超人归来,创造美好未来!

感慨那渐渐远去的大学时代!

感慨那渐渐远去的大学时代

想来大学，精神准备；来到大学，顿时后悔；几年青春，白白浪费。大学生活，枯燥乏味；早起晚睡，又困又累；铃声一响，掀起热被；列队出操，洗漱排队；争分夺秒，收拾叠被；早餐馒头，令人反胃；一二节课，昏昏欲睡；下课一到，起立准备；蜂拥而上，厕所排队；跑得再快，还是没位；三四节课，肠胃开会；伸伸懒腰, 倒头再睡；教授提问，啥都不会；每日自习，吹牛派对；胶水信封，样样具备；结业考试，作弊劝退；人间地狱，深有体会；周末生活，实在乏味；街上闲逛，遇一美眉，可惜可惜，别人怀内。打个电话，话费太贵；男生亲密，怀疑是 gay.郁闷之极，不敢犯罪。时事大会，纯粹受罪；稍有不足，处分面对；雁儿分飞，爱的好累；谈及爱情，令人心碎；天涯芳草，玲珑翡翠；梦中情人，无缘相会；窈窕淑女,自己不配。初恋情人，与人高飞；奋起直追，徒劳白费；仰天长啸，欲哭无泪；痴心一片，摇摇欲坠；花前月下，非属我辈! 啥都不说，都是白费！重新做人？身心疲惫！自己点背，不赖社会。世到如今，有啥体会？千言万语,hard to say.............

- 作者： AXIS 2006年05月14日, 星期日 17:53　回复（0） |　引用（1）加入博采

男孩梦中女孩

其实也不是我一个人观点，也许很多男生都这么想吧，呵呵，只不过觉得说得有点到道理，可以作为参考而已。

1.健康

　　2006年了耶，学林黛玉吐血博男生怜爱的时代已一去不返。新中国的医疗制度健全了，这些女生先天早被医生们打过各种预防针，基本上是大小感冒百毒不侵。加上后天的父母高营养食品哺育；初、高中，大学入学军事拉练，个个健壮的如同春天阳光里蹦出来的小鹿，毛色光滑、腰腿有力、活力逼人。没有一个男生喜欢整天呆在医院里和女朋友恋爱，也没一个男生不对在校园食堂里为抢座位大打出手的女生敬而远之....健康，是身体和心灵同步的。

　　2.善良

　　曾看过一个新闻，大街上一个晕倒的民工，开始没有任何路人去惹这不必要的麻烦。偏偏在这冷漠的世情如霜里，一个长相并不出众的女学生走上前去，扶起孰不相识的民工，拿手机打112。其他人被感染了，纷纷围过来试着出力。春寒料峭中，女孩微带忧虑的眼睛闪着天使般的慈爱光芒。那新闻的标题是《最美的女人》。这就是男生心目中女生最善良的一面，关爱身边的每一个弱者，哪怕孰不相识，哪怕他是一条狗，她们都会悲天悯人地伸出友爱之手，而且百分百发至真心。

　　3自爱

　　说起自爱，我们往往会在脑海里浮现来至偏远山村的女大学生，拒绝某省长公子的物质诱惑，宁愿暑假在餐厅里洗盘子赚钱读完大学的情景。这种自爱是与生俱来的，不自爱才是被社会不良风尚影响的近墨者黑。很欣慰的是大多女生从人格的自立，经济的自立，做到了对自己身体和灵魂的自爱。只有自爱的人才美丽，才会被人所爱。可叹的是有一些“我用贞操谢师恩”身体换考题的前卫学姐，或者在夜总会勤工俭学的漂亮学妹，给崇尚自爱的她们丢尽了颜面。

　　4理智

　　女生在生活里，象一只身处丛林手无寸铁的小白兔，四处都是危险和诱惑。而她们抗拒诱惑唯一的有效武器便是理智。一只笨的看见青草就往上扑的白兔是可悲的，前进一步很可能会跌进大灰狼精心布置的致命陷阱。女生难以拒绝鲜花和甜言蜜语，常常有人用“情人节怀孕，三八节打胎”来形容女大学生在所谓爱情上的头脑发热。完美的女生是会在适当的时候说“不”的。她们柔弱的外表下面有一颗爱自己坚强的心，理智打造了一副不受伤害的防御盔甲。完美的她们不允许自己在晕眩的时候行差踏错。

　　5聪慧
　　完美的女性只有美丽外壳是不够的。如果连嘲讽都敢当成赞美听的女性，再风姿绰约也显得其丑无比。不是说能写字就是才女，不愚蠢就叫聪慧。我们不敢管考试抄袭高手叫秀外惠中，也不敢把巧妙用掉百元假钞的行为定义为聪慧练达，智商也分正邪两派。漂亮女孩用尽心机达到不可告人目的的，方法用的固然心生七窍，至多是个毁容前的梅朝风。这样的女生比自持风华绝代，要求每天李隆基累死几十匹马送荔枝的弱智杨玉环还危害社会。把聪慧用在正途上的女生木秀于林，能与黄蓉一较高低。

　　6纯净
　　谁也不能要求女大学生象娃哈哈矿泉水，经过多层过滤，决对纯净。可如果俗世的颜色太多，纯净往往就背道而驰，纯净是生来的天真通透，唯一一种不能修炼和磨砺的品质。我们多想她们一直处在美好的萌芽混沌里，保持着那青春的原始性，如天堂育婴室刚出壳的天使宝宝。市侩的斤斤计较，功利的眶疵必报，通通与她们没有血缘。不醒人世的纯净女大学生让人疼爱，在她们无辜眼神的逼视下，拉登也愿意弃械投诚，跟着做一个不拿薪水的义工。

　　7信用

　　人无诚信不立，女生偏偏是个例外，君当闻，赴约迟到是女生的特权，说话不算数是女生的专利。都说越美丽的女人越会撒谎，想来是经过很多血的教训总结出来的经验。那么完美的女大学生是不是应该不讲信用呢？那完全错了。男生生来就很让着女生，是在一些个小情节上面。借了书，非等你约她吃饭才还，还要借下一本；昨天才对天发誓说要和你做铁哥们，今天就因为你多瞅了隔壁班的漂亮女生一眼，当你透明人....男生还是无上欢迎的。女生只要在大是大非上面讲信用，怎么胡闹都成。

　　8独立

　　北大校园里有一块石碑，“自由之思想独立之人格”，阐明了独立对人格完整的重要性。如果人格都不完整，又何来完美？自古不独立的女性都受尽了苦难，比如杨玉环，柳如是....比如各代给帝王殉葬的妃缤。说什么男人是山，女人是水；男人是树，女人是藤，都是老年人扯蛋的。这是一个男女平等的时代，学习独立、生活独立、经济独立，独立的女生才有自信的骄傲。诗都写了：北方有佳人，绝世而独立。

