|
链路级网关(Circuit level gateways)
链路级网关也称或TCP通道(TCP Tunnels)或代理服务(Proxy Service)。其核心技术便是代理服务器技术。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。只有当内网中的计算机请求数据时,链路级网关才允许相应的数据进入受保护的内网。防火墙将记录下发送出的数据请求,在数据传入时,将那些与请求不匹配的数据过滤掉了。这类防火墙有个很大的优点:对于受它保护的网络来说,它就像网关一样,一切来自外界对内网的扫描最多只能得到防火墙的地址,而不是网内计算机的地址。就像你要向一个陌生的重要人物递交一份声明一样,如果你先将这份声明交给你的律师,然后律师就会审查你的声明,确认没有什么负面的影响后才由他交给那个陌生人。在此期间,陌生人对你的存在一无所知,如果要对你进行侵犯,他面对的将是你的律师,而你的律师当然比你更加清楚该如何对付这种人。
举例说明链路级网关的工作模式。
A计算机处在受链路级网关防火墙保护的网络内,它要访问防火墙外的B计算机上的网页;于是A向B发送web访问请求,该请求被防火墙截获并记录下来,然后再又防火墙发往B。B收到请求后,将防火墙的地址认为是发送请求的源计算机的地址,于是通过通过互联网将web页的数据发送给A的放火墙。当这些数据到达防火墙时,防火墙将数据与记录在案的A的请求比较,检查IP地址与端口地址是否匹配,由此决定数据是被允许通过还是被就此丢弃。
这类防火墙的主要优点是,外界未被请求的数据是无法通过放火墙的。所有的端口都处于关闭状态,除非防火墙打开它们。也有一个主要缺点:这个方法如果没有其它形式的过滤方法合作配合,那被请求的数据将不分类型地均可通过防火墙。
利用链路级网关的软件或者硬件放火墙也包括一些Internet共享的措施,提供这些措施也是这类防火墙的功能之一。你或许已经能猜到,cable/DSL家用路由器都主要使用这个方法。更确切的说,它们使用了网络地址变换(Network Address Translation,简称NAT),这是一种具有Internet共享的链路级网关功能的组合体。
包状态监测(Stateful Inspection)
包状态监测是包过滤及一些网关工作原理集成产物。这个定义不像其它三类防火墙的定义那样清晰直观。其实,包状态监测防火墙在本质上是包过滤防火墙的升级版本——它不仅仅只检查数据的IP地址与端口信息,这克服了包过滤防火墙的限制条件。它不需要使用代理服务,它自身能监视每一个有效连接的状态,并根据这些信息决定网络数据包是否能够通过防火墙。这样,包状态监测便在功能上模仿了应用层网关(Application Gateway)防火墙的某些功能——有人将链路级网关归入应用层网关一类。
包状态监测防火墙又很多不同的监测级别,人们根据不同的监测级别开发出许多不同的包状态监测防火墙产品。这类防火墙的优点在于,它们能在应用层检测数据(也就是说根据内容过滤数据而非根据仅地址),这样就可以免去由于使用代理服务器而带来的额外开销了。包状态监测防火墙还能完全屏蔽那些未受请求的数据。一旦网内计算机向外发送请求,防火墙便会将信息保存在一个动态状态表中,其目的是为了验证后续的连接请求。这和链路级网关防火墙有些相似。
据说,Windows XP自带的放火墙用的就是一个包过滤防火墙,不过它却没有过滤应用程序内容的功能。这是个让人惑之不解的问题,因为Windows XP的防火墙本质上具有与一般Cabke/DSL家用路由器内置防火墙同等的功能,它同样也应该是包过滤与链路级网关防火墙的集成体。
说到这里可能大家对包状态监测防火墙就有个略微全面的了解了——它是其它三类防火墙在不同级别上组合而成的防火墙。
配置你自己的防火墙。
现在就来说说如何安装和配置防火墙来保护你的计算机或网络。。
你需要有一部集成防火墙/NAT的Cable/DSL路由器,或者一款防火墙软件,比如ZoneAlarm,BlackIce。也可以使用Windows XP家庭版或者专业版。再开始操作之前你需要了结一些常用术语,如果你对下述一些术语已经比较熟悉,可以跳过那几段。
端口(Port):两台计算机间连接的逻辑接口。特定类型的数据传送需要使用特定的端口。例如80端口就是专门用来发送和接收HTTP(web浏览器)信息的。防火墙可以关闭端口,使它们无法接收任何数据。
协议Protocol:两台设备间数据传送的标准化方法。HTTP,FTP和SMTP就是我们比较常用的协议。HTTP是web浏览协议(Hyper Text Transfer Protocol,也叫超文本传输协议);FTP是文件传输协议(File Trasfer Protocol),SMTP是简单邮件传输协议(Simple Message Transfer Protocol),用于电子邮件的传输。
TCP协议(Transmission Control Protocol,传输控制协议)负责在两台计算机相互收发数据时建立连接和会话。该协议有一套保证数据正确传送的机制,并且还能纠错。UDP(User Datagram Protocol,即用户数据报协议)被认为是“无连接的”。它们能在两台计算机间传输数据,但是不会建立会话来管理整个数据交换过程,也不会在数据收到时发送给对方确认信号,因而使用UDP传输数据具有不可靠性。也许你会问,既然UDP是一种不可靠的网络协议,那么还有什么使用价值或必要呢?其实不然,在有些情况下UDP协议可能会变得非常有用。因为UDP具有TCP所望尘莫及的速度优势。虽然TCP协议中植入了各种安全保障功能,但是在实际执行的过程中会占用大量的系统开销,无疑使速度受到严重的影响。反观UDP由于排除了信息可靠传递机制,将安全和排序等功能移交给上层应用来完成,极大降低了执行时间,使速度得到了保证。
IP地址:一个在互联网或局域网内用于标示设备的数字。格式是xxx。xxx。xxx。xxx,xxx的范围在0-255之间。例如192。168。0。75。可以查阅一下其它相关资料来了解有关IP地址的完整说明。
|
