對於很多人來說,防火牆的概念會令他們感到費解,尤其是在電腦科技及其他範疇上,這個名詞均是指向不同的東西。它既能指不同種類的硬件及軟件,更包括了多種不同的技術方法。除此以外,防火牆產品亦可劃分為大型企業級數的產品、一般消費者的桌面版本、免費軟件,以及內建於標準操作系統。
甚麼是防火牆?
簡單而言,防火牆是把守著不同授權程度。機構內部的系統組織往往擁有最高的信任程度;在外的夥伴、供應商及客戶均處於較低信任度的不同位置之內;而互聯網上的「不受管束的電腦玩家」則屬於最低可信的程度。當電腦系統連接至在外系統時,便會招徠病毒、駭客及其他威脅。而防火牆則是抵禦這些攻擊的第一道防線。
如公司內的電腦及網絡能與內部系統溝通,一般公司的防火牆會按照連接與否、連接的方式及連接的器材,強制執行預先定義的安全政策。當防火牆被安裝在網絡或電腦時,所有收發的資料將被監控,並與一套由用戶定義的安全政策比較。若所流過的資料未能合乎準則,這些資料將被阻截。而個人電腦上安裝的個人防火牆,也利用一個相似的方式保護電腦資源。
過濾方式
管理員可根據以下的過濾選項設定防火牆:
- 互聯網協定 (IP) 地址 – 防火牆可根據每部電腦獨特的IP地址阻截連接,如:防火牆可以忽略多次試圖以錯誤登入系統的電腦發出的要求。
- 協定 – 可按照不同的網絡連接方式,作出相對調整,如:阻截所有由在外系統發出遠程登錄的要求。
- 域名 – 可隔絕指定域名如ESPN.com或EBay等發出的連接要求,確保在上班時間,員工不會擅自瀏覽消閒或私人網站。
- 關鍵字 – 部分防火能過濾內含指定文字或文句的內容。
- 連接埠 – 收緊可以連接至伺服器的連接埠。
防火牆的運作方式
大部分防火牆選用了以下一種或以上的方法,以確保執行安全政策時順利無間:
封包過濾 – 檢查資料封包的屬性,如發源的IP地址或發送的目的地,以篩選那些不符合準則的所有資訊。
應用層閘道 – 也稱代理伺服器,通常是用作擔當內部客戶端電腦及在外系統的中間人,將經授權的封包發放之餘,亦可保護客戶端電腦免受未授權的資訊通過。 Proxies 代理通常專為某項網絡服務 (HTTP, FTP, telnet)而設。
狀態檢測 – 此方法能檢測數據封包的內容,並按這些內容作出執行決定。透過對應連接狀態及按連接狀況而改變的運作方式,將授權的資訊從未經授權的流通資料分辨出來。例如,狀態檢視能阻截不知名應用程式進行FTP連接,從而防止被暗暗植入鍵盤側錄程式,並將所盜取的資訊「傳回原址」。
限制
不過,只有強制執行安全政策才可讓防火牆發揮效用。您可參閱HP How-To Guide,了解如何制定有效的安全政策,建立堅固的防火牆之竅門。
此外,防火牆就好像門鎖一樣,只是保安工作必須的第一步,但並不表示從此可以一勞永逸。因為資深的黑客亦深諳保安之道,會找尋漏洞發動攻擊。而防火牆亦未能阻截源自系統內發動的攻擊及錯誤。
為提升保安水平,防火牆應與防毒軟件、間諜程式掃描軟件、入侵偵測系統及其他保安程式同時使用。大部分商用防火牆產品已均包括在保安套裝軟件之內。您可參考Information Week的文章,了解當前的防火牆應用程式的產品短評。
此外,您亦可閱讀HP學習中心內的防火牆基本免費課程,了解更多關於防火牆的知識。
