配置 TCP/IP 安全：
1. 单击开始，指向设置，单击控制面板，然后双击网络和拨号连接。
2. 右键单击要在其上配置入站访问控制的接口，然后单击属性。
3. 在选定的组件被这个连接所使用框中，单击 Internet 协议 (TCP/IP)，然后单击属性。
4. 在 Internet 协议 (TCP/IP) 属性对话框中，单击高级。
5. 单击选项选项卡。
6. 单击 TCP/IP 筛选，然后单击属性。
7. 选中启用 TCP/IP 筛选（所有适配器）复选框。选中此复选框后，将对所有适配器启用筛选，但您要逐个为适配器配置筛选器。同一筛选器并不适用于所有适配器。
8. 该窗口中一共有三列，分别标记为：
TCP 端口
UDP 端口
IP 协议在每一列中，都必须选择下面的某个选项：
全部允许。如果要允许 TCP 或 UDP 通信的所有数据包，请保留全部允许处于选中状态。

仅允许。如果只允许选定的 TCP 或 UDP 通信，请单击仅允许，再单击添加，然后在添加筛选器对话框中键入相应的端口。
如果要阻止所有 UDP 或 TCP 流量，请单击仅允许，但不要在 UDP 端口或 TCP 端口列中添加任何端口号。如果您为 IP 协议选中了仅允许并排除了 IP 协议 6 和 17，并不能阻止 UDP 或 TCP 通信。

请注意，即使在 IP 协议列中选择了仅允许而且不添加 IP 协议 1，也无法阻止 ICMP 消息。
“TCP/IP 筛选”只能筛选入站流量。此功能不影响出站流量，也不影响为接受来自出站请求的响应而创建的响应端口。如果需要更好地控制出站访问，请使用 IPSec 策略或数据包筛选。

以下是关于IPSec 策略的官方说明
Internet 协议安全 (IPSec) 循序渐进指南

在进行IPSec完整性配置时，有两个选项 ：Message Digest 5 (MD5)和安全散列算法1（Secure Hash Algorithm 1 ，简称SHA1）。后者的安全度更高，但需要更多的 CPU资源，MD5使用128位散列算法，而SHA1使用的160位算法。

IPsec 认证协议

当两个系统互相交换加密数据之前，需要相互对加密的数据包进行安全认定。这个安全认定成为安全协定（security association，简称SA）。在相互通信之前，两个系统必须认定对同一SA。

因特网密钥交换协议（Internet Key Exchange，简称IKE）管理着用于IPSec连接的 SA协议过程。IKE是因特网工程任务组（Internet Engineering Task Force，简称IETF）制定的关于安全协议和密钥交换的标准方法。IKE的操作分两阶段：第一阶段确保通信信道的安全，第二阶段约定SA的操作。

为了建立IPSec通信，两台主机在SA协定之前必须互相认证，有三种认证方法：

Kerberos - Kerberos v5常用于Windows Server 2003，是其缺省认证方式。 Kerberos能在域内进行安全协议认证，使用时，它既对用户的身份也对网络服务进行验证。Kerberos的优点是可以在用户和服务器之间相互认证，也具有互操作性。Kerberos可以在 Server 2003的域和使用Kerberos 认证的UNix环境系统之间提供认证服务。

公钥证书 (PKI) - PKI用来对非受信域的成员，非Windows客户，或者没有运行Kerberos v5 认证协议的计算机进行认证，认证证书由一个作为证书机关（CA）系统签署。

预先共享密钥 -在预先共享密钥认证中，计算机系统必须认同在IPSec策略中使用的一个共享密钥 ，使用预先共享密钥仅当证书和Kerberos无法配置的场合。

IPSec加密协议

IPSec提供三种主要加密方法，如下

数据加密标准 (DES 40位) - 该加密方法性能最好，但安全性较低。该 40位数据加密标准（Data Encryption Standard，简称DES）通常被称为 安全套接字层（Secure Sockets Layer，简称SSL）。适用于数据安全性要求较低的场合。

