宽带连接错误的处理办法691、623、678、645、720、721、718、734、769、619、676、815(留着) 宽带连接错误691(由于域上的用户名或密码无效而拒绝访问)/错误635(未知错误)的处理流程如下:
(1)用户名密码填写错误
(2)如果用户帐号密码填写无误,则进入下一步继续处理;建议重建拨号软件(如果不懂装拨号软件,可参考户重新):
?如果重装拨号软件后正常,原因为“拨号软件丢失”;
?如果重装拨号软件后故障依旧,请拨打客服电话10000电信(10060网通/10050铁通)进行障碍申告。
宽带连接错误691
错误691真正意义上来讲:1:域上名出现错误,(用户名或密码输入错误)。2:服务器无反映,(机房用户端口错误,或帐号未被激活)。3:电话或宽带到期欠费造成。
出现错误691的原因
1.电信限制了你帐户使用数目,比如你这个帐户可以4个人用,现在4个人在用,你拨号就是错误691
2.你在用完后没断开,至少服务器那边还是没断开,以为你还在用,和上面情况类似,所以错误691
建议:每次关机的时候在宽带连接上右键,点断开
出现错误691后不要一直死缠烂打拨号,等待个几分钟再试试,如果一直出现这种情况,拨打客服电话10000电信(10060网通/10050铁通),告诉工作人员你的电脑错误691上不了,然后她问“请问你的宽带编号多少”,告诉她你帐户,然后她有时问你开户的是谁,回答开户的是谁,然后过个几分钟她就会找人帮你搞定
宽带连接错误691的解决办法之一
解决ADSL莫名其妙的错误691问题
工厂的办公室里有无线路由器,而家里新装了宽带,还没有买路由器,所以只跟哥共用一个ADSL帐号上网,一根网线在两台手提之间插来拔去的。但是让人郁闷的是,插在哥的手提上,都能连接上网络,可是插到我这台手提上总是提示错误691:用户名/密码错误。但是可以确定的是,我绝对没有把用户名或者密码输错,让我在拔号器与机子设置了好久也不行!!!郁闷......
打10000询问,电信小姐坚持是我输错了,不是他们的问题。后来上网搜了一些相关的文章终于把问题解决了——原来电信把我的ADSL帐号和哥哥的提提网卡绑定了。解决方法如下(部分参考《Win2000/XP下轻松修改网卡MAC地址》一文,作者小超):
1、在大哥的手提机上运行(在“运行”中输入“cmd”可以调出命令行)中输入ipconfig/all命令,查看网络配置信息,找出本地连接里面的PhysicalAddress,记录下来。
2、再进入我的本本中,进入设备管理器,在网络适配器里找到网卡,在网卡名称上用右键选择属性,进入“高级”选项卡,在左面的框中选中看到NetwotkAddress一项,选中右边的“值“,填入刚刚记录下来的MAC地址(不区分大小写,不要加“-”符号)即可。
也许以后大家也会碰到,谨当学习!!!
宽带连接错误623(找不到电话薄项目)
步骤一:是否有防火墙或3721上网助手等软件,如有则建议退出
(1)防火墙及3721上网助手后测试:如果故障解决,“用户软件问题”;
(2)如果故障依旧存在,则进入下一步继续处理;
步骤二:指导用户检查网卡状态并拔插网线:
(1)如果故障解决,故障原因为“pc硬件问题”;
(2)如果故障依旧存在,则进入下一步继续处理;
步骤三:在条件具备情况下(有拨号软件、安装光盘(Win98要备有网卡驱动盘)建议删除及,再重新后:
(1)如果故障解决,为“pc硬件问题”;
(2)如果故障依旧存在,则进入下一步继续处理;
步骤四:以上处理均无效或无法做简单的配合操作时,请拨打客服电话10000电信(10060网通/10050铁通)进行障碍申告
宽带连接错误678(远程计算机没响应)的处理流程如下:
步骤一:检查MODEM信号灯是否正常,不正常重新启动modem。如果正常见步骤二。
步骤二:询问用户是否有防火墙或3721上网助手等软件,如有则建议用户退出
(1)防火墙及3721上网助手后测试:如果故障解决,故障原因为“用户软件问题”;
(2)如果故障依旧存在,则进入下一步继续处理;
步骤三:指导用户检查网卡状态并拔插网线:
(1)如果故障解决,则填写:故障原因为“pc硬件问题”;
(2)如果故障依旧存在,则进入下一步继续处理;
步骤四:在条件具备情况下(用户有拨号软件、安装光盘(Win98要备有网卡驱动盘)建议用户删除拨号软件及,再重新安装网卡驱动后安装拨号软件:
(1)如果故障解决,则填写:故障现象为“拨号连接超时”,故障原因为“PC硬件问题”;
(2)如果故障依旧存在,则进入步骤七继续处理;
步骤五:判断MODEM后面电话线是否可用,分离器连接是否正确:
(1)MODEM后连电话不能使用,而计费号的其他电话可以使用的,建议更换电话线,故障原因为“用户室内线故障”;
(2)如果用户家计费号的所有电话都不可以使用的,则请拨打客服电话10000电信(10060网通/10050铁通)进行障碍申告。步骤六:以上处理均无效或用户无法做简单的配合操作,则请拨打客服电话10000电信(10060网通/10050铁通)进行障碍申告。
宽带连接错误645产生原因为拨号软件文件受损造成(常见于XP系统),处理流程如下:
步骤一:在条件具备情况下(用户有拨号软件),建议重新装拨号软件:如果故障解决,故障原因为“用户软件问题”;如果故障依旧,则建议用户找电脑公司维修电脑系统,故障原因为“用户软件问题”;。
步骤二:以上处理均无效或用户无法做简单的配合操作,则请拨打客服电话10000电信(10060网通/10050铁通)进行障碍申告。
宽带连接错误720现象常见于XP系统,一般将系统重新启动,可拨多次,百分之九十都可以解决,处理流程如下:
步骤一:建议将系统重新启动后再重新拨号上网:
(1)如果故障解决,故障原因无
(2)如果故障依旧,则建议用户还原系统或找电脑公司将系统格式化重装,重装后及时关闭系统自己更新功能。
步骤二:以上处理均无效或用户无法做简单的配合操作,则请拨打客服电话10000电信(10060网通/10050铁通)进行障碍申告。
宽带连接错误721(远程计算机没有响应)此现象多为USB接口Modem故障代码,可依据以下步骤进行处理:
步骤一:判断MODEM信号灯是否同步,信号灯同步参照步骤二,信号灯不同步参照步骤三、四、五。
步骤二:信号灯同步,则为用户协议选错(OA或OE),如若不行可电话向客服电话10000电信(10060网通/10050铁通)进行申告
步骤三:信号灯不同步,判断MODEM后面电话线是否可用,如果不能使用,而计费号的其他电话可以使用的,可建议用户自已换电话线,如果用户家计费号的所有电话都不可以使用的,如若不行可电话向客服电话10000电信(10060网通/10050铁通)进行申告。
步骤四:检查分离器是否接反。
宽带连接错误718现象,极少数为用户端问题:
步骤一:建议首先重启计算机后拨号测试:
(1)如果故障解决,故障原因无。
(2)如果故障依旧或没法进行简单配合,可电话向客服电话10000电信(10060网通/10050铁通)进行障碍申告。字串5
宽带连接错误734(PPP链接控制协议被终止)/错误735(请求的地址被服务器拒绝
步骤一:建议重新启动电脑。
