防火墙真的很重要吗?如果不装会发生什么?
要想知道它的作用,必须先了解它的工作原理。
防火墙是一个或一组系统,它在 *** 之间执行访问控制策略。实现防火墙的实际方式各不相同,但是在原则上,防火墙可以被认为是这样一对机制:一种机制是拦阻传输流通行,另一种机制是允许传输流通过。一些防火墙偏重拦阻传输流的通行,而另一些防火墙则偏重允许传输流通过。了解有关防火墙的最重要的概念可能就是它实现了一种访问控制策略。如果你不太清楚你需要允许或否决那类访问,你可以让其他人或某些产品根据他(它)们认为应当做的事来配置防火墙,然后他(它)们会为你的机构全面地制定访问策略。
2.为何需要防火墙?
同其它任何社会一样,Internet也受到某些无聊之人的困扰,这些人喜爱在网上做这类的事,像在现实中向其他人的墙上喷染涂鸦、将他人的邮箱推倒或者坐在大街上按汽车喇叭一样。一些人试图通过Internet完成一些真正的工作,而另一些人则拥有敏感或专有数据需要保护。一般来说,防火墙的目是将那些无聊之人挡在你的 *** 之外,同时使你仍可以完成工作。
许多传统风格的企业和数据中心都制定了计算安全策略和必须遵守的惯例。在一家公司的安全策略规定数据必须被保护的情况下,防火墙更显得十分重要,因为它是这家企业安全策略的具体体现。如果你的公司是一家大企业,连接到Internet上的最难做的工作经常不是费用或所需做的工作,而是让管理层信服上网是安全的。防火墙不仅提供了真正的安全性,而且还起到了为管理层盖上一条安全的毯子的重要作用。
最后,防火墙可以发挥你的企业驻Internet“大使”的作用。许多企业利用其防火墙系统作为保存有关企业产品和服务的 *** 息、下载文件、错误修补以及其它一些文件的场所。这些系统当中的几种系统已经成为Internet服务结构(如UUnet.uu.net、whitehouse.gov、gatekeeper.dec.com)的重要组成部分,并且给这些机构的赞助者带来了良好的影响。
3.防火墙可以防范什么?
一些防火墙只允许电子邮件通过,因而保护了 *** 免受除对电子邮件服务攻击之外的任何攻击。另一些防火墙提供不太严格的保护措施,并且拦阻一些众所周知存在问题的服务。
一般来说,防火墙在配置上是防止来自“外部”世界未经授权的交互式登录的。这大大有助于防止破坏者登录到你 *** 中的计算机上。一些设计更为精巧的防火墙可以防止来自外部的传输流进入内部,但又允许内部的用户可以自由地与外部通信。如果你切断防火墙的话,它可以保护你免受 *** 上任何类型的攻击。
防火墙的另一个非常重要的特性是可以提供一个单独的“拦阻点”,在“拦阻点”上设置安全和审计检查。与计算机系统正受到某些人利用调制解调器拨入攻击的情况不同,防火墙可以发挥一种有效的“ *** 听”(Phone tap)和跟踪工具的作用。防火墙提供了一种重要的记录和审计功能;它们经常可以向管理员提供一些情况概要,提供有关通过防火墙的传流输的类型和数量以及有多少次试图闯入防火墙的企图等等信息。
4.防火墙不能防范什么?
防火墙不能防范不经过防火墙的攻击。许多接入到Internet的企业对通过接入路线造成公司专用数据数据泄露非常担心。不幸得是,对于这些担心来说,一盘磁带可以被很有效地用来泄露数据。许多机构的管理层对Internet接入非常恐惧,它们对应当如何保护通过调制解调器拨号访问没有连惯的政策。当你住在一所木屋中,却安装了一扇六英尺厚的钢门,会被认为很愚蠢。然而,有许多机构购买了价格昂贵的防火墙,但却忽视了通往其 *** 中的其它几扇后门。要使防火墙发挥作用,防火墙就必须成为整个机构安全架构中不可分割的一部分。防火墙的策略必须现实,能够反映出整个 *** 安全的水平。例如,一个保存着超级机密或保密数据的站点根本不需要防火墙:首先,它根本不应当被接入到Internet上,或者保存着真正秘密数据的系统应当与这家企业的其余 *** 隔离开。
防火墙不能真正保护你防止的另一种危险是你 *** 内部的叛变者或 *** 。尽管一个工业间谍可以通过防火墙传送信息,但他更有可能利用 *** 、传真机或软盘来传送信息。软盘远比防火墙更有可能成为泄露你机构秘密的媒介!防火墙同样不能保护你避免愚蠢行为的发生。通过 *** 泄露敏感信息的用户是社会工程(social engineering)的好目标;如果攻击者能找到内部的一个“对他有帮助”的雇员,通过欺骗他进入调制解调器池,攻击者可能会完全绕过防火墙打入你的 *** 。
5.防火墙能否防止病毒的攻击?
