防火牆過濾策略

A. 防火牆的優點,缺點,功能

一、防火牆的優點：
1、防火牆能強化安全策略。
2、防火牆能有效地記錄Internet上的活動，作為訪問的唯一點，防火牆能在被保護的網路和外部網路之間進行記錄。
3、防火牆限制暴露用戶點，能夠防止影響一個網段的問題通過整個網路傳播。
4、防火牆是一個安全策略的檢查站，使可疑的訪問被拒絕於門外。
二、缺點：
1、防火牆可以阻斷攻擊，但不能消滅攻擊源。
2、防火牆不能抵抗最新的未設置策略的攻擊漏洞。
3、防火牆的並發連接數限制容易導致擁塞或者溢出。
4、防火牆對伺服器合法開放的埠的攻擊大多無法阻止。
5、防火牆對待內部主動發起連接的攻擊一般無法阻止。
6、防火牆本身也會出現問題和受到攻擊，依然有著漏洞和Bug。
7、防火牆不處理病毒。
三、功能：
1、防火牆最基本的功能就是控制在計算機網路中，不同信任程度區域間傳送的數據流。
2、防火牆具有很好的保護作用：入侵者必須首先穿越防火牆的安全防線，才能接觸目標計算機；可以將防火牆配置成許多不同保護級別；高級別的保護可能會禁止一些服務，如視頻流等。
Internet防火牆可以防止Internet上的危險(病毒、資源盜用)傳播到網路內部
3、能強化安全策略：通過以防火牆為中心的安全方案配置，能將所有安全軟體（如口令、加密、身份認證、審計等）配置在防火牆上。
4、能有效記錄Internet上的活動。
5、可限制暴露用戶點，防止內部信息的外泄：通過利用防火牆對內部網路的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感網路安全問題對全局網路造成的影響。
6、它是安全策略的檢查點。

B. 迪普防火牆包過濾策略能否對特定後綴文件進行阻斷訪問

不能，建議換用迪普WAF設備實現

C. windows 防火牆怎樣設置防禦icmp泛濫攻擊啊

設置步驟如下：

1、點擊開始，點擊控制面板，點擊windows防火牆；

版2、點權擊高級設置；

D. 防火牆的主要功能和幾種類型

防火牆的主要功能包括以下幾個方面：
1過濾掉不安全的服務和非法用戶；
2防止入侵者進入內部網路；
3限定對特殊站點的訪問；
4監視區域網的安全。
5防火牆具有的功能包括：
6訪問控制功能。

防火牆的類型：包過濾型、代理伺服器型、復合型以及其他類型（雙宿主主機、主機過濾以及加密路由器）防火牆。
包過濾（Packet Fliter）通常安裝在路由器上，而且大多數商用路由器都提供了包過濾的功能。包過濾規則以IP包信息為基礎，對IP源地址、目標地址、封裝協議、埠號等進行篩選。包過濾在網路層進行。
代理伺服器型（Proxy Service）防火牆通常由兩部分構成，伺服器端程序和客戶端程序。客戶端程序與中間節點（Proxy Server）連接，中間節點再與提供服務的伺服器實際連接。與包過濾防火牆不同的是，內外網間不存在直接的連接，而且代理伺服器提供日誌（Log）和審計（Audit）服務。
復合型（Hybfid）防火牆將包過濾和代理服務兩種方法結合起來，形成新的防火牆，由堡壘主機（Bastion Host）提供代理服務。

E. 什麼是防火牆防火牆的類型有哪些

一、所謂防火牆指的是一個由軟體和硬體設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法，它是一種計算機硬體和軟體的結合，使Internet與Intranet之間建立起一個安全網關（Security Gateway），從而保護內部網免受非法用戶的侵入，防火牆主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成，防火牆就是一個位於計算機和它所連接的網路之間的軟體或硬體。該計算機流入流出的所有網路通信和數據包均要經過此防火牆。
二、主要類型

