防火墙基础知识

Dr.Evil

I 打开安全的那道“门”——防火墙基础知识
　　古代构筑和使用木质结构房屋的时候，为防止火灾的发生和蔓延，人们将坚固的石块堆砌在房屋周围作为屏障，这种防护构筑物就被称为“防火墙” (FireWall)。在汽车中也存在一个名叫“防火墙”的部件，利用它把乘客和引擎隔开，这样汽车引擎一旦着火，不仅可以保护乘客安全，而同时还能让司机继续控制引擎，能够真正起到“防火”的作用。时光飞梭，随着计算机和网络的发展，各种攻击入侵手段也相继出现了，为了保护计算机的安全，人们开发出一种能阻止计算机之间直接通信的技术，并沿用了古代类似这个功能的名字——“防火墙”技术来源于此。
8 L% c: K5 U7 s' A8 I　　★什么是防火墙？
+ ^) G1 |) L- e+ U　　防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，有选择地接受外部访问，对内部强化设备监管、控制对服务器与外部网络的访问，在被保护网络和外部网络之间架起一道屏障，以防止发生不可预测的、潜在的破坏性侵入。防火墙有两种，硬件防火墙和软件防火墙，它们都能起到保护作用并筛选出网络上的攻击者。
　　对于我们普通用户来说，防火墙最为通俗的说法就是一种被放置在自己的计算机与外界网络之间的防御系统，从网络发往计算机的所有数据都要经过它的判断处理后，才会决定能不能把这些数据交给计算机，一旦发现有害数据，防火墙就会拦截下来，实现了对计算机的保护功能。这就好比职能门禁系统，只有通过门禁系统的确认，建筑物内外的人员才能进出。门禁系统根据管理者的设定，只允许满足条件的人进出，而对于不满足条件的访问者，则将其拒之门外。
　　★防火墙是怎样工作的？
　　我们知道，所有的网络通信都是通过独立数据包的交换来完成的，每个数据包由一台电脑向另外一台目标电脑传输。包是网络上信息传输的基本单位。我们常说的电脑之间的“连接”实际上是由被“连接”的两台电脑之间传送的独立数据包组成的。为了让传输的数据到达目的地(不论两台电脑是近在咫尺还是远隔万里)，每个数据包都必须包含一个目标地址和端口号，以及发送数据的电脑在网络上的 IP地址及端口号，以便让接收者知道是谁发出了这个包。这其中，IP地址表明了电脑在网络中的位置，而端口号则表示要使用机器上的某种服务或会话。
　　如果你的电脑没有安装防火墙，同时也没有使用其他工具来关闭一些端口，那么就表示你的电脑在网络上不设防，这就好比你家的门没有上锁，任何人都可以进来“参观访问”。善意的访问者倒是无所谓，一旦碰上恶意访客，造成的损失可能就无法估量了。
! k3 H$ M- m0 E9 [* r4 g' C　　▲实例1:只开放特定端口连接
. C1 ~3 g5 q( t; h　　如果你正在运行Web服务器，那么就可能需要开放80端口，以便允许远程主机通过该端口和你的电脑连接。在防火墙中进行这项设定后，防火墙就可以检查每个到达本机的数据包，并只允许由80端口开始的连接。其他端口上任何新的连接都将会被“无情”地拒绝。更为夸张一点说，即便你的电脑被植入了木马程序，并向网络打开了一个监听的端口，但是由于防火墙已经禁止了除80以外的其他端口，所有联络系统内木马程序的企图都会被防火墙拦截，木马也只能“望墙兴叹” 了。
　　▲实例2:搭建网络上的“安全通道”
　　有的读者可能有这样的疑问:当我们访问互联网时，可能会连接到具有任何IP地址的 Web服务器，这个时候防火墙会不会因为我设定了针对某个特定入侵者的过滤规则而将所有的数据包都拒之门外呢？这种担心是多余的。前面我们说过，网络连接的每一端都会回应另一端的数据，也就是说，在网上传送的包都有一个“应答位”，这一位是用来说明已经收到了前面的数据。这意味着，只有最初建立新连接的包不含应答信息。这样，防火墙就可以很容易地根据这个“应答位”来区分要求建立新连接的包和已有连接的后续包，使用已有连接的端口的数据包会被放行，而要求建立新连接的包会被拒绝。因此也就实现了放行外出请求连接的包，拦截外来的请求连接包的目的。打个简单的比方，当我们要举办一场宴会时，先给受邀者寄去一张邀请函，凭邀请函入场。而没有邀请函的就被定义为“不速之客”，自然不会被放进来。
　　
% \; V% ^/ d. r" }  I$ y　　 II 关于防火墙的几点疑问