防火墙不能有效地防范像病毒这类东西的入侵。在 *** 上传输二进制文件的编码方式太多了,并且有太多的不同的结构和病毒,因此不可能查找所有的病毒。换句话说,防火墙不可能将安全意识(security-consciosness)交给用户一方。总之,防火墙不能防止数据驱动的攻击:即通过将某种东西邮寄或拷贝到内部主机中,然后它再在内部主机中运行的攻击。过去曾发生过对不同版本的邮件寄送程序和幻像脚本(ghostscript)和免费PostScript阅读器的这类攻击。
对病毒十分忧虑的机构应当在整个机构范围内采取病毒控制措施。不要试图将病毒挡在防火墙之外,而是保证每个脆弱的桌面系统都安装上病毒扫描软件,只要一引导计算机就对病毒进行扫描。利用病毒扫描软件防护你的 *** 将可以防止通过软盘、调制解调器和Internet传播的病毒的攻击。试图御病毒于防火墙之外只能防止来自Internet的病毒,而绝大多数病毒是通过软盘传染上的。
尽管如此,还是有越来越多的防火墙厂商正提供“病毒探测”防火墙。这类防火墙只对那种交换Windows-on-Intel执行程序和恶意宏应用文档的毫无经验的用户有用。不要指望这种特性能够对攻击起到任何防范作用。
6.在防火墙设计中需要做哪些基本设计决策?
在负责防火墙的设计、制定工程计划以及实施或监督安装的幸运儿面前,有许多基本设计问题等着他去解决。
首先,最重要的问题是,它应体现你的公司或机构打算如何运行这个系统的策略:安装后的防火墙是为了明确地拒绝除对于连接到 *** 至关重的服务之外的所有服务,或者,安装就绪的防火墙是为以非威胁方式对“鱼贯而入”的访问("queuing" access)提供一种计量和审计的 *** 。在这些选择中存在着某种程度的偏执狂;防火墙的最终功能可能将是行政上的结果,而非工程上的决策。
第二个问题是:你需要何种程度的监视、冗余度以及控制水平?通过解决之一个问题,确定了可接受的风险水平(例如你的偏执到何种程度)后,你可以列出一个必须监测什么传输、必须允许什么传输流通行以及应当拒绝什么传输的清单。换句话说,你开始时先列出你的总体目标,然后把需求分析与风险评估结合在一起,挑出与风险始终对立的需求,加入到计划完成的工作的清单中。
第三个问题是财务上的问题。在此,我们只能以模糊的表达方式论述这个问题,但是,试图以购买或实施解决方案的费用多少来量化提出的解决方案十分重要。例如,一个完整的防火墙的高端产品可能价值10万美元,而低端产品可能是免费的。像在Cisco或类似的路由器上做一些奇妙的配置这类免费选择不会花你一分钱,只需要工作人员的时间和几杯咖啡。从头建立一个高端防火墙可能需要几个人工月,它可能等于价值3万美元的工作人员工资和利润。系统管理开销也是需要考虑的问题。建立自行开发的防火墙固然很好,但重要的是使建立的防火墙不需要费用高昂的不断干预。换句话说,在评估防火墙时,重要的是不仅要以防火墙目前的费用来评估它,而且要考虑到像支持服务这类后续费用。
出于实用目的,我们目前谈论的是 *** 服务提供商提供的路由器与你内部 *** 之间存在的静态传输流路由服务,因此基于为一事实,在技术上,还需要做出几项决策。传输流路由服务可以通过诸如路由器中的过滤规则在IP层实现,或通过 *** 网关和服务在应用层实现。
需要做出的决定是,是否将暴露的简易机放置在外部 *** 上为telnet、ftp、news等运行 *** 服务,或是否设置像过滤器这样的屏蔽路由器,允许与一台或多台内部计算机的通信。这两种方式都存在着优缺点, *** 机可以提供更高水平的审计和潜在的安全性,但代价是配置费用的增加,以及可能提供的服务水平的降低(由于 *** 机需要针对每种需要的服务进行开发)。由来以久的易使性与安全性之间的平衡问题再次死死地困扰着我们。
7.防火墙的基本类型是什么?
