防火墻技術(shù)的概念

防火墻指的是由硬件設(shè)備與軟件系統(tǒng)共同構(gòu)成的，位于外網(wǎng)與內(nèi)網(wǎng)之間、公共網(wǎng)與專用網(wǎng)之間的保護(hù)屏障。簡(jiǎn)而言之，防火墻技術(shù)就是保護(hù)計(jì)算機(jī)安全的技術(shù)。計(jì)算機(jī)防火墻技術(shù)的應(yīng)用原理是在計(jì)算機(jī)網(wǎng)絡(luò)邊界上設(shè)置與網(wǎng)絡(luò)系統(tǒng)相適應(yīng)的通信監(jiān)控系統(tǒng)，將內(nèi)網(wǎng)與外網(wǎng)隔離開，防止外網(wǎng)不利信息侵入內(nèi)網(wǎng)。一般情況下，防火墻包括計(jì)算機(jī)防火墻與網(wǎng)絡(luò)防火墻，其中計(jì)算機(jī)防火墻就是在計(jì)算機(jī)外網(wǎng)與計(jì)算機(jī)之間建立防火墻，屬于用戶計(jì)算機(jī)的一部分。計(jì)算機(jī)防火墻能夠?qū)τ?jì)算機(jī)接口規(guī)程、傳輸協(xié)議以及被傳輸?shù)男畔⒔Y(jié)構(gòu)等進(jìn)行檢測(cè)，及時(shí)剔除不合規(guī)定的信息。而網(wǎng)絡(luò)防火墻主要是在計(jì)算機(jī)外網(wǎng)與內(nèi)網(wǎng)之間設(shè)置的防火墻，也可以被稱為篩選路由器。網(wǎng)絡(luò)防火墻對(duì)進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)的信息協(xié)議、端口與被傳輸?shù)男畔⑿问健⒛康牡刂返冗M(jìn)行檢測(cè)，可以有效排除不合規(guī)定的外部信息。

防火墻技術(shù)類型與特點(diǎn)

包過濾型

這種類型的防火墻可在OSI（開放系統(tǒng)互聯(lián)）的網(wǎng)絡(luò)層與數(shù)據(jù)傳輸層中運(yùn)行，其能夠按照相關(guān)標(biāo)志確定是否允許數(shù)據(jù)包通過，如端口號(hào)、網(wǎng)絡(luò)通信協(xié)議類型以及目的地址等。所有數(shù)據(jù)包必須滿足防火墻的過濾條件，才能被送達(dá)指定的目的地址當(dāng)中，無法滿足條件的數(shù)據(jù)包，則會(huì)被防火墻自行過濾掉。包過濾型防火墻的結(jié)構(gòu)如圖所示。

在各種類型的防火墻當(dāng)中，包過濾型是通用性最強(qiáng)、性價(jià)比最高且較為有效的一種網(wǎng)絡(luò)安全措施。這種類型的防火墻在所有的網(wǎng)絡(luò)服務(wù)中全部適用，并且絕大部分的路由均具有過濾功能，可在一定程度上滿足網(wǎng)絡(luò)用戶的安全需要。包過濾型防火墻的應(yīng)用優(yōu)勢(shì)非常明顯，即不需要對(duì)任何應(yīng)用程序進(jìn)行改動(dòng)。需要注意的是，在對(duì)此類防火墻進(jìn)行應(yīng)用時(shí)，由于部分過濾器中過濾規(guī)則的數(shù)目是有限的，如果數(shù)目超過限制，則會(huì)導(dǎo)致過濾器的性能下降，這樣可能會(huì)導(dǎo)致一些信息無法被濾除，從而增大了網(wǎng)絡(luò)安全隱患。所以，可將包過濾型防火墻與網(wǎng)關(guān)進(jìn)行聯(lián)合使用，構(gòu)成防火墻系統(tǒng)，由此可對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行有效地保護(hù)，這種防火墻技術(shù)方案在很多企事業(yè)單位中被廣泛應(yīng)用，效果較好。