　　9有追求

　　追求是什么，通俗点叫理想，直白点是追逐高品位。人的一生都在求知，不断打掉性格和思想上的渣滓，才能越来越优秀，游过激流险滩，到达出类拔粹的彼岸。追求高学识，将来能找到高薪的工作，追求高体能，能在奥运为国出力，就是追求苗条的身段，也能收获高回头率。没追求的女大学生是可耻的，她们逐渐肥胖，日显平庸，越来越吓人，把完美主义抛到了九宵云外，让人多少男生伤心泪垂。

　　10才艺

　　现在电视节目总叫女生上台展示才艺，口齿伶俐会英语，会演小品的女生你都不好意思上台。他们还要叫你唱歌、背古诗、跳国标。其实女生艺多不精，还不如学有专工来的动人。钢琴、吉他、二胡能摆弄，歌剧、说唱、二人传逮什么都来一段，修电脑、翻校门、还能通下水道...这样有才艺的女生这辈子基本上就毁了。女生如此强悍，那还要男生做什么？完美女生是懂得藏拙的，在最关键的时刻才展示最拿手的才艺，学名叫：一舞剑器动八方。

- 作者： AXIS 2006年04月14日, 星期五 21:06　回复（1） |　引用（1）加入博采

好东西，同分享

刚才看到一个好贴，怎么看怎么觉得有点像我的个性阿，呵呵，稍微自夸一下，不要用鸡蛋、黄瓜砸我哦~~女人永远不知道的十一件事~~

1、女人永远也不知道男人为什么要学会坚强?
因为他们自己知道.他们虽然外表坚强.但内心很脆弱.他们永远想让自己身边的她觉得自己是最棒的.

☆2、女人永远也不知道男人为什么不会轻易掉眼泪?
因为他们自己知道.他们不是不会掉眼泪.只是他明白.一但眼泪掉下来了.这段感情也就结束了.
△3、女人永远也不知道男人为什么每次在心烦的时候那么喜欢抽烟?
因为他们自己知道.只有在烟雾中才能忆起他们过去美好的时光来寻求一点心里的平衡.
　

　◇4、女人永远也不知道男人为什么要在分手以后还会对她嘘寒问暖?
因为他们自己知道.他们并不是想跟你做朋友.只是想挽回这段曾经属于他的感情.
※5、女人永远也不知道男人为什么每次在听到她被欺负了会显得那么发狂?
因为他们自己知道.哪怕这次架打输了.躺下了.他也会觉得高兴.因为他们宁愿自己受到伤害.也不愿意看到你哭泣.
☆6、女人永远也不知道男人为什么在分手以后会夜夜买醉?
因为他们知道.如果今晚不麻醉自己.那么今晚只能在思念中度过.

※7. 女人永远也不知道男人为什么每次出门会出手那么大方?
因为他们知道.他们宁愿自己一个人省吃检用.也不愿意你看到你被别人看不起.
☆8.女人永远也不知道男人为什么会那么爱对她发脾气?
因为他们自己知道.对她发脾气并不是不爱她.只是希望她在以后的路上不被别人所欺骗.
☆9.女人永远也不知道男人为什么会那么在意你以前的男朋友?
因为他们自己知道.并不是他们不自信.只是他们害怕有一天你会离他而去.

※10.　女人永远也不知道男人为什么看到你为别人写的日记之后还会那么镇静的听你解释?
因为他们自己知道.自己并不是不想发火.只是希望能从你的口中得知到底是他重要还是别人重要?

☆11、女人永远也不知道男人为什么不对她说我爱你⒊个字?
因为他们知道.并不是不想说.只是他们自己明白.⒈万句我爱你用在身上也不够.

(如果你不能为你心爱的女人穿上嫁衣，请停下你解她衣扣的手)
朋友，如果你想拥有我这样的幸福，如果你想跟那个使你幸福的人白头偕老，顶一下，幸福不久就将降临。

- 作者： AXIS 2006年04月14日, 星期五 21:03　回复（0） |　引用（1）加入博采

下雨了，感冒了~~

前几天BJ终于下了2006年的第一场雨，这可让干渴的小花、小草兴奋的不得了。我也很兴奋，因为终于找到了一点江南那烟雨朦胧的感觉，于是下了班我突发奇想，亲密接触那难春雨，结果，淋了一身“油“。毕竟春雨贵如油啊，在北方我这才深刻的体会到这句俗语的含义。但是这种淋雨的感觉只是瞬间的美好，因为第二天，自己就有点小感冒了，鼻涕，喷嚏不断，搞的自己狼狈不堪，还好，抵抗力挺强，没有吃药就好了 ~~但是心头却留了点不大不小的阴影，今后要谁找俺去淋雨，打死也不去了~~

- 作者： AXIS 2006年04月8日, 星期六 20:33　回复（0） |　引用（1）加入博采

小建议

可能是bokee（博客）的版式设计问题，没页没有返回首页的导航条，这里建议使用回车键上面的<-,挺管用的，可以返回到上页，不信？不信你试试。

- 作者： AXIS 2006年04月8日, 星期六 20:17　回复（0） |　引用（1）加入博采

没事了，说几句。。。

自己真的长大了，年少轻狂的那个锐气小子，现在已经开始为自己的前途奋斗了，今年二十有二，怎么说都是奔三的人了，什么时候自己能在BJ这个大都市开辟属于自己天空啊。只能在心里默默的告诉自己，人生一世，不求轰轰烈烈，但也要过的精彩。希望在自己三十出头时，无论是事业、生活或是情感都已经是有了最后的归宿。

"感情“，没有太多的期盼，每个人都会找到自己生命中的另一半，不管什么曾经拥有，只追求一份我们的天长地久。

- 作者： AXIS 2006年04月8日, 星期六 20:12　回复（0） |　引用（1）加入博采

如释重负的感觉原来很美！

好久没有来我的小空间解解闷了，

啊，心情此刻渐渐放松起来了，回想起昨天的此时，自己还转个不停的忙着CRM的事，前天刚测试完成头的patchlink，大前天终于把联想的integrity解决。。。。。。。哎，回忆我这两周，我真觉得自己好像已经部属于自己，不知道那位哲人说过一句话，“会生活的人是工作的主人，不会工作的人做工作的奴隶“，还好，虽然事情很多，但是最后都还是有个圆满的结果，任务完成后，总感觉很有收获，物超所值，因为以前没有过这样的经历，虽然很累，可以说也让自己长不少见识挣不少money吧（开玩笑，不过吃饭完全没有问题）。

