防火墻采用的最基本的技術(shù)（防火墻采用的最基本的技術(shù)是什么）

大家好！今天讓創(chuàng)意嶺的小編來大家介紹下關(guān)于防火墻采用的最基本的技術(shù)的問題，以下是小編對(duì)此問題的歸納整理，讓我們一起來看看吧。

開始之前先推薦一個(gè)非常厲害的Ai人工智能工具，一鍵生成原創(chuàng)文章、方案、文案、工作計(jì)劃、工作報(bào)告、論文、代碼、作文、做題和對(duì)話答疑等等

只需要輸入關(guān)鍵詞，就能返回你想要的內(nèi)容，越精準(zhǔn)，寫出的就越詳細(xì)，有微信小程序端、在線網(wǎng)頁(yè)版、PC客戶端

官網(wǎng)：https://ai.de1919.com

本文目錄:

• 1、防火墻的控制技術(shù)是什么

• 2、防火墻技術(shù)主要工作原理有哪些？

• 3、簡(jiǎn)述計(jì)算機(jī)的網(wǎng)絡(luò)安全技術(shù)有哪些常用技術(shù)？

• 4、基于包過濾防火墻的原理和實(shí)現(xiàn)技術(shù)是怎樣的？

一、防火墻的控制技術(shù)是什么

目前防火墻的控制技術(shù)大概可分為:包過濾型，包檢驗(yàn)型以及應(yīng)用層網(wǎng)關(guān)型三種。

(1)包過濾型:包過濾型的控制方式會(huì)檢查所有進(jìn)出防火墻的包標(biāo)頭內(nèi)容，如來源及目的地，使用協(xié)定等信息。現(xiàn)在的路由器，交換式路由器以及某些操作系統(tǒng)已經(jīng)具有用包過濾控制的能力。包過濾型的控制方式最大的好處是效率最高，但卻有幾個(gè)嚴(yán)重缺點(diǎn):管理復(fù)雜，無(wú)法對(duì)連線作完全的控制，規(guī)則設(shè)置的先后順序會(huì)嚴(yán)重影響結(jié)果，不易維護(hù)以及記錄功能少。

(2)包檢驗(yàn)型:包檢驗(yàn)型的控制機(jī)制是通過一個(gè)檢驗(yàn)?zāi)＝M對(duì)包中的各個(gè)層次作檢驗(yàn)。包檢驗(yàn)型可謂是包過濾型的加強(qiáng)版，目的在增加包過濾型的安全性，增加控制“連線”的能力。但由于包檢驗(yàn)的主要對(duì)象仍是個(gè)別的包，不同的包檢驗(yàn)方式可能會(huì)產(chǎn)生極大的差異。其檢查層面越廣越安全，但其相對(duì)效率也越低。包檢驗(yàn)型防火墻在檢查不完全的情況下，可難會(huì)造成原來以為只有特定的服務(wù)可以通過，通過精心設(shè)計(jì)的數(shù)據(jù)包，可在到達(dá)目的地時(shí)因重組而被轉(zhuǎn)變楊原來并不允許通過的連線請(qǐng)求。這個(gè)為了增加效率的設(shè)計(jì)反而成了安全弱點(diǎn)。

(3)應(yīng)用層網(wǎng)關(guān)型:應(yīng)用層網(wǎng)關(guān)型的防火墻采用將連線動(dòng)作攔截，由一個(gè)特殊的代理程序來處理兩端間的邊線方式，并分析其邊線內(nèi)容是否符合應(yīng)用協(xié)定的標(biāo)準(zhǔn)。這種方式的控制機(jī)制可以從頭到尾有效地控制整個(gè)連線的動(dòng)作，而不會(huì)被客戶或服務(wù)器端欺騙，在管理上也不會(huì)般用途的代理程序來處理大部分連線。這種運(yùn)作方式是最安全的方式，但也是效率最低的一種方式。