数据加密标准 (DES 56位) - 通过IPSec策略，可以使用56位 DES的加密方法。1977年美国国家标准局公布了DES算法，它可以在通信过程中经常生成密钥。该功能可防止因为一个DES密钥被破译而整个数据集的安全受到影响。但是在商业中被认为过时了，仅用于传统的应用支持，有专门的硬件可以破译标准的 56位密钥。

3DES - IPSec策略可以选择一个强大的加密算法3DES，其安全性比DES更高。3DES也使用了56位密钥，但使用了三个。结果3DES成为 168位加密算法，用于诸如美国政府这样的高机密的环境中。采用该策略的所有计算机将都遵守这样的机制。

IPSec传输模式

IPSec可以在两种不同的模式下运作：传输模式和隧道模式。这些模式指的是数据在网络中是如何发送和加密的。在传输模式下，IPSec的保护贯穿全程：从源头到目的地，被称为提供终端到终端的传输安全性 。

隧道模式仅仅在隧道点或者网关之间加密数据。隧道模式提供了网关到网关的传输安全性。当数据在客户和服务器之间传输时，仅当数据到达网关时才得到加密，其余路径不受保护。一旦到达网关，就采用IPSec进行加密，等到达目的网关之后，数据包被解密和验证，之后数据发送到不受保护的目的主机。隧道模式通常适用于数据必须离开安全的LAN或者WAN的范围，且在诸如互联网这样的公共网络中传输的场合。

我看了几个朋友的服务器配置,每一个人都使用的是TCP/IP筛选对网站的访问端口进行设定,这到没什么关系,但对IPSec 策略最多也只设定封一下ICMP,别的都没设定,出于安全考虑,这样做不是很好,因为...

嘻嘻,我来做个比较
TCP/IP筛选只可只设定客户端通过几个固定的TCP或UDP端口进行对服务器的访问,或限定IP访问,每增加一次就要重启服务器一次,只能适合比较小型访问,原来我为了让Serv_u能进行正常访问,加了N个端口,累的要死(因为FTP软件连接到FTP服务器的话,会随机使用一些端口,因为设定问题,就看不到目录了)...现在想起来也好笑.
IPSec 策略可设定即时生效,不用重启服务器,可对端口或IP进行封锁或访问,可拒绝一些不安全端口的访问,也可像TCP/IP筛选一样只设定客户端通过几个固定的TCP或UDP端口进行对服务器的访问,可选择性要大很多,其中的许可比拒绝优先,这样就可以设定优先通过某一些特定的IP,也可设定某个IP只能访问某个端口之类的,只要你有想像力,哈哈,就很简单了,这里我写的都是一些知识,没有写操作步骤,因为操作很简单,只要说一下原理,懂原理比操作更快

如安全方面的话,TCP/IP筛选会在注册表中的
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters
中的EnableSecurityFilters值上设定,当为"EnableSecurityFilters"=dword:00000001,即TCP/IP筛选生效,当为"EnableSecurityFilters"=dword:00000000,即TCP/IP筛选失效,这样就给我们一个漏洞了,用regedit -e导出以上三个键值,把EnableSecurityFilters值改成dword:00000000,regedit -s,嘻嘻,你设的再多也等于零

IPSec 策略就没有这个安全隐患,上面还有IPSec 策略的一些加密说明,安全吧??!!而且IP策略可以备份为文件方便在不同的电脑上使用,不过2K和XP或2K3使用的不同,这点到是要注意一下
我给出两个IPSec的策略

windows安全策略包v2.24plus
windows安全策略包服务器版

说明一下,这些设定只是针对端口或IP进行管理的,没什么很高深的东西,而且有一些功能是无法进行设定的(如果什么都能设定的话,那还需要防火墙做什么),但这是WEB服务器的第一道关口,如果不设置好的话,后面很容易出问题的,我刚给出的只是一个例子,破TCP/IP筛选有几种方法,这里就不好说明了,总结一下,TCP/IP筛选只是开胃菜,IPSec 策略是红酒,防火墙是面包,防火墙是主菜(硬件级的),一样也不能少,都要做好设定,那就这样,回头见啦...
转自蓝色理想
作者剑气凌人　

