K-12 學校計算機網路/第 12 章

A firewall isolates your computer from the Internet using a "wall of code" that inspects each individual "packet" of data as it arrives at either side of the firewall (inbound to or outbound from your computer) to determine whether it should be allowed to pass or be blocked 

但如今，防火牆需要在需要的地方新增——幾乎到處都是。

防火牆被認為是保護私人資訊的第一道防線。為了獲得更高的安全性，資料可以進行加密。

防火牆是一種裝置或一組裝置，配置為根據一組規則和其他標準來允許、拒絕、加密或代理不同安全域之間的所有計算機流量。

一種旨在防止對私有網路的未經授權的訪問或來自私有網路的訪問的系統。防火牆可以在硬體和軟體中實現，或者兩者結合。防火牆經常用於防止未經授權的網際網路使用者訪問連線到網際網路的私有網路，尤其是內聯網。所有進入或離開內聯網的訊息都會透過防火牆，防火牆會檢查每條訊息，並阻止不符合指定安全標準的訊息。

有幾種型別的防火牆技術

包過濾：檢視進入或離開網路的每個資料包，並根據使用者定義的規則接受或拒絕它。包過濾相當有效，對使用者來說是透明的，但配置起來很困難。此外，它容易受到 IP 欺騙的攻擊。

應用程式閘道器：將安全機制應用於特定應用程式，例如 FTP 和 Telnet 伺服器。這非常有效，但可能會降低效能。

電路級閘道器：在建立 TCP 或 UDP 連線時應用安全機制。連線建立後，資料包可以在主機之間流動，無需進一步檢查。

代理伺服器：攔截進入和離開網路的所有訊息。代理伺服器有效地隱藏了真實的網路地址。

所有網際網路通訊都是透過交換單個數據“包”來完成的。每個資料包從源機器傳輸到目標機器。資料包是跨網際網路流動的資訊單元。

當兩臺計算機連線時，它們會互相傳送單個數據包，例如“確認包”，以讓傳送計算機知道資料（包）已收到。

為了讓資料包能夠正確到達目的地，無論它是在五臺計算機之外還是在世界另一端，每個網際網路資料包都必須包含一個 IP 地址（目標地址）和埠號，以便接收計算機知道誰傳送了資料包。

換句話說，任何在網際網路上傳輸的網際網路資料包都包含其完整的源地址和目標地址。IP 地址始終標識網際網路上的單個機器，埠與機器上發生的特定服務或對話相關聯。

由於防火牆會檢查到達您計算機的每個資料包，因此防火牆擁有完全阻止來自網際網路的任何東西進入您計算機的能力。

只有當您的計算機回覆第一個到達的資料包時，您的計算機上的 TCP/IP 端口才會“開啟”。如果到達的資料包被簡單地忽略，那麼您計算機的該埠將有效地從網際網路上消失。任何人和任何東西都無法連線到它！

換句話說，如果一個不受歡迎的訪客試圖透過網際網路訪問一臺計算機，而防火牆不識別該訪客，它基本上會將埠（門）關閉到不受歡迎的訪客以及試圖進入的所有其他訪客身上。

如果您執行的是 web 伺服器，並且需要允許遠端機器在埠 80 上連線到您的機器，防火牆可以檢查每個到達的資料包，並且只允許在埠 80 上建立連線。對任何其他埠的連線都將被拒絕。

或者假設您希望讓您的家庭和辦公室計算機共享其檔案，而不存在任何未經授權入侵的危險，防火牆可以實現這一點。您將指示在您的辦公室計算機上執行的防火牆只允許來自您的家庭計算機的 IP 地址的埠 125-129 連線共享。在您的家庭機器上執行的防火牆將被指示只允許來自您辦公室機器 IP 地址的埠 125-129 連線。任何一臺機器都可以“看到另一臺機器的埠”，但網際網路上的其他人無法訪問這些機器。

