萬盛學電腦網

 萬盛學電腦網 >> 安全資訊防護 >> 防火牆要點綜述

防火牆要點綜述

提到防火牆,顧名思義,就是防火的一道牆。防火牆的最根本工作原理就是數據包過濾。實際上在數據包過濾的提出之前,都已經出現了防火牆。
    數據包過濾,就是通過查看題頭的數據包是否含有非法的數據,我們將此屏蔽。
    舉個簡單的例子,假如體育中心有一場劉德華演唱會,檢票員坐鎮門口,他首先檢查你的票是否對應,是否今天的,然後撕下右邊的一條,將剩余的給你,然後告訴你演唱會現場在哪裡,告訴你怎麼走。這個基本上就是數據包過濾的工作流程吧。
    你也許經常聽到你們老板說:要增加一台機器它可以禁止我們不想要的網站,可以禁止一些郵件它經常給我們發送垃圾郵件和病毒等,但是沒有一個老板會說:要增加一台機器它可以禁止我們不願意訪問的數據包。實際意思就是這樣。接下來我們推薦幾個常用的數據包過濾工具。
    最常見的數據包過濾工具是路由器。另外系統中帶有數據包過濾工具,例如LinuxTCP/IP中帶有的ipchain等windows2000帶有的TCP/IPFiltering篩選器等,通過這些我們就可以過濾掉我們不想要的數據包。
    防火牆也許是使用最多的數據包過濾工具了,現在的軟件防火牆和硬件防火牆都有數據包過濾的功能。接下來我們會重點介紹防火牆的。
    防火牆通過一下方面來加強網絡的安全:
    1、策略的設置
    策略的設置包括允許與禁止。允許例如允許我們的客戶機收發電子郵件,允許他們訪問一些必要的網站等。例如防火牆經常這麼設置,允許內網的機器訪問網站、收發電子郵件、從FTP下載資料等。這樣我們就要打開80、25、110、21端口,開HTTP、SMTP、POP3、FTP等。
    禁止就是禁止我們的客戶機去訪問哪些服務。例如我們禁止郵件客戶來訪問網站,於是我們就給他打開25、110,關閉80。
    2、NAT
    NAT,即網絡地址轉換,當我們內網的機器在沒有公網IP地址的情況下要訪問網站,這就要用到NAT。工作過程就是這樣,內網一台機器 192.168.0.10要訪問新浪,當到達防火牆時,防火牆給它轉變成一個公網IP地址出去。一般我們為每個工作站分配一個公網IP地址。
    防火牆中要用到以上提到的數據包過濾和代理服務器,兩者各有優缺點,數據包過濾僅僅檢查題頭的內容,而代理服務器除了檢查標題之外還要檢查內容。當數據包過濾工具癱瘓的時候,數據包就都會進入內網,而當代理服務器癱瘓的時候內網的機器將不能訪問網絡。
    另外,防火牆還提供了加密、身份驗證等功能。還可以提供對外部用戶VPN的功能。

copyright © 萬盛學電腦網 all rights reserved