本文章節(jié)內(nèi)容

• 引入防火墻的原因——目的何在？
• 防火墻的功能——是防火嗎？
• 防火墻的真面目是什么？——真的是墻嗎？
• 理想的防火墻結(jié)構(gòu)
• 如何使用window防火墻阻斷軟件聯(lián)網(wǎng)？——幾步設(shè)置即可

本文將以圖例的形式結(jié)合通俗易懂的語(yǔ)言對(duì)計(jì)算機(jī)網(wǎng)絡(luò)中常提到的防火墻技術(shù)做詳細(xì)的解讀，旨在讓廣大讀者朋友們認(rèn)識(shí)、了解防火墻的“故事”，縮小更多計(jì)算機(jī)盲區(qū)！

防火墻

一、為什么需要防火墻？

互聯(lián)網(wǎng)在加速全球信息化進(jìn)程的同時(shí)，也對(duì)世界范圍內(nèi)的信息安全提出了嚴(yán)峻的挑戰(zhàn)?；ヂ?lián)網(wǎng)的開(kāi)放性與自由性給人類獲取與發(fā)布信息帶來(lái)了巨大便利，可這同時(shí)也是互聯(lián)網(wǎng)信息易被污染、入侵與破壞的主要原因，這些損害主要來(lái)自于以下多個(gè)方面：

? 互聯(lián)網(wǎng)信任所有的接入主機(jī)

互聯(lián)網(wǎng)的開(kāi)放性允許全球任何一臺(tái)網(wǎng)絡(luò)設(shè)備訪問(wèn)互聯(lián)網(wǎng)而不會(huì)去檢測(cè)該設(shè)備的可靠性，也就是說(shuō)如果接入互聯(lián)網(wǎng)的所有主機(jī)中存在一臺(tái)安全性、可靠性薄弱的設(shè)備，只要攻破這臺(tái)主機(jī)，那么任何有危害的數(shù)據(jù)或病毒都可以通過(guò)該主機(jī)進(jìn)入互聯(lián)網(wǎng)，殃及更多的互聯(lián)網(wǎng)設(shè)備，可以給全球企業(yè)和個(gè)人帶來(lái)無(wú)法估量的損失，造成不可預(yù)料的災(zāi)難。

? 不完善的各種協(xié)議服務(wù)

當(dāng)今互聯(lián)網(wǎng)中使用的所有服務(wù)，如Telnet服務(wù)、DNS服務(wù)、FTP服務(wù)、Web服務(wù)、ActiveX等都是存在安全漏洞的，我們經(jīng)常為計(jì)算機(jī)打的補(bǔ)丁就包含修復(fù)這些服務(wù)的功能。這些服務(wù)的任何漏洞都是可以成為互聯(lián)網(wǎng)主機(jī)被攻擊、破壞的突破口！

? TCP/IP協(xié)議的安全隱患

TCP/IP協(xié)議是Internet中任意兩臺(tái)主機(jī)進(jìn)行通信時(shí)必須遵循的國(guó)際通用信息規(guī)范，但由于TCP/IP協(xié)議是完全公開(kāi)的，并不是一套安全性完善的信息規(guī)則，進(jìn)而成為了不法分子實(shí)施網(wǎng)絡(luò)攻擊的重點(diǎn)目標(biāo)之一。TCP/IP協(xié)議的安全性問(wèn)題主要有以下幾點(diǎn)：

TCP/IP協(xié)議重在建立網(wǎng)絡(luò)連對(duì)連接安全性做足考慮

TCP/IP協(xié)議是基于IP地址的，而基于地址的協(xié)議本身就存在各種安全性問(wèn)題

互聯(lián)網(wǎng)中的主機(jī)通信只認(rèn)IP報(bào)文，而報(bào)文可以被不法分子截獲或者修改，這就無(wú)法保證所有的互聯(lián)網(wǎng)主機(jī)都是來(lái)自于可信任的網(wǎng)絡(luò)環(huán)境，大大降低了不法分子進(jìn)行網(wǎng)絡(luò)攻擊的難度

互聯(lián)網(wǎng)本身就有漏洞

由于所有的應(yīng)用層計(jì)算機(jī)程序都是通過(guò)TCP連接進(jìn)行數(shù)據(jù)傳輸?shù)?，只要TCP的安全漏洞被利用，攻擊者直接可以遠(yuǎn)程操控目標(biāo)主機(jī)，達(dá)到污染/盜取數(shù)據(jù)，截獲密碼、破壞計(jì)算機(jī)等目的，所以TCP/IP協(xié)議并不能保證網(wǎng)絡(luò)的絕對(duì)安全。

