[问题]ubuntu下面哪个防火墙好一点。
-
guoyan
- 帖子: 29
- 注册时间: 2005-12-26 12:34
- 联系:
[问题]ubuntu下面哪个防火墙好一点。
大家都用哪些的?
-
eexpress
- 帖子: 58428
- 注册时间: 2005-08-14 21:55
- 来自: 长沙
-
jianglinzy
- 帖子: 10
- 注册时间: 2006-08-25 13:53
- 来自: 云南
-
jianglinzy
- 帖子: 10
- 注册时间: 2006-08-25 13:53
- 来自: 云南
-
zhuqin_83
- 帖子: 10606
- 注册时间: 2006-05-13 4:02
- 联系:
-
zhuqin_83
- 帖子: 10606
- 注册时间: 2006-05-13 4:02
- 联系:
-
xjflyttp
- 帖子: 281
- 注册时间: 2006-10-18 0:36
- 来自: Core
- 联系:
-
plasma2006
- 帖子: 466
- 注册时间: 2006-10-19 9:17
-
zhang10369
- 帖子: 42
- 注册时间: 2006-11-17 10:56
-
shishuizhixin
- 帖子: 25
- 注册时间: 2006-09-11 16:56
-
arli
- 帖子: 194
- 注册时间: 2006-11-24 11:00
- 来自: 太阳系第3行星
- 联系:
firestart 就可以了
现在能下载的所谓的防火墙 都是软件控制端口的,只能决定开放与否,比如天网、winxp 自备那个、MS IPSEC、MS ISA、包括norton firewall 都是如此。。
部分好点的,比如XP自备的只能说接管后还可以控制icmp 包,但就算禁了也是照收不误,只是不响应以降低目标不可到达(包太大、缓冲超出)之类的time wait 问题。。。
再高级点的,象norton 能够阻止没有授权而开放的端口(中间经过了一层NAT,不过UDP 端口还是可能推测出来)
之所以我举的都是M$平台的软件,是因为在linux 这些根本不用,用firestart (实际上它只是改 iptable 的gui)完全够了,换句话说,linux 就是那个大firewall 关键就是要象windows 下改tcp 参数一样的仔细的去配置它,还要实时的去调整它,起作用的是人的大脑
实话说,我搞过二年多的安全,还没有发现哪个firewall 软件很牛X的,基本上是没啥大作用,全够CPU去抵抗(当然抵抗是建立在修改tcp 参数之后,特指HTTP服务)
真正的firewall 是一定要有一个硬件芯片和一个很大的存储器来实现的,它可以动态的建立和缓存用来识别有效链路,并且在不请而来的包进行记忆,以匹配是否firewall 后面的机器给予响应(IP头里的目标地址)或者匹配这个访客的包的速度、窗口大小、包的大小、目标是否可到达(伪造的地址)等等,而这些用软件实现,就要一整台机器为之服务,所以新浪之类的网站前面都是一层FIREWALL 一层CACHE机 再一层firewall 然后才到真正的服务器(实际上近几年都是DNS加速了真正我们平时连接的并不是新浪,只是新浪签的一些DNS加速公司,根据目标IP解析到所在地的CACHE机上),能搞死那么多台炮灰机器除非就在移动机房(现在肉鸡越来越多另当别论,以前我的同行前些日子还在跟我说他手上有近100万的肉鸡,这以大的数据量才有可能撼动多层炮灰机制)。
现在能下载的所谓的防火墙 都是软件控制端口的,只能决定开放与否,比如天网、winxp 自备那个、MS IPSEC、MS ISA、包括norton firewall 都是如此。。
部分好点的,比如XP自备的只能说接管后还可以控制icmp 包,但就算禁了也是照收不误,只是不响应以降低目标不可到达(包太大、缓冲超出)之类的time wait 问题。。。
再高级点的,象norton 能够阻止没有授权而开放的端口(中间经过了一层NAT,不过UDP 端口还是可能推测出来)
之所以我举的都是M$平台的软件,是因为在linux 这些根本不用,用firestart (实际上它只是改 iptable 的gui)完全够了,换句话说,linux 就是那个大firewall 关键就是要象windows 下改tcp 参数一样的仔细的去配置它,还要实时的去调整它,起作用的是人的大脑
实话说,我搞过二年多的安全,还没有发现哪个firewall 软件很牛X的,基本上是没啥大作用,全够CPU去抵抗(当然抵抗是建立在修改tcp 参数之后,特指HTTP服务)
真正的firewall 是一定要有一个硬件芯片和一个很大的存储器来实现的,它可以动态的建立和缓存用来识别有效链路,并且在不请而来的包进行记忆,以匹配是否firewall 后面的机器给予响应(IP头里的目标地址)或者匹配这个访客的包的速度、窗口大小、包的大小、目标是否可到达(伪造的地址)等等,而这些用软件实现,就要一整台机器为之服务,所以新浪之类的网站前面都是一层FIREWALL 一层CACHE机 再一层firewall 然后才到真正的服务器(实际上近几年都是DNS加速了真正我们平时连接的并不是新浪,只是新浪签的一些DNS加速公司,根据目标IP解析到所在地的CACHE机上),能搞死那么多台炮灰机器除非就在移动机房(现在肉鸡越来越多另当别论,以前我的同行前些日子还在跟我说他手上有近100万的肉鸡,这以大的数据量才有可能撼动多层炮灰机制)。