防火墙和系统安全防护优化

基本定义
防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。
防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验
功能
1、入侵检测功能
网络防火墙技术的主要功能之一就是入侵检测功能，主要有反端口扫描、检测拒绝服务工具、检测CGI/IIS服务器入侵、检测木马或者网络蠕虫攻击、检测缓冲区溢出攻击等功能，可以极大程度上减少网络威胁因素的入侵，有效阻挡大多数网络安全攻击。
2、网络地址转换功能
利用防火墙技术可以有效实现内部网络或者外部网络的IP地址转换，可以分为源地址转换和目的地址转换，即SNAT和NAT。SNAT主要用于隐藏内部网络结构，避免受到来自外部网络的非法访问和恶意攻击，有效缓解地址空间的短缺问题，而DNAT主要用于外网主机访问内网主机，以此避免内部网络被攻击。
3、网络操作的审计监控功能
通过此功能可以有效对系统管理的所有操作以及安全信息进行记录，提供有关网络使用情况的统计数据，方便计算机网络管理以进行信息追踪。
4、强化网络安全服务
防火墙技术管理可以实现集中化的安全管理，将安全系统装配在防火墙上，在信息访问的途径中就可以实现对网络信息安全的监管。
主要类型
防火墙是现代网络安全防护技术中的重要构成内容，可以有效地防护外部的侵扰与影响。随着网络技术手段的完善，防火墙技术的功能也在不断地完善，可以实现对信息的过滤，保障信息的安全性。防火墙就是一种在内部与外部网络的中间过程中发挥作用的防御系统，具有安全防护的价值与作用，通过防火墙可以实现内部与外部资源的有效流通，及时处理各种安全隐患问题，进而提升了信息数据资料的安全性。防火墙技术具有一定的抗攻击能力，对于外部攻击具有自我保护的作用，随着计算机技术的进步防火墙技术也在不断发展。
（1）过滤型防火墙
过滤型防火墙是在网络层与传输层中，可以基于数据源头的地址以及协议类型等标志特征进行分析，确定是否可以通过。在符合防火墙规定标准之下，满足安全性能以及类型才可以进行信息的传递，而一些不安全的因素则会被防火墙过滤、阻挡。
（2）应用代理类型防火墙
应用代理防火墙主要的工作范围就是在OIS的最高层，位于应用层之上。其主要的特征是可以完全隔离网络通信流，通过特定的代理程序就可以实现对应用层的监督与控制。这两种防火墙是应用较为普遍的防火墙，其他一些防火墙应用效果也较为显著，在实际应用中要综合具体的需求以及状况合理的选择防火墙的类型，这样才可以有效地避免防火墙的外部侵扰等问题的出现。
（3）复合型
目前应用较为广泛的防火墙技术当属复合型防火墙技术，综合了包过滤防火墙技术以及应用代理防火墙技术的优点，譬如发过来的安全策略是包过滤策略，那么可以针对报文的报头部分进行访问控制；如果安全策略是代理策略，就可以针对报文的内容数据进行访问控制，因此复合型防火墙技术综合了其组成部分的优点，同时摒弃了两种防火墙的原有缺点，大大提高了防火墙技术在应用实践中的灵活性和安全性。
系统安全防护
关于系统安全的防护主要有以下几点措施：
一、MD5 加密用户密码
用户密码采用MD5加密，这是一种安全性非常高的加密算法，是普遍使用广泛应用于文件验证，银行密码加密等领域，由于这种加密的不可逆性，在使用10位以上字母加数字组成的随机密码时，几乎没有破解的可能性。
二、COOKIES加密
系统保存COOKIES时，对保存于COOKIES中的数据采用了以MD5加密为基础，加入随机加密因子的改进型专用加密算法。若使用的不是标准MD5加密，则系统COOKIES中保存的数据不可能被解密。因此，黑客试图用伪造COOKIES攻击系统变得完全不可能，系统用户资料变得非常安全。
三、SQL注入防护
系统在防SQL注入方面，设置四道安全防护：
第一、 系统级SQL防注入检测。系统会遍历检测所有用GET、POST、COOKIES提交到服务器上的数据，如发现有可能用于构造可注入SQL的异常代码，系统将终止程序运行，并记录日志。这一道安全防护加在连接数据库之前，能在连接数据库前挡处几乎所有的SQL注入和危害网站安全的数据提交。
