防火墻技術(shù)的概念

防火墻指的是由硬件設(shè)備與軟件系統(tǒng)共同構(gòu)成的，位于外網(wǎng)與內(nèi)網(wǎng)之間、公共網(wǎng)與專用網(wǎng)之間的保護屏障。簡而言之，防火墻技術(shù)就是保護計算機安全的技術(shù)。計算機防火墻技術(shù)的應(yīng)用原理是在計算機網(wǎng)絡(luò)邊界上設(shè)置與網(wǎng)絡(luò)系統(tǒng)相適應(yīng)的通信監(jiān)控系統(tǒng)，將內(nèi)網(wǎng)與外網(wǎng)隔離開，防止外網(wǎng)不利信息侵入內(nèi)網(wǎng)。一般情況下，防火墻包括計算機防火墻與網(wǎng)絡(luò)防火墻，其中計算機防火墻就是在計算機外網(wǎng)與計算機之間建立防火墻，屬于用戶計算機的一部分。計算機防火墻能夠?qū)τ嬎銠C接口規(guī)程、傳輸協(xié)議以及被傳輸?shù)男畔⒔Y(jié)構(gòu)等進(jìn)行檢測，及時剔除不合規(guī)定的信息。而網(wǎng)絡(luò)防火墻主要是在計算機外網(wǎng)與內(nèi)網(wǎng)之間設(shè)置的防火墻，也可以被稱為篩選路由器。網(wǎng)絡(luò)防火墻對進(jìn)入計算機網(wǎng)絡(luò)的信息協(xié)議、端口與被傳輸?shù)男畔⑿问健⒛康牡刂返冗M(jìn)行檢測，可以有效排除不合規(guī)定的外部信息。

防火墻技術(shù)類型與特點

包過濾型

這種類型的防火墻可在OSI（開放系統(tǒng)互聯(lián)）的網(wǎng)絡(luò)層與數(shù)據(jù)傳輸層中運行，其能夠按照相關(guān)標(biāo)志確定是否允許數(shù)據(jù)包通過，如端口號、網(wǎng)絡(luò)通信協(xié)議類型以及目的地址等。所有數(shù)據(jù)包必須滿足防火墻的過濾條件，才能被送達(dá)指定的目的地址當(dāng)中，無法滿足條件的數(shù)據(jù)包，則會被防火墻自行過濾掉。包過濾型防火墻的結(jié)構(gòu)如圖所示。

在各種類型的防火墻當(dāng)中，包過濾型是通用性最強、性價比最高且較為有效的一種網(wǎng)絡(luò)安全措施。這種類型的防火墻在所有的網(wǎng)絡(luò)服務(wù)中全部適用，并且絕大部分的路由均具有過濾功能，可在一定程度上滿足網(wǎng)絡(luò)用戶的安全需要。包過濾型防火墻的應(yīng)用優(yōu)勢非常明顯，即不需要對任何應(yīng)用程序進(jìn)行改動。需要注意的是，在對此類防火墻進(jìn)行應(yīng)用時，由于部分過濾器中過濾規(guī)則的數(shù)目是有限的，如果數(shù)目超過限制，則會導(dǎo)致過濾器的性能下降，這樣可能會導(dǎo)致一些信息無法被濾除，從而增大了網(wǎng)絡(luò)安全隱患。所以，可將包過濾型防火墻與網(wǎng)關(guān)進(jìn)行聯(lián)合使用，構(gòu)成防火墻系統(tǒng)，由此可對計算機網(wǎng)絡(luò)進(jìn)行有效地保護，這種防火墻技術(shù)方案在很多企事業(yè)單位中被廣泛應(yīng)用，效果較好。

代理服務(wù)型

這種類型的防火墻可在OSI的應(yīng)用層中運行，應(yīng)用層作為OSI的最高層，其安全性非常重要。代理服務(wù)型防火墻能夠?qū)W(wǎng)絡(luò)通信流進(jìn)行完全阻隔，借助專門的代理程序，可對應(yīng)用層通信流進(jìn)行監(jiān)視和控制，進(jìn)而達(dá)到確保網(wǎng)絡(luò)安全的目的。

應(yīng)用網(wǎng)關(guān)：在計算機網(wǎng)絡(luò)中，應(yīng)用網(wǎng)關(guān)是代理服務(wù)型防火墻較為常見的一種形式，其能夠借助代理技術(shù)參與傳輸控制協(xié)議的連接。從內(nèi)網(wǎng)中發(fā)出的數(shù)據(jù)包經(jīng)應(yīng)用網(wǎng)關(guān)處理后，可對內(nèi)網(wǎng)的結(jié)構(gòu)進(jìn)行隱藏。一些網(wǎng)絡(luò)專家認(rèn)為，應(yīng)用網(wǎng)關(guān)是安全性較高的防火墻，代理服務(wù)器是它的核心。

