0
FW
所谓防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,
防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的较少,例如国防部以及大型机房等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。
防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。
防火墙有不同类型。一个防火墙可以是硬件自身的一部分,你可以将因特网连接和计算机都插入其中。防火墙也可以在一个独立的机器上运行,该机器作为它背后网络中所有计算机的代理和防火墙。最后,直接连在因特网的机器可以使用个人防火墙。
当然,既然打算由浅入深的来了解,就要先看看防火墙的概念了。防火墙是汽车中一个部件的名称。在汽车中,利用防火墙把乘客和引擎隔开,以便汽车引擎一旦著火,防火墙不但能保护乘客安全,而同时还能让司机继续控制引擎。再电脑术语中,当然就不是这个意思了,我们可以类比来理解,在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。
防火墙是网络安全的屏障:
一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
防火墙可以强化网络安全策略:
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。
对网络存取和访问进行监控审计:
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
防止内部信息的外泄:
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。
除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN(虚拟专用网)。
防火墙的英文名为“FireWall”,它是目前一种最重要的网络防护设备。从专业角度讲,防火墙是位于两个(或多个)网络间,实施网络之间访问控制的一组组件集合。
防火墙在网络中经常是以下图所示的两种图标出现的。左边那个图标非常形象,真正像一堵墙一样。而右边那个图标则是从防火墙的过滤机制来形象化的,在图标中有一个二极管图标。而二极管我们知道,它具有单向导电性,这样也就形象地说明了防火墙具有单向导通性。这看起来与现在防火墙过滤机制有些矛盾,不过它却完全体现了防火墙初期的设计思想,同时也在相当大程度上体现了当前防火墙的过滤机制。因为防火最初的设计思想是对内部网络总是信任的,而对外部网络却总是不信任的,所以最初的防火墙是只对外部进来的通信进行过滤,而对内部网络用户发出的通信不作限制。当然目前的防火墙在过滤机制上有所改变,不仅对外部网络发出的通信连接要进行过滤,对内部网络用户发出的部分连接请求和数据包同样需要过滤,但防火墙仍只对符合安全策略的通信通过,也可以说具有“单向导通”性。
防火墙的本义是指古代构筑和使用木制结构房屋的时候,为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称之为“防火墙”。其实与防火墙一起起作用的就是“门”。如果没有门,各房间的人如何沟通呢,这些房间的人又如何进去呢?当火灾发生时,这些人又如何逃离现场呢?这个门就相当于我们这里所讲的防火墙的“安全策略”,所以在此我们所说的防火墙实际并不是一堵实心墙,而是带有一些小孔的墙。这些小孔就是用来留给那些允许进行的通信,在这些小孔中安装了过滤机制,也就是上面所介绍的“单向导通性”。
我们通常所说的网络防火墙是借鉴了古代真正用于防火的防火墙的喻义,它指的是隔离在本地网络与外界网络之间的一道防御系统。防火可以使企业内部局域网(LAN)网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。典型的防火墙具有以下三个方面的基本特性:
(一)内部网络和外部网络之间的所有网络数据流都必须经过防火墙
这是防火墙所处网络位置特性,同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道,才可以全面、有效地保护企业网部网络不受侵害。
根据美国国家安全局制定的《信息保障技术框架》,防火墙适用于用户网络系统的边界,属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的两个网络连接处,比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。
