性,不足之處是響應變慢。
5.流量控制(帶寬管理)和統計分析、流量計費
流量控制可以分為基於IP地址的控制和基於用戶的控制。基於IP地址的控制是對通過防火牆各個網路介面的流量進行控制,基於用戶的控制是通過用戶登錄來控制每個用戶的流量,從而防止某些應用或用戶佔用過多的資源。並且通過流量控制可以保證重要用戶和重要介面的連接。
流量統計是建立在流量控制基礎之上的。一般防火牆通過對基於IP、服務、時間、協議等等進行統計,並可以與管理界面實現掛接,實時或者以統計報表的形式輸出結果。流量計費從而也是非常容易實現的。
6.VPN(虛擬專用網)
在傳統的防火牆設備中,是不允許進行VPN通信的,以往的VPN網路設備也是作為單獨產品出現的,現在更多的廠家把兩種技術集成在一起。VPN作為一種新的網路技術,它具有較強的通信優勢。支持VPN通信,已成為一種趨勢,不僅防火牆如此,交換機、路由器也如此。這比單獨開始一種VPN設備來說更加合理,不僅體現在經濟上,而且體現在功能上。
7.URL級信息過濾
隨著互聯網應用的普及,各企業對互聯網的依賴性越來越強了。過去了一些簡單的郵件收發互聯網應用已不能滿足企業應用需求了。像VPN通信一樣,企業很可能還需要與合作夥伴、供應商或分支機構進行雙向通信,這樣的通信是相當頻繁的,如果也按傳統的防火牆過濾原理,對每一個通信請求都進行嚴格的審核的話,很可能引發通信瓶頸,造成通信性能下降。這時如果對某些站點或目錄進行特權訪問或禁止的話,就可以不必這樣頻繁的審核了。這就是目前最主流的網站、內容等信息過濾配置。在許多代理伺服器軟體中都可以實現這一點,在防火牆中也有些具備這一功能。
8. 其他特殊功能
除了以上介紹的六個方面的主要功能外,有的防火牆還具有一些特殊功能,這些特殊功能純粹是為了迎合特殊客戶的需要或者為贏得賣點而設計的。如特定的用戶許可權配置(包括使用時間、郵件發送許可權、件傳輸許可權、使用的主機、所能進行的互聯網應用等),這些依需求不同而定。有的防火牆還加入了病毒掃描功能。
㈨ 下列選項中不屬於防火牆具有的基本功能的有
答案應該是:B、查殺計算機內病毒和C、對計算機進行秘密保護,因為其它(A和D)兩個都屬於防火牆所具有的基本功能,就B和C這兩個選項疑點較大.
㈩ 以下不屬於防火牆技術的是:
D呀,
D是殺毒軟體 的作用,
當然有牛B的防火牆也可以有的