作者:劉醇瑞
 

就在Judy逛完3C賣場的隔天,聽完店員解說安全軟體的她仍然一頭霧水,趁著休息時間,趕忙向小戴求助。

Judy 「小戴,現在市面上的個人電腦防護軟體,都強調防毒防駭,防毒我懂,但防駭是怎麼一回事呢?」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
小戴 「像這類產品就表示它除了防毒之外,也納入了防火牆的功能。雖然防火牆大家早已耳熟能詳,但多數人對其功能仍一知半解,也因此業者就直接以防駭客作為產品賣點。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Judy Judy緊迫盯人:「那究竟防火牆的定義是什麼?它和防毒軟體之間的關係又為何?」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
小戴 小戴不慌不忙解釋:「防火牆是一個軟體或硬體裝置,會檢視每一個經過的網路內容(封包),並依據事先定義好的規則決定放行與否。你可以把防火牆想像成把守國境的海關,而防毒軟體則是機場內的安檢人員。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Judy Judy不解:「可是這類裝置不是應該在公司的機房裏嗎,為什麼會出現在個人電腦上呢?」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
小戴 「早期來說,由於其價格及複雜性,再加上當時的攻擊多數來自於外部,因此才會佈署於企業網路的入口。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
老張 一旁的老張隨口說出:「就如同一般房屋的保全系統,主要的資源都集中於大門。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Judy Judy激動:「那怎麼夠呢,如果房屋的入口不只一處,或是大門被突破,甚至是屋子裏有內賊,不就沒輒啦!」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

老張 「完全正確,所以最好的方法就是,在每個房間或重要資產處也設置保全系統。這也是資安上所強調的縱深防禦,利用多種階層及控管方式,避免單一防護失效情形。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

小戴 小戴推推眼鏡:「Judy提到的內賊十分有意思,現今的攻擊越來越複雜,有許多都源自企業內部。同時隨著價格及技術的演變,導致越來越多個人電腦開始加裝防火牆軟體。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Judy 「儘管如此,個人電腦與企業用的防火牆還是有所不同吧?」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
小戴 小戴點點頭:「個人防火牆只會檢查自己電腦的網路行為,同時多半還會納入一些應用程式系統的監控。實際在運作時,往往需要更多使用者的介入(也就是常常會跳出視窗,詢問你要如何處置)。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
老張 「那一般使用者該如何加以選擇呢?防毒軟體和防火牆是否應該使用同一品牌之產品。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
小戴 「其實這倒沒有絕對的準則,採用同一品牌之套裝軟體,通常具有良好的相容性,在操作界面上也較為一致,但在防禦能力上未必會較為突出。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Judy 「聽你這麼說,莫非…..」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
小戴 小戴笑著說:「沒錯,其實目前已經有一些免費又好用的軟體,如果是家庭用戶,或是沒有集中管理需求的中小企業,這些免費防火牆已經相當足夠。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
老張 老張詢問:「你有推薦的口袋名單嗎?」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
小戴 「當然囉,像是ComodoPC Tools這兩家公司的產品,都經常在社群上被推薦,同時在國外所進行的同類產品評比中,它們的防護能力也名列前茅呢。」

免費個人防火牆軟體PC Tools Firewall Plus
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Judy Judy驚嘆:「哇,這套防火牆不但免費,又是中文的,安裝完後就高枕無憂了!」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
小戴 小戴搖搖頭:「沒這麼簡單,雖然個人防火牆不像企業用的如此複雜,但仍須具備一些管理及設定的知識。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Judy Judy埋怨:「怎麼這麼麻煩呀。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
小戴 「這是因為個人防火牆著重於電腦本身的活動監控。對它而言,任何活動在一開始並沒有對錯之分,它所能做的只是忠實的反應,並等待使用者做出是否放行的判斷。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Judy 「『可以這樣嗎?可以那樣嗎?』這看起來簡直就是一個不斷發問的程式嘛!」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
小戴 小戴微笑:「的確,許多使用者往往在遇到幾次詢問之後,便因為無法判斷或嫌麻煩,而任意放行。但如此一來,就失去了安裝防火牆的意義。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
老張 老張皺眉:「不過對於沒有系統概念的一般使用者而言,要能正確的理解並做出判斷本來就不容易。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
小戴 「這是有訣竅的唷,關鍵在確認訊息中的三個要素,也就是『來源』、『動作』與『目的』。像是在畫面中的範例,我們可以看到,防火牆詢問我們,是否允許SSH這個程式存取網路。」

防火牆詢問畫面範例
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Judy 「不過即使知道了這點,又該如何判斷此行為的合法性呢?」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
小戴 小戴回答:「防火牆的反應速度很快,一般來說,會在你進行某個動作後立即反應。因此我們需要判斷的就是,它所詢問的訊息是否與自己剛剛的動作相符,如果吻合,則可以安心放行。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Judy 「反過來說,如果明明就沒做什麼,卻跳出奇怪的程式要求連線,就應該提高警覺囉?」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
小戴 「沒錯,像這種情形就很有可能是木馬之類的程式,潛伏於系統之中。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Judy Judy鬆一口氣:「這麼說來,也沒這麼困難嘛。只不過如果是合法的程式,每次還要先確認,倒也會干擾操作。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
小戴 小戴安慰:「別擔心,對於那些可以信任的程式及行為,我們可以要求防火牆記住設定,下次便不會再跳出對話視窗啦!」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
老張 「看來只要多花一點心思,即使是免費的防火牆軟體也能發揮其功效,搭配防毒軟體和定期更新,共同捍衛個人電腦安全。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
 

個人防火牆的重點觀念:

整合的防毒及防火牆產品通常具有較佳的相容性及界面一致性
許多免費的個人防火牆已經具有相當優異的防護能力,不需過度迷信大廠牌付費軟體
防毒與防火牆之間的關係,有如機場海關與安檢人員,兩者相輔相成
確認防火牆訊息中的來源、動作與目的,並加以判斷,才能真正發揮其功效
   
經濟部中小企業處 主辦 中華民國資訊軟體協會 執行

Copyright © 2008 Information Service Industry Association of R.O.C. All Rights Reserved.
版權所有,禁止侵害,違者必究