几乎所有接触网络的人都知道网络中有一些费尽心机闯入他人计算机系统的人，他们利用各种网络和系统的漏洞，非法获得未授权的访问信息。不幸的是如今攻击网络系统和窃取信息已经不需要什么高深的技巧。网络中有大量的攻击工具和攻击文章等资源，可以任意使用和共享。不需要去了解那些攻击程序是如何运行的，只需要简单的执行就可以给网络造成巨大的威胁。甚至部分程序不需要人为的参与，非常智能化的扫描和破坏整个网络。这种情况使得近几年的攻击频率和密度显著增长，给网络安全带来越来越多的安全隐患。

// 请保留本文完整.REISTLIN.Blog.Cnunder.com.

我们可以通过很多网络工具，设备和策略来保护不可信任的网络。其中防火墙是运用非常广泛和效果最好的选择。它可以防御网络中的各种威胁，并且做出及时的响应，将那些危险的连接和攻击行为隔绝在外。从而降低网络的整体风险。

防火墙的基本功能是对网络通信进行筛选屏蔽以防止未授权的访问进出计算机网络，简单的概括就是，对网络进行访问控制。绝大部分的防火墙都是放置在可信任网络（Internal）和不可信任网络（Internet）之间。

防火墙一般有三个特性：

A．所有的通信都经过防火墙
B．防火墙只放行经过授权的网络流量
C．防火墙能经受的住对其本身的攻击

我们可以看成防火墙是在可信任网络和不可信任网络之间的一个缓冲，防火墙可以是一台有访问控制策略的路由器（Route+ACL），一台多个网络接口的计算机，服务器等，被配置成保护指定网络，使其免受来自于非信任网络区域的某些协议与服务的影响。所以一般情况下防火墙都位于网络的边界，例如保护企业网络的防火墙，将部署在内部网络到外部网络的核心区域上。

为什么要使用防火墙？很多人都会有这个问题，也有人提出，如果把每个单独的系统配置好，其实也能经受住攻击。遗憾的是很多系统在缺省情况下都是脆弱的。最显著的例子就是Windows系统，我们不得不承认在Windows 2003以前的时代， Windows默认开放了太多不必要的服务和端口，共享信息没有合理配置与审核。如果管理员通过安全部署，包括删除多余的服务和组件，严格执行NTFS权限分配，控制系统映射和共享资源的访问，以及帐户的加固和审核，补丁的修补等。做好了这些，我们也可以非常自信的说，Windows足够安全。也可以抵挡住网络上肆无忌惮的攻击。但是致命的一点是，该服务器系统无法在安全性，可用性和功能上进行权衡和妥协。

对于此问题我们的回答是：“防火墙只专注做一件事，在已授权和未授权通信之间做出决断。”

如果没有防火墙，粗略的下个结论，就是：整个网络的安全将倚仗该网络中所有系统的安全性的平均值。遗憾的是这并不是一个正确的结论，真实的情况比这更糟：整个网络的安全性将被网络中最脆弱的部分所严格制约。即非常有名的木桶理论也可以应用到网络安全中来。没有人可以保证网络中每个节点每个服务都永远运行在最佳状态。网络越庞大，把网络中所有主机维护至同样高的安全水平就越复杂，将会耗费大量的人力和时间。整体的安全响应速度将不可忍受，最终导致网络安全框架的崩溃。

防火墙成为了与不可信任网络进行联络的唯一纽带，我们通过部署防火墙，就可以通过关注防火墙的安全来保护其内部的网络安全。并且所有的通信流量都通过防火墙进行审记和保存，对于网络安全犯罪的调查取证提供了依据。总之，防火墙减轻了网络和系统被用于非法和恶意目的的风险。

// 请保留本文完整.REISTLIN.Blog.Cnunder.com.