年轻真好，对于在这样大压力的情况下，自己对工作对生活，依然是不管风吹浪打，胜似闲庭信步。但是革命尚未成功，同志还要努力啊！也许马上又有新的任务幸运的交给我，虽然我有点心虚，但是还得装成男子汉的造型，拍着胸脯对着上师说：来吧，让新的任务来的更猛烈些吧 ~~~

- 作者： AXIS 2006年04月8日, 星期六 19:54　回复（0） |　引用（1）加入博采

今天真的是过节了

未经这位mm许可，俺偷偷转一贴！以飨观众。。。

今天是西方的瓦伦丁节（Venlentine's Day），情人节，没有情人的情人节，过得忙碌。

直到现在闲下来了，觉得很空虚。

今天一个哥哥结婚，起来以后就出去祠堂，聊了一会天，就开始吃饭。

吃完饭回家呆了一会，弟弟说让我和他女朋友一起去接新娘。

风风火火，我们一路花车缓缓地来到了新娘家楼下。

几十个大小伙子，手拿各式彩带，跟要去群殴一样，冲到了人家门口，为了避免满头彩色，我跟在后面看戏。

这是我第一次跟着去看新娘，果然是很恐怖。

他们就连3，4十岁的阿姨都不放过，那个阿姨简直不堪人睹。

我没有到门口去看他们怎么进门的，就在底下看着，人家的窗户挂满了彩带，天台满地都是，弟弟说，有5，6箱。。。

在那里等了大概1个小时，终于接到新娘子回家了。

到了我们桥头，所有人下车，好戏就要开始了，那些小帅哥就要开始玩新娘子啦。

有的拿了两个蛋挞，有的拿了两瓶奶，有的拿了两个生鸡蛋，有的拿了把香蕉，还有个买了几个避孕套。。。。。。现在能玩的都玩了。

不过我没有看，几十个小伙子，我哪敢挤到里面去看呢。

于是我就回家了，把衣服谅了，看了一会电视，妈妈就回来叫我们出去吃饭。

除了吃，我在家就是吃啊。

家里面晚上要来客人，我们赶紧吃完就回家了。

扶着奶奶回到家，叔叔已经在厨房里面炒得满脸油烟啦，哈哈，看到我们回来，叔叔把铲子放下，抱着我就到客厅里去介绍客人，都是老前辈啊。

完了，我就帮忙干活，洗菜，烧水，洗杯子，客人一个接一个地来。喝茶聊天，家里面好久都没有这么热闹了，奶奶特别高兴。

不过一会儿，妈妈也回来了。我就退位让贤，妈妈要开始做元宵啦。做的是我们家这边的，我保证你们都没有吃过，我觉得实在太难吃了。

现在他们就在旁边，聊得起劲，说话声，笑声一直不停，不知道等我像他们那么大的时候，自己会是什么样。

他们也说，今天是西方的情人节啊。是啊，他们都是爱妻子的好丈夫。

这就是我的情人节，很多高兴的事情，本来情人节也不仅仅是为了情人的存在了，情人节可以感谢爱情，亲情，还有友情。

一会等他们的聚会散了，我就要过去收拾残局啦。

我觉得今天过的很不错啊。

- 作者： AXIS 2006年02月15日, 星期三 21:44　回复（1） |　引用（1）加入博采

男人一生要做的九件事情

一、年轻的时候去漂泊
    你最好年轻的时候飘荡着过一段日子，不论离家多远，你一个人生活过，打拼过，这样老的时候才可以有更多的精彩故事可以回忆。人要是没有值得回忆的东西，实在是悲哀啊。

二、唾弃同情这份感情
    同情是一种凌驾于弱者的感情，是最没有用的一种情感，请不要把同情当作是爱心。爱心是自内向外的，是不会让任何人的尊严受损的。而同情是自上而下的，同情往往意味着你于心不忍，而又爱莫能助，这种感觉你觉得有用吗？因此，不要去接受别人的同情，也不要去同情别人。

三、有一份自己的事业
    每个人头顶上的天都一样大，死后都不会带走什么，所以你要去闯一闯，成功当然很好，但失败同样让人敬佩。要结果，但更要过程。

四、揽住母亲的肩头每个人都是最棒的
    父体的千万个细胞中最强的一个才能跑到最前面与来自母体的细胞结合。这时，有一半的机会会诞生一个男人。儿子，无疑是父亲理想的最好载体，而母亲给儿子的，是最无休止的爱，她最担心的是自己的儿子能不能顶天力地。当女儿家可以搂着母亲的脖子窃窃私语时，请你揽住母亲的肩头，让母亲感觉到到你结实有力的臂膀。

五、敬父亲一杯酒
    严肃的父爱是你人生路上的鞭子，驱策你走走向自己的路。儿子承载了父亲太多的理想，但是理想与现实总是不能完美结合，无论你实现了父亲多少的期盼，甚至你与父亲的期望背道而驰。但是，要敬父亲一杯酒，你身上流的是他的血。当你成为一个男人时，请感恩地凝视父亲的双眼，斟满一杯酒，告诉父亲你无愧于他的儿子。

六、对你爱的女人说声“我爱你”
    在这里我们不谈爱情的专一，你爱过几个女人就说几声“我爱你”，这三个字不是你对别人的赐予，而是对自己的灵魂负责，不敢说的爱是懦弱的，活着的时候不说这三个字，死了，就没有机会了。

七、和另外一个男人打架
    这个不需要任何的理由，你是雄性动物，这是天性，谁让你是男人！如果你现在还没有试过，那么准备好，当一张可恶的脸出现使，瞄准好部位，把拳头砸上去。

八、不要打女人
    在你心智正常的情况下，不要打女人。你不要管女人是不是水做的，你都不能打她。对于实在让你厌恶的女人，你最好的办法是不和她一般见识，最坏的办法就是用恶毒的语言骂她，但是你不能打她，你不打，可能有人说你无能，你打了，你就真的无能了。

九、有一个自己的孩子
    要有一个自己养  的孩子，你同样会有很多的梦想没能实现，需要有一个载体。别太期待这载体会朝你设计好的路线走下去，你看看我们自己有很多地方已经让父母失望了。但是他一定会在你的教导下长大成人。如果出息了，你可以对别人说：那是我的孩子。如果他很平凡，你可以对自己说：呵，这是我的孩子。