二、防火墻技術(shù)主要工作原理有哪些？

防火墻就是一種過濾塞（目前你這么理解不算錯(cuò)），你可以讓你喜歡的東西通過這個(gè)塞子，別的玩意都統(tǒng)統(tǒng)過濾掉。在網(wǎng)絡(luò)的世界里，要由防火墻過濾的就是承載通信數(shù)據(jù)的通信包。 天下的防火墻至少都會(huì)說兩個(gè)詞：Yes或者No。直接說就是接受或者拒絕。最簡(jiǎn)單的防火墻是以太網(wǎng)橋。但幾乎沒有人會(huì)認(rèn)為這種原始防火墻能管多大用。大多數(shù)防火墻采用的技術(shù)和標(biāo)準(zhǔn)可謂五花八門。這些防火墻的形式多種多樣：有的取代系統(tǒng)上已經(jīng)裝備的TCP/IP協(xié)議棧；有的在已有的協(xié)議棧上建立自己的軟件模塊；有的干脆就是獨(dú)立的一套操作系統(tǒng)。還有一些應(yīng)用型的防火墻只對(duì)特定類型的網(wǎng)絡(luò)連接提供保護(hù)（比如SMTP或者HTTP協(xié)議等）。還有一些基于硬件的防火墻產(chǎn)品其實(shí)應(yīng)該歸入安全路由器一類。以上的產(chǎn)品都可以叫做防火墻，因?yàn)樗麄兊墓ぷ鞣绞蕉际且粯拥模悍治龀鋈敕阑饓Φ臄?shù)據(jù)包，決定放行還是把他們?nèi)拥揭贿叀?所有的防火墻都具有IP地址過濾功能。這項(xiàng)任務(wù)要檢查IP包頭，根據(jù)其IP源地址和目標(biāo)地址作出放行/丟棄決定?？纯聪旅孢@張圖，兩個(gè)網(wǎng)段之間隔了一個(gè)防火墻，防火墻的一端有臺(tái)UNIX計(jì)算機(jī)，另一邊的網(wǎng)段則擺了臺(tái)PC客戶機(jī)。當(dāng)PC客戶機(jī)向UNIX計(jì)算機(jī)發(fā)起telnet請(qǐng)求時(shí)，PC的telnet客戶程序就產(chǎn)生一個(gè)TCP包并把它傳給本地的協(xié)議棧準(zhǔn)備發(fā)送。接下來，協(xié)議棧將這個(gè)TCP包“塞”到一個(gè)IP包里，然后通過PC機(jī)的TCP/IP棧所定義的路徑將它發(fā)送給UNIX計(jì)算機(jī)。在這個(gè)例子里，這個(gè)IP包必須經(jīng)過橫在PC和UNIX計(jì)算機(jī)中的防火墻才能到達(dá)UNIX計(jì)算機(jī)。 現(xiàn)在我們“命令”（用專業(yè)術(shù)語(yǔ)來說就是配制）防火墻把所有發(fā)給UNIX計(jì)算機(jī)的數(shù)據(jù)包都給拒了，完成這項(xiàng)工作以后，“心腸”比較好的防火墻還會(huì)通知客戶程序一聲呢！既然發(fā)向目標(biāo)的IP數(shù)據(jù)沒法轉(zhuǎn)發(fā)，那么只有和UNIX計(jì)算機(jī)同在一個(gè)網(wǎng)段的用戶才能訪問UNIX計(jì)算機(jī)了。 還有一種情況，你可以命令防火墻專給那臺(tái)可憐的PC機(jī)找茬，別人的數(shù)據(jù)包都讓過就它不行。這正是防火墻最基本的功能：根據(jù)IP地址做轉(zhuǎn)發(fā)判斷。但要上了大場(chǎng)面這種小伎倆就玩不轉(zhuǎn)了，由于黑客們可以采用IP地址欺騙技術(shù)，偽裝成合法地址的計(jì)算機(jī)就可以穿越信任這個(gè)地址的防火墻了。不過根據(jù)地址的轉(zhuǎn)發(fā)決策機(jī)制還是最基本和必需的。另外要注意的一點(diǎn)是，不要用DNS主機(jī)名建立過濾表，對(duì)DNS的偽造比IP地址欺騙要容易多了。