对于企业来说，防火墙将保护以下三个主要方面的风险：

A．机密性的风险
B．数据完整性的风险
C．用性的风险

我们讨论的防火墙主要是部署在网络的边界（Network Perimeter），这个概念主要是指一个本地网络的整个边界，表面看起来，似乎边界的定义很简单，但是随着虚拟专用网络（VPN）的出现，边界这个概念在通过VPN拓展的网络中变的非常模糊了。在这种情况下，我们需要考虑的不仅仅是来自外部网络和内部网络的威胁，也包含了远程VPN客户端的安全。因为远程VPN客户端的安全将直接影响到整个防御体系的安全。

防火墙的主要优点如下：

A．防火墙可以通过执行访问控制策略而保护整个网络的安全，并且可以将通信约束在一个可管理和可靠性高的范围之内。
B．防火墙可以用于限制对某些特殊服务的访问。
C．防火墙功能单一，不需要在安全性，可用性和功能上做取舍。
D．防火墙有审记和报警功能，有足够的日志空间和记录功能，可以延长安全响应的周期。

同样的，防火墙也有许多弱点：

A．不能防御已经授权的访问,以及存在于网络内部系统间的攻击.
B．不能防御合法用户恶意的攻击.以及社交攻击等非预期的威胁.
C．不能修复脆弱的管理措施和存在问题的安全策略
D．不能防御不经过防火墙的攻击和威胁

网络已经成为了人类所构建的最丰富多彩的虚拟世界，网络的迅速发展，给我们的工作和学习生活带来了巨大的改变。我们通过网络获得信息，共享资源。如今， Internet遍布世界任何一个角落，并且欢迎任何一个人加入其中，相互沟通，相互交流。随着网络的延伸，安全问题受到人们越来越多的关注。在网络日益复杂化，多样化的今天，如何保护各类网络和应用的安全，如何保护信息安全，成为了本文探讨的重点。

几乎所有接触网络的人都知道网络中有一些费尽心机闯入他人计算机系统的人，他们利用各种网络和系统的漏洞，非法获得未授权的访问信息。不幸的是如今攻击网络系统和窃取信息已经不需要什么高深的技巧。网络中有大量的攻击工具和攻击文章等资源，可以任意使用和共享。不需要去了解那些攻击程序是如何运行的，只需要简单的执行就可以给网络造成巨大的威胁。甚至部分程序不需要人为的参与，非常智能化的扫描和破坏整个网络。这种情况使得近几年的攻击频率和密度显著增长，给网络安全带来越来越多的安全隐患。

// 请保留本文完整.REISTLIN.Blog.Cnunder.com.

我们可以通过很多网络工具，设备和策略来保护不可信任的网络。其中防火墙是运用非常广泛和效果最好的选择。它可以防御网络中的各种威胁，并且做出及时的响应，将那些危险的连接和攻击行为隔绝在外。从而降低网络的整体风险。

防火墙的基本功能是对网络通信进行筛选屏蔽以防止未授权的访问进出计算机网络，简单的概括就是，对网络进行访问控制。绝大部分的防火墙都是放置在可信任网络（Internal）和不可信任网络（Internet）之间。

防火墙一般有三个特性：

A．所有的通信都经过防火墙
B．防火墙只放行经过授权的网络流量
C．防火墙能经受的住对其本身的攻击

我们可以看成防火墙是在可信任网络和不可信任网络之间的一个缓冲，防火墙可以是一台有访问控制策略的路由器（Route+ACL），一台多个网络接口的计算机，服务器等，被配置成保护指定网络，使其免受来自于非信任网络区域的某些协议与服务的影响。所以一般情况下防火墙都位于网络的边界，例如保护企业网络的防火墙，将部署在内部网络到外部网络的核心区域上。

为什么要使用防火墙？很多人都会有这个问题，也有人提出，如果把每个单独的系统配置好，其实也能经受住攻击。遗憾的是很多系统在缺省情况下都是脆弱的。最显著的例子就是Windows系统，我们不得不承认在Windows 2003以前的时代， Windows默认开放了太多不必要的服务和端口，共享信息没有合理配置与审核。如果管理员通过安全部署，包括删除多余的服务和组件，严格执行NTFS权限分配，控制系统映射和共享资源的访问，以及帐户的加固和审核，补丁的修补等。做好了这些，我们也可以非常自信的说，Windows足够安全。也可以抵挡住网络上肆无忌惮的攻击。但是致命的一点是，该服务器系统无法在安全性，可用性和功能上进行权衡和妥协。

