Conocimientos relacionados sobre firewalls

Los cortafuegos suelen aparecer con dos iconos en la red. Un ícono es muy visual, realmente como una pared. El otro ícono se visualiza desde el mecanismo de filtrado del firewall y tiene un ícono de diodo en el ícono. Sabemos que el diodo tiene conductividad unidireccional, lo que ilustra vívidamente que el cortafuegos tiene conductividad unidireccional. Esto parece algo contradictorio con el mecanismo de filtrado del firewall, pero incorpora completamente las ideas de diseño iniciales del firewall y también incorpora en gran medida el mecanismo de filtrado del firewall actual. Debido a que la idea de diseño original del firewall era confiar siempre en la red interna pero nunca en la red externa, el firewall original solo filtraba las comunicaciones provenientes del exterior y no restringía las comunicaciones enviadas por los usuarios de la red interna. Por supuesto, el firewall ha cambiado en su mecanismo de filtrado. No solo necesita filtrar las conexiones de comunicación de la red externa, sino también algunas solicitudes de conexión y paquetes de datos de los usuarios de la red interna. Sin embargo, el firewall todavía solo pasa las comunicaciones que cumplen. la política de seguridad también se puede decir que tiene "comunicación unidireccional".

El significado original de cortafuegos se refiere a los tiempos antiguos en los que se construían y utilizaban casas con estructura de madera para evitar la aparición y propagación del fuego, la gente amontonaba piedras sólidas alrededor de la casa a modo de barrera. de estructura protectora se llamó Llámelo "cortafuegos". De hecho, lo que funciona junto con el firewall es la "puerta". Si no hay puertas, ¿cómo pueden comunicarse las personas en cada habitación y cómo pueden entrar las personas en estas habitaciones? Cuando se produce un incendio, ¿cómo escapan estas personas del lugar? Esta puerta es equivalente a la "política de seguridad" del firewall del que estamos hablando aquí, por lo que el firewall del que estamos hablando aquí no es en realidad una pared sólida, sino una pared con algunos pequeños agujeros. Estos pequeños orificios se utilizan para permitir la comunicación y se instala un mecanismo de filtrado en estos pequeños orificios, que es la "conectividad unidireccional" presentada anteriormente.

Lo que normalmente llamamos firewall de red se basa en el significado metafórico de un firewall que en realidad se usaba para protección contra incendios en la antigüedad. Se refiere a un sistema de defensa que aísla la red local de la red externa. La protección contra incendios puede aislar la red de área local (LAN) interna de la empresa de Internet u otras redes externas y restringir el acceso a la red para proteger la red interna. La arquitectura de hardware de los firewalls ha experimentado la arquitectura general de CPU, la arquitectura ASIC y la arquitectura de procesador de red. Sus características respectivas son las siguientes:

Arquitectura general de CPU

La arquitectura general de CPU más común es. un firewall basado en la arquitectura Intel X86 Entre los firewalls de 100 megabits, el hardware de Intel tiene un rendimiento de 2 Gbps aún mayor, pero en aplicaciones reales, especialmente en el caso de paquetes pequeños, está lejos del rendimiento nominal. La potencia de procesamiento de las CPU de uso general también es muy limitada.

Los equipos de seguridad domésticos utilizan principalmente la arquitectura general de CPU basada en X86.

Arquitectura ASIC

La tecnología ASIC (circuito integrado de aplicación específica) se utilizó ampliamente en equipos de red extranjeros de alta gama hace unos años. Debido a la adopción del modo de reenvío de hardware, la tecnología multibus y la separación del plano de datos y el plano de control, el firewall de arquitectura ASIC resuelve el problema de la capacidad y el rendimiento del ancho de banda insuficiente y su estabilidad también está bien garantizada.

La ventaja de rendimiento de la tecnología ASIC se refleja principalmente en el reenvío de la capa de red, pero no tiene ninguna ventaja en el procesamiento de datos de la capa de aplicación que requiere una gran potencia informática, frente a aplicaciones que mutan con frecuencia. Los problemas de seguridad, su flexibilidad y escalabilidad también son difíciles de cumplir con los requisitos.

