防火墻是壹種過濾塞(目前妳理解的沒錯)。妳可以讓妳喜歡的東西通過這個塞子,把其他的都過濾掉。在網絡世界裏,被防火墻過濾掉的是攜帶通信數據的通信包。世界上的防火墻至少會說兩個字:是或者不是,直接說就是接受或者拒絕。最簡單的防火墻是以太網橋。但是幾乎沒有人會認為這種原始的防火墻能有多大用處。大多數防火墻使用各種技術和標準。這些防火墻有多種形式:有些取代了系統上已經配備的TCP/IP協議棧;有些在現有的協議棧上構建自己的軟件模塊;有些只是壹個獨立的操作系統。還有壹些面向應用程序的防火墻只為特定類型的網絡連接(如SMTP或HTTP協議)提供保護。還有壹些基於硬件的防火墻產品,其實應該歸類為安全路由器。以上這些產品都可以稱之為防火墻,因為它們的工作方式都是壹樣的:分析進出防火墻的數據包,決定是讓其通過還是扔到壹邊。所有防火墻都有IP地址過濾功能。此任務是檢查IP報頭,並根據其IP源地址和目的地址做出釋放/丟棄決定。看下圖。兩個網段之間有防火墻。防火墻的壹端有壹臺UNIX計算機,另壹個網段有壹臺PC客戶端。當PC客戶端向UNIX計算機發送telnet請求時,PC的telnet客戶端生成壹個TCP數據包,並將其發送到本地協議棧進行發送。接下來,協議棧將這個TCP包“插入”到壹個IP包中,然後通過PC的TCP/IP棧定義的路徑發送給UNIX計算機。在本例中,IP數據包必須穿過PC和UNIX計算機之間的防火墻才能到達UNIX計算機。現在我們“命令”(用技術術語來說,就是配置)防火墻拒絕所有發送到UNIX計算機的數據包。完成這項工作後,“心”更好的防火墻會通知客戶端程序!由於發送到目的地的IP數據無法轉發,因此只有與UNIX計算機位於同壹網段的用戶才能訪問UNIX計算機。另壹種情況,妳可以命令防火墻給那臺可憐的PC找茬,別人的包過了就不行了。這是防火墻最基本的功能:根據IP地址進行轉發判斷。但是,這壹招到了大場面就玩不了了。由於黑客可以使用IP地址欺騙技術,偽裝成合法地址的計算機可以穿越信任該地址的防火墻。然而,基於地址的轉發決策機制仍然是最基本和最必要的。還有壹點需要註意的是,不要使用DNS主機名來構建過濾表。偽造DNS比欺騙IP地址要容易得多。
上一篇:壹種鐵皮石斛種植方法下一篇:雪花做花生的方法是什麽?