在概念上,有两种类型的防火墙:
1、 *** 级防火墙
2、应用级防火墙
这两种类型的差异并不像你想像得那样大,最新的技术模糊了两者之间的区别,使哪个“更好”或“更坏”不再那么明显。同以往一样,你需要谨慎选择满足你需要的防火墙类型。
*** 级防火墙一般根据源、目的地址做出决策,输入单个的IP包。一台简单的路由器是“传统的” *** 级防火墙,因为它不能做出复杂的决策,不能判断出一个包的实际含意或包的实际出处。现代 *** 级防火墙已变得越来越复杂,可以保持流经它的接入状态、一些数据流的内容等等有关信息。许多 *** 级防火墙之间的一个重要差别是防火墙可以使传输流直接通过,因此要使用这样的防火墙通常需要分配有效的IP地址块。 *** 级防火墙一般速度都很快,对用户很透明。
*** 级防火墙的例子:在这个例子中,给出了一种称为“屏蔽主机防火墙”(screened host
firewall)的 *** 级防火墙。在屏蔽主机防火墙中,对单个主机的访问或从单个主机进行访问是通过运行在 *** 级上的路由器来控制的。这台单个主机是一台桥头堡主机(bastion host),是一个可以(希望如此)抵御攻击的高度设防和保险的要塞。
*** 级防火墙的例子:在这个例子中,给出了一种所谓“屏蔽子网防火墙”的 *** 级防火墙。在屏蔽子网防火墙中,对 *** 的访问或从这个 *** 中进行访问是通过运行在 *** 级上的路由器来控制的。除了它实际上是由屏蔽主机组成的 *** 外,它与被屏蔽主机的作用相似。
应用级防火墙一般是运行 *** 服务器的主机,它不允许传输流在 *** 之间直接传输,并对通过它的传输流进行记录和审计。由于 *** 应用程序是运行在防火墙上的软件部件,因此它处于实施记录和访问控制的理想位置。应用级防火墙可以被用作 *** 地址翻译器,因为传输流通过有效地屏蔽掉起始接入原址的应用程序后,从一“面”进来,从另一面出去。在某些情况下,设置了应用级防火墙后,可能会对性能造成影响,会使防火墙不太透明。早期的应用级防火墙,如那些利用TIS防火墙工具包构造的防火墙,对于最终用户不很透明,并需要对用户进行培训。应用级防火墙一般会提供更详尽的审计报告,比 *** 级防火墙实施更保守的安全模型。
应用级防火墙举例:这此例中,给出了一个所谓“双向本地网关”(dual homed gateway)的应用级防火墙。双向本地网关是一种运行 *** 软件的高度安全主机。它有两个 *** 接口,每个 *** 上有一个接口,拦阻通过它的所有传输流。
防火墙未来的位置应当处于 *** 级防火墙与应用级防火墙之间的某一位置。 *** 级防火墙可能对流经它们的信息越来越“了解”(aware),而应用级防火墙可能将变得更加“低级”和透明。最终的结果将是能够对通过的数据流记录和审计的快速包屏蔽系统。越来越多的防火墙( *** 和应用层)中都包含了加密机制,使它们可以在Internet上保护流经它们之间的传输流。具有端到端加密功能的防火墙可以被使用多点Internet接入的机构所用,这些机构可以将Internet作为“专用骨干网”,无需担心自己的数据或口令被偷看。
8.什么是“单故障点”?应当如何避免出现这种故障?
安全性取决于一种机制的结构具有单故障点。运行桥头堡主机的软件存在错误。应用程序存在错误。控制路由器的软件存在错误。使用所有这些组件建造设计安全的 *** ,并以冗余的方式使用它们才有意义。
如果你的防火墙结构是屏蔽子网,那么,你有两台包过滤路由器和一台桥头堡主机。(参见本节的问题2)Internet访问路由器不允许传输流从Internet进入你的专用 *** 。然而,如果你不在桥头堡主机以及(或)阻塞(choke)路由器上与其它任何机制一道执行这个规则(rule)的话,那么只要这种结构中的一个组件出现故障或遭到破坏就会使攻击者进入防火墙内部。另一方面,如果你在桥头堡主机上具有冗余规则,并在阻塞路由器上也有冗余规则,那么攻击者必须对付三种机制。
此外,如果这台桥头堡主机或阻塞路由器使用规则来拦阻外部访问进入内部 *** 的话,你可能需要让它触发某种报警,因为你知道有人进入了你的访问路由器。
9.如何才能将所有的恶意的传输拦在外面?
