防火墙和系统安全防护与优化

防火墙

防火墙(Firewall)，也称防护墙，是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)。它是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统，依照特定的规则，允许或是限制传输的数据通过。

防火墙的作用

防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。

防火墙的特性

1. 内部网络和外部网络之间的所有网络数据流都必须经过防火墙

这是防火墙所处网络位置特性，同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道，才可以全面、有效地保护企业网内部网络不受侵害。

根据美国国家安全局制定的《信息保障技术框架》，防火墙适用于用户网络系统的边界，属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的两个网络连接处，比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。

典型的防火墙体系网络结构如下图所示。从图中可以看出，防火墙的一端连接企事业单位内部的局域网，而另一端则连接着互联网。所有的内、外部网络之间的通信都要经过防火墙。

2. 只有符合安全策略的数据流才能通过防火墙

防火墙最基本的功能是确保网络流量的合法性，并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。从最早的防火墙模型开始谈起，原始的防火墙是一台“双穴主机”，即具备两个网络接口，同时拥有两个网络层地址。防火墙将网络上的流量通过相应的网络接口接收上来，按照OSI协议栈的七层结构顺序上传，在适当的协议层进行访问规则和安全审查，然后将符合通过条件的报文从相应的网络接口送出，而对于那些不符合通过条件的报文则予以阻断。因此，从这个角度上来说，防火墙是一个类似于桥接或路由器的、多端口的（网络接口>=2）转发设备，它跨接于多个分离的物理网段之间，并在报文转发过程之中完成对报文的审查工作。

3. 防火墙自身应具有非常强的抗攻击免疫力

这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。防火墙处于网络边缘，它就像一个边界卫士一样，每时每刻都要面对黑客的入侵，这样就要求防火墙自身要具有非常强的抗击入侵本领。它之所以具有这么强的本领防火墙操作系统本身是关键，只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能，除了专门的防火墙嵌入系统外，再没有其它应用程序在防火墙上运行。当然这些安全性也只能说是相对的。

目前国内的防火墙几乎被国外的品牌占据了一半的市场，国外品牌的优势主要是在技术和知名度上比国内产品高。而国内防火墙厂商对国内用户了解更加透彻，价格上也更具有优势。防火墙产品中，国外主流厂商为思科（Cisco）、CheckPoint、NetScreen等，国内主流厂商为东软、天融信、山石网科、网御神州、联想、方正等，它们都提供不同级别的防火墙产品。

防火墙的功能

1. 网络安全的屏障

一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

2. 强化网络安全策略

通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完可以不必分散在各个主机上，而集中在防火墙一身上。

3. 监控网络存取和访问

如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

4. 防止内部信息的外泄

通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。

防火墙的种类

1. 网络层防火墙

网络层防火墙[3]可视为一种 IP 封包过滤器（允许或拒绝封包资料通过的软硬结合装置），运作在底层的 TCP/IP 协议堆栈上。我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙（病毒除外，防火墙不能防止病毒侵入）。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。

我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。现在的操作系统及网络设备大多已内置防火墙功能。

较新的防火墙能利用封包的多样属性来进行过滤，例如：来源 IP 地址、来源端口号、目的 IP 地址或端口号、服务类型(如 WWW 或是 FTP)。也能经由通信协议、TTL 值、来源的网域名称或网段…等属性来进行过滤。

2. 应用层防火墙

应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作，您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包(通常是直接将封包丢弃)。理论上，这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。

防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑蠕虫或是木马程序的快速蔓延。不过就实现而言，这个方法既烦且杂(软件有千千百百种啊)，所以大部分的防火墙都不会考虑以这种方法设计。

XML 防火墙是一种新型态的应用层防火墙。

根据侧重不同，可分为：包过滤型防火墙、应用层网关型防火墙、服务器型防火墙。

系统安全防护

关于系统安全的防护主要有以下几点措施：

一、 MD5 加密用户密码

用户密码采用MD5加密，这是一种安全性非常高的加密算法，是普遍使用广泛应用于文件验证，银行密码加密等领域，由于这种加密的不可逆性，在使用10位以上字母加数字组成的随机密码时，几乎没有破解的可能性。

