防火墙是如何工作的

一个公司可能会这样设置，仅允许1到2台机器处理特定的协议。

　　端口－任何服务器通过数字化的端口向互联网开放其服务，每个端口对应服务器具备的一项服务（详见How Web Servers Work）。举个例子，如果服务器运行着WEB服务器和FTP服务器，WEB服务器一般开放在80端口，FTP服务器则是在21。公司可能会阻塞除1台内部机器外的其余机器访问该端口。特殊的单词和短语－可以是任何的东西。防火墙会嗅探（深入搜索）消息的每一数据包 ，以便与过滤器中的文本列表进行精确匹配。比如说，你可以指示防火墙阻塞任何带"X-rated(译者：色情内容)"的数据包。这里的关键是精确的匹配，"X-rated" 的过滤规则就不能捕捉到"X rated（译者：知道为什么有人喜欢在一个词组中间加横杠或者建议学习古人文本竖排了吧）"，不过你可以尽己所需地添加尽可能多的单词、短语和派生词（译者：挑战人类的智慧啊）。

　　有些操作系统内嵌有防火墙（译者：如ＸＰ），软件防火墙可安装在家里的可上网的计算机上。该计算时机可被视为网关，因为这是你家庭网络与互联网之间的唯一访问点。

　　而硬件防火墙，其本身通常就是网关。一个很好的例子是Linksys有线或DSL方式的路由器，他内置了以太网网卡和hub。你家庭网络中的计算机与该路由器相连，路由器再连上有线或ＤＳＬ猫。在你计算机的浏览器通过ＷＥＢ界面可以对路由器进行配置。然后你就可以设置任何过滤规则或额外信息了。

　　硬件防火墙安全性极佳，也不算贵。你可以找到不超过100美刀的家庭版的供宽带连接用的带有路由器、防火墙和以太网hub功能的设备。

 　　４.它能保护你于哪些威胁之外？

　　不择手段的人有许多创造性的方式来访问和滥用你的弱不禁风的电脑：

• 远程登录－某人可以连上你的电脑并以某种形式控制它，浏览存取你的文件甚至在你的机器上运行程序（译者：比如格式化你的机器，可怕吧）。
• 后门程序－有些程序的特性允许远程访问。有些这是由于ＢＵＧ提供了后门、隐蔽的访问来提供对程序某种程度的控制。
• SMTP会话劫持-SMTP是互联网上发送邮件的常用方式。通过获取邮件列表，一个人就可以不请自来地发送垃圾邮件（SPAM）给成千上万的用户。这通常可以通过重定向邮件到某一不知情的主机，使得垃圾邮件的实际的发送者难以跟踪。
• 操作系统BUG-如同应用程序一样，部分操作系统也有后门，有些则提供了缺乏足够安全性的远程控制手段，或者存在BUG令有经验的黑客可利用。
• 拒绝服务-你可能已经在关于对某一知名站点的攻击的新闻报道上听说过这个词了。实际上是黑客向服务发送了连接请求，然而当服务器响应确认信息把那个试图建立会话的时候，它却找不到发出请求的系统了。通过发送大量的无响应的会话请求把服务器给淹没，黑客达到令服务器变慢、抓狂甚至崩溃的目的。
• 邮件炸弹-实际上是对个人的攻击。成百上千地向你发送同一份邮件知道你邮件系统无法再接收任何新的消息。
• 宏命令-为了简化过程，许多应用允许你创建可令其运行的命令脚本，这种脚本称为宏命令。黑客会用则应来创建自己的宏，根据应用程序的不同，这些宏可破坏你的数据或者令你机器崩溃。
• 病毒-计算机病毒可能是最出名的攻击了。病毒就是一小段可自我复制到其他机器的程序。这种方式令其可从一个系统快速传播到另一个系统。病毒种类广泛，从制造些无害消息到删除你的数据，不一而足。
• SPAM-一般是无害的但是令人生厌。spam电子上等同于junk mail（垃圾邮件，纸质的）。不过spam也可能是危险的，经常含有网站链接。小心点击那些链接，因为你可能会以外接受了一个提供开放你机器后门的cookies。
• 重定向炸弹－黑客可以利用ICMP来改变（重定向）路径消息让它发送到不同的路由器。这是建立拒绝服务攻击的一种方式。
• 源路由－大部分情况下，数据包在互联网（或任何其它网络）传输的路径取决于路径上的路由器。但提供该数据包的源可以指定数据包经过哪些路由。黑客有时候会利用这一点来使信息看上去来自一个可信的源，或者甚至是网络内部！大部分防火墙缺省情况下都屏蔽源路由。

　　以上列举的项目要想用防火墙过滤掉就算有可能也是困难的。就算有些防火墙提供了防病毒功能，在每台机器上安装防毒软件仍是一笔划算的投资。同时，即使确实是烦人，只要你准备接收邮件，有些spam就还是能通过防火墙的。

　　你建立的安全等级如何取决于你的防火墙能阻止多少上述攻击。最高等级的安全可达到阻止一切，不过显然这与你建立互联网连接的目标背道而驰。

　　有一个普遍的原则，就是你可以先阻止一切，然后再选择允许哪些流量通过。你也可以限制通过防火墙的流量，让特定的信息类型如email通过。对于拥有富于经验的网络管理员的企业来说这是一条好的原则，管理员理解所需也确切知道哪些流量可以通过。对于我们中的大多数人而言，可能最好还是让防火墙按缺省工作，除非有特殊原因要改变它。

　　基于安全立场，关于防火墙其中一项最好的事情是他阻止了外部任何人登录进你的私人网络。在商业上这可是大事件，许多家庭网络也许不会被这样攻击。不过，有一道防火墙在那儿，你也会心安一点。

文章来源于领测软件测试网 https://www.ltesting.net/