防火墻工作原理

引言

如果您使用過互聯網，尤其是如果您在較大的公司工作并在工作時間瀏覽網絡，那么您大概聽到過別人使用防火墻一詞。例如，您經常聽見公司的人這樣說：“我沒法使用那個站點，因為他們不允許外人通過防火墻進行訪問。”諸如此類。

如果您家里有快速互聯網連接（DSL連接或電纜調制解調器），您也可能聽說過用于家庭網絡的防火墻。事實上，小型家庭網絡和大型公司網絡具有大量相同的安全問題。您可以利用防火墻使您的家庭網絡和家人避免受到令人討厭的網站和潛在黑客的騷擾。

本質上，防火墻就是一道防止您的財產受到破壞的屏障。實際上這正是稱它為防火墻的理由。它的工作類似于阻止火勢從一個區(qū)域蔓延到另一個區(qū)域的真實防火墻。本文中，您將了解更多有關防火墻的內容，并且了解它們的工作原理以及它們能使您免受哪些種類的威脅。

防火墻就是對通過互聯網連接進入您的專用網絡或計算機系統(tǒng)的信息進行過濾的程序或硬件設備。如果過濾器對傳入的信息數據包進行標記，則不允許該數據包通過。

如果閱讀過Web服務器工作原理，那么您對互聯網上的數據傳輸方式應該已經有了充分認識，并且能夠很容易看出防火墻是如何幫助人們保護大公司內的計算機的。假設您所就職的公司擁有500名員工。公司因而有數百臺計算機通過網卡互相連接。此外，公司還有一個或多個通過T1或T3等類似線路實現的互聯網連接。如果不安裝防火墻，則互聯網上的任何人都可以直接訪問這數百臺計算機。懂行的人可能探查這些計算機，嘗試與這些計算機建立FTP連接，嘗試與它們建立telnet連接，等等。如果有員工犯錯從而留下安全漏洞，那么黑客可以進入相應的計算機并利用漏洞。

如果安裝防火墻，情況將大不相同。公司將在每個互聯網連接處布置防火墻（例如，在每條進入公司的T1線路上）防火墻可以實施安全規(guī)則。例如，公司內的一條安全規(guī)則可能是：

在本公司內的500臺計算機中，只允許一臺計算機接收公共FTP通信。只允許與該計算機建立FTP連接，而阻止與其他任何計算機建立這樣的連接。

公司可以為FTP服務器、Web服務器、Telnet服務器等設置類似的規(guī)則。此外，公司還可以控制員工連接網站的方式、控制是否允許文件通過網絡離開公司等。利用防火墻，公司可以對人們使用網絡的方式進行諸多控制。

防火墻使用以下三種方法中的一種或多種來控制流入和流出網絡的通信：

• 數據包過濾——根據一組過濾器分析數據包（小的數據塊）。通過過濾器的數據包將發(fā)送到請求數據包的系統(tǒng)，沒有通過的數據包將被丟棄。
• 代理服務——防火墻檢索來自互聯網的信息，然后將信息發(fā)送到請求信息的系統(tǒng)，反之亦然。
• 狀態(tài)檢測——這是一種較為新穎的方法，它并不檢查每個數據包的內容，而是將數據包的特定關鍵部分與受信任信息數據庫進行比較。從防火墻內部傳遞到外部的信息將受到監(jiān)視，以獲得特定的定義特征，然后將傳入的信息與這些特征進行比較。如果通過比較得出合理的匹配，則允許信息通過。否則將丟棄信息。