代理服務(wù)型

這種類型的防火墻可在OSI的應(yīng)用層中運(yùn)行，應(yīng)用層作為OSI的最高層，其安全性非常重要。代理服務(wù)型防火墻能夠?qū)W(wǎng)絡(luò)通信流進(jìn)行完全阻隔，借助專門的代理程序，可對(duì)應(yīng)用層通信流進(jìn)行監(jiān)視和控制，進(jìn)而達(dá)到確保網(wǎng)絡(luò)安全的目的。

應(yīng)用網(wǎng)關(guān)：在計(jì)算機(jī)網(wǎng)絡(luò)中，應(yīng)用網(wǎng)關(guān)是代理服務(wù)型防火墻較為常見的一種形式，其能夠借助代理技術(shù)參與傳輸控制協(xié)議的連接。從內(nèi)網(wǎng)中發(fā)出的數(shù)據(jù)包經(jīng)應(yīng)用網(wǎng)關(guān)處理后，可對(duì)內(nèi)網(wǎng)的結(jié)構(gòu)進(jìn)行隱藏。一些網(wǎng)絡(luò)專家認(rèn)為，應(yīng)用網(wǎng)關(guān)是安全性較高的防火墻，代理服務(wù)器是它的核心。

自適應(yīng)代理：隨著代理服務(wù)型防火墻的不斷改進(jìn)和完善，自適應(yīng)代理隨之出現(xiàn)，并成為一種新型的防火墻，其除了安全性較高之外，還具有較快的速度，在保證安全性的同時(shí)，可以大幅度提升代理服務(wù)型防火墻的整體性能。動(dòng)態(tài)包過濾和具備自適應(yīng)能力的代理服務(wù)器是自適應(yīng)代理防火墻的主要組成部分，在這兩個(gè)部分之間有同一個(gè)控制通道，配置防火墻的過程中，用戶可按照自己的實(shí)際需求進(jìn)行設(shè)置，如所需的服，務(wù)類型、安全級(jí)別等。由于該防火墻采用的是代理機(jī)制，從而使內(nèi)網(wǎng)與外網(wǎng)不能直接進(jìn)行通信，必須通過代理審核，所以可防止黑客對(duì)內(nèi)網(wǎng)的非法入侵。

屏蔽主機(jī)型

這種類型的防火墻最為突出的特點(diǎn)是能夠?qū)χ鳈C(jī)進(jìn)行屏蔽，可在接入互聯(lián)網(wǎng)的位置處設(shè)置具有包過濾功能的主機(jī)，以此作為網(wǎng)關(guān)，并在其附近設(shè)置代理服務(wù)器，借助代理功能將服務(wù)發(fā)給內(nèi)網(wǎng)的主機(jī)。由于存在危險(xiǎn)的協(xié)議基本都會(huì)被網(wǎng)關(guān)過濾掉，所以不會(huì)對(duì)內(nèi)網(wǎng)的安全造成威脅，這是一種安全控制較為有效的途徑。在具體應(yīng)用時(shí)需要注意的是，應(yīng)當(dāng)使更多的協(xié)議能通過代理服務(wù)器進(jìn)行代理，以便消除協(xié)議中潛在的安全漏洞，進(jìn)而使防火墻的安全性隨之提升。

防火墻技術(shù)的作用

作用一：有助于提升網(wǎng)絡(luò)的安全性

在計(jì)算機(jī)網(wǎng)絡(luò)中，通過對(duì)防火墻技術(shù)的合理運(yùn)用，能夠使網(wǎng)絡(luò)安全獲得進(jìn)一步提升。設(shè)置了防火墻的計(jì)算機(jī)網(wǎng)絡(luò)，可以對(duì)各種不安全的信息進(jìn)行過濾，由此使得網(wǎng)絡(luò)環(huán)境本身的安全性得到保障。同時(shí)借助防火墻可以構(gòu)建NFS（網(wǎng)絡(luò)數(shù)據(jù)信息系統(tǒng)），該系統(tǒng)能夠?yàn)榫W(wǎng)絡(luò)的運(yùn)行提供保護(hù)，可阻止非法用戶對(duì)內(nèi)網(wǎng)的攻擊，從而使內(nèi)網(wǎng)的安全性獲得顯著提升。