在遇到上述這些問(wèn)題時(shí)，追查根源是非常困難的，因?yàn)?strong>互聯(lián)網(wǎng)信任接入的每一臺(tái)設(shè)備，該設(shè)備可以來(lái)自任何可接入因特網(wǎng)的地方，而且可以使用任何一種服務(wù)的漏洞或者TCP/IP協(xié)議的漏洞。

難覓攻擊源主機(jī)

既然如此，想要通過(guò)源頭來(lái)解決目標(biāo)主機(jī)被破壞的問(wèn)題幾乎沒(méi)有可能，因?yàn)橐乐顾蓄愋偷幕ヂ?lián)網(wǎng)攻擊其工作量是做不到的，但反過(guò)來(lái)，只控制進(jìn)入目標(biāo)主機(jī)的互聯(lián)網(wǎng)數(shù)據(jù)是可行的，這就要求有一種網(wǎng)絡(luò)安全解決方案，能夠?qū)Π踩W(wǎng)絡(luò)環(huán)境與不安全網(wǎng)絡(luò)環(huán)境之間的數(shù)據(jù)訪問(wèn)進(jìn)行控制，而要達(dá)到此目的，最基本的方案就是防火墻技術(shù)！

二、防火墻的功能——是防火嗎？

防火墻一詞與一汽車部件同名，在汽車中防火墻的功能是將乘客與發(fā)動(dòng)機(jī)引擎進(jìn)行隔離，防止汽車引擎著火波及乘客。除汽車防火墻外，現(xiàn)實(shí)建筑物中也有防火墻的概念，在建筑領(lǐng)域防火墻的作用是阻隔火源，阻止火情蔓延。

由上述內(nèi)容可以斷定防火墻的功能的確就是防火，只不過(guò)在計(jì)算機(jī)領(lǐng)域，防火墻防的是另一種“火”——互聯(lián)網(wǎng)上的所有不安全因素，阻斷的是這種“火”在企業(yè)、機(jī)構(gòu)或組織內(nèi)部網(wǎng)絡(luò)中的蔓延！

計(jì)算機(jī)防火墻也是“防火”

防火墻作為一套網(wǎng)絡(luò)安全管理機(jī)制，可以將需要保護(hù)的網(wǎng)絡(luò)與開(kāi)放性的互聯(lián)網(wǎng)或者其他不可信任的網(wǎng)絡(luò)環(huán)境進(jìn)行隔離，使得被保護(hù)的網(wǎng)絡(luò)成為完全可控的、可信任的安全網(wǎng)絡(luò)，這就是防火墻的主要功能！

三、防火墻的真面目——真的是墻嗎？

我們已經(jīng)介紹了引入防火墻的原因：為了解決前文中提到的多種網(wǎng)絡(luò)安全漏洞！那么，防火墻的真面目到底是什么樣子呢？它真的是一堵墻嗎？防火墻具體是怎么實(shí)現(xiàn)的呢？本節(jié)為您揭曉！

揭開(kāi)防火墻的真面目

國(guó)電話電報(bào)公司（AT&T）的工程師定義了防火墻的具體內(nèi)容：

◆ 所有內(nèi)網(wǎng)與外網(wǎng)的數(shù)據(jù)交互都必須經(jīng)過(guò)防火墻

◆ 所有的內(nèi)網(wǎng)訪問(wèn)通信必須經(jīng)過(guò)防火墻授權(quán)

◆ 整個(gè)內(nèi)網(wǎng)系統(tǒng)具有很強(qiáng)的可靠性

從定義來(lái)看，防火墻是一個(gè)可以控制網(wǎng)絡(luò)數(shù)據(jù)進(jìn)出內(nèi)外網(wǎng)的“東西”，不僅能夠檢查網(wǎng)絡(luò)數(shù)據(jù)，而且具有保障內(nèi)網(wǎng)不受外部不安全因素破壞的能力，所以防火墻在功能上，是一個(gè)集隔離、審查于一體的器件；在實(shí)現(xiàn)上，防火墻是由一組位于特殊網(wǎng)絡(luò)位置上的硬件設(shè)備（路由器、主機(jī)等）組成的主機(jī)或路由器系統(tǒng)。

