207
誰與爭鋒 軟件防火牆與硬件防火牆之爭
本文講的是 : 誰與爭鋒 軟件防火牆與硬件防火牆之爭 , 【IT168資訊】近日有讀者提問:你能解釋一下硬件防火牆與軟件防火牆有什麼區別嗎?據我所知,幾乎所有的路由器都隨帶內置防火牆,是不是說我確實也需要在自己的個人電腦上安裝防火牆軟件?
答複如下:在典型的家庭辦公室環境下,硬件防火牆和軟件防火牆可以執行互為補充的功能;結合使用可以提供比單獨使用更有力的保護。
先來說說硬件防火牆。
硬件防火牆很重要,因為它們提供了第一道防線,可以抵禦來自外界的幾種常見類型的攻擊。另外,它們一般幾乎不用什麼配置就能起到很好的效果,可以保護本地網絡上的每台機器。
典型寬帶路由器中的硬件防火牆使用一項名為數據包過濾的技術,這項技術可以分析數據包報頭,確定其源地址和目的地址。這些信息與一組預先定義的規則及/或用戶定義的規則進行比對,確定該數據包是不是合法的,因而再確定是允許進入還是拒之門外。
一種更先進的技術名為狀態數據包檢測(SPI),它會檢查數據包的另外特點,比如數據包的性質和實際來源(也就是說該數據來自互聯網還是來自本地網絡)、入站流量是不是現有出站連接(如網頁請求)的響應。
簡而言之,寬帶路由器中的硬件防火牆主要負責阻止外麵的不良流量進入。這種防火牆的局限性在於,它通常把從本地網絡傳送到互聯網的各種流量也當作是安全的,這有時候是個問題。
不妨考慮這種情形:你打開了一封電子郵件,或者訪問一個網站,裏麵含有一個隱藏的惡意程序,目的在於偷偷把自己植入到你的機器上(或者騙你安裝它),然後通過互聯網把信息發送出去--此舉可能是為了竊取你的個人數據,也可能是將你的機器當作分布式拒絕服務(DDoS)攻擊的僵屍機器。目前這是一種最常見的感染方法。
由於這類程序生成的流量貌似合法(畢竟它來自你的網絡內部),一般會被允許離開網絡。如果硬件防火牆經配置後,可以阻止經由惡意程序使用的某個或某些TCP/IP端口傳輸的出站流量,就可以阻止惡意流量;但是考慮到可能使用的端口有65000多個,無法確信這種性質的程序可能會使用哪些端口,所以阻止合適端口的可能性就微乎其微。
此外,阻止端口還阻止了在你的任何聯網個人電腦上運行的合法程序使用這些端口。比如說,如果硬件防火牆阻止了旨在從你的機器生成和發送垃圾電子郵件的某個惡意軟件,同時也就阻止了使用微軟Outlook或Mozilla Thunderbird的功能(因為它們都生成同一種流量:經由端口25傳輸的SMTP流量)。
再來說說軟件防火牆的優點。
這時候軟件防火牆的優點正好可以彌補硬件防火牆的不足。由於軟件防火牆直接在計算機上運行,它勢必能夠了解關於網絡流量的更多情況,而不是隻了解使用哪個端口、流量去向哪裏;它還知道哪個程序試圖訪問互聯網,該程序是合法程序還是惡意程序(軟件防火牆會查詢定期更新的數據庫,來確定這一點)。
根據這些信息,軟件防火牆可以允許或禁止程序收發數據的功能。如果防火牆對於該程序的性質不太確定,就會提示用戶進一步確認,之後才允許流量通過。
簡而言之,軟件防火牆能夠更深入地檢查惡意流量,及時攔截,以免它離開你的計算機。
軟件防火牆的主要缺點在於,它們隻能保護安裝了軟件防火牆的機器, 所以要用軟件防火牆來保護多台計算機,必須購買多套軟件防火牆(或多個許可證),安裝到每一台機器上,並逐一配置。這樣一來成本可能很高,管理起來也有難度,不過許多麵向企業的防火牆軟件的確提供了集中安裝和管理的功能。
值得一提的是,Windows 7和Vista中的內置防火牆在默認情況下不會自動阻止出站流量,它們隻會阻止入站流量。這是考慮使用第三方防火牆的原因之一,因為第三方防火牆在默認情況下一般就能處理入站流量和出站流量。(你得手動配置Windows防火牆來阻止出站流量,但對用戶來說不是很方便。)
這裏有一個好辦法可以概括硬件防火牆與軟件防火牆之間的區別。不妨把硬件防火牆當成是夜總會的看門人,他手持名單檢查每個來者的身份,確保他們收到了邀請函。另一方麵,軟件防火牆就好比是安保人員,確保沒有人偷偷熘進來,在裏麵搞些不適宜的活動,同時確保沒人把什麼東西偷偷帶出去。
最後更新:2017-10-10 15:03:35