Tag: 防火墙

什么是防火墙？防火墙是一个或一组在两个网络之间执行访问控制策略的系统，包括硬件和软件，目的是保护网络不被可疑的人侵扰。本质上，它遵从的是一种允许或阻止业务来往的网络通信安全机制，也就是提供可控的过滤网络通信，只允许授权的通讯。 当今市场上有两类主导性的防火墙：应有代理（application proxy）和包过滤网关（packet filtering gateway）。尽管应有代理被广泛地认定比包过滤网关安全，他们的限制特性和对性能的影响却使得它们的应有场合局限于从因特网上其它公司外的分组流动，而不是从本公司的Web服务器外出的分组流动。相反，包过滤网关或者更尖端的有状态分组过滤网关则能在许多具有高性能要求的较大机构中找到。 防火墙自诞生以来以保护无数的网络或计算机多过了窥视的眼睛和邪恶的破坏者，然而他们还远远不是治理安全的万灵丹。市场上每个防火墙产品几乎每年都有安全脆弱点被发现。更糟糕的是，大多数防火墙往往配置不当且无人维护和监视，从而把它们转化成了电子制门器（保持大门敞开着）。而黑客的责任就是攻克这些脆弱的或无人看管的防火墙，然后告诉它的主人，你的门烂了，还是再换个更好的吧！这次是个警告，如果下次进来的人没有良心，你就惨了。 那防火墙的工作原理又是什么呢？ 防火墙常常就是一个具备包过滤功能的简单路由器，支持Internet安全。这是使Internet连接更加安全的一种简单方法，因为包过滤是路由器的固有属性。 包是网络上信息流动的单位。网络上传输的文件一般在发出端被划分成一个一个的IP包，经过网上的中间站，最终传到目的地，然后这些IP包中的数据又重新组成原来的文件。 每个IP包有两个部分：数据部分和包头。包头中含有源地址和目标地址等信息。（这一部分的内容要有TCP/IP的基础） IP包的过滤一直是一种简单而有效的方法，它通过件包头信息和管理员设定的规则表比较，读出并拒绝那些不符合标准的包，过滤掉不应入站的信息。 IP包过滤规则一般基于部分的或全部的IP包信息，例如对于TCP包头信息为： 1． IP协议类型 2． IP源地址 3． IP目标地址 4． IP选择域的内容 5． TCP源端口号 6． TCP目标端口号 7． TCP ACK标识，指出这个包是否是联接中的第一个包，是否是对另一个包的响应 IP包过滤的一个重要的局限是它不能分辨好的和坏的用户，只能区分好的饱和坏的包。包过滤只能工作在由黑白分明安全策略的网中，即内部是好的，外部是可疑的。对于FTP协议，IP包过滤就不十分有效。FTP允许联接外部服务器并使联接返回到端口20，这几乎毫不费力的通过那些过滤器。 防火墙/应用网关（Application Gateways）还有一种常见的防火墙是应用代理防火墙（有时也称为应用网关）。这些防火墙的工作方式和过滤数据报的防火墙、以路由器为基础的防火墙的工作方式稍有不同。它是基于软件的；当某远程用户想和一个运行应用网关的网络建立联系时，此应用网关会阻塞这个远程联接，然后对联接请求的各个域进行检查。如果此联接请求符合预定的规则，网关便会在远程主机和内部主机之间建立一个”桥”，”桥”是指两种协议之间的转换器。例如，一个典型的网关一般不将IP数据报转发给内部网络，而是自己作为转换器和解释器进行转换过程。这种方式的时被称之为man-in-the-middle configuration。这种应用网关代理模型的长处是不进行IP报文转发，更为重要的是可以在”桥”上设置更多的控制，而且这种工具还能提供非常成熟的日志功能。然而所有的这些优点都是通过牺牲速度换取的，因为每次联接请求和所有发往内部网的报文在网关上经历接受、分析、转换和再转发等几个过程，完成这些过程所需时间显然比完成以路由器为基础的数据报过滤的时间长得多。 IP转发（IP forwarding）是指收到一个外部请求的服务器将此请求信息以IP报文的格式转发给内部网。让IP转交功能有效是一个严重的错误：如果你允许IP转发，那么入侵者便能从外部进入你的内部网络并访问其上的工作站。 透明性是代理服务器的主要优点。用户端，代理服务给用户的假象是：用户是直接与真正的服务器连接；而在服务器端代理服务给用户的假象是：服务器是直接面对连在代理服务器上的用户。要注意的是，代理服务器只有在需要严格控制内部与外部主机直接联接的场合才是一个比较有效的机制。而双宿主主机与包过滤也是具有这种特性的另外两种机制。如果内、外部主机能够直接相互通信，那么用户就没有必要使用代理服务，在这种情况下，代理服务也不可能起作用。而这种由旁路的拓扑与网络的信息安全是相矛盾的。 最常见的防火墙是按照基本概念工作的逻辑设备，用于在公共网上保护私人网络。配置一堵防火墙是很简单的，步骤如下： 1． 选择一台具有路由能力的PC 2． 加上两块接口卡，例如以太网卡或串行卡等 3． … 继续阅读 →