对于此问题我们的回答是：“防火墙只专注做一件事，在已授权和未授权通信之间做出决断。”

如果没有防火墙，粗略的下个结论，就是：整个网络的安全将倚仗该网络中所有系统的安全性的平均值。遗憾的是这并不是一个正确的结论，真实的情况比这更糟：整个网络的安全性将被网络中最脆弱的部分所严格制约。即非常有名的木桶理论也可以应用到网络安全中来。没有人可以保证网络中每个节点每个服务都永远运行在最佳状态。网络越庞大，把网络中所有主机维护至同样高的安全水平就越复杂，将会耗费大量的人力和时间。整体的安全响应速度将不可忍受，最终导致网络安全框架的崩溃。

防火墙成为了与不可信任网络进行联络的唯一纽带，我们通过部署防火墙，就可以通过关注防火墙的安全来保护其内部的网络安全。并且所有的通信流量都通过防火墙进行审记和保存，对于网络安全犯罪的调查取证提供了依据。总之，防火墙减轻了网络和系统被用于非法和恶意目的的风险。

// 请保留本文完整.REISTLIN.Blog.Cnunder.com.

对于企业来说，防火墙将保护以下三个主要方面的风险：

A．机密性的风险
B．数据完整性的风险
C．用性的风险

我们讨论的防火墙主要是部署在网络的边界（Network Perimeter），这个概念主要是指一个本地网络的整个边界，表面看起来，似乎边界的定义很简单，但是随着虚拟专用网络（VPN）的出现，边界这个概念在通过VPN拓展的网络中变的非常模糊了。在这种情况下，我们需要考虑的不仅仅是来自外部网络和内部网络的威胁，也包含了远程VPN客户端的安全。因为远程VPN客户端的安全将直接影响到整个防御体系的安全。

防火墙的主要优点如下：

A．防火墙可以通过执行访问控制策略而保护整个网络的安全，并且可以将通信约束在一个可管理和可靠性高的范围之内。
B．防火墙可以用于限制对某些特殊服务的访问。
C．防火墙功能单一，不需要在安全性，可用性和功能上做取舍。
D．防火墙有审记和报警功能，有足够的日志空间和记录功能，可以延长安全响应的周期。

同样的，防火墙也有许多弱点：

A．不能防御已经授权的访问,以及存在于网络内部系统间的攻击.
B．不能防御合法用户恶意的攻击.以及社交攻击等非预期的威胁.
C．不能修复脆弱的管理措施和存在问题的安全策略
D．不能防御不经过防火墙的攻击和威胁
转自蓝色理想

路由器的功能很容易实现.无论是单片机还是X86架构的设备或者ASIC芯片级的设备.
一般来说非单接口支持OSI三层数据包转发的设备都可以称为路由设备.
我们习惯性的路由器我个人认为是CISCO为代表的.至于如今的ADSL终端带路由功能的设备.
请说清楚.不要让入门的菜鸟误解.比如:网管一词.请说清楚.到底是网络管理员WEBMASTER或者NETMASTER.还是网吧管理人员.谢谢.

2.希望明确防火墙的概念.如硬件.软件之分.
不要跟我谈什么硬件防火墙与软件防火墙.有个铁BOX盒子就是硬件的?装个SOFT就是软件的?
醒醒吧.各位.不要想当然.国内N多所谓的企业级硬件千M防火墙在我看来就是一个X86的板.
PIII的CPU.256M内存装个REDHAT LINUX企业版本.重新编译下内核.整个工控的INTEL的网口.
卖给你.说是硬件的.你觉得呢?(抱歉我不想说厂家名,但是我是亲眼所见.)

这个星球上最优秀最高端的防火墙.我很遗憾的告诉你.是软件.
同样很遗憾的告诉你.你通过网络访问的每一个数据都会通过它.
而这个名为CheckPoint的软件防火墙可以支持包括WINDOWS.LINUX.SUN.UNIX几乎所有的操作系统.
请把你的眼睛从无聊的OSI 1-3层模型脱离出来.不要认为数据包是独立的.一个一个没有逻辑关系的.
不要认为数据包的行为只有IN和OUT.不要认为数据包只涉及到IP和MAC.还有很多4-7层的应用是你无法想象的.