三、簡(jiǎn)述計(jì)算機(jī)的網(wǎng)絡(luò)安全技術(shù)有哪些常用技術(shù)？

常用網(wǎng)絡(luò)安全技術(shù)有：網(wǎng)絡(luò)防火墻技術(shù)、殺毒軟件技術(shù)、文件加密和數(shù)字簽名技術(shù)

1.防火墻

網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實(shí)施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。�

目前的防火墻產(chǎn)品主要有堡壘主機(jī)、包過濾路由器、應(yīng)用層網(wǎng)關(guān)(代理服務(wù)器)以及電路層網(wǎng)關(guān)、屏蔽主機(jī)防火墻、雙宿主機(jī)等類型。�

雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段，但也有明顯不足：無(wú)法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無(wú)法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。

自從1986年美國(guó)Digital公司在Internet上安裝了全球第一個(gè)商用防火墻系統(tǒng)，提出了防火墻概念后，防火墻技術(shù)得到了飛速的發(fā)展。國(guó)內(nèi)外已有數(shù)十家公司推出了功能各不相同的防火墻產(chǎn)品系列。

防火墻處于5層網(wǎng)絡(luò)安全體系中的最底層,屬于網(wǎng)絡(luò)層安全技術(shù)范疇。在這一層上,企業(yè)對(duì)安全系統(tǒng)提出的問題是:所有的IP是否都能訪問到企業(yè)的內(nèi)部網(wǎng)絡(luò)系統(tǒng)?如果答案是“是”,則說明企業(yè)內(nèi)部網(wǎng)還沒有在網(wǎng)絡(luò)層采取相應(yīng)的防范措施。

作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障,防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品之一。雖然從理論上看,防火墻處于網(wǎng)絡(luò)安全的最底層,負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸,但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過濾任務(wù),同時(shí)還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認(rèn)證、防止病毒與黑客侵入等方向發(fā)展。

根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT、代理型和監(jiān)測(cè)型。

2.殺毒軟件技術(shù)

殺毒軟件肯定是我們見的最多,也用得最為普遍的安全技術(shù)方案,因?yàn)檫@種技術(shù)實(shí)現(xiàn)起來最為簡(jiǎn)單,但我們都知道殺毒軟件的主要功能就是殺毒,功能十分有限,不能完全滿足網(wǎng)絡(luò)安全的需要。這種方式對(duì)于個(gè)人用戶或小企業(yè)或許還能滿足需要,但如果個(gè)人或企業(yè)有電子商務(wù)方面的需求,就不能完全滿足了。可喜的是隨著殺毒軟件技術(shù)的不斷發(fā)展,現(xiàn)在的主流殺毒軟件同時(shí)對(duì)預(yù)防木馬及其它的一些黑客程序的入侵。還有的殺毒軟件開發(fā)商同時(shí)提供了軟件防火墻,具有了一定防火墻功能,在一定程度上能起到硬件防火墻的功效,如KV300,金山防火墻,Norton防火墻等。

3. 文件加密和數(shù)字簽名技術(shù)

與防火墻配合使用的安全技術(shù)還有文件加密與數(shù)字簽名技術(shù),它是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性, 防止秘密數(shù)據(jù)被外部竊取,偵聽或破壞所采用的主要技術(shù)手段之一。隨著信息技術(shù)的發(fā)展, 網(wǎng)絡(luò)安全與信息保密日益引起人們的關(guān)注。目前各國(guó)除了從法律上,管理上加強(qiáng)數(shù)據(jù)的安全保護(hù)外, 從技術(shù)上分別在軟件和硬件兩方面采取措施, 推動(dòng)著數(shù)據(jù)加密技術(shù)和物理防范技術(shù)的不斷發(fā)展。按作用不同, 文件加密和數(shù)字簽名技術(shù)主要分為數(shù)據(jù)傳輸,數(shù)據(jù)存儲(chǔ),數(shù)據(jù)完整性的鑒別以