对于重点在于安全而非连接性的防火墙来说,你应当考虑缺省拦阻所有的传输,并且只特别地根据具体情况允许你所需要的服务通过。
如果你将除特定的服务集之外的所有东西都挡在外面,那么你已经使你的任务变得很容易了。你无需再为周围的每样产品和每件服务的各种安全问题担心了,你只需关注特定产品和服务存在的各种安全问题。:-)
在启动一项服务之前,你应当考虑下列问题:
*这个产品的协议是人们熟知的公开协议吗?
*为这个协议提供服务的应用程序的应用情况是否可供公开检查?
*这项服务和产品是否为人们熟知?
*使用这项服务会怎样改变防火墙的结构?攻击者会从不同的角度看待这些吗?攻击者能利用这点进入我的内部 *** ,或者会改变我的DMZ中主机上的东西吗?
在考虑上述问题时,请记住下列忠告:
*“不为人所知的安全性根本不安全。许多未公开的协议都被那些坏家伙研究并破解过。
*无论营销人员说些什么,不是所有的协议或服务在设计时考虑了安全性。事实上,真正在设计时考虑了安全性的协议或服务数量很少。
*甚至在考虑过安全性的情况下,并不是所有的机构都拥有合格的负责安全的人员。在那些没有称职负责安全的人员的机构中,不是所有的机构都愿意请称职的顾问参与工程项目。这样做的结果是那些其它方面还称职的、好心肠的开发者会设计出不安全的系统。
*厂商越不愿意告诉你他们系统的真正工作原理,它就越有可能可存安全性(或其它)问题。只有有什么东西需要隐瞒的厂商才有理由隐瞒他们的设计和实施情况。
10.有哪些常见的攻击?应当如何保护系统不受它们的攻击呢?
每个站点与其它站点遭受攻击的类型都略有不同。但仍有一些共同之处。
*** TP会话攻击( *** TP Session Hijacking)
在这种攻击中,垃圾邮件制造者将一条消息复制成千上万份,并按一个巨大的电子邮件地址清单发送这条消息。由于这些地址清单常常很糟糕,并且为了加快垃圾制造者的操作速度,许多垃圾制造者采取了将他们所有的邮件都发送到一台 *** TP服务器上作法,由这台服务器负责实际发送这些邮件。
当然,弹回(bounces)消息、对垃圾制造者的抱怨、咒骂的邮件和坏的PR都涌入了曾被用作中继站的站点。这将着实要让这个站点破费一下了,其中大部分花费被用到支付以后清除这些信息的人员费用上。
《防止邮件滥用系统传输安全性建议》(The Mail Abuse Prevention System Transport Security Initiative)中对这个问题作了详尽的叙述,以及如何对每个寄信人进行配置防止这种攻击。
利用应用程序中的错误(bugs)
不同版本的web服务器、邮件服务器和其它Internet服务软件都存在各种错误,因此,远程(Internet)用户可以利用错误做从造成对计算机的控制到引起应用程序瘫痪等各种后果。
只运行必要的服务、用最新的补丁程序修补程序以及使用应用过一段时间的产品可以减少遭遇这种风险的可能。
利用操作系统中的错误
这类攻击一般也是由远程用户发起的。相对于IP *** 较新的操作系统更易出现问题,而很成熟的操作系统有充分的时间来发现和清除存在的错误。攻击者经常可以使被攻击的设备不断重新引导、瘫痪、失去与 *** 通信的能力,或替换计算机上的文件。
因此,尽可能少地运行操作系统服务可以有助于防范对系统的攻击。此外,在操作系统前端安装一个包过滤器也可以大大减少受这类攻击的次数。
当然,选择一个稳定的操作系统也同样会有帮助。在选择操作系统时,不要轻信“好货不便宜”这类说法。自由软件操作系统常常比商用操作系统更强。
11.我必须满足用户要求的各种要求吗?
对这个问题的答案完全有可能是“不”。对于需要什么,不需要什么,每个站点都有自己的策略,但是,重要的是记住作为一家机构的看门人的主要工作之一是教育。用户需要流视频、实时聊天,并要求能够向请求在内部 *** 上的活数据库进行交互查询的外部客户提供服务。
这意味着完成任何这类事情都会给机构造成风险,而造成的风险往往比想像中沿着这条路走下去的“价值”的回报更高。多数用户不愿使自己的机构遭受风险。他们只看一看商标,阅读一下广告,他们也愿意做上述那些事。重要的是了解用户真正想干些什么,帮助他们懂得他们可以以更安全的方式实现他们的真正目的。
你不会总受到欢迎,你可以甚至会发现自己收到了难以置信愚蠢的命令,让你做一些诸如“打开所有的口子”这样的事,但不要为此担心。在这种时刻,明智的做法是将你的交换数据全都保存起来,这样当一个十二岁的小孩闯入 *** 时,你至少能够使你自己远离混乱局面。
12.如何才能通过自己的防火墙运行Web/HTTP?
