一、防火墙

(一)防火墙的基本概述

防火墙指的是一个由软件和硬件设备组合而成，在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，是一种获取安全性方法的形象说法。防火墙是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关(security gateway)，从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关四个部分组成。

(二)防火墙的功能

防火墙最基本的功能就是控制在计算机网络中不同信任程度区域间传送的数据流。例如互联网是不可信任的区域，而内部网络是高度信任的区域。可以避免安全策略中禁止的一些通信，与建筑中的防火墙功能相似。它把控制信息放在不同信任的区域。典型信任的区域包括互联网(一个没有信任的区域)和一个内部网络(一个高信任的区域)。最终目标是受控连通性要在不同水平的信任区域通过，并且安全政策和连通性模型的运行要根据最少特权原则。

防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口，它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。

防火墙应该具有以下功能：①所有进出网络的通信流都应该通过防火墙；②所有穿过防火墙的通信流都必须有安全策略的确认与授权。

防火墙的作用如下。

1.防火墙是网络安全的屏障 一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。

2.防火墙可以强化网络安全策略 通过以防火墙为中心的安全方案配置，能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其他的身份认证系统完全可以不分散在各个主机上，而集中在防火墙上。

3.对网络存取和访问进行监控审计 如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并记入日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。

4.防止内部信息的外泄 通过利用防火墙对内部网络的划分，可实现内部网络重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。

除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN(虚拟专用网)。

(三)硬件防火墙的分类

目前，根据防火墙的逻辑位置和其所具备的功能，可分为基本型和复合型防火墙两大类。基本型防火墙包括包过滤防火墙和应用型防火墙；复合型防火墙将以上两种基本型防火墙结合使用，主要包括主机屏蔽防火墙和子网屏蔽防火墙。

1.包过滤防火墙 包过滤(packet filtering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表(access control table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。数据包过滤防火墙逻辑简单，价格低廉，易于安装和使用，网络性能和透明性好，它通常安装在路由器上。

数据包过滤防火墙的缺点有两个：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。

2.应用型防火墙 又称双宿主机网关防火墙，是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。特点是容易实现，代价较小，但无法有效地区分同一IP地址的不同用户，因此安全性较差。

包过滤和应用型防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的计算机系统建立直接联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。

3.主机屏蔽防火墙 该防火墙由一个应用型防火墙和一个包过滤路由器混合组成，其优点是有两道防线，所以安全性好，但对路由器的路由表设置要求较高。

4.子网屏蔽防火墙 该防火墙由两个包过滤防火墙和一个应用型防火墙共同组成。它是最安全的一种防火墙体系机构，但实现的代价也高，且不易配置，网络的访问速度也要减慢，其费用也明显高于其他几种防火墙。

(四)防火墙的缺陷

尽管防火墙对于网络安全有着重要的作用，但其也有很多缺陷。

(1)防火墙无法消灭攻击源。

(2)无法预防网络内部攻击。

(3)对合法开放的端口的攻击无法阻拦。

(4)对大多数病毒的攻击无能为力。

防火墙可根据是否需要专门的硬件支持分为硬件防火墙和软件防火墙，通常软件防火墙只在安全和速度要求不高的场所使用。

(五)Windows 7软件防火墙的使用

1.Windows 7防火墙的启动过程 双击“计算机”|“控制面板”|“系统和安全”，单击“Windows防火墙”进入相应界面。具体操作如图8-1～图8-3所示。

图8-1　控制面板

图8-2　“系统和安全”对话框

图8-3　“Windows防火墙”对话框

2.Windows防火墙的设置过程 在Windows防火墙对话框左侧可以看到五个关联的设置：①允许程序或功能通过Windows防火墙；②更改通知设置；③打开或关闭Windows防火墙；④还原默认设置；⑤高级设置。

(1)点击第一个设置“允许程序或功能通过Windows防火墙”即进入如图8-4所示界面。点击“允许运行另一程序”按钮，选择想要添加的程序即可，但是这里区分了专用网络和公用网络。

图8-4　“允许程序或功能通过Windows防火墙”对话框

(2)点击第二个“更改通知设置”和第三个“打开或关闭Windows防火墙”的效果是一样的，如图8-5所示。这里可以启用和关闭Windows防火墙，并且家庭或工作网络和公用网络是分开的。Windows防火墙阻止提醒，一般选择默认的勾选。“阻止所有连入连接”不用勾选，否则会影响某些程序的运行。

图8-5　“启用和关闭Windows防火墙”对话框

(3)点击第四个“还原默认设置”，进入如图8-6所示界面。这里可以选择还原默认设置，防火墙的规则就会恢复到初始的状态(谨慎使用)。

(4)如果熟悉Windows防火墙的详细配置，可以点击“高级设置”，出现如图8-6所示对话框。

图8-6　“还原默认设置”对话框

图8-7　高级安全Windows防火墙

这里Windows 7针对每一个程序为用户提供了三种实用的网络连接方式。

允许连接：程序或端口在任何情况下都可以被连接到网络。

只允许安全连接：程序或端口只有IPSec保护的情况下才允许连接到网络。

阻止连接：阻止此程序或端口的任何状态下连接到网络。

具体操作如图8-8和图8-9所示。

图8-8　入站规则设置

图8-9　连接设置