论文部分内容阅读
在计算机上安装了防火墙之后就可以保护我们免于受到所有网络攻击,事实果真如此吗?
常规论调
防火墙可以监听所有的网络流量,阻挡没有经过安全端口进入计算机中的数据包。因此,防火墙可以帮助我们阻止一切网络攻击。
技术事实
防火墙通过监听网络端口保护系统。端口就像一道道门,负责控制、组织和引导进出系统的网络流量。为了阻止非法的数据包进入系统,防火墙基本上会关闭所有的端口,从而保证数据包只能通过被明确批准的端口。例如,众所周知的80端口负责传输所有的HTTP数据包,它必须时刻为浏览器打开,否则我们就完全没有办法浏览任何网页,然而这正是防火墙面临的最大隐患。
攻击者可以使用这种永久打开的端口侵入系统。其中,被利用最多的一个“技巧”就是跨站脚本攻击(Cross Site Scripting)。它通常会选择一个用户允许执行脚本命令的“无辜”网站发起攻击。例如,攻击者只需要在一个小小的广告中加入JavaScript代码,就可以通过这些恶意代码获取用户存储在Cookies文件中的个人账户数据等信息。攻击者获得这些信息后就可以侵入这些用户的网银、邮箱等账户,对于没有直接利用价值的账户信息,攻击者还会将其售卖给非法广告商。对于普通用户而言,防止这样的攻击是比较困难的,如果我们因此禁止浏览器执行JavaScript代码,那么大部分网页将无法正常显示,这无疑会得不偿失。因此,我们只能寄希望于各大网站的管理员对自己的网站安全性进行良好的维护,并且尽量不访问可能被植入恶意代码的无名小站。
除了上面提到的跨站脚本攻击之外,还有其他的攻击方式可以渗透软件防火墙。目前,大量的网络攻击者使用email附件、下载的软件或者视频文件传播恶意软件,或者直接攻击防火墙本身,通过合法的网络协议漏洞建立非法数据隧道,甚至修改防火墙配置来入侵系统。然而,注重安全的用户依然可以通过尽量访问可信任的网站和使用安全软件有效地为自己提供保护。因此事实非常清楚,防火墙不是万能的,我们需要有良好的上网习惯和安全意识。
防火墙可以保证安全
常见的网络攻击通过寻找开放的端口向计算机中渗透恶意程序。只要配置正确,防火墙在这种情景中是有效的。
防火墙无法保证安全
许多攻击使用始终处于开启状态的端口(比如负责HTTP访问的80端口)绕开防火墙。
常规论调
防火墙可以监听所有的网络流量,阻挡没有经过安全端口进入计算机中的数据包。因此,防火墙可以帮助我们阻止一切网络攻击。
技术事实
防火墙通过监听网络端口保护系统。端口就像一道道门,负责控制、组织和引导进出系统的网络流量。为了阻止非法的数据包进入系统,防火墙基本上会关闭所有的端口,从而保证数据包只能通过被明确批准的端口。例如,众所周知的80端口负责传输所有的HTTP数据包,它必须时刻为浏览器打开,否则我们就完全没有办法浏览任何网页,然而这正是防火墙面临的最大隐患。
攻击者可以使用这种永久打开的端口侵入系统。其中,被利用最多的一个“技巧”就是跨站脚本攻击(Cross Site Scripting)。它通常会选择一个用户允许执行脚本命令的“无辜”网站发起攻击。例如,攻击者只需要在一个小小的广告中加入JavaScript代码,就可以通过这些恶意代码获取用户存储在Cookies文件中的个人账户数据等信息。攻击者获得这些信息后就可以侵入这些用户的网银、邮箱等账户,对于没有直接利用价值的账户信息,攻击者还会将其售卖给非法广告商。对于普通用户而言,防止这样的攻击是比较困难的,如果我们因此禁止浏览器执行JavaScript代码,那么大部分网页将无法正常显示,这无疑会得不偿失。因此,我们只能寄希望于各大网站的管理员对自己的网站安全性进行良好的维护,并且尽量不访问可能被植入恶意代码的无名小站。
除了上面提到的跨站脚本攻击之外,还有其他的攻击方式可以渗透软件防火墙。目前,大量的网络攻击者使用email附件、下载的软件或者视频文件传播恶意软件,或者直接攻击防火墙本身,通过合法的网络协议漏洞建立非法数据隧道,甚至修改防火墙配置来入侵系统。然而,注重安全的用户依然可以通过尽量访问可信任的网站和使用安全软件有效地为自己提供保护。因此事实非常清楚,防火墙不是万能的,我们需要有良好的上网习惯和安全意识。
防火墙可以保证安全
常见的网络攻击通过寻找开放的端口向计算机中渗透恶意程序。只要配置正确,防火墙在这种情景中是有效的。
防火墙无法保证安全
许多攻击使用始终处于开启状态的端口(比如负责HTTP访问的80端口)绕开防火墙。