Debido a que esta tecnología tiene altos umbrales técnicos y financieros, es utilizada principalmente por fabricantes nacionales y extranjeros de renombre. Los principales fabricantes extranjeros representativos son Netscreen, y los principales fabricantes representativos nacionales son Tianrongxin y Netroy Shenzhou.

Arquitectura del procesador de red

Debido a la dificultad técnica para escribir el microcódigo utilizado por el procesador de red, es difícil lograr el rendimiento óptimo del producto. Por ello, se basan en productos firewall. La arquitectura del procesador de red es difícil de implementar. Ocupa una gran cuota de mercado.

Firewall basado en CPU doméstica

Con el desarrollo de procesadores domésticos de uso general, se han desarrollado gradualmente firewalls basados ​​en China Core. La arquitectura principal es el procesador de protocolo FPGA doméstico Loongson 2F. Aplicable a industrias sensibles a la seguridad nacional, como el gobierno y el ejército. Los fabricantes representativos incluyen el Instituto de Tecnología Informática de la Academia de Ciencias de China, Bohua Technology y otras empresas. Hay tres configuraciones de firewall: modo de inicio dual, modo de host filtrado y modo de subred filtrado.

El método de doble conexión es el más sencillo. La puerta de enlace dual se coloca entre las dos redes. Esta puerta de enlace dual también se llama bastionhost. Esta estructura es de bajo costo, pero tiene el problema de un único punto de falla. Esta estructura no aumenta la capacidad de autodefensa de la seguridad de la red y, a menudo, es el objetivo de primera elección para los ataques de "hackers". Una vez que se viola, toda la red quedará expuesta.

Screeningrouter en modo Screened-host establece una barrera para proteger la seguridad de Bastionhost. Primero envía toda la información entrante a Bastionhost y solo acepta datos de Bastionhost como datos salientes. Esta estructura se basa en Screeningrouter y Bastionhost. Mientras uno falle, toda la red quedará expuesta.

La subred apantallada contiene dos Screeningrouters y dos Bastionhosts. Se forma una red de aislamiento entre la red pública y la red privada, llamada "zona de alto el fuego" (DMZ o Zona Desmilitarizada), y Bastionhost se coloca en la "zona de alto el fuego". Esta estructura tiene buena seguridad. Sólo cuando se destruyen dos unidades de seguridad, la red queda expuesta, pero el costo también es muy elevado. Firewall de primera generación

La tecnología de firewall de primera generación apareció casi al mismo tiempo que los enrutadores y utilizaba tecnología de filtro de paquetes (filtro de paquetes).

Firewall de segunda generación

La tecnología de firewall de primera generación se implementó principalmente en enrutadores. Posteriormente, esta función de seguridad se separó y se utilizó específicamente para implementar funciones de filtrado de seguridad. En 1989, Dave Presotto y Howard Trickey de Bell Labs lanzaron el firewall de segunda generación, es decir, el firewall de capa de circuito, y también propusieron la estructura preliminar del firewall de tercera generación: firewall de capa de aplicación (firewall proxy).

Firewalls de tercera generación

Con la aparición de los firewalls proxy, el software de seguridad que originalmente era independiente de los enrutadores se desarrolló rápidamente y desencadenó la demanda de seguridad para los sistemas operativos que alojan el propio software de seguridad. . Es decir, los requisitos de seguridad para las cuestiones de seguridad del propio firewall.

Firewall de cuarta generación

En 1992, Bob Braden de la Facultad de Ciencias de la Información de la USC desarrolló un firewall de cuarta generación basado en la tecnología de filtro dinámico de paquetes (Dynamic Packet Filter), que más tarde evolucionó hasta convertirse en la llamada tecnología de inspección estatal. En 1994, la empresa israelí CheckPoint desarrolló el primer producto comercial que utilizaba esta tecnología.

Firewall de quinta generación

En 1998, NAI lanzó una tecnología de proxy adaptativo (Adaptive proxy) y la implementó en su producto Gauntlet Firewall para NT, proporcionando proxy. Este tipo de firewall ha dado un nuevo significado y puede denominarse cortafuegos de quinta generación.