典型的防火墙体系网络结构如下图所示。从图中可以看出,防火墙的一端连接企事业单位内部的局域网,而另一端则连接着互联网。所有的内、外部网络之间的通信都要经过防火墙。
(二)只有符合安全策略的数据流才能通过防火墙
防火墙最基本的功能是确保网络流量的合法性,并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。从最早的防火墙模型开始谈起,原始的防火墙是一台“双穴主机”,即具备两个网络接口,同时拥有两个网络层地址。防火墙将网络上的流量通过相应的网络接口接收上来,按照OSI协议栈的七层结构顺序上传,在适当的协议层进行访问规则和安全审查,然后将符合通过条件的报文从相应的网络接口送出,而对于那些不符合通过条件的报文则予以阻断。因此,从这个角度上来说,防火墙是一个类似于桥接或路由器的、多端口的(网络接口>=2)转发设备,它跨接于多个分离的物理网段之间,并在报文转发过程之中完成对报文的审查工作。如下图:
(三)防火墙自身应具有非常强的抗攻击免疫力
这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。防火墙处于网络边缘,它就像一个边界卫士一样,每时每刻都要面对黑客的入侵,这样就要求防火墙自身要具有非常强的抗击入侵本领。它之所以具有这么强的本领防火墙操作系统本身是关键,只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能,除了专门的防火墙嵌入系统外,再没有其它应用程序在防火墙上运行。当然这些安全性也只能说是相对的。
目前国内的防火墙几乎被国外的品牌占据了一半的市场,国外品牌的优势主要是在技术和知名度上比国内产品高。而国内防火墙厂商对国内用户了解更加透彻,价格上也更具有优势。防火墙产品中,国外主流厂商为思科(Cisco)、CheckPoint、NetScreen等,国内主流厂商为东软、天融信、联想、方正等,它们都提供不同级别的防火墙产品。
防火墙的硬件体系结构曾经历过通用CPU架构、ASIC架构和网络处理器架构,他们各自的特点分别如下:
通用CPU架构
通用CPU架构最常见的是基于Intel X86架构的防火墙,在百兆防火墙中Intel X86架构的硬件以其高灵活性和扩展性一直受到防火墙厂商的青睐;由于采用了PCI总线接口,Intel X86架构的硬件虽然理论上能达到2Gbps的吞吐量甚至更高,但是在实际应用中,尤其是在小包情况下,远远达不到标称性能,通用CPU的处理能力也很有限。
国内安全设备主要采用的就是基于X86的通用CPU架构。
ASIC架构
ASIC(Application Specific Integrated Circuit,专用集成电路)技术是国外高端网络设备几年前广泛采用的技术。由于采用了硬件转发模式、多总线技术、数据层面与控制层面分离等技术, ASIC架构防火墙解决了带宽容量和性能不足的问题,稳定性也得到了很好的保证。
ASIC技术的性能优势主要体现在网络层转发上,而对于需要强大计算能力的应用层数据的处理则不占优势,而且面对频繁变异的应用安全问题,其灵活性和扩展性也难以满足要求。
由于该技术有较高的技术和资金门槛,主要是国内外知名厂商在采用,国外主要代表厂商是Netscreen,国内主要代表厂商为天融信。
网络处理器架构
由于网络处理器所使用的微码编写有一定技术难度,难以实现产品的最优性能,因此网络处理器架构的防火墙产品难以占有大量的市场份额。
防火墙配置有三种:Dual-homed方式、Screened- host方式和Screened-subnet方式。
Dual-homed方式最简单。 Dual-homedGateway放置在两个网络之间,这个Dual-omedGateway又称为bastionhost。这种结构成本低,但是它有单点失败的问题。这种结构没有增加网络安全的自我防卫能力,而它往往是受“黑客”攻击的首选目标,它自己一旦被攻破,整个网络也就暴露了。
Screened-host方式中的Screeningrouter为保护Bastionhost的安全建立了一道屏障。它将所有进入的信息先送往Bastionhost,并且只接受来自Bastionhost的数据作为出去的数据。这种结构依赖Screeningrouter和Bastionhost,只要有一个失败,整个网络就暴露了。
Screened-subnet包含两个Screeningrouter和两个Bastionhost。在公共网络和私有网络之间构成了一个隔离网,称之为”停火区”(DMZ,即DemilitarizedZone),Bastionhost放置在”停火区”内。这种结构安全性好,只有当两个安全单元被破坏后,网络才被暴露,但是成本也很昂贵。
第一代防火墙