步骤二:拨号软件出错,建议重装拨号软件,常见于XP系统的自带拨号。
步骤三:以上处理均无效或用户无法做简单的配合操作,则请拨打客服电话10000电信(10060网通/10050铁通)进行障碍申告。
宽带连接错误769
错误769:无法连接到指定目标。
问题:这是指你电脑的网络设备有问题
解决方法:
打开“我的电脑”→“控制面版”→“网络连接”,查看本地连接的是否处在
“禁用”状态,是的话只需双击本地连接,看到状态变为“已启用”即可。若是连本地连接都没有的话,
那你的网卡100%有问题了——不是没装好就是坏了。请您联系您的电脑供应商,或者自己解决。
出现错误769的错误,大多数是网卡被禁用,启用即可!造成的原因一般为:用户的误操作或一些防火墙软件、计算机病毒引起的,很普遍。如果没有找到本地连接,一般是网卡的驱动程序丢了或计算机没有检测到网卡,可以重新安装即可
错误原因:网卡被禁用
解决方法:请您点击电脑右键,选择属性,再选择设备管理,再看网卡驱动程序情况,如果是个“x”说明网卡被禁用,点击右键激活网卡就可以解决。
宽带连接错误769产生原因及解决方案
宽带连接错误769产生原因
通常,如果存在下列情况之一,您将收到错误769的信息:
1.网络电缆已断开。
2.调制解调器已禁用。
3.调制解调器驱动程序已损坏。
4.计算机上正在运行间谍软件,它妨碍了连接。
5.Winsock需要得到修复。
6.第三方防火墙软件阻止了连接。
解决方案:
要查找问题的原因,请按照下列步骤操作。
步骤1:确保网络电缆已连接
确保网络电缆分别连接到计算机和调制解调器。如果您的计算机连接到集线器或路由器,请确保将集线器或路由器连接到调制解调器的电缆已连接。
步骤2:确保网络适配器已启用
1.单击“开始”,单击“运行”,键入ncpa.cpl,然后单击“确定”。
2.右键单击“本地连接”图标。单击“启用”(如果该选项可用)。
步骤3:重置调制解调器
1.将从计算机到调制解调器的电缆断开连接。
2.关闭调制解调器。如果调制解调器没有电源开关,请切断调制解调器的电源。
3.等待两分钟。
4.打开调制解调器,然后连接从计算机到调制解调器的电缆。
步骤4:使用设备管理器,先卸载、然后重新安装调制解调器和驱动程序
在按照这些步骤操作之前,您可能必须从硬件制造商那里下载网络适配器的最新驱动程序。1.单击“开始”,单击“运行”,键入sysdm.cpl,然后单击“确定”。
2.单击“硬件”选项卡,单击“设备管理器”,然后找到“网络适配器”。
3.展开“网络适配器”,然后右键单击网络适配器的图标。
4.单击“卸载”,然后单击“确定”。在提示您删除与此设备相关联的文件的对话框中,单击“是”。
5.重新启动计算机。或者,单击“操作”,然后单击“扫描检测硬件改动”。
6.如果Windows找到设备但是没有识别它,您必须为网络适配器安装最新的驱动程序。
步骤5:创建新的DSL或电缆连接
1.单击“开始”,单击“运行”,键入ncpa.cpl,然后单击“确定”。
2.单击“网络任务”下的“创建一个新的连接”。当向导启动后,单击“下一步”。
3.单击“连接到Internet”,然后单击“下一步”。
4.单击“手动设置我的连接”,然后单击“下一步”。
5.选择“用要求用户名和密码的宽带连接来连接”,然后单击“下一步”。
6.执行其余的步骤。使用Internet服务提供商(ISP)提供的连接信息完成该向导。
注意:您可能必须使用您的ISP提供的软件才能创建新的连接。
步骤6:修复Winsock和TCP/IP
1.单击“开始”,单击“运行”,键入netshwinsockreset,然后按Enter键。
2.当命令提示符窗口闪烁时,请重新启动计算机。
步骤7:临时卸载第三方防火墙
某些第三方防火墙软件(如ZoneAlarm和NortonPersonal防火墙)在运行WindowsXPSP2的计算机上可能导致Internet连接问题。您可能必须临时卸载这些程序以测试计算机。要进行测试,仅禁用这些程序是不够的。请确保您有CD或安装文件以便可以稍后重新安装这些程序。如果问题是由这些程序导致的,则您可能必须与该程序的供应商联系,以获得关于设置该程序的帮助。
注意:在删除第三方防火墙程序之前,您可能要验证启用了WindowsXP防火墙。
百度百科上的一些:1、 错误代码718、619、691:属于帐号密码问题。
A、用户输入帐号、密码时输错,让用户重新输入。
B、 帐号到期,可去“IP综合系统”中查询帐号是否到期。
C、帐号卡在网上:一般是用户下网时不断开网络连接或异常吊线所导致,可以让用户将猫和电脑的电源关闭10分钟以上再进行连接,一般可以解决。
D、帐号被偷:与互联网项目部进行联系解决。
2、 错误代码676:属于机房设备问题,可让用户连续多拨几次即可登陆。
3、错误代码720:属于modem驱动设置不正确,主要为vpi、vci参数值设置不正确(万州铁通为0/35)或者需要重新启动电脑。
4、错误769: 此类错误原因是本地连接被用户禁用或者停用,主要出现在以太网猫的用户中,属于用户下网时错误断开网卡连接,造成网卡禁用,在“本地连接”中网卡启用即可。
5、错误678:一般MODEM指示灯不正常,猫上的link灯闪烁(少数猫的link灯的英文标识为showtime),参照link不上的故障处理或让用户检查自身防火墙。如果MODEM指示灯正常,那故障的原因是电脑不能与MODEM建立连接,解决方法是将MODEM重启,如果还不行,最好重装系统,这种问题一般会长期出现。
6、在Windows Vista Home Basic下经常会出现错误815.是网络端口问题.是由于网络供应商的网络断口连接性能.以及连接字段值不正确引起的.和系统一般无关
再补个678:错误678,是宽带adsl拨号上网用户常常遇到的故障提示,简单地说就是网络不通了。宽带adsl拨号上网使用pppoe协议连接,通过电话线传输数据,使用adsl专用modem实现数据的调制解调,错误提示678的含义是,远程计算机无响应,意思是从计算机发出指令到网卡向外发送数据,包括电话线的传输,局端(电信局机房端)端子板的端口处理到返回数据到计算机的过程中数据传输出问题都会提示。
解决方法
1、首先确认adsl modem拨号正常,因为网卡自动获取的IP没有清除,所以再次拨号的时候网卡无法获取
新的IP地址会提示678,操作方法是:关闭adsl modem,进入控制面板的网络连接右击本地连接选择禁用,5秒钟后右击本地连接选择启用,然后打开adsl modem拨号即可;
2、如果第一步无效,则在关闭adsl modem的情况下,仍然禁用本地连接(网卡),重启计算机,然后启
用本地连接(网卡),再打开adsl modem即可解决;
3、如果上述步骤都无法解决,查看网卡灯是否亮,如果网卡灯不亮,参看派单知识库:“网卡灯不亮或经常不亮”的解决方案
4、如果网卡灯正常1,2步无法解决则带领用户卸载网卡驱动,重装网卡驱动,如果用户xp系统按照:知识编号:9973,如何在WINXP下设置ADSL拨号连接 方法带领用户创建拨号连接,如果98系统建议用户安装Raspppoe软件或者EHERNET300软件连接即可。
