個人防火牆的原理及選擇(轉)

個人防火牆的原理及選擇(轉)[@more@]什麼是防火牆？

以“防火牆”這個來自建築行業的名稱，來命名計算機網路的安全防護系統，顯得非常恰當，因為兩者之間有許多相似之處。首先，從建築學來說，防火牆必須用磚石材料、鋼筋混凝土等非可燃材料建造，並且應直接砌築在建築物基礎或鋼筋混凝土的框架樑上。如開門窗時，必須用非燃燒體的防火門窗，以切斷一切燃燒體。而在計算機系統上，防火牆本身需要具有較高的抗攻擊能力，應設定於系統和網路協議的底層，訪問與被訪問的埠必須設定嚴格的訪問規則，以切斷一切規則以外的網路連線。其次，在建築學上，建築物的防火安全性，是由各相關專業和相應裝置共同保證的。而在計算機系統上，防火牆的安全防護效能是由防火牆、使用者設定的規則和計算機系統本身共同保證的。另外在建築學上，原有的材料和佈置的變化，將使防火牆失去作用，隨著時間的推移，一些經過阻燃處理的材料，其阻燃性也逐步喪失。在計算機系統上也是如此，計算機系統網路的變化，系統軟硬體環境的變化，也將使防火牆失去作用，而隨著時間的推移，防火牆原有的安全防護技術開始落後，防護功能也就慢慢地減弱了。

當前流行的防火牆技術

除了對網路進行管理，設定訪問與被訪問規則，切斷被禁止的訪問以外，計算機系統上防火牆還需要分析過濾進出的資料包，監測並記錄透過防火牆的資訊內容和活動，並且對來自網路的攻擊行為進行檢測和報警。這些都是防火牆的基本功能，不論是物理性的防火牆硬體還是防火牆軟體，都需要具備這五項基本功能。要想實現這些功能，先要對防火牆技術有所瞭解。當前流行的防火牆技術主要有以下三種：


過濾型


過濾型防火牆技術使用一種簡單、有效的安全控制技術，透過對所有進出計算機系統的資料包進行檢查，獲得資料包頭的內容，瞭解資料包的傳送地址、目標地址、使用協議、TCP或者UDP的埠等資訊，再將檢查到的內容與使用者設定的規則相比較，根據規則的匹配結果決定是否允許資料包的進出。該技術最大的優點是對使用者透明，效率也很高。但也有幾個嚴重的缺點，例如管理複雜，沒有足夠的記錄與報警機制，無法對連線進行全面控制，對拒絕服務攻擊、緩衝區溢位攻擊等高層次的攻擊手段無能為力。只限於對傳送地址、目標地址和埠的進行初步的安全控制。


檢測型


檢測型防火牆技術與過濾型相類似，可謂是過濾型的加強版，又稱為動態過濾型技術。該技術增加了控制連線的能力，透過狀態檢測，當有新建的連線時，會要求與預先設定的規則相匹配，如果滿足要求，就允許連線，並在記憶體中記錄下該連線的資訊，生成狀態表。對該連線的後續資料包，只要符合狀態表，就可以透過。這種技術的效能和安全性都比較高，當遇到需要開啟新的埠時，可以透過檢測應用程式的資訊與安全規則，動態地開啟埠，並在傳輸結束時自動關閉埠。如果結合使用者認證方式，能夠提供應用級的安全認證手段，安全控制力度更為細緻。


代理型


代理型防火牆技術的關鍵，是用一個閘道器形式的代理服務，進行連線動作攔截。代理服務位諛誆客?緄撓沒Ш虸nternet之間，由它來處理兩端間的連線方式，將使用者對網際網路絡的服務請求，依據己制定的安全規則向外提交。而且，對於使用者的網路服務請求，代理伺服器並非全部提交給網際網路上真正的伺服器。因為伺服器能依據安全規則和使用者的請求，判斷是否代理執行該請求，有些請求可能會被否決。這種控制機制可以有效地控制整個連線的動作，不會被客戶或伺服器端欺騙，在管理上也不會像過濾型防火牆技術那麼複雜。而對於使用者而言，代理伺服器是透明，感覺與外部網路連線是直接的。由於完全阻斷了內部網路與外部網路的直接聯絡，所以代理型防火牆技術相對比較安全。但處理效率比較差、無法直接支援新的應用是它的缺點。