四、基于包過濾防火墻的原理和實(shí)現(xiàn)技術(shù)是怎樣的？

推薦看一看 朱雁冰 寫的《Windows防火墻與網(wǎng)絡(luò)封包截獲技術(shù)》，上面介紹了三種分別基于用戶態(tài)和核心態(tài)下的防火墻編譯，雖然他提到的三種技術(shù)現(xiàn)在看來都有不足，但是是一本講解詳細(xì)的好書～～～??！

防火墻就是一種過濾塞（目前你這么理解不算錯(cuò)），你可以讓你喜歡的東西通過這個(gè)塞子，別的玩意都統(tǒng)統(tǒng)過濾掉。在網(wǎng)絡(luò)的世界里，要由防火墻過濾的就是承載通信數(shù)據(jù)的通信包。

天下的防火墻至少都會(huì)說兩個(gè)詞：Yes或者No。直接說就是接受或者拒絕。最簡(jiǎn)單的防火墻是以太網(wǎng)橋。但幾乎沒有人會(huì)認(rèn)為這種原始防火墻能管多大用。大多數(shù)防火墻采用的技術(shù)和標(biāo)準(zhǔn)可謂五花八門。這些防火墻的形式多種多樣：有的取代系統(tǒng)上已經(jīng)裝備的TCP/IP協(xié)議棧；有的在已有的協(xié)議棧上建立自己的軟件模塊；有的干脆就是獨(dú)立的一套操作系統(tǒng)。還有一些應(yīng)用型的防火墻只對(duì)特定類型的網(wǎng)絡(luò)連接提供保護(hù)（比如SMTP或者HTTP協(xié)議等）。還有一些基于硬件的防火墻產(chǎn)品其實(shí)應(yīng)該歸入安全路由器一類。以上的產(chǎn)品都可以叫做防火墻，因?yàn)樗麄兊墓ぷ鞣绞蕉际且粯拥模悍治龀鋈敕阑饓Φ臄?shù)據(jù)包，決定放行還是把他們?nèi)拥揭贿叀?

所有的防火墻都具有IP地址過濾功能。這項(xiàng)任務(wù)要檢查IP包頭，根據(jù)其IP源地址和目標(biāo)地址作出放行/丟棄決定?？纯聪旅孢@張圖，兩個(gè)網(wǎng)段之間隔了一個(gè)防火墻，防火墻的一端有臺(tái)UNIX計(jì)算機(jī)，另一邊的網(wǎng)段則擺了臺(tái)PC客戶機(jī)。

當(dāng)PC客戶機(jī)向UNIX計(jì)算機(jī)發(fā)起telnet請(qǐng)求時(shí)，PC的telnet客戶程序就產(chǎn)生一個(gè)TCP包并把它傳給本地的協(xié)議棧準(zhǔn)備發(fā)送。接下來，協(xié)議棧將這個(gè)TCP包“塞”到一個(gè)IP包里，然后通過PC機(jī)的TCP/IP棧所定義的路徑將它發(fā)送給UNIX計(jì)算機(jī)。在這個(gè)例子里，這個(gè)IP包必須經(jīng)過橫在PC和UNIX計(jì)算機(jī)中的防火墻才能到達(dá)UNIX計(jì)算機(jī)。

現(xiàn)在我們“命令”（用專業(yè)術(shù)語(yǔ)來說就是配制）防火墻把所有發(fā)給UNIX計(jì)算機(jī)的數(shù)據(jù)包都給拒了，完成這項(xiàng)工作以后，“心腸”比較好的防火墻還會(huì)通知客戶程序一聲呢！既然發(fā)向目標(biāo)的IP數(shù)據(jù)沒法轉(zhuǎn)發(fā)，那么只有和UNIX計(jì)算機(jī)同在一個(gè)網(wǎng)段的用戶才能訪問UNIX計(jì)算機(jī)了。