1、網路層防火牆
網路層防火牆可視為一種 IP 封包過濾器，運作在底層的TCP/IP協議堆棧上。我們可以以枚舉的方式，只允許符合特定規則的封包通過，其餘的一概禁止穿越防火牆（病毒除外，防火牆不能防止病毒侵入）。這些規則通常可以經由管理員定義或修改，不過某些防火牆設備可能只能套用內置的規則。
我們也能以另一種較寬松的角度來制定防火牆規則，只要封包不符合任何一項「否定規則」就予以放行。操作系統及網路設備大多已內置防火牆功能。
較新的防火牆能利用封包的多樣屬性來進行過濾，例如：來源 IP地址、來源埠號、目的 IP 地址或埠號、服務類型（如 HTTP 或是 FTP）。也能經由通信協議、TTL 值、來源的網域名稱或網段...等屬性來進行過濾。

2、應用層防火牆
應用層防火牆是在 TCP/IP 堆棧的「應用層」上運作，您使用瀏覽器時所產生的數據流或是使用 FTP 時的數據流都是屬於這一層。應用層防火牆可以攔截進出某應用程序的所有封包，並且封鎖其他的封包（通常是直接將封包丟棄）。理論上，這一類的防火牆可以完全阻絕外部的數據流進到受保護的機器里。
防火牆藉由監測所有的封包並找出不符規則的內容，可以防範電腦蠕蟲或是木馬程序的快速蔓延。不過就實現而言，這個方法既煩且雜（軟體有千千百百種啊），所以大部分的防火牆都不會考慮以這種方法設計。
XML 防火牆是一種新型態的應用層防火牆。
[2] 根據側重不同，可分為：包過濾型防火牆、應用層網關型防火牆、伺服器型防火牆。

3、資料庫防火牆
資料庫防火牆是一款基於資料庫協議分析與控制技術的資料庫安全防護系統。基於主動防禦機制，實現資料庫的訪問行為控制、危險操作阻斷、可疑行為審計。
資料庫防火牆通過SQL協議分析，根據預定義的禁止和許可策略讓合法的SQL操作通過，阻斷非法違規操作，形成資料庫的外圍防禦圈，實現SQL危險操作的主動預防、實時審計。
資料庫防火牆面對來自於外部的入侵行為，提供SQL注入禁止和資料庫虛擬補丁包功能。

F. 怎麼用防火牆過濾ip地址

您好:用天網防火牆的IP策略可以過濾.諾頓是不自帶IP過濾功能的如果不喜歡天網防火牆.可以通過組策略,本地安全策略,添加新的策略

G. 包過濾防火牆的工作原理

數據包過濾是通過對數據包的IP頭和TCP頭或UDP頭的檢查來實現的，主要信息有：
* IP源地址
* IP目標地址
* 協議（TCP包、UDP包和ICMP包）
* TCP或UDP包的源埠
* TCP或UDP包的目標埠
* ICMP消息類型
* TCP包頭中的ACK位
* 數據包到達的埠
* 數據包出去的埠
在TCP/IP中，存在著一些標準的服務埠號，例如，HTTP的埠號為80。通過屏蔽特定的埠可以禁止特定的服務。包過濾系統可以阻塞內部主機和外部主機或另外一個網路之間的連接，例如，可以阻塞一些被視為是有敵意的或不可信的主機或網路連接到內部網路中。 數據包過濾一般使用過濾路由器來實現，這種路由器與普通的路由器有所不同。
普通的路由器只檢查數據包的目標地址，並選擇一個達到目的地址的最佳路徑。它處理數據包是以目標地址為基礎的，存在著兩種可能性：若路由器可以找到一個路徑到達目標地址則發送出去；若路由器不知道如何發送數據包則通知數據包的發送者「數據包不可達」。
過濾路由器會更加仔細地檢查數據包，除了決定是否有到達目標地址的路徑外，還要決定是否應該發送數據包。「應該與否」是由路由器的過濾策略決定並強行執行的。

H. 包過濾防火牆的過濾策略

* 拒絕來自某主機或某網段的所有連接。
* 允許來自某主機或某網段的所有連接。回
* 拒絕來答自某主機或某網段的指定埠的連接。
* 允許來自某主機或某網段的指定埠的連接。
* 拒絕本地主機或本地網路與其它主機或其它網路的所有連接。
* 允許本地主機或本地網路與其它主機或其它網路的所有連接。
* 拒絕本地主機或本地網路與其它主機或其它網路的指定埠的連接。
* 允許本地主機或本地網路與其它主機或其它網路的指定埠的連接。