- 作者： AXIS 2006年01月21日, 星期六 18:37　回复（1） |　引用（1）加入博采

网络时代的钓鱼危机

一、你是垂钓者，还是上钩的鱼？
南方的早春总是伴着绵绵细雨，难得今天是个晴朗天气，某服装公司的王经理带着十几个重要员工来到郊外一个鱼塘进行垂钓活动。王经理放置好钓具后，便打开了随身携带的笔记本电脑并连上网络，他想利用这点时间处理一下最近的一笔生意。秘书见他在这种时候还离不开工作，便劝他：“经理，今天是游玩的日子，难得放松一下，今天还是不要处理公司业务了吧……您不怕钓竿被鱼叼走了？”王经理对秘书笑了笑，看着身前的钓竿缓缓说道：“业务就如一条钓竿，谁也无法预料到自己即将钓起的是大鱼还是小鱼，但是总得时刻盯着浮标，稍有松懈，大鱼小鱼都会脱钩逃走，我现在就是那个垂钓者，一刻也不能放松啊。都说姜太公钓鱼，愿者上钩，但是如果不知道提竿的时机，即将到手的鱼也会溜走的。等这笔生意谈妥，我再休息也不迟。”说罢又继续低头敲键盘，秘书被经理突然而来的一番话唬得愣在原地，半天没反应过来。
生意终于谈妥，客户把货款转入王经理的银行账户，王经理笑了：“这条大鱼终于被我钓到了。”然后他登上网络银行账户查看转账情况。当页面上显示出账户剩余金额时，王经理心里一紧，接着有了晕眩的感觉：账户里原来的存款不翼而飞，页面里唯有客户刚刚转入的货款，仿佛在嘲笑着王经理……
王经理做梦也没想到，这一次，他成了别人钓上的鱼，而且是大鱼。
网络钓鱼（Phishing），并不是一种新的入侵方法，但是它的危害范围却在逐渐扩大，成为近期最威胁网络安全的方法之一。Phishing就是指入侵者通过处心积虑的通过技术手段伪造出一些假可乱真的网站和诱惑受害者根据指定方法作业的E-MAIL等方法，使得受害者“自愿”交出重要信息或被窃取重要信息（例如银行账户密码）的手段。入侵者并不需要主动攻击，他只需要静静等候这些钓竿提起一条又一条鱼就可以了，“姜太公钓鱼，愿者上钩”。
看到这里有读者可能会说，这不是社会工程学吗？都是骗人的手段啊。网络钓鱼的确有社会工程学的影子，但是与之相比，它更趋向于技术方面，因为这不仅仅是欺骗，里面还必须掺入技术成分，否则“垂钓者”自己也无法控制钓竿，更别说钓鱼了。

二、视觉陷阱：网页背后的钓竿
警察正在分析王经理那台笔记本硬盘里的数据，王经理本人在报案时心脏病发作而进了医院。由于无法得知王经理最后一次登录网络银行的时间，而且系统里也没有感染任何偷盗账号的后门，案件变得有点扑朔迷离起来。一个分析员无意中打开了Foxmail，发现最后一封信件是银行发送的，主题为“XX网络银行关于加强账户安全的通告”，分析员预测案件与这封信件有重大关系，马上打开阅读。这是一封HTML网页模板的信件，内容大意为银行为了加强账户安全而升级了系统，请各位客户尽快重新设置账户密码，末尾还给出了设置密码的URL连接。
幕后黑手果然在这里！分析员马上查看信件源代码，很快就找出了其中的猫腻：正如常说的俗话“说的一套，做的一套”，这个邮件的作者采用了“看的一套，进的一套”这种简单的欺骗手法，入侵者利用HTML语言里URL标记的特性，把它写成了这样：“<A HREF="http://www.xxxbank.com.cn/account/index.asp">http://www.xxbank.com.cn/account/index.asp</A>”，由于心理作用，受害者潜意识里都会直接点记那个写着“http://www.xxbank.com.cn/account/index.asp”的URL连接，然而他们并不知道，这个点击实际上是把他们引向“http://www.xxxbank.com.cn/account/index.asp”这条钓竿！而这个所谓的更改密码页面，当然伪造得与真正银行页面完全一致，但是它的“更改密码”却是把账号和密码发送到了幕后的“垂钓者”手上，然后“垂钓者”登录上真正的网络银行改了受害者设置的密码，并顺手牵羊把银行账户里的存款转移掉。这样钓来的鱼，即使是小鱼也会让“垂钓者”在梦里发出笑声来了，即使一条太小，积累起来数目也会变得相当可观了。在金钱诱惑下，“垂钓者”一次又一次提竿，诛不知，他自己也是被金钱钓竿钓上的一条鱼……
为什么如此低陋的技术都能频频得手呢？因为它充分利用了人们的心理漏洞，首先，人们收到银行这类影响力很大的企业的信件时几乎都会紧张，很多人都不曾怀疑信件的真实性，更会下意识的根据要求打开里面指定的URL进行操作；其次，页面打开后，我们通常都只会留意页面内容而不会注意浏览器地址栏的显示，正是这点让“垂钓者”有了可乘之机。
其实“垂钓者”们是可以利用IE的URL欺骗漏洞把自己伪装得更像一回事的，只是现在IE普遍打了补丁，这种情况下还使用这个漏洞就会“不打自招”了，所以只有极少数“垂钓者”会采用这个方法，有的“垂钓者”根本连个看起来“好像”的域名都没有，而是采用IP地址形式甚至直接光明正大把真实地址显示在浏览器的地址栏里——因为他们知道，除非出现意外情况，否则大部分人根本是不会注意浏览器的地址栏的。
这里顺便提一下那封E-MAIL，为什么王经理会上当呢？纵然，如果这E-MAIL的发件人地址不是银行网站的，那么白痴都看得出来这是假信。但是问题就出在这里，这封E-MAIL的发件人地址清清楚楚写着该银行网站的技术支持信箱地址！“垂钓者”是怎么做到的呢？很简单，一些未经设置的E-MAIL服务器并不会验证用户信息是真实，于是骗子用这样的邮件服务器发送一封伪造了发件人地址的信件简直是易如反掌。

