防火墻的工作原理

防火墻的工作原理

“黑客會(huì )打上我的主意嗎？”這么想就對了，黑客就想鉆雞蛋縫的蒼蠅一樣，看到一絲從系統漏洞發(fā)出的光亮就會(huì )蠢蠢欲動(dòng)！好，如何保護你的網(wǎng)絡(luò )呢？計算機的高手們也許一張嘴就提議你安裝網(wǎng)絡(luò )的防火墻，那么第一個(gè)問(wèn)題就來(lái)了：到底什么是防火墻呢？　
　　
　　什么是防火墻？　
　　防火墻就是一種過(guò)濾塞（目前你這么理解不算錯），你可以讓你喜歡的東西通過(guò)這個(gè)塞子，別的玩意都統統過(guò)濾掉。在網(wǎng)絡(luò )的世界里，要由防火墻過(guò)濾的就是承載通信數據的通信包?！?br />　　
　　天下的防火墻至少都會(huì )說(shuō)兩個(gè)詞：Yes或者No。直接說(shuō)就是接受或者拒絕。最簡(jiǎn)單的防火墻是以太網(wǎng)橋。但幾乎沒(méi)有人會(huì )認為這種原始防火墻能管多大用。大多數防火墻采用的技術(shù)和標準可謂五花八門(mén)。這些防火墻的形式多種多樣：有的取代系統上已經(jīng)裝備的TCP/IP協(xié)議棧；有的在已有的協(xié)議棧上建立自己的軟件模塊；有的干脆就是獨立的一套操作系統。還有一些應用型的防火墻只對特定類(lèi)型的網(wǎng)絡(luò )連接提供保護（比如SMTP或者HTTP協(xié)議等）。還有一些基于硬件的防火墻產(chǎn)品其實(shí)應該歸入安全路由器一類(lèi)。以上的產(chǎn)品都可以叫做防火墻，因為他們的工作方式都是一樣的：分析出入防火墻的數據包，決定放行還是把他們扔到一邊?！?br />　　
　　
　　所有的防火墻都具有IP地址過(guò)濾功能。這項任務(wù)要檢查IP包頭，根據其IP源地址和目標地址作出放行/丟棄決定?？纯聪旅孢@張圖，兩個(gè)網(wǎng)段之間隔了一個(gè)防火墻，防火墻的一端有臺UNIX計算機，另一邊的網(wǎng)段則擺了臺PC客戶(hù)機?！?br />　　　
　　當PC客戶(hù)機向UNIX計算機發(fā)起telnet請求時(shí)，PC的telnet客戶(hù)程序就產(chǎn)生一個(gè)TCP包并把它傳給本地的協(xié)議棧準備發(fā)送。接下來(lái)，協(xié)議棧將這個(gè)TCP包“塞”到一個(gè)IP包里，然后通過(guò)PC機的TCP/IP棧所定義的路徑將它發(fā)送給UNIX計算機。在這個(gè)例子里，這個(gè)IP包必須經(jīng)過(guò)橫在PC和UNIX計算機中的防火墻才能到達UNIX計算機?！?