Puerta de enlace de seguridad integrada UTM

La gestión unificada de amenazas UTM es un dispositivo desarrollado sobre la base de firewalls y tiene funciones integrales como firewall, IPS, antivirus y antispam. Dado que activar varias funciones al mismo tiempo reducirá en gran medida el rendimiento de procesamiento de UTM, se utiliza principalmente en campos de gama media y baja que no tienen requisitos de alto rendimiento. En el campo de gama media a baja, UTM ha surgido como un reemplazo de los firewalls, porque UTM en sí es un firewall sin permitir funciones adicionales, y las funciones adicionales brindan a los usuarios más opciones para sus aplicaciones. En los campos de aplicaciones de alto nivel, como las telecomunicaciones, las finanzas y otras industrias, los firewalls dedicados de alto rendimiento y los IPS siguen siendo la corriente principal. Un firewall es una especie de tapón de filtro (así lo entiendes). Puedes dejar que las cosas que te gusten pasen a través de este tapón y todo lo demás se filtrará. En el mundo de las redes, lo que filtra el firewall son los paquetes de comunicación que contienen datos de comunicación.

Cada firewall del mundo dirá al menos dos palabras: Sí o No. Simplemente diga aceptar o rechazar. El firewall más simple es un puente Ethernet. Pero pocos pensaron que este primitivo cortafuegos sería de mucha utilidad. La mayoría de los firewalls utilizan una amplia variedad de tecnologías y estándares. Estos firewalls vienen en varias formas: algunos reemplazan la pila de protocolos TCP/IP ya equipada en el sistema; otros construyen sus propios módulos de software sobre la pila de protocolos existente; otros son simplemente sistemas operativos independientes. También existen algunos firewalls basados ​​en aplicaciones que solo brindan protección para tipos específicos de conexiones de red (como protocolos SMTP o HTTP, etc.). También existen algunos productos de firewall basados ​​en hardware que en realidad deberían clasificarse como enrutadores de seguridad. Todos los productos anteriores pueden denominarse firewalls porque todos funcionan de la misma manera: analiza los paquetes de datos que entran y salen del firewall y decide si dejarlos pasar o descartarlos.

Todos los firewalls tienen capacidades de filtrado de direcciones IP. Esta tarea examina el encabezado del paquete IP y toma una decisión de aprobar/eliminar en función de sus direcciones IP de origen y destino. Mire la imagen a continuación. Hay un firewall entre los dos segmentos de la red. Hay una computadora UNIX en un extremo del firewall y una PC cliente en el otro lado del segmento de red.

Cuando el cliente de la PC inicia una solicitud de telnet a la computadora UNIX, el programa del cliente de telnet de la PC genera un paquete TCP y lo pasa a la pila de protocolo local para su envío. A continuación, la pila de protocolos "mete" el paquete TCP en un paquete IP y luego lo envía a la computadora UNIX a través de la ruta definida por la pila TCP/IP de la PC. En este ejemplo, el paquete IP debe pasar a través del firewall entre la PC y la computadora UNIX antes de que pueda llegar a la computadora UNIX.

Le "ordenamos" (en términos profesionales, configuramos) al firewall que rechace todos los paquetes de datos enviados a la computadora UNIX. Después de completar este trabajo, el firewall con un mejor "corazón" aún notificará al programa cliente. ! Dado que los datos IP enviados al destino no se pueden reenviar, solo los usuarios en el mismo segmento de red que la computadora UNIX pueden acceder a la computadora UNIX.

En otra situación, puedes ordenar al firewall que encuentre problemas para esa pobre PC y no podrá dejar pasar los paquetes de datos de otras personas. Esta es la función más básica de un firewall: tomar decisiones de reenvío basadas en direcciones IP. Pero cuando se trata de cosas importantes, este pequeño truco no funciona, dado que los piratas informáticos pueden utilizar tecnología de suplantación de direcciones IP, las computadoras disfrazadas de direcciones legítimas pueden atravesar firewalls que confían en esta dirección. Sin embargo, el mecanismo de toma de decisiones de reenvío basado en la dirección sigue siendo el más básico y necesario. Otra cosa a tener en cuenta es que no debe utilizar nombres de host DNS para crear tablas de filtrado. La suplantación de DNS es mucho más fácil que la suplantación de direcciones IP.

