日益猖獗的电脑黑客会想方设法盗取银行的资产,他们喜欢向银行的高科技防火墙下手,只要出现一个漏洞,就能乘虚而入,发笔大财。美国好莱坞当然不能放过这么好的题材,就在昨天,由奥斯卡影帝哈里森·福特主演的大片《防火墙》开始在国内上映,一个关于打劫银行的普通故事,如果换上了黑客绕过网络保安防火墙,神不知鬼不觉地偷走一亿美元的包装,无疑就会打动很多与网络信息安全密切相关的IT人士。
好莱坞大片《防火墙》
顾名思义,《防火墙》是一部关于网络安全的动作片,男主角因设计了银行业内最有效的电脑防盗系统而一举成名,这套复杂的安全系统利用网络追踪,通行密码及防火墙等手段来保护银行财产免受网络黑客袭击。既然防火墙是贯穿整个影片的主线,那笔者就带大家简要了解一下关于防火墙(firewall)的方方面面。
什么是防火墙
如果说杀毒软件是计算机安全的“内科”,那防火墙就是“外科”,它是各种安全防范措施的总称,可以控制外网访问和屏蔽安全入侵,流入流出的所有网络通信数据均要经过这道墙。防火墙简单的可以只用路由器实现,复杂的可以用主机甚至一个子网来实现。设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的管理。
防火墙的功能
防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
防火墙的分类
防火墙主要分为两大类,硬件防火墙和软件防火墙。
软件防火墙是一种安装在负责内外网络转换的网关服务器或者独立的个人计算机上的特殊程序,它是以逻辑形式存在的,防火墙程序跟随系统启动,形成一种逻辑上的防御体系。软件防火墙工作于系统接口与NDIS(网络驱动器接口规范)之间,用于检查过滤由NDIS发送过来的数据,在无需改动硬件的前提下便能实现一定强度的安全保障。
硬件防火墙是一种以物理形式存在的专用设备,通常架设于两个网络的驳接处,直接从网络设备上检查过滤有害的数据报文,位于防火墙设备后端的网络或者服务器接收到的是经过防火墙处理的相对安全的数据,不必另外分出CPU资源去进行基于软件架构的NDIS数据检测,可以大大提高工作效率。
防火墙还可以从技术上分为“包过滤型”、“应用代理型”和“状态监视”三类;从结构上又分为单一主机防火墙、路由集成式防火墙和分布式防火墙三种;按工作位置分为边界防火墙、个人防火墙和混合防火墙;按防火墙性能分为百兆级防火墙和千兆级防火墙两类……。
如何评价防火墙
管理很重要:用户要使用一个安全的防火墙系统,就需要实行一套安全的防火墙策略,这就对防火墙的实际操作人员提出较高要求。
功能是基本:防火墙所具有的功能越来越多,但防火墙是否具有信息内容过滤、NAT技术和状态检测功能是选购防火墙时需要着重考察的功能点。
性能是条件:吞吐量和并发连接数是体现网络性能两个重要的参数。
抗攻击力是保证:目前,在“黑客”的攻击行为中,使用最多、最有效的是DDoS攻击,它造成的结果是服务器拒绝服务。防火墙作为网络的单一通道,要保证受保护网络的安全,它本身应具有抗攻击能力。也是用户购买防火墙的重要参考指标。
小结:防火墙在目前采用的网络安全的防范体系中,占据着举足轻重的位置,其发展的前提是要确保网络的运行效率和高强的性能。随着来自外网的恶意攻击日益猖獗,防火墙还需要与杀毒软件和入侵检测结合起来,才能共同成为网络安全的坚固盾牌。