防火墙原理
说实话这个词听过N遍,但是很遗憾我就是从来没有翻过,这完全是我个人的原因。我这个人就是这样,别人的东西不给看,我就不看,一根筋的跟自己过不去也行。其实我也知道这也让自己丢失了很多学习的机会,但我就是没那个想法。现在大概也了解些防火墙的基本原理了(虽然还不是很明白),不过还是没有试过。
防火墙顾名思义我觉得就可以理解为一道禁止的墙,墙内是安全的,而墙外是不安全的。不过这个墙还是稍微特殊点,因为它的作用是防止不希望的,未经授权的数据包进出被保护的内部网络。我们完全可以把它看做一对开关,其中一个用来阻止传输,另一个用来允许传输。说的专业点就是一套身份认证、加密、数字签名和内容检测集成为一体的安全防范措施。
一个防火墙系统通常是由过滤路由器和代理服务器组成的。过滤路由器是一个多端口的IP路由器,它能够拦截和检查所有出站和进站的数据。代理服务器使用一个客户程序和特定的中间节点(防火墙)连接,然后防火墙与目标服务器进行实际连接。所以可以知道内部和外部网络之间是不存在直接连接的。如果中间的环节出问题了(假如防火墙出了问题),那是不是内外就不可能能够连接了??这个只是我的疑问。
现在典型的防火墙体系结构包括过滤路由器、双宿主主机、被屏蔽主机和被屏蔽子网等类型。
1. 包过滤路由器
它是最简单的也是最常用的防火墙,也称屏蔽路由器。它一般是作用在网络层,对进出内部网络的所以信息进行分析。它的结构比较简单,所以相对来说它 的速度就快,实现方便。但是基于它的结构太简单可以知道它的安全性能也就不会太好了。
2. 双宿主主机
它的结构就稍微复杂些了,它是围绕至少具有两个网络接口的双宿主主机而构成的。通过代理服务器软件在这个主机上运行,内外网络并不直接连接,而是通过这个主机作为中间方分别与它们连接。
3. 被屏蔽主机
屏蔽主机防火墙是有过滤器和应用网关组成的。前者是进行包过滤的,后者的作用是代理服务。明显的可以看到这个结构就比前两个要复杂了。因为它是建立了两道安全屏障的。过滤路由器是置在内部网络和Internet之间的,应用网关是放在内部网络上的。也就是说 此时的路由器是只接受网关发送来的数据包的。所以它的安全性能就更高了,不过这个结构的配置工作就复杂了。
4. 被屏蔽子网
这个实在屏蔽主机结构的基础上再添加了一个过滤器。两个过滤器分别位于网关的两边。这就形成了一个最安全的墙了。因为入侵者必须要通过三个设备,而一个过滤路由器对另一个路由器可以说都是透明的,因为它们都只是跟中间的代理服务器连接。