第一代防火墙技术几乎与路由器同时出现,采用了包过滤(Packet filter)技术。下图表示了防火墙技术的简单发展历史。
第二、三代防火墙
1989年,贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙——应用层防火墙(代理防火墙)的初步结构。
第四代防火墙
1992年,USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamic packet filter)技术的第四代防火墙,后来演变为目前所说的状态监视(Stateful inspection)技术。1994年,以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。
第五代防火墙
1998年,NAI公司推出了一种自适应代理(Adaptive proxy)技术,并在其产品Gauntlet Firewall for NT中得以实现,给代理类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。
防火墙就是一种过滤塞(目前你这么理解不算错),你可以让你喜欢的东西通过这个塞子,别的玩意都统统过滤掉。在网络的世界里,要由防火墙过滤的就是承载通信数据的通信包。
天下的防火墙至少都会说两个词:Yes或者No。直接说就是接受或者拒绝。最简单的防火墙是以太网桥。但几乎没有人会认为这种原始防火墙能管多大用。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样:有的取代系统上已经装备的TCP/IP协议栈;有的在已有的协议栈上建立自己的软件模块;有的干脆就是独立的一套操作系统。还有一些应用型的防火墙只对特定类型的网络连接提供保护(比如SMTP或者HTTP协议等)。还有一些基于硬件的防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做防火墙,因为他们的工作方式都是一样的:分析出入防火墙的数据包,决定放行还是把他们扔到一边。
所有的防火墙都具有IP地址过滤功能。这项任务要检查IP包头,根据其IP源地址和目标地址作出放行/丢弃决定。看看下面这张图,两个网段之间隔了一个防火墙,防火墙的一端有台UNIX计算机,另一边的网段则摆了台PC客户机。
当PC客户机向UNIX计算机发起telnet请求时,PC的telnet客户程序就产生一个TCP包并把它传给本地的协议栈准备发送。接下来,协议栈将这个TCP包“塞”到一个IP包里,然后通过PC机的TCP/IP栈所定义的路径将它发送给UNIX计算机。在这个例子里,这个IP包必须经过横在PC和UNIX计算机中的防火墙才能到达UNIX计算机。
现在我们“命令”(用专业术语来说就是配制)防火墙把所有发给UNIX计算机的数据包都给拒了,完成这项工作以后,“心肠”比较好的防火墙还会通知客户程序一声呢!既然发向目标的IP数据没法转发,那么只有和UNIX计算机同在一个网段的用户才能访问UNIX计算机了。
还有一种情况,你可以命令防火墙专给那台可怜的PC机找茬,别人的数据包都让过就它不行。这正是防火墙最基本的功能:根据IP地址做转发判断。但要上了大场面这种小伎俩就玩不转了,由于黑客们可以采用IP地址欺骗技术,伪装成合法地址的计算机就可以穿越信任这个地址的防火墙了。不过根据地址的转发决策机制还是最基本和必需的。另外要注意的一点是,不要用DNS主机名建立过滤表,对DNS的伪造比IP地址欺骗要容易多了。
服务器TCP/UDP 端口过滤
仅仅依靠地址进行数据过滤在实际运用中是不可行的,还有个原因就是目标主机上往往运行着多种通信服务,比方说,我们不想让用户采用 telnet的方式连到系统,但这绝不等于我们非得同时禁止他们使用SMTP/POP邮件服务器吧?所以说,在地址之外我们还要对服务器的TCP/ UDP端口进行过滤。
比如,默认的telnet服务连接端口号是23。假如我们不许PC客户机建立对UNIX计算机(在这时我们当它是服务器)的telnet连接,那么我们只需命令防火墙检查发送目标是UNIX服务器的数据包,把其中具有23目标端口号的包过滤就行了。这样,我们把IP地址和目标服务器TCP/UDP端口结合起来不就可以作为过滤标准来实现相当可靠的防火墙了吗?不,没这么简单。
客户机也有TCP/UDP端口
TCP/IP是一种端对端协议,每个网络节点都具有唯一的地址。网络节点的应用层也是这样,处于应用层的每个应用程序和服务都具有自己的对应“地址”,也就是端口号。地址和端口都具备了才能建立客户机和服务器的各种应用之间的有效通信联系。比如,telnet服务器在端口23侦听入站连接。同时telnet客户机也有一个端口号,否则客户机的IP栈怎么知道某个数据包是属于哪个应用程序的呢?
