前言
相信大多数第一次接触电脑的小白一听到防火墙,脑袋里跟我一样瞬间勾勒出了一幅画面。
记得小时候农村的房子大多是这个结构的。或者假如你是建筑设计学的“大学狗”那么你也肯定不陌生了,防火墙也是建筑设计专业术语,指防止火灾蔓延至相邻区域且耐火极限不低于3小时的不燃性墙体。用于划分防火分区,或防止建筑间火灾蔓延的重要分隔构件,能在火灾初期和灭火过程中,将火灾有效限制在一定空间内,阻断火灾在防火墙的一侧蔓延到另一侧,对于减少火灾损失具有重要作用。
不过这自然也不是我们计算机网络中所提到的防火墙了,网络中的防火墙是一种技术,通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性。
防火墙的简介
防火墙是一种抵御外部网络攻击的技术,其功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。
基本定义
所谓“防火墙”是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,隔离技术。越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络为最甚。
防火墙的作用
对个人计算机的保护作用
可以防止外部的攻击,可以把任意的IP或IP段加入不信任区,从而使它们不能够连接到本地机,并拥有控制程序是否访问网络功能、邮件保护功能、实时的查杀木马及病毒的功能、个人隐私保护的功能。
对于游戏老玩家来说,这肯定不陌生了,小时候玩破解版游戏(支持正版!记得补票( $ _ $ ) ,有些破解版存在缺陷的是要关闭防火墙的,否则就会加载失败,这正是由于防火墙对于计算机的保护。
对服务器的保护作用
相信看过带你系统了解从浏览器中输入网址到显示出网页内容其间计算机网络经历了哪些过程这篇文章的人一定对网络中信息交互的流程不陌生了,但你可能并不了解其实网络包从互联网到达服务器的过程,是根据服务器部署地点的不同而改变的。以前的服务器直接部署在公司网络上,并且可以从互联网直接访问。这种情况下,网络包通过最近的互联网中的路由器、接入网以及服务器端路由器之后,就直接到达了服务器。
当然现在的服务器不再这样部署了,童鞋们可能已经猜到答案了,一是IP地址不足,这样的方式需要为公司网络中的所有设备,包括服务器和客户端计算机,都分配各自的公有地址。另一个主要原因就是不安全了,这种方式中,从互联网传来的网络包会无节制地进入服务器,这意味着服务器在攻击者看来处于“裸奔”状态。所以我们的主角防火墙就派上了用场。其作用类似于海关,它只允许发往指定服务器的指定应用程序的网络包通过,从而屏蔽其他不允许通过的包。这样一来,即便应用程序存在安全漏洞,用于攻击的网络包也进不来,可以降低相应的风险。
日志记录与事件通知
进出网络的数据都必须经过防火墙,防火墙通过日志对其进行记录,能提供网络使用的详细统计信息。当发生可疑事件时,防火墙更能根据机制进行报警和通知,提供网络是否受到威胁的信息。
防火墙的结构和原理
包过滤方式
无论服务器部署在哪里,一般都会在前面部署一个防火墙,如果网络包无法通过防火墙,那么也就无法到达服务器,那么如何从网络中流动着的各种各样的包中分辨出哪些可以通过呢?从性能、价格等因素考虑,我们可以采用包过滤的方式。
由于网络包的头部中包含了用于控制通信操作的控制信息,所以只要检查这些信息,就可以起到过滤的作用了。一般通过接收方与发送方的IP地址判断包的起点和终点,接着通过端口号限定应用程序,通过控制位判断连接方向。
包过滤方式的防火墙不仅可以允许或者阻止网络包的通过,还具备地址转换功能,因为具备了包过滤方式的防护墙一般是下面这种结构,将开放给外网的服务器和公司内网分开部署,Web服务器所在的网络可以从外网直接访问。
所以从外网是无法直接访问公司内网的,互联网和公司内网之间的包需要进行地址转换才能传输。
所以根据这些规则判断是否允许通过还是阻止通过,如果结果为阻止,那么防火墙的日志记录功能就会派上用场,这个包会被丢弃并记录下来,通过分析这些被丢弃的包能够搞清楚入侵者使用的手法,从而帮助我们更好地防范非法入侵。
防火墙无法抵御的攻击
防火墙可以根据包的起点和终点来判断是否允许其通过,但仅凭起点和终点并不能筛选出所有有风险的包。比如,假设Web服务器在收到含有特定数据的包时会引起宕机。但是防火墙只关心包的起点和终点,因此即便包中含有特定数据,防火墙也无法发现,于是包就被放行了。然后当包到达Web服务器时,就会引发服务器宕机。所以只有检查包的内容才能识别这种风险,防火墙对这种情况也无能为力。
网络信息安全的担忧
网络信息安全主要是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。而防火墙作为一种抵御外部网络攻击的机制,也是最早出现的一种网络防御机制,防火墙为信息安全做出了不可磨灭的贡献。然而,现在已经出现了很多可以绕过防火墙的攻击方法,因此防火墙一般需要和反病毒、非法入侵检测、访问隔离等机制并用。
说实话,生活在这个信息井喷式增长的社会,个人信息的泄露可能已经见怪不怪了,我们手机当中每天充斥着各种垃圾短信与邮件、以及程序操控的人工智能语音系统带来的骚扰电话,给我们的生活带来了极大的困扰。
从苹果手机这几年主要的宣传卖点——个人隐私的保护就可以看出网络信息安全的发展愈发的重要与紧急。我们国家早已开始注重网络信息安全技术的发展,从2008年起,每年都会举办全国大学生信息安全竞赛,听说奖金很诱人哦(~ ̄▽ ̄)~。所以以后从事网络安全的工作也是一门非常不错的选择,欢迎有志向的青年投身其中,奔涌吧!后浪!!!
既然已经了解了防火墙的原理和作用,接受了学习的洗脑,是时候该休息一下了,最后向电影爱好者推荐一部06年的老片,有关网络中攻击防火墙犯罪的电影——《防火墙》导演是理查德·隆克瑞恩。