三、借竿钓鱼：爱恨交加的搜索引擎
上期文章里我描述过搜索引擎的概念：它是一种能够获得网站网页资料并建立数据库并提供查询服务的系统，由于Internet的迅速发展进入信息量大爆炸时代，可以获取信息的途径越来越多，查找一个特定的信息数据开始变得困难，往往在瀚如烟海的网络中找寻半天也无法得到你想要的信息，这种环境同时也导致了信息更新速度的不同步，也许你找了半天才找到的信息已经是昨日黄花，为此人们急切需要一种能尽量把各种信息统一管理并提供简便搜索功能的工具，搜索引擎因此而诞生，而GOOGLE由于技术的强大已经成为病毒和入侵者窥视的焦点。
这次，依旧是GOOGLE惹的祸。很早以前，GOOGLE就“提供”了一种“搜索入侵”：入侵者通过在GOOGLE上查询某些特定的字符，可以发现甚至直接进入存在该漏洞的计算机，当年有许多存在Unicode漏洞的计算机就是被GOOGLE拎了出来——只要搜索诸如“/scripts/..%255c../winnt/system32/cmd.exe?/c+dir”此类的关键字就能发现很多包含“Directory of”字符串的IP地址，点击进去，你会发现你已经用Unicode漏洞入侵了该计算机……现在虽然这个方法已经失效，但是GOOGLE带来的恐怖影响却足以让初学者汗颜。
当GOOGLE遇上了“垂钓者”，一场新的噩梦开始肆虐全球。由于GOOGLE是通过查找页面元素完成记录工作的，“垂钓者”便利用一些网页脚本语言来干扰GOOGLE的判断逻辑，使得GOOGLE把内容不符的页面加入到“垂钓者”指定的关键字索引里去，受害者搜索这个关键字时就有可能会被带入这个恶意页面而遭受损失。面对强大的GOOGLE，“垂钓者”已经不满足于仅靠WEB页面钓鱼，他们还看上了GOOGLE的桌面搜索工具Desktop Search，这个工具存在一个信息泄漏的漏洞，入侵者能通过脚本程序欺骗Desktop Search提供用户信息，最常见的就是泄漏磁盘数据。利用这个漏洞提供的信息，“垂钓者”可以伪造相关信件并建立欺骗性的电子商务网站，让用户误以为是大公司发给自己的信函而受欺骗。一些“垂钓者”用假的口令验证得以窃取用户信息，另一些则欺骗用户点击一些商品信息而被种植木马程序。

四、跨站钓鱼：真实网站的噩梦
前面提到的伪造页面欺骗是“垂钓者”利用虚假信函和人们寻求方便的心理，直接点击信函给出的恶意连接而达到钓鱼的目的，如今随着媒体的揭露，或者遇上警惕性高的用户，这种手段成功率逐渐降低了。于是处心积虑的骗子们开始制造一种新的迷雾：他们同样是用某种手段把用户骗到商务网站，但是与以前不同的是，这次用户访问到的是真正的商务站点。难道“垂钓者”们改邪归正了？答案是否定的，这个真正的商务站点依然会把用户带到“垂钓者”的恶意页面——骗子利用一种称为“跨站攻击”的技术，在真实网站上插入恶意连接，用户即使再细心也很难想到真实网站也会暗藏杀机。这种被称为“鸡尾酒钓鱼术”的手段使商务网站的可信度变得扑朔迷离。
什么是“跨站攻击”呢？业界对其定义如下：“跨站攻击是指入侵者在远程WEB页面的HTML代码中插入具有恶意目的的数据，用户认为该页面是可信赖的，但是当浏览器下载该页面，嵌入其中的脚本将被解释执行。”由于HTML语言允许使用脚本进行简单交互，入侵者便通过技术手段在某个页面里插入一个恶意HTML代码，例如记录论坛保存的用户信息（Cookie），由于Cookie保存了完整的用户名和密码资料，用户就会遭受安全损失。如这句简单的Java脚本就能轻易获取用户信息：alert(document.cookie)，它会弹出一个包含用户信息的消息框。入侵者运用脚本就能把用户信息发送到他们自己的记录页面中，稍做分析便获取了用户的敏感信息。
“垂钓者”自然不会索要用户的Cookie信息，如今有多少商务网站会允许用户保存Cookie呢？所以他们只能让用户自己送上门来。“垂钓者”利用一段特殊的跨站攻击脚本代码让页面弹出一个设计时根本不曾有的网页对话框，它要求用户输入密码或者把用户带到伪造的站点。因为这些对话框是用户在正常网站看到的，他们自然不会怀疑它的合法性，然而正是这个心理导致了又一场信任危机……
这个方法迫害的不仅仅是用户，更是无辜的商务站点，因为跨站攻击并不是入侵服务器，而是在客户那边进行篡改，商务站点根本不知道发生了什么事情，直到用户找上门来，他们才发现自己的信誉被这些骗子给毁了。

五、Windows特性惹的祸：危险的HOSTS文件
对网络了解较多的读者一般都会知道Windows有个HOSTS文件，它的作用是把IP和网址映射起来。大家都知道，访问网站时必须通过DNS服务器把域名解析为IP地址，这样浏览器才能知道连接到哪里才是我们要的网站，如果每个域名请求都要等待域名服务器解析后返回IP地址，就会降低访问网络的效率，为了提高访问效率，在Windows的处理逻辑里，它总是先在HOSTS文件里查找这个域名和IP的对应关系，如果对应关系存在，Windows就直接连接HOSTS表里描述的IP地址，只有在找不到的时候才向DNS服务器发送解析域名的请求，这个逻辑关系在某些程度上的确方便了用户，因为HOSTS表的优先度比任何一个DNS服务器都高，我们能用它跳过域名解析这一步，访问网站的速度就能提高，也不怕DNS服务器出故障时叫天不应叫地不灵了；局域网用户还能通过HOSTS表用自己设定的域名访问本网段内某台机器提供的网站，而不用记忆复杂的IP；鉴于HOSTS表的优先度，还能用它屏蔽恶意站点。
然而正是由于HOSTS表的特性，我们再次成为被钓的鱼。
HOSTS表的原理是更改域名与IP的映射关系，我们能改，“垂钓者”就也能更改。通过利用一些诸如MIME、EML等下载漏洞，甚至只是简单的网页脚本，骗子就能在HOSTS表里添加任何他们想要的映射关系，因为HOSTS藏得太深了，一般用户很少会留意到这个文件的变化，这就给“垂钓者”钻了个空子，虽然HOSTS表是让域名和IP建立映射关系，但是它并不能判断这个映射关系的准确性！于是“垂钓者”把用户访问几率较大的商务网站域名和他们伪造的网站IP地址映射起来，以后用户即使是自己输入的域名，即使安装了无数杀毒监视程序也无法扭转被带入欺骗站点的厄运，谁让HOSTS的优先度那么高呢？

六、系统升级补丁：骗子的鱼饵
相信每个Windows用户都会对Windows时不时冒出一个漏洞然后再冒出一个补丁的做法恨得牙齿发痒，也因为漏洞危害的日趋严重，一般用户都会很紧张的留意新的Windows升级补丁，骗子也不例外，不过他们更在意的是如何借用漏洞补丁程序入侵用户机器。骗子伪造一封Microsoft“好心”主动发送给用户的“针对某个严重安全漏洞而开发的补丁”，然而附件里是个木马程序。一般用户难得碰上这种殊遇，自然不会起戒心而运行这个“补丁”。而骗子也够精明，运行后出现的界面与真正的补丁程序没两样，但是最后安装到用户机器的是什么呢？这个不用我说了吧。