由于历史的原因,几乎所有的TCP/IP客户程序都使用大于1023的随机分配端口号。只有UNIX计算机上的root用户才可以访问1024以下的端口,而这些端口还保留为服务器上的服务所用。所以,除非我们让所有具有大于1023端口号的数据包进入网络,否则各种网络连接都没法正常工作。
这对防火墙而言可就麻烦了,如果阻塞入站的全部端口,那么所有的客户机都没法使用网络资源。因为服务器发出响应外部连接请求的入站(就是进入防火墙的意思)数据包都没法经过防火墙的入站过滤。反过来,打开所有高于1023的端口就可行了吗?也不尽然。由于很多服务使用的端口都大于1023,比如X client、基于RPC的NFS服务以及为数众多的非UNIX IP产品等(NetWare/IP)就是这样的。那么让达到1023端口标准的数据包都进入网络的话网络还能说是安全的吗?连这些客户程序都不敢说自己是足够安全的。
双向过滤
OK,咱们换个思路。我们给防火墙这样下命令:已知服务的数据包可以进来,其他的全部挡在防火墙之外。比如,如果你知道用户要访问Web服务器,那就只让具有源端口号80的数据包进入网络:
不过新问题又出现了。首先,你怎么知道你要访问的服务器具有哪些正在运行的端口号呢? 象HTTP这样的服务器本来就是可以任意配置的,所采用的端口也可以随意配置。如果你这样设置防火墙,你就没法访问哪些没采用标准端口号的的网络站点了!反过来,你也没法保证进入网络的数据包中具有端口号80的就一定来自Web服务器。有些黑客就是利用这一点制作自己的入侵工具,并让其运行在本机的80端口!
检查ACK位
源地址我们不相信,源端口也信不得了,这个不得不与黑客共舞的疯狂世界上还有什么值得我们信任呢?还好,事情还没到走投无路的地步。对策还是有的,不过这个办法只能用于TCP协议。
TCP是一种可靠的通信协议,“可靠”这个词意味着协议具有包括纠错机制在内的一些特殊性质。为了实现其可靠性,每个TCP连接都要先经过一个“握手”过程来交换连接参数。还有,每个发送出去的包在后续的其他包被发送出去之前必须获得一个确认响应。但并不是对每个TCP包都非要采用专门的ACK包来响应,实际上仅仅在TCP包头上设置一个专门的位就可以完成这个功能了。所以,只要产生了响应包就要设置ACK位。连接会话的第一个包不用于确认,所以它就没有设置ACK位,后续会话交换的TCP包就要设置ACK位了。
举个例子,PC向远端的Web服务器发起一个连接,它生成一个没有设置ACK位的连接请求包。当服务器响应该请求时,服务器就发回一个设置了ACK位的数据包,同时在包里标记从客户机所收到的字节数。然后客户机就用自己的响应包再响应该数据包,这个数据包也设置了ACK位并标记了从服务器收到的字节数。通过监视ACK位,我们就可以将进入网络的数据限制在响应包的范围之内。于是,远程系统根本无法发起TCP连接但却能响应收到的数据包了。
这套机制还不能算是无懈可击,简单地举个例子,假设我们有台内部Web服务器,那么端口80就不得不被打开以便外部请求可以进入网络。还有,对UDP包而言就没法监视ACK位了,因为UDP包压根就没有ACK位。还有一些TCP应用程序,比如FTP,连接就必须由这些服务器程序自己发起。
FTP带来的困难
一般的Internet服务对所有的通信都只使用一对端口号,FTP程序在连接期间则使用两对端口号。第一对端口号用于FTP的“命令通道”提供登录和执行命令的通信链路,而另一对端口号则用于FTP的“数据通道”提供客户机和服务器之间的文件传送。
在通常的FTP会话过程中,客户机首先向服务器的端口21(命令通道)发送一个TCP连接请求,然后执行LOGIN、DIR等各种命令。一旦用户请求服务器发送数据,FTP服务器就用其20端口 (数据通道)向客户的数据端口发起连接。问题来了,如果服务器向客户机发起传送数据的连接,那么它就会发送没有设置ACK位的数据包,防火墙则按照刚才的规则拒绝该数据包同时也就意味着数据传送没戏了。通常只有高级的、也就是够聪明的防火墙才能看出客户机刚才告诉服务器的端口,然后才许可对该端口的入站连接。
UDP端口过滤
好了,现在我们回过头来看看怎么解决UDP问题。刚才说了,UDP包没有ACK位所以不能进行ACK位过滤。UDP 是发出去不管的“不可靠”通信,这种类型的服务通常用于广播、路由、多媒体等广播形式的通信任务。NFS、DNS、WINS、NetBIOS-over-TCP/IP和 NetWare/IP都使用UDP。
看来最简单的可行办法就是不允许建立入站UDP连接。防火墙设置为只许转发来自内部接口的UDP包,来自外部接口的UDP包则不转发。现在的问题是,比方说,DNS名称解析请求就使用UDP,如果你提供DNS服务,至少得允许一些内部请求穿越防火墙。还有IRC这样的客户程序也使用UDP,如果要让你的用户使用它,就同样要让他们的UDP包进入网络。我们能做的就是对那些从本地到可信任站点之间的连接进行限制。但是,什么叫可信任!如果黑客采取地址欺骗的方法不又回到老路上去了吗?
