| 出版日期:2001-03-05 总期号:999 本年期号:14 |
|
 |
让防火墙做你的PC机保护伞
杨燕 不容忽视的安全性 我们都明白保护自己家园和财产的必要性。我们出门时会锁门,有的甚至安装防盗系统使其更安全一些。然而,很少有人在用计算机时如此谨慎,甚至疏忽到让PC系统之门大大向外敞开的地步。尽管在Internet上盗走你的计算机硬件非常困难,但入侵者可以窃取敏感的数据(如银行账号和密码)或利用你的系统作掩护来攻击其他人的系统。 保证计算机系统的安全性不是件很容易的事。除了我们在新闻中听说过的主要的安全问题,还有一些小的安全漏洞没有报道。有的网站,列出了很多可以找到闯入PC机入口的安全漏洞,因此每天迅速地浏览一下这些网站很有必要。防火墙通过将可能的入侵者抵挡在系统应用之外的方法来保护系统。有些情况下,如果防火墙能够进行合理的配置甚至可以使你的系统在网上完全不被黑客所查到。 隐蔽在防火墙后 防火墙可以是硬件,也可以是软件,工作原理(见图1)是根据规则集中的规则要求过滤流入或流出的数据。家庭用户会发现个人防火墙没有公司或企业的防火墙功能强大,但个人防火墙好在易学易用。在大多数情况下,个人防火墙可以成为好的保护者,因为世界上最强大的防火墙如果设置不合理,对你还是毫无用处。 要理解防火墙的工作原理,需要知道一些基本的网络概念。例如,每一个连接到Internet上的计算机都有惟一的地址,即IP地址。IP地址由小数点间隔的四部分组成,每一部分是一个0到255之间的数字,比如127.0.0.1就是一个IP地址。通过IP地址,计算机可以在网上相互看到对方。举个例子,当你访问站点http://www.ccidnet.com时,实际上你是向某个特定IP地址的计算机发出了请求。然后,该计算机根据请求者的IP地址返回请求信息。不过,人们往往较容易记住名字,所以Internet启用域名服务,将你输入的域名(如www.ccidnet.com)翻译成计算机能识别的IP地址。 台式计算机在上网时也是有IP地址的。Internet服务提供商在其用户连接网络时会将拥有的一组IP地址分配给每一个用户的计算机,好像“出租”一样。拨号网络的用户一般在每次登录时都有动态变化的IP地址,而使用光缆或DSL(Digital Subscriber Line)等宽带网络设施的用户通常有永久不变的IP地址上网。使用宽带网连接的用户比较危险,因为他们的计算机总是在网上。 
图1 防火墙工作原理:计算机利用互联网收发的每一种数据都是利用特定的端口。利用防火墙,你能决定端口的开关状态,阻止你认为任何危险的交换信息。 如果你有一个永久的IP地址却没有足够的安全措施,就很容易成为入侵者的攻击目标。因为一台计算机可以通过网络提供多种信息及服务,有网页浏览、电子邮件和FTP (File Transfer Protocol文件传输协议)下载等,所以在网上向一台计算机发出服务请求时要指定服务类型。接着,你使用的应用程序在后台通过特定端口号(端口是应用程序用于网上交换数据的虚拟通道)完成你的请求。打个比方,IP地址是一个房间的电话号码,而端口号则是住在该房间的某个人的名字,如果你想跟房间的某个人说话,需要电话号码和这个人的名字,计算机要上网请求某项服务需要IP地址和端口号也是一样的道理。 通常,应用程序有默认的端口号,比如:FTP文件传输服务一般占用端口21,很多个人用户收邮件的常用方法SMTP(简单邮件传输协议)占用端口25,而发邮件常用的POP3(邮局协议)则占用端口10。有时一项服务会使用多个端口,例如Web上的服务一般用端口80。 入侵者经常使用可用端口入侵系统,当然,这之前需要频繁地对特定IP地址进行端口扫描,以寻找打开的端口。端口可以打开也可以关闭,但默认情况下,无论实际是打开的还是关闭的,他们都能响应任何请求。这意味着如果有人对你的计算机进行端口扫描,这个可能的入侵者至少会收到一条“拒绝连接”的消息,这样他就可以知道他扫描的IP地址对应的计算机信息。而防火墙软件能让你的端口根本就不响应任何请求,入侵者因此也无法得知IP地址是否对应一台PC机。 大多数防火墙软件有能力区分信息流入和流出的方向。锁定流出信息(即数据从你的计算机发往Internet)的功能同样不能忽视。比如,一种伪装成有用或流行文件的恶意程序——特洛伊木马,是网络上很大的安全威胁。一旦计算机系统中有特洛伊木马程序,该程序将会监控你的输入内容,然后将数据发回给黑客。这些输入内容中也许就会有敏感的数据。如果锁定一些无用端口的数据输出,你可以减少特洛伊木马对你的PC造成的安全威胁。 但防火墙一般无法预防另一种恶意的代码:病毒。如梅利莎E-mail病毒可以顺利穿过很多防火墙进入计算机系统,因为防火墙允许用户收发电子邮件。另外,如果设置防火墙软件允许访问新闻组、进行Web方式或Internet Relay聊天,你也根本无法阻止邮件中的病毒进入计算机。 