9,513
社区成员
发帖
与我相关
我的任务
分享求几本关于防火墙知识的书
最近和宿舍里的同学想一起做一个简单的个人防火墙,只需要实现基本的防火墙功能,
但一直不知道如何下手,希望有高手推荐几本相关的书籍资料,越基础越好哈,最好
是用C/C++语言讲述的,能提供电子书的下载地址自然更是感激不尽。
小弟在这里谢谢了~~!
但一直不知道如何下手,希望有高手推荐几本相关的书籍资料,越基础越好哈,最好
是用C/C++语言讲述的,能提供电子书的下载地址自然更是感激不尽。
小弟在这里谢谢了~~!
...全文
请发表友善的回复…
发表回复
苍狼回眸 2009-01-18
- 打赏
- 举报
还是谢谢了,尽管作用不怎么大,有点文不对题~~
ftai08 2009-01-15
- 打赏
- 举报
目的是为了防止非授权的访问,包括外网对内网,和内对网的访问。
因为非授权的访问,也就是非法的访问会造成“网络资源”(具体待分析)安全性的破坏。
防火墙的禁止操作有:
1、禁止外部某个“用户集合”访问内部的某个目录和某个文件。
用户集合,指某个IP地址集合,或某个IP地址内的用户名集合。
内部网络资源,通常在服务器上,或者是有服务器功能的程序所控制之下,一般是以文件、目录、远程进程、分布式进程的形式存在。
针对不同的网络协议层,用户集合有不同的内容。IP协议处理机看到的是32位的IP地址。
防火墙中,通过定义许可的IP地址信息来允许外部的访问,也就是允许某些IP地址的计算机及程序的集合,来获取内网的资源。
2、虽然禁止内网访问外部资源的操作看起来很像,也是对如IP协议的源地址和目的地址进行限制,但应该具体处理有很多变数。
3、隔断一些试探的连接。例如,可以让百度之类的搜索网站无法取到内网的网页。
4、更简单地说,让一些数据包无法通过,或者过了一部分,无法过其他的部分。
5、对外部要取出发往的资源的操作的合法性,则无法确定。也就是识别通过防火墙的资料是否合法,对资料本身进行识别。
6、光是识别IP地址,是很简单的事情,也比较绝对化。
7、防火墙主要内容就是访问控制的中介。
8、缓冲作用。
9、防火墙有不同的设计方式,所处的平台也不同。
10、DMZ非军事区和堡垒主机的目的,是划分安全区域吧。
11、根据访问行为,设置多级“缓冲区”,如何?
防火墙安全性的主要问题有:
1、完成内网信息的完整性,这种完整性,是种整体的完整性。
2、保密性。和加密技术的保密性不同。
3、会带来延迟。
4、也是协议处理机,也可受到攻击。
5、防火墙的行为规则,也可被进行分析。特别是,当它采用“接收即响应”机制时。
6、防火墙的缺陷:让尽可能多的内部用户访问尽可能多的资源,这是原则吧。同时,允许尽量少的外部用户访问尽可能少的内部资源。
最简单的解决办法是加密和认证。
7、IP地址可能是合法的,但访问操作是复杂的读写,甚至是要求远程的执行。这中间可能是复杂的过程,每步过程的安全性几乎不可控。
这种关于“过程”的控制,应该很复杂。
8、再考虑一下所处的环境:内外网的交互可能非常频繁,带宽非常高。
简单地屏蔽IP地址,是很容易的。但同样有问题。反过来,在防火墙的规则集中,只定义许可的IP地址集。
简单地屏蔽IP地址的防火墙,相当于一个FILTER过滤器。
9、“用户集合”是动态的,资源是动态增减的。至少内网用户总要想法获取新的资源。
防火墙可以看作一个过滤器集合。
模拟电子里,有“滤高通低,滤直通交”。对直流来说,是直流电阻太大,如电容器,只有高压击穿,否则不会有电流通过。而对于交流,通过电压的传递,同样能够把电能传递到对端。
过滤器集合的设计,需要一定的指导原则。虽然,一般就是基于访问控制规则之上搭建的系统。
因为非授权的访问,也就是非法的访问会造成“网络资源”(具体待分析)安全性的破坏。
防火墙的禁止操作有:
1、禁止外部某个“用户集合”访问内部的某个目录和某个文件。
用户集合,指某个IP地址集合,或某个IP地址内的用户名集合。
内部网络资源,通常在服务器上,或者是有服务器功能的程序所控制之下,一般是以文件、目录、远程进程、分布式进程的形式存在。
针对不同的网络协议层,用户集合有不同的内容。IP协议处理机看到的是32位的IP地址。
防火墙中,通过定义许可的IP地址信息来允许外部的访问,也就是允许某些IP地址的计算机及程序的集合,来获取内网的资源。
2、虽然禁止内网访问外部资源的操作看起来很像,也是对如IP协议的源地址和目的地址进行限制,但应该具体处理有很多变数。
3、隔断一些试探的连接。例如,可以让百度之类的搜索网站无法取到内网的网页。
4、更简单地说,让一些数据包无法通过,或者过了一部分,无法过其他的部分。
5、对外部要取出发往的资源的操作的合法性,则无法确定。也就是识别通过防火墙的资料是否合法,对资料本身进行识别。
6、光是识别IP地址,是很简单的事情,也比较绝对化。
7、防火墙主要内容就是访问控制的中介。
8、缓冲作用。
9、防火墙有不同的设计方式,所处的平台也不同。
10、DMZ非军事区和堡垒主机的目的,是划分安全区域吧。
11、根据访问行为,设置多级“缓冲区”,如何?
