軟考網(wǎng)絡(luò)管理員:關(guān)于防火墻必須知道的幾點(diǎn)
提到防火墻,顧名思義,就是防火的一道墻。防火墻的最根本工作原理就是數(shù)據(jù)包過濾。實(shí)際上在數(shù)據(jù)包過濾的提出之前,都已經(jīng)出現(xiàn)了防火墻。
數(shù)據(jù)包過濾,就是通過查看題頭的數(shù)據(jù)包是否含有非法的數(shù)據(jù),我們將此屏蔽。
舉個(gè)簡單的例子,假如體育中心有一場劉德華演唱會,檢票員坐鎮(zhèn)門口,他首先檢查你的票是否對應(yīng),是否今天的,然后撕下右邊的一條,將剩余的給你,然后告訴你演唱會現(xiàn)場在哪里,告訴你怎么走。這個(gè)基本上就是數(shù)據(jù)包過濾的工作流程吧。
你也許經(jīng)常聽到你們老板說:要增加一臺機(jī)器它可以禁止我們不想要的網(wǎng)站,可以禁止一些郵件它經(jīng)常給我們發(fā)送垃圾郵件和病毒等,但是沒有一個(gè)老板會說:要增加一臺機(jī)器它可以禁止我們不愿意訪問的數(shù)據(jù)包。實(shí)際意思就是這樣。接下來我們推薦幾個(gè)常用的數(shù)據(jù)包過濾工具。
最常見的數(shù)據(jù)包過濾工具是路由器。另外系統(tǒng)中帶有數(shù)據(jù)包過濾工具,例如LinuxTCP/IP中帶有的ipchain等windows2000帶有的TCP/IPFiltering篩選器等,通過這些我們就可以過濾掉我們不想要的數(shù)據(jù)包。
防火墻也許是使用最多的數(shù)據(jù)包過濾工具了,現(xiàn)在的軟件防火墻和硬件防火墻都有數(shù)據(jù)包過濾的功能。接下來我們會重點(diǎn)介紹防火墻的。
防火墻通過一下方面來加強(qiáng)網(wǎng)絡(luò)的安全:
1、策略的設(shè)置
策略的設(shè)置包括允許與禁止。允許例如允許我們的客戶機(jī)收發(fā)電子郵件,允許他們訪問一些必要的網(wǎng)站等。例如防火墻經(jīng)常這么設(shè)置,允許內(nèi)網(wǎng)的機(jī)器訪問網(wǎng)站、收發(fā)電子郵件、從FTP下載資料等。這樣我們就要打開80、25、110、21端口,開HTTP、SMTP、POP3、FTP等。
禁止就是禁止我們的客戶機(jī)去訪問哪些服務(wù)。例如我們禁止郵件客戶來訪問網(wǎng)站,于是我們就給他打開25、110,關(guān)閉80。
2、NAT
NAT,即網(wǎng)絡(luò)地址轉(zhuǎn)換,當(dāng)我們內(nèi)網(wǎng)的機(jī)器在沒有公網(wǎng)IP地址的情況下要訪問網(wǎng)站,這就要用到NAT。工作過程就是這樣,內(nèi)網(wǎng)一臺機(jī)器 192.168.0.10要訪問新浪,當(dāng)?shù)竭_(dá)防火墻時(shí),防火墻給它轉(zhuǎn)變成一個(gè)公網(wǎng)IP地址出去。一般我們?yōu)槊總(gè)工作站分配一個(gè)公網(wǎng)IP地址。
防火墻中要用到以上提到的數(shù)據(jù)包過濾和代理服務(wù)器,兩者各有優(yōu)缺點(diǎn),數(shù)據(jù)包過濾僅僅檢查題頭的內(nèi)容,而代理服務(wù)器除了檢查標(biāo)題之外還要檢查內(nèi)容。當(dāng)數(shù)據(jù)包過濾工具癱瘓的時(shí)候,數(shù)據(jù)包就都會進(jìn)入內(nèi)網(wǎng),而當(dāng)代理服務(wù)器癱瘓的時(shí)候內(nèi)網(wǎng)的機(jī)器將不能訪問網(wǎng)絡(luò)。
另外,防火墻還提供了加密、身份驗(yàn)證等功能。還可以提供對外部用戶VPN的功能。
相關(guān)推薦:推薦:2010年計(jì)算機(jī)軟件水平考試必備完美攻略網(wǎng)絡(luò)管理員:七大實(shí)戰(zhàn)技巧經(jīng)驗(yàn)有效管理網(wǎng)絡(luò)
北京 | 天津 | 上海 | 江蘇 | 山東 |
安徽 | 浙江 | 江西 | 福建 | 深圳 |
廣東 | 河北 | 湖南 | 廣西 | 河南 |
海南 | 湖北 | 四川 | 重慶 | 云南 |
貴州 | 西藏 | 新疆 | 陜西 | 山西 |
寧夏 | 甘肅 | 青海 | 遼寧 | 吉林 |
黑龍江 | 內(nèi)蒙古 |