Filtrado de puertos TCP/UDP del servidor

Confiar únicamente en direcciones para el filtrado de datos no es factible en aplicaciones prácticas. Otra razón es que a menudo se ejecutan múltiples servicios de comunicación en el host de destino. Por ejemplo, no queremos que los usuarios usen telnet para conectarse al sistema, pero esto no significa que tengamos que prohibirles usar el servidor de correo SMTP/POP al mismo tiempo, ¿verdad? Por lo tanto, además de la dirección, también necesitamos filtrar el puerto TCP/UDP del servidor.

Por ejemplo, el número de puerto de conexión del servicio telnet predeterminado es 23. Si no permitimos que el cliente de la PC establezca una conexión telnet con la computadora UNIX (la tratamos como un servidor en este momento), entonces solo necesitamos ordenar al firewall que verifique los paquetes de datos enviados al servidor UNIX y filtre los paquetes con el número de puerto de destino 23 Eso es todo. De esta manera, ¿no podemos combinar la dirección IP y el puerto TCP/UDP del servidor de destino como estándar de filtrado para implementar un firewall bastante confiable? No, no es tan simple.

Los clientes también tienen puertos TCP/UDP

TCP/IP es un protocolo de extremo a extremo y cada nodo de la red tiene una dirección única. Lo mismo ocurre con la capa de aplicación de los nodos de red. Cada aplicación y servicio en la capa de aplicación tiene su propia "dirección" correspondiente, que es un número de puerto. Sólo cuando la dirección y el puerto estén disponibles se podrá establecer una comunicación efectiva entre varias aplicaciones del cliente y el servidor. Por ejemplo, el servidor telnet escucha en el puerto 23 las conexiones entrantes. Al mismo tiempo, el cliente telnet también tiene un número de puerto. De lo contrario, ¿cómo puede saber la pila de IP del cliente a qué aplicación pertenece un determinado paquete de datos?

Debido a razones históricas, casi todos los programas cliente TCP/IP utilizan números de puerto asignados aleatoriamente mayores que 1023. Sólo el usuario root en una computadora UNIX puede acceder a los puertos por debajo de 1024, y estos puertos están reservados para los servicios en el servidor. Por lo tanto, a menos que permitamos que todos los paquetes con números de puerto superiores a 1023 ingresen a la red, varias conexiones de red no funcionarán correctamente.

Esto es problemático para el firewall. Si todos los puertos de entrada están bloqueados, no todos los clientes podrán utilizar los recursos de la red. Porque los paquetes entrantes (es decir, que ingresan al firewall) enviados por el servidor en respuesta a solicitudes de conexión externa no pueden pasar el filtrado entrante del firewall. Por otro lado, ¿es factible abrir todos los puertos superiores a 1023? No precisamente. Porque muchos servicios utilizan puertos superiores a 1023, como el cliente X, los servicios NFS basados ​​en RPC y numerosos productos IP que no son UNIX (NetWare/IP). Entonces, si se permite que todos los paquetes de datos que cumplen con el estándar del puerto 1023 ingresen a la red, ¿aún se puede decir que la red es segura? Incluso estos programas cliente no se atreven a decir que son lo suficientemente seguros.

Filtrado bidireccional

Bien, cambiemos nuestra forma de pensar. Le damos este comando al firewall: pueden entrar paquetes de datos de servicios conocidos y todos los demás quedan bloqueados en el firewall. Por ejemplo, si sabe que el usuario desea acceder al servidor web, entonces solo permita que los paquetes con el número de puerto de origen 80 ingresen a la red:

Pero surge un nuevo problema. Primero, ¿cómo saber en qué números de puerto se está ejecutando el servidor al que desea acceder? Los servidores como HTTP se pueden configurar arbitrariamente y los puertos utilizados también se pueden configurar arbitrariamente. Si configura el firewall de esta manera, no podrá acceder a sitios web que no utilicen números de puerto estándar. Por el contrario, no puede garantizar que los paquetes de datos que ingresan a la red con el puerto número 80 provengan del servidor web. ¡Algunos piratas informáticos aprovechan esto para crear sus propias herramientas de intrusión y dejarlas ejecutarse en el puerto 80 de la máquina local!

