K-12 学校计算机网络/第 12 章

A firewall isolates your computer from the Internet using a "wall of code" that inspects each individual "packet" of data as it arrives at either side of the firewall (inbound to or outbound from your computer) to determine whether it should be allowed to pass or be blocked 

但如今，防火墙需要在需要的地方添加——几乎到处都是。

防火墙被认为是保护私人信息的第一道防线。为了获得更高的安全性，数据可以进行加密。

防火墙是一种设备或一组设备，配置为根据一组规则和其他标准来允许、拒绝、加密或代理不同安全域之间的所有计算机流量。

一种旨在防止对私有网络的未经授权的访问或来自私有网络的访问的系统。防火墙可以在硬件和软件中实现，或者两者结合。防火墙经常用于防止未经授权的互联网用户访问连接到互联网的私有网络，尤其是内联网。所有进入或离开内联网的消息都会通过防火墙，防火墙会检查每条消息，并阻止不符合指定安全标准的消息。

有几种类型的防火墙技术

包过滤：查看进入或离开网络的每个数据包，并根据用户定义的规则接受或拒绝它。包过滤相当有效，对用户来说是透明的，但配置起来很困难。此外，它容易受到 IP 欺骗的攻击。

应用程序网关：将安全机制应用于特定应用程序，例如 FTP 和 Telnet 服务器。这非常有效，但可能会降低性能。

电路级网关：在建立 TCP 或 UDP 连接时应用安全机制。连接建立后，数据包可以在主机之间流动，无需进一步检查。

代理服务器：拦截进入和离开网络的所有消息。代理服务器有效地隐藏了真实的网络地址。

所有互联网通信都是通过交换单个数据“包”来完成的。每个数据包从源机器传输到目标机器。数据包是跨互联网流动的信息单元。

当两台计算机连接时，它们会互相发送单个数据包，例如“确认包”，以让发送计算机知道数据（包）已收到。

为了让数据包能够正确到达目的地，无论它是在五台计算机之外还是在世界另一端，每个互联网数据包都必须包含一个 IP 地址（目标地址）和端口号，以便接收计算机知道谁发送了数据包。

换句话说，任何在互联网上传输的互联网数据包都包含其完整的源地址和目标地址。IP 地址始终标识互联网上的单个机器，端口与机器上发生的特定服务或对话相关联。

由于防火墙会检查到达您计算机的每个数据包，因此防火墙拥有完全阻止来自互联网的任何东西进入您计算机的能力。

只有当您的计算机回复第一个到达的数据包时，您的计算机上的 TCP/IP 端口才会“打开”。如果到达的数据包被简单地忽略，那么您计算机的该端口将有效地从互联网上消失。任何人和任何东西都无法连接到它！

换句话说，如果一个不受欢迎的访客试图通过互联网访问一台计算机，而防火墙不识别该访客，它基本上会将端口（门）关闭到不受欢迎的访客以及试图进入的所有其他访客身上。

如果您运行的是 web 服务器，并且需要允许远程机器在端口 80 上连接到您的机器，防火墙可以检查每个到达的数据包，并且只允许在端口 80 上建立连接。对任何其他端口的连接都将被拒绝。

或者假设您希望让您的家庭和办公室计算机共享其文件，而不存在任何未经授权入侵的危险，防火墙可以实现这一点。您将指示在您的办公室计算机上运行的防火墙只允许来自您的家庭计算机的 IP 地址的端口 125-129 连接共享。在您的家庭机器上运行的防火墙将被指示只允许来自您办公室机器 IP 地址的端口 125-129 连接。任何一台机器都可以“看到另一台机器的端口”，但互联网上的其他人无法访问这些机器。

防火墙就像大楼（互联网等）入口处的保安，他们检查个人的身份证，只允许持有适当凭据的人进入大楼的各个部分。对这些设施各个部分的访问取决于所显示身份的安全级别的授权权限。

此外，一家公司在自己的财产周围设置的保安（防火墙）越多，它阻止不受欢迎的访客的可能性就越大。

第一代保安（防火墙）很简单，但随着技术的进步，制造假身份证等变得更容易，从而可以通过保安（防火墙）。这就是为什么保安（防火墙）不断接受培训和测试（升级）的原因，以便他们做好充分的准备来阻止下一代即将发生的威胁（非法进入）。

防火墙测试是一种渗透测试。防火墙测试（渗透测试）使用不同的技术来尝试绕过保安（防火墙），使用与防火墙入侵者相同的技术来查找其安全系统中的任何弱点，然后相应地对其进行升级，使其更安全（培训保安）以跟上技术的进步。

