[介绍]防 火 墙

《[介绍]防 火 墙》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、发信人: left (累神), 信区: Security 标  题: [介绍]防 火 墙 发信站: BBS 水木清华站 (Thu Nov 19 10:50:12 1998) WWW-POST  防 火 墙    当构筑和使用木制结构房屋的时侯，为防止火灾的发生和蔓延，人们将坚固的石块堆砌在 房屋周围作为屏障，这种防护构筑物被称之为防火墙。在今日的电子信息世界里，人们借 助了这个概念，使用防火墙来保护敏感的数据不被窃取和篡改，不过这些防火墙是由先进 的计算机系统构成的。 今天的防火墙被用来保护计算机网络免受非授权人员的骚扰与黑客的入侵。这些防火墙尤 如一道护栏隔在被保护的内部网与不安全的非信任网

2、络之间，我们目前广泛使用的互联网 络便是世界上最大的不安全网，近年来媒体报导的很多黑客入侵事件都是通过互联网络进 行攻击的。 通常架设防火墙需要相当大的硬软件资金投入，而且防火墙需要运行于一台独立的计算机 上，这样只用一台计算机连入互联网络的用户是不宜架设防火墙的，况且这样做也太不合 算。一般来说，防火墙是用来保护由许多台计算机组成的大型网络，这也是黑客真正感兴 趣的地方。防火墙可以是非常简单的过滤器，也可能是精心配置的网关，但它们的原理是 一样的，都是监测并过滤所有内部网和外部网之间的信息交换，防火墙保护着内部网络敏 感的数据不被偷窃和破坏，并记录内外通讯的有关状态信息日志，如通讯发生的时间

3、和进 行的操作等等。新一代的防火墙甚至可以阻止内部人员将敏感数据向外传输。当你将公司 的局域网联入互联网络时，你肯定不希望让全世界的人随意翻阅你公司内部的工资单、个 人资料或是客户数据库。即使在公司内部，同样也存在这种数据非法存取的可能性，例如 一些对公司不满的员工可能会修改工资表和财务报告。而通过设置防火墙你可以允许公司 内部员工使用电子邮件，进行Web浏览以及文件传输，但不允许外界随意访问公司内部的 计算机，你也可以限制公司中不同部门之间互相访问。将局域网络放置于防火墙之后可以 有效阻止来自外界的攻击。而防火墙通常是运行在一台单独计算机之上的一个特别的服务 软件，它可以识别并屏蔽非法的请求

4、。例如一台WWW代理(Proxy)服务器，使用者的Web访问请求都间 接地由它进行处理，这台服务器会验证请求发出者的身份、请求的目的地和请求内容。如 果一切符合要求的话，这个请求会被送到目标WWW服务器上；当目标WWW服务器处理完这个 请求后并不会直接把结果发送给请求者，它会把结果送到代理服务器，代理服务器会按照 规定检查这个结果是否违反了安全规则，当这一切检查都通过后，结果才会真正地送到请 求者的手里。  1、为什么需要架设防火墙  防火墙可以使你的网络规划清晰明了，有效防止跨越权限的数据访问。如果你的网络联入 了互联网络而没有设置防火墙的话，你可能会接到许多系统入侵的报告。在这个世界上， 

5、黑客袭击的例子有许许多多，你可以在一些讨论计算机安全的站点上找到许多案例。你最 好提前考虑这些问题，黑客可以攻击美国国防部的网络，也可能会对你的公司发生兴趣。   2、防火墙的几种形式  防火墙有许许多多种形式，有以软件形式运行在普通计算机之上的，也有以固件形式设计 在路由器之中的。总的来说业界的分类有三种：包过滤防火墙，应用级网关和状态监视器 。  （1）包过滤防火墙  在互联网络这样的TCP/IP网络上，所有往来的信息都被分割成许许多多一定长度的信息包 ，包中包含发送者的IP地址和接收者的IP地址信息。当这些信息包被送上互联网络时，路 由器会读取接收者的IP并选择一条合适的物理线路发送出去

6、，信息包可能经由不同的路线 抵达目的地，当所有的包抵达目的地后会重新组装还原。包过滤式的防火墙会检查所有通 过的信息包中的IP地址，并按照系统管理员所给定的过滤规则进行过滤。如果对防火墙设 定某一IP地址的站点为不适宜访问的话，从这个地址来的所有信息都会被防火墙屏蔽掉。  包过滤防火墙的优点是它对于用户来说是透明的，处理速度快而且易于维护，通常做为第 一道防线。包过滤路由器通常没有用户的使用记录，这样我们就不能得到入侵者的攻击记 录。而攻破一个单纯的包过滤式防火墙对黑客来说还是有办法的。"IP地址欺骗"是黑客比 较常用的一种攻击手段。黑客们向包过滤式防火墙发出一系列信息包，这些包中的IP地址 

7、已经被替换为一串顺序的IP地址，一旦有一个包通过了防火墙，黑客便可以用这个IP地址 来伪装他们发出的信息；在另一种情况下黑客们使用一种他们自己编制的路由攻击程序， 这种程序使用动态路由协议来发送伪造的路由信息，这样所有的信息包都会被重新路由到 一个入侵者所指定的特别地址；破坏这种防火墙的另一种方法被称之为"同步风暴"，这实 际上是一种网络炸弹。攻击者向被攻击的计算机发出许许多多个虚假的"同步请求"