真正从物理上属于硬件的防火墙恰恰是最最弱智最不够AI的.因为你不能指望ASIC芯片能具有智能的CPU的运算能力.ASIC芯片只会做你告诉他做过的事情.重复的重复.快速的重复.而不能像CPU一样可以运算和逻辑分析.(业内的硬件防火墙我所知道的是NetScreen与Fortigate).

硬件防火墙的优势就是快速.快到什么程度.说白了就是接近线速.行话叫跑背板.
最大的缺点是.不够智能.防火墙存在的目的是做访问控制与安全.不是交换机.
所以一款没有安全性只有速度的防火墙是愚蠢的.非常非常的愚蠢.

而软件防火墙的优势我就不说了.主要的问题是要通过CPU处理4-7层的应用攻击.比如SQL攻击.
或者恶意的入侵等.这些攻击其实数据量很小的.对于此类防御来说.AI是最重要的.
当然了.也要讲究算法.具体什么算法我下面继续说.

3.状态检测入门.数据的流向.
明确这些就不会问: "啊?封了我的80那我们不是都不能上网!" 这种可笑的问题.
人人似乎都知道三次握手.人人都知道OSI.但是真正理解的有多少?

A访问主机B.是由A来主动发起访问请求.并且B回应A的请求.并且A与B会维持一个正常的网络会话.
这个过程是从OSI的1-7层的一系列过程.我们不能只到3层就放弃继续理解了.
在第3层的时候我们都知道会Routeing.然后呢?就是建立整个会话.协商窗口.这个属于4到7层的范围.

如果在A和B之间有一台4-7层的网络设备.比如.代理也好.防火墙也好.他必然会有A和B所有的通讯的状态与会话的列表.这个列表你一旦拥有.你就可以做访问控制也好.做欺骗也好.随便你.

OK.现在知道了访问是双向的.并且是需要2者同步维护的.端口虽然是一样的.比如80.
但是访问却不是简单的从A到B或者从B到A.需要说明的是.如果你是个3层设备.
那非常遗憾的告诉你.你只能做的事情就是:要么全部拒绝80端口的流量.要么全部允许.
三层设备是无法知道你到底是由A发起到B的访问还是由B到A发起的访问.
他只知道.这个数据包.流过我.要去80.那我就砍掉.或者放行.
在三层设备看来.所有的数据包都是一个一个独立的.一个接一个的流过自己.

但是实际呢?我们的通讯不是一个包就可以OVER的.要很多个包.每个包有自己的状态和特征.
到目标地址后重新逻辑的组合.然后在解开.这一切的逻辑.三层设备根本就不知道的.
包与包之间维系的状态的检测与智能的分析.就叫做状态检测.

访问的发起.决定了会话的流向与访问的方式.

4. NAT.PNAT.包过滤与状态检测的区别.

上面已经说过了.包过滤工作在OSI的第三层.
看到的只有源的MAC和IP以及目标地址的MAC和IP.
因为只有满足了上面的4点数据包才能在网络上传输.

讲包过滤之前我们先看NAT.

同样的.我们大家熟悉的NAT技术.就是工作在这一层.
NAT的原理简单的描述就是:替换数据报的源IP地址与源MAC地址.目标地址保持不变.
同时在宿主上增加一条三层会话表.将此会话与原始的内部源做一一对应的关系.
等待目标返回的数据包.当收到目标返回的数据包的时候做反操作然后路由到对内接口.

智商正常的应该已经发现了.关键的问题是一一对应.
换句话说.你有3个私有地址.就必须有对应的3个公网地址才能一一对应!
但是这显然是不可能的.否则干吗还要多对一的节约地址呢?干吗还要NAT呢?

回答是这样的.NAT技术是为了保护内部DMZ的服务器的真实IP地址.
一一对应的NAT现在更多用在双向通讯上.也就是说.内部主机既可以上网出站访问.
外部的用户也可以访问到内部的主机.虽然内部主机是私有地址.
这种NAT的模式叫做Static NAT.Cisco称为静态NAT.
在网络内的主机Cisco称为堡垒主机.而网络安全业界更喜欢叫做DMZ主机.