防火墙安全性的主要问题有:
1、完成内网信息的完整性,这种完整性,是种整体的完整性。
2、保密性。和加密技术的保密性不同。
3、会带来延迟。
4、也是协议处理机,也可受到攻击。
5、防火墙的行为规则,也可被进行分析。特别是,当它采用“接收即响应”机制时。
6、防火墙的缺陷:让尽可能多的内部用户访问尽可能多的资源,这是原则吧。同时,允许尽量少的外部用户访问尽可能少的内部资源。
最简单的解决办法是加密和认证。
7、IP地址可能是合法的,但访问操作是复杂的读写,甚至是要求远程的执行。这中间可能是复杂的过程,每步过程的安全性几乎不可控。
这种关于“过程”的控制,应该很复杂。
8、再考虑一下所处的环境:内外网的交互可能非常频繁,带宽非常高。
简单地屏蔽IP地址,是很容易的。但同样有问题。反过来,在防火墙的规则集中,只定义许可的IP地址集。
简单地屏蔽IP地址的防火墙,相当于一个FILTER过滤器。
9、“用户集合”是动态的,资源是动态增减的。至少内网用户总要想法获取新的资源。
防火墙可以看作一个过滤器集合。
模拟电子里,有“滤高通低,滤直通交”。对直流来说,是直流电阻太大,如电容器,只有高压击穿,否则不会有电流通过。而对于交流,通过电压的传递,同样能够把电能传递到对端。
过滤器集合的设计,需要一定的指导原则。虽然,一般就是基于访问控制规则之上搭建的系统。
roadblossom 2009-01-14
- 打赏
- 举报
NDIS
苍狼回眸 2009-01-13
- 打赏
- 举报
谢谢楼上的大哥,这本书小弟正在研读~~
ftai08 2009-01-13
- 打赏
- 举报
防火墙系统涉及的协议问题:
一、主要有应用层的、传输层的、网络层的、数据链路层、物理层的协议数据。
二、都必须与TCP/IP协议紧密结合。
三、不是每层都可以很容易用一种IDE进行设计和编程,来处理相关的协议的。
四、INTERNET方面,都会涉及到NAT(网络地址转换)问题。
五、应用层向下,层层封装。物理层向上,层层解包。
六、一般标准的协议数据,其设计目的,就是为了获得资源,对话,共享资源。
七、例如,在应用层层面上,需要获得文件资源和一定的计算资源,一般可设计特定的协议。发出这类协议数据包时,由上往下,封装,加上传输层需要的包头,直到物理层加上物理层需要的包头。
八、所谓协议,简单地说,就是一种广义的指令,对端之间合作完成某种操作。实现对网络及资源的管理。
一、主要有应用层的、传输层的、网络层的、数据链路层、物理层的协议数据。
二、都必须与TCP/IP协议紧密结合。
三、不是每层都可以很容易用一种IDE进行设计和编程,来处理相关的协议的。
四、INTERNET方面,都会涉及到NAT(网络地址转换)问题。
五、应用层向下,层层封装。物理层向上,层层解包。
六、一般标准的协议数据,其设计目的,就是为了获得资源,对话,共享资源。
七、例如,在应用层层面上,需要获得文件资源和一定的计算资源,一般可设计特定的协议。发出这类协议数据包时,由上往下,封装,加上传输层需要的包头,直到物理层加上物理层需要的包头。
八、所谓协议,简单地说,就是一种广义的指令,对端之间合作完成某种操作。实现对网络及资源的管理。
ftai08 2009-01-13
- 打赏
- 举报
一、基于规则的访问控制机制。
二、保存和利用访问历史记录。
三、结合到IDS(入侵检测机制)。
四、产生式规则的问题。
1、1943年,POST发现了:所有的数学公式和定理,都可以表示成如IF……THEN……,即“如果……,那么……”的形式。
同时,也证明了POST产生式规则,具有和TURING图灵机等效的功能。
2、产生式规则,IF用于左部,THEN用于右部。左部为条件,右部为动作。
3、新的一条事实F2,被应用时,就与规则库中的所有规则逐条匹配。如果此事实F2与规则RF2的左部匹配时,就触发这条规则。这条规则就被点火。
4、例如,点火了一条规则,则此规则的右部,被触发放置到事实集中。再逐次地点火。
5、直到规则库中再没有可被点火的规则。
五、规则有动态性。
例如,可以将新的访问机制,设计成新的规则,从而实现新的过滤或屏蔽掉某些向内或者向外的访问。
