關(guān)于防火墻一直存在爭(zhēng)議 。 許多訪問(wèn)提供者都不愿意使用防火墻，他們認(rèn)為防火墻會(huì)影響網(wǎng)站的打開(kāi)速度等 。 但是，此問(wèn)題僅存在于傳統(tǒng)防火墻中 。 傳統(tǒng)防火墻主要抵御各種攻擊 。 防火墻可以提供客戶端防御和網(wǎng)絡(luò)保護(hù)，這不僅有用，而且是必需的 。
傳統(tǒng)防火墻擅長(zhǎng)的攻擊
傳統(tǒng)的防火墻只能阻止或允許特定的IP地址和端口，并且可以保護(hù)的東西非常有限 。 最常見(jiàn)的應(yīng)用場(chǎng)景是防止未經(jīng)授權(quán)的用戶或惡意軟件連接到不受保護(hù)的監(jiān)視服務(wù)或守護(hù)程序 。 即使忽略路由器在IP /端口過(guò)濾方面的超高效率，攻擊的時(shí)間和類型也已改變，并且傳統(tǒng)的防火墻現(xiàn)在基本上已無(wú)用 。
二十年前，防止未經(jīng)授權(quán)的連接很有意義 。 大多數(shù)計(jì)算機(jī)保護(hù)不力，并且密碼較弱 。 它們不僅充滿漏洞，而且經(jīng)常開(kāi)放的服務(wù)允許任何人登錄或連接 。 發(fā)送格式錯(cuò)誤的網(wǎng)絡(luò)數(shù)據(jù)包可以擺脫普通服務(wù)器的干擾，只有在管理員尚未設(shè)置具有允許匿名連接的管理員權(quán)限的遠(yuǎn)程服務(wù)時(shí)，才需要這樣做 。 如果設(shè)置了這種遠(yuǎn)程管理服務(wù)，則基本上可以使用 。 隨意進(jìn)入服務(wù)器 。 至于Windows的匿名NETBIOS連接，在Windows XP默認(rèn)禁止它之前15年來(lái)，它一直是黑客的寶貴資產(chǎn) 。
如果您的防火墻僅用于阻止未經(jīng)授權(quán)的IP地址或協(xié)議，則路由器將變得更好，更快 。 計(jì)算機(jī)安全行業(yè)的座右銘是：“首選最快，最簡(jiǎn)單的方法 。 ”這是事實(shí) 。 如果某些東西可以用更快，更高效的設(shè)備阻止，則將該設(shè)備用作您的第一道防線 。 這樣可以更快，更高效地消除您不需要的更多流量 。 路由器的“上層”代碼比防火墻的代碼少得多，并且規(guī)則列表更短 。 路由器的條件決策周期比防火墻快幾個(gè)數(shù)量級(jí) 。 但是，在當(dāng)今的威脅環(huán)境中，很難說(shuō)是否需要阻止這些未經(jīng)授權(quán)的連接 。
防火墻最擅長(zhǎng)防止未經(jīng)授權(quán)的遠(yuǎn)程連接來(lái)監(jiān)視服務(wù)，從而可以防止攻擊者利用緩沖區(qū)溢出來(lái)控制連接后對(duì)計(jì)算機(jī)的控制 。 這是防火墻誕生的主要原因 。 有缺陷的服務(wù)太普遍了，已被視為規(guī)范 。 諸如Shockwave和Slammer蠕蟲(chóng)之類的惡意程序使用這些服務(wù)在幾分鐘之內(nèi)席卷了整個(gè)世界 。
當(dāng)前的服務(wù)還不那么脆弱 。 如今，編程語(yǔ)言的程序員默認(rèn)使用檢查緩沖區(qū)溢出的方法 。 用于阻止傳統(tǒng)漏洞利用方法的其他操作系統(tǒng)計(jì)算機(jī)安全措施也非常擅長(zhǎng)于此 。 Microsoft每年在其產(chǎn)品線中發(fā)現(xiàn)130-150個(gè)漏洞 。 自2003年以來(lái)，已發(fā)現(xiàn)約2000個(gè)漏洞 。 但是只有5-10個(gè)僅用于遠(yuǎn)程使用 。 在同一時(shí)期，Apple和Linux機(jī)器具有更多漏洞，但只能遠(yuǎn)程利用的漏洞所占的比例是相同的 。
必須明確：盡管有數(shù)百種易受攻擊的服務(wù)可用，但幾乎所有服務(wù)都需要本地最終用戶采取某種措施來(lái)發(fā)起攻擊 。 單擊惡意鏈接或訪問(wèn)鏈接到馬的網(wǎng)站 。 為什么本地用戶必須參加？因?yàn)橹挥挟?dāng)最終用戶這樣做時(shí)，才能創(chuàng)建“允許的”入站連接，然后將另一個(gè)“允許的”入站連接返回到用戶計(jì)算機(jī)是合乎邏輯的 。 如今，幾乎所有攻擊都是“客戶端”攻擊，防火墻不擅長(zhǎng)阻止此類連接 。

文章插圖
端口阻塞不再有效
每個(gè)服務(wù)使用其自己的固定TCP / IP端口時(shí)間段，例如對(duì)于FTP為21/22，對(duì)于SMTP為25 。 這樣，傳統(tǒng)防火墻就更有用 。
如今，世界上大多數(shù)網(wǎng)絡(luò)流量都使用端口80（HTTP）和443（HTTPS），并且越來(lái)越多的情況將僅使用后者 。 在接下來(lái)的幾年中，那些尚未占用端口443的網(wǎng)絡(luò)流量將減少為443 。 如果一切都綁定到幾個(gè)端口，端口阻塞的目的是什么？不僅如此，HTTPS的默認(rèn)加密功能還使流量過(guò)濾更加難以執(zhí)行 。

• 導(dǎo)線的幾種連接方法和接線標(biāo)準(zhǔn)
• 銅線和鋁線的連接方法
• 存放和保存化妝品的技巧有哪些
• 預(yù)備離婚前如何和孩子相處,離婚前如何和雙方父母交流
• 星巴克芝士咸蛋黃蛋糕多少錢一個(gè),星巴克貓和老鼠同款奶酪蛋糕好吃嗎
• 相親怎么和女孩子聊天
• 和相親對(duì)象微信聊什么話題
• 高血壓吃什么水果和蔬菜降壓最快 一個(gè)月高血壓吃什么降壓最快
• 胡歌和薛佳凝的分手原因 薛佳凝和胡歌怎么回事
• 馬龍和張繼科哪個(gè)榮譽(yù)多 馬龍和張繼科哪個(gè)厲害