设为首页 友情链接
在线留言 发表文章
加入收藏 广告联系

刺猬首页

| 专案技术 | 网络技术 | 图形图象 | 网络编程 | 网页设计 | 操作系统 | 服务器 | 技术白皮书 | 在线实验室 | 刺猬论坛 |
小说专版  | 数据库 | 设计赏析 | 存储频道 | 网络安全 | 私服架设 |  Solaris | 网站评估 | PC维护技巧 | 下载中心 | 博 客 |
专   题: | Linux | java | cisco | 防病毒 | 刀片 | SOA | iscsi | ASP.NET | SQL | Oracle |
您现在的位置: IT公社 IT community >> 操作系统 >> UNIX系统 >> 教程正文 用户登录 新用户注册
专 题 栏 目
最 新 热 门
最 新 推 荐
相 关 文 章
Sun硬件设备和Solaris的…
Unix系统安全构架经验
路由技术:在SCO UNIX架…
HP-UNIX系统管理员的日常…
非常有用之Unix/Linux 单…
Unix系列shell程序编写(…
Unix系列shell程序编写(…
Unix系列shell程序编写(…
Unix中赋予用户特殊权限
如何在AIX上安装McAfee防…
  UNIX系统管理-系统安全-防火墙         
UNIX系统管理-系统安全-防火墙
 


UNIX系统管理-系统安全-防火墙

什么是防火墙

防火墙是一种用来阻止外面的未经授权的用户的非法访问你的网络下的设备的工具,它通常是软件和硬件的结合体。

为了更好地理解防火墙的工作原理,我们就使用以前提到过的例子来说明.首先,大多数网络身份验证除了用户帐号和口令之外的,就是IP地址,IP地址是INTERNET网络上最普遍的身份索引,它有动态和静态两种。

(1)动态IP地址指每次强制分配给不同上网机器的主机的地址。ISP提供的拨号服务通常是分配动态IP地址,一个拨号计算机通常每次拨号都有一个不同的IP但是总有一个范围。

(2)静态IP地址是固定不变的地址,它可以是某台连入Internet的主机地址,静态IP分几类,一类是whois可以查询到的,并且此类IP地址主要是Internet中最高层主机的地址,这些主机可以是域名服务器,httpd服务器(Web Server)、邮件服务器、BBS主机或者网络棋类游戏服务器。另一类静态IP地址被分配给Internet网络中的第二层和第三层的主机,这些机器有固定的物理地址。然而他们不一定有注册的主机名。

当你的计算机同远程主机建立连接的时候,各种对话随之产生,其中最常见的一种是TCP/IP的三次握手方式。对方可以在三次握手的过程中得知你主机的IP地址。

在通常的情况下,即没有防火墙的情况下,本地主机和远程主机之间的对话是直接发生的。信息的传输过程相当复杂,典型的传输过程由下面列出的几部分组成。

1.数据从网络的某处发出,比如说:从现在所在的局域网中发出。

2.数据从本地机器传输到子网中的服务器上,再通过这台机器传到本地网络的主服务器上,顺便说一句,由于子网下是采用广播的形式,主机作为路由器对包进行采样分析,并转换成有合法internet IP的包转发出去。所以这一步只通过一个服务器。

3.网络服务器将数据交给路由器,路由器通过光纤或者其他主干网络高速设备将数据转发上internet.

4.数据经过internet网络,其间通过许多网关和路由器,最后到达另外网络路由器,并由这个路由器将数据通过以太网发送到相应主机。

如果双方都没有采取任何安全措施,那么二者之间的道路被认为是直接的,例如,路由器2转交源地址为任何IP地址的数据给服务器,最终导致网络的许多不安全因素,但许多年来它一直是一种标准。

防火墙的组成

防火墙可以由软件也可以由硬件构成,当然也可以由软件和硬件混合构成。软件部分可以是专利软件或者共享软件,硬件部分应该是能够支持软件的硬件设备。

如果防火墙是硬件,那么这个硬件最多由一个路由器组成。在路由器中可以采用命令来限制并过滤IP数据包,即允许定义哪些包可以被转发而哪些包丢弃。

代理和网关

代理防火墙或者网关的工作方式与过滤数据包的防火墙和以路由器为基础的防火墙稍有不同。它是基于软件的。当远程用户希望和一个正在运行网关的网络进行连接的时候,此网关就会阻塞这个远程连接,然后对连接的各个域进行检查,如果符合指定的要求,网关便会在远程主机和内部主机之间建立一个“桥”,”桥“是指两种协议之间的转换器。

这种网关代理模型的优点是不进行IP包的转发,更为重要的是可以在”桥“上设置更多的控制,而且这种工具还能提供非常成熟的日志功能。然而所有的这些优点都是通过牺牲速度换取的。因为每次连接请求和所有发往子网内的包都要在网关上进行检查和分析转发等过程,这就要比单纯的从IP地址来过滤转发数据包慢多了。

IP转发(IP forwarding)是指收到外部请求的服务器将此信息直接或者进行合法化转换再发到网络中来,当然,IP转发存在不少的问题和漏洞,但是速度没有什么问题。

网关的另一个不足之处是,必须为每个网络服务创建代理(proxy),为了在内部网络和外部网络之间建立连接需要两个步骤。一些网关需要经过修改的客户端,这即可以看作是进步也可以看作是退步,是进步还是退步主要看修改过的客户端能否方便地使用防火墙。

Telnet网关不一定要修改telnet客户端,但是使用未经修改过的telnet客户端软件却需要用户改变他们的行为:用户不得不直接登录到内部的主机上。但是如果用户使用修改过的Telnet客户端软件,那么用户可以在Telnet命令中直接登录到指定的系统上去,从而使防火墙对用户变得”透明“。此时防火墙就是一个目标系统的路由器了。
Linux联盟收集整理

频道声明:本频道的文章除部分特别声明禁止转载的专稿外,可以自由转载.但请务必注明出出处和原始作者 文章版权归本频道与文章作者所有.对于被频道转载文章的个人和网站,我们表示深深的谢意。

原始作者:佚名 录入时间:2007-1-2 2:43:16
信息来源:不详 投稿信箱:itqoo@126.com
教程录入:itqoo    责任编辑:itqoo 
  • 上一个教程:

  • 下一个教程:
    • 【字体: 】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
      网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)
    - 关于我们 - 合作伙伴 - 友情链接 - 广告刊登 - 投稿热线 - 在线留言版权声明联系方式 -
    IT公社版权所有 粤ICP备05127012号
    Copyrigh@2005-2006 itqoo.com.Inc All Rights Reserved  推荐分辨率 1024*768
    联系站长:E-Mail:itqoo@126.com     MSN:urchincc@hotmail.com    QQ:点击这里给我发消息
    特别感谢:亿太网络提供空间支持