作用二：能夠?qū)υL問對(duì)象進(jìn)行監(jiān)控

在計(jì)算機(jī)網(wǎng)絡(luò)中設(shè)置防火墻后，所有對(duì)主機(jī)的訪問全都需要通過防火墻的審查，據(jù)此判斷訪問對(duì)象是否合法。如果防火墻發(fā)現(xiàn)訪問對(duì)象存在問題，則會(huì)發(fā)出報(bào)警提示，對(duì)非法用戶的IP地址進(jìn)行顯示，并將這些訪問阻攔在網(wǎng)絡(luò)之外，避免了網(wǎng)絡(luò)安全問題的發(fā)生?？梢?，通過防火墻的監(jiān)控，可以達(dá)到防患于未然的目的。

作用三：可有效避免重要信息外泄

計(jì)算機(jī)網(wǎng)絡(luò)是一個(gè)規(guī)模非常龐大、結(jié)構(gòu)較為復(fù)雜的系統(tǒng)，在整個(gè)網(wǎng)絡(luò)當(dāng)中，存在著諸多重要的網(wǎng)段，通過防火墻技術(shù)的運(yùn)用，可以將這些網(wǎng)段進(jìn)行有效隔離，由此能夠限制內(nèi)網(wǎng)人員對(duì)其中的重要信息進(jìn)行訪問。很多網(wǎng)絡(luò)黑客會(huì)利用各種手段對(duì)內(nèi)網(wǎng)進(jìn)行攻擊，試圖以此來獲取內(nèi)網(wǎng)的數(shù)據(jù)信息，而防火墻能使這些惡意攻擊全部失效，避免了網(wǎng)絡(luò)信息外泄給用戶帶來的損失。

電腦防火墻怎么設(shè)置？

如何保證電腦上網(wǎng)安全，避免遭遇不必要的風(fēng)險(xiǎn)，是其不得不考慮的問題。除了使用各種安全工具保護(hù)電腦安全外，其實(shí)還使用系統(tǒng)內(nèi)置的防火墻，無須進(jìn)行復(fù)雜的配置，就可以讓電腦安全地連接外部網(wǎng)絡(luò)。這里就使用具體的實(shí)例，來說明實(shí)現(xiàn)的方法。

將惡意網(wǎng)站拒之門外

在上網(wǎng)瀏覽時(shí)，經(jīng)常有一些惡意或者自己不喜歡的頁面不請(qǐng)自來。為了避免騷擾，可以利用防火墻規(guī)則將其拒之門外。例如，不管是電信寬帶，還是聯(lián)通寬帶，運(yùn)行商都會(huì)自作聰明地配置錯(cuò)誤網(wǎng)頁提示功能。當(dāng)您訪問并不存在網(wǎng)址時(shí)，會(huì)自動(dòng)被定向到ISP默認(rèn)的錯(cuò)誤頁面中。例如對(duì)于某型寬帶來說，當(dāng)訪問錯(cuò)誤網(wǎng)址時(shí)，會(huì)進(jìn)入某個(gè)特定錯(cuò)誤處理網(wǎng)頁，其中還會(huì)夾雜著廣告，讓人不勝其煩。