除了这些涉及技术手段的“网络钓鱼”，还有许多接近社会工程学的手段，如利用QQ骗取信任、发送假冒中奖资讯、买空卖空骗钱术等，骗子们处心积虑用尽一切方法，就是为了你口袋里的钱！

七、远离钓鱼：一道沉重的难题
网络钓鱼之所以能如此猖獗，最大的原因就是人们的心理暗去或强烈的贪欲，“垂钓者”投下足够吸引猎物上钩的“美味鱼饵”——或恐吓，或诱惑，用户的防线在这些因素的干扰下彻底崩溃而咬住了钩子。这是任何杀毒软件也无法解决的，因为“毒”在内心，而非软件。当然这些骗术也涉及了一些技术手段，但是社会工程学的影响却成了最大的干扰。我们无法阻止全部网络钓鱼攻击，稍不留意，厄运就会降临，我们能做的，唯有提高自己的警惕性和降低贪欲，同时学习网络安全技术，才能尽量减少“上钩”的几率。

- 作者： AXIS 2005年12月29日, 星期四 17:10　回复（0） |　引用（1）加入博采

解读防火墙

一. 防火墙的概念
　　近年来，随着普通计算机用户群的日益增长，“防火墙”一词已经不再是服务器领域的专署，大部分家庭用户都知道为自己爱机安装各种“防火墙”软件了。但是，并不是所有用户都对“防火墙”有所了解的，一部分用户甚至认为，“防火墙”是一种软件的名称……
　　到底什么才是防火墙？它工作在什么位置，起着什么作用？查阅历史书籍可知，古代构筑和使用木制结构房屋的时候为防止火灾的发生和蔓延，人们将坚固的石块堆砌在房屋周围作为屏障，这种防护构筑物就被称为“防火墙”（FireWall）。时光飞梭，随着计算机和网络的发展，各种攻击入侵手段也相继出现了，为了保护计算机的安全，人们开发出一种能阻止计算机之间直接通信的技术，并沿用了古代类似这个功能的名字——“防火墙”技术来源于此。用专业术语来说，防火墙是一种位于两个或多个网络间，实施网络之间访问控制的组件集合。对于普通用户来说，所谓“防火墙”，指的就是一种被放置在自己的计算机与外界网络之间的防御系统，从网络发往计算机的所有数据都要经过它的判断处理后，才会决定能不能把这些数据交给计算机，一旦发现有害数据，防火墙就会拦截下来，实现了对计算机的保护功能。
　　防火墙技术从诞生开始，就在一刻不停的发展着，各种不同结构不同功能的防火墙，构筑成网络上的一道道防御大堤。

二. 防火墙的分类
　　世界上没有一种事物是唯一的，防火墙也一样，为了更有效率的对付网络上各种不同攻击手段，防火墙也派分出几种防御架构。根据物理特性，防火墙分为两大类，硬件防火墙和软件防火墙。软件防火墙是一种安装在负责内外网络转换的网关服务器或者独立的个人计算机上的特殊程序，它是以逻辑形式存在的，防火墙程序跟随系统启动，通过运行在Ring0级别的特殊驱动模块把防御机制插入系统关于网络的处理部分和网络接口设备驱动之间，形成一种逻辑上的防御体系。
　　在没有软件防火墙之前，系统和网络接口设备之间的通道是直接的，网络接口设备通过网络驱动程序接口（Network Driver Interface Specification，NDIS）把网络上传来的各种报文都忠实的交给系统处理，例如一台计算机接收到请求列出机器上所有共享资源的数据报文，NDIS直接把这个报文提交给系统，系统在处理后就会返回相应数据，在某些情况下就会造成信息泄漏。而使用软件防火墙后，尽管NDIS接收到仍然的是原封不动的数据报文，但是在提交到系统的通道上多了一层防御机制，所有数据报文都要经过这层机制根据一定的规则判断处理，只有它认为安全的数据才能到达系统，其他数据则被丢弃。因为有规则提到“列出共享资源的行为是危险的”，因此在防火墙的判断下，这个报文会被丢弃，这样一来，系统接收不到报文，则认为什么事情也没发生过，也就不会把信息泄漏出去了。
　　软件防火墙工作于系统接口与NDIS之间，用于检查过滤由NDIS发送过来的数据，在无需改动硬件的前提下便能实现一定强度的安全保障，但是由于软件防火墙自身属于运行于系统上的程序，不可避免的需要占用一部分CPU资源维持工作，而且由于数据判断处理需要一定的时间，在一些数据流量大的网络里，软件防火墙会使整个系统工作效率和数据吞吐速度下降，甚至有些软件防火墙会存在漏洞，导致有害数据可以绕过它的防御体系，给数据安全带来损失，因此，许多企业并不会考虑用软件防火墙方案作为公司网络的防御措施，而是使用看得见摸得着的硬件防火墙。
　　硬件防火墙是一种以物理形式存在的专用设备，通常架设于两个网络的驳接处，直接从网络设备上检查过滤有害的数据报文，位于防火墙设备后端的网络或者服务器接收到的是经过防火墙处理的相对安全的数据，不必另外分出CPU资源去进行基于软件架构的NDIS数据检测，可以大大提高工作效率。
　　硬件防火墙一般是通过网线连接于外部网络接口与内部服务器或企业网络之间的设备，这里又另外派分出两种结构，一种是普通硬件级别防火墙，它拥有标准计算机的硬件平台和一些功能经过简化处理的UNIX系列操作系统和防火墙软件，这种防火墙措施相当于专门拿出一台计算机安装了软件防火墙，除了不需要处理其他事务以外，它毕竟还是一般的操作系统，因此有可能会存在漏洞和不稳定因素，安全性并不能做到最好；另一种是所谓的“芯片”级硬件防火墙，它采用专门设计的硬件平台，在上面搭建的软件也是专门开发的，并非流行的操作系统，因而可以达到较好的安全性能保障。但无论是哪种硬件防火墙，管理员都可以通过计算机连接上去设置工作参数。由于硬件防火墙的主要作用是把传入的数据报文进行过滤处理后转发到位于防火墙后面的网络中，因此它自身的硬件规格也是分档次的，尽管硬件防火墙已经足以实现比较高的信息处理效率，但是在一些对数据吞吐量要求很高的网络里，档次低的防火墙仍然会形成瓶颈，所以对于一些大企业而言，芯片级的硬件防火墙才是他们的首选。
　　有人也许会这么想，既然PC架构的防火墙也不过如此，那么购买这种防火墙还不如自己找技术人员专门腾出一台计算机来做防火墙方案了。虽然这样做也是可以的，但是工作效率并不能和真正的PC架构防火墙相比，因为PC架构防火墙采用的是专门修改简化过的系统和相应防火墙程序，比一般计算机系统和软件防火墙更高度紧密集合，而且由于它的工作性质决定了它要具备非常高的稳定性、实用性和非常高的系统吞吐性能，这些要求并不是安装了多网卡的计算机就能简单替代的，因此PC架构防火墙虽然是与计算机差不多的配置，价格却相差很大。
　　现实中我们往往会发现，并非所有企业都架设了芯片级硬件防火墙，而是用PC架构防火墙甚至前面提到的计算机替代方案支撑着，为什么？这大概就是硬件防火墙最显著的缺点了：它太贵了！购进一台PC架构防火墙的成本至少都要几千元，高档次的芯片级防火墙方案更是在十万元以上，这些价格并非是小企业所能承受的，而且对于一般家庭用户而言，自己的数据和系统安全也无需专门用到一个硬件设备去保护，何况为一台防火墙投入的资金足以让用户购买更高档的电脑了，因而广大用户只要安装一种好用的软件防火墙就够了。
　　为防火墙分类的方法很多，除了从形式上把它分为软件防火墙和硬件防火墙以外，还可以从技术上分为“包过滤型”、“应用代理型”和“状态监视”三类；从结构上又分为单一主机防火墙、路由集成式防火墙和分布式防火墙三种；按工作位置分为边界防火墙、个人防火墙和混合防火墙；按防火墙性能分为百兆级防火墙和千兆级防火墙两类……虽然看似种类繁多，但这只是因为业界分类方法不同罢了，例如一台硬件防火墙就可能由于结构、数据吞吐量和工作位置而规划为“百兆级状态监视型边界防火墙”，因此这里主要介绍的是技术方面的分类，即“包过滤型”、“应用代理型”和“状态监视型”防火墙技术。
　　那么，那些所谓的“边界防火墙”、“单一主机防火墙”又是什么概念呢？所谓“边界”，就是指两个网络之间的接口处，工作于此的防火墙就被称为“边界防火墙”；与之相对的有“个人防火墙”，它们通常是基于软件的防火墙，只处理一台计算机的数据而不是整个网络的数据，现在一般家庭用户使用的软件防火墙就是这个分类了。而“单一主机防火墙”呢，就是我们最常见的一台台硬件防火墙了；一些厂商为了节约成本，直接把防火墙功能嵌进路由设备里，就形成了路由集成式防火墙……