对于多内部私有地址共享上网.实现的技术叫PNAT.也叫HIDE NAT.
NAT必须要建立一个会话表来对应数据包与内部真实主机的对应关系.
如何使用一个公共IP地址来对应多个主机呢?其实很简单.就是用端口.

你可以这么想象.地址202.96.128.86这个地址给A和B和C同时使用.

当A发起对外访问的请求的时候.A将使用202.96.128.86这个地址做为转换后的地址.
端口呢?可以选择任意一个.比如1024.即对应关系表是:

202.96.128.86:1024 <=> A

那么B访问的时候我们使用1025.C用1026.则:

202.96.128.86:1024 <=> A
202.96.128.86:1025 <=> B
202.96.128.86:1026 <=> C

现在大家看到的.就不是刚才所说的三层会话表.因为设计到端口了就进入到了第四层.
所以我们可以看到.四层会话表比三层的多了一个端口的状态.所以四层会话表会相对庞大一点.当然了.端口是有限的.当同时超过65535-的用户同时访问网络的时候.你们会发现.肯定是丢包严重无法上网.因为公共IP只有一个.并且端口只有65535-这么多.显然不够用了.

不要怀疑会不会出现这种情况.一个大学很容易就会有这种局面.

怎么解决.对了.我们可以做一个地址范围: 202.96.128.86 - 202.96.128.166 之间.
这一段来作为转换的POOL.我们叫地址池.这样应该就够了吧.恩.差不多够了.呵呵.

需要特别说明的是.这个池里的地址是随机选择的.不是顺序的.
我的顺序的意思是.当第一个地址的端口用完以后顺着用第二个.其实不是这样的.
都是随机的.不相信的朋友可以通过DUMP抓包看看就知道了.

看到这里.希望有人会有个初步的印象.看不懂没关系.
如果真看的明白了.那么恭喜你.远离了无聊的IT考试制度.

进入了第四层.很高兴的通知你.你不是一个拉线的.不是一个维护.不是一个"网管"了.

包过滤.数据包的过滤.一样的道理.原始的包过滤工作在第三层.
与工作在第四层的包过滤有什么区别?如果你回答不上来.
我奉劝你节约社会与网络资源.转行吧.去广州开个粥粉面的档口.挺不错的.真的.
我老总他老婆一天毛利7K多.比你现在有前途多了.

答案是: 第三层包过滤只能按照IP地址来过滤.
无法区分是哪个端口的信息.比如80端口.比如21端口的通讯.
在三层设备看来: 1.1.1.1:21 的数据包 与 1.1.1.1:80 的数据包是一种类型.没区别.
而实际呢.前者是访问FTP服务的应用.而后者是访问WEB的应用.

按照这个思路.如果在第四层来做包的过滤与访问的控制不就完美了?
因为可以看到具体是通过哪个端口传输的?

基本没错.我只能说.基本.

有没人注意到.我上面说的.一直都是用"具体是哪个端口"的"端口"这个词.
而没有说"具体是哪个服务.比如FTP".为什么?

人人都知道21端口是FTP.80端口是WEB.
但是我告诉你.并不是21端口就绝对等于FTP服务.80端口就绝对是WEB的访问.

没错.人们可以修改端口.同样可以访问.就比如窗户就是可以打开的.
但是具体打开窗户将进来的是垃圾还是阳光.你不见得是可以随时知道的.

所以.指望通过第四层的IP+端口来判断数据包的真实目的是比较愚蠢的.
因为我完全可以把FTP的端口改成22.同样可以访问.
但是人人都知道.22端口是SSH.但这并不影响我把21改成22当成FTP来用.

这个致命的问题.让无数的攻击者兴奋.
普通的防火墙根本无法区分端口上到底跑的是什么应用?
或许一个攻击者在你的服务器上种植了木马使用了你原来没有使用的21端口.
而你的防火墙确认为21端口是FTP的通讯.默认保持放行.那实在是太悲哀了.
我仅仅是举个例子.实际中我遇到的是将木马设置为RTSP的端口或者NETMEETING.

怎么办?

--- 状态检测!

