大家好,我是猴哥!猴哥出品,必是精品,點擊關注,給你好看!
持續更新通俗易懂的技術知識,為您護航充電!
本文章節內容
- 引入防火牆的原因——目的何在?
- 防火牆的功能——是防火嗎?
- 防火牆的真面目是什麼?——真的是牆嗎?
- 理想的防火牆結構
- 如何使用window防火牆阻斷軟件聯網?——幾步設置即可
本文將以圖例的形式結合通俗易懂的語言對計算機網絡中常提到的防火牆技術做詳細的解讀,旨在讓廣大讀者朋友們認識、瞭解防火牆的“故事”,縮小更多計算機盲區!
防火牆
一、為什麼需要防火牆?
互聯網在加速全球信息化進程的同時,也對世界範圍內的信息安全提出了嚴峻的挑戰。互聯網的開放性與自由性給人類獲取與發佈信息帶來了巨大便利,可這同時也是互聯網信息易被汙染、入侵與破壞的主要原因,這些損害主要來自於以下多個方面:
❶ 互聯網信任所有的接入主機
互聯網的開放性允許全球任何一臺網絡設備訪問互聯網而不會去檢測該設備的可靠性,也就是說如果接入互聯網的所有主機中存在一臺安全性、可靠性薄弱的設備,只要攻破這臺主機,那麼任何有危害的數據或病毒都可以通過該主機進入互聯網,殃及更多的互聯網設備,可以給全球企業和個人帶來無法估量的損失,造成不可預料的災難。
❷ 不完善的各種協議服務
當今互聯網中使用的所有服務,如Telnet服務、DNS服務、FTP服務、Web服務、ActiveX等都是存在安全漏洞的,我們經常為計算機打的補丁就包含修復這些服務的功能。這些服務的任何漏洞都是可以成為互聯網主機被攻擊、破壞的突破口!
❸ TCP/IP協議的安全隱患
TCP/IP協議是Internet中任意兩臺主機進行通信時必須遵循的國際通用信息規範,但由於TCP/IP協議是完全公開的,並不是一套安全性完善的信息規則,進而成為了不法分子實施網絡攻擊的重點目標之一。TCP/IP協議的安全性問題主要有以下幾點:
TCP/IP協議重在建立網絡連對連接安全性做足考慮
TCP/IP協議是基於IP地址的,而基於地址的協議本身就存在各種安全性問題
互聯網中的主機通信只認IP報文,而報文可以被不法分子截獲或者修改,這就無法保證所有的互聯網主機都是來自於可信任的網絡環境,大大降低了不法分子進行網絡攻擊的難度
互聯網本身就有漏洞
由於所有的應用層計算機程序都是通過TCP連接進行數據傳輸的,只要TCP的安全漏洞被利用,攻擊者直接可以遠程操控目標主機,達到汙染/盜取數據,截獲密碼、破壞計算機等目的,所以TCP/IP協議並不能保證網絡的絕對安全。
在遇到上述這些問題時,追查根源是非常困難的,因為互聯網信任接入的每一臺設備,該設備可以來自任何可接入因特網的地方,而且可以使用任何一種服務的漏洞或者TCP/IP協議的漏洞。
難覓攻擊源主機
既然如此,想要通過源頭來解決目標主機被破壞的問題幾乎沒有可能,因為要防止所有類型的互聯網攻擊其工作量是做不到的,但反過來,只控制進入目標主機的互聯網數據是可行的,這就要求有一種網絡安全解決方案,能夠對安全網絡環境與不安全網絡環境之間的數據訪問進行控制,而要達到此目的,最基本的方案就是防火牆技術!
二、防火牆的功能——是防火嗎?
防火牆一詞與一汽車部件同名,在汽車中防火牆的功能是將乘客與發動機引擎進行隔離,防止汽車引擎著火波及乘客。除汽車防火牆外,現實建築物中也有防火牆的概念,在建築領域防火牆的作用是阻隔火源,阻止火情蔓延。
由上述內容可以斷定防火牆的功能的確就是防火,只不過在計算機領域,防火牆防的是另一種“火”——互聯網上的所有不安全因素,阻斷的是這種“火”在企業、機構或組織內部網絡中的蔓延!