5、如果上述操作无效联系电信部门确认端口。
6.adsl modem故障是主要原因。
7.如果多台电脑使用路由器上网,可尝试将路由器拆除后连接Internt。若能顺利上网,则说明路由器故障,应排除路由器故障或更换新的路由器。
8.如果是ADSL包年用户,在使用过程中如果出现这种情况,有可能是电话欠费,请咨询客户服务中心。有部分地区中国电信或中国联通用户,在电话欠费的情况下,电话可以打通,但是却无法上网,这时也有可能是电话欠费,因为现在部分地区的电信部门在用户电话欠费情况下,不是停止电话的使用,而是停止网络的使用。
9.部分品牌Modem供电不足也容易造成错误678
10.如果以上方法都不能解决您的问题,可以尝试一下adsl modem的reset按两三下再上试试。
11.adsl modem设备损坏也会造成错误678,虽然从表面上看起来adsl modem运转正常,但是就是连接失败,笔者就曾遇到此类问题,最终换了一个新的adsl modem方解决问题
Web应用防火墙怎样为客户提供防护原理
Web应用防火墙是专门为保护基于web的应用程序而设计的,它不像传统的防火墙,基于互联网地址和端口号来监控和阻止数据包。一个标准的端口号对应一种网络应用程序类型。例如,telnet接收发送到端口23的数据包,邮件服务器接收发送到端口25的数据包。 传统的防火墙允许向邮件服务器相对应的互联网地址发送数据,让数据包通过25端口送达目的地。发送数据包给一个不是邮件服务器系统的互联网地址和25端口,就是一个攻击。防火墙会阻止这些数据包。 Web服务器理应通过80端口传送数据包。所以所有发给支撑web服务器系统80端口的数据包必须被允许通过防火墙。传统的防火墙没有办法测定一个地址指向正确的数据包是否包含威胁,但Web应用防火墙可以仔细检查数据包的内容来检测并阻止威胁。 Web应用程序如何遭受攻击 黑客们不断开发新的方法获得未经授权的Web应用程序访问,但是也有一些通用的技术。 SQL注入:一些应用程序通过复制Web客户端输入来创建数据库查询。黑客通过构造一些应用程序没有仔细检查和会被拒绝的字符串,来获取返回的机密数据。 跨站点脚本:黑客插入脚本代码(如JavaScript或ActiveX)到一个输入字符串,导致Web服务器泄漏用户名和密码等信息。 操作系统命令注入:一些应用程序从web输入来创建操作系统命令,就像访问一个文件和显示文件内容。如果输入的字符串没有仔细检查机制,黑客就可以创建输入来显示未经授权的数据、修改文件或系统参数。 会话劫持:黑客通过猜测基于令牌格式知识的会话令牌的内容来获得登录会话的权利。这使得黑客能接管会话并可以得到原来的用户帐户信息。 篡改参数或URL:web应用程序通常在返回的的web页面中嵌入参数和URL,或者用授权的参数更新缓存。黑客可以修改这些参数、URL或缓存,使Web服务器返回不应泄漏的信息。 缓冲区溢出:应用程序代码应该检查输入数据的长度,以确保输入数据不会超出剩余的缓冲区和修改相邻的存储。黑客很快就会发现应用程序不检查溢出,并创建输入来导致溢出。 Web应用防火墙检查每一个传入的数据包的内容来检测上述类型的攻击。例如,web应用防火墙会扫描SQL查询字符串,来检测和删除那些导致返回的数据多余应用程序要求的字符串。增值厂商应仔细监测新发展的攻击类型并跟踪检测他们的最新产品。 Web应用防火墙不仅检测上述已知类型的攻击,而且还监测异常的使用模式来检测目前未知的攻击方法。例如,通常Web应用程序与web客户端的信息交流数量是有限的。如果Web应用防火墙检测到Web服务器正在返回一个比预期大很多的数据量,它就会及时切断传输,以防止更多的数据泄露。 目前有基于软件和基于应用程序的web应用防火墙。基于软件的产品布置在Web服务器上,而基于应用程序的产品放置在Web服务器和互联网接口之间。两种类型的防火墙都会在数据传入和传出web服务器之前检查数据。 一般基于软件的产品成本低于基于应用程序的产品成本,基于软件的产品供应商声称这类防火墙具有更低的延迟和更高的吞吐量。但是在web服务器上安装额外的软件势必会增加额外的处理负荷和系统上软件的复杂性。 基于应用程序的防火墙厂商声称,这类防火墙安装和使用简单,因为没有额外的软件安装在Web服务器系统上。 Web服务器的性能不受Web应用程序防火墙处理的影响。 除了商业产品外,也有许多开放源码的Web应用防火墙可用。这些产品成本低于商业产品(就开放的源代码工具来说,他们是免费的,或者就基于开放源代码的商业产品来说,极有可能降低成本)。过去开源代码关注的是,黑客们将检查代码并设法逃避保护措施。有了应用Linux这类开源代码软件的丰富经验,这些都不是什么问题。 所有的产品,不论是购买的还是开源代码,无论是基于软件的还是基于应用程序的,都应该得到支持。商业产品得到了供应商的支持。开放源代码为增值厂商和系统集成商提供了一个整合安全知识的机会。为Web应用程序防火墙提供持续的支持,确保合作伙伴与客户保持密切的关系,给供应商在未来为客户提供更多产品和服务提供了机会。 因为每个客户的环境和应用程序设置是不同的,VARs和系统集成商必须评估每个客户的独特需求,以确定哪种类型的Web应用防火墙将是最合适的。但是,毫无疑问所有客户的Web应用程序都应该得到Web应用防火墙的保护。如果用户不理解这种需求或者不同意该做法,一定要介绍给他们Web应用程序可能受到攻击的多种方式。 仔细检查应用程序代码是一种替代web应用防火墙的方法。攻击都是在编译出错或者缺乏内部数据检查的地方取得成功。从理论上来讲,一个通过代码检查员逐行检查过错误的web应用程序,可以替代web应用防火墙。 在实践中,尽管软件工程师通常不相信他们的代码有缺陷,但对应用程序的不断更新使得详细的代码检查变得几乎不可能,更不用说代码检查员很容易的就会忽略不安全的代码,特别是那些没有安全背景的检查员。 此外,黑客技术迅速发展。网络防火墙供应商时时关注新攻击类型的新闻、及时更新它们的产品。
分析各款防火墙软件的性能,并对比
八大防火墙功能对比
花了些时间整理了些有关防火墙功能的资料,希望能给各位选择防火墙带来点帮助。
(一)风云防火墙:(强烈推荐)
1.对密码保护功能作了一些优化,解决了一些软件冲突的问题。
2.防火墙IP规则加入了已授权端口功能,相应IP规则的改进和增加。
3.加入了文件监控功能,可以自定义发现新建文件等操作。
4.首页加入ARP保护功能,可以针对ARP欺骗数据包,和局域网终结者
5.增加了一些加壳种类的侦测等。
6.增加了日志自动保存功能。
7.增加了流量统计功能
其它一些改进将会在1.2 正式版时列出。
独特创新的木马数据包特征码拦截技术,无论如何加壳伪装都能实施拦截. 密码保护功能,
彻底拦截WH_KEYBOARD, WH_JOURNALRECORD, WH_GETMESSAGE,等. 全新智能的侦测、拦截、询问已知加壳程序运行功能,确保加壳程序运行安全性. 便捷的网络连接查看、显示远程IP地址、远程物理地址,所有网络连接一目了然. 自动检测隐藏进程、自动检测隐藏服务,使隐藏进程和服务的木马无处遁形. 防火墙自身保护功能,遇非法终止后自动封锁本地网络,确保本机安全.
