小议防火墙 武汉人 2000年 第41期   现在的互联网可是越来越糟糕。懂黑客技术的人数虽没什么太大的增长,但是会用黑客工具的一些无聊之人倒是越来越多。这些行为称为黑客入侵很牵强,但是有些时候还是挺烦人的。大部分普通网民不具备反黑技术,就犹如赤条条游行于茫茫网海中,自然而然成为黑客“鲨鱼”的“攻击对象”,甚至有的人长期处于黑客监视之下自己却全然不知。这种情况有办法避免吗?答案是有。而且办法很多,例如拔掉网线;不下载和运行任何可执行文件等等!但这些方法都是很消极的。其实只要使用防火墙就可以抵挡住绝大部分所谓黑客的攻击了。   说句实话,现在还是有很多网民分不清防病毒软件和防火墙。其实这是两个完全不相干但是相辅相成的东西。一个好的防病毒软件确实是在线安全不可或缺的部分,但是也是很小的一个部分。它能够通过检测病毒和类似的问题保护你,但是它们对防范黑客、对带有恶意的“合法”程序却无能为力。另外,防火墙对于病毒一类的程序完全没有防范能力,尤其是那些带有恶意的悄悄地向你的机器发送或提取数据的程序。这时候防病毒软件就有了用武之地。今天我们所说的防火墙大致分为两种:状态检测型、代理型。 #1 状态检测型的防火墙:   在Internet上传输的基本上是IP包,防火墙都是对IP包进行过滤的,TCP、UDP、ICMP等都是封装在IP包之内的,所以基于IP包过滤的防火墙能够很好地控制进出的TCP、UDP、ICMP包。IP包通过基于包过滤方式的防火墙时并没有被隔断(这是与PROXY的最大区别),过滤的法则只能控制某个IP包能否进或出。配置基于包过滤方式的防火墙,需要对IP、TCP、UDP、ICMP等各种协议有一定程度的了解(最好还是深入了解为好,不然出错几率很大)。 #1 代理型的防火墙:   这些也许更为大家所熟悉。IP包在防火墙中是断开的,当内部网络向外部网络申请一个连接时,PROXY截断了这个申请,并以自己的身份向目标申请连接,最后把结果返回内部网络。我所见过的PROXY(代理)有HTTP,HTTPS,FTP,TELNET,SMTP,SOCK等等。SOCK代理能用于任何应用,但必须在CLIENT端加装SOCK Client,这在Windows下很容易实现,但是在UNIX中就有点麻烦了。而且SOCK PROXY还和一些应用不兼容——微软建议:不要把ExchangeServer和MS PROXY Client端装在一台NT机上。   现在最为著名的Check Point、Cisco、Netscreen和NetGuard等防火墙产品均使用状态检测技术,其总体性能比使用代理技术的AXENT、Cyber Guard和Secure Computing的产品要强。其中,Cisco的PIX性能几乎接近线速。而且状态检测型的防火墙只检查数据包是否被允许通过,不影响网络性能,的确是个很好的选择的。目前就我知道而言,除Netscreen-100外,所有防火墙均支持VPN(虚拟专网)。并且几乎所有的防火墙均具有NAT(网络地址转换)功能。   但是着两种防火墙主要都是针对服务器的。现在互联网发达了,才逐渐转向个人用户。其中个人防火墙较好的ZoneAlarm,更新很快,解决了很多早期版本存在的问题,是少数能够检测到特洛伊程序的防火墙之一。国外的这些软件价格都不菲。国内的虽然功能上有些不足,但对付使用软件攻击的这些人还是足够了,更何况是完全免费的。下面我就简单讲讲目前很多人使用的“天网防火墙个人版”(其实天网防火墙是针对企业用户的,还是硬件的,技术方面很先进,个人版中就含有这些技术)。天网防火墙的界面相当简洁,只有六个选择页组成,点击不同的选择页便会有不同的内容供你选择。   不过大家也应该知道没有任何在线的系统是绝对安全的,除非你完全断开所有连接,理论上任何系统都可能被攻击,但是如果你的机器加上了足够多层的安全保护,给黑客们增加了太多的障碍,那么你的安全系数就很高了,也许因为他不能忍受如此多的麻烦就放弃了你。好了就先说这么多吧,更多的内容可以去安全之路(http://safe.yesky.com)看看。