Comprueba el bit ACK

No confiamos en la dirección de origen, ni en el puerto de origen. ¿Qué más es digno de nuestra confianza en este mundo loco donde tenemos que bailar con los hackers? ? Afortunadamente, las cosas aún no han llegado al punto de desesperación. Todavía existen contramedidas, pero este método solo se puede utilizar para el protocolo TCP.

TCP es un protocolo de comunicación confiable. La palabra "confiable" significa que el protocolo tiene algunas propiedades especiales, incluidos mecanismos de corrección de errores. Para lograr su confiabilidad, cada conexión TCP primero debe pasar por un proceso de "apretón de manos" para intercambiar parámetros de conexión. Además, cada paquete enviado debe recibir un acuse de recibo antes de que se puedan enviar paquetes posteriores. Pero no es necesario utilizar un paquete ACK especial para responder a cada paquete TCP. De hecho, esta función se puede completar simplemente configurando un bit especial en el encabezado del paquete TCP. Por lo tanto, el bit ACK debe establecerse cada vez que se genera un paquete de respuesta. El primer paquete de la sesión de conexión no se utiliza para confirmación, por lo que no tiene el bit ACK establecido. Los paquetes TCP intercambiados en sesiones posteriores tendrán el bit ACK establecido.

Por ejemplo, cuando una PC inicia una conexión a un servidor web remoto, genera un paquete de solicitud de conexión sin el bit ACK establecido. Cuando el servidor responde a la solicitud, devuelve un paquete con el bit ACK establecido y la cantidad de bytes recibidos del cliente marcados en el paquete. Luego, el cliente responde al paquete con su propio paquete de respuesta, que también tiene el bit ACK establecido y marca el número de bytes recibidos del servidor. Al monitorear el bit ACK, podemos limitar los datos que ingresan a la red al alcance del paquete de respuesta. Como resultado, el sistema remoto no puede iniciar ninguna conexión TCP pero puede responder a los paquetes de datos recibidos.

Este mecanismo aún no es impecable. Por poner un ejemplo sencillo, suponiendo que tengamos un servidor web interno, hay que abrir el puerto 80 para que puedan entrar solicitudes externas a la red. Además, para los paquetes UDP, no hay forma de monitorear el bit ACK, porque los paquetes UDP no tienen ningún bit ACK. También existen algunas aplicaciones TCP, como FTP, donde la conexión debe ser iniciada por el propio programa del servidor.

Dificultades causadas por FTP

Los servicios generales de Internet utilizan sólo un par de números de puerto para todas las comunicaciones, mientras que el programa FTP utiliza dos pares de números de puerto durante la conexión. El primer par de números de puerto se utiliza para el "canal de comandos" de FTP para proporcionar un enlace de comunicación para iniciar sesión y ejecutar comandos, mientras que el otro par de números de puerto se utiliza para el "canal de datos" de FTP para proporcionar transferencia de archivos entre el cliente y el servidor.

Durante una sesión FTP normal, el cliente primero envía una solicitud de conexión TCP al puerto 21 del servidor (canal de comando) y luego ejecuta varios comandos como LOGIN y DIR. Una vez que el usuario solicita al servidor que envíe datos, el servidor FTP utiliza su puerto 20 (canal de datos) para iniciar una conexión al puerto de datos del cliente. El problema es que si el servidor inicia una conexión para transmitir datos al cliente, enviará un paquete de datos sin el bit ACK establecido y el firewall rechazará el paquete de datos de acuerdo con las reglas anteriores, lo que significa que la transmisión de datos ya no es posible. Por lo general, sólo un firewall avanzado, es decir, lo suficientemente inteligente, puede ver el puerto que el cliente acaba de indicarle al servidor y luego permitir conexiones entrantes a ese puerto.

Filtrado de puertos UDP

Bien, regresemos y veamos cómo resolver el problema de UDP. Como se mencionó anteriormente, los paquetes UDP no tienen un bit ACK, por lo que no se puede realizar el filtrado de bits ACK. UDP es una comunicación "no confiable" que se envía e ignora. Este tipo de servicio generalmente se usa para tareas de comunicación de transmisión, como transmisión, enrutamiento y multimedia. NFS, DNS, WINS, NetBIOS sobre TCP/IP y NetWare/IP utilizan UDP.