在CMD窗口中利用Ping命令對(duì)“xxxxxxxxxxx.xx.com.cn”網(wǎng)址進(jìn)行探測(cè)（X代表具體網(wǎng)址），得到其真實(shí)的IP地址，例如“218.xx.xxx.xx”。在Windows防火墻管理窗口左側(cè)點(diǎn)擊“高級(jí)設(shè)置”項(xiàng)，在高級(jí)安全Windows防火墻窗口左側(cè)點(diǎn)擊“入站規(guī)則”項(xiàng)，在窗口右側(cè)的“操作”欄中點(diǎn)擊“新建規(guī)則”項(xiàng)，在規(guī)則創(chuàng)建向?qū)Ы缑嬷羞x擇“自定義”項(xiàng)，在下一步窗口左側(cè)點(diǎn)擊“作用域”項(xiàng)，在窗口右側(cè)的“此規(guī)則應(yīng)用于哪些本地IP地址”欄中選擇“任何IP地址”項(xiàng)。在“此規(guī)則應(yīng)用于哪些遠(yuǎn)程IP地址”欄中選擇“下列IP地址”項(xiàng)，點(diǎn)擊“添加”按鈕，在彈出窗口（上圖）中選擇“此IP地址或子網(wǎng)”項(xiàng)，輸入上述IP地址。在下一步窗口中選擇“阻止連接”項(xiàng)，點(diǎn)擊左側(cè)的“配置文件”項(xiàng)，在右側(cè)選擇所有項(xiàng)目，包括域、專用、公用等。在下一步窗口中為本規(guī)則設(shè)置名稱，輸入描述信息。點(diǎn)擊“完成”按鈕，完成本規(guī)則創(chuàng)建操作。這樣，當(dāng)系統(tǒng)試圖訪問禁用的IP后，就會(huì)遭到防火墻的攔截，進(jìn)而避開錯(cuò)誤網(wǎng)頁的騷擾。當(dāng)然，按照這種方法，可以限制針對(duì)任何IP或者IP地址群的訪問，靈活的避開各種惡意網(wǎng)頁的侵襲。

攔截非法網(wǎng)絡(luò)連接

Windows防火墻不僅可以攔截對(duì)特定網(wǎng)站的訪問，還可以封鎖任意程序的上網(wǎng)通道，讓其無法連接外部網(wǎng)絡(luò)。例如當(dāng)您發(fā)現(xiàn)木馬潛入本機(jī)，而殺毒軟件并沒有對(duì)其清除，那么該木馬程序很可能經(jīng)過了免殺處理。為了防止其非法連接外部主機(jī)，泄露本機(jī)數(shù)據(jù)，最直接的方法就是切斷其連接的網(wǎng)絡(luò)通道。比如您發(fā)現(xiàn)名稱為“xxx.exe”的程序藏身到系統(tǒng)目錄中，非法打開了后門，試圖和遠(yuǎn)方的黑客建立聯(lián)系，就可以按照上述方法，建立一條安全規(guī)則。

注意應(yīng)該選擇“出站規(guī)則”項(xiàng)。在規(guī)則創(chuàng)建窗口中選擇“自定義”項(xiàng)，在窗口左側(cè)選擇“程序”項(xiàng)，在右側(cè)窗口中選擇“此程序路徑”項(xiàng)，點(diǎn)擊“瀏覽”按鈕，選擇該木馬程序，例如“c：＼windows＼system32＼xxx.exe”。在下一步窗口左側(cè)點(diǎn)擊“操作”項(xiàng)，在右側(cè)窗口選擇“阻止連接”項(xiàng)。按照上述方法，選擇所有作用域?qū)ο?。接著輸入該?guī)則名稱和描述信息，完成該規(guī)則的創(chuàng)建操作。這樣，該木馬程序就無法連接外部網(wǎng)絡(luò)了。當(dāng)然，您可以靈活地使用上述方法，對(duì)任何程序進(jìn)行限制，防止其和外界建立網(wǎng)絡(luò)通道。

完全掌控電腦聯(lián)網(wǎng)權(quán)限

在高級(jí)安全Windows防火墻窗口右側(cè)打開“本地計(jì)算機(jī)上的高級(jí)安全Windows防火墻”項(xiàng)，在其下點(diǎn)擊“屬性”項(xiàng)，在彈出窗口（上圖）中的“域配置文件”面板中的“防火墻狀態(tài)”列表中選擇“啟用（推薦）”項(xiàng)，在“入站連接”列表中選擇“阻止所有連接”項(xiàng)，在“出站連接”列表中選擇“阻止”項(xiàng)，之后點(diǎn)擊確定按鈕，就可以切斷進(jìn)出本機(jī)的所有連接，將本機(jī)徹底和外界隔離開來。順帶說一句，在這種情況下，即使病毒或者木馬潛入系統(tǒng)，也無法和Internet建立任何連接，接下來您就可以使用安全工具圍捕病毒了。當(dāng)然，為了僅僅讓指定的程序連接網(wǎng)絡(luò)，我們必須在此基礎(chǔ)上對(duì)System和DNS兩大系統(tǒng)對(duì)象開放網(wǎng)絡(luò)連接才行。