自適應(yīng)代理：隨著代理服務(wù)型防火墻的不斷改進(jìn)和完善，自適應(yīng)代理隨之出現(xiàn)，并成為一種新型的防火墻，其除了安全性較高之外，還具有較快的速度，在保證安全性的同時，可以大幅度提升代理服務(wù)型防火墻的整體性能。動態(tài)包過濾和具備自適應(yīng)能力的代理服務(wù)器是自適應(yīng)代理防火墻的主要組成部分，在這兩個部分之間有同一個控制通道，配置防火墻的過程中，用戶可按照自己的實際需求進(jìn)行設(shè)置，如所需的服，務(wù)類型、安全級別等。由于該防火墻采用的是代理機制，從而使內(nèi)網(wǎng)與外網(wǎng)不能直接進(jìn)行通信，必須通過代理審核，所以可防止黑客對內(nèi)網(wǎng)的非法入侵。

屏蔽主機型

這種類型的防火墻最為突出的特點是能夠?qū)χ鳈C進(jìn)行屏蔽，可在接入互聯(lián)網(wǎng)的位置處設(shè)置具有包過濾功能的主機，以此作為網(wǎng)關(guān)，并在其附近設(shè)置代理服務(wù)器，借助代理功能將服務(wù)發(fā)給內(nèi)網(wǎng)的主機。由于存在危險的協(xié)議基本都會被網(wǎng)關(guān)過濾掉，所以不會對內(nèi)網(wǎng)的安全造成威脅，這是一種安全控制較為有效的途徑。在具體應(yīng)用時需要注意的是，應(yīng)當(dāng)使更多的協(xié)議能通過代理服務(wù)器進(jìn)行代理，以便消除協(xié)議中潛在的安全漏洞，進(jìn)而使防火墻的安全性隨之提升。

防火墻技術(shù)的作用

作用一：有助于提升網(wǎng)絡(luò)的安全性

在計算機網(wǎng)絡(luò)中，通過對防火墻技術(shù)的合理運用，能夠使網(wǎng)絡(luò)安全獲得進(jìn)一步提升。設(shè)置了防火墻的計算機網(wǎng)絡(luò)，可以對各種不安全的信息進(jìn)行過濾，由此使得網(wǎng)絡(luò)環(huán)境本身的安全性得到保障。同時借助防火墻可以構(gòu)建NFS（網(wǎng)絡(luò)數(shù)據(jù)信息系統(tǒng)），該系統(tǒng)能夠為網(wǎng)絡(luò)的運行提供保護，可阻止非法用戶對內(nèi)網(wǎng)的攻擊，從而使內(nèi)網(wǎng)的安全性獲得顯著提升。

作用二：能夠?qū)υL問對象進(jìn)行監(jiān)控

在計算機網(wǎng)絡(luò)中設(shè)置防火墻后，所有對主機的訪問全都需要通過防火墻的審查，據(jù)此判斷訪問對象是否合法。如果防火墻發(fā)現(xiàn)訪問對象存在問題，則會發(fā)出報警提示，對非法用戶的IP地址進(jìn)行顯示，并將這些訪問阻攔在網(wǎng)絡(luò)之外，避免了網(wǎng)絡(luò)安全問題的發(fā)生。可見，通過防火墻的監(jiān)控，可以達(dá)到防患于未然的目的。

作用三：可有效避免重要信息外泄

計算機網(wǎng)絡(luò)是一個規(guī)模非常龐大、結(jié)構(gòu)較為復(fù)雜的系統(tǒng)，在整個網(wǎng)絡(luò)當(dāng)中，存在著諸多重要的網(wǎng)段，通過防火墻技術(shù)的運用，可以將這些網(wǎng)段進(jìn)行有效隔離，由此能夠限制內(nèi)網(wǎng)人員對其中的重要信息進(jìn)行訪問。很多網(wǎng)絡(luò)黑客會利用各種手段對內(nèi)網(wǎng)進(jìn)行攻擊，試圖以此來獲取內(nèi)網(wǎng)的數(shù)據(jù)信息，而防火墻能使這些惡意攻擊全部失效，避免了網(wǎng)絡(luò)信息外泄給用戶帶來的損失。