二、COOKIES加密

系统保存COOKIES时，对保存于COOKIES中的数据采用了以MD5加密为基础，加入随机加密因子的改进型专用加密算法。若使用的不是标准MD5加密，则系统COOKIES中保存的数据不可能被解密。因此，黑客试图用伪造COOKIES攻击系统变得完全不可能，系统用户资料变得非常安全。

三、SQL注入防护

系统在防SQL注入方面，设置四道安全防护：
第一、系统级SQL防注入检测。系统会遍历检测所有用GET、POST、COOKIES提交到服务器上的数据，如发现有可能用于构造可注入SQL的异常代码，系统将终止程序运行，并记录日志。这一道安全防护加在连接数据库之前，能在连接数据库前挡处几乎所有的SQL注入和危害网站安全的数据提交。
第二、程序级安全仿SQL注入系统。在应用程序中，在构建SQL查询语句前，系统将对由外部获取数据，并带入组装为SQL的变量进行安全性合法性验证，过滤可能构成注入的字符。
第三、禁止外部提交表单。系统禁止从本域名之外的其它域名提交表单，防止从外部跳转传输攻击性代码。
第四、数据库操作使用存储过程。系统所有的重要数据操作，均使用存储过程作参数查询，避免组装SQL字符串，令即使通过了层层SQL注入过滤的攻击性字符仍然无法发挥作用。

四、木马和病毒防护

针对可能的木马和病毒问题，系统认为，在服务器设置安全的情况下，外部带来的安全问题，主要是用户可能上传病毒和木马，系统作了如下四层的防护
　　第一、客户端文件检测。在上传之前，对准备上传的文件进行检测，如果发现不是服务器设置的允许上传的文件类型，系统拒绝进行上传。如果客户端屏蔽了检测语句，则上传程序同时被屏蔽，系统无法上传任何文件。
　　第二、服务器端文件安全性检测。对上传到服务器的文件，程序在将文件写入磁盘前，检测文件的类型，如发现是可能构成服务器安全问题的文件类型，即所有可以在服务器上执行的程序，系统都拒绝写入磁盘。以此保证不被上传可能在服务器上传播的病毒和木马程序。
　　第三、对有权限的服务器。系统采用即上传即压缩策略，所有上传的除图片文件、视频文件外，其它各种类型的文件一但上传，立即压缩为RAR，因此，即使包含木马也无法运行。不能对网站安全带来威胁。
　　第四、底层的文件类型检测。系统对文件类型作了底层级检测，由于不仅检测扩展名，而是对文件的实际类型进行检测，所以无法通过改扩展名方式逃过安全性验证。

五、权限控制系统

系统设置了严格有效的权限控制系统，何人可以发信息，何人能删除信息等权限设置系统一共有数十项详细设置，并且网站不同栏目可以设置完全不同的权限，所有权限均在多个层次上严格控制权限。

六、IP记录

IP地址库。除记录所有重要操作的IP外，还记录了IP所在地区，系统中内置约了17万条IP特征记录。
详细的IP记录。所有的创建记录、编辑记录行为（如发文章，发评论，发站内信等），均记录此操作发生的IP，IP所在地区，操作时间，以便日后备查。在发现安全问题时，这些数据会非常关键和必要。

七、隐藏的程序入口

系统可以全站生成HTML静态文件，使网站的执行程序不暴露在WEB服务中，HTML页不和服务器端程序交互，黑客很难对HTML页进行攻击，很难找到攻击目标。

八、有限的写文件

系统所有的写文件操作只发生于一个UPFILE目录，而此目录下的文件均为只需读写即可，可通过WINDOWS安全性设置，设置此目录下的文件只读写，不执行，而程序所在的其它文件夹只要执行和读权限，从而使破坏性文件无法破坏所有程序执行文件，保证这些文件不被修改。

九、作了MD5校验的订单数据

在用户输入的信息处理中，对提交的信息作MD5校验，从而保证数据不被非法修改。

十、编译执行的代码

基于.net 开发，代码编译执行，更快，更安全。

系统优化
系统优化原来是系统科学（系统论）的术语，现在也用作（而且常用作）计算机方面的术语。它尽可能减少计算机执行少的进程，更改工作模式，删除不必要的中断让机器运行更有效，优化文件位置使数据读写更快，空出更多的系统资源供用户支配，以及减少不必要的系统加载项及自启动项。当然优化到一定程度可能略微影响系统稳定性，但基本对硬件无害。

