果現在你的電腦被黑客入侵了，你的第一反應是什么？

相信很多人會選擇立馬關機，再不濟也要拔掉網線——事實上，很多對網絡安全有高度需求的組織采用的就是這種做法：即不通過任何方式與互聯網相連，使計算機處在一種實體隔離（Air-Gapped）的環境中。

但在安全領域的前沿研究里，已經有在斷網情況下仍能入侵電腦的手段了。

這種方法來自一篇7月15日公開發表的論文，研究者Mordechai Guri來自以色列，現任內蓋夫本-古里安大學網絡安全研發中心的研究主管。

具體如何做呢？

Guri采用的整體思路是：將計算機內部的電纜變成一個臨時天線，通過無線電波來傳輸數據。

他選取的是計算機內部一種叫做串行ATA（SATA）的電纜，這是一個廣泛用于現代計算機的總線接口，能夠將主機總線連接到大容量存儲設備，如硬盤驅動器、光驅和固態驅動器。

圖示：圖中紅色電纜為串行ATA（SATA）

找到了這根關鍵的“天線”，接下來就是讓它進行數據發射。

SATA接口本就是一個傳導發射源，Guri也通過實驗表明，SATA 3.0電纜在1GHz、2.5GHz、3.9GHz、6 GHz幾個不同的頻段可以發出電磁輻射。Guri就通過AI算法，使用一連串的讀寫操作，讓SATA接口發出6GHz左右的電磁輻射。

為了模擬真實的黑客攻擊，Guri還模擬開發了用于接收上述數據的“接收器”，他通過一個MATLAB腳本（一種數據分析以及數值計算的計算機編程語言）將筆記本電腦連接到一個軟件定義的無線電接收器，并在5.9GHz到6GHz的頻段內持續采樣輸出。

圖示：A為數據發射器（被入侵電腦），B為接收器（黑客電腦）

在接收到信息后，再進行原始的快速傅里葉變換（FFT，一種信號在時域和頻域之間的變換），就能提取出有效載荷。

比如Guri的這次實驗，就成功通過無線電波發送了數據，并最終接收并成功解碼了“入侵得到”地信息：一個單詞SECRET。

而在這一研究之前，Mordechai Guri已經發明過不少“新概念型”的攻擊方法，比如通過快速調節屏幕亮度、機器內的溫度變化、閃爍的電源LED來設法提取信息。

通過盡可能多地利用電腦中的不同組件作為發射器，來探索不同尋常的黑客攻擊手段，以此提前對多種隱蔽通道攻擊進行預防和保護對策。

對于這次的“電纜作天線”的攻擊方法，Guri就提出了兩種預防措施：

• 在軟件層面，使用多層安全系統：如防火墻、入侵檢測、預防系統、網絡流量分析和訪問控制機制

• 在物理層面，使用外部射頻監測機器來檢測計算機附近6GHz信號發射的異常情況。

采寫/編譯：南都見習記者楊博雯

義

所謂防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網關（Security Gateway），從而保護內部網免受非法用戶的侵入，防火墻主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成，防火墻就是一個位于計算機和它所連接的網絡之間的軟件或硬件。該計算機流入流出的所有網絡通信和數據包均要經過此防火墻。

在網絡中，所謂“防火墻”，是指一種將內部網和公眾訪問網(如Internet)分開的方法，它實際上是一種隔離技術。防火墻是在兩個網絡通訊時執行的一種訪問控制尺度，它能允許你“同意”的人和數據進入你的網絡，同時將你“不同意”的人和數據拒之門外，最大限度地阻止網絡中的黑客來訪問你的網絡。換句話說，如果不通過防火墻，公司內部的人就無法訪問Internet，Internet上的人也無法和公司內部的人進行通信。

作用

防火墻具有很好的保護作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標計算機。你可以將防火墻配置成許多不同保護級別。高級別的保護可能會禁止一些服務，如視頻流等，但至少這是你自己的保護選擇。

從類型上來說我們主要是分為兩種

網絡層防火墻

網絡層防火墻[3]可視為一種 IP 封包過濾器（允許或拒絕封包資料通過的軟硬結合裝置），運作在底層的 TCP/IP 協議堆棧上。我們可以以枚舉的方式，只允許符合特定規則的封包通過，其余的一概禁止穿越防火墻（病毒除外，防火墻不能防止病毒侵入）。這些規則通常可以經由管理員定義或修改，不過某些防火墻設備可能只能套用內置的規則。

