先來(lái)說(shuō)說(shuō)硬件防火墻。
硬件防火墻很重要���,因?yàn)樗鼈兲峁┝说谝坏婪谰€����,可以抵御來(lái)自外界的幾種常見類型的攻擊����。另外,它們一般幾乎不用什么配置就能起到很好的效果���,可以保護(hù)本地網(wǎng)絡(luò)上的每臺(tái)機(jī)器���。
典型寬帶路由器中的硬件防火墻使用一項(xiàng)名為數(shù)據(jù)包過(guò)濾的技術(shù),這項(xiàng)技術(shù)可以分析數(shù)據(jù)包報(bào)頭�����,確定其源地址和目的地址�。這些信息與一組預(yù)先定義的規(guī)則及/或用戶定義的規(guī)則進(jìn)行比對(duì),確定該數(shù)據(jù)包是不是合法的��,因而再確定是允許進(jìn)入還是拒之門外。
一種更先進(jìn)的技術(shù)名為狀態(tài)數(shù)據(jù)包檢測(cè)(SPI)���,它會(huì)檢查數(shù)據(jù)包的另外特點(diǎn)��,比如數(shù)據(jù)包的性質(zhì)和實(shí)際來(lái)源(也就是說(shuō)該數(shù)據(jù)來(lái)自互聯(lián)網(wǎng)還是來(lái)自本地網(wǎng)絡(luò))�����、入站流量是不是現(xiàn)有出站連接(如網(wǎng)頁(yè)請(qǐng)求)的響應(yīng)�����。
簡(jiǎn)而言之��,寬帶路由器中的硬件防火墻主要負(fù)責(zé)阻止外面的不良流量進(jìn)入��。這種防火墻的局限性在于���,它通常把從本地網(wǎng)絡(luò)傳送到互聯(lián)網(wǎng)的各種流量也當(dāng)作是安全的,這有時(shí)候是個(gè)問(wèn)題�。
不妨考慮這種情形:你打開了一封電子郵件,或者訪問(wèn)一個(gè)網(wǎng)站���,里面含有一個(gè)隱藏的惡意程序�,目的在于偷偷把自己植入到你的機(jī)器上(或者騙你安裝它)�����,然后通過(guò)互聯(lián)網(wǎng)把信息發(fā)送出去–此舉可能是為了竊取你的個(gè)人數(shù)據(jù)����,也可能是將你的機(jī)器當(dāng)作分布式拒絕服務(wù)(DDoS)攻擊的僵尸機(jī)器。目前這是一種最常見的感染方法��。
由于這類程序生成的流量貌似合法(畢竟它來(lái)自你的網(wǎng)絡(luò)內(nèi)部)�,一般會(huì)被允許離開網(wǎng)絡(luò)。如果硬件防火墻經(jīng)配置后����,可以阻止經(jīng)由惡意程序使用的某個(gè)或某些TCP/IP端口傳輸?shù)某稣玖髁浚涂梢宰柚箰阂饬髁?;但是考慮到可能使用的端口有65000多個(gè),無(wú)法確信這種性質(zhì)的程序可能會(huì)使用哪些端口���,所以阻止合適端口的可能性就微乎其微�����。
此外����,阻止端口還阻止了在你的任何聯(lián)網(wǎng)個(gè)人電腦上運(yùn)行的合法程序使用這些端口。比如說(shuō)�����,如果硬件防火墻阻止了旨在從你的機(jī)器生成和發(fā)送垃圾電子郵件的某個(gè)惡意軟件����,同時(shí)也就阻止了使用微軟Outlook或Mozilla Thunderbird的功能(因?yàn)樗鼈兌忌赏环N流量:經(jīng)由端口25傳輸?shù)腟MTP流量)。
再來(lái)說(shuō)說(shuō)軟件防火墻的優(yōu)點(diǎn)�����。
這時(shí)候軟件防火墻的優(yōu)點(diǎn)正好可以彌補(bǔ)硬件防火墻的不足��。由于軟件防火墻直接在計(jì)算機(jī)上運(yùn)行����,它勢(shì)必能夠了解關(guān)于網(wǎng)絡(luò)流量的更多情況,而不是只了解使用哪個(gè)端口�����、流量去向哪里;它還知道哪個(gè)程序試圖訪問(wèn)互聯(lián)網(wǎng)�����,該程序是合法程序還是惡意程序(軟件防火墻會(huì)查詢定期更新的數(shù)據(jù)庫(kù)����,來(lái)確定這一點(diǎn))�����。
根據(jù)這些信息���,軟件防火墻可以允許或禁止程序收發(fā)數(shù)據(jù)的功能�����。如果防火墻對(duì)于該程序的性質(zhì)不太確定�,就會(huì)提示用戶進(jìn)一步確認(rèn)����,之后才允許流量通過(guò)。
簡(jiǎn)而言之��,軟件防火墻能夠更深入地檢查惡意流量,及時(shí)攔截�����,以免它離開你的計(jì)算機(jī)�����。
軟件防火墻的主要缺點(diǎn)在于�,它們只能保護(hù)安裝了軟件防火墻的機(jī)器, 所以要用軟件防火墻來(lái)保護(hù)多臺(tái)計(jì)算機(jī)���,必須購(gòu)買多套軟件防火墻(或多個(gè)許可證)���,安裝到每一臺(tái)機(jī)器上,并逐一配置���。這樣一來(lái)成本可能很高��,管理起來(lái)也有難度�����,不過(guò)許多面向企業(yè)的防火墻軟件的確提供了集中安裝和管理的功能��。
值得一提的是��,Windows 7和Vista中的內(nèi)置防火墻在默認(rèn)情況下不會(huì)自動(dòng)阻止出站流量����,它們只會(huì)阻止入站流量。這是考慮使用第三方防火墻的原因之一��,因?yàn)榈谌椒阑饓υ谀J(rèn)情況下一般就能處理入站流量和出站流量�。(你得手動(dòng)配置Windows防火墻來(lái)阻止出站流量��,但對(duì)用戶來(lái)說(shuō)不是很方便����。)
這里有一個(gè)好辦法可以概括硬件防火墻與軟件防火墻之間的區(qū)別。不妨把硬件防火墻當(dāng)成是夜總會(huì)的看門人���,他手持名單檢查每個(gè)來(lái)者的身份�����,確保他們收到了邀請(qǐng)函�。另一方面�,軟件防火墻就好比是安保人員���,確保沒(méi)有人偷偷溜進(jìn)來(lái),在里面搞些不適宜的活動(dòng)��,同時(shí)確保沒(méi)人把什么東西偷偷帶出去���。
