防火牆是汽車中一個部件的名稱。在汽車中,利用防火牆把乘客和引擎隔開,以便汽車引擎一旦著火,防火牆不但能保護乘客安全,而同時還能讓司機繼續控制引擎。 在電腦中,防火牆是一種裝置,可使個別網路不受公共部分(整個網際網路)的影響。 此後,文中將防火牆電腦稱為“防火牆”,它能同時連接受到保護的網路和網際網路兩端。但受到保護的網路無法接到網際網路,網際網路也無法接到受到保護的網路。 如果要從受到保護的網路內部接到網際網路,就得telnet到防火牆,然後從防火牆聯上網際網路。 最簡單的防火牆是dual homed系統(具有兩個網路聯結的系統)。如果你能相信所有你的用戶,那你只要裝設一台Linux(設定時將 IP forwarding/gatewaying 設為 OFF),並讓每人設一帳戶。他們隨後能登錄這一系統,使用telnet、FTP,閱讀電子函件和使用所有你提供的任何其他服務。根據這項設置,這一網路中唯一能與外界聯系的電腦便是這個防火牆。在這個網路中的其他電腦甚至不需要一條公用的路徑。 需要再次說明︰要使上述防火牆發揮作用,就必須相信所有用戶﹗不過,我可不敢這么建議。
用于過濾之用的防火牆的問題是這種防火牆不讓網際網路進入你的網路。只有通過過濾防火牆才能取用功能。在有代理伺服器的情況下,用戶可登錄到防火牆,然後進入私有網路內的任何系統。 此外,目前幾乎每天都有新型客戶機和伺服器上市。因此,得要有新的方法進入網路才能調用這些功能。
防火牆有兩種。
IP過濾防火牆在數據包一層工作。它依據起點、終點、埠號和每一數據包中所含的數據包種類信息控制數據包的流動。 這種防火牆非常安全,但是缺少有用的登錄記錄。它阻擋別人進入個別網路,但也不告訴你何人進入你的公共系統,或何人從內部進入網際網路。 過濾防火牆是絕對性的過濾系統。即使你要讓外界的一些人進入你的私有伺服器,你也無法讓每一個人進入伺服器。 Linux從1.3.x版開始就在內核中包含了數據包過濾軟件。
代理伺服器允許通過防火牆間接進入網際網路。最好的例子是先telnet系統,然後從該處再telnet另一個系統。在有代理伺服器的系統中,這項工作就完全自動。利用客戶端軟件連接代理伺服器後,代理伺服器啟動它的客戶端軟件(代理),然後傳回數據。 由于代理伺服器重複所有通訊,因此能夠記錄所有進行的工作。 只要配置正確,代理伺服器就絕對安全,這最它最可取之處。它阻擋任何人進入,因為沒有直接的IP通路。