系统优化的作用

清理WINDOWS临时文件夹中的临时文件，释放硬盘空间
可以清理注册表里的垃圾文件，减少系统错误的产生
加快开机速度，阻止一些程序开机自动执行
加快上网和关机速度
把系统个性化
属性设置

禁用闲置的IDE通道

右键点击“我的电脑－属性”–“硬件”–“设备管理器”，在其中打开“IDE ATA/PATA控制器”然后分别进入主要和次要IDE通道，选择“高级设置”，将“设备类型”设置为“无”，将“传送模式”设为“DMA（若可用”。

优化视觉效果

右键单击“我的电脑”–“属性”—“高级”，在“性能”栏中，点击“设置”–“视觉效果”，调整为最佳性能；或去掉一些不需要的功能：滑动任务栏按钮，为每种文件夹类型使用一种背景图片，在菜单下显示阴影，在单击后淡出菜单，在视图中淡入淡出或滑动工具条提示，在鼠标指针下显示阴影，在最大化和最小化时动画窗口选项去掉钩。留下平滑屏幕字体边缘，在窗口和按钮上使用视觉样式，在文件夹中使用常见任务，在桌面上为图标标签使用阴影四项就可以了。

优化性能

右键单击“我的电脑”–“属性”—“高级”，在“性能”栏中，点击“设置”—“高级”—将“处理器计划”、“内存使用”，均点选“程序”。
单击“虚拟内存”区“更改”–在驱动器列表中选中系统盘符–自定义大小–在“初始大小”和“最大值”中设定数值，然后单击“设置”按钮，最后点击“确定”按钮退出。虚拟内存最小值物理内存1.5—2倍，最大值为物理内存的2—3倍。适当设大点可以加快程序运行速度，但设的虚拟内存是来回在硬盘上读写，会造成很多磁盘碎片，碎片一多又会进一步影响系统性能及稳定，而现在电脑内存普遍在2G或更高，其实一般的应用可以把虚拟内存设为0，那么以后你运行的程序都只会占用内存而不是硬盘上设的虚拟内存。这样一来你的电脑会更稳定。

启动和故障恢复

关闭系统还原功能

单击“开始”–右键单击“我的电脑”–“属性”—“系统还原”，“在所有驱动器上关闭系统还原”打上钩，确定。查看里隐藏爱保护的操作系统文件去掉钩，点上显示所有文件和文件夹，确定以后各盘找到SYSTEM VOLUME INFORMATION 文件夹删除。

手动优化

explorer,人机界面
<1>一些可以不要的东西，例如活动边框的标题栏颜色渐变，可以在主题自定义中取消以节约资源。
<2>右击我的电脑—属性—高级,更改性能和错误报告选项，取消所有错误报告。
<3>右击 Internet—属性，管理加载项等。
<4>使用windows经典主题，不使用背景图片可以节约大量系统资源。桌面图标尽可能少。
<5>开始菜单使用经典菜单，操作是右击 “开始”选经典。
组策略，运行gpedit.msc
主要是提调整任务栏和开始菜单，建议初学者不要乱关，自己看好后慢慢尝试。可以关闭的有自动更新类的，错误报告类的。最主要的是关闭：管理模板—任务栏和开始菜单—个性化菜单、用户跟踪。
启动项,运行msconfig
选启动项目，不要的全关。基本上保留ctmon输入法图标以及相关的安全防护软件及杀毒软件，其他的都可以关闭以提升开机系统启动速度
文件夹选项，打开一个文件夹
在工具-文件夹选项里去掉不必要的东西。想着怎么选择更节约资源，例如使用传统风格，不记住每个文件夹位置，不缓存缩略图等。
服务，运行services.msc
具体要关什么还要根据自己需要，每条服务都有详细的说明，下面这几项不要去动：
DCOM Server Process Launcher Event Log Logical Disk Manager Plug and Play
Remote Procedure Call (RPC) Telephony Windows Audio
注册表网上也有很多可直接导入的优化注册表文件
————————————————
参考链接：

https://blog.csdn.net/ho_loo/article/details/103494119
https://baike.so.com/doc/3110308-3278292.html