我們也能以另一種較寬松的角度來制定防火墻規則，只要封包不符合任何一項“否定規則”就予以放行。現在的操作系統及網絡設備大多已內置防火墻功能。

較新的防火墻能利用封包的多樣屬性來進行過濾，例如：來源 IP地址、來源端口號、目的 IP 地址或端口號、服務類型(如 WWW 或是 FTP)。也能經由通信協議、TTL 值、來源的網域名稱或網段...等屬性來進行過濾。

應用層防火墻

應用層防火墻是在 TCP/IP 堆棧的“應用層”上運作，您使用瀏覽器時所產生的數據流或是使用 FTP 時的數據流都是屬于這一層。應用層防火墻可以攔截進出某應用程序的所有封包，并且封鎖其他的封包(通常是直接將封包丟棄)。理論上，這一類的防火墻可以完全阻絕外部的數據流進到受保護的機器里。

防火墻借由監測所有的封包并找出不符規則的內容，可以防范電腦蠕蟲或是木馬程序的快速蔓延。不過就實現而言，這個方法既煩且雜(軟件有千千百百種啊)，所以大部分的防火墻都不會考慮以這種方法設計。

XML 防火墻是一種新型態的應用層防火墻。

根據側重不同，可分為：包過濾型防火墻、應用層網關型防火墻、服務器型防火墻。

基本特性

（一）內部網絡和外部網絡之間的所有網絡數據流都必須經過防火墻

這是防火墻所處網絡位置特性，同時也是一個前提。因為只有當防火墻是內、外部網絡之間通信的唯一通道，才可以全面、有效地保護企業網內部網絡不受侵害。

根據美國國家安全局制定的《信息保障技術框架》，防火墻適用于用戶網絡系統的邊界，屬于用戶網絡邊界的安全保護設備。所謂網絡邊界即是采用不同安全策略的兩個網絡連接處，比如用戶網絡和互聯網之間連接、和其它業務往來單位的網絡連接、用戶內部網絡不同部門之間的連接等。防火墻的目的就是在網絡連接之間建立一個安全控制點，通過允許、拒絕或重新定向經過防火墻的數據流，實現對進、出內部網絡的服務和訪問的審計和控制。

典型的防火墻體系網絡結構如下圖所示。從圖中可以看出，防火墻的一端連接企事業單位內部的局域網，而另一端則連接著互聯網。所有的內、外部網絡之間的通信都要經過防火墻。

（二）只有符合安全策略的數據流才能通過防火墻

防火墻最基本的功能是確保網絡流量的合法性，并在此前提下將網絡的流量快速的從一條鏈路轉發到另外的鏈路上去。從最早的防火墻模型開始談起，原始的防火墻是一臺“雙穴主機”，即具備兩個網絡接口，同時擁有兩個網絡層地址。防火墻將網絡上的流量通過相應的網絡接口接收上來，按照OSI協議棧的七層結構順序上傳，在適當的協議層進行訪問規則和安全審查，然后將符合通過條件的報文從相應的網絡接口送出，而對于那些不符合通過條件的報文則予以阻斷。因此，從這個角度上來說，防火墻是一個類似于橋接或路由器的、多端口的（網絡接口>=2）轉發設備，它跨接于多個分離的物理網段之間，并在報文轉發過程之中完成對報文的審查工作。

（三）防火墻自身應具有非常強的抗攻擊免疫力

這是防火墻之所以能擔當企業內部網絡安全防護重任的先決條件。防火墻處于網絡邊緣，它就像一個邊界衛士一樣，每時每刻都要面對黑客的入侵，這樣就要求防火墻自身要具有非常強的抗擊入侵本領。它之所以具有這么強的本領防火墻操作系統本身是關鍵，只有自身具有完整信任關系的操作系統才可以談論系統的安全性。其次就是防火墻自身具有非常低的服務功能，除了專門的防火墻嵌入系統外，再沒有其它應用程序在防火墻上運行。當然這些安全性也只能說是相對的。

