防火墙如何工作

作者:杰夫·泰森
多年来,防火墙一直帮助保护大型公司的计算机。现在,它们也成为家庭网络的关键组件。查看更多计算机网络图片

如果您使用互联网已有一段时间,尤其是在一家大型公司工作并在工作中浏览网页,您可能已经听说过防火墙这个术语。例如,您经常听到公司里的人说:“我无法访问那个网站,因为他们不允许它通过防火墙。”

如果您的家庭拥有快速互联网连接(无论是DSL连接还是有线调制解调器),您可能也会听到有关家庭网络防火墙的信息。事实证明,小型家庭网络面临的安全问题与大型企业网络有许多相同之处。您可以使用防火墙保护您的家庭网络和家人免受不良网站和潜在黑客的侵害。

广告

本质上,防火墙是一个屏障,用于将破坏性力量挡在您的财产之外。事实上,这就是它被称为防火墙的原因。它的作用类似于物理防火墙,防止火灾从一个区域蔓延到下一个区域。阅读本文后,您将了解更多关于防火墙的信息,它们如何工作以及它们可以保护您免受哪些威胁。

目录
  1. 防火墙软件的功能
  2. 防火墙配置
  3. 为什么需要防火墙安全?
  4. 代理服务器和DMZ

防火墙软件的功能

防火墙本质上是一个程序或硬件设备,用于过滤通过互联网连接进入您的私有网络计算机系统的信息。如果传入的信息包被过滤器标记,则不允许其通过。

如果您阅读过文章Web服务器如何工作,那么您对数据如何在互联网上移动有很好的了解,并且可以很容易地看出防火墙如何帮助保护大型公司内部的计算机。假设您在一家拥有500名员工的公司工作。该公司将拥有数百台通过网卡相互连接的计算机。此外,该公司将通过T1或T3线路等方式连接到一个或多个互联网连接。如果没有防火墙,所有这些数百台计算机都可以直接被互联网上的任何人访问。一个知道自己在做什么的人可以探测这些计算机,尝试对它们进行FTP连接,尝试对它们进行Telnet连接等等。如果一名员工犯错并留下一个安全漏洞,黑客就可以进入机器并利用这个漏洞。

广告

有了防火墙,情况就大不相同了。公司将在每个互联网连接点(例如,进入公司的每条T1线路)放置一个防火墙。防火墙可以实施安全规则。例如,公司内部的一条安全规则可能是:

在这家公司的500台计算机中,只有一台允许接收公共FTP流量。仅允许对该计算机的FTP连接,并阻止所有其他计算机上的FTP连接。

公司可以为FTP服务器、Web服务器、Telnet服务器等设置类似的规则。此外,公司还可以控制员工如何连接到网站,文件是否允许通过网络离开公司等等。防火墙赋予公司对人们如何使用网络的巨大控制权。

防火墙使用以下三种或更多方法中的一种来控制网络中流进流出的流量:

  • 包过滤 - 包(小块数据)会根据一组过滤器进行分析。通过过滤器的包被发送到请求系统,所有其他包则被丢弃。
  • 代理服务 - 互联网上的信息由防火墙检索,然后发送给请求系统,反之亦然。
  • 状态检测 - 一种较新的方法,它不检查每个数据包的内容,而是将数据包的某些关键部分与受信任信息数据库进行比较。从防火墙内部传输到外部的信息会被监控其特定的定义特征,然后传入信息与这些特征进行比较。如果比较结果合理匹配,则允许信息通过。否则,信息将被丢弃。

广告

防火墙配置

防火墙是可定制的。这意味着您可以根据多种条件添加或移除过滤器。其中一些条件是:

IP地址 - 互联网上的每台机器都被分配一个唯一的地址,称为IP地址。IP地址是32位数字,通常以“点分十进制”形式的四个“八位字节”表示。一个典型的IP地址看起来像这样:216.27.61.137。例如,如果公司外部的某个IP地址从服务器读取过多文件,防火墙可以阻止所有进出该IP地址的流量。