(二)Tiny personal firewall :
tiny防火墙是我用过的防火墙里面感觉技术最为先进的一款,貌似是国外军方防火墙,呵呵。
Tiny Software 公司是一家面向中小型网络路由器和防火墙软件的开发商。Tiny Personal Firewall目的是为了妨止非法使用时的不安全性,保障计算机的安全。这一版本是基于通过ICSA认证WinRoute Pro安全保障技术,是WinRoute 的子集,只具备防火墙功能。该项技术已经获得成功。tiny Personal Firewall可以设置为手工启动,或者设置为一个服务器。其中包括一个桌面管理工具,可用于对本地或远程计算机上的安全引擎进行详细配置。用户的安全设置有高、中、低三级,通过它的包过滤特性(packet-filtering),每一级设置还可进行不同的配置,以满足特殊的需求。高级用户可以建立基于断口,应用,协议和目标的规则,每当遇到新的情况,立即提示,包括拒绝,接受或者建立处理未来动作的规则。其它的特性包括 MD5 签名支持,密码保护,日志功能和高可配置的报告功能,记录特殊的侵入动作。 Tiny Personal Firewall是一个全面,却又简单易用的网络防黑软件。他可以管理你的计算机与国际网络的数据交换,会阻挡任何未经认证的用户进入你的计算机,读取你的档案。支持 MD5签名认证,可以防止特洛依程序使用计算机认可的应用程序来闯入计算机,判断出那个程序安全与否,共有叁个安全等级可设置,可以考虑自己网络活动来作调整。 程序包含主引擎、网络状况监视器、事件纪录簿。如你要打开某个网页,会问你是否允许存取。你也可以作一个过滤器,允许某个连接持续运作,限制使用那个埠(port)或者目的ip。也会纪录所有可疑的活动到日志中,随时可叫出来检查,可说相当方便强有力的一款软件。
但Tiny的规则相当严格和复杂,对于一些刚上手的朋友而言肯定吃不消的,而且tiny防火墙与卡巴的网页扫描功能有冲突,所以这款防火墙是超级强悍,东西绝对是一流的,不怕麻烦的朋友可以尝试安装。
(三)天网防火墙:(强烈推荐)
天网防火墙是国内外针对个人用户最好的中文软件防火墙之一,在目前Internet网际网络受攻击案件数量直线上升的情况下,您随时都可能遭到各种恶意攻击,这些恶意攻击可能导致的后果是您的上网账号被窃取、冒用、银行账号被盗用、电子邮件密码被修改、财务数据被利用、机密档案丢失、隐私曝光等等,甚至黑客(Hacker)或刽客(Cracker)通过远程控制删除了您硬盘上所有的资料数据,整个计算机系统架构全面崩溃。为了抵御黑客(Hacker)或刽客(Cracker)的攻击,建议您在您的个人计算机上安装一套天网防火墙个人版系统,天网防火墙个人版会帮您拦截一些来历不明、有害敌意访问或攻击行为。
天网可以算是一款入门级别的防火墙,和上述5款防火墙最大区别是非常容易上手,根本不需要设置什么东西,拿来就用!普通用户如果怕不装防火墙感觉不安,但又怕设置麻烦的话,干脆就用用天网算了。
主要特点:
1)严密的实时监控天网防火墙(个人版)对所有来自外部机器的访问请求进行过滤,发现非授权的访问请求后立即拒绝,随时保护用户系统的信息安全。
2)灵活的安全规则天网防火墙(个人版)设置了一系列安全规则,允许特定主机的相应服务,拒绝其它主机的访问要求。用户还可以根据自已的实际情况,添加、删除、修改安全规则,保护本机安全。
3)应用程序规则设置新版的天网防火墙增加对应用程序数据包进行底层分析拦截功能,它可以控制应用程序发送和接收数据包的类型、通讯端口,并且决定拦截还是通过,这是目前其它很多软件防火墙不具有的功能。
4)详细的访问记录和完善的报警系统天网防火墙(个人版)可显示所有被拦截的访问记录,包括访问的时间、来源、类型、代码等都详细地记录下来,你可以清楚地看到是否有入侵者想连接到你的机器,从而制定更有效的防护规则。与以往的版本相比,天网防火墙(个人版)设置了完善的声音报警系统,当出现异常情况的时候,系统会发出预警信号,从而让用户作好防御措施。
5)即时聊天保护功能
(四)Outpost Firewall :
outpost,口碑很好,用户对其评价很高,号称世界排名第二的东东,它能够预防来自Cookies、广告、电子邮件病毒、后门、窃密软件、解密高手、广告软件和其它 Internet 危险的威胁. 该软件不需配置就可使用, 这对于许多新手来说, 变得很简单. Outpost Security Suite Pro是最新推出的集合反病毒和反木马功能的专业防火墙安全套装,喜欢的朋友试试!
能力也很强悍,网上找个破解补丁可以使用10年,但是可能占用系统资源多一点,配置不高的用户可能上网会感觉有点延迟。而且这款防火墙比较专业,上网过滤的东西也很多,很多网站的图片也被过滤掉,用户可能看的不习惯,所以大家自己看着办吧。
(五)瑞星个人防火墙:
瑞星个人防火墙2008版,针对目前流行的黑客攻击、钓鱼网站、网络色情等做了针对性的优化,采用未知木马识别、家长保护、反网络钓鱼、多账号管理、上网保护、模块检查、可疑文件定位、网络可信区域设置、IP攻击追踪等技术,可以帮助用户有效抵御黑客击、网络诈骗等安全风险。
* 防火墙多账号管理,方便用户管理自己的电脑
* 未知木马识别,防范未知木马的攻击
* IE功能调用拦截,使IE浏览器不被病毒利用
* 提供强大的反钓鱼、防木马病毒网站功能
* 模块检查功能,阻止木马通过网络发送信息
(六)ZoneAlarm:(强烈推荐)
ZoneAlarm来保护你的电脑,防止Trojan(特洛伊木马)程序,Trojan也是一种极为可怕的程序。ZoneAlarm可以帮你执行这项重大任务喔。基本版还是免费的。使用很简单,你只要在安装时填入你的资料,如有最新的ZoneAlarm,你就可以免费网上更新。安装完后从新开机,ZoneAlarm就会自动启动,帮你执行任务。当有程序想要存取Internet时,如网络浏览器可能会出现连不上网络,这时你可以在右下角ZoneAlarm的小图示上按两下鼠标左键,选取Programs的选项,勾选你要让哪些软件上网,哪些不可以上网,利用此种方法来防治一些来路不明的软件偷偷上网。最好的方法是锁住(Lock)网络不让任何程序通过,只有你核准的软件才可以通行无阻。你还可利用它来看看你开机后已经使用多少网络资源,也可以设定锁定网络的时间。这么好用的软件你一定要亲自使用才能感觉到它的威力。
ZA功能确实比较强大,但是对普通用户而言还是比较难上手,而且过于严格的规则可能导致上某些论坛出错,而且最新的ZA版本与卡巴斯基有严重冲突,所以卡巴的用户如果要安装ZA防火墙的话还是悠着点,哈哈。实在想尝试的话可以考虑安装5.5版本的,这个稳定。
(七)Norton Personal Firewall:
Norton出品的个人防火墙将提供完整的网络安全,防止重要资料被窃,并有过滤网站的功能,能够阻隔各种网络黑客可能的入侵方式:Java applets,ActiveX
控制,以防您的私人信息被窃取和损坏。
特性:
检测删除病毒和恶意软件
自动屏蔽恶意软件和蠕虫
防止邮件中的病毒
寻找移除隐藏的漏洞
自动更新功能
即时保护功能。
(八)费尔防火墙:(强烈推荐)
费尔个人防火墙专业版是费尔安全实验室最重要的产品之一,它不仅功能非常强大,而且简单易用,既能满足专业人士的需求也可让一般用户很容易操控。它可以为你的计算机提供全方位的网络安全保护,而且 完全面费。 主要功能免费试用(功能限制),30天免费升级
1. 阻止网络蠕虫病毒的攻击,例如各种冲击波病毒。
2. 阻止霸王插件,并允许自定义规则阻止新的霸王插件,广告和有害网站等。 此阻
止非常彻底,不仅插件不会弹出询问安装的对话框,而且根本不会被 下载,因此还可以提高上网速度。
3. 应用层与核心层双重过滤系统可以提供双重保护。
4. Windows信任验证技术可以自动信任安全的程序,而不再需要询问用户,增 加程序的智能性和易用性。
5. 内置了 7 大模式供不同需求的用户选择。比如:Inernet 连接共享模式, 安静模式等。
6. 改进的网络监控室不仅让网络活动一目了然,而且还可以对连接进行实时 控制,比如:切断连线,随时根据监控数据生成对应的规则等。
7. 交互式规则生成器使生成规则简单易行。
8. 密码保护可以保护防火墙的规则和配置被他人修改。
9. 可以非常方便的对规则进行备份和恢复。
参考资料:http://bbs.kaspersky.com.cn/viewthread.php?tid=47143
为什么我防火墙允许了某些应用但是他们还是连接不上网
最简单的方法就是卸载防火墙,彻底清理垃圾后,重启。重新安装防火墙试试~
windows防火墙阻止网络连接怎么解除?
