卡巴斯基技术论坛 » 入侵防护交流 » 我们为什么需要防火墙，需要什么样的防火墙

ab135 发表于 2008-1-5 21:18

我们为什么需要防火墙，需要什么样的防火墙

<H2><FONT size=3></FONT>&nbsp;</H2>
<DIV class=t_msgfont><BR><FONT style="FONT-SIZE: 12px"><FONT size=3>很多网络初级用户认为，只要装了<STRONG>杀毒</STRONG><STRONG>软件</STRONG>，系统就绝对安全了，这种想法是很危险的！在现今的<STRONG>网络安全</STRONG>环境下，木马、<STRONG>病毒</STRONG>肆虐，<STRONG>黑客</STRONG>攻击频繁，而各种流氓软软件、<STRONG>间谍软件</STRONG>也行风作浪。怎样才能让我们的系统保全于如此险恶的网络环境呢？光靠杀毒软件足以保证我们的系统安全吗？下面我就从影响系统安全的几个方面来剖析防火墙的重要性。<BR>现在的网络安全威胁主要来自病毒攻击、木马攻击、黑客攻击以及间谍软件的窃密。杀毒软件发展了十几年，依然是停留在被动杀毒的层面（当主动<STRONG>防御</STRONG>这个概念出现以后，国内一些杀毒厂商纷纷标榜已经实现主动防御，实际上无非是炒作一些概念赚取眼球，这点急功近利的心理也是导致他们停滞不前的原因之一），国外的调查表明，当今全球杀毒软件对80%的病毒无法起到识别作用（参考：</FONT><A href="http://column.chinabyte.com/388/2014388.shtml" target=_blank><FONT color=#0000ff size=3>http://column.chinabyte.com/388/2014388.shtml</FONT></A><FONT size=3>）。从杀毒软件的原理来看，杀毒软件之所以能杀毒，纯粹是根据病毒样本的代码特征来识别他是否是病毒，而且这个特征码还是需要在用户反映遇到病毒后上传病毒样本才能获取。就如某人被偷了，幸运的是他抓住了这个小偷，于是告诉警察他抓住一个长头发戴眼镜的小偷，于是警察就天天在街上盯着那些留着长头发戴着眼睛的人。这样的防御效果可想而知。同样的道理，杀毒软件对于木马、间谍软件的防范也是基于这种被动的方式。<BR>病毒和木马的制造者们抓住了杀毒软件的这个致命弱点，不停地开发新的变种，代码特征的频繁改变让被动的杀毒软件无所适从。从全球范围内来看，能造成较大损失的病毒、木马大部分都是新出现的，或者是各类变种。由于这些病毒木马的特征并没有被杀毒软件掌握，因此杀毒软件对它们是既不能报警，也无法剿杀，甚至导致一些杀毒软件本身都被病毒杀死而无法启动！<BR>难道我们就只有任病毒木马宰割的份了吗？<BR>当然不！高手岂能向几个病毒木马低头！虽然杀毒软件只能干瞪眼，可是我们还有严守大门的防火墙呢！<BR>防火墙为什么就能挡住病毒木马甚至是最新的变种呢？这就要从防火墙的防御机制说起了。防火墙是根据连接网络的数据包来进行监控的，也就是说，防火墙就相当于一个严格的门卫，掌管系统的各扇门（端口），它负责对进出的所有人（应用程序所发出的数据包）进行身份核实，每个人都需要得到最高长官的许可才可以出入，而这个最高长官，就是你自己了。每当有不明的程序想要进入系统，或者连出网络，防火墙都会在第一时间拦截，并检查身份，如果是经过你许可放行的（比如在应用规则设置中你允许了某一个程序连接网络），防火墙会放行该程序所发出的所有数据包，如果检测到这个程序并没有被许可放行，则自动弹出提示是否允许这个程序通行，这时候就需要你这个“最高统帅”做出判断了。一般来说，自己没有运行或者不太了解的程序，我们一律禁止通行，并通过搜索引擎或者防火墙的提示确认该软件的性质。<BR>写到这里，大家估计对杀毒软件和防火墙的区别有一定了解了。