六、从外网来的访问数据包,必须是通过建立在防火墙系统上的协议处理机,经过其进行规则匹配后,才能访问相应的IP地址和端口。这里会有相应的各种协议处理机。
七、从内网向外的访问,其要访问的源地址被禁止,就同样无法访问外网的资源。
二、保存和利用访问历史记录。
三、结合到IDS(入侵检测机制)。
四、产生式规则的问题。
1、1943年,POST发现了:所有的数学公式和定理,都可以表示成如IF……THEN……,即“如果……,那么……”的形式。
同时,也证明了POST产生式规则,具有和TURING图灵机等效的功能。
2、产生式规则,IF用于左部,THEN用于右部。左部为条件,右部为动作。
3、新的一条事实F2,被应用时,就与规则库中的所有规则逐条匹配。如果此事实F2与规则RF2的左部匹配时,就触发这条规则。这条规则就被点火。
4、例如,点火了一条规则,则此规则的右部,被触发放置到事实集中。再逐次地点火。
5、直到规则库中再没有可被点火的规则。
五、规则有动态性。
例如,可以将新的访问机制,设计成新的规则,从而实现新的过滤或屏蔽掉某些向内或者向外的访问。
六、从外网来的访问数据包,必须是通过建立在防火墙系统上的协议处理机,经过其进行规则匹配后,才能访问相应的IP地址和端口。这里会有相应的各种协议处理机。
七、从内网向外的访问,其要访问的源地址被禁止,就同样无法访问外网的资源。
ftai08 2009-01-13
- 打赏
- 举报
防火墙问题,是信息安全中的一个重大问题。其中主要是访问控制机制在起作用。
一、给网外来的访问请求定性。
外网要求访问内网的资源。
二、给网内来的访问请求定性。
内网要求访问外网的资源。
网络的产生和发展有几个原因:
1、共享资源。
2、通信。
3、资源的不对称性。每个网站都有它需要获取的资源。
三、防火墙本身的设计,需要保证网络本身的功能和性能要求。比如,跨防火墙的访问,是通过规则的匹配实现的,这需要大量的时间。
四、防火墙的过滤机制。
比如,划定访问许可的某网络的IP地址范围。
五、防火墙同时安装有向内和向外的协议处理机机制。
防火墙能够保证所在的协议体系结构层次上的跨网络的访问。
六、防火墙系统所能处理的协议,能够跟随网络系统的升级而升级。
七、防火墙系统能够打开尽可能多的IP地址和端口。
八、防火墙系统能够处理访问控制机制的许多问题。
九、防火墙可以是纯软件、纯硬件的、软硬件结合的。主要是针对协议的分析和处理机机制。
一、给网外来的访问请求定性。
外网要求访问内网的资源。
二、给网内来的访问请求定性。
内网要求访问外网的资源。
网络的产生和发展有几个原因:
1、共享资源。
2、通信。
3、资源的不对称性。每个网站都有它需要获取的资源。
三、防火墙本身的设计,需要保证网络本身的功能和性能要求。比如,跨防火墙的访问,是通过规则的匹配实现的,这需要大量的时间。
四、防火墙的过滤机制。
比如,划定访问许可的某网络的IP地址范围。
五、防火墙同时安装有向内和向外的协议处理机机制。
防火墙能够保证所在的协议体系结构层次上的跨网络的访问。
六、防火墙系统所能处理的协议,能够跟随网络系统的升级而升级。
七、防火墙系统能够打开尽可能多的IP地址和端口。
八、防火墙系统能够处理访问控制机制的许多问题。
九、防火墙可以是纯软件、纯硬件的、软硬件结合的。主要是针对协议的分析和处理机机制。
GGJJyangjinhan 2009-01-13
- 打赏
- 举报
C++或c讲述的我还没听过,你这只要知道防火墙不防内网只防外网(但也有例外)就够了。
防火墙的布置有边界防火墙和节点防火墙。
防火墙的布置有边界防火墙和节点防火墙。
luckytim 2009-01-09
- 打赏
- 举报
另外,可以去这里找找有没有电子版本的。
http://www.xfocus.net/
http://www.xfocus.net/
luckytim 2009-01-09
- 打赏
- 举报
可以认真研究一下王艳平的《windows程序设计》,看完之后,随便看看防火墙的原理,就可以编写防火墙软件了。
