防火墙基础知识详解
防火墙基础知识详解
1.什么是防火墙?
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,有选择地接受外部访问,对内部强化设备监管、控制对服务器与外部网络的访问,在被保护网络和外部网络之间架起一道屏障,以防止发生不可预测的、潜在的破坏性侵入。防火墙有两种,硬件防火墙和软件防火墙,它们都能起到保护作用并筛选出网络上的攻击者。
对于我们普通用户来说,防火墙最为通俗的说法就是一种被放置在自己的计算机与外界网络之间的防御系统,从网络发往计算机的所有数据都要经过它的判断处理后,才会决定能不能把这些数据交给计算机,一旦发现有害数据,防火墙就会拦截下来,实现了对计算机的保护功能。这就好比职能门禁系统,只有通过门禁系统的确认,建筑物内外的人员才能进出。门禁系统根据管理者的设定,只允许满足条件的人进出,而对于不满足条件的访问者,则将其拒之门外。
2.防火墙是怎样工作的?
我们知道,所有的网络通信都是通过独立数据包的交换来完成的,每个数据包由一台电脑向另外一台目标电脑传输。包是网络上信息传输的基本单位。我们常说的电脑之间的“连接”实际上是由被“连接”的两台电脑之间传送的独立数据包组成的。为了让传输的数据到达目的地(不论两台电脑是近在咫尺还是远隔万里),每个数据包都必须包含一个目标地址和端口号,以及发送数据的电脑在网络上的IP地址及端口号,以便让接收者知道是谁发出了这个包。这其中,IP地址表明了电脑在网络中的位置,而端口号则表示要使用机器上的某种服务或会话。
如果你的电脑没有安装防火墙,同时也没有使用其他工具来关闭一些端口,那么就表示你的电脑在网络上不设防,这就好比你家的门没有上锁,任何人都可以进来“参观访问”。善意的访问者倒是无所谓,一旦碰上恶意访客,造成的损失可能就无法估量了。
实例1:只开放特定端口连接:
如果你正在运行Web服务器,那么就可能需要开放80端口,以便允许远程主机通过该端口和你的电脑连接。在防火墙中进行这项设定后,防火墙就可以检查每个到达本机的数据包,并只允许由80端口开始的连接。其他端口上任何新的连接都将会被“无情”地拒绝。更为夸张一点说,即便你的电脑被植入了木马程序,并向网络打开了一个监听的端口,但是由于防火墙已经禁止了除80以外的其他端口,所有联络系统内木马程序的企图都会被防火墙拦截,木马也只能“望墙兴叹”了。
实例2:搭建网络上的“安全通道”:
有的读者可能有这样的疑问:当我们访问互联网时,可能会连接到具有任何IP地址的Web服务器,这个时候防火墙会不会因为我设定了针对某个特定入侵者的过滤规则而将所有的数据包都拒之门外呢?这种担心是多余的。前面我们说过,网络连接的每一端都会回应另一端的数据,也就是说,在网上传送的包都有一个“应答位”,这一位是用来说明已经收到了前面的数据。这意味着,只有最初建立新连接的包不含应答信息。这样,防火墙就可以很容易地根据这个“应答位”来区分要求建立新连接的包和已有连接的后续包,使用已有连接的端口的数据包会被放行,而要求建立新连接的包会被拒绝。因此也就实现了放行外出请求连接的包,拦截外来的请求连接包的目的。打个简单的比方,当我们要举办一场宴会时,先给受邀者寄去一张邀请函,凭邀请函入场。而没有邀请函的就被定义为“不速之客”,自然不会被放进来。
3.关于防火墙的几点疑问?
(1)、防火墙能够杜绝黑客攻击吗?
很多读者会比较关心防火墙能否阻挡住黑客的攻击,其实这个问题应该辩证地来看。从理论上来说,防火墙可以通过设置各种规则来阻挡黑客的“进攻”,但是普通用户恐怕都没有能力来设置太过于复杂的过滤规则,另外复杂的规则也会同时给用户本身造成不便,因此一些“重量级”的黑客总是能够找到其中的漏洞乘虚而入。五角大楼那么高度机密的地方也被侵入便是很好的佐证。不过,使用防火墙的正常设置对于防范普通级别的攻击应该是足够了。
(2)、不要被安全记录吓倒!
防火墙工作一段时间后,我们会看到一长串的拦截信息。不过,记录里面并不完全是攻击信息,它记录的只是你在安全设置中所拒绝接收的数据包。在某些情况下,你可能会收到一些正常但又被拦截的数据包,如某些路由器会定时发出一些IGMP包等等,或有些主机会定时Ping你的机器。因此,完全没有必要惊慌失措,就算这些记录中包含了攻击信息,也已经被防火墙拦截住了,不会对我们的电脑造成什么破坏。
(3)、防火墙“看不见,摸不着”?
前面我们主要讨论的是软件防火墙,其实从安全性能来说,硬件防火墙要更胜一筹,也是企业级用户的首选。和软件防火墙“虚无缥缈”不同,硬件防火墙是一种以物理形式存在的专用设备,它通常架设于两个网络的接口处,直接从网络设备上检查过滤有害的数据包,位于防火墙设备后端的网络或者服务器接收到的是经过防火墙处理的相对安全的数据,不必另外分出CPU资源去进行基于软件架构的NDIS数据检测,可以大大提高工作效率。当然了,硬件防火墙不菲的价格也是普通用户“敬而远之”的原因之一。
4.防火墙设置的问题?
一定要记住!合适的才是最好的,和普通用户打交道最多的是软件防火墙,也就是我们平常所说的个人防火墙。如何设置让个人防火墙能够最大限度地保证计算机不受外界的攻击,同时又不会影响到正常的网络访问,防火墙的设置至关重要。因此,在使用防火墙之前,最好能够先研究一下防火墙的帮助文件,磨刀不误砍柴工嘛。
|