關于防火墻其實在技術專題中,我們有專門的介紹,只是內容比較散,因此我們在這里從比較簡單的講起,由淺入深的來了解一下防火墻。
防火墻的概念
當然,既然打算由淺入深的來了解,就要先看看防火墻的概念了。防火墻是汽車中一個部件的名稱。在汽車中,利用防火墻把乘客和引擎隔開,以便汽車引擎一旦著火,防火墻不但能保護乘客安全,而同時還能讓司機繼續控制引擎。再電腦術語中,當然就不是這個意思了,我們可以類比來理解,在網絡中,所謂“防火墻”,是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種隔離技術。防火墻是在兩個網絡通訊時執行的一種訪問控制尺度,它能允許你“同意”的人和數據進入你的網絡,同時將你“不同意”的人和數據拒之門外,最大限度地阻止網絡中的黑客來訪問你的網絡。換句話說,如果不通過防火墻,公司內部的人就無法訪問Internet,Internet上的人也無法和公司內部的人進行通信。
防火墻的功能
除了安全作用,防火墻還支持具有Internet服務特性的企業內部網絡技術體系VPN(虛擬專用網)。
防火墻的分類
根據防火墻的分類標準不同,防火墻可以分為N多種類型,這里我們遵循的,當然是根據網絡體系結構來進行的分類了,按這樣的標準,可以有以下幾種類型的防火墻:
1.網絡級防火墻
一般是基于源地址和目的地址、應用或協議以及每個IP包的端口來作出通過與否的判斷。一個路由器便是一個“傳統”的網絡級防火墻,大多數的路由器都能通過檢查這些信息來決定是否將所收到的包轉發,但它不能判斷出一個IP包來自何方,去向何處。
先進的網絡級防火墻可以判斷這一點,它可以提供內部信息以說明所通過的連接狀態和一些數據流的內容,把判斷的信息同規則表進行比較,在規則表中定義了各種規則來表明是否同意或拒絕包的通過。包過濾防火墻檢查每一條規則直至發現包中的信息與某規則相符。如果沒有一條規則能符合,防火墻就會使用默認規則,一般情況下,默認規則就是要求防火墻丟棄該包。其次,通過定義基于TCP或UDP數據包的端口號,防火墻能夠判斷是否允許建立特定的連接,如Telnet、FTP連接。
下面是某一網絡級防火墻的訪問控制規則:
(1)允許網絡123.1.0使用FTP(21口)訪問主機150.0.0.1;
(2) 允許IP地址為202.103.1.18和202.103.1.14的用戶Telnet(23口)到主機150.0.0.2上;
(3)允許任何地址的E-mail(25口)進入主機150.0.0.3;
(4)允許任何WWW數據(80口)通過;
(5)不允許其他數據包進入。
網絡級防火墻簡潔、速度快、費用低,并且對用戶透明,但是對網絡的保護很有限,因為它只檢查地址和端口,對網絡更高協議層的信息無理解能力。
2.應用級網關
應用級網關就是我們常常說的“代理服務器”,它能夠檢查進出的數據包,通過網關復制傳遞數據,防止在受信任服務器和客戶機與不受信任的主機間直接建立聯系。應用級網關能夠理解應用層上的協議,能夠做復雜一些的訪問控制,并做精細的注冊和稽核。但每一種協議需要相應的代理軟件,使用時工作量大,效率不如網絡級防火墻。
常用的應用級防火墻已有了相應的代理服務器, 例如: HTTP、 NNTP、 FTP、Telnet、rlogin、X-windows等,但是,對于新開發的應用,尚沒有相應的代理服務,它們將通過網絡級防火墻和一般的代理服務?
新聞熱點
疑難解答