举个直观的例子：你的系统就好比一座城堡，你是这个城堡的最高统帅，杀毒软件和防火墙是负责安全的警卫，各有分工。杀毒软件负责对进入城堡的人进行鉴别，如果发现可疑的人物就抓起来（当然，抓错的几率很大，不然就没有这么多误杀误报事件了）；而防火墙则是门卫，对每一个进出城堡的人都进行检查，一旦发现没有出入证的人就向最高统帅确认。因此，任何木马或者间谍软件，或许可能在杀毒软件的眼皮底下偷偷记录你的帐号密码，可是由于防火墙把城门守得滴水不漏，阻止了所有木马或间谍软件发出去的信息，从而保护了你的系统安全。<BR><BR>另外，防火墙还有一个优点，就是可以防御黑客对系统的攻击，这是杀毒软件无法做到的，因为黑客的操作不具有任何特征码，杀毒软件自然无法识别，而防火墙则可以把你系统的每个端口都隐藏起来，黑客扫描你的IP的时候，不返回任何数据包，这样黑客就无法发现你这个系统的存在，从而使对方无法攻击你。<BR><BR>本人从98年开始上网，到现在已经有8个年头了，总结八年的上网历程，朋友给我一个很经典的评价：ANSON其实在进行令一场的8年抗战。对于这个评价，我觉得很贴切。我是一个网络安全爱好者，从菜鸟到中鸟（还不敢自称老鸟，嘿嘿~~）从混客到红客，一步步走到现在，黑了无数系统，也被无数高手黑过。我第一次接触防火墙是在1999年，那时候国内几乎还没有防火墙这个概念，当时天网防火墙推出第一个软件防火墙，出于好奇，就装来尝试一下。不可否认，天网防火墙1.0版本完全无法和今天的天网3.0相比，很多功能都没有，只有最基本的防御功能。但是在99年，国内无论是黑客还是网民，几乎都还处于起步阶段，一个很菜的黑客可以通过网上的工具随便黑掉N台服务器，而一个最基本的防护软件也可以阻止N多所谓的“黑客”。就这样，硬是凭着当时国内唯一的防火墙软件，顶住了2000年那场中美黑客大战（后来才知道，黑客大战期间，中央电视台和<STRONG>人民日报</STRONG>的网站被国外黑客列为“必须攻破的网站”，攻击高峰期3分钟都有一次，却因有天网的硬件防火墙守护着，两个重点网站一直安然无恙）。<BR><BR>随着时间的推移，我开始研究国外的防火墙，用过LOCKDOWN、ZA、OP、LNS等防火墙，总的来说，国外防火墙发展较早，因此有些地方比较完善，但是对于国内用户来说，存在三个必须跨越的障碍：一是国内硬件水平落后于国外，因此我们在使用国外防火墙的时候总会觉得系统有点力不从心；二是大部分国外防火墙缺少中文版本，而打那些汉化补丁，又影响了软件的稳定性；三是国外软件的设置习惯都是根据外国人的习惯作为蓝本的，以至于国内用户用起来很不顺手。在仔细的权衡下，我最终又回归到了天网防火墙的用户群中，这时候，天网已经是2.6的版本号了。<BR><BR>总结一下使用防火墙需要注意的几点：<BR><BR>1、&nbsp; &nbsp;&nbsp; &nbsp;&nbsp;&nbsp;防火墙就像看门狗，如果你没钱装防盗门（硬件防火墙），那么养个狗是不错的选择：）<BR>2、&nbsp; &nbsp;&nbsp; &nbsp;&nbsp;&nbsp;狗多了并不是好事，两个狗一起会经常打架，所以不要装多个防火墙，除非你想系统冲突导致崩溃。<BR>3、&nbsp; &nbsp;&nbsp; &nbsp;&nbsp;&nbsp;食量很大的狗不是普通人就能养的起的，因此建议装个节省资源的防火墙，除非你的内存实在大得可以当硬盘：）<BR>4、&nbsp; &nbsp;&nbsp; &nbsp;&nbsp;&nbsp;一条灵敏的狗胜过N条蹩脚的狗，如果防火墙的处理速度不够快，当通过系统的数据包很多的时候，就要严重影响系统效率了，甚至彻底死机。<BR>5、&nbsp; &nbsp;&nbsp; &nbsp;&nbsp;&nbsp;养一条不听话的藏獒还不如养一条容易驾驭的家犬，防火墙也是一样，易用性决定你是否能轻易驾驭它。</FONT></FONT></DIV>
<DIV class=t_msgfont>&nbsp;</DIV>