通过防火墙测试的防火墙将表明公司能够承受真实的攻击，从而显示其提供的安全级别和控制级别，但如果安全测试失败，它可以表明公司安全基础设施的弱点。

防火墙的渗透测试程序必须谨慎执行，否则可能会出现严重错误，例如，由于粗心的测试程序，导致一个网站瘫痪。这导致计算机停机和公司遭受重大经济损失。

有效的防火墙测试就像对防火墙（保安）发动一连串攻击，然后确定保安是否阻止了区域（计算机）被渗透。

要正确测试防火墙，需要像实际测试本身一样多的计划。

如果防火墙测试没有正确执行，可能会适得其反，并导致公司内部中断。

测试防火墙的主要原因是确定防火墙防止入侵者最有可能实施的攻击类型的能力。

未经管理批准或参与的防火墙测试很可能以灾难告终。一个人在未经管理批准的情况下，尝试使用密码破解工具或侵入系统来渗透防火墙，可能会面临多项重罪指控，这表明在进行防火墙测试之前获得书面管理批准的重要性。

防火墙测试会中断网络操作。防火墙测试中使用的脚本可能会使网络超载并占用机器。在任何防火墙测试开始之前，应制定有关可容忍中断级别的规则。

如果防火墙测试结果没有得到充分的保护，可能会落入心怀不满的员工手中，甚至被发布到互联网上或被政治组织利用。

指定哪些员工和顾问可以拥有防火墙测试结果的副本，可以确保对结果进行保护。

在信息安全的各个领域，每个人都可以遵循的详细程序至关重要。这些程序有助于确保防火墙测试的每个步骤都得到正确执行。

许多人选择最初销售和安装防火墙的供应商。这可能会成为最糟糕的选择之一。防火墙供应商进行的测试通常并不完整。许多防火墙开发人员并不是优秀的防火墙测试人员。防火墙产品的供应商并不知道其自身产品中的漏洞。

选择安装了要测试的防火墙的人并不明智。另一个诱人的可能性是聘请网络攻击者（黑客）。毕竟，谁最了解如何攻破防火墙？然而，这种解决方案将组织置于黑客手中。

允许某人执行防火墙测试，意味着允许这个人攻击防火墙，这需要高度的信任，因此这个人必须诚实可信。

评测人员在评测防火墙软件方面并没有做得最好，因为一些公司已经合并或倒闭，并且防火墙软件经常更新。在过去几年中，PC Magazine 和 Consumer Reports 等主要的美国电脑杂志和消费者杂志对防火墙软件的报道很少。

Matousec.com 对 42 款防火墙软件进行了测试。Matousec 在理解防火墙的复杂操作和如何测试其有效性方面，受到专业人士的高度尊重。Matousec 不评估使用注意事项，只评估有效性。

两位资深的电脑记者 Scot Finnie 和 Scott May 一直在独立进行搜索，寻找最好的防火墙程序。Finnie 将竞争范围缩小到两款防火墙软件程序。

May 也使用泄漏测试进行测试。一个“泄漏测试”程序试图从一台电脑连接到外部服务器，以便劫持者可以访问。评测人员还试图禁用防火墙软件，因为一些泄漏测试程序试图这样做。

虽然功能和易用性很重要，但技术性能是防火墙软件最重要的购买考虑因素。

ZoneAlarm Pro 6.5 在 2006 年获得了最高评级，但 ZoneAlarm Pro 7.0 在 Matousec 泄漏测试中取得了非常好的成绩，在 42 款程序中排名第六。ZoneAlarm Pro 还包含反间谍软件。ZoneAlarm Pro 不兼容 Vista，但免费版兼容。用户还报告了与其他安全软件的冲突，有些人抱怨 ZoneAlarm 会降低电脑速度。

Scot Finnie 测试了 ZoneAlarm 7.0 的免费版，这款防火墙软件程序只通过了 16 个测试中的 5 个，免费版在 Matousec 的测试中表现非常差（尽管付费版表现相当出色）。

Windows XP Service Pack 2 附带的防火墙软件在 Matousec 测试的 42 款防火墙中取得了最差的结果（Vista 的防火墙没有进行测试）。

许多防火墙不提供泄漏保护，一些知名产品在防止泄漏测试方面提供了非常糟糕的保护。这些包括 Norton Internet Security 2008、McAfee Internet Security Suite 2006 和 2008 以及免费的 ZoneAlarm 防火墙中的防火墙。

ZoneAlarm 的商业版和免费版是评测人员的宠儿。然而，失败的测试结果和其他问题导致评测人员开始寻找更好的替代方案。即使是免费的，评测人员也选择了 Comodo Firewall Pro Version 3.0 作为最全面的防火墙软件程序。

另外两个程序，Online Armor Personal Firewall 2.1（免费，但不兼容 Vista）和 Outpost Firewall Pro 2008 6.0（商业版），在 Matousec.com 进行的最受尊重的测试中防攻击。

Comodo Firewall Pro v3.0（免费）和 Jetico Personal Firewall 2.0 是另外两款在测试中取得出色结果的程序。

软件防火墙的工作方式与硬件防火墙不同，但两者可以结合使用，以创建强大的安全级别。硬件防火墙是位于互联网和电脑之间的设备。例如，如果你拥有一个路由器（有线或无线），它可能包含一个硬件防火墙。硬件防火墙的主要优势是它们不使用任何系统资源，因为它们独立于你的电脑工作。它们还可以同时保护网络上的多台电脑。它们可能更难定制，尤其是对于初学者来说，但即使没有配置，硬件防火墙通常也很有效。由于路由器有自己的 IP 地址，潜在的黑客无法看到你的电脑——他们只能看到路由器。