工具材料:电脑一台、WINDOWS系统
WINDOWS防火墙解除阻止的网络连接的方法:
找到电脑左下角的开始图标,找到控制面板并打开:
在控制面板的系统和安全里面,找到WINDOWS防火墙并打开
点允许程序或功能功过WINdows防火墙-找到所要例外的程序打上勾
这个列表没有的话,点那个允许另外一个程序,找到自己想要的程序的运行文件,加上就好了,不会阻止了。
以上就是WINDOWS防火墙解除阻止的网络连接的操作方法。
关于防火墙和公司网络的连接和配置
一般会遇到以下N种情况,你看有没有你的那种:
调制解调器不工作。
原因: 调制解调器不兼容。
解决方案: 如果有另一台计算机可以访问 Internet,那么请查看兼容调制解调器的列表。要查找由 Windows 操作系统支持的硬件,请访问 Microsoft 网站上的 Windows 目录。
原因: 调制解调器没有正确连接或已关闭。
解决方案: 验证调制解调器是否适当地连接到了计算机上的正确端口。如果调制解调器是外置的,那么请验证电源是否已打开。
无法连接到 Internet 服务提供商 (ISP)。
原因: ISP 服务器没有运行。
解决方案: 询问 ISP 以验证远程访问服务器是否正在运行。
原因: 没有有效的用户帐户,或者没有远程访问权限。
解决方案: 询问 ISP 是否已建立您的用户帐户以及您是否具有远程访问权限。
原因: 拨打的号码不对,或者拨打了正确的号码但却忘记拨打外线访问号码,例如 9。
解决方案: 验证所拨的号码是否正确。
原因: 调制解调器无法与服务器的调制解调器协商。
解决方案: 尝试使用与服务器使用的类型相同的调制解调器。
原因: 调制解调器电缆有故障。
解决方案: 不要使用大多数鼠标硬件所带的 9 到 25 针转换器,因为其中有一些不能传输调制解调器信号。为安全起见,应该使用专用的转换器。
原因: 电话线(例如,在旅馆的房间内)不适应调制解调器的速度。
解决方案: 选择较低的速率 (bps)(或者向旅馆经理申请一条直拨线)。
另请参阅: 更改调制解调器端口的最大速度。
原因: 尝试使用的线路是数字的。
解决方案: 大多数的调制解调器只能使用模拟电话线。请验证是否安装了模拟电话线,或者如果安装了数字电话线,请验证服务器和客户端是否具备数字调制解调器。
尝试连接时,收到 ISP 服务器没有响应的消息。
原因:
速率较高时,调制解调器与服务器的调制解调器不兼容。
电话线路上存在许多干扰,这会阻止调制解调器以较高的 bps 速率进行连接。
在客户端和服务器之间有某种切换设备,会阻止两个调制解调器以较高的 bps 速率协商。
解决方案: 将调制解调器调到较低的速率 (bps)。
另请参阅: 更改调制解调器端口的最大速度。
原因: ISP 服务器没有运行。
解决方案: 询问您的 ISP 以验证服务器是否在运行。
调制解调器总是以比指定速率 (bps) 低的速率连接。
原因: 调制解调器和电话线路运行不正常。电话线上过多的干扰会导致会话中断。
解决方案: 您可以使用调制解调器诊断程序来确认调制解调器是否操作正常。
原因: 线路质量不够好。
解决方案: 询问电信公司以验证线路的质量。
原因: 正在拨打的线路影响速度。
解决方案: 如果可以使用多个号码连接到 ISP,那么请尝试其他号码,看速度是否有所提高。
原因: 调制解调器软件需要更新。
解决方案: 请与调制解调器的制造商联系,以获得调制解调器软件的更新版本。
网络上与 ISP 的会话经常断开。
原因: 呼叫等待在干扰您的连接。
解决方案: 验证电话是否有呼叫等待功能。如果有,请禁用呼叫等待并尝试再次呼叫。
原因: 由于不活动,ISP 断开了与您的连接。
解决方案: 请尝试再次呼叫。
原因: 有人接听电话。拿起电话时,连接将自动断开。
解决方案: 请尝试再次呼叫。
原因: 调制解调器电缆被断开。
解决方案: 验证调制解调器电缆连接正确。
原因: 调制解调器软件需要更新。
解决方案: 请与调制解调器的制造商联系,以获得调制解调器软件的更新版本。
原因: 因为 ISP 更改了服务器上的设置,所以您需要更改自己的调制解调器设置。
解决方案: 请与 ISP 系统管理员联系以验证调制解调器的设置。
连接异常断开。
原因: ISP 服务器没有运行。
解决方案: 询问 ISP 系统管理员以验证服务器是否正在运行。
原因:
调制解调器无法与 ISP 服务器的调制解调器正确协商。
计算机的串行端口无法跟上您选择的速度。
解决方案: 请尝试用较低的初始端口速度进行连接。
原因: 调制解调器软件需要更新。
解决方案: 请与调制解调器的制造商联系,以获得调制解调器软件的更新版本。
尝试连接时接到硬件错误。
原因: 调制解调器已关闭。
解决方案: 验证调制解调器是否已经打开。如果调制解调器被关闭,请将其打开并重新拨号。
原因: 调制解调器工作不正常。
解决方案: 启用调制解调器日志记录来测试连接。
原因: 电缆不兼容。
解决方案: 如果您的调制解调器是通过“终端”而不是“网络连接”进行通讯,那么连接调制解调器与计算机的电缆可能不兼容。您需要安装兼容的电缆。
串行端口之间的冲突导致连接问题。
原因: 串行端口冲突。
解决方案: Com1 和 Com3 共享中断请求 (IRQ) 4。Com2 和 Com4 共享 IRQ 3。因此,对于串行通信,不能同时使用 COM1 和 COM3,也不能同时使用 COM2 和 COM4。例如,不能在 COM1 上使用“网络连接”的同时在 COM3 上使用“终端”。
该规则同样适用于在使用其他串行通讯程序(例如“网络连接”或“终端”程序)的同时使用鼠标的情况。如果使用智能串行适配器(如 DigiBoard 串行卡),那么此规则不适用。
试图使用 ISDN 连接时,收到“无应答”的消息。
原因: ISP 服务器没有应答,因为服务器已关机或者调制解调器没有连接。
解决方案: 请与系统管理员联系。
原因: 线路忙。
解决方案: 稍后再尝试呼叫,或与您的系统管理员联系。
原因: 硬件有问题。
解决方案: 验证是否正确安装和配置了 ISDN 适配器。
原因: 电话号码配置不正确。
解决方案: 在某些情况下,ISDN 线路上的每个 B 信道都有自己的号码,而在其他的情况下,两个 B 信道共用一个号码。电信公司可以告诉您 ISDN 线路有多少个号码。
原因: 如果是在美国或加拿大,那么服务配置文件标识符 (SPID) 的配置不正确。SPID 通常由开头、结尾或两头附加数字的电话号码组成。SPID 帮助交换机了解连接到线路上的设备的类型,以及对线路上适当设备的路由呼叫。如果 ISDN 信道需要 SPID,但是没有正确输入,那么设备将无法进行呼叫或接受呼叫。
解决方案: 验证是否正确地输入了 SPID。
原因: 线路条件不好(例如,过多的干扰)导致连接中断。
解决方案: 等几分钟再尝试拨号。
原因: 您没有启用线路类型协商,或不能使用所选择的线路类型进行连接。
解决方案: 启用线路类型协商。
原因: ISDN 交换设备正忙。
解决方案: 稍候再试。
原因: DigiBoard 卡太旧。
解决方案: 如果没有最新的 PCIMAC-ISA DigiBoard 卡(序列号为 A14308 或更高),那么请与 DigiBoard 联系进行更换。
使用 X.25 进行连接失败。
原因: 拨号 PAD 配置了错误的 X.3 参数或串行设置。
解决方案: 如果远程访问服务器正在运行,而您不能通过 X.25 智能卡或外部 PAD 直接连接到它,那么请修改拨号 PAD X.3 参数或串行设置。询问系统管理员正确的设置是什么。
原因: 新建的 Pad.inf 项不正确。
解决方案: 您可以检查用于直接连接和外部 PAD 的其他 Pad.inf 项,并查看其注释。可能需要线路分析器或终端程序才能看到 PAD 的响应。对于拨号 PAD 项,可以使用 Pad.inf 中的项作为范例,同时注意范例所附的注释。
原因: 调制解调器不兼容。
解决方案: 如果连接到拨号 PAD 的调制解调器在连接时的速度低于其应有的速度,那么请使用兼容的调制解调器替换它。
原因: 远程访问服务器的线路拥挤。如果已经建立连接,但是网络驱动器会断开,而且您的会话会被断开或遇到网络错误,那么原因可能是远程访问服务器的租用线路上出现拥挤。