有些新型路由器可以通过“记忆”出站UDP包来解决这个问题:如果入站UDP包匹配最近出站UDP包的目标地址和端口号就让它进来。如果在内存中找不到匹配的UDP包就只好拒绝它了!但是,我们如何确信产生数据包的外部主机就是内部客户机希望通信的服务器呢?如果黑客诈称DNS服务器的地址,那么他在理论上当然可以从附着DNS的UDP端口发起攻击。只要你允许DNS查询和反馈包进入网络这个问题就必然存在。办法是采用代理服务器。
所谓代理服务器,顾名思义就是代表你的网络和外界打交道的服务器。代理服务器不允许存在任何网络内外的直接连接。它本身就提供公共和专用的DNS、邮件服务器等多种功能。代理服务器重写数据包而不是简单地将其转发了事。给人的感觉就是网络内部的主机都站在了网络的边缘,但实际上他们都躲在代理的后面,露面的不过是代理这个假面具。
《防火墙》:哈里森-福特重出江湖
Firewall
片名:Firewall
译名:防火墙/错误元素
导演:理查德·朗克莱恩Richard Loncraine
主演:哈里森·福特Harrison Ford
弗吉尼亚·玛得森Virginia Madsen
吉米·本内特Jimmy Bennett
保罗·贝坦尼Paul Bettany
类型:动作/剧情/犯罪/惊悚
地区: 美国
语言: 英语
颜色: 彩色
片长:105分钟
级别:PG-13(令人紧张的暴力内容)
出品:华纳兄弟
上映日期:2006年2月10日(美国) 2006年4月11日(中国内地)
官方网站:firewallmovie.warnerbros.com
IMDB评分:6.1/10 (564 votes)
推荐指数:★★★☆
剧情简介
日益猖獗的计算机黑客经常会在计算机网络上想方设法盗取银行的资产。然而,当今一种专门从事阻止黑客侵入银行计算机系统的防护系统也正在和网络上的这种违法行为进行着斗争。计算机安全专家杰克·斯坦福(哈里森·福特)便是从事这一行业的人。他如今供职于美国西部西雅图市一家国际金融机构太平洋银行。杰克·斯坦福是一名备受股东们信赖的高级网络安全主管,多年来负责设计最有效的防盗计算机系统和各种“防火墙”式的软件。然而,杰克的防盗系统却有一个致命弱点,那就是他自己。因为,防火墙的密码就由他来保管。这一点,似乎包括对银行里的现金垂涎已久的罪犯们也心知肚明……
身份非同一般的杰克,在公司的地位和待遇都相当的优厚。这也让他和他那身为建筑师的妻子贝丝·斯坦福(维吉尼亚·马德森)以及他们的一双儿女过着优裕的生活,包括一栋位于市郊高级住宅区的豪宅。但,幸福的生活终于被邪恶的贪心贼给打破了,这名凶狠的歹徒决定利用这一家人的性命以及杰克脑中的防火墙密码来满足自己瞬间发财的欲望。因此,好几个月来,比尔·考克斯(保罗·贝坦尼)一直在仔细观察杰克和他的家人的日常生活规律,并利用各种先进的电子设备,监控他们上网的活动,窃听他们的私人电话,熟知他们的日常作息,并窃取他们最隐私的资料等等。比尔·考克斯甚至了解到他们小孩的朋友的名字,以及他们的病史,更知道了他们居住的社区安保系统的密码。他花了将近一年的时间以完全掌控杰克一家人的每一个生活细节,现在终于到了可以行动的时间。比尔率领几个手下凶残地闯入杰克的豪宅,把贝丝和她的孩子们软禁在自己的家里。然后,勒令杰克帮助他们在网上安全地通过太平洋银行防火墙的保护窃取一亿美元的巨款……
演员阵容
在豪宅中休息了两年的哈里森·福特如今却重出江湖,不知是影迷们的一大幸事还是影坛的悲哀。很多人都怀疑,如此老迈的胳膊腿能否在动作戏中再次带给人们当年的精彩?想必印第安纳·琼斯的魅力已经一去不复返了。事实上,就在几年前,老福特已经显现出无法遮掩的老迈来了。《六天七夜》的差强人意,《疑云重重》的不知所谓,《K-19》也可谓一片混乱,一系列影片都在票房的争夺战中败下阵来。但经验老道的哈里森·福特适时地选择了休息,让人们在视觉疲劳时同样地有了很好的休息。如今,两年后尚不服老的福特再次披挂上阵也说明了他已经有了充分的准备。其实,哈里森·福特此番出山也颇为谨慎。为了使剧情看点足具,哈里森·福特不仅费心请来英伦演员保罗·贝坦尼扮演凶残绑匪,与自己共演一出智力与体力的双重对决,还亲自出马甄选片中自己老婆的人选,甚至对影片制作团队中较为低等的工作人员都做了百般挑选。
明眼的人都能看到,2005年,好莱坞电影的颓势也伴随着多位老明星再次“就范”的局面而产生。不知是冥冥中有何种联系,还是电影的必然规律所致。06年更是有老史泰龙精神抖擞地重上拳台,再次将老洛奇的故事展现示人……