如何選擇個人防火牆

每種防火牆技術都存在各自的優缺點。實際上，市場上大部分防火牆都不僅僅使用上面的幾種技術，它們還能提供許多新的功能技術，來提高防火牆的安全防護功能。例如透過將檢測與攔截已知入侵手法的入侵檢測功能，與使用者設定安全策略整合，可以大大地提高防火牆的安全效能。即使安全策略允許所有通訊流量傳輸，入侵檢測功能也可檢測和攔截極具攻擊性的行為和企圖。透過檢測已知特洛伊木馬執行特徵與使用埠，防火牆可以實現特洛伊木馬攔截功能，防止特洛伊木馬從內部影響防火牆的安全效能。總的來說，使用不同技術的防火牆都有其適用的環境。要注意，最佳的企業級防火牆並不一定適用於個人計算機使用者，使用者必須根據自己的需求來進行選擇。如大型企業一般使用採取過濾型技術的路由器之類硬體裝置，作為大型計算機網路的第一道防線，這對個人計算機使用者明顯不適用。而企業網路選用的防火牆，一般整合多種防火牆技術，並利用代理型防火牆技術對使用者進行控制。這是因為除了安全以外，使用者的控制也是企業級防火牆的著眼點，而對個人計算機使用者來說，明顯沒有這個必要。



線上安全檢測。

要選擇一個合適的個人防火牆，除了考慮防火牆是否提供足夠的安全防護效能外，防火牆自身的穩定性，執行時系統資源使用的程度，防火牆的設定與管理是否方便、人機介面是否良好，是否具有可擴充套件可升級性等，都應該列入考慮的範圍。在設定管理方面，提供多種預先設定的安全策略，讓使用者選擇安全級別的個人防火牆比較適用於初級使用者，而透過對計算機系統上的應用程式逐一指定網路使用規則，或需要自定義計算機系統網路安全策略的防火牆比較適用於中高階使用者。由於國內計算機系統感染特洛伊木馬的問題非常嚴重，使用掃描器搜尋有安全漏洞的計算機的人也非常多，選用有檢測特洛伊木馬和入侵檢測功能的防火牆較佳。另外防火牆升級性也很重要，特別是對於有檢測特洛伊木馬和入侵檢測功能的防火牆更是如此。因為這類功能，都是透過對已知木馬特徵或入侵手法進行檢測的，需要您不斷更新相關的資料庫，才能夠起到防護作用。

個人防火牆的使用

一般情況下，使用者應該選擇智慧化程度較高，能夠自動識別可信任的網路應用程式，能夠更新特洛伊木馬和入侵檢測功能資料庫的防火牆，以避免頻繁地設定安全規則，處理安全警報。另外在選擇一個合適的個人防火牆以後，一般需要進行設定，才能夠起到安全防保作用。這需要使用者具備一定的網路知識，如TCP/IP協議的基礎知識等。只有在對各種協議所提供的服務有一定了解之後，才能判斷出應用程式或網路連線請求的危險程度，從而正確處理，正確設定安全規則。要知道，即使您使用的是智慧化較高、支援自動識別應用程式或智慧防禦系統的防火牆，也避免不了自定義安全規則的工作。另外使用者還需要了解一些駭客知識，如各種常見的攻擊手段和名詞，才能夠正確的理解警報資訊所報告的事件。而且，在處理安全警報時要有足夠的耐心，仔細檢視有關的事件內容，做出正確的判斷。如果不加以瞭解，就允許應用程式訪問網路或允許他人訪問，也就失去了安裝防火牆的意義。

為了使您的計算機網路系統足夠安全，在使用裝防火牆時，還需要配合病毒防護軟體，以保護自己的計算機系統，不受到類似惡意修改登錄檔之類防火牆較難發現的攻擊。另外還可以阻止蠕蟲之類的網路病毒入侵。


經常閱讀分析日誌檔案也是保證網路安全的重要方面。透過檢查日誌檔案，可以確定是否有人在探測您，或使用一定規則的掃描器，在您的計算機系統上尋找安全漏洞。然後再決定是否則需要採用更嚴格的防火牆安全規則，以便過濾或是追蹤這些探測行為，並採取相應的行動。