Next Previous Contents

2. 什么是防火墙

防火墙是汽车中一个部件的名称。在汽车中,利用防火墙把乘客和引擎隔开,以便汽车引擎一旦著火,防火墙不但能保护乘客安全,而同时还能让司机继续控制引擎。 在电脑中,防火墙是一种装置,可使个别网路不受公共部分(整个网际网路)的影响。 此後,文中将防火墙电脑称为“防火墙”,它能同时连接受到保护的网路和网际网路两端。但受到保护的网路无法接到网际网路,网际网路也无法接到受到保护的网路。 如果要从受到保护的网路内部接到网际网路,就得telnet到防火墙,然後从防火墙联上网际网路。 最简单的防火墙是dual homed系统(具有两个网路联结的系统)。如果你能相信所有你的用户,那你只要装设一台Linux(设定时将 IP forwarding/gatewaying 设为 OFF),并让每人设一帐户。他们随後能登录这一系统,使用telnet、FTP,阅读电子函件和使用所有你提供的任何其他服务。根据这项设置,这一网路中唯一能与外界联系的电脑便是这个防火墙。在这个网路中的其他电脑甚至不需要一条公用的路径。 需要再次说明∶要使上述防火墙发挥作用,就必须相信所有用户!不过,我可不敢这么建议。

2.1 防火墙的缺陷

用于过滤之用的防火墙的问题是这种防火墙不让网际网路进入你的网路。只有通过过滤防火墙才能取用功能。在有代理伺服器的情况下,用户可登录到防火墙,然後进入私有网路内的任何系统。 此外,目前几乎每天都有新型客户机和伺服器上市。因此,得要有新的方法进入网路才能调用这些功能。

2.2 防火墙的种类

防火墙有两种。

  1. IP过滤防火墙 - 除一些网路功能外阻挡一切联网功能。
  2. 代理伺服器 - 替你进行网路联结。

IP过滤防火墙

IP过滤防火墙在数据包一层工作。它依据起点、终点、埠号和每一数据包中所含的数据包种类信息控制数据包的流动。 这种防火墙非常安全,但是缺少有用的登录记录。它阻挡别人进入个别网路,但也不告诉你何人进入你的公共系统,或何人从内部进入网际网路。 过滤防火墙是绝对性的过滤系统。即使你要让外界的一些人进入你的私有伺服器,你也无法让每一个人进入伺服器。 Linux从1.3.x版开始就在内核中包含了数据包过滤软件。

代理伺服器

代理伺服器允许通过防火墙间接进入网际网路。最好的例子是先telnet系统,然後从该处再telnet另一个系统。在有代理伺服器的系统中,这项工作就完全自动。利用客户端软件连接代理伺服器後,代理伺服器启动它的客户端软件(代理),然後传回数据。 由于代理伺服器重复所有通讯,因此能够记录所有进行的工作。 只要配置正确,代理伺服器就绝对安全,这最它最可取之处。它阻挡任何人进入,因为没有直接的IP通路。


Next Previous Contents