　　★防火墙能够杜绝黑客攻击吗？
　　很多读者会比较关心防火墙能否阻挡住黑客的攻击，其实这个问题应该辩证地来看。从理论上来说，防火墙可以通过设置各种规则来阻挡黑客的“进攻”，但是普通用户恐怕都没有能力来设置太过于复杂的过滤规则，另外复杂的规则也会同时给用户本身造成不便，因此一些“重量级”的黑客总是能够找到其中的漏洞乘虚而入。五角大楼那么高度机密的地方也被侵入便是很好的佐证。不过，使用防火墙的正常设置对于防范普通级别的攻击应该是足够了。
$ E3 V& L, d# Z6 B1 L$ h
  ★不要被安全记录吓倒
　　防火墙工作一段时间后，我们会看到一长串的拦截信息。不过，记录里面并不完全是攻击信息，它记录的只是你在安全设置中所拒绝接收的数据包。在某些情况下，你可能会收到一些正常但又被拦截的数据包，如某些路由器会定时发出一些IGMP包等等，或有些主机会定时Ping你的机器。因此，完全没有必要惊慌失措，就算这些记录中包含了攻击信息，也已经被防火墙拦截住了，不会对我们的电脑造成什么破坏。
　　★防火墙“看不见，摸不着”？　　前面我们主要讨论的是软件防火墙，其实从安全性能来说，硬件防火墙要更胜一筹，也是企业级用户的首选。和软件防火墙“虚无缥缈”不同，硬件防火墙是一种以物理形式存在的专用设备，它通常架设于两个网络的接口处，直接从网络设备上检查过滤有害的数据包，位于防火墙设备后端的网络或者服务器接收到的是经过防火墙处理的相对安全的数据，不必另外分出CPU资源去进行基于软件架构的NDIS数据检测，可以大大提高工作效率。当然了，硬件防火墙不菲的价格也是普通用户“敬而远之”的原因之一。
　　
' M) e% P" m% z2 a9 q: X　　III 合适的才是最好的——防火墙设置“量身定制”
　　和普通用户打交道最多的是软件防火墙，也就是我们平常所说的个人防火墙。如何设置让个人防火墙能够最大限度地保证计算机不受外界的攻击，同时又不会影响到正常的网络访问，防火墙的设置至关重要。因此，在使用防火墙之前，最好能够先研究一下防火墙的帮助文件，磨刀不误砍柴工嘛。
6 g2 g3 f0 S9 z( @+ y　　1.解除对程序正常访问的阻止
　　在将系统升级至SP2后，Windows XP的用户可能会发现很多程序无法正常运行。其实，这是Windows XP SP2内置的防火墙在“捣鬼”。因为在默认情况下，Windows Firewall为“启用”状态并且会自动屏蔽未被认可的外来连接，很多程序就这样遭了“毒手”。
& @0 Y9 s- {# b2 S3 M　　要恢复这些程序的正常运作，我们可以在 Windows防火墙中进行设定。进入到网络连接文件夹，右键点击本地连接，并且在下拉菜单中选“属性”命令，打开“属性”对话框。切换至“高级”选项卡，单击“设置”按钮即可进入Windows防火墙设置界面。进入“例外”选项卡，在其中我们便可以看到“解禁”的程序列表。如果该程序不在列表中，则可以单击“添加程序”按钮手动添加要解除阻止的程序。
　　
　　小提示：
　　其实，如果勾选了“Windows防火墙阻止程序时通知我”复选框，那么一旦没有在允许列表中的程序试图访问网络时，都会弹出一个提示框，我们在提示框中进行相应的选择即可。
/ w/ q3 P' g. R/ \4 ?　　
+ C( d8 b5 `4 m　　类似的，天网防火墙对未经许可的网络访问都会弹出提示框，如果你希望以后都允许这个程序访问网络，则可以勾选“该程序以后都按照这次的操作运行”，然后单击“允许”按钮即可解除阻止了。
　　2.防火墙不是局域网访问的绊脚石！
1 R( B/ D( o5 ?4 w　　在局域网中，如果某台电脑上安装了个人防火墙，就可能造成网络访问的故障。很多用户就经常发现自己能够访问他人的共享文件夹，而别人却始终无法进入自己的电脑。这其中，防火墙“作祟”的可能性非常大。因此，我们要告知防火墙自己身处局域网中，这样防火墙就可以针对局域网使用不同的过滤规则了。
( t, P% R0 ?3 ~* r0 O8 S' t% N　　例如，当我们完成天网防火墙的安装后，会看到一个设置向导，在“安全级别设置”对话框中将安全级别设置为“中”，然后在接下来的“局域网信息设置”窗口中勾选“我的电脑在局域网中使用”，软件便会自动侦测本机的局域网IP地址，然后单击“下一步”即可完成设置。

nanjing2

很有用