有三种办法做到这点:
1、如果你使用屏蔽路由器的话,允许“建立起的”连接经过路由器接入到防火墙外。
2、使用支持SOCKS的Web客户机,并在你的桥头堡主机上运行SOCKS。
3、运行桥头堡主机上的某种具有 *** 功能的Web服务器。一些可供选择的 *** 服务器包括Squid、Apache、Netscape Proxy和TIS防火墙工具包中的http-gw。这些选件中的多数还可以 *** 其它协议(如gopher和ftp),并可缓存捕获的对象。后者一般会提高用户的性能,使你能更有效地使用到Internet的连接。基本上所有的Web客户机(Mozilla、Internet Explorer、Lynx等等)都具有内置的对 *** 服务器的支持。
13.在使用防火墙时,怎样使用DNS呢?
一些机构想隐藏DNS名,不让外界知道。许多专家认为隐藏DNS名没有什么价值,但是,如果站点或企业的政策强制要求隐藏域名,它也不失为一种已知可行的办法。你可能必须隐藏域名的另一条理由是你的内部 *** 上是否有非标准的寻址方案。不要自欺欺人的认为,如果隐藏了你的DNS名,在攻击者打入你的防火墙时,会给攻击者增加困难。有关你的 *** 的信息可以很容易地从 *** 层获得。假如你有兴趣证实这点的话,不妨在LAN上“ping”一下子网广播地址,然后再执行“arp -a”。还需要说明的是,隐藏DNS中的域名不能解决从邮件头、新闻文章等中“泄露”主机名的问题。
这种 *** 是许多 *** 中的一个,它对于希望向Internet隐瞒自己的主机名的机构很有用。这种办法的成功取决于这样一个事实:即一台机器上的DNS客户机不必与在同一台机器上的DNS服务器对话。换句话说,正是由于在一台机器上有一个DNS服务器,因此,将这部机器的DNS客户机活动重定向到另一台机器上的DNS服务器没有任何不妥(并且经常有好处)。
首先,你在可以与外部世界通信的桥头堡主机上建立DNS服务器。你建立这台服务器使它宣布对你的域名具有访问的权力。事实上,这台服务器所了解的就是你想让外部世界所了解的:你网关的名称和地址、你的通配符MX记录等等。这台服务器就是“公共”服务器。
然后,在内部机器上建立一台DNS服务器。这台服务器也宣布对你的域名具有权力;与公共服务器不同,这台服务器“讲的是真话”。它是你的“正常”的命名服务器,你可以在这台服务器中放入你所有的“正常”DNS名。你再设置这台服务器,使它可以将它不能解决的查询转发到公共服务器(例如,使用Unix机上的/etc/
named.boot中的“转发器”行(forwarder line))。
最后,设置你所有的DNS客户机(例如,Unix机上的/etc/resolv.conf文件)使用内部服务器,这些DNS客户机包括公共服务器所在机器上的DNS客户机。这是关键。
询问有关一台内部主机信息的内部客户机向内部服务器提出问题,并得到回答;询问有关一部外部主机信息的内部客户机向内部服务器查询,内部客户机再向公共服务器进行查询,公共服务器再向Internet查询,然后将得到的答案再一步一步传回来。公共服务器上的客户机也以相同的方式工作。但是,一台询问关于一台内部主机信息的外部客户机,只能从公共服务器上得到“限制性”的答案。
这种方式假定在这两台服务器之间有一个包过滤防火墙,这个防火墙允许服务器相互传递DNS,但除此之外,限制其它主机之间的DNS。
这种方式中的另一项有用的技巧是利用你的IN-ADDR.AROA域名中通配符PTR记录。这将引起对任何非公共主机的“地址到名称”(address-to-name)的查找返回像“unknown.YOUR.DOMAIN”这样的信息,而非返回一个错误。这就满足了像匿名FTP站点的要求。这类站点要求得到与它们通信的计算机的名字。当与进行DNS交叉检查的站点通信时,这种 *** 就不灵了。在交叉检查中,主机名要与它的地址匹配,地址也要与主机名匹配。
14.怎样才能穿过防火墙使用FTP?