Parece que la solución más sencilla posible es no permitir que se establezcan conexiones UDP entrantes. El firewall está configurado para reenviar solo paquetes UDP desde la interfaz interna, pero no paquetes UDP desde la interfaz externa. El problema es que, por ejemplo, las solicitudes de resolución de nombres DNS utilizan UDP y, si proporciona servicios DNS, al menos algunas solicitudes internas deben poder pasar a través del firewall. También hay programas cliente como IRC que también usan UDP. Si desea que sus usuarios lo usen, también debe dejar que sus paquetes UDP ingresen a la red. Lo que podemos hacer es restringir las conexiones de sitios locales a sitios de confianza.

Pero ¡qué es la confiabilidad! Si los piratas informáticos utilizan la suplantación de direcciones, ¿no volverán a las viejas costumbres?

Algunos enrutadores más nuevos pueden resolver este problema "memorizando" los paquetes UDP salientes: si el paquete UDP entrante coincide con la dirección de destino y el número de puerto del paquete UDP saliente, déjelo entrar. Si no se puede encontrar un paquete UDP coincidente en la memoria, deberá rechazarse. Pero, ¿cómo podemos estar seguros de que el host externo que generó el paquete es el servidor con el que el cliente interno desea comunicarse? Si un hacker afirma falsamente la dirección de un servidor DNS, en teoría puede lanzar un ataque desde el puerto UDP conectado al DNS. Es probable que este problema exista siempre que permita que las consultas DNS y los paquetes de comentarios ingresen a la red. La solución es utilizar un servidor proxy.

El llamado servidor proxy, como su nombre indica, es un servidor que representa su red e interactúa con el mundo exterior. Los servidores proxy no permiten conexiones directas desde dentro o fuera de la red. Él mismo proporciona DNS públicos y privados, servidor de correo y otras funciones. El servidor proxy reescribe el paquete en lugar de simplemente reenviarlo. Da la impresión de que los hosts dentro de la red están en el borde de la red, pero en realidad todos se esconden detrás del proxy y lo que muestran es solo la máscara del proxy. Los firewalls implementan sus políticas de seguridad Los firewalls aplican algunas políticas de seguridad. Si no creó una política de seguridad antes de instalar el firewall, es hora de crear una. No es necesario escribirlo, pero aun así puede servir como política de seguridad. Si no ha dejado en claro cuál debe ser su política de seguridad, instalar un firewall es lo mejor que puede hacer para proteger su sitio y no es fácil mantenerlo en todo momento. Para tener un buen firewall, se necesita una buena política de seguridad, escrita y aceptada por todos. Un firewall a menudo no es un solo dispositivo, excepto en casos particularmente simples, un firewall rara vez es un solo dispositivo, sino un grupo de dispositivos. Incluso si compra una aplicación de firewall comercial "todo en uno", aún tendrá que configurar otras máquinas (como su servidor web) para ejecutarla. Estas otras máquinas se consideran parte del firewall, lo que incluye cómo se configuran y administran estas máquinas, en qué confían, qué las considera dignas de confianza, etc. No se puede simplemente seleccionar un dispositivo llamado "firewall" y esperar que asuma todas las responsabilidades de seguridad.

2. Los cortafuegos no son productos fácilmente disponibles

Elegir un cortafuegos es más como comprar una casa que elegir dónde ir de vacaciones. Un firewall es muy similar a una casa. Tienes que estar con él todos los días y usarlo durante más de una semana o dos. Todos necesitan mantenimiento o colapsarán. Crear un firewall requiere seleccionar y configurar cuidadosamente una solución para satisfacer sus necesidades y luego mantenerla a lo largo del tiempo. Hay muchas decisiones que tomar y la solución correcta para un sitio a menudo puede ser la solución incorrecta para otro.

3. Los cortafuegos no solucionarán todos tus problemas.

No esperes que un cortafuegos te proporcione seguridad por sí solo. Un firewall lo protege de un tipo de ataque en el que las personas intentan atacar el interior directamente desde el exterior. Pero no protege contra ataques desde dentro de la LAN y ni siquiera te protege de todos los ataques que puede detectar.