目前國內的防火墻幾乎被國外的品牌占據了一半的市場，國外品牌的優勢主要是在技術和知名度上比國內產品高。而國內防火墻廠商對國內用戶了解更加透徹，價格上也更具有優勢。防火墻產品中，國外主流廠商為思科（Cisco）、CheckPoint、NetScreen等，國內主流廠商為東軟、天融信、山石網科、網御神州、聯想、方正等，它們都提供不同級別的防火墻產品。

優點

（1）防火墻能強化安全策略。

（2）防火墻能有效地記錄Internet上的活動。

（3）防火墻限制暴露用戶點。防火墻能夠用來隔開網絡中一個網段與另一個網段。這樣，能夠防止影響一個網段的問題通過整個網絡傳播。

（4）防火墻是一個安全策略的檢查站。所有進出的信息都必須通過防火墻，防火墻便成為安全問題的檢查點，使可疑的訪問被拒絕于門外。

其他功能

除了安全作用，防火墻還支持具有Internet服務特性的企業內部網絡技術體系VPN（虛擬專用網）。

防火墻的英文名為“FireWall”，它是目前一種最重要的網絡防護設備。從專業角度講，防火墻是位于兩個(或多個)網絡間，實施網絡之間訪問控制的一組組件集合。

發展史

第一代防火墻

第一代防火墻技術幾乎與路由器同時出現，采用了包過濾（Packet filter）技術。下圖表示了防火墻技術的簡單發展歷史。

第二、三代防火墻

1989年，貝爾實驗室的Dave Presotto和Howard Trickey推出了第二代防火墻，即電路層防火墻，同時提出了第三代防火墻——應用層防火墻（代理防火墻）的初步結構。

第四代防火墻

1992年，USC信息科學院的BobBraden開發出了基于動態包過濾（Dynamic packet filter）技術的第四代防火墻，后來演變為目前所說的狀態監視（Stateful inspection）技術。1994年，以色列的CheckPoint公司開發出了第一個采用這種技術的商業化的產品。

第五代防火墻

1998年，NAI公司推出了一種自適應代理（Adaptive proxy）技術，并在其產品Gauntlet Firewall for NT中得以實現，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。

一體化安全網關UTM

UTM統一威脅管理，在防火墻基礎上發展起來的，具備防火墻、IPS、防病毒、防垃圾郵件等綜合功能的設備。由于同時開啟多項功能會大大降低UTM的處理性能，因此主要用于對性能要求不高的中低端領域。在中低端領域，UTM已經出現了代替防火墻的趨勢，因為在不開啟附加功能的情況下，UTM本身就是一個防火墻，而附加功能又為用戶的應用提供了更多選擇。在高端應用領域，比如電信、金融等行業，仍然以專用的高性能防火墻、IPS為主流。

文章與圖片皆來源于網絡，僅供學習交流，希望對大家有幫助。

想要在程序員生涯內有更高的成就的話，最最重要的是盡可能的提升自己的編程能力，并且，與其想著怎么去提升，不如從現在開始動手動腦，如果對于C/C++感興趣的話，可以關注+私信小編【C/C++編程】有一些視頻希望可以幫助到你，學習不怕從零開始，就怕從不開始。

、通過互聯網入侵某臺計算機。

2、通過U盤或移動硬盤入侵某臺計算機。

3、通過無線WIFI或藍牙入侵電腦。

無非就是這三種形式，倘若在沒有互聯網的情況下，哪怕是世界頂級的黑客想要入侵某臺電腦也是很難的事情。

在互聯網沒有正式普及的時候，大家還用著那著帶著軟驅的電腦，那時候的黑客是通過”軟盤“來制造病毒來侵入電腦。

到了互聯網時代，黑客入侵電腦的方法都是依靠網絡的，可以通過IP地址端口，服務器來入侵，這個是非常簡單的事情。

那么到了現在無線網絡時代，大家都用無線WIFI上網，使用無線藍牙技術，傳輸文件，黑客依然可以通過無線網絡入侵。

倘若沒有互聯網的情況下，黑客主要靠傳輸介質，"U盤”或“移動硬盤”來入侵電腦。

總結

總的來說，雖然沒有互聯網的電腦，黑客入侵沒有那么容易，但是還有無線傳輸設備，和U盤，這樣的傳輸介質，依然擋不住黑客的。