防火墙的工作原理(1)

    “黑客会打上我的主意吗？”这么想就对了，黑客就想钻鸡蛋缝的苍蝇一样，看到一丝从系统漏洞发出的光亮就会蠢蠢欲动！好，如何保护你的网络呢？计算机的高手们也许一张嘴就提议你安装网络的防火墙，那么第一个问题就来了：到底什么是防火墙呢？

　　什么是防火墙？

　　防火墙就是一种过滤塞（目前你这么理解不算错），你可以让你喜欢的东西通过这个塞子，别的玩意都统统过滤掉。在网络的世界里，要由防火墙过滤的就是承载通信数据的通信包。

　　天下的防火墙至少都会说两个词：yes或者no。直接说就是接受或者拒绝。最简单的防火墙是以太网桥。但几乎没有人会认为这种原始防火墙能管多大用。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样：有的取代系统上已经装备的tcp/ip协议栈；有的在已有的协议栈上建立自己的软件模块；有的干脆就是独立的一套操作系统。还有一些应用型的防火墙只对特定类型的网络连接提供保护（比如smtp或者http协议等）。还有一些基于硬件的防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做防火墙，因为他们的工作方式都是一样的：分析出入防火墙的数据包，决定放行还是把他们扔到一边。

　　所有的防火墙都具有ip地址过滤功能。这项任务要检查ip包头，根据其ip源地址和目标地址作出放行/丢弃决定。看看下面这张图，两个网段之间隔了一个防火墙，防火墙的一端有台unix计算机，另一边的网段则摆了台pc客户机。

　　当pc客户机向unix计算机发起telnet请求时，pc的telnet客户程序就产生一个tcp包并把它传给本地的协议栈准备发送。接下来，协议栈将这个tcp包“塞”到一个ip包里，然后通过pc机的tcp/ip栈所定义的路径将它发送给unix计算机。在这个例子里，这个ip包必须经过横在pc和unix计算机中的防火墙才能到达unix计算机。

　　现在我们“命令”（用专业术语来说就是配制）防火墙把所有发给unix计算机的数据包都给拒了，完成这项工作以后，“心肠”比较好的防火墙还会通知客户程序一声呢！既然发向目标的ip数据没法转发，那么只有和unix计算机同在一个网段的用户才能访问unix计算机了。

 

　　还有一种情况，你可以命令防火墙专给那台可怜的pc机找茬，别人的数据包都让过就它不行。这正是防火墙最基本的功能：根据ip地址做转发判断。但要上了大场面这种小伎俩就玩不转了，由于黑客们可以采用ip地址欺骗技术，伪装成合法地址的计算机就可以穿越信任这个地址的防火墙了。不过根据地址的转发决策机制还是最基本和必需的。另外要注意的一点是，不要用dns主机名建立过滤表，对dns的伪造比ip地址欺骗要容易多了。

　　服务器tcp/udp 端口过滤

　　仅仅依靠地址进行数据过滤在实际运用中是不可行的，还有个原因就是目标主机上往往运行着多种通信服务，比方说，我们不想让用户采用 telnet的方式连到系统，但这绝不等于我们非得同时禁止他们使用smtp/pop邮件服务器吧？所以说，在地址之外我们还要对服务器的tcp/ udp端口进行过滤。

 

　　比如，默认的telnet服务连接端口号是23。假如我们不许pc客户机建立对unix计算机（在这时我们当它是服务器）的telnet连接，那么我们只需命令防火墙检查发送目标是unix服务器的数据包，把其中具有23目标端口号的包过滤就行了。这样，我们把ip地址和目标服务器tcp/udp端口结合起来不就可以作为过滤标准来实现相当可靠的防火墙了吗？不，没这么简单。