例如,若四个客户端以 9600 bps 的速率进行连接(通过拨号 PAD),则要求服务器端的租用线路为 38,400 bps(四倍于 9600)。如果租用线路没有足够的带宽,则可能会造成超时并降低已连接客户端的性能。此例假定“路由和远程访问”使用了全部带宽。如果路由和远程访问共享带宽,那么可以建立的连接会更少。
解决方案: 您的系统管理员需要验证所租用线路的速度能够支持所有 COM 端口以客户端拨入时使用的各种速度进行连接。
通过 PPTP 连接失败。
原因: TCP/IP 连接问题阻止您连接到 PPTP 服务器。
解决方案: 您或您的系统管理员可以使用 ipconfig 和 ping 命令来验证到服务器的连接。
原因: Winsock 代理客户端处于活动状态。
解决方案: 当 Winsock 代理客户端处于活动状态时,*** 连接不能工作。在虚拟网络连接对数据包进行封装处理之前,Winsock Proxy 已经将数据包重定向到代理服务器。请要求系统管理员禁用 Winsock 代理客户端。
原因: 您在远程访问服务器上没有适当的连接和域访问权限。
解决方案: 请与系统管理员联系。
原因: 如果使用的是 TCP/IP 协议,那么说明没有唯一的 TCP/IP 地址。
解决方案: 请与系统管理员联系。
原因: 名称解析问题阻止您将名称解析为 IP 地址。
解决方案: 在连接中指定完全合格的域名和 IP 地址。
使用 PPP 或 TCP/IP 实用程序进行的连接失败。
原因: 服务器不支持 LCP 扩展。
解决方案: 如果您不能使用 PPP 连接到服务器,或者远程计算机终止您的连接,那么服务器可能不支持 LCP 扩展。请在“网络连接”中,清除“启用 LCP 扩展”复选框。
原因: IP 报头压缩阻止 TCP/IP 实用程序的运行。如果已使用 PPP 成功地连接到远程服务器,但是 TCP/IP 实用程序不运行,那么问题可能是 IP 报头压缩。
解决方案: 在关闭 IP 报头压缩以后,尝试重新连接。
特定的程序遇到 Internet 连接问题,而且 Internet 连接共享、Windows 防火墙或者两者同时被启用。
原因: Windows 防火墙、Internet 连接共享或者这两者阻止程序或者禁止程序成功建立跨 Internet 的完全双向通讯。
解决方案: 从程序制造商那里获取 Internet 连接共享和 Windows 防火墙插件。Internet 连接共享和 Windows 防火墙插件可以在启用 Internet 连接共享 (ICS) 或 Windows 防火墙时解决特定程序遇到的任何 Internet 连接问题。插件是在磁盘或者 Internet 上作为可执行文件提供的。因为 Internet 连接共享和 Windows 防火墙插件可能使您的网络不安全,所以只有当它们的来源可信时才应该安装。详细信息,请参阅使用 Internet 连接共享和 Windows 防火墙插件。
使用 Internet 连接共享建立的连接失败。
原因: 共享了错误的 LAN 网络适配器。
解决方案: 有 Internet 连接共享的计算机需要两个连接。一个连接通常是网络适配器,连接到家庭或小型办公网络上的计算机,而另一个连接则将家庭或小型办公网络连接到 Internet。需要确保在将家庭或小型办公网络连接到 Internet 的连接上启用 Internet 连接共享。
原因: 家庭或小型办公网络没有安装 TCP/IP。
解决方案: 默认情况下,运行 Windows XP、Windows 2000、Windows Millennium Edition、Windows 98 和 Windows NT 4.0 的计算机上安装了 TCP/IP 协议。如果家庭或小型办公网络上的用户运行的是其他操作系统,那么请检查计算机上是否安装了 TCP/IP 协议。
原因: 如果家庭或小型办公网络上的用户无法连接 Internet,那么可能是计算机上的 TCP/IP 配置不正确。
解决方案: 确保在本地连接上建立了下列 TCP/IP 设置:
IP 地址:自动获取 IP 地址(通过 DHCP)
DNS 服务器:自动获取 DNS 服务器地址
默认网关:未指定
对于运行 Windows 95、Windows 98、Windows Millennium 或 Windows NT 4.0 的计算机,可以在“控制面板”的“网络”中找到 TCP/IP 设置。
原因: 如果家庭或小型办公网络用户不能连接 Internet,那么需要修改其 Internet 选项。
解决方案: 必须修改 Internet 连接共享的 Internet 选项。详细信息,请参阅配置 Internet 连接共享的 Internet 选项。
原因: 没有启动 Internet 连接共享服务。
解决方案: 使用事件查看器确认是否已启动 Internet 连接共享服务。
原因: 没有正确配置 Internet 连接共享计算机的名称解析。
解决方案:您可能需要在计算机上配置 WINS 或 DNS 名称解析服务。如果家庭或小型办公网络中的计算机无法将名称解析为 IP 地址,那么可以使用 ipconfig 命令检查 Internet 连接共享计算机的名称解析配置。ISP 配置名称解析的方法有两种:
静态分配的名称服务器
必须用 ISP 提供的名称服务器的 IP 地址来手动配置 TCP/IP 协议。如果您拥有静态分配的名称服务器,那么就可以随时使用 ipconfig 命令来获取您的已配置名称服务器的 IP 地址。
动态分配的名称服务器
不需要手动配置。只要一拨打 ISP,就会动态分配 ISP 提供的名称服务器的 IP 地址。如果名称服务器是动态分配的,那么必须在连接到 ISP“之后”运行 ipconfig 命令。
原因: 如果不能通过 Internet 玩游戏,那么此应用程序使用的协议是不可转换的。
解决方案: 尝试从 Internet 连接共享计算机运行该程序。如果程序在那里能正常运行,而在家庭或小型办公网络的其他计算机上却不能,那么说明该程序可能是不可转换的。
原因: 如果无法在 Internet 上玩游戏,那么可能没有在运行 Internet 连接共享的计算机上配置该程序。
解决方案: 验证是否正确配置了该程序,包括端口号。
原因:如果 Internet 用户不能看到家庭或小型办公网络上的服务(如 Web 服务器),那么该服务没有正确配置。
解决方案: 验证已正确配置了该服务,包括端口号和 TCP/IP 地址。
原因:如果家庭网络上的用户不能使用友好名称访问 Internet 站点,那么存在 DNS 解析问题。
解决方案: 当访问 Internet 资源时,请让您的家庭或小型办公网络上的用户使用完全合格的域名或 IP 地址。
使用本地连接时,没有响应。
原因: 网络适配器可能有问题。
解决方案:尝试以下操作:
检查本地连接图标的外观。根据本地连接的状态,“网络连接”文件夹中本地连接图标的外观会有所不同。而且,如果本地连接媒体断开(例如,电缆被拔掉),那么通知区域将显示一个状态图标。详细信息,请参阅本地连接。
使用 设备管理器验证您的网络适配器工作是否正常。
原因: 本地连接电缆可能没有插入网络适配器。
解决方案: 检查并确保本地连接电缆已插入网络适配器。
使用笔记本电脑连接到 ISP 时,部分或所有程序运行不正常。
原因: 当使用 ISP 连接时,WinSock 代理客户端可能会阻止程序正常运行。
解决方案: 如果您是移动用户,并且是在公司环境中使用笔记本电脑,那么当您使用同一台计算机拨号连接到 ISP 或其他网络时,可能需要禁用 Microsoft WinSock 代理客户端(“控制面板”中的 WSP 客户端)。例如,如果在办公室使用笔记本电脑,并且在家中使用同一台计算机连接到 ISP 或其他网络,那么当您使用 ISP 连接时,可能会在运行各种应用程序时遇到问题。(例如,您的程序可能无法找到需要的资源或服务器。)如果是这种情况,请禁止 Microsoft WinSock 代理客户端(“控制面板”中的 WSP 客户端)运行那些您在公司办公室里使用笔记本电脑时经常运行的程序。
传入连接客户端看不到传入连接计算机之外的资源。
另外,站长团上有产品团购,便宜有保证
简述个人防火墙的主要功能及应用特点
一、防火墙能够作到些什么?