電腦防火墻怎么設(shè)置？

如何保證電腦上網(wǎng)安全，避免遭遇不必要的風(fēng)險，是其不得不考慮的問題。除了使用各種安全工具保護電腦安全外，其實還使用系統(tǒng)內(nèi)置的防火墻，無須進(jìn)行復(fù)雜的配置，就可以讓電腦安全地連接外部網(wǎng)絡(luò)。這里就使用具體的實例，來說明實現(xiàn)的方法。

將惡意網(wǎng)站拒之門外

在上網(wǎng)瀏覽時，經(jīng)常有一些惡意或者自己不喜歡的頁面不請自來。為了避免騷擾，可以利用防火墻規(guī)則將其拒之門外。例如，不管是電信寬帶，還是聯(lián)通寬帶，運行商都會自作聰明地配置錯誤網(wǎng)頁提示功能。當(dāng)您訪問并不存在網(wǎng)址時，會自動被定向到ISP默認(rèn)的錯誤頁面中。例如對于某型寬帶來說，當(dāng)訪問錯誤網(wǎng)址時，會進(jìn)入某個特定錯誤處理網(wǎng)頁，其中還會夾雜著廣告，讓人不勝其煩。

在CMD窗口中利用Ping命令對“xxxxxxxxxxx.xx.com.cn”網(wǎng)址進(jìn)行探測（X代表具體網(wǎng)址），得到其真實的IP地址，例如“218.xx.xxx.xx”。在Windows防火墻管理窗口左側(cè)點擊“高級設(shè)置”項，在高級安全Windows防火墻窗口左側(cè)點擊“入站規(guī)則”項，在窗口右側(cè)的“操作”欄中點擊“新建規(guī)則”項，在規(guī)則創(chuàng)建向?qū)Ы缑嬷羞x擇“自定義”項，在下一步窗口左側(cè)點擊“作用域”項，在窗口右側(cè)的“此規(guī)則應(yīng)用于哪些本地IP地址”欄中選擇“任何IP地址”項。在“此規(guī)則應(yīng)用于哪些遠(yuǎn)程IP地址”欄中選擇“下列IP地址”項，點擊“添加”按鈕，在彈出窗口（上圖）中選擇“此IP地址或子網(wǎng)”項，輸入上述IP地址。在下一步窗口中選擇“阻止連接”項，點擊左側(cè)的“配置文件”項，在右側(cè)選擇所有項目，包括域、專用、公用等。在下一步窗口中為本規(guī)則設(shè)置名稱，輸入描述信息。點擊“完成”按鈕，完成本規(guī)則創(chuàng)建操作。這樣，當(dāng)系統(tǒng)試圖訪問禁用的IP后，就會遭到防火墻的攔截，進(jìn)而避開錯誤網(wǎng)頁的騷擾。當(dāng)然，按照這種方法，可以限制針對任何IP或者IP地址群的訪問，靈活的避開各種惡意網(wǎng)頁的侵襲。

攔截非法網(wǎng)絡(luò)連接

Windows防火墻不僅可以攔截對特定網(wǎng)站的訪問，還可以封鎖任意程序的上網(wǎng)通道，讓其無法連接外部網(wǎng)絡(luò)。例如當(dāng)您發(fā)現(xiàn)木馬潛入本機，而殺毒軟件并沒有對其清除，那么該木馬程序很可能經(jīng)過了免殺處理。為了防止其非法連接外部主機，泄露本機數(shù)據(jù)，最直接的方法就是切斷其連接的網(wǎng)絡(luò)通道。比如您發(fā)現(xiàn)名稱為“xxx.exe”的程序藏身到系統(tǒng)目錄中，非法打開了后門，試圖和遠(yuǎn)方的黑客建立聯(lián)系，就可以按照上述方法，建立一條安全規(guī)則。

注意應(yīng)該選擇“出站規(guī)則”項。在規(guī)則創(chuàng)建窗口中選擇“自定義”項，在窗口左側(cè)選擇“程序”項，在右側(cè)窗口中選擇“此程序路徑”項，點擊“瀏覽”按鈕，選擇該木馬程序，例如“c：＼windows＼system32＼xxx.exe”。在下一步窗口左側(cè)點擊“操作”項，在右側(cè)窗口選擇“阻止連接”項。按照上述方法，選擇所有作用域?qū)ο蟆＝又斎朐撘?guī)則名稱和描述信息，完成該規(guī)則的創(chuàng)建操作。這樣，該木馬程序就無法連接外部網(wǎng)絡(luò)了。當(dāng)然，您可以靈活地使用上述方法，對任何程序進(jìn)行限制，防止其和外界建立網(wǎng)絡(luò)通道。