防火墙软件 个人用的防火墙需要在易用和功能是否强大之间进行权衡。最好的防火墙应该能够易学易用,同时还可以根据IP地址和端口号的数据过滤规则来调整防火墙。 因此,我们推荐您使用的防火墙软件之一:Symantec软件公司的Norton个人防火墙2001(http://www.symantec.com/)。Norton个人防火墙2001版提供预设的安全等级,非常容易配置。一旦你安装了防火墙,在你运行需要Internet服务请求程序时,个人防火墙提示你是否允许连接、阻塞连接或是建立处理所有将来请求的规则。如果选择设置规则,Norton个人防火墙将给出一系列不同的选择。没有经验的用户可以选择自动建立一些常用软件如Internet Explorer、 Eudora和微软的Outlook Express等的使用规则。而有经验的用户可以浏览防火墙的默认规则,并根据需要改变设置。但大多数有经验的用户选择自己设定规则,指定端口设置或应用程序能访问的IP地址。这种方式可以让E-mail软件只接收你用的邮件服务器的电子邮件并只让指定的端口进行响应。 Symantec公司的网络安全产品是包括个人防火墙在内的系列软件包。如Norton网络安全2001家庭版就捆绑了Symantec的个人防火墙产品和Norton杀毒2001,还有过滤Internet访问、保护隐私和拦截广告的软件产品。Norton 网络安全2001软件包有除Internet的过滤组件外的所有安全性软件。 McAfee个人防火墙在一个新的应用程序试图连接到Internet时会给出提示框。然后你可以选择或者将该程序作为可信站点让其自由访问网络,或者完全拒绝该程序接近网络。不过,McAfee给用户提供的信息少于Norton网络安全软件。Norton网络安全软件会给出应用程序的名称、使用的端口或它当前是在发送还是接收信息的状态,而McAfee只有应用程序的文件名。比如,如果你试图打开Windows多媒体播放器,McAfee可能就会问你是否允许文件Wmplayer.exe访问网络。 Zone Labs的防火墙产品Zone Alarm (http://www.zonelabs.com)是另外一个较受欢迎的个人防火墙软件。与Symantec和McAfee产品不同的是,Zone Alarm是免费下载的。防火墙功能主要控制应用程序是否能够访问网络。当某个应用程序试图连接网络时,你需要告诉Zone Alarm你的选择。 Zone Labs的Zone Alarm防火墙软件(见图2)可以给用户选择访问Internet应用软件的自由。 设置并测试防火墙 基于端口的信息流量过滤非常复杂,可能需要一点时间才能调整好。或许,你需要折腾几次应用软件才能使它们在防火墙上正常工作。例如:如果使用Napster软件,又想和别人共享文件,就需要设置防火墙可以让数据从端口6699进入,同时配置Napster软件只用端口6699。 
图2Zone Alarm是一种免费防火墙,利用它,你可以选择哪些应用程序可以运行在Internet上 设置好防火墙后,可以通过一些网站测试一下这些功能是否可以实现真正的效果。Gibson研究中心(http://www.grc.com/)提供了几个可以帮助用户评价电脑系统安全的测试工具。第一步测试是试图连接到你的PC机上,建立一个NetBIOS连接。NetBIOS是安装Windows的系统之间进行文件和打印机共享的标准协议。如果GRC的服务器可以通过NetBIOS连接你的系统,那说明你的系统有一个很大的漏洞,应该注意。 接着应该探测一下端口。GRC会快速地扫描一些常用端口,并告知各个端口目前的状态。同样,关闭的端口总比打开的端口好应付一些,但关闭的端口仍然可能会提醒入侵者你的机器是对应了一个IP地址。你注册GRC测试的最佳状态是“stealth”,这表明端口将不会响应所有连接你的系统的企图,因此入侵者也无法知道你电脑实际上的IP地址。 DSL Reports 站点(http://www.dslreports.com/)的安全检测更加细致,提供了免费的基本扫描程序(如免费注册需要的扫描);如果想更高级全面地扫描,需要支付每星期10美元的费用。与GRC不同的是,DSL Reports通过E-mail寄送检测结果,而且其扫描系统之前要等一段时间。不过,对第一次使用个人防火墙的用户来说,这两个站点都是一个很好的测试站点。 个人系统的安全 尽管免费防火墙软件Zone Alarm不允许你锁定某个特定的端口,但每一个电脑使用者都应该装备一种个人防火墙,尤其是那些使用光缆或DSL、拥有永久网络连接的用户。而需要更多保护的用户可以考虑像Norton网络安全2001软件的安全解决方案,尽管有点昂贵,但其控制系统端口信息流出的功能和因此带来的保密性使Symantec公司的Norton网络安全软件远远优于简单的个人防火墙。 |
||||||||||||||