影片幕后:高科技时代的《紧急时刻》
防火墙?还需要解释吗?它当然不是一堵能防火的墙壁,如今稍微有点网络常识的人都知道它的功用。所以,名字就源于此的《防火墙》,讲得当然也就是关于它的故事。
一个白人家庭被外界分子(通常是一个逃犯或是刚被释放的犯人)侵入,绑架家中妇女儿童为人质,破坏了本来平静的家庭,而一家之主将与入侵者斗智斗勇、拯救自己的家人。如此主题早就不新鲜了,且不说前几年此类型题材就快泛滥直至销声匿迹,光它与1955年大名鼎鼎的亨弗利·鲍嘉出演的《紧急时刻》的相似处就高达70%。
不过,影片的设置和细节倒也有些新意。《防火墙》的世界是完全电子化的,银行的大量金钱都被键盘和密码控制着,银行最多有1%的资产贮存于金库中,也难怪电脑网络黑客虎视眈眈了。不过虽然加入了高科技网络黑客的噱头,且有美国发达的金融电脑科技作铺垫,可毕竟好莱坞在这方面成就高的作品实在不多,不免让人有些担忧。
Jack Stanfield:Janet, I want you to pack up your stuff and go home.
杰克:珍妮特,我想让你收拾好自己的东西回家。
Janet Stone:What? What do you mean?
珍妮特:什么?你什么意思?
Jack Stanfield:Just what I said. Pack up your stuff and go home.
杰克:就像我所说的。收拾好东西回家。
Janet Stone:Why?
珍妮特:为什么?
Jack Stanfield:You''re fired.
杰克:你被解雇了。
Janet Stone:If this is a joke, it''s not funny.
珍妮特:如果是开玩笑,这可不好玩。
Jack Stanfield:No, it''s not a joke. Tomorrow, I''ll call Human Resources. I''ll get you a job with somebody else at the bank. Right now I want you to just do what I said.
杰克:不,不是玩笑。明天,我会找人力资源部,我会给你安排另外一份工作。现在我想让你照我说的做。
Janet Stone:What are you talking about? Is this because of him?
珍妮特:你在说什么?是因为他吗?
Jack Stanfield:Don''t argue with me, Janet!
杰克:别和我争论,珍妮特!
Janet Stone:But Jack, I haven''t done anything wrong.
珍妮特:但是杰克,我从未做过错事。
Jack Stanfield:Pack up your shit and get out of here, now!
杰克:现在,拿着你的东西离开这里!
Janet Stone:Screw you, Jack!
珍妮特:杰克,你这个混蛋!
Jack Stanfield:I wanna know what you want. And I wanna know now.
杰克:我想知道你要什么,现在就想知道。
Bill Cox:Beth, I am sorry about all of this. I... I am, but well, there we are. Uh. I need you to talk to your husband. He listens to you. I need you to make him understand that if he doesn''t do exactly as I ask, I will kill you and your two children. But if you can make him listen Beth, if you can make him do what I want, you''ll all walk away from this unpleasantness, unscathed. Not because I''m a nice man, simply because there''ll be no reason for me to hurt you. Make sense? Can I rely on your cooperation?
