【正文】 實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡(luò)安全問題 對全局網(wǎng)絡(luò)造成的影響。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。當(dāng)發(fā)生可疑動作時，防火墻能進行適當(dāng)?shù)膱缶?，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細信息。例如在網(wǎng)絡(luò)訪問時，一次一密口令系統(tǒng)和其它的身份認證系統(tǒng)完可以不必分散在各個主機上，而集中在防火墻一身上。 強化網(wǎng)絡(luò)安全策略 通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認證、審計等）配置在防火墻上。防火墻同時可以保護網(wǎng)絡(luò)免受基于路由的攻擊，如 IP 選項中的源路由攻擊和 ICMP 重定向中的重定向路徑。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。最后，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。防火墻還可以關(guān)閉不使用的端口。 最終目標是提供受控連通性在不同水平的信任區(qū)域通過安全政策的運行和連通性模型之間根據(jù)最少特權(quán)原則。它有控制信息基本的任務(wù)在不同信任的區(qū)域。例如互聯(lián)網(wǎng)是不可信任的區(qū)域，而內(nèi)部網(wǎng)絡(luò)是高度信任的區(qū)域。所有進出的信息都必 須通過防火墻，防火墻便成為安全問題的檢查點，使可疑的訪問被拒絕于門外。這樣，能夠防止影響一個網(wǎng)段的問題通過整個網(wǎng)絡(luò)傳播。 （ 3）防火墻限制暴露用戶點。 防火墻的優(yōu)點 （ 1）防火墻能強化安全策略。而國內(nèi)防火墻廠商對國內(nèi) 用戶了解更加透徹，價格上也更具有優(yōu)勢。當(dāng)然這些安全性也只能說是相對的。它之所以具有這么強的本領(lǐng)防火墻操作系統(tǒng)本身是關(guān)鍵，只有自身具有完整信任關(guān)系的操作系統(tǒng)才可以談?wù)撓到y(tǒng)的安全性。如下圖 [2] 9 圖 3 防火墻自身應(yīng)具有非常強的抗攻擊免疫力 這是防火墻之所以能擔(dān)當(dāng)企業(yè)內(nèi)部網(wǎng)絡(luò) 安全防護重任的先決條件。防火墻將網(wǎng)絡(luò)上的流量通過相應(yīng)的網(wǎng)絡(luò)接口接收上來，按照 OSI 協(xié)議棧的七層結(jié)構(gòu)順序上傳，在適當(dāng)?shù)膮f(xié)議層進行訪問規(guī)則和安全審查，然后將符合通過條件的報文從相應(yīng)的網(wǎng)絡(luò)接口送出，而對于那些不符合通過條件的報文則予以阻斷。 只有符合安全策略的數(shù)據(jù)流才能通過防火墻 防火墻最基本的功能是確保網(wǎng)絡(luò)流量的合法性，并在此前提下將網(wǎng)絡(luò)的流量快速的從一條鏈路轉(zhuǎn)發(fā)到另外的鏈路上去。從圖中可以看出，防火墻的一端連接企事業(yè)單位內(nèi)部的局域網(wǎng)，而另一端則連接著互聯(lián)網(wǎng)。防火墻的目的就 是在網(wǎng)絡(luò)連接之間建立一個安全控制點，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實現(xiàn)對進、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審計和控制。 根據(jù)美國國家安全局制定的《信息保障技術(shù)框架》，防火墻適用于用戶網(wǎng)絡(luò)系統(tǒng)的邊界，屬于用戶網(wǎng)絡(luò)邊界的安全保護設(shè)備。 防火墻的基本特性 內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻 這是防火墻所處網(wǎng)絡(luò)位置特性，同時也是一個前提。不過就實現(xiàn)而言，這個方法既煩且雜 (軟件有千千百百種啊 )，所以大部分的防火墻都不會考慮以這種方法設(shè)計。理論上，這一類的防火墻可以完全阻絕外部的數(shù)據(jù)流進到受保護的機器里。 （ 2）應(yīng)用層防火墻 應(yīng)用層防火墻是在 TCP/IP 堆棧的“應(yīng)用層”上運作，您使用瀏覽器時所產(chǎn)生的數(shù)據(jù)流或是使用 FTP 時的數(shù)據(jù)流都是屬于這一層。 