一般来说,可以通过使用像防火墙工具包中的ftp-gw这类 *** 服务器,或在有限的端口范围允许接入连接到 *** 上(利用如“建立的”屏蔽规则这样的规则来限制除上述端口外的接入),使FTP可以穿过防火墙工作。然后,修改FTP客户机,使其将数据端口连接在允许端口范围内的一个端口上。这样做需要能够修改在内部主机上的
FTP客户机应用。
在某些情况下,如果FTP的下载是你所希望支持的,你不妨考虑宣布FTP为“死协议”(dead protocol),并且让户通过Web下载文件。如果你选择FTP-via-Web方式,用户将不能使用FTP向外传输文件,这可能会造成问题,不过这取决你试图完成什么。
另一个不同的办法是使用FTP "PASV"选项来指示远程FTP服务器允许客户机开始连接。PASV方式假设远程系统上的FTP服务器支持这种操作。(详细说明请参看RFC1579)
另一些站点偏爱建立根据SOCKS库链接的FTP程序的客户机版本。
15.怎样才能穿过防火墙使用telnet?
利用像防火墙工具包中的tn-gw这类应用 *** ,或简单地配置一台路由器使它利用像“建立的”屏蔽规则等策略允许接出,一般都可以支持使用telnet。应用 *** 可以以运行在桥头堡主机上的独立 *** 的形式,或以SOCKS服务器和修改的客户机的形式存在。
16.怎样才能穿过防火墙使用RealAudio?
RealNetworks中含有关于如何使穿过防火墙RealAudio的一些说明。在没有清楚地了解做哪些改动,了解新的改动将带来什么样的风险的情况下,就改动你的防火墙,是很不明智的。
17.如何才能使web服务器作为专用 *** 上的一个数据库的前端呢?
实现这点的更佳途径是通过特定的协议在web服务器与数据库服务器之间允许很有限的连接。特定的协议只支持你将使用的功能的级别。允许原始SQL或其它任何可为攻击者利用来进行定制提取(extractions)的东西,一般来说不是一个好主意。
假设攻击者能够进入你的web服务器,并以web服务器同样的方式进行查询。难道没有一种机制能提取web服务器不需要的像信用卡信息这样的敏感信息吗?攻击者难道不能发出一次SQL选择,然后提取你整个的专用数据库吗?
同其它所有应用一样,“电子商务”应用从一开始设计时就充分考虑到了安全问题,而不是以后再想起来“增加”安全性。应当从一个攻击者的角度,严格审查你的结构。假设攻击者了解你的结构的每一个细节。现在,再问问自己,想要窃取你的数据、进行非授权的改动或做其它任何你不想让做的事的话,应当做些什么。你可能会发现,不需要增加任何功能,只需做出一些设计和实施上的决策就可大大地增加安全性。
下面是一些如何做到这点的想法:
以一般的原则,从数据库中提取你所需要的数据,使你不用对包含攻击者感兴趣的信息的整个数据库进行查询。对你允许在web服务器与数据库之间传输流实行严格的限制和审计。
回答者:引力流 - 经理 四级 3-11 23:46
提问者对于答案的评价:
bn
其他回答
共 6 条
记得一个馒头中说无极=无聊X2,那我想现在普通网友认为的安全应该是 安全=防火墙+杀毒.鉴于普通网友不具备主动发现和手工清除病毒的能力,所以采用杀毒软件来清除病毒是很好的办法,但是有的时候杀毒软件确实也发现不了一些木马后门.而且经常因为清除病毒造成一些程序无法正常使用,防火墙是阻挡外界攻击的, *** 上的攻击形形 *** 所以我们合理的配置好我们的防火墙还是很有必要的,你问题中提到了后台活动的程序那我推荐你安装反间谍程序,这样就一目了然了。 所以这些防护软件该怎么用,并没有严格限制,根据自己需求吧.
总而言之一句话,防火墙是守城的,是站岗放哨的,没有系统给他的命令是不
允许放不明身份的敌人(程序)进来的。而杀毒软件是把不小心潜入的敌人(程序)给消灭掉的。
面部识别的监控系统被应用,是否会泄露人们的隐私?
是不保证的人脸识别技术的安全性能吗?