三. 防火墙技术
　　传统意义上的防火墙技术分为三大类，“包过滤”（Packet Filtering）、“应用代理”（Application Proxy）和“状态监视”（Stateful Inspection），无论一个防火墙的实现过程多么复杂，归根结底都是在这三种技术的基础上进行功能扩展的。

1.包过滤技术
　　包过滤是最早使用的一种防火墙技术，它的第一代模型是“静态包过滤”（Static Packet Filtering），使用包过滤技术的防火墙通常工作在OSI模型中的网络层（Network Layer）上，后来发展更新的“动态包过滤”（Dynamic Packet Filtering）增加了传输层（Transport Layer），简而言之，包过滤技术工作的地方就是各种基于TCP/IP协议的数据报文进出的通道，它把这两层作为数据监控的对象，对每个数据包的头部、协议、地址、端口、类型等信息进行分析，并与预先设定好的防火墙过滤规则（Filtering Rule）进行核对，一旦发现某个包的某个或多个部分与过滤规则匹配并且条件为“阻止”的时候，这个包就会被丢弃。适当的设置过滤规则可以让防火墙工作得更安全有效，但是这种技术只能根据预设的过滤规则进行判断，一旦出现一个没有在设计人员意料之中的有害数据包请求，整个防火墙的保护就相当于摆设了。也许你会想，让用户自行添加不行吗？但是别忘了，我们要为是普通计算机用户考虑，并不是所有人都了解网络协议的，如果防火墙工具出现了过滤遗漏问题，他们只能等着被入侵了。一些公司采用定期从网络升级过滤规则的方法，这个创意固然可以方便一部分家庭用户，但是对相对比较专业的用户而言，却不见得就是好事，因为他们可能会有根据自己的机器环境设定和改动的规则，如果这个规则刚好和升级到的规则发生冲突，用户就该郁闷了，而且如果两条规则冲突了，防火墙该听谁的，会不会当场“死给你看”（崩溃）？也许就因为考虑到这些因素，至今我没见过有多少个产品会提供过滤规则更新功能的，这并不能和杀毒软件的病毒特征库升级原理相提并论。为了解决这种鱼与熊掌的问题，人们对包过滤技术进行了改进，这种改进后的技术称为“动态包过滤”（市场上存在一种“基于状态的包过滤防火墙”技术，即Stateful-based Packet Filtering，他们其实是同一类型），与它的前辈相比，动态包过滤功能在保持着原有静态包过滤技术和过滤规则的基础上，会对已经成功与计算机连接的报文传输进行跟踪，并且判断该连接发送的数据包是否会对系统构成威胁，一旦触发其判断机制，防火墙就会自动产生新的临时过滤规则或者把已经存在的过滤规则进行修改，从而阻止该有害数据的继续传输，但是由于动态包过滤需要消耗额外的资源和时间来提取数据包内容进行判断处理，所以与静态包过滤相比，它会降低运行效率，但是静态包过滤已经几乎退出市场了，我们能选择的，大部分也只有动态包过滤防火墙了。
　　基于包过滤技术的防火墙，其缺点是很显著的：它得以进行正常工作的一切依据都在于过滤规则的实施，但是偏又不能满足建立精细规则的要求（规则数量和防火墙性能成反比），而且它只能工作于网络层和传输层，并不能判断高级协议里的数据是否有害，但是由于它廉价，容易实现，所以它依然服役在各种领域，在技术人员频繁的设置下为我们工作着。