防火牆就像大樓（網際網路等）入口處的保安，他們檢查個人的身份證，只允許持有適當憑據的人進入大樓的各個部分。對這些設施各個部分的訪問取決於所顯示身份的安全級別的授權許可權。

此外，一家公司在自己的財產周圍設定的保安（防火牆）越多，它阻止不受歡迎的訪客的可能性就越大。

第一代保安（防火牆）很簡單，但隨著技術的進步，製造假身份證等變得更容易，從而可以透過保安（防火牆）。這就是為什麼保安（防火牆）不斷接受培訓和測試（升級）的原因，以便他們做好充分的準備來阻止下一代即將發生的威脅（非法進入）。

防火牆測試是一種滲透測試。防火牆測試（滲透測試）使用不同的技術來嘗試繞過保安（防火牆），使用與防火牆入侵者相同的技術來查詢其安全系統中的任何弱點，然後相應地對其進行升級，使其更安全（培訓保安）以跟上技術的進步。

透過防火牆測試的防火牆將表明公司能夠承受真實的攻擊，從而顯示其提供的安全級別和控制級別，但如果安全測試失敗，它可以表明公司安全基礎設施的弱點。

防火牆的滲透測試程式必須謹慎執行，否則可能會出現嚴重錯誤，例如，由於粗心的測試程式，導致一個網站癱瘓。這導致計算機停機和公司遭受重大經濟損失。

有效的防火牆測試就像對防火牆（保安）發動一連串攻擊，然後確定保安是否阻止了區域（計算機）被滲透。

要正確測試防火牆，需要像實際測試本身一樣多的計劃。

如果防火牆測試沒有正確執行，可能會適得其反，並導致公司內部中斷。

測試防火牆的主要原因是確定防火牆防止入侵者最有可能實施的攻擊型別的能力。

未經管理批准或參與的防火牆測試很可能以災難告終。一個人在未經管理批准的情況下，嘗試使用密碼破解工具或侵入系統來滲透防火牆，可能會面臨多項重罪指控，這表明在進行防火牆測試之前獲得書面管理批准的重要性。

防火牆測試會中斷網路操作。防火牆測試中使用的指令碼可能會使網路超載並佔用機器。在任何防火牆測試開始之前，應制定有關可容忍中斷級別的規則。

如果防火牆測試結果沒有得到充分的保護，可能會落入心懷不滿的員工手中，甚至被髮布到網際網路上或被政治組織利用。

指定哪些員工和顧問可以擁有防火牆測試結果的副本，可以確保對結果進行保護。

在資訊安全的各個領域，每個人都可以遵循的詳細程式至關重要。這些程式有助於確保防火牆測試的每個步驟都得到正確執行。

許多人選擇最初銷售和安裝防火牆的供應商。這可能會成為最糟糕的選擇之一。防火牆供應商進行的測試通常並不完整。許多防火牆開發人員並不是優秀的防火牆測試人員。防火牆產品的供應商並不知道其自身產品中的漏洞。

選擇安裝了要測試的防火牆的人並不明智。另一個誘人的可能性是聘請網路攻擊者（駭客）。畢竟，誰最瞭解如何攻破防火牆？然而，這種解決方案將組織置於駭客手中。

允許某人執行防火牆測試，意味著允許這個人攻擊防火牆，這需要高度的信任，因此這個人必須誠實可信。

評測人員在評測防火牆軟體方面並沒有做得最好，因為一些公司已經合併或倒閉，並且防火牆軟體經常更新。在過去幾年中，PC Magazine 和 Consumer Reports 等主要的美國電腦雜誌和消費者雜誌對防火牆軟體的報道很少。

Matousec.com 對 42 款防火牆軟體進行了測試。Matousec 在理解防火牆的複雜操作和如何測試其有效性方面，受到專業人士的高度尊重。Matousec 不評估使用注意事項，只評估有效性。

