防火墻可阻止一切網絡攻擊?

在計算機上安裝了防火墻之后就可以保護我們免于受到所有網絡攻擊，事實果真如此嗎？

常規論調

防火墻可以監聽所有的網絡流量，阻擋沒有經過安全端口進入計算機中的數據包。因此，防火墻可以幫助我們阻止一切網絡攻擊。

技術事實

防火墻通過監聽網絡端口保護系統。端口就像一道道門，負責控制、組織和引導進出系統的網絡流量。為了阻止非法的數據包進入系統，防火墻基本上會關閉所有的端口，從而保證數據包只能通過被明確批準的端口。例如，眾所周知的80端口負責傳輸所有的HTTP數據包，它必須時刻為瀏覽器打開，否則我們就完全沒有辦法瀏覽任何網頁，然而這正是防火墻面臨的最大隱患。

攻擊者可以使用這種永久打開的端口侵入系統。其中，被利用最多的一個“技巧”就是跨站腳本攻擊（Cross Site Scripting）。它通常會選擇一個用戶允許執行腳本命令的“無辜”網站發起攻擊。例如，攻擊者只需要在一個小小的廣告中加入JavaScript代碼，就可以通過這些惡意代碼獲取用戶存儲在Cookies文件中的個人賬戶數據等信息。攻擊者獲得這些信息后就可以侵入這些用戶的網銀、郵箱等賬戶，對于沒有直接利用價值的賬戶信息，攻擊者還會將其售賣給非法廣告商。對于普通用戶而言，防止這樣的攻擊是比較困難的，如果我們因此禁止瀏覽器執行JavaScript代碼，那么大部分網頁將無法正常顯示，這無疑會得不償失。因此，我們只能寄希望于各大網站的管理員對自己的網站安全性進行良好的維護，并且盡量不訪問可能被植入惡意代碼的無名小站。

除了上面提到的跨站腳本攻擊之外，還有其他的攻擊方式可以滲透軟件防火墻。目前，大量的網絡攻擊者使用email附件、下載的軟件或者視頻文件傳播惡意軟件，或者直接攻擊防火墻本身，通過合法的網絡協議漏洞建立非法數據隧道，甚至修改防火墻配置來入侵系統。然而，注重安全的用戶依然可以通過盡量訪問可信任的網站和使用安全軟件有效地為自己提供保護。因此事實非常清楚，防火墻不是萬能的，我們需要有良好的上網習慣和安全意識。

防火墻可以保證安全

常見的網絡攻擊通過尋找開放的端口向計算機中滲透惡意程序。只要配置正確，防火墻在這種情景中是有效的。

防火墻無法保證安全

許多攻擊使用始終處于開啟狀態的端口（比如負責HTTP訪問的80端口）繞開防火墻。