人脸数据肯定存在于广泛的应用中,并且无法避免它。当一个人的识别刚刚出现时,照片被打印并打印可以破解,现在您可能会注意到一些软件会要求您闪烁,单击头部,但它可能是破解。但我也想说,事实上,指纹是有效的风险,并且还有一个指纹数据泄露的情况。
所谓的“裂纹生物识别”是“欺骗传感器”过程。如今,更智能的设备采用了生物识别技术,但我们已经发现了深度,实际上,这些生物识别技术具有“传感器容易被欺骗”的安全危险。百度安全研究表明,尽管生物鉴定变得越来越多,但从安全的角度来看,它并不是很有害。
但每个人都不必担心太多,并且您已发现的漏洞基本上发现了相应的解决方案。我们投入了很多努力来研究生物识别安全性。一方面,我们呼吁设备制造商在考虑产品体验的同时考虑安全,另一方面,供应商联合探索如何解决这些问题并共同促进生物识别技术的进展。
大成律师事务所高级合作伙伴陈立琪表示,人类脸部识别技术用于验证“您真的是你所说的,”在遥控交易或身份确认的情况下,确认自己是自己的行为实施的。它是解决自己的身份安全问题等最有效的技术措施,如电子支付,在线交易和 *** 应用程序。但是,一旦脸部信息易于获得“生物识别密码”,它是随机替换的,然后人类识别技术验证了真实身份,它已成为胡说八道。
公众如何保护隐私?
公众应该提高自我预防,阅读隐私政策的意识,找到太模糊,遮挡的可疑的条款或隐私条款,并没有足够的应用程序或回到公司的信任,应该拒绝使用该应用程序。此外,在个人信息侵权事件之后,应及时向法院检察,以向有关 *** 部门报告。
由于面部识别是收集人脸数据,然后匹配验证,面部识别机构也收集了大量的面部特征,原始图片和照片,这将留在他们的服务器上,所以普通的人非常难以置信避免人类脸部识别的风险。大众汽车可以注意到不提供特别小的面部识别的照片。
目前,面部识别滥用的情况较小,但改变面的方式更为常见。对于人脸识别,实际上,每个公司的算法都有一些差异,并且通过不同算法从不同传感器传递的人脸数据不同。因此,可以在家庭中成功识别相同的照片,而不是必然识别的照片。
被自己更好、最信任的人出卖是什么样的感觉
如果你是一个很敢做的人,那么你的想法可能是,这个人这么该死,亏自己以前带她那么好,现在你背叛我,那我也要你尝尝被人背叛的感觉,很可能实施心理报复。但如果你是很优柔寡断的人,你的想法可能是,我到底做错了什么,你非要这样对待我。总之,被朋友背叛的感觉就是自己很难过,好似被人抛弃,全世界都不喜欢自己得感觉,好像没有人会在乎自己很不舒服。尝过这种感觉,就一定不会再像尝这种感觉。如果说恋人分手是之一痛,这种背叛绝不亚于这之一痛。
你的生活中发生过哪些难以置信的事?
我记得在我印象中最难以启齿的事情是在我15岁的时候。在我刚起床的时候,我的 *** 上全是血。而且床单上也全都是血。当时我脑袋一下子蒙了,我以为我会死。而且把床单弄得这么脏,我肯定会被骂的,当时的心理受了不少的煎熬。后来我的奶奶告诉我这是女生之一次来例假。现在回想起来,当时的事情就觉得很好玩,怎么当时就什么都不懂呢!而且15岁来例假,我奶奶说也已经算是挺晚的了。
在我工作中我也遇到了一些难以启齿的事情。我当时去工作的路上是要坐40分钟的公交车。然后在走10分钟的路程才能来到公司的办公室。在公交车上时候就感觉到肚子很疼。当时就觉得是想上大号。但是当时的我已经忍不住了。在下公交车的时候,我就开始拼命地全速往前走路。但是你知道那种情况是很难忍受的。特别是到临界点的时候。
当时就想要不然就在路边解决算了。丢脸就丢脸吧!可是真要是这样的话,那么我肯定就不会再去这个公司上班了,因为路上全都是我的同事。后来路过的时候问了两个阿姨。可不可以去他家上厕所。阿姨说他们家很不方便,不过转弯儿的时候有一家餐饮店,他们那儿应该有厕所。最后是极度煎熬的来到了厕所。但是当时兜里边儿却没有纸。这件事情真的是令我极度尴尬,而且难以启齿。
其实生活中遇到这种情况很多。包括我的这两种情况,可能大多数人都遇到过。但是他们也不会往外说。其实想想确实是挺丢脸的。
难以置信!广东男子明知是骗子仍转账40万,最终是如何将损失降到更低的?