按照上述方法，在“出站規(guī)則”模塊中新建一個(gè)新規(guī)則，在規(guī)則創(chuàng)建向?qū)Т翱谥羞x擇“程序”項(xiàng)，在下一步窗口中選擇“此程序路徑”項(xiàng)，在其下直接輸入“System”，在下一步窗口中選擇“允許連接”項(xiàng)，之后輸入該規(guī)則名稱和描述信息，完成規(guī)則創(chuàng)建操作。

提起DNS，大家都不會(huì)陌生，利用DNS域名解析功能，可以輕松完成域名和IP的轉(zhuǎn)換，加快網(wǎng)絡(luò)訪問速度。因?yàn)镈NS是網(wǎng)絡(luò)訪問的基石，所以應(yīng)該放行DNS服務(wù)?？梢园凑丈鲜龇椒ǎ凇俺稣疽?guī)則”模塊中新建一個(gè)新規(guī)則，在規(guī)則創(chuàng)建向?qū)Т翱谥羞x擇“自定義”項(xiàng)，在下一步窗口中選擇“此程序路徑”項(xiàng)，在其下點(diǎn)擊“瀏覽”按鈕，選擇“C：＼Windows＼System32＼Svchost.exe”程序。在下一步窗口中的“協(xié)議類型”列表中選擇“UDP”項(xiàng)，在“本地端口”列表中選擇“特定端口”項(xiàng)，在其下輸入“1024～65536”。表示允許其使用本地端口的范圍為1024～65536。在“遠(yuǎn)程端口”列表中選擇“特定端口”項(xiàng)，在其下輸入端口號(hào)53。依次點(diǎn)擊下一步按鈕，配置均采用默認(rèn)設(shè)置。注意，在“配置文件”窗口中可以根據(jù)實(shí)際需要，選擇公用或者專用類型。輸入規(guī)則名稱和描述信息，來創(chuàng)建該規(guī)則。

完成以上操作后，電腦就不再處于網(wǎng)絡(luò)孤島狀態(tài)，具有了最基本的網(wǎng)絡(luò)連接能力。接下來就可以為特定的程序開放網(wǎng)絡(luò)連接特權(quán)了。這里以開放IE瀏覽器網(wǎng)絡(luò)訪問特權(quán)為例，介紹具體的實(shí)現(xiàn)方法。按照上述方法，在“出站規(guī)則”模塊中創(chuàng)建一條新規(guī)則，在向?qū)Ы缑嬷羞x擇“自定義”項(xiàng)，在下一步窗口（圖3）中選擇“此路徑程序”項(xiàng)，點(diǎn)擊“瀏覽”按鈕，選擇IE主程序路徑，例如“C：＼Program？Files＼InternetExplorer＼iexplorer.exe”。

在下一步窗口中的“協(xié)議類型”列表中選擇“TCP”項(xiàng)，在“本地端口”列表中選擇“特定端口”項(xiàng)，在其下輸入“1024～65536”。在“遠(yuǎn)程端口”列表中選擇“特定端口”項(xiàng)，在其下輸入端口號(hào)53。這表示允許IE使用本機(jī)的TCP端口（范圍為1024～65536）訪問任意目標(biāo)主機(jī)的80端口，實(shí)現(xiàn)正常的網(wǎng)頁瀏覽操作。依次點(diǎn)擊“下一步”按鈕，使用默認(rèn)的配置參數(shù)即可。在“配置文件”窗口中可以根據(jù)實(shí)際需要，選擇公用或者專用類型，之后輸入本規(guī)則的名稱和描述信息，完成規(guī)則創(chuàng)建操作。使用了該規(guī)則后，IE就可以自動(dòng)訪問網(wǎng)絡(luò)了。當(dāng)然，您可以根據(jù)實(shí)際需要，有選擇地開放所需程序的網(wǎng)絡(luò)訪問權(quán)限，創(chuàng)建相應(yīng)規(guī)則的方法與上述完全相同。