　　　
　　現在我們“命令”（用專(zhuān)業(yè)術(shù)語(yǔ)來(lái)說(shuō)就是配制）防火墻把所有發(fā)給UNIX計算機的數據包都給拒了，完成這項工作以后，“心腸”比較好的防火墻還會(huì )通知客戶(hù)程序一聲呢！既然發(fā)向目標的IP數據沒(méi)法轉發(fā)，那么只有和UNIX計算機同在一個(gè)網(wǎng)段的用戶(hù)才能訪(fǎng)問(wèn)UNIX計算機了?！?br />　　
　　還有一種情況，你可以命令防火墻專(zhuān)給那臺可憐的PC機找茬，別人的數據包都讓過(guò)就它不行。這正是防火墻最基本的功能：根據IP地址做轉發(fā)判斷。但要上了大場(chǎng)面這種小伎倆就玩不轉了，由于黑客們可以采用IP地址欺騙技術(shù)，偽裝成合法地址的計算機就可以穿越信任這個(gè)地址的防火墻了。不過(guò)根據地址的轉發(fā)決策機制還是最基本和必需的。另外要注意的一點(diǎn)是，不要用DNS主機名建立過(guò)濾表，對DNS的偽造比IP地址欺騙要容易多了?！?br />　　
　　服務(wù)器TCP/UDP 端口過(guò)濾　
　　僅僅依靠地址進(jìn)行數據過(guò)濾在實(shí)際運用中是不可行的，還有個(gè)原因就是目標主機上往往運行著(zhù)多種通信服務(wù)，比方說(shuō)，我們不想讓用戶(hù)采用 telnet的方式連到系統，但這絕不等于我們非得同時(shí)禁止他們使用SMTP/POP郵件服務(wù)器吧？所以說(shuō)，在地址之外我們還要對服務(wù)器的TCP/ UDP端口進(jìn)行過(guò)濾。
　　　
　　比如，默認的telnet服務(wù)連接端口號是23。假如我們不許PC客戶(hù)機建立對UNIX計算機（在這時(shí)我們當它是服務(wù)器）的telnet連接，那么我們只需命令防火墻檢查發(fā)送目標是UNIX服務(wù)器的數據包，把其中具有23目標端口號的包過(guò)濾就行了。這樣，我們把IP地址和目標服務(wù)器TCP/UDP端口結合起來(lái)不就可以作為過(guò)濾標準來(lái)實(shí)現相當可靠的防火墻了嗎？不，沒(méi)這么簡(jiǎn)單?！?br />　　客戶(hù)機也有TCP/UDP端口　
　　TCP/IP是一種端對端協(xié)議，每個(gè)網(wǎng)絡(luò )節點(diǎn)都具有唯一的地址。網(wǎng)絡(luò )節點(diǎn)的應用層也是這樣，處于應用層的每個(gè)應用程序和服務(wù)都具有自己的對應“地址”，也就是端口號。地址和端口都具備了才能建立客戶(hù)機和服務(wù)器的各種應用之間的有效通信聯(lián)系。比如，telnet服務(wù)器在端口23偵聽(tīng)入站連接。同時(shí)telnet客戶(hù)機也有一個(gè)端口號，否則客戶(hù)機的IP棧怎么知道某個(gè)數據包是屬于哪個(gè)應用程序的呢？　
　　
　　由于歷史的原因，幾乎所有的TCP/IP客戶(hù)程序都使用大于1023的隨機分配端口號。只有UNIX計算機上的root用戶(hù)才可以訪(fǎng)問(wèn)1024以下的端口，而這些端口還保留為服務(wù)器上的服務(wù)所用。所以，除非我們讓所有具有大于1023端口號的數據包進(jìn)入網(wǎng)絡(luò )，否則各種網(wǎng)絡(luò )連接都沒(méi)法正常工作?！?br />　　
　　這對防火墻而言可就麻煩了，如果阻塞入站的全部端口，那么所有的客戶(hù)機都沒(méi)法使用網(wǎng)絡(luò )資源。因為服務(wù)器發(fā)出響應外部連接請求的入站（就是進(jìn)入防火墻的意思）數據包都沒(méi)法經(jīng)過(guò)防火墻的入站過(guò)濾。反過(guò)來(lái)，打開(kāi)所有高于1023的端口就可行了嗎？也不盡然。由于很多服務(wù)使用的端口都大于1023，比如X client、基于RPC的NFS服務(wù)以及為數眾多的非UNIX IP產(chǎn)品等（NetWare/IP）就是這樣的。那么讓達到1023端口標準的數據包都進(jìn)入網(wǎng)絡(luò )的話(huà)網(wǎng)絡(luò )還能說(shuō)是安全的嗎？連這些客戶(hù)程序都不敢說(shuō)自己是足夠安全的?！?br />