广东一男子明明知道对方是骗子,却仍然转账了40万,最后警方直接上门进行了提醒,剩下的150万才没有转给骗子,把损失降到了更低。男子这么做的原因是想让妻子吃一个亏,让妻子知道对方是骗子,不要再去 *** 上投资理财了。
一提到广东,很多人都会想到包租公或者包租婆,这是很多影视剧中的形象。人们都认为广东人是非常有钱的,家中有很多的住房每一天都不需要上班,只需要收租就能够获得很多的金钱。而上述的事情正好发生在广东,又让人们感觉到有钱人的想法是我们不理解的。这个男子明明知道对方是在骗取妻子的钱,但仍然把40多万转到了对方的账户上。刚开始的时候警方进行了拨打 *** ,但是 *** 一直打不通,原来是被男子给挂掉了。警察也是非常着急就直接开始登门拜访,不然男子就会损失200多万,这就是一笔巨款。可能男子家中比较的有钱,所以不在意,但人民警察是不想让群众受到财产损失的。
这个男子就是想让自己的妻子真正的清醒过来,花钱给妻子买一个教训。这种想法是比较好的,但是花的钱也实在太多了,居然想要花200多万,果然不愧是有钱人,是真正的富豪。不过警察也不能时时刻刻盯着这对夫妻,如果妻子再次被骗了,男子可能还会想以这种 *** 来让妻子明白。也希望妻子可以明白, *** 上的虚拟货币都是假的,不要再进行投资了。妻子其实可能也明白,但前期投入的钱比较多,所以就不想放弃,这也是不到黄河不死心。
警方真的是非常的耐心,对男子进行了很长时间的劝说,终于让男子透露出了自己的心里话,可以看出男子的防备心理也是很严重的,只相信自己的妻子。也希望男子可以以正确的方式去让妻子明白骗局,不要让自己的财产受损。
关于银河系的19个几乎令人难以置信的事实
我们所有人都生活在一个叫做银河系的星系中,但是我们几乎看不到它。要评估其完整比例,我们需要从侧面看它。这就是为什么我们只有一小幅大图可供观察的原因。但是,即使到目前为止我们收集到的少量信息也简直令人震惊。
以下是关于银河系的前19个几乎令人难以置信的事实:
1.银河系的直径约为120,000光年,中间有一个增厚的部分。但是它的形状远非完美的平坦,看起来有些“变形”。
2.根据科学家的说法,银河系中大约有2000亿颗恒星。相比之下,我们知道的更大的星系IC 1101拥有超过100万亿颗恒星,是500倍以上。
3.在希腊神话中,银河系是当赫拉在母乳喂养大力神时洒牛奶时产生的。
4.银河系有四个包含大部分恒星的螺旋臂。所有(我们知道的)有知觉的生物都生活在英仙座臂的中心附近。
5.在银河系的中心是一个超大质量的黑洞,其质量比太阳大数百倍。地球距离该宇宙大约27,000光年。
6.虽然太阳系的平均速度为828,812 km / h,但绕整个银河系运转仍需约2.3亿年。
7.天文学家认为,我们看到的恒星,行星,小行星和尘埃仅占银河系总质量的十分之一。剩下的90%是所谓的暗物质。
8.据估计,每年在银河系中形成7个新恒星。它们由气体和星尘产生,而气体和星尘又是爆炸恒星的残留物。
9.银河系和仙女座星系的碰撞是不可避免的。好消息是,这将需要大约45亿年的时间。而且由于这些星系中的恒星密度非常低,它们很可能会彼此简单地通过。
10.这两个星系是超过54个称为本地组的星系的一部分。更大的星系是仙女座,银河系排名第二,三角星系排名第三。
11.我们银河系中的所有恒星仅占其质量的3%。
12.尽管那里有数十亿颗恒星,但使用常规望远镜您最多只能看到2500颗。
13.我们的星球位于银河系宜居区域的中心。我们越接近银河系中心,宇宙辐射越强。
14.由于其巨大的质量,我们的星系经常吸引来自其他较小星团的恒星。
15.科学家们估计,我们的宇宙已经存在了不到140亿年。在这种情况下,银河系的年龄估计为1135至1336亿年,这与宇宙的年龄几乎相同。
16.银河系并不总是一个美丽的弯曲螺旋。它必须吸收无数其他星系才能变形。
17.由于行星上都有卫星,所以银河系也有。这些是相对较小的星团(按照宇宙标准)。
18.银河和仙女座以每秒140公里的惊人速度互相冲撞。
19.半人马座欧米茄球状星团曾经是一个矮星系,但是它的大多数恒星已经被银河系吸收了。
希望您能把本文推荐给小朋友们阅读,以增长孩子们的航空宇宙知识。并请评论、点赞和关注!
0条大神的评论