1. 防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。
  2. 防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。

网络防火墙和病毒防火墙的差别

病毒防火墙

所谓的“病毒防火墙”其实和网络防火墙不是一个范畴的东西,确切的说,它应该被称为“病毒实时检测和清除系统”,是反病毒软件的工作模式之一。当它运行的时候会把病毒特征的监控程序驻留在内存中,随时查看系统运行中是否有病毒迹象;一旦发现有携带病毒的文件,就会马上激活杀毒处理模块,禁止带毒文件的运行或打开,再进行查杀,以此监控用户系统不被病毒感染。 其实这种病毒实时监控软件也出现了很久远的历史了,早在DOS时代,Norton 和微软就已经出过类似的产品,不过它们都不称为“Firewall”。在Norton中这被称为“Virus Auto-Protect”就是病毒自动监控保护的意思。所以实际上,病毒防火墙不是说对网络应用的病毒进行监控,而是对所有的系统应用软件进行监控,由此来保障用户系统的“无毒”环境。

网络防火墙

  1. 网络防火墙是一种控制用户计算机网络访问的软件。通过对它的各种规则设置,使得合法的链路得以建立,同时非法连接被禁止,并通过各种手段屏蔽用户隐私信息,保障网络访问安全。网络防火墙只对有网络访问的部分应用程序进行监控,所有网络流量都必须通过防火墙规则匹配,利用网络防火墙可以有效管理用户系统的网络应用,使其不受各种非法攻击伤害。
  2. 不过,由于目前许多病毒都是通过网络方式进行传播,在此情况下,范畴不同的两种产品有了交叉应用的可能。网络防火墙可以切断病毒访问,无论病毒如何变形、变种,只要它需要通过网络传播,都无法逃离防火墙的控制。与此同时,一些网络入侵特有的后门软件(如木马)也被列入“病毒”之列,从而可以被“病毒防火墙”所监控并清除。从这样的趋势来看,反病毒产品和网络安全产品一定会有交叉融合的可能。

嘶吼RoarTalk - 解析现代防火墙如何分析网络流量

现在,防火墙通常与防病毒软件集成在一起,因此在数据包分析中涉及更多的逻辑来防御主机免于木马,rootkit以及其他类型病毒的攻击。

Windows的防火墙体系结构

有多种方式可以监视Windows中的网络流量。但是,Windows操作系统的通用防火墙体系结构由以下组件组成:

  1. 驱动
  2. 服务
  3. UI 应用

    1.Firewall 驱动

    监视网络的传统方法是实现网络驱动程序接口规范(NDIS)驱动程序,该驱动程序注册一个协议。新的网络协议在系统中注册,以便操作系统通过驱动程序中的协议处理函数中继所有网络流量。
    监视网络的现代方法是在驱动程序中注册Windows Filtering Platform子层。也就是驱动程序嵌入Windows防火墙体系结构以提供额外过滤的方式。
    防火墙可能还需要检测是否有其他协议自己注册,因此也需要监控协议注册。
    当流量通过驱动程序时,防火墙决定是否让它通过。如果检测到异常,防火墙应通知用户。但是,如果防火墙只是提供有关某些端口的特定传出数据包的原始信息,那么它对用户没有任何意义,因为没有上下文。
    用户关心的上下文是发送此数据包的进程,启动进程的模块以及模块的文件路径。因此,现代防火墙需要监控操作系统事件,从启动到结束进程,加载和卸载模块,并且能够在数据包在驱动程序中被过滤的时刻将这些信息链接到数据。因此,防火墙驱动程序还必须为系统事件注册通知处理程序。

    防火墙规则

    防火墙必须具备的下一步是规则。防火墙规则指定哪些进程的流量必须被阻止,哪些不能被阻止。用户可以创建防火墙规则,告诉软件对符合规则的入站和出站流量做出以下决策之一:
    · 允许连接
    · 只允许那些通过IPsec协议进行保护的连接
    · 阻止连接
    例如,防火墙可以允许来自可信网络的所有流量或允许来自任何IP地址的HTTP或SSH连接或阻止所有传入TCP和UDP流量。
    根据计算机、用户、程序和服务的需求,这套规则相当大。因此,规则通常由作为Windows服务实现的防火墙组件提供给驱动程序。

    2.Firewall 服务

    Windows服务控制过滤器驱动程序,可在运行时暂时禁用过滤或更新规则。有时,流量阻止和过滤逻辑被放入服务中,而不是在驱动程序中。在这种情况下,驱动程序充当事件提供程序,服务决定是否阻止流量,然后将此决定传递给驱动程序。使用这种方法,由于业务逻辑在用户模式下运行,测试业务逻辑将变得更加容易。
    但是,如果驱动程序要求服务做出决定的请求过多,则该服务可能成为整个操作系统的瓶颈。发生这种情况的原因是,作出决定的用户模式进程没有专用的CPU。因此,防火墙服务可能会被占用,驱动程序可能无法及时做出决定以释放其保持的流量。这可能会降低流量,并可能导致系统陷入瘫痪。

    3.Firewall UI 应用程序

    最后,防火墙需要用户界面来显示警报并让用户编辑规则。由于防火墙能够过滤流量,即使UI已关闭,也需要单独的应用程序来显示通知,这是通过服务进程实现的。此外,终止Windows服务进程比常规Windows应用程序更难,这正是UI的用途。
    下面,我们来看几个防火墙体系结构实例,来了解一下这些体系结构如何防范恶意软件。——但是下面的好难看懂啊,暂时不保存了。

    总结

    基于主机的防火墙是一项重要的安全工具,可以保护系统抵御各种病毒。清楚了解防火墙体系结构各组件的工作方式将有助于更好地配置防火墙以防止恶意软件的入侵。