1.包过滤
具备包过滤的就是防火墙?对,没错!根据对防火墙的定义,凡是能有效阻止网络非法连接的方式,都算防火墙。早期的防火墙一般就是利用设置的条件,监测通过的包的特征来决定放行或者阻止的,包过滤是很重要的一种特性。虽然防火墙技术发展到现在有了很多新的理念提出,但是包过滤依然是非常重要的一环,如同四层交换机首要的仍是要具备包的快速转发这样一个交换机的基本功能一样。通过包过滤,防火墙可以实现阻挡攻击,禁止外部/内部访问某些站点,限制每个ip的流量和连接数。
2.包的透明转发
事实上,由于防火墙一般架设在提供某些服务的服务器前。如果用示意图来表示就是 Server—FireWall—Guest 。用户对服务器的访问的请求与服务器反馈给用户的信息,都需要经过防火墙的转发,因此,很多防火墙具备网关的能力。
3.阻挡外部攻击
如果用户发送的信息是防火墙设置所不允许的,防火墙会立即将其阻断,避免其进入防火墙之后的服务器中。
4.记录攻击
如果有必要,其实防火墙是完全可以将攻击行为都记录下来的,但是由于出于效率上的考虑,目前一般记录攻击的事情都交给IDS来完成了,我们在后面会提到。
以上是所有防火墙都具备的基本特性,虽然很简单,但防火墙技术就是在此基础上逐步发展起来的。
二、防火墙有哪些缺点和不足?
1.防火墙可以阻断攻击,但不能消灭攻击源。
“各扫自家门前雪,不管他人瓦上霜”,就是目前网络安全的现状。互联网上病毒、木马、恶意试探等等造成的攻击行为络绎不绝。设置得当的防火墙能够阻挡他们,但是无法清除攻击源。即使防火墙进行了良好的设置,使得攻击无法穿透防火墙,但各种攻击仍然会源源不断地向防火墙发出尝试。例如接主干网10M网络带宽的某站点,其日常流量中平均有512K左右是攻击行为。那么,即使成功设置了防火墙后,这512K的攻击流量依然不会有丝毫减少。
2.防火墙不能抵抗最新的未设置策略的攻击漏洞
就如杀毒软件与病毒一样,总是先出现病毒,杀毒软件经过分析出特征码后加入到病毒库内才能查杀。防火墙的各种策略,也是在该攻击方式经过专家分析后给出其特征进而设置的。如果世界上新发现某个主机漏洞的cracker的把第一个攻击对象选中了您的网络,那么防火墙也没有办法帮到您的。
3.防火墙的并发连接数限制容易导致拥塞或者溢出
由于要判断、处理流经防火墙的每一个包,因此防火墙在某些流量大、并发请求多的情况下,很容易导致拥塞,成为整个网络的瓶颈影响性能。而当防火墙溢出的时候,整个防线就如同虚设,原本被禁止的连接也能从容通过了。
4.防火墙对服务器合法开放的端口的攻击大多无法阻止
某些情况下,攻击者利用服务器提供的服务进行缺陷攻击。例如利用开放了3389端口取得没打过sp补丁的win2k的超级权限、利用asp程序进行脚本攻击等。由于其行为在防火墙一级看来是“合理”和“合法”的,因此就被简单地放行了。
5.防火墙对待内部主动发起连接的攻击一般无法阻止
“外紧内松”是一般局域网络的特点。或许一道严密防守的防火墙内部的网络是一片混乱也有可能。通过社会工程学发送带木马的邮件、带木马的URL等方式,然后由中木马的机器主动对攻击者连接,将铁壁一样的防火墙瞬间破坏掉。另外,防火墙内部各主机间的攻击行为,防火墙也只有如旁观者一样冷视而爱莫能助。
6.防火墙本身也会出现问题和受到攻击
防火墙也是一个os,也有着其硬件系统和软件,因此依然有着漏洞和bug。所以其本身也可能受到攻击和出现软/硬件方面的故障。
7.防火墙不处理病毒
不管是funlove病毒也好,还是CIH也好。在内部网络用户下载外网的带毒文件的时候,防火墙是不为所动的(这里的防火墙不是指单机/企业级的杀毒软件中的实时监控功能,虽然它们不少都叫“病毒防火墙”)。
看到这里,或许您原本心目中的防火墙已经被我拉下了神台。是的,防火墙是网络安全的重要一环,但不代表设置了防火墙就能一定保证网络的安全。“真正的安全是一种意识,而非技术!”请牢记这句话。
不管怎么样,防火墙仍然有其积极的一面。在构建任何一个网络的防御工事时,除了物理上的隔离和目前新近提出的网闸概念外,首要的选择绝对是防火墙。那么,怎么选择需要的防火墙呢?
防火墙的分类
首先大概说一下防火墙的分类。就防火墙(本文的防火墙都指商业用途的网络版防火墙,非个人使用的那种)的组成结构而言,可分为以下三种:
第一种:软件防火墙
软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。软件防火墙就象其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。
第二种:硬件防火墙
这里说的硬件防火墙是指所谓的硬件防火墙。之所以加上"所谓"二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。 值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到os本身的安全性影响。国内的许多防火墙产品就属于此类,因为采用的是经过裁减内核和定制组件的平台,因此国内防火墙的某些销售人员常常吹嘘其产品是“专用的os”等等,其实是一个概念误导,下面我们提到的第三种防火墙才是真正的os专用。
第三种:芯片级防火墙
它们基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商莫过于NetScreen.其他的品牌还有FortiNet,算是后起之秀了。这类防火墙由于是专用OS,因此防火墙本身的漏洞比较少,不过价格相对比较高昂,所以一般只有在“确实需要”的情况下才考虑。
在这里,特别纠正几个不正确的观念:
1.在性能上,芯片级防火墙>硬件防火墙>软件防火墙。
在价格上看来,的确倒是如此的关系。但是性能上却未必。防火墙的“好”,是看其支持的并发数、最大流量等等性能,而不是用软件硬件来区分的。事实上除了芯片级防火墙外,软件防火墙与硬件防火墙在硬件上基本是完全一样的。目前国内的防火墙厂商由于大多采用硬件防火墙而不是软件防火墙,原因1是考虑到用户网络管理员的素质等原因,还有就是基于我国大多数民众对“看得见的硬件值钱,看不到的软件不值钱”这样一种错误观点的迎合。不少硬件防火墙厂商大肆诋毁软件防火墙性能,不外是为了让自己那加上了外壳的普通pc+一个被修改后的内核+一套防火墙软件能够卖出一个好价钱来而已。而为什么不作芯片级防火墙呢?坦白说,国内没有公司有技术实力。而且在中国市场上来看,某些国内的所谓硬件防火墙的硬件质量连diy的兼容机都比不上。看看国内XX的硬件防火墙那拙劣的硬盘和网卡,使用过的人都能猜到是哪家,我就不点名了。真正看防火墙,应该看其稳定性和性能,而不是用软、硬来区分的。至少,如果笔者自己选购,我会选择购买CheckPoint而非某些所谓的硬件防火墙的。
2.在效果上,芯片防火墙比其他两种防火墙好
这同样也是一种有失公允的观点。事实上芯片防火墙由于硬件的独立,的确在OS本身出漏洞的机会上比较少,但是由于其固化,导致在面对新兴的一些攻击方式时,无法及时应对;而另外两种防火墙,则可以简单地通过升级os的内核来获取系统新特性,通过灵活地策略设置来满足不断变化的要求,不过其OS出现漏洞的概率相对高一些。
3.唯技术指标论
请以“防火墙买来是使用的”为第一前提进行购买。防火墙本身的质量如何是一回事,是否习惯使用又是另一回事。如果对一款产品的界面不熟悉,策略设置方式不理解,那么即使用世界最顶级的防火墙也没有多大作用。就如小说中武林中人无不向往的“倚天剑”、“屠龙刀”被我拿到,肯定也敌不过乔峰赤手的少林长拳是一般道理。防火墙技术发展至今,市场已经很成熟了,各类产品的存在,自然有其生存于市场的理由。如何把产品用好,远比盲目地比较各类产品好。
IDS
什么是IDS呢?早期的IDS仅仅是一个监听系统,在这里,你可以把监听理解成窃听的意思。基于目前局网的工作方式,IDS可以将用户对位于与IDS同一交换机/HuB的服务器的访问、操作全部记录下来以供分析使用,跟我们常用的widnows操作系统的事件查看器类似。再后来,由于IDS的记录太多了,所以新一代的IDS提供了将记录的数据进行分析,仅仅列出有危险的一部分记录,这一点上跟目前windows所用的策略审核上很象;目前新一代的IDS,更是增加了分析应用层数据的功能,使得其能力大大增加;而更新一代的IDS,就颇有“路见不平,拔刀相助”的味道了,配合上防火墙进行联动,将IDS分析出有敌意的地址阻止其访问。
就如理论与实际的区别一样,IDS虽然具有上面所说的众多特性,但在实际的使用中,目前大多数的入侵检测的接入方式都是采用pass-by方式来侦听网络上的数据流,所以这就限制了IDS本身的阻断功能,IDS只有靠发阻断数据包来阻断当前行为,并且IDS的阻断范围也很小,只能阻断建立在TCP基础之上的一些行为,如Telnet、FTP、HTTP等,而对于一些建立在UDP基础之上就无能为力了。因为防火墙的策略都是事先设置好的,无法动态设置策略,缺少针对攻击的必要的灵活性,不能更好的保护网络的安全,所以IDS与防火墙联动的目的就是更有效地阻断所发生的攻击事件,从而使网络隐患降至较低限度。
接下来,我简单介绍一下IDS与防火墙联动工作原理
