防火墙能够防范什么？不能防范什么？

防火墙在配置上是防止来自网络外部的，未经授权的交互式登录。这大大有助于防止破坏者登录到你网络中的计算机上。一些设计更为精巧的防火墙可以防止来自外部的传输流进入内部，但又允许内部的用户可以自由地与外部通信。

防火墙不能防止数据驱动的攻击：即通过将某种东西邮寄或拷贝到内部主机中，然后它再在内部主机中运行的攻击。

要使防火墙发挥作用，防火墙就必须成为整个机构安全架构中不可分割的一部分。防火墙的策略必须现实，能够反映出整个网络安全的水平。例如，一个保存着绝密数据的网络服务器根本不需要防火墙：它根本不应当被接入到Internet上，这样的网络和Internet必须做到物理上的隔离。

扩展资料：

防火墙功能：

1、入侵检测功能

网络防火墙技术的主要功能之一就是入侵检测功能，主要有反端口扫描、检测拒绝服务工具、检测CGI/IIS服务器入侵、检测木马或者网络蠕虫攻击、检测缓冲区溢出攻击等功能，可以极大程度上减少网络威胁因素的入侵，有效阻挡大多数网络安全攻击。 

2、网络地址转换功能

利用防火墙技术可以有效实现内部网络或者外部网络的IP地址转换，可以分为源地址转换和目的地址转换，即SNAT和NAT。SNAT主要用于隐藏内部网络结构，避免受到来自外部网络的非法访问和恶意攻击，有效缓解地址空间的短缺问题，而DNAT主要用于外网主机访问内网主机，以此避免内部网络被攻击。 

3、网络操作的审计监控功能

通过此功能可以有效对系统管理的所有操作以及安全信息进行记录，提供有关网络使用情况的统计数据，方便计算机网络管理以进行信息追踪。 

4、强化网络安全服务

防火墙技术管理可以实现集中化的安全管理，将安全系统装配在防火墙上，在信息访问的途径中就可以实现对网络信息安全的监管。 

——防火墙

——网络防火墙

——防火墙技术

拒绝服务攻击即攻击者想办法让目标机器停止提供服务，是黑客常用的攻击手段之一。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻击。拒绝服务攻击问题也一直得不到合理的解决，究其原因是因为这是由于网络协议本身的安全缺陷造成的，从而拒绝服务攻击也成为了攻击者的终极手法。攻击者进行拒绝服务攻击，实际上让服务器实现两种效果：一是迫使服务器的缓冲区满，不接收新的请求；二是使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。

DoS

：

我们所说的

DoS (Denial of Service)

攻击其中文含义是拒绝服务攻击，

这种攻击行动使网站

服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于

瘫痪而停止提供正常的网络服务。

黑客不正当地采用标准协议或连接方法，

向攻击的服务发出

大量的讯息，占用及超越受攻击服务器所能处理的能力，使它当

(Down)

机或不能正常地为用户

服务。

“

拒绝服务

”

是如何攻击的通过普通的网络连线，使用者传送信息要求服务器予以确定。服务器

于是回复用户。用户被确定后，就可登入服务器。

“

拒绝服务

”

的攻击方式为：用户传送众多要

求确认的信息到服务器，使服务器里充斥着这种无用的信息。所有的信息都有需回复的虚假地

址，以至于当服务器试图回传时，却无法找到用户。服务器于是暂时等候，有时超过一分钟，

然后再切断连接。服务器切断连接时，黑客再度传送新一批需要确认的信息，这个过程周而复

始，最终导致服务器无法动弹，瘫痪在地。

在这些

DoS

攻击方法中，又可以分为下列几种：

TCP SYN Flooding

Smurf

Fraggle

1TCP Syn Flooding

由于

TCP

协议连接三次握手的需要，在每个

TCP

建立连接时，都要发送一个带

SYN

标记的数据

包，如果在服务器端发送应答包后，客户端不发出确认，服务器会等待到数据超时，如果大量

的带

SYN

标记的数据包发到服务器端后都没有应答，会使服务器端的

TCP

资源迅速枯竭，导致

正常的连接不能进入，甚至会导致服务器的系统崩溃。这就是

TCP

SYN Flooding

攻击的过程。

图

1 TCP Syn

攻击

TCP

Syn

攻击是由受控制的大量客户发出

TCP

请求但不作回复，使服务器资源被占用，再也

无法正常为用户服务。服务器要等待超时

(Time

Out)

才能断开已分配的资源。

2Smurf

黑客采用

ICMP(Internet Control Message Protocol RFC792)

