第二十五章 防火牆和個人安全

現在的互聯網可是越來越糟糕。懂黑客技術的人數雖沒什麼太大的增長，但是會用黑客工具的一些無聊之人倒是越來越多。稱這些行為為黑客入侵很牽強，但是有些時候還是挺煩人的。據Worldtalk公司的最新調查表明：現在每1000封電子郵件中，就有一封攜帶病毒，其中包括黑客施放的特洛伊木馬程序。遺憾的是，大部分的普通網民，不具備反黑技術，就猶如赤條條遊行於茫茫網海中，自然而然成為黑客的"造訪"對象，甚至有的人長期處於黑客監視之下自己卻全然不知。這種情況有辦法避免嗎？答案是有。而且辦法很多，例如拔掉網線；不下載和運行任何可執行文件等等！但這些方法都是很消極的。其實隻要使用防火牆就可以抵擋住絕大部分這些所謂黑客的攻擊了。

先讓我們來大致了解一下防火牆是什麼樣一個東東吧。說句實話現在還是有很多網民分不清防病毒軟件和防火牆。其實這是兩個完全不相幹但是相輔相成的東西。一個好的防病毒軟件確實是在線安全不可或缺的部分，但是也是很小的一個部分。它能夠通過檢測病毒和類似的問題保護你，但是它們對防範黑客、對帶有惡意的"合法"程序卻無能為力。另外，防火牆對於病毒一類的程序完全沒有防範能力，尤其是那些帶有惡意的悄悄地向你的機器發送或提取數據的程序。這時候防病毒軟件就有了用武之地。今天我們所說的防火牆大致分為兩種：狀態檢測型的；代理型的。

狀態檢測型的防火牆：

在Internet上傳輸的基本上是IP包，防火牆都是對IP包進行過濾的，TCP、UDP、ICMP等都是封裝在IP包之內的，所以基於IP包過濾的防火牆能夠很好的控製進出站的TCP、UDP、ICMP包。IP包通過基於包過濾方式的防火牆時並沒有被隔斷（這是與PROXY的最大區別），過濾的法則隻能控製某個IP包能否進或出。配置基於包過濾方式的防火牆，需要對IP、TCP、UDP、ICMP等各種協議有一定程度的了解（最好還是深入了解為好，不然出錯幾率很大）。

代理型的防火牆：

這些也許更為大家所熟悉。IP包在防火牆中是斷開的，當內部網絡向外部網絡申請一個連接時，PROXY截斷了這個申請，並以自己的身份向目標申請連接，最後把結果返回內部網絡。我所見過的PROXY（代理）有HTTP，HTTPS，FTP，TELNET，SMTP，SOCK等等。SOCK代理能用於任何應用，但必須在CLIENT端加裝SOCK CLIENT，這在WINDOWS下很容易實現，但是在UNIX中就有點麻煩了。而且SOCK PROXY還和一些應用不兼容----微軟建議：不要把EX NGE SERVER和MS PROXY CLIENT端裝在一台NT機上。