入侵检测系统在捕捉到某一攻击事件后,按策略进行检查,如果策略中对该攻击事件设置了防火墙阻断,那么入侵检测系统就会发给防火墙一个相应的动态阻断策略,防火墙根据该动态策略中的设置进行相应的阻断,阻断的时间、阻断时间间隔、源端口、目的端口、源IP和目的IP等信息,完全依照入侵检测系统发出的动态策略来执行。一般来说,很多情况下,不少用户的防火墙与IDS并不是同一家的产品,因此在联动的协议上面大都遵从 opsec 或者 topsec协议进行通信,不过也有某些厂家自己开发相应的通信规范的。目前总得来说,联动有一定效果,但是稳定性不理想,特别是攻击者利用伪造的包信息,让IDS错误判断,进而错误指挥防火墙将合法的地址无辜屏蔽掉。
因为诸多不足,在目前而言,IDS主要起的还是监听记录的作用。用个比喻来形容:网络就好比一片黑暗,到处充满着危险,冥冥中只有一个出口;IDS就象一支手电筒,虽然手电筒不一定能照到正确的出口,但至少有总比没有要好一些。称职的网管,可以从IDS中得到一些关于网络使用者的来源和访问方式,进而依据自己的经验进行主观判断(注意,的确是主观判断。例如用户连续ping了服务器半个小时,到底是意图攻击,还是无意中的行为?这都依据网络管理员的主观判断和网络对安全性的要求来确定对应方式。)对IDS的选择,跟上面谈到的防火墙的选择类似,根据自己的实际要求和使用习惯,选择一个自己够用的,会使用的就足够了。
最后,要说的依然是那句“世界上没有一种技术能真正保证绝对地安全。”安全问题,是从设备到人,从服务器上的每个服务程序到防火墙、IDS等安全产品的综合问题;任何一个环节工作,只是迈向安全的步骤。
参考资料:TechTarget中文网
防火墙的主要技术及实现方式有哪些?
防火墙分类1
如果从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。
第一种:软件防火墙
软 件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就 像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙, 需要网管对所工作的操作系统平台比较熟悉。
第二种:硬件防火墙
这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上"所谓"二 字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是 说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和 FreeBSD系统。 值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到OS(操作系统)本身的安全性影响。
传统硬件防火墙一般至少应具备三个端口,分别接内网,外网和DMZ区(非军事化区),现在一些新的硬件防火墙往往扩展了端口,常见四端口防火墙一般将第四个端口做为配置口、管理端口。很多防火墙还可以进一步扩展端口数目。
第三种:芯片级防火墙
芯 片级防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂 商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。
防火墙技术虽然出现了许多,但总体来讲可分为“包过滤型”和“应用代理型”两大类。前者以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表,后者以美国NAI公司的Gauntlet防火墙为代表。
(1). 包过滤(Packet filtering)型
包过滤型防火墙工作在OSI网络参考模型的网络层和传输层,它根据数据包头源地址,目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。
包 过滤方式是一种通用、廉价和有效的安全手段。之所以通用,是因为它不是针对各个具体的网络服务采取特殊的处理方式,适用于所有网络服务;之所以廉价,是因 为大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能很大程度上满足了绝大多数企业安全要求。
在整个防火墙技术的发展过程中,包过滤技术出现了两种不同版本,称为“第一代静态包过滤”和“第二代动态包过滤”。
●第一代静态包过滤类型防火墙
这 类防火墙几乎是与路由器同时产生的,它是根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行 制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。
●第二代动态包过滤类型防火墙
这类防火墙采用动态设置包过滤规则的方法,避免了静态包过滤所具有的问题。这种技术后来发展成为包状态监测(Stateful Inspection)技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪,并且根据需要可动态地在过滤规则中增加或更新条目。
包 过滤方式的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的:过滤判别的依据只是网络层和传输层 的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文 关联信息,不能有效地过滤如UDP、RPC(远程过程调用)一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只能依据包头信息,而不能对用户身份 进行验证,很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此, 过滤器通常是和应用网关配合使用,共同组成防火墙系统。
2007-7-13 19:32 回复
激情小呆
1位粉丝
2楼
(2). 应用代理(Application Proxy)型
应用代理型防火墙是工作在OSI的最高层,即应用层。其特点是完全"阻隔"了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。其典型网络结构如图所示。
在代理型防火墙技术的发展过程中,它也经历了两个不同的版本,即:第一代应用网关型代理防火和第二代自适应代理防火墙。
第一代应用网关(Application Gateway)型防火墙
这 类防火墙是通过一种代理(Proxy)技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样, 从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。
第二代自适应代理(Adaptive proxy)型防火墙
它 是近几年才得到广泛应用的一种新防火墙类型。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点,在毫不损失安全性的基础之上将代理型防火墙 的性能提高10倍以上。组成这种类型防火墙的基本要素有两个:自适应代理服务器(Adaptive Proxy Server)与动态包过滤器(Dynamic Packet filter)。
在“自适应代理服务器”与 “动态包过滤器”之间存在一个控制通道。在对防火墙进行配置时,用户仅仅将所需要的服务类型、安全级别等信息通过相应Proxy的管理界面进行设置就可以 了。然后,自适应代理就可以根据用户的配置信息,决定是使用代理服务从应用层代理请求还是从网络层转发包。如果是后者,它将动态地通知包过滤器增减过滤规 则,满足用户对速度和安全性的双重要求。
代理类型防火墙的最突出的优点就是安全。由于它工作于最高层,所以它可以对网络中任何一层数据通信进行筛选保护,而不是像包过滤那样,只是对网络层的数据进行过滤。
另 外代理型防火墙采取是一种代理机制,它可以为每一种应用服务建立一个专门的代理,所以内外部网络之间的通信不是直接的,而都需先经过代理服务器审核,通过 后再由代理服务器代为连接,根本没有给内、外部网络计算机任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。
代理 防火墙的最大缺点就是速度相对比较慢,当用户对内外部网络网关的吞吐量要求比较高时,代理防火墙就会成为内外部网络之间的瓶颈。那因为防火墙需要为不同的 网络服务建立专门的代理服务,在自己的代理程序为内、外部网络用户建立连接时需要时间,所以给系统性能带来了一些负面影响,但通常不会很明显。
防火墙分类3
从防火墙结构上分,防火墙主要有:单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。
单一主机防火墙是最为传统的防火墙,独立于其它网络设备,它位于网络边界。
这 种防火墙其实与一台计算机结构差不多(如下图),同样包括CPU、内存、硬盘等基本组件,当然主板更是不能少了,且主板上也有南、北桥芯片。它与一般计算 机最主要的区别就是一般防火墙都集成了两个以上的以太网卡,因为它需要连接一个以上的内、外部网络。其中的硬盘就是用来存储防火墙所用的基本程序,如包过 滤程序和代理服务器程序等,有的防火墙还把日志记录也记录在此硬盘上。虽然如此,但我们不能说它就与我们平常的PC机一样,因为它的工作性质,决定了它要 具备非常高的稳定性、实用性,具备非常高的系统吞吐性能。正因如此,看似与PC机差不多的配置,价格甚远。
转载请注明出处51数据库 » 防火墙软件提供商 宽带拨号错误,,,怎么回事