技术进行攻击。常用的

ICMP

有

PING

。

首先黑客找出网络上有哪些路由器会回应

ICMP

请求。

然后用一个虚假的

IP

源地

址向路由器的广播地址发出讯息，路由器会把这讯息广播到网络上所连接的每一台设备。这些

设备又马上回应，这样会产生大量讯息流量，从而占用所有设备的资源及网络带宽，而回应的

地址就是受攻击的目标。例如用

500K bit/sec

流量的

ICMP echo (PING)

包广播到

100

台设备，

产生

100

个

PING

回应，便产生

50M bit/sec

流量。这些流量流向被攻击的服务器

,

便会使这服

务器瘫痪。

ICMP Smurf

的袭击加深了

ICMP

的泛滥程度，

导致了在一个数据包产生成千的

ICMP

数据包发送

到一个根本不需要它们的主机中去，传输多重信息包的服务器用作

Smurf

的放大器。

图

2 Smurf

攻击图

3Fraggle

：

Fraggle

基本概念及做法像

Smurf,

但它是采用

UDP echo

讯息。

如何阻挡

“

拒绝服务

”

的攻击

阻挡

“

拒绝服务

”

的攻击的常用方法之一是：

在网络上建立一个过滤器

（

filter

）

或侦测器

（

sniffer

）

，

在信息到达网站服务器之前阻挡信息。过滤器会侦察可疑的攻击行动。如果某种可疑行动经常

出现，过滤器能接受指示，阻挡包含那种信息，让网站服务器的对外连接线路保持畅通。

DDoS

：

DDoS(Distributed Denial of Service)

其中文含义为分布式拒绝服务攻击。

Distributed

DoS

是黑客控制一些数量的

PC

机或路由器，用这些

PC

机或路由器发动

DoS

攻

击。因为黑客自己的

PC

机可能不足够产生出大量的讯息，使遭受攻击的网络服务器处理能力

全部被占用。

黑客采用

IP

Spoofing

技术，令他自己的

IP

地址隐藏，所以很难追查。如果是在

Distributed

DoS

情况下，被追查出来的都是被黑客控制的用户的

IP

地址；他们本身也是受害者。

iptables 加入:

iptables -A INPUT -i ! lo -m state --state NEW,INVALID -j DROP

也就是丢弃非法(不属于任何连接的新连接)丢弃

长篇大论无用地

管用才是硬道理

不行你扁我

分布式拒绝服务攻击(DDoS)是一种特殊形式的拒绝服务攻击。它是利用多台已经被攻击者所控制的机器对某一台单机发起攻击，在带宽相对的情况下，被攻击的主机很容易失去反应能力。作为一种分布、协作的大规模攻击方式，分布式拒绝服务攻击(DDoS)主要瞄准比较大的站点，像商业公司，搜索引擎和政府部门的站点。由于它通过利用一批受控制的机器向一台机器发起攻击，来势迅猛，而且往往令人难以防备，具有极大的破坏性。

对于此类隐蔽性极好的DDoS攻击的防范，更重要的是用户要加强安全防范意识，提高网络系统的安全性。专家建议可以采取的安全防御措施有以下几种。

1及早发现系统存在的攻击漏洞，及时安装系统补丁程序。对一些重要的信息（例如系统配置信息）建立和完善备份机制。对一些特权账号（例如管理员账号）的密码设置要谨慎。通过这样一系列的举措可以把攻击者的可乘之机降低到最小。

2在网络管理方面，要经常检查系统的物理环境，禁止那些不必要的网络服务。建立边界安全界限，确保输出的包受到正确限制。经常检测系统配置信息，并注意查看每天的安全日志。

3利用网络安全设备（例如：防火墙）来加固网络的安全性，配置好这些设备的安全规则，过滤掉所有可能的伪造数据包。

4与网络服务提供商协调工作，让网络服务提供商帮助实现路由的访问控制和对带宽总量的限制。

5当用户发现自己正在遭受DDoS攻击时，应当启动自己的应付策略，尽可能快地追踪攻击包，并且及时联系ISP和有关应急组织，分析受影响的系统，确定涉及的其他节点，从而阻挡从已知攻击节点的流量。

6如果用户是潜在的DDoS攻击受害者，并且用户发现自己的计算机被攻击者用作主控端和代理端时，用户不能因为自己的系统暂时没有受到损害而掉以轻心。攻击者一旦发现用户系统的漏洞，这对用户的系统是一个很大的威胁。所以用户只要发现系统中存在DDoS攻击的工具软件要及时把它清除，以免留下后患。