還有一種情況，你可以命令防火墻專給那臺(tái)可憐的PC機(jī)找茬，別人的數(shù)據(jù)包都讓過就它不行。這正是防火墻最基本的功能：根據(jù)IP地址做轉(zhuǎn)發(fā)判斷。但要上了大場(chǎng)面這種小伎倆就玩不轉(zhuǎn)了，由于黑客們可以采用IP地址欺騙技術(shù)，偽裝成合法地址的計(jì)算機(jī)就可以穿越信任這個(gè)地址的防火墻了。不過根據(jù)地址的轉(zhuǎn)發(fā)決策機(jī)制還是最基本和必需的。另外要注意的一點(diǎn)是，不要用DNS主機(jī)名建立過濾表，對(duì)DNS的偽造比IP地址欺騙要容易多了。

服務(wù)器TCP/UDP 端口過濾

僅僅依靠地址進(jìn)行數(shù)據(jù)過濾在實(shí)際運(yùn)用中是不可行的，還有個(gè)原因就是目標(biāo)主機(jī)上往往運(yùn)行著多種通信服務(wù)，比方說，我們不想讓用戶采用 telnet的方式連到系統(tǒng)，但這絕不等于我們非得同時(shí)禁止他們使用SMTP/POP郵件服務(wù)器吧？所以說，在地址之外我們還要對(duì)服務(wù)器的TCP/ UDP端口進(jìn)行過濾。

比如，默認(rèn)的telnet服務(wù)連接端口號(hào)是23。假如我們不許PC客戶機(jī)建立對(duì)UNIX計(jì)算機(jī)（在這時(shí)我們當(dāng)它是服務(wù)器）的telnet連接，那么我們只需命令防火墻檢查發(fā)送目標(biāo)是UNIX服務(wù)器的數(shù)據(jù)包，把其中具有23目標(biāo)端口號(hào)的包過濾就行了。這樣，我們把IP地址和目標(biāo)服務(wù)器TCP/UDP端口結(jié)合起來不就可以作為過濾標(biāo)準(zhǔn)來實(shí)現(xiàn)相當(dāng)可靠的防火墻了嗎？不，沒這么簡(jiǎn)單。

客戶機(jī)也有TCP/UDP端口

TCP/IP是一種端對(duì)端協(xié)議，每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)都具有唯一的地址。網(wǎng)絡(luò)節(jié)點(diǎn)的應(yīng)用層也是這樣，處于應(yīng)用層的每個(gè)應(yīng)用程序和服務(wù)都具有自己的對(duì)應(yīng)“地址”，也就是端口號(hào)。地址和端口都具備了才能建立客戶機(jī)和服務(wù)器的各種應(yīng)用之間的有效通信聯(lián)系。比如，telnet服務(wù)器在端口23偵聽入站連接。同時(shí)telnet客戶機(jī)也有一個(gè)端口號(hào)，否則客戶機(jī)的IP棧怎么知道某個(gè)數(shù)據(jù)包是屬于哪個(gè)應(yīng)用程序的呢？

由于歷史的原因，幾乎所有的TCP/IP客戶程序都使用大于1023的隨機(jī)分配端口號(hào)。只有UNIX計(jì)算機(jī)上的root用戶才可以訪問1024以下的端口，而這些端口還保留為服務(wù)器上的服務(wù)所用。所以，除非我們讓所有具有大于1023端口號(hào)的數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)，否則各種網(wǎng)絡(luò)連接都沒法正常工作。

