通俗易懂解说计算机“防火墙”!

杰哥的IT之旅

共 2873字,需浏览 6分钟

 ·

2021-08-24 15:51

在下方公众号后台回复:面试手册,可获取杰哥汇总的 3 份面试 PDF 手册。

本文将以图例的形式结合通俗易懂的语言对计算机网络中常提到的防火墙技术做详细的解读,旨在让广大读者朋友们认识、了解防火墙的“故事”,缩小更多计算机盲区!

一、为什么需要防火墙?

互联网在加速全球信息化进程的同时,也对世界范围内的信息安全提出了严峻的挑战。互联网的开放性与自由性给人类获取与发布信息带来了巨大便利,可这同时也是互联网信息易被污染、入侵与破坏的主要原因,这些损害主要来自于以下多个方面:

1.1 互联网信任所有的接入主机

互联网的开放性允许全球任何一台网络设备访问互联网而不会去检测该设备的可靠性,也就是说如果接入互联网的所有主机中存在一台安全性、可靠性薄弱的设备,只要攻破这台主机,那么任何有危害的数据或病毒都可以通过该主机进入互联网,殃及更多的互联网设备,可以给全球企业和个人带来无法估量的损失,造成不可预料的灾难。

1.2 不完善的各种协议服务

当今互联网中使用的所有服务,如Telnet服务、DNS服务、FTP服务、Web服务、ActiveX等都是存在安全漏洞的,我们经常为计算机打的补丁就包含修复这些服务的功能。这些服务的任何漏洞都是可以成为互联网主机被攻击、破坏的突破口!

1.3 TCP/IP协议的安全隐患

TCP/IP协议是Internet中任意两台主机进行通信时必须遵循的国际通用信息规范,但由于TCP/IP协议是完全公开的,并不是一套安全性完善的信息规则,进而成为了不法分子实施网络攻击的重点目标之一。TCP/IP协议的安全性问题主要有以下几点:

  • TCP/IP协议重在建立网络连对连接安全性做足考虑

  • TCP/IP协议是基于IP地址的,而基于地址的协议本身就存在各种安全性问题

  • 互联网中的主机通信只认IP报文,而报文可以被不法分子截获或者修改,这就无法保证所有的互联网主机都是来自于可信任的网络环境,大大降低了不法分子进行网络攻击的难度

互联网本身就有漏洞

由于所有的应用层计算机程序都是通过TCP连接进行数据传输的,只要TCP的安全漏洞被利用,攻击者直接可以远程操控目标主机,达到污染/盗取数据,截获密码、破坏计算机等目的,所以TCP/IP协议并不能保证网络的绝对安全。

在遇到上述这些问题时,追查根源是非常困难的,因为互联网信任接入的每一台设备,该设备可以来自任何可接入因特网的地方,而且可以使用任何一种服务的漏洞或者TCP/IP协议的漏洞。

难觅攻击源主机

既然如此,想要通过源头来解决目标主机被破坏的问题几乎没有可能,因为要防止所有类型的互联网攻击其工作量是做不到的,但反过来,只控制进入目标主机的互联网数据是可行的,这就要求有一种网络安全解决方案,能够对安全网络环境与不安全网络环境之间的数据访问进行控制,而要达到此目的,最基本的方案就是防火墙技术!

二、防火墙的功能——是防火吗?

防火墙一词与一汽车部件同名,在汽车中防火墙的功能是将乘客与发动机引擎进行隔离,防止汽车引擎着火波及乘客。除汽车防火墙外,现实建筑物中也有防火墙的概念,在建筑领域防火墙的作用是阻隔火源,阻止火情蔓延。

由上述内容可以断定防火墙的功能的确就是防火,只不过在计算机领域,防火墙防的是另一种“火”——互联网上的所有不安全因素,阻断的是这种“火”在企业、机构或组织内部网络中的蔓延!

计算机防火墙也是“防火”

防火墙作为一套网络安全管理机制,可以将需要保护的网络与开放性的互联网或者其他不可信任的网络环境进行隔离,使得被保护的网络成为完全可控的、可信任的安全网络,这就是防火墙的主要功能!

三、防火墙的真面目——真的是墙吗?

我们已经介绍了引入防火墙的原因:为了解决前文中提到的多种网络安全漏洞!那么,防火墙的真面目到底是什么样子呢?它真的是一堵墙吗?防火墙具体是怎么实现的呢?本节为您揭晓!

揭开防火墙的真面目

国电话电报公司(AT&T)的工程师定义了防火墙的具体内容:

  • 所有内网与外网的数据交互都必须经过防火墙

  • 所有的内网访问通信必须经过防火墙授权

  • 整个内网系统具有很强的可靠性

从定义来看,防火墙是一个可以控制网络数据进出内外网的“东西”,不仅能够检查网络数据,而且具有保障内网不受外部不安全因素破坏的能力,所以防火墙在功能上,是一个集隔离、审查于一体的器件;在实现上,防火墙是由一组位于特殊网络位置上的硬件设备(路由器、主机等)组成的主机或路由器系统。

防火墙=特定功能的主机/路由器

四、理想的防火墙结构

在介绍防火墙结构之前,我们首先要清楚三个概念:

  • 内网——又称内部网络区域,指企业内部网络或一部分内部网络

  • 外网——又称外部网络区域,指因特网或非内部区域网络,不属于互联网信任的网络环境

  • 边界网络——内外网都可以访问的子网

  • 过滤路由器——在普通路由器中设置相关的过滤功能形成的最简单的防火墙

  • 代理服务器——充当内网DNS、内网与外网通信的网关,可提供各种信息服务(mail、ftp服务等)功能

★ 理想的防火墙结构如下:

理想防火墙结构

根据上图可以看出,理想型防火墙将一个主机的多种服务功能(WWW/FTP/MAIL等)分散至多个单独的从主机进行分开管理。在理想型防火墙中一共有三道安全防线,第一道防线就是过滤路由器,能够进行IP分组数据包的过滤;第二道防线就是分散在边界网络中的单服务主机(图中为代理服务器),由于只提供一种服务,一方面使得边界网络中的主机更易于配置,另一方面增加了内网被攻破的难度;第三道防线就是内部路由器,内网最后的安全防护手段。

其实,当今的商用防火墙已经将上述功能全部集成为单件产品,只需要进行配置就能够实现上述理想结构中的相似功能,如华为的一款防火墙产品:

华为的一款防火墙产品

五、如何使用window防火墙阻断软件联网?——几步设置即可

我们在使用计算机进行学习、工作的过程中经常会遇到这样一个问题:因各种原因想要禁止某个软件联网,却不知怎么办:

  • 比如被破解的软件后台自动更新导致破解失效

  • 比如有些不法软件自动下载安装其他垃圾软件

  • 比如某些恶业软件经常弹窗广告

  • ……

遇到上述问题时,我们就可以使用window系统自带的防火墙来禁止这些软件联网进而避免各种问题的发生。具体操作我们直接通过截图的形式为读者展示:

window防火墙禁止软件联网流程

总结

本文通过通俗易懂的语言结合图文深入浅出的对计算机术语“防火墙”进行了详细的说明与介绍。

作者:猴哥技术站
侵权删

推荐阅读

iptables 防火墙(一)- 四表/五链、数据包匹配流程、编写 iptables 规则

iptables 防火墙(二)- SNAT / DNAT 策略及应用 |(附体系思维导图)

iptables 防火墙(三)- 规则的导出 / 导入、使用防火墙脚本程序 |(附体系思维导图)

浏览 117
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报