萬盛學電腦網

 萬盛學電腦網 >> 安全資訊防護 >> 防火牆的工作原理[多圖]

防火牆的工作原理[多圖]

  “黑客會打上我的主意嗎?”這麼想就對了,黑客就想鑽雞蛋縫的蒼蠅一樣,看到一絲從系統漏洞發出的光亮就會蠢蠢欲動!好,如何 保衛 你的網絡呢?計算機的老手 們也許一張嘴就提議你安裝網絡的防火牆,那麼第一個疑問 就來了:到底什麼是防火牆呢?   什麼是防火牆?   防火牆就是一種過濾塞(目前你這麼理解不算錯),你可以讓你喜歡的東西通過這個塞子,別的玩意都統統過濾掉。在網絡的世界裡,要由防火牆過濾的就是承載通信數據的通信包。   天下的防火牆至少都會說兩個詞:Yes或者No。直接說就是接受或者拒絕。最基本 的防火牆是以太網橋。但幾乎沒有人會認為這種原始防火牆能管多大用。大多數防火牆采用的技能 和標准可謂五花八門。這些防火牆的形式多種多樣:有的取代系統上已經裝備的TCP/IP協議棧;有的在已有的協議棧上建立自己的軟件模塊;有的干脆就是獨立的一套操作系統。還有一些使用 型的防火牆只對特定類型的網絡連接提供保衛 (比如SMTP或者HTTP協議等)。還有一些基於硬件的防火牆產品其實應該歸入安全路由器一類。以上的產品都可以叫做防火牆,因為他們的工作形式 都是一樣的:分析出入防火牆的數據包,決定放行還是把他們扔到一邊。   所有的防火牆都具有IP地址過濾功能。這項任務要檢查IP包頭,根據其IP源地址和目標地址作出放行/丟棄決定。看看下面這張圖,兩個網段之間隔了一個防火牆,防火牆的一端有台UNIX計算機,另一邊的網段則擺了台PC客戶機。

防火牆的工作原理[多圖]圖片1

.

  當PC客戶機向UNIX計算機發起telnet請求時,PC的telnet客戶程序就產生一個TCP包並把它傳給本地的協議棧准備發送。接下來,協議棧將這個TCP包“塞”到一個IP包裡,然後通過PC機的TCP/IP棧所解釋的路徑將它發送給UNIX計算機。在這個例子裡,這個IP包必須經過橫在PC和UNIX計算機中的防火牆才能到達UNIX計算機。   現在我們“命令”(用專業術語來說就是配制)防火牆把所有發給UNIX計算機的數據包都給拒了,完成這項工作以後,“心腸”比較好的防火牆還會通知客戶程序一聲呢!既然發向目標的IP數據沒法轉發,那麼只有和UNIX計算機同在一個網段的用戶才能訪問UNIX計算機了。

防火牆的工作原理[多圖]圖片2 .

  還有一種情況,你可以命令防火牆專給那台可憐的PC機找茬,別人的數據包都讓過就它不可以 。這正是防火牆最基本的功能:根據IP地址做轉發判斷。但要上了大場面這種小伎倆就玩不轉了,由於黑客們可以采用IP地址欺騙技能 ,偽裝成正當 地址的計算機就可以穿越信任這個地址的防火牆了。不過根據地址的轉發決策機制還是最基本和必需的。另外要留心 的一點是,不要用DNS主機名建立過濾表,對DNS的偽造比IP地址欺騙要容易多了。   服務器TCP/UDP 端口過濾   僅僅依靠地址執行

.

copyright © 萬盛學電腦網 all rights reserved