較新的防火墻能利用封包的多樣屬性來進行過濾，例如：來源 IP 地址、來源端口號、目的 IP 地址或端口號、服務(wù)類型 (如 WWW 或是 FTP)。 我們也能以另一種較寬松的角度來制定防火墻規(guī)則，只要封包不符合任何一項“否定規(guī)則”就予以放行。我們可以以枚舉的方式，只允許符合特定規(guī)則的封包通過，其余的一概禁止穿越 防火墻（病毒除外，防火墻不能防止病毒侵入）。 3. 防火墻技術(shù) 防火墻的定義 所謂防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障 .是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結(jié)合，使 Inter與 Intra之間建立起一個安全網(wǎng)關(guān)（ Security 7 Gateway），從而保護內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問規(guī)則、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān) 4 個部分組成，防火墻就是一個位于計算機和它所連接的網(wǎng)絡(luò)之間的軟件或硬件。 或 EXCEL 提示執(zhí)行“宏”。 。 操作系統(tǒng)無故頻繁出現(xiàn)錯誤。 。 。 。 、時間、屬性等發(fā)生變化。 。 化。 。 。 。 計算機病毒的癥狀 計算機病毒的一般癥狀： 。 變型病毒（又稱幽靈病毒）這一類病毒使用一個復(fù)雜的算法，使自己每傳播一份都具有不同的內(nèi)容和長度。 詭秘型病毒它們一般不直接修改 DOS 中斷和扇區(qū)數(shù)據(jù)，而是通過設(shè)備技術(shù)和文件緩沖區(qū)等 DOS 內(nèi)部修改，不易看到資源，使用比較高級的技術(shù)。有時它們在系統(tǒng)存在，一般除了內(nèi)存不占用其它資源。病毒把自身寫入 COM 文件并不改變 EXE 文件，當(dāng) DOS 加載文件時，伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來的 EXE 文件。例如：在早期的病 毒中，有一個“ Denzuk”病毒在 360K 磁盤上很好的工作，不會造成任何破壞，但是在后來的高密度軟盤上卻能引起大量的數(shù)據(jù)丟失 [4]。由病毒引起其它的程序產(chǎn)生的錯誤也會破壞文件和扇區(qū)，這些病毒也按照他們引起的破壞能力劃分。 非常危險型：這類病毒刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中重要的信息。 無危險型：這類病毒僅僅是減少內(nèi)存、顯示圖像、發(fā)出聲音及同類音響。 二、按病毒傳染的方法 根據(jù)病毒傳染的方法可分為駐留型病毒和非駐留型病毒，駐留型病毒感染計算機后，把自身的內(nèi)存駐留部分放在內(nèi)存（ RAM）中，這一部分程序掛接系統(tǒng)調(diào)用并合并到操作系統(tǒng)中去，他處于激活狀態(tài)，一直到關(guān)機或重新啟動 .非駐留型病毒在得到機會激活時并不感染計算機內(nèi)存，一些病毒在內(nèi)存中留有小部分，但是并不通過這一部分進行傳染，這類病毒也被劃分為非駐留型病毒。 計算機病毒的分類 根據(jù) 多年對計算機病毒的研究，按照科學(xué)的、系統(tǒng)的、嚴密的方法，計算機病毒可分類如下：按照計算機病毒屬性的方法進行分類，計算機病毒可以根據(jù)下面的屬性進行分類： 一、按病毒存在的媒體 根據(jù)病毒存在的媒體，病毒可以劃分為網(wǎng)絡(luò)病毒，文件病毒，引導(dǎo)型病毒。病毒具有預(yù)定的觸發(fā)條件，這些條件可能是時間、日期、文件類型或某些特定數(shù)據(jù)等。病毒既要隱蔽又要維持殺傷力，它必須具有可觸發(fā)性。為了隱蔽自己，病毒必須潛伏，少做動作。通常表現(xiàn)為：增、刪、改、移。 （ 4）隱蔽性 計算機病毒具有很強的隱蔽性，有的可以通過病毒軟件檢查出來，有的根本就查不出來，有的時隱時現(xiàn)、變化無常，這類病毒處理起來通常很困難。潛伏性的第二種表現(xiàn)是指，計算機病毒的內(nèi)部往往有一種觸發(fā)機制， 不滿足觸發(fā)條件時，計算機病毒除了傳染外不做什么破壞。比如黑色星期五病毒，不到預(yù)定時間一點都覺察不出來，等到條件具備的時候一下子就爆炸開來，對系統(tǒng)進行破壞。是否具有傳染性是判別一個程序是否為計算機病毒的最重要條件。只要一臺計算機染毒，如不及時處理，那么病毒會在這臺電腦上迅速擴散，計算機病毒可通過各種可能的渠道，如軟盤、硬盤、移動硬盤、計算機網(wǎng)絡(luò)去傳染其他的計算機。同樣，計算機病毒也會通過各種渠道從已被感染的計 算機擴散到未被感染的計算機，在某些情況下造成被感染的計算機工作失常甚至癱瘓。