说到防火墙,顾名思义,就是防火墙。防火墙最基本的工作原理是包过滤。其实在包过滤提出之前,防火墙就已经出现了。
包过滤就是检查头包是否包含非法数据,我们屏蔽掉。
举个简单的例子,如果体育中心有刘德华的演唱会,检票员会坐在门口。首先,他会检查你的票是不是今天的,然后撕掉正确的,把剩下的给你,然后告诉你音乐会在哪里,怎么去。这基本上就是包过滤的工作流程。
你可能经常听到你的老板说:要加一台机器,它可以禁掉我们不想要的网站,它可以禁掉一些邮件。它经常给我们发垃圾邮件和病毒,但是没有哪个老板会说:加一台机器,它就可以禁止我们不想访问的数据包。实际上就是这个意思。接下来推荐几款常用的包过滤工具。
最常见的包过滤工具是路由器。此外,系统中还有数据包过滤工具,如windows2000中的TCP/IPFiltering过滤器,如LinuxTCP/IP中的ipchain等。通过它我们可以过滤掉不需要的数据包。
防火墙可能是最常用的数据包过滤工具。现在软件防火墙和硬件防火墙都有数据包过滤的功能。接下来,我们将重点关注防火墙。
防火墙通过以下几个方面加强网络安全:
1、政策设定
的策略设置包括允许和禁止。比如允许我们的客户收发邮件,允许他们访问一些必要的网站等等。例如,防火墙通常被设置成允许内部网机器访问网站、发送和接收电子邮件、从FTP下载资料等。所以我们要打开端口80,25,110,21,打开HTTP,SMTP,POP3,FTP等。
这是为了禁止我们的客户访问哪些服务。例如,我们禁止邮件客户访问网站,所以我们为他们打开25、110并关闭80。
2、NAT
当我们内部网中的机器想要访问没有公共IP地址的网站时,就使用NAT,即网络地址转换。事情就是这样的。内网一台机器,192.168.0.10,想访问新浪。当它到达防火墙时,防火墙会将其转换为公共IP地址并将其发送出去。通常,我们为每个工作站分配一个公共IP地址。
防火墙应该使用上述包过滤和代理服务器,两者各有利弊。包过滤只检查报头的内容,而代理服务器除了报头之外还检查内容。当包过滤工具关闭时,所有数据包将进入内部网,当代理服务器关闭时,内部网中的机器将无法访问网络。
此外,防火墙还提供加密、认证等功能。还可以为外部用户提供VPN的功能。
