|
|
防火墙
防火墙 (firewall) 是汽车中一个部件的名称。在汽车中,利用防火墙把乘客和引擎隔开,以便汽车引擎一旦着火,防火墙不但能保护乘客安全,而同时还能让司机继续控制引擎。在电脑中,防火墙用来分隔内部网路与外部网路(一般就指网际网路),可使个别网路不受公共部分整个网际网路的影响,可视为一种保护作用,使得内部机器不被外界透过网路任意连接使用。
防火墙大致可分为三类 : 封包过滤(packet filitering)、应用层闸道(application gateways)、电路式闸道(circuit gateways)。这三种方法并不互斥,许多人都选择同时用。
封包过滤 (Packet Filitering)
是路由器和防火墙的功能之一,是最便宜,而且蛮有效的方法。
内部对外沟通是透过路由器 (router) 传递封包,利用管理员所指定的规则来判断是否允许封包传递通过防火墙。这些规则是针对每个封包的协定标头 (head) 中所提供的资讯加以查核,查核的资讯如下:
n IP 来源与目的地位址
n 封装的协定
n 来源与目的地连接埠
n ICMP 讯息类型
n 内传与外送介面
採用上述规则的任意组合,就可以指定允许哪些封包经过防火墙。例如您可以指定 Internet 上有哪些电脑的 IP 位址能够使用 Telnet 协定来和区域网路上的特定电脑通讯。
服务相依型过滤 (Service-Dependent Filtering)
允许某些 IP 位址的远端使用者利用 Telnet 进入网路系统,其他人则全部拒绝存取,是为了控制特定服务的流量而设计的。
服务无关型过滤 (Service-Independent Filtering)
可阻挡与服务无关的特定入侵类型。举例来说,骇客可能伪装成来自内部 IP 的封包来存取私人网路上的电脑。虽然封包中含有内部系统的 IP 位址,封包通过连接 Internet 的介面后却抵达路由器。设定完善的过滤方式可以把内部系统的 IP 位址和内部网路的介面关联起来,因此能够侦测到来自 Internet 上具有这些来源 IP 位址的封包并予以丢弃。
应用层闸道 (Application Gateways)
应用层闸道也称为Proxy 伺服器或碉堡主机 (Bastion Host),是属防火墙里极端的设计。它并不使用原本通用的传递资料方式,而是特别设计过。看起来似乎是多此一举,但比其它方法都 有用。一点也不用担心外面环境如何(使用系统是否有千疮百孔),因为它是独立存在。正由於它的複杂,它所提供的安全性比封包过滤更高但只能控制特定应用程式的存取。 应用层闸道本上是用户端和伺服器之间特定服务的中介者。封包过滤可以阻断用户端与伺服器之间关於该服务的直接通讯;流量全部改为送到应用层闸道伺服器。目前最常用的是 Web 上的 Proxy 伺服器。
应用层闸道另一个优点是纵使在十分危险的环境,它依然可以记录所有进、出系统的资料。是对抗电脑骇客十分有用的武器。
电路式闸道 (Circuit-Level Gateway)
电路式闸道用来传递 TCP 连接,通常是应用层闸道产品所提供的功能,当要连接内部网路某台电脑,必须透过电路式闸道,不是直接传 递封包。这样的设计是必须修改使用者目前所使用的程式才能适用这环境。
闸道在私人网路的内送介面和 Internet 介面之间建立一个管道,让用户端系统得以透过防火墙来传送流量。闸道伺服器仍然会把用户端系统的 IP 位址置换成自己的位址,所以 Internet 使用者无法存取内部系统。
|
|