第二、 程序级安全仿SQL注入系统。在应用程序中，在构建SQL查询语句前，系统将对由外部获取数据，并带入组装为SQL的变量进行安全性合法性验证，过滤可能构成注入的字符。
第三、 禁止外部提交表单。系统禁止从本域名之外的其它域名提交表单，防止从外部跳转传输攻击性代码。
第四、数据库操作使用存储过程。系统所有的重要数据操作，均使用存储过程作参数查询，避免组装SQL字符串，令即使通过了层层SQL注入过滤的攻击性字符仍然无法发挥作用。
四、木马和病毒防护
针对可能的木马和病毒问题，系统认为，在服务器设置安全的情况下，外部带来的安全问题，主要是用户可能上传病毒和木马，系统作了如下四层的防护
　　 第一、 客户端文件检测。在上传之前，对准备上传的文件进行检测，如果发现不是服务器设置的允许上传的文件类型，系统拒绝进行上传。如果客户端屏蔽了检测语句，则上传程序同时被屏蔽，系统无法上传任何文件。
　　 第二、 服务器端文件安全性检测。对上传到服务器的文件，程序在将文件写入磁盘前，检测文件的类型，如发现是可能构成服务器安全问题的文件类型，即所有可以在服务器上执行的程序，系统都拒绝写入磁盘。以此保证不被上传可能在服务器上传播的病毒和木马程序。
　　 第三、对有权限的服务器。系统采用即上传即压缩策略，所有上传的除图片文件、视频文件外，其它各种类型的文件一但上传，立即压缩为RAR，因此，即使包含木马也无法运行。不能对网站安全带来威胁。
　　 第四、底层的文件类型检测。系统对文件类型作了底层级检测，由于不仅检测扩展名，而是对文件的实际类型进行检测，所以无法通过改扩展名方式逃过安全性验证。
五、权限控制系统
系统设置了严格有效的权限控制系统，何人可以发信息，何人能删除信息等权限设置系统一共有数十项详细设置，并且网站不同栏目可以设置完全不同的权限，所有权限均在多个层次上严格控制权限。
六、IP记录
IP地址库。除记录所有重要操作的IP外，还记录了IP所在地区，系统中内置约了17万条IP特征记录。
详细的IP记录。所有的创建记录、编辑记录行为（如发文章，发评论，发站内信等），均记录此操作发生的IP，IP所在地区，操作时间，以便日后备查。在发现安全问题时，这些数据会非常关键和必要。
七、隐藏的程序入口
系统可以全站生成HTML静态文件，使网站的执行程序不暴露在WEB服务中，HTML页不和服务器端程序交互，黑客很难对HTML页进行攻击，很难找到攻击目标。
八、有限的写文件
系统所有的写文件操作只发生于一个UPFILE目录，而此目录下的文件均为只需读写即可，可通过WINDOWS安全性设置， 设置此目录下的文件只读写，不执行，而程序所在的其它文件夹只要执行和读权限，从而使破坏性文件无法破坏所有程序执行文件，保证这些文件不被修改。
九、作了MD5校验的订单数据
在用户输入的信息处理中，对提交的信息作MD5校验，从而保证数据不被非法修改。
十、编译执行的代码
基于.net 开发，代码编译执行，更快，更安全。
系统优化
系统优化原来是系统科学（系统论）的术语，现在也用作（而且常用作）计算机方面的术语。它尽可能减少计算机执行少的进程，更改工作模式，删除不必要的中断让机器运行更有效，优化文件位置使数据读写更快，空出更多的系统资源供用户支配，以及减少不必要的系统加载项及自启动项。当然优化到一定程度可能略微影响系统稳定性，但基本对硬件无害。
系统优化的作用
清理WINDOWS临时文件夹中的临时文件，释放硬盘空间
可以清理注册表里的垃圾文件，减少系统错误的产生
加快开机速度，阻止一些程序开机自动执行
加快上网和关机速度
把系统个性化
属性设置

1. 禁用闲置的IDE通道
   右键点击“我的电脑－属性”–“硬件”–“设备管理器”，在其中打开“IDE ATA/PATA控制器”然后分别进入主要和次要IDE通道，选择“高级设置”，将“设备类型”设置为“无”，将“传送模式”设为“DMA（若可用”。
2. 优化视觉效果