兩位資深的電腦記者 Scot Finnie 和 Scott May 一直在獨立進行搜尋，尋找最好的防火牆程式。Finnie 將競爭範圍縮小到兩款防火牆軟體程式。

May 也使用洩漏測試進行測試。一個“洩漏測試”程式試圖從一臺電腦連線到外部伺服器，以便劫持者可以訪問。評測人員還試圖停用防火牆軟體，因為一些洩漏測試程式試圖這樣做。

雖然功能和易用性很重要，但技術性能是防火牆軟體最重要的購買考慮因素。

ZoneAlarm Pro 6.5 在 2006 年獲得了最高評級，但 ZoneAlarm Pro 7.0 在 Matousec 洩漏測試中取得了非常好的成績，在 42 款程式中排名第六。ZoneAlarm Pro 還包含反間諜軟體。ZoneAlarm Pro 不相容 Vista，但免費版相容。使用者還報告了與其他安全軟體的衝突，有些人抱怨 ZoneAlarm 會降低電腦速度。

Scot Finnie 測試了 ZoneAlarm 7.0 的免費版，這款防火牆軟體程式只通過了 16 個測試中的 5 個，免費版在 Matousec 的測試中表現非常差（儘管付費版表現相當出色）。

Windows XP Service Pack 2 附帶的防火牆軟體在 Matousec 測試的 42 款防火牆中取得了最差的結果（Vista 的防火牆沒有進行測試）。

許多防火牆不提供洩漏保護，一些知名產品在防止洩漏測試方面提供了非常糟糕的保護。這些包括 Norton Internet Security 2008、McAfee Internet Security Suite 2006 和 2008 以及免費的 ZoneAlarm 防火牆中的防火牆。

ZoneAlarm 的商業版和免費版是評測人員的寵兒。然而，失敗的測試結果和其他問題導致評測人員開始尋找更好的替代方案。即使是免費的，評測人員也選擇了 Comodo Firewall Pro Version 3.0 作為最全面的防火牆軟體程式。

另外兩個程式，Online Armor Personal Firewall 2.1（免費，但不相容 Vista）和 Outpost Firewall Pro 2008 6.0（商業版），在 Matousec.com 進行的最受尊重的測試中防攻擊。

Comodo Firewall Pro v3.0（免費）和 Jetico Personal Firewall 2.0 是另外兩款在測試中取得出色結果的程式。

軟體防火牆的工作方式與硬體防火牆不同，但兩者可以結合使用，以建立強大的安全級別。硬體防火牆是位於網際網路和電腦之間的裝置。例如，如果你擁有一個路由器（有線或無線），它可能包含一個硬體防火牆。硬體防火牆的主要優勢是它們不使用任何系統資源，因為它們獨立於你的電腦工作。它們還可以同時保護網路上的多臺電腦。它們可能更難定製，尤其是對於初學者來說，但即使沒有配置，硬體防火牆通常也很有效。由於路由器有自己的 IP 地址，潛在的駭客無法看到你的電腦——他們只能看到路由器。

軟體防火牆提供了一些針對病毒、蠕蟲、木馬等的最佳保護。軟體防火牆的一個缺點是它們會降低系統性能，尤其是在舊電腦上。軟體防火牆會監控進出流量。軟體防火牆的一個缺陷是它無法完全隱藏你的 IP 地址，使其無法被外部世界訪問。它關閉未使用的埠，並監控進出開放埠的流量。

拒絕服務 - 這可能是最常用的駭客入侵程式，針對網路上大型公司，而且幾乎無法抵禦。幾乎所有大型 www 公司都經歷過這種型別的 DoS 攻擊。駭客向伺服器傳送連線請求。伺服器會確認請求並嘗試建立會話，但它無法找到發出請求的系統，透過向伺服器傳送大量無法回答的會話請求，駭客會導致伺服器速度變慢或最終崩潰。