2.应用代理技术
　　由于包过滤技术无法提供完善的数据保护措施，而且一些特殊的报文攻击仅仅使用过滤的方法并不能消除危害（如SYN攻击、ICMP洪水等），因此人们需要一种更全面的防火墙保护技术，在这样的需求背景下，采用“应用代理”（Application Proxy）技术的防火墙诞生了。我们的读者还记得“代理”的概念吗？代理服务器作为一个为用户保密或者突破访问限制的数据转发通道，在网络上应用广泛。我们都知道，一个完整的代理设备包含一个服务端和客户端，服务端接收来自用户的请求，调用自身的客户端模拟一个基于用户请求的连接到目标服务器，再把目标服务器返回的数据转发给用户，完成一次代理工作过程。那么，如果在一台代理设备的服务端和客户端之间连接一个过滤措施呢？这样的思想便造就了“应用代理”防火墙，这种防火墙实际上就是一台小型的带有数据检测过滤功能的透明代理服务器（Transparent Proxy），但是它并不是单纯的在一个代理设备中嵌入包过滤技术，而是一种被称为“应用协议分析”（Application Protocol Analysis）的新技术。
　　“应用协议分析”技术工作在OSI模型的最高层——应用层上，在这一层里能接触到的所有数据都是最终形式，也就是说，防火墙“看到”的数据和我们看到的是一样的，而不是一个个带着地址端口协议等原始内容的数据包，因而它可以实现更高级的数据检测过程。整个代理防火墙把自身映射为一条透明线路，在用户方面和外界线路看来，它们之间的连接并没有任何阻碍，但是这个连接的数据收发实际上是经过了代理防火墙转向的，当外界数据进入代理防火墙的客户端时，“应用协议分析”模块便根据应用层协议处理这个数据，通过预置的处理规则（没错，又是规则，防火墙离不开规则）查询这个数据是否带有危害，由于这一层面对的已经不再是组合有限的报文协议，甚至可以识别类似于“GET /sql.asp?id=1 and 1”的数据内容，所以防火墙不仅能根据数据层提供的信息判断数据，更能像管理员分析服务器日志那样“看”内容辨危害。而且由于工作在应用层，防火墙还可以实现双向限制，在过滤外部网络有害数据的同时也监控着内部网络的信息，管理员可以配置防火墙实现一个身份验证和连接时限的功能，进一步防止内部网络信息泄漏的隐患。最后，由于代理防火墙采取是代理机制进行工作，内外部网络之间的通信都需先经过代理服务器审核，通过后再由代理服务器连接，根本没有给分隔在内外部网络两边的计算机直接会话的机会，可以避免入侵者使用“数据驱动”攻击方式（一种能通过包过滤技术防火墙规则的数据报文，但是当它进入计算机处理后，却变成能够修改系统设置和用户数据的恶意代码）渗透内部网络，可以说，“应用代理”是比包过滤技术更完善的防火墙技术。
　　但是，似乎任何东西都不可能逃避“墨菲定律”的规则，代理型防火墙的结构特征偏偏正是它的最大缺点，由于它是基于代理技术的，通过防火墙的每个连接都必须建立在为之创建的代理程序进程上，而代理进程自身是要消耗一定时间的，更何况代理进程里还有一套复杂的协议分析机制在同时工作，于是数据在通过代理防火墙时就不可避免的发生数据迟滞现象，换个形象的说法，每个数据连接在经过代理防火墙时都会先被请进保安室喝杯茶搜搜身再继续赶路，而保安的工作速度并不能很快。代理防火墙是以牺牲速度为代价换取了比包过滤防火墙更高的安全性能，在网络吞吐量不是很大的情况下，也许用户不会察觉到什么，然而到了数据交换频繁的时刻，代理防火墙就成了整个网络的瓶颈，而且一旦防火墙的硬件配置支撑不住高强度的数据流量而发生罢工，整个网络可能就会因此瘫痪了。所以，代理防火墙的普及范围还远远不及包过滤型防火墙，而在软件防火墙方面更是几乎没见过类似产品了——单机并不具备代理技术所需的条件，所以就目前整个庞大的软件防火墙市场来说，代理防火墙很难有立足之地。

3.状态监视技术
　　这是继“包过滤”技术和“应用代理”技术后发展的防火墙技术，它是CheckPoint技术公司在基于“包过滤”原理的“动态包过滤”技术发展而来的，与之类似的有其他厂商联合发展的“深度包检测”（Deep Packet Inspection）技术。这种防火墙技术通过一种被称为“状态监视”的模块，在不影响网络安全正常工作的前提下采用抽取相关数据的方法对网络通信的各个层次实行监测，并根据各种过滤规则作出安全决策。
　　“状态监视”（Stateful Inspection）技术在保留了对每个数据包的头部、协议、地址、端口、类型等信息进行分析的基础上，进一步发展了“会话过滤”（Session Filtering）功能，在每个连接建立时，防火墙会为这个连接构造一个会话状态，里面包含了这个连接数据包的所有信息，以后这个连接都基于这个状态信息进行，这种检测的高明之处是能对每个数据包的内容进行监视，一旦建立了一个会话状态，则此后的数据传输都要以此会话状态作为依据，例如一个连接的数据包源端口是8000，那么在以后的数据传输过程里防火墙都会审核这个包的源端口还是不是8000，否则这个数据包就被拦截，而且会话状态的保留是有时间限制的，在超时的范围内如果没有再进行数据传输，这个会话状态就会被丢弃。状态监视可以对包内容进行分析，从而摆脱了传统防火墙仅局限于几个包头部信息的检测弱点，而且这种防火墙不必开放过多端口，进一步杜绝了可能因为开放端口过多而带来的安全隐患。
　　由于状态监视技术相当于结合了包过滤技术和应用代理技术，因此是最先进的，但是由于实现技术复杂，在实际应用中还不能做到真正的完全有效的数据安全检测，而且在一般的计算机硬件系统上很难设计出基于此技术的完善防御措施（市面上大部分软件防火墙使用的其实只是包过滤技术加上一点其他新特性而已）。

四. 技术展望
　　防火墙作为维护网络安全的关键设备，在目前采用的网络安全的防范体系中，占据着举足轻重的位置。伴随计算机技术的发展和网络应用的普及，越来越多的企业与个体都遭遇到不同程度的安全难题，因此市场对防火墙的设备需求和技术要求都在不断提升，而且越来越严峻的网络安全问题也要求防火墙技术有更快的提高，否则将会在面对新一轮入侵手法时束手无策。
　　多功能、高安全性的防火墙可以让用户网络更加无忧，但前提是要确保网络的运行效率，因此在防火墙发展过程中，必须始终将高性能放在主要位置，目前各大厂商正在朝这个方向努力，而且丰富的产品功能也是用户选择防火墙的依据之一，一款完善的防火墙产品，应该包含有访问控制、网络地址转换、代理、认证、日志审计等基础功能，并拥有自己特色的安全相关技术，如规则简化方案等，明天的防火墙技术将会如何发展，让我们拭目以待。

参考文献：
《防火墙深度包检测技术的演进历程和技术反思》
《理解防火墙及防火墙实例》
《Netscreen VS Checkpoint 杂谈》
《防火墙技术及设计》
《防火墙安全及效能分析》

- 作者： AXIS 2005年12月29日, 星期四 17:08　回复（0） |　引用（1）加入博采