[[i] 本帖最后由 ngc0717 于 2008-9-7 11:44 编辑 [/i]]

sytgos 发表于 2008-1-7 12:40

老大,字太小了,有权限的给编辑下吧,看起来很费力啊!

xng1007 发表于 2008-1-8 13:32

说的好！支持！:@2# :@2# :@2#

YOCCA 发表于 2008-1-9 01:41

很好～
那么我们需要什么防火墙呢？或者说卡巴KIS7.0（个人在用）和哪一个防火墙是绝配呢？我很想知道。。。。高人们说说。。。谢谢咯

hust_qilin 发表于 2008-1-10 13:03

了解了，一直用的是金山的防火墙。天网的防火墙是蛮牛的<IMG alt="" src="http://www.kpchina.net/bbs/images/smilies/default/14.gif" border=0 smilieid="43">

竹节 发表于 2008-1-11 05:11

xp自己带个防火墙，卡巴本身就有个防火墙功能吧？

219399 发表于 2008-1-12 19:11

学到东西了...就是字小了点:@19#

zhangjun1156 发表于 2008-1-16 10:34

谢谢楼主的苦心支持下，介绍的很详细，很不错。

sty01 发表于 2008-1-16 15:15

谢谢了,我不需要的,有杀毒软件就行了&gt;<IMG alt="" src="http://kpchina.net/bbs/images/smilies/default/27.gif" border=0 smilieid="56">

宁波 发表于 2008-1-17 14:03

介绍的很详细，很不错。谢谢楼主:@9# :@11# :@16#

w5niuer 发表于 2008-1-19 16:12

天网和卡巴配合好么？:@1# 求教啊老大

honghezx 发表于 2008-1-19 19:21

谢谢了,不看不知道,一看趄有用,:@5# :@5# :@5# :@5# :@5# :@5# :@5#

Shining 发表于 2008-1-24 15:42

金山arp防火墙使用中。。。。。。。。
效果还行，灵敏度一般。。。。

wyyhuo 发表于 2008-1-25 15:33

想知道老大用哪个防火墙

老大在用哪个防火墙呢?能不能给俺们说说,介绍下?

ZJP 发表于 2008-2-1 22:06

听君一席话，胜读十年书。不错的说法，谢谢楼主。

eeextg 发表于 2008-2-5 20:21

谢谢老大！！！噢噢噢噢噢噢噢噢噢
:@9# :@9# :@9# :@9#

waterwater 发表于 2008-2-6 00:44

文章倒是不错,就是可惜字小了点...:@2# :@2# :@2#

じ殇№伤√ 发表于 2008-2-13 21:21

:@2# 强烈要求楼主把字整大点  :@7# 密密麻麻的  偶都没看得仔细

竹节 发表于 2008-2-20 01:46

看了这个贴，我对杀毒软件和防火墙的区别有了新的解了。一直没有安防火。XP自带的，认为就可以了。看来我得安天网了。
这个贴子够精品了。
谢谢！

蜃景 发表于 2008-3-1 21:28

学习了，一直都有在使用防火墙。:@11# :@11#

saintgermain 发表于 2008-3-3 07:15

原来一直使用天网+kav5，现在转用kis7，kis7确实麻烦许多，效果还没比较:@18#

yuanyeybfq 发表于 2008-3-5 22:13

说的好！支持,可是用什么防火墙好啊 介绍介绍啊

捞哥哥 发表于 2008-3-6 01:56

我家机子啥也不装```有本事你们就来攻击```你们一攻，机子一卡，老子就断网````哈哈```没法```2002版的XP1  联想机子是这样的啦````内存才128   不过后来我换了个256   还是一样卡```杀毒都不敢装```游戏不敢玩````上上网站就算了```郁闷

86039051 发表于 2008-3-6 09:33

说的好！支持！学习了

leifei5279499 发表于 2008-3-10 10:45

写的不错啊

jack_sue 发表于 2008-3-10 23:23

是啊  楼主  谢谢了   就是字小了点  有点累啊   再次说声谢谢

mf12530 发表于 2008-3-11 14:08

支持一下 顶一下

xjp 发表于 2008-3-11 16:32

学习了，谢谢分享哦~~~

LIN135392 发表于 2008-3-16 23:33

谢谢楼主的介绍,还是那句话,字太小,看了眼睛不舒服!:@10#

qsx 发表于 2008-3-25 11:28

太好了，感谢楼主分享  这才是最好用的，强烈支持发帖，谢谢推荐!!

米克尔 发表于 2008-3-25 23:00

看的好累啊，呵呵
字体大一点就好了，只看了最后的总结。

侠客行2008 发表于 2008-4-6 21:38

通俗易懂,不错不错

yuer567358 发表于 2008-4-7 08:23

支持，学习后有感触。特别是总结别具一格。

mjj 发表于 2008-4-9 19:55

回复 1楼 的帖子

国产防火墙就是“养一条不听话的藏獒还不如养一条容易驾驭的家犬”还是不知道什么防火墙更好:@1# :@1# :@1# :@1# :@1# :@1#

一壶愁酒问月 发表于 2008-4-21 18:45

<P>受教了啊 </P>

ggs1208 发表于 2008-4-26 05:48

谢谢楼主的苦心支持下，介绍的很详细，很不错。

sd13236675652 发表于 2008-4-26 17:32

顶你

学习了．．．

hjyhjy1982 发表于 2008-4-28 10:04

通俗易懂！！

cy8255781 发表于 2008-5-2 17:53

天~~这个字看得我直接昏倒了~~没安上防火墙~~电脑还好但是我看我是挂了~~:@7# :@7# :@7#

yonggang 发表于 2008-5-3 14:24

字体确实有点小的说 ，看着那个累呀 ！

查看完整版本: 我们为什么需要防火墙，需要什么样的防火墙