完全掌控電腦聯(lián)網(wǎng)權(quán)限

在高級安全Windows防火墻窗口右側(cè)打開“本地計算機上的高級安全Windows防火墻”項，在其下點擊“屬性”項，在彈出窗口（上圖）中的“域配置文件”面板中的“防火墻狀態(tài)”列表中選擇“啟用（推薦）”項，在“入站連接”列表中選擇“阻止所有連接”項，在“出站連接”列表中選擇“阻止”項，之后點擊確定按鈕，就可以切斷進(jìn)出本機的所有連接，將本機徹底和外界隔離開來。順帶說一句，在這種情況下，即使病毒或者木馬潛入系統(tǒng)，也無法和Internet建立任何連接，接下來您就可以使用安全工具圍捕病毒了。當(dāng)然，為了僅僅讓指定的程序連接網(wǎng)絡(luò)，我們必須在此基礎(chǔ)上對System和DNS兩大系統(tǒng)對象開放網(wǎng)絡(luò)連接才行。

按照上述方法，在“出站規(guī)則”模塊中新建一個新規(guī)則，在規(guī)則創(chuàng)建向?qū)Т翱谥羞x擇“程序”項，在下一步窗口中選擇“此程序路徑”項，在其下直接輸入“System”，在下一步窗口中選擇“允許連接”項，之后輸入該規(guī)則名稱和描述信息，完成規(guī)則創(chuàng)建操作。

提起DNS，大家都不會陌生，利用DNS域名解析功能，可以輕松完成域名和IP的轉(zhuǎn)換，加快網(wǎng)絡(luò)訪問速度。因為DNS是網(wǎng)絡(luò)訪問的基石，所以應(yīng)該放行DNS服務(wù)。可以按照上述方法，在“出站規(guī)則”模塊中新建一個新規(guī)則，在規(guī)則創(chuàng)建向?qū)Т翱谥羞x擇“自定義”項，在下一步窗口中選擇“此程序路徑”項，在其下點擊“瀏覽”按鈕，選擇“C：＼Windows＼System32＼Svchost.exe”程序。在下一步窗口中的“協(xié)議類型”列表中選擇“UDP”項，在“本地端口”列表中選擇“特定端口”項，在其下輸入“1024～65536”。表示允許其使用本地端口的范圍為1024～65536。在“遠(yuǎn)程端口”列表中選擇“特定端口”項，在其下輸入端口號53。依次點擊下一步按鈕，配置均采用默認(rèn)設(shè)置。注意，在“配置文件”窗口中可以根據(jù)實際需要，選擇公用或者專用類型。輸入規(guī)則名稱和描述信息，來創(chuàng)建該規(guī)則。

完成以上操作后，電腦就不再處于網(wǎng)絡(luò)孤島狀態(tài)，具有了最基本的網(wǎng)絡(luò)連接能力。接下來就可以為特定的程序開放網(wǎng)絡(luò)連接特權(quán)了。這里以開放IE瀏覽器網(wǎng)絡(luò)訪問特權(quán)為例，介紹具體的實現(xiàn)方法。按照上述方法，在“出站規(guī)則”模塊中創(chuàng)建一條新規(guī)則，在向?qū)Ы缑嬷羞x擇“自定義”項，在下一步窗口（圖3）中選擇“此路徑程序”項，點擊“瀏覽”按鈕，選擇IE主程序路徑，例如“C：＼Program？Files＼InternetExplorer＼iexplorer.exe”。

在下一步窗口中的“協(xié)議類型”列表中選擇“TCP”項，在“本地端口”列表中選擇“特定端口”項，在其下輸入“1024～65536”。在“遠(yuǎn)程端口”列表中選擇“特定端口”項，在其下輸入端口號53。這表示允許IE使用本機的TCP端口（范圍為1024～65536）訪問任意目標(biāo)主機的80端口，實現(xiàn)正常的網(wǎng)頁瀏覽操作。依次點擊“下一步”按鈕，使用默認(rèn)的配置參數(shù)即可。在“配置文件”窗口中可以根據(jù)實際需要，選擇公用或者專用類型，之后輸入本規(guī)則的名稱和描述信息，完成規(guī)則創(chuàng)建操作。使用了該規(guī)則后，IE就可以自動訪問網(wǎng)絡(luò)了。當(dāng)然，您可以根據(jù)實際需要，有選擇地開放所需程序的網(wǎng)絡(luò)訪問權(quán)限，創(chuàng)建相應(yīng)規(guī)則的方法與上述完全相同。