4. Utilice la política predeterminada

Normalmente, su enfoque es denegar cualquier servicio excepto aquellos que sabe que son necesarios y seguros. Pero cada día aparecen nuevas vulnerabilidades y cerrar servicios inseguros significa una guerra constante.

5. Comprométete con las condiciones, no a la ligera.

A la gente le gusta hacer cosas inseguras. Si permite todas las solicitudes, su red será muy insegura. Si rechaza todas las solicitudes, su red también será insegura y no sabrá dónde se esconden las cosas inseguras. Aquellos que no pueden trabajar contigo trabajarán en tu contra. Necesita encontrar formas de satisfacer las necesidades de sus usuarios, aunque estas formas conllevan cierto riesgo.

6. Utilice un enfoque en capas

y tenga un solo dispositivo en una ubicación.

Utilice múltiples capas de seguridad para evitar que un solo error comprometa los problemas que le interesan.

7. Instale sólo lo que necesita

Una máquina con firewall no puede instalar toda la distribución de software proporcionada por el fabricante como una computadora normal. Las máquinas que forman parte de un firewall deben mantenerse mínimamente instaladas. Incluso si cree que algo es seguro, no lo instale si no lo necesita.

8. Utilice todas las fuentes disponibles

No construya un firewall basado en información de una única fuente, especialmente si esa fuente no es del proveedor. Hay muchos recursos disponibles: información de proveedores, libros que hemos escrito, listas de correo y sitios web, por ejemplo.

9. Confíe únicamente en lo que pueda estar seguro

No confíe en los manuales de la GUI ni en los cuadros de diálogo ni en las afirmaciones de los proveedores sobre cómo funciona algo. Pruebe para determinar qué conexiones deben rechazarse. Todos se negaron. Verifique para determinar que las conexiones que deberían permitirse estén permitidas.

10. Reevalúa constantemente las decisiones

La casa que compraste puede no ser la adecuada para ti hoy. Asimismo, el firewall que instaló hace un año ya no es la mejor solución para su situación actual. Siempre debe evaluar sus decisiones con respecto a los firewalls y asegurarse de tener una solución razonable. Cambiar su firewall, como mudarse a una nueva casa, requiere un esfuerzo significativo y una planificación cuidadosa.

11. Esté preparado mentalmente para el fracaso

Esté preparado mentalmente para lo peor. Los cortafuegos no son omnipotentes y es posible que no reflejen algunos virus y troyanos emergentes, por lo que deben actualizarse con frecuencia. Las máquinas pueden dejar de funcionar, los usuarios con buenos motivos pueden hacer cosas incorrectas y los usuarios con motivos maliciosos pueden hacer cosas malas y tener éxito. Pero debes entender que cuando suceden estas cosas, no es un completo desastre, debido a que los virus se desarrollan rápidamente y vienen en muchas variedades, es imposible que los firewalls los bloqueen todos, por lo que debes estar mentalmente preparado para lo peor y también prepararte para lo peor. el siguiente. Haga planes para la prevención en un solo paso y fortalezca su propia protección de seguridad. Online Armor Free 4.0.0.35-versión libre

Malware Defender 2.6.0-firewall doméstico

Kaspersky Internet Security 2010 9.0.0.736

Firewall privado 7.0.20.36- Versión gratuita

Outpost Firewall Free 2009 6.5.1.2725.381.0687 - Versión gratuita

ZoneAlarm Extreme Security 9.1.008.000

Norton Internet Security 2010 17.5.0.127 p>

Jetico Personal Firewall 2.1.0.7.2412

BitDefender Internet Security 2010 13.0.19.347

Trend Micro Internet Security Pro 2010 17.50.1647.0000

avast! Internet Security 5.0.418.0

McAfee Internet Security 2010 11.0.378

Panda Internet Security 2010 15.01.00 1. Cómo desactivar el Firewall de Windows a: Abra el archivo " Menú Inicio", "Ejecutar" e ingrese el comando de control para abrir el panel de control; b: Busque el icono "Firewall" en el panel de control y haga doble clic para abrirlo; c: Seleccione "Cerrar (no recomendado)" y confirme para cerrar el firewall.

2. Cómo activar el Firewall de Windows: simplemente cambie el tercer paso de desactivar el firewall a "Activar (recomendado)" para activar el Firewall de Windows.