防火墙需要应用CheckPoint的状态检测专利技术.
必须要深入的了解到整个会话的状态.通讯的协议规范.
很显然.RFC对于FTP的通讯协议规范肯定与SSH的不同.
否则这2个协议不是可以互连互通.那还不如就当做一种协议了.

真正的状态检测的防火墙会严格检测你端口与其上应用的连接和会话状态.
只要不符合RFC的标准.不符合TCP/IP的规范.一律给你DROP掉.
比如我防火墙上的策略规定允许21端口也就是FTP入站访问.
假如你的数据包通过防火墙的时候.虽然端口是21.但是请求与特征不符合RFC里对FTP特征的定义.那么对不起.你还是靠边站吧.

基本了解了吧?恩.好样的.不过.状态检测在如今仍然也不算太AI的技术.
是不是觉得有点受不了了.那什么才叫更安全更AI的呢?

以后在说!
转自蓝色理想

1.对待一般的非法随系统启动的程序（如弹出网页，打个某些程序，还有在后台执行的木马等）可以随机启动的地方很多，在这里我只介绍常被利用的地方，有的不常见。如果是win98,winme,winxp系统，直接在[开始]菜单的[运行]中输入msconfig -6,进入后，如下图所示：

在启动项里，根据“命令”栏，可以看到启动进程的路径及命令参数等，找到可疑的，将对勾去掉，一般的如果只有启动项目，后面的命令栏什么也没有，通常为非法的。如上图，可只留下杀毒的(kav)，防火墙(pfw)，ctfmon三个，其它的如MSMSGS是MSN的启动进程，另外两个更是不知道，去掉选择。如果确定某个进程是可疑的，记下路径，重启后删除之。

如果是2000系统，因为没有msconfig，可以从98或是XP系统中系统中copy一份，也照样可以用，只是会弹出找不到＊＊的提示，确定后就能用，最方便的是用第三方的，毒霸很早出的一个注册表清理工具，比较方便，可以从这里下载：

http://db.kingsoft.com/download/3/8.shtml

我比较喜欢直接对注册表修改，因为这样虽然麻烦，但是也是最直接的：）
运行 regedit,进入注册表编辑器，启动项在注册表中主要有两个大位置，分别是第二项和第三项，HKEY_CURRENT_USER和HKEY_CURRENT_MACHINE
先依次展开：

+HKEY_CURRENT_USER
+ Software
+Microsoft
　 　　+Windows
　　　　+CurrentVersion
Run
　　　　　RunOnce　将这两个项的右侧的无用启动项，直接删除。

再依次展开 ：

+HKEY_CURRENT_MACHINE
+ SOFTWARE
+Microsoft
　　　+Windows
　　　　+CurrentVersion
　Run
     RunOnce
     RunOnceEx

将以Run开头的这几个项，都打开看看，有很多木马之类的不是在run中，而是在runonceex等中,随机启动的通常都在这两个地方藏的：）
有时候会有这样的情况，有些删除不了，或者有的一删除，刷新又出来了，这说明是有进程在监测注册表，这样的话，就需要先结束掉非法的进程，结束的方法在下面提到。并且现在的木马都有三进程的，所以非常的难缠。

重启，再打开启动项时，如果启动组中原来删除的又来了，那么这个就需要用下面的方法来对付。

2.对付卷土重来的进程

记下他的准备路径，将他的启动选项去掉，
这里可以借用一个工具，进程查看工具，这个工具大家可以从海娃的网站上下载。并且站上的资源很丰富，可以学很多：）

http://www.51windows.net/share/soft/prcview.zip

这个软件使用非常简单，执行后，所有的进程都会显示出来，找到启动项中类似的进程名，记下他的具体位置，结束掉进程后，找到位置删除掉，如果怕误删，可以直接给程序改扩展名也行。

这个软件非常的实用，我一般都放Ｕ盘中，用这个软件所杀的进程，通常是杀毒软件查不出来是病毒的，其实也就是说，如果进程带病毒性质的，最好配合杀毒软件。

另外就是对付木马的过程中，最好断开网络。
由于水平有限，只希望这些会对您有些许启示。。。
转自蓝色理想