广告

域名 - 因为很难记住构成IP地址的数字串,而且IP地址有时需要更改,所以互联网上的所有服务器都有人类可读的名称,称为域名。例如,对我们大多数人来说,记住www.十万个为什么.com比记住216.27.61.137更容易。公司可以阻止对某些域名的所有访问,或只允许访问特定的域名。协议 - 协议是服务使用者与该服务进行通信的预定义方式。“服务使用者”可以是人,但更多情况下是像Web浏览器这样的计算机程序。协议通常是文本,简单描述了客户端和服务器将如何进行对话。Web协议中的http。您可以为防火墙设置过滤器的常见协议包括:

  • IP (互联网协议) - 互联网上信息的主要传输系统
  • TCP (传输控制协议) - 用于拆分和重建在互联网上传输的信息
  • HTTP (超文本传输协议) - 用于网页
  • FTP (文件传输协议) - 用于下载和上传文件
  • UDP (用户数据报协议) - 用于不需要响应的信息,例如流媒体音频和视频
  • ICMP (互联网控制消息协议) - 路由器用于与其他路由器交换信息
  • SMTP (简单邮件传输协议) - 用于发送基于文本的信息(电子邮件)
  • SNMP (简单网络管理协议) - 用于从远程计算机收集系统信息
  • Telnet - 用于在远程计算机上执行命令

公司可能只设置一台或两台机器来处理特定的协议,并在所有其他机器上禁用该协议。

端口 - 任何服务器机器都使用编号端口向互联网提供服务,服务器上的每项可用服务都有一个端口(详见Web服务器如何工作)。例如,如果一台服务器机器正在运行Web (HTTP) 服务器和FTP服务器,Web服务器通常在端口80上可用,FTP服务器则在端口21上可用。公司可能会阻止公司内部除一台机器外的所有机器的端口21访问。

特定词语和短语 - 这可以是任何内容。防火墙将嗅探(搜索)每个信息包,以查找过滤器中列出的文本的精确匹配项。例如,您可以指示防火墙阻止任何包含“X-rated”字样的包。这里的关键是必须是精确匹配。“X-rated”过滤器不会捕获“X rated”(没有连字符)。但是您可以根据需要包含任意数量的词语、短语及其变体。

一些操作系统自带防火墙。否则,可以在您家中连接互联网的计算机上安装软件防火墙。这台计算机被视为网关,因为它提供了您的家庭网络和互联网之间唯一的访问点。

对于硬件防火墙,防火墙设备本身通常就是网关。一个很好的例子是Linksys有线/DSL路由器。它内置了以太网卡和集线器。您家庭网络中的计算机连接到路由器,路由器又连接到有线DSL调制解调器。您可以通过计算机上的浏览器访问的基于Web的界面来配置路由器。然后,您可以设置任何过滤器或附加信息。

硬件防火墙非常安全且价格不高。包含路由器、防火墙和以太网集线器的家用宽带连接版本通常售价远低于100美元。

广告

为什么需要防火墙安全?

不道德的人有许多创造性的方法来访问或滥用未受保护的计算机:

  • 远程登录 - 当有人能够连接到您的计算机并以某种形式控制它时。这可以从能够查看或访问您的文件到实际在您的计算机上运行程序。
  • 应用程序后门 - 某些程序具有允许远程访问的特殊功能。其他程序包含提供后门(即隐藏访问)的错误,从而提供对程序的某种程度的控制。
  • SMTP会话劫持 - SMTP是互联网上发送电子邮件最常用的方法。通过获取电子邮件地址列表,一个人可以向数千用户发送未经请求的垃圾邮件(垃圾邮件)。这通常通过将电子邮件重定向到不知情的SMTP服务器来完成,从而使垃圾邮件的实际发送者难以追踪。
  • 操作系统漏洞 - 像应用程序一样,一些操作系统也有后门。其他则提供安全控制不足的远程访问,或者存在经验丰富的黑客可以利用的漏洞。
  • 拒绝服务 - 您可能在关于主要网站受到攻击的新闻报道中听到过这个短语。这种攻击几乎无法反击。发生的情况是,黑客向服务器发送连接请求。当服务器响应确认并尝试建立会话时,它找不到发出请求的系统。通过用这些无法应答的会话请求淹没服务器,黑客导致服务器运行缓慢或最终崩溃。
  • 电子邮件炸弹 - 电子邮件炸弹通常是个人攻击。有人会向您发送数百或数千封相同的电子邮件,直到您的电子邮件系统无法再接收任何邮件。
  • - 为了简化复杂过程,许多应用程序允许您创建可由应用程序运行的命令脚本。这个脚本被称为宏。黑客利用这一点创建自己的宏,这些宏根据应用程序的不同,可能会破坏您的数据或导致您的计算机崩溃。
  • 病毒 - 最广为人知的威胁可能是计算机病毒。病毒是一种小型程序,能够将自身复制到其他计算机。通过这种方式,它可以在系统之间快速传播。病毒的危害程度从无害消息到擦除您的所有数据不等。
  • 垃圾邮件 - 通常无害但总是令人烦恼,垃圾邮件是电子形式的垃圾邮件。然而,垃圾邮件也可能很危险。它经常包含指向网站的链接。点击这些链接时要小心,因为您可能会不小心接受一个提供计算机后门的cookie
  • 重定向炸弹 - 黑客可以使用ICMP通过将信息发送到不同的路由器来改变(重定向)信息传输的路径。这是设置拒绝服务攻击的一种方式。
  • 源路由 - 在大多数情况下,数据包在互联网(或任何其他网络)上所走的路径是由沿途的路由器决定的。但提供数据包的源可以随意指定数据包应走的路径。黑客有时会利用这一点,使信息看起来来自受信任的源,甚至来自网络内部!大多数防火墙产品默认禁用源路由。

上述列表中的一些项目很难(如果不是不可能)使用防火墙进行过滤。虽然某些防火墙提供病毒防护,但在每台计算机上安装杀毒软件是值得投资的。而且,尽管垃圾邮件很烦人,但只要您接受电子邮件,一些垃圾邮件就一定会通过您的防火墙。

广告

您建立的安全级别将决定您的防火墙可以阻止多少这些威胁。最高的安全级别是简单地阻止所有内容。显然,这违背了拥有互联网连接的目的。但一个常见的经验法则是阻止所有内容,然后开始选择您将允许的流量类型。您还可以限制通过防火墙的流量,以便只有特定类型的信息(例如电子邮件)才能通过。对于拥有经验丰富的网络管理员、了解需求并确切知道允许哪些流量通过的企业来说,这是一个很好的规则。对于我们大多数人来说,除非有特定的理由,否则最好使用防火墙开发人员提供的默认设置。

从安全角度来看,防火墙最好的地方之一是它阻止了外部任何人登录您私人网络中的计算机。虽然这对于企业来说是件大事,但大多数家庭网络可能不会以这种方式受到威胁。尽管如此,部署防火墙仍能提供一些安心。

广告

代理服务器和DMZ

通常与防火墙结合使用的功能是代理服务器。代理服务器用于其他计算机访问网页。当另一台计算机请求网页时,该网页由代理服务器检索,然后发送给请求计算机。此操作的最终效果是,托管网页的远程计算机除了代理服务器外,不会与您的家庭网络上的任何内容直接接触。

代理服务器还可以让您的互联网访问更高效。如果您访问某个网站的页面,它会被缓存(存储)在代理服务器上。这意味着下次您回到该页面时,通常无需从网站重新加载。相反,它会立即从代理服务器加载。

广告

有时您可能希望远程用户访问您网络上的项目。一些示例是:

  • 网站
  • 在线业务
  • FTP下载和上传区域

­ 在这种情况下,您可能希望创建一个DMZ(非军事区)。尽管这听起来很严肃,但它实际上只是防火墙外部的一个区域。将DMZ想象成您家的前院。它属于您,您可以在那里放置一些东西,但您会把任何有价值的东西放在房子内部,那里可以得到适当的保护。

设置DMZ非常容易。如果您有多台计算机,您可以选择简单地将其中一台计算机放在互联网连接和防火墙之间。大多数可用的软件防火墙都允许您将网关计算机上的某个目录指定为DMZ。

一旦您安装了防火墙,就应该测试它。一个很好的方法是访问www.grc.com并尝试他们免费的Shields Up!安全测试。您将立即获得关于您的系统安全程度的反馈!

有关防火墙和相关主题的更多信息,请查看下一页的链接。

广告

更多信息

相关十万个为什么文章

更多精彩链接

引用

广告

加载中...