软件防火墙提供了一些针对病毒、蠕虫、木马等的最佳保护。软件防火墙的一个缺点是它们会降低系统性能，尤其是在旧电脑上。软件防火墙会监控进出流量。软件防火墙的一个缺陷是它无法完全隐藏你的 IP 地址，使其无法被外部世界访问。它关闭未使用的端口，并监控进出开放端口的流量。

拒绝服务 - 这可能是最常用的黑客入侵程序，针对网络上大型公司，而且几乎无法抵御。几乎所有大型 www 公司都经历过这种类型的 DoS 攻击。黑客向服务器发送连接请求。服务器会确认请求并尝试建立会话，但它无法找到发出请求的系统，通过向服务器发送大量无法回答的会话请求，黑客会导致服务器速度变慢或最终崩溃。

远程登录 - 大多数操作系统都有远程登录程序。找到此协议的后门，黑客或病毒就能完全控制你的电脑，感染它，删除文件，并从远程位置基本控制你的电脑。其中一个程序叫做“Back Orifice”。

SMTP （简单邮件传输协议）会话劫持 - SMTP 是通过互联网发送电子邮件最常用的方法。通过获取电子邮件地址列表，一个人可以向数千名用户发送垃圾邮件（垃圾邮件）。这通常通过将电子邮件重定向到不知情的主机上的 SMTP 服务器来完成，这使得难以追踪实际发送垃圾邮件的人。

什么是 SMTP？ 参考 http://www.washington.edu/computing/email/smtp.html

简单邮件传输协议 (SMTP) 是用于在互联网上传输电子邮件的网络协议。当你发送电子邮件时，它首先到达运行 SMTP 的服务器。

病毒 - 病毒是一个可以复制到其他电脑上的小程序。这样它就可以从一个系统快速传播到另一个系统。病毒的危害从无害的消息到删除所有数据，甚至改变主板的电源输出，最终导致主板烧毁，不一而足。

宏 - 宏是重复执行同一过程的程序，它们按照事先设置的脚本执行。黑客利用这一点创建了自己的宏，这些宏可以根据应用程序破坏你的数据或导致你的电脑崩溃。

这些只是最常用的入侵你电脑的方法中的一部分。大多数方法可以通过完美配置的防火墙和良好的反病毒程序阻止（尽管一些防火墙内置了反病毒功能，但最好还是另外安装一个可靠的反病毒程序）。

有些人似乎不明白的是，你并不需要冒犯或惹恼任何人就会被黑客入侵。病毒和其他恶意程序会随机选择目标。良好的防火墙和反病毒程序的结合是唯一让你感到安全的途径。

Cheswick，William R.，Bellovin，Steven M.，和 Rubin，Aviel D. 防火墙和互联网安全：抵御狡猾的黑客第二版 出版商 Addison-Wesley Professional。出版时间：2003 年 ISBN：020163466X

Welch-Abernathy，Dameon D. 书名：Essential Check Point FireWall-1 NG：安装、配置和故障排除指南 出版社：Addison-Wesley Professional。 出版时间：2004 年 ISBN：0321180615

Shinder，Thomas W 书名：The Best Damn Firewall Book Period 出版社：Syngress 出版时间：2003 年 ISBN：1931836906

1. 防火墙的作用是什么？

 A. Keeps your house from burning down if your computer over heats.
 B. Speeds up the transfer of data between two hard drives.
 C. Isolates your computer from the Internet using a “wall of code”.
 D. Saves money on the heating bills.

2. 所有互联网通信都是通过什么实现的？

 A. The exchange of individual “packets of data”.
 B. Dialing the correct phone number.
 C. Resetting your wireless router.
 D. Sending an email to the recipient.

3. 谁是执行防火墙测试的最佳人选？

 A. The vendor who sold you the Firewall software
 B. Someone who is Honest and Trustworthy
 C. Computer Hacker
 D. Person who installed the Firewall

4. 谁在 1998 年 8 月 3 日公开发布了 Back Orifice 程序？

 A. Blue Oyster Cult
 B. Microsoft Corporation
 C. Norton Utilities
 D. Cult of the Dead Cow

5. 选择防火墙时，请务必检查系统要求，并选择适合您的操作系统的版本。

 A. True
 B. False

6. 防火墙测试是一种渗透测试。

 A. True
 B. False

7. 防火墙测试中使用的脚本可能会使网络过载并占用机器资源。

 A. True
 B. False

8. 代理服务器不是一种防火墙技术。

 A. True
 B. False

答案：1:C，2:A，3:B，4:D，5:A，6:A，7:A 和 8:B。