防火墻=特定功能的主機(jī)/路由器

四、理想的防火墻結(jié)構(gòu)

在介紹防火墻結(jié)構(gòu)之前，我們首先要清楚三個(gè)概念：

• 內(nèi)網(wǎng)——又稱內(nèi)部網(wǎng)絡(luò)區(qū)域，指企業(yè)內(nèi)部網(wǎng)絡(luò)或一部分內(nèi)部網(wǎng)絡(luò)
• 外網(wǎng)——又稱外部網(wǎng)絡(luò)區(qū)域，指因特網(wǎng)或非內(nèi)部區(qū)域網(wǎng)絡(luò)，不屬于互聯(lián)網(wǎng)信任的網(wǎng)絡(luò)環(huán)境
• 邊界網(wǎng)絡(luò)——內(nèi)外網(wǎng)都可以訪問(wèn)的子網(wǎng)
• 過(guò)濾路由器——在普通路由器中設(shè)置相關(guān)的過(guò)濾功能形成的最簡(jiǎn)單的防火墻
• 代理服務(wù)器——充當(dāng)內(nèi)網(wǎng)DNS、內(nèi)網(wǎng)與外網(wǎng)通信的網(wǎng)關(guān)，可提供各種信息服務(wù)(mail、ftp服務(wù)等)功能

★ 理想的防火墻結(jié)構(gòu)如下：

理想防火墻結(jié)構(gòu)

根據(jù)上圖可以看出，理想型防火墻將一個(gè)主機(jī)的多種服務(wù)功能（WWW/FTP/MAIL等）分散至多個(gè)單獨(dú)的從主機(jī)進(jìn)行分開(kāi)管理。在理想型防火墻中一共有三道安全防線，第一道防線就是過(guò)濾路由器，能夠進(jìn)行IP分組數(shù)據(jù)包的過(guò)濾；第二道防線就是分散在邊界網(wǎng)絡(luò)中的單服務(wù)主機(jī)（圖中為代理服務(wù)器），由于只提供一種服務(wù)，一方面使得邊界網(wǎng)絡(luò)中的主機(jī)更易于配置，另一方面增加了內(nèi)網(wǎng)被攻破的難度；第三道防線就是內(nèi)部路由器，內(nèi)網(wǎng)最后的安全防護(hù)手段。

其實(shí)，當(dāng)今的商用防火墻已經(jīng)將上述功能全部集成為單件產(chǎn)品，只需要進(jìn)行配置就能夠?qū)崿F(xiàn)上述理想結(jié)構(gòu)中的相似功能，如華為的一款防火墻產(chǎn)品：

華為的一款防火墻產(chǎn)品

五、如何使用window防火墻阻斷軟件聯(lián)網(wǎng)？——幾步設(shè)置即可

我們?cè)谑褂糜?jì)算機(jī)進(jìn)行學(xué)習(xí)、工作的過(guò)程中經(jīng)常會(huì)遇到這樣一個(gè)問(wèn)題：因各種原因想要禁止某個(gè)軟件聯(lián)網(wǎng)，卻不知怎么辦：

• 比如被破解的軟件后臺(tái)自動(dòng)更新導(dǎo)致破解失效
• 比如有些不法軟件自動(dòng)下載安裝其他垃圾軟件
• 比如某些惡業(yè)軟件經(jīng)常彈窗廣告
• ......

遇到上述問(wèn)題時(shí)，我們就可以使用window系統(tǒng)自帶的防火墻來(lái)禁止這些軟件聯(lián)網(wǎng)進(jìn)而避免各種問(wèn)題的發(fā)生。具體操作我們直接通過(guò)截圖的形式為讀者展示：

window防火墻禁止軟件聯(lián)網(wǎng)流程

總結(jié)

本文通過(guò)通俗易懂的語(yǔ)言結(jié)合圖文深入淺出的對(duì)計(jì)算機(jī)術(shù)語(yǔ)“防火墻”進(jìn)行了詳細(xì)的說(shuō)明與介紹。

希望通過(guò)本文的講解讓更多的人對(duì)防火墻，對(duì)計(jì)算機(jī)，對(duì)互聯(lián)網(wǎng)有更多新的認(rèn)識(shí)！

文中如有不妥之處，歡迎批評(píng)指正，衷心感謝您的閱讀！