防火墙的作用

防火墙的作用

防火墙就是对通过互联网连接进入您的专用网络或计算机系统的信息进行过滤的程序或硬件设备。如果过滤器对传入的信息数据包进行标记，则不允许该数据包通过。

如果阅读过Web服务器工作原理，那么您对互联网上的数据传输方式应该已经有了充分认识，并且能够很容易看出防火墙是如何帮助人们保护大公司内的计算机的。假设您所就职的公司拥有500名员工。公司因而有数百台计算机通过网卡互相连接。此外，公司还有一个或多个通过T1或T3等类似线路实现的互联网连接。如果不安装防火墙，则互联网上的任何人都可以直接访问这数百台计算机。懂行的人可能探查这些计算机，尝试与这些计算机建立FTP连接，尝试与它们建立telnet连接，等等。如果有员工犯错从而留下安全漏洞，那么黑客可以进入相应的计算机并利用漏洞。

如果安装防火墙，情况将大不相同。公司将在每个互联网连接处布置防火墙（例如，在每条进入公司的T1线路上）防火墙可以实施安全规则。例如，公司内的一条安全规则可能是：在本公司内的500台计算机中，只允许一台计算机接收公共FTP通信。只允许与该计算机建立FTP连接，而阻止与其他任何计算机建立这样的连接。

公司可以为FTP服务器、Web服务器、Telnet服务器等设置类似的规则。此外，公司还可以控制员工连接网站的方式、控制是否允许文件通过网络离开公司等。利用防火墙，公司可以对人们使用网络的方式进行诸多控制。

防火墙使用以下三种方法中的一种或多种来控制流入和流出网络的通信：

•数据包过滤——根据一组过滤器分析数据包（小的数据块）。通过过滤器的数据包将发送到请求数据包的系统，没有通过的数据包将被丢弃。

•代理服务——防火墙检索来自互联网的信息，然后将信息发送到请求信息的系统，反之亦然。

•状态检测——这是一种较为新颖的方法，它并不检查每个数据包的内容，而是将数据包的特定关键部分与受信任信息数据库进行比较。从防火墙内部传递到外部的信息将受到监视，以获得特定的定义特征，然后将传入的信息与这些特征进行比较。如果通过比较得出合理的匹配，则允许信息通过。否则将丢弃信息。

定制合适的防火墙

可以对防火墙进行定制。这意味着您可以根据多个条件来添加或删除过滤器。其中一些条件如下：

•IP地址——互联网上的每台计算机被分配了一个唯一的地址，称为IP地址。IP地址是32位数字，通常表示为4个“八位二进制数”，并以“句点分隔的十进制数”直观表示。典型的IP地址如下所示：216.27.61.137。例如，如果公司外部的某个IP地址从服务器读取了过多文件，则防火墙可以阻止与该IP地址之间的所有通信。

•域名——由于组成IP地址的数字串不容易记住，而且IP地址有时需要更改，因此互联网上的所有服务器还拥有易于理解的名称，称为域名。例如，对大多数人来说，记住比记住216.27.61.137更容易。公司可以阻止对特定域名进行的所有访问，或者仅允许访问特定域名。

•协议——协议是想要使用某一服务的某一方与该服务之间进行通信的一种预定义方式。“某一方”可能是一个人，但在更多的情况下，它是一个计算机程序，例如Web浏览器。协议通常是文本，并简单说明客户机和服务器进行会话的方式。http是Web协议。公司可以只设置一台或两台计算机来处理特定协议，而在其他所有计算机上禁用该协议。下面是一些可以为其设置防火墙过滤器的常见协议：

IP（互联网协议，Internet Protocol）——互联网上的主要信息传递系统

TCP（传输控制协议，Transmission Control Protocol）——用于拆分和复原互联网上传递

的信息

HTTP（超文本传输协议，Hyper Text Transfer Protocol）——用于网页

FTP（文件传输协议，File Transfer Protocol）——用于下载和上传文件

UDP（用户数据报协议，User Datagram Protocol）——用于无需响应的信息，如音频流和视频流

ICMP（Internet控制消息协议，Internet Control Message Protocol）——供路由器用来与其他路由器交换信息

SMTP（简单邮件传输协议，Simple Mail Transport Protocol）——用于发送基于文本的信息（电子邮件）

SNMP（简单网络管理协议，Simple Network Management Protocol）——用于从远程计算机收集系统信息

Telnet——用于在远程计算机上执行命

•端口——任何服务器计算机都使用带编号的端口向互联网提供服务，每个端口对应于该服务器上提供的一项服务（详细信息，请参见Web服务器工作原理）。例如，如果服务器计算机正在运行Web（HTTP）服务器和FTP服务器，则通常可以通过端口80访问Web服务器，并可以通过端口21访问FTP服务器。除一台计算机外，公司可能阻止对公司内其他所有计算机上的端口21进行访问。

•特定词汇和短语——这可以是任意内容。防火墙将嗅探（彻底搜寻）每个信息数据包，确定是否存在与过滤器中列出的文本完全匹配的内容。例如，您可以指示防火墙阻止任何含有“X-rated”一词的数据包。这里的关键在于必须是精确匹配。“X-rated”过滤器不会捕捉“X rated”（不含连字符）。但您可以根据需要包括任意多的词汇、短语以及它们的变体。

一些操作系统内置了防火墙。如果没有，您可以在家中具有互联网连接的计算机上安装软件防火墙。该计算机称为网关，因为它提供了家庭网络与互联网之间的唯一接入点。

至于硬件防火墙，防火墙装置本身通常就是网关。Linksys Cable/DSL路由器就是这方面的例子。它内置了以太网卡和集线器。家庭网络中的计算机与路由器连接，而路由器又与电缆调制解调器或DSL调制解调器连接。您可以通过基于Web的界面配置路由器，该界面可以通过计算机上的浏览器访问。然后，您可以设置任何过滤器或其他信息。

硬件防火墙非常安全，而且价格也不贵。包含路由器、防火墙和以太网集线器的、用于宽带连接的家庭版硬件防火墙价格在100美元以内。

防火墙提供哪些保护？

肆无忌惮的人们想出了各种富有创意的方法来访问或滥用未加保护的计算机：

•远程登录——他人能够连接到您的计算机并以某种形式控制它。这包括查看或访问您的文件以及在您的计算机上实际运行程序。

•应用程序后门——一些程序具有特殊功能，能够进行远程访问。另外一些程序含有缺陷，这些缺陷提供了后门（即隐藏入口），可用来对程序进行某种程度的控制。

•SMTP会话劫持——SMTP是通过互联网发送电子邮件的最常用方法。通过获取对电子邮件地址列表的访问权，可以向数以千计的用户发送未经请求的垃圾邮件。常用的方法是通过不知情主机的SMTP服务器重定向电子邮件，从而隐藏垃圾邮件的实际发件人的踪迹。•操作系统缺陷——像应用程序一样，一些操作系统也有后门。另外一些操作系统提供了缺乏足够安全控制的远程访问，或者存在经验丰富的黑客可以利用的缺陷。

•拒绝服务——您可能在关于大型网站受到攻击的新闻报道中听说过这个短语。这种类型的攻击几乎无法抵御。这种攻击的原理是：黑客向服务器发送连接请求。当服务器用应答响应并尝试建立会话时，却找不到发出请求的系统。黑客通过向服务器发送无数这类无法应答的会话请求，使得服务器速度变慢或者最终崩溃。