定制合適的防火墻

可以對防火墻進行定制。這意味著您可以根據多個條件來添加或刪除過濾器。其中一些條件如下：

• IP地址——互聯網上的每臺計算機被分配了一個唯一的地址，稱為IP地址。IP地址是32位數字，通常表示為4個“八位二進制數”，并以“句點分隔的十進制數”直觀表示。典型的IP地址如下所示：216.27.61.137。例如，如果公司外部的某個IP地址從服務器讀取了過多文件，則防火墻可以阻止與該IP地址之間的所有通信。
• 域名——由于組成IP地址的數字串不容易記住，而且IP地址有時需要更改，因此互聯網上的所有服務器還擁有易于理解的名稱，稱為域名。例如，對大多數人來說，記住www.howstuffworks.com比記住216.27.61.137更容易。公司可以阻止對特定域名進行的所有訪問，或者僅允許訪問特定域名。
• 協議——協議是想要使用某一服務的某一方與該服務之間進行通信的一種預定義方式。“某一方”可能是一個人，但在更多的情況下，它是一個計算機程序，例如Web瀏覽器。協議通常是文本，并簡單說明客戶機和服務器進行會話的方式。http是Web協議。公司可以只設置一臺或兩臺計算機來處理特定協議，而在其他所有計算機上禁用該協議。下面是一些可以為其設置防火墻過濾器的常見協議：
  • IP（互聯網協議，Internet Protocol）——互聯網上的主要信息傳遞系統(tǒng)
  • TCP（傳輸控制協議，Transmission Control Protocol）——用于拆分和復原互聯網上傳遞的信息
  • HTTP（超文本傳輸協議，Hyper Text Transfer Protocol）——用于網頁
  • FTP（文件傳輸協議，File Transfer Protocol）——用于下載和上傳文件
  • UDP（用戶數據報協議，User Datagram Protocol）——用于無需響應的信息，如音頻流和視頻流
  • ICMP（Internet控制消息協議，Internet Control Message Protocol）—— 供路由器用來與其他路由器交換信息
  • SMTP（簡單郵件傳輸協議，Simple Mail Transport Protocol）——用于發(fā)送基于文本的信息（電子郵件）
  • SNMP（簡單網絡管理協議，Simple Network Management Protocol）——用于從遠程計算機收集系統(tǒng)信息
  • Telnet——用于在遠程計算機上執(zhí)行命

• 端口——任何服務器計算機都使用帶編號的端口向互聯網提供服務，每個端口對應于該服務器上提供的一項服務（詳細信息，請參見Web服務器工作原理）。例如，如果服務器計算機正在運行Web（HTTP）服務器和FTP服務器，則通常可以通過端口80訪問Web服務器，并可以通過端口21訪問FTP服務器。除一臺計算機外，公司可能阻止對公司內其他所有計算機上的端口21進行訪問。
• 特定詞匯和短語——這可以是任意內容。防火墻將嗅探（徹底搜尋）每個信息數據包，確定是否存在與過濾器中列出的文本完全匹配的內容。例如，您可以指示防火墻阻止任何含有“X-rated”一詞的數據包。這里的關鍵在于必須是精確匹配。“X-rated”過濾器不會捕捉“X rated”（不含連字符）。但您可以根據需要包括任意多的詞匯、短語以及它們的變體。

一些操作系統(tǒng)內置了防火墻。如果沒有，您可以在家中具有互聯網連接的計算機上安裝軟件防火墻。該計算機稱為網關，因為它提供了家庭網絡與互聯網之間的唯一接入點。

至于硬件防火墻，防火墻裝置本身通常就是網關。Linksys Cable/DSL路由器就是這方面的例子。它內置了以太網卡和集線器。家庭網絡中的計算機與路由器連接，而路由器又與電纜調制解調器或DSL調制解調器連接。您可以通過基于Web的界面配置路由器，該界面可以通過計算機上的瀏覽器訪問。然后，您可以設置任何過濾器或其他信息。