這對(duì)防火墻而言可就麻煩了，如果阻塞入站的全部端口，那么所有的客戶機(jī)都沒法使用網(wǎng)絡(luò)資源。因?yàn)榉?wù)器發(fā)出響應(yīng)外部連接請(qǐng)求的入站（就是進(jìn)入防火墻的意思）數(shù)據(jù)包都沒法經(jīng)過防火墻的入站過濾。反過來，打開所有高于1023的端口就可行了嗎？也不盡然。由于很多服務(wù)使用的端口都大于1023，比如X client、基于RPC的NFS服務(wù)以及為數(shù)眾多的非UNIX IP產(chǎn)品等（NetWare/IP）就是這樣的。那么讓達(dá)到1023端口標(biāo)準(zhǔn)的數(shù)據(jù)包都進(jìn)入網(wǎng)絡(luò)的話網(wǎng)絡(luò)還能說是安全的嗎？連這些客戶程序都不敢說自己是足夠安全的。

雙向過濾

OK，咱們換個(gè)思路。我們給防火墻這樣下命令：已知服務(wù)的數(shù)據(jù)包可以進(jìn)來，其他的全部擋在防火墻之外。比如，如果你知道用戶要訪問Web服務(wù)器，那就只讓具有源端口號(hào)80的數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)：

不過新問題又出現(xiàn)了。首先，你怎么知道你要訪問的服務(wù)器具有哪些正在運(yùn)行的端口號(hào)呢？ 象HTTP這樣的服務(wù)器本來就是可以任意配置的，所采用的端口也可以隨意配置。如果你這樣設(shè)置防火墻，你就沒法訪問哪些沒采用標(biāo)準(zhǔn)端口號(hào)的的網(wǎng)絡(luò)站點(diǎn)了！反過來，你也沒法保證進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)包中具有端口號(hào)80的就一定來自Web服務(wù)器。有些黑客就是利用這一點(diǎn)制作自己的入侵工具，并讓其運(yùn)行在本機(jī)的80端口！

檢查ACK位

源地址我們不相信，源端口也信不得了，這個(gè)不得不與黑客共舞的瘋狂世界上還有什么值得我們信任呢？還好，事情還沒到走投無(wú)路的地步。對(duì)策還是有的，不過這個(gè)辦法只能用于TCP協(xié)議。

TCP是一種可靠的通信協(xié)議，“可靠”這個(gè)詞意味著協(xié)議具有包括糾錯(cuò)機(jī)制在內(nèi)的一些特殊性質(zhì)。為了實(shí)現(xiàn)其可靠性，每個(gè)TCP連接都要先經(jīng)過一個(gè)“握手”過程來交換連接參數(shù)。還有，每個(gè)發(fā)送出去的包在后續(xù)的其他包被發(fā)送出去之前必須獲得一個(gè)確認(rèn)響應(yīng)。但并不是對(duì)每個(gè)TCP包都非要采用專門的ACK包來響應(yīng)，實(shí)際上僅僅在TCP包頭上設(shè)置一個(gè)專門的位就可以完成這個(gè)功能了。所以，只要產(chǎn)生了響應(yīng)包就要設(shè)置ACK位。連接會(huì)話的第一個(gè)包不用于確認(rèn)，所以它就沒有設(shè)置ACK位，后續(xù)會(huì)話交換的TCP包就要設(shè)置ACK位了。

舉個(gè)例子，PC向遠(yuǎn)端的Web服務(wù)器發(fā)起一個(gè)連接，它生成一個(gè)沒有設(shè)置ACK位的連接請(qǐng)求包。當(dāng)服務(wù)器響應(yīng)該請(qǐng)求時(shí)，服務(wù)器就發(fā)回一個(gè)設(shè)置了ACK位的數(shù)據(jù)包，同時(shí)在包里標(biāo)記從客戶機(jī)所收到的字節(jié)數(shù)。然后客戶機(jī)就用自己的響應(yīng)包再響應(yīng)該數(shù)據(jù)包，這個(gè)數(shù)據(jù)包也設(shè)置了ACK位并標(biāo)記了從服務(wù)器收到的字節(jié)數(shù)。通過監(jiān)視ACK位，我們就可以將進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)限制在響應(yīng)包的范圍之內(nèi)。于是，遠(yuǎn)程系統(tǒng)根本無(wú)法發(fā)起TCP連接但卻能響應(yīng)收到的數(shù)據(jù)包了。