計算機防火牆也是“防火”
防火牆作為一套網絡安全管理機制,可以將需要保護的網絡與開放性的互聯網或者其他不可信任的網絡環境進行隔離,使得被保護的網絡成為完全可控的、可信任的安全網絡,這就是防火牆的主要功能!
三、防火牆的真面目——真的是牆嗎?
我們已經介紹了引入防火牆的原因:為了解決前文中提到的多種網絡安全漏洞!那麼,防火牆的真面目到底是什麼樣子呢?它真的是一堵牆嗎?防火牆具體是怎麼實現的呢?本節為您揭曉!
揭開防火牆的真面目
國電話電報公司(AT&T)的工程師定義了防火牆的具體內容:
◆ 所有內網與外網的數據交互都必須經過防火牆
◆ 所有的內網訪問通信必須經過防火牆授權
◆ 整個內網系統具有很強的可靠性
從定義來看,防火牆是一個可以控制網絡數據進出內外網的“東西”,不僅能夠檢查網絡數據,而且具有保障內網不受外部不安全因素破壞的能力,所以防火牆在功能上,是一個集隔離、審查於一體的器件;在實現上,防火牆是由一組位於特殊網絡位置上的硬件設備(路由器、主機等)組成的主機或路由器系統。
防火牆=特定功能的主機/路由器
四、理想的防火牆結構
在介紹防火牆結構之前,我們首先要清楚三個概念:
- 內網——又稱內部網絡區域,指企業內部網絡或一部分內部網絡
- 外網——又稱外部網絡區域,指因特網或非內部區域網絡,不屬於互聯網信任的網絡環境
- 邊界網絡——內外網都可以訪問的子網
- 過濾路由器——在普通路由器中設置相關的過濾功能形成的最簡單的防火牆
- 代理服務器——充當內網DNS、內網與外網通信的網關,可提供各種信息服務(mail、ftp服務等)功能
★ 理想的防火牆結構如下:
理想防火牆結構
根據上圖可以看出,理想型防火牆將一個主機的多種服務功能(WWW/FTP/MAIL等)分散至多個單獨的從主機進行分開管理。在理想型防火牆中一共有三道安全防線,第一道防線就是過濾路由器,能夠進行IP分組數據包的過濾;
第二道防線就是分散在邊界網絡中的單服務主機(圖中為代理服務器),由於只提供一種服務,一方面使得邊界網絡中的主機更易於配置,另一方面增加了內網被攻破的難度;第三道防線就是內部路由器,內網最後的安全防護手段。其實,當今的商用防火牆已經將上述功能全部集成為單件產品,只需要進行配置就能夠實現上述理想結構中的相似功能,如華為的一款防火牆產品:
華為的一款防火牆產品
五、如何使用window防火牆阻斷軟件聯網?——幾步設置即可
我們在使用計算機進行學習、工作的過程中經常會遇到這樣一個問題:因各種原因想要禁止某個軟件聯網,卻不知怎麼辦:
- 比如被破解的軟件後臺自動更新導致破解失效
- 比如有些不法軟件自動下載安裝其他垃圾軟件
- 比如某些惡業軟件經常彈窗廣告
- ......
遇到上述問題時,我們就可以使用window系統自帶的防火牆來禁止這些軟件聯網進而避免各種問題的發生。具體操作我們直接通過截圖的形式為讀者展示:
window防火牆禁止軟件聯網流程
總結
本文通過通俗易懂的語言結合圖文深入淺出的對計算機術語“防火牆”進行了詳細的說明與介紹。
希望通過本文的講解讓更多的人對
防火牆,對計算機,對互聯網有更多新的認識!文中如有不妥之處,歡迎批評指正,衷心感謝您的閱讀!
3Q
閱讀更多 猴哥技術站 的文章
