2007年5月29日 星期二

防火牆(Firewall)的使用

我們知道所有事物都具有一體兩面的特性,這一點應該不用再多加論述,無論是防毒軟體、作業系統或應用程式,都具備如此的特性

今天我們就來談談防火牆的實際應用吧!不過有件事筆者要先說明,就是我僅對應用層面來分享我的感受(其實是因為沒有用過多高階的產品!哈...),至於原理部份,我怕筆者能力不夠反而影響真實的求知者,所以內容可能會有所偏重

現在的大多數人常用的Windows系統(WIN XP),其實本身都已經有內建簡易的防火牆功能,如果你有安裝其他具備防火牆能力的防毒軟體時,通常它都會自動將原先內建的防火牆停用,以免造成判斷的規則前後矛盾或有所錯誤,甚至原本能夠使用的網路服務,有可能因此失效

筆者最早使用的防火牆系統,其實是在Windows中內建防火牆之前,一家ZA的防火牆軟體,也是從那時候開始,才真的看清了危險的網路環境(因為短短的一個小時就可以攔截到上千次的偵測)

同時,也因為現在網路上釋出太多相關的駭客軟體,使得許多使用者在有意或無意的狀況下成了掃描別人的跳板(先前筆者也有發現自己信箱成了測試他人是否為有效信箱的跳板),所以這防火牆的設定更是防不勝防

不過,愈是嚴密的防火牆,在使用上的便利性也相對變低

舉個例子來說,如果你有用IM的通訊軟體(MSN、SKYPE...等),在早期就要針對每種不同的通訊軟體,開給它們特定的PORT號,否則無法與其他人接軌

因為防火牆對於這一部份的限制太多,現在的IM軟體都已經有了80 PORT的穿透性,也就是說你只要能上網流覽網頁,這些IM的通訊軟體就能夠運行,不過這樣子也相對的降低了防火牆應有的優點與特性,針對PORT號開啟的部份,可以參考筆者先前所寫的網路攻防戰中的內容

可是,不用防火牆的話,對於原本就是要負責多工的作業系統,還要疲於應付外來的測試與攻擊,有可能會影響正常的工作進度

再說個嚴重一點的狀況,就是軟體的漏洞每天都在發生與增加,雖然許多軟體都有自動UPDATE的功能,但是再還們輪到你自動更新的期間,如何能擔保自己的系統不會在這時期被入侵,甚至癱瘓,這些都是許多IT人員頭痛的課題

不過坊間有許多硬體與軟體的防火牆,其實最大的差別是什麼呢?

在我看來無論是硬體還是軟體,其實更明確的說法,我覺得應該只是在那個層面攔阻可能的入侵與攻擊而已,下面是我對於軟硬體防火牆的認知,如有錯誤或遺漏,還請各位指教

硬體防火牆:
說穿了只是它把相關的功能燒死在設備上,不再需要其它的作業系統即可運行,如此一來要解決的問題比較單純,效率也高得多,不過建構成本與人數及網路使用量的多寡,有極大的關係,除此之外,只要一台失效就全盤皆輸

軟體防火牆:
需要建構在原先的作業系統上,可單獨針對不同特性的使用者,各別調整,可調配性較高,但是建構及維護的時間較長,管理統整上有其不便,雖然可以藉由AD環境來統合,但是仍會發生許多未知的錯誤(通常與使用者習慣有關)

無論是使用那一種模式的防火牆都有它的優缺點,但是,別把防火牆跟防毒軟體混為一談,因為防火牆主要只是阻擋一些不應該運行的服務與通道,而不是能夠救援或清除電腦問題的方法,所以它是最前線,但卻也是最容易受人所忽略的部份,相對的建構所需的認知也較為繁雜

所以,新手使用者,可能要多試多觀察,才能找到適用於自己使用的工作環境!