硬件防火墻非常安全，而且價格也不貴。包含路由器、防火墻和以太網集線器的、用于寬帶連接的家庭版硬件防火墻價格在100美元以內。

防火墻提供哪些保護？

肆無忌憚的人們想出了各種富有創(chuàng)意的方法來訪問或濫用未加保護的計算機：

• 遠程登錄——他人能夠連接到您的計算機并以某種形式控制它。這包括查看或訪問您的文件以及在您的計算機上實際運行程序。
• 應用程序后門——一些程序具有特殊功能，能夠進行遠程訪問。另外一些程序含有缺陷，這些缺陷提供了后門（即隱藏入口），可用來對程序進行某種程度的控制。
• SMTP會話劫持——SMTP是通過互聯網發(fā)送電子郵件的最常用方法。通過獲取對電子郵件地址列表的訪問權，可以向數以千計的用戶發(fā)送未經請求的垃圾郵件。常用的方法是通過不知情主機的SMTP服務器重定向電子郵件，從而隱藏垃圾郵件的實際發(fā)件人的蹤跡。
• 操作系統(tǒng)缺陷——像應用程序一樣，一些操作系統(tǒng)也有后門。另外一些操作系統(tǒng)提供了缺乏足夠安全控制的遠程訪問，或者存在經驗豐富的黑客可以利用的缺陷。
• 拒絕服務——您可能在關于大型網站受到攻擊的新聞報道中聽說過這個短語。這種類型的攻擊幾乎無法抵御。這種攻擊的原理是：黑客向服務器發(fā)送連接請求。當服務器用應答響應并嘗試建立會話時，卻找不到發(fā)出請求的系統(tǒng)。黑客通過向服務器發(fā)送無數這類無法應答的會話請求，使得服務器速度變慢或者最終崩潰。
• 電子郵件炸彈——電子郵件炸彈通常是針對個人發(fā)起的攻擊。某人向您發(fā)送數百或數千封相同的電子郵件，直到您的電子郵件系統(tǒng)再也無法接收任何郵件。
• 宏——為了簡化復雜過程，許多應用程序允許創(chuàng)建可供應用程序運行的命令腳本。該腳本稱為宏。黑客利用這一功能創(chuàng)建自己的宏，根據應用程序的不同，這些宏可以摧毀您的數據或使計算機崩潰。
• 病毒——計算機病毒大概是最著名的威脅。病毒是可以將自己復制到其他計算機的小程序。通過復制，病毒可以在不同系統(tǒng)之間快速傳播。病毒既包括無害的郵件，也包括可以擦除您所有數據的危險病毒。
• 垃圾郵件——這里將現實生活中的“垃圾郵件”一詞借用到電子領域，它們通常是無害的，但總是令人討厭。不過垃圾郵件也可能具有危險。它常常包含指向網站的鏈接。單擊這些鏈接時一定要小心，因為您可能意外接受向您的計算機提供后門的Cookie。
• 重定向炸彈——黑客可以使用ICMP將信息發(fā)送到別的路由器，從而更改（重定向）信息采用的路徑。這是實施拒絕服務攻擊的一種方法。
• 源路由——在大多數情況下，數據包在互聯網（或其他任何網絡）上傳輸的路徑由沿該路徑的路由器決定。但提供數據包的源可以任意指定數據包的傳輸路由。黑客有時利用這一點使信息看起來像是來自受信任的源甚至網絡內部！大部分防火墻產品默認情況下禁用源路由。

即使有可能，以上列出的一些項也難以利用防火墻進行過濾。雖然一些防火墻提供了防病毒功能，但在每臺計算機上安裝防病毒軟件是值得的。另外，盡管令人討厭，但只要您接受電子郵件，一些垃圾郵件就能夠穿過您的防火墻。

您所確立的安全級別將決定防火墻可以阻止的威脅的數量。最高安全級別可以阻止一切通信。顯然，這也使互聯網連接失去了意義。但一條常用的經驗法則是阻止一切通信，然后開始選擇允許通過的通信類型。您還可以對通過防火墻的通信進行限制，從而只允許特定類型的信息（如電子郵件）通過。如果企業(yè)擁有有經驗的網絡管理員，并且這些管理員了解企業(yè)需求并確切知道允許哪些通信通過，那么這是一條不錯的規(guī)則。對于我們大多數人來說，除非有特定的更改理由，否則最好使用由防火墻開發(fā)人員提供的默認設置。

站在安全角度來說，防火墻最大的好處之一在于它能夠阻止任何外人登錄您的專用網絡中的計算機。這對企業(yè)來說非常重要，大多數家庭網絡大概不會受到這方面的威脅。不過，布置防火墻還是能讓人放心一些。

代理服務器和DMZ（非軍事區(qū)）

一項經常與防火墻結合使用的功能是代理服務器。代理服務器被其他計算機用來訪問網頁。當另一臺計算機請求網頁時，代理服務器將檢索該網頁，然后將其發(fā)送給請求該網頁的計算機。該操作的最后效果是承載該網頁的遠程計算機不會與您家庭網絡中的任何內容直接聯系，而是與代理服務器聯系。

代理服務器還可以使您的互聯網訪問更為高效。如果您訪問網站的頁面，該頁面將緩存（存儲）在代理服務器上。這意味著當您下次返回到該頁面時，通常無需再次從網站加載該頁面。相反，可以從代理服務器迅速加載。

有時，您可能希望遠程用戶能夠訪問您網絡中的項。例如：

• 網站
• 在線商務
• FTP下載區(qū)和上傳區(qū)

在類似情況下，您可以創(chuàng)建DMZ（非軍事區(qū)）。盡管聽起來很嚴肅，但它實際上只是防火墻外部的一個區(qū)域。請試著將DMZ想像成您家里的前院。它屬于您，您可以在這里堆放東西，但您會把貴重物品都放在屋子里，因為那里才更加安全。

設置DMZ非常簡單。如果您有多臺計算機，可以選擇將其中一臺計算機簡單地放在互聯網連接和防火墻之間。現在，大部分軟件防火墻都允許您指定網關計算機上的一個目錄作為DMZ。

安裝防火墻后，應對其進行測試。

[責任編輯：小敏]