遠端登入 - 大多數作業系統都有遠端登入程式。找到此協議的後門，駭客或病毒就能完全控制你的電腦，感染它，刪除檔案，並從遠端位置基本控制你的電腦。其中一個程式叫做“Back Orifice”。

SMTP （簡單郵件傳輸協議）會話劫持 - SMTP 是透過網際網路傳送電子郵件最常用的方法。透過獲取電子郵件地址列表，一個人可以向數千名使用者傳送垃圾郵件（垃圾郵件）。這通常透過將電子郵件重定向到不知情的主機上的 SMTP 伺服器來完成，這使得難以追蹤實際傳送垃圾郵件的人。

什麼是 SMTP？ 參考 http://www.washington.edu/computing/email/smtp.html

簡單郵件傳輸協議 (SMTP) 是用於在網際網路上傳輸電子郵件的網路協議。當你傳送電子郵件時，它首先到達執行 SMTP 的伺服器。

病毒 - 病毒是一個可以複製到其他電腦上的小程式。這樣它就可以從一個系統快速傳播到另一個系統。病毒的危害從無害的訊息到刪除所有資料，甚至改變主機板的電源輸出，最終導致主機板燒燬，不一而足。

宏 - 宏是重複執行同一過程的程式，它們按照事先設定的指令碼執行。駭客利用這一點建立了自己的宏，這些宏可以根據應用程式破壞你的資料或導致你的電腦崩潰。

這些只是最常用的入侵你電腦的方法中的一部分。大多數方法可以透過完美配置的防火牆和良好的反病毒程式阻止（儘管一些防火牆內建了反病毒功能，但最好還是另外安裝一個可靠的反病毒程式）。

有些人似乎不明白的是，你並不需要冒犯或惹惱任何人就會被駭客入侵。病毒和其他惡意程式會隨機選擇目標。良好的防火牆和反病毒程式的結合是唯一讓你感到安全的途徑。

Cheswick，William R.，Bellovin，Steven M.，和 Rubin，Aviel D. 防火牆和網際網路安全：抵禦狡猾的駭客第二版 出版商 Addison-Wesley Professional。出版時間：2003 年 ISBN：020163466X

Welch-Abernathy，Dameon D. 書名：Essential Check Point FireWall-1 NG：安裝、配置和故障排除指南 出版社：Addison-Wesley Professional。 出版時間：2004 年 ISBN：0321180615

Shinder，Thomas W 書名：The Best Damn Firewall Book Period 出版社：Syngress 出版時間：2003 年 ISBN：1931836906

1. 防火牆的作用是什麼？

 A. Keeps your house from burning down if your computer over heats.
 B. Speeds up the transfer of data between two hard drives.
 C. Isolates your computer from the Internet using a “wall of code”.
 D. Saves money on the heating bills.

2. 所有網際網路通訊都是透過什麼實現的？

 A. The exchange of individual “packets of data”.
 B. Dialing the correct phone number.
 C. Resetting your wireless router.
 D. Sending an email to the recipient.

3. 誰是執行防火牆測試的最佳人選？

 A. The vendor who sold you the Firewall software
 B. Someone who is Honest and Trustworthy
 C. Computer Hacker
 D. Person who installed the Firewall

4. 誰在 1998 年 8 月 3 日公開發布了 Back Orifice 程式？

 A. Blue Oyster Cult
 B. Microsoft Corporation
 C. Norton Utilities
 D. Cult of the Dead Cow

5. 選擇防火牆時，請務必檢查系統要求，並選擇適合您的作業系統的版本。

 A. True
 B. False

6. 防火牆測試是一種滲透測試。

 A. True
 B. False

7. 防火牆測試中使用的指令碼可能會使網路過載並佔用機器資源。

 A. True
 B. False

8. 代理伺服器不是一種防火牆技術。

 A. True
 B. False

答案：1:C，2:A，3:B，4:D，5:A，6:A，7:A 和 8:B。