   右键单击“我的电脑”–“属性”—“高级”，在“性能”栏中，点击“设置”–“视觉效果”，调整为最佳性能；或去掉一些不需要的功能：滑动任务栏按钮，为每种文件夹类型使用一种背景图片，在菜单下显示阴影，在单击后淡出菜单，在视图中淡入淡出或滑动工具条提示，在鼠标指针下显示阴影，在最大化和最小化时动画窗口选项去掉钩。 留下平滑屏幕字体边缘，在窗口和按钮上使用视觉样式，在文件夹中使用常见任务，在桌面上为图标标签使用阴影四项就可以了。
3. 优化性能
   右键单击“我的电脑”–“属性”—“高级”，在“性能”栏中，点击“设置”—“高级”—将“处理器计划”、“内存使用”，均点选“程序”。
   单击“虚拟内存”区“更改”–在驱动器列表中选中系统盘符–自定义大小–在“初始大小”和“最大值”中设定数值，然后单击“设置”按钮，最后点击“确定”按钮退出。虚拟内存最小值物理内存1.5—2倍，最大值为物理内存的2—3倍。适当设大点可以加快程序运行速度，但设的虚拟内存是来回在硬盘上读写，会造成很多磁盘碎片，碎片一多又会进一步影响系统性能及稳定，而现在电脑内存普遍在2G或更高，其实一般的应用可以把虚拟内存设为0，那么以后你运行的程序都只会占用内存而不是硬盘上设的虚拟内存。这样一来你的电脑会更稳定。
4. 启动和故障恢复
   右键单击“我的电脑”–“属性”—“高级”，在“性能”栏中，点击“设置”—“高级”—将“处理器计划”、“内存使用”，均点选“程序”。
   单击“虚拟内存”区“更改”–在驱动器列表中选中系统盘符–自定义大小–在“初始大小”和“最大值”中设定数值，然后单击“设置”按钮，最后点击“确定”按钮退出。虚拟内存最小值物理内存1.5—2倍，最大值为物理内存的2—3倍。适当设大点可以加快程序运行速度，但设的虚拟内存是来回在硬盘上读写，会造成很多磁盘碎片，碎片一多又会进一步影响系统性能及稳定，而现在电脑内存普遍在2G或更高，其实一般的应用可以把虚拟内存设为0，那么以后你运行的程序都只会占用内存而不是硬盘上设的虚拟内存。这样一来你的电脑会更稳定。
5. 关闭系统还原功能
   单击“开始”–右键单击“我的电脑”–“属性”—“系统还原”，“在所有驱动器上关闭系统还原”打上钩，确定。查看里隐藏爱保护的操作系统文件去掉钩，点上显示所有文件和文件夹，确定以后各盘找到SYSTEM VOLUME INFORMATION 文件夹删除。
   手动优化
   explorer,人机界面
   <1>一些可以不要的东西，例如活动边框的标题栏颜色渐变，可以在主题自定义中取消以节约资源。
   <2>右击我的电脑—属性—高级,更改性能和错误报告选项，取消所有错误报告。
   <3>右击 Internet—属性，管理加载项等。
   <4>使用windows经典主题，不使用背景图片可以节约大量系统资源。桌面图标尽可能少。
   <5>开始菜单使用经典菜单，操作是右击 “开始”选经典。
   组策略，运行gpedit.msc
   主要是提调整任务栏和开始菜单，建议初学者不要乱关，自己看好后慢慢尝试。可以关闭的有自动更新类的，错误报告类的。最主要的是关闭：管理模板—任务栏和开始菜单—个性化菜单、用户跟踪。
   启动项,运行msconfig
   选启动项目，不要的全关。基本上保留ctmon输入法图标以及相关的安全防护软件及杀毒软件，其他的都可以关闭以提升开机系统启动速度
   文件夹选项，打开一个文件夹
   在工具-文件夹选项里去掉不必要的东西。想着怎么选择更节约资源，例如使用传统风格，不记住每个文件夹位置，不缓存缩略图等。
   服务，运行services.msc
   具体要关什么还要根据自己需要，每条服务都有详细的说明，下面这几项不要去动：
   DCOM Server Process Launcher Event Log Logical Disk Manager Plug and Play
   Remote Procedure Call (RPC) Telephony Windows Audio
   注册表网上也有很多可直接导入的优化注册表文件