比尔:贝丝,我对此很抱歉,但我需要你同你的丈夫讲话,我要你让他知道,如果他不按我说的做,我会杀了你和你的两个孩子。但如果你让他听话,如果你能让他言听计从,你们都可以毫发无损的离开这里。不是因为我是个好人,而是因为我没有任何理由伤害你们。明白了吗?你能与我合作吗?
Jack Stanfield:Just tell him yes.
杰克:告诉他是的。
Beth Stanfield:Yes.
贝丝:是的。
【关于导演】
现年60岁的英国著名导演理查德·隆克瑞恩在电影、电视及商业广告领域一直享有极高赞誉。早年他曾在中央艺术学校学习雕刻,随后进入英国皇家电影艺术学院,毕业后在BBC工作了3年。他的真正成功始于1977年,他开始导演生涯的第二部电影《Full Circle》就在阿渥里亚兹奇幻电影节上赢得大奖。5年后,他执导的《硫磺石与蜜糖》在蒙特利尔电影节上获得美洲大奖。1995年,由他自编自导的《理查德三世》成为当年的热门之作,不仅获英国电影电视艺术学院的两个奖项,还在柏林国际电影节问鼎银熊奖。隆克瑞恩近年的佳作包括艾美奖剧集《兄弟连》,以及被艾美奖和美国导演协会奖提名的电视电影《风云汇聚》和《安布里亚之家》等。
【构思细节】
网络危机:在电脑网络高速发展的今天,大多数银行的财产都不再藏在钢筋水泥的金库里,而是储存于网络空间中了,据电脑安全专家称,银行里拥有的现金和在电脑中的金额相比可谓微不足道,一般来说不超过1%。所以如果99%都在电脑里,对于拥有数以亿计资产的银行来说,那些电脑就会成为黑客们的目标。在影片开拍前,剧组曾对银行业进行调研,发现网络银行的安全保障是每天24小时都不能松懈的工作,有成批的专家在时刻防备网络窃贼趁虚而入。由此,影片中出现的一些技术性的台词和程序为故事增加了可信度。
黑色基调:导演在影片中尽量营造一种“黑******”的基调,并保持影片的紧凑感。“我觉得这个片子说不上是经典的黑******。因为没有人抽烟。”隆克瑞恩开玩笑说。“但是在风格上确实有一些阴暗的镜头。”影片最大的挑战之一就是要在司空见惯的家庭场景注入危机感。这些场景不是神秘阴暗的走廊,而是日常生活中所熟悉的温暖明亮的地方。
在影片开头,画面通过隐藏在室外树叶中的监视器展现斯坦菲尔德一家的日常生活。“我们是用DV拍的这些镜头,就是8×8大小的画面,看起来就像出自非专业人士之手。事实上,我们还尽量拍的烂一些,”隆克瑞恩解释说,“没人编排过这些镜头。我就想要那种抖动、模糊不清还有聚焦不准的画面。”为了达到真实自然的效果,导演在很多镜头中都采取了真正的罪犯可能会采取的监视****的设备和方式,并且不告诉演员们摄影师的位置。
此外,导演还给影片增加了自己的黑色幽默,比如说把斯坦菲尔德家里的电视节目作为背景声音,时不时插入无聊搞笑的广告片、卡通片或烹调节目的声音作为背景,给这被囚禁的一家增添了很多戏剧性的时刻,日常生活的场景也就变得危险恐怖。
【造雨】
为了在影片的加拿大拍摄地制造出西雅图多雨的天气特点,特效负责人打算在6周内使用28万加仑的水,其中14万加仑只是单独在斯坦菲尔德一家的场景里。当然,还要保护好这幢坐落在莱恩斯湾的独一无二的防水房,这工作并不容易,因为在屋顶有20到30个降雨机,周围的树上也藏了很多降雨器。
在杰克·斯坦菲尔德的办公室所处的城区镜头中,需要一个由数架80吨重的起重机支持的“降雨器”系统才能覆盖一片城区,因为导演在本片中习惯用雨景来营造影片气氛,有时候是小雨有时候是大雨。尽管从用水量来看十分惊人,但点睛之笔通常用恰到好处的小雨滴就能完成。