這套機(jī)制還不能算是無(wú)懈可擊，簡(jiǎn)單地舉個(gè)例子，假設(shè)我們有臺(tái)內(nèi)部Web服務(wù)器，那么端口80就不得不被打開以便外部請(qǐng)求可以進(jìn)入網(wǎng)絡(luò)。還有，對(duì)UDP包而言就沒法監(jiān)視ACK位了，因?yàn)閁DP包壓根就沒有ACK位。還有一些TCP應(yīng)用程序，比如FTP，連接就必須由這些服務(wù)器程序自己發(fā)起。

FTP帶來的困難

一般的Internet服務(wù)對(duì)所有的通信都只使用一對(duì)端口號(hào)，F(xiàn)TP程序在連接期間則使用兩對(duì)端口號(hào)。第一對(duì)端口號(hào)用于FTP的“命令通道”提供登錄和執(zhí)行命令的通信鏈路，而另一對(duì)端口號(hào)則用于FTP的“數(shù)據(jù)通道”提供客戶機(jī)和服務(wù)器之間的文件傳送。

在通常的FTP會(huì)話過程中，客戶機(jī)首先向服務(wù)器的端口21（命令通道）發(fā)送一個(gè)TCP連接請(qǐng)求，然后執(zhí)行LOGIN、DIR等各種命令。一旦用戶請(qǐng)求服務(wù)器發(fā)送數(shù)據(jù)，F(xiàn)TP服務(wù)器就用其20端口 (數(shù)據(jù)通道)向客戶的數(shù)據(jù)端口發(fā)起連接。問題來了，如果服務(wù)器向客戶機(jī)發(fā)起傳送數(shù)據(jù)的連接，那么它就會(huì)發(fā)送沒有設(shè)置ACK位的數(shù)據(jù)包，防火墻則按照剛才的規(guī)則拒絕該數(shù)據(jù)包同時(shí)也就意味著數(shù)據(jù)傳送沒戲了。通常只有高級(jí)的、也就是夠聰明的防火墻才能看出客戶機(jī)剛才告訴服務(wù)器的端口，然后才許可對(duì)該端口的入站連接。

UDP端口過濾

好了，現(xiàn)在我們回過頭來看看怎么解決UDP問題。剛才說了，UDP包沒有ACK位所以不能進(jìn)行ACK位過濾。UDP 是發(fā)出去不管的“不可靠”通信，這種類型的服務(wù)通常用于廣播、路由、多媒體等廣播形式的通信任務(wù)。NFS、DNS、WINS、NetBIOS-over-TCP/IP和 NetWare/IP都使用UDP。

看來最簡(jiǎn)單的可行辦法就是不允許建立入站UDP連接。防火墻設(shè)置為只許轉(zhuǎn)發(fā)來自內(nèi)部接口的UDP包，來自外部接口的UDP包則不轉(zhuǎn)發(fā)。現(xiàn)在的問題是，比方說，DNS名稱解析請(qǐng)求就使用UDP，如果你提供DNS服務(wù)，至少得允許一些內(nèi)部請(qǐng)求穿越防火墻。還有IRC這樣的客戶程序也使用UDP，如果要讓你的用戶使用它，就同樣要讓他們的UDP包進(jìn)入網(wǎng)絡(luò)。我們能做的就是對(duì)那些從本地到可信任站點(diǎn)之間的連接進(jìn)行限制。但是，什么叫可信任！如果黑客采取地址欺騙的方法不又回到老路上去了嗎？

