说到防火墙,顾名思义就是防火墙。防火墙最基本的工作原理是包过滤。其实在包过滤提出之前,防火墙就已经出现了。
包过滤就是检查头包是否含有非法数据,我们会屏蔽掉。
举个简单的例子,如果体育中心有刘德华演唱会,检票员坐在门口,他会先检查你的票和今天的票是否对应,然后把右边的撕下来给你,剩下的再告诉你演唱会在哪里,怎么去。
这基本上就是包过滤的工作流程。
你可能经常听到老板说:要加一台机器,它可以禁掉我们不想要的网站,它可以禁掉一些邮件。它经常给我们发垃圾邮件和病毒,但是没有哪个老板会说:加个机器,就能封禁我们不想访问的数据包。
实际上就是这个意思。接下来推荐几款常用的包过滤工具。
最常见的包过滤工具是路由器。此外,系统中还有包过滤工具,如LinuxTCP/IP中的ipchain和windows2000中的TCP/IPFiltering filter。
通过这些,我们可以过滤掉不需要的数据包。
防火墙可能是最常用的数据包过滤工具。现在软件防火墙和硬件防火墙都有数据包过滤的功能。接下来,我们将重点关注防火墙。
防火墙通过以下方面加强网络的安全性:
1.政策设定
策略设置包括允许和禁止。例如,允许我们的客户发送和接收电子邮件,并允许他们访问一些必要的网站。例如,防火墙通常被设置成允许内部网机器访问网站、发送和接收电子邮件、从FTP下载材料等等。
这样我们就开放80、25、110、21端口,开放HTTP、SMTP、POP3、FTP。
禁止就是禁止我们的客户访问哪些服务。比如我们禁止邮件客户访问网站,所以我们给他开25,110,关80。
2、NAT
NAT,也就是网络地址转换,在我们内网的机器想要访问没有公网IP地址的网站时使用。这是工作流程。内网192.168.0.10的一台机器想访问新浪。当它到达防火墙时,
防火墙把它变成一个公共IP地址,然后出去。通常,我们为每个工作站分配一个公共IP地址。
前面提到的包过滤和代理服务器应该用在防火墙中,两者各有利弊。包过滤只检查报头的内容,而代理服务器除了报头之外还检查内容。当包过滤工具关闭时,包将进入内部网。
当代理服务器关闭时,内部网中的机器将无法访问网络。
此外,防火墙还提供加密、认证等功能。还可以为外部用户提供VPN的功能。
