|
防火墙与Internet安全
你一定听说过防火墙。在Internet上的每个人曾经也都听说过这个东西。防火墙保护你的计算机在这危机四伏的Internet中不受侵害。确实,它本质上是这么做的。防火墙还能控制你的计算机对外界的访问。但是你是否真的知道防火墙是什么?是否明白放火墙是怎么保护你的?
防火墙是可以是一种硬件,也可以是一个软件程序。防火墙会对由外界传输至你计算机的数据进行检查,那些不符合预设标准的数据将被防火墙挡在墙外。可以想象一下数据源与你的计算机之间有一个传输道,不同类型的防火墙会在这条传输道上不同的地方设置关卡,对数据检查的标准也会各不相同。不过所有防火墙的基本操作还是一样的。
防火墙的工作原理目前分为4类,其间特点截然不同。现在的防火墙产品中有的仅包含4者之一,有的则4种方法兼具。
包过滤(Packet filtering )
这种类型的防火墙根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。包过滤类型的防火墙要遵循的一条基本原则是“最小特权原则”,即明确允许那些管理员希望通过的数据包,禁止其他的数据包。
包过滤的防火墙配置简单,要停止某一形式的信息流的传入与输出的话,只要锁毕几个主要的知名端口即可。比如要阻止一切数据穿越防火墙,只要关闭防火墙的80端口(这是http的标准端口)就能使得防火墙内部的所有计算机都无法进行浏览Internet上的web页了。
同样的,如果你将自己的计算机配置为web服务器,而你也设置防火墙将一切通过80端口传入的数据阻挡在墙外,这样的话,外网的计算机就无法访问到你的web站点了。
包过滤的不足之处在于它仅仅对端口及IP地址进行过滤,而不会去考虑数据内容本身,而只考虑报头信息。如果你想配置包过滤防火墙还需要掌握一些技术知识。大多数cable/DSL路由设备就使用包过滤来作为其防火墙保护功能的一部分。
|