有些新型路由器可以通過“記憶”出站UDP包來解決這個(gè)問題：如果入站UDP包匹配最近出站UDP包的目標(biāo)地址和端口號(hào)就讓它進(jìn)來。如果在內(nèi)存中找不到匹配的UDP包就只好拒絕它了！但是，我們?nèi)绾未_信產(chǎn)生數(shù)據(jù)包的外部主機(jī)就是內(nèi)部客戶機(jī)希望通信的服務(wù)器呢？如果黑客詐稱DNS服務(wù)器的地址，那么他在理論上當(dāng)然可以從附著DNS的UDP端口發(fā)起攻擊。只要你允許DNS查詢和反饋包進(jìn)入網(wǎng)絡(luò)這個(gè)問題就必然存在。辦法是采用代理服務(wù)器。

所謂代理服務(wù)器，顧名思義就是代表你的網(wǎng)絡(luò)和外界打交道的服務(wù)器。代理服務(wù)器不允許存在任何網(wǎng)絡(luò)內(nèi)外的直接連接。它本身就提供公共和專用的DNS、郵件服務(wù)器等多種功能。代理服務(wù)器重寫數(shù)據(jù)包而不是簡(jiǎn)單地將其轉(zhuǎn)發(fā)了事。給人的感覺就是網(wǎng)絡(luò)內(nèi)部的主機(jī)都站在了網(wǎng)絡(luò)的邊緣，但實(shí)際上他們都躲在代理的后面，露面的不過是代理這個(gè)假面具。

小結(jié)

IP地址可能是假的，這是由于IP協(xié)議的源路有機(jī)制所帶來的，這種機(jī)制告訴路由器不要為數(shù)據(jù)包采用正常的路徑，而是按照包頭內(nèi)的路徑傳送數(shù)據(jù)包。于是黑客就可以使用系統(tǒng)的IP地址獲得返回的數(shù)據(jù)包。有些高級(jí)防火墻可以讓用戶禁止源路由。通常我們的網(wǎng)絡(luò)都通過一條路徑連接ISP，然后再進(jìn)入Internet。這時(shí)禁用源路由就會(huì)迫使數(shù)據(jù)包必須沿著正常的路徑返回。

還有，我們需要了解防火墻在拒絕數(shù)據(jù)包的時(shí)候還做了哪些其他工作。比如，防火墻是否向連接發(fā)起系統(tǒng)發(fā)回了“主機(jī)不可到達(dá)”的ICMP消息？或者防火墻真沒再做其他事？這些問題都可能存在安全隱患。ICMP“主機(jī)不可達(dá)”消息會(huì)告訴黑客“防火墻專門阻塞了某些端口”，黑客立即就可以從這個(gè)消息中聞到一點(diǎn)什么氣味。如果ICMP“主機(jī)不可達(dá)”是通信中發(fā)生的錯(cuò)誤，那么老實(shí)的系統(tǒng)可能就真的什么也不發(fā)送了。反過來，什么響應(yīng)都沒有卻會(huì)使發(fā)起通信的系統(tǒng)不斷地嘗試建立連接直到應(yīng)用程序或者協(xié)議棧超時(shí)，結(jié)果最終用戶只能得到一個(gè)錯(cuò)誤信息。當(dāng)然這種方式會(huì)讓黑客無(wú)法判斷某端口到底是關(guān)閉了還是沒有使用。

以上就是關(guān)于防火墻采用的最基本的技術(shù)相關(guān)問題的回答。希望能幫到你，如有更多相關(guān)問題，您也可以聯(lián)系我們的客服進(jìn)行咨詢，客服也會(huì)為您講解更多精彩的知識(shí)和內(nèi)容。

推薦閱讀：

防火墻的主要功能包括什么（防火墻的主要功能包括什么和什么）

防火墻必須要提供什么功能（防火墻必須具備的功能）

防火墻是一個(gè)什么器（防火墻是一個(gè)什么器件組成的）

杭州別墅景觀設(shè)計(jì)找哪家（杭州別墅景觀設(shè)計(jì)找哪家公司）

playground漢語(yǔ)諧音（playground的中文諧音）