为什么需要防火墙

　　介绍
　　随着对Internet和windows NT日益浓厚的兴趣，网络安全已成为世界上各个公司主要关心的问题。破坏公司网络安全所需的信息和工具随处可得，这一事实更增加了对这个问题的关注。
　　由于增加了网络管理员对网络安全的注意，他们常常要做更多的尝试在保护网络而不是在实际的网络设置和管理上。侦测系统漏洞的新工具，象分析网络的安全管理工具（SATAN），有助于这种尝试。但这些工具只能指出脆弱的位置而不能提供保护网络的方法。因此，在今天作为网络管理员，你要一直努力保持不落后于你所要面对的大量的安全问题。

　　连接Internet时遇到的安全问题
　　当你把私有网连接到Internet时，物理上你将自己的网络连接到了超过50，000个的未知网络和其所有用户上。在这些连接打开许多有用应用的方便之门和提供更多信息共享机会的同时，大部分私有网络包含有大量不应为Internet上其他用户共享的信息。此外不是所有Internet用户的行为是合法的。这两种情况预示了下面大部分Internet安全问题的关键。
　　· 怎样保护机密信息不被哪些不明确可以访问它的人访问？
　　· 怎样保护网络机器资源不受起源于网络外部的恶意用户和事件的侵扰？
　　下面小节描述围绕这两个问题的安全问题，介绍几种常见的攻击类型。
　　注意：当人们访问他们不应访问的信息时，或他们企图对网络或其资源作希望做的事时，我们成这样的企图为攻击。攻击是一种你不想遇到的行为或一种企图的行为。
　　保密信息存在于网络的两种状态中。他能存在于物理存储介质上，象硬盘或内存。他还可存在于以报文形式的物理网络线上的传输中。这两种信息表现多种来自你内部网络上用户攻击的可能，以及Internet上的那些用户。我们基本上关心的是第二种状态。他设计了网络安全问题。下面列表介绍了五种常见的攻击方法。这些方法表现了危机你网络上信息的可能。
　　· 网络报文嗅探（sniffer）
　　· IP spoofing
　　· 密码攻击
　　· 内部敏感信息到外部的分发
　　· man-in-the-middle攻击
　　当你关心保护信息免受攻击时，你会关心防贼，防破坏，放干扰，放信息使用。这些后果能导致敏感、保密信息不可挽回的损失。下面，我们描述这些常见的攻击方法，提供信息是如何受到威胁的例子。
　　网络报文嗅探
　　由于连网的计算机序列化的通讯（一个信息块接着一个地传），大信息块分割成较小的快。（信息流分割成更小的块即使网络并行地通讯，把流分割成网络报文的原因是计算机只有有限的中间缓冲区。）这些更小的块称为网络报文。当前，windows NT明文分发网络报文；通过网络传送的信息不加密。由于网络报文没有加密，他们可为任何能从网络上截获处理的应用者所处理、理解。
　　网络协议规定报文如何定义标识，它能使计算机决定某一报文是否是他所要的。由于网络协议的规范，象TCP/IP是广泛公开的，第三方很容易解释网络报文，开发报文嗅探器。报文过滤器是通过用户把网络适配器设置成混杂模式（在该模式下网络适配器能发送所有物理网络线上的报文给应用程序处理）以捕获所有通过局域网发送的网络报文。
　　由于windows NT明文发送网络报文，报文嗅探器可以提供给其用户有意义的通常是敏感的信息，比如用户帐户名和密码。如果你使用网络数据库，报文嗅探器可提供数据库查询到的信息给用户，同样包括访问数据库的用户账号名和密码。更严重的是获得的用户账号名和密码通常是用户在多个应用中重复使用的注册名和密码。
　　此外，许多网络管理员使用报文嗅探器诊断、修复网络相关问题。由于其职责，他们能潜在地检测到网上的敏感信息。
　　许多用户使用单个密码访问所有的账号和应用程序。如果应用程序是在客户服务器模式下运行而且认证信息是通过网络明文传送，那么很可能同样的认证信息可用来获得其他共同资源。因为攻击者知道使